Názory k článku
Microsoftu unikl zlatý klíč od Secure Bootu

super, jsem rád

Horší je, že menšina nemá možnost volby, protože to prostě nepůjde vypnout.

Jak nepůjde vypnout? To záleží na výrobci HW. MS pouze říká, že pro Win10 certifikaci musí PC umět Secure Boot. Jestli ho výrobce umožní vypnout, to je čistě na něm.

Navíc i když na konkrétním HW nejde Secure Boot vypnout, tak na něm umí běžet řada dister Linuxu včetně Fedory, openSUSE a Ubuntu.

Mimochodem na Microsoft Surface Pro se Secure Boot dá vypnout, a to i na nejnovějších strojích Surface Book a Surface Pro 4.

A?

To, ze to zalezi (nebo "zalezi") na vyrobci HW neznamena, ze to pujde vypnout.

A také to neznamená, že to vypnout nepůjde. Znamená to jen a pouze tolik, že záleží na výrobci HW. Což je fakt na který jsem se snažil upozornit.

Bezni uzivatele budou predevsim cucet jako pera z gauce, az zjisti, ze:
a) existuje Secure Boot
b) na nekterych strojich nejde vypnout
c) jeden takovy maji, protoze a) ani b) jim nebylo znamo, kdyz si jej kupovali
d) nacpali si do nej Dulezita Data, Ktera Nejsou Nikde Jinde
e) a ta mrcha ted nebootuje
f) ale nastesti existuje cela rada uzasnych nastroju
g) ktere ovsem take nebootuji, protoze a) & b)

A obecne ta predstava, ze secure boot, krom toho, ze pouzivat legitimnim zpusobem a uzivatelem dany stroje muze byt vetsi, pripadne maximalni otrava, neco zabezpecuje, zejmena pak beznym uzivatelum ty jejich zablesene mrdky, kde jim smejdi kde kdo, od Microsoftu pres Zuckerberga az po posledniho basltice ransomwaru, je dost zabavna.

Co takovému uživateli brání zabootovat z instalačního média Windows, vlézt na konzoli nebo spustit nějaký file manager, a data vykopírovat na externí médium? Plus je tu samozřejmě možnost instalaci opravit, což instalační médium nabízí jako jednu z možností. Plus mají Windows Safe Mode, takže když něco nakopnete, můžete zabootovat do Safe Mode a opravit to, například návratem na předchozí Restore Point.

Ad predstava, ze secure boot... neco zabezpecuje... je dost zabavna - Secure Boot má chránit před boot kity, které například virtualizují OS ještě před jeho startem, a v principu je nelze z běžícího OS odstranit. Zábavné je spíš srovnávat takový problém se "šmejděním" Facebooku, kterému ve skutečnosti uživatelé cpou svá osobní data zcela dobrovolně.

> Co takovému uživateli brání zabootovat z instalačního média Windows, vlézt na konzoli nebo spustit nějaký file manager, a data vykopírovat na externí médium? Plus je tu samozřejmě možnost instalaci opravit, což instalační médium nabízí jako jednu z možností. Plus mají Windows Safe Mode, takže když něco nakopnete, můžete zabootovat do Safe Mode a opravit to, například návratem na předchozí Restore Point.

Jasne, protoze data ktera nezvladne zachranit instalacka windows nezachani ani specializovany nastroj typu testdisk.

Z té instalačky Windows si můžete spustit například ten testdisk nebo jiný nástroj. Nebo si můžete vytvořit médium s Windows PE (což je prakticky instalačka bez instalačních médií) a s libovolnými nástroji.

Zabrani mu v tom totez, co ho do toho srabu puvodne dostalo: jeho vlastni hloupost a Microsoft, ale pro mne za mne, celkem dobra sukces story, libil se mi hlavne ten bod s beznym uzivatelem zachranujicim data z konzole (jinak tez znamne jako "takovytocerny"), ze ktere dostava koprivku i clovek, co s ni umi zachazet, a pak ten happy end s restorem, to bylo jak z prezentace v PowerPointu. 8/10.

Ovsem, ze je to zabavne; ze vsech zcela realnych problemu Microsoft jakoze resi ten, ktery nikdo nema.

Happy end byl se System Restore, který automaticky pořizuje Restore Points například při instalaci nového SW. Můžete pak zabootovat s Safe Mode nebo z instalačního média, a vrátit stav systému do dřívějšího stavu.

Uživatel může použít instalační médium, které má nějaké nástroje samo o sobě. Nebo z něj může pustit další nástroje. A nebo může vytvořit médium s Windows PE (tedy prakticky instalačka bez instalačních médií), a tam natahat libovolné nástroje. Hledáte problém kde není.

Ad je to zabavne; ze vsech zcela realnych problemu Microsoft jakoze resi ten, ktery nikdo nemá - co když příští malware bude instalovat boot kit, který z běžícího OS v principu nelze detekovat ani odstranit? Až takový problém nastane, bude trochu pozdě ho řešit.

Mimochodem pokud je podle vás Secure Boot zbytečný, tak nevím proč vůbec řešit, že je toho času rozbitý. Vždyť je to přece zbytečnost :)

Aha. Kdežto kdyby neměl Secure Boot a měl tedy možnost zabootovat z nějakého media rescue tools, které by neměl, tak by byla situace o hodně lepší :). V obou případech si to médium holt musí sehnat. Macha a Šebestová by vám asi řekli, že bez bootovacího media se blbě bootuje.

Spojitost je taková, že pokud by nebyla zařízení, kde nejde SecureBoot vypnout, tak by k téhle chybě vůbec nedošlo.

A teď jak k té chybě došlo: na některých zařízeních nejde SecureBoot vypnout. To znamená, že všechny ovladače musí být podepsané MS. Protože to ale dost znesnadňuje vývoj, vytvořil MS backdoor pro vývojáře, pomocí kterého mohou získat obecný podpis od MS, jenž jim umožní na specifikovaných zařízeních SecureBoot obejít a zavést ovladače i bez podpisu („zlatý klíč“). Jenže v tom backdooru zapomněli na kontrolu, jestli se ten podpis používá opravdu jen na zařízeních, pro která byl vydán, takže jde použít na kterémkoliv zařízení.

> A teď jak k té chybě došlo: na některých zařízeních nejde SecureBoot vypnout. To znamená, že všechny ovladače musí být podepsané MS

Pokud vím, tohle se (bohužel) zavádí až od WIndows 10 Anniversary update. A pořád zřejmě ještě budou fungovat ovladače podepsané v nedávné době (asi než vyprší certifikáty). Před AU a na starších Windows (64bit zejména) se pořád i běžný smrtelník dostane k certifikátu, kterým může podepsat ovladač, aby jej Windows považoval za důvěryhodný (ale není to úplně zadarmo a je tam jistá míra ověření identity).

Jsou tam ještě nějaké výjimky (pokud např. chcete psát anti-malware, který potřebuje zkoumat ovladače zaváděné hned na počátku bootu). Ale "běžného" psaní ovladačů se toto netýká.

Ale doufám, že tady MS trošku sníží své nároky, protože tím dost likviduje "hobby" vývojaře (v zásadě je celý ten proces podpisu orientovaný hlavně na ovladače HW (včetně toho virtuálního)).

Ovladače musí být podepsané mimo jiné ve všech x64 verzích Windows, a to už dost dlouho. Na tom se nic nemění. V případě použití Secure Boot musí být podepsaný i boot loader, a jeho podpis kontroluje už UEFI firmware.

A proto ty podepsany ovladace ty podepsany widle pravidelne sejmou ...

Takze uzivatele nemaji moznost si nahrat vlastni ovladace? Jak pak maji zprovoznit HW, ktery si sami postavi?

Jo, backdoor jako noha. A systémy bez Secure Boot, to už je totální backdoor :D

On někdy byl? :-)

Možnost spouštět nepodepsané ovladače na zařízení, kde nejde vypnout SecureBoot, aby nešly spouštět nepodepsané ovladače, to není backdoor?

Situace je v nejhorším srovnatelná se systémem bez Secure Bootu, na což se snažím upozornit.

"Nejhorší co může crack na vypnutí Secure Bootu udělat je, že vypne Secure Boot."

A to byla myšlenka dne.

Jen upresneni: jestli tomu dobre rozumim, zadny klic (z tech co prijdou do securebootich PK/KEK/db keyringu) neunikl, "golden key" je eufemismus pro backdoor/chybu ve wokennim bootloaderu ktery v dusledku umozni natahnout i nepodepsany kod. Secureboot na desce bude ale porad vyzadovat pritomnost podepsaneho (MS) bootloaderu.

UEFI Secure Boot je stále bezpečný (alespoň natolik nakolik člověk věří, že v samotném UEFI firmware / BIOSu není backdoor nebo exploit), díra je jen a pouze ve Windows UEFI bootloaderu. Pokud z UEFI na novém zařízení odstraníte klíče výrobce a Microsoftu, místo nich enrollnete své vlastní a těmi podepíšete vlastní bootloader (třeba GRUB), tak se vás ta díra nijak netýká.

UEFI tím modifikovat nejde, bootmgr je zavaděč Windows.

Omlouvám se trochu za off topic, ale velký windows guru Lael by mohl vědět...

Pár dní zpět jsem udělal update win 10, update trval asi 25 minut. (zasekl se na 44% a asi po 15 minutách jsem si všiml, že mi to hrabe na externí disk - dioda blikala jak pominutá)
Já de*il ten externí disk odpojil.
Nějak jsem si myslel, já bláhoví,že update by měl o-updatovat pouze ten disk na kterém je instalace a na ostatní disky nešmatat.
Instalace se po odpojení najednou rozeběhla a tech 44% se najednou začalo hýbat, takže to BYLO určitě tím externím diskem.

Nechápu co s ním ta aktualizace udělala, ale jakmile ten disk připojím k windows na kterých jsem dělal update, disk se nezobrazí. (zobrazí se pouze písmeno, ale žádný obsah)
Pokud ten samý disk připojím k jinému pc, funguje bez problému. (dokonce to skousne i TV a to je tam ntfs)
Vlastně to jde přečíst i na stejném pc, pokud jsem v linuxu (ať žije dual boot :) )

Windows scandisk mi napíše "nemohu získat přístup k zařízení" (nebo nějaké podobné sr*čky dle toho z jakého SW se snažím k tomu disku přistupovat)

Nějaká rada? Kromě odinstaluj win 10 a přeformátuj disk (to se mi moc nechce, když to jinde funguje bez problému, ale asi to tak nakonec dopadne, přece jen se mi nad tím nebude chtít půl dne přemýšlet :) )

Mozna widlim vadi, ze ten externi disk neni podepsany - zkusil bych ho podepsat - lihova fixa by mohla stacit

:D

Stačí moje jméno?
Nebo musí být
"Tento disk je dle mého vědomí a svědomí v naprostém pořádku a windows ho mohou připojit. Pokud se s windows 10(r) něco stane (ať už použitím disku, nebo jiným zacházením), Microsoft(r) mne může žalovat až do výše škody, který mu zničením mého počítače způsobím."

"Datum: \t Podpis: \t " (nechtějí se mi formátovat mezery ;) )

Je možné že jste neměl dost místa na disku, takže Windows použily externí disk.

Pokud je vidět jednotka, ale není vidět obsah, tak na prvním místě zkontrolujte jestli je vidět obsah v Disk Manageru. Měl by tam být vidět disk, na něm volume, a ten volume by měl být přimountovaný na nějakou jednotku. U externích disků Windows mountují pouze první partition.
http://woshub.com/wp-content/uploads/2014/10/removable-drive-in-windows-disk-manager.jpg

Jestli disk vidíte, tak by k němu měl mít přístup chkdsk (obdoba fsck). Spusťte cmd.exe jako administrátor (Start menu, cmd.exe, Ctrl+Shift+Enter, případně potvrdit UAC prompt), poté chkdsk X: kde X: je daná jednotka.
Pokud to najde chyby, spusťte chkdsk X: /f /x
Pokud je disk v pořádku, a přesto nevidíte jeho obsah, tak je to zřejmě problém permissions. Ve Windows Exploreru pravou myší na disk, Properties, Security, tam se ujistěte že v ACL není nastavené něco co vám brání v přístupu.
Pokud to nepomůže, koukněte do Event Logu (Win+X, Event Viewer), v System Logu nejspíš budou relevantní informace. ´

Ohledně reinstalace: předpokládám že když vám něco nefunguje na Linuxu, což je zatraceně častý stav, tak to neřešíte reinstalací distra :)

Ohledně reinstalace: předpokládám že když vám něco nefunguje na Linuxu, což je zatraceně častý stav, tak to neřešíte reinstalací distra :)

Máte pravdu. Problémy řeším většinou po dist-upgrade nebo s novým počítačem. To je asi jednou za dva roky a v posledním desetiletí se mi to zdá zatraceně často. Takže reistalace není řešení, je to příčina :-)

Děkuji za odpověď.

Na ssd kde je systém je volných asi 50 GB, na hdd (uvnitř) je něco přes 200 GB.
Je fakt že ten 2 TB disk má taky něco okolo 300 GB volných, ale i tak...
No nic, to asi není až tak důležité.

V disk manageru není nic, jen "RAW" nad diskem.
http://html5.litten.com/images/raw/dm.jpg

Má to pouze 1 partition a jiné windows (7 a 10) na jiných pc s tím problém nemají.

Zkusím něco s těmi oprávněními.
Do teď jsem nevěděl, že win mají system/event log, každý den se něco naučím. :) (i když to je samozřejmě logické, že to má nějaké logování, jen jsem "zaslepen" unixy :) )

Na linuxu mi funguje vše - dokonce i starší TV karta( http://www.evolveo.eu/cz/venus ), která ve win při pokusu o naladění stanic VŽDY shodí celé win. (modrá smrt)
Chápu, že to je problém ovladače, ale na 7 ten ovladač/TV karta funguje.

To mě vlastně ani nijak moc netrápí, stejně v TV skoro nedávají nic co by stálo za nahrání a brzo už snad bude DVB-T2, tak budu pořizovat novou kartu co to umí - někdo nějaké zkušenosti/do­poručení? :)
To jen k tomu "zatraceně častý stav", že něco nefunguje v linuxu... (čímž nechci tvrdit, že takové věci nejsou, jen to, že si s tím většinou umím poradit aby to fungovalo, protože linuxu alespoň trochu rozumím)

V takovém případě jste na disku měl dost místa. Ale zřejmě máte externí disk, který se tváří jako interní, protože nemá nastavený Removable Media Bit. V takovém případě ho Windows můžou použít.
https://msdn.microsoft.com/en-us/library/windows/hardware/dn653578%28v=vs.85%29.aspx
https://msdn.microsoft.com/en-us/library/ff566971(vs.85).aspx

Pokud je disk vidět jako RAW, tak to nebude problém permissions. Nejjednodušší bude vykopírovat z něj data někam jinam (na stroji kde se dá připojit), znovu ho naformátovat na NTFS, zkontrolovat jestli je na dotyčném stroji disk normálně použitelný, a pak tam případně nasypat data zpátky.

Ad mi funguje vše dokonce i starší TV karta - TV ani tuner už cca 10 let nemám, protože televize je pro mě něco jako psací stroj nebo děrné štítky. Takže s tímhle vám neporadím. Akorát vím že podporované produkty Hauppauge mají údajně podporu Win10.
http://www.hauppauge.com/

Víkend je dlouhý, tak kopírování a formát dopadne. :)

Já TV taky používám spíš jako zobrazovací zařízení na hry, nebo něčeho z PC, to jen bylo k tomu porovnání funkční x nefunkční věci v jednotlivých OS.

Zkuste se podívat, zda máte oprávnění k přístupu na ten disk (mělo by stačit si zobrazit vlastnosti té diskové jednotky). Působí to na mě tak, že je vám ta aktualizace Windows asi vzala... to by neměl být problém změnit, pokud máte administrátorský přístup k danému stroji.

Sak ty widle taky nic jinyho nez malware nejsou.

> To je zajímavá možnost a z praxe, ale otázka je, pročpak to ta aktualizace udělala? Připomíná mi to chování vyděračského malware z poslední doby, ta ale nebere práva přístupu k datům, ta data šifruje :D

To by mě také celkem zajímalo (pokud teda jsou problémem ta oprávnění), ale třeba za tím existuje nějaký celkem logický důvod, který neznám. Před pár lety jsem z Debianu odinstalovával svn (apt-get) a totálně to rozbilo celý stroj (pravda, varovalo mě to, že něco není v pořádku). Tyhle věci se stávají občas všude.

Zkusím, díky.

Teď mě tak napadá, že asi nemám stroj, který by mi říkal pane (vlastnil jsem ho, nebo se o něj staral, nebo na něm pracoval) a ke kterému bych neměl admina, to by mě asi dost vytáčelo :)

Secure Boot je úžasná věc zejména pokud důvěřujete Microsoftu a výrobci základní desky a výrobci UEFI.

Pokud jste věřili Microsoftu chápu nyní Vaše zklamání - důvěra byla chybná.

Jinak chápu snahu Microsoftu uživatele ochránit tím, že vymyslím Secure Boot, jelikož modifikace jádra systému bylo to nejčastější co se po napadení systémů od Microsoftu dělo. Byla to nepochybně ta největší bolístka v bezpečnosti a bylo nutné obnovit důvěru ve Windows vymyšlením Secure Boot a pokusit se ho všude prosadit (dokonce i ve spolupráci například s Ubuntu - časem bychom je sice hodili přes palubu..).