Bezpečnostný expert Matthew Garrett v prvej polovici uplynulého mesiaca tvrdo kritizoval spoločnosť Canonical za podrývanie bezpečnosti mechanizmu UEFI Secure Boot pre bezpečné bootovanie.
UEFI Secure Boot pri štarte počítača overuje kryptograficky zabezpečený podpis spúšťaného kódu a dovoľuje spustenie iba autorizovaného kódu. Cieľom tejto technológie je zabrániť škodlivému kódu trvalo infikovať počítač a operačný systém.
Za týmto účelom majú počítače so Secure Boot vo firmvéri preddefinované platné podpisovacie kľúče a spustia iba overený bootloader podpísaný niektorým z týchto kľúčov. Bootloader by mal spustiť iba podpísané jadro operačného systému a to by malo prípadne načítavať iba podpísané moduly.
Vzhľadom na pozíciu Microsoftu pochopiteľne každý výrobca zahŕňa kľúče Microsoftu umožňujúce nabootovať Windows.
Podpora UEFI Secure Boot je Microsoftom vyžadovaná na všetkých nových PC s Windows. Nasadzovanie technológie tak bolo kritizované ako mechanizmus ako opäť sťažiť pozíciu alternatívnych operačných systémov a najmä Linuxu, keď tvorcovia jednotlivých distribúcií sa samozrejme len veľmi komplikovane dokážu s výrobcami dohodnúť na zahŕňaní ich podpisových kľúčov.
Microsoft ale začal ponúkať možnosť tvorcom alternatívnych operačných systémov podpísať ich bootloader jeho kľúčom, bootloader je tak možné následne bez potrebných manuálnych zásahov užívateľa nabootovať na počítačoch s aktívnym UEFI Secure Boot.
Canonical pre Ubuntu používa ako prvostupňový bootloader Shim, ktorého autorom je práve Matthew Garrett. Ubuntu používa verziu bootujúcu podpísaný bootloader Grub, ktorý je ale použitý v konfigurácii umožňujúcej nabootovať ľubovoľný aj nepodpísaný operačný systém.
To ale poskytuje útočníkom cestu ako na ľubovoľnom počítači so Secure Boot, aj bez inštalovaného Ubuntu, efektívne obísť plné bezpečné bootovanie a zrejme teda napríklad aj trvalo infikovať počítače s inými operačnými systémami vrátane Windows. To samozrejme ale vyžaduje už existujúci prístup útočníka, nejde o zraniteľnosť umožňujúcu novým spôsobom preniknúť prvýkrát do PC.
Tweety Garretta kritizujúce Ubuntu (tweet: Matthew Garrett)
Tento stav bol síce samozrejme verejne zistiteľný aj priznaný Canonical ale nie dostatočne široko známy. Ešte v júli minulého roka Canonical argumentovala, že podpora Secure Boot v Ubuntu je zamýšlaná len ako funkčnosť pre zabezpečenie kompatibility Ubuntu s PC so Secure Boot a nie ako bezpečnostné opatrenie.
Garrett po zistení aktuálneho stavu a stanoviska Canonical stav v Ubuntu tvrdo kritizoval a označil ho za trestuhodnú nemiestnosť, upozornil PC World.
Canonical avizuje, že od aprílovej verzie Ubuntu 16.04 LTS plánuje vyžadovať bootovanie len podpísaného jadra. Pre odstránenie rizika, ktoré spôsobili doterajšie verzie Shim používané Ubuntu, ich bude ale potrebné pridať do blacklistu vo firmvéri každej dosky s UEFI Secure Boot.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
kto iný?
Od: party
|
Pridané:
1.2.2016 10:46
zaujímalo by ma, ktoré iné distribúcie to robia inak
|
|
Re: kto iný?
Od: Kerby
|
Pridané:
1.2.2016 10:55
die apfel
|
|
Re: kto iný?
Od: edghar
|
Pridané:
1.2.2016 11:00
RedStar ?
|
|
Re: kto iný?
Od: bnxcbvxc
|
Pridané:
1.2.2016 11:40
windows a mac s tym problem nema ale linux ma problem podpisat loader doveryhodnym certifikatom
|
|
Re: kto iný?
Od: eMandeMs
|
Pridané:
1.2.2016 12:45
Zle citas, co citas.
Vyvojari distribucii nemaju problem podpisat svoj kod, ale s tym aby ich certifikat vyrobcovia zaradili do biosu uz pri prvych verziach dosiek nasadenych v pocitacoch.
Do aktualizacii sa dostanu ale to uz moze byt mesiaca po tom ako je PC na trhu.
|
|
Re: kto iný?
Od: qwertyuiop1
|
Pridané:
1.2.2016 12:49
Problem je, ze podpisane musia byt aj "BIOS"-y na rozsirujucich kartach, t.j. napr. na grafike, radicoch RAID apod. A tam je priestor iba na jeden podpis, takze tam na 99,9999% daju Microsofti.
Takze potom to, ze firmware sice ma signaturu tvojej distribucie je sice pekne, ale je ti to dost naprd.
|
|
Re: kto iný?
Od: Jamicon
|
Pridané:
1.2.2016 19:31
Kernel na svojich počítačoch si zásadne konfigurujem a kompilujem sám. Samozrejme dôverujem tomu čo urobím. Na to sa mám ešte jebať s nejakým podpisovaním? Nech si ten secure boot strčia do konca zažívacieho traktu, slúži jedine na znepríjemnenie života widle-negatív užívateľov.
|
|
Re: kto iný?
Od: kvok
|
Pridané:
1.2.2016 22:59
si debil.
|
|
Re: kto iný?
Od: /dev/random
|
Pridané:
2.2.2016 7:35
Ale ved prave pre tych, ktori si kompiluju vlastne kernely je secure boot uzitocny. Skompilujem jadro, podpisem vlastnymi klucmi, a z UEFI vymazem povodne kluce a nahram svoje. Tym padom mi nikto nebude moct nahradit moj kernel za iny, kompromitovany.
K celemu procesu kompilacie to pridava jeden prikaz:
sbsign --key /mnt/flaska/db.key --cert /mnt/flaska/db.crt --output /boot/bootx64.efi arch/x86_64/boot/bzImage
|
|
Re: kto iný?
Od: qwertyuiop1
|
Pridané:
1.2.2016 12:43
RHEL, CentOS, Fedora.
Maju podpisany bootloader, jadro a vsetky moduly. Pokial je Secure Boot zapnuty, tak sa kontroluju podpisy toho vsetkeho.
Inak je to dobra pakaren, pokial mas nejake moduly, ktore nie su standardne v distribucii - napr. nvidia, virtualbox, vmware, zfs. Taketo moduly musis podpisovat rucne - jednorazovo zadefinujes svoj MOK (Machine Owner Key) a potom zakazdym, ked sa nieco zmeni (update jadra, update modulu), tak moduly musis popodpisovat.
Teraz si predstav, ze mas update, nainstalujes nove jadro alebo 3rd party modul, restartnes, dkms zisti, ze treba zbuildovat moduly, zbuilduje ich, ale system ich nenacita. Musis ich podpisat a znova rebootnut (PSA: nedavat /usr na partition so zfs).
Okrem ineho to znamena, ze repository mimo distribucie nemaju so Secure Bootom sancu distribuovat zbuildovane moduly (nieco ako rpmfusion a ich nvidia packages).
Takze je mi uplne jasne, preco Ubuntu nevyzadovalo podpisane jadro a moduly - usetrili strasne vela casu spojim pouzivatelom.
|
|
Re: kto iný?
Od: webnick358
|
Pridané:
1.2.2016 14:07
AFAIK aj Suse.
|
|
aj tak
Od: tfcvhhu
|
Pridané:
1.2.2016 10:58
Podla pani Rutkowskej (stoji za qube os) je secureboot aj tak ojekabatitelny inymi mechanizmami a pokial je v cpu pritomne napriklad ME (management extension), tak dake pc sa neda objektivne zabezpecit. V kazdom prupade kutilskych hackerov to stopne docasne a vladybudu vo vyhode zatial...
|
|
to ma nenapadlo
Od: to ma nenapadlo
|
Pridané:
1.2.2016 11:08
to ma nenapadlo sa nad tym zamyslat, fakt sa podpisuje cely loader vcetne konfiguracie? Ale asi hej, aby to malo zmysel... Viem, ze vsetko je na gugli, ale ak mi to niekto kratko vysvetli, budem vdacny, ostatni komentujte pls. dalsie thready:
Pouzivam (z roznych dovodov a trochu z lenivosti) lilo v dost specifickej konfiguracii. Vazne by som mal pouzit len config z distribucie (podpisany), ktory loaduje z /dev/sda1 a nikdy inak? Ziaden raid, devicemapper, usb, ci specialne (aj jednorazove) cmdl options? Ak aj maju na vsetko podpisany extra konfig, urcite najdem kombinaciu, ktoru potrebujem len ja a podpisana nebude.
|
|
Re: to ma nenapadlo
Od: qwertyuiop1
|
Pridané:
1.2.2016 12:47
Podpisanemu bootloaderu je uplne fuk, kde mas /boot - napr. ja som ju mal na /dev/sdb2. usb je ok, raid zavisi, devicemapper nie. Potrebujes bootovat z block device ako ho vidi UEFI a je jedno z ktorej partition, linuxove jadro este nebezi, takze ziadny devicemapper. RAID iba ak z neho vies citat na urovni UEFI.
|
|
Re: to ma nenapadlo
Od: to ma nenapadlo
|
Pridané:
1.2.2016 14:19
som ti vdacny.
Asi uz chapem. Zmiatla ma veta "Ubuntu používa verziu bootujúcu podpísaný bootloader Grub, ktorý je ale použitý v konfigurácii umožňujúcej nabootovať ľubovoľný aj nepodpísaný operačný systém." Obaval som sa teda, ze ci sa nepodpisuje aj konfig. Autor asi tou konfiguraciou nemyslel premennu runtime konfiguraciu, ale compile-time, ktora urcuje, ci grub bude overovat podpis kernelu.
|
|
Znak Znak Znak Znak Znak
Od: sak ja ne?
|
Pridané:
1.2.2016 12:12
Z analýzy jeho tweetu usudzujem, že nebol v dobrej nálade
|
|
Re: Znak Znak Znak Znak Znak
Od: qwertyuiop1
|
Pridané:
1.2.2016 12:52
Nikto ho neberie vazne, Linus mu svojho casu vynadal, ze chcel "deepthroat Microsoft" - http://dopice.sk/gjk
|
|
unix l
Od: mikaelx
|
Pridané:
1.2.2016 12:58
a je to tu a je to tu ja som to vedel
|
|
Re: unix l
Od: sonavabic
|
Pridané:
1.2.2016 13:33
a je to tu, tu a tu :)
|
|
Re: unix l
Od: mikaelx
|
Pridané:
1.2.2016 16:31
a tu dalsia rana
http://ix.sk/4Gc3h
|
|
Re: a tu dalsia rana
Od: Rudolf Dovičín
|
Pridané:
2.2.2016 20:29
Kto omylom spustí
rm -rf /
, ten si nič iné nezaslúži...
|
|
Podpisany kernel
Od: Ujo Imrich
|
Pridané:
1.2.2016 12:59
Podpisany kernel, no pekne, potom niekto bude nuteny patchnut kernel a uz nenabootuje. Cely ten secure boot je nanic.
Hlavne ze vo Windows otvorim browser, cvak cvak a mam 17 perzistentnych infiltracii len tak fukne. Spusti sa to niekede z mimona cez obskurnu polozku v registry a patchne to vsetky tie popodpisovane zrudnosti raz,dva.
|
|
Re: Podpisany kernel
Od reg.: Uhlik
|
Pridané:
1.2.2016 14:16
tak a teraz zhasnúť svetlo a spať! ...
|
|
ach jaj
Od: matko z levoce
|
Pridané:
1.2.2016 14:29
install arch
|
|
Re: ach jaj
Od: Ferikuš
|
Pridané:
1.2.2016 19:36
jedeš! potvoro!!!
|
|
MS kľúč
Od: sensei-san
|
Pridané:
1.2.2016 14:37
> Microsoft ale začal ponúkať možnosť tvorcom alternatívnych
> operačných systémov podpísať ich bootloader jeho kľúčom
Až tuto raz vznikne problém, tak to bude Prúser ...
Ja si myslím, že ak to má byť môj počítač, tak mi do toho nejaký MS nebude kecať. Zjavne si pri výbere ďalšieho motherboardu musím dať bacha ;-(
|
|
Re: MS kľúč
Od: meheh
|
Pridané:
1.2.2016 16:31
staci ked MB umozuje pridat svoje vlastne kluce a toto nemusis vobec riesit. pridas vlastny kluc a podpises nim grub, ktory uz vsetko nabootuje.
|
|
secure boot
Od: meheh
|
Pridané:
1.2.2016 14:48
skor secure boot podryva slobodu uzivatelov nabootovat si svoj system... aby uzivatel nemohol pridat svoje kluce do databazy, to uz kde sme? to sa deje hlavne na notebookoch.
|
|
Re: secure boot
Od: SpPes
|
Pridané:
1.2.2016 15:03
je to vseobecna snaha pre uzivatelov vsetko zjednodusit spravit to "more user frendly" alebo prelozene zo vsetkych spravit cvicene opice, klik browser, klik facebook, klik skype, a vsade za 2 priehrstia reklamy....
Tento trend je vsade....
|
|
Re: secure boot
Od: takisto
|
Pridané:
1.2.2016 18:26
takisto lets'encrypt. Zanedlho sa nebudu riesit bugy v kryptoalgoritmoch, ale v lets' clientovi. Ako lets' tak aj uefi snahou zvysit bezpecnost jej rozsirenim vsade ju vo vysledku znizi
|
|
Re: secure boot
Od: miro j.
|
Pridané:
2.2.2016 9:21
najkomickejsie ako sa vsetci biju do prs za bezpecnost a potom si ukladaju citlive data na Facebook , Google ci Microsoft cloudy a odovzdavaju bez zavahania svoje osobne udaje dalsim a dalsim 3tim stranam , a potom sa znova biju do prs aki su oni bezpecni a podobne.
|
|
Re: secure boot
Od: letsencryptmalvertisers
|
Pridané:
2.2.2016 10:25
http://dopice.sk/gkf
|
|
..............
Od: hdkjdsgfksfdsf
|
Pridané:
2.2.2016 19:10
Co koho do toho, co si bootujem na svojom pocitaci??? Preco by som si nemal vediet nabootovat lubovolny OS? Za par rokov budeme potrebovat citacku na id kartu, aby sme si nabootovali OS.
Kam tento svet speje. Meteorit na Zem.
|
|
Re: ..............
Od: 4Maniak.
|
Pridané:
4.2.2016 17:40
A napríklad prečo by si sa mal hrabať vo svojom počítači, keď je zaplombovaný?
To tiež veľa pacientov nevie pochopiť.
|
|
Researchers demo exploits that bypass Windows 8 Secure Boot
Od: Rudolf Dovičín
|
Pridané:
4.2.2016 18:48
http://Goo.gl/8PYe5g
|
|
Pokrok
Od: Jerichoo
|
Pridané:
5.2.2016 19:41
Pán Dovičín, čo keby ste namiesto tých kecov kade tade po Internete skúsili ísť normálne na smeny do fabriky pracovať?
Tam budete hádam užitočnejší...
|