UEFI. Сделка с Secure Boot

Ptiza_Govorun · #1

Здравствуйте!
Некий Rod Smith, (я полагаю все таки не футболист) накатал гениальную статью. http://www.rodsbooks.com/efi-bootloader ... eboot.html Набрел на нее в Release Notes for Linux Mint 18.1 Xfce

В силу скромных познаний как в английском языке так и тонкостях работы электронных устройств прошу прокомментировать некоторые моменты...
В ходе установки Linux Mint 18.1 Xfce в режиме UEFI дабы установить пропиетарные драйвера инсталятор предложил отключить Secure Boot что я и сделал следуя инструкции (придумал пароль и ввел при загрузке), и теперь ноут грузится в boot in insecure mode
Хотелось бы выяснить я этими действиями теперь "прошил" ноут что вообще отключил Secure Boot для всех систем которые установлены на ноуте (в частности Win10) или только для линукса? Потому как в настройках биоса (даже не знаю как правильно называть базовые установки меню) в общем в базовых настройках ноута режимы UEFI и Secure Boot включены, но еще до загрузки меню GRUB на несколько секунд проскакивает строчка boot in insecure mode. Конечно приятно что теперь пропиетарные драйвера видеокарты установились и я теперь (вроде бы могу ) переключаться между режимами Intel и Ge force, но как то неприятно что ради этого я напрочь убил Secure Boot (если это действительно так), ибо я вряд ли буду играть в игры в линуксе и использовать возможности ускорителя...

В общем учитывая статью в особенности секцию Using the Shim Program подтвердите или опровергните мои опасения...

Concluding Thoughts

In early 2017, Secure Boot is a modest-to-major hassle for Linux users. Although Secure Boot has the potential to improve security, Linux has historically not been plagued by viruses, so it's unclear that Secure Boot will be a benefit for Linux-only computers. If you dual-boot with Windows, though, you may want to keep Secure Boot enabled. Using the Shim program looks like the best way to do this for users of Fedora, OpenSUSE, Ubuntu, and other distributions that support Shim. If you're using another distribution or are having trouble booting multiple distributions, disabling Secure Boot is the easiest way to deal with it. Signing your own boot loaders to use the native Secure Boot mechanism and your own key set is another alternative, and one that provides you with the greatest security and flexibility. This approach is the hardest one to implement, particularly if your computer's firmware setup utility lacks the ability to add keys..

#2

из личного опыта и как я понимаю. Если Secure boot включено, то флешку сунул и при вызове бут-меню (Asus - Shift+Esc) флешку не видать. А при выключенном видно. Так что еще вопрос добро это или лишнее. Я отключил и мне оно не мешает.

nimms · #3

Ptiza_Govorun писал(а): Хотелось бы выяснить я этими действиями теперь "прошил" ноут что вообще отключил Secure Boot для всех систем которые установлены на ноуте (в частности Win10) или только для линукса?

Вообще он должен отключаться для всех ОС, однако:

Ptiza_Govorun писал(а): в базовых настройках ноута режимы UEFI и Secure Boot включены, но еще до загрузки меню GRUB на несколько секунд проскакивает строчка boot in insecure mode.

Похоже, что у Вас какая-то странная реализация UEFI (по крайней мере, впервые с таким сталкиваюсь), которая позволяет даже при включенном Secure Boot загружать неподписанные загрузчики. Иначе как Вы установили Минт (см. ниже)? Вообще, если он (Secure Boot) у Вас действительно работает так и это нельзя изменить, толку от него ноль.

Secure Boot работает следующим образом: у EFI-приложения (обычно это загрузчик ОС) проверяется цифровая подпись, и если она соответствует ключу из хранилища, то выполнение этого приложения разрешается. Таким образом исключается возможность загрузки недоверенных приложений и подмены доверенных.

Теперь о проблемах такого подхода. По умолчанию на всех компьютерах с Secure Boot в хранилище есть лишь ключ Microsoft, который используется для загрузки Windows.

Начиная с Windows 8. Windows 7 не поддерживает UEFI полностью, так как требует для загрузки включенного CSM (Compatibility Support Module, или, проще говоря, эмуляция BIOS). Включенный Secure Boot, как правило, полностью исключает возможность использования CSM.

Соответственно, другие ОС загрузить вроде как не получится. Однако, Microsoft предлагает разработчикам за $99.9 получить возможность подписывать их ключом свои загрузчики. Этим воспользовались, например, Fedora Project (проект Shim) и Linux Foundation (проект PreLoader). Ubuntu использует как раз Shim, благодаря чему устанавливается и работает даже при включенном Secure Boot. Но не Linux Mint: в нём нет поддержки Secure Boot «из коробки» вовсе, о чём можно узнать из любых Release Notes:

Linux Mint is not certified by Microsoft (and should not need to be). If your computer is using "secureBoot", you might need to turn it off.

И, наконец, о том, почему Secure Boot с ключом от Microsoft вас не защитит — он был взломан по их же неосторожности. Так что реальный толк от Secure Boot есть лишь в том случае, если поместить в хранилище свои собственные ключи и подписывать ими загрузчик и ядро. Это, однако, довольно сложная тема, поэтому расписывать её я не буду. У Рода Смита есть статьи на эту тему.

Вообще для того, чтобы подменить загрузчик, нужны права суперпользователя либо физический доступ к машине. Защищают, как правило, личные файлы, а не саму ОС, так что в этих двух случаях уже плевать, что там с загрузчиком сталось.

Подводя итог: обычному пользователю включенный Secure Boot ни к чему и будет только мешать. Если же пользователь — параноик и действительно заботится о безопасности своих данных, то доверять Майкрософту он не будет, а сгенерирует и установит свои ключи, удалив все остальные.

Ptiza_Govorun · #4

nimms, Спасибо! Вы многое прояснили хотя кое какие вопросы остались. Я конечно параноик, но умеренный. Винда для игрушек и некоторых приложений которые не всегда корректно работают в виртуалбоксе, и стороннего антивируса на ней нет, только ее собственный Защитник (ноут покупался с Win8 но в своё время был обновлен до Win10 по ее назойливому предложению).
По поводу физического доступа понятно, но по поводу прав суперпользователя я из тех лентяев который в винде не пользуется ограниченной учеткой, единственный пользователь он же админ. Хотя UAC включен. Собственно ценности там на винде это только стим аккаунт, но и то стимгуардом защищен... Т.е. вероятность заражения винды минимальна даже с таким вот Insecure Mode?

Пара картинок.
то что у меня сейчас (слил в один файл я думаю понятно)

то с помощью чего я получил insecure mode.

Кстати забавно. После перезагрузки он меня несколько раз спросил порядковый номер символа в этом пароле . и хотя я сообразил не с первого раза и пытался ввести пароль полностью и одна ошибка в символе была. но Secure Boot все таки отключился

nimms · #5

Ptiza_Govorun, по поводу того, как Минт отключил Secure Boot при установке, ничего не могу сказать, я о такой опции даже не знал. В теории он вообще не смог бы загрузиться. Может, ошибаюсь. Проверять пока нет времени.

А по поводу возможности заражения… Я далеко не эксперт в области информационной безопасности, но некоторую ясность попытаюсь внести, исходя из своего опыта.

Не по теме

Почему-то почти всегда получается так, что мои посты перестают относиться к основной теме напрямую.

Прежде всего стоит помнить, что ничто не случается просто так: пользователи сами, пусть и неосознанно, пускают вредоносов в систему. Например, открывают папки, музыку или видео с расширением .exe, которые им знакомый принёс на флешке. Или открывают вложение в письме с названием Отчет за 01.03.2017.vbs. Вредоносы, проникающие в систему с использованием какой-либо уязвимости без участия пользователя — очень редкие случаи, и, как правило, происходят тогда, когда пользователь отключает обновления. Таких почему-то немало и среди моих знакомых.

До сих пор я ни разу не видел вредоносов, которые подменяют загрузчик в UEFI, так как реализовать это при включенном Secure Boot даже с учётом утечки ключа сложновато. Во времена BIOS подменяли загрузочную запись в MBR, и сделать это было довольно просто, хотя толку немного. Так как личные данные для пользователей стоят на первом месте, сейчас чаще всего используют шифровальщики-вымогатели: файлы с определёнными расширениями (текст, документы Microsoft Office, изображения (фотографии) и т. п.) шифруются стойким алгоритмом, и у пользователя вымогают деньги, обещая после выплаты выдать программу для расшифровки. Так как подавляющее большинство пользователей не делает бэкапы, это, пожалуй, самые эффективные вредоносы на сегодняшний день. Таким образом, если где и подменяют загрузчик, то разве что на крупных серверах, встраивая туда rootkit. Обычным пользователям это не грозит, ведь написать руткит не так-то просто, а взять с них всё равно нечего. Заражают саму систему, как правило, для того, чтобы дёшево или вообще бесплатно собрать ботнет для DDoS-атак на крупные ресурсы. Для пользователя в таком случае из последствий лишь излишние нагрузка на процессор и сетевой трафик, но и только.

Другой пример. В Steam долгое время не было приложения-аутентификатора, и Steam Guard работал только через отправку сообщения на почту с кодом подтверждения. Сейчас, к счастью, такую возможность добавили. Но на тот момент, когда произошёл случай, о котором я сейчас расскажу, её не было.
Итак, одному моему знакомому (назовём его Вася) написал незнакомец. Долгое время втирался в доверие и, наконец, предложил вместе сыграть. Вася хотел созвониться по Скайпу, но тот человек отказался, настояв на использовании другой голосовухи. Точно уже не помню, какой, но малоизвестной. Собственно, дал ссылку на сайт и предложил скачать. Вася, ничего не подозревая, так и сделал, потому что сайт выглядел вполне серьёзным. При установке программа запросила права администратора (UAC), что вполне ожидаемо, ведь большая часть программ устанавливается общесистемно. Поэтому Вася дал разрешение. Однако, на деле ничего не установилось, и вскоре Вася заметил, что весь его инвентарь в Стиме бесследно исчез.

Теперь несколько подробнее. Тот незнакомец давно приметил богатый инвентарь Васи, поэтому и решил атаковать именно его. Втирание в доверие — это один из методов социальной инженерии (social engineering). Голосовуха, которую он упомянул, существует на самом деле, и ничего вредоносного в себе не несёт. Но сайт, ссылку на который он дал, был специально подготовлен для этого конкретного случая, и в точности копировал официальный сайт программы (а вскоре стал недоступен). Всё, что отличалось — это домен в другой зоне (.net вместо .com) и, собственно, ссылка на загрузку (она вела на Dropbox, чего Вася не заметил). После запуска установщик прочесал профиль браузера, где хранились запомненные пароли Васи в открытом виде. Так, кстати, во всех браузерах было на тот момент. Только Firefox позволял задать мастер-пароль, и тогда пароли в нём шифровались. Как обстоят дела сейчас — не знаю. Так вот, среди этих паролей были пароли от почты (Вася не использовал двухфакторную аутентификацию в Gmail) и Стима (store.steampowered.com). Поэтому взломщику легко было войти в Стим даже при включенном Steam Guard. Так он и сделал. Передал весь инвентарь на свой временный аккаунт, а уже с него — на настоящий. Отмечу, что всё это можно было сделать даже без прав администратора. Антивирус при этом молчал.

Последний пример, который упомяну — из недавнего. Почитать о нём можно, например, здесь. Просто чтобы подчеркнуть то, на какие хитрости идут взломщики.

Итог: заражение загрузчика — очень маловероятный сценарий. Лучший способ себя обезопасить — это быть внимательнее и никому не доверять вслепую (даже знакомым, ведь и их могут взломать). Антивирус — не панацея, UAC и ограниченная учётка — тоже. Они лишь уменьшают риск, но не убирают его полностью. Также очень желательно делать бэкапы во избежание потери данных и использовать двухфакторную аутентификацию, чтобы в случае угона пароля злоумышленник всё равно не мог войти в аккаунт.

UPD: чуть дополню. Многое из этого относится и к Линуксу тоже. Пусть даже он гораздо менее популярен, чем Винда, но никто не мешает использовать те же самые приёмы, если злоумышленник осведомлён о том, что целевой пользователь — линуксоид. К тому же, есть вредоносы, написанные так, что работают сразу под несколькими ОС. Так что это тоже не панацея.

Ptiza_Govorun · #6

nimms, Спасибо за историю. И хотя я в ней не нашел ничего нового и периодически вместе с коллегой помогал знакомым Васям и Василисам избавляться от последствий их необдуманных действий. Один раз даже декан ухитрился поймать банер вымогатель с гей порно себе на ноут.

Вы правы чаще всего это социальная инженерия типа всплывающих окошек в браузере "вы под угрозой срочно обновитесь", или адварь или мэйлварь с партнерок инсталяторов (иногда псевдолегальные с мелким шрифтом и включенным чекбоксом). Есть еще люди которые веруют что можно по запросу "скачать автокад бесплатно" (цель студент) или "скачать книгу бесплатно" (цель преподаватель) получит самораспаковывающийся архив с каким угодно сценарием

. Касательно флешек с иконками папок на экзешниках я успешно вбил в голову бывшему директору и еще нескольким людям, что проводник это зло а файловый менеджер типа тотал это благо

У меня на винде обновления включены да и сама винда 10. Брат же упорно игнорирует рекомендации и не обновляется ни на андройде на своих мобильных устройствах ни на семерке (дома). Хотя работает программистом в отделе по информационному сопровождению образовательных процессов. Ну хотя бы не он занимается администрированием там.

Меня действительно больше беспокоили бы те зловреды, которые проникали бы без ведома пользователя используя уязвимости. Да и превращения в часть ботнета или промежуточный элемент для хакерской атаки тоже бы не хотелось. Нет желания даже косвенно знакомиться с управлением К. (Почему то вспомнилась история про какого-то хакера шутника который на рекламный щит порнуху выдал а взяли какого то колхозника который клавиатуру похоже в руках держал пару раз в жизни).

Unborn · #7

Ptiza_Govorun, вообще Секьюри бут отключается в УЕФИ, а не со стороны. Что ты там за пароль вводил не понятно. Если только установлен пароль на вход в УЕФИ, то его и должно запросить. Если его не было - всё туфта. И ключей в УЕФИ - для каждого низкоуровнего драйвера, а не только для Винды.
В Убунту-Минт имеют подписи система Груб и само ядро. Ни один проприетарный драйвер не подписан. За исключением блоба Нвидиа. Инструкция как это сделать есть на сайте самой Нвидиа. Не охота заморачиваться, проще откл. Секьюри бут и всё. А при работе Секьюри бут получить низкоуровневый доступ до железа стороннему не подписанному софту практически не реально.
Это юзеровские ключи гуляют, а системные нет. Чтобы начудесить нужно не подменять и не ковырять, а просто знать системные. По простому - комп нужно в руках чтобы был. А удалённо - Винда - это понятно, данные можно стырить, да и управлять, а вот в Линукс - уже проблемно.

Ptiza_Govorun · #8

Unborn писал(а): Ptiza_Govorun, вообще Секьюри бут отключается в УЕФИ, а не со стороны. Что ты там за пароль вводил не понятно. Если только установлен пароль на вход в УЕФИ, то его и должно запросить. Если его не было - всё туфта. И ключей в УЕФИ - для каждого низкоуровнего драйвера, а не только для Винды.

Вы видели скриншоты текущего состояния.

я сделал только то, что предложил минт при инсталяции (при включенном секур буте). До этого момента в Setup Utility на вкладке Security никакого пароля не было задано. После чтения статьи Рода Смита (увы уже позже) мне пришло в голову, что, очевидно, это встроенный в инсталятор хак для тех людей, у кого на ноутах нет опции отключения секур бута в Setup Utility. Пока я сидел на 17.3 и на свободных драйверах я и не заморачивался. У меня и был просто отключен секур бут в Setup Utility (UEFI with CSM). Но когда я решил обновится до 18.1 и сделать всё "красиво" я включил секур бут.
"Красиво" не получилось. Теперь имею то что имею

Unborn писал(а): А удалённо - Винда - это понятно, данные можно стырить, да и управлять, а вот в Линукс - уже проблемно.

так это то меня и интересует. богомерзкая но увы пока незаменимая полностью. Я думал сделать рекомендованное секур бут для винды, и вводя тот пароль который предложил инталятор минта, я думал что этим действием временно отключу этот пресловутый секур бут только для установки пропиетарных драйверов (видюха) в линукс, которые при включенном секурбуте нельзя установить. По факту получилось если я правильно понял, я отключил секурбут для всех ОС на этом ноуте, без возможности включить его обратно.
Так это или не так я и хотел выяснить в этом топике

Unborn · #9

Ptiza_Govorun писал(а): По факту получилось если я правильно понял, я отключил секурбут для всех ОС на этом ноуте, без возможности включить его обратно.
Так это или не так я и хотел выяснить в этом топике

Войди в УЕФИ и посмотри вкл. или выкл. И не бывает персонально для какой-то ОС. Если вкл., то никакой проприетарный драйвер в Линукс работать не будет. Установить драйвера можно и при вкл. Секьюри бут, но загружаться и работать они не будут.
У меня броадкомовский проприетарный на вафлю. Вкл. Секьюри бут и вай-фая нет. А установить - обновить - без проблем.
Да и при отключенной этой фичи просто ничего страшного. Ещё одна зашита для педальных оленей. Нормальный юзер не будет скачивать не понятно откуда и запускать не понятно что. Например какой-нибудь драйвер-пак, который скажет, что нужно всё обновить, хотя производитель давно ничего предлагает и не собирается что-то обновлять.

Ptiza_Govorun · #10

Unborn, еще раз обращаю внимание на скриншоты

судя по ним все опции в Setup Utility касательно UEFI и Secure Boot включены. Но в самом начале загрузки еще до меню GRUB проскакивает booting in insecure mode. И потому что очевидно видюха работает в двух режимах (интел и жефорс) то секур бут по факту отключен. И как его включить обратно я не знаю. Как вызвать то меню где я вводил пароль для отключения секур бута (после первой перезагрузки после установки минта), так как это не меню родного Setup Utility.

ну раз при отключенном ничего страшного ну и бог с ним. единственные обновления в винде это те что через центр обновлений приходят и для видюхи через тот же GeForce Experience.
Я правильно понимаю что вся та зараза что в браузерах обитает на некоторых сайтах набитых скриптами и рекламой под самую крышу направлена в худшем случае на кражу пользовательских данных в том же самом браузере? Без ведома пользователя и мимо UAC никакая зараза на винду в виде традиционных вирусов троянов и прочего не присядет? Порой переходишь на какую то страницу в поисковой выдаче и видишь предупреждения "эта страница небезопасна" (через плагин типа WOT или сразу с яндекса) и начинаешь нервничать

Информация с той страницы нужна, а нежелательная беременность винды нет

. Помню было несколько лет назад касперский на работе прибил сразу какую то страничку в браузере за попытку загрузить что то нежелательное на комп без моего ведома. С тех пор стал побаиваться что есть такие вирусы которые не просто вместе и инталяторами идут, но цепляются при простом открытии странички.

Unborn · #11

Ptiza_Govorun, да видел твои скрины. Как был Секьюри бут включен, так и остался. Так у тебя с ним всё и работает. На первом скрине всё видно. И чего ни хрена никто не отключил. Ни для Винды, ни для Линукс.
Или уже сейчас по-другому? И прошивка хоть и АМИ, но какая-то странная. Разметка какая на диске?

Ptiza_Govorun · #12

Unborn, сейчас всё также как и на скринах. Ты же сам выше писал что не будут драйвера пропиетарные работать при включенном секур буте. А как ты видел в соседней теме видюха с дровами Нвидиа работает (хоть и странно, рендерит, судя по команде которую мне посоветовали, интеловская встроенная, при этом горит оранжевый и ты говоришь это значит что питание на Нидию идет)
Беглый поиск говорит что Aptio версия AMI прошивки встречается. Хотя и нечасто.

Разметка на диске GPT.

#13

nimms писал(а): Таким образом исключается возможность загрузки недоверенных приложений и подмены доверенных.

довольно странно позволять набору мегабайт за пользователя решать что доверенное, а что нет. Если пользователь сам поставил ОС стало быть оно доверенное.

Ptiza_Govorun писал(а): ценности там на винде это только стим аккаунт

Сомнительная ценность...

nimms писал(а): Таких почему-то немало и среди моих знакомых.

Ничего удивительного. С обновлениями как правило прилетает зло. Посмотреть даже на ту же Cinnamon. Как над ней только не издеваются, а страдают бедняги, которые увидели это "чудо" первым и качнули.

Ptiza_Govorun писал(а): У меня на винде обновления включены да и сама винда 10

Что в итоге и привело к тому, что сраный макрософак OwnDisk или как его там теперь сжирает всё место на системном диске и при этом системой совсем не сообщается о нехватке свободного места на диске, делает себе потихоньку снапшоты системы или того, что юзер делает в сеансе и отправляет "папочке". А вы продолжайте себя тешить, что обновления - защита.

#14

Dja писал(а): Сомнительная ценность

У меня там акк стоимостью в $2000, но есть акки и гораздо дороже...

#15

BadBird, пф... это всего лишь игрулька

#16

Dja, это реальные деньги, отданные за то что нужно.
Кто то водку бухает, кто то колится, кто то монеты и марки собирает, а кто то в игры играет, то есть у каждого из нас свои тараканы в голове....