Vlákno názorů k článku
Framework distribuoval 200 000 počítačů se zranitelnostmi ve firmware UEFI od Matej Drozdík - Secure Boot mám na všetkých zariadeniach tak či...

Secure Boot mám na všetkých zariadeniach tak či tak vypnutý

Proč přesně?

Nechci začínat nějakej moc velkej spor, ale nemám dojem, že bych měl potřebu ho vypínat.

Zvycajne kvoli DKMS modulom. Oni sa sice daju podpisat MOK-om, ale je to otrava. Alebo nechat DKMS dostupny kluc, cim sa akosi straca pointa.

Třeba protože si kompiluju custom kernel, v threat modelu coby politicky a kriminálně neangažovaná osoba nemám, že někdo přijde ke mě domů, nainstaluje uefi spyware a získá tím následně šifrovací klíč, ale řeším hlavně prostou krádež, takže secure boot představuje zbytečnou komplikaci (případně kurvítko) navíc.

Navíc state actor stejně může remote zneužít nějaké remote 0-day proti běžícímu systému...

Ono taky záleží jak je to kde udělané... já mám třeba na Gentoo taky custom kernel a podepisuje se to samo, včetně 3rd party kernel modulů... na stranu druhou, se secure bootem lze mít šifrovací klíč k disku k TPM. Což od doby, co ten notebook musím kvůli (ne)výdrži na baterku v suspend to RAM hibernovat, takže jej typicky minimálně jednou za den probudím z hibernace, je taky celkem fajn věc.

Zrovna to, že bych měl klíč k šifrování disku v TPM bych bral jako výrazný downgrade v bezpečnosti.

"Proč přesně?"

Se muzes merknout k soudruhum z MS ... staci jedna aktualizace a miliardy stroju nenastartujou. A deje se to opakovane.

Navic kdyz to mas vypnuty tak ziskavsas bonus ... nefungujou ty jejich ubersmirovace.

V tuxovi dtto, jen si vybrabis problem, tam kde zadnej neni. Pokud ma nekdo fyzickej pristup, je ti to stejne knicemu. Jen pridavas dalsi vec ktera se driv nebo pozdejs nejak podela. Specielne az prijde nejake frikulin s genitalnim napadem, ze platnost tech klicu bude hodina.

Ono nejde jen o fyzický přístup. Malware může virtualizovat OS už před startem, a je pak z běžícího OS nedetekovatelný a neodstranitelný. Je to už poměrně starý koncept, a existuje minimálně PoC.
https://web.archive.org/web/20081207095137/http://www.eecs.umich.edu/virtual/papers/king06.pdf
https://www.blackhat.com/presentations/bh-usa-06/BH-US-06-Zovi.pdf

Abych nezapomněl. Jaké konkrétní "ubersmirovace" nefungují, protože si člověk vypne SecureBoot?

18. 10. 2025, 01:38 editováno autorem komentáře

Očividně Sony rootkit nepamatuješ, nebo nechceš pamatovat. Bootviry v MS-DOSu teprve ne :-D

Vadí mi ako sa s postupom času pridávajú technológie ktoré sťažujú/úplne znemožňujú inštaláciu iných operačných systémou.

Rozumiem prečo Secure Boot existuje ale keď vidím čo sa deje s mobilmy, kde musíme prosiť spoločnosti aby nám dovolili inštalovať aplikácie... tá pridaná bezpečnosť za to nestojí.

Tak tak a jako bonus nemam vubec UEFI boot - v UEFI modu mam zapnuty legacy boot - hadejte proc ? - ano je to uber bezpecne ;-) a nkod vam tam nic nepodrstci, nebot UEFI boot vubec nepodporuje a co neexistuje, nejde napadnout.

Klicum v HW neverim, ani HW nahodnym generatorum v CPU - vse je to zkryplene NSA/CIA dle
zakonu PatriotACT.

A mam LUKS - OS ne na ten kaslu, na /home - duvod je jasny u noteboooku mozna kradez a doma jak kradez, tak hlavne police - a policie je presne ten organ, co vam HW sifrovani odemkne pomoci 3 klice ktery tam dle APtriotACT musi byt - proto byl zakazan napr. Truecrypt a vyvojarum bylo vyhrozovano, pote, co u nich provedli nasilnou domovni prohlidku.

Neverim nicemu, co nem p[od kontrolou a nemam od toho zdrojaky, tedy neverim savemu mobilu, ale preventiuvne mam Cinsky mobil s cinskym OS - nepodpruje EU/USA smirovani a Cinske smirovani mi nevadi, 1) nejsem v dosahu jejich BTS, 2) nejsem tam 3) Cina nevydava zadne data - nikomu a nikdy , 4) Cinsken vlade verim, smirovani je tam dle zakona a je transparentni, skryte smirovani je v Cine nezakonne a nesmi jej provadet svevolne ani tajna sluzba ;'-) natoz bezna police, zakonne smirovani je tam naopak verejne zname a s jeho rozsahem jsme predem seznamen.

Nverim tak napr. profyzlovanym windows ;-) a vysmivam se secure tym,u ve firme ze o jake bezpecnosti v pripade windows vubec mluvi ;-) Ale neverim ani MacOS - kde sifropvani nejde zapnout vubec ;-) presneji sifrovani je zaple, ale police k tomu ma klice a Apple vam to umi tez obnovit ;-) - coz v LUKS vam neobnovi nikdo nic ;-)

"Truecrypt a vyvojarum bylo vyhrozovano, pote, co u nich provedli nasilnou domovni prohlidku."
Mas nejake blizsi info?

"Cinske smirovani mi nevadi, 1) nejsem v dosahu jejich BTS"
Fakt. Fakt si to myslis?

Kod v legacy rezimu lze podstrcit zavolanim "Custom ROM" pres int 19h. Tam se pak muze chytit treba virtualni radic a treba bootovat z jineho zarizeni. Zalezi jak mate sestaveny bios a jestli muzete tohle volani ve specifickych pripadech vyblokovat.

Na smirovani mobilu staci pouze core sit operátora či pristup do interní IMS a v mnoha pripadech i SS7 sítě. Nechcete-li byt smirovan pres mobilni sit, neprihlasujte se do mobilni site. Co tam máte dál?
Ve své paranoie mate preslozitely system a zapominate na zcela základní veci.

Mohl bych se zeptat které konkrétní části Patriot Act nutí výrobce CPU "zkriplit" HW náhodný generátor v CPU, a které konkrétní části nutí autory nástrojů šifrujících disk vestavět backdoor?

Mám dojem, že to je nenápadně zastrčené do paragrafu, co zavádí minimální množství chemtrails.