Vlákno názorů k článku
Richard Stallman: Secure Boot je katastrofa a měl by být ilegální
od OH - Je to další kamínek do skládačky DRM, a...
-
r23 (neregistrovaný)
Mě to nepříjde špatné, za optimum bych považoval, aby bylo možné měnit klíče na základě nějakého fyzického zásahu, např. přepnutí switche pod baterií. Boot viry už jsem totiž viděl.
Také mě překvapuje, že když něco udělá někdo jiný, třeba HTC, tak nikdo neprotestoval....
Navíc nebude problém se toho zbavit, efi jistě nebude v PROM ale ve flash.... -
mankind_boost (neregistrovaný)
No dobre, dejme tomu, ze by to slo.
Stejne to bude pro linuxovou komunitu hodne spatne (ARM bude majoritni architektura - to je jen otazka casu). Myslite si, ze novacci budou provadet riskantni nebezpecne operace se svym drahym hardware, aby rozjeli pro ne neznamy system? (Nehlede na to, ze si to M$ urcite nejak zapasuje do licence tak, aby to bylo ilegalni) To asi tezko. Muzeme jen doufat, ze jim to EU zatrhne (aspon jednou by mohli vykazovat nejakou pozitivni cinnost ;) -
Lael Ophir (neregistrovaný)
Ale co je to za konspirační nesmysl? Ubuntu a Fedora už mají vymyšlené řešení. Jejich Linux se bude bootovat z image podepsaného od Microsoftu, a digitální podpis je stál "závratných" USD 99. Kdyby se autoři dister dohodli s výrobci, mohli těch USD 99 ušetřit :)
https://lists.ubuntu.com/archives/ubuntu-devel/2012-June/035445.htmlWindows budou samozřejmě bezpečnější, protože podepisují i kernel a drivery. Ale třeba se tam Linux také jednou dostane. Nakonec Mark Shuttleworth z Canonicalu má s digitálním podepisováním bohaté zkušenosti ;)
-
Dusan (neregistrovaný)
Chápem takže budem musieť korporácii prezradiť, že chcem používať niečo iné ako ich operačný systém. Práve tej s ktorou nechcem ma nič, ale absolútne nič spoločné. A platiť zo začiatku len "99" dolárov. Samozrejme keď im to prejde tak si zapýtajú viac. (hovorím o svojom zostavenom boot loadery)
Dúfam vieš, že ma urážaš už len tým že dýchaš.
-
Vy delate jako kdyby to byla prvni zamknuta platforma.
V mainframech vam firmware pokud nemate licenci na z/OS nahraje do procesoru zkurvenej microkod aby tam sice bezel linux, ale ne z/OS. Cracky na to existuji, preflashujete firmware a spoustite si co je libo.
Stejny to bude se secureboot, v nejhorsim si preflashujete BIOS.
-
Lael Ophir (neregistrovaný)
Na takových strojích může běžet prakticky cokoliv. Výrobce může přidat libovolné klíče. Je věcí výrobců OS, aby se s výrobci HW dohodli. Čistě technicky by MS mohl trvat jen na MS klíči. Namísto toho nikomu v ničem nebrání, a dokonce distra Linuxu podepisuje. To je fakt bezmála totalita :)
-
To prece nevyrobil Microsoft. Dokonce ani nenavrhl, protoze na navrh veci, jako mobi Xpixly nemaji lidi. To vse si MS nechal navrhnout a vyrobit a v nekterych pripadech prispel nejakym napadem, jako treba vyklapeci kolecko mysi pro posun do stran, pokud to nekde tise neukradli nebo v lepsim pripade nekoupili.
-
XMen (neregistrovaný)
aleee ahooj. Uz som si myslel, ze mate celozavodne dovolneky.
A teraz k prispevku. Kto rozhodol a preco, ze M$ bude certifikacna autorita a bude poskytovat kluce k HW pre ine OS? Preco tieto distra musia kupovat kluce od M$ a nie od niekoho ineho? Preco toto nezabezpecuje nejaka nezavisla certifikacna autorita nech aj za poplatok?
-
pantaril (neregistrovaný)
Viry nejsou duvod zakazat uzivateli pridavat vlastni klice pokud si to preje. Slo by to udelat napriklad tak, ze klice pujodu pridavat pouze pokud prepnu nejaky jumper na zakladni desce. Jakmile klic pridam, jumper prepnu zase zpatky aby viry dalsi klice pridavat nemohly.
Kompletne zbavit uzivatele moznosti pridavat vlastni klice na platforme ARM je klasicka snaha Microsoftu (a jinych firem, ktere delaji podobna uzavrena reseni) o kontrolu nad uzivatelem a vendor lock-in.
-
mmad (neregistrovaný)
Odpovědí je paradoxně jedno XKCD... http://xkcd.com/129/
Jinými slovy nejde o uživatele (reálně se na něj "kašle", či lépe kouká jako na chodící peněženku k oškubání), ale o velké firmy, tedy hlavně multimediální průmysl, které si chtějí zajistit odbyt platbami "per view". Nic složitějšího v tom není. A M$ zdatně pomáhá. -
Zase v tom mate bramboracku. Vyrobce napriklad telefonu, si vyrobi telefon a do nej si upravi Android a pak si to cele treba zamkne nebo take ne nebo i doda nastroje k odemceni. MS napise OS a pozaduje, aby byl HW uzamcen. Tedy situace presne obracene. Je to, jako by Google po vyrobcich pozadoval, aby zarizeni pro Android byla uzamcena, coz nepozaduje.
-
hd (neregistrovaný)
Je otázka kolik je takových virů co dnes napadají jádro či bootloader. Já se dosud na počítačích co mám pod správou s žádným nesetkal. Což neznamená, že jich není hodně.
Mimochodem, secureboot přece není nástroj k tomu, aby Vás tento virus nenapdal. Secureboot jenom zajistí, že až se tak stane, tak již nenabootujete.
Takže proč se MS nesnažil vytvořit nástroj, který by zabránil takovému napadení?
-
Lael Ophir (neregistrovaný)
Až těch virů bude hodně, tak bude trochu pozdě, nemyslíte?
Neexistuje nástroj, který by takovému napadení zabránil. Všechny SW mají chyby, a jakmile se nějaký malware dostane k neomezenému přístupu na disk, může virtualizovat OS před startem. Takový malware pak nelze detekovat ani odstranit. Jak tohle řešíte na Linuxu? Prostě doufáte, že se nic takového nestane, i když jsou distra z bezpečnosntího hlediska děravá jako řešeto?
-
Sten (neregistrovaný)
Otázka je, jestli vůbec Secure Boot problémy boot virů řeší. Podle mě totiž nemůže fungovat, protože stále jde celkem snadno obejít, třeba když se boot virus spustí jako aplikace s právy SYSTEM spuštěná z velmi osekaných Windows spustí uživatelovy Windows virtualizované anebo jednoduše použije podepsaný zavaděč, který získalo Ubuntu. A druhá otázka je, jestli je vůbec potřeba boot viry řešit, když jsou už poměrně dlouho na pokraji vymření a nic nenasvědčuje tomu, že by se to mělo změnit.
-
Trident (neregistrovaný)
V zakladu proste bezime pod kontextem usera ci pripadne pouzivame dalsi vrstvu jako selinux,hypervizot a opravujeme diry. Normalni user space aplikace dostane primy zapis do pameti/disku jen dirou.
Rici ze jsou distra derava jak reseto je teda primo od tebe gol;)Mimochodem u ARM architektury mas vetsinou regiony flash pameti primo v cipu, ktere jsou zamknutelne pro zapis. Takze jediny mozny zpusob zapisu je jen pres jtag. To ti zajisti aby minimalne bootloader byl neprepsatelny z os. Bootloader muze jen overovat ulozeny checksum pro kernel nebo zbytek os, ktery se da ulozit do z regionu pameti jez je pristupny jen bootloaderem. Opet jsou zpusoby jak to udelat i u levnych armek.
Nepotrebujeme zadne debilni klice!
ČLÁNKY DO MAILU