forum.opennet.ru

Составление сообщения

Исходное сообщение

"Выпуск Chrome OS 88"
Отправлено Ruberoid, 29-Янв-21 17:51

Дело не в рабах Поттеринга, дело в 10летнем смузихлёбстве на стороне железа, Интел, и я сейчас об UEFI. Почитайте статейку blogs .gnome .org/hughsie/2020/01/27/hunting-uefi-implants/
В двух словах, это писано Richard'ом Hughes (github .com/hughsie). Ни кто-нибудь, а мейнтейнер Гнома, и создатель и мейнтейр fwupd в этих вашиз Линуксах (всё что обновляет прошивки, фирмвари) и он на короткой ноге со всеми крупными и даже мелкими вендорами, чтобы они присылали оригинальные прошивы, и строго параноидально следит за сигнатурами всего этого добра.
Дак вот, при всём его знании архитектуры и проблематики, даже у него волосы пошевелились, когда он проходил интенсив у Алекса Мотросова, на тему фирмварь имплантов в UEFI, и есть примеры вредоносных прошивок так глубоко, что некоторые очень сложно обнаружить и даже вылечить.
Это значит, что в некоторых случаях вас может не спасти даже правильно самоподписнная цепочка доверия от Owner Platform Key на TPM, заканчивая модулями ядра (хотя это спасает от 99.9% руткитов). Но 99.9% олдфагов вообще Secure Boot отключают (ненужное не нужно).
Ну вот на интесиве у части группы обнаружили "закладки" на их тревелбуках. При том, что аудитория это далеко не "офисный планктон".
Именно поэтому Apple сделал свой дизайн на харварном уровне, который чекает сигнатуру всего.
И... Хромбуки тоже, у них это всё называется Google Titan (для серверов) и на лэптопах тоже CR-чип, в купе с TPM чекает не только всю цепочку загрузки, но и merckle-tree кусков всего тела операционки.
Сама она тоже затвикана жестко, каждое приложение, даже каждая вкладка браузера в своем cgroups. Отдельно допилиная ими под себя LXD-подсистема, где можно пускать ваш любимый дистр от Арча до Убунты... и о чудо, оно даже интегрируется с граф средеой через Crostini.
Чтобы переставить на Хромбук что-то своё, надо в особом режиме в бутлоад сеансе осознанно перейти на Dev-mode, но образ оригинальной ОСи и всех прошивок все равно останется в ROM, поэтому всегда можно сделать Powerwash обратно с гарантией целостности.
Больше таких потребительских машин, которые "вылечены" от хардварных проблем в UEFI - нет. Простой BIOS - это еще хуже, если что.

Исходное сообщение
"Выпуск Chrome OS 88" Отправлено Ruberoid, 29-Янв-21 17:51
Дело не в рабах Поттеринга, дело в 10летнем смузихлёбстве на стороне железа, Интел, и я сейчас об UEFI. Почитайте статейку blogs .gnome .org/hughsie/2020/01/27/hunting-uefi-implants/ В двух словах, это писано Richard'ом Hughes (github .com/hughsie). Ни кто-нибудь, а мейнтейнер Гнома, и создатель и мейнтейр fwupd в этих вашиз Линуксах (всё что обновляет прошивки, фирмвари) и он на короткой ноге со всеми крупными и даже мелкими вендорами, чтобы они присылали оригинальные прошивы, и строго параноидально следит за сигнатурами всего этого добра. Дак вот, при всём его знании архитектуры и проблематики, даже у него волосы пошевелились, когда он проходил интенсив у Алекса Мотросова, на тему фирмварь имплантов в UEFI, и есть примеры вредоносных прошивок так глубоко, что некоторые очень сложно обнаружить и даже вылечить. Это значит, что в некоторых случаях вас может не спасти даже правильно самоподписнная цепочка доверия от Owner Platform Key на TPM, заканчивая модулями ядра (хотя это спасает от 99.9% руткитов). Но 99.9% олдфагов вообще Secure Boot отключают (ненужное не нужно). Ну вот на интесиве у части группы обнаружили "закладки" на их тревелбуках. При том, что аудитория это далеко не "офисный планктон". Именно поэтому Apple сделал свой дизайн на харварном уровне, который чекает сигнатуру всего. И... Хромбуки тоже, у них это всё называется Google Titan (для серверов) и на лэптопах тоже CR-чип, в купе с TPM чекает не только всю цепочку загрузки, но и merckle-tree кусков всего тела операционки. Сама она тоже затвикана жестко, каждое приложение, даже каждая вкладка браузера в своем cgroups. Отдельно допилиная ими под себя LXD-подсистема, где можно пускать ваш любимый дистр от Арча до Убунты... и о чудо, оно даже интегрируется с граф средеой через Crostini. Чтобы переставить на Хромбук что-то своё, надо в особом режиме в бутлоад сеансе осознанно перейти на Dev-mode, но образ оригинальной ОСи и всех прошивок все равно останется в ROM, поэтому всегда можно сделать Powerwash обратно с гарантией целостности. Больше таких потребительских машин, которые "вылечены" от хардварных проблем в UEFI - нет. Простой BIOS - это еще хуже, если что.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Дело не в рабах Поттеринга, дело в 10летнем смузихлёбстве на стороне железа, > Интел, и я сейчас об UEFI. Почитайте статейку blogs .gnome .org/hughsie/2020/01/27/hunting-uefi-implants/ > В двух словах, это писано Richard'ом Hughes (github .com/hughsie). Ни кто-нибудь, а > мейнтейнер Гнома, и создатель и мейнтейр fwupd в этих вашиз Линуксах > (всё что обновляет прошивки, фирмвари) и он на короткой ноге со > всеми крупными и даже мелкими вендорами, чтобы они присылали оригинальные прошивы, > и строго параноидально следит за сигнатурами всего этого добра. > Дак вот, при всём его знании архитектуры и проблематики, даже у него > волосы пошевелились, когда он проходил интенсив у Алекса Мотросова, на тему > фирмварь имплантов в UEFI, и есть примеры вредоносных прошивок так глубоко, > что некоторые очень сложно обнаружить и даже вылечить. > Это значит, что в некоторых случаях вас может не спасти даже правильно > самоподписнная цепочка доверия от Owner Platform Key на TPM, заканчивая модулями > ядра (хотя это спасает от 99.9% руткитов). Но 99.9% олдфагов вообще > Secure Boot отключают (ненужное не нужно). > Ну вот на интесиве у части группы обнаружили "закладки" на их тревелбуках. > При том, что аудитория это далеко не "офисный планктон". > Именно поэтому Apple сделал свой дизайн на харварном уровне, который чекает сигнатуру > всего. > И... Хромбуки тоже, у них это всё называется Google Titan (для серверов) > и на лэптопах тоже CR-чип, в купе с TPM чекает не > только всю цепочку загрузки, но и merckle-tree кусков всего тела операционки. > Сама она тоже затвикана жестко, каждое приложение, даже каждая вкладка браузера в > своем cgroups. Отдельно допилиная ими под себя LXD-подсистема, где можно пускать > ваш любимый дистр от Арча до Убунты... и о чудо, оно > даже интегрируется с граф средеой через Crostini. > Чтобы переставить на Хромбук что-то своё, надо в особом режиме в бутлоад > сеансе осознанно перейти на Dev-mode, но образ оригинальной ОСи и всех > прошивок все равно останется в ROM, поэтому всегда можно сделать Powerwash > обратно с гарантией целостности. > Больше таких потребительских машин, которые "вылечены" от хардварных проблем в UEFI - > нет. Простой BIOS - это еще хуже, если что.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру