Artykuły dotyczące tematu: uefi

dodany: 25.04.2013 | tagi: , , ,

Wydano nową wersję Calculate Linux 13.4

0

Wydano nową wersję Calculate Linux, dystrybucji Linuksa bazującej na Gentoo, przeznaczonej na komputery biurowe, serwery i media center. W przeciwieństwie do dystrybucji, z której się wywodzi, oferuje użytkownikom gotowe, binarne pakiety.

Wśród zmian w wydaniu 13.4 można znaleźć obsługę UEFI na 64-bitowych systemach, wsparcie planisty BFS, możliwość tworzenia kopii zapasowych konfiguracji czy bardziej zaawansowane opcje automatycznego partycjonowania dysków z poziomu instalatora.

Pełna lista zmian znajduje się na blogu projektu.

dodany: 22.04.2013 | tagi: , , ,

Kaspersky Lab przedstawia innowacyjną ochronę dla UEFI

0

Kaspersky Lab informuje o premierze Kaspersky Anti-Virus for UEFI (KUEFI) – przełomowego produktu do ochrony przed szkodliwym oprogramowaniem, który zabezpiecza komputery użytkowników jeszcze przed rozpoczęciem uruchamiania systemu operacyjnego.

UEFI, czyli „Unified Extensible Firmware Interface”, został opracowany przez Unified EFI Forum. Jest to nowy model interfejsu pomiędzy systemami operacyjnymi dla komputerów osobistych a oprogramowaniem systemowym (z ang. firmware). Uznany za duchowego następcę BIOS-u, UEFI oferuje obsługę nowych technologii, szeroki wachlarz możliwości dla programistów oraz udoskonalenie procedury startu komputera. Specyfikacja UEFI wspomaga bezpieczeństwo, a także gwarantuje szybszy czas rozruchu i większą wydajność sprzętu komputerowego.

Specyfikacja UEFI umożliwia między innymi osadzenie rozwiązania bezpieczeństwa bezpośrednio w układzie elektronicznym. Kaspersky Lab wykorzystał te możliwości do stworzenia pierwszego na świecie – i jak na razie jedynego – kompatybilnego z UEFI produktu do ochrony przed szkodliwym oprogramowaniem, który pozwala na skanowanie wybranych plików systemowych oraz adresów pamięci, zanim jeszcze system operacyjny zacznie się ładować. Zalet takiego podejścia nie można przecenić. Wcześniej rootkity i bootkity mogły osadzić się głęboko w systemie operacyjnym i załadować przed konwencjonalnym rozwiązaniem bezpieczeństwa, a tym samym ukryć swoją aktywność przed produktem antywirusowym, a nawet całkowicie uniemożliwić start ochrony.

Dzięki ładowaniu się bezpośrednio z ROM-u, który jest wolny od jakichkolwiek błędów, KUEFI będzie mógł skanować pliki systemowe, zanim zostaną załadowane i wykrywać w nich wszelkie zagrożenia. Wykorzystując przełomowe technologie firmy Kaspersky Lab oraz wielokrotnie nagradzany silnik Kaspersky Anti-Virus, rozwiązanie oferuje elastyczne ustawienia skanowania, umożliwiając osiągnięcie pożądanej równowagi między wydajnością a skutecznością oraz uzyskanie dokładnie takiego poziomu szybkości ochrony, jakiego potrzebuje użytkownik. W zależności od trybu użytkowania, po wykryciu zagrożenia KUEFI może ostrzec użytkownika lub całkowicie zablokować proces rozruchu komputera do czasu rozwiązania problemu przez wykwalifikowanego specjalistę.

Jestem niezwykle podekscytowany tą zapowiedzią – wprowadzenie KUEFI może zapewnić nam przewagę, której tak długo szukaliśmy podczas naszych zmagań ze szkodliwym oprogramowaniem. Wcześniej cyberprzestępcy zawsze mieli przewagę – jako pierwsi znajdowali tylne furtki w zabezpieczeniach, słabe punkty lub luki zero-day i po prostu musieliśmy znaleźć na to jakiś sposób

– powiedział Nikołaj Griebiennikow, dyrektor ds. technologii, Kaspersky Lab.

Rozwiązanie KUEFI powstało z myślą o organizacjach, w których obowiązują najwyższe standardy bezpieczeństwa IT, takich jak organy państwowe i wojskowe, elektrownie czy spółki przemysłowe. Nowy produkt znajdzie także zastosowanie we wszelkich przedsiębiorstwach, w których incydenty związane z atakami szkodliwego oprogramowania i wycieki danych są traktowane jako najpoważniejsze zagrożenie.

 

Źródło: Kaspersky Lab

dodany: 12.03.2013 | tagi: , ,

Wsparcie UEFI w FreeBSD

0

Fundacja FreeBSD postanowiła opłacić Benno Rice, aby zaimplementował obsługę UEFI w FreeBSD. UEFI to środowisko uruchomieniowe zawierające między innymi kontrowersyjne Secure Boot. Jednakowoż fundacja nie opłaca dodania obsługi Secure Boot; Benno ma skupić się na stworzeniu nowej wersji loadera oraz modyfikacji kernela FreeBSD, aby obsługiwane było uruchamianie komputerów z UEFI. Ponadto ma stworzyć obraz instalacyjny umożliwiający instalację FreeBSD na takich komputerach.

Jak tłumaczy Benno, obsługa UEFI jest krytyczna dla przyszłości FreeBSD na architekturze amd64. Fundacja przewiduje zakończenie prac jeszcze w tym miesiącu. Szczegółowe informacje znajdują się w dokumentacji systemu.

dodany: 19.02.2013 | tagi: , ,

Wsparcie UEFI SecureBoot w Sabayonie 11

0

Deweloperzy Sabayona wydali ostatnio 11 wersję linuksowej dystrybucji bazującej na Gentoo. Obrazy 64-bitowe od tej wersji mogą zostać uruchomione i zainstalowane na systemach z UEFI i włączonym SecureBoot. Klucz bezpieczeństwa znajduje się w katalogu /SecureBoot nośnika instalacyjnego i może być użyty do uruchomienia systemu live. Docelowa para kluczy jest generowana w czasie instalacji i może zostać dodana do bazy oprogramowania UEFI.

Dodatkowo nowe wydanie Sabayona zawiera BumbleBee. Oprogramowanie, które pozwala korzystać z technologii Nvidia Optimus na Linuksie – bezproblemowe przełączanie się między oszczędną zintegrowaną kartą graficzną Intela i wydajną kartą Nvidii. Nie zostając w tyle, w nowej wersji ujrzymy też MariaDB, obok Google MySQL 5.1 i Oracle MySQL 5.5. Deweloperzy zmienią domyślną implementację MySQL na MariaDB, gdy tylko ta zostanie wydana w stabilnej wersji 10.0. Nie zabrało aktualizacji środowisk graficznych i reszty oprogramowania. Jednak nowością, wśród 14000 paczek, jest Steam – duża i znana platforma od Valve, która kilka dni temu miała oficjalną premierę na Linuksa.

Obrazy płyt dostępne są w kilku wersjach i można je pobrać z kilkunastu mirrorów.

dodany: 15.02.2013 | tagi: , , ,

W Windows 8 postawiono na bezpieczeństwo – wywiad z Danielem Grabskim

2
Wywiad

Mieliście już okazję pracować na najnowszym Windowsie? Jego wygląd w takim stopniu budzi emocje, że chyba nie ma osoby, która nie miałaby zdania na temat nowej szaty graficznej. Swoim interfejsem ósemka może kusić użytkowników spragnionych tchnienia nowoczesności – ale równie dobrze odpychać designowych konserwatystów. Pytanie o słuszność (bądź jej brak) nowego wyglądu pozostawiamy w eterze… tymczasem jednego nie można odmówić najnowszemu systemowi Windows – podczas jego projektowania położono szczególny nacisk na ochronę użytkownika.

daniel_grabski_1459 (1)O nowościach pod kątem bezpieczeństwa w najnowszym Windowsie rozmawiamy z Danielem Grabskim. Nasz rozmówca piastuje stanowisko Chief Security Advisor w Microsoft Sp. z o.o. Jest odpowiedzialny za zarządzanie inicjatywami i programami w obszarze cyberbezpieczeństwa dedykowanymi dla sektora rządowego w Polsce. Od 12 lat związany z branżą IT między innymi w takich firmach jak SAP, Geac i Cap Gemini, gdzie odpowiadał za rozwój biznesu oraz sprawował funkcję szefa Sektora Publicznego. Absolwent MBA Wyższej Szkoły Zarządzania w Warszawie i Thames Valley University z Londynu oraz M.S.P.C. Społecznej Wyższej Szkoły Przedsiębiorczości i Zarządzania/Clark University z Bostonu.

 

Red.:Jak wyjaśniłby Pan nietechnicznemu użytkownikowi, dlaczego Win 8 jest bezpieczniejszy od Win 7? Dlaczego warto zdecydować się na ten system (pod kątem bezpieczeństwa)?

Daniel Grabski: Nie chciałbym dokonywać porównywania, ale raczej uwypuklić te funkcjonalności, które stanowią dość istotną zmianę w zakresie zwiększania bezpieczeństwa w Windows 8.  System Windows 8 powstawał na bazie wieloletnich doświadczeń firmy Microsoft i użytkowników naszego systemu operacyjnego, został uzupełniony o nowe funkcjonalności wychodzące proaktywnie naprzeciw obecnym cyberzagrożeniom. Tak jak przez ostatnich 10 lat przy budowie systemu operacyjnego czy też jakiegokolwiek produktu Microsoft, Windows 8 powstał z zastosowaniem metodyki bezpiecznego budowania oprogramowania tzw. SDL – Security Development Lifecycle. Tych nowości jest dużo, ale warto zwrócić uwagę chociażby na kilka z nich.

Pierwsza, to wbudowany i zintegrowany z systemem Windows 8 program antywirusowy Windows Defender, co w praktyce oznacza, że użytkownik nie musi dokonywać zakupu dodatkowego programu antywirusowego, otrzymuje go po prostu w cenie systemu.

Kolejna bardzo istotna zmiana, to UEFI (z ang. Unified Extensible Firmware Interface) z funkcją Secure Boot, która powoduje, w pewnym uproszczeniu – nie wchodząc w szczegóły tego procesu, że podczas uruchamiania systemu aktywują się tylko narzędzia zatwierdzone (podpisane) przez Microsoft, co w praktyce w bardzo dużym stopniu zmniejsza ryzyko przedostania się złośliwego oprogramowania (tzw. rootkitów) w trakcie ładowania systemu.

Warto wspomnieć również o funkcji SmartScreen, która do tej pory obejmowała tylko przeglądarkę Internet Explorer, a w Windows 8 została przeniesiona do całego systemu i zapewnia kompleksową ochronę przed ściąganiem i instalowaniem podejrzanych programów i aplikacji z sieci, za którymi może stać szkodliwe oprogramowanie.  Nie zapomniano także o najmłodszych użytkownikach systemu i mechanizmach ochrony – przyjazna i rozbudowana funkcja tzw. Ochrony Rodzicielskiej, umożliwia, bardziej elastyczne zarządzanie konfiguracją systemu dostosowaną do indywidualnych potrzeb naszych najbliższych.

System Windows 8 został zbudowany w celu zapewnienia maksymalnego poziomu bezpieczeństwa i oprócz nowego interfejsu jest to moim zdaniem obszar, gdzie wprowadzono najwięcej zmian i innowacyjnych rozwiązań. Większość usprawnień i nowych mechanizmów w obszarze bezpieczeństwa w Windows 8 jest niewidoczna dla użytkownika, który skupia się na funkcjach użytkowych, takich jak nowy interfejs czy też Sklep Windows z tysiącami bezpiecznych aplikacji.

Wbudowanie filtru SmartScreen do całego systemu (a nie jak do tej pory działającego z poziomu IE) to dobry pomysł? Była to potrzebna zmiana?

Tak, uważam, że wbudowanie SmartScreen do Windows 8 to bardzo dobry krok w kierunku utrudnienia naruszenia bezpieczeństwa systemu. Filtr ten chroni przed ściąganiem i instalowaniem aplikacji z niepewnych źródeł, zagrożonych posiadaniem złośliwego oprogramowania. Ta ochrona i ewaluacja odbywa się w czasie rzeczywistym, co z perspektywy bezpieczeństwa ma bardzo duże znaczenie, ponieważ spora ilość nieuprawnionych ingerencji w nasze systemy odbywa się właśnie tą drogą – wprowadzenie mechanizmu zarządzającego tą sferą jest bezdyskusyjne. Z drugiej strony, integracja SmartScreen z całym systemem dodatkowo wzmacnia i rozszerzy jego zakres działania, co czyni go bardziej odpornym na potencjalne ataki. Oczywiście, zawsze mogą znaleźć się sceptycy negujący tego typu strategię i pomysł służący tylko i wyłącznie maksymalnej ochronie użytkownika.

Filtr SmartScreen wysyła do Microsoftu dane o instalatorze każdej aplikacji. Jeśli użytkownikowi się to nie podoba, może wyłączyć filtr. Czy wtedy nadal jego przeglądarka będzie chroniona? Dlaczego nie można wyłączyć samej opcji „przesyłania statystyk”?

Działanie filtru SmartScreen jest bezużyteczne, jeżeli nie można przekazać do bazy informacji na podstawie, której system dokonuje oceny i weryfikacji źródła aplikacji, którą zamierzamy ściągnąć i zainstalować. Jeżeli wyłączymy SmartScreen przeglądarka będzie chroniona przez inne mechanizmy bezpieczeństwa – np. Windows Defender, jednakże nie będzie to tak kompleksowa ochrona, jak z włączonym filtrem.

W Internecie można poczytać, że pomimo wbudowanego w Windows 8 Defendera, użytkownicy instalują dodatkowe oprogramowanie AV. To słuszna ostrożność?

Nie chcę komentować czy to słuszna ostrożność, czy też nie. Warto moim zdaniem podkreślić fakt, że Windows 8 posiada wbudowany i zintegrowany program antywirusowy – Windows Defender. Oczywiście od decyzji użytkownika końcowego zależy, czy skorzysta z gotowego już rozwiązania, które jest dostępne w systemie, czy też skłoni się do podjęcia decyzji o wyborze i zakupie dodatkowego oprogramowania antywirusowego firmy trzeciej.

Czy może pan wyjaśnić, w jaki sposób wsparcie BIOS-u przez system UEFI ma ograniczać możliwość uruchamiania np. rootkitów czy wirusów umieszczonych w sektorach startowych?

Aby przygotować system operacyjny odporny na coraz bardziej ukierunkowane ataki w najnowszym systemie operacyjnym Microsoft Windows 8 bardzo duży nacisk został położony na sferę bezpieczeństwa, tutaj znajduje się szereg nowatorskich zmian, o których warto pamiętać i pokrótce opowiedzieć. UEFI (Unified Extensible Firmware Interface) – następca BIOS-u jest jedną z kluczowych zmian. System ten zwiększa bezpieczeństwo i ochronę poprzez uniemożliwienie uruchomienia się oprogramowania typu rootkit podczas procesu poprzedzającego uruchamiania systemu operacyjnego (tzw. rozruch systemu).  UEFI wpływa również na szybsze uruchamianie się samego systemu operacyjnego oraz wznawianie jego pracy z trybu hibernacji. Kolejna funkcja to Trusted Boot, która powoduje, że narzędzia do ochrony przed złośliwym oprogramowaniem są ładowane przed sterownikami innych firm i aplikacjami. Jeśli złośliwe oprogramowanie zdoła naruszyć coś w czasie rozruchu, system będzie mógł przeprowadzić autonaprawę podczas następnego procesu rozruchowego. Jest to funkcjonalność, której „nie widzi” użytkownik, jednakże  jest ona kluczowa z punktu widzenia zachowania bezpieczeństwa komputera użytkownika pracującego pod Windows 8.

Wprowadzenie UEFI nie niesie ryzyka opanowania go przez nowe, nieznane/niezbadane wirusy?

Uruchamianie systemu operacyjnego – tzw. rozruch – to jeden z newralgicznych momentów, jeśli chodzi o zapewnienie bezpieczeństwa systemowi operacyjnemu, który do tej pory był wykorzystywany przez cyber przestepców. Trudno jest przewidzieć, co przyniesie przyszłość, ale z pewnością znajdą się tacy, którzy będą intensywnie pracowali nad znalezieniem sposobów i mechanizmów przedarcia się przez następcę BIOS-u.

Early Lunch Anti-Malware (w skr. ELAM) ma zapewnić pobranie pierwszego sterownika windowsowskiego oprogramowania od konkretnego dostawcy. Jak to działa?

Zgadza się – wbudowana funkcja Early Launch Anti-Malware (w skr. ELAM) odpowiada za to, żeby pierwszy sterownik oprogramowania pobrany przez Windows 8 pochodził od wybranego dostawcy zabezpieczeń – warto podkreślić, że dotyczy to sterownika każdej aplikacji antywirusowej, która uzyska odpowiedni certyfikat Microsoftu. Jak to działa? Jak wiemy Windows 8 to system, który zawiera zintegrowany w sobie program antywirusowy – Windows Defender. Oczywiście użytkownik ma prawo zainstalować sobie własny program antywirusowy, co powoduje automatyczne wyłączenie Windows Defendera. W systemie Windows 8 narzędzia zabezpieczające uruchamiają się wcześniej, jeszcze w procesie rozruchowym, aby skanować systemowe sterowniki w poszukiwaniu złośliwego oprogramowania szczególnie rootkitów, które uruchamiają się zwykle przed startem antywirusa i mogą się przed nim ukryć. Przy założeniu, że posiadamy Windows Defender sprawa jest prosta, natomiast przy założeniu, że posiadamy program zabezpieczający firmy trzeciej, musi ona uzyskać odpowiedni certyfikatu od Microsoft, aby funkcjonalność ELAM mogła zostać dodana to danego oprogramowania. Warto na to zwrócić uwagę przy podejmowaniu decyzjo o zakupie systemu antywirusowego firm trzecich.

A co zrobiono dla zwiększenia bezpieczeństwa uwierzytelnienia użytkowników? Czy użytkownikowi, który nie interesuje się za bardzo technicznymi aspektami zabezpieczeń można powiedzieć, że teraz jest bezpieczniejszy?

Wspomnę tutaj o dwóch funkcjonalnościach – z podtekstu pytania wnioskuję, że pytają Państwo między innymi o nowy sposób uwierzytelniania w Windows 8 za pomocą hasła obrazkowego i PIN-u.  Logowanie za pomocą hasła obrazkowego to bardzo duża zmiana, przyjazna, powiedziałbym bliska dla użytkownika końcowego, a z drugiej strony bardzo bezpieczna. Po wyborze zdjęcia, którego chcemy użyć, rysujemy na nim kształty, które będą stanowiły nasze hasło – w zależności od posiadanego sprzętu rysujemy je palcem bezpośrednio na ekranie lub przy pomocy myszy.

Kolejny obszar, o którym chciałbym wspomnieć, to Direct Access (pojawił się już w Windows 7), czyli technologia, która pozwala na zdalny, a co najważniejsze bezpieczny dostęp do wewnętrznych zasobów przedsiębiorstwa bez konieczności zestawiania połączenia VPN i uwierzytelniania za pomocą dodatkowego logowania.

 

Chociaż w Windowsie 8 najpierw zauważamy nowy interfejs, należy pamiętać także o wielu niespotykanych dotąd rozwiązaniach zwiększających bezpieczeństwo. Źródło grafiki: windows.microsoft.com.

Chociaż w Windowsie 8 najpierw zauważamy nowy interfejs, należy także pamiętać o wielu niespotykanych dotąd rozwiązaniach zwiększających bezpieczeństwo.
Źródło grafiki: windows.microsoft.com.

 

Które z nowych opcji oraz rozwiązań szczególnie poleciłby Pan rodzicom chcącym chronić i kontrolować swoje dzieci?

Polecam tzw. Kontrolę Rodzicielską (z ang. Family Safety) w Windows 8, która posiada naprawdę bardzo ciekawy zestaw funkcjonalności, dzięki którym nie koniecznie musimy „wszystko blokować”, ale sprawować kontrolę nad tym, co dzieję na komputerze obsługiwanym przez nasze pociechy i reagować na ewentualne zagrożenia. Narzędzie „Family Safety” generuje automatycznie raporty dla rodziców, które zawierają takie informacje, jak czas spędzony w sieci każdego dnia, informacje o treściach, które były wyszukiwane w Internecie wraz z informacjami, z jakich serwisów dzieci korzystały najczęściej. W raporcie będziemy mogli znaleźć np. informacje dotyczące tego, z jakich gier nasze dzieci korzystały najwięcej. W zależności od potrzeb przy pomocy funkcjonalności dostępnej w „Family Safety” będzie można zablokować dziecku dostęp do wybranych programów, gier czy też stron internetowych. Kolejna funkcja to ustawianie czasu, jaki dziecko może spędzić zarówno przed konkretnym programem, grą czy stroną internetową, jak i przed samym komputerem.

Wprowadzono również wiele nowych rozwiązań zwiększających bezpieczeństwo systemu w firmach. Może Pan pokrótce przybliżyć te opcje?

Jest wiele funkcji, które zwiększają bezpieczeństwo w firmach. W tym przypadku chciałbym zwrócić uwagę na dane, które są jedną z najbardziej strzeżonych tajemnic w przedsiębiorstwach – zapewnienie bezpieczeństwa i ochrona przed ich utratą jest jednym z zadań systemu operacyjnego. Skupmy się, zatem chociażby na szyfrowaniu dysków przez funkcję BitLocker w Windows 8 (dostępne w Windows 8 Pro i Windows 8 Enterprise). W przypadku kradzieży komputera odszyfrować i odczytać dane znajdujące się na nim będzie mogła tylko i wyłącznie osoba, która posiada odpowiedni klucz w postaci hasła lub kodu PIN. W zależności od rodzaju dysku jest kilka opcji możliwych do zrealizowania:

  • Tworzone jest hasło lub kod PIN do odblokowania dysku.
  • Następuje powiązanie z danym dyskiem karty zabezpieczeń, tak, aby odblokować mogła go tylko osoba, która ma tę kartę i zna kod PIN.
  • Kopia klucza szyfrowania zapisana zostaje na dysku USB flash, aby odblokować dysk mogła tylko osoba, która ma dany dysk.

Dodam, że w zależności od potrzeb możemy szyfrować dysk z systemem operacyjnym, dysk zewnętrzny lub stały wewnętrzny.

Czy jeśli użytkownik zaszyfruje coś za pomocą BitLockera i zapomni/zgubi hasało czy PIN, jego dane przepadną bezpowrotnie?

Oczywiście, że nie przepadną! W takim przypadku możemy użyć tzw. Klucza odzyskiwania, który składa się z ciągu 48 losowych cyfr. Klucz odzyskiwania przechowujemy w różnych miejscach, ale rekomenduję sporządzić jego kopie zapasową np. w SkyDrive lub też wydrukować i przechowywać „poza komputerem” w bezpiecznym miejscu.

Mówi się, że Win 8 pozwala na łatwiejsze tworzenie kopii zapasowych. Na czym polegać ma to ułatwienie względem poprzednich systemów?

W Windows 8 zmieniła się filozofia tworzenia kopii zapasowych w stosunku do poprzednich wersji systemu. Za łatwiejsze i bardziej zoptymalizowane tworzenie kopii zapasowych odpowiada teraz nowy mechanizm Historia Plików (z ang. File History). Jego praca polega na tym, że cyklicznie (domyślnie, co godzinę) dokonuje sprawdzania, czy pliki się zmieniły. Jeżeli tak, to zostanie wtedy wykonana ich kopia. Nowe narzędzie zastąpiło Kopię zapasową i Przywracanie systemu, które były dostępne w poprzednich wersjach. Historia Plików jest zoptymalizowany tak, aby wykorzystywać jak najmniej zasobów naszego systemu. Decyzja, gdzie chcemy przechowywać nasze kopie zapasowe jest pozostawiona użytkownikowi – miejscem gdzie możemy bezpiecznie przechowywać nasze dane jest np. SkyDrive.

Wprowadzenie „piaskownicy”, jako środowiska uruchamiania aplikacji nie spowolni działania systemu?

Funkcja AppContainer, czyli popularna „piaskownica” określa zakres działania, jaki może realizować dany program. Funkcja ta zatrzymuje wszystkie aplikacje, których działanie zakłóca pracę systemu operacyjnego lub działających prawidłowo aplikacji. Nie wiązałbym jej w żaden sposób z potencjalnym spowolnieniem systemu, lecz ze zwiększeniem bezpieczeństwa, na które położony jest największy nacisk w Windows 8.

Czy podobnie jak dla Win 7 powstanie Przewodnik zabezpieczeń systemu Win 8?  Jeśli tak, to czy również przy współpracy z Agencją Bezpieczeństwa Wewnętrznego?

Tak, prace nad przewodnikiem Windows 8 już się rozpoczeły i podobnie jak dla Win 7 bedzie on opracowywany w ramach programu SCP (z ang. Security Cooperation Program – więcej o tej inicjatywie znajdziecie Państwo na moim blogu dzięki uprzejmości portalu WebSecurity.pl), który realizujemy wspólnie z ABW/CERT.GOV.PL.

Miło widzieć, jak ABW angażuje się w pomoc polskim użytkownikom Windows. A od kogo właściwie wyszła inicjatywa współpracy nad poprzednim Przewodnikiem?

Jest to wspólna inicjatywa realizowana w ramach umowy SCP w zakresie bezpieczeństwa teleinformatycznego pomiędzy ABW i Microsoft.

dodany: 03.08.2012 | tagi: , ,

Linux i UEFI Secure Boot – co dalej?

0

„Zakładając, że Microsoft wybiera inny sposób implementacji Secure Boot, niż taki, który według Linux Fundation będzie pracował z Linuxem, wiadomo już, że sytem nie zadziała na komputerach z Windows 8” – napisał Steven Vaughan-Nichols, dziennikarz IT.

Tak więc Linux, chcąc pójść dalej, musi stawić czoła trzem istotnym zagadnieniom. Pierwszym z nich jest stworzenie klucza UEFI Secure Boot dla poszczególnych dystrybucji, jak to robi Canonical z Ubuntu.  Drugim jest praca z serwisem Microsoftu generującym klucze i certyfikaty w celu zbudowania klucza UEFI Secure Boot, kompatybilnego z systemem Windows 8, jak to robi Red Hat w przypadku Fedory. Trzecim jest  użycie open hardware’u z oprogramowaniem open source’owym, które to rozwiązanie zaproponowała Cathy Malmrose, CEO z ZaReason.

Użytkownicy forum linux.slashdot.org zastanawiali się, dlaczego większość tak szybko zaakceptowała koncepcję od Trusted Computing Platform Alliance (TCPA)?

Jednym z argumentów przeciwko wybranej propozycji jest to, że jest to rozwiązanie zbyt trudne do wdrożenia, o czym, wg nich, developerzy dopiero się przekonają. Ponad to wszystkie wysiłki mogą pójść na marne, ponieważ – wg niektórych opinii ­– użytkownicy będą używać podpisanego boot loadera, jeśli zainstalują Windows 8, ale w innych wersjach z niego zrezygnują. Poza tym, według forumowiczów, wybiorą raczej dystrybucję z certyfikatem od zaufanego centrum certyfikacji albo – wprost przeciwnie – zajmą się tą kwestią sami.

Krótko mówiąc, fani Linuxa oburzają się, że obecny stan prac nad UEFI Secure Boot dla Linuxa to wynik monopolistycznych praktyk Microsoftu.

Wielu oczekiwało, że „otwarty” BIOS będzie używany przez przynajmniej 8 lat, jeśli nie więcej, ponieważ korporacje potrzebują wsparcia dla XP. Niektórzy twierdzą, że zamknięcie go byłoby dobre tylko w przypadku, gdyby można było zainstalować swój własny klucz. Oczekują takiego rozwiązania, aby korporacje mogły podpisywać poszczególne wersje plików i/lub bootloaderów. UEFI Secure Boot określają jako krok naprzód, jeśli zaakceptowana lista kluczy będzie edytowalna.

Inny komentator o nicku „billcopc” z przekąsem zaproponował czwarty cel dla Linuxa: „zignorować UEFI Secure Boot”. Stwierdził, że jest to „niezdecydowane rozwiązanie dla niejasnego problemu” oraz „duża strata czasu dla każdego, kto jest w to zaangażowany”. Uważa, że trudniejszą kwestią, nie tylko dla Linuxa, ale dla wszystkich systemów jest to, że „nikt właściwie nie powstrzymuje użytkowników ich dystrybucji przed wyłączaniem Secure Boot, więc ograniczają one swoje możliwości rynkowe”. Forumowicz przewiduje, że albo zostaną one zaatakowane, albo spadną do najniższej ligi, gdzie bezpieczeństwo pokona użyteczność.

Co dalej z Linuxem i innymi dystrybucjami?

Zdarzają się i tacy użytkownicy, którzy roztaczają wizję przejęcia branży IT przez Linuxa. „Jeden z głównych producentów płyt głównych wypuści na rynek produkt stworzony pod Linuxa, ze wszystkimi funkcjonalnościami. (…) developerzy Linuxa będą musieli martwić się tylko o bardzo niewielką liczbę sterowników, które będą stanowić dla niego ogromne ulepszenie. Linux dzięki nim zdecydowanie się zmieni i poprawi; Microsoft będzie miał prawdopodobnie kilka wad, które uniemożliwią mu prawidłowe bootowanie, a wirusy uszkodzą MBR dysku twardego (albo cokolwiek, co rzekomo miało mu pomagać) i w ten sposób Linux przejmie świat” – napisał na forum „slashmydots”.

Źródło: http://bit.ly/Q2SRql

dodany: 26.07.2012 | tagi: , ,

UEFI w Fedorze 18 – co z innymi dystrybucjami Linuksa?

1

Członkowie Fedora Engineering Steering Committee zdecydowali się na zastosowanie UEFI Secure Boot w najnowszej Fedorze. Co z innymi dystrybucjami Linuxa?

Specjalistów IT i fanów Linuksa ucieszy wiadomość, że Fedora Engineering Steering Committee (FESCo), czyli komitet, którego członkowie zostali wybrani przez społeczność linuksową, jednomyślnie zadecydował podczas głosowania o użyciu rozwiązania, jakim jest UEFI Secure Boot (UEFI SB) w Fedorze 18. Za wprowadzeniem UEFI SB opowiedziało się 7 członków FESCo.

Wraz z pozytywną decyzją, ruszyły prace wdrożeniowe przy tworzonej właśnie wersji systemu operacyjnego. Jednak co z pozostałymi dystrybucjami Linuksa?

Zgodnie z tym, co twierdzi Linux Foundation Technical Advisory Board (LFTAB), inne dystrybucje linuksowe mogą mieć problemy ze zdecydowaniem się na wdrożenie UEFI SB, ponieważ nie mają dostępu do sprzętu wyposażonego w UEFI. James Bottomley, inżynier Linuksa napisał, że jego organizacja przyjrzała się tej sprawie i „okazało się, że będzie raczej trudno pozyskać hardware z UEFI Secure Boot”.

Chcąc coś zaradzić na ten problem, Bottomley użył nowego narzędzia Secure Boot w intelowskim projekcie Tianocore UEFI, aby stworzyć boot system w Tianocore. Platforma testowa została uruchomiona w open source’owym oprogramowaniu openSUSE Build System. Udało mu się z sukcesem przetestować kilka linuksowych bootów.

Rozwiązanie, które proponuje Bottomley, można zastosować w niemal każdej dystrybucji Linuxa. Podstawową czynnością, jaką wykonał inżynier Linuksa, było zamknięcie wirtualnej platformy secure boot za pomocą kluczy Private Key (PK) i Key Encryption Key (KEK), a potem m.in. wygenerowanie podpisanych cyfrowych binariów. To pozwala na bezproblemowy rozruch Linuksa. Bottomley udostępnił w sieci zmodyfikowany obraz UEFI Intel Tianocore wraz z próbkami kodu, które mogą wykorzystać developerzy, jednak zastrzegł, że jest to dopiero „wczesna alpha” oprogramowania. Jego propozycja jest na razie najlepszą, spośród powstałych do tej pory.

Podsumujmy więc, w jakich warunkach UEFI Secure Boot będzie działać w dystrybucjach Linuxa na przykładzie Windows 8: wszystkie maszyny z zainstalowanym systemem operacyjnym Windows 8, muszą zamiast BIOS-a (który obecnie używa większość komputerów) posiadać Unified Extensible Firmware Interface (UEFI).

Jak widać, zastosowanie UEFI to nie problem dla Linuksa – każda dystrybucja linuksowa w wersji 2.6 i następnych, poradzi sobie z UEFI. Chodzi o coś innego – o tak zwany „secure boot”, czyli „bezpieczny rozruch”, który ma wykorzystywać właśnie UEFI. Zamieszanie polega na tym, że rozwiązanie wymaga stosowania specjalnych certyfikatów identyfikujących uruchamiane oprogramowanie. Zarówno firmware, jak i software, podczas rozruchu muszą być podpisane za pomocą zaufanego certyfikatu od  Certificate Authority.

W praktyce oznacza to, że każdy użytkownik, który będzie chciał uruchomić urządzenie z Windowsem 8 z certyfikatem, za pomocą podwójnego rozruchu (dual-boot), nie będzie mógł tego zrobić, jeśli podczas niego nie zostanie rozpoznany podpisany kluczem system UEFI Secure Boot.

Plan wdrożenia UEFI SB dla Fedory, nad którym głosowało FESCo, bazuje na propozycji Matthew Garretta, developera z Red Hat. Ten inżynier oburzył się, że Microsoft uniemożliwia instalację rozwiązania na niekomercyjnych systemach, czyli m.in. na Linuksie. Stworzył więc własną koncepcję.

Polega ona na tym, że zamiast tworzenia specyficznego klucza dla Fedory, który mógłby aktywować funkcję UEFI Secure Boot (ale tylko dla Fedory), Garrett i jego team zaproponowali dwustopniowy bootloader, który musi być podpisany certyfikatem Microsoft.

To dwustopniowe rozwiązanie ma jedną ważną zaletę – nie stawia Fedory ponad innymi dystrybucjami, które – jeśli będą chciały wprowadzić dwustopniową procedurę rozruchu, również będą musiały ponieść koszt zakupu certyfikatu.

Są i inne korzyści tego rozwiązania – „Bootloader pierwszego poziomu powinno się zmieniać bardzo rzadko, więc nie musimy aktualizować go częściej niż przy okazji pojawienia się nowej wersji” – poinformował Garrett.

Raczej nie dziwi fakt, że propozycja Garrett’a została wybrana w głosowaniu FESCo. W końcu Red Hat zaakceptował propozycję swojego pracownika. Bardzo spodobała się ona szefowi Garrett’a, Timowi Burke’owi, który napisał na swoim blogu:

„Dynamika open source’owego modelu programistycznego Linuksa daje możliwość do rozwijania go po swojemu. Na przykład użytkownicy mogą przebudować Fedorę na własny użytek, stosując różne nowe pomysły. Różne kreatywne indywidualności mogą także korzystać z rozwiązania UEFI za 99$”. I dodał: „Inni użytkownicy będą mogli z kolei używać swoich własnych zaufanych kluczy w  swoich własnych systemach, bez ponoszenia żadnych kosztów”.

Co na to wszystko Linuksiarze?

Na razie głośno nie buntują się przeciwko rozwiązaniom, które należą przecież do Microsoftu. Niechęć i uraza jednak pozostała, chociaż społeczność Linuksa, nie pogrążyła się biernie we frustracji, tylko zareagowała szybko i zaczęła szukać rozwiązań dla swojego ulubionego wolnego oprogramowania.

dodany: 23.07.2012 | tagi: , , ,

Jak działa UEFI Secure Boot?

1

Na początku czerwca, Tim Burke – wiceprezes Linux Engineering – opisał dla www.redhat.com mechanizm działania Unified Extensible Firmware Interface (UEFI) Secure Boot.

Linux od lat dba o swój status najbezpieczniejszego systemu operacyjnego. Nie dziwi więc fakt, że jest tak chętnie instalowany, zarówno przez firmy, jak i prywatnych użytkowników.

Przyczynia się do tego również Red Hat – światowy lider rozwiązań open source’owych i twórca dystrybucji Red Hat Enterprise Linux i Fedory – który aktywnie angażuje się w działania mające na celu poprawę bezpieczeństwa w dziedzinie IT.

(więcej…)