OpenBSD 7.7

https://www.os2museum.com/wp/the-history-of-a-security-hole/ моё любимое.

ЧТД.

IMHO некоторые выбирают OpenBSD

IMHO? Потому что все кого я знаю юзают OpenBSD просто ради лулзов. Особых преимуществ им это не несёт, только страдания.

Это буквально самый распространенный вектор атаки в мире. Получить рута и положить руткит в автозагрузку.

А как спрятать процессы такого трояна без загружаемого модуля ядра, если ядро статическое ?

только страдания.

От чего?

Кстати, элементы твоего текста вообще не гуглятся. Ты это из нейронки достал?

А вот это было действительно очень смешно.

А как спрятать процессы такого трояна без загружаемого модуля ядра, если ядро статическое ?

Ты почему-то уверен, что если в ядро нельзя вставить модуль, значит в ядре нельзя выполнить код. Почему ты так думаешь? Давай начнем с того, что в OpenBSD на каждом ребуте перелинковывается libc и ядро. Почему бы не всунуть руткит туда? Поскольку нет средств верифицировать, что ядро не было поменяно, нет никакой гарантии, что в нем нет трояна.

только страдания.

От чего?

От OpenBSD.

И как с этим бороться?

Полноценная верификация всей цепочки загрузки и запуска софта, начиная с прошивки (SecureBoot и аналоги).

Ты нас убеждаешь в безопасности openbsd, ты и расскажи.

Secureboot это зло призванное в наш мир чтобы заставить тебя использовать windows windows только windows и еще раз windows. Эталонное зло. И слава Аллаху что пока его можно отключить.

Secureboot это зло призванное в наш мир чтобы заставить тебя использовать windows windows только windows и еще раз windows. Эталонное зло. И слава Аллаху что пока его можно отключить.

Использую SecureBoot без Windows. Хуже того, Windows на моём десктопе никогда не было. На ноуте был первые полчаса после покупки. ЧЯДНТ?

исползуешь бинарный дистр вместо сборки из сорсов

исползуешь бинарный дистр вместо сборки из сорсов

О нет! Гентушники ожили! Они лезут на свет!

На самом деле, у меня свой ключ присунут в UEFI.

Ну если твой UEFI это позволяет - то тебе повезло. А тру секьюрбут не должен позволяь не билло-угодные ключи подсовывать.

Ну если твой UEFI это позволяет - то тебе повезло.

Нет, я просто не покупаю говножелезо. Это сознательное решение.

А тру секьюрбут не должен позволяь не билло-угодные ключи подсовывать.

Спецификация требует возможности загрузки ключей.

Тут как бы сорян, если ты хочешь безопасность и защиту от руткитов, без верификации всей цепочки загрузки не обойтись. Другой вопрос, что дырявому пердолялексу это не помогает особо.

Другой вопрос, что лялексу это не помогает особо.

А что помогает? Особенно от перешивки части BIOS?

для того чтобы твое железо загрузить руткитом надо чтобы у жулика был физический доступ к железу. В противном случае секьюребут не нужен абсолютно.

Но ежели ваше железо скоммуниздили и держат его в руках - то вот всем насрать есть там секьюрбут или нет. Его всеравно взломают будь на то интерес укравшей железяку стороны. Единственный смысл секьюр-бута - для конторы, которая дает железо в руки сотруднику которому она не доверяет. То есть железо - конторское, там отключены все USB, заблокирован интернет вне пределов корпоративного белого списка. И вот чтобы помешать недоверенному сотнруднику вломать и украсть корпоративную инфу - ну по крайней мере незаметно для конторского админа - и нужен этот вонючий секьюрбут. Для своего личного железа он абсолютно бесполезен.

Windows на моём десктопе никогда не было, На ноуте был первые полчаса после покупки. ЧЯДНТ?

Нет, я просто не покупаю говножелезо.

lol

для того чтобы твое железо загрузить руткитом надо чтобы у жулика был физический доступ к железу.

Нет, не надо. Прошивку UEFI в разлоченном виде можно обновить прямо из ОС. Но SecureBoot от этого не защищает, он защищает от другого.

В противном случае секьюребут не нужен абсолютно.

SecureBoot нужен для верификации загрузчика. Всё. Точка. Это всё, что он делает: проверяет, что загрузчик не подменили где-то в процессе.

Но ежели ваше железо скоммуниздили и держат его в руках - то вот всем насрать есть там секьюрбут или нет. Его всеравно взломают будь на то интерес укравшей железяку стороны. Единственный смысл секьюр-бута - для конторы, которая дает железо в руки сотруднику которому она не доверяет.

Ты понимаешь же, что первые два предложения противоречат третьему?

Вообще, ты мог бы отлично по фактам обосрать SecureBoot, и это было бы даже интересно. Но твоя проблема в том, что ты ровно нихрена про него не знаешь, и поэтому можешь обосрать только свои собственные штаны. Не делай так, пожалуйста. У нас и так 90% ЛОРа – те ещё засранцы.

для того чтобы подсунуть загрузчик надо одно из трех

1. Физический доступ к железу.
2. рут в ОС
3. Доступ к ME(или амдшному аналогу) через железный бэкдор

Если у жулика это есть - то тебя уже взломали. Или обокрали. И как тебе тут поможет твой сраный секьюрбут?

Секьюрбут как я уже писал нужен в одном случае - тупой хомячок которому контора дала ноут с закрытым всем принес его домой и хочет стырить данные. Он берет загрузочную флешку с какой-нибудь мегахакерской софтиной, сует ее в бук и пытается загрузиться в обход всей этой корпоративной ограниченной хрени - и опа - оно не грузится, ибо админы разоешили грузиться только с корпоративного имиджа. И да - это тупой хомячок который хоел спереть и приторговать какой-то мелочью незаметно, и продожить трудиться в контре и получать зп как ни в чем не бывало. А не супершпион который вытащит оттуда диск и забутися в другом месте.

Если у жулика это есть - то тебя уже взломали. Или обокрали. И как тебе тут поможет твой сраный секьюрбут?

Сраный SecureBoot может тебе сказать, что загрузчик или его конфигурация были подменены на что-то другое. Вот примерно это он и делает.

ну то есть что тебя взломали. Ну да полезное знание задним то числом. Сможешь вырвать на себе остатки волосков и надеть brown paper bag на уже лысую голову. Ну возможно ты джеймс бонд и хочешь поверить двойного агента случайно дав ему поиграться пару дней со своим ноутбуком с коллекцией мемасиков - чтобы потом переагрузиться и с победоносным видом заявить - ага, попался гражданин гадюкин!

Но слабо представляю себе полезность этого говнотула для обычного личного ноута или компа.

ну то есть что тебя взломали. Ну да полезное знание задним то числом.

Вычислить скомпрометированную систему – очень полезное знание. Это лучше, чем продолжать использовать скомпрометированную систему. Надеюсь, с этим у тебя хватит мозгов не спорить.

ну какбы да. но с другой стороны понимая что скомпрометировать мой личный ноутбук могут только украв его у меня - то безопасность его использования уже перестанет быть моей проблемой и станет проблемой вора. А безопасность данных решается шифрованием самих данных а не загрузчиком.

посему смысла ограничивать себя в выборе загрузочного ядра я не вижу ради абсолютно гипотетического варианта. То есть секьюрбут для владельца личного компа-ноута выглядит примерно как шапочка из фольги - гипотетически можно предположить что спустится НЛО и оденет тебе на башку огромную микроволновку и вау - шапочка засияет огнями. Но по факту ты будешь ходить как дебил в шапочке а инопланетяне все не летят и не летят, а соседи пальцем тыкают и у виска крутят.

Я очень давно кормлюсь в корпоративном IT и понимаю для чего это говно сделано - для корпораций которые стремятся оградить себя от нерадивых или жуликоватых сотрудников, о чем я и пишу. И там оно имеет сысл - также как и удаленный доступ по ME пощволяющий ковыряться даже в изначально выключеном ноуте и без загрузки ОС.

Но поскольку фича - хоть и совершенно не нужная -есть и уже сделана для корпораций - в дело вступает активный маркетинг - и хомячкам начинают ссать в уши что это очень хорошая, полезная фича. Профессиональная - ведь этим корпорации пользуются а корпорации пользуются только самым лучшим. И вот начинается вот эта песня что вот как хорошо я этим пользуюсь. Но корпорация этим защищает себя как владельца информации от сотрудника который может эту информацию украсть или использовать во вред корпорации. Ты же являясь для себя и корпорацией и сотрудником в одном лице - получается секьюрбутом защишаешься сам от себя. Ну либо от членов семьи имеющих физический доступ к железу. Ну в общем как-то оно все странненько. Между личностым расстройством и ныканьем заначки на пивасик от жены.

ну какбы да. но с другой стороны

Нет никакой другой стороны. SecureBoot нужен для верификации загрузки. Это буквально в названии этого инструмента. Для всего остального он не помогает. Истерика люнексистов безосновательна, её можно игнорировать.

посему смысла ограничивать себя в выборе загрузочного ядра я не вижу ради абсолютно гипотетического варианта.

Так не ограничивай, лалка! SecureBoot тебя никак не заставляет ограничивать себя, ты можешь подписать любое ядро своим ключом. Смотри, даже гентушники осилили SecureBoot: https://wiki.gentoo.org/wiki/Secure_Boot

А ты – нет, лалка анскильная!

зечем мне заниматься это херней если я просто могу выключить бяку и просто загрузить любое ядро?

Это как в старом анекдоте про Джона и Педро. Когда сидит Педро под пальмой, нихрена не делает, и бренчит на гитаре со своими мучачос. Подходит Джон - Педро , ты дурачок. Я вот умный, гарвард закончил. Хочешь научу тебя жить. Ну давай. Ну вот ты сидишь ничего не делаешь - а ты вот собери кокосы - продай на рыне. Нафига? Ну как нафига - купишь себе еще пальму и продашь больше кокосов, чтобы продать еще больше кокосов и купить еще пальму. Нафига? Ну как нафига - ты можешь собрать много пальм, заработать много денег и нанять рабочих - они будут работать за тебя, а ты сможешь ничего не делать лежать под пальмой и бренчать на гитаре со своими мучачос. Да? А я сейчас чем по твоему занимаюсь?

Вот с секьюр бутом на личном ноуте ситуация примерно такая же - можно просто его отключить и грузить любое ядро. А можно мудохаться с ключом, засовывать его UEFI правдами и неправдами, подписывать ядро каждый раз - и зачем делать все эти действия если можно не делать все эти действия и получить то же самое? Ну если не ставить себе цель распавлинить хвост на лоре и сказать во как я умею а вы все тут сынки.

зечем мне заниматься это херней если я просто могу выключить бяку и просто загрузить любое ядро?

Зачем тебе компьютер, если ты можешь выйти на улицу и потрогать траву? Чел, не всё, что существует, сделано для тебя. Если тебе не нужно, проходи мимо.

А я сейчас чем по твоему занимаюсь?

Первертозным копроонанизмом?

Вот с секьюр бутом на личном ноуте ситуация примерно такая же - можно просто его отключить и грузить любое ядро.

Ты начал с «SecureBoot – ужасное зло, буквально антихрист и должно быть выпилено во имя всего святого» и пришёл к «мне лично не требуется, поэтому я могу это выключить». Как и всегда на ЛОРе, впрочем.

Первертозным копроонанизмом?

сострил, да? Осилил секьюрбут и возомнил себя не членом партии а ее мозгом? (с) Ильич. Ничего, и не такое лечат.

Ты начал с «SecureBoot – ужасное зло, буквально антихрист и должно быть выпилено во имя всего святого»

Оно так и есть. Потому как пока его еще можно выключить - но это пока. Примерно как чип Т2 в эппл который пока еще позволяет тебе поеменять батарейку в девайсе не окирпичив его а кирпичит только при замене экрана. Но вот вопрос когда его включат по полной - потому как задумано то оно не для тебя а против тебя. А пока тебе ссут в уши что это классно.

Ну скажем как модная фича в масковском метро - плати хлебалом. ЗУмеры потянулись - вау круто хайтек, никакой карточки не надо, я иду меня мое метро узнает. И скидосик дали процентов чуток. А потом по этим камерам полетели ковидные штрафы, сейчас по ним крутят в армию в призыв.

Поэтому я считаю подобные штуки злом. Оно какое-то время может носить маску благообразия - но там белыми нитками шито для чего это сделано.

сострил, да?

Чел, ты тут ворвался в тред с какими-то безумными воплями про ональное порабощение твоей задницы микрософтом, а в итоге выяснилось, что ты даже гентушную вики не осилил почитать. И после этого ты удивляешься, что тебя считают посмешищем. Действительно, как же так сложилось-то? Никто и предположить не мог, что так случится! Тем более на ЛОРе-то!

для того чтобы твое железо загрузить руткитом надо чтобы у жулика был физический доступ к железу. В противном случае секьюребут не нужен абсолютно.

Лолшто? Половина серверных материнских плат позволяет тебе даже прошиваться прямо из ОС.

Оно так и есть. Потому как пока его еще можно выключить - но это пока. Примерно как чип Т2 в эппл который пока еще позволяет тебе поеменять батарейку в девайсе не окирпичив его а кирпичит только при замене экрана. Но вот вопрос когда его включат по полной - потому как задумано то оно не для тебя а против тебя. А пока тебе ссут в уши что это классно.

Мы эти сказки слышим с момента появления сперва UEFI, а потом Secure Boot. Лет двадцать уже прошло, как слышим.

Ну скажем как модная фича в масковском метро - плати хлебалом.

Люди, называющие лицо «хлебалом», должны страдать. Все правильно сделали в московском метро.

Мы эти сказки слышим с момента появления сперва UEFI, а потом Secure Boot. Лет двадцать уже прошло, как слышим.

Microsoft на своих ARM девайсах уже залочил загрузку, с x86 у них трудности, все же много производителей, трудно заставить: https://softwarefreedom.org/blog/2012/jan/12/microsoft-confirms-UEFI-fears-lo...

Это очень логичный шаг с их стороны, наоборот, нужно верить в сказки, что бы думать что они это сделали в интересах альтернативных ОС.

Патрик в одном из интервью предлагал просто отключать SecureBoot, и был поражен что другие дистрибутивы предлагают возиться с этой мерзостью.

Столько нарушений со стороны Microsoft, столько судебных решений и разделение, и все равно находятся те кто верят в святость этой компании!

и все равно находятся те кто верят в святость этой компании!

Можно рейтинг компаний по степени их святости?

Желательно разработчиков языков программирования.

Фига ты жиробас.