LINUX.ORG.RU
ФорумTalks

Google опять думает что он бобро!

 , , ,


1

5

Для !Ъ

Для Ъ: На конференции LinuxCon выступил с докладом Рональд Минних (Ronald Minnich). Создатель CoreBoot рассказал о проекте NERF (Non-Extensible Reduced Firmware), развиваемое корпорацией Google. Эта система на основе ядра Linux призвана заменить просклойки, выполняемые вне ОС.

NERF также рассчитан на снижение векторов возможных атак, расширение возможностей по контролю за активностью прошивок, исключение излишней функциональности (например, TCP-стек и web-сервер), удаление встроенных механизмов обновления в пользу обновления из базового Linux-окружения. В состав NERF входит избавленный от блобов упрощённый вариант прошивки для Intel ME (Management Engine), урезанная прошивка для UEFI, код для отключения SMM, ядро Linux, образ initramfs c системой инициализации и инструментарием u-root, написанными на языке Go.

U-root написан на языке Go и включает в себя легковесную систему инициализации, оболочку rush и набор типовых утилит, таких как cp, mv, ls, grep, sort, dd, insmod, wget, netcat и т.п. Примечательно, что в формируемый при помощи u-root образ корневой ФС включается лишь процесс инициализации и несколько исполняемых файлов с компилятором языка Go. Все команды собираются только при необходимости - если запущенная утилита не была собрана ранее, то её компиляция осуществляется на лету после попытки первого запуска. Результат компиляции вызванной утилиты помещается в tmpfs и доступен для повторного использования в рамках текущего сеанса.

Таким образом, в u-root все утилиты предлагаются в исходных текстах, а для адаптации инструментария требуется лишь настройка компилятора. Компиляция занимает доли секунды и не приводит к ощутимым задержкам при вызове. Подобный подход позволяет сделать образ u-root универсальным и распространять единый образ корневой ФС для всех платформ, поддерживаемых компилятором языка Go (для каждой новой архитектуры требуется лишь подготовить 4 исполняемых файла, в одном образе могут содержаться сборки компилятора для разных архитектур).

Необходимость замены UEFI обусловлена тем, что на современных компьютерах параллельно с основной операционной системой параллельно выполняется ещё несколько неконтролируемых программных окружений (UEFI, SMM, Intel ME), которые формируются на основе проприетарных прошивок. Код UEFI продолжает работать после загрузки основной ОС и выполняется на уровне кольца защиты Ring -2. Данные закрытые окружения создают дополнительные угрозы безопасности. Например, внедрённый в прошивку UEFI вредоносный код может оставаться невидимым из основной ОС, но полностью контролировать всю систему.



Последнее исправление: Deleted (всего исправлений: 2)

Non-Extensible Reduced Firmware

Для входа в настройки необходимо авторизоваться через учетку gmail и разгадать рекапчу?

Deleted
()

Вообще идея то хорошая, но гугл легко изговнячивает все к чему прикасается. А, ну и ещё забавно что делают на go. Пока растаманы с крестанутыми пытаются в браузер, го лезет в железки.

StReLoK ☆☆
()

компилятором языка Go

как это они снижают вектор возможных атак добавляя компилятор? Или смысл в том что теперь можно не парится ассемблером, а просто компилять руткиты на Go?

Deleted
()

По описанию довольно годно, посмотрим, что из этого получится.

Хейтеры Go в треде будут?

Deleted
()

Браузер и офис ещё туда, и можно жить.

Sadler ★★★
()
Ответ на: комментарий от Deleted

Как обычно - нигде. Производятлы хотят свои ни с чем несовместимые стандарты (в том числе и со своими старыми продуктами).

StReLoK ☆☆
()

Начинание хорошее, но будет оно только на хромбуках ИМХО, остальные производители слишком повязаны договорами с Intel'ом, чтобы так нагло нейтрализировать ME.

Singularity ★★★★★
()

да, я тоже на днях прочитала на опеннете. посмотрела на картинку, увидела там го, закрыла и решила, что это поделие - очередное ненужно. пихать ни с чем не совместимый корпоративный язычок в boot - это то ещё извращение. да, и как они собрались поддерживать весь спектр существующего железа? в общем, не взлетит.

Iron_Bug ★★★★★
()

Не взлетит. Ну или взлетит только на хромобуках

sehellion ★★★★★
()
Ответ на: комментарий от sudopacman

такая наркомания возникает, когда прикладники пытаются «проектировать» системный софт. потом вдруг оказывается, что ресурсов не хватает и созданный монстр банально не может работать на голом железе, либо аццке тормозит.

Iron_Bug ★★★★★
()

уефи только успели внедрить, как надо снова все менять? Где они были когда биос закапывали, интересно

takino ★★★★★
()

Например, внедрённый в прошивку UEFI вредоносный код может оставаться невидимым из основной ОС, но полностью контролировать всю систему.

Ну тут-то прям никак нельзя встроить вредоносный код.

a111
()

кольца защиты Ring -2

Кстати, где можно почитать про все эти кольца защиты?

Deleted
()
Ответ на: комментарий от Singularity

Учитывай что американское кгб посильнее любого интела. И собственно отключение me сделано именно для них так как они официально его трояном считают. А тут гугл делает вид что он выше кгбы. Вооот он то точно врать нам не будет

ckotinko ☆☆☆
()
Ответ на: комментарий от Novell-ch

да, но ядро занимается только своими задачами. никакой периферии оно не предоставляет.

Iron_Bug ★★★★★
()

Выглядит отлично. С нетерпением жду времени, чтобы прошить себе всю эту прелесть

derlafff ★★★★★
()

Ништяк, можно писать переносимые руткиты на гугловском недоязыке и распространять их в исходных кодах, на жертве скомпилится автоматом. Даже ява не могла мечтать о таком. Теперь заживем!

anon8
()
Ответ на: комментарий от Deleted

Ну корбут то опенсорсный, может и это будет

Stil ★★★★★
()
Ответ на: комментарий от StReLoK

Пока растаманы с крестанутыми пытаются в браузер, го лезет в железки.

И правильно делает. Го простой язык, освоил нишу пошел дальше. А ржавые путь мозиллу пилят. Может хоть работать быстрее будет.

Siado ★★★★★
()
Ответ на: комментарий от Iron_Bug

А это ты у себя на аватарке изображена?

Siado ★★★★★
()
Ответ на: комментарий от LupusAlbus

Почитал...как страшно жить...

Deleted
()
3 января 2018 г.

Когда материнки и ноуты с этим будут? Или напишут утилиту, которая будет это всё легко устанавливать?

GladAlex ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.