Hlavní navigace

Vlákno názorů ke zprávičce Německá vláda údajně varuje své podřízené instituce před používáním Windows 8 od Libor Chocholaty - Mohl by někdo, kdo vládně němčinou a přelouskal...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 29. 8. 2013 13:11

    exo

    Pokud začnete blíže pátrat, dopátráte se zde:

    http://www.zeit.de/digital/datenschutz/2013-08/einstweilige-verfuegung-microsoft

    Microsoft získal dočasný soudní příkaz proti kterému jsme se rozhodli bránit právně. Až do rozhodnutí soudu Zeit ONLINE nesmí tuto položku dále šířit.

  • 29. 8. 2013 13:28

    Big Hardy (neregistrovaný)

    Jednoduší by bylo zprávičku úplně stáhnout a napsat novou, i když jen ze zdrojů jedna paní povídala. V každém případě TPM 2.0 poskytuje rozšířené bezpečnostní funkce a na rozdíl od TPM 1.2 nelze řídit jednotlivé stavy, tento čip jde myslím většinou i vyřadit úplně z provozu - pomocí BIOSu (pokud můžete potvrďte).

  • 29. 8. 2013 15:52

    Big Hardy (neregistrovaný)

    Tady je odkaz na jednoduchoučký článek na Živě (SK), který to podstatné sděluje.

    http://www.zive.sk/windows-8-ma-vraj-zadne-dvierka/sc-3-a-311480/default.aspx

    P.S.
    Živě. To jsou věci, není na čase změnit server?

  • 31. 8. 2013 22:42

    Lael Ophir (neregistrovaný)

    On je nějaký problém se SecureBoot zabootovat z instalačního média Windows, a přejít na command line? A tam si případně spustit jakékoliv utility které uznáte za vhodné?

  • 1. 9. 2013 9:32

    Big Hardy (neregistrovaný)

    Hele já Windows 8 nemám ani je neznám a nemohu tedy potvrdit zda existuje WinRE prostředí nebo ne.

    Osobně nejsem ani proti TPM a podobným čipům. Za určitých podmínek HW a SW. Uživatel má volbu HW vyřadit z provozu; uživatel má možnost alespoň částečné správy, podstatných věcí, pomocí OS; uživateli je přesně známo jak OS s TPM pracuje a jak provádí správu pro ostatní SW; činost vlastního OS není na TPM závislá. Dnes například spousta notebooku už nemá vůbec jak přehrát CD/DVD, která běžně některý SW používá k ověření své originality.

    Jen tak pro úplnost, nemám důvod mít ani cokoli proti nové generaci Windows. Snad až na to, že tvůrcem je Microsoft, což je pro mne dnes nedůvěryhodná firma. Dokud určité kvantum lidí s různou důvěrou nepotvrdí, že vše funguje tak a tak nic se nezmění (technicky to dříve jak do 3 let zřejmě nemůže nastat, tak moc si to MS posral). Microsoft je ohledně fungování OS až příliš tajemný, a ty víš že zrovna já čtu i zdroje z Microsoftu, které běžný uživatel nestuduje. Ale kolik mi toho unikne, protože to cíleně nevyhledám, o tom že mne tahle investigativní činost unavuje nemluvě.
    To vše jsou přitom informace, který má vědět každý uživatel, každého SW, v hrubých, ale zásadních rysech, už v základu. Pokud pak narazí na nesrovnalost o to více by měl zbystřit a mít důvod firmě která OS vytvoří nedůvěřovat. V tomto se OS od ostatního SW neliší, naopak je třeba mít mnohem přísnější kritéria.

    **
    Laele. Kdyb jsi ten článek alespoň zhruba shlédl a nezačal vždy hned hýkat jako jedno čtyřnohé zvíře, nebo ještě jiné létající potrefené zvíře,... tak by ses dozvěděl, že někteří lidé popisují problémy, o kterých se domnívají že souvisí s implementací OEM dodavatelů zařízení a OS. Opravdu myslíš, že si všichni lidé různě po fórech neustále vymýšlí, nebo že mají všichni úroveň lidí čtoucích iDnes a Živě?
    Jiné problémy, ale z podobných důvodů, byly i u Windows Vista a Windows 7. Pokud má Windows 8 opravdu výrazně omezené možnosti, zejména pokud nelze vyřadit Secure Boot (Je vůbec možné aby uživatel neměl plnou moc nad bootem?) z provozu a použít vlastní záchraný/opravný systém, věřím že problém s takovým počítačem může být opravdu peklo na zemi.

    Nepracuješ pro MS? Ti také nevidí na levo, na pravo, názory lidí, dokonce ani jejich zkušenost je nezajímá.
    V minulosti jsem ti říkal, že byl uživatel který nebyl schopen zprovoznit na Windows 8 funkčnost TPM spolu s heslem. Na Windows 7 to přitom běžně používal. Možná také zásah OEM, u starších systémů běžně blokovali i přepínání uživatelů, o tvorbě WinRE média nemluvě (to neumožňovalo jistě více jak 50% z nich).

  • 1. 9. 2013 19:13

    Lael Ophir (neregistrovaný)

    No já Windows 8 mám, takže vím, že lze prostě zabootovat z instalačního média a jít na command prompt.

    Povyk okolo TPM mi připomíná podobné příhody s Vistou a Protected Media Path. Jistě jste tehdy také četl spoustu nesmyslů o tom jak to zpomalí PC, jak chirurgům budou mizet během operace RTG snímky apod. Nic z toho nebyla pravda.
    http://en.wikipedia.org/wiki/Protected_Media_Path

    Secure Boot má zajistit, aby malware nemohl provést virtualizaci OS ještě před jeho startem. Pokud se před chceme chránit před takovým z OS nezjistitelným a neodstranitelným malwarem, osobně k Secure Boot nevidím alternativu. Na Linuxu je to samozřejmě celkem jedno, protože ho na desktopu používá minimum lidí, a tedy existuje i minimum malwaru.

  • 1. 9. 2013 21:23

    Big Hardy (neregistrovaný)

    To s těmi zvířaty... Nechtěl jsem tě urazit, prostě jsem se rozohnil a pěkně to znělo. Promiň.

    K problematice:

    - Osobně si dokáži představit náhradu Secure Boot, nad kterou má uživatel plnou kontrolu. Myslím, že by mne napadlo hned několik odlišných mechanismů.
    - Uvědom si, že OEM nedodává zpravidla žádné instalační médium. Dále mnohdy blokuje tvorbu zaváděcího záchranného média (WinPE+WinRE). Zpravidla počítač vybaví svým systémem obnovy umístěným spolu s prapůvodní verzí WinRE na nějaké verzi WinPE (klidně nekompatibilní se systémem stínových kopí aktuálně instalovaných Windows). Tohle vše, zpravidla vše naráz, se běžně dělo u Windows Vista i Windows 7. U Home Edicí.
    - Dnes si uživatel Secure Boot může vypnout. Ale pokud vývoj půjde dál, tak jak jsem pochopil že to je naplánováno, po roce 2015 to už na běžných počítačích nebude možné. Rozhodně ne na žádných značkových počítačích. Pokud jsem to pochopil špatně, tak mne klidně opravte, ale dejte mi alespoň nějaký odkaz na podrobnosti ohledně toho jak to tedy bude.
    Jsem zvědavý, jak budou návštěvníci tohoto serveru řešit dual-boot, pokud jejich oblíbená distribuce nepožádá MS o vydání certifikátu. Tohle je tak základní věc, že prostě musí zůstat plně pod kontrolou uživatele co může na systému (HW) běžet a v jaké kombinaci.
    Jestli tohle Microsoft, ale ještě více tvůrci HW, nepochopí tak brzy zjistí, že uživatelé PC se rozdělili přinejmenším do dvou táborů. Ty co budou mít počítač pod kontrolou a ty co to nechají na výrobcích HW a SW. V každém případě PC není v tomto srovnatelný s mobilním mini zařízením (čtečka, chytrý telefon, tablet), nebo herní konzolí.

  • 2. 9. 2013 1:48

    Lael Ophir (neregistrovaný)

    - Zkuste ty mechanismy popsat. Nejspíš budou mít při troše zamyšlení zásadní problémy.
    - OEM dodává buď DVD (někde si za něj musíte připlatit), nebo možnost médium vytvořit. Ve Windows je na to přímo aplikace, a například Lenovo nabízí vytvoření médií v nějakém svém nástroji. Nikdy jsem neviděl vytváření instalačních médií blokovat - ale přiznávám, že všechny moje počítače byly Dell nebo Lenovo. BTW když provedete boot z recovery partition uložené na disku, samozřejmě také můžete na command line.
    - Windows 8 a 8.1 nevyžadují Secure Boot. Pokud chce výrobce certifikaci, tak systém musí podporovat Secure Boot a musí být dodaný se Secure Boot v zapnutém stavu. U x86(-64) systémů musí být možnost Secure Boot vypnout v nastavení firmwaru. U ARMu nesmí být možnost Secure Boot vypnout.
    http://technet.microsoft.com/en-us/library/hh824987.aspx
    http://msdn.microsoft.com/en-us/windows/jj128256 (Enable/Disable Secure Boot)

    Uživatelé Linuxu by se Secure Boot neměli mít problém. Minimálně Ubuntu, Fedora a OpenSuse mají bootloader podepsaný od MS, bootloader kontroluje digitální podpis nataženého kernelu, a minimálně Fedora by měla kontrolovat i podpisy zaváděných modulů. Funguje to velmi podobně jako ve Windows. Samozřejmě autoři dister mohou také podepisovat svým klíčem, a ten nechat výrobce přidat do UEFI - pokud by byli schopni synchronizované akce a smysluplné komunikace s výrobci, což se ovšem zdá nemožné. Pak také Linux Foudation píše (a údajně už má hotový) boot loader, který podpisy kernelu proti listu dodanému uživatelem. No a nakonec můžete Secure Boot úplně vypnout - a vystavovat se tak riziku, že vám nějaký malware virtualizuje OS ještě před jeho startem.
    http://www.techradar.com/news/software/operating-systems/what-microsoft-s-secure-boot-means-for-the-future-of-linux-1160157
    http://www.linuxfoundation.org/publications/making-uefi-secure-boot-work-with-open-platforms

    Takže kde konkrétně vidíte problém? Podle mě je to zase bouře ve sklenici vody. Platforma PC udělala pokrok v oblasti bezpečnosti, pár týpků s tučňákem na tričku mělo veliký problém napsat pár řádek kódu do bootloaderu, a raději začali šířit FUD. Kdyby místo toho třeba Linux Foundation zavedla podepisování kernelu jedním klíčem, mohl ten klíč být v každém UEFI firmwaru.

  • 2. 9. 2013 10:22

    Big Hardy (neregistrovaný)

    Diskuse nemá zjevně smysl.

    Jen pro úplnost. Nevím čemu říkáš tvorba "instalačních médií" a že je to funkce Windows, jak píšeš "ve Windows je na to přímo aplikace".

    Ne, že by byl nějak zásadní problém vytvořit instalační DVD médium, pokud máš na disku alespoň minimální část souborů k tomu potřebnou. Ale přinejmenším ve Windows Vista/7 taková funkce neexistuje. Neznamená to ale, že ji nemohl poskytnout výrobce počítače, například nad instalačním adresářem uloženým na HDD počítače. Pokud mu to tedy licenční politika Microsoftu nezakazuje.

    Pokud máš na mysli funkci/aplikaci "Recovery Disc" (recdisc.exe), ve svém minulém příspěvku jsem ji nevhodně pojmenoval, tak věz že jde jen o tvorbu WinPE+WinRE prostředí (obdoba toho na instalačním médiu s Windows). Tato funkce byla do systémů Windows přidána pravděpodobně kvůli OEM výrobcům, kteří právě neposkytují svým zákazníkům plnohodnotná instalační média se systémem Windows. To že je tahle funkce/aplikace ve značné části OEM počítačů s Windows Vista a 7 nefunkční je fakt, jehož přesnou příčinu neznám. Buďto to záměrně podělali OEM, nebo jim MS záměrně poskytl upravený systém. Čas od času to ještě řeší někdo na Answers, ale je to stará záležitost a kdo potřebuje tak to může "opravit". Windows 8/8.1 neznám.

    Co se TPM i SecureBoot týká, je možné že vůbec nedokážeš pochopit podstatu a potřeby některých lidí.
    Přehrání FirmWare pro dosažení jen sprostého nepoužívání jakésy funkce hned při startu systému, to zní opravdu úžasně.
    Ani pak nebudeš moci určit co smí začít bootovat a co ne. Nebudeš moci systému říci, že hrě Tamagoči umožňuješ uložit si do TPM identifikátor nebo certifikát, který bude identifikovat zakoupenou licenci, ale že jinak nemá k žádným dalším datům přístup a že systém tato data také nebude nijak zpracovávat.
    Tohle je ovšem debata, který měla běžet ještě před vývojem nových Windows a návrhem HW pro ně optimálním. To co MS vytvořil se zdá pro mne dnes nepřijatelné. A to nemluvím o tom, že tohle vše se uživatel normální cestou, natož ještě před koupí celého počítače, nebo i jen SW Windows, nedozví.

    Suma sumárum. Pokud to nebude dělat co je deklarováno a pokud takovýto systém Windows nepůjde hacknout, tak u mne nemá nejmenší šanci. Zřejmě tu šanci nedostane ani tak, ale zatím se tím nehodlám pár let zabývat.

  • 2. 9. 2013 14:46

    Lael Ophir (neregistrovaný)

    Upřesním. Recovery media umí vytvořit přímo Windows. Pokud to na nějakých systémech nejde, asi výrobce něco podělal. Instalační média dostanete buď na DVD, nebo si je vytvoříte pomocí OEM utility z instalaček nahraných výrobcem na HDD. Funguje to takhle minimálně od WinXP dále.

    Potřebou většiny lidí je bootovat opravdu OS který chtějí používat, a na malware, který ten OS virtualizuje ještě před jeho startem. Pokud je potřebou jiných lidí nebootovat za žádnou cenu pomocí Secure Boot, tak si ho (na x86) prostě vypnou v nastavení BIOSu (resp. EFI). Žádné přehrání firmware v tom nefiguruje. A jak jsem psal, uživatelé Linuxu mají hned několik možností, jak fungovat i se Secure Boot (včetně možnosti Secure Boot prostě vypnout).

    Hra Tamagoči si těžko bude ukládat něco do TPM, když je úložná kapacita omezená by default na 20 klíčů. Naopak takové SW šifrování disku si tam samozřejmě klíč uloží, protože ukládat šifrovací klíč na šifrovaném disku je pitomost.

  • 1. 9. 2013 19:15

    Lael Ophir (neregistrovaný)

    Pokud někomu nejde zprovoznit BitLocker s TPM+heslem, může za tím být řada příčin, včetně problému s BIOSem. Je to ale podporovaná konfigurace.