Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 66, views: 31.610 •

Het is James Bottomley, voorzitter van de technische adviesraad van de Linux Foundation, gelukt om de Linux-kernel met behulp van zelf gegenereerde uefi-binaries te booten op een systeem waarop secure boot is ingeschakeld.

Bottomley deed dit met behulp van een nieuwe boot-image van het Tianocore-project en heeft voorbeeldcode beschikbaar gesteld, zodat andere ontwikkelaars het zelf ook kunnen proberen. Op deze manier is het mogelijk om Linux te installeren op een systeem, zelfs als secure boot wordt afgedwongen.

Toen bekend werd dat Windows 8 secure boot ging gebruiken, ontstond er onrust in de opensourcewereld over de mogelijkheid dat computerfabrikanten de secure boot-optie zouden gaan afdwingen. Microsoft gaf zelf echter aan dat dit niet verplicht is. Het is dus nog niet zeker in hoeverre de grote computerfabrikanten van plan zijn secure boot te implementeren en verschillende oem’s hebben al aangegeven dit niet af te zullen dwingen. Desondanks zijn ontwikkelaars dus bezig met manieren om secure boot te omzeilen, voor als dit toch wordt afgedwongen.

Eerder wees Linus Torvalds al op verschillende mogelijkheden om secure boot te omzeilen, zoals het gebruiken van private keys en bugs in signed software. Daarnaast wees hij erop dat Microsoft het gebruik van secure boot niet verplicht en zelfs fabrikanten verzoekt om gebruikers de mogelijkheid te geven secure boot uit te schakelen.

Reacties (66)

Als Linux-ontwikkelaars het kunnen omzeilen moeten malwaremakers dat toch ook kunnen? Dan lijkt me secure boot nogal overbodig.
ja, maar een malware maker heeft geen fysiek toegang tot de PC, dat is al veel denk ik.
Tenzij het een pinnetje is wat je fysiek moet omzetten, zal dat niet veel uitmaken. Als de firmware (=software) dat vlaggetje kan omzetten, zal malware (=ook software) dat ook wel kunnen. Gewoon kwestie van het juiste registertje in het cmosje herprogrammeren.
Als er een ander vlaggetje is die na een reset op 0 staat en alleen naar 1 te zetten is en niet meer terug die op de 1 stand voorkomt dat secure nog aan/uit gaat dan kan de software niets meer.
Ja, best veel. Zeus, TDL, Rovnix, om maar een paar namen te noemen.
Secure Boot is bedoeld om de intiele lader van het operating system op correctheid te kunnen controleren. Als die initiele lader eerst de integriteit van de rest van het systeem controleert is het met secure boot dus mogelijk een onhackbare startup te maken.

Als die startup alvast veilig begint kunnen daarna virus checks uitgevoerd worden op een gegarandeerd juiste manier. Er zijn wel degelijk virussen die zich dusdanig verschuilen dat een virusscanner er niet meer bij kan, dan wordt het onmogelijk om die af te vechten.

Misschien is het voor Windows wel het minst nuttig, dat OS is practisch een gatenkaas. Een erg veilig OS, zoals OpenBSD bijvoorbeeld, zou veel meer baat hebben bij secure boot.

Hoewel het IMHO niet een erg hoge prioriteit had om SB te implementeren is het wel degelijk een van de vele nodige stappen in de goede richting.
Het is ook financieel belangrijk voor microsoft denk ik... met secure boot is het niet meer mogelijk om de windows activatie te faken door middel van een boot sector programma.
Dan hebben ze in een keer ook al die niet betalende mensen te pakken (hopen ze dan).

In ieder geval een mooie ontwikkeling, op deze manier kun je linux op je eigen pc's en laptops blijven installeren :D

[Reactie gewijzigd door wootah op 16 juli 2012 20:32]

Misschien is het voor Windows wel het minst nuttig, dat OS is practisch een gatenkaas.
En dat is dus dikke lulkoek, Linux en MacOSX zijn net zo lek, Windows 7 is echt een behoorlijk robuust en veilig OS. Tja, als je als gebruiker dan toch toestemming geeft om malware te installeren is dat de gebruiker zn schuld, maar dat is dus exact ook bij Linux en MacOSX.. Vergis je niet hoor, het is al lang bekend dat Linux en MacOSX lang niet zo secure zijn als veel liefhebbers beweren..
Het gaat natuurlijk niet alleen om de intrinsieke veiligheid (die discussie is immers eindeloos gezien de emoties), het gaat ook om de echte dreiging en die is op dit moment (wat de reden daarvan ook is) toch echt het grootste als je windows gebruikt (lees: de kans dat er iets gebeurd).
als je het omdraait:

stel de macs in de wereld zijn goed voor 80% van alle OSen. Moet je eens raden hoeveel virussen er dan wel niet zouden geschreven worden. En hoe windows zou afgeschilderd worden als heel veilig.

Het loont nu eenmaal meer om virussen te schrijven voor een OS dat 70-80% van de markt beslaat tov 10-30%. Je gaat nl ook meer je best doen om lekken te vinden.

Vroeger waren het vooral ervaren gebruikers die macs kochten. Dus die trapten er sowieso al niet in. Stel je eens voor dat je een horde idioten hebt dat vinden dat apple een hip merk is en at ze ook een mac willen. Omdat het zo cool staat. Geen virusscanner draaien want dat is toch het "veiligste" OS ter wereld.... En dan krijg je taferelen zoals een paar maand geleden in het nieuws, dat een half miljoen macs geinfecteerd waren met een of ander virus (weet niet meer welk, maar kdacht dat het toch redelijk ernstig was).

Het heeft gewoon heel veel te maken met schaalgrootte. Kijk nu ook naar de Iphone, waar ze malware voor beginnen schrijven, of hacks voor maken om gratis dingen te kunnen kopen. Exact hetzelfde verhaal, maar dan op telefoniegebied
Beetje zinloze discussie welk platform veiliger is inderdaad maar feit blijft dat je voor nu redelijk veilig bent op OSX, de oorzaak laat ik dan in het midden. Dat betekent echter niet meteen dat ik mezelf tot een "horde idioten" behoor omdat ik geen virusscanner gebruik. Met een handjevol virussen en lage kans op besmetting en bovendien veelal malware die niet zelf zijn privileges kan verhogen (lees malware vraagt om het systeemwachtwoord) kan ik niet de overhead van een virusscanner rechtvaardigen.

Daarnaast komen veel besmettingen vanuit de browser, waarvan IE tegenwoordig nou niet bepaald dominant meer te noemen is. Toch dringen er naar mijn idee fors meer virussen binnen via IE en plugins voor IE dan voor FF en Chrome etc., IE komt uit hetzelfde vat als Windows.

Ook zegt het denk ik wel genoeg dat de grote financiele instanties kiezen voor Unix varianten, niet voor Windows. En een poos geleden was er een instantie overgestapt op Windows waarna binnen zeer korte tijd alles werd terug gedraait, kan het artikel niet vinden, iemand?

@SuperDre, gamingzeus heeft het over OpenBSD, niet over Linux en OSX, niet bepaald vergelijkbaar.

Nu is secureboot imho inderdaad een goed idee om veiligheidsredenen en inderdaad vooral als het besturingssysteem erop dan ook waterdicht is maar in de praktijk zal het denk ik weinig uithalen. In de implementatie zitten fouten en die gaan ze vinden. Bovendien krijgen we straks factory default secure boot machines, mogelijk zonder optie om dit uit te zetten (per fabrikant), waardoor we straks PC's moeten "jailbreaken" om er iets anders op te zetten dan MS Windows.

Al met al heeft het dan vooral voordelen voor Microsoft, qua licenties en als lapmiddel, de bron van het vrius is immers het OS, niet het kale moederbord. Als ze zoiets willen moeten ze dat misschien met hardware tokens o.i.d. gaan doen en dan optioneel, niet verplicht.
Ach - hij is er weer...

Ga nou eens rustig het model van alle UXIX en INIX gebaseerde OS-en vergelijken met MicroSoft OS-en. Wat zie je? *GEEN* duidelijke scheiding tussen schil 0 en schil 3 bij MS...
Ergo: onveilig!
Wat is dan nog het nut van secure boot? Het is al omzeild nog voor er een toepassing van op de markt is. |:(
Ruikt wat naar die kopieerbeveiligingen op audio-cd's begin jaren '00. Meestal vrij eenvoudig te omzeilen maar een "pesterij" voor de gewone gebruiker. Enkel mag je nu "pesterij" vervangen door "vals gevoel van veiligheid".

[Reactie gewijzigd door K_VL op 16 juli 2012 13:43]

Je moet fysiek toegang hebben tot het syteem. Al is je beveiliging nog zo goed zodra je fysieke toegang hebt ben je verloren.
Het omzeilen gebeurt op een andere manier, er kan immers niet rechtstreeks met de ondertekende systeembestanden worden geknoeid, dat moet eerst via een omweg met bijvoorbeeld een hypervisor. En dan is het nog maar de vraag of malware zichzelf via een normaal beveiligd systeem zo hoog in de bootsequence kan nestelen: er is immers geen fysieke toegang tot de machine. Medunkt dat indien het geval is je dan een veel groter beveiligingsprobleem hebt.

Ernstiger zou het zijn als je binnen afzienbare rekentijd (zeg een paar dagen) collisions kon genereren zodat de ondertekening niet meer te vertrouwen is.

Overigens een tendentieuze en feitelijk onjuiste eerste zin in het door Tweakers gelinkte artikel. Alleen tablets worden serieus aangepakt (maar wie gaat daar nu met verschillende OS'en pielen?), voor PCs liggen de mogelijkheden nog erg open. Dus hoe PCs in het algemeen op slot worden gezet voor Windows 8 is een grote vraag waar de auteur met iets te grote stappen-snel klaar op inhaakt.
Het klinkt mij in de oren alsof het een gelockte bootloader is maar dan voor PC's.

Wat nou als hetzelfde gezeik gaat komen met bootloaders voor smartphones maar dan op OEM PC's?
Men omzeilt hier 1 deel van secure boot. Men kan mogelijk vanuit het OS nog altijd nagaan of de veiligheidsketen doorbroken is en het opstartproces afbreken. De reden waarom MS begint in te zetten op Secure Boot is omdat Windows 7 werd gehacked door wijzigingen aan het bootproces van Windows die niet meer gedetecteerd konden worden eens het OS is opgestart.
Meestal vrij eenvoudig te omzeilen maar een "pesterij" voor de gewone gebruiker. Enkel mag je nu "pesterij" vervangen door "vals gevoel van veiligheid".
Pesterij voor de Open-Source-OS-gebruiker (ongeacht of dat dan OpenBSD, NetBSD, FreeBSD, Haiku, ReactOS, een Linux-distributie of een Opensolaris-afgeleide is) en een vals gevoel van veiligheid voor de onwetende gebruiker.
Beide dus, maar gunstig voor OEM's in het algemeen en vooral voor Microsoft in het bijzonder.
Ik dacht dat dit soort kunstgrepen helemaal niet nodig waren omdat je secure boot in een bios aan en uit kon zetten?
Ligt aan de fabrikant. Als een fabrikant besluit de optie uit z'n UEFI (want Secure Boot is een UEFI/EFI iets, BIOS wordt afgedankt) te slopen dan kun je nog vrij weinig doen he.

Ik denk dat de "conservatieve" OEM's de optie héél diep verbergen in hun UEFI of anders gewoon eruit slopen.
Ik denk dat de "conservatieve" OEM's de optie héél diep verbergen in hun UEFI of anders gewoon eruit slopen.
Het uitschakelbaar zijn is juist een EIS van Microsoft.
Computers die niet een handmatig uitschakelbaar secure boot mechanisme hebben komen niet in aanmerking voor Windows 8 certificering.
Uitschakelbaar zijn is heeel wat anders dan makkelijk vindbaar. Dat probeer ik aan te geven.
Toen bekend werd dat Windows 8 secure boot ging gebruiken, ontstond er onrust in de opensourcewereld over de mogelijkheid dat computerfabrikanten de secure boot-optie zouden gaan afdwingen. Microsoft gaf zelf echter aan dat dit niet verplicht is. Het is dus nog niet zeker in hoeverre de grote computerfabrikanten van plan zijn secure boot te implementeren en verschillende oem’s al hebben aangegeven dit niet af te zullen dwingen.
dat hangt er dus een beetje vanaf hoe de fabrikant ermee omgaat. Als er geen switch voor komt in de BIOS kun je helemaal niets aan/uitzetten. Dit "omzeilen" is enerzijds een Proof of concept denk ik, anderzijds meteen een signaal richting de fabrikanten. Ik verwacht zelf dat Secureboot geen denderend succes gaat worden op moederborden voor losse verkoop. Hoe OEMs als HP en Dell ermee omgaan is een ander verhaal.
klopt, maar het kan zijn dat er bios versies komen waar dit niet mogelijk is.
dan is het wel mooi dat je dit kan doen om alsnog linux te installeren
mja, maar voor Windows 8 tablets verplicht Microsoft het uitzetten van secure boot onmogelijk te maken wel. Zou je dan op de door jou gekochte hardware toch iets anders willen draaien als OS dan zou dat in principe dus niet kunnen (maar dat lijkt nu dus ook niet meer van toepassing :P)
Als je een windows 8 arm tablet hebt dan lijkt het me sterk dat je behoefte hebt aan keuze dus dan lijkt me dat niet zon probleem :p
En waarom zou je dan niet de behoefte kunnen krijgen om iets anders te draaien?
Ik snap dat de meeste het niet zullen doen, maar om het gelijk onmogelijk proberen te maken gaat mij wat ver!
Omdat als je die keuze wilt hebben je over het algemeen weinig interesse zal hebben in een windows 8 RT (arm) tablet (als eindgebruiker dan).
Jij en ik weten dat dat kan. De gemiddelde consument die een keer een CD van een linux distributie leent en in zijn PC propt wordt geconfronteerd met een vage foutmelding. Vervolgens is het de vraag of die gebruiker vervolgens handig genoeg is om:
1. de bios in te komen
2. de optie te vinden
Grote kans dat die gebruiker gaat roepen dat <linux distributie> kut is omdat het niet op zijn PC werkt.
Je zou toch verwachten dat de eerste bestand wat je tegen komt op zo'n toekomstige distributie is een README.TXT met uitleg over dit alles (met verwijzing naar een HTML/PDF bestand op de CD wat uitgedrukt kan worden om vervolgens stap-voor-stap de UEFI aan te kunnen passen)?

Misschien dat er zelfs een Windows/Linux/MacOS executable in de root komt te staan wat je systeem kan analyseren en een op maat gestelde checklist kan genereren...

[Reactie gewijzigd door MossMan op 16 juli 2012 15:06]

De gemiddelde consument wil geen uitleg. Die wil gewoon dat het werkt, zonder eerst een technische verhandeling te hoeven doornemen of ingewikkelde (voor hen dan) ingrepen te moeten uitvoeren. Als dat bij Windows wél kan, en bij Linux niet zal de *gemiddelde* consument daar zeker over klagen.
Maar iemand die Linux *zelf* wil installeren is al over die drempel heen... toch?

Het lijkt mij dat als je *zelf* een ISO downloadt en op CD/DVD/USB-stick/kaartje zet om vervolgens te proberen te booten... dan moet je èn genoeg kennis in huis hebben om van "dat nieuwe BIOS" te hebben gehoord èn je weet heus wel hoe je aan hulp kan komen (op de distro zelf en op internet).

Zelfs als je zo'n CD in je handen gedrukt krijgt moet je minstens een fractie tweaker zijn om een idee te hebben wat je ermee moet! Dan ga je ook niet gelijk opgeven bij de eerste drempel dat je tegenkom... toch?
Ik denk dat het wel meevalt, als secure boot inderdaad misbruikt gaat worden door OEM's en bepaalde softwareleveranciers dan vermoed ik dat de distro's voor de gemiddelde consument het hele proces wel automatisch omzeilen.
Daarnaast kun je wel verwachten dat veel van de grote distro's keys voor secure boot zullen gebruiken zodat het wat dat betreft hetzelfde zal werken als windows.
Dat kan kloppen, behalve met Windows approved ARM hardware.
Het is inderdaad een optie die de fabrikant van het moederbord al dan niet beschikbaar kan stellen aan de gebruiker. MAAR wat gaat Microsoft in de toekomst doen? Bij WinRT 8 is een niet uitschakelbare SB al verplicht, bij de gewone x86 versie niet. Maar wat weerhoud MS ervan om dit bij Win9 wel als een verplichting te stellen?
Maar wat weerhoud MS ervan om dit bij Win9 wel als een verplichting te stellen?
Ik vermoed meer anti-trust zaken, misschien niet in de VS maar zeker wel in de EU.
Nou, dat was dus de secure boot. :P

Er zal wel weer een soort van 'fix' komen hiervoor maar de vraag is uiteindelijk wat erger is; een systeem waarop je niets anders kunt installeren als OS tenzij je je allerhande truukjes moet uithalen of een systeem zonder secure boot optie.

Als secure boot gewoon gemakkelijk te omzeilen zal blijven in de toekomst wordt dit gewoon #30298347 van veilgheidsmaatregels die wel frustreren en niet of minimaal beveiligen.
Tsja, moeten we dan maar HTTPS ook maar afschaffen? En username/password beveiliging? JavaScript ook maar weer verbieden? Zet je WiFi beveiliging ook maar uit...

[Reactie gewijzigd door Dreamvoid op 16 juli 2012 14:28]

men heeft nu de mogelijkheid om onbeveiligde code te starten, maar dit zegt niets over het opstartproces van een ander OS. Het betekend nog niet dat je zomaar het booten van Windows kunt aanpassen zoals men bij 7 gedaan heeft.
Weer een half jaarsalaris naar de noppen in de ontwikkelstudios van Microsoft. Lijkt me niet leuk dat je voor een fabrikant werkt om beveiliging te maken en dan trots je toepassing indient om bijv. de nieuwe IOS te voorzien van een degelijk hekwerk, en dan... Erachter komen dat het allemaal niet zoveel uithaalt door de zoveelste jailbreak..
Alles wat door de mens gemaakt wordt, wordt gekraakt hoor :)

Secure boot is niet van W8, maar een onderdeel van de BIOS/UEFI. Als dat aanstaat, dan kan je geen andere OSen draaien dan degene die erop geinstalleerd staan blijkbaar
Neen, als het aanstaat dan kan je enkel code inladen die digitaal ondertekend is. Zowel je bootloader als je kernel moeten voorzien zijn van een geldige digitale handtekening alsook alle code die direct met die onderdelen communiceert. Dit om te voorkomen dat onder meer malware zich kan nestellen in het opstartproces zonder opgemerkt te worden.

Alternatieve besturingssystemen zijn perfect mogelijk zolang ook zij hun hele hebben en houden laten ondertekenen.
Neen, als het aanstaat dan kan je enkel code inladen die digitaal ondertekend is. Zowel je bootloader als je kernel moeten voorzien zijn van een geldige digitale handtekening alsook alle code die direct met die onderdelen communiceert. Dit om te voorkomen dat onder meer malware zich kan nestellen in het opstartproces zonder opgemerkt te worden.

Alternatieve besturingssystemen zijn perfect mogelijk zolang ook zij hun hele hebben en houden laten ondertekenen.
Dan nog valt alles wat door mensen gemaakt wordt ook gekraakt kan worden..
Zolang er mensen zijn worden er fouten gemaakt,
Wat wil je dan, moeten de kernel hackers dan ook maar stoppen met lekken in Linux te fixen?
De Linux community maakt ook van een mug een olifant met dit hele secure boot gebeuren.

Er is door microsoft gezegd dat Secure Boot op X86 hardware uit te zetten is in uefi dus hier is niks aan de hand. Alleen paniekvoetbal, want stel dat het grote boze microsoft zich bedenkt.

Alleen op ARM zal dit niet kunnen maar dit is op zich ook niet gek, ARM devices worden aan de man gebracht als complete consumer products. Ook nu al kan je niet zomaar het OS veranderen op je Windows Phone, Android of ipad.

Redhat heeft zelfs al beloofd om zijn fedora distributie te signen zodat deze met secure boot overweg kan.
Inderdaad, het maakt niks uit want voor X86 veranderd er niks en x86 is de enige CPU architectuur ooit en zal er over 1290238409238490 jaar nog zijn. Het is geen mug, het is daadwerkelijk de grote monopolistische olifant.
en x86 is de enige CPU architectuur ooit en zal er over 1290238409238490 jaar nog zijn.
Laten we het hopen. Want hoewel ik het een goede ontwikkeling vind dat er nieuwe CPU's komen vind ik het niet echt handig dat ze niet compatible zijn met elkaar.
Ik heb er een pest hekel aan dat die x86 meuk backwards-compatible is. Hierdoor blijf ik met binaries uit het jaar kruik werken omdat ontwikkelaars ze weigeren te compileren voor mijn 21e eeuwse CPU.
??????
En wat als MS over 3 jaar beslist om SB verplicht te stellen bij de volgende Windows? Is het dan nog altijd een mug?

En ja, het is mooi dat RH zijn Fedora zal ondertekenen, maar dat betekend ook direct dat je niet langer je eigen kernel zal kunnen compileren. De enige manier om nog met een eigen kernel aan de slag te gaan is zelf $99 neer te leggen voor de digitale handtekening.
Het probleem is de gebruiksvriendelijkheid... voorbeeld: Veel noobs stappen over naar Ubuntu, vanaf Windows. Omdat t makkelijk is in redelijk gebruik, NoobOS. Als ze nu opeens in de uefi instellingen moeten gaan kutten, waar ze niets van snappen, wat denk je dan dat ze doen? ;) Het kost gewoon marktaandeel. Secure boot moet standaard gewoon UIT. Niet aan...
"Omzeilen" "Boot" hahahaha ik snap hem! 8)7
Heb het artikel op ZDnet waarnaar gelinked word doorgenomen en stel vast dat men daar helemaal niet spreekt over het omzeilen van de beveiliging. Wel dat het op dit moment bijna onmogelijk is om hardware te vinden waarop Secure Boot geinstalleerd word.

Het tianocore project komt van Intel en maakt het mogelijk om heel het bootprocess te virtualiseren en ondersteund nu dus ook secure boot. Dit maakt het mogelijk om met deze functionaliteit te spelen. Deze software komt ook met de nodige cryptografische sleutels om je eigen code te tekenen, en dat is dan ook wat Bottomley gedaan heeft.
Still, Bottomley has been able to “lock down the secure boot virtual platform with my own PK [Platform Key] and KEK [Key Exchange Key] and verified that I can generate signed efi binaries that will run on it (and that it will refuse to run unsigned efi binaries). Finally I've demonstrated that I can sign elilo.efi (this has to be built specially because of the bug in gnu-efi) and have it boot an unsigned linux kernel when the platform is in secure mode (I've booted up to an initrd root prompt).”

In other words, he's been able to create his own secured binaries that will boot and work on a UEFI Linux secured system. It's a big step to making it easier for developers to make use of UEFI security with their own keys, ala what Canonical is doing with Ubuntu.

Is that an ideal path? Maybe, maybe not, but it is a practical one.
Niks omzeilen (helaas).

Hij heeft een eigen key kunnen installeren. En daarmee zijn eigen kernel kunnen booten.

Artikel slaat de plank volkomen mis.
Het gaat erom dat je niet vastzit aan het OS dat op je apparaat voorgeinstalleerd is.
Dat is nooit het issue geweest met SB
Tuurlijk wel, want je moet root zijn om SB uit te zetten, en je moet SB uitzetten om root te worden...
De vraag die nu bij mij vooral opkomt, hoe secure is secure boot eigenlijk nog...

Op dit item kan niet meer gereageerd worden.



Populair: Vliegtuig Luchtvaart Crash Smartphones Laptops Apple Games Politiek en recht Besturingssystemen Rusland

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013