UEFI Secure Boot - trussel eller makker.

[poulb]

Det kan vel tillades at man spørger dumt...

http://www.computerworld.dk/art/233532/windows-10-funktion-kan-udelukke-konkurrerende-styresystemer

jeg har svært ved at følge/forstå alt det som skrives omkring "UEFI Secure Boot" (Sæ'føli min fejl.)

Hvilken konsekvens vil det have for den fremtidige hardware. Win10 er næppe så langt ude i fremtiden. Skal PCer nu være med en type bios for W10 og en anden for Linux, en tredje for MAC etc. etc.

Det gør de kun fremtiden sværere.

Jeg opfatter ikke "bios" som kilden til angreb gennem linux installationer. Har faktisk ikke hørt/læst om eksempler på succesfulde linux angreb.

vh
Poul

[Jimmyfj]

Efter min mening er UEFI blot endnu et forsøg fra MS på at lukke andre systemer ude fra markedet, både på desktop-siden og client/server-siden.

Linux' enorme udbredelse på server-siden "tvinger" MS til urent trav, nok engang. Programmering kan de jo bevisligt ikke finde ud af. Igen med fordyrende tiltag, pakket ind i et løfte om bedre sikkerhed, (host).

Microsoft startede denne politik allerede i 1995, med Windows 95.

Jeg var dengang ansvarlig for en Novell NetWare 3.12 server med 500 arbejdsstationer, som alle kørte Windows 3.11 WFW.

Under 3.11 WFW var det os, som dagligt servicerede server og brugere, som bestemte hvordan login skulle forløbe.
Fra Win95 havde MS indbygget Novell Login fra WS i en .com-fil, og altså afskåret os fra at styre vores eget system.
Novell NetWare var ikke så udbredt på det tidspunkt. Vores 500 brugers server kostede, i anskaffelse, 500.000,00 kr. Hvilket er lig med 1000,00 kroner per bruger.

Godt nok bed Novell fra sig, og vi fik nogle elegante GUI-applikationer til styring af vores systemer. Husker ikke helt om den problematik var en del af Novell's sagsanlæg mod MS, men det skal det nok have været.

Så vidt jeg husker var USA's højesteret ude med trusler mod MS da UEFI ført kom frem, netop fordi det ville skabe et nyt monopol for MS. EU var sikkert også ude med cykelpumpen i den sag.

IT-historien er fyldt med Redmonds mest våde drømme. Jeg tror ikke, de får held med de nye tiltag

[AJenbo]

UEFI er det som har erstattet den gamle BIOS. Mac brugern en ældre udgave af samme system kaldet EFI. (U)EFI er primært udviklet af Intel.

Med Windows 8 gjorde MS UEFI til et krav for maskiner der sælges med Windows. Yderligere krævede de at Secure Boot var undersøttet og aktiveret.

Secure boot fungere på den måde at den har en række nøgler som kan bruges til at verficere at det styre system den skal til at starte er blevet verficeret af ejeren af en af disse nøgler (lidt på samme måde som når du besøger din bank og din browser verficere at det er din bank ved at forbinde over HTTPS).
Dette udelukker muligheden for at der kan sniges en virus ind i MBR som så ville have fuld kontrold over computeren, da hackeren ikke har den oprindelige nøgle og der for ikke kan få deres virus til at verficere.

UEFI kommer så kun med nøgler som MS har, det er der for nødvendigt for Ubuntu at sende deres boot fil til MS og få dem til at underskrive den for at den kan fungere som standard på maskiner som har UEFI SecureBoot aktiveret. Dette udelukker så lidt folk som selv vil skrive en boot fil eller udvikle på den. For dem er der 2 mulighed, de kan enten tilføje deres egen nøgle til UEFI så de kan underskrive boot filen med deres egen nøgle, eller de kan deaktivere Secureboot.

Det nye med Windows 10 bliver at MS tidligere har krævet at det skal være muligt at deaktivere Secureboot, det vil sige at det frem over bliver op til fabrikanterne om de ønsker at gøre det muligt at starte kode der ikke er blevet godkendt af Microsoft, eller tilføje ens egen nøgle og så køre ens selv godkendte software.

[Jimmyfj]

Det rejser så spørgsmålet: Hvordan ser det så ud for selv-byggere?

Skal folk, som mig, der bygger egne stationære, ved at købe stumperne online, til, specifikt, at kigge efter bundkort, som har UEFI Secure Boot til/fra mulighed?

Bundkort, som købes som løsdele, og dermed ikke er en del af en firma-box, skal de vej af monopolet til godkendelse, inden jeg planter et OS efter eget valg på den færdige maskine?

Eller skal MS gå fallit, før vi kommer til at eje vores egne computere...

[AJenbo]

Ja det er lidt det er der problemet her. Heldigvis har de valgt at godkende Ubuntu, men det er ikke trygt at man skal godkendes af konkurrenten.

[thj01]

Jeg har endnu tilgode at se et bundkort hvor man ikke kan skifte mellem legacy og UEFI boot, så jeg tror ikke det er det store problem. Ubuntu fungerer f.eks. perfekt med UEFI BIOS ... hvilket selvfølgelig kræver at den er sat op til det.

Og så indeholder UEFI en bunke sikkerhedsfeatures som er rigtig gode at have i en større organisation.

DERFOR:

Man skal købe ordentlig hardware, som selvfølgelig lever op til en specifikationer, så dette problem handler mere om at man køber computerudstyr for ukritisk. Og det efterlader som altid de ukritiske brugere udenfor - ligesom i hvilken som helst anden sammenhæng.

[AJenbo]

Det efterlader stadig et problem for ukritiske brugere det begynder at tænke kritisk, men så må springe fra pga. det hardware de allerede har købt ikke kan bruges til kritisk tænkning. Der for syndes jeg vi bør kæmpe for at alt hardware tillader kritisk tænkning.

[Jimmyfj]

En mulighed er selvfølgelig, at man har en offentlig liste over Mobo's som tillader både UEFI og non-UEFI.

Lige siden Intel første gang luftede tankerne om sikkerhed på BIOS-niveau har der været kritik af tiltaget, da det kan bruges til konkurrenceforvridende virksomhed. MS elskede, naturligvis, det tankesæt (kontrol for kontrollens skyld).

Problemet er, for mig at se, at samtlige tiltag inden for sikkerhed lider under én ting: Kan det laves, så kan det omgås. (Ved godt TOR ikke er omgået endnu, men det kan selvfølgelig gøres).

Bevares. Nogle tiltag kræver længere tid at omgå, men de kan omgås.

Et tiltag, som at lægge "sikkerheden" på BIOS-niveau giver bare black-hats en ny sport. Det vil ikke give brugeren/admin større sikkerhed. Vist mere visen om at t.... i bukserne i frostvejr.

Hvor stor sikkerhed/risiko indebære Wake-on-LAN? Anbefalingen er, at netop den funktion er deaktiveret i din BIOS, da den kan boote dit system fra I-net?

Når du får specs på UEFI, er det så alt, du ser?

[Blueeyez]

Mon ikke løsdele altid kan deaktivere/aktivrre UEFI.
Køber selv bærbare uden Windows.. Det forstod forhandleren ikke første gang, men han blev da imponeret over hvor hurtigt Ubuntu starter

Køber aldrig maskiner med Windows præ-installeret!

[AJenbo]

En mulighed er selvfølgelig, at man har en offentlig liste over Mobo's som tillader både UEFI og non-UEFI.

Du blander vist secureboot sammen med UEFI. Hvis et bundkort er med UEFI kan den ikke køre non-UEFI, højest BIOS kompatibel tilstand. Men det er ikke det der er bekymringen her. Det ville være ærgerligt at skulle tage et skridt tilbage til hvor man køre snart 30 år gammel teknologi til at starte sit hardware. I terorien kunne man også lave SecureBoot til BIOS.
Desuden så går det jo heller ikke sigtig godt med at lave en liste af kompatible bærbar, markedet bevæger sig for hurtigt og for få folk har interesse.

@Blueeyez Det virker som om du laver samme forveksling mellem UEFI og secureboot.

Hvor stor sikkerhed/risiko indebære Wake-on-LAN? Anbefalingen er, at netop den funktion er deaktiveret i din BIOS, da den kan boote dit system fra I-net?

Hvis Secureboot er slået til vil maskinen ikke starte fra et ikke autoriseret netværks boot.

Når du får specs på UEFI, er det så alt, du ser?

[/quote]
Jeg er ikke helt sikker på hvad du mener her. Du kan få fuld kildekode for basis systemet fra intel (her kommer du så til at mange den chip specefikke kode samt brugerfladen), brunkort fabrikanten levere den samme kvalitet af manual som de gjorde til BIOS. Så situationen er i det mindste bedre end den var ved BIOS.

[Jimmyfj]

Kommer nok lidt omkring i tråden her, grundet min store interesse i sikkerhed, på nettet (i-net, LAN, WAN (MAN er sikkert dækket ind at de to første)).

Problematikken omkring UEFI og Secure Boot rejser et spørgsmål om, hvor vi i dag står med hensyn til Trusted Computing?

Er UEFI og Secure Boot, med deres åbenbart tilgængelige kildekoder, en art afløser til Trusted Computing, eller høre de tre til i samme skuffe?

Trusted Computing, eller Novell/Microsofts "alle-brugere-er-hjernedøde" system, skulle jo få brugeren til at tro, at de kunne have tillid til deres OS, som, i altoverskyggende grad var baseret på at beskytte systemet mod brugeren, hvilket derfor betød, at det var OS udvikleren som styrede computeren, og altså ikke dig, som bruger.

Trusted Computing. Hmm... Alene betegnelsen.