Vlákno názorů k článku
Microsoftu unikl zlatý klíč od Secure Bootu
od Kamil Zmeškal - Jaká je souvislost mezi uniknutím toho klíče a...
-
Jaká je souvislost mezi uniknutím toho klíče a tím, že SecureBoot nemusí jít v budoucnu vypnout? Uvedené spojení v textu chápu tak, že uniknutí klíčů pravděpodobně to vypnutí znemožní, což mi připadá, že je přesně opačně.
Je mi jasné, že na tomto serveru s tímto názorem nemám šanci :-), nicméně já rád nejsem. Pokud si Microsoft chtěl nějaká svá zařízení uzamknout (Hololens), je to jeho věc. SecureBoot chápu jako rozumnou ochranu běžných uživatelů, kterých je drtivá většina a proto jsem to ochoten tolerovat.
-
Lael Ophir (neregistrovaný)
Jak nepůjde vypnout? To záleží na výrobci HW. MS pouze říká, že pro Win10 certifikaci musí PC umět Secure Boot. Jestli ho výrobce umožní vypnout, to je čistě na něm.
Navíc i když na konkrétním HW nejde Secure Boot vypnout, tak na něm umí běžet řada dister Linuxu včetně Fedory, openSUSE a Ubuntu.
-
IDK (neregistrovaný)
Bezni uzivatele budou predevsim cucet jako pera z gauce, az zjisti, ze:
a) existuje Secure Boot
b) na nekterych strojich nejde vypnout
c) jeden takovy maji, protoze a) ani b) jim nebylo znamo, kdyz si jej kupovali
d) nacpali si do nej Dulezita Data, Ktera Nejsou Nikde Jinde
e) a ta mrcha ted nebootuje
f) ale nastesti existuje cela rada uzasnych nastroju
g) ktere ovsem take nebootuji, protoze a) & b)A obecne ta predstava, ze secure boot, krom toho, ze pouzivat legitimnim zpusobem a uzivatelem dany stroje muze byt vetsi, pripadne maximalni otrava, neco zabezpecuje, zejmena pak beznym uzivatelum ty jejich zablesene mrdky, kde jim smejdi kde kdo, od Microsoftu pres Zuckerberga az po posledniho basltice ransomwaru, je dost zabavna.
-
Lael Ophir (neregistrovaný)
Co takovému uživateli brání zabootovat z instalačního média Windows, vlézt na konzoli nebo spustit nějaký file manager, a data vykopírovat na externí médium? Plus je tu samozřejmě možnost instalaci opravit, což instalační médium nabízí jako jednu z možností. Plus mají Windows Safe Mode, takže když něco nakopnete, můžete zabootovat do Safe Mode a opravit to, například návratem na předchozí Restore Point.
Ad predstava, ze secure boot... neco zabezpecuje... je dost zabavna - Secure Boot má chránit před boot kity, které například virtualizují OS ještě před jeho startem, a v principu je nelze z běžícího OS odstranit. Zábavné je spíš srovnávat takový problém se "šmejděním" Facebooku, kterému ve skutečnosti uživatelé cpou svá osobní data zcela dobrovolně.
-
Mrkva. (neregistrovaný)
> Co takovému uživateli brání zabootovat z instalačního média Windows, vlézt na konzoli nebo spustit nějaký file manager, a data vykopírovat na externí médium? Plus je tu samozřejmě možnost instalaci opravit, což instalační médium nabízí jako jednu z možností. Plus mají Windows Safe Mode, takže když něco nakopnete, můžete zabootovat do Safe Mode a opravit to, například návratem na předchozí Restore Point.
Jasne, protoze data ktera nezvladne zachranit instalacka windows nezachani ani specializovany nastroj typu testdisk.
-
IDK (neregistrovaný)
Zabrani mu v tom totez, co ho do toho srabu puvodne dostalo: jeho vlastni hloupost a Microsoft, ale pro mne za mne, celkem dobra sukces story, libil se mi hlavne ten bod s beznym uzivatelem zachranujicim data z konzole (jinak tez znamne jako "takovytocerny"), ze ktere dostava koprivku i clovek, co s ni umi zachazet, a pak ten happy end s restorem, to bylo jak z prezentace v PowerPointu. 8/10.
Ovsem, ze je to zabavne; ze vsech zcela realnych problemu Microsoft jakoze resi ten, ktery nikdo nema.
-
Lael Ophir (neregistrovaný)
Happy end byl se System Restore, který automaticky pořizuje Restore Points například při instalaci nového SW. Můžete pak zabootovat s Safe Mode nebo z instalačního média, a vrátit stav systému do dřívějšího stavu.
Uživatel může použít instalační médium, které má nějaké nástroje samo o sobě. Nebo z něj může pustit další nástroje. A nebo může vytvořit médium s Windows PE (tedy prakticky instalačka bez instalačních médií), a tam natahat libovolné nástroje. Hledáte problém kde není.
Ad je to zabavne; ze vsech zcela realnych problemu Microsoft jakoze resi ten, ktery nikdo nemá - co když příští malware bude instalovat boot kit, který z běžícího OS v principu nelze detekovat ani odstranit? Až takový problém nastane, bude trochu pozdě ho řešit.
Mimochodem pokud je podle vás Secure Boot zbytečný, tak nevím proč vůbec řešit, že je toho času rozbitý. Vždyť je to přece zbytečnost :)
-
IDK (neregistrovaný)
Nebo muze pouzit nejake linuxove live CD/USB, kde ty nastroje uz ma. Aha, tak nemuze.
Podle mne takovy pripad nenastane, ne proto, ze je secure boot, ale proto, ze nikdo nema zapotrebi patlat se s boot kitem. Je to porad dokola to same, 90% uzivatelu nedokaze detekovat a odstranit ani malware, ktery jim proste spusti task scheduler po startu (i kdyz mam takovy dojem, ze vyhazet ulohy ze scheduleru nejde ani v safe modu, protoze, ha ha, v safe modu to klikatko nefunguje, takze ono to reseni zas tak trivialni neni).
Pokud takovy velmi nepravdepodobny pripad nastane, tak:
a) ve svete bez secure bootu bude alepson k dispozici zminene linuxove CD/USB
b) ve svete se secure bootem se zasmejeme jemne ironii, ze nam prave nabootoval podepsany boot kit, a pujdeme hledat instalacni mediumProtoze resi problem, ktery nikdo nema, tim, ze prekazi v reseni problemu, ktere realne jsou.
-
Lael Ophir (neregistrovaný)
Ad Nebo muze pouzit nejake linuxove live CD/USB, kde ty nastroje uz ma. Aha, tak nemůže - pokud to distro umí Secure Boot, tak může. A pokud jsem si všimnul, tak minimálně Fedora, openSUSE a Ubuntu Secure Boot umí.
Ad takovy pripad nenastane, ne proto, ze je secure boot, ale proto, ze nikdo nema zapotrebi patlat se s boot kitem - aha. Akorát že už před rokem byl nalezen malware, který infikuje firmware HDD, takže vydrží i přeformátování disku. Proč záškodníci takové věci dělají, když by jim mělo stačit, že se tupí uživatelé nachytají na rozesílání malwaru a linků na něj? Odpovím si sám: protože infekce běžným malwarem lze snadno odstranit antivirem, kdežto boot kity se dají ukrýt tak, že je z běžícího systému z principu nemůžete detekovat ani odstranit.
https://en.wikipedia.org/wiki/Firmware#HDD_firmware_hacks
https://cdn1.vox-cdn.com/uploads/chorus_asset/file/3415904/Equation_group_questions_and_answers.0.pdf -
IDK (neregistrovaný)
Zaskodnici z NSA to delaji patrne proto, ze planuji tento malware nasadit proti cilum, u kterych nelze predpokladat, ze jim k nim napr. MS nebo vyrobci AV otevrou vratka, kdyz o to slusne pozadaji (z rady ruznych duvodu, mimo jine take proto, ze cilem muze byt prave MS, vyrobci AV nebo HDD).
Jinymi slovy receno, opet jde o hrozbu, kterou se bezni uzivatele nemusi vzrusovat, a mimochodem secure boot jim nebude nic platny. -
Lael Ophir (neregistrovaný)
Otázkou je o koho se ve skutečnosti jedná. Navíc nemyslím že by výrobci SW byli tak šílení, aby někomu otevírali backdoor.
Secure Boot v daném případě zajistí že nebude podvržen infikovaný boot loader, kernel nebo drivery. Uživatele to dnes opravdu vzrušovat nemusí, ale zítra mohou být tímhle způsobem nakaženy desítky procesy strojů. Chápu že když někdo nakazí desítky procent linuxových desktopů, tak se nic neděje, a všech pět uživatelů nabootuje Windows z dual bootu :). V případě Windows by ale šlo o trochu vážnější problém.
-
Lael Ophir (neregistrovaný)
Aha. Kdežto kdyby neměl Secure Boot a měl tedy možnost zabootovat z nějakého media rescue tools, které by neměl, tak by byla situace o hodně lepší :). V obou případech si to médium holt musí sehnat. Macha a Šebestová by vám asi řekli, že bez bootovacího media se blbě bootuje.
-
Sten (neregistrovaný)
Spojitost je taková, že pokud by nebyla zařízení, kde nejde SecureBoot vypnout, tak by k téhle chybě vůbec nedošlo.
A teď jak k té chybě došlo: na některých zařízeních nejde SecureBoot vypnout. To znamená, že všechny ovladače musí být podepsané MS. Protože to ale dost znesnadňuje vývoj, vytvořil MS backdoor pro vývojáře, pomocí kterého mohou získat obecný podpis od MS, jenž jim umožní na specifikovaných zařízeních SecureBoot obejít a zavést ovladače i bez podpisu („zlatý klíč“). Jenže v tom backdooru zapomněli na kontrolu, jestli se ten podpis používá opravdu jen na zařízeních, pro která byl vydán, takže jde použít na kterémkoliv zařízení.
-
Martin Dráb (neregistrovaný)
> A teď jak k té chybě došlo: na některých zařízeních nejde SecureBoot vypnout. To znamená, že všechny ovladače musí být podepsané MS
Pokud vím, tohle se (bohužel) zavádí až od WIndows 10 Anniversary update. A pořád zřejmě ještě budou fungovat ovladače podepsané v nedávné době (asi než vyprší certifikáty). Před AU a na starších Windows (64bit zejména) se pořád i běžný smrtelník dostane k certifikátu, kterým může podepsat ovladač, aby jej Windows považoval za důvěryhodný (ale není to úplně zadarmo a je tam jistá míra ověření identity).
Jsou tam ještě nějaké výjimky (pokud např. chcete psát anti-malware, který potřebuje zkoumat ovladače zaváděné hned na počátku bootu). Ale "běžného" psaní ovladačů se toto netýká.
Ale doufám, že tady MS trošku sníží své nároky, protože tím dost likviduje "hobby" vývojaře (v zásadě je celý ten proces podpisu orientovaný hlavně na ovladače HW (včetně toho virtuálního)).
-
Lael Ophir (neregistrovaný)
Drivery psané pomocí User-Mode Driver Framework nevyžadují podpis driveru. Kernelové drivery na 64-bitových Windows naopak musí být podepsané, a to platí už minimálně od Visty. Takže když si napíšete vlastní driver pro RAID controller který se zavádí při bootu, musíte driver podepsat.
