Hlavní navigace

Odposlech mobilů pomocí Stingray a hackovací nástroje NSA (OpenAlt)

Petr Krčmář

Jak se odposlouchávaly mobily v minulosti a jak se to dělá dnes? Jak mocné jsou uniklé hackovací nástroje od NSA? Na co se zaměřit při bezpečném používání linuxového desktopu? Nejen o tom se mluvilo na OpenAltu.

Doba čtení: 18 minut

Petr Hanáček: Stingray – bezpečnost a odposlechy mobilní komunikace

V době analogových bezdrátových systémů byly na světě tři rozšířenější standardy: americký AMPS, evropský NMT-450 a německý C-Netz. Tehdejší mobily měly různé velikosti, největší byl několikakilogramový kufřík. Postupně se dařilo velikosti snižovat až po kapesní řešení.

Největším nebezpečí tenkrát bylo takzvané klonování. Telefon měl v sobě identitu, která byla reprezentovaná telefonním číslem. Cílem útočníka bylo upravit mobil tak, aby se identifikoval jako jiný přístroj a telefonoval na účet jeho majitele. Klonování bylo velmi jednoduché, stačilo se přípravkem připojit k původnímu přístroji a jeho data pak přehrát do jiného. Byl to celkem dobrý byznys, který kolem roku 1995 byl i finančně významný.

Americké zákony na to reagovaly, takže se za podobnou činnost dostalo dost lidí do vězení. Skončilo to s příchodem digitálních mobilních telefonů. V Evropě se v té době používal standard NMT-450. Také v Česku se prováděly různé úpravy telefonů, obvykle se přidala malá destička s mikrokontrolérem, která vylosovala náhodně číslo oběti a na její účet jste volali. Nefungovalo to stoprocentně, protože když oběti dorazily příliš velké účty, obvykle číslo zrušila. Zároveň nebylo možné mít v síti přihlášené jedno číslo dvakrát, takže se oba uživatelé ze sítě vzájemně vykopávali.

Provozovatelé sítě se tvářili, že žádné nebezpečí neexistuje a žádné útoky nejsou. Když se to dostalo do médií, komentovali to tím, že to musela vymyslet nějaká sofistikovaná skupina. Přitom šlo o obyčejný mikrokontrolér. Ke konci analogové éry se operátoři snažili vymýšlet zabezpečení a pokoušeli se detekovat duplikáty na základě rychlosti přesunu. Pokud se mobil připojil do sítě v Košicích a za půl hodiny se připojil v Praze, považovalo se to za podezřelé. Profiloval se uživatel, ale nic víc s tím udělat nešlo.

Tehdy nebylo možné šifrovat komunikaci, protože šifrovat analog je velmi problematické. V podstatě jediný použitelný mechanismus je takzvaný frekvenční invertor. Ten vezme původní spektrum a udělá z něj zrcadlové spektrum, které se na přijímací straně zase obrátí zpět. Pokud jsou ale při přenosu špatné podmínky, je tomu i po dešifrování stěží rozumět. Nic dalšího se ale s analogem dělat nedalo, muselo se přejít na systémy digitální, které máme dneska.

Poté nastoupil digitální systém GSM, který zajišťuje hlasovou i datovou komunikaci. Hlasová funguje velmi podobně dodnes, datová se za tu dobu vyměnila čtyřikrát nebo pětkrát. Původní datový kanál poskytoval rychlost 9600 bitů za sekundu, takže se postupně nahrazoval. Dalšími standardy byly GPRS, EDGE, 3G a dnes moderní 4G, kterému říkáme LTE. GSM používá typicky pásma 900, 1800 případně 1900 MHz. Všechno je digitální – přenos hlasu, dat i signalizace.

Síť tvoří uživatelské mobilní stanice, základové stanice BTS, oblastní kontrolery a poté telefonní ústředna nazývaná mobile switching center. Ta obsahuje také sadu registrů o uživatelích, informace o jejich poloze, identifikační údaje a podobně. Mobilní stanice komunikuje s BTS pomocí rádiového rozhraní a téměř veškerá komunikace v tomto kanále je zašifrovaná. Informace se ale na základnové stanici dešifruje a sítí už putuje nešifrovaně. Pokud má něco putovat na další telefon, opět se na jiné BTS zašifruje a posílá vzduchem.

Když byl standard GSM zaváděn, byl z pohledu bezpečnosti velmi pokrokový. Autoři se snažili zavést celou řadu bezpečnostních mechanismů, které v předchozích sítích byly velmi nedokonalé nebo nebyly vůbec. Kromě bezpečnosti přišlo také oddělení uživatelské identity od přístroje: známá SIM karta a mobil samotný. V analogových sítích jste pro změnu telefonu museli za operátorem, protože vaše identita byly vypálena do přístroje.

Dnes se do přístroje vkládá SIM karta, což je samostatný počítač, který má procesor, paměti a je schopen dělat různé operace. Z našeho hlediska je důležité, že je schopen provádět šifrování a nese sebou také uživatelské šifrovací klíče. Standard GSM zavedl několik bezpečnostních mechanismů: řízení přístupu a autentizace, důvěrnost a anonymita. U běžných rádiových systémů může být uživatel snadno sledován či odposloucháván. GSM zajišťuje anonymitu tak, že identita uživatele se odesílá velmi málo a rychle je nahrazena identitou dočasnou, která je nevýznamová a může se často měnit.

Autor: Martin Kusyn

Takový návrh sítě byl velmi odvážný a zároveň riskantní, protože nebylo jasné, jestli je dané rozhodnutí správné. Například formát SIM karty vznikl tak, že se převzal standard pro bankovní karty – s rozměry, kontakty a komunikačním protokolem. Nikdo nevěděl, jestli formát bankovní karty bude dobře fungovat i v telekomunikacích. Byl to opravdový hazard, který ale nakonec vyšel.

Z hlediska kryptografie zde existují tři algoritmy, které se označují A3, A5 a A8. První slouží k identifikaci přístroje v síti, druhý pak k šifrování hovorů a dalších informací a poslední slouží ke generování klíče pro A5. Všechny tyto algoritmy byly utajované, což bylo velmi špatné rozhodnutí. Historie ukazuje, že utajovaný algoritmus nemůže podléhat analýze a kritice. Jakmile pak přestane být utajovaný, všechno se může provalit.

V praxi se pak při přihlašování do sítě používá sdílené tajemství v podobě šifrovacího klíče. Ten je uložen v síti a na SIM kartě. Síť vygeneruje náhodné číslo, které rádiem pošle telefonu. Ten vezme svůj klíč a zaslané náhodné číslo a pomocí algoritmu A3 vyrobí 32bitovou odpověď. Síť má k dispozici stejné informace a může zkontrolovat, že uživatel posílá správnou odpověď a tím se autorizuje.

Sám o sobě by tento krok nebyl příliš užitečný, protože po autentizaci legitimního uživatele by mu mohl otevřený kanál útočník ukradnout. Aby to nebylo možné, vytváří se téměř ve stejný okamžik algoritmem A8 na základě stejných informací 64bitový klíč, což je dočasný šifrovací klíč. Ten mají oba účastníci stejný a šifrují s ním provoz pomocí algoritmu A5. Tím je zajištěno, že kanál není možné jednoduše ukrást, protože útočník nezná šifrovací klíč a není schopen se sítí komunikovat.

Samotný provoz se pak šifruje tak, že se algoritmem A5 generuje pseudonáhodný proud dat, kterými se XORují odesílaná a přijímaná data. Na straně mobilu jsou na SIM kartě uloženy algoritmy A3 a A8 a šifrovací klíč. Algoritmus A5 zodpovědný za šifrování je uložen v mobilním telefonu. To už dopředu určilo, v jakém pořadí přestanou být použité algoritmy tajné.

Jako první byl odtajněn algoritmus A5, protože stačilo reverzovat firmware libovolného telefonu. S algoritmy A3 a A8 to už bylo horší, protože software SIM karty není možné jednoduše přečíst a zkoumat. Algoritmus se dařilo utajovat poměrně dlouho, protože se předával jen výrobcům SIM karet proti podpisu NDA. Tak to bylo až do té doby, dokud jednomu pánovi v Holandsku nezapomněli dát podepsat to NDA. On to hned naskenoval a hodil všechno na internet. Ukázalo se, že všechny algoritmy jsou poměrně slabé, ale původně to nevadilo, protože byly utajované a žádný útočník je nemohl použít.

Zajímavé je, jak z prozrazení vyklouzla GSM asociace, která slabé algoritmy původně navrhla a dala do standardu. Ta řekla, že to, co je ve standardech, nejsou šifrovací algoritmy, které se mají používat v sítích. Jsou to jen příklady, které si výrobci mají nahradit svými vlastními bezpečnými variantami. Asociaci se tehdy podařilo z celé věci vymluvit a nikdo nebyl z ničeho obviněn.

Přestože dnes víme, že standard GSM má své nedostatky, je jich výrazně méně než v jiných podobně složitých standardech. Přestože dnes na standard GSM pliveme, je potřeba si uvědomit, že na tu dobu a chybějící zkušenosti se chyb udělalo poměrně málo. Rozdíl mezi GSM a například standardy Wi-Fi je propastný. Dnes chrlíme podstatně více chyb.

Mezi hlavní nedostatky patří: špatné šifrovací algoritmy, neschopnost ovlivnit výběr algoritmů ze strany mobilů a jednosměrná autentizace. Mobil se autentizuje síti, ale síť se neautentizuje mobilu. To v té době nebylo považováno za chybu, protože se předpokládalo, že síť je ta moudrá a rozumná strana, která nemá důvod se autentizovat hloupému mobilu. Když už někdo podotkl, že by mohla vzniknout falešná síť, začali se tomu všichni smát a ukazovali na desítky milionů dolarů, které by něco takového stálo.

Proč by vůbec někdo měl zkoušet vytvořit falešnou BTS? Pokud by se mu to podařilo, vůbec by nevadilo, že nezná šifrovací klíč uložený na SIM kartě. Z pozice sítě rozhodne o tom, že se šifrovat nebude a mobil se jí podřídí. Ona si pak může komunikovat, jak se jí zachce. Tento režim se používá především pro identifikaci přístrojů v okolí, protože nemusíme předstírat, že by si přes naši stanici mohl někdo zavolat.

To je ovšem také řešitelné, můžeme snadno za svou falešnou BTS připojit další mobil, přes který hovor odbavíme. Z pohledu sítě to bude vypadat, jako by hovor probíhal z jiného čísla. V některých scénářích nám to nevadí, ale někdy musíme být sofistikovanější. Síti není možné jednoduše podvrhnout identitu oběti, protože dotaz na ni probíhá šifrovaně. Můžeme ale tvrdit, že bohužel nepodporujeme žádné šifrování a síť pak má těžkou volbu – buď nás vykopnout a přijít o peníze nebo to neřešit.

Pokud máme vymyšlený celý princip, zbývá otázka, jestli nás postavení takové základnové stanice musí stát desítky milionů dolarů. Ve Spojených státech se pro tyto účely začalo používat zařízení Stingray, které dokázalo simulovat BTS. Z dnešního pohledu bylo velmi primitivní, umělo sledovat jen jeden kanál a stálo 130 tisíc dolarů, ale dalo jméno všem dalším podobným řešením. Později se vyráběly další verze, které měly mnohem více možností a navíc se postupně zlevňovaly.


Autor: Martin Kusyn

Ceny sice stále nebyly lidové, ale vznikl nový obor, který umožňoval identifikovat okolní telefonní stanice. Jak se zařízení postupně zlepšovala, umožňovala provádět i něco dalšího. Výrobců vznikla celá řada, existují kapesní řešení schopná pohodlně identifikovat a ovlivňovat telefony v okolí. V Americe to používají jen veřejné instituce jako je policie nebo šerifové. Řekli bychom strážci spravedlnosti nebo česky orgány činné v trestním řízení. Tajné organizace používají jiná zařízení, která s veřejnými službami nijak nesdílejí. Instituce nejprve popíraly, že něco takového používají, ale později to přiznaly.

Ve Spojených státech se tomu říká Stingray, v Česku pak Agáta, ve zbytku Evropy IMSI catcher. To vychází z původního scénáře, kdy falešná BTS nechá telefon přihlásit a získá od něj trvalý identifikátor IMSI. Jednotlivé země pak mohou mít svůj lokální název, podobně jako my v Česku.

Název Agáty vznikl přesmyčkou z úplně první verze GA900. Původní verze toho příliš neuměla, dokázala sledovat konkrétní telefony, zjišťovat identifikátory IMSI, ale nebyla vybavena například na přeroutování hovoru. To uměly až pozdější verze, přestože to bylo popíráno. Existují ale věstníky veřejných zakázek, ve kterých se zakázky na odposlechy objevily.

Telefon není příliš ochotný se k podvržené síti sám přihlásit, protože je se současnou BTS spokojený. My ho musíme nějak nalákat. Většinou se k tomu používá kombinace různých technik. Je možné například měnit sílu signálu nebo ohlašovat jinou oblast, aby měl telefon pocit, že se přesunul a musí to pomocí nové základnové stanice ohlásit. Někdy se Stingray neodváží použít vlastní rádiový kanál, ale půjčí si některý od existující BTS. Při těchto technikách je ale možné detekovat, že se sítí není něco v pořádku. Do chytrých telefonů je možné nainstalovat aplikace, které se snaží podobné zásahy detekovat a ohlásit je uživateli. Na základě toho je možné zkoumat, zda v oblasti nějaké zařízení nepracuje. Bohužel často se takto můžou projevovat i skutečné mobilní sítě. V některých z nich je strašlivý nepořádek.

Některé telefony mají podobnou detekci zabudovanou rovnou ve svém firwmare, aby svým uživatelům zajistili pocit většího bezpečí. Například CryptoPhone se snaží podobné záležitosti zkoumat a mimo jiné hlídá, zda nebylo vypnuto šifrování. Je to ale speciální mobil, který je na něco podobného připraven.

Všechny tyto techniky jsou použitelné pro základní GSM a přenos hlasu. Přenos dat byl několikrát vylepšován a to už jsme byli poučeni: používáme správné klíče, správné šifrovací algoritmy a oboustrannou autorizaci. Na první pohled to vypadá, že při přenosu dat jsme za vodou.

GPRS a EDGE jsou z našeho hlediska stejné přenosové technologie, které jen používají jinou modulaci. Používají nové šifrovací algoritmy, které jsou už bezpečné. Ovšem klíče pro tyto algoritmy se generují původními algoritmy. Zásadnější problém je, že se jako základ použije stejný klíč používaný pro telefonní hovory, jen se k němu přidá jiné náhodné číslo. Tím se vygeneruje jiný dočasný klíč, ale vzniká nový způsob, jak zabezpečení prolomit: falešná BTS sestaví hlasový hovor a požádá o autentizaci. K tomu použije náhodné číslo používané při datovém přenosu. Protože byl použit starý algoritmus A5, můžeme si pak snadno klíč z odpovědi lousknout.

To ukazuje zásadní problém těchto nových standardů: pokud chceme zavést nový bezpečný standard, musíme ten starý nebezpečný zabít. Pokud to neuděláme, útočník může vždycky najít způsob, jak na starý algoritmus přejít a zaútočit na něj. Přestože tedy byl vytvořen nový bezpečný algoritmus, klíče k němu jsou vytvářeny starým nebezpečným postupem.

V případě 3G/UMTS je úplně nový algoritmus, nová autentizace, integrita všech zpráv a klíče se generují úplně novým způsobem. GSM klíče se naopak vypočítávají z nových klíčů. To vypadá jako zcela bezpečné a z pohledu útočníka se s tím nedá nic udělat.

Standard LTE všechno zahodil a udělal znovu. Šlo se i na nová pásma, často nižší než jaká používal původní GSM. Má správné kryptografické algoritmy, integritu zpráv a oboustrannou autorizaci. Hoši implementující LTE ale nebyli velkorysí. Nešifrují všechno, ale vybírají si konkrétní části, které se zašifrují. Bohužel při tomto výběru došlo k chybám. Tato část není šifrovaná. Proč? Autor se domníval, že to není potřeba. Například zprávy obsahující GPS souřadnice nejsou zabezpečeny šifrováním. Díky tomu se zase našly cestičky.

Díky použití nižších frekvencí není nutné investovat do poměrně drahého zařízení typu Stingray, ale stačí nám výrazně levnější destička obsahující SDR. Díky nízkým frekvencím si potřebnou funkcionalitu můžeme pohodlně naklikat. Bezpečnost LTE tedy také není úplně ideální.

Pro útočníka se sice začíná vše komplikovat, ale i z toho je cesta ven. Jako útočník vím, že s GSM a GPRS se umím snadno vypořádat. Můžu si pořídit rušičku a 3G a LTE zaruším. Typicky útočník dnes na protokoly vyšších generací útočí jen v případě, že mu to přináší užitek. Pokud ne, je schopen srazit komunikaci na standardy nižších generací a tam zůstat.

V roce 2010 byla úspěšně napadena společnost Gemalto, která vyrábí SIM karty. Bylo nám to dlouho utajováno a svět se o tom dozvěděl až o několik let později. Poté nám firma řekla, že sice napadena byla, ale neunikly žádné šifrovací klíče. Když ale Snowden vynesl citlivé informace, zjistilo se, že útočník ve společnosti Gemalto má přístup ke klíčům ještě dřív, než se do SIM karet dostanou. To si ale běžný chudáček útočník dovolit nemůže. Jaké má možnosti, když si chce mít vlastní Stingray?

První možností je, že se ho pokusí koupit. To přeci není možné, protože všichni výrobci vám řeknou, že přístroje prodávají jen státním organizacím. Alibaba ale říká něco jiného. Pořídit si takové zařízení není příliš levné, ale je to rozhodně možné.

Druhá cesta je použít běžně dostupný hardware, který je co nejvíc zařízení Stingray podobný – obyčejný mobil. Vypadá to jako nemožná úloha, ale vznikl projekt Osmocom, který nabízí alternativní firmware. Takto získávána data je pak možné zkoumat například Wiresharkem. Tento přístup je fajn, ale firmware je dostupný jen pro několik málo mobilů, které se postupně přestaly vyrábět. Proto to není dlouhodobě udržitelné.

Jedinou udržitelnou možností je použití SDR. Chci mít vymakané rádio a nechci vzít páječku do ruky. Takže signál musím hned na začátku navzorkovat a poté vše zpracuji v počítači pomocí matematických postupů. Nejjednodušší řešení pro příjem lze pořídit za osm dolarů, vysílač pak bude stát několik stovek. Pořád se to neblíží ceně skutečného Stingraye. Dnes je to dominantní postup.

Dlouhou dobu to vypadalo, že neexistuje jednodušší možnost, jak se k vlastnímu Stingrayi dostat. Ve skutečnosti to možné je. Řešením je takzvaná femtocella. To je krabička, kterou máte u sebe doma, protože je tam špatný signál. Vznikne tak nová BTS, která s operátorem komunikuje pomocí šifrované VPN přes běžný internet. Funkční řešení tedy existuje, je potřeba jen upravit oficiální firmware. To je zatím poslední způsob, možná se časem objeví další.

Lukáš Antal: NSA Hacking Tools

NSA v letech 2016 a 2017 unikla celkem pětkrát data. Hackerská skupina poprvé zveřejnila šifrovaný archiv a poté spustila bitcoinovou aukci, jejímuž vítězi chtěl předat heslo. Nakonec se aukce zřejmě nepodařila, protože heslo bylo později zveřejněno. Přednáška se dále věnovala poslednímu pátému úniku, který je dostupný na internetu a dá se stáhnout například z GitHubu. Tam jsou exploity přímo v binární podobě od NSA.

Worawit Wang pak exploity reverzoval a přepsal do skriptovacího jazyka a dal k dispozici veřejnosti. Netrvalo pak dlouho a byly přidány jako nové moduly do Metasploitu.

Úniky NSA nebyly ale jen jednotlivé exploity, ale šlo o celý framework. Jde vlastně o takový jejich Metasploit, který umožňuje dělat poměrně komplexní útoky. Všechny nástroje jsou implementovány pro Windows. Kdo kdy viděl útočit z Windows? Tady opravdu stačí nástroje stáhnout z internetu, nakonfigurovat a můžete útočit.

Následně byl na přednášce předveden nástroj Fastbench, který je vlastně centrem celého řešení a umožňuje načítat a spouštět různé moduly. Ty mají různé kategorie jako exploity, detekční touch moduly, poté payload a ostatní. Moduly mají pohodlné textové průvodce, které s vámi pohodlně projdou všechny možnosti a funkce.


Autor: Martin Kusyn

Nástroj DanderSpritz umožňuje zaútočit na různé zranitelnosti Windows, ověřit například běžící antiviry, vypnout logování nebo naopak aktivovat monitory. To jsou funkce, které hlídají vámi napadený počítač a když jej někdo začne analyzovat, varují vás a dají vám čas bezpečně vyklidit pole. Nakonec je k dispozici konzole, která umožňuje napadený počítač dále analyzovat. Uživatel pak může fotit obrazovku, přistupovat k souborům a provádět další akce.

Jde o ultimátní superzbraň, která se snaží co možná nejdéle zůstat nenápadnou a exfiltrovat data. To je hlavním cílem operace: zůstat schovaný v napadeném počítači a pracovat se získanými daty.

Nástroj DanderSpritz se snaží v mnoha situacích přemýšlet za operátora. Stačí totiž udělat malou chybu, antivirus váš proces zachytí, vy jste prozrazeni a vzorky už putují k antivirové společnosti. Proto má zabudované exploity na antiviry, hlídá zaplnění paměti a disků a neumožňuje operátorovi provádět nebezpečné akce vedoucí k odhalení. Obsahuje i modul hlídající konkurenčně malware, který obsahuje celkem 45 signatur nástrojů pocházejících z různých států.

Všechny uniklé nástroje jsou už z roku 2013. Tohle je retrospektivní okénko do doby staré pět let. Pět let je velmi dlouhá doba. Před pěti lety měla NSA v ruce velmi silnou zbraň plnou 0-day exploitů s vybudovaným ekosystémem kolem. Co používá NSA teď? To vám já neřeknu, ani kdybych to věděl. Bude to něco ještě úžasnějšího a hrozivějšího.

Martin Vicián: Bezpečné používání linuxového desktopu

Martin Vicián pracuje v CZ.NIC, kde 90 % notebooků běží na Linuxu. To má spoustu výhod například v možnosti automatizace a skriptování, ale má to i nějaké nevýhody. Organizace používá především počítače značky Dell, které jsou už od výroby dodávány s Linuxem. Používáme Ubuntu, Debian je pro běžné uživatele složitější.

Problém s bezpečností může přijít už při stahování a instalaci nové linuxové distribuce. Klasicky navštívím oficiální stránky distribuce a chci stahovat. To ale může být velmi pomalé, proto se používají zrcadla. Je ale potřeba zajistit, že na zrcadlech je stále původní nepozměněná verze z originálního zdroje. V takovém případě je potřeba kontrolovat elektronické podpisy. V roce 2016 došlo k napadení WordPressu distribuce Mint, útočník jim změnil web a část uživatelů si stáhla podvrženou verzi ISO obrazu.

Po stažení je potřeba zkontrolovat kontrolní součet a tím ověřit integritu souboru. Kontrolní součet by měl být podepsaný, aby nebylo možné na napadeném webu jednoduše kontrolní součet změnit. Jak ale zjistit, že mám správný klíč některého z vývojářů? Klíče jsou obvykle součástí už nainstalovaného systému, takže je nejrozumnější systém aktualizovat nebo pomocí starší verze ověřit nově stažený ISO soubor.


Autor: Martin Kusyn

Pokud už jsme systém nainstalovali, je čas bezpečně nabootovat. Kolik můžu zadávat hesel při bootu? Může jich být poměrně hodně: heslo k BIOSu, odemknutí disku, odšifrování disku (LUKS), přihlášení do systému, odemčení klíčenky a další. My máme celé počítače šifrované LUKSem, takže uživatel musí disk dešifrovat a my ho rovnou přihlásíme.

Poměrně dobře vypadá heslo pro odemčení BIOSu, ale je to vlastně zbytečné. Kolega si zablokoval počítač, oslovili jsme Dell a ten nám po ověření heslo poslal. To nefungovalo. Algoritmus byl ale prolomen a je možné si jej nechat vygenerovat na webu bios-pw.org. Stejně tak pokud by byl zamčený disk, není možné ho bez hesla nastartovat, ale data na něm nejsou šifrovaná a je možné je přečíst jinde.

Velké rozdíly mezi distribucemi jsou v přístupu k Secure bootu. Fedora si nechala podepsat klíče Microsoftem, Canonical si nechal přidat vlastní klíče. Secure boot byl navržen jako bezpečnostní řešení, ale pokud je možné obejít ochranu BIOSu, je vlastně nefunkční. Situace je hrozná. Navíc existuje kód LoJax, který útočí na UEFI a Secureboot vás před ním neochrání. U některých distribucí (jako Gentoo) je nutné si vše navíc zařídit ručně a samostatně, protože si kompilujete vlastní software a musíte si ho podepsat sami. V případě Ubuntu z továrny máte ale Secure boot zapnutý a funkční.

Dell dříve používal klasické dokovací stanice s konektorem ve spodní části notebooku. Dnes se používá Thunderbolt, který umožňuje přímý přístup do paměti a je přes něj možné získat data z paměti běžícího počítače. Na adaptéru je pak dostupný Ethernet, HDMI, VGA, DisplayPort a USB konektory. Aby bylo rozhraní chráněno, je možné v BIOSu nastavit bezpečnostní profil a nechat zapnuté jen USB a DisplayPort nebo je možné v systému povolit jen konkrétní zařízení.

Povolená zařízení je možné spravovat pomocí utilita boltctl s GUI v Gnome 3, případně je možné použít tbtadm z balíčku thunderbolt-tools. Má to problém, na který jsme rychle narazili. Uživatelé zapojí notebook do adaptéru a chtějí rovnou na externí klávesnici zadávat heslo k bootu operačního systému. To ale není možné, protože se zařízení připojí až v systému. Další problém spočívá v tom, že autorizace zařízení trvá dlouhou dobu. V některých případech je to až 30 sekund.

Dobrou zprávou je, že aktualizace BIOSu je dnes v Linuxu velmi jednoduchá. Je možné to udělat v Gnome Software nebo pomocí utility fwupdmgr. Zároveň s tím se aktualizuje i Thunderbort Controller.

Našli jste v článku chybu?