Дмитрий Олексюк в процессе изучения (http://blog.cr4.sh/2016/06/exploring-and-exploiting-lenovo.h... прошивки ноутбука Lenovo ThinkPad T450s выявил серьёзную уязвимость (https://github.com/Cr4sh/ThinkPwn) в реализации UEFI, позволяющую выполнить код в режиме SMM (https://ru.wikipedia.org/wiki/System_Management_Mode) (System Management Mode), более приоритетном, чем режим гипервизора и нулевое кольцо защиты, и имеющим неограниченный доступ ко всей системной памяти. Выполнение кода в режиме SMM позволяет отключить блокировку записи в Flash и модифицировать прошивку для отключения проверки Secure Boot или обхода ограничений гипервизора.Изначально проблема появилась в эталонном коде прошивки для восьмой серии чипсета Intel, после чего была перенесена в прошивки Lenovo и других производителей. При этом в оригинальных прошивках Intel проблема была устранена ещё в 2014 году. Кроме Lenovo проблема уже подтверждена в ноутбуках HP Pavilion и материнских платах Gigabyte. По данным (https://support.lenovo.com/ru/en/solutions/LEN-8324) компании Lenovo уязвимая прошивка была разработана одним их трёх крупнейших производителей BIOS (имя поставщика не называется).
Рабочий прототип эксплоита подготовлен (https://github.com/Cr4sh/ThinkPwn) для UEFI-драйвера SystemSmmRuntimeRt и работает на всех сериях ноутбуков Lenovo ThinkPad, начиная с X220. Эксплоит оформлен в виде приложения UEFI, запускаемого из UEFI shell, но не исключается возможность создания эксплоитов, выполняемых из окружения операционной системы (для запуска требуются права администратора), для чего достаточно добавить в эксплоит реализацию функции EFI_BASE_PROTOCOL.Communicate(). Обновления прошивок с устранением уязвимости пока не выпущены.URL: http://blog.cr4.sh/2016/06/exploring-and-exploiting-lenovo.html
Новость: http://www.opennet.ru/opennews/art.shtml?num=44740
С самого начала было ясно, UEFI - это для монополизации M$, а не для защиты от руткитов.
И вообще, пора бы уже уяснить, что M$ и защита - слова не совместимы в одном предложении.
go to hell
Вообще-то он прав
Вообще-то он не отличает SecureBoot от UEFi, судя по всему. В данном случае, проблема не в SecureBoot вообще, это раз.Во-вторых, SecureBoot — единственная нормальная защита от вредоносных OROMов и загрузчиков, и без него на любой системе можно загрузить UEFI Shell и натворить кучу неприятных дел.
Вместо распространения вестей о том, что SecureBoot — это злодейское изобретение MS для ограничения свободы пользователя, нужно распространять знания о том, как им пользоваться правильно, как сгенерировать свои собственные PK и KEK, как удалить предустановленные, как подписать собственный загручик и так далее.http://habrahabr.ru/post/273497/
Но некоторые комментаторы предпочитают сидеть с голой задницей, ожидая, пока их туда поимеет злоумышленник, вместо того, чтобы удалить ключи MS, которой они не доверяют, и использовать инструмент защиты для обеспечения, собственно, своей защиты.
Во-первых, массовый авральный переход с BIOS на UEFI был таким массовым и таким авральным ровно потому, что M$ нужно было поскорее пропихнуть зонд SecureBoot.
Во-вторых, сколько вы знаете зловредов, от которых этот самый SecureBoot реально кого-то защитил? И сколько случаев заражения у тех, кто его отключил?
Это вам MS сказал? Или очередные байки от бабушки из сквера?
Не пробовали лечиться от паранойи и искать во всем шаги MS?
Во-первых, старые бивусы были намного слабее защищены и зачастую имели всякие дыры или даже бэкдоры. "Во-вторых" не будет, читайте статьи юзера CodeRush на хабре (это человек, который пишет эти ваши UEFI), а также комментарии к ним, оттуда можно узнать немало. До их прочтения я так же кукарекал в комментариях опеннета о том, что UEFI и/или Secure Boot нинужно и "опять M$".
он тебе и сказал про уефи, а не секуре бут, а ты начал выдумывать
Текст новости говорит нам, что секур бут вполне себе отключается прям из операционки.И о какой такой распрекрасной защите далее идет речь?
> удалить ключи MSЭто не везде можно
>> удалить ключи MS
> Это не везде можноМожет тебе еще и интеловские ключи и bootguard удалть, дооо?
> Во-вторых, SecureBoot — единственная нормальная защита от вредоносных OROMов и загрузчиков,А их, в свою очередь, было так много, что аж не продохнуть!
И только изобретение сикурбута позволило переломить ситуацию! Только благодаря оному теперь всякие equation group-ы расформировались, вирусописатели все локти себе искусали а ботнеты уменьшились в разы и держаться только на редких допотопных железках!> Вместо распространения вестей о том, что SecureBoot — это злодейское изобретение
> MS для ограничения свободы пользователя, нужно распространять знания о том, как
> им пользоваться правильно, как сгенерировать свои собственные PK и KEK, как
> удалить предустановленные, как подписать собственный загручик и так далее.
> http://habrahabr.ru/post/273497/Угу, МСшники совершенно случайно создали этот эталон дружественного интерфейса — специально, чтобы любая домохозяка могла заменить PK и КЕК!
> Но некоторые комментаторы предпочитают сидеть с голой задницей, ожидая, пока их туда
> поимеет злоумышленник, вместо того, чтобы удалить ключи MS, которой они не
> доверяют, и использовать инструмент защиты для обеспечения, собственно, своей защиты.О, и правда, что же мы делали до этого гениального изобретения???
Неужели сидели с голой попой, ведь собрать тот же "свой" загрузчик на сидюке, который бы тупо проверял первые X (==размер /boot) МБ на харде слишком сложно!
[i]без него на любой системе можно загрузить UEFI Shell[/i] - бред x86 адепта.
Ну а как же, вы везде только и видите повод покукарекать про ненавистный фашистский мысы. Это патология.
> Ну а как же, вы везде только и видите повод покукарекать про
> ненавистный фашистский мысы. Это патология.И что ви таки тогда делаете на этом ресурсе для маргиналов? Неужели у вас от осознания, что кто-то где-то в уголках интернета не прав^W^W может не благотворить МС, так раскаляется табуретка?
клоун: Кстати, об этом. Горит одно место, поэтому ищу смазку. Если кто знает где купить GM 12371287 дешевле, чем за 500 руб., не жлобите, расскажите, пожалуйста.
> Ну а как же, вы везде только и видите повод покукарекать про
> ненавистный фашистский мысы. Это патология.Патология это когда тебя фашистят, а ты еще подхалимствуешь за свой счет.
> M$ и защита - слова не совместимы в одном предложенииНу, почему же. Например, "свободным проектам необходима защита от M$" ;)
причем UEFI и MS? в голове перекликнуло..
fat32 в стандарте покажет причем тут уефи и мс.
> fat32 в стандарте покажет причем тут уефи и мс.Они авторы "стандарта", они написали его под себя.
Они "держат ключи" от этого нового Эпрекрасного" мира.
Они рассказывают всем, как распрекрасно в стендарт _не_ заложен их монополизм, но создали создали (продолжили!) кортельные взаимоотношения с производителями биосов, матерей, нотбуков и _за сценой_ прибивают гвоздями, чтобы замена ключей была либо невозможна, либо приносила уродам-покупателям страдания.
Бузинесс эз южуял. Нераскаявшийся, не то что не отсидевший!, монополист продолжает "работать" по заветам Билла.
Да, мс при чём.
Вы путаете UEFI и Secure Boot.
> Вы путаете UEFI и Secure Boot.Ога-ога. А ещё, оное "необязательная" же часть, да-а?? Майкрософт же _всем_ _так_ _прямо_ и говорит?! //перечитвыать про сговор(!=стандарт и !=благо-пиаро-лепет) до просветления
> Ога-ога. А ещё, оное "необязательная" же часть, да-а?? Майкрософт же _всем_ _так_
> _прямо_ и говорит?! //перечитвыать про сговор(!=стандарт и !=благо-пиаро-лепет) до просветленияНе знаю почему, но у меня как минимум на трех машинах первое (UEFI) работает без второго (Secure Boot). Магия какая-то, не иначе
>> Ога-ога. А ещё, оное "необязательная" же часть, да-а?? Майкрософт же _всем_ _так_
>> _прямо_ и говорит?! //перечитвыать про сговор(!=стандарт и !=благо-пиаро-лепет) до просветления
> Не знаю почему, но у меня как минимум на трех машинах первое
> (UEFI) работает без второго (Secure Boot). Магия какая-то, не иначеIntel developed the original Extensible Firmware Interface (EFI) specification. Some of the EFI's practices and data formats mirror those from Microsoft Windows.[5][6] In 2005, UEFI deprecated EFI 1.10 (the final release of EFI). The Unified EFI Forum is the industry body that manages the UEFI specification.
просвещайся
> Не знаю почему, но у меня как минимум на трех машинахВидишь ли, чувачок, этого мало, чтобы доказать, что Майкрософт не лжёт.
дурашка. я понимаю что тебе лучше верить в теорию заговора, но это пройдет..
и тебя вылечат.
Во фразе "писали строго под себя" ничто не указывает на теорию заговора. Но и так прекрасно понятно, почему остальным приходится прогибаться и там уж совсем рукой подать до понимания, что это нравится не всем.
Доказывать утверждение (сговор MS, существование рептилоидов и т.д.) - обязанность тех, кто утверждает, в противном случае цена этому утверждению - ноль, а делающий подобные бездоказательные заявления - обычный балабол. Т.е. вариант "я сказал, что бог есть, а вот ты докажи обратное" тут не прокатит
> Доказывать утверждение (сговор MS, существование рептилоидов и т.д.) - обязанность тех,
> кто утверждает, в противном случае цена этому утверждению - ноль, а
> делающий подобные бездоказательные заявления - обычный балабол. Т.е. вариант "я сказал,
> что бог есть, а вот ты докажи обратное" тут не прокатитВраньё-о-о!!
Сначала ты докажи свои розовые слюни про то, какоё мс сладкое пушистое.
...да, в свете того, что оно не раскаялось, не отсидело и не поменялось ни на атом в "ту другую сторону" со времён гейцевского "антимонопольщики приходят и уходят, а мы не будем ничего менять".http://www.computerworlduk.com/blogs/open-enterprise/how-can.../
http://techrights.org/2016/04/04/ceo-and-pr-change/
“This anti-trust thing will blow over. We haven’t changed our business practices at all.”
–Bill Gates ~~> July 1995
>какоё мс сладкое пушистое.Но ведь разговор не про ваше личное отношение к MS, а про то, что если ваша жена родила негритёнка - это не вина MS, в противном случае нужно иметь _доказательства причастности_ - чем вы, очевидно, не располагаете
>>какоё мс сладкое пушистое.
> Но ведь разговор не про ваше личное отношение к MS, а проПочему? Поговорим про _Ваше_?? "ты докажи свои розовые слюни" -- чего-то не взлетело.
Сынок, ты ищешь Объективную Правду про Майкрософт? В этом форуме?? Или несёщь свои слюни и брешешь, что это Она И ЕстьТМ?
Аргументы слабоваты за отсутствием. Презумпция не аргумент. Права человека для корпораций - враньёооо. Сначала докажи -- сам пошёл. Всё вроде? Ну, же, не останавливайтесь.
> то, что если ваша жена родила негритёнка - это не вина
О, Ваш опыт внушаить.
> MS, в противном случае нужно иметь _доказательства причастности_ - чем вы,
Нет. Не нужно. Мы не в суде. МС не обладает презумпцией невиновности. Никакого доверия к ним нет -- в свете многократных не исправленных... ээээ.... "ошибок" против меня. Я своё мнение составил. Вполне себе преступная корпорация на службе шпиёнов меча и кинь-жала.
Почему Вы считаете, что вправе заставлять меня изменить моё мнение? Вы же не приводите аргументов, а только машете красной тряпкой с выдуманными лозунгами про то, что _я_ якомы должен. Ты не оборзел, любезный??!
> очевидно, не располагаете
видать, наняли студента за целых два досирака. а может даже за три. эвона, интеллектул же, целый абзац из книги по логике осилил. правда, не понял, но он старался же!
>я так сильно не люблю майкрософт, что...Это понятно: трудное детство, деревянные игрушки прибитые к полу и т.п., но вот когда будут доказательства:
>перечитвыать про сговор(!=стандарт и !=благо-пиаро-лепет) до просветления
Рептилойдов не существует, а MS существует.
Windows - УГ, но занимает большую часть рынка и многие производители аппаратуры ничего не поддерживают, кроме винды последних версий. http://www.macdigger.ru/macall/microsoft-novye-processory-in...Ну и дальнейший там ко-ко-ко-ко ко-ко-ко-ко ко-ко-ко-ко...
> Рептилойдов не существует, а MS существует.
> Windows - УГ, но занимает большую часть рынка и многие производители аппаратуры
> ничего не поддерживают, кроме винды последних версий.Где же самое лучшее в мире OpenHardware/Software, - всё ещё страдает детскими болезнями? Ну так поделом, Мир не будет ждать наступления коммунизма в отдельно взятой голове
>> Рептилойдов не существует, а MS существует.
>> Windows - УГ, но занимает большую часть рынка и многие производители аппаратуры
>> ничего не поддерживают, кроме винды последних версий.
> Где же самое лучшее в мире OpenHardware/Software, -Похоронено Рукой Рынка и картелем преступных корпораций. И чо??
Рептилоидов и минюстов всястрана не существует? Кто сказхал коррупция??
> Кто сказхал коррупция??это не коррупция, а просто маленькие бонусы за сотрудничество!
> Похоронено Рукой РынкаА с какой стати рынку равняться на неудачников? Животная эволюция и та не терпит инвалидов
>И чо?"Бомж и алкоголик я. И чо?"
> Животная эволюция и та не терпит инвалидовстранно. как ты умудрился выжить в этом случае?
Что дарагой, закончились аргументы и переходишь на личности? Бессильная злоба она такая, да =)
ты идиот.
вообще-то для того, чтобы доказать то, что рептилоидов нет нужно потратить огромное количество сил, но вот то, что подавляющее большинство не сталкивается с ними в процессе получения жизненного опыта вполне себе свершившийся факт
> вообще-то для того, чтобы доказать то, что рептилоидов нет нужно потратить огромное
> количество сил, но вот то, что подавляющее большинство не сталкивается с
> ними в процессе получения жизненного опыта вполне себе свершившийся фактТолько логика MS-хейтеров отталкивается от обратного: "Если рептилоидов никто не встретил - это не доказывает того, что их нет. А значит пока никто не опровергнет наш бред про их существование - будем считать, что они есть и винить в этом MS"
>> вообще-то для того, чтобы доказать то, что рептилоидов нет нужно потратить огромное
>> количество сил, но вот то, что подавляющее большинство не сталкивается с
>> ними в процессе получения жизненного опыта вполне себе свершившийся факт
> Только логика MS-хейтеров отталкивается от обратного: "Если рептилоидов никто не встретил
> - это не доказывает того, что их нет. А значит пока
> никто не опровергнет наш бред про их существование - будем считать,
> что они есть и винить в этом MS"Винить (ненавидеть) MS, это почти тоже самое (с точки зрения маркетинга (или чего еще)), что любить MS.
А вот относиться к MS трезво и рассудительно, это как мне кажется для MS не есть то, чего они хотят от потребителей своего ... продукта. Только Вы не подумайте ничего плохого, вместо трех точек КАЖДЫЙ (сам, без "маминой" помощи ;) должен записать в порядке приоритетов список, что для него в этом конкретном продукте хорошего, а что ну сами понимаете.
Другое дело это то, что выбор потребителя (если он вообще существует) требует дополнительных затрат времени и средств. А тут на сцену выходит ее Величество Математика (причем в довольно таки своих простых отделах). А уж поверьте (нет, лучше ИМХО) в MS Вас уже давно всех посчитали (и просчитали) :( Так что рыпаться или нет решать Вам! И конечно же, проще (легче) всего быть в "стаде"! Или не лучше?
Жёлтая новость.
>> Они "держат ключи"Сгенерируйте и прошейте свои ключи, в чём вопрос?
"Держат" вас только в вашей голове, судя по тому, что вы постоянно набрасываете в комментах.
>>> Они "держат ключи"
> Сгенерируйте и прошейте свои ключи, в чём вопрос?
> "Держат" вас только в вашей голове, судя по тому, что вы постоянно
> набрасываете в комментах.https://en.wikipedia.org/wiki/Unified_Extensible_Firmware_In...
вы английский уже начали проходить?
Уже есть девайсы с неотключаемым секюребут? Твой линук не умеет грузиться в секюребут? Поменять ключи в уефи должен иметь возможность любой? Это убивает саму идею что-то там проверять.
Понимаю, что приятно предаваться параноидальным речам, тем более в компании единомышеников. Конечно все было сделано не без задней мысли, но сделано только потому, что альтернативных ос и сильного сообщества нет. если бы линукс как-то влиял на продажи интел, то он бы несомненно прислушивался к мнению сообщеста... Винтел просто зарабатывают деньги.
Помимо уефи есть куда более сильные закладки в интел, с этим никто ничего не сделает, об этом даже ныть на опеннете не интересно, настолько все безнадежно.
fat32 самая простая FS, и достаточно распространенная. А сколько там у линукса? ах.. целых 2 процента...
> fat32 самая простая FS, и достаточно распространенная.а еще запатентованная, и грех этим не воспользоваться.
> ах.. целых 2 процента...Вообщето телефонов больше чем персоналок
>> ах.. целых 2 процента...
> Вообщето телефонов больше чем персоналокНачинается... ну и поставьте себе телефон на пк чтобы работать.
какая-то егэшная бредятина: ставить телефон на ПК!
> fat32 самая простая FS, и достаточно распространенная. А сколько там у линукса?
> ах.. целых 2 процента...О, да. Особенно изящный мехнизм «длинных» имён простой, например.
Или вы имеете в виду простая с точки зрения использования? Ну, да, права доступа отсутствуют как класс.
А про такие мелочи как тенденция к накоплению неисправимых ошибок мы просто скромно умолчим.
Сила ФС семейства FAT базируются исключительно на распространённости Windows, и более ни на чём. Приводить их популярность как свидетельство их качества, мягко говоря, наивно и/или нечестно.
Ну да, гораздо проще UDF, например.
Ну да, у товарища явно переклинуло. Но что же за опеннет без коментариев "Майкрософт опять всем в шатны нагадил!"?
Но так то естетственно Microsoft входит в UEFI forum http://uefi.org/members наряду со всеми другими крупными производителями софта и железа
то есть МС не мог нагадить потому, что находится в комитете ГУАШ?
на опеннет стали заходить совсем скорбные головой, это очень печально
> С самого начала было ясно, UEFI - не для защиты от руткитов.Сам выдумал чушь, сам опроверг :)
Да-да, а Secure Boot для запрета запуска не-Windows ОС, а TPM для DRM.
Ну так и есть, собственно
Если вы это серьезно, то из-за таких, как вы, у нас и нет хороших вещей.
> Если вы это серьезно, то из-за таких, как вы, у нас и нет хороших вещей.Хорошо анально огороженых?
В чем именно заключается огороженность? И Secure Boot, и TPM — открытые стандарты.
Действительно - в чем, собственно, проблема? Наручники же не запатентованы.
> Действительно - в чем, собственно, проблема? Наручники же не запатентованы.Разъясните аналогию. TPM выпускают несколько производителей.
в каком месте TPM открытый стандарт?
http://standards.iso.org/ittf/PubliclyAvailableStandards/ind...
Поищите на странице текст "Trusted Platform Module" и скачайте стандарт. Никто вам не запрещает сделать свое железо на основе этого стандарта, или эмулятор (коих и так много).
Или я не понял ваш вопрос?
то есть если начать продавать подобное устройство в составе своего продукта никто с патентами не набежит, точно-точно?
Огорожености не было бы, если в Secure Boot можно было при загрузке выбрать два параметра:
1) "то, что будет сейчас загружаться, не проверять"
2) "тому, что будет сейчас загружаться, дай разрешение на запись в хранилище ключей"А для TPM - если б был более-менее понятный метод (напимер, в том же UEFI, хоть бы и с доп. паролем на три строки) вытащить оттуда всё содержимое. Потому что платформа должна быть trusted со стороны хозяина, а не стороннего дяди, защищающегося от этого хозяина.
Вообще-то сама идея ТРМ именно в том, чтобы доверять вот этой железке, а не той подозрительной твари, которая владеет компьютером. Иначе вся затея теряет смысл.
Ну вот и на фиг эту затею
> Ну вот и на фиг эту затеюКогда железка — АРМ оператора на объекте первой категории, затея ВНЕЗАПНО обретает ценность.
И поэтому TPM пихают в девайсы общего назначения, угу. И вообще - это вопрос только надёжности сейфа, где рековери-пароль будет лежать.
TPM полностью пассивен.
> платформа должна быть trusted
> со стороны хозяина, а не стороннего дядиПолностью согласен! Так быть должно!
Но, беда в том, что мировое закулисье тихой сапой уже давно протаскивает концепцию, что покупая, например смартфон, я не становлюсь его хозяйном. За мои деньги Apple (или Google в случае Android) просто разрешает мне пользоваться на их собственных условиях. С видео и аудио уже получилось (купил DVD в Штатах, но вовсе не стал хозяином оного, т.к. не имею права, да и не получится, воспроизвести этот диск в гостинице в Дели!)
Облачные технологии из этой же серии - платишь деньги, но не хозяин.
Надо бороться! MP3 и decss основательно подрубили сук. Руты на Android и iOS - продолжение.
Не хочу быть облагодетельствованным высшей милостью пользователем!
надо не бороться, а распространять информацию
пусть люди сами думают, насколько умеют, и делают соответствующие выводы
> Огорожености не было бы, если в Secure Boot можно было при загрузке
> выбрать два параметра:
> 1) "то, что будет сейчас загружаться, не проверять"
> 2) "тому, что будет сейчас загружаться, дай разрешение на запись в хранилище
> ключей"Да оно, вроде, именно так и работает. Если вы активируете Secure Boot, то он разрешает загружать только те файлы, которые подписаны ключами в db, а если переводите в режим setup, то позволяет добавить новые ключи и загружать файлы без проверки подписи.
> А для TPM - если б был более-менее понятный метод (напимер, в
> том же UEFI, хоть бы и с доп. паролем на три
> строки) вытащить оттуда всё содержимое. Потому что платформа должна быть trusted
> со стороны хозяина, а не стороннего дяди, защищающегося от этого хозяина.В том-то и суть, что содержимое немигрируемых ключей вытащить нельзя! Я использую немигрируемые ключи в TPM для SSH и VPN-подключений, и уверен, что никто не сможет их стащить, если проникнут ко мне в лаптоп. Мигрируемые ключи, конечно же, достать можно.
Не работает оно так. Я имел в виду в самом прямом смысле - прямо в меню выбора откуда грузиться ставим галку - и то, что грузим, получает полный доступ к менеджменту ключей. Другими словами, чтобы устанавливаемая операционка могла сама всё сделать, не дёргая пользователя.Нет никакой проблемы с извлекаемыми ключами, если для этого надо ввести код в сорок (или сто сорок) символов. Который, понятное дело, хранится где-то в сейфе, а не рядом с железкой.
Причем тут м$? Ни слова в новости про нее нет. В на своем компе грузитесь в legacy или в уефи?ЗЫ: железосфецифично, для эксплуатации нужно ломануть систему, т е посчитают некритичной дырой и закрывать не будут. Может только в новых устройствах закроют.
тут интел портал в ад открыл.. а потом никто не смог протащить корбутизацию мимо фениксов и амибиосов.. да и зачем им это?
Самое время покупать б/у Thinkpad и совать туда libreboot. Кстати, а Столлман сейчас на thinkpad или lemote (mips-ноутбук)?
#keyctl list %:.system_keyringLenovo UEFI CA 2014: 4b91a68732eaefdd2c8ffffc6b027ec3449e9c8f
> Самое время покупать б/у Thinkpad и совать туда libreboot.Если хотя бы x230 запилят, то я бы подумал. Не хочется уж настолько страдать =)
Отличная новость!
У обычных пользователей (не из террор-служб) теперь тоже будет возможность выполнять свой код в нужном режиме на своих процессорах. В т.ч. может появиться возможность надёжно отключить vPro; сдампить расшифрованный код прошивки без программатора и посмотреть, нет ли там ещё бекдоров; возможно даже заменить прошивку SMM.
Кстати, этот эксплоит не RCE - нужен доступ к загрузочному разделу.
> Отличная новость!
> У обычных пользователей (не из террор-служб) теперь тоже будет возможность выполнять свой100 раз брикни ноут, 1 раз выпили зонд.
Доверие к этим хакам должно быть запредельным, а публиковаться они официально не будут по понятным причинам. Вот и думайте.
> модифицировать прошивку для отключения проверки Secure BootПосле чего ее не загрузит бутгад и вы получите кирпич.
>> модифицировать прошивку для отключения проверки Secure Boot
> После чего ее не загрузит бутгад и вы получите кирпич.Маня, методичку перепутала! Ведь секуребут это для безопасности и удобства пользователя! Марш к супервайзеру по социал медиям на разбор полётов!
Boot Guard защищает прошивку на уровне процессора. Secure Boot защищает загрузчик на уровне прошивки. Поэтому твоя фраза не имеет смысла. Речь о том, что можно изменить настройки UEFI из OS, что должно быть не допустимо в соответствии с моделью безопасности UEFI.
> Речь о том,
> что можно изменить настройки UEFI из OS, что должно быть не
> допустимо в соответствии с моделью безопасности UEFI.А что мешает их менять? Все же на обычном фат разделе, который смонтирован ro.
>> Речь о том,
>> что можно изменить настройки UEFI из OS, что должно быть не
>> допустимо в соответствии с моделью безопасности UEFI.
> А что мешает их менять? Все же на обычном фат разделе, который
> смонтирован ro.На ESP-разделе только загрузчики ОС и прочие EFI-приложения. Настройки в NVRAM, большая часть переменных в котором недоступна из OS.
В 21 веке развитие цивилизации привело к тому, что ни одну, даже самую критическую функцию это самое человечество неспособно создать без встроенных ошибок. А еще во времена фараонов эта проблема решалась куда как эффективней.
> В 21 веке развитие цивилизации привело к тому, что ни одну, даже
> самую критическую функцию это самое человечество неспособно создать без встроенных ошибок.
> А еще во времена фараонов эта проблема решалась куда как эффективней.Ваша критическая функция написания комментария реализована с ошибкой. Убейтесь об развалины пирамиды.
клоун: Глупости! Люди не меняются и прецедентный путь развития был, есть и останется основным.И по поводу египтян: поищи историю строительства пирамиды Хефрена (Хафра). Она должна была стать на 5 метров выше пирамиды Хеопса, но из-за ошибки архитектора получилась на 3 метра ниже. Упс...
Или историю пирамид фараона Снофру: фараоны строили себе по 2 пирамиды, с одной накосячили, поэтому проект пришлось менять на ходу (теперь её называют "неправильная пирамида"). А во второй, чтобы избежать косяков с первой, спешно менять угол наклона (она называется "ломаная пирамида").
> клоун: Глупости! Люди не меняются и прецедентный путь развития был, есть и
> останется основным.
> И по поводу египтян: поищи историю строительства пирамиды Хефрена (Хафра). Она должна
> была стать на 5 метров выше пирамиды Хеопса, но из-за ошибки
> архитектора получилась на 3 метра ниже. Упс...
> Или историю пирамид фараона Снофру: фараоны строили себе по 2 пирамиды, с
> одной накосячили, поэтому проект пришлось менять на ходу (теперь её называют
> "неправильная пирамида"). А во второй, чтобы избежать косяков с первой, спешно
> менять угол наклона (она называется "ломаная пирамида").Вот бы криворуких кодеров тоже замуровывали в свой код...
мде, вроде взрослые люди, а в сказки верят
не смешно :(
клоун: Те, кто не учатся на чужих ошибках, будут учиться на своих.Снофру задумал построить две одинаковые пирамиды, одну на севере, другую на юге. Были сделаны расчёты, пирамиды должны были стать самыми большими когда-либо построенными.
Из-за неверно выбранного материала и (возможно дождей) северная пирамида обрушилась в ходе строительства.
Чтобы не допустить подобного развития событий в южной пирамиде, строители увеличивают основание и снижают высоту. Из-за увеличившегося основания, выросла нагрузка на центральную часть, это привело к разрушению части внутренних галерей. Их засыпали щебнем и забетонировали.
Полагая, что причина обрушения в массе верхней части пирамиды, они ещё раз уменьшают высоту и ещё раз сильно увеличивают основание. Это приводит к чрезмерному росту нагрузки, все галереи пошли трещинами. Их тоже засыпали щебнем и забетонировали. Чтобы достроить галереи, они приняли трудное решение идти глубоко вглубь скальной породы (и это деревянными инструментами). А верхнюю часть пирамиды завершить как можно скорее. Они уменьшают угол наклона, из-за чего пирамида получилась ломаная.
Ошибка в архитектуре, проявившаяся из-за случайного стечения обстоятельств. Судорожные попытки её исправить приводят к новым проблемам. Анализ ситуации в условиях острого дефицита времени и нервного напряжения, под шквалом обращений пользователей приводит к неверному предположению о причинах ошибки, что приводит к её ещё большему усугублению. В конце концов, не разбираясь с ошибкой, ставят заглушку (грабли), заставляют пользователей сделать большой объём трудной ручной работы. Проект, который вроде как работает, сдают.
Эту пирамиду строили в 2900 г. до н.э. (около 5000 лет назад). От Снофру до Христа прошло больше лет, чем от Христа до нас. А проблемы всё те же.
Если интересно, почитай Поучения Птаххотепа. Они до сих пор сохраняют актуальность. "Знания не имеют границ и нельзя достичь совершенства" - это как раз оттуда.
слушай, клоун, такие постройки не то, чтобы сейчас невозможны, но и тогда тем более при тому уровне технической вооруженности, которую приписывают древним египтянам историки
дeбильные выводы всяких гуманитариев пусть останутся при них же
Как всегда коментарии пышат логикой.
Есть UEFI - весьма непростой интерфейс для взаимодействия ПО с железом. Ну по определению не простая это задача такое реализовать.
Есть Intel, которая накосячила в реализации этой непростой штуки. Это в принципе нормально для таких проектов, бывает. Исправили же.
Есть вендоры, те же Lenovo, у которых используется старый код с багой. Но они не чешутся это исправлять, ибо это не так просто, да и зоопарка оборудования много.
А виноват во всем кто? Конечно же компания <Censored>
ЗЫ: "в доме, который построил Джек" :D
Принцип KISS забыт?
Ага, ибо не работает оно для сложной техники. Нельзя сделать сложные вещи просто.
Часто можно не делать их такими сложными. UEFI - отличный пример.
Как автомат Калашникова
клоун: от той схемы уже лет 20 как отказались в пользу гораздо более сложных (выше точность и кучность).А от простого в реализации BIOS отказались в пользу гораздо более сложного UEFI.
И зачем нужны эти ваши сложности? Может Вы ещё и сторонников бинарных лагов в systemd и прочих нагромождений?
вообще-то, как показывают исследования, автомат Калашникова по кучности и точности вполне конкурентноспособен в сравнении с современными образцами
"стрелять надо уметь", а этому у нас, кстати, совсем не учат
у нас учат стендовой стрельбе, -- абсолютно безполезной в условиях реальных боевых действий
клоун: Прочти только первую часть, про логику создания оружия. Дальше уровень неадекватности автора, к сожалению, будет нарастать (на русофобство можно не обращать внимания, это просто его стиль изложения мыслей). Но первая часть написана отлично и автор детально показывает, что нельзя получить весомое преимущество не получив при этом такой же весомый недостаток. Результат это всегда компромисс между параметрами. Сейчас в приоритете точность и кучность.kungurov.livejournal.com/128137.html?page=2
> на русофобство можно не обращать внимания,
> это просто его стиль изложения мыслей.да как бы вся статья и написана в канве русофобии: неумелая попытка дискредитировать АК, мол де, русские ничего не умеют
> А от простого в реализации BIOS отказались в пользу гораздо более сложного
> UEFI.BIOS гораздо, в разы сложнее поддерживать и писать, нежели UEFI.
> BIOS гораздо, в разы сложнее поддерживать и писать, нежели UEFI.И это ярко иллюстрирует $SUBJ. //Я и говорю, -i386.deb безопаснее!
Не понял вас. В BIOS вообще нет защиты от перезаписи флешки из ОС.
Можно. Достаточно разбить всё на небольшие и простые модули, а не делать один большой блоб, который трудно отлаживать и тестировать.
клоун: Общая сложность система остаётся неизменной, независимо от того, как её делить на части. Если частей будет мало, трудность будет представлять реализация каждого отдельной части (CISC). Если частей будет много, трудность будут представлять связи между ними (RISC).В каждой конкретной ситуации нужно выбирать то решение, которое проще и быстрее реализовать на практике.
Это ярко видно на примере микросхем (напр. источник питания): можно самому собрать схему, а можно купить уже готовое устройство.
> клоун: Общая сложность система остаётся неизменной, независимо от того, как её делить
> на части. Если частей будет мало, трудность будет представлять реализация каждого
> отдельной части (CISC). Если частей будет много, трудность будут представлять связи
> между ними (RISC).Связи между мелкими частями проще отлаживать. Когда есть хорошо описанные и ожидаемые входные/выходные данные или промежуточные состояния, то проще найти ошибку и сложнее ошибиться.
> В каждой конкретной ситуации нужно выбирать то решение <...>
Я и не спорю с этим. Просто утверждаю что принцип KISS можно использовать и для разработки сложных систем.
>> клоун: Общая сложность система остаётся неизменной, независимо от того, как её делить
>> на части. Если частей будет мало, трудность будет представлять реализация каждого
>> отдельной части (CISC). Если частей будет много, трудность будут представлять связи
>> между ними (RISC).
> Связи между мелкими частями проще отлаживать.В теории. На практике же мелкие части замечательно опосредовано влияют друг на друга. Например, ошибочный сигнал может пройти сквозь целый набор промежуточных узлов, видоизменяясь по дороге, — хотя бы потому, что промежуточные узлы не в состоянии контролировать проходящие через них данные — и чтобы проследить обратно причину может потребоваться очень много сил и времени.
> Когда есть хорошо описанные и ожидаемые
> входные/выходные данные или промежуточные состояния, то проще найти ошибку и сложнее
> ошибиться.Вот именно, когда они есть. То есть когда уже имеется устойчивая, отработанная архитектура системы. Но до неё ещё надо дойти, и в это время требования к интерфейсам ещё только-только формируются (то есть в каждый момент времени они могут быть чётко определены, но по факту могут меняться каждую неделю), со всеми вытекающими.
Какая теория? Все принципы ООП/модульности об этом. Ну и всякие TDD с контрактами до кучи. Для быстро меняющихся систем - самое то.Не говоря о том, что в контексте бутлоадеров место "формирования требований к интерфейсам" - это лаборатория, а отнюдь не продакшн. Впрочем, это вообще не ахти какая "сложная система". Чай, не банковский софт с миллионами сущностей.
А как же перемычка на плате?
Или ВЫ скажете, что это не для "домохозяек"?
И да, с перемычкой должно стоить немного дороже. Но только на немного!
И не начинайте мне про то, что "Свобода" стоит дорого. Мы сейчас не о свободе.