Всем привет! На связи Алексей Гаврилов, DevOps-инженер компании «Флант». Эта статья предназначена для довольно искушённых пользователей Linux. Я покажу, как устанавливать Debian или его аналоги стандартным установщиком в Secure boot. Эту установку я проверил на AWS ARM64 и в Selectel Cloud. Также конечные скрипты работают на служебном Lenovo ThinkPad T14 и личном L380 Yoga.
Рубрика «Secure Boot»
Как сделать безопасную загрузку с полностью зашифрованным диском на Linux без загрузчика на UEFI
2024-08-19 в 5:55, admin, рубрики: Debian, devops, EFI, efiboot, open source, Secure Boot, SecureBoot, UEFI, безопасность, загрузчикИспользуем Secure Boot в Linux на всю катушку
2016-08-18 в 10:00, admin, рубрики: encryption, FDE, initramfs, kernel, linux, luks, LVM, Secure Boot, Ubuntu, UEFI, Настройка Linux
Технология Secure Boot нацелена на предотвращение исполнения недоверенного кода при загрузке операционной системы, то есть защиту от буткитов и атак типа Evil Maid. Устройства с Secure Boot содержат в энергонезависимой памяти базу данных открытых ключей, которыми проверяются подписи загружаемых UEFI-приложений вроде загрузчиков ОС и драйверов. Приложения, подписанные доверенным ключом и с правильной контрольной суммой, допускаются к загрузке, остальные блокируются.
Более подробно о Secure Boot можно узнать из цикла статей от CodeRush.
Чтобы Secure Boot обеспечивал безопасность, подписываемые приложения должны соблюдать некоторый «кодекс чести»: не иметь в себе лазеек для неограниченного доступа к системе и параметрам Secure Boot, а также требовать того же от загружаемых ими приложений. Если подписанное приложение предоставляет возможность недобросовестного использования напрямую или путём загрузки других приложений, оно становится угрозой безопасности всех пользователей, доверяющих этому приложению. Такую угрозу представляют загрузчик shim, подписываемый Microsoft, и загружаемый им GRUB.
Чтобы от этого защититься, мы установим Ubuntu с шифрованием всего диска на базе LUKS и LVM, защитим initramfs от изменений, объединив его с ядром в одно UEFI-приложение, и подпишем его собственными ключами.Читать полностью »
В сеть утек «золотой ключ» Microsoft от Secure Boot
2016-08-11 в 15:16, admin, рубрики: microsoft, Secure Boot, surface rt, UEFI, windows, информационная безопасность, РЕШЕТО
Surface RT, теперь и с разблокированным загрузчиком!
Microsoft случайно выложила свой «золотой ключ», позволяющий хакерам разблокировать защищенные Secure Boot устройства под управлением Windows. Secure Boot — это часть прошивки UEFI, проверяющая цифровые подписи компонентов загрузчика Windows для защиты от постороннего вмешательства.
Читать полностью »
Золотой ключик — неустранимая возможность полного обхода Secure Boot на большинстве Windows-устройств
2016-08-10 в 22:04, admin, рубрики: backdoor, golden keys, Secure Boot, UEFI, Windows RT, золотой ключик, золотой ключик Папы Карло, информационная безопасность, криптография, разработка под windows
Исследователями безопасности MY123 и Slipstream был найдена уязвимость в реализации механизма Secure Boot многих устройств, позволяющая полностью обойти требование наличия надлежащим образом подписанного исполняемого кода для запуска на этих устройствах. Это, в частности, означает, что владельцы планшетов с Windows RT смогут вновь получат возможность устанавливать альтернативную операционную систему. Но так же это означает, что и головной боли у системных администраторов прибавится, ведь уязвимость открывает новые возможности для установки руткитов.
Энтузиасты разместили подробную информацию на специальной страничке, оформленной в стиле демо-сцены.
Microsoft удалила из Windows RT встроенный бэкдор, который позволяет обойти Secure Boot и установить Linux
2016-07-17 в 18:46, admin, рубрики: KB3172727, linux, MS16-094, Secure Boot, windows, Windows RT, информационная безопасность, операционные системы, планшетыБэкдор также присутствует в Windows 8.1, Windows Server 2012, Windows 10 и Windows Server Core
С последним Patch Tuesday 12 июля 2016 года компания Microsoft устранила dev-бэкдор в Windows RT — в версии операционной системы Windows 8.x, портированной на устройства с 32-битными ARMv7. С его помощью разработчики и хакеры могли устанавливать на планшеты операционные системы, не одобренные Microsoft. Например, Android или GNU/Linux.
Бэкдор был внедрён программистами Microsoft на этапе разработки ОС, но после установки свежего обновления планшеты будут окончательно привязаны к Windows RT на аппаратном уровне.
Читать полностью »
Обновление KB3133977 выводит из строя некоторые компьютеры Windows 7 x64
2016-05-06 в 15:47, admin, рубрики: asus, Secure Boot, UEFI, windows, Windows 10, windows 7, Железо, материнская плата, Настольные компьютеры 
Всем известно, какие усилия предпринимает Microsoft, чтобы перевести пользовательскую базу на новую операционную систему Windows 10. Но то, что она сделала сейчас, абсолютно необъяснимо.
Если вкратце: Microsoft внесла небольшое, но совершенно странное изменение в Windows Update на Windows 7, которое выводит из строя компьютеры с материнскими платами Asus. Затем компания Microsoft подтвердила, что с этим апдейтом компьютеры действительно не загружаются, и рекомендовала обновиться на Windows 10.
Читать полностью »
Немного про UEFI и Secure Boot
2013-07-03 в 20:31, admin, рубрики: EFI, linux, Secure Boot, tpm, trusted computing, UEFI, windows, информационная безопасность, метки: EFI, Secure Boot, tpm, trusted computing, UEFIUEFI
UEFI (Unified Extensible Firmware Interface) — замена устаревшему BIOS. Эта спецификация была придумана Intel для Itanium, тогда она еще называлась EFI (Extensible Firmware Interface), а потом была портирована на x86, x64 и ARM. Она разительно отличается от BIOS как самой процедурой загрузки, так и способами взаимодействия с ОС. Если вы купили компьютер в 2010 году и позже, то, вероятнее всего, у вас UEFI.Читать полностью »
Уязвимость «физического присутствия» в UEFI
2012-08-25 в 18:10, admin, рубрики: rootkit, Secure Boot, UEFI, Железо, информационная безопасность, системное администрирование, метки: rootkit, Secure Boot, UEFI 
Новые стандарты UEFI предполагают, что физическое присутствие человека (оператора) позволит защититься от автоматизированных действий вредоносного ПО по модификации различного рода ключей (которыми проверяется валидность загружаемого ПО), заливки неправильных версий БИОСа и т.д.
Логика такая: разрешить эти действия (которые позволят загрузить что попало) только при физическом подтверждении с клавиатуры. Мол, ни один злобный вирус не сможет физически нажать кноку на клавиатуре для биоса.
Я сейчас даже не буду рассматривать вероятность взлома прошивок USB-устройств для отправки нужных комбинаций кнопок.
Я хочу поговорить о такой страшной вещи, как IPMI и iLO со встроенными KVM'ами. И о том, как легко обходится задача «физического присутствия» в современном серверном железе.
Читать полностью »
Конкурс комиксов против ограниченной загрузки: Защитим свободу пользователей на планшетах и смартфонах
2012-03-11 в 13:03, admin, рубрики: FSF, microsoft, Secure Boot, ФСПОЗаймитесь увлекательным творчеством, помогая нам информировать общество и воздействовать на “Майкрософт” и производителей компьютеров — присоединяйтесь к конкурсу комиксов против “ограниченной загрузки”!
В декабре “Майкрософт”, очевидно, уступила давлению общественности, молча добавив в требования сертификации на совместимость с Windows 8 условие, что у пользователя настольного компьютера должна быть возможность контролировать (и отключать) функцию “безопасной загрузки” на любом компьютере c Windows 8, который не основан на архитектуре ARM. С точки зрения пользователей свободных программ это победа, поскольку этоЧитать полностью »
*nix / Microsoft продавливает аналог Secure Boot на ARM-архитектуре
2012-03-01 в 8:07, admin, рубрики: drm, FSF, microsoft, Secure Boot, UEFI, Windows 8, метки: drm, FSF, microsoft, Secure Boot, UEFI, Windows 8Сегодня я получил писмьо от Free Software Foundation в котором рассказывается о продолжении наступления Microsoft, о котором уже рассказывали на Хабре.
Возможно, это звучит слегка драматизировано для кого-то, но этот факт, тем не менее, заслуживает внимания, т. к. речь идет о дальнейшем ущемлении прав пользователей компьютеров.
Речь идет о технологии, родственной технологии «Безопасная загрузка» (Secure Boot), котороя не смотря на своё, вполне дружелюбное, название может легко быть трактована двояко.
Не смотря на то, что в декабре Microsoft учла волну критики пользователей и согласилась сЧитать полностью »