https://opennet.ru/openforum/vsluhforumID3/128763.html Леннарт Поттеринг (Lennart Poettering) опубликовал предложение по модернизации процесса загрузки Linux-дистрибутивов, нацеленное на решение имеющихся проблем и упрощение организации полноценной верифицированной загрузки, подтверждающей достоверность ядра и базового системного окружения. Необходимые для применения новой архитектуры изменения уже включены в кодовую базу systemd и затрагивают такие компоненты, как systemd-stub, systemd-measure, systemd-cryptenroll, systemd-cryptsetup, systemd-pcrphase и systemd-creds...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57984<br> https://opennet.ru/openforum/vsluhforumID3/128763.html#442 Fri, 14 Feb 2025 06:45:13 GMT Там же есть и вполне понятная картинка: "модуль ранней загрузки" стартует после MBR, в том случае и компрометируется.<br> https://opennet.ru/openforum/vsluhforumID3/128763.html#441 Thu, 13 Feb 2025 08:05:10 GMT Там же по ссылке:<br><br>"Мы видим, что буткит может компрометировать систему с активным ELAM, делая его бесполезным инструментом. Поскольку буткит загружается раньше инициализации ОС, он будет уже находиться в памяти на тот момент, когда ELAM получит управление.<br><br>В то же время, следует отметить, что ELAM является частью декларируемой Microsoft концепции или схемы &#171;Безопасной загрузки&#187; - Secure Boot. В случае с Secure Boot, программное обеспечение, встроенное в UEFI (такое ПО получает управление как только компьютер начал свою работу) может контролировать целостность и легитимность кода, на который передается управление в процессе выполнения кода, предшествующего выполнению основного кода ОС. Концепция Secure Boot, совместно с новым стандартом UEFI, призвана предотвратить компрометацию критичных структур данных ОС/UEFI со стороны буткитов."<br><br>Ну и смысл во всей этой секурбутности, если любой васян может эту цепочку повертеть на одном месте?<br><br>Сложностей больше добавляется у простых пользователей, а https://opennet.ru/openforum/vsluhforumID3/128763.html#439 Thu, 17 Nov 2022 13:27:27 GMT это не о TPM+SecureBoot+selinux? :)<br> https://opennet.ru/openforum/vsluhforumID3/128763.html#438 Thu, 17 Nov 2022 13:24:03 GMT /me вспомнил как у половины планеты оказалась на компе десятка - конечно, их 20 раз переспросили )<br>Понятно, что групповыми политиками они не занимались, но...<br> https://opennet.ru/openforum/vsluhforumID3/128763.html#437 Thu, 17 Nov 2022 11:42:21 GMT А мы ждём отказа и гневных комментариев от mainstream-дистрибутивов.<br> https://opennet.ru/openforum/vsluhforumID3/128763.html#436 Thu, 17 Nov 2022 11:39:57 GMT откуда такая уверенность? я бы рад, но пока вижу сплошь обратное.<br> https://opennet.ru/openforum/vsluhforumID3/128763.html#435 Thu, 10 Nov 2022 14:28:12 GMT Если мы говорим про массовых пользователей, против которых навороченные таргетированные атаки не применяются, то основная угроза для них - это не кастомная, разработанная под софт и железо жертвы, малварь, а банальная кража/потеря компьютера, слив пользовательских данных (пароли/сессии от банков/почты/соцсетей/госуслуг/мессенджеров, криптокошельки, приватные фото, которыми можно шантажировать) и участие в ботнетах. В общем, либо случайные, либо массовые атаки, где, как говорится, easy come, easy go, и проще найти следующую жертву, чем закрепляться в системе через внедрение в прошивку диска определенной модели.<br> https://opennet.ru/openforum/vsluhforumID3/128763.html#434 Sat, 05 Nov 2022 15:58:34 GMT 1. Правильная реализация: https://www.opennet.ru/openforum/vsluhforumID3/128763.html#433<br><br>2. Клетки которые предлагают Лёня и Миша с ALT имеют дыру в дизайне! И речь идёт не о наличии сторонних ключей от M$ & ALT в системе Integrity.<br><br>3. IMA/EVM от IBM этой дыры не имеет. Потому что они читают, понимают и соблюдают стандарты.<br><br>Переведи на русский язык:<br><br>"2.1.3.1.1 System Architecture <br>The TCB shall maintain a domain for its own execution protects it from external interference or tampering (e.g., by modification of its code or data strucutres)."<br> https://opennet.ru/openforum/vsluhforumID3/128763.html#433 Sat, 05 Nov 2022 15:40:54 GMT За несоблюдение прописанного в учебнике по Integrity.<br><br>Помните и не забывайте истинные правила Integrity: https://www.linux.org.ru/forum/security/16550382?cid=16564526 а то вставят вам в UEFI ключи от M$ а в Intel Boot Guard ключ от производителя!<br><br>Все уже давно реализовано и работает: https://www.linux.org.ru/forum/security/16550382?cid=16567177 по этому и сказали леньке фас, чтобы похерить.<br><br>Сделано уже есть все очень хорошо:<br><br>В Intel Boot Guard можно ключ прописать только если мамка с процом соеденина. Следовательно если проц и мамку покупать отдельно, то пользователь всегда сможет установить свой ключ Intel Boot Guard! А если в месте, то надо предварительно уточнять у производителя, что он там наделал.<br><br>Цифровая подпись Intel Boot Guard ставится на каждый модуль UEFI отдельно и если удалить один модуль, то на проверку подписи других это не повлияет. Следовательно mecleaner работает и часть Intel ME можно удалить даже при верифицтрованной загрузке!<br><br>Libreboot и Coreboot работают с подписями хор