#SecureBoot: ja oder nein?
Vor ein paar Tagen ist das #Zertifikat von #Microsofts #Secure_Boot abgelaufen. In diesem Artikel geht es um die Bedeutung, Einordnung, Meinung, und darum, wie ihr es mit Secure Boot haltet.
GNU/Linux.chSecure Boot: ja oder nein?
Vor ein paar Tagen ist das Zertifikat von Microsofts Secure Boot abgelaufen. In diesem Artikel geht es um die Bedeutung, Einordnung, Meinung, und darum, wie ihr es mit Secure Boot haltet.
Habr 25+Конец Windows 10 — лучший подарок для десктопного Linux
14 октября 2025 года Microsoft перестанет выпускать новые фичи и обновления безопасности для Windows 10. Окончание поддержки самой популярной операционной системы в мире затронет 240 млн компьютеров. Что Microsoft советует людям после окончания поддержки? Вот что : купить новый компьютер и поставить на него Windows 11 с «копилотом» и меню «Пуск» на React Native , которое при нажатии грузит CPU на 80 % . То есть старый ПК они предлагают выбросить. Иронично, что 14 октября также отмечается «Международный день электронных отходов» . Спасибо, но нет.
https://habr.com/ru/companies/ruvds/articles/918120/
#Windows_10 #Windows 11 #Microsoft #Asus #Secure_Boot #BIOS #Microsoft_Copilot #NPU #Toughpad_FZA2 #Intel_Atom_X5_8550 #x86_UEFI_BIOS #десктопный_Linux #программатор #CH341A #Rufus #установка_Linux #Copilot+_PC #CSMWrap #UEFI #Compatibility_Support_Module #CSM #SeaBIOS #ruvds_статьи
HabrКонец Windows 10 — лучший подарок для десктопного Linux
14 октября 2025 года Microsoft перестанет выпускать новые фичи и обновления безопасности для Windows 10. Окончание поддержки самой популярной операционной системы в мире затронет 240 млн компьютеров. Что Microsoft советует людям после окончания поддержки? Вот что : купить новый компьютер и поставить на него Windows 11 с «копилотом» и меню «Пуск» на React Native , которое при нажатии грузит CPU на 80 % . То есть старый ПК они предлагают выбросить. Иронично, что 14 октября также отмечается «Международный день электронных отходов» . Спасибо, но нет.
https://habr.com/ru/companies/ruvds/articles/918120/
#Windows_10 #Windows 11 #Microsoft #Asus #Secure_Boot #BIOS #Microsoft_Copilot #NPU #Toughpad_FZA2 #Intel_Atom_X5_8550 #x86_UEFI_BIOS #десктопный_Linux #программатор #CH341A #Rufus #установка_Linux #Copilot+_PC #CSMWrap #UEFI #Compatibility_Support_Module #CSM #SeaBIOS #ruvds_статьи
Security Week 2525: свежие уязвимости в Secure Boot
На прошлой неделе были обнародованы детали сразу трех уязвимостей, позволяющих обойти технологию Secure Boot. Данная технология применяется на вс0ех современных ПК (и на других устройствах), и ее целью является контроль целостности кода при запуске системы. Функционирование данного механизма требует взаимодействия множества компаний — разработчиков как программного, так и аппаратного обеспечения. Ошибки отдельных участников этой работы часто делают уязвимой всю экосистему, и примеры таких масштабных (хотя и относительно редко эксплуатируемых) уязвимостей в последнее время демонстрируются достаточно часто. Первая уязвимость из трех имеет идентификатор CVE-2025-3052 и была обнаружена компанией Binarly в приложении для перепрошивки UEFI — кода, исполняемого до загрузки операционной системы. Приложение было создано компанией DT Research и предназначалось для обновления прошивки ПК, разрабатываемых этой организацией. В приложении содержалась ошибка, позволяющая полностью обойти систему Secure Boot.
Мяу МашинаTPM и Secure boot это полурак полухуй на десктопах
TPM более менее надёжно может защищать с PIN, но и тут есть проблемы, хер разбери у тебя на плате китайский камущек сделанный джунхуем за три копейки без защиты от tampering или что то реально рабочее, шифровуются ли линии - непонятно, куча нюансов, Проще тупо включить argon в luks и быть уверенным что так оно за себя постоит.
А Secure Boot, в каких случаях он хоть что то полезное делает вообще? Ядро повреждено вирусней и так вы в безопасности? Так тогда это уже пиздец и с компа уже все унесли.
Хрень это все вообщем, microsoft как обычно шизы
#linux #tpm #secure_boot #opsec #luks
Security Week 2504: безотверточная атака на шифрование в Windows
На прошлой неделе исследователь из компании Neodyme Томас Ломбертц опубликовал подробное описание атаки на штатную систему шифрования BitLocker в Windows. Томас исследовал защищенность штатной реализации BitLocker без дополнительных средств безопасности — это единственный вариант, доступный пользователям домашней версии Windows 11 Home, но часто используемый и в корпоративном окружении. В исследовании показано, как получить доступ к зашифрованным данным при наличии физического доступа к компьютеру или ноутбуку, но без манипуляций с «железом». Отсюда важная характеристика атаки: без использования отвертки. Большая статья является текстовым дополнением к презентации Томаса на конференции 38C3, прошедшей в конце прошлого года. Запись презентации можно посмотреть здесь . В работе не предлагается каких-либо новых уязвимостей в Windows. Тем не менее это крайне интересный пример эксплуатации известной уязвимости в загрузчике Windows, которую по ряду причин «не закрыли до конца». В работе также показано, как связать разные уязвимости для проведения практической атаки, причем эти уязвимости присутствуют в разных операционных системах.
Как сделать безопасную загрузку с полностью зашифрованным диском без загрузчика на UEFI
Наша новая статья — для довольно искушённых пользователей Linux. В ней DevOps-инженер Алексей Гаврилов разобрал, как установить Debian или аналогичный дистрибутив на полностью зашифрованный диск без загрузчика на UEFI с включённым Secure Boot. После завершения установки вы получите включённый Secure boot с использованием личных ключей для подписи EFI-файлов, подписанные ключом файл ядра и initramfs, а также зашифрованные разделы диска за вычетом EFI boot. Это позволит уменьшить возможность векторного взлома ноутбука и усложнит жизнь потенциальному взломщику, поскольку в его распоряжении будут только подписанные EFI-файлы.
https://habr.com/ru/companies/flant/articles/835778/
#devops #open_source #secureboot #secure_boot #uefi #efi #efiboot #безопасность #debian #загрузчик
MyLinTo use XanMod Kernel or any other unsigned kernel with enabled Secure Boot, sign the kernel with a Machine Owner Key.
Just follow this guide:
Security Week 2431: PKfail или утечка приватных ключей Secure Boot
На прошлой неделе компания BINARLY сообщила об утечке приватного ключа компании American Megatrends, который используется во множестве ноутбуков, компьютеров и серверов компаний Acer, Dell, GIGABYTE и Supermicro. Исследование BINARLY широко цитировалось в прессе ( статья в издании Ars Technica, новость на сайте BleepingComputer, новость на Хабре), а сами первооткрыватели опубликовали подробный отчет . Разобраться в отчете, впрочем, нелегко, так как речь идет не о единичном случае утечки ключей для Secure Boot, а скорее о фундаментальном недосмотре ряда производителей, начало которому было положено еще в 2012 году. Самое свежее событие в этом таймлайне относится к 2023 году: в январе компания BINARLY обнаружила публичный репозиторий на GitHub, в котором содержался один приватный ключ, в терминах экосистемы Secure Boot известный как Platform Key. Ключ был опубликован на GitHub в декабре 2022 года. Он был зашифрован, но при этом использовался четырехзначный пароль, который легко взломать. Этот ключ играет важную роль в обеспечении безопасности механизма Secure Boot. Потенциальный злоумышленник может с помощью Platform Key сгенерировать так называемый Key Exchange Key, а уже с его помощью подписать вредоносный компонент, который будет выполнен при загрузке компьютера. В итоге возникает риск серьезной компрометации системы, причем вредоносное ПО будет способно пережить полную переустановку ОС. Для реализации атаки потребуется физический доступ к ПК или серверу либо права администратора в системе. Второе вполне достижимо, а физический доступ открывает возможность реализации атаки класса supply chain: когда целая партия компьютеров «модифицируется» в пути от производителя к заказчику. Но самое важное, что это, скорее всего, не единственный приватный ключ, который можно считать скомпрометированным.
