Google werkt aan vervanger voor uefi en inperking Intel ME

Google ontwikkelt non-extensible reduced firmware op basis van een compacte Linux-kernel als vervanger voor uefi om de beveiliging van systemen te verbeteren. Het bedrijf wil tegelijk de functionaliteit van Intels Management Engine inperken.

Googles doel met non-extensible reduced firmware, of nerf, is om misbruik van firmware tegen te gaan, de werking van de code transparanter te maken en de Intel Management Engine uit te kleden, zodat de techniek geen risico meer oplevert. Het alternatief voor uefi bestaat uit een compacte Linux-kernel als bootmanager en in Googles Go geschreven initramfs als userland, om het rootbestandssysteem te mounten. Het bedrijf kleedt de uefi-rom daarnaast uit tot de basale onderdelen.

Het probleem is volgens Google dat Linux het x86-platform niet beheert, maar dat er kernels tussen Linux en de hardware zitten, waarmee code draait waarop geen zicht is. Volgens Google is de uefi-kernel complex en is de beveiliging gebaseerd op obscurity. Daarnaast verwijst het bedrijf naar de System Management Mode, of SMM, die oorspronkelijk bedoeld was voor energiebeheer, maar inmiddels voor meer gebruikt wordt en kwetsbaar voor aanvallen is. Met nerf schakelt Google SMM uit.

Ten slotte wijst Google op de risico's van de Intel Management Engine. Dit is een onderdeel van Intel-processors dat los van de cpu kan opereren en te gebruiken is voor onder andere beheer op afstand, ook als een systeem uitstaat, met alle beveiligingsrisico's van dien. De techniek is in principe niet uit te schakelen, maar onlangs realiseerden onderzoekers een doorbraak, waardoor delen uit te schakelen zijn. Google maakt van deze mogelijkheden gebruik om componenten van de Intel ME uit te schakelen.

Volgens Google leidt nerf niet alleen tot een veiligere startomgeving, maar starten systemen ook sneller. Niet bekend is of het bedrijf plannen heeft om nerf daadwerkelijk toe te gaan passen bij systemen die ChromeOS draaien. Het bedrijf presenteerde nerf tijdens de Open Source Summit van de Linux Foundation, in een presentatie met de naam Replace Your Exploit-Ridden Firmware with Linux.

Reacties (141)

D0gtag 31 oktober 2017 12:12

Google heeft al genoeg macht, laten we een balans houden tussen verschillende bedrijven ipv alles naar een enkel bedrijf met als slogan: "Don't be evil"

MsG @D0gtag • 31 oktober 2017 12:20

Dit is gewoon een open project die ook gewoon door een ieder te controleren is. Heel goed dat Google hier aandacht aan besteed. Ik snap niet waar die hardnekkige kleindenkerigheid hier altijd vandaan komt. Omdat bedrijf X een bepaalde tak heeft wordt elke innovatie meteen gekoppeld aan dat ding. Of denk je dat ze ook aan zelfrijdende auto's doen om de mensheid te kunnen opsluiten in de auto, stil te zetten en op de voorruit de hele dag advertenties te laten zien? Mensen, denk toch eens wat groter.

[Reactie gewijzigd door MsG op 25 juli 2024 23:58]

Loller1

Besturingssystemen

@MsG • 31 oktober 2017 13:23

Ik denk dat het vooral uit het feit komt dat veel Tweakers realiseren dat het nogal erg hypocriet is. Je zegt het zelf: dit is een open project die ook gewoon door een ieder te controleren is. Maar dat is EFI ook. En in tegenstelling tot NERF wordt UEFI ontwikkeld door meerdere bedrijven die elkaar ook in check houden. En als UEFI echt zo onveilig is als Google claimt, waarom doen ze dan daar niks aan? Waarom zijn zij, van alle bedrijven die iets met UEFI te maken hebben, de enige die daar over praten? Waarom gaan ze niet in op dat probleem met meer details dan "it is security by obscurity"?

Je punt dat het belachelijk is om zomaar een innovatie af te schrijven als gekoppelt aan een andere tak binnen een bedrijf is inderdaad onzin. Maar hier zit het probleem: is het "zomaar"? Nee. Je argument zou geldig zijn als we het over een bedrijf hadden dat niet 90% van zijn inkomsten genereert uit advertenties, maar dat is bij Google niet het geval. Kunnen we daarom alles wat Google doet direct aan advertenties linken? Ook niet. Maar het is wel een perspectief dat zeker (als eerste) bekeken moet worden.

Sandor_Clegane @Loller1 • 31 oktober 2017 14:53

Mwoah, toen ik voor het eerst een presentatie zag van Intel over de ME vroeg ik ze nog of het wel zo verstandig was om een OS onder het OS te hebben. Aangezien dit OS het andere OS kan voorliegen zonder dat deze dat doorheeft. Glazige oogjes was het resultaat.

UEFI is denk ik vooral niet sexy in technische termen, misschien dat het daarom niemand echt heeft kunnen boeien? Nu die vPro een mooie aanvalsvector is geworden en Google zijn infra op Intel CPUs heeft lopen is het voor hun wel interessant omdat zij hun competitive advantage halen uit de data die zij op deze servers hebben staan en ze deze dus van A to Z willen doorgronden. Defense in depth zeg maar.

Google is niet mijn vriend en vertrouwen doe ik ze al helemaal niet, maar dit kan ik wel snappen. Waarom moet een bios zo complex? Gewoon alles op readonly ( hardware switch oid ) en klaar.

Durandal @Sandor_Clegane • 31 oktober 2017 18:44

Ik kan me nog herinneren dat er hardware switches (of jumpers) op het moederboard zaten om bios updates toe te staan. Nooit een goed idee gevonden om met dat gebruik te stoppen.

D0gtag @MsG • 31 oktober 2017 12:36

Het gaat om geld, en geld laat het slechte in de mens zien.
Ik denk groter, te veel macht naar een enkel bedrijf is nooit goed, leuk open project maar the road to hell is paved with good intentions. Je vertrouwen naar google toe is veelte voorbarig.
Google laat gewoon zien dat het censorship toepast en erger nog, ze proberen je politieke oriëntatie te beïnvloeden (good intentions).

MsG @D0gtag • 31 oktober 2017 12:41

Maar aan al dat zijlijn geroep hebben we weinig. Men zit klagend toch aan het infuus aan de grote bedrijven, en blijkbaar voelt men massaal ook niet de wil om ideologische concurrenten te lanceren. Een oneliner maakt niet dat het project niet ineens meer gecontroleerd kan worden, en eventueel wel of niet gebruikt kan worden door open source-producten. Ze zullen het in ieder geval vermoedelijk in hun eigen producten gebruiken en stellen het ook nog eens open beschikbaar.

Het mooie van open software-ontwikkeling is dat je het vertrouwen ook helemaal niet bij 1 partij legt, iedereen kan meebouwen. En daar stokt het vaak, men wil niet dat 1 partij zijn resources hier aan uitgeeft, maar staat zelf ook niet op om zijn of haar aandeel te geven, danwel in tijd of geld. Veel open software-ontwikkeling teert dan uiteindelijk ook alsnog op de commitment van een van de grote IT-bedrijven.

D0gtag @MsG • 31 oktober 2017 12:58

Dus nu is het zijlijn geroep? Je zegt: "denk groter" maar dan kom je met zo'n beperkte opmerking..
Vooral die laatste alinea, kijk even hoe android ontstaan is en wat het nu is zonder toestemming van google (geen playstore of updates). Android (met toestemming van google) komt met: alles van google, Chrome, google calander, Gmail, Google Assistant etc, allemaal gebruiken ze google search (dit zijn de inkomsten van google, samen met data mining--> betere zoek resultaten) Open Handset Alliance heeft een enkel doel:

In de praktijk probeert men het besturingssysteem Android naar voren te schuiven.

Geld geld geld, voor alle partijen, kijk is naar de leden: Data providers (verhoging verkoop databundels: zie toename data gebruik 3/4g laatste jaren): Verkoop organisaties (Wat amazon nu doet alexa, zit toevallig niet in de OHA, meer data voor hun vakgebieden): hardware boeren: (Sales handsets natuurlijk).

Dat mensen aan het infuus zitten, is juist het probleem, dus laten we nog meer dingen van google aannemen zodat ze binnenkort de absolute macht hebben? Ik snap jou redenering niet, welke oplossing draag jij dan aan? Jij geeft terecht aan wat opensoftware betekent, alleen google geeft in de praktijk aan dit volledig om te gooien als het eenmaal die macht heeft.

[Reactie gewijzigd door D0gtag op 25 juli 2024 23:58]

MsG @D0gtag • 31 oktober 2017 13:04

Je Android is een heel mooi voorbeeld. Het project AOSP is nog steeds zo open als dag 1. Uiteraard heeft Google binnen dat project zijn eigen business model en ontwikkeld het zijn of haar eigen APPS en ecosystemen. Het staat de mensen binnen AOSP dit ook te doen op een open source-basis, maar nee hoor, na 10 jaar is er nog steeds geen grote goedwerkende collectieve open app-store opgebouwd uit alle collectieve klagers die bang zijn voor Google.

Blijkbaar zit er een grote discrepantie tussen wat men roept en wat men doet. Als alle klagers het daadwerkelijk zo'n issue vonden was er allang iets opgetuigd. Maar men verwacht dat Google ál het werk in haar eentje levert, en alles ook nog eens álles openstelt. Het stelt de kale basis zelfs al beschikbaar. Dat is bij IOS en Windows Phone (RIP) zelfs niet eens het geval.

Tuurlijk wil men geld verdienen bij Google, je lijkt dat als iets engs neer te zetten, maar lijkt me volstrekt logisch. De consument wil juist alles gratis, dat is net zo goed, geld geld geld. En als App-bouwer ga je je Android App ook niet op een of ander exotisch platform zetten als Google daar als enige een goed systeem voor heeft gemaakt. Het probleem is vaak dat er zo'n antikapitalistisch sentiment zit in Open Source-communities, in plaats van dat er gewoon een redelijkheid heerst dat bij Google en elk ander bedrijf er ook gewoon meer geld binnen moet komen dan er uitvliegt. Zolang dat altijd als iets slechts wordt benaderd zal er nooit een financieel-duurzaam alternatief ontstaan. De grootste Open Source-projecten zijn momenteel dingen die als grote kostenpost overeind worden gehouden door ofwel grote IT-bedrijven, ofwel filantropen.

[Reactie gewijzigd door MsG op 25 juli 2024 23:58]

kozue

Besturingssystemen

@MsG • 31 oktober 2017 14:24

Je opmerkingen zijn zo kortzichtig dat ik niet zeker weet of ik er wel op wil reageren, maar even in het kort dan: er zijn geen grote alternatieve appstores voor Android omdat je dan alle app-developers mee moet krijgen om hun app in jouw store te zetten. En dat gaat toch nooit gebeuren. Mischien dat je een paar procent mee krijgt, maar nooit het gros. Dat heeft niet te maken onwil of onkunde van de community om alternatieven te bouwen, of met geld, maar volledig met hoe appstores werken en de centralisatie van apps.
Om dezelfde reden zal er ook *nooit* een alternatieve appstore komen voor alle andere platformen met appstores (iOS, Windows, Playstation, Xbox). Zo'n store blijft altijd de taak van degene die in het begin direct de grootste is geworden. En dat is over het algemeen altijd de beheerder van het platform. Of dat nou komt doordat andere buitengesloten worden (iOS, game consoles), of omdat het nou eenmaal tijd kost en je daarna al te laat bent omdat de eerste implementatie de de facto is geworden (Android, Windows).

Terr-E

@kozue • 1 november 2017 10:54

Ik ben het hier niet helemaal mee eens, met name het volgende stukje:

Dat heeft niet te maken onwil of onkunde van de community om alternatieven te bouwen, of met geld…

Want het tegendeel is waar; dit is LOUTER vanwege geld. Het sleutelwoord is rendabiliteit. Er zijn op dit moment meerdere alternatieve app stores voor Android. De reden waarom andere app stores niet zo groot zijn als de Play store, geef je zelf al aan;

…omdat je dan alle app-developers mee moet krijgen om hun app in jouw store te zetten. En dat gaat toch nooit gebeuren.

Maar waaom dan niet ? Simpel; Geld. Het is voor de meeste developers gewoon niet rendabel om de tijd er in te steken om hun app(s) op meerdere stores te onderhouden. De extra inkomsten die er te behalen valt met het uitbrengen van hun apps op alternatieve stores wegen niet of nauwelijks op tegen de de extra manuren die erin gestoken moeten worden om alles op meerdere stores te onderhouden. Dus geld.

Overigens een voorbeeld wat (bij uitzondering) wel goed lijkt te werken; app stores voor games. Steam is duidelijk marktleider, maar bijvoorbeeld Origin, GOG en Humble hebben voldoende klandizie. Origin is misschien niet het beste voorbeeld, maar denk je eens in wat EA zou kunnen bereiken als ze ook 3rd party games zouden verkopen. GOG en Humble zouden ondanks hun huidige bestaansrecht nog beter kunnen concurreren met Steam als ze meer AAA-titels zouden hebben. En ook hier is de motivatie weer geld. Want als Steam consequent duurder zou zijn dan GOG / Humble, dan zouden veel mensen toch wel voor de goedkoopste optie kiezen, zeker als het weinig moeite kost.

Edit: Ik weet dat het een kip-ei probleem is; als er wel meerdere grote gevestigde stores zouden zijn, zou het ook eerder rendabel zijn voor developers om iets op meerdere stores te onderhouden.

[Reactie gewijzigd door Terr-E op 25 juli 2024 23:58]

D0gtag @MsG • 31 oktober 2017 14:17

Niet? firefox OS b.v. maar dat slaat niet aan omdat google gewoon beter voor elkaar heeft, betere integratie en diensten, want kennelijk is open leuk tenzij het minder goed werkt (want bij deze open software zijn geen bedrijven gemoeid met grote belangen). ASOP zonder google licenties is gewoon onbruikbaar, je moet alles sideloaden, wat voor veel zaken gewoon niet kan, want je krijgt ook geen automatische updates, maar je hebt gelijk het is wel al jaren open.
Dit terzijde maar het is dus gewoon goed als een bedrijf alle macht neemt (de kern van de vraag).
Toen Ms beboet werd voor IE bundel in windows was iedereen het laaiend eens, 'dat bedrijf krijgt te veel macht'.

Google heeft al genoeg macht, laten we een balans houden tussen verschillende bedrijven ipv alles naar een enkel bedrijf met als slogan: "Don't be evil"

Chrotenise @MsG • 31 oktober 2017 13:15

De evenknie even waar; jouw reactie dat wij hier van de zijlijn zitten af te geven is evenmin van invloed op wat Google en wij doen, dus waarom doe je het?

En over je opmerking; Ik selecteer vrijwel geen producten van grote bedrijven. En er zullen er meer als mij zijn.

Als ik kaas haal, ga ik naar de kaasboer op de hoek. Ik koop heel veel bestek en andere snusterijen voor m'n huis via Kickstarter. Googlen doe ik via DuckDuckGo. Kabels ga ik voor naar de kabelboer op de hoek. Etc. Het moet wel een redelijk alternatief zijn qua prijs/kwaliteit - maar als het er is maak ik er graag gebruik van.

deadlock2k @D0gtag • 31 oktober 2017 14:30

Dat argument gaat gewoon niet op als het gaat om iets waar de specificaties volledig van open zijn zodat echt iedereen aan de hand van de blauwdrukken verder kan werken. Ik wil nog wel verder gaan en stellen dat UEFI hier het grote boze beest en nogal problematisch is. Blij dat er een initiatief is zoals dit.

Wat je post over censuur enzo is heel vervelend voor de mensen die geraakt worden (alhoewel ik me afvraag of het wel censuur is in het geval van YouTube, je kan ook gewoon besluiten om geen platform te geven aan rechtsradicale idioten, niets mis mee) maar heeft totaal niets te maken met dit project.

vSchooten @deadlock2k • 31 oktober 2017 15:23

Waarom zijn ze niet ingestapt op de UEFI project? die is immers ook open, waarom gaan ze een eigen standaard creëren wanneer er al zoveel standaarden zijn. Dit zal alleen maar nog meer problemen/verwarring veroorzaken...

deadlock2k @vSchooten • 31 oktober 2017 16:02

Het is een de facto standaard omdat er geen alternatief is (want BIOS is gewoon echt geen alternatief meer). Misschien, ik heb de bron niet gelezen, maar misschien zijn er wel bepaalde ontwerpkeuzes gemaakt die zo basaal zijn dat ze zich er niet mee kunnen vinden bijvoorbeeld?

Voor wie zal het problemen en verwarring veroorzaken? De gemiddelde eindgebruiker? Die merkt er niets van. Misschien voor wat netwerkbeheerders die het in hun netwerk moeten gaan opnemen ofzo

vSchooten @deadlock2k • 1 november 2017 09:11

niet alleen netwerk beheerders hebben last van verschillende moederbord systemen, ook developers, hardware fabrikanten en toch wel een redelijke groep aan gebruikers. Want op het moment dat deze NERF op android telefoons staat zullen alle distributies zich moeten gaan aanpassen, en als google de OS locked kunnen ze ook geen eigen distributie van android meer uitbrengen. Ook wanneer ze de OS niet locken zal het voor de gebruikers die graag hun eigen distributie op hun telefoons draaien anders worden en op de fora nog complexer. Dan moeten ze rekening gaan houden met meerdere opties in hoe ze hun telefoons moeten gaan rooten.

deadlock2k @vSchooten • 1 november 2017 19:42

Ik denk dat je het niet begrijpt. UEFI is gesloten en nogal gammel. nerf maakt het voor developers juist makkelijker, niet moeilijker. Het is gewoon Linux dus alle drivers zijn er al en hoeven dus niet meer ontwikkeld te worden. Wat bedoel je met locken van het OS? Dat je een device hebt waar je geen ander image op kan zetten? Ook dat wordt hier veel makkelijker mee, even je nerf aanpassen, andere initramfs en gaan.

Ondertussen heb ik de bron wel gelezen en ik ben het volledig met ze eens. EFI en UEFI zijn slechte ideeën, het niet kunnen uitschakelen van IME is absurd in de huidige situatie.

vSchooten @deadlock2k • 2 november 2017 09:15

Volgens mij kun je de initramfs juist niet aanpassen omdat het idee is om dat stuk waar NERF op staat juist read only te maken, dit is dan voor security reasons zodat malware dat niet kan aanpassen...

dehardstyler @D0gtag • 31 oktober 2017 12:59

Dat kan je hier natuurlijk wel reageren, maar hoe denk jij over Intel ME dan? Als ik dan mag kiezen: zo snel mogelijk die NSA backdoor eruit. Ik kan het uiteraard niet bewijzen, maar als iets zo diep in een systeem zit, met zo gigantisch veel default rechten, waar 99% van de mensen totaal niks aan heeft, dan stinkt dat in mijn ogen gigantisch! En waarom mag ik dit niet uitzetten naar eigen wens dan? Hoe klinkt dat in jou oren? Nee, geef mij Google dan maar!

D0gtag @dehardstyler • 31 oktober 2017 13:16

Ik reageer niet op intel ME ik reageer op google's poging om weer een ecosysteem binnen te dringen.
Intel is kennelijk wel evil maar google niet, google maakt opensoftware, maar als jij inlogt in je google systeem weet jij wie er allemaal mee kijkt met goedkeuring van google? Het gaat mij niet om of het nu inderdaad een veiliger alternatief is (wat het mogelijk ook is) maar wat er op termijn gebeurd als iedereen is overgestapt op google's alternatief.
Als google nou een samenwerkings verband had met windows en apple was het een ander verhaal, maar wat is precies de motivatie van google om dit te ontwikkelen? (buiten de gegeven reden: is om misbruik van firmware tegen te gaan, de werking van de code transparanter te maken) Want alles heeft een reden bij een beursgenoteerd bedrijf. (geld)

dehardstyler @D0gtag • 31 oktober 2017 13:30

Wie gaat het anders doen dan? Zelfs Europese overheden zien geen problemen in deze backdoor. ( Ik zal eerlijk gezegd niet weten waarvoor het anders thuis gebruikt kan worden )
Dan kan ik het alleen maar aanmoedigen. Als Google het KWF steunt, zeg je toch ook niet "dat ze het alleen voor geld doen"? Niet zo doom denken joh!

Het is een groot bedrijf, met best veel monopolies, maar dat betekent niet dat alles slecht is.
En zonder bewijs, ben ik er alsnog 101% van overtuigd dat Intel ME een backdoor is!

+1 voor Google!

D0gtag @dehardstyler • 31 oktober 2017 13:48

Maar nu ga je er blind van uit dat google's alternatief sowieso beter is op termijn, ik vraag alleen om minder macht aan een bedrijf te geven.
Ik denk (liever doom dan niet

) ook niet dat google slecht of goed is.
Google is een beurs genoteerd bedrijf dat ook 'gewoon' aan belasting ontduiking doet (gevestigd in de VS, betaald geen 35% maar 19% door Ierse constructie), het is een gewoon bedrijf wat de NSA net als intel (stel dat het zo is) ook gewoon toegang geeft tot zijn systemen, niet omdat beide bedrijven dat zo graag willen doen maar omdat ze gewoon financieel incentive krijgen, waarom zou google dan anders moeten zijn dan intel?

dehardstyler @D0gtag • 31 oktober 2017 13:55

Omdat ik voor Google voldoende alternatieven heb. Intel en AMD hebben beide deze backdoor-achtige zooi in hun CPU's. Daar is het "alternatief" geen computer gebruiken. Google kan ik uitzetten als ik wil. Intel ME en AMD PSP beide niet. Als het nu nog niet duidelijk is, weet ik het ook niet meer.

vSchooten @dehardstyler • 31 oktober 2017 15:19

op het moment dat je een android telefoon hebt kun je google niet zo snel "uit zetten". Daarvoor moet je je telefoon rooten en een andere distributie erop zetten. Via NERF kun je dat dus ook niet meer doen.

dehardstyler @vSchooten • 31 oktober 2017 15:30

Maar er liggen dus mogelijkheden. Intel ME en AMD PSP kunnen niet uit!!! Behalve als een bedrijf zoals Google of laatst die gasten van Purism er echt een lange tijd mee aan de slag gaan en zelfs dan is het in sommige gevallen nog niet helemaal uit volgens mij. Dat is wel iets anders.

vSchooten @dehardstyler • 31 oktober 2017 15:33

Maar waarom schuiven ze dan niet aan bij het UEFI project? daarin zouden ze dat net zo goed kunnen doen, daarmee beïnvloeden ze ook direct 90% van de markt.

dehardstyler @vSchooten • 31 oktober 2017 15:42

Ehm... http://www.uefi.org/members

CONTRIBUTORS

Google

Maarja, als je ook van Intel ME af wil ( wat eigenlijk iedereen zou moeten willen! ) wordt het toch lastig in de UEFI group, want:

PROMOTERS

AMD
IBM
American Megatrends, Inc.
Insyde Software
Apple Inc.
Intel
ARM Limited
Lenovo
Dell
Microsoft
Hewlett Packard Enterprise
Phoenix Technologies
HP, Inc.

Dus ik snap wel dat Google daar geen zin in heeft en gewoon voor zichzelf aan de gang gaat. Ze hebben er zelf ook belang bij dat servers veilig draaien en niet gelijk gebackdoored binnen komen in een datacenter!

vSchooten @dehardstyler • 31 oktober 2017 15:47

Dan vraag ik mij af waarom google als enigste in het lijstje hierover klaagt... MS, Apple, IBM, HP, Lenovo, Dell en AM zouden hier ook baat bij hebben, ze hebben immers ook backdoors door Intel's ME...
Dit is nog een standaard om rekening mee te houden als (Hardware)developer.

dehardstyler @vSchooten • 31 oktober 2017 15:58

Dit moet ik gaan gokken: Stuk voor stuk hardwareleverancier, die waarschijnlijk speciale afspraken hebben met Intel. Die willen Intel natuurlijk niet tegen de borst stoten, want ze hebben de CPU's nodig in laptops die ze verkopen. Google valt daar samen met AMI buiten. AMI boeit het waarschijnlijk niks ofzo en Google nu dus wel met hun datacenters vol met Intel processoren. En die trekken dus nu aan de bel, want het kan hun niks schelen om Intel tegen de borst te stoten, die hebben namelijk niks met hun te maken!

Maar nogmaals: Ik ben nu aan het speculeren!

MsG @D0gtag • 31 oktober 2017 13:21

En wat als Google de internetveiligheid wil verbeteren, dat is toch net zo goed in haar eigen belang, alswel dat van de samenleving? Het hoeft elkaar niet op elk vlak te bijten. Zo zitten ze ook dicht op de ontwikkeling en acceptatie van webversleuteling. Predikanten als 'evil' zijn redelijk ook niet-ladingdekkend en kinderlijk mijnsinziens, ook Intel is niet evil, bedrijven hebben gewoonweg niet altijd hetzelfde belang als hun afnemers (de consumenten), evengoed hebben afnemers niet altijd hetzelfde belang als hun leveranciers (de grote IT-bedrijven).

D0gtag @MsG • 31 oktober 2017 13:36

Waar lees jij dat? het punt is dat jij allerlei aannames voor waarheid aanneemt.
Lees jij dat ik tegen internetveiligheid ben?
Lees jij dat ik tegen open ben?
Het punt is dat je niet blind een bedrijf moet vertrouwen, lees is een keer de tekst. Ik heb het predicaat evil nooit gegeven. Ik herhaalde hun eigen slogan, welke in de praktijk anders uitvalt want: het is een beursgenoteerd bedrijf. Een bedrijf evil noemen is inderdaad niet-ladingdekkend en kinderlijk, een bedrijf als goed (heilig) verklaren is exact het zelfde, maar toch hebben mensen meer vertrouwen in google dan in intel, want dat is de makkelijke mening.

bedrijven hebben gewoonweg niet altijd hetzelfde belang als hun afnemers (de consumenten), evengoed hebben afnemers niet altijd hetzelfde belang als hun leveranciers (de grote IT-bedrijven).

Mijn vraag was welke je zelf ook geeft, wat is google belang in dit project, dat is (als met elk bedrijf) nooit puur in het belang van de consument. Internet veiligheid en systeem veiligheid is ook in het belang van intel, maar dat vergeten wij even voor het gemak.

MsG @D0gtag • 31 oktober 2017 13:44

En beursgenoteerd is slecht? En het blind vertrouwen, waar je steevast op hamert slaat in deze context echt als een tang op een varken, want het gaat in dit project om geheel open code. Je ventileert wat dat betreft je kritiek precies bij het verkeerde artikel. Juist die openheid bij nieuwe standaarden vaak, om zodoende iets daadwerkelijk op gang te krijgen waardoor ik bij Google, en zie je ook bij diverse andere vooruitstrevende beursgenoteerde IT-bedrijven. Het blinde vertrouwen passen we juist toe bij Intel, waar nu al diverse keren ongedocumenteerde ingangen in de architectuur boven water komen.

N8w8 @kozue • 31 oktober 2017 16:20

Er bestaat al sinds het vorige millennium een open source BIOS vervanging, namelijk Coreboot (voorheen LinuxBIOS). Helaas werkt dat niet op elke machine, vooral Chromebooks (zit het standaard op) en Thinkpads (zelf erop zetten), en ik geloof ook sommige AMD servers.
Maar goed, daar kan je evt rekening mee houden bij het computershoppen.
En hoezo kannibaliseert Google op Linux; zij zijn gewoon deel van de Linux gemeenschap, gebruiken het in overeenstemming met de GPL, en dragen ook flink wat bij, zie bijv hier. Wil je geen software gebruiken geschreven door bedrijven, dan moet je absoluut niet bij Linux wezen.

dehardstyler @kozue • 31 oktober 2017 15:04

Ik gebruik dan ook geen ChromeOS.

Maar het is open-source, dus dan liggen er mogelijkheden om dit ook ergens anders heen te pushen.

Ik kan dit in ieder geval niet "een pot nat" noemen. Google geeft je gratis producten en je gaat akkoord met voorwaarden betreft je data. Volgens mij weet iedereen dat nou wel. Je hoeft het niet te gebruiken!
Bij Intel en AMD heeft dit hele circus iets zeer schimmigs, het wordt voor mijn gevoel ook zeer bewust onder de pet gehouden. Waarom hoor ik geen alarmbellen betreft deze niet uitzetbare backdoorachtige zooi in de EU? Het dient alleen in zeer specifieke gevallen ( 0,1% ) een doel en het is NIET uit te zetten. Ook kan je er niet omheen als je een computer wil gebruiken, is dat "een pot nat"?

drevil66635 @D0gtag • 31 oktober 2017 12:44

Doe mij nog steeds maar een door google gebouwde open source uefi vervanger dan een closed source uefi die alleen door overheden in te zien is.
Gewoon dingen afbranden omdat ze vanuit google ontwikkeld zijn is nogal kortzichtig.

Mizgala28 @drevil66635 • 31 oktober 2017 13:20

Ik snap je punt maar voor hetzelfde geld zullen overheden dit ook kunnen bij google hun alternatief.

Ook als Google anders beweert.

janbaarda @D0gtag • 31 oktober 2017 13:22

Hoezo "in kampen denken"? Het gaat hier niet om Google versus Intel ...

Als je toch over kampen wil praten dan is het "open source" tegenover "gesloten" code. Persoonlijk prefereer ik open source code.

janbaarda @D0gtag • 31 oktober 2017 15:53

Helemaal mee eens: te veel (bijna alle) macht bij één partij is een slechte zaak. Misbruik ligt op de loer. Daarom gaat mijn voorkeur altijd uit naar open broncode die vrij gebruikt kan worden (b.v. onder GPL2). Vooral als dit essentiële delen betreft die niet te vermijden zijn.

tweaknico @MsG • 31 oktober 2017 12:56

Nee maar als je zelfrijdende auto's hebt, kan er ten minste 1 persoon in d e auto wel bestookt worden met "info"... dat is gem. 2 uur per dag meer dan nu. Dus op de grote schaal kan dat best mee spelen, maar de kosten gaan voor de baten.

madhapee @MsG • 31 oktober 2017 17:43

Google heeft met search, android services en de play store wel degelijk monopolies in handen.

https://www.reddit.com/r/...with_its_monopoly_on_the/

https://www.ft.com/conten...3a-11e6-9b51-0fb5e65703ce

http://fairsearch.org/it-...-of-its-android-monopoly/

De USA begint geen monopoly rechtzaak want het brengt veel geld binnen en de rest van de wereld is niet machtig genoeg om het tegen te gaan.

Als adverteerder moet je wel via Google. Dus de 0.001% aan adverteerders in de wereld baalt enorm van Google maar de 99.999% in de democratie heeft het voor het zeggen. Vrolijke kleurtjes en "don't be evil", goed gedaan Google!

Door het "gratis" aanbieden en koppelverkoop wil niemand met ze concurreren.

Ik heb eerder al eens voorgestelt dit op te lossen door de search koppelverkoop af te schaffen:
- betaal 0.001 cent voor elke google search
- google betaalt mij 0.001 cent voor mijn search informatie op te slaan in hun database

als een ander bedrijf (yahoo of duckduckgo) mij 0.0011 cent betaalt voor de zoekopdracht search informatie, dan kan ik bij google zoeken, maar de search wordt geregistreerd bij een andere partij. Dit kan ook vice versa.

Frerk @madhapee • 1 november 2017 08:02

De USA begint geen monopoly rechtzaak want het brengt veel geld binnen en de rest van de wereld is niet machtig genoeg om het tegen te gaan.

nieuws: Europese Commissie legt Google recordboete van 2,4 miljard euro op
nieuws: EC start zaak tegen Google om machtsmisbruik op markt voor zoekadvert...
nieuws: EU beschuldigt Google van misbruik machtspositie met prijsvergelijken...
Enzovoorts.

De Europese commissie is anders al jaren bezig om iets tegen de machtspositie van Google te doen, ook de punten die jij nu noemt. Ook in de VS zijn ISPs hard bezig om macht bij Google weg te halen en bij zichzelf neer te leggen (zie ook dat voorstel dat een paar keer per jaar opduikt waarbij ISPs abonnementen voor stukjes internet zoals bepaalde diensten of websites mogen verkopen).

madhapee @Frerk • 1 november 2017 21:20

een paar miljard boete doet niets tegen google. het monopolie is een triljoen waard.

zolang ze koppelverkoop kunnen volhouden kunnen ze blijven door groeien.

Verwijderd @D0gtag • 31 oktober 2017 12:18

Als je nu eens zelf een bedrijf opricht om wat tegengas aan Google e.d. te geven....

DigitalExorcist @Verwijderd • 31 oktober 2017 12:48

Nou idd. Mensen die het zó veel beter weten en zelf totáál niks toevoegen.. bah.. en dan met dat aluhoedjes-geneuzel aankomen. Google ervan betichten dat ze opzettelijk kwaad doen terwijl ze gewoon hun huis-tuin-en-keukenroutertje wagenwijd open hebben staan naar buiten toe (naar binnen heb je vaak wel een firewall, maar naar buiten toe praktisch nooit) waardoor je een loslopend datalek bent. Tsja.

dakathefox

Chrome os

@D0gtag • 31 oktober 2017 15:26

Zeg lieve schat, heb jij de PDF in de link al eens bekeken? Wat heb je liever: een Open Source oplossing die door iedereen in valt te zien en valt te bugfixen of een Closed Source oplossing waar wel wat mee aan de hand lijkt?

Gamrin @D0gtag • 31 oktober 2017 17:31

Hoewel het leuk zou zijn als alles in de wereld een samenwerking zou zijn van elke mens, is dit onrealistisch. Google heeft de kennis en middelen. Zolang zij deze standaarden op een ethische wijze - controleerbaar herschrijven, is er niks mis mee. Zodra openheid niet meer in hoog het vaandel staat bij Google, wordt het tijd om je zorgen te maken.

Macht is wanneer je kunt doen en laten zonder omkijken van anderen. Je kunt er op rekenen dat iedereen in de wereld kijkt naar Alphabet/Google. Er worden dan ook regelmatig serieuze boetes opgelegd voor zelfs de kleinste (vaak niet-opzettelijke) misstappen. Denk hierbij aan een web-developer die een variabele als plain-text wegschrijft in plaats van gehashede blob.

Waakzaamheid is goed, maar met het oogpunt van deze reactie gaat het misschien de verkeerde kant op. We moeten niet innovateurs gaan blokkeren van innovatie omdat ze al zoveel geinnoveerd hebben.

Verwijderd @D0gtag • 31 oktober 2017 18:21

Je mag skeptisch zijn mits je er wat vanaf weet...

Ge Someone @D0gtag • 1 november 2017 10:31

Dit heeft niets met macht te maken. Google kan, net als iedereen, een veiligere bootloader voorstellen. Dit is niet zoals met gepatenteerde Intel of Apple "oplossingen", dat je van het bedrijf afhankelijk wordt.
Al was het alleen maar voor hun eigen, omvangrijke server-parkje.

aldieaccounts @D0gtag • 9 november 2017 12:22

Ik vertrouw google absoluut niet. Maar hier hebben ze zeer zeker een punt. Het is ook in Google's eigenbelang om hun hardware te kunnen vertrouwen, en als dat tot gevolg heeft dat gewone stervelingen zoals wij een veiliger platform krijgen dan is dat een prettige bijkomstigheid.

IME is heel eng en UEFI is een enorme puinhoop. En op die wankele basis moeten alle andere OSen dan hun security bouwen.

[Reactie gewijzigd door aldieaccounts op 25 juli 2024 23:58]

Marty007 @D0gtag • 31 oktober 2017 12:52

Maar die Intel engine die in miljarden chips zit en dus zelfs als een systeem uit staat is te gebruiken vind je wel okay ?

Ik vind dat het goed is dat er meer bedrijven nu bezig gaan om dit soort praktijken te verbannen Door met andere en beter technieken aan de slag te gaan.

ShadowLord

31 oktober 2017 12:18

"Het alternatief voor uefi bestaat uit een compacte Linux-kernel als bootmanager en in Googles Go geschreven initramfs als userland, om het rootbestandssysteem te mounten."
Het gebruik van een taal die niet eens goed om kan gaan met de systeemklok* lijkt me niet de meest voor de hand liggende om een betrouwbare vervanging van UEFI te maken...

* dit zorg er voor dat bijvoorbeeld rond de zomertijd/wintertijd wissel het zeer lastig is om de tijd tussen 2 events te meten; Iets wat een dergelijke low-level controller net heel goed moet kunnen.

Werelds

@ShadowLord • 31 oktober 2017 12:26

Jij kijkt hier naar de high-level packages, dat wil echter niet zeggen dat de onderliggende taal niet goed met de systeemklok om gaat. Het zijn de vergelijkingen en abstracties op hoger niveau waar (zoals in de meeste talen) wat gekke dingen in zitten. Voor kritische delen zullen ze hier dus niet op vertrouwen.

Of, Google kennende, resulteert dit in een complete rewrite van de time package in een volgende versie van Go, waar dit alles in gefixt is

Anteros @ShadowLord • 31 oktober 2017 12:44

Dit probleem is al opgelost in Go 1.9 : https://golang.org/doc/go1.9#monotonic-time

ShadowLord

@Anteros • 31 oktober 2017 13:56

En dat duurde nog niet eens 2 jaar om te fixen

Het gata nog niet eens om dit precieze issue, maar meer om het feit dat Google lijkt te zeggen: "UEFI is te ingewikkeld en laat te veel toe. Wij maken iets nieuws wat veel simpeler is en daardoor ook veiliger. Oh ja, we voegen wel even dit enorm ingewikkelde component toe waar echt nooit iets mis mee is hoor..."

vSchooten @ShadowLord • 31 oktober 2017 15:31

ik vraag mij dan ook nog eens af, hoe is een linux kernel simpeler dan een UEFI systeem? De kernel heeft over het algemeen meer complexiteit dan een UEFI systeem.

aldieaccounts @vSchooten • 9 november 2017 12:27

Maar is ook een stuk beter getest en onderhouden. Dat wordt ook even aagestipt in de presentatie.

Ik betwijfel de verstandigheid van die go-userland, maar weet niet genoeg van go af. Het alternatief is een userland geschreven in C en dat is wellicht minder veilig.

[Reactie gewijzigd door aldieaccounts op 25 juli 2024 23:58]

vSchooten @aldieaccounts • 9 november 2017 12:37

Over het algemeen zitten er ook meer exploits in een kernel, dat is ook logisch. Meer complexiteit zorgt voor meer mogelijke problemen. Verder zie ik in deze oplossing niet echt een groot verschil met wat intel heeft gedaan... in beide gevallen komen er nu OSsen die op het moederbord ingebakken zitten (Intel ME zit in de chip). Je doet zelf wat je eigenlijk wilt oplossen... Intel ME uitschakelen en in de plaats daarvan hun eigen OS neerzetten met een zelfs belangrijkere rol.

aldieaccounts @vSchooten • 9 november 2017 12:47

Maar dan hopelijk niet 'ingebakken en onuitscakelbaar', want dat is het enge van IME.
Wat ik van de presentatie begreep, had Google het hier trouwens vooral over hun eigen servers die toch al op linux draaien. Dus dat is niet een extra linux kernel ingebakken op het moederbord, maar direct na de hoogstnoodzakelijke initialisatie diect door naar de OS kernel.

CoreBoot, wat wel een linux kernel in de plaats van UEFI/BIOS is (voor zover mogelijk) is wel wat jij hier beschrijft. Maar daar is nog steeds éen belangrijk verschil: als CoreBoot klaar is met zijn werk en de controle doorgeeft aan het OS, dan blijft het niet zelf nog draaien. De extra attack surface van een extra kernel is dus runtime niet meer aanwezig ITT UEFI en (vooral) IME.

The Zep Man

Google
Besturingssystemen

@ShadowLord • 31 oktober 2017 16:03

Laat nu net tijdzones voor de BIOS niet van belang zijn. Huidige BIOS/UEFI implementaties doen daar ook niets mee. Ook gaat het alleen om de initramfs.

Een systeemklok zou eigenlijk altijd UTC moeten zijn, maar dat terzijde.

Verwijderd 31 oktober 2017 12:17

Toch biedt de oplossing van Google nog geen gegarandeerde oplossing voor het probleem. Dit aangezien de X86 en wellicht andere instructiesets in diverse chips verborgen c.q. ongedocumenteerde instructies bevatten. Uefi en alle andere software maakt vervolgens gebruik van deze hardware, waarvan niet altijd alle features zijn gedocumenteerd door de fabrikant.

In mijn optiek ligt de oplossing bij betere samenwerking en documentatie door de hardware fabrikanten en wellicht het uitrollen van een betrouwbare instantie die hier audit op uitvoert.

MsG @Verwijderd • 31 oktober 2017 12:24

In hoeverre is het reëel dat er op de middellange termijn andere bedrijven opstaan voor een geheel nieuw open processor-architectuur. Je leest steeds meer van dit soort ongedocumenteerde ingangen in hardware. Maar weet niet hoe reëel het is dat alle hardware over enkele jaren al niet meer X86 is? En weet niet of bijvoorbeeld ARM net zo gesloten is op dit vlak?

Noxious @MsG • 31 oktober 2017 12:30

Ook bij ARM processors zijn er ongedocumenteerde instructies - ik denk dat je dat probleem blijft houden.

Dit is overigens een interessant project waar het x86 betreft: https://github.com/xoreaxeaxeax/sandsifter
Zie ook de whitepaper.

sumac @Noxious • 31 oktober 2017 12:54

Beide chipsets bestaan al vele jaren. Beide zijn door meerdere bedrijven gemaakt, ARM door veel bedrijven. Al die bedrijven moeten die ongedocumenteerde instructies verwerken in de processoren neem ik aan. Dat moet dan toch intern gedocumenteerd zijn, en is er dan niemand die zoiets naar buiten kan brengen, desnoods via een lek?

Noxious @sumac • 31 oktober 2017 12:59

Tsja - veel / de meeste / misschien alle? instructies zijn er ook voor "niet stiekeme" redenen gelukkig.

Instructies voor debugging bij intern gebruik. Blokken van instructies die niets doen, maar reserved voor future use zijn, of voor een functie die er nooit gekomen is. Dan nog ladingen die dubbele functionaliteit hebben voor backwards compatibility enz. enz. En dan zijn er gewoon nog hardware bugs.

jabwd @Noxious • 31 oktober 2017 20:50

Zit ik hier complex na te denken over een cpu onder een electron microscoop te gooien wat gewoon niet te doen is met al die releases, maar een fuzzer is zo veel slimmer...

bedankt voor de interessante link!

Verwijderd @MsG • 31 oktober 2017 12:42

De laatste waar ik van gehoord heb is Transmeta, waar Linus Thorvalds nog een tijdje gewerkt heeft. Daar is het niet zo goed mee afgelopen. De huidige strijd lijkt zich in de nabije toekomst meer te gaan afspelen tussen x86 en arm, dus zeg maar tussen Intel en Qualcomm.

MsG @Verwijderd • 31 oktober 2017 12:47

Open hardware-ontwikkeling is natuurlijk ook een stuk moeilijker op te zetten dan open source software. Toch jammer, want veel softwarematige veiligheid wordt in potentie compleet teniet gedaan als er op hardwareniveau weer van alles ongedocumenteerd mogelijk is.

Wat als je een CPU-systeem zou hebben die puur de fysieke verbinding heeft die nodig zijn, maar alle intelligentie weer via een soort open firmware gaat die op de CPU zit, ik denk dan even aan een Arduino waarop je bijv. een sketch laad.

Of zou elke vorm hiervan inherent honderden keren trager zijn dan de huidige processor-architecturen? Ik zit op dit soort low-level-niveau niet zo in de materie. Uiteindelijk moet er in een processor toch ook weer ergens instructies op basis van code zitten? Of wordt dat allemaal elders gedaan.

Verwijderd @MsG • 31 oktober 2017 13:23

Ik denk dat het niet reel is inderdaad om in middellange termijn te verwachten dat alle hardware opensource gegaaoid wordt. Wel is er volgens mij steeds meer behoefte aan audit op hardware en software over het algemeen.
Neem bijvoorbeeld het sjoemeldiesel-schandaal. Zoiets had enigziens voorkomen kunnen worden als er regelmatig audit door een onafhankelijke partij was geweest.

farlane @MsG • 31 oktober 2017 14:17

Er zijn wel wat initiatieven, bijvoorbeeld OpenRISC, maar de realiteit is dat je voor iets dergelijks enorm veel mankracht/geld nodig hebt.

Stoelpoot 31 oktober 2017 12:07

> Volgens Google leidt nerf niet alleen tot een veiligere startomgeving, maar starten systemen ook sneller.

Tja, sneller... Hoe lang gaat een systeem nou echt door UEFI heen voordat het OS wordt gestart? En wanneer is dat relevant?

Je kan hoe dan ook nog steeds beter een SSD in je systeem doen als je sneller wilt starten.

burne @Stoelpoot • 31 oktober 2017 12:14

Ga je nou Google uit proberen te leggen hoe ze een server in hun datacenter moeten installeren? Volgens mij is het punt van Google juist dat UEFI, SMM EN IME actief blijven, ook als het OS gestart is, en daarmee exploiteerbare gaten vormen.

Stoelpoot @burne • 31 oktober 2017 12:22

Nee, ik wil puur het stuk 'starten systemen ook sneller' discussiëren. Het is veiliger, hoera, maar dat het systeem opeens sneller start is waarschijnlijk puur een beetje milli / nanosecondewerk.

cavey @Stoelpoot • 31 oktober 2017 13:35

Heb je al eens een SERVER opgestart? Van Dell, of HP? Voor die door al z'n checks heen is ben je ook alweer een kopje thee/koffie verder. En dan ben je nog niet eens bij je boot disk aangekomen. In dat licht bezien maakt een SSD voor het opstarten ook weinig meer uit. De minuut winst die je daarmee haalt is toch al omzeep door alle bios/firmware/raid/sensor checks van een server moederbord.

Kan me best voorstellen dat Google hiervoor een eigen BIOS/UEFI/Firmware (ofwel nu NERF, leuke term, zowel van de guns, als voor de term om dingen in "kracht" te beperken. Vergelijk met "OMG! They nerfed the <random unit uit random spel die zwaar overpowered was>) wil ontwikkelen die sneller door de checks heen komt, en ook nog eens wat exploits wil nerfen/verzachten/mitigeren.

Open sourced, dus iedereen die om z'n privacy geeft kan er doorheen en alle bios ads verwijzingen eruit filteren. Je kan dan ook alle Google-phone-home secties eruit gooien. Oftewel: wat is het probleem?

Verwijderd @Stoelpoot • 31 oktober 2017 12:27

Ik kan me voorstellen dat Google systemen heeft die geen (eigen) storage medium hebben. M.a.w. draait alles in een RAM disk. Dus je voorstel om een SSD te gebruiken is in veel gevallen niet eens relevant. Wanneer die systemen vaak op en afgezet worden (bv. om stroom te besparen), kunnen kleine tijdsverschillen in opstarttijd er toe doen.

odiw @Stoelpoot • 31 oktober 2017 12:27

Situatie:
'Onderzoek'-systemen die alleen na elkaar kunnen starten voor dat er input gegeven kan worden.
Stel dat dit duizend systemen zijn dan maken die duizend nanoseconden zeker wat uit!

[Reactie gewijzigd door odiw op 25 juli 2024 23:58]

Stoelpoot @odiw • 31 oktober 2017 12:32

Die maken dan inderdaad 0.001 milliseconden uit. Als het een hele milliseconde scheelt maakt het zelfs 1 hele seconde uit.

Dat is verwaarloosbaar, zelfs bij dat soort situaties.

odiw @Stoelpoot • 31 oktober 2017 12:40

Dat wellicht wel, maar (verder op mijn voorbeeld) kan het zijn dat het input system voor elke input alles herstart om zo het meest accurate resultaat te kunnen garanderen.

Als dat systeem 2000 keer die test moet uit voeren komt dat neer op 2.000.000 nano seconden wat dan weer +- 3.3 minuten zijn. Zou niet weten in welke sector dit gedaan word maar het is mogelijk en voor die groep is nu het nieuws dat het dus sneller kan wat neer komt op wellicht meer tests per uur of dag.

Djokkum @odiw • 31 oktober 2017 12:33

Dan maken ze om precies te zijn één miliseconde uit.

nexhil @Stoelpoot • 31 oktober 2017 12:29

inderdaad, en alsof je zo'n server 20 keer per jaar opstart.

CyBeR @nexhil • 31 oktober 2017 16:40

Google zet inderdaad servers uit als ze niet nodig zijn. Dus ja, wel meer dan 20x.

Cowamundo @Stoelpoot • 31 oktober 2017 12:33

Veiliger verkoopt gewoon niet goed genoeg... dus plak je er gewoon wat marketing snelheid aan vast en ineens vind iedereen het interessant ook al is het niet merkbaar.

Gamrin @Stoelpoot • 31 oktober 2017 17:39

Even kijkend naar virtualizatie, als daarbinnen een snellere BIOS/UEFI/NERF wordt aangeboden, kan dat voor snelle deployments zorgen. Hoeveel VM's worden er momenteel gemaakt, opgestart, afgesloten, vernietigt, repeat?

Het verschil in opstarten tussen een HDD en een SSD is ook maar zo'n 90% van een tijd waarin je koffie kunt gaan halen en klaar bent. Het wordt eens tijd dat we wanneer we de knop indrukken binnen 2 seconden in een browser zitten, in plaats van 9. Niet alleen "gewoon omdat het kan". Hoe zou jij het vinden als je telefoon zo langzaam zou activeren?

5pë©ïàál_Tèkén @Stoelpoot • 31 oktober 2017 12:18

Het gaat er niet om hoe lang een systeem door UEFI gaat. Dat is iets als zeggen dat een aanrijding niet lang duurt. De gevolgen ervan, die zijn verstrekkend.

VeraCrypt heeft een UEFI fase, ik denk dat het belang van die fase wel voor zich spreekt.

Ik kan me voorstellen dat Google het opstart-argument gebruikt om deze ontwikkeling voor de massa interessant te maken/houden. Privacy, encryptie en encapsulation zijn voor de gemiddelde gebruiker niet interessant (wat niet betekend dat het niet belangrijk is).De nerds/privacy voorvechters/insiders weten hoe belangrijk dit is maar zijn creëren niet het momentum om deze ontwikkeling (afstand doen van UEFI) - dat doet de betalende klant.

Qwerty-273 @5pë©ïàál_Tèkén • 31 oktober 2017 13:31

Ik weet niet wat je nou precies probeert te zeggen. Maar de meeste full disk encryptie oplossingen hebben lange tijd geen ondersteuning voor UEFI gehad, terwijl deze al wel jaren werd toegepast op hardware. De oplossing was dan ook om terug te schakelen naar legacy bios boots ipv uefi.
Ook al stonden bij diverse leveranciers van full disk encryptie oplossingen deze feature requests voor uefi ondersteuning lang open, het is pas echt gaan lopen toen hardware fabrikanten hardware uitbrachten waar alleen uefi in zat, en de legacy optie niet meer mogelijk werd om in te schakelen.
Bijvoorbeeld volledige ondersteuning voor Opal is ook vaak ver te zoeken...

Zer0 @Stoelpoot • 31 oktober 2017 12:26

Hoe lang gaat een systeem nou echt door UEFI heen voordat het OS wordt gestart? En wanneer is dat relevant?

Op servers kan het relatief lang duren voor je door de POST heen bent, en als je grote hoeveelheden server dynamisch aan/uit wil zetten kan dat best relevant zijn. (server uit zetten bij lage belasting en weer snel kunnen inschakelen als er extra capaciteit nodig is.)
Voor jouw desktop allemaal niet zo relevant, maar met de hoeveelheden servers die Google gebruikt wordt het wel relevant.

En denk nu niet dat Google hier mee bezig is om jouw desktop beter te maken, dit doen ze vooral om efficiënter en veiliger met eigen servers te werken.

Soulaiman @Stoelpoot • 31 oktober 2017 12:15

Ik ben het met je eens maar de redenering dat een SSD altijd sneller start is niet waar.

Mijn Samsung NVME SSD in combinatie met mijn Asus dual socket board start trager op dan een SSD/HDD over SATA. Natuurlijk laadt alles dan super snel in eens opgestart, maar het opstarten en ik vermoed het aanspreken van de NVME controller duurt eventjes.

M.Koers @Soulaiman • 31 oktober 2017 12:28

Zeker waar.
Zowel mijn Dell laptop met NVME als mijn Intel Nuc 7 i7 met nvme drive (+ optane) hebben de nodige tijd nodig voordat ze eens beginnen met het booten van het OS.
Alle post tests zo ver mogelijk beperken levert weinig tot geen snelheid winst op.

Als je dan ook nog eens bitlocker actief hebt duurt nog weer wat langer.

Maargoed wanneer start je je pc nou echt op?
Met de huidige power consumptie staat die bij mijn 24*7 aan. Hij reboot enkel voor updates.
En mocht het een keer voorkomen dan is 20-30 seconden zeker geen ergenis.
Als het minuten gaat duren dan is het een ander verhaal.

Verwijderd @Soulaiman • 31 oktober 2017 12:33

Belangrijk is in hoeveel seek (hoog latency) bewegingen je alle shared object en binary files nodig voor de gehele opstart je kan inlezen. Bij een gewone HD gebruikt men in de kernel typisch een zogenaamd elevator algoritme om die beweging (net zoals bij een lift) te reduceren (het is beter beneden even te wachten tot iedereen er is, dan spastisch op en neer te gaan).

De latency (tijd tussen bewegingen) is bij opstart van meeste besturingssystemen vermoedelijk nog steeds belangrijker dan de bandbreedte van de disk. SSD heeft echter ook lage latency doordat het geen mechanische bewegingen moet uitvoeren. Gewone disks hebben wel een RAM cache, maar bij opstart is die meestal leeg (maar misschien zijn er wel disks die "onthouden" wat er zoal nodig was tijdens opstart en vooral dat in een niet RAM maar soort van ROM cache bijhouden?).

Wat iets als systemd bv. probeert te bereiken is door de sockets van alle services alvast open te zetten (dit is waar onderling afhankelijke services voor elkaar op liggen wachten) zoveel mogelijk binaries al meteen ingelezen kunnen worden (met dus dlopen en execv). Daardoor minder seek bewegingen op de HD en daardoor snellere boot.

poktor 31 oktober 2017 12:12

Dus straks hebben we moederborden met ingebouwde advertenties? Google is en blijft een adverteerder tenslotte. Niemand die zicht heeft op wat Google in Nerf stopt aan spyware en adware.

[Reactie gewijzigd door poktor op 25 juli 2024 23:58]

Verwijderd @poktor • 31 oktober 2017 12:16

Nee, Google is geen adverteerder. Google is een IT bedrijf dat geld verdient middels profilering van de gebruikers. Adverteerders zijn momenteel toevallig de voornaamste partijen die interesse hebben in deze profielen maar je kunt er veel meer mee.

Zer0 @Verwijderd • 31 oktober 2017 12:21

Die profielen geeft Google niet uit handen, het enige wat ze doen is die profielen gebruiken om advertentie-ruimte te verkopen. Google is dus wel degelijk een leverancier van advertentie-ruimte, geen handelaar in profielen.

freaky @Zer0 • 31 oktober 2017 13:59

Ze zijn ook een cloud leverancier, software leverancier, hardware leverancier, leverancier van SaaS oplossing (Gsuite, etc.) en nog wat anderen.

Als cloud en zoek gigant draaien ze er nogal wat hardware doorheen ook. Van de orde dat ze daar toch iets anders naar kijken dan doe maar even een doos van HP/Dell/etc. of doe maar een bord van Gigabyte/MSI/etc.

Nardon @poktor • 31 oktober 2017 12:18

Tenzij ze het open source maken, wat wel het geval is.

Luinwethion @poktor • 31 oktober 2017 13:00

Google is en blijft een adverteerder

Zeker van dat?

Ze leveren steeds meer premium betaalde services, en veel van de nieuwe services die ze gratis aanbieden wordt de data niet gebruikt voor advertenties maar voor het internet ontwikkeling van nieuwe systemen, denk aan Photos, als het niet gratis was, had Google geen toegang tot miljarden foto’s om hun AI en Neural network beter te trainen. Door het gratis te maken, kunnen de gebruikers gratis gebruik van maken en de bots van Google kunnen oneindig blijven “leren”.

poktor @Luinwethion • 2 november 2017 01:08

Dat is niet google, maar Alphabet, het moederbedrijf. Google is enkel van de advertenties.

AJediIAm @poktor • 31 oktober 2017 13:15

Advertenties is een bij product. In eerste instantie is het een technologie bedrijf dat bestaat op het leveren van diensten en technologie. Ze maken sommige delen van hun diensten rendabel voor de consumentenmarkt met behulp van advertenties, maar dat is niet waar het grote geld vandaan komt.

Deze ontwikkeling zullen ze voornamelijk doen om hun eigen data centers en producten veiliger te maken.

[Reactie gewijzigd door AJediIAm op 25 juli 2024 23:58]

Caayn @poktor • 31 oktober 2017 12:16

U wilt uw computer opstarten? Bekijkt u eerst deze advertentie.
U start uw computer voor de tweede keer in een korte tijd opnieuw op. Bent u misschien geïnteresseerd in een Chromebook?

[Reactie gewijzigd door Caayn op 25 juli 2024 23:58]

sumac @Caayn • 31 oktober 2017 12:59

Dat is geen ondenkbaar scenario, voor bv een gratis Chromebook, net zoals Spotify een gratis service heeft. Maar dat is dit dus niet.

Google heeft er zelf ook alle belang bij om alle servers en laptops veilig op te starten. Dit draait om hun eigen bedrijfsveiligheid, en ze zijn een van de meest gewilde hack-doelen ter wereld. Dit draait om hun eigen veiligheid, en die van hun gebruikers, wereldwijd. Als Google een veilig product aanbiedt, niet te hacken door Russische of Chinese overheid, dan is dat uitstekende reclame voor hun diensten.

Als ze advertenties willen verkopen, dan doen ze dat op een ander moment, in een andere laag, als de computer al grotendeels is opgestart. Het is nergens voor nodig om dit tijdens het bootproces te doen.

[Reactie gewijzigd door sumac op 25 juli 2024 23:58]

Hukkel80 @poktor • 31 oktober 2017 14:00

Intel en Microsoft gaan al zover om nieuwe besturingssystemen niet of heel moeilijk te kunnen installeren op een ouder type moederbord of cpu. Puur zodat Intel meer verkoopt.

Het is kiezen uit 2 kwaden, maar als Google er opensource in stopt betekent dit dat iedere gebruiker er zelf in kan niet. Dat ik daar niet de kennis voor heb is een ding. Maar mensen die dat wel hebben, die hebben die keus in ieder geval. Bij Intel heb je die keus niet.

Dus dan is de vraag; welke van de 2 opties is de minder erge?

dakathefox

Chrome os

@poktor • 31 oktober 2017 15:29

Nog los van het feit dat je reactie natuurlijk de reinste onzin is, heb je uberhaupt wel gekeken wat je nu onder de motorkap hebt? Bekijk de PDF eens zou ik zo zeggen, in plaats van maar wat in het wilde weg te roepen.

CyBeR @poktor • 31 oktober 2017 16:33

Google is een adverteerder, ja, maar ze is ook een grootgebruiker van servers met daarop data van onschatbare waarde, zowel hun eigen als die van klanten. Als er iets mis is met die servers, bijvoorbeeld een gecompromitteerde Intel ME, dan heeft dat voor hun bedrijfsvoering onbeschrijfelijke gevolgen.

FreezeXJ 31 oktober 2017 12:17

Dat klinkt als een goed idee, Intels grapjes begonnen steeds meer en meer misbruikt te worden, en een goede bootloader zit er nog steeds niet in, dus schreef Microsoft z'n eigen versie (die uiteraard voor gedoe zorgde bij Linux). Daarnaast vind ik de meeste UEFIs nogal lijken op de oude BIOSen, alleen zie je nu een (werkende) muis-cursor en een hele vervelende achtergrond. Als hier iets standaard-achtigs voor geschreven wordt, dat open-source is (ik vermoed dat Google dit wel open gooit, gezien het op een Open Source Summit gepresenteerd werd), ben ik voor. Daarnaast natuurlijk de naam... daar heeft een gamer bij Google flink lol om gehad.

tl;dr: als UEFI goed generfed wordt, is het opeens beter voor iedereen.

EraYaN @FreezeXJ • 31 oktober 2017 12:29

Ik denk dat de UI's echt niet weg gaan naar een standaard set instellingen, dat zou alle differentiatie tussen moederborden weghalen, dan is het gouw gedaan met NERF. Kunnen alle fabrikanten precies 1 moederbord maken. Zie je het al voor je, daarbij zullen ze hun bord specifieke dingen toch niet open source willen maken, er moet toch echt geld verdient worden. Dus de binary blobs houd je toch wel, daarbij kun je toch niet verifiëren of er niet een tweede region in de ROM zit, met voorgebakken code.

FreezeXJ @EraYaN • 31 oktober 2017 15:14

Dat hoeft ook niet, maar hoe meer er gestandaardiseerd is, hoe minder exploits. Dat er eigen features en blobs in zitten snap ik, maar dat hoeft niet het hele UEFI te zijn (a 4 MB ofzo).

EraYaN @FreezeXJ • 31 oktober 2017 19:28

Dat hoeft ook niet, maar hoe meer er gestandaardiseerd is, hoe minder exploits. Dat er eigen features en blobs in zitten snap ik, maar dat hoeft niet het hele UEFI te zijn (a 4 MB ofzo).

Uit eindelijk zitten die exploit toch echt in de implementatie. Dan maakt een standaard niet echt veel uit.

jpsch 31 oktober 2017 12:58

UEFI van Intel? Hoe zit dat dan bij een motherboard voor een AMD chip? Draait die nog gewoon BIOS?

Verwijderd @jpsch • 31 oktober 2017 13:07

Beide partijen houden het gesloten. Dus jij, ik & google ter voorbeeld kan niet inzien waar die UEFI of EMI van intel of AMD's PSP precies op draait. En dat vormt een beveiligingsrisico. Intel's systemen lieten flink wat flaws zien de laatste tijd en dat is niet echt wenselijk als je een op Intel gebaseerde PC / computer hebt staan die gevoelige gegevens verwerkt.

Loller1

Besturingssystemen

@Verwijderd • 31 oktober 2017 13:27

Behalve natuurlijk dat Google zelf bijdraagt aan de UEFI standaard.

Jelv @jpsch • 31 oktober 2017 13:04

UEFI van Intel? Hoe zit dat dan bij een motherboard voor een AMD chip? Draait die nog gewoon BIOS?

AMD heeft zijn eigen versie van Intel ME, AMD PSP. Een uitgebreide uitleg staat op Libreboot site: https://libreboot.org/faq.html#amd

[Reactie gewijzigd door Jelv op 25 juli 2024 23:58]

Jelv 31 oktober 2017 12:58

Dit is dus net zoiets als coreboot waar de purism laptops mee zijn uitgerust? Libreboot is hier ook een versie van. Fijne ontwikkeling dat Google dit nu oppakt en open source publiceert.

[Reactie gewijzigd door Jelv op 25 juli 2024 23:58]

Haribo112 31 oktober 2017 12:07

Oh dus Google wil nu ook al toegang tot mijn computer vóór ik ook maar in Windows zit?

Jeroen73 @Haribo112 • 31 oktober 2017 12:15

Nu zit Intel op die plek met een, volgens Google, onbetrouwbaar systeem. Het blijft een kwestie van vertrouwen op een ander, zolang je er zelf niets mee kunt.

edit: tnx JochemTheGeek, de betrouwbaarheid van 12 tegen 1 is idd meer waard. Het zou het UEFI forum wel sieren als ze de bevindingen van Google tegen het licht zouden houden.

[Reactie gewijzigd door Jeroen73 op 25 juli 2024 23:58]

Verwijderd @Jeroen73 • 31 oktober 2017 12:21

“Google” en “betrouwbaar” en “privacy” gaat totaal niet samen.

dakathefox

Chrome os

@Verwijderd • 31 oktober 2017 15:30

Dit is wat je nu hebt :

● 2 ½ hidden OSes in your Intel x86 system
● They have many capabilities
● They have network stacks and web servers
● They implement self-modifying code that can persist across power cycles and reinstalls
● They hide, have bugs, and control Linux
● Exploits have happened

En dan ga jij vertellen dat Google / betrouwbaar / privacy niet samen gaan? Volgens mij heb je andere zorgen aan je hoofd nu.

haling @Verwijderd • 31 oktober 2017 12:34

“Google” en “betrouwbaar” en “privacy” gaat totaal niet samen.

Kun je dat even uitleggen? Volgens mij hebben ze zeer waardevolle dingen toegevoegd aan bijvoorbeeld de Linux Kernel.

Het gebruik van jouw data om betere advertenties te tonen is een heel ander onderwerp dan NERF.

HansvDr @haling • 31 oktober 2017 12:41

Google is een advertentie bedrijf. Alles heeft te maken met deze advertenties.

haling @HansvDr • 31 oktober 2017 12:43

Google is een advertentie bedrijf. Alles heeft te maken met deze advertenties.

Dat is wel hel erg kort door de bocht. Google heeft heel veel baat bij veel, snelle en veilige servers. Ja, uiteindelijk serveren die advertenties, maar NERF zelf heeft daar niets mee te maken.

HansvDr @haling • 31 oktober 2017 16:19

Ik vertrouw advertentieboeren (dus ook Google) niet. Uiteindelijk zit er vast weer een uniek reclame-id in

Gamrin @haling • 31 oktober 2017 17:45

Ik vrees dat mensen te veel vertrouwen op het "recht op een zoekmachine." Google is en blijft een product, en de prijs van het gebruik staat duidelijk genoteerd voordat je het gaat gebruiken. Dat mensen de prijs niet lezen bij het kopen van een auto, huis of product in de winkel wordt als belachelijk gezien. Waarom is dat niet het geval bij een zoekmachine?

Is het 100% netjes van Google om deze informatie te verzoeken? Nee. Zijn er voldoende alternatieven? Zekers! Is Google het kwaad zelve omdat ze een werkend business model hebben ontdekt, en dit gebruiken om technologie zoals we het kennen vooruit te pushen?

Voor wat hoort wat. Voor de relatieve rust waar we met zijn allen aan deelnemen, is de prijs dat we meedoen aan het kapitalistisch cabaret. Ik gun het de mensheid om te leven in een utopie waarin er voldoende is voor ieder tot het punt waar arbeid vrijwillig is, maar daar zijn we nog niet.

FreezeXJ @Verwijderd • 31 oktober 2017 12:28

Idem voor Intel, Microsoft, en ongeveer alle andere grote namen. Desnogwelteplus denk ik dat zo lang de standaard en implementatie open zijn we een veel betere kans krijgen om nare grappen te voorkomen. Die closed-source bende van nu is helemaal onbetrouwbaar qua privacy.

Grovdna @Verwijderd • 31 oktober 2017 12:29

Met jou eens gbklasser. weet je nog: Do No Evil

Djokkum @Jeroen73 • 31 oktober 2017 12:19

Nu zit Intel op die plek met een, volgens Google, onbetrouwbaar systeem.

Dat is slechts deels waar. Intel Management Engine is weliswaar van Intel, maar UEFI wordt beheerd door verscheidene bedrijven.

Van de wiki:
The Unified Extensible Firmware Interface Forum or UEFI Forum is an alliance between several leading technology companies to modernize the booting process. The board of directors includes representatives from twelve "Promoter" companies: AMD, American Megatrends, Apple, Dell, Hewlett Packard Enterprise, HP Inc., IBM, Insyde Software, Intel, Lenovo, Microsoft, and Phoenix Technologies

FastFred 31 oktober 2017 12:45

Vervanger voor UEFI? Gewoon lekker terug naar BIOS, al die flashy meuk moet ik niet, kan er niets in terug vinden, alles is fabrikant specifiek en staat voor ieder merk weer op een andere plek of heeft een andere naam...

keranoz

@FastFred • 31 oktober 2017 12:51

Dat is met de BIOS natuurlijk ook zo, maar er is minder functionaliteit dus ook minder variatie. Als de BIOS net zo veel mogelijkheden had, had je hetzelfde "probleem".

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (141)

Sorteer op:

Weergave: