А как этот вирус попал на компутег первоначально то? или опять «сам загрузил - сам запустил от рута».

А как этот вирус попал на компутег первоначально то?

Касперский загрузил, как же ещё?

как этот вирус попал на компутег

Gentoo анонсировали бинарную сборку gentoo-kernel-bin (комментарий)

Security Boot и подпись загрузчика Windows (комментарий)

Второй обнаруженный случай «малвари» в прошивке UEFI

fix

И как лечить, перепрошивкой материнки?

Второй публично объявленный случай «малвари» в прошивке UEFI

ultimate fix

me cleaner?

И как лечить, перепрошивкой материнки?

Переходом на опенсорсный БИОС coreboot. Остальное поможет лишь на время, т.к. всё железо - где проприетарный UEFI слепленный индусами на коленке - априори дыряво и уязвимо.

а у него все гладко и шелковисто?

Какие гарантии неуязвимости coreboot?

всё железо - где проприетарный UEFI слепленный индусами на коленке

Основа реализации UEFI открытая: https://github.com/tianocore/edk2.

LibreBoot - неуязвим, без проприетарный блобов и стабилен.

Основа реализации UEFI открытая: https://github.com/tianocore/edk2.

Типичный проприетарный UEFI от индусов имеет с ней мало общего. А у coreboot - она может быть одним из вариантов полезной нагрузки. Правда, >90% коребутчиков все равно сидят на SeaBIOS, потому что любой UEFI - от лукавого.

а у него все гладко и шелковисто?

Да. SeaBIOS, являющийся наиболее популярной «полезной нагрузкой» coreboot, содержит около ~50k строк кода (из которых задействовано намного меньше в зависимости от конфига) - и их можно просмотреть и в одиночку, чтобы убедиться лично.

Второй обнаруженный случай прошивки в «малвари» UEFI

fix

Какие гарантии неуязвимости coreboot?

Открытый код, крайне тщательная верификация всех коммитов, и весьма малый размер основного payload (см.выше)

Переходом на опенсорсный БИОС coreboot

Они ядро-то перепиливать не умеют, а ты предлагаешь вкорячить coreboot тем, для кого скорее всего нет готового пакета.

Тем, у кого материнка не поддерживает coreboot, предлагаю продать её и на эти деньги купить поддерживаемую. А дальше, я с радостью предоставлю подробнейшие пошаговые инструкции и даже соберу коребут по заявкам. Просто пишите: помогаю всем, и безвозмездно!

Может лучше запилить статью с твоим пошаговым рецептом сюда?)

Такие инструкции уже написали, правда на английском. 1) Как собирать - http://dangerousprototypes.com/docs/Lenovo_G505S_hacking#Instructions , 2) Как прошивать - http://dangerousprototypes.com/docs/Flashing_a_BIOS_chip_with_Bus_Pirate

Ну дык для Ъ же?))

Всё это совсем несложно, главное - прямые руки) А если лень разбираться, то двое из ларца вообще всё сделают за вас, только монету плати)

LibreBoot - гарантирует работоспособность.

Да. SeaBIOS, являющийся наиболее популярной «полезной нагрузкой» coreboot

Coreboo - не дает гарантии работоспособности на вашей мамке. Более того с coreboot мамка, сносно, поддерживается только в пределах определенных версий, меньшие или большие версии coreboot мамку уже поддерживать не будут! Coreboot может окерпичивать мамку.

LibreBoot это стабилизированная ветвь coreboot. Оборудования поддерживает значительно меньше. Но главное LibreBoot оттестирован и дает гарантию работоспособности на вашей мамке.

efibootmgr вырезать лишнее. Или не поможет?

щта

Coreboot - не дает гарантии работоспособности на вашей мамке

У coreboot есть стабильные релизы (4.10, 4.11, 4.12) - но ими мало кто пользуется кроме производителей, потому что - благодаря крайне тщательному рассмотрению присылаемых патчей - свежайший coreboot из master обычно стабилен: отлично компилится и работает. Редко когда в master что-то сломают, но сообщество довольно быстро это замечает и исправляет, так что вероятность сделать git clone в «неудачный» момент времени - крайне мала.

поддерживается только в пределах определенных версий, меньшие или большие версии coreboot мамку уже поддерживать не будут

Разумеется, если код для поддержки конкретной матплаты закоммитили в версии X, то в «меньшей» версии X-1 его ещё не было - это очевидно. А из «бОльших версий» код платы выкидывают только в безвыходных ситуациях: когда его долго не обновляли, никто не хочет переделывать для совместимости с новым кодом coreboot, да и сидят на этой плате 3.5 анонимуса. Иначе такой вой поднимается...

Coreboot может окирпичивать мамку

Даже если и попался кривой коммит, это окирпичивание будет длится не дольше получаса: именно столько потребуется, чтобы полностью разобрать коребутовский ноут (это если не проковырял дырку в корпусе) и программатором с прищепкой прошить предыдущую версию coreboot. А на ПК - ещё быстрее! Возможно, ты спросишь «а что если нет программатора с прищепкой под рукой?» - тогда не торопись и посиди на старом коребуте чуть дольше.

LibreBoot - это стабилизированная ветвь coreboot

Нет, тут также как LibreCMC по отношению к OpenWRT. libreboot - это форк coreboot, из которого выкинули все матплаты которые не могут работать без блобов, вне зависимости от того - насколько изучены эти блобы, и могут ли быть опасны в теории или нет. Потому что это разграничения проводится не с точки зрения компьютерной безопасности, а «программной свободы». Лично меня, coreboot на AMD-шных платах более чем устраивает: там >99% кода открыто и полностью опенсорсная AGESA (пусть и копаться в ней сложно, но можно), немногие оставшиеся блобы достаточно изучены, чтобы их не опасаться, а аппаратного бэкдора AMD PSP нет - поэтому и деактивировать нечего, в зависимости от Intel-овских плат, где нужен ME Cleaner; да и интелоспецифичным уязвимостям вроде мельдауна - не подвержены.

Даже если ты при помощи какого-нибудь H2OEZE удалишь подозрительные модули из своего UEFI (обойдя при этом всякие подписи и не тронув жизненно важное для загрузки), ото всех уязвимостей это не спасёт. Можно пытаться залепить решето глиной, но вода дырочку найдёт.

ото всех уязвимостей это не спасёт. Можно пытаться залепить решето глиной, но вода дырочку найдёт

ещё один аргумент проив дырявого амуде, не так ли?

Как говорится, «на безрыбье - и рак рыба». Среди x86: по сравнению с амуде, и интел и via - дырявее многократно, вот и приходится сидеть на амуде за неимением варианта получше.

каком безрыбье? есть же уже всякое open hardware для тех, кто серьёзно заинтересован в безопасности, а не дурака валяет

Ну давай, найди мне Open Hardware со схожей производительностью. И без блобов!

схожей производительностью

не нужна, пруф: Ищу быструю материнскую плату (комментарий)

без блобов

откуда они возьмутся в open hardware? ты не знаешь, что это такое?

А дальше, я с радостью предоставлю подробнейшие пошаговые инструкции и даже соберу коребут по заявкам.

Со своими зондами? Спасибо, не надо.

Разумеется, я хочу чтобы каждый собирал coreboot сам: ведь если человек умеет собирать/прошивать, выше вероятность что он создаст полезные патчи. Поэтому я и не одобряю «либрешопы», продающие уже прошитое. Но если у человека никак не получается, то с радостью помогу. А зонды противоречат моим принципам, да и некогда делать их

технология UEFI просто ДЫРА

технология UEFI просто ДЫРА

BIOS как-будто не дыра. Чтобы закрыть дыру нужно запретить обновление прошивки программным способом или требовать нажатия аппаратной кнопки/джампера.

ты просто не знаешь, как биос работает

Это те которые с каждым новым релизом выпиливают больше «устаревших» плат, чем добавляют новых? Нет уж, как бы у них список поддерживаемых устройств не пошёл в отрицательную сторону

Типичная новость про coreboot

https://www.opennet.ru/opennews/art.shtml?num=48628

Добавлена поддержка 17 материнских плат:

Удалена поддержка 39 материнских плат:

В OpenSUSE ядро собрано так, что перепрошивка BIOS невозможна со стандартными параметрами и для доступа к /dev/mem даже из-под рута нужно добавить параметр iomem=relaxed ядру (без явной перезагрузки невозможно).

Как вариант.

каспер и есть вирус

То есть несмотря на унификацию всего в UEFI это аж целый второй вирус такого рода? Удивительно.

А противники UEFI до сих пор пугают этим — что раньше надо было писать таргетированный код под конкретную материнку/версию BIOS, что массово будет очень дорого, а в UEFI малвари станут универсальными.

целый второй вирус такого рода

Целый второй обнаруженный и публично объявленный вирус такого рода

Не факт, что рут не может обойти iomem=relaxed. Например, можно посмотреть, чего не проинициализирует ядро если эта опция включена, и попытаться сделать это после загрузки системы.

Конечно, меня тоже печалит удаление плат, но из твоего примера с 39 - более-менее толковых плат только ~3 серверных на старых оптеронах. Остальные - или дорогие платы разработчиков, или редкие на древних пеньках. Хотя, сами древние пеньки из коребута не выпилили, так что: если найдётся герой, кто посмотрит как обновляли например код ASUS P2B чтобы спасти его, и применит аналогичные правки к коду AZZA PT-6IBD, то эту плату вернут.

рут может загрузить свой драйвер, который запишет что угодно и куда угодно безо всяких стандартных /dev/*

по крайней мере без kernel lockdown или что там мутят

Если мы посмотрим на старые БИОСы писанные лапшеобразно на ассемблере (а не чистый coreboot в-основном на Си): если и находилась дыра, там нужно было ещё постараться чтобы правильно вклинить что-то туда, и делать это под конкретную плату. а UEFI - расширяемые по своей природе, туда очень легко засунуть что-то левое. На моём ноуте до установки coreboot, куча модулей в UEFI была вообще от Intel, хотя у меня AMD. А общее количество модулей - 284, почти 300! Сколько из них реально использовались? Создалось впечатление, что индусы-трюкачи жонглируют там UEFI-модулями у себя в подвале, пока железо не станет грузиться: «тяп-ляп и в продакшн», как говорится.

куча модулей в UEFI была вообще от Intel, хотя у меня AMD

вообще-то интел это разработчик большинства стандартов на пека

Те модули были под интеловское железо

интел так же производит кучу железа вроде сетевых карт, которое могут быть установлены к амд. а модуль общий для линейки плат