Tags Posts tagged with "matthew garrett"

matthew garrett

przez -
1 2329
Konsola katalog

Matthew Garrett to znany deweloper jądra Linux, który dużo czasu spędza nad kwestiami bezpieczeństwa sektorów uruchamiania systemów. Kilka dni temu podczas konferencji Chaos Computer Club 32C3 zrobił krótką prezentację na temat określenia, czy nasz system jest w pełni bezpieczny, zanim jeszcze zaczniemy na nim pracować i udostępniać nasze różne poufne dane. Dotyczy się to także kryptografii systemu plików oraz samych dysków twardych. Jeżeli atakujący jest w stanie przejąć kontrolę nad tym co robimy, w procesie uruchamiania systemu to znaczy, że nasz komputer nie jest w pełni godny zaufania.

Jak zatem prezentują się obecnie w tej kwestii systemy operacyjne:
Windows: Wspiera w znaczący sposób UEFI Secure Boot. Wspiera kontrolowany proces rozruchu, ale nie zapewnia mechanizmu do sprawdzania, czy zabezpieczenia systemu nie zostały złamane

Linux: Wspiera UEFI Secure Boot, ale nie sprawdza sygnatów dla initrd. Oznacza to, że takie ataki, jak Evil Abigail są cały czas możliwe. Rozruch kontrolowany nie jest w dobrym stanie, ale jest możliwość ręcznego dostosowania. Na starcie w pełni podatny na atak, ale można go skonfigurować lepiej od Windowsa

OS X: od 2012 roku firma Apple nie zrobiła nic, aby zabezpieczyć sposób uruchamiania systemu. Wtedy to mogliśmy zobaczyć sławną prezentację ataku: DE MYSTERIIS DOM JOBSIVS:MAC EFI ROOTKITS, podczas konferencji Black Hat USA 2012. Obecnie nie ma nawet wsparcia dla UEFI Secure Boot, czy nawet Trusted Platform Module. Przez takie coś nie ma możliwości sprawdzenia, czy nasz system nie został w jakikolwiek sposób zainfekowany lub przejęty.

Oczywiście, nadal istnieją ataki przed którymi Windows i Linux nie są w stanie się obronić. Nie oznacza to jednak, że programiści, producenci, czy użytkownicy powinni ignorować bezpieczeństwo. Udoskonalanie obecnego stanu bezpieczeństwa rozruchu oznacza większą trudność dla atakującego do przejęcia naszego sprzętu, czy nawet ostrzeżenia nas o takowej możliwości.

przez -
10 1739
Linux Tux

Sarah Sharp to znana programistka oraz krytyczka ostrego języka, używanego przez Linuksa Torvaldsa i innych. Matthew Garret natomiast to osoba znana z pracy nad UEFI, Shim Secure Boot oraz certyfikatami Secure Boot. Obecnie jest członkiem rady dyrektorów Free Software Foundation oraz członkiem Rady Technicznej w Linux Foundation. W ciągu ostatnich dni oboje postanowili zrezygnować z pracy nad jądrem Linux i oficjalnie odeszli z zespołu głównych programistów. Co jednak spowodowało takie reakcje i czy pociągnie to więcej osób?

Otóż Linus Torvalds i listy mailingowe jądra Linux są znane z tzw. mówienia sobie prosto w oczy i szczerych wypowiedzi. Wiele razy było tak, że ludzie nie okazywali sobie za grosz szacunku osobistego i potrafili wyśmiewać, wyzywać, przeklinać, a nawet życzyć śmierci. Oczywiście szanowali umiejętności techniczne i osiągnięcia innych.

Sarah Sharp zrobiła wpis na swoim blogu, w którym oznajmiła, że nie chce mieć nic wspólnego z taką społecznością i odchodzi. Nie wyśle już nigdy więcej żadnego kodu, czy raportu o błędzie, chyba że będzie musiała zrobić to pod przymusem.

Podobny wpis, aczkolwiek mówiący o zupełnie innym problemie popełnił Matthew Garret: Going my own way. Nie spodobała mu się reakcja społeczności na odejście Sarah Sharp, a także że Linus jest zadowolony ze swojego zachowania wobec innych. Przypomniał także osobiste wycieczki słowne, w kwestii obsługi podpisów Microsoftu w jądrze Linux, oraz o kłótnie w kwestii wprowadzenia secureleveli z BSD w jądrze.

przez -
15 970

Matthew Garret podczas testów stacji roboczej Lenovo ThinkCentre M92p odkrył, iż zaimplementowany w płycie głównej SecureBoot, dopuszcza uruchamianie jedynie systemów Windows 7/8 oraz Red Hat Enterprise Linux. Za każdym razem, kiedy próbujemy uruchomić inny OS, UEFI prosi o Windows Boot Manager, RHEL Upstart lub systemu zgodnego z UEFI. Problem pojawił się, kiedy Matthew chciał zainstalować Fedorę na komputerze, wyposażonym w Windows 7.

Dziwi zatem troszkę podejście producenta, uważanego za jednego z najbardziej przyjaznych systemom Linux, którego laptopy Thinkpad były najczęściej wybieranymi produktami przez użytkowników Tuksa.

Lenovo szybko odpowiedziało na problem, iż jest on właśnie analizowany.

przez -
13 781
Red Hat

Matthew Garrett, deweloper z Red Hata, pracujący nad zarządzaniem energią i wdrożeniem UEFI dla Linuksa, napisał na swoim blogu, o dalszych problemach z UEFI Secure Boot na Linuksie. Secure Boot blokuje uruchomienie niepodpisanego bootloadera i innych programów, które systemy Linux posiadają. Wcześniej FSF ostrzegało przed Secure Boot UEFI, jak i Linux Foundation wydało blueprint ws. UEFI Secure Boot. Okazuje się, że cała sprawa jest nadal problematyczna dla Linuksa.

Aktualnie jest tak, że jeżeli możesz uruchomić niepodpisany kod, to uruchomisz dowolny system. Secure boot daje mechanizm, który upewnia się, że uruchamiany jest jedynie zaufany kod. Dlatego sterownik UEFI muszą być certyfikowane, bootloader musi być certyfikowany i może ładować jedynie podpisane jądro. Stwarza to szereg problemów, m.in. podpisane jądro musi ładować jedynie zaufane sterowniki i moduły. W tym wypadku Virtualbox, binarne sterowniki NVIDIA oraz moduły spoza głównej gałęzi odpadają na starcie i są bezużyteczne. To samo tyczy się sterowników zbudowanych lokalnie. Powoduje to ogromne problemy dla zwykłych ludzi.

To dopiero początek problemów, bo o ile jądro Linux, czy większe firmy, jak Red Hat, Canonical, Novell będą w stanie załatwić certyfikowane klucze dla swoich produktów, o tyle twórcy mniejszych dystrybucji już są w kropce. Koszta i czas wytworzenia mogą przekraczać możliwości jedno lub kilkuosobowych dystrybucji, co spowoduje ich zniknięcie z rynku lub obsługa jedynie starszego sprzętu, sprzed zapowiadanych zmian.

Na koniec trzeba wspomnieć o osobach mało technicznych, które o ile potrafią zainstalować bez problemu dystrybucję Linuksa, o tyle wyłączenie w UEFI lub BIOS funkcji podpisywania już może stanowić pewną barierę nie do przekroczenia.

Polecane

Jesień Linuksowa

1 702
Polska Grupa Użytkowników Linuksa ma zaszczyt zaprosić na konferencję Jesień Linuksowa 2017, która odbędzie się w dniach 22 – 24 września 2017 roku. Jako...