Мелкософт и «Secure Boot» опять

А так MS как бы вообще ни причем, если OEM-поставщик сделал SB неотключаемую и ключи свои невозможно вставить.

а M$ действительно не при чем. M$ связана с Secure Boot только тем, что требует его наличия для выдачи наклейки со значком венды. остальное - дело вендора. а вендор может и без всяких Secure Boot просто взять и запретить загрузку чего либо, кроме венды.

репозитории Linux и всякие сторы для Iphone

дурацкий пример - сам поймёшь почему

В одном случае пользователь может пользоваться или не пользоваться репозиториями, подключать и отключать по желанию или свой создать. И в любом случае, может ставит софт независимо от репозиториев. Во втором случае, - iPhone - он ест, что дают.

а M$ действительно не при чем.

Ну-да, ну-да, ну вот просто не причём. Это всё злые вендоры, а MS - белая и пушистая и в суд на неё никто не подаст. Напомнить историю с BeOS и WinCE? Тогда MS грубовато сработала, даже что-то вроде отсудили спустя много лет, сейчас действует изящнее.

Быдлоноутбукопроблемы.

Любую десктопную мать можно научить бутиться с MBR. Макбук тоже это разрешает.

Почитал тред и понял, что Lincor и intelfx явно из одной семьи.

Ну на девайсах с WinMobile линуксы уже когда-то грузили haret'ом. До этого был loadlin, и иже с ними. Чай не в первой.

Wat?

Шутки на анальную тему распространены так широко только у двух категорий людей - зеков и линуксоидов.

Как человек, не поддерживающий текущую фрагментацию платформы линукс, я всеми руками ЗА!

Хотя подождите, многочисленных клонов на пакетной базе убунты это не остановит...

шит

Ну на девайсах с WinMobile линуксы уже когда-то грузили haret'ом

Ну так винда уже с семерки принудительно требует подписывать все модули ядра, а без кернелспейса такое не провернёшь.

из-за разницы между закупочной ценой и возвратом

Только в твоих фантазиях.

20 лет - не сутки.

существует != известна. для того, чтобы найти её нужно потратить деньги. а дальше читай пост выше

попробуй выкинуть из убунты Skype или Flash Player.

skype обновляется, никаких «поломок API» там нет. flash player теперь нынче вообще не включен по умолчанию и к нему тоже приходят секьюрити-апдейты

да и вообще в целом пускать шкайп не в selinux — ссзбизм. Реальный, в отличие от твоего беспочвенного, тупого и необоснованного.

Lincor — боящийся всего вендузятник без знания матчасти, что у него общего с intelfx?

Фанбои невнятных технологий же.

Думаешь во вселенной мало кривых дров под винду, у которых найдется эксплоит в юзерспейс? Просто будут в худшем случае рецепты типа «скачайте дистрибутив винды сборки дяди вани: вульнерабль эдишн, воткните самопайку на attiy2313 эмитирующую usb-кофеварку от ХреньВпень индастриз и установите для нее уязвимые дрова, используйте VulnaBootTool для загрузки линуксового ядра.»

s/юзерспейс/кернельспейс/

существует != известна. для того, чтобы найти её нужно потратить деньги

один раз потратить деньги (на самом деле не деньги, а время) и 20 лет ее эксплуатировать. профит очевиден.

skype обновляется, никаких «поломок API» там нет. flash player теперь нынче вообще не включен по умолчанию и к нему тоже приходят секьюрити-апдейты

на все это нужно время.

да и вообще в целом пускать шкайп не в selinux — ссзбизм.

пускать любые программы не в SELinux - ССЗБизм. однако некоторым все равно придется разрешить доступ в /boot, например, пакетному менеджеру. Secure Boot как раз является отличным дополнением SELinux, потому что убирает возможность его обойти при помощи буткитов.

вендузятник

4.2.

На этом фоне работы Xeno Kovah и Corey Kallenberg выглядят спасением: https://cansecwest.com/agenda.html (cм. агенду за пятницу, 20 марта; слайды пока недоступны, будут в понедельник)

и 20 лет её эксплуатировать

не 20 лет, а чуть+чуть 1,5 дня.

вендузятник — это состояние духа. как у тебя.

а где гарантия, что кулькакир не нашел ее еще 0day-кой 20 лет назад (или вообще сам внедрил), а лохи только сейчас?

вендузятник — это состояние духа.

чем оно характеризуется?

а где гарантия, что кулькакир не нашел ее еще 0day-кой 20 лет назад (или вообще сам внедрил), а лохи только сейчас?

это гарантирует противоречивость твоим «массовым вирусам»

оно характеризуется тупыми высказываниями и мыслями вроде «secure boot — это хорошо, ибо ассиметричная криптография это хорошо», «дистрибутивы не с последними версиями не смогут портировать себе обновления безопасности, не обновив пакет до последней версии», «линуксоидам полезно то, что половина производителей железа положит на них большой и волосатый член», «secure boot нужен настолько, что не использующие его люди — буратины [при том, что раз дело дошло до буткита, то у вируса уже есть рут в системе и, в принципе, терять уже нечего]»

при том, что раз дело дошло до буткита, то у вируса уже есть рут в системе и, в принципе, терять уже нечего

например, рут подчиняется политикам SELinux, а буткит - нет.

это гарантирует противоречивость твоим «массовым вирусам»

в смысле? иксы стоят у всех. на протяжении 20 лет можно было эксплуатировать уязвимость в них.

Покажи мне буткит под Linux. Их даже под Windows не особо-то есть. Для рассылки спама и DDoS вирусу даже права администратора не нужны, будут тебе кулхацкеры заморачиваться с буткитами.

Реально замена загрузчика применяется только при установке Linux и при некоторых способах кряка винды. И то, и то MS не выгодно.

например, рут подчиняется политикам SELinux, а буткит - нет.

если у тебя SELinux с прямо настроенными политиками, то фиг ты буткит поставишь, даже если получил рута на системе

перестань уже позориться и слейся, а?

иксы стоят у всех. на протяжении 20 лет можно было эксплуатировать уязвимость в них.

если ты массово эксплуатируешь эту дырку, это быстро замечают. и еще быстрее закрывают её.

и при некоторых способах кряка винды

Кстати да, сразу два зайца убиваются — и от кряков защититься, и всякие линаксы задущить

Мне вот интересно - ведутся ли какие-нибудь работы по взлому SecureBoot? По идее это выгодно, не только линуксойдам, но и вирусмейкерам. С учётом того, что энтузиасты взламывают даже огороженный iPhone, то взлом SecureBoot, который может принести профит, если твои намерения недобрые, должен быть ещё более актуальным.

а ради чего, собственно

Не будет руткитов от АНБ... wait! oh sh... Борьба против руткитов это хорошо, но устранять конкурентов этим поводом не хорошо. Да и найдите мне нормальный руткит для домохозяек, там малвари и так полно да еще и слежка гугла/анб/путина через трубы.

если у тебя SELinux с прямо настроенными политиками, то фиг ты буткит поставишь, даже если получил рута на системе

некоторым все равно придется разрешить доступ в /boot, например, пакетному менеджеру.

и в них может быть уязвимость.

не всякая эксплуатация уязвимости оставляет следы. Heartbleed, например, не оставлял.

что тебе мешает подписать ядро?

ходить к мелкософту с протянутой рукой по любому поводу?

подпиши своим ключом.

Пакетный менеджер следит за тобой, $USERNAME.
А ты уже проверил используемое зеркало на вирусы?

1 Сгенерировать ключ и сертификат;
2 Записать в базу данных UEFI;
3 Подписать ядро.

неимоверные усилия!!1

Теоретиг!11 Ну вот купил я ультрановый комп, сажусь за предустановленную пизженую вин10-ненужно, беру ысо с арчом, вставляю диск, а у меня в UEFI-бивисе даже упоминаний про сэкурэ-гемор нет, и куда бежать?

например, рут подчиняется политикам SELinux, а буткит - нет.

и внезапно, если есть SELinux, то ты не сможешь записать буткит в /boot/

Только в твоих фантазиях.

как есть... простая логика. Или у тебя есть инсайдерская информация о цене закупке OEM версий?

PS: ненормальные варианты они все равно ненормальные, а именно в том числе из-за таких как ты, поддерживающих косвенно MS, вот щас так плохо с линуксами на ноутбуках. Потому что средний линуксоид выбирает ноутбук с предустановленной увындовз.

Мне кажется, что даже если они реально что-то запретят то в мире просто будет вторая история по образцу AACS encryption key. Причем первыми ее взломают не линуксоиды, а виндузятники, которым кровь из носу нужна будет какая-нибудь семерочка.

Насколько я понимаю, secureboot убивает пиратство виндов, ибо сейчас все пираты ломают загрузчик. Затем MS будет подписывать и офис свой, как драйвера, и т.д.

DNS массово продаёт отдельно венду. Точно по такой же цене, оемную.

Спермерочки-то они подпишут

<secureboot убивает пиратство виндов

Уже через KMS ломают, как я понял (бесконечная активация каждые N дней).

Уже через KMS ломают, как я понял (бесконечная активация каждые N дней).

Я думаю, что так или иначе, с KMS они разберутся. Оданко, я совершенно точно, слышал в СМИ о планах, подписывать ВСЕ бинарные файлы... То есть - технически, я думаю, они смогут сделать так, чтобы ничего не подписанного ими на твоей машине не смогло запуститься. Сделают так, чтобы KMS запросы проходили аутотентификацию... В общем не просто так они всё это активно пилят...

А как прикажешь грузить то, что SecureBoot не поддерживает?