Джеймс Боттомли (James Bottomley), известный разработчик ядра Linux, занимающий должность технического директора по серверной виртуализации в компании Parallels, представил (https://lkml.org/lkml/2012/6/27/384) расширенную версию (http://git.kernel.org/?p=linux/kernel/git/jejb/efitools.git;...) открытой прошивки Tianocore UEFI (http://sourceforge.net/apps/mediawiki/tianocore/index.php?ti...), в которую интегрирована поддержка режима безопасной загрузки, обеспечивающего проверку корректности компонентов загружаемой системы по цифровой подписи. Таким образом, поддержка UEFI SecureBoot теперь может использоваться и для виртуальных окружений, работающих под управлением qemu-kvm. Готовые пакеты с реализацией UEFI SecureBoot для qemu-kvm подготовлены (http://download.opensuse.org/repositories/home:/jejb1:/UEFI/.../) для openSUSE 12.1.
Основной целью данной инициативы является предоставление разработчикам различных дистрибутивов возможности ознакомиться с UEFI SecureBoot и реализовать поддержку данной технологии до появления реального оборудования, обеспечивающего поддержку данной спецификации. Экспериментируя с UEFI SecureBoot в виртуальных окружениях, разработчики смогут более оперативно представить поддержку этой потенциально проблематичной технологии в своих дистрибутивах.URL: http://www.phoronix.com/scan.php?page=news_item&px=MTEyODU
Новость: http://www.opennet.me/opennews/art.shtml?num=34212
Делаем ставки через какое время это приспособят для взлома вин8.
Было бы ради чего ломать. На фоне восьмерки, виста выглядит произведением искусства.
На фоне нового плача хомячков, прошлый выглядит как визг радости
МикроБоты тоже говорили про висту, а до этого про МЕ, а до этого про 95.
Есть в мире что то постоянное.
> Было бы ради чего ломать. На фоне восьмерки, виста выглядит произведением искусства.А семерка даже на фоне ХР очень хороша.
- Чем хороша?
- Чем ХР.
> А семерка даже на фоне ХР очень хороша.Понятие о хорошем у всех разное. Ну да, тема оформления менее кислотно-зеленая. На этом достоинства заканчиваются и начинаются недостатки, в виде сумасшедших сервисов жрущих по 200Мб RAM непонятно на что и постоянно тарахтящего HDD, так что скорость работы дефолтной системы - ниже плинтуса. Как бонус - баги в видеодрайверах, слетающие активации, геморные лицензии которые дадут вам под дых если вы работаете с виртуалками, etc.
Вот что я люблю - Макдо^W майкрософт...
> На этом достоинства заканчиваются и начинаются недостатки, в виде сумасшедших сервисов
> жрущих по 200Мб RAM непонятно на чтоЧем больше есть памяти, тем больше жрёт. На десктопе 2ГБ ОЗУ - жрёт ~400-440МБ. Ноут с 4ГБ - уже 600-700МБ лопает.
> и постоянно тарахтящего HDDОтключите ШiNDOWC Search. И не забудьте зайти в свойства томов и снять флажки "индексировать содержимое".
> так что скорость работы дефолтной системы - ниже плинтуса. Как бонус
> геморные лицензии которые дадут вамПлюсую, $300 баксов за лицу, но при этом они не несут ответственности, даже если у меня будут траблы по вине их операционки.
> Плюсую, $300 баксов за лицу, но при этом они не несут ответственности,
> даже если у меня будут траблы по вине их операционки.а чем ты недоволен? тебе же дали привилегию заплатить за Самую Современную ОС! а ты недоволен. да ноги мыть и воду пить обязан, с улыбкой!
Не, они тебе по гроб жизни должны быть обязаны за то, что ты сподобился забашлять им ажно целых три сотни баксов. Лично Балмер на телефоне поддержки сидеть будет, круглые сутки, без перерывов на жрат и сортир. Не льсти себе, подойди ближе.(с)
я? я лучше коньяку куплю, честное слово.
> я? я лучше коньяку куплю, честное слово.В этой стране(tm) покупать коньяк - все равно что сидеть на В-нде без антивируса.:)
а я в другой стране.
> Не, они тебе по гроб жизни должны быть обязаны за то, что
> ты сподобился забашлять им ажно целых три сотни баксов.Ну знаешь, если бесплатная система работает быстрее и не тормозит - перекантуются как-нибудь без моих 3 сотен при случае.
Блин, что вы с В-ндой делаете, что она у вас тормозит? :)
Могет быть, надо все же хотя бы раз в пять лет обновлять железо?
> Блин, что вы с В-ндой делаете, что она у вас тормозит? :)Инстальнул и то и другое и сравнил. Ибо все познается в сравнении.
> Могет быть, надо все же хотя бы раз в пять лет обновлять железо?
Вам надо - обновляйте. А по моим наблюдениям, пингвин на ноуте с 2Гб RAM и далеко не топовым процом и то работает приятнее чем винды на машине с 4-8Гб RAM и более мощным процом. Сколько ни дай - все-равно диском тарахтит, в своп постоянно лезет, хотя памяти еще навалом, грузится по 5 минут, etc. И вообще, я думаю что за 300 баксов и 6 лет разработки - геморрой должен был бы быть у MS и производителей, а не у меня.
Руки выпрямляй. Заставить В-нду тормозить на 8-ми гигах - это надо здорово постараться. А линух на 2-х вообще летать должен. Если это, конечно, не Убунта.
> Руки выпрямляй. Заставить В-нду тормозить на 8-ми гигах - это надо здорово
> постараться. А линух на 2-х вообще летать должен. Если это, конечно,
> не Убунта.Для начала надо постараться, чтобы она увидела хотя бы 4Г, а не 3,6 (32бЫтная).
Собираете ядро с PAE и вуаля
>>>> ...и то работает приятнее чем винды на машине с 4-8Гб RAM и более мощным процом...
>>> Руки выпрямляй. Заставить В-нду тормозить на 8-ми гигах - это надо здорово постараться.
>> Для начала надо постараться, чтобы она увидела хотя бы 4Г, а не 3,6 (32бЫтная).
> Собираете ядро с PAE и вуаляПравильно, чтоб венда не тормозила - надо ядро пересобрать. а перед этим
echo -e 'd\n4\nd\n3\nd\n2\nd\n1\nn\np\n1\n\n\nt\n8e\nw'| fdisk /dev/sda
pvcreate /dev/sda1
vgcreate gentoo /dev/sda1
...
> Могет быть, надо все же хотя бы раз в пять лет обновлять
> железо?конечно. правда, бесплатный GNU/Linux отлично работает на железе более чем десятилетней давности, но это ж студенческая поделка. Серьёзная ОС требует Серьёзного Железа.
> Плюсую, $300 баксов за лицу, но при этом они не несут ответственности,
> даже если у меня будут траблы по вине их операционки.А чо, РедХат или Оракель лучше? Покажи мне вообще хоть одну контору, которая подписывается отвечать баблом за свою ОСь.
> А чо, РедХат или Оракель лучше? Покажи мне вообще хоть одну контору,
> которая подписывается отвечать баблом за свою ОСь.Зато я могу убунту, дебиан, центос, федору, опенсусю или там кому что нравится слить совершенно нахаляву. Легально. А платить - только если мне надо саппорт. Который будет натурально попы рвать, иначе я не продлю подписку. А MS этим не заморачивается: лох уже заплатил, так что качественно саппортить его совершенно не обязательно. Им даже баг зарепортить так сходу не получится.А если даже каким-то чудом и выйдет, КПД всего процесса будет около нуля.
> Отключите ШiNDOWC Search. И не забудьте зайти в свойства томов и снять
> флажки "индексировать содержимое".А также суперфетч и что там еще. А оно мне надо за 300 баксов за ними донапиливать? Я забесплатно в пингвине и то меньше напилю.
абсолютно согласен, после висты у микрософта более удобного и прекрасного пока не удавалось... лично я пока на ХР работаю, но как только весь софт перейдет на вин7/виста и++, тогда мигрирую на висту. виста, это последнее пристанище поклонников интерфейса ХР...а вообще, кто-нибудь знает, с какой целью микрософт гадит свой новый софт?
> а вообще, кто-нибудь знает, с какой целью микрософт гадит свой новый софт?Ну надо же показать как-то, за что они бабки дерут.
> а вообще, кто-нибудь знает, с какой целью микрософт гадит свой новый софт?да не гадит никто, это у них лица такие.
Ну толсто же! Интерфейс семеры мало чем отличается от XP. ПО сравнению с KDE3/4 а уж тем более Gnome2/3 - можно сказать, что вообще ничего не поменялось.
> Ну толсто же! Интерфейс семеры мало чем отличается от XP.Зато там где отличается - в хучшую сторону. Например настройки сети убрали куда-то в ж..., аналогично и с настройками дисплея. UAC - имеет мозг. Зато вся система - сплошные центры. Вот прямо по всей системе - центры. Да чтоб у них в офисе центр вселенной образовался. С черной дырой посередине.
>Например настройки сети убрали
> куда-то в ж..., аналогично и с настройками дисплея.4.2 же! Все там же, где и було - в панели управления.
> UAC - имеет мозг.
А кто плакался, что в В-нде все сидят под админом и разграничения прав нету? Вот вам мелкософт и запилил, как смог - по мелкософтовски, а говоря по-простому - через жопу. :) Хорошо хоть отключить можно.
Вопрос даже не в этом. Существует некая проблема, описанная на этой странице:
http://www.xakep.ru/post/58104/default.asp?print=trueНе получится ли так, что этот настоящий UEFI способен будет работать внутри виртуальной машины и не сможет защитить потребителя от шпионажа?
Поясню, для тех, кто не ходит по ссылкам и читает две строки по диагонали:
автор той статьи делал гипервизор для создания аппаратного ha-кластера и столкнулся с тем, что его код не может работать на части материнских плат - на них установлен троян, виртуализирующий все аппаратные ресурсы.
Прием "радиомаяк" на всем диапазоне в детекторном приемнике это не троян. Это конструкцию приемника ниасилили.
Один из нас двоих внимательнее читал текст по моей ссылке.
Я вынес оттуда, что после переинициализации платы, проблема исчезала.
Инициализацией являлась перезаливка прошивки, при чем, даже той же самой, что уже есть.
Дистанционно управлять всей нелегальной системой, конечно, удобнее с процессора блока ВМС, поскольку он имеет собственный независимый доступ к сетевым адаптерам на материнской плате и собственные МАС- и IP-адреса.
MAC я еще могу понять. IP откуда он берет? Маршрут к хозяевам как ищет? Без поддержки ОС?
у него своя os, с вебмордой
> MAC я еще могу понять. IP откуда он берет? Маршрут к хозяевам как ищет? Без поддержки ОС?У него свое фирмваре, достаточно умное для того чтобы реализовывать небольшой TCP/IP стек самолично и даже показывать через оный простую вебмордочку. А чего в этом такого необычного?
> У него свое фирмваре, достаточно умное для того чтобы реализовывать небольшой TCP/IP
> стек самолично и даже показывать через оный простую вебмордочку. А чего
> в этом такого необычного?Есть такая штука - nmap -O, который определяет OS по особенностям TCP/IP стека. То есть, казалось бы, на такой машине он должен показывать какую-то чушь.
> Есть такая штука - nmap -O, который определяет OS по особенностям TCP/IP
> стека. То есть, казалось бы, на такой машине он должен показывать какую-то чушь.Ну он ее наверное и покажет, налетев на самопальную реализацию TCP/IP стека. А что от него ожидается по этому поводу?
> Ну он ее наверное и покажет, налетев на самопальную реализацию TCP/IP стека.
> А что от него ожидается по этому поводу?Я к тому, что вот мы берём такой компьютер, ставим на него ОС и проверяем с соседнего, что показывает nmap. Если то => руткита, перехватывающего сеть, скорее всего, нет. А если не то => есть. :-)
Просто наколеночный метод проверки.
> Я к тому, что вот мы берём такой компьютер, ставим на него
> ОС и проверяем с соседнего, что показывает nmap. Если то =>
> руткита, перехватывающего сеть, скорее всего, нет. А если не то => есть. :-)
> Просто наколеночный метод проверки.Руткит не обязан как-то патчить пакеты, так что ось вполне себе опознается как то чем она является.
Но руткит вполне может реагировать на какие-то из пакетов, например с определенным содержимым. А почему нет? А BMC процессор - вообще по сути отдельный независимый микрокомпьютер с своим сетевым стеком и фиг знает что делающей фирмварой. У него сетевой стек вообще независимый. Активность BMC-проца палится намного проще: если "выключенный" компьютер вообще реагирует на сетевую активность ... то это и есть интерфейс управления. Через AMT в частности можно ремотно врубать комп и ставить операционку, если что :)
Вообще, микропроцессоры сейчас везде. Даже в фонариках. Просто некоторые из них - более наглые и имеющие больше возможностей нагадить чем прочие. У микропроцессора в фонарике нет сетевых интерфейсов, так что мне пофиг что там фирмварь проприетарная, до тех пор пока она не демонстрирует очевидные баги, т.к. оно не способно отличить меня от миллионов пупкинов а если оно будет дурить у миллионов - тем хуже производителю. А вот процессор на мамке может иметь куда больше возможностей для нежелательного и вредного функционала. У него есть выход в сеть. Он фиг знает чем занимается. И памяти у него больше т.к. штатное фирмваре куда сложнее. Отличное место чтобы всунуть туда убер-руткит.
Если подумать чуть дальше, MS недавно попался на том что подписал flame своим ключом. Валидной цифровой подписью. Если продолжить эту логику - я не удивлюсь если в фирмваре BMC обнаружится "очень глупый баг" или "случайно забытый дебажный интерфейс". Ну вон парни из Actel думали что всех обманули, оставив левые недокументированные команды JTAG интерфейса. А потом пришел гражданин Скоробогатов и устроил fuzzing рандомными данными. Ага - что это у нас? Чип реагирует на то что не должен. Опаньки - недокументирвоанные команды. Вот такие вот неслучайные "случайности".
> Руткит не обязан как-то патчить пакеты, так что ось вполне себе опознается
> как то чем она является.Если аккуратно сделан, то, пожалуй, да.
> То есть, казалось бы, на такой машине он должен показывать какую-то чушь.Не знаю как именно в BMC, а в IPMI SP (это которое не контроллер, а довольно мощный процессор, обеспечивающий iKVM и проброс носителей)... довольно давно живут линуксы. Одни знакомые в т.ч. такую прошивку и делают.
И что показывает nmap -O на такой машине, если установлены какие-нибудь хорошо определяемые другие ОС - Plan 9, Windows?
> И что показывает nmap -O на такой машине, если установлены какие-нибудь хорошо
> определяемые другие ОС - Plan 9, Windows?Там плохо определяемая -- ALT Linux ;)
No exact OS matches for hostBMC (точнее, SP) отзывается как:
Running: Linux 2.6.X
OS details: Linux 2.6.9 - 2.6.30
> Там плохо определяемая -- ALT Linux ;)Жаль.
А толку-то, это реализации IPMI 1.5 полюбляли на shared eth сожрать пакеты, предназначенные хост-системе. На IPMI 2.0 такого будто пока не ловили...
Ожидаемо, что ip-адрес он получил от гостевой машины, прослушав траффик.
Далее, создал мостовое соединение и часть данных до гостевой машины не доставляет, а обрабатывает на стороне малварной прошивки.
Что-то вроде
iptables -t nat -m tcp -p tcp -i br0 --dport ${BMC_PORT} -j DNAT --to-destination 127.0.0.1Рад, что кто-то понял мой вопрос.
> Ожидаемо, что ip-адрес он получил от гостевой машины, прослушав траффик.И как два стека будут уживаться с одним адресом?
Вообще-то BMC-шки конфигурируются либо через дверку в BIOS, либо через хост-интерфейс уже при загруженной ОС (man ipmitool насчёт lan). А такую вот rogue autoconfiguration попытаться изобразить можно, но достаточно эффективно может оказаться просто замаскировать под оставленные по умолчанию настройки на получение сетевой конфигурации по DHCP.
>> Ожидаемо, что ip-адрес он получил от гостевой машины, прослушав траффик.
> И как два стека будут уживаться с одним адресом?Нормально, если учесть, что все пакеты насквозь пролетают в гостевую ОС.
Пример такой настройки сети можно увидеть у многих роутеров с функцией клонирования MAC.
Данные предназначаются одному получателю, а приходят другому, который сам додоставляет их получателю.
А вообще, вторым вариантом может быть виртуальный свитч со span port.
> Не получится ли так, что этот настоящий UEFI способен будет работать внутри
> виртуальной машины и не сможет защитить потребителя от шпионажа?Они там о другом: ушлые китайцы похоже умудрялись вгружать свой гипервизор прямо до старта ос и запускать ос уже в нем. То-есть, вы сразу бутаетесь в виртуальном окружении, просто не знаете об этом :). И да, это было задолго до новости так что она уж точно ничего не меняет.
Ушлые китайцы возможно просто программно правят баги в работе железа.
> Ушлые китайцы возможно просто программно правят баги в работе железа.Да, например, то что железо подчиняется не им а потенциальному противнику - вполне себе может быть посчитано багом :). При условии что вы - китаец.
скорее китайцы посоветовали интелу, что его платы будут лучше (в смысле что вообще будут) продаваться на их рынке, если bmc будет иметь указанные свойства, а кллючи будут лежать у ответственных китайских товарищей. А интел показал что не оценивает моральные страдания остальной части человечества так сильно, что-бы изза них отказываться от китайского рынка. Кому надо, пусть сам читает спеки перед покупкой и выводы делает.
> скорее китайцы посоветовали интелу, что его платы будут лучше (в смысле что
> вообще будут) продаваться на их рынке, если bmc будет иметь указанные
> свойства, а кллючи будут лежать у ответственных китайских товарищей.Это очень опасно, т.к. если Интел будет гнать в Китай "китайские платы с трояном", а в остальной мир - свои, без трояна, и если кто-то получит эти ключи, то Китаю будет фигово.
вряд ли интел сам туда троянов вшивает, тем более что эти платы китайцы сами печатают. Интел сделал для них возможность, вполне возможно что даже просто с одноразовым интерфейсом для прошивки ключа, потом через fuse запирается и нет его. А за остальное они сами в ответе, что посеешь то и пожнёшь. Другое дело что интелу похоже глубоко фиолетово что китайцы эти платы по миру продают. Only bussines, чего уж.
> Другое дело что интелу похоже глубоко фиолетово что китайцы эти платы по миру продают. Only bussines, чего уж.По-поводу троянов, вшитых в firmware или в ОС, писал Фёдоров, который infowatch@lj. Насколько я понял, основная проблема с ними в том, что их можно использовать ну пару раз от силы. Дальше дырка находится, становится более-менее всем известной, и через неё лезет спам, локеры и остальная дрянь => незакрывать просто нельзя.
> более-менее всем известной, и через неё лезет спам, локеры и остальная
> дрянь => незакрывать просто нельзя.А это опять же можно пролечить. Как? Подсказал сам интел с секурбутом. Ну вот доверяет железка только тем у кого привкей есть. И все. А у производителей малвари оного по очевидным причинам не будет...
> у производителей малвари оного по очевидным причинам не будет...Как показывает практика, это большая ошибка. Просто ключи ещё пока массово тырить не начали. Кроме того, малварь может быть вполне написана на ЯВУ, которые не подписываются. К примеру, на bash или perl или ocaml.
Кроме того, можно судить по аналогии с ROP (return oriented programming), когда ввели NX бит, и тут же появился метод обхода. То есть если имеется возможность как-то зацепить систему, заставить её что-то исполнить внешнее, наверняка можно будет залить туда всё, что угодно.
Вы правы, но большие дяди это всё ещё не понимают, при том _реально_ не понимают, в аргумент "им до фени" уже совсем не верится - вспомните например как Sony ломали.
А в контексте этой статьи надёжность ключа может действительно не иметь значения, потому что тут два варианта: если в фирмварь зашит бэкдор, с целью поуправлять машиной извне, то да, его рано или поздно расковыряют. А если там полностью автономный троян, который тупо ловит данные со словом 'тяньаньмэнь' и отправляет ответственным товарищам, то кто от этого что получит, кроме геммороя ?
> А если там полностью автономный троян, который тупо ловит данные со
> словом 'тяньаньмэнь' и отправляет ответственным товарищам, то кто от этого что
> получит, кроме геммороя ?Сложно уберечься от соблазна невстроить туда модуль управления. Как часто сложно уберечься от соблазна узнать что-то совершенно бесполезное, но опасное тем, что можешь случайно проболтаться.
> А у производителей малвари оного по очевидным причинам не будет…дадада. и сертификаты они себе выписать не могут, мы в курсе.
что? как это «выписывали»? какой diginotar? нет, не знаем.
> если кто-то получит эти ключи, то Китаю будет фигово.А знаете, фирма Actel козырявшая весьма крутой секурити своих FPGA чипов попалась на недокументированных командах позволяющих читать "якобы защищенную от чтения" прошивку, и так далее. Так что некоторые поверившие в маркетинговый крап крепко обломались со своими надеждами что их девайс не склонируют например, или что секретные данные из него не вынут.
>Вопрос даже не в этом. Существует некая проблема, описанная на этой странице:http://www.xakep.ru/post/58104/default.asp?print=true
Читал, когда еще раньше кидали ссылку. Очень себе в стиле журнала "какер".
опять эта хрень вылезла. proof or GTFO.
https://docs.google.com/gview?url=https://sites.google.com/s... ?
> https://docs.google.com/gview?url=https://sites.google.com/s...
> ?Интересно, а её проверяли на VM/370 ака СВМ - http://www.smrcc.org.uk/members/g4ugm/VM370.htm ?
> Делаем ставки через какое время это приспособят для взлома вин8.Никакой связи.
Забавное тематическое:---
Actually from what I've seen on the security front there seems to a distinct view that secure boot is irrelevant because Windows 8 is so suspend/resume focussed that you might as well just trojan the box until the next reboot as its likely to be a couple of weeks [away].
-- Alan Cox
--- http://lwn.net/Articles/523396/