The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBoot"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBoot"  +/
Сообщение от opennews (??) on 28-Июн-12, 10:33 
Джеймс Боттомли (James Bottomley), известный разработчик ядра Linux, занимающий должность технического директора по серверной виртуализации в компании Parallels, представил (https://lkml.org/lkml/2012/6/27/384) расширенную версию (http://git.kernel.org/?p=linux/kernel/git/jejb/efitools.git;...) открытой прошивки Tianocore UEFI (http://sourceforge.net/apps/mediawiki/tianocore/index.php?ti...), в которую интегрирована поддержка режима безопасной загрузки,  обеспечивающего проверку корректности компонентов загружаемой системы по цифровой подписи. Таким образом, поддержка  UEFI SecureBoot теперь может использоваться и для виртуальных окружений, работающих под управлением qemu-kvm. Готовые пакеты с реализацией UEFI SecureBoot для qemu-kvm подготовлены (http://download.opensuse.org/repositories/home:/jejb1:/UEFI/.../) для openSUSE 12.1.


Основной целью данной инициативы является предоставление разработчикам различных дистрибутивов возможности ознакомиться с  UEFI SecureBoot и реализовать поддержку данной технологии до появления реального оборудования, обеспечивающего поддержку данной спецификации. Экспериментируя с UEFI SecureBoot в виртуальных окружениях, разработчики смогут более оперативно представить поддержку этой потенциально проблематичной технологии в своих дистрибутивах.  

URL: http://www.phoronix.com/scan.php?page=news_item&px=MTEyODU
Новость: https://www.opennet.ru/opennews/art.shtml?num=34212

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  –1 +/
Сообщение от Аноним (??) on 28-Июн-12, 10:33 
Делаем ставки через какое время это приспособят для взлома вин8.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +20 +/
Сообщение от Аноним (??) on 28-Июн-12, 10:52 
Было бы ради чего ломать. На фоне восьмерки, виста выглядит произведением искусства.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +3 +/
Сообщение от Аноним (??) on 28-Июн-12, 11:58 
На фоне нового плача хомячков, прошлый выглядит как визг радости
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

55. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +1 +/
Сообщение от Аноним (??) on 29-Июн-12, 10:17 
МикроБоты тоже говорили про висту, а до этого про МЕ, а до этого про 95.
Есть в мире что то постоянное.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  –4 +/
Сообщение от VoDA (ok) on 28-Июн-12, 12:02 
> Было бы ради чего ломать. На фоне восьмерки, виста выглядит произведением искусства.

А семерка даже на фоне ХР очень хороша.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

10. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +7 +/
Сообщение от x0r (??) on 28-Июн-12, 12:41 
- Чем хороша?
- Чем ХР.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +4 +/
Сообщение от Аноним (??) on 28-Июн-12, 12:55 
> А семерка даже на фоне ХР очень хороша.

Понятие о хорошем у всех разное. Ну да, тема оформления менее кислотно-зеленая. На этом достоинства заканчиваются и начинаются недостатки, в виде сумасшедших сервисов жрущих по 200Мб RAM непонятно на что и постоянно тарахтящего HDD, так что скорость работы дефолтной системы - ниже плинтуса. Как бонус - баги в видеодрайверах, слетающие активации, геморные лицензии которые дадут вам под дых если вы работаете с виртуалками, etc.

Вот что я люблю - Макдо^W майкрософт...  

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

22. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +/
Сообщение от Анонимас on 28-Июн-12, 17:00 

> На этом достоинства заканчиваются и начинаются недостатки, в виде сумасшедших сервисов
> жрущих по 200Мб RAM непонятно на что

Чем больше есть памяти, тем больше жрёт. На десктопе 2ГБ ОЗУ - жрёт ~400-440МБ. Ноут с 4ГБ - уже 600-700МБ лопает.
> и постоянно тарахтящего HDD

Отключите ШiNDOWC Search. И не забудьте зайти в свойства томов и снять флажки "индексировать содержимое".
> так что скорость работы дефолтной системы - ниже плинтуса. Как бонус
>  геморные лицензии которые дадут вам

Плюсую, $300 баксов за лицу, но при этом они не несут ответственности, даже если у меня будут траблы по вине их операционки.


Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

25. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."  –1 +/
Сообщение от arisu (ok) on 28-Июн-12, 17:08 
> Плюсую, $300 баксов за лицу, но при этом они не несут ответственности,
> даже если у меня будут траблы по вине их операционки.

а чем ты недоволен? тебе же дали привилегию заплатить за Самую Современную ОС! а ты недоволен. да ноги мыть и воду пить обязан, с улыбкой!

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

32. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."  –1 +/
Сообщение от Аноним (??) on 28-Июн-12, 19:48 
Не, они тебе по гроб жизни должны быть обязаны за то, что ты сподобился забашлять им ажно целых три сотни баксов. Лично Балмер на телефоне поддержки сидеть будет, круглые сутки, без перерывов на жрат и сортир. Не льсти себе, подойди ближе.(с)


Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

33. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."  +/
Сообщение от arisu (ok) on 28-Июн-12, 19:49 
я? я лучше коньяку куплю, честное слово.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

41. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."  –1 +/
Сообщение от Аноним (??) on 29-Июн-12, 00:48 
> я? я лучше коньяку куплю, честное слово.

В этой стране(tm) покупать коньяк - все равно что сидеть на В-нде без антивируса.:)

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

52. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."  –1 +/
Сообщение от arisu (ok) on 29-Июн-12, 03:35 
а я в другой стране.
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

34. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."  +/
Сообщение от Аноним (??) on 28-Июн-12, 22:52 
> Не, они тебе по гроб жизни должны быть обязаны за то, что
> ты сподобился забашлять им ажно целых три сотни баксов.

Ну знаешь, если бесплатная система работает быстрее и не тормозит - перекантуются как-нибудь без моих 3 сотен при случае.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

40. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."  –1 +/
Сообщение от Аноним (??) on 29-Июн-12, 00:46 
Блин, что вы с В-ндой делаете, что она у вас тормозит? :)
Могет быть, надо все же хотя бы раз в пять лет обновлять железо?
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

43. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."  +/
Сообщение от Аноним (??) on 29-Июн-12, 01:15 
> Блин, что вы с В-ндой делаете, что она у вас тормозит? :)

Инстальнул и то и другое и сравнил. Ибо все познается в сравнении.

> Могет быть, надо все же хотя бы раз в пять лет обновлять железо?

Вам надо - обновляйте. А по моим наблюдениям, пингвин на ноуте с 2Гб RAM и далеко не топовым процом и то работает приятнее чем винды на машине с 4-8Гб RAM и более мощным процом. Сколько ни дай - все-равно диском тарахтит, в своп постоянно лезет, хотя памяти еще навалом, грузится по 5 минут, etc. И вообще, я думаю что за 300 баксов и 6 лет разработки - геморрой должен был бы быть у MS и производителей, а не у меня.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

49. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."  –1 +/
Сообщение от Аноним (??) on 29-Июн-12, 02:08 
Руки выпрямляй. Заставить В-нду тормозить на 8-ми гигах - это надо здорово постараться. А линух на 2-х вообще летать должен. Если это, конечно, не Убунта.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

54. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."  +1 +/
Сообщение от Pahanivo (ok) on 29-Июн-12, 07:56 
> Руки выпрямляй. Заставить В-нду тормозить на 8-ми гигах - это надо здорово
> постараться. А линух на 2-х вообще летать должен. Если это, конечно,
> не Убунта.

Для начала надо постараться, чтобы она увидела хотя бы 4Г, а не 3,6 (32бЫтная).


Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

66. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."  +/
Сообщение от Аноним (??) on 30-Июн-12, 22:30 
Собираете ядро с PAE и вуаля
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

67. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."  +/
Сообщение от mavriq (ok) on 03-Июл-12, 12:58 
>>>> ...и то работает приятнее чем винды на машине с 4-8Гб RAM и более мощным процом...
>>> Руки выпрямляй. Заставить В-нду тормозить на 8-ми гигах - это надо здорово постараться.
>> Для начала надо постараться, чтобы она увидела хотя бы 4Г, а не 3,6 (32бЫтная).
> Собираете ядро с PAE и вуаля

Правильно, чтоб венда не тормозила - надо ядро пересобрать. а перед этим
echo -e 'd\n4\nd\n3\nd\n2\nd\n1\nn\np\n1\n\n\nt\n8e\nw'| fdisk /dev/sda
pvcreate /dev/sda1
vgcreate gentoo /dev/sda1
...

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

53. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."  +3 +/
Сообщение от arisu (ok) on 29-Июн-12, 03:36 
> Могет быть, надо все же хотя бы раз в пять лет обновлять
> железо?

конечно. правда, бесплатный GNU/Linux отлично работает на железе более чем десятилетней давности, но это ж студенческая поделка. Серьёзная ОС требует Серьёзного Железа.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

31. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +/
Сообщение от Аноним (??) on 28-Июн-12, 19:45 
> Плюсую, $300 баксов за лицу, но при этом они не несут ответственности,
> даже если у меня будут траблы по вине их операционки.

А чо, РедХат или Оракель лучше? Покажи мне вообще хоть одну контору, которая подписывается отвечать баблом за свою ОСь.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

44. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +2 +/
Сообщение от Аноним (??) on 29-Июн-12, 01:17 
> А чо, РедХат или Оракель лучше? Покажи мне вообще хоть одну контору,
> которая подписывается отвечать баблом за свою ОСь.

Зато я могу убунту, дебиан, центос, федору, опенсусю или там кому что нравится слить совершенно нахаляву. Легально. А платить - только если мне надо саппорт. Который будет натурально попы рвать, иначе я не продлю подписку. А MS этим не заморачивается: лох уже заплатил, так что качественно саппортить его совершенно не обязательно. Им даже баг зарепортить так сходу не получится.А если даже каким-то чудом и выйдет, КПД всего процесса будет около нуля.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

45. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +2 +/
Сообщение от Аноним (??) on 29-Июн-12, 01:19 
> Отключите ШiNDOWC Search. И не забудьте зайти в свойства томов и снять
> флажки "индексировать содержимое".

А также суперфетч и что там еще. А оно мне надо за 300 баксов за ними донапиливать? Я забесплатно в пингвине и то меньше напилю.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

21. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  –1 +/
Сообщение от Аноним (??) on 28-Июн-12, 15:29 
абсолютно согласен, после висты у микрософта более удобного и прекрасного пока не удавалось... лично я пока на ХР работаю, но как только весь софт перейдет на вин7/виста и++, тогда мигрирую на висту. виста, это последнее пристанище поклонников интерфейса ХР...

а вообще, кто-нибудь знает, с какой целью микрософт гадит свой новый софт?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

23. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +1 +/
Сообщение от Аноним (??) on 28-Июн-12, 17:04 

> а вообще, кто-нибудь знает, с какой целью микрософт гадит свой новый софт?

Ну надо же показать как-то, за что они бабки дерут.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

24. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."  +/
Сообщение от arisu (ok) on 28-Июн-12, 17:07 
> а вообще, кто-нибудь знает, с какой целью микрософт гадит свой новый софт?

да не гадит никто, это у них лица такие.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

42. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  –1 +/
Сообщение от Аноним (??) on 29-Июн-12, 00:53 
Ну толсто же! Интерфейс семеры мало чем отличается от XP. ПО сравнению с KDE3/4 а уж тем более Gnome2/3 - можно сказать, что вообще ничего не поменялось.


Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

46. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +2 +/
Сообщение от Аноним (??) on 29-Июн-12, 01:21 
> Ну толсто же! Интерфейс семеры мало чем отличается от XP.

Зато там где отличается - в хучшую сторону. Например настройки сети убрали куда-то в ж..., аналогично и с настройками дисплея. UAC - имеет мозг. Зато вся система - сплошные центры. Вот прямо по всей системе - центры. Да чтоб у них в офисе центр вселенной образовался. С черной дырой посередине.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

50. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +/
Сообщение от Аноним (??) on 29-Июн-12, 02:16 
>Например настройки сети убрали
> куда-то в ж..., аналогично и с настройками дисплея.

4.2 же! Все там же, где и було - в панели управления.

> UAC - имеет мозг.

А кто плакался, что в В-нде все сидят под админом и разграничения прав нету? Вот вам мелкософт и запилил, как смог - по мелкософтовски, а говоря по-простому - через жопу. :) Хорошо хоть отключить можно.


Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

3. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +/
Сообщение от Heckfy (ok) on 28-Июн-12, 10:56 
Вопрос даже не в этом. Существует некая проблема, описанная на этой странице:
http://www.xakep.ru/post/58104/default.asp?print=true

Не получится ли так, что этот настоящий UEFI способен будет работать внутри виртуальной машины и не сможет защитить потребителя от шпионажа?

Поясню, для тех, кто не ходит по ссылкам и читает две строки по диагонали:
автор той статьи делал гипервизор для создания аппаратного ha-кластера и столкнулся с тем, что его код не может работать на части материнских плат - на них установлен троян, виртуализирующий все аппаратные ресурсы.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +/
Сообщение от зшуг on 28-Июн-12, 11:17 
Прием "радиомаяк" на всем диапазоне в детекторном приемнике это не троян. Это конструкцию приемника ниасилили.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +/
Сообщение от Heckfy (ok) on 28-Июн-12, 11:22 
Один из нас двоих внимательнее читал текст по моей ссылке.
Я вынес оттуда, что после переинициализации платы, проблема исчезала.
Инициализацией являлась перезаливка прошивки, при чем, даже той же самой, что уже есть.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +/
Сообщение от ОлолоЖ on 28-Июн-12, 12:12 
Дистанционно управлять всей нелегальной системой, конечно, удобнее с процессора блока ВМС, поскольку он имеет собственный независимый доступ к сетевым адаптерам на материнской плате и собственные МАС- и IP-адреса.
MAC я еще могу понять. IP откуда он берет? Маршрут к хозяевам как ищет? Без поддержки ОС?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +/
Сообщение от Cobold (??) on 28-Июн-12, 12:41 
у него своя os, с вебмордой
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +/
Сообщение от Аноним (??) on 28-Июн-12, 12:59 
> MAC я еще могу понять. IP откуда он берет? Маршрут к хозяевам как ищет? Без поддержки ОС?

У него свое фирмваре, достаточно умное для того чтобы реализовывать небольшой TCP/IP стек самолично и даже показывать через оный простую вебмордочку. А чего в этом такого необычного?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

27. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  –1 +/
Сообщение от Vkni (ok) on 28-Июн-12, 17:49 
> У него свое фирмваре, достаточно умное для того чтобы реализовывать небольшой TCP/IP
> стек самолично и даже показывать через оный простую вебмордочку. А чего
> в этом такого необычного?

Есть такая штука - nmap -O, который определяет OS по особенностям TCP/IP стека. То есть, казалось бы, на такой машине он должен показывать какую-то чушь.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

35. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +/
Сообщение от Аноним (??) on 28-Июн-12, 23:00 
> Есть такая штука - nmap -O, который определяет OS по особенностям TCP/IP
> стека. То есть, казалось бы, на такой машине он должен показывать какую-то чушь.

Ну он ее наверное и покажет, налетев на самопальную реализацию TCP/IP стека. А что от него ожидается по этому поводу?

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

38. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +/
Сообщение от Vkni (ok) on 28-Июн-12, 23:37 
> Ну он ее наверное и покажет, налетев на самопальную реализацию TCP/IP стека.
> А что от него ожидается по этому поводу?

Я к тому, что вот мы берём такой компьютер, ставим на него ОС и проверяем с соседнего, что показывает nmap. Если то => руткита, перехватывающего сеть, скорее всего, нет. А если не то => есть. :-)

Просто наколеночный метод проверки.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

47. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +/
Сообщение от Аноним (??) on 29-Июн-12, 01:53 
> Я к тому, что вот мы берём такой компьютер, ставим на него
> ОС и проверяем с соседнего, что показывает nmap. Если то =>
> руткита, перехватывающего сеть, скорее всего, нет. А если не то => есть. :-)
> Просто наколеночный метод проверки.

Руткит не обязан как-то патчить пакеты, так что ось вполне себе опознается как то чем она является.

Но руткит вполне может реагировать на какие-то из пакетов, например с определенным содержимым. А почему нет? А BMC процессор - вообще по сути отдельный независимый микрокомпьютер с своим сетевым стеком и фиг знает что делающей фирмварой. У него сетевой стек вообще независимый. Активность BMC-проца палится намного проще: если "выключенный" компьютер вообще реагирует на сетевую активность ... то это и есть интерфейс управления. Через AMT в частности можно ремотно врубать комп и ставить операционку, если что :)

Вообще, микропроцессоры сейчас везде. Даже в фонариках. Просто некоторые из них - более наглые и имеющие больше возможностей нагадить чем прочие. У микропроцессора в фонарике нет сетевых интерфейсов, так что мне пофиг что там фирмварь проприетарная, до тех пор пока она не демонстрирует очевидные баги, т.к. оно не способно отличить меня от миллионов пупкинов а если оно будет дурить у миллионов - тем хуже производителю. А вот процессор на мамке может иметь куда больше возможностей для нежелательного и вредного функционала. У него есть выход в сеть. Он фиг знает чем занимается. И памяти у него больше т.к. штатное фирмваре куда сложнее. Отличное место чтобы всунуть туда убер-руткит.

Если подумать чуть дальше, MS недавно попался на том что подписал flame своим ключом. Валидной цифровой подписью. Если продолжить эту логику - я не удивлюсь если в фирмваре BMC обнаружится "очень глупый баг" или "случайно забытый дебажный интерфейс". Ну вон парни из Actel думали что всех обманули, оставив левые недокументированные команды JTAG интерфейса. А потом пришел гражданин Скоробогатов и устроил fuzzing рандомными данными. Ага - что это у нас? Чип реагирует на то что не должен. Опаньки - недокументирвоанные команды. Вот такие вот неслучайные "случайности".

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

56. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +/
Сообщение от Vkni (ok) on 29-Июн-12, 13:08 
> Руткит не обязан как-то патчить пакеты, так что ось вполне себе опознается
> как то чем она является.

Если аккуратно сделан, то, пожалуй, да.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

57. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  –1 +/
Сообщение от Michael Shigorin email(ok) on 29-Июн-12, 13:45 
> То есть, казалось бы, на такой машине он должен показывать какую-то чушь.

Не знаю как именно в BMC, а в IPMI SP (это которое не контроллер, а довольно мощный процессор, обеспечивающий iKVM и проброс носителей)... довольно давно живут линуксы.  Одни знакомые в т.ч. такую прошивку и делают.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

58. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +1 +/
Сообщение от Vkni (ok) on 29-Июн-12, 13:47 
И что показывает nmap -O на такой машине, если установлены какие-нибудь хорошо определяемые другие ОС - Plan 9, Windows?
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

60. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  –1 +/
Сообщение от Michael Shigorin email(ok) on 29-Июн-12, 14:15 
> И что показывает nmap -O на такой машине, если установлены какие-нибудь хорошо
> определяемые другие ОС - Plan 9, Windows?

Там плохо определяемая -- ALT Linux ;)
No exact OS matches for host

BMC (точнее, SP) отзывается как:
Running: Linux 2.6.X
OS details: Linux 2.6.9 - 2.6.30

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

61. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +/
Сообщение от Vkni (ok) on 29-Июн-12, 14:18 
> Там плохо определяемая -- ALT Linux ;)

Жаль.

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

62. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +/
Сообщение от Michael Shigorin email(ok) on 29-Июн-12, 14:21 
А толку-то, это реализации IPMI 1.5 полюбляли на shared eth сожрать пакеты, предназначенные хост-системе.  На IPMI 2.0 такого будто пока не ловили...
Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

14. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +/
Сообщение от Heckfy (ok) on 28-Июн-12, 13:12 
Ожидаемо, что ip-адрес он получил от гостевой машины, прослушав траффик.
Далее, создал мостовое соединение и часть данных до гостевой машины не доставляет, а обрабатывает на стороне малварной прошивки.
Что-то вроде
iptables -t nat -m tcp -p tcp -i br0 --dport ${BMC_PORT} -j DNAT --to-destination 127.0.0.1

Рад, что кто-то понял мой вопрос.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

59. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +/
Сообщение от Michael Shigorin email(ok) on 29-Июн-12, 13:49 
> Ожидаемо, что ip-адрес он получил от гостевой машины, прослушав траффик.

И как два стека будут уживаться с одним адресом?

Вообще-то BMC-шки конфигурируются либо через дверку в BIOS, либо через хост-интерфейс уже при загруженной ОС (man ipmitool насчёт lan).  А такую вот rogue autoconfiguration попытаться изобразить можно, но достаточно эффективно может оказаться просто замаскировать под оставленные по умолчанию настройки на получение сетевой конфигурации по DHCP.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

65. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +/
Сообщение от Heckfy (ok) on 29-Июн-12, 16:42 
>> Ожидаемо, что ip-адрес он получил от гостевой машины, прослушав траффик.
> И как два стека будут уживаться с одним адресом?

Нормально, если учесть, что все пакеты насквозь пролетают в гостевую ОС.
Пример такой настройки сети можно увидеть у многих роутеров с функцией клонирования MAC.
Данные предназначаются одному получателю, а приходят другому, который сам додоставляет их получателю.
А вообще, вторым вариантом может быть виртуальный свитч со span port.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

12. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +/
Сообщение от Аноним (??) on 28-Июн-12, 12:58 
> Не получится ли так, что этот настоящий UEFI способен будет работать внутри
> виртуальной машины и не сможет защитить потребителя от шпионажа?

Они там о другом: ушлые китайцы похоже умудрялись вгружать свой гипервизор прямо до старта ос и запускать ос уже в нем. То-есть, вы сразу бутаетесь в виртуальном окружении, просто не знаете об этом :). И да, это было задолго до новости так что она уж точно ничего не меняет.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

17. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  –1 +/
Сообщение от Jijojim on 28-Июн-12, 13:37 
Ушлые китайцы возможно просто программно правят баги в работе железа.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

36. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +1 +/
Сообщение от Аноним (??) on 28-Июн-12, 23:02 
> Ушлые китайцы возможно просто программно правят баги в работе железа.

Да, например, то что железо подчиняется не им а потенциальному противнику - вполне себе может быть посчитано багом :). При условии что вы - китаец.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +/
Сообщение от Cobold (??) on 28-Июн-12, 14:46 
скорее китайцы посоветовали интелу, что его платы будут лучше (в смысле что вообще будут) продаваться на их рынке, если bmc будет иметь указанные свойства, а кллючи будут лежать у ответственных китайских товарищей. А интел показал что не оценивает моральные страдания остальной части человечества так сильно, что-бы изза них отказываться от китайского рынка. Кому надо, пусть сам читает спеки перед покупкой и выводы делает.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

28. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +/
Сообщение от Vkni (ok) on 28-Июн-12, 17:52 
> скорее китайцы посоветовали интелу, что его платы будут лучше (в смысле что
> вообще будут) продаваться на их рынке, если bmc будет иметь указанные
> свойства, а кллючи будут лежать у ответственных китайских товарищей.

Это очень опасно, т.к. если Интел будет гнать в Китай "китайские платы с трояном", а в остальной мир - свои, без трояна, и если кто-то получит эти ключи, то Китаю будет фигово.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

29. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +/
Сообщение от Cobold (??) on 28-Июн-12, 18:11 
вряд ли интел сам туда троянов вшивает, тем более что эти платы китайцы сами печатают. Интел сделал для них возможность, вполне возможно что даже просто с одноразовым интерфейсом для прошивки ключа, потом через fuse запирается и нет его. А за остальное они сами в ответе, что посеешь то и пожнёшь. Другое дело что интелу похоже глубоко фиолетово что китайцы эти платы по миру продают. Only bussines, чего уж.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

30. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +/
Сообщение от Vkni (ok) on 28-Июн-12, 18:16 
> Другое дело что интелу похоже глубоко фиолетово что китайцы эти платы по миру продают. Only bussines, чего уж.

По-поводу троянов, вшитых в firmware или в ОС, писал Фёдоров, который infowatch@lj. Насколько я понял, основная проблема с ними в том, что их можно использовать ну пару раз от силы. Дальше дырка находится, становится более-менее всем известной, и через неё лезет спам, локеры и остальная дрянь => незакрывать просто нельзя.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

37. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +/
Сообщение от Аноним (??) on 28-Июн-12, 23:03 
> более-менее всем известной, и через неё лезет спам, локеры и остальная
> дрянь => незакрывать просто нельзя.

А это опять же можно пролечить. Как? Подсказал сам интел с секурбутом. Ну вот доверяет железка только тем у кого привкей есть. И все. А у производителей малвари оного по очевидным причинам не будет...

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

39. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +/
Сообщение от Vkni (ok) on 28-Июн-12, 23:40 
> у производителей малвари оного по очевидным причинам не будет...

Как показывает практика, это большая ошибка. Просто ключи ещё пока массово тырить не начали. Кроме того, малварь может быть вполне написана на ЯВУ, которые не подписываются. К примеру, на bash или perl или ocaml.

Кроме того, можно судить по аналогии с ROP (return oriented programming), когда ввели NX бит, и тут же появился метод обхода. То есть если имеется возможность как-то зацепить систему, заставить её что-то исполнить внешнее, наверняка можно будет залить туда всё, что угодно.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

63. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +/
Сообщение от Cobold (??) on 29-Июн-12, 14:51 
Вы правы, но большие дяди это всё ещё не понимают, при том _реально_ не понимают, в аргумент "им до фени" уже совсем не верится - вспомните например как Sony ломали.
А в контексте этой статьи надёжность ключа может действительно не иметь значения, потому что тут два варианта: если в фирмварь зашит бэкдор, с целью поуправлять машиной извне, то да, его рано или поздно расковыряют. А если там полностью автономный троян, который тупо ловит данные со словом 'тяньаньмэнь' и отправляет ответственным товарищам, то кто от этого что получит, кроме геммороя ?
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

64. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +1 +/
Сообщение от Vkni (ok) on 29-Июн-12, 15:11 
> А если там полностью автономный троян, который тупо ловит данные со
> словом 'тяньаньмэнь' и отправляет ответственным товарищам, то кто от этого что
> получит, кроме геммороя ?

Сложно уберечься от соблазна невстроить туда модуль управления. Как часто сложно уберечься от соблазна узнать что-то совершенно бесполезное, но опасное тем, что можешь случайно проболтаться.

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

51. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."  +/
Сообщение от arisu (ok) on 29-Июн-12, 03:33 
> А у производителей малвари оного по очевидным причинам не будет…

дадада. и сертификаты они себе выписать не могут, мы в курсе.

что? как это «выписывали»? какой diginotar? нет, не знаем.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

48. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +/
Сообщение от Аноним (??) on 29-Июн-12, 02:01 
> если кто-то получит эти ключи, то Китаю будет фигово.

А знаете, фирма Actel козырявшая весьма крутой секурити своих FPGA чипов попалась на недокументированных командах позволяющих читать "якобы защищенную от чтения" прошивку, и так далее. Так что некоторые поверившие в маркетинговый крап крепко обломались со своими надеждами что их девайс не склонируют например, или что секретные данные из него не вынут.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

15. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +/
Сообщение от Аноним (??) on 28-Июн-12, 13:36 
>Вопрос даже не в этом. Существует некая проблема, описанная на этой странице:

http://www.xakep.ru/post/58104/default.asp?print=true

Читал, когда еще раньше кидали ссылку. Очень себе в стиле журнала "какер".

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

18. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."  –2 +/
Сообщение от arisu (ok) on 28-Июн-12, 13:39 
опять эта хрень вылезла. proof or GTFO.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

20. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."  +/
Сообщение от nb (??) on 28-Июн-12, 15:21 
https://docs.google.com/gview?url=https://sites.google.com/s... ?

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

26. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."  –1 +/
Сообщение от Vkni (ok) on 28-Июн-12, 17:45 
> https://docs.google.com/gview?url=https://sites.google.com/s...
> ?

Интересно, а её проверяли на VM/370 ака СВМ - http://www.smrcc.org.uk/members/g4ugm/VM370.htm ?

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

16. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."  +1 +/
Сообщение от Аноним (??) on 28-Июн-12, 13:37 
> Делаем ставки через какое время это приспособят для взлома вин8.

Никакой связи.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

68. "На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBoot"  +/
Сообщение от Michael Shigorin email(ok) on 19-Ноя-12, 22:59 
Забавное тематическое:

---
Actually from what I've seen on the security front there seems to a distinct view that secure boot is irrelevant because Windows 8 is so suspend/resume focussed that you might as well just trojan the box until the next reboot as its likely to be a couple of weeks [away].
-- Alan Cox
--- http://lwn.net/Articles/523396/

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
MIRhosting
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру