LINUX.ORG.RU

Современный ноутбук с диагональю 17 дюймов и поддержкой coreboot

 , , , ,


0

1

Самое годное что мне известно:

https://system76.com/laptops

https://www.tuxedocomputers.com/en/Linux-Hardware/Linux-Notebooks/Alle.tuxedo#!#1275,1325

Мало того что спеки хорошие так еще и зонды упилены по их заверениям, хотя год-два назад читал что в современных материнках упилить IntelME вообще невозможная задача, интересно как они это делают ? Слышал что для 12 версии IntelME есть возможность сделать downgrade до 11 версии, а её уже прибивают через дыру с помощью me_cleaner, но теперь уже есть 14 версия.

Вопрос к тому что многие считают system76 оверпрайснутым и можно ли взять обычный лаптоп и выполнить эти манипуляции самому ? Какие материнки они используют ? Программатор и опыт в сборке coreboot имеется.

★★★

DELL Vostro норм, и никаких коре бот не надо. Отключает и камеру и всё остальное если надо. Достань камеру если боишься слежки.

Red_Rain
()
Ответ на: комментарий от Red_Rain

core/libreboot одно из требований, камера пофиг, её отключить/заклеить при необходимости можно, а вот с ME мало что сделаешь, в DELL проприетарный биос толи делает то что нужно толи нет.

BLOBster ★★★
() автор топика
Ответ на: комментарий от BLOBster

Линейка Vostro это офисные калькуляторы. Игры не поиграешь, но камни там мощные. Видео рендерить легко. Если ты купил его с linux или Ubuntu на него станет вообще всё, даже FreeBSD. Будет работать всё. Так как это американец ему обязательно подставка нужна и HDD сразу на замену. Сейгеты помирают часто, а другое в них не ставят. В свободном ПО смысла нет. Ты тратишь больше производительности с их кривым софтом. Бывает на сайт СПО заходишь, там теги торчат. Им настолько срать на качество ПО. Проще взять DELL с продлённой гарантией. Он будет легко тащить любой дистрибутив и проблем не будет. Чем ты купишь коробку с под яиц у катайца без гарантии.

Red_Rain
()
Ответ на: комментарий от BLOBster

а вот с ME мало что сделаешь, в DELL проприетарный биос толи делает то что нужно толи нет.

А тебе не все равно? Ладно был бы ты мафиози, олигарх или значимый чин в государстве, вот тогда могли бы против тебя организовать персональную атаку, а так ты аноним коих миллионы, если через эту дыру начнется массовый взлом с угонами аккаунтов и кражей денег то об этом из каждого утюга будут верещать.

Aber ★★★★★
()
Ответ на: комментарий от Aber

Нет, не все равно, до какой степени должно быть все равно ? пока лично за тобой не придут даже если ты не олигарх ? Тогда поздно будет что либо делать. Дыра есть и её не должно быть, заделываем как умеем, доказать что угон был через нее невозможно, в том вся суть, может её активно используют прямо сейчас, мы принципиально не можем этого узнать, оно работает ниже уровня ОС.

BLOBster ★★★
() автор топика
Ответ на: комментарий от BLOBster

пока лично за тобой не придут даже если ты не олигарх ? Тогда поздно будет что либо делать.

Сперва придут за людьми с деньгами, потому как с них можно много взять.

может её активно используют прямо сейчас, мы принципиально не можем этого узнать

У тебя роутер есть? Если лампочками мигает когда ты не работаешь значит что-то происходит, раз ты такой параноик значит у тебя на роутере openwrt, ставишь tcpdump и смотришь на трафик.

Aber ★★★★★
()
Ответ на: комментарий от Aber

Да обычный Openvpn с московского ЦОД позволяет обходить блокировки рос ком пазора. Кроме блокировок международного суда. Так что прокидуешь до Москвы и не паришься. Эт всякие Мегафоны да дом.ру с рос ком пазором сотрудничают.

Red_Rain
()
Ответ на: комментарий от Aber

Сейчас смотреть смысла нет т.к. у меня старое железо без ME/PSP.

BLOBster ★★★
() автор топика
Ответ на: комментарий от Red_Rain

В мои интересы это не входит, ноут нужен в основном для кодинга, иногда поиграть во что то не самое требовательное.

BLOBster ★★★
() автор топика

Вопрос к тому что многие считают system76 оверпрайснутым и можно ли взять обычный лаптоп и выполнить эти манипуляции самому ?

А у них коммерческая лицензия? Если нет, то исходники должны быть.

BceM_IIpuBeT ★★☆☆☆
()
Ответ на: комментарий от BLOBster

Intel Boot Guard нужен для верификации coreboot перед его загрузкой и ключей Secure Boot. Сидит он в процессоре Intel, а не на материнке.

Это первая ступень системы Integrity, которая выполняется задолго до «Secure Boot».

Оно не защищает от проникновения буткитов в coreboot, а только заблокирует загрузку измененного coreboot «окерпичев ноут». Придется заливать прошивку программатором, иначе материнка инициализировать не будет.

anonymous
()
Ответ на: комментарий от anonymous

Оно не защищает от проникновения буткитов в coreboot, а только заблокирует загрузку измененного coreboot «окерпичев ноут». Придется заливать прошивку программатором, иначе материнка инициализировать не будет.

Тогда смысла в нем нет, проверять хэш сумму блоба я и сам могу

https://firmwaresecurity.com/2015/08/12/intel-boot-guard/

Кстати а почему поведение Boot Guard будет иным если заливать программатором, где то фиксируется факт что изменение биоса было через ОС ?

BLOBster ★★★
() автор топика
Ответ на: комментарий от Im_not_a_robot

Он под linux нормально идёт. Остальное типа 17 дюймов, там всё под венду. Купишь щас, потенциал раскроется лет через 15. У меня на linux больше 4х гигов оперативки не заполняется.

Red_Rain
()
Ответ на: комментарий от Im_not_a_robot

Прошу прощения, что не по теме, но наткнулся в закладках на твой комментарий, на который забыл ответить (Идеальный IM (Input Method) (комментарий)) :) Вероятно, решение проблемы нашлось, но для протокола: последовательность ctrl:nocaps, grp:lctrl_switch как бы работает, но из-за какого-то бага ISO_Next_Group срабатывает дважды при одном нажатии. А так рекомендовал бы поменять клавиши местами через udev, а переключалку назначить уже в соответствии.

anonymous
()
Ответ на: комментарий от BLOBster

да ни че ты не сделаешь. шпион сидит в чипсете ну или сидел.
это может быть любая микросхема на плате с измененной маркировкой. но аппаратные предатели не так страшны как программные.

anonymous
()
Ответ на: комментарий от BLOBster

Тогда смысла в нем нет, проверять хэш сумму блоба я и сам могу

Boot Guard аппаратно проверяет подпись BIOS-образа. Если подпись не сходится из-за изменения BIOS злоумышленником — система не запустится.

ValdikSS ★★★★★
()
Ответ на: комментарий от BLOBster

проверять хэш сумму блоба я и сам могу

Можешь только попытатся. Здесь главный вопрос когда проверять, время проверки. Ты можешь проверить BIOS/UEFI не скорее загрузки хотя бы части этого BIOS/UEFI способного что-то проверять.

Integrity требует проверку перед загрузкой.

Тогда смысла в нем нет

Смысл в том, что еще до исполнения BIOS/UEFI есть возможность проверить его цифровую подпись.

Кстати а почему поведение Boot Guard будет иным если заливать программатором, где то фиксируется факт что изменение биоса было через ОС ?

А как по-другому ты зальешь неизмененный BIOS/UEFI в «окерпиченый ноут» если он не загружает не то что OS, а даже свой BIOS/UEFI?

Intel Boot Guard разрешает только раз записать публичный ключ и включится, без возможности отключения и смены ключа. BIOS/UEFI с некорректной подписью не загрузится!

anonymous
()

Спасибо за разъяснения, теперь понятно, но если эта область с одноразовой записью то такое себе, получается новую версию не зальешь, фич новых не добавишь, и если дыру найдут тоже печаль.

Насчет времени проверки, а что вредонос может сделать чтобы не спалиться ?

BLOBster ★★★
() автор топика
Ответ на: комментарий от BLOBster

но если эта область с одноразовой записью то такое себе,

Это дает физическую гарантию невозможности подмены публичного ключа и невозможности отключить Intel Boot Guard.

получается новую версию не зальешь, фич новых не добавишь, и если дыру найдут тоже печаль.

У тебя есть секретная часть ключа Intel Boot Guard и ею ты должен подписывать все новые BIOS/UEFI. Конечно все секретные ключи используемые для Integrity надо надлежаще хранить офлайн, вне рабочих клмпов. Или уничтожать, но тогда прощай обновления.

Насчет времени проверки, а что вредонос может сделать чтобы не спалиться ?

Если верно организована вся цепочка Integrity и нет критических ошибок, то необходимо только ломать крыпту, вирусный файл должен иметь туже цифровую подпись, что и оригинал. Гарантию целостности и аутентичности системы в Integrity дает крыпта, например подпись RSA-4096.

А чё, никто не в курсе? Новая уязвимость линукса: BootHole (комментарий)

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.