LINUX.ORG.RU
ФорумTalks

В Германии запретили использование Windows 8 в госучреждениях

 ,


2

3

Как стало известно из опубликованных Die Zeit утекших внутренних документов немецкого Федерального ведомства по безопасности в области информационных технологий (BSI) Windows 8 оказалась весьма опасной для использования и крайне не рекомендуемой к использованию в госучреждениях Германии.

Причина опасности кроется в бэкдоре Trusted Computing, продвигаемом Trusted Computing Group. Фактически, этот бэкдор состоит из двух частей - аппаратной, называемой Trusted Platform Module (входящей в Secure Boot), и программной, вшитой в Windows 8 и являющейся неотключаемой частью операционной системы.

Самое интересное заключается в том, что данная система задумывалась как одно из средств DRM (Digital Rights Management) и теперь в Windows 8 Trusted Computing фактически контролирует что именно считать лицензионным, а что - нет, что уже является потенциальной проблемой. Ситуация усугублена ещё и тем, что Microsoft может управлять этой функцией удалённо.

Apple отказалась от этих чипов в 2009 году, а Linux их не поддерживает в принципе. Обкатывать идею с Trusted Computing Microsoft начала с Windows 7.

Подробности

Перемещено tazhate из security

★★★★★

Последнее исправление: alex-w (всего исправлений: 1)

Ответ на: комментарий от der_looser

Ах да, там и анимация градиента есть) он темнеет и светлеет, создается эффект пробегающей темной полоски.

Это все же лучше, чем угребищный UEFI. Кстати, на работе оный - оно нереально тормозное, после нажатия мышкой на нужное меню, его надо ждать по 1-2 секунды - раздражает до такой степени, что хочется разбить системник об голову тех, кто запихнул эту гадость туда.

leg0las ★★★★★
()

Блин, да что же вообще происходит-то? У нас весь мир стремительно глупеет?

1. TPM — полностью пассивное устройство. Т.е. его запросили — оно ответило. Другого способа нет, не было и не будет.

2. Если нужно активное устройство, то его нужно подключать к шине PCI или интегрировать в чипсет. Этого тоже никогда сделано не будет, вернее не будет сделано сильнее уровня AMT.

3. SecureBoot придуман не от хорошей жизни. В XP достаточно поменять один файлик, в 7-ке — запись в реестре, и система *сама* (sic!!) загрузит буткит. Причем, если кто-то думает что писать буткит — сложно, то разочарую, исходники шикарного буткита доступны под GPL, называется он GRUB2.

4. Сама сущность TPM, тоже не от хорошей жизни. Было бы у компаний время, намного бы логичней и правильней было бы прикрутить смарт-карту с необходимыми расширениями через ICCID, или ISOшный интерфейсы. Но, во-первых, это намного дороже; во-вторых, программный интерфейс намного сложнее (плюс, еще и расширения); в-третьих, обладает Фатальным Недостатком.

5. С линухом, дела обстоят ровно также хреново, если еще не хреновее. Чисто в теории, об этом должен заботиться SELinux, на практике же его понимает наверное пару десятков человек: остальные его первым же делом отключают. Да и на LSM вообще, и на SELinux в частности, в свое время было влито столько дерьма... ИЧСХ, со *всех* сторон: один орали что это буткит АНБ, другие орали что это способ обхода GPL, третьи орали что он тормозит работу, четвертые орали что он ничего толком не обеспечивает и пилят свои разработки. Истина так и осталась «где-то рядом».

Так что пороть горячку, как минимум, не следует.

Ну, и последнее! M$ уже сделал все, что мог. И если не место ушедшего Баллмера не встанет Элоп, то мы в скором времени станем свидетелями громогласного конца еще одной мегакорпорации. Вследствии «блестящего» менеджмента, «дальновидной» политики и «чуткого» визионизма последних лет, впору вводить в компании жестокие антикризисные меры.

Macil ★★★★★
()
Последнее исправление: Macil (всего исправлений: 1)
Ответ на: комментарий от leg0las

Это все же лучше, чем угребищный UEFI.

А можно по пунктам? И стоит учесть, что тонна костылей в современном железе существует исключительно ради поддержки BIOS.

x3al ★★★★★
()

Интересно, а может ли какое нибудь государство по политическим или экономическим интересам полностью запретить использовать Шиндовс как в гос. учреждениях, так и дома. то есть всем

zaramoth
()
Ответ на: комментарий от shell-script

А мне знакомый винадмин недавно говорил, что восьмёрка вполне себе ничего.

Они все так говорят, в грузчики возвращаться не хотят.

steemandlinux ★★★★★
()
Ответ на: комментарий от x3al

А в чем проблема переработать биос под современные нужды? но не рождать УГ под названием уефи?

Для начала нужно разобраться, что должен уметь биос, а что нет, и не пихать то, что не должен делать биос.

leg0las ★★★★★
()
Ответ на: комментарий от x3al

Ок.

1) Невозможность сброса (исходя из того, что мне ответили выше) дедовским хардварным методом

2) Тормознутость (проверено на собственной шкуре)

leg0las ★★★★★
()
Ответ на: комментарий от leg0las

2) Тормознутость (проверено на собственной шкуре)

Меньше покупай матери от говновендоров. Оно быстрее биоса.

1) Невозможность сброса (исходя из того, что мне ответили выше) дедовским хардварным методом

Это точно минус? К современному ПК ещё нельзя отладочную консоль на COM-порт подключить.

x3al ★★★★★
()

нормаьлного человека от такого дерьма и без запретов воротит. пользование венды и особенно так называемой «восьмерки»  — это что-то в области копрофагии. короче, извращение это, нормальной психике не свойственное

chg ★★★★★
()
Ответ на: комментарий от x3al

Меньше покупай матери от говновендоров

Тогда запиши некислый % матерей на «говоновендоры» с уефи. С обычным биосом таких косяков нет.

Это точно минус?

Точно.

Еще добавь перегруженность интерфейса, сомнительную нужность секьюрбута, собственно саму мышевозность (кстати, на серверных материнках почему-то этого гогна нет. И казалось бы, при чем тут уефи...)

leg0las ★★★★★
()
Ответ на: комментарий от leg0las

перегруженность интерфейса, сомнительную нужность секьюрбута, собственно саму мышевозность

при чем тут уефи

Сам же ответил. В спецификации UEFI этого нет. А бажных биосов — тонны.

x3al ★★★★★
()
Ответ на: комментарий от Macil

Если нужно активное устройство, то его нужно подключать к шине PCI или интегрировать в чипсет. Этого тоже никогда сделано не будет, вернее не будет сделано сильнее уровня AMT.

В ЦПУ не хотел? В армах уже давно внедряется так называемая «TrustZone», код которой начинает выполняться до первых инструкций загрузчика.

В остальном согласен - бэкдор в софте, а не железе.

segfault ★★★★★
()
Ответ на: комментарий от leg0las

А в чем проблема переработать биос под современные нужды? но не рождать УГ под названием уефи?

Проблема в том, что любое старье рано или поздно становится проще переписать, чем доработать. А вот почему новое хуже старого - это уже другой вопрос.

segfault ★★★★★
()
Ответ на: комментарий от x3al

Ок. Они бажны по причине, что разрабатываются как уефи или как старые добрые ами/авард?

leg0las ★★★★★
()
Ответ на: комментарий от segfault

Ок, согласен. Во всяком случае моя точка зрения - приемущества UEFI сомнительны, несмотря на то, что они решают проблемы, которые тянутся уже не один десяток лет.

leg0las ★★★★★
()
Ответ на: комментарий от segfault

В армах уже давно внедряется так называемая «TrustZone»

В некоторых АРМах сначала исполняется прошивка GPU, собственно еще до самого процессора.

TrustZone — это самое обычное «аппаратное ускорение» для гипервизоров, только в отличие от схожих интеловских/амдшных решений ориентировано больше на ОИБ и прочие DRM.

С АРМами все проще и сложнее. Вендору ничто не мешает запилить еще одно спецядро для своих темных делишек. Но все опять же упирается в стоимость (вернее в маржинальность).

Но, АРМы сейчас — этакий Неуловимый Джо. Через полгода такой проц в пыщь-пыщь мобилке выкидывается в мусорную корзину. Как только, срок жизни АРМов существенно увеличится, сразу же встанут очень неудобные вопросы как конечных пользователей конечным вендорам, так и конечных вендоров основным вендорам.

Macil ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.