Názory k článku
Intel plánuje konec BIOSu na 2020
-
Takmer denne som svedkom toho, ako tetuška klikne na prílohu mailu a zakryptuje si všetky súbory v počítači. Nepomôže jej secure boot, ani "antivírus". Podľa mňa by nepomohlo ani keby jej počítač poliali svätenou vodou.
Secure boot je zbytočnosť (wydle neochráni a ani nezabráni inštalácii alternatívy), dnes sa s ním vysporiada už takmer každé distro, takže mi to je v podstate fuk. -
. . (neregistrovaný)
bohužel jsem se s tímhle setkal i na linuxu a macu. Obrana samotného počítače je složitá, jakmile na linuxu někdo získá root, klidně přepíše raw dev disk a nezabrání mu v tom ani svěcená voda, bez roota napáchá ale i tak hodně škody, Windows se proti tomuhle lépe chrání, ale má zase jiné díry.
Pokud jde o firemní počítače, nejúčinější metoda je zálohování a ukládání všech dokumentů rovnou do cloudu (ať už on-promise nebo veřejného), to ale generuje další problémy.
Různé antiviry, filtry, blacklisty nejsou nepřekonatelné, jen snižují zatížení interního IT, aby nemuselo řešit tolik případů.
Pro domácí uživatele tohle musí být pěkné peklo, doma jsem sice přesvědčil rodinku ať zálohuje, ale oni mají ten usb disk připojený k pc nonstop...
-
Palo (neregistrovaný)
> jakmile na linuxu někdo získá root
Ako to suvisi s pripadom ze tetuska klikla na prilohu?> nejúčinější metoda je zálohování a ukládání všech dokumentů rovnou do cloudu
To mas odkial? Nie je to vobec najucinejsia metoda niekedy dokonca koli legislative nemozna (banky, statne institucie, ...)> oni mají ten usb disk připojený k pc nonstop
Tak im urob suid script ktory dokaze iba zalohovat na ten disk a ten pripajaj iba read-only prislusnemu uzivatelovi - napriklad.
Alebo spustaj browser vo virtualnom prostredi, alebo cez firejail, alebo ... kopec dalsich sposobov najdes na nete.> Windows se proti tomuhle lépe chrání
Buhahahahaha. -
No když vezmeme v potaz technickou zdatnost "tetusky" + její motivaci (jako předchozí oběť šifrování), tak v aktuálních Windows 10 může své soubory zabezpečit na několik kliků. Viz třeba
https://365tipu.cz/2017/11/04/windows-10-fall-creators-update-maji-novou-ochranu-proti-ransomware-rizeny-pristup-ke-slozkam/A neopotřebuje umět psát scripty :)
Nicméně určitě nepopírám, že pro "správce" takového uživatele je největší výhra pokud běží na Linuxu.
-
. . (neregistrovaný)
ad příloha) Stejně jako klikne na přílohu, je schopná i zadat sudo (či UAC) heslo, ano je to její chyba, ale vždyť ani my sami se nedokážeme vypořádat s cíleným útokem...
ad cloud) To mám právě z těch bank ;). Jak jsem psal, veřejný nebo on-promise cloud, ať už forma sharepointu, webdavu či jiného interního uložiště, české banky vesměs jinak nefungují.
ad usb disk) nejde ani tak o mě, jde o toho obyčejného domácího uživatele o kterém začíná tohle vlákno, u kterého je pokrok, že používají usb disk na zálohy. Mysli také na to, že mají data roztahaná po sociálních sítích, po počítačích, po telefonech, po tabletech. Nevím jak to pro netechnické uživatele řešit, o mě se nestarej
ad Windows ochrana) nebuď jak trol. Ta věta byla jasně napsaná, u Windowsu je problém se dostat k raw disku a přepsat ho (pokud se jedná o systémový), u linuxu to problém není. Hned v další větě jsem dodal, že stejně má Windows jiné díry a výsledek je stejný.
-
Jenda (neregistrovaný)
> Stejně jako klikne na přílohu
V jakém formátu je příloha a co to je za mailového klienta, resp. podivné nastavení? Defaultně se po kliknutí na ELF nestane nic (navíc má mít /home přimountované s noexec) a po kliknutí na .sh/.py/.pl se to otevře v textovém editoru. Tobě se to snad spustí?!
> je schopná i zadat sudo (či UAC) heslo
BFU schopný spustit přílohu spamu by podle mě sudo heslo znát neměl.
-
Adam KaliszStříbrný podporovatelHeslo sudo klidně znát může, jen jeho konkrétní oprávnění nesmí umožňovat měnit totálně vše. Poměrně málo lidí ví, že sudo umí mnohem více, než jen eskalaci práv prakticky na úroveň root. Mj. jiné proto OpenBSD sudo vyřadilo ze základu do stromu ports a nahradilo esenciální funkcionalitu sudo pomocí doas.
Doporučuji knihu Sudo Mastery od Michaela W. Lucase (https://www.michaelwlucas.com/tools/sudo) -
. . (neregistrovaný)
já tohle chování v emailu na linuxu ještě také neviděl, ale je tady v minulosti několik zranitelností, kdy přes bugy bylo možné spustit kód a ten si už uměl vyžádat větší práva, nedávno třeba se spuštěním obrázků. Pravidelná aktualizace tohle řeší, ale víme jak občas některé desktopy jsou dlouho neaktualizované. noexec je pro řadu těch nových distribucí sprosté slovo, koukám, čertstvá instalace ubuntu a /home a /tmp žádný noexec nemá, pak si můžeme povídat o tom co kdo by měl mít.
To je otázka, souhlasím, ale často BFU jsou sami admini (mají root/admin hesla) a prostě tyhle úpravy dělají. Je úplný šumák, jestli se bavíme o linuxu nebo win, prostě jakmile není k dispozici zodpovědný správce, BFU si vždy koleduje o průser a je jedno o jaký OS se jedná, na každém se najdou skulinky jak uživatele donutit udělat něco nepatřičného.
Podobné diskuze často slétnou do akademické roviny jak se to má dělat správně, ale základní problém je, jak to vyřešit u nezkoušených uživatelů, kteřé chtějí počítače používat, chtějí si instalovat aplikace, tím to vlákno začalo. Pokud nějaký systém sám spravuji, postarám se o tyhle maličkosti a hlídám si to, vždyť se tím živím, pokud ho ale nespravují a jen ty chyby vidím kolem sebe, nemám co poradit, teda kromě toho ať si seženou admina. K televizi také admina nepotřebují a přesně takhle spotřebně berou lidé i počítače, možná k tomu musí teprve dospět (obě strany).
-
BobTheBuilderStříbrný podporovatelAno, a proto práva k souboru v NTFS obsahují položku "číst" a další "číst a spouštět". Když to druhé není povoleno, tak kupodivu není povoleno spuštění.
Bylo by dobré, kdybyste své dojmy korigoval skutečností. -
Ta svěcená voda by mohla pomoct... Když se nalije v dostatečném množství na to správné místo, tak se zajiskří a bude po problémech ;-).
Jinak už možná uzrála doba, aby se místo Microsoftem roky tlačeného marketingu "Windows může používat kdokoliv a vůbec nic se nemusí učit" začali lidé vzdělávat. S oblibou přirovnávám počítač k noži. Je to nástroj, jehož použití a zacházení s ním je dobré člověka prvně naučit, než ho dát pěkně blýskavě naleštěný do ruky dítěti se slovy "na hrej si, však na to časem přijdeš sám..." A žádné "obaly" ve stylu zakázaného roota u Androidu bezpečnosti nepomůžou. Dokud uživatel sám nechápe rizika, bude mít tendenci ochranu obcházet.
-
Sten (neregistrovaný)
IDE umře taky, to je stejně jenom kvůli starým Windows. Nějaké nastavování zůstane, i když dnes u naprosté většiny HW stačí autodetekce.
Výhodou i nevýhodou je, že je to snadno rozšiřitelné. Na jednu stranu tak do společného nastavení může přibýt třeba nastavení grafické karty a její firmware může být uložený na desce, na druhou stranu tam lze skrýt i viry či spyware a možné díry, kterými se tam může dostat, už nejspíš nikdo nikdy neopraví. Google se proto snaží UEFI zbavit a místo něj použít coreboot, který inicializuje jen hardware naprosto nezbytný pro spuštění zavaděče (často ani nespustí grafickou kartu) a inicializaci všeho ostatního hardware nechá na zavaděči a OS.
-
Jenda (neregistrovaný)
> Zdravím, co to bude znamenat prakticky?
Že místo grub-x86, který se instaluje do prvního 1 MiB před partition, budeš používat grub-efi, který se instaluje do FAT oddílu. Na některých distribucích je to již teď plně automatické a není potřeba nic řešit a dá se předpokládat, že se to postupně rozšíří do všech. Takže pro běžného uživatele i admina změna spíše kosmetická.
> Jaké to pak má nevýhody? Díky
Implementace v základních deskách jsou někdy mírně zabugované - BIOSy měly mnoho let na vychytání chyb, EFI je teprve mladé. Ale na nic hrozného jsem zatím nenarazil.
-
j (neregistrovaný)
A jeste si zapomel, ze krome toho si budes uzivat rochneni se v manualnim prepisovani souboru na ty efi partysne ... protoze kazdej spravnej vyrobce si prece tu strukturu musi upravit k obrazu svymu ...
Trebas HP https://sourceforge.net/p/veracrypt/discussion/technical/thread/5b859040/
-
Přezdívka (neregistrovaný)
> Implementace v základních deskách jsou někdy mírně zabugované
Matthew Garrett a spousta dalších by jistě zásadně nesouhlasili že "někdy" a "mírně" (viz. několik různých hard brick bugů).
> BIOSy měly mnoho let na vychytání chyb
A stejně se to ani zdaleka nepovedlo (viz. např. zvěrstvo jménem ACPI, které mimochodem v (U)EFI zůstává).
> EFI je teprve mladé
A několikanásobně složitější, takže mnohem náchylnější k chybovosti. Navíc ani zdaleka neřeší spoustu zásadních problémů BIOSu a jen k nim přidává ještě celou řadu dalších.
> na nic hrozného jsem zatím nenarazil
To Vám závidím
-
Jenda (neregistrovaný)
> Jaky to bude mit vliv na virtualizace?
KVM EFI podporuje (nezkoušel jsem to).
> Jaky to bude mit vliv na boot z sw raidu (aneb, uefi a komplikace s grubem na vice discich)?
Dobrá otázka, to jsem také ještě nemusel řešit. Podle mě to ale bude stejné jako dosud - GRUB (s podporou MD RAIDu) budeš mít zkopírovaný na všech discích a EFI vybere nějaký funkční a natáhne ho.
-
j (neregistrovaný)
Mno ... ani ne. Prakticky kazdej MB dneska umi i zcela bez disku nastartovat browser a jit na sit ... ve skutecnosti tam mas 8+GB flasku, kdezto bios se vesel do maximalne jednotek MB.
Na disku ve skutecnosti zadny efi nemas, mas tam konfiguraci a bootloader toho kteryho systemu. Efi by pak (teoreticky) melo ze standardniho (hehe) konfiguracniho souboru zjistit co vsechno tam je, a to ti nabidnout ke spusteni.
ČLÁNKY DO MAILU