Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

BIOS прекратят использовать в течение трёх лет

Компьютерное железоUEFI
Перевод
По словам MSI, в скором времени BIOS, с незапамятных времён являющийся одной из важнейших компонент для ПК, может выйти из употребления. MSI утверждают, что сейчас они переносят фокус на дружественный к пользователю интерфейс с подержкой мыши (UEFI), и планируют запустить его в использование к концу этого года.


Читать дальше →
Всего голосов 171: ↑148 и ↓23+125
Просмотры5.7K
Комментарии 197

Безопасная загрузка UEFI

Чулан

Безопасная загрузка UEFI


Как сообщает Википедия UEFI — Unified Extensible Firmware Interface (EFI) — интерфейс между операционной системой и микропрограммами, управляющими низкоуровневыми функциями оборудования, его основное предназначение: корректно инициализировать оборудование при включении системы и передать управление загрузчику операционной системы. EFI предназначен для замены BIOS — интерфейса, который традиционно используется всеми IBM PC-совместимыми персональными компьютерами

С большой вероятностью вскоре у многих появятся вопросы на эту тему:

Безопасный протокол загрузки UEFI является частью спецификации последнего релиза UEFI. Он позволяет установить один или несколько подписанных ключей в прошивку системы. После включения, “безопасной загрузки” UEFI предотвращает загрузку исполняемых файлов или драйверов, если они не подписаны одним из заранее установленных ключей. Другой набор ключей (Pkek) позволяет поддерживать связь между ОС и прошивкой. ОС вместе с набором ключей соответствия Pkek, которые организует связь с установлеными в прошивку ключами, может добавлять дополнительные ключи в так называемый “белый список” в прошивке. Естественно, помимо этого она может добавить ключи в “черный список”. Бинарники, которые отметились в черном списке ключей, естественно не будут срабатывать при загрузке.
Читать дальше →
Всего голосов 33: ↑32 и ↓1+31
Просмотры9.4K
Комментарии 32

Продолжение истории с UEFI Secure Boot

Настройка Linux
Microsoft решила ответить на возникшую вокруг проблемы шумиху

blogs.msdn.com/b/b8/archive/2011/09/22/protecting-the-pre-os-environment-with-uefi.aspx

Естественно, ничего путного тут не написано, обычное MS style бла-бла-бла на тему того, как они заботятся о пользователях и единственное, что интересно, так это то, что там рассказано (по ошибке :) о ещё одном варианте загрузки, когда OS может следить за профилем своего использования.

Этот пост от Microsoft привёл к тому, что на него отреагировал Мэтью Гэррет из Red Hat, которая с августа общается с производителями оборудования на эту тему. В своём ответном посте

mjg59.dreamwidth.org/5850.html

он раскрывает кое-какие детали этого общения.
Читать дальше →
Всего голосов 124: ↑98 и ↓26+72
Просмотры19K
Комментарии 346

Защитите ваше право устанавливать бесплатное программное обеспечение

*nix
Перевод
Нижеследующее является публичным заявлением, открытым для подписания. Для получения более подробной информации пожалуйста, прочитайте наше более развёрнутое описание проблемы по адресу fsf.org/campaigns/secure-boot-vs-restricted-boot.

Microsoft объявила, что если производители компьютеров хотят поставлять свою продукцию с логотипом совместимости с Windows 8, то они обязаны реализовать технологию под названием "Безопасная загрузка". Однако, в данный момент сомнительно, что эта технология будет соответствовать своему названию, т.к. скорее она заслужит имя "Ограниченная загрузка".

При правильной реализации «Безопасная загрузка» призвана защитить от вредоносных программ, путём предотвращения загрузки неподписанных двоичных данных на этапе включения компьютера. На практике это означает, что компьютеры, реализующие эту технологию, не будут загружать неподписанные операционные системы — включая те, которые были изначально подписаны, но затем изменены без повторного прохождения процедуры подписывания.

Эта технология будет соответствовать своему имени только если пользователь сможет самостоятельно подписывать программы, которые он хочет использовать, таким образом получив возможность запускать бесплатное программное обеспечение, написанное самостоятельно, или полученное от людей, которым он доверяет. Однако мы обеспокоены тем, что Microsoft и производители оборудования будут реализовывать эти ограничения загрузки так, чтобы не позволить запускать ничего, кроме Windows. В этом случае мы предпочитаем называть технологию "ограниченной загрузкой", так как такое требование накладывает катастрофические ограничение на пользователей, и в принципе не является средством обеспечения безопасности.

Пожалуйста, подпишите нижеследующее заявление, чтобы продемонстрировать производителям компьютеров, правительству и Microsoft, что вы заботитесь о своём праве выбора и готовы его отстаивать.
Читать дальше →
Всего голосов 174: ↑144 и ↓30+114
Просмотры2.3K
Комментарии 171

Linux Foundation рекомендует сделать простое меню для отключения UEFI Secure Boot

Настройка LinuxUEFI
Ведущие программисты Canonical и Red Hat составили документ с подробным анализом, как на Linux повлияет новый механизм защищённой загрузки UEFI Secure Boot, который будет в обязательном порядке ставиться на персональные компьютеры с Windows 8, то есть с первого квартала 2012 года UEFI Secure Boot станет стандартом практически для всех новых компьютеров в мире.

Документ содержит технические рекомендации для OEM-сборщиков, как реализовать поддержку UEFI, чтобы не блокировать установку на компьютер Linux и другого свободного ПО.
Читать дальше →
Всего голосов 79: ↑68 и ↓11+57
Просмотры9.5K
Комментарии 161

Почему UEFI Secure boot это трудность для Linux

Настройка LinuxUEFI
Перевод
Недавняя публикация на Хабре об ограничениях UEFI вызвала широкое обсуждение, в продолжении темы, хочу поделиться переводом актуального поста из блога Matthew Garrett, одного из разработчиков RedHat.

Я писал о технических деталях поддержки Linux`ом спецификации UEFI Secure boot. Не смотря на то, что я прямо указал, что она игнорирует вопросы лицензирования и распространение ключей, тем не менее опираясь на неё люди утверждают, что поддержка Secure boot может быть добавлена в Linux с минимальными усилиями. В некотором смысле, они правы. Технические детали реализации достаточно просты. Но трудности заключены не в них.
Читать дальше →
Всего голосов 70: ↑57 и ↓13+44
Просмотры27K
Комментарии 105

Как я перестал бояться и полюбил UEFI Security Boot

IT-компанииUEFI
Из песочницы
Я хочу поделиться своими соображениями, связанными с тем, почему от запрета отключения Safe Boot и добавления новых ключей в Safe Boot на ARM девайсы выигрывают пользователи. Под ARM девайсами я буду подразумевать только планшеты потому, что установка Windows 8 на других ARM девайсах крайне сомнительна. Я не хочу и не буду писать про Safe Boot на PC потому, что считаю этот вопрос исчерпанным после того, как стало известно, что можно будет добавить свои ключи или, и вовсе, отключить его.
Читать дальше →
Всего голосов 43: ↑12 и ↓31-19
Просмотры3K
Комментарии 31

Microsoft продавливает аналог Secure Boot на ARM-архитектуре

*nix
Сегодня я получил письмо от Free Software Foundation, в котором рассказывается о продолжении наступления Microsoft, о котором уже рассказывали на Хабре.

Возможно, это звучит слегка драматизировано для кого-то, но этот факт, тем не менее, заслуживает внимания, т. к. речь идет о дальнейшем ущемлении прав пользователей компьютеров.
Читать дальше →
Всего голосов 66: ↑50 и ↓16+34
Просмотры2K
Комментарии 126

NIST принимает стандарт для защиты BIOS

Блог компании Group-IBИнформационная безопасность
Национальный институт США по стандартам и технологиям (NIST) обратил внимание на безопасность системы BIOS, с целью защитить её от заражения вирусами, такими как Mebromi и Niwa!mem. Тема довольно специфическая: к настоящему времени существует несколько таких вредоносных программ, в методиках внедрения зловредов в BIOS разбираются считанные специалисты антивирусных компаний. Тем неожиданнее выглядит подобная инициатива со стороны государственной американской организации. Вероятно, эта проблема их сильно тревожит в свете угрозы тотального заражения BIOS на компьютерах, собранных в Китае.



Так или иначе, но NIST предложил новые правила безопасности для BIOS на серверах (черновик стандарта, pdf). Ранее они уже выпустили аналогичный стандарт для защиты BIOS на настольных компьютерах (pdf).

Новый документ представляет собой руководство для производителей серверного оборудования и серверных администраторов с описанием методик, которые помогут избежать попадания вредоносного кода в BIOS.
Читать дальше →
Всего голосов 18: ↑18 и ↓0+18
Просмотры10K
Комментарии 23

Уязвимость «физического присутствия» в UEFI

Информационная безопасность

Новые стандарты UEFI предполагают, что физическое присутствие человека (оператора) позволит защититься от автоматизированных действий вредоносного ПО по модификации различного рода ключей (которыми проверяется валидность загружаемого ПО), заливки неправильных версий БИОСа и т.д.

Логика такая: разрешить эти действия (которые позволят загрузить что попало) только при физическом подтверждении с клавиатуры. Мол, ни один злобный вирус не сможет физически нажать кноку на клавиатуре для биоса.

Я сейчас даже не буду рассматривать вероятность взлома прошивок USB-устройств для отправки нужных комбинаций кнопок.

Я хочу поговорить о такой страшной вещи, как IPMI и iLO со встроенными KVM'ами. И о том, как легко обходится задача «физического присутствия» в современном серверном железе.
Читать дальше →
Всего голосов 50: ↑44 и ↓6+38
Просмотры7.8K
Комментарии 52

Загрузка GNU/Linux без стороннего загрузчика

Настройка LinuxСистемное администрирование*nixUEFI
Tutorial
В данной статье я приведу пример, как можно отказаться от использования стороннего загрузчика, будь то Grub или Lilo, если ваш компьютер поддерживает современный стандарт UEFI, пришедший на замену BIOS. Интересной особенностью будет то, что все работы проводим на уже установленной и рабочей системе.
По уровню сложности данная статья ориентирована на опытных пользователей Linux, т.к. некоторых моментов я касаюсь поверхностно, полагаясь на очевидность, чтобы не уходить от основной освещаемой темы.

Читать дальше →
Всего голосов 90: ↑85 и ↓5+80
Просмотры61K
Комментарии 106

Как убить Lenovo G580 одним ударом

*nix
Помните недавний баг EFI на Samsung 530U3C, который приводил к тому, что ноутбук больше не работал после единоразовой загрузки ubuntu?

Встречайте EFI на Lenovo G580!

Итак, в канун нового года и праздничных распродаж, Adiost купил Lenovo G580 с FreeDOS, снес его и установил Ubuntu. Через какое-то время захотел установить-посмотреть Windows 8. В ходе этого обнаружил, что не может зайти в настройки EFI нажатием кнопки F2: просто-напросто ничего не происходило и начинала грузиться ОС. Плюнув на это, установил Windows 8, и начал чинить.
Читать дальше →
Всего голосов 50: ↑46 и ↓4+42
Просмотры102K
Комментарии 26

Подразделение Intel выпустило версию Android, оптимизированную под чипы Intel (c поддержкой UEFI)

Разработка под Android


Команда разработчиков из Open Source Technology Center компании Intel представила предварительную версию Android, оптимизированную под соответствующие чипы Intel. Другими словами, появилась версия Android, которую можно запустить на десктопном ПК, ноутбуке или планшете, на которых вы обычно работаете с Windows. Кроме того, есть и инструмент, позволяющий запускать и Windows 8, и Android на одном и том же компьютере.

Читать дальше →
Всего голосов 42: ↑38 и ↓4+34
Просмотры66K
Комментарии 30

Произошла утечка одного из UEFI-ключей компании AMI?

Информационная безопасность
Cпециалист по информационной безопасности Adam Caudill опубликовал интересную запись в свой блог.



Согласно этой записи, его партнер Brandon Wilson наткнулся на тайваньский FTP-сервер одного из вендоров (по некоторым источникам вендором является компания Jetway). На данном FTP-сервере, среди различных файлов, были обнаружены в открытом доступе: внутренняя почтовая переписка, системные образы, фотографии, персональная информация, изображения печатных плат в высоком разрешении, приватные спецификации и прочее.
Читать дальше →
Всего голосов 60: ↑51 и ↓9+42
Просмотры35K
Комментарии 29

Доступ к скрытым настройкам UEFI BIOS от Insyde

AssemblerРеверс-инжиниринг
Здравствуй Хабр!

Одно из направлений моей компании — продажа технологических решений в области виртуализации. По долгу службы, приходится делать пилотные проекты или устраивать тестовые стенды. Недавно, компания Citrix выпустила новый продукт под название XenClient XT, который по сути является клиентским гипервизором первого уровня, то есть работает на чистом железе. Основной идеей клиентского гипервизора является создание виртуальных машин на собственном ноутбуке. Где и как это применимо — опустим.

Все современные процессоры Intel и AMD поддерживают технологию аппаратной виртулизации.
И так, в моем распоряжении был ноутбук с H77 чипсетом и Intel Core i7-3820QM процессором. Согласно спецификации от производителя, мой процессор поддерживал Intel Virtualization Technology (VT-x) и Intel Virtualization Technology for Directed I/O (VT-d) технологии. Если первая имеется почти на всех новых ноутбуках, то вторая технология встречается только на топовых моделях. Но она дает много преимуществ, как например прямой проброс GDU в виртуальную среду, соответственно клиентская машина получает полную поддержку 3D. Но давайте не будем углубляться в технологии, отличные от тематики данной статьи.

В моем биосе была возможность включения VT-x, но вот управление технологией VT-d не было предусмотрено изначально.
Читать дальше →
Всего голосов 109: ↑103 и ↓6+97
Просмотры421K
Комментарии 82

Немного про UEFI и Secure Boot

Информационная безопасностьUEFI

UEFI


UEFI (Unified Extensible Firmware Interface) — замена устаревшему BIOS. Эта спецификация была придумана Intel для Itanium, тогда она еще называлась EFI (Extensible Firmware Interface), а потом была портирована на x86, x64 и ARM. Она разительно отличается от BIOS как самой процедурой загрузки, так и способами взаимодействия с ОС. Если вы купили компьютер в 2010 году и позже, то, вероятнее всего, у вас UEFI.
Читать дальше →
Всего голосов 122: ↑113 и ↓9+104
Просмотры778K
Комментарии 144

Устройство файла UEFI BIOS, часть первая: UEFI Capsule и Intel Flash Image

Системное программированиеUEFI
Tutorial
Выпуск материнских плат на чипсетах Intel шестой серии (P67 и его братьях) принес на массовый рынок ПК новый вариант BIOS — UEFI. В этой статье мы поговорим об устройстве файлов UEFI Capsule и Intel Flash Image.
Структура EFI Firmware Volume и полезные в хозяйстве патчи будут описаны во второй части.
Читать первую часть
Всего голосов 75: ↑74 и ↓1+73
Просмотры167K
Комментарии 16

Разблокировка AES-NI на Lenovo U310

Системное программирование
Пост практически продолжение темы UEFI.

История покупки


Началась вся история с того для работы был приобретен ультрабук Lenovo U310 (с Windows 8). Выбирался ультрабук по таким параметрам как:
  • Тонкий
  • Долго держит заряд
  • Не сильно дорогой
  • Наличие аппаратного AES


Шифрование само по себе было важно из-за постоянной работы с конфиденциальными данными + исходные коды рабочих программ.
Поэтому всё это занимало целый раздел на HDD, который был зашифрован через TrueCrypt.

Так как объем данных был довольно большой, то программной реализации шифрования уже не хватало бы. Вернее хватало бы, но поиск по ним был бы довольно долгий + длительная компиляция.

Именно поэтому и хотелось взять ультрабук с поддержкой аппаратного шифрования AES.
Выбор пал на U310 с процессором Intel i5-3317u. Посмотрев описание процессора, точно удостоверился в том, что там присутствует аппаратный AES (реализованный через набор инструкций AES-NI).

Читать дальше →
Всего голосов 70: ↑69 и ↓1+68
Просмотры39K
Комментарии 31

Устройство файла UEFI BIOS, часть полуторная: UEFI Platform Initialization

Системное программированиеUEFI
Tutorial
В первой части этой статьи мы познакомились с форматом UEFI Capsule и Intel Flash Image. Осталось рассмотреть структуру и содержимое EFI Firmware Volume, но для понимания различий между модулями PEI и драйверами DXE начнем с процесса загрузки UEFI, а структуру EFI Firmware Volume отставим на вторую часть.
Читать полуторную часть
Всего голосов 39: ↑37 и ↓2+35
Просмотры76K
Комментарии 11

Устройство файла UEFI BIOS, часть вторая: UEFI Firmware Volume и его содержимое

Системное программированиеUEFI
Tutorial
Позади уже полторы (первая, полуторная) части этой статьи, теперь наконец пришло время рассказать о структуре UEFI Firmware Volume и формате UEFI File System.
Читать вторую часть
Всего голосов 51: ↑48 и ↓3+45
Просмотры64K
Комментарии 4