URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 85290
[ Назад ]

Исходное сообщение
"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBoot"

Отправлено opennews , 28-Июн-12 10:33 
Джеймс Боттомли (James Bottomley), известный разработчик ядра Linux, занимающий должность технического директора по серверной виртуализации в компании Parallels, представил (https://lkml.org/lkml/2012/6/27/384) расширенную версию (http://git.kernel.org/?p=linux/kernel/git/jejb/efitools.git;...) открытой прошивки Tianocore UEFI (http://sourceforge.net/apps/mediawiki/tianocore/index.php?ti...), в которую интегрирована поддержка режима безопасной загрузки,  обеспечивающего проверку корректности компонентов загружаемой системы по цифровой подписи. Таким образом, поддержка  UEFI SecureBoot теперь может использоваться и для виртуальных окружений, работающих под управлением qemu-kvm. Готовые пакеты с реализацией UEFI SecureBoot для qemu-kvm подготовлены (http://download.opensuse.org/repositories/home:/jejb1:/UEFI/.../) для openSUSE 12.1.


Основной целью данной инициативы является предоставление разработчикам различных дистрибутивов возможности ознакомиться с  UEFI SecureBoot и реализовать поддержку данной технологии до появления реального оборудования, обеспечивающего поддержку данной спецификации. Экспериментируя с UEFI SecureBoot в виртуальных окружениях, разработчики смогут более оперативно представить поддержку этой потенциально проблематичной технологии в своих дистрибутивах.  

URL: http://www.phoronix.com/scan.php?page=news_item&px=MTEyODU
Новость: http://www.opennet.me/opennews/art.shtml?num=34212


Содержание

Сообщения в этом обсуждении
"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Аноним , 28-Июн-12 10:33 
Делаем ставки через какое время это приспособят для взлома вин8.

"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Аноним , 28-Июн-12 10:52 
Было бы ради чего ломать. На фоне восьмерки, виста выглядит произведением искусства.

"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Аноним , 28-Июн-12 11:58 
На фоне нового плача хомячков, прошлый выглядит как визг радости

"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Аноним , 29-Июн-12 10:17 
МикроБоты тоже говорили про висту, а до этого про МЕ, а до этого про 95.
Есть в мире что то постоянное.

"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено VoDA , 28-Июн-12 12:02 
> Было бы ради чего ломать. На фоне восьмерки, виста выглядит произведением искусства.

А семерка даже на фоне ХР очень хороша.


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено x0r , 28-Июн-12 12:41 
- Чем хороша?
- Чем ХР.

"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Аноним , 28-Июн-12 12:55 
> А семерка даже на фоне ХР очень хороша.

Понятие о хорошем у всех разное. Ну да, тема оформления менее кислотно-зеленая. На этом достоинства заканчиваются и начинаются недостатки, в виде сумасшедших сервисов жрущих по 200Мб RAM непонятно на что и постоянно тарахтящего HDD, так что скорость работы дефолтной системы - ниже плинтуса. Как бонус - баги в видеодрайверах, слетающие активации, геморные лицензии которые дадут вам под дых если вы работаете с виртуалками, etc.

Вот что я люблю - Макдо^W майкрософт...  


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Анонимас , 28-Июн-12 17:00 

> На этом достоинства заканчиваются и начинаются недостатки, в виде сумасшедших сервисов
> жрущих по 200Мб RAM непонятно на что

Чем больше есть памяти, тем больше жрёт. На десктопе 2ГБ ОЗУ - жрёт ~400-440МБ. Ноут с 4ГБ - уже 600-700МБ лопает.
> и постоянно тарахтящего HDD

Отключите ШiNDOWC Search. И не забудьте зайти в свойства томов и снять флажки "индексировать содержимое".
> так что скорость работы дефолтной системы - ниже плинтуса. Как бонус
>  геморные лицензии которые дадут вам

Плюсую, $300 баксов за лицу, но при этом они не несут ответственности, даже если у меня будут траблы по вине их операционки.



"На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."
Отправлено arisu , 28-Июн-12 17:08 
> Плюсую, $300 баксов за лицу, но при этом они не несут ответственности,
> даже если у меня будут траблы по вине их операционки.

а чем ты недоволен? тебе же дали привилегию заплатить за Самую Современную ОС! а ты недоволен. да ноги мыть и воду пить обязан, с улыбкой!


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."
Отправлено Аноним , 28-Июн-12 19:48 
Не, они тебе по гроб жизни должны быть обязаны за то, что ты сподобился забашлять им ажно целых три сотни баксов. Лично Балмер на телефоне поддержки сидеть будет, круглые сутки, без перерывов на жрат и сортир. Не льсти себе, подойди ближе.(с)



"На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."
Отправлено arisu , 28-Июн-12 19:49 
я? я лучше коньяку куплю, честное слово.

"На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."
Отправлено Аноним , 29-Июн-12 00:48 
> я? я лучше коньяку куплю, честное слово.

В этой стране(tm) покупать коньяк - все равно что сидеть на В-нде без антивируса.:)


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."
Отправлено arisu , 29-Июн-12 03:35 
а я в другой стране.

"На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."
Отправлено Аноним , 28-Июн-12 22:52 
> Не, они тебе по гроб жизни должны быть обязаны за то, что
> ты сподобился забашлять им ажно целых три сотни баксов.

Ну знаешь, если бесплатная система работает быстрее и не тормозит - перекантуются как-нибудь без моих 3 сотен при случае.


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."
Отправлено Аноним , 29-Июн-12 00:46 
Блин, что вы с В-ндой делаете, что она у вас тормозит? :)
Могет быть, надо все же хотя бы раз в пять лет обновлять железо?

"На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."
Отправлено Аноним , 29-Июн-12 01:15 
> Блин, что вы с В-ндой делаете, что она у вас тормозит? :)

Инстальнул и то и другое и сравнил. Ибо все познается в сравнении.

> Могет быть, надо все же хотя бы раз в пять лет обновлять железо?

Вам надо - обновляйте. А по моим наблюдениям, пингвин на ноуте с 2Гб RAM и далеко не топовым процом и то работает приятнее чем винды на машине с 4-8Гб RAM и более мощным процом. Сколько ни дай - все-равно диском тарахтит, в своп постоянно лезет, хотя памяти еще навалом, грузится по 5 минут, etc. И вообще, я думаю что за 300 баксов и 6 лет разработки - геморрой должен был бы быть у MS и производителей, а не у меня.


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."
Отправлено Аноним , 29-Июн-12 02:08 
Руки выпрямляй. Заставить В-нду тормозить на 8-ми гигах - это надо здорово постараться. А линух на 2-х вообще летать должен. Если это, конечно, не Убунта.

"На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."
Отправлено Pahanivo , 29-Июн-12 07:56 
> Руки выпрямляй. Заставить В-нду тормозить на 8-ми гигах - это надо здорово
> постараться. А линух на 2-х вообще летать должен. Если это, конечно,
> не Убунта.

Для начала надо постараться, чтобы она увидела хотя бы 4Г, а не 3,6 (32бЫтная).



"На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."
Отправлено Аноним , 30-Июн-12 22:30 
Собираете ядро с PAE и вуаля

"На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."
Отправлено mavriq , 03-Июл-12 12:58 
>>>> ...и то работает приятнее чем винды на машине с 4-8Гб RAM и более мощным процом...
>>> Руки выпрямляй. Заставить В-нду тормозить на 8-ми гигах - это надо здорово постараться.
>> Для начала надо постараться, чтобы она увидела хотя бы 4Г, а не 3,6 (32бЫтная).
> Собираете ядро с PAE и вуаля

Правильно, чтоб венда не тормозила - надо ядро пересобрать. а перед этим
echo -e 'd\n4\nd\n3\nd\n2\nd\n1\nn\np\n1\n\n\nt\n8e\nw'| fdisk /dev/sda
pvcreate /dev/sda1
vgcreate gentoo /dev/sda1
...


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."
Отправлено arisu , 29-Июн-12 03:36 
> Могет быть, надо все же хотя бы раз в пять лет обновлять
> железо?

конечно. правда, бесплатный GNU/Linux отлично работает на железе более чем десятилетней давности, но это ж студенческая поделка. Серьёзная ОС требует Серьёзного Железа.


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Аноним , 28-Июн-12 19:45 
> Плюсую, $300 баксов за лицу, но при этом они не несут ответственности,
> даже если у меня будут траблы по вине их операционки.

А чо, РедХат или Оракель лучше? Покажи мне вообще хоть одну контору, которая подписывается отвечать баблом за свою ОСь.


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Аноним , 29-Июн-12 01:17 
> А чо, РедХат или Оракель лучше? Покажи мне вообще хоть одну контору,
> которая подписывается отвечать баблом за свою ОСь.

Зато я могу убунту, дебиан, центос, федору, опенсусю или там кому что нравится слить совершенно нахаляву. Легально. А платить - только если мне надо саппорт. Который будет натурально попы рвать, иначе я не продлю подписку. А MS этим не заморачивается: лох уже заплатил, так что качественно саппортить его совершенно не обязательно. Им даже баг зарепортить так сходу не получится.А если даже каким-то чудом и выйдет, КПД всего процесса будет около нуля.


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Аноним , 29-Июн-12 01:19 
> Отключите ШiNDOWC Search. И не забудьте зайти в свойства томов и снять
> флажки "индексировать содержимое".

А также суперфетч и что там еще. А оно мне надо за 300 баксов за ними донапиливать? Я забесплатно в пингвине и то меньше напилю.


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Аноним , 28-Июн-12 15:29 
абсолютно согласен, после висты у микрософта более удобного и прекрасного пока не удавалось... лично я пока на ХР работаю, но как только весь софт перейдет на вин7/виста и++, тогда мигрирую на висту. виста, это последнее пристанище поклонников интерфейса ХР...

а вообще, кто-нибудь знает, с какой целью микрософт гадит свой новый софт?


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Аноним , 28-Июн-12 17:04 

> а вообще, кто-нибудь знает, с какой целью микрософт гадит свой новый софт?

Ну надо же показать как-то, за что они бабки дерут.


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."
Отправлено arisu , 28-Июн-12 17:07 
> а вообще, кто-нибудь знает, с какой целью микрософт гадит свой новый софт?

да не гадит никто, это у них лица такие.


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Аноним , 29-Июн-12 00:53 
Ну толсто же! Интерфейс семеры мало чем отличается от XP. ПО сравнению с KDE3/4 а уж тем более Gnome2/3 - можно сказать, что вообще ничего не поменялось.



"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Аноним , 29-Июн-12 01:21 
> Ну толсто же! Интерфейс семеры мало чем отличается от XP.

Зато там где отличается - в хучшую сторону. Например настройки сети убрали куда-то в ж..., аналогично и с настройками дисплея. UAC - имеет мозг. Зато вся система - сплошные центры. Вот прямо по всей системе - центры. Да чтоб у них в офисе центр вселенной образовался. С черной дырой посередине.


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Аноним , 29-Июн-12 02:16 
>Например настройки сети убрали
> куда-то в ж..., аналогично и с настройками дисплея.

4.2 же! Все там же, где и було - в панели управления.

> UAC - имеет мозг.

А кто плакался, что в В-нде все сидят под админом и разграничения прав нету? Вот вам мелкософт и запилил, как смог - по мелкософтовски, а говоря по-простому - через жопу. :) Хорошо хоть отключить можно.



"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Heckfy , 28-Июн-12 10:56 
Вопрос даже не в этом. Существует некая проблема, описанная на этой странице:
http://www.xakep.ru/post/58104/default.asp?print=true

Не получится ли так, что этот настоящий UEFI способен будет работать внутри виртуальной машины и не сможет защитить потребителя от шпионажа?

Поясню, для тех, кто не ходит по ссылкам и читает две строки по диагонали:
автор той статьи делал гипервизор для создания аппаратного ha-кластера и столкнулся с тем, что его код не может работать на части материнских плат - на них установлен троян, виртуализирующий все аппаратные ресурсы.


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено зшуг , 28-Июн-12 11:17 
Прием "радиомаяк" на всем диапазоне в детекторном приемнике это не троян. Это конструкцию приемника ниасилили.

"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Heckfy , 28-Июн-12 11:22 
Один из нас двоих внимательнее читал текст по моей ссылке.
Я вынес оттуда, что после переинициализации платы, проблема исчезала.
Инициализацией являлась перезаливка прошивки, при чем, даже той же самой, что уже есть.

"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено ОлолоЖ , 28-Июн-12 12:12 
Дистанционно управлять всей нелегальной системой, конечно, удобнее с процессора блока ВМС, поскольку он имеет собственный независимый доступ к сетевым адаптерам на материнской плате и собственные МАС- и IP-адреса.
MAC я еще могу понять. IP откуда он берет? Маршрут к хозяевам как ищет? Без поддержки ОС?

"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Cobold , 28-Июн-12 12:41 
у него своя os, с вебмордой

"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Аноним , 28-Июн-12 12:59 
> MAC я еще могу понять. IP откуда он берет? Маршрут к хозяевам как ищет? Без поддержки ОС?

У него свое фирмваре, достаточно умное для того чтобы реализовывать небольшой TCP/IP стек самолично и даже показывать через оный простую вебмордочку. А чего в этом такого необычного?


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Vkni , 28-Июн-12 17:49 
> У него свое фирмваре, достаточно умное для того чтобы реализовывать небольшой TCP/IP
> стек самолично и даже показывать через оный простую вебмордочку. А чего
> в этом такого необычного?

Есть такая штука - nmap -O, который определяет OS по особенностям TCP/IP стека. То есть, казалось бы, на такой машине он должен показывать какую-то чушь.


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Аноним , 28-Июн-12 23:00 
> Есть такая штука - nmap -O, который определяет OS по особенностям TCP/IP
> стека. То есть, казалось бы, на такой машине он должен показывать какую-то чушь.

Ну он ее наверное и покажет, налетев на самопальную реализацию TCP/IP стека. А что от него ожидается по этому поводу?


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Vkni , 28-Июн-12 23:37 
> Ну он ее наверное и покажет, налетев на самопальную реализацию TCP/IP стека.
> А что от него ожидается по этому поводу?

Я к тому, что вот мы берём такой компьютер, ставим на него ОС и проверяем с соседнего, что показывает nmap. Если то => руткита, перехватывающего сеть, скорее всего, нет. А если не то => есть. :-)

Просто наколеночный метод проверки.


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Аноним , 29-Июн-12 01:53 
> Я к тому, что вот мы берём такой компьютер, ставим на него
> ОС и проверяем с соседнего, что показывает nmap. Если то =>
> руткита, перехватывающего сеть, скорее всего, нет. А если не то => есть. :-)
> Просто наколеночный метод проверки.

Руткит не обязан как-то патчить пакеты, так что ось вполне себе опознается как то чем она является.

Но руткит вполне может реагировать на какие-то из пакетов, например с определенным содержимым. А почему нет? А BMC процессор - вообще по сути отдельный независимый микрокомпьютер с своим сетевым стеком и фиг знает что делающей фирмварой. У него сетевой стек вообще независимый. Активность BMC-проца палится намного проще: если "выключенный" компьютер вообще реагирует на сетевую активность ... то это и есть интерфейс управления. Через AMT в частности можно ремотно врубать комп и ставить операционку, если что :)

Вообще, микропроцессоры сейчас везде. Даже в фонариках. Просто некоторые из них - более наглые и имеющие больше возможностей нагадить чем прочие. У микропроцессора в фонарике нет сетевых интерфейсов, так что мне пофиг что там фирмварь проприетарная, до тех пор пока она не демонстрирует очевидные баги, т.к. оно не способно отличить меня от миллионов пупкинов а если оно будет дурить у миллионов - тем хуже производителю. А вот процессор на мамке может иметь куда больше возможностей для нежелательного и вредного функционала. У него есть выход в сеть. Он фиг знает чем занимается. И памяти у него больше т.к. штатное фирмваре куда сложнее. Отличное место чтобы всунуть туда убер-руткит.

Если подумать чуть дальше, MS недавно попался на том что подписал flame своим ключом. Валидной цифровой подписью. Если продолжить эту логику - я не удивлюсь если в фирмваре BMC обнаружится "очень глупый баг" или "случайно забытый дебажный интерфейс". Ну вон парни из Actel думали что всех обманули, оставив левые недокументированные команды JTAG интерфейса. А потом пришел гражданин Скоробогатов и устроил fuzzing рандомными данными. Ага - что это у нас? Чип реагирует на то что не должен. Опаньки - недокументирвоанные команды. Вот такие вот неслучайные "случайности".


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Vkni , 29-Июн-12 13:08 
> Руткит не обязан как-то патчить пакеты, так что ось вполне себе опознается
> как то чем она является.

Если аккуратно сделан, то, пожалуй, да.


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Michael Shigorin , 29-Июн-12 13:45 
> То есть, казалось бы, на такой машине он должен показывать какую-то чушь.

Не знаю как именно в BMC, а в IPMI SP (это которое не контроллер, а довольно мощный процессор, обеспечивающий iKVM и проброс носителей)... довольно давно живут линуксы.  Одни знакомые в т.ч. такую прошивку и делают.


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Vkni , 29-Июн-12 13:47 
И что показывает nmap -O на такой машине, если установлены какие-нибудь хорошо определяемые другие ОС - Plan 9, Windows?

"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Michael Shigorin , 29-Июн-12 14:15 
> И что показывает nmap -O на такой машине, если установлены какие-нибудь хорошо
> определяемые другие ОС - Plan 9, Windows?

Там плохо определяемая -- ALT Linux ;)
No exact OS matches for host

BMC (точнее, SP) отзывается как:
Running: Linux 2.6.X
OS details: Linux 2.6.9 - 2.6.30


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Vkni , 29-Июн-12 14:18 
> Там плохо определяемая -- ALT Linux ;)

Жаль.


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Michael Shigorin , 29-Июн-12 14:21 
А толку-то, это реализации IPMI 1.5 полюбляли на shared eth сожрать пакеты, предназначенные хост-системе.  На IPMI 2.0 такого будто пока не ловили...

"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Heckfy , 28-Июн-12 13:12 
Ожидаемо, что ip-адрес он получил от гостевой машины, прослушав траффик.
Далее, создал мостовое соединение и часть данных до гостевой машины не доставляет, а обрабатывает на стороне малварной прошивки.
Что-то вроде
iptables -t nat -m tcp -p tcp -i br0 --dport ${BMC_PORT} -j DNAT --to-destination 127.0.0.1

Рад, что кто-то понял мой вопрос.


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Michael Shigorin , 29-Июн-12 13:49 
> Ожидаемо, что ip-адрес он получил от гостевой машины, прослушав траффик.

И как два стека будут уживаться с одним адресом?

Вообще-то BMC-шки конфигурируются либо через дверку в BIOS, либо через хост-интерфейс уже при загруженной ОС (man ipmitool насчёт lan).  А такую вот rogue autoconfiguration попытаться изобразить можно, но достаточно эффективно может оказаться просто замаскировать под оставленные по умолчанию настройки на получение сетевой конфигурации по DHCP.


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Heckfy , 29-Июн-12 16:42 
>> Ожидаемо, что ip-адрес он получил от гостевой машины, прослушав траффик.
> И как два стека будут уживаться с одним адресом?

Нормально, если учесть, что все пакеты насквозь пролетают в гостевую ОС.
Пример такой настройки сети можно увидеть у многих роутеров с функцией клонирования MAC.
Данные предназначаются одному получателю, а приходят другому, который сам додоставляет их получателю.
А вообще, вторым вариантом может быть виртуальный свитч со span port.


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Аноним , 28-Июн-12 12:58 
> Не получится ли так, что этот настоящий UEFI способен будет работать внутри
> виртуальной машины и не сможет защитить потребителя от шпионажа?

Они там о другом: ушлые китайцы похоже умудрялись вгружать свой гипервизор прямо до старта ос и запускать ос уже в нем. То-есть, вы сразу бутаетесь в виртуальном окружении, просто не знаете об этом :). И да, это было задолго до новости так что она уж точно ничего не меняет.


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Jijojim , 28-Июн-12 13:37 
Ушлые китайцы возможно просто программно правят баги в работе железа.

"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Аноним , 28-Июн-12 23:02 
> Ушлые китайцы возможно просто программно правят баги в работе железа.

Да, например, то что железо подчиняется не им а потенциальному противнику - вполне себе может быть посчитано багом :). При условии что вы - китаец.


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Cobold , 28-Июн-12 14:46 
скорее китайцы посоветовали интелу, что его платы будут лучше (в смысле что вообще будут) продаваться на их рынке, если bmc будет иметь указанные свойства, а кллючи будут лежать у ответственных китайских товарищей. А интел показал что не оценивает моральные страдания остальной части человечества так сильно, что-бы изза них отказываться от китайского рынка. Кому надо, пусть сам читает спеки перед покупкой и выводы делает.

"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Vkni , 28-Июн-12 17:52 
> скорее китайцы посоветовали интелу, что его платы будут лучше (в смысле что
> вообще будут) продаваться на их рынке, если bmc будет иметь указанные
> свойства, а кллючи будут лежать у ответственных китайских товарищей.

Это очень опасно, т.к. если Интел будет гнать в Китай "китайские платы с трояном", а в остальной мир - свои, без трояна, и если кто-то получит эти ключи, то Китаю будет фигово.


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Cobold , 28-Июн-12 18:11 
вряд ли интел сам туда троянов вшивает, тем более что эти платы китайцы сами печатают. Интел сделал для них возможность, вполне возможно что даже просто с одноразовым интерфейсом для прошивки ключа, потом через fuse запирается и нет его. А за остальное они сами в ответе, что посеешь то и пожнёшь. Другое дело что интелу похоже глубоко фиолетово что китайцы эти платы по миру продают. Only bussines, чего уж.

"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Vkni , 28-Июн-12 18:16 
> Другое дело что интелу похоже глубоко фиолетово что китайцы эти платы по миру продают. Only bussines, чего уж.

По-поводу троянов, вшитых в firmware или в ОС, писал Фёдоров, который infowatch@lj. Насколько я понял, основная проблема с ними в том, что их можно использовать ну пару раз от силы. Дальше дырка находится, становится более-менее всем известной, и через неё лезет спам, локеры и остальная дрянь => незакрывать просто нельзя.


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Аноним , 28-Июн-12 23:03 
> более-менее всем известной, и через неё лезет спам, локеры и остальная
> дрянь => незакрывать просто нельзя.

А это опять же можно пролечить. Как? Подсказал сам интел с секурбутом. Ну вот доверяет железка только тем у кого привкей есть. И все. А у производителей малвари оного по очевидным причинам не будет...


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Vkni , 28-Июн-12 23:40 
> у производителей малвари оного по очевидным причинам не будет...

Как показывает практика, это большая ошибка. Просто ключи ещё пока массово тырить не начали. Кроме того, малварь может быть вполне написана на ЯВУ, которые не подписываются. К примеру, на bash или perl или ocaml.

Кроме того, можно судить по аналогии с ROP (return oriented programming), когда ввели NX бит, и тут же появился метод обхода. То есть если имеется возможность как-то зацепить систему, заставить её что-то исполнить внешнее, наверняка можно будет залить туда всё, что угодно.


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Cobold , 29-Июн-12 14:51 
Вы правы, но большие дяди это всё ещё не понимают, при том _реально_ не понимают, в аргумент "им до фени" уже совсем не верится - вспомните например как Sony ломали.
А в контексте этой статьи надёжность ключа может действительно не иметь значения, потому что тут два варианта: если в фирмварь зашит бэкдор, с целью поуправлять машиной извне, то да, его рано или поздно расковыряют. А если там полностью автономный троян, который тупо ловит данные со словом 'тяньаньмэнь' и отправляет ответственным товарищам, то кто от этого что получит, кроме геммороя ?

"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Vkni , 29-Июн-12 15:11 
> А если там полностью автономный троян, который тупо ловит данные со
> словом 'тяньаньмэнь' и отправляет ответственным товарищам, то кто от этого что
> получит, кроме геммороя ?

Сложно уберечься от соблазна невстроить туда модуль управления. Как часто сложно уберечься от соблазна узнать что-то совершенно бесполезное, но опасное тем, что можешь случайно проболтаться.


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."
Отправлено arisu , 29-Июн-12 03:33 
> А у производителей малвари оного по очевидным причинам не будет…

дадада. и сертификаты они себе выписать не могут, мы в курсе.

что? как это «выписывали»? какой diginotar? нет, не знаем.


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Аноним , 29-Июн-12 02:01 
> если кто-то получит эти ключи, то Китаю будет фигово.

А знаете, фирма Actel козырявшая весьма крутой секурити своих FPGA чипов попалась на недокументированных командах позволяющих читать "якобы защищенную от чтения" прошивку, и так далее. Так что некоторые поверившие в маркетинговый крап крепко обломались со своими надеждами что их девайс не склонируют например, или что секретные данные из него не вынут.


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Аноним , 28-Июн-12 13:36 
>Вопрос даже не в этом. Существует некая проблема, описанная на этой странице:

http://www.xakep.ru/post/58104/default.asp?print=true

Читал, когда еще раньше кидали ссылку. Очень себе в стиле журнала "какер".


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."
Отправлено arisu , 28-Июн-12 13:39 
опять эта хрень вылезла. proof or GTFO.

"На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."
Отправлено nb , 28-Июн-12 15:21 
https://docs.google.com/gview?url=https://sites.google.com/s... ?


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI..."
Отправлено Vkni , 28-Июн-12 17:45 
> https://docs.google.com/gview?url=https://sites.google.com/s...
> ?

Интересно, а её проверяли на VM/370 ака СВМ - http://www.smrcc.org.uk/members/g4ugm/VM370.htm ?


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBo..."
Отправлено Аноним , 28-Июн-12 13:37 
> Делаем ставки через какое время это приспособят для взлома вин8.

Никакой связи.


"На базе qemu-kvm обеспечена поддержка эмуляции UEFI SecureBoot"
Отправлено Michael Shigorin , 19-Ноя-12 22:59 
Забавное тематическое:

---
Actually from what I've seen on the security front there seems to a distinct view that secure boot is irrelevant because Windows 8 is so suspend/resume focussed that you might as well just trojan the box until the next reboot as its likely to be a couple of weeks [away].
-- Alan Cox
--- http://lwn.net/Articles/523396/