Secure Boot (una nuova minaccia per la sicurezza)

[marcomg]

L'analisi è superficiale sicuramente, ma mi è successa una cosa simile con i driver su un PC con windows. Vecchio windows si rifiutava di far installare una nuova versione di office, nuovo windows era inutilizzabile per i driver.
Risolto debianizzandolo :P
Ora per ritornare in topic dico solo che se tutti i computer del mondo funzionassero con windows e i produttori hardware si mettessero d'accordo con micro$oft per far in modo che ad ogni versione si aumentino i requisiti minimi di sistema e ad ogni versione del software si cambia formato (non leggibile dalle vecchie versioni) e non si permette di installarlo sul vecchio sistema operativo le strade percorribili sono due: nessuno aggiorna oppure aggiornano tutti.
Scenario un po' apocalittico della libertà, ma secondo me ci guadagnerebbero bei soldoni

[eribian]

Già. Aspetta, cosa c'entra con Secure Boot? Mi sembra un pò off-topic il tuo commento, senza offesa.
Vediamo un pò... I produttori hardware sono in combutta con Microsoft, pertanto alzare i requisiti minimi permette ad entrambi di guadagnare. Ma, ripeto per l'ennesima volta: che ci guadagnano i produttori hardware a bloccare Secure Boot? Ricordo che lo stesso Linus Torvalds diceva che Microsoft non può bloccare Secure Boot perché nessuno ci guadagna. Facciamo un esempio: io gestisco una grande multinazionale che produce hardware. Ad un certo punto Microsoft mi contatta dicendo di bloccare Secure Boot. Io chiedo, ovviamente, perché. Cosa mi risponde? Di farlo e basta altrimenti non mi dà la licenza? Non lo farebbe, perché altrimenti finirebbe in una vicenda legale in cui sarebbe nel torto, e anche dal punto di vista finanziario perderebbe molte azioni. Se dicessi che non m'importa nulla perché non mi importa minimamente del software, qualcuno potrebbe denunciarci ed entrambi finiremmo nel torto. L'ultima opzione è quella di vendere PC con secure boot abilitato. Così chi vuole può disabilitarlo per installarci tutti i SO che vuole, ma non Windows 8 o successivi. Non è già abbastanza come trappola? Tu che dici?

[marcomg]

Cosa mi risponde?

Fossi Micro$oft e avessi fatto questa proposta risponderei: "Io tra due mesi costringerò i clienti ad usare widnows 9. Windows 9 funzionerà solo sui nuovi PC che produrrai e quindi tutti dovranno ricomprarli.".

[eribian]

Ok. Quindi, mi offri di fare un Windows 9 che sia molto più pesante e funzioni solo con Secure Boot abilitato, in cambio io produco molti nuovi pc e ci guadagno.
Proviamo a spostarci in questi tempi però: in un mondo disastrato da crisi economiche, dove difficilmente la gente trova dei soldi, secondo te continuerebbe a pensare ai PC? Io penso invece che la genta usa il pc solo per andare su Internet, pertanto non penso che comprerebbe un pc.
Pertanto immagino che la mia azienda produca anche dispositivi embedded. In questo campo, però, la situazione è leggermente diversa. Microsoft, in questo settore, non è l'azienda dominante del mercato. Da un certo punto di vista, le aziende piccole sono più facilitate rispetto a quelle grandi. Infatti, se una grande azienda che blocca il boot abusa del suo potere, una piccola azienda che lo fa non abusa del suo potere. Pertanto, se Microsoft desidera dominare il mercato dei dispositivi embedded si inizierebbe bloccando Secure Boot, poi le cose si complicano. Non credo che il fatto che le app sul PC sono compatibili col tablet e/o altro sia di grande utilità. Quindi, che succederebbe?

[Lorenzoz]

Mi inserisco,

posto il link che parla dell'argomento

mi eclisso.

[eribian]

Grazie tante. Comunque, io sapevo che per applicare le chiavi EFI bisognasse:
1) generarle;
2) entrare nel BIOS/EFI e cercare Secure Boot per personalizzare le chiavi.

Comunque, procedere da SO o da BIOS non cambia molto, è come EZ Flash e BIOS Update di Asus.
Grazie comunque per il link. Quando torno a casa, voglio provare il secure boot della mia scheda madre.

Certo che però questo Secure Boot è inutile... Non penso che noi utenti normali avremo mai bisogno del Secure Boot.
Che poi, la partizione UEFI viene montata e poi "smontata", sia su Windows che sul Linux, e in quest'ultimo caso con l'opzione noauto.

[Tigellino]

Windows mi faceva entrare in depressione; tanto che é dal 2006 che non lo uso, ma chiedo ai giovani "bravi" dei forum di aiutarmi dove non arrivo, anche con consigli su programmi e periferiche. Lo odio a tal punto che cambierò il cellulare solo perché hanno comprato la Nokia :evil: Figuriamoci se volessero costringermi a comprare un ipotetico Windows 9!
P. S.: l'altroieri ho gioito quando a Radio24 (focus economia) hanno diffuso i pessimi datidi Microsoft sul ritorno economico disastroso della piattaforma Windows 8 !!!

[eribian]

l'altroieri ho gioito quando a Radio24 (focus economia) hanno diffuso i pessimi datidi Microsoft sul ritorno economico disastroso della piattaforma Windows 8 !!!

Ma tu lo sai che Microsoft Surface ha crashato durante la presentazione?

Tralaltro, possibile che nessuno di noi si stia concentrando sulla questione? Ora, sarebbe meglio riornare in topic. Voi che ne pensate di Secure Boot?

[Risca]

Tralaltro, possibile che nessuno di noi si stia concentrando sulla questione? Ora, sarebbe meglio riornare in topic. Voi che ne pensate di Secure Boot?

Di per sè non è una cattiva idea. Aumenta la sicurezza del sistema operativo dando garanzia che, per lo meno il kernel che viene eseguito, sia proprio quello originale e non modificato. È inoltre il primo passo in direzione del trust computing.

Il problema non è tanto nella tecnologia in sè quanto nei rischi dovuti alle politiche dei competitor e produttori, tutto a danno degli utenti finali. Infatti da un lato windows obbliga i produttori, per essere certificati W$8, ad avere Secure Boot attivato di default, dall'altro un produttore potrebbe limitare la possibilità di installare SO/software diverso da quello di fabbrica inibendo la possibilità di aggiungere altre chiavi al SB.

Purtroppo come ogni tecnologia si possono avere effetti sia positivi sia negativi a seconda dell'uso che se ne fa. Il problema sarà riuscire a garantire che i diritti degli utenti prevalgano, questa è la nostra sfida!

[eribian]

Di per sè non è una cattiva idea. Aumenta la sicurezza del sistema operativo dando garanzia che, per lo meno il kernel che viene eseguito, sia proprio quello originale e non modificato. È inoltre il primo passo in direzione del trust computing.

Bene, tuttavia io penso che Secure Boot, così come Antivirus per Linux/Windows/iOS/altri, test d'integrità e cose del genere, siano inutili se l'utente non viene educato.
Penso che sia utile solo in parte. Sicuramente un virus che danneggia una distro linux agendo sul Secure Boot(pensiamo solo a linux al momento) avrebbe tanti problemi, per vari motivi. Il principale è che ogni distro tratta con Secure Boot in modo diverso. C'è chi usa lo shim bootloader, chi il Bootloader della Linux Foundation, chi usa le chiavi di Microsoft e tutti gli altri che invece impongono all'utente di generarsi e installarsi autonomamente le chiavi. Poi c'è il problema dei permessi. Il virus deve avere il consenso dell'amministratore per entrare nella directory /boot, ma c'è il problema che a quel punto, l'utente diventa cosciente di quello che succede. Il resto... non è più importante.
Ora ci spostiamo su Windows. Su Windows questo concetto di privilegi non c'è e quindi il Secure Boot diventa giustificabile perché "la differenza genetica" dei Windows è troppo bassa. Risultato? Un virus potrebbe diffondersi molto rapidamente.
In ogni caso, con o senza Secure Boot il virus non avrebbe vita facile su Linux. Comunque, forse vale la pena abilitarlo.

Io da questo punto di vista giustifico Microsoft perché Secure Boot è utile, per l'utente finale, su Windows ma anche su Linux, in questo caso per amministratori. Secure Boot per l'utente medio di Linux può essere inutile. A parer mio però il problema che Secure Boot disabilitato rende Windows 8 inavviabile ci riporta al problema della vendita, volente o nolente, della licenza del SO. Finiamo sempre lì...

[Tigellino]

Concordo.

[eribian]

Spero sia utile questo link: http://www.hwjournal.net/ufficio/utenti ... a-ue-13420. Probabilmente l'avrete già letto.

[Risca]

Non è in alcun modo criticabile M$ per questo aspetto. Infatti il bollino per W$ 8 si ottiene se e solo se Windows è installato con S.B. attivo.
Sta invece ai produttori e distributori permettere anche all'utente di disabilitare il S.B. o di inserire altre chiavi.

Forse è opinabile il fatto che W$ si avvii solo in ambiente S.B. rendendo di fatto più problematico il dual boot (ossia il secondo sistema operativo viene obbligato in questo caso ad aderire al S.B.). Questa potrebbe essere anche una spinta commerciale per obbligare gli utenti che vogliono/hanno bisogno di W8 a cambiare hardware (infatti le mo.bo. un po' vecchie, forse pre 2011, non supportano il S.B.).

Forse solo l'Antitrust potrebbe fare qualcosa, ma non so fino a che punto.

[marcomg]

Quindi se io volessi mettere W8 sul mio notebook che ha il bios "normale" non posso farlo, giusto?

[eribian]

Non è in alcun modo criticabile M$ per questo aspetto. Infatti il bollino per W$ 8 si ottiene se e solo se Windows è installato con S.B. attivo.

Per i PC preassemblati. Anche la mia sceda madre riporta di essere compatibile con Windows 8 sulla sua scatola, ma il Secure Boot (sì, è UEFI e supporta Secure Boot) è disabilitato di default.

Quindi se io volessi mettere W8 sul mio notebook che ha il bios "normale" non posso farlo, giusto?

Perché no? In realtà i PC recenti devono supportare e abilitare di default Secure Boot, non che Windows 8 non può funzionare senza Secure Boot. Windows 8 funziona anche in ambienti non-UEFI (considera inoltre che le versioni x86 di qualunque Windows non supportano UEFI).
E mi pare che le pendrive possono essere avviate anche con l'MBR, e se non mi sbaglio, anche con UEFI, ma in questo caso il sistema non cerca le chiavi. Il Secure Boot non agisce sulle USB. Credo. Se ho ragione, vuol dire che posso sempre installare distro linux nelle USB, no? Sarebbe il colmo se Secure Boot agisse pure sulle USB.
Anti Trust? Non si può incriminare Microsoft per Secure Boot.

Infine: rileggendo il link datoci da Lorenzoz, leggo che il kernel viene "firmato" con la chiave autogenerata. Non sono un esperto di amministrazione, ma, se non mi sbaglio, una firma digitale è composta dal documento (il kernel) un'hash del documento crittografato con la chiave privata e poi viene verificata con i due passaggi: 1) viene decrittografata la firma con la chiave pubblica; 2) viene effettuato l'hash del documento e viene confrontato con quello della firma decrittografata.
Probabilmente avrò detto una cavolata.

Ma, il programma, se è firmato, continua a funzionare nonostante non ci sia nulla per decrittografare la firma, ovvero che disabiliti Secure Boot?
Forse ho detto la seconda cavolata. Se invece ho ragione ho capito come mai Windows non funziona se viene disabilitato Secure Boot se è stato installato in un ambiente con Secure Boot abilitato.