Slo-Tech - Moderni sistemi že dobro desetletje uporabljajo Secure Boot, ki počne točno to. Ob zagonu zagotavlja, da se izvaja le varna koda, ki jo označuje digitalni podpis. Gre za zaščito pred napadi, ko so bili še pred dvema desetletjema teoretični, nato pa so se pojavili v praksi. Škodljiva programska oprema, ki bi se ugnezdila v UEFI oziroma firmware, ima lahko popoln nadzor nad sistemom in ker se zažene še pred sistemom, v praksi ni vidna ali enostavno izbrisljiva. Secure Boot vsaj v teoriji pred tem ščiti.

V četrtek zvečer pa so raziskovalci iz podjetja Binarly ugotovili, da je na več kot 200 različnih modelih računalnikov proizvajalcev Acer, Dell, Gigabyte, Intel in Supermicro sistem zatajil. Kriptografski ključ, ki ga uporabljajo za preverjanje istovetnosti kode, je namreč kompromitiran. In to že dve leti.

Leta 2022 se je na Githubu (na naslovu, ki ni več aktiven https://github.com/raywu-aaeon/Ryzen200... ) znašel tudi zasebni ključ, zgolj navidezno zaščiten s štirimestnim geslom,...

Microsoft - Pri Microsoftu so lansirali popravek, ki onemogoča, da bi zlobna koda BlackLotus obšla sistem Secure Boot in se prikrito namestila na računalnik še pred zagonom Windowsov. Toda postopno nameščanje na vse računalnike naj bi trajalo slabo leto, po tem pa na teh napravah starejši mediji za nameščanje Oken ne bodo več uporabni, če ne bodo tudi posodobljeni.

BlackLotus je zbirka orodij, ki skozi zlorabo ranljivosti v strojni kodi UEFI omogoča nameščanje rootkitov, se pravi programja za prevzem nadzora nad računalnikom (UEFI bootkit). Varnostni strokovnjaki so ga prvič zaznali lansko jesen, od tedaj pa poteka napeta tekma z zlikovci v iskanju protistrupov. Razvijalci BlackLotusa so namreč zelo aktivni in ga stalno nadgrajujejo; v tem pogledu pa je predvsem pomembno, da je marca postal prvi javni UEFI malware, ki je zmožen zaobiti tudi Secure Boot, torej sistem, ki s pomočjo vezja Trusted Platform Module (TPM) načeloma preprečuje, da bi naprava ob zagonu pognala nepodpisano kodo. Sedaj...

Slo-Tech - Marca letos so člani hekerske skupine Money Message napadli proizvajalca strojne opreme MSI. Po lastnih navedbah so odtujili 1,5 TB podatkov, med katerimi so tudi izvorna koda in podpisni ključi. Od podjetja so zahtevali štiri milijone dolarjev odkupnine, a ker je niso prejeli, so začeli javno objavljati ukradene podatke. MSI javno ni komentiral dogajanja, a to ni omililo posledic.

Med pobeglimi datotekami je tudi izvorna koda firmwara, ki teče na MSI-jevih matičnih ploščah, ter podpisni ključi za 57 njihovih izdelkov ter podpisni ključi za Intel Boot Guard na 116 izdelkih MSI. Intel Boo Guard je varnostna funkcija, ki v modernih sistemih z Intelovimi procesorji preprečuje zaganjanje zlonamerne programske opreme (npr. UEFI bootkit), ki ni podpisana. Njena uporaba je na primer potrebna za Windows UEFI Secure Boot. S pobeglimi ključi, katerih izdajanje je v pristojnosti proizvajalca strojne opreme in ne Intela, se efektivnost tega sistema izniči. Napadalci lahko zlonamerno kodo...

Slo-Tech - Intel je potrdil, da bo do leta 2020 iz osebnih računalnikov odstranil še zadnje ostanka BIOS-a, ki je desetletja skrbel sprva za zagon računalnikov in dostop do strojne opreme, kasneje pa čedalje bolj le še za zagon. Na procesorjih, združljivih z x86, je BIOS od leta 1981 tekel v 16-bitnem realnem načinu in skrbel za združljivost. S prihodom 32-bitnih procesorjev je potreba po BIOS-u zamrla, saj moderni operacijski sistemi do strojnih virov dostopajo z gonilniki in ne več preko BIOS-a. Intel bo zato ukinil podporo za BIOS.

Toda na osebnih računalnikih vseeno še vedno vztrajajo ostanki BIOS-a. Čeprav je UEFI spodobna in zmogljivejša zamenjava zanj, ki ga danes podpirajo že vsi novi računalniki, smo v resnici še vedno v prehodnem obdobju. Večina programske...

Slo-Tech - V nedeljo popoldan se je na nas (in na SI-CERT) preko omrežja Tor obrnil neimenovan varnostni raziskovalec, ki je odkril več resnih varnostnih ranljivosti v podpisni komponenti, ki jo uporablja AJPES. Gre za aplikacijo mdSign, s pomočjo katere zavezanci podpisujejo dokumente, ki jih elektronsko oddajajo AJPES-u. Ker je bilo obvestil v zvezi s to spletno stranjo iz različnih virov v zadnjem času kar precej in ker gre v tem primeru res za jagodni izbor, smo se odločili prejeto obvestilo objaviti nemudoma.

Varnostni raziskovalec je ugotovil, da zaradi napake v podpisni komponenti obstaja možnost, da napadalec, ki ima zmožnost izvesti aktiven napad s posrednikom (tim. MITM napad), žrtev pretenta, da z zasebnim ključem svojega kvalificiranega digitalnega potrdila...

Slo-Tech - Microsoftu so na internet ušli glavni ključi, ki omogočajo poganjanje poljubne programske opreme, četudi zagon sistema ščiti Secure Boot. S tem je mogoče na nekatere doslej zaščitene naprave namestiti na primer Linux, po drugi strani pa se odpirajo možnost zlorab za pisce zlonamerne programske opreme. Microsoft se trudi s popravki, a težave v celoti ne more odpraviti, ne da bi zrušil združljivost z obstoječimi sistemi.

Secure Boot je funkcija UEFI-ja (naslednik BIOS-a), ki med zagonom preprečuje zaganjanje nepodpisane in nepreverjene programske opreme. Prvikrat smo ga dobili v Windows 8 in za delovanje zahteva računalnik z UEFI. Secure Boot odpravlja pomanjkljivost starega zagona v BIOS-u, kjer se je po sekvenci POST inicializirala strojna oprema, prebral in naložil firmware, nato pa je zaganjalnik (bootloader) začel zagon operacijskega sistema. Ta prva stopnja ni bila varovana, saj se nikjer...

Ars Technica - Štirje Microsoftovi inženirji s Petrom Biddlom (na sliki) na čelu so deset let nazaj izdali precej kontroverzno študijo The Darknet and the Future of Content Distribution. V njej so predvideli, da še tako sofisticiran DRM sistem ne bo sposoben vzdržati vseh napadov hekerske skupnosti, ter da, takoj bo ko vsaj ena kopija prosta digitalnih spon, več ne bo mogoče ustaviti njene distribucije čez nezakonita omrežja ("darknet"), tipa p2p, bittorrent ali dobri stari sneakernet (prenašanje podatkov z usb ključki in zunanjimi diski). A spet, to ne bo ustavilo založniške industrije, da ne bi vsak drug mesec poskusili znova, kar se bo potem sprevrglo v tehnološko in pravno vojno, v kateri se bodo venomer trudili biti en korak pred pirati, na...

FSFE - Nemško notranje ministrstvo je minuli vikend izdalo memorandum o Trusted Computingu in SecureBootu, v katerem navajajo, da morajo v Nemčiji prodani računalniki - sploh pa tisti, ki jih nabavi vlada - ob nakupu priti z izklopljenim mehanizmom SecureBoot. To pomeni, da proizvajalec računalnika ne sme prodajati enot, ki bi bile zaklenjene na poganjanje zgolj določenih (tipično prednaloženih) operacijskih sistemov, zlasti Oken 7 ali 8.

Namesto tega mora biti SecureBoot na voljo kot dodatna opcija (opt-in), ki jo uporabnik vklopi sam, na podlagi izrecne želje. Še več, v kolikor jo enkrat vklopi, pa si potem premisli, mora izklop potekati brez težav in brez morebitnih posledic za delovanje...

Lenovo - Lani tega časa, ko so bila nova Okna, se je veliko pisalo o nevarnosti, ki jo za uporabnike alternativnih operacijskih sistemov predstavlja specifikacija SecureBoot, sicer del BIOS nadomestka UEFI. SecureBoot namreč dovoljuje namestitev oz. zagon zgolj tistih operacijskih sistemov, katerih zagonska slika je podpisana z ustreznim ključem. Uradno zato, da nas zaščiti pred poganjanjem zloveščih ali spremenjenih operacijskih sistemov. Neuradno je seveda šlo za iniciativo Redmonda, da skozi svojo iniciativo "združljivo z Windows 8" od velikih sestavljavcev računalnikov izsili, da v UEFI namestijo samo ključe za Okna in morda še nekatere izbrane operacijske sisteme, tako da domača inštalacija GNU/Linuxa ne bi bila mogoča brez...

OMG! UBUNTU! - Davnega leta 2005 nas je Andraž Tori na NESTu strašil s predavanjem o kraticah, kot so DRM (digital rights management), TPM (trusted platform module), TC (trusted computing). Predavanje smo v skupni debati zaključili z ugotovitvijo, da nam bodo v neki ne tako daljni prihodnosti proizvajalci programske in strojne opreme (ali pa kakšna druga organizacija na višji ravni) določali kaj bomo poganjali na svojih računalnikih in kako bomo te programe poganjali. Kontrolo pa smo raztegnili tudi na prikaz in predvajanje vsebin. Večina slušateljev je zamahnila z roko, češ tega pa tako ali tako ne bo nihče dovolil.

V letu 2011 je večina računalnikov že opremljena s TPM čipom in večina računalnikov...

ZDNet - Še ena izmed vrste novih funkcij, ki jih Microsoft napoveduje za prihajajoči operacijski sistem Windows 8, bo tako imenovani hitri zagon. Gre za funkcijo, ki bo poizkušala premostiti vrzel med hladnim zagonom, ki kljub optimizacijam na novih računalnikih še vedno traja predolgo, in obnovitvijo iz stanja hibernacije, ki je povezana z zapisovanjem velike količine podatkov na disk in branjem z njega ter počasno degradacijo.

Pri klasični zaustavitvi sistema se končajo vse seje v uporabniškem in jedrnem delu operacijskega sistema, tako da se sistem pripravi na popoln izklop. Pri hibernaciji se to ne zgodi, ampak se celotna vsebina delovnega pomnilnika prepiše na trdi disk, kar omogoči obnovitev z iste točke. Nova funkcija v Windows 8 pa stori nekaj vmesnega. Zaustavijo in zaključijo se vse uporabniške seje, medtem ko se jedrne seje, ki jih je običajno manj in zavzemajo...

Slashdot - Ena izmed komponent računalnikov, ki se od začetka osebnih računalnik do danes ni bistveno spremenila, je BIOS. Prvi koraki tekstovne zagonske sekvence z obveznim piskom zvočnika na matični plošči bi utegnili postati zgodovina v naslednjih treh letih, če se bo prijela ideja o UEFI (angl. universal extensible firmware interface). MSI-jeve matične plošče ga bodo imele s koncem tega leta.

MSI bo konec letošnjega leta začel prodajati matične plošče, ki bodo imeli vgrajen UEFI. Prve bodo imele Intelov vezni nabor Sandy Bridge, ki obsega izdelke od začetnih plošč za nezahtevne uporabnike do najzmogljivejših. Njihov predstavnik za stike z javnostmi je dejal, da UEFI ne bo elitna komponenta...

Schneier.com - Indijska raziskovalca Nitin in Vipin Kumar iz NVlabs, sta na konferenci Black Hat Europe 2007 v Amsterdamu predstavila Vboot Kit.

Gre za poseben zagonski nalagalnik (boot loader), ki omogoča zaobid varnostnih mehanizmov Windows Vista. Zagonski nalagalnik se zažene iz CD-ja, se naloži v pomnilnik ter nato naloži operacijski sistem Windows Vista. Pred tem prestreže interrupt 13, ki omogoča dostop do diskovnih pogonov.

Na predstavitvi sta prikazala kako Vboot Kit teče z jedrnimi privilegiji in podeli sistemske pravice ukazni vrstici, celo če ta ni digitalno podpisana s strani Microsofta. Raziskovalca sta prepričana, da bi bilo mogoče z Vboot Kitom brez preverjanja digitalnih podpisov med delovanjem sistema "nadgraditi" gonilnike ali pa npr. prestreči z DRM zaščitene digitalne vsebine v fazi ko je zaščitena vsebina dešifrirana.

Predstavitev je pokazala, da je z nadzorom nad strojno opremo še vedno mogoče pridobiti nadzor nad programsko opremo, kar bo industrija verjetno izrabila...

Slashdot - Kot kaže, se anonimnosti zadnje čase slabo piše. Poleg sprejema direktive o obvezni hrambi prometnih podatkov namreč Slashdot poroča o TPM čipu, ki so ga poimenovali kar orwellowski čip.

Za kaj gre?

TPM, oziroma Trusted Platform Module je TC tehnologija, o kateri s(m)o že večkrat pisali. Gre za čip, ki bo vsak računalnik v katerega bo vgrajen, enolično identificiral. Poleg tega bo čip tudi preverjal katera programska oprema teče na računalniku in ali ji lahko zaupa (se pravi ali je ustrezno digitalno podpisana). Povedano drugače: če bo računalnik tekel v tim. TC načinu, potem bo čip poskrbel, da bodo gor tekle samo TC kompatibilne aplikacije. To pa bodo seveda aplikacije, ki ne bodo vsebovale virusov in bodo spoštovale avtorske pravice. Poleg tega bodo spletne strani v prihodnosti vsak računalnik s tem čipom lahko natančno identificirale, s tem pa bodo identificirale tudi njegovega uporabnika.

Na računalnikih s TPM čipom (poleg strojne opreme bo potrebna tudi ustrezna podpora...

Slashdot - O novi generaciji strojne opreme, ki bo poskrbela, da bo uporaba računalnika resnično varna, smo že poročali. Srž ideje je, da če imamo na eni strani operacijski sistem in programe digitalno podpisane ter na drugi strani strojno opremo, ki ima prav tako digitalno podpisano čipovje, nam ZliLjudje™ ne morejo mednje vstaviti, naprimer, naprav za prisluškovanje. Prav tako odpadejo razni virusi in podobno, saj naenkrat poganjamo samo programsko opremo, ki je digitalno podpisana in ji zaupamo.

Eden izmed pomebnejših členov oz. celo prvi je BIOS, ki poskrbi, da se zažene računalnik in operacijski sistem. Ker trenutne implementacije niso primerne za zaupanje vredne računalnike, seveda potrebujemo novo. Tako so pri Phoenixu napovedali novi izdelek Core System Software (CSS), ki bo nadomestil trenutni BIOS. Kdaj bodo izdelki s to rešitvijo na voljo, ni znano. Prav kmalu verjetno še ne, saj mora Microsoft poskrbeti za primerno programsko opremo. Toda razvijalci se že pripravljajo in cilj...