Secure Boot: есть ли сценарии полезного использования

0

1

Мысли вслух. Но может не прав, и упускаю чего-то и есть польза для обычных людей?

Поглядывая на пункт в BIOS. Причём Enabled нельзя поменять Disabled, фактически Disabled - это если выбрать в настройках вместо винды «другие ОС». Впрочем, если выбрать винду, можно поиграться с загрузкой своих ключей.

Но я вот чего подумал, а занафига вообще для юзеров и/или админов может быть полезен Secure Boot?

Отчего с точки зрения информбезопасности обычно защищают комп? От кражи или компрометации данных (в том числе для работы с банком) и/или от отказа в обслуживании. Или чтобы комп не использовался как узел ботнета (тоже случай отказа в обслуживании).

Так вот де-факто ни от чего из этого SB не в состоянии «защитить».

Если компьютер кем-то удалённо 0wned до такой степени, что уже можно модифицировать загрузчик и бинарники системы, то что есть, что нет SB практически монопенисуально. С него уже повытащили все данные, если была такая цель, разослали тучи спама и смайнили всё что можно и нельзя.
Если к компу есть физический доступ, то против опытного злоумышленника SB мало что даст. Даже если допустить, что он не настолько опытный, чтобы знать какие-то инженерные способы обхода SB, доступные лишь серьёзным ю-эс-эйным конторам. Конечно SB помешает с флешки загрузиться и прописать троянчика, но не помешает вытащить HDD и считать его, не помешает засунуть аппаратный кейлоггер, заменить микросхему биоса, много чего ещё сделать можно.

Вот разве что в офисе может немного облегчить работу админам против шаловливых ручек юзверей, вооружённых сбрасывалками паролей винды.

Получается, что SB главным образом нужен для защиты. Но не пользователей, а производителей, чтобы ограничить пользователей. Сейчас в большинстве случаев ещё можно поставить свою произвольную систему, но рубильник уже изготовлен и запросто с какого-то момента отключить запреты можно будет очень далеко не на всей продукции, а потом и вообще не на всей. Ради безопасности конечно же.

Понятно, уже давно обсуждали SB, но вот проснулся в новом году и подумал, что может как-то приспособить для своей пользы эту фичу, раз уж она имеется. И понял, что по крайней мере мне она просто не нужна. Но интересно, может есть люди которым нужна и есть реальные, полезные сценарии использования.

Но такое впечатление, что там где действительно надо залочить комп от изменений уже давным-давно применяют не SB, а аппаратное залочивание с полным шифрованием диска и открытием по ключу-таблетке при включении компа. И нужно это реально очень мало кому.

Ссылка

←	Уязвимость в Thunderbird

Файлы pdf и djvu из ненадежных источников.

→

SB главным образом нужен для защиты. Но не пользователей, а производителей, чтобы ограничить пользователей

Да. Это выяснили и уяснили ещё в нулевых.

bass ★★★★★
(02.01.19 14:08:05 MSK)

Ответ на: комментарий от bass 02.01.19 14:08:05 MSK

Ну может и пользователям на что сгодится? Пока толком не придумал. Только вариант для админов в офисе, да и то сомнительный.

anonymous_incognito ★★★★★
(02.01.19 14:11:54 MSK) автор топика

Ответ на: комментарий от anonymous_incognito 02.01.19 14:11:54 MSK

Задумка в полном огораживании связки железо+ос от всех остальных конкурентов. Пока у альтернатив типа линукс небольшая передышка благодаря 2 факторам:
1. Антимонопольный комитет ЕС заставил продавцов железа для ЕС рынка сделать SB отключаемым ещё в 2008.
2. Азиатские заводы, как основные поставщики железа _пока_ клепают эту возможность для всех желающих.
Когда сша, китай, гонконг и тайвань сольются в экстазе спасения общего капитала, я уверен, одним из пунктов будет безвариантный SB. Желающие альтернативы будут покупать временные ключи.

bass ★★★★★
(02.01.19 14:32:12 MSK)

Ответ на: комментарий от bass 02.01.19 14:32:12 MSK

1. Антимонопольный комитет ЕС заставил продавцов железа для ЕС рынка сделать SB отключаемым ещё в 2008.

Разве в 2008 году уже был SB? Емнип эта зараза где-то в 2011-2012 году появилась из-за Win 8 (я в курсе про серверные фичи у некоторых серверов ещё ранее, но там это совсем по другому было организовано).

Когда сша, китай, гонконг и тайвань сольются в экстазе спасения общего капитала, я уверен, одним из пунктов будет безвариантный SB.

Не хочу накаркать, но боюсь всё проще: достаточно MS выпустить обязательное требование в спеках для логотипа Win 10 для производителей матплат и компов, чтобы возможность отключить осталась только в совсем подвальном ноунейме или наоборот для очень дорогого сегмента.

Прогнули же в MS и интел и амд, чтобы те НЕ делали драйверов для Win7 для встроенного видео (похоже и для чипсета тоже) новых процессоров. Особенно вроде по слухам AMD брыкалось, даже как-будто реально драйвера написаны, но прижали.

anonymous_incognito ★★★★★
(02.01.19 14:48:15 MSK) автор топика
Последнее исправление: anonymous_incognito 02.01.19 14:49:07 MSK (всего исправлений: 1)

Ответ на: комментарий от anonymous_incognito 02.01.19 14:48:15 MSK

Разве в 2008 году уже был SB?

наверно я ошибся в годах, по логике событий скорее 2011.

Прогнули же в MS и интел и амд, чтобы те НЕ делали драйверов для Win7

Там мог быть простой договор. Ведь микрософт/гугл и остальные яблоки/айбиэмы/деллы/хп (это всё сша) уже бы давно так сделали, но пока у ЕС достаточно крупный рынок, крупный капитал, родственные связи правящих элит: с этим приходиться считаться - платежеспособному клиенту надо потакать. Пока у ЕС есть хоть какая-то возможность брыкаться на полную монополию сша в этом вопросе, они будут антимонополировать. Но потихоньку их прижимают по всем фронтам. Вин7 поддержка закончилась, ещё 5 лет максимум, и уже не будет ничего кроме вин10+ и, для ответа антимонопольщикам, так вовремя купленного редхата как альтернативы.

p.s. про эльбрус и мы ого-го: в странах где учитель или инженер получает как водитель такси, нет конкурентного будущего хоть в какой-то отрасли, тем более в микроэлектронике.

bass ★★★★★
(02.01.19 15:38:56 MSK)

Secure Boot (при правильном использовании) защищает от кражи ключа от полнодискового шифрования*. Всё.

*кражи путём установки трояна в UEFI или загрузчик, без разборки машины, пайки и т.п. манипуляций.

legolegs ★★★★★
(02.01.19 15:43:51 MSK)
Последнее исправление: legolegs 02.01.19 15:45:12 MSK (всего исправлений: 1)

Ответ на: комментарий от bass 02.01.19 15:38:56 MSK

С эльбрусом-то всё ясно, он в любом случае нишевое решение, хотя бы из-за количества.

ещё 5 лет максимум, и уже не будет ничего кроме вин10+ и, для ответа антимонопольщикам, так вовремя купленного редхата как альтернативы.

Между прочим, в репах дебиана уже есть подписанные ядра, в смысле для SB подписанные. Это с одной стороны хорошо, с другой повод к тому, что даже не все линуксоиды могут заметить ограничение. Типа, а что такого - линукс-то грузится? Ну а то, что своё ядро не загрузишь, так мало кто их сейчас пересобирает даже из пользователей линукса.

Грустно это.

anonymous_incognito ★★★★★
(02.01.19 17:04:47 MSK) автор топика

Ссылка

Ответ на: комментарий от legolegs 02.01.19 15:43:51 MSK

Ну разве что, но это довольно редкий сценарий получается. И плохо понятно против кого, потому что одним оно не очень-то надо, а других такая защита вряд ли остановит. Разве что опять-таки для помощи админу в офисе от мамкиных хакеров среди сотрудников.

anonymous_incognito ★★★★★
(02.01.19 17:08:25 MSK) автор топика
Последнее исправление: anonymous_incognito 02.01.19 17:09:15 MSK (всего исправлений: 1)

Ответ на: комментарий от anonymous_incognito 02.01.19 17:08:25 MSK

Ну вообще да. В популярных статьях рассказывают про «атаку горничной», типа зашла в номер гостиничный, злодейскую флешку в ноут воткнула, подмела, флешку забрала и ушла без палева.

Хотя гораздо реальнее сценарий «просто спёрли ноут».

legolegs ★★★★★
(02.01.19 17:30:59 MSK)

Ответ на: комментарий от legolegs 02.01.19 17:30:59 MSK

Ну если диск зашифрован, то воровство не поможет. А хардверные жучки ставить долго и горничная не справится. Скорее всего какие-то требования аудиторов к ноутам для сотрудников в коммандировке породили всё это.

snizovtsev ★★★★★
(02.01.19 20:00:37 MSK)

Ответ на: комментарий от snizovtsev 02.01.19 20:00:37 MSK

В том то и дело, что без secure boot ставить софтверные жучки на UEFI проще простого, даже ещё, чем было с биосом, хотя казалось бы.

legolegs ★★★★★
(02.01.19 20:19:44 MSK)
Последнее исправление: legolegs 02.01.19 20:20:30 MSK (всего исправлений: 1)

Единственный сценарий полезного использования сводится к огораживанию системы на всех уровнях. Такой сценарий реализуем только в единичных случаях и сабж для него на практике мало чем полезен. Главная цель SecureBoot - запрет линукса. Идиоты бегали по форуму и кричали, что это не так, но на то они и идиоты.

~~Quasar~~ ★★★★★
(09.01.19 13:16:48 MSK)

Ссылка

Ответ на: комментарий от bass 02.01.19 15:38:56 MSK

и, для ответа антимонопольщикам, так вовремя купленного редхата как альтернативы.

RedHat как раз с мелкософтом кооперировался, всячески стараясь лоббировать SecureBoot - первый дистрибутив, подписанный лично мелкософтом. А IBM пришёл и всю кооперацию обломал, из-за чего сотрудники RedHat во время покупки IBM'ом выли в в интернете. Это было трудно не заметить.

~~Quasar~~ ★★★★★
(09.01.19 13:20:25 MSK)

Ссылка

Ответ на: комментарий от legolegs 02.01.19 15:43:51 MSK

Ты умолчал о том, что производители материнских плат свои трояны ставят. Вспомнить хотя бы скандал с леновой, когда из UEFI тайком от пользователя ставился мусорный софт.

~~Quasar~~ ★★★★★
(09.01.19 13:21:38 MSK)