forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Опубликован Canoeboot, вариант дистрибутива Libreboot, отвечающий требованиям Фонда СПО, opennews (??), 28-Окт-23, (0) [смотреть все]

Дети, рассортируйте по степени свободности - Либребут, Коребут и Каноебут , Аноним (1), 20:06 , 28-Окт-23, (1) +8 //

Я уже на пенсии, но попробую Coreboot -- это основа, фундамент на котором пилят , Пишу с 3 пня (?), 20:12 , 28-Окт-23, (4) +21 //

Чем Debian и Devuan с free репозиторием и Libre ядром отличается от них в план, и Devuan (?), 09:55 , 29-Окт-23, (84) //

Чем Тем,что одобрено и внесён в реестр,вот чем , Пишу с коре два дуо (?), 11:19 , 29-Окт-23, (91)
Тем что из дебиана при всем уважении довольно проблематично сделать вот именно з, Аноним (-), 22:15 , 29-Окт-23, (110)

В чем уважение к Дебиану то заключается сейчас Это сборник бюрократов, которые , Аноним (123), 01:27 , 30-Окт-23, (123) +1

1 В том что это дистр делаемый комьюнити 2 В том что у них более 60К пакетов и, Аноним (-), 05:48 , 30-Окт-23, (130) –1

Насчёт Trisquel GNU Linux это вы погорячились, сударь, у него хотя бы есть польз, Пишу с i5 (?), 23:01 , 29-Окт-23, (119) //

Там сообщество такое же как и тут на опеннете Все пишут да говорят про свободно, Аноним (153), 12:37 , 31-Окт-23, (153)

С бинарями неоднозначноКонторские бинарники планируют даже в отдельную папочку в, Бывалый смузихлёб (?), 08:26 , 30-Окт-23, (135) //

Perfection isn t when there s nothing to add, but when there s nothing to remove, Аноним (-), 11:46 , 30-Окт-23, (136) +1

Добавлю Canoeboot это то, чем был Libreboot, до того, как Libreboot решил, что , Аноним (6), 20:23 , 28-Окт-23, (6) +3 //

Странно это, учитывая что все максимально упоротые на свободности проекты имею, Аноним (153), 20:32 , 28-Окт-23, (9) +2 //

Как теперь разобраться без эксперта во всех этих ебутах Кто-нибудь уже научился , и Devuan (?), 10:03 , 29-Окт-23, (85) –1

Ну так и матплату юзай от того же компа, хренли В КР580ВМ80А совершенно точно н, Аноним (-), 22:35 , 29-Окт-23, (111) +2

Дооо, 8 битный проц - это конечно просто идеально для запуска современного софт, И Devuan (?), 11:54 , 30-Окт-23, (139) –1

А это сложно Сделать такую микросхему, которая бы прошивалась и стиралась как с, kusb (?), 00:38 , 30-Окт-23, (120)

Современные обычно - SPI флехи Так то довольно простые штуки И если страшно чт, Аноним (-), 06:04 , 30-Окт-23, (131)

Интересное решение с микроконтроллером Осталось к нему прикрутить старые ROM чип, И Devuan (?), 11:52 , 30-Окт-23, (138)

Я умею в offensive и поэтому догадываюсь как испортить карму себе подобным в вид, Аноним (-), 03:25 , 31-Окт-23, (147)

Using a custom microcontroller with read-only ROM in place of the BIOS flash chi, Claude XY and where is Z оЙ I am here (?), 10:05 , 31-Окт-23, (149)

I ll prefer to have upgrade path to be able to fix Libreboot, just in case Di, Аноним (-), 11:49 , 01-Ноя-23, (155)

Coreboot включает необходимые для загрузки бинари Libreboot с кастратом во главе, Аноним (35), 22:07 , 28-Окт-23, (35) +1
Хотел было сперва похвалить за адекватность, но потом понял, что это вынужденная, Аноним (47), 23:33 , 28-Окт-23, (47) //

На наших б у помойках уже тоже дичь В некопаном состоянии 2 штуки в год может и, Аноним (51), 23:44 , 28-Окт-23, (51) +1

Что, простите, делают с Кано , Аноним (118), 22:56 , 29-Окт-23, (118) +1 //

то же что и с Кор , Аноним (134), 06:18 , 30-Окт-23, (134)

Ого сколько ThinkPad ов повыкидывали , Аноним (3), 20:07 , 28-Окт-23, (3) //

Если они повыкидывали все Синкпады, то нафига сабж нужен , Пишу с коре два дуо (?), 20:47 , 28-Окт-23, (18) –1 //

Есть Latitude E6400 , Аноним (153), 21:03 , 28-Окт-23, (23) //

Мне не нужен Дел, мне нужен Синкпад , Пишу с коре два дуо (?), 21:06 , 28-Окт-23, (24)

Но у нас есть зинкпад дома , Аноним (39), 22:34 , 28-Окт-23, (39) +1

А нафига нужны Синкпады, если Ленова окончательно выкинула оттуда все вкусности, Аноним (38), 22:24 , 28-Окт-23, (38) +3 //

Речь идет не про совсем новые а относительно старые модели На них всегда есть с, Аноним (40), 22:35 , 28-Окт-23, (40)

Нафиг эти старые модели, Dell и HP точно так же скатились, но скатились они позж, Аноним (47), 23:44 , 28-Окт-23, (50)

T430, Аноним (47), 23:54 , 28-Окт-23, (54)

Клава как раз топовая, а вот разрешение экрана в наше время никуда не годится В, Аноним (42), 22:45 , 28-Окт-23, (42) +1
Новым клиентам, т е зумерам и хипстерам, это не нужно Им за ноутбуком работать, Аноним (47), 23:53 , 28-Окт-23, (53)

Чему нужны блобы - то и повыкидывали А что вы будете делать с тем фактом что в , Аноним (-), 22:37 , 29-Окт-23, (112) –1

Это ответ всем хейтерам коры дуба Поистине свободной может быть только она Пац, Аноним (153), 20:24 , 28-Окт-23, (7) +3 //

А можно пруф почитать любопытно стало , Пишу с коре два дуо (?), 20:43 , 28-Окт-23, (14)

Не хочу сеять, но исключительно из здорового интереса вопросил у интернета кто , Аноним (12), 20:36 , 28-Окт-23, (12) +2 //

Ну так они там все фотки RMS главный фрик ю и заводила , Пишу с коре два дуо (?), 20:44 , 28-Окт-23, (15) //

фрики , Пишу с коре два дуо (?), 20:45 , 28-Окт-23, (16)

Если копнуть ещё глубже, то оно сидит на грантах и занимается переименованием па, Аноним (153), 20:45 , 28-Окт-23, (17) +3 //

Что за унылый форс Intel Core 2 Duo идёт в последние дни Поясните плз , Аноним (20), 20:50 , 28-Окт-23, (20) //

Просто аноним обновил свой 4 пень на кору дуба и теперь пишет об этом всем , Аноним (153), 20:52 , 28-Окт-23, (21) +2
Последние лет 6-7, может и больше, уже не помню Просто другие анонимы поняли чт, Пишу с коре два дуо (?), 21:08 , 28-Окт-23, (25)
Это один персонаж косплеит толпу Его когда-то метко триггернули и большинство к, Аноним (99), 15:47 , 29-Окт-23, (99) –1
Видимо последние системы где ME можно было еще целиком послать в пень, чтобы это, Аноним (-), 22:40 , 29-Окт-23, (113)

Офигеть, оно уже тогда было , kusb (?), 00:43 , 30-Окт-23, (121)

Скрыто модератором, Аноним (-), 04:58 , 30-Окт-23, (127)
ME есть во всех системах Intel начиная с 2010 года Ну вот как-то так, да АМД с, Аноним (-), 11:48 , 30-Окт-23, (137) –1

В раннем 16h тот что Jaguar тоже нет PSP, например - Athlon 5370 ранний fam16, Аноним (150), 11:25 , 31-Окт-23, (150)

Меня PSP как компонент напрягает Это side-by-side высокопривилегированый проц , Аноним (-), 11:52 , 01-Ноя-23, (156)

У AMD пока еще не спёрли из лабораторий сорцы референсных проприетарных прошивок, И Devuan (?), 12:01 , 30-Окт-23, (140)

в опенсорсной библиотеке AGESA для AMD шных процессоров семейств fam14 fam15h , Аноним (150), 11:27 , 31-Окт-23, (151)

Скрыто модератором, Аноним (-), 05:03 , 30-Окт-23, (128) +1

Разве не в этом суть опенсорса вы же тоже не с ноля пишите все свои проекты, амерский ведроид (?), 20:52 , 28-Окт-23, (22) +1 //

Но только упаси вас переименовать Андроид, тут начнется сущий кошмар в комментар, Пишу с коре два дуо (?), 21:10 , 28-Окт-23, (26)

В техничку , Аноним (31), 21:32 , 28-Окт-23, (31)

Что втехничку, андроид переименовать , Аноним (40), 21:41 , 28-Окт-23, (33)

Картинку с уборщицы ведь срисовали , Аноним (92), 14:15 , 29-Окт-23, (92)

Срисовали , Аноним (40), 15:30 , 29-Окт-23, (98)

А разве редсдох ос это не оно самое А, ну еще сорцы запроприетарили вроде Лице, Аноним (-), 22:41 , 29-Окт-23, (114) +1

Суть в том, чтобы вносить улучшения в проекты других людей, а не портить их Пре, Аноним (47), 05:47 , 29-Окт-23, (71) +1

Не FSF, а какие-то клоуны откуда-то из Южной Америки, а FSF просто одобряет тако, Анон из села Кукуево (?), 15:29 , 29-Окт-23, (96) –1

Так это и есть цель и мечта главного коммуняки опенсорса - Столмана Он сам на гр, фнон (?), 00:32 , 29-Окт-23, (57)
Он а форкает, как ты посмел нехорошее подумать , Аноним (59), 02:13 , 29-Окт-23, (59) –1

Оно создало Каноёбут Классное название, мне нравится , Аноним (27), 21:16 , 28-Окт-23, (27) +1

Где же такой раритет найти , Аноним (28), 21:21 , 28-Окт-23, (28)
Как эту поделку запустить на AM4 , Аноним (29), 21:21 , 28-Окт-23, (29)
Не все знают, что изначально предлагалось название Can t boot, но Лия второпях о, Аноним (32), 21:41 , 28-Окт-23, (32) +1 //

Cannotboot, Аноним (47), 00:00 , 29-Окт-23, (55) +5 //

Это больше походит на IntelME без тырнета, который по своей управляющей сети 220, и Devuan (?), 10:22 , 29-Окт-23, (87) –2 //

Это из какой игры , коньюктив ит (?), 14:19 , 29-Окт-23, (93)

Игра жизнь Уровень противодействие зафлуживанию ганстолкерской агентурой палева, и Devuan (?), 15:29 , 29-Окт-23, (97) –1

Улучшения , Аноньимъ (ok), 23:35 , 28-Окт-23, (48) +2
А в комментариях будут остроумные нападки от сгоревших троллей, по поводу упом, Аноним (60), 02:54 , 29-Окт-23, (60)
Свободное железо по GNU это когда блобы в самой железяке без возможности изменен, Аноним (81), 09:10 , 29-Окт-23, (81) //

Извне можно загрузить более опасные с новыми версиями бэк доров , и Devuan (?), 10:24 , 29-Окт-23, (88) //

Опубликован Canoeboot, вариант дистрибутива Libreboot, отвеч..., Аноним (99), 15:24 , 29-Окт-23, (95)

Вся идея полного опенсорсного коммунизма бредовая Учитывая что фирмвари сейчас , Аноним (153), 17:26 , 29-Окт-23, (106) +1 //

Да как вас сказать Можно и фирмвари открытыми кодить так то Я проверял, это ра, Аноним (-), 22:44 , 29-Окт-23, (115)
Там то кстати им ничто не мешает быть свободными, почти , kusb (?), 00:46 , 30-Окт-23, (122) //

Если ничего не мешает, то почему они не свободны Или что-то все-таки мешает Эт, Аноним (-), 04:34 , 30-Окт-23, (124)

А как же тогда отключать неугодных с центрального пульта управления В компе прос, И Devuan (?), 12:08 , 30-Окт-23, (141) –1

Нужен модем по проводам 220, kusb (?), 13:33 , 01-Ноя-23, (158)

Вот работает драйвер питания к примеру, и если с ним чего случится в первые неде, Аноним (35), 18:44 , 29-Окт-23, (107) //

В открытых дровах видях от AMD можно еще и найти оверрайды на тот бред который O, Аноним (116), 22:50 , 29-Окт-23, (116)

Неправильная трактовка Свободное железо по GNU - это когда блоб из железяки не , Аноним (-), 04:40 , 30-Окт-23, (125) //

Скрыто модератором, Аноним (-), 04:45 , 30-Окт-23, (126)

Просто интересно, что мешает включить в комплект zoom, chrome и т п проприетарн, И Devuan (?), 12:15 , 30-Окт-23, (142) //

Хочешь я тебе системный фокус покажу Смотри сюда, фокус code flashrom -p i, Аноним (-), 03:47 , 31-Окт-23, (148) –2 //

Ты про временное получение прав рута CPU god mode , Devuan не Devuan а какая разница (?), 15:05 , 31-Окт-23, (154) //

Я про то что 1 Это flashrom 2 Он должен работать на этой системе 3 На пов, Аноним (-), 12:01 , 01-Ноя-23, (157)

Скрыто модератором, eboot (?), 19:17 , 30-Окт-23, (146)
Что ещё за Фонд СПО такой FSF что ли , Аноним (152), 12:00 , 31-Окт-23, (152)

Сообщения [Сортировка по времени | RSS]

6. "Опубликован Canoeboot, вариант дистрибутива Libreboot, отвеч..." +3 +/–

Сообщение от Аноним (6), 28-Окт-23, 20:23

Добавлю: Canoeboot это то, чем был Libreboot, до того, как Libreboot решил, что проприетарные бинарники отчасти допустимы.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

9. "Опубликован Canoeboot, вариант дистрибутива Libreboot, отвеч..." +2 +/–

Сообщение от Аноним (153), 28-Окт-23, 20:32

Странно это, учитывая что все максимально упоротые на "свободности" проекты имеют приставку как раз libre. Лучше бы сделали наоборот. Libre без допущения блобов и Canoe с допущением.

Ответить | Правка | Наверх | Cообщить модератору

85. "Опубликован Canoeboot, вариант дистрибутива Libreboot, отвеч..." –1 +/–

Сообщение от и Devuan (?), 29-Окт-23, 10:03

> Лучше бы сделали наоборот. Libre без допущения блобов и Canoe с допущением.
Как теперь разобраться без эксперта во всех этих ебутах?
Кто-нибудь уже научился заменять flash чип с ебутом на матплатах на что-нибудь более доверенное типа стираемых УФ лампой от компа из СССР?
https://habr.com/ru/companies/kingston_technology/articles/3.../
IMHO без такой замены вся эта возня вокруг открытости ебутов пустой пук в лужу, ибо любой уважающий себя ганстолкер может перешить ответственный кусок либре ебута на свой преступно незаметный бэкдор ебут.

Ответить | Правка | Наверх | Cообщить модератору

111. "Опубликован Canoeboot, вариант дистрибутива Libreboot, отвеч..." +2 +/–

Сообщение от Аноним (-), 29-Окт-23, 22:35

> Кто-нибудь уже научился заменять flash чип с ебутом на матплатах на что-нибудь
> более доверенное типа стираемых УФ лампой от компа из СССР?
Ну так и матплату юзай от того же компа, хренли. В КР580ВМ80А совершенно точно нет management engine. Там одно то 8-битное ядро еле запихнули.

Ответить | Правка | Наверх | Cообщить модератору

139. "Опубликован Canoeboot, вариант дистрибутива Libreboot, отвеч..." –1 +/–

Сообщение от И Devuan (?), 30-Окт-23, 11:54

Дооо, 8 битный проц. - это конечно просто идеально для запуска современного софта типа OpenBSD, LOL

Ответить | Правка | Наверх | Cообщить модератору

120. "Опубликован Canoeboot, вариант дистрибутива Libreboot, отвеч..." +/–

Сообщение от kusb (?), 30-Окт-23, 00:38

А это сложно? Сделать такую микросхему, которая бы прошивалась и стиралась как старые, чтобы потом использовать её как BIOS. Может быть это даже дешевле, технология старая.
Может быть можно более ёмкие чипы этого типа.
Что вообще требуется от чипа BIOS? Адресоваться как память? Он сложный?

Ответить | Правка | К родителю #85 | Наверх | Cообщить модератору

131. "Опубликован Canoeboot, вариант дистрибутива Libreboot, отвеч..." +/–

Сообщение от Аноним (-), 30-Окт-23, 06:04

> Может быть можно более ёмкие чипы этого типа.
> Что вообще требуется от чипа BIOS? Адресоваться как память? Он сложный?
Современные обычно - SPI флехи. Так то довольно простые штуки. И если страшно что их заапдейтят - ну а в чем проблема WP# на землю - и пусть попробуют записать.
Если все же сыкотно - можно попробовать микроконтроллером изобразить, но там времени на реакцию между получением команды по SPI и началом выдачи данных - достаточно мало, душновато будет такой парсер команд SPI-флехи кодить.

Ответить | Правка | Наверх | Cообщить модератору

138. "Опубликован Canoeboot, вариант дистрибутива Libreboot, отвеч..." +/–

Сообщение от И Devuan (?), 30-Окт-23, 11:52

Интересное решение с микроконтроллером.
Осталось к нему прикрутить старые ROM чипы, в которых точно нет двойного дна, подсовывающего альтернативную перешитую прошивку.

Ответить | Правка | Наверх | Cообщить модератору

147. "Опубликован Canoeboot, вариант дистрибутива Libreboot, отвеч..." +/–

Сообщение от Аноним (-), 31-Окт-23, 03:25

> Интересное решение с микроконтроллером.
Я умею в offensive и поэтому догадываюсь как испортить карму себе подобным в виде чтобы они были очень недовольны тем что видят. Это будет такая себе флешка, только имеющая свое мнение на тему того что она хочет и не хочет делать, при это ей прописываем именно мы, как свою фирмвару. Но это достаточно сложно из-за требований к времянкам.
1) МК должен выйти на режим быстрее хоста, до того как тот запросы начнет. Не любой МК подойдет.
2) Там довольно мало времени чтобы реагировать на команду. Но не ноль, так что попытаться отколоть такой финт можно.
В принципе я могу представить себе забавные оптимизации и трюки которые дадут шанс даже на сишке. Их я озвучивать не буду, нехай атакующие при случае получат интересный сюрприз в виде скажем так, несовпадения того что они видят с тем чем это на самом деле является.
> Осталось к нему прикрутить старые ROM чипы, в которых точно нет двойного
> дна, подсовывающего альтернативную перешитую прошивку.
Можно встроенную флеху МК заюзать. Даже если там какие-то отклонения от идеала, они не ожидали настолько отшибленое применение и не предусмотрели такой оборот. А раз так то и ничего осмысленного не получится, на это времени и ресурсов не будет.
А контроль над средой выполнения в МК - что надо, лишний бит не проскочит, иначе это толпа народа в других задачах по другим поводам заметит когда у них что-то жестко-реалтаймное дурить начнет, это сразу заметят многие.
Более того - SPI лишь коммуникационный интерфейс. У хоста в принципе нет доступа дальше, ведь на пути стит фирмвара (при том моя). И если эта фирмварь не хочет что-то делать, что хост и малварь на нем сможет то? В спортлото написать? Самый тупой вариант: игнорить команды записи SPI флехи и все неизветные команды. Это вне контроля хоста. Если фирмвара не хочет что-то делать, кто ж ее заставит через коммуникационный интерфейс то.
...но если делать реально нехрен можно взять МК с внешней шиной и на нее винтажный ROM нацепить, только это ничего кроме лишнего гимора не даст.
Более того, можно до старта основной фирмвари "флешки" прочекать ее чексуму сперва. Это конечно допускает что хост power-up делает заметно дольше и на маневр есть время. Если там левак, ну, ок, не стартуем, сигналим ERROR - но у вас дохлый комп в результате. Продвинутый вариант - типа dualbios сделать, но это сложнее. Хотя опять же ничего нереализуемого.

Ответить | Правка | Наверх | Cообщить модератору

149. "Опубликован Canoeboot, вариант дистрибутива Libreboot, отвеч..." +/–

Сообщение от Claude XY and where is Z оЙ I am here (?), 31-Окт-23, 10:05

Using a custom microcontroller with read-only ROM in place of the BIOS flash chip could potentially provide some extra protection against bootkit attacks for an open source BIOS like Libreboot:
    Since the Libreboot BIOS code is in masked ROM, it cannot be overwritten by malware trying to infect the BIOS.
    This would prevent persistent bootkit infections that target the rewritable flash to embed themselves at the BIOS level.
    The code signing and update mechanisms used for reflashing could be bypassed since updates aren't possible.
    Physical replacement of the microcontroller would be required for any firmware modifications.

With LUKS2 encryption of the boot partition containing the OS, that effectively protects the entire boot environment - BIOS, bootloader and OS - from malicious modification by a bootkit.
To summarize how a custom Libreboot ROM + LUKS2 covers all aspects:
    Libreboot BIOS in masked ROM - prevents firmware infection
    Integrated bootloader in ROM - prevents MBR infection
    LUKS2 encrypted partition with OS - prevents boot partition/OS infection
    No Intel ME vulnerability
There are no rewritable components for a bootkit to infect persistently. And the OS partition is cryptographically secured from offline tampering.
Short of physical intervention, or exploit of the LVKS encryption itself, this setup should be highly resilient against bootkit or rootkit malware.
You're absolutely correct that with LUKS2 encryption of the OS, a custom ROM Libreboot system has comprehensive protection against bootkit persistence.

Ответить | Правка | Наверх | Cообщить модератору

155. "Опубликован Canoeboot, вариант дистрибутива Libreboot, отвеч..." +/–

Сообщение от Аноним (-), 01-Ноя-23, 11:49

> Using a custom microcontroller with read-only ROM in place of the BIOS
> flash chip could potentially provide some extra protection against bootkit attacks
> for an open source BIOS like Libreboot:
I'll prefer to have upgrade path to be able to fix Libreboot, "just in case". Difference is: its me who would dub as "machine owner" and everyone else would be locked out.
>     Since the Libreboot BIOS code is in masked
> ROM, it cannot be overwritten by malware trying to infect the BIOS.
Don't have to be masked ROM: if MCU FW refuses to cooperate, bios upgrade going to fail. Firmware could only agree update on e.g. proof of physical presence. Or some special actions like e.g. specialized key exchange or "master password" auth.
>     Physical replacement of the microcontroller would be required
> for any firmware modifications.
That's how or why secure boot concept appeared...
> You're absolutely correct that with LUKS2 encryption of the OS, a custom
> ROM Libreboot system has comprehensive protection against bootkit persistence.
... rest of stuff about LUKS are "implementation details". In the end trusted firmware can check its next parts, its only one of possible ways.

Ответить | Правка | Наверх | Cообщить модератору

35. "Опубликован Canoeboot, вариант дистрибутива Libreboot, отвеч..." +1 +/–

Сообщение от Аноним (35), 28-Окт-23, 22:07

Coreboot включает необходимые для загрузки бинари.
Libreboot с кастратом во главе повернулись почти на 180 градусов в вопросе приемлемости закрытых прошивок.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

47. "Опубликован Canoeboot, вариант дистрибутива Libreboot, отвеч..." +/–

Сообщение от Аноним (47), 28-Окт-23, 23:33

>Libreboot решил, что проприетарные бинарники отчасти допустимы
Хотел было сперва похвалить за адекватность, но потом понял, что это вынужденная мера и автор_кам либребута попросту самим уже надоело сидеть на дремучих синкпадах. Да и помойки пустеют, а тут ведь можно лохам W541 толкать с либребутом за сотни нефти и лохи охотней купят!

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

51. "Опубликован Canoeboot, вариант дистрибутива Libreboot, отвеч..." +1 +/–

Сообщение от Аноним (51), 28-Окт-23, 23:44

> W541
На наших б\у помойках уже тоже дичь. В некопаном состоянии 2 штуки в год может и проскакивают. Остальные уже имели по 10+ владельцев и состояние этих девайсов соответствующее.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	6. "Опубликован Canoeboot, вариант дистрибутива Libreboot, отвеч..."	+3 +/–
	Сообщение от Аноним (6), 28-Окт-23, 20:23
	Добавлю: Canoeboot это то, чем был Libreboot, до того, как Libreboot решил, что проприетарные бинарники отчасти допустимы.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	9. "Опубликован Canoeboot, вариант дистрибутива Libreboot, отвеч..."	+2 +/–
	Сообщение от Аноним (153), 28-Окт-23, 20:32
	Странно это, учитывая что все максимально упоротые на "свободности" проекты имеют приставку как раз libre. Лучше бы сделали наоборот. Libre без допущения блобов и Canoe с допущением.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	85. "Опубликован Canoeboot, вариант дистрибутива Libreboot, отвеч..."	–1 +/–
	Сообщение от и Devuan (?), 29-Окт-23, 10:03
	> Лучше бы сделали наоборот. Libre без допущения блобов и Canoe с допущением. Как теперь разобраться без эксперта во всех этих ебутах? Кто-нибудь уже научился заменять flash чип с ебутом на матплатах на что-нибудь более доверенное типа стираемых УФ лампой от компа из СССР? https://habr.com/ru/companies/kingston_technology/articles/3.../ IMHO без такой замены вся эта возня вокруг открытости ебутов пустой пук в лужу, ибо любой уважающий себя ганстолкер может перешить ответственный кусок либре ебута на свой преступно незаметный бэкдор ебут.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	111. "Опубликован Canoeboot, вариант дистрибутива Libreboot, отвеч..."	+2 +/–
	Сообщение от Аноним (-), 29-Окт-23, 22:35
	> Кто-нибудь уже научился заменять flash чип с ебутом на матплатах на что-нибудь > более доверенное типа стираемых УФ лампой от компа из СССР? Ну так и матплату юзай от того же компа, хренли. В КР580ВМ80А совершенно точно нет management engine. Там одно то 8-битное ядро еле запихнули.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	139. "Опубликован Canoeboot, вариант дистрибутива Libreboot, отвеч..."	–1 +/–
	Сообщение от И Devuan (?), 30-Окт-23, 11:54
	Дооо, 8 битный проц. - это конечно просто идеально для запуска современного софта типа OpenBSD, LOL
	Ответить \| Правка \| Наверх \| Cообщить модератору


	120. "Опубликован Canoeboot, вариант дистрибутива Libreboot, отвеч..."	+/–
	Сообщение от kusb (?), 30-Окт-23, 00:38
	А это сложно? Сделать такую микросхему, которая бы прошивалась и стиралась как старые, чтобы потом использовать её как BIOS. Может быть это даже дешевле, технология старая. Может быть можно более ёмкие чипы этого типа. Что вообще требуется от чипа BIOS? Адресоваться как память? Он сложный?
	Ответить \| Правка \| К родителю #85 \| Наверх \| Cообщить модератору


	131. "Опубликован Canoeboot, вариант дистрибутива Libreboot, отвеч..."	+/–
	Сообщение от Аноним (-), 30-Окт-23, 06:04
	> Может быть можно более ёмкие чипы этого типа. > Что вообще требуется от чипа BIOS? Адресоваться как память? Он сложный? Современные обычно - SPI флехи. Так то довольно простые штуки. И если страшно что их заапдейтят - ну а в чем проблема WP# на землю - и пусть попробуют записать. Если все же сыкотно - можно попробовать микроконтроллером изобразить, но там времени на реакцию между получением команды по SPI и началом выдачи данных - достаточно мало, душновато будет такой парсер команд SPI-флехи кодить.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	138. "Опубликован Canoeboot, вариант дистрибутива Libreboot, отвеч..."	+/–
	Сообщение от И Devuan (?), 30-Окт-23, 11:52
	Интересное решение с микроконтроллером. Осталось к нему прикрутить старые ROM чипы, в которых точно нет двойного дна, подсовывающего альтернативную перешитую прошивку.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	147. "Опубликован Canoeboot, вариант дистрибутива Libreboot, отвеч..."	+/–
	Сообщение от Аноним (-), 31-Окт-23, 03:25
	> Интересное решение с микроконтроллером. Я умею в offensive и поэтому догадываюсь как испортить карму себе подобным в виде чтобы они были очень недовольны тем что видят. Это будет такая себе флешка, только имеющая свое мнение на тему того что она хочет и не хочет делать, при это ей прописываем именно мы, как свою фирмвару. Но это достаточно сложно из-за требований к времянкам. 1) МК должен выйти на режим быстрее хоста, до того как тот запросы начнет. Не любой МК подойдет. 2) Там довольно мало времени чтобы реагировать на команду. Но не ноль, так что попытаться отколоть такой финт можно. В принципе я могу представить себе забавные оптимизации и трюки которые дадут шанс даже на сишке. Их я озвучивать не буду, нехай атакующие при случае получат интересный сюрприз в виде скажем так, несовпадения того что они видят с тем чем это на самом деле является. > Осталось к нему прикрутить старые ROM чипы, в которых точно нет двойного > дна, подсовывающего альтернативную перешитую прошивку. Можно встроенную флеху МК заюзать. Даже если там какие-то отклонения от идеала, они не ожидали настолько отшибленое применение и не предусмотрели такой оборот. А раз так то и ничего осмысленного не получится, на это времени и ресурсов не будет. А контроль над средой выполнения в МК - что надо, лишний бит не проскочит, иначе это толпа народа в других задачах по другим поводам заметит когда у них что-то жестко-реалтаймное дурить начнет, это сразу заметят многие. Более того - SPI лишь коммуникационный интерфейс. У хоста в принципе нет доступа дальше, ведь на пути стит фирмвара (при том моя). И если эта фирмварь не хочет что-то делать, что хост и малварь на нем сможет то? В спортлото написать? Самый тупой вариант: игнорить команды записи SPI флехи и все неизветные команды. Это вне контроля хоста. Если фирмвара не хочет что-то делать, кто ж ее заставит через коммуникационный интерфейс то. ...но если делать реально нехрен можно взять МК с внешней шиной и на нее винтажный ROM нацепить, только это ничего кроме лишнего гимора не даст. Более того, можно до старта основной фирмвари "флешки" прочекать ее чексуму сперва. Это конечно допускает что хост power-up делает заметно дольше и на маневр есть время. Если там левак, ну, ок, не стартуем, сигналим ERROR - но у вас дохлый комп в результате. Продвинутый вариант - типа dualbios сделать, но это сложнее. Хотя опять же ничего нереализуемого.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	149. "Опубликован Canoeboot, вариант дистрибутива Libreboot, отвеч..."	+/–
	Сообщение от Claude XY and where is Z оЙ I am here (?), 31-Окт-23, 10:05
	Using a custom microcontroller with read-only ROM in place of the BIOS flash chip could potentially provide some extra protection against bootkit attacks for an open source BIOS like Libreboot: Since the Libreboot BIOS code is in masked ROM, it cannot be overwritten by malware trying to infect the BIOS. This would prevent persistent bootkit infections that target the rewritable flash to embed themselves at the BIOS level. The code signing and update mechanisms used for reflashing could be bypassed since updates aren't possible. Physical replacement of the microcontroller would be required for any firmware modifications. With LUKS2 encryption of the boot partition containing the OS, that effectively protects the entire boot environment - BIOS, bootloader and OS - from malicious modification by a bootkit. To summarize how a custom Libreboot ROM + LUKS2 covers all aspects: Libreboot BIOS in masked ROM - prevents firmware infection Integrated bootloader in ROM - prevents MBR infection LUKS2 encrypted partition with OS - prevents boot partition/OS infection No Intel ME vulnerability There are no rewritable components for a bootkit to infect persistently. And the OS partition is cryptographically secured from offline tampering. Short of physical intervention, or exploit of the LVKS encryption itself, this setup should be highly resilient against bootkit or rootkit malware. You're absolutely correct that with LUKS2 encryption of the OS, a custom ROM Libreboot system has comprehensive protection against bootkit persistence.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	155. "Опубликован Canoeboot, вариант дистрибутива Libreboot, отвеч..."	+/–
	Сообщение от Аноним (-), 01-Ноя-23, 11:49
	> Using a custom microcontroller with read-only ROM in place of the BIOS > flash chip could potentially provide some extra protection against bootkit attacks > for an open source BIOS like Libreboot: I'll prefer to have upgrade path to be able to fix Libreboot, "just in case". Difference is: its me who would dub as "machine owner" and everyone else would be locked out. > Since the Libreboot BIOS code is in masked > ROM, it cannot be overwritten by malware trying to infect the BIOS. Don't have to be masked ROM: if MCU FW refuses to cooperate, bios upgrade going to fail. Firmware could only agree update on e.g. proof of physical presence. Or some special actions like e.g. specialized key exchange or "master password" auth. > Physical replacement of the microcontroller would be required > for any firmware modifications. That's how or why secure boot concept appeared... > You're absolutely correct that with LUKS2 encryption of the OS, a custom > ROM Libreboot system has comprehensive protection against bootkit persistence. ... rest of stuff about LUKS are "implementation details". In the end trusted firmware can check its next parts, its only one of possible ways.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	35. "Опубликован Canoeboot, вариант дистрибутива Libreboot, отвеч..."	+1 +/–
	Сообщение от Аноним (35), 28-Окт-23, 22:07
	Coreboot включает необходимые для загрузки бинари. Libreboot с кастратом во главе повернулись почти на 180 градусов в вопросе приемлемости закрытых прошивок.
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	47. "Опубликован Canoeboot, вариант дистрибутива Libreboot, отвеч..."	+/–
	Сообщение от Аноним (47), 28-Окт-23, 23:33
	>Libreboot решил, что проприетарные бинарники отчасти допустимы Хотел было сперва похвалить за адекватность, но потом понял, что это вынужденная мера и автор_кам либребута попросту самим уже надоело сидеть на дремучих синкпадах. Да и помойки пустеют, а тут ведь можно лохам W541 толкать с либребутом за сотни нефти и лохи охотней купят!
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору


	51. "Опубликован Canoeboot, вариант дистрибутива Libreboot, отвеч..."	+1 +/–
	Сообщение от Аноним (51), 28-Окт-23, 23:44
	> W541 На наших б\у помойках уже тоже дичь. В некопаном состоянии 2 штуки в год может и проскакивают. Остальные уже имели по 10+ владельцев и состояние этих девайсов соответствующее.
	Ответить \| Правка \| Наверх \| Cообщить модератору