LINUX.ORG.RU
Ответ на: комментарий от SakuraKun

А как определить, что пора перешивать BIOS?

Проверить чексумму нельзя, как определить, что пока тебя не рядом с твоим компом, материнку не прошили трояном?

anonymous
()
Ответ на: комментарий от anonymous

Проверить чексумму нельзя

Почему нельзя? Берёте программатор с прищепкой и проверяете, если не нравится то перешиваете. А из программных способов - этот Как то можно занулить область UEFI BIOS? (комментарий)

SakuraKun ★★★★★
()
Ответ на: комментарий от anonymous

Пишут, что доUEFI-шный BIOS при добавлении патчей мог легко окирпичиться, мол там мало было места для экспериментов.

Так ли это? Безопаснее ли обычный BIOS, чем UEFI,

Помню подряд через день почти поменял 3 старых материнки, дохли пока меня не было дома. Получается, их спецом выводили из строя.

anonymous
()
Ответ на: комментарий от anonymous

Не может быть, это фантастика.

anonymous
()
Ответ на: комментарий от SakuraKun

Так ведь программатором долго?

anonymous
()
Ответ на: комментарий от SakuraKun

В каких случаях троян шьется программатором, а в каких софтово?

Например, на T60 пишут можно прошить Libreboot софтово? Значит и троян тоже можно?

А почему пишут, что троян в BIOS не затирается новой прошивкой? Это про софтовую прошивку? Программатором затирается?

Это, что получается, ноут нельзя оставлять без присмотра? И если оставил, то надо программатором сверять и возможно перешивать?

anonymous
()
Ответ на: комментарий от anonymous

Получается, их спецом выводили из строя.

Недолго ты держался.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от anonymous

Ее же можно будет программатором реанимировать?

Можно, но и там требуются не очень кривые руки.

Всегда делали разные патчики на прошивки.

И сейчас делают, но такие же кривые. Спецификации UEFI никто не следует, так что чаще всего работает всё через костыли (а матплаты сейчас все китайские).

Неужели нет патча, чтобы залочить UEFI BIOS на добавление модулей без программатора?

Представления не имею, я кастомом не занимаюсь.

чтобы залочить дефолтные трояны

Напомни себе, что значит E в UEFI.

mord0d ★★★★★
()
Ответ на: комментарий от burato

Такой замечательный был ник, даже лучше, чем anonymous.

anonymous
()
Ответ на: комментарий от SakuraKun

но сам UEFI при этом разумеется останется

Через интерфейс для обновления фирмвари можно и его загнуть. Впрочем, на некоторых железках есть read-only область со стоковой прошивкой, откуда можно восстановить.

если криворукие делали

UEFI у меня уже давно ассоциируется с криворукостью.

mord0d ★★★★★
()
Ответ на: комментарий от anonymous

Ну вот если бы залочить добавление модулей.

А ты не думал, что для работы CSM требуются другие модули, которые являются общими для других? В общем, если ты и избавишься от чего-то, то разницы особой не почувствуешь. А Secure Boot выпилить я даже не задумывался, ибо ради него EFI по сути и пилился.

Наверно проще правильное железо взять.

Правильное — это какое? И кто его назначил правильным?

mord0d ★★★★★
()
Ответ на: комментарий от mord0d

А в заводских прошивках UEFI тоже есть трояны?

anonymous
()
Ответ на: комментарий от anonymous

Libreboot поддерживает правильное железо?

Ты вначале дай определение "правильному" железу.

А в заводских прошивках UEFI тоже есть трояны?

Не могу подтвердить, но и опровергнуть тоже не могу. Теоретически возможно, но на практике не сталкивался.

mord0d ★★★★★
()
Ответ на: комментарий от mord0d

Ты вначале дай определение «правильному» железу.

То, которое способствует предотвращению или затруднению несанционированного внедрения трояна в BIOS.

Не могу подтвердить, но и опровергнуть тоже не могу. Теоретически возможно, но на практике не сталкивался.

Подразумеваются трояны Dimez в материнках Asus и Gigabyte.

anonymous
()
Ответ на: комментарий от anonymous

Так ведь программатором долго?

Недолго, несколько минут всего

В каких случаях троян шьется программатором, а в каких софтово?

По-разному, зависит от удобства. А почему ты меня спрашиваешь, я ведь не ... ? ;)

Например, на T60 пишут можно прошить Libreboot софтово?

Для большой части поддерживаемых coreboot/libreboot материнок первый раз обязательно нужно шить через программатор, а возможно ли потом апгрейдить софтовым методом - зависит от материнки и её чипов

SakuraKun ★★★★★
()
Ответ на: комментарий от anonymous

То, которое способствует предотвращению или затруднению несанционированного внедрения трояна в BIOS.

Т.е. которое не содержит аппаратных бекдоров Intel ME / AMD PSP и поддерживается опенсорсными coreboot/libreboot чтобы возможно было осуществить эту верификацию. Мне кажется я уже приводил много примеров: ноут - Lenovo G505S, десктоп - ASUS AM1I-A, сервер - ASUS KGPE-D16

SakuraKun ★★★★★
()
Последнее исправление: SakuraKun (всего исправлений: 1)
Ответ на: комментарий от SakuraKun

В Libreboot есть какая-нить защита от модификаций? Типа самопроверки? Если Libreboot прошить программатором, а потом туда дошью трояна каким-нибудь способом, то раз Libreboot стартует раньше, значит он может контролировать то, что запускается после него?

Почему остановилось развитие Libreboot? Теперь АНБ решило взять инициативу в свои руки и продавать вмест о true libreboot свои Libre13 Heads?

anonymous
()
Ответ на: комментарий от anonymous

Почему Ричард до сих пор не перешел на Libre13?

anonymous
()
Ответ на: комментарий от SakuraKun

Твои ответы этому человеку бессмысленны, к сожалению...

Медицинские проблемы не решаются техническими средствами.

Deleted
()
Ответ на: комментарий от anonymous

В Libreboot есть какая-нить защита от модификаций? Типа самопроверки?

Тебе не нравится heads, а другой защиты от модификации - ну или не защиты а хотя бы чтобы предупредить тебя - я не знаю. Но можно и самому такую защиту сделать

Если Libreboot прошить программатором, а потом туда дошью трояна каким-нибудь способом, то раз Libreboot стартует раньше, значит он может контролировать то, что запускается после него?

В отличие от UEFI, «расширить» коре/либребут после его сборки (имею в виду именно «главную часть» а не добавление всяких дополнений вроде дискетных ОС) было бы непросто, куда легче сделать специальный билд Libreboot со встроенной в него непотребщиной и каким-то образом подменить твой «чистый» BIOS на эту спец.сборку. Поэтому и предлагаю тебе сделать самому, тем более что это относительно несложно.

Почему остановилось развитие Libreboot?

Потому что в коребуте не появилось новых компов которые работают 100% без закрытых блобов. Как появятся, сразу скопируют из coreboot в libreboot. И то, что кто-то там по твоему мнению продвигает Heads, ничуть не мешает мне потихоньку работать над освобождением оставшихся блобов для G505S. В G505S осталось совсем немного обязательных блобов и они не подписаны; и в результате G505S является одним из серьёзных кандидатов для libreboot: https://notabug.org/libreboot/libreboot/issues/104 Если хочешь, присоединяйся и помогай освобождать

SakuraKun ★★★★★
()
Ответ на: комментарий от SakuraKun

Это ты можешь реализовать сам; у SeaBIOS есть полный доступ к SPI flash, сделай так чтобы он перед печатью boot menu считывал весь SPI flash, вычислял её контрольную сумму (алгоритм можно где-то качнуть) и печатал её где-то в углу. Ну или хотя бы (намного проще) встрой туда своё кастомное сообщение, чтобы если в один прекрасный день не увидел его то сразу понял что что-то не так

Меня смущает, что трояны каким-то образом становятся невидимыми, я не спец в современном низкоуровневом программировании, не знаю как они это делают, наверно, что-то виртуализируют и подменяют, наверно, чтение оперативки или вызовы API BIOS.

Если я правильно понимаю, то, чтобы вызовы SPI flash возвращали верные значения SeaBIOS (Coreboot?) должен стартовать раньше трояна, а как в этом убедиться? Получается, остается только программатором сверять и надеяться на охрану периметра помещения?

anonymous
()
Ответ на: комментарий от Deleted

Полностью с тобой согласен; и стараюсь над ответами только в надежде привлечь сознательных «деятельных параноиков» кто гуглит по этой теме... Например с uuuuu весьма долго сидел в поиск свободного ноутбука сам не знаю зачем, но зато там познакомился с BLOBster, он закупил себе коребутное железо с программатором/прищепкой и сейчас вместе с ним усердно работаем. А тот uuuuu так себе ничего и не взял - только озабоченность бекдорами до сих пор высказывает ;)

SakuraKun ★★★★★
()
Ответ на: комментарий от SakuraKun

и стараюсь над ответами только в надежде привлечь

Ага. Не удаляю только из-за этого и из уважения к твоей работе.

Deleted
()
Ответ на: комментарий от anonymous

Если не доверяешь программной прошивке (которая кстати не на любой коре/либребутной материнке доступна) то прошивай и проверяй аппаратно. В случае ноута, чтобы не тратить каждый раз время на его сборку/разборку, можешь раскалённым ножом / паяльником (с ненужным жалом, потому что очень запачкается) прорезать окошко в корпусе для быстрого доступа к BIOS-чипу, например у G505S по этой схеме - и аппаратная проверка/прошивка будет занимать не более 5-10 минут даже с учётом времени на подключение

SakuraKun ★★★★★
()
Ответ на: комментарий от anonymous

То, которое способствует предотвращению или затруднению несанционированного внедрения трояна в BIOS.

Такого не существует. Если у злоумышленника есть физический доступ к железке и достаточно знаний, можешь попрощаться с железкой.

Подразумеваются трояны Dimez в материнках Asus и Gigabyte.

Ты нашёл кого слушать…

Asus

ASUS никогда не умели делать нормальный UEFI. Если у тебя ASUS, я тебе искренне соболезную, запишись к психологу.

mord0d ★★★★★
()
Ответ на: комментарий от anonymous

1) в списке поддерживаемых коребутом этой материнки вроде бы нету 2) ASUS и биосы нормальные не умела делать. да и вообще, проприетарные биосы/юефи это глючные поделия которые лепят индусы за миску риса и качества от них ждать не приходится, лишь бы грузилось, хоть ASUS хоть не ASUS

anonymous
()
Ответ на: комментарий от anonymous

Я про то, что в этой матери UEFI нету! Только значит ли это, что туда труднее внедрить троян? В старые BIOS было трудно, насколько я знаю, как минимум потому что там места было только только для бивиса.

anonymous
()
Ответ на: комментарий от anonymous

Даже если будет не хватать места, просто выпилим оттуда блок инструкций для какой-то фичи которую ты не используешь (например загрузку по сети) а вместо неё посадим «троян». Или проапгрейдим твой биос чип до бОльшего объёма пока тебя дома нету, и влезет (маркировку чипа прежнюю нарисуем, не волнуйся). На проприетарщине ты от нас не спасёшься, даже не надейся

anonymous
()
Ответ на: комментарий от anonymous

Как то бы сохранить образ бивиса вместе с настройками, и утилитку, чтобы шить с командной строки без лишних вопросов.

Тогда можно просто автоматически шить раз в месяц или при каждой перезагрузке целевой оси с предварительной проверкой GPG подписи образа и постепенно наращивать возможности охраны периметра.

anonymous
()
Ответ на: комментарий от anonymous

Какая разница с уехой или без, и в обычные «не-уешные» биосы шпионский модуль Computrace встраивали

Как то бы сохранить образ бивиса вместе с настройками, и утилитку, чтобы шить с командной строки без лишних вопросов.

Если поддерживается «внутренняя» прошивка - т.е. «internal» режим в опенсорсном инструменте для прошивки «flashrom» - то им. А если не поддерживается, то ставишь рядом второй комп, и пусть они друг друга шьют по очереди (no homo ;)

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.