SlideShare una empresa de Scribd logo

Uefi: l'eterna lotta tra il bene e il male

Descargar como ODP, PDF
Marcello Missiroli
Marcello Missiroli

Un esame tecnico e meno tecnico su quanto ci porterà la nuova tecnologia di Boot.

Deportes
1 de 28
UEFI Secure Boot The good and the bad Marcello Missiroli Davide Bolcioni
Di che cosa parleremo ● Motivazioni che hanno portato a UEFI ● Stutturazione tecnica di UEFI ● Le cose buone ● Le cose cattive (o quantomeno sospette)
Evoluzione del Boot ● Anni 70: Inizializza e lancia il BASIC ● Anni 80: IBM propone e distribuisce il codice per il BIOS – successo oltre le aspettative ● Tentativi di miglioramenti BIOS (falliti) ● ABIOS (IBM su PS/2, Microchannel) ● Common Hardware Reference Platform (PowerPC) ● OpenFirmware(Forth) ● LinuxBIOS (Licenza)
Come funziona il boot oggi ● Lento ● Menu del bios poco intuitivi (spesso in inglese) ● Opzioni oscure tramite [canc] [Fn] ● Tecnologia degli anni 80 ● Durata dai 15 ai 120 secondi ● Usa 16bit e 1Mbyte (max) ● Limite di 2Tb
Avvio e spegnimento ● Si fanno tutti i giorni (spesso più volte al giorno) ● Sono un elemento di valutazione della bontà di un sistema (specie per gli utenti non tecnici) ● Dipendono dal firmware
Come lo vorremmo? ● Veloce ● Bello ● Moderno ● Chiaro
Ecco UEFI ● Unified Extensible Firmware Interface (UEFI) ● Sostituisce il BIOS ● Usa 32 o 64 bit ● Usa UGA (Unified Graphics Adapter) che sostituisce e migliora VGA ● Usa driver (EFI Byte Code, EBC). I dispositivi possono essere usati anche in fase di avvio
Uso del disco ● Si possono usare partizioni maggiori di 2Tbyte (max 8Zbyte) ● Non usa più il MBR e le partizioni “classiche”, ma lo schema GUID ● Supporta FAT 32/16/12
Schema di GUID MBR “fasullo” Tabella partizioni Primaria (128 max) Elenco partizioni Tabella partizioni Secondaria (copia)
Voce della tabella delle partizioni GUID ● Usa 128 byte(!) ● I primi 16 sono il TIPO della partizione ● I secondi 16 sono un ID univoco della partizione ● Seguono 8 byte per l'inizio della partizione (Logical Block Addressing) ● 8 per la fine della partizione (LBA) ● 16 per gli attributi ● 72 per il nome della partizione (UTF-16)
Sequenza di Boot
Situazione attuale di supporto ● Windows ● Windows 3.1, XP e Vista NON possono funzionare con EFIU ● Windows 7 e Windows server si, ma solo a 64bit ● Linux ● Può funzionare ● Mac OS ● Si, ma con un hack (hackintosh)
UEFI: il buono ● Tempi di boot ridotti (7s) ● POST effettuato in grafica moderna ● Passaggio al SO senza sfarfallii ● Protezione dai rootkit e dalle modifiche al BIOS non autorizzate ● Uso di grandi partizioni
UEFI Secure Boot ● Come funziona? ● All'avvio viene eseguito il firmware UEFI ● Esamina le memorie di massa che trova ● Riconosce le partizioni avviabili ● Segue una politica per avviare qualcosa ● L'unico che trova ● Il primo ● Chiede all'utente
UEFI Secure Boot ● I file avviabili includono una firma ● Firmati con una chiave privata – Nel caso di Windows 8, una di Microsoft ● Il firmware cerca la chiave pubblica corrispondente ● Il file viene letto e la firma viene verificata ● Se non corrisponde, quel file non viene avviato ● Tecnologia analoga a SSL – Ingegnerizzata da Intel – Sicura quanto lo home banking
Conseguenze ● Windows 8 da HD si avvia ● Firmato dalla chiave Microsoft Presumibilmente presente (OEM certification) – ● Windows 8 da CD o USB si avvia ● Idem ● Linux da CD si avvia ? La chiave è presente ?
Le chiavi del regno ● Chi controlla le chiavi UEFI controlla il PC ● Il produttore del PC controlla la chiave iniziale ● Quelle di Microsoft ci saranno – I produttori di PC non possono ignorare Windows ● Red Hat potrebbe, probabilmente pagando – Non necessariamente in tutti ● Canonical potrebbe, probabilmente pagando – Non è un costo da poco ● Debian avrebbe presumibilmente difficoltà
Fornitore e consumatore ● Il fornitore sceglie le chiavi presenti ● Opzione per disabilitare la verifica della chiave ● Il fornitore può scegliere varie politiche ● Solo la chiave Microsoft ● La chiave Microsoft e la propria ● La chiave di chiunque paghi abbastanza ● Una chiave da dispositivo rimovibile (dopo) ● Interfaccia di gestione delle chiavi – Aggiungi, Rimuovi, Abilita, Disabilita, ...
A pensar male - 1 ● Ufficialmente per motivi di sicurezza ● Strumenti di ripristino ? ● Stratagemma per tagliare le gambe a Linux ● Quota di mercato in crescita – In particolare nei mercati emergenti ● Acquirente ostaggio delle scelte del fornitore ● Scelte presenti ma soprattutto future – Software a corredo – Installazione OEM vincolata
A pensar male -2 ● L'avvio è solo il primo passo ● Una rana si può bollire viva ... piano piano ● Con UEFI controllo cosa viene avviato ● Ciò che viene avviato controlla che S.O. parte – Le chiavi sono nel TPM (aka Palladium) ● Il S.O. controlla la chiave dei programmi avviati – Possono andare in esecuzione solo se autorizzati ● Autorizzati da chi ? ● Niente più software liberamente modificabile – Dà fastidio, perchè consente ai peones di scegliere
Esempio: Windows 8 ● Per avere il logo Windows 8 un OEM deve ● Attivare Secure Boot ● Impedirne il controllo tramite programma – Quale programma ? ● Assicurare che vengano impediti aggiornamenti del firmware non autorizzati – Autorizzati da chi ?
Attestazione ● Il software può proteggersi dalla copia e dall'uso fuori dai termini di licenza ● Si collega via Internet per verificare ● Questo controllo non può essere rimosso ● Si torna a pagare la licenza di ogni programma ● Niente abuso del software OEM ● Posso impedire la circolazione dell'usato ● Software in abbonamento, a consumo, a tempo ● Intrattenimento pay per view
Farsi pagare ● I produttori di PC possono farsi pagare ● Per ciascuna chiave nel firmware UEFI ● I produttori di S.O. possono farsi pagare ● Per ciascuna applicazione autorizzata ● I produttori di applicazioni possono farsi pagare ● Per l'applicazione stessa ● Per i contenuti che riproducono ● Per autorizzare eventuali add-on ● I produttori di contenuti possono farsi pagare
Se non siete d'accordo... ● Petizione della FSF http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot
Appendice Dettagli tecnici su GRUB+UEFI
Caso RedHatLinux Il sistema legge la tabella delle partizioni ● monta EFI System Partition (ESP), una partizione VFAT etichettata con un globally unique identifier (GUID) particolare (di solito in /boot/efi/) ● La directory /boot/efi/EFI/redhat/ contiene grub.efi, una versione di GRUB speciale. ● GRUB determina quale sistema operativo o kernel deve avviare, lo carica all'interno della memoria e trasferisce il controllo della macchina al sistema operativo in questione.
Caso Ubuntu ● Google is your friend, or try: ● https://help.ubuntu.com/community/UEFI ● http://askubuntu.com/questions/91484/how-to-boot-ubun ● https://help.ubuntu.com/community/UEFIBooting YMMV
Licenza ● Questo file è distribuito con licenza Creative Common BY-SA ● http://creativecommons.org/licenses/by-sa/2.5/it/ ●

Recomendados

Wstuxtrans live
Wstuxtrans liveWstuxtrans live
Wstuxtrans liveUniversität Innsbruck
 
Guida al Computer - Lezione 106 - Pannello di Controllo – Crittografia Unità ...
Guida al Computer - Lezione 106 - Pannello di Controllo – Crittografia Unità ...Guida al Computer - Lezione 106 - Pannello di Controllo – Crittografia Unità ...
Guida al Computer - Lezione 106 - Pannello di Controllo – Crittografia Unità ...caioturtle
 
Cosino Enigma: the encrypted GNU/LINUX system has come true!
Cosino Enigma: the encrypted GNU/LINUX system has come true!Cosino Enigma: the encrypted GNU/LINUX system has come true!
Cosino Enigma: the encrypted GNU/LINUX system has come true!festival ICT 2016
 
Corso Moodle: presentazione
Corso Moodle: presentazioneCorso Moodle: presentazione
Corso Moodle: presentazioneMarcello Missiroli
 
Lo stack: tipo di dato astratto e implementazione in Java
Lo stack: tipo di dato astratto e implementazione in JavaLo stack: tipo di dato astratto e implementazione in Java
Lo stack: tipo di dato astratto e implementazione in JavaMarcello Missiroli
 
Il ciclo for
Il ciclo forIl ciclo for
Il ciclo forMarcello Missiroli
 
Dhcp
DhcpDhcp
DhcpMarcello Missiroli
 
Ruby in 25 minuti
Ruby in 25 minutiRuby in 25 minuti
Ruby in 25 minutiMarcello Missiroli
 

Recomendados

Wstuxtrans live
Wstuxtrans liveWstuxtrans live
Wstuxtrans liveUniversität Innsbruck
 
Guida al Computer - Lezione 106 - Pannello di Controllo – Crittografia Unità ...
Guida al Computer - Lezione 106 - Pannello di Controllo – Crittografia Unità ...Guida al Computer - Lezione 106 - Pannello di Controllo – Crittografia Unità ...
Guida al Computer - Lezione 106 - Pannello di Controllo – Crittografia Unità ...caioturtle
 
Cosino Enigma: the encrypted GNU/LINUX system has come true!
Cosino Enigma: the encrypted GNU/LINUX system has come true!Cosino Enigma: the encrypted GNU/LINUX system has come true!
Cosino Enigma: the encrypted GNU/LINUX system has come true!festival ICT 2016
 
Corso Moodle: presentazione
Corso Moodle: presentazioneCorso Moodle: presentazione
Corso Moodle: presentazioneMarcello Missiroli
 
Lo stack: tipo di dato astratto e implementazione in Java
Lo stack: tipo di dato astratto e implementazione in JavaLo stack: tipo di dato astratto e implementazione in Java
Lo stack: tipo di dato astratto e implementazione in JavaMarcello Missiroli
 
Il ciclo for
Il ciclo forIl ciclo for
Il ciclo forMarcello Missiroli
 
Dhcp
DhcpDhcp
DhcpMarcello Missiroli
 
Ruby in 25 minuti
Ruby in 25 minutiRuby in 25 minuti
Ruby in 25 minutiMarcello Missiroli
 
Programmazione a oggetti tramite la macchina del caffé (pt. 3)
Programmazione a oggetti tramite la macchina del caffé (pt. 3)Programmazione a oggetti tramite la macchina del caffé (pt. 3)
Programmazione a oggetti tramite la macchina del caffé (pt. 3)Marcello Missiroli
 
Corso Moodle: perché?
Corso Moodle: perché?Corso Moodle: perché?
Corso Moodle: perché?Marcello Missiroli
 
L'avvento del programmatore sociale
L'avvento del programmatore socialeL'avvento del programmatore sociale
L'avvento del programmatore socialeMarcello Missiroli
 
Eccezioni in java
Eccezioni in javaEccezioni in java
Eccezioni in javaMarcello Missiroli
 
Investire nelle user story
Investire nelle user storyInvestire nelle user story
Investire nelle user storyMarcello Missiroli
 
Moodle: i compiti (homework)
Moodle: i compiti (homework)Moodle: i compiti (homework)
Moodle: i compiti (homework)Marcello Missiroli
 
Routing dinamico
Routing dinamicoRouting dinamico
Routing dinamicoMarcello Missiroli
 
Espressioni regolari
Espressioni regolariEspressioni regolari
Espressioni regolariMarcello Missiroli
 
The Sequel to sql
The Sequel to sqlThe Sequel to sql
The Sequel to sqlMarcello Missiroli
 
Controllo di versione e Git
Controllo di versione e GitControllo di versione e Git
Controllo di versione e GitMarcello Missiroli
 
Introduzione al dns
Introduzione al dnsIntroduzione al dns
Introduzione al dnsMarcello Missiroli
 
Il sistema binario
Il sistema binarioIl sistema binario
Il sistema binarioMarcello Missiroli
 
Insegnare Agile
Insegnare AgileInsegnare Agile
Insegnare AgileMarcello Missiroli
 
Presentazione del Software Libero e di Ubuntu al Linux Day 25 ottobre 2014
Presentazione del Software Libero e di Ubuntu al Linux Day 25 ottobre 2014Presentazione del Software Libero e di Ubuntu al Linux Day 25 ottobre 2014
Presentazione del Software Libero e di Ubuntu al Linux Day 25 ottobre 2014Janhu Silvio Crispiatico
 
Lotus Foundations Start - Enzo Stanzione
Lotus Foundations Start - Enzo StanzioneLotus Foundations Start - Enzo Stanzione
Lotus Foundations Start - Enzo StanzioneDominopoint - Italian Lotus User Group
 
Lotus Foundations Start 1.0 Italian Version
Lotus Foundations Start 1.0 Italian VersionLotus Foundations Start 1.0 Italian Version
Lotus Foundations Start 1.0 Italian VersionEnzo Stanzione
 
Presentazione Linux
Presentazione LinuxPresentazione Linux
Presentazione LinuxMatteo
 
Il dual boot scolastico perfetto (2012)
Il dual boot scolastico perfetto (2012)Il dual boot scolastico perfetto (2012)
Il dual boot scolastico perfetto (2012)Marcello Missiroli
 
Xp addio
Xp addioXp addio
Xp addioGabriele Ponzo
 
Modelli arduino
Modelli arduinoModelli arduino
Modelli arduinoDemetrio Siragusa
 
Sistemi operativi ed iso
Sistemi operativi ed isoSistemi operativi ed iso
Sistemi operativi ed isoJacopo Grimoldi
 
[Ubuntu per tutti] 1, Ottenere ed installare Ubuntu Linux
[Ubuntu per tutti] 1, Ottenere ed installare Ubuntu Linux[Ubuntu per tutti] 1, Ottenere ed installare Ubuntu Linux
[Ubuntu per tutti] 1, Ottenere ed installare Ubuntu LinuxGalliate Linux User Group
 

Más contenido relacionado

Destacado

Programmazione a oggetti tramite la macchina del caffé (pt. 3)
Programmazione a oggetti tramite la macchina del caffé (pt. 3)Programmazione a oggetti tramite la macchina del caffé (pt. 3)
Programmazione a oggetti tramite la macchina del caffé (pt. 3)Marcello Missiroli
 
L'avvento del programmatore sociale
L'avvento del programmatore socialeL'avvento del programmatore sociale
L'avvento del programmatore socialeMarcello Missiroli
 

Destacado (13)

Programmazione a oggetti tramite la macchina del caffé (pt. 3)
Programmazione a oggetti tramite la macchina del caffé (pt. 3)Programmazione a oggetti tramite la macchina del caffé (pt. 3)
Programmazione a oggetti tramite la macchina del caffé (pt. 3)
 
Corso Moodle: perché?
Corso Moodle: perché?Corso Moodle: perché?
Corso Moodle: perché?
 
L'avvento del programmatore sociale
L'avvento del programmatore socialeL'avvento del programmatore sociale
L'avvento del programmatore sociale
 
Eccezioni in java
Eccezioni in javaEccezioni in java
Eccezioni in java
 
Investire nelle user story
Investire nelle user storyInvestire nelle user story
Investire nelle user story
 
Moodle: i compiti (homework)
Moodle: i compiti (homework)Moodle: i compiti (homework)
Moodle: i compiti (homework)
 
Routing dinamico
Routing dinamicoRouting dinamico
Routing dinamico
 
Espressioni regolari
Espressioni regolariEspressioni regolari
Espressioni regolari
 
The Sequel to sql
The Sequel to sqlThe Sequel to sql
The Sequel to sql
 
Controllo di versione e Git
Controllo di versione e GitControllo di versione e Git
Controllo di versione e Git
 
Introduzione al dns
Introduzione al dnsIntroduzione al dns
Introduzione al dns
 
Il sistema binario
Il sistema binarioIl sistema binario
Il sistema binario
 
Insegnare Agile
Insegnare AgileInsegnare Agile
Insegnare Agile
 

Similar a Uefi: l'eterna lotta tra il bene e il male

Presentazione del Software Libero e di Ubuntu al Linux Day 25 ottobre 2014
Presentazione del Software Libero e di Ubuntu al Linux Day 25 ottobre 2014Presentazione del Software Libero e di Ubuntu al Linux Day 25 ottobre 2014
Presentazione del Software Libero e di Ubuntu al Linux Day 25 ottobre 2014Janhu Silvio Crispiatico
 
Lotus Foundations Start 1.0 Italian Version
Lotus Foundations Start 1.0 Italian VersionLotus Foundations Start 1.0 Italian Version
Lotus Foundations Start 1.0 Italian VersionEnzo Stanzione
 
Presentazione Linux
Presentazione LinuxPresentazione Linux
Presentazione LinuxMatteo
 
Il dual boot scolastico perfetto (2012)
Il dual boot scolastico perfetto (2012)Il dual boot scolastico perfetto (2012)
Il dual boot scolastico perfetto (2012)Marcello Missiroli
 
Sistemi operativi ed iso
Sistemi operativi ed isoSistemi operativi ed iso
Sistemi operativi ed isoJacopo Grimoldi
 
[Ubuntu per tutti] 1, Ottenere ed installare Ubuntu Linux
[Ubuntu per tutti] 1, Ottenere ed installare Ubuntu Linux[Ubuntu per tutti] 1, Ottenere ed installare Ubuntu Linux
[Ubuntu per tutti] 1, Ottenere ed installare Ubuntu LinuxGalliate Linux User Group
 
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)Stefano Dall'Agata
 
Linux Day 2016 Milano - Open Source Hardware PowerPC Notebook
Linux Day 2016 Milano - Open Source Hardware PowerPC Notebook Linux Day 2016 Milano - Open Source Hardware PowerPC Notebook
Linux Day 2016 Milano - Open Source Hardware PowerPC Notebook Roberto Innocenti
 
Guida al computer - Lezione 132 - Windows 8 – L’installazione Parte 1
Guida al computer - Lezione 132 - Windows 8 – L’installazione Parte 1Guida al computer - Lezione 132 - Windows 8 – L’installazione Parte 1
Guida al computer - Lezione 132 - Windows 8 – L’installazione Parte 1caioturtle
 
Da Windows a Linux: è tempo di migrare
Da Windows a Linux: è tempo di migrareDa Windows a Linux: è tempo di migrare
Da Windows a Linux: è tempo di migrareNicola Corti
 
Systemd - Firenze LUG
Systemd - Firenze LUGSystemd - Firenze LUG
Systemd - Firenze LUGTruelite
 
Linux & Tools: per la piccola azienda e i freelance
Linux & Tools: per la piccola azienda e i freelanceLinux & Tools: per la piccola azienda e i freelance
Linux & Tools: per la piccola azienda e i freelanceFabio Mora
 
XPaddio - Come installare GNU/Linux e vivere felici
XPaddio - Come installare GNU/Linux e vivere feliciXPaddio - Come installare GNU/Linux e vivere felici
XPaddio - Come installare GNU/Linux e vivere feliciFrancesco Marinucci
 

Similar a Uefi: l'eterna lotta tra il bene e il male (20)

Presentazione del Software Libero e di Ubuntu al Linux Day 25 ottobre 2014
Presentazione del Software Libero e di Ubuntu al Linux Day 25 ottobre 2014Presentazione del Software Libero e di Ubuntu al Linux Day 25 ottobre 2014
Presentazione del Software Libero e di Ubuntu al Linux Day 25 ottobre 2014
 
Lotus Foundations Start - Enzo Stanzione
Lotus Foundations Start - Enzo StanzioneLotus Foundations Start - Enzo Stanzione
Lotus Foundations Start - Enzo Stanzione
 
Lotus Foundations Start 1.0 Italian Version
Lotus Foundations Start 1.0 Italian VersionLotus Foundations Start 1.0 Italian Version
Lotus Foundations Start 1.0 Italian Version
 
Presentazione Linux
Presentazione LinuxPresentazione Linux
Presentazione Linux
 
Il dual boot scolastico perfetto (2012)
Il dual boot scolastico perfetto (2012)Il dual boot scolastico perfetto (2012)
Il dual boot scolastico perfetto (2012)
 
Xp addio
Xp addioXp addio
Xp addio
 
Modelli arduino
Modelli arduinoModelli arduino
Modelli arduino
 
Sistemi operativi ed iso
Sistemi operativi ed isoSistemi operativi ed iso
Sistemi operativi ed iso
 
[Ubuntu per tutti] 1, Ottenere ed installare Ubuntu Linux
[Ubuntu per tutti] 1, Ottenere ed installare Ubuntu Linux[Ubuntu per tutti] 1, Ottenere ed installare Ubuntu Linux
[Ubuntu per tutti] 1, Ottenere ed installare Ubuntu Linux
 
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
NON ESISTONO COMPUTER VECCHI (Da xp a linux - Treviso 15/4/2014)
 
Linux Day 2016 Milano - Open Source Hardware PowerPC Notebook
Linux Day 2016 Milano - Open Source Hardware PowerPC Notebook Linux Day 2016 Milano - Open Source Hardware PowerPC Notebook
Linux Day 2016 Milano - Open Source Hardware PowerPC Notebook
 
Cell Programming 1
Cell Programming 1Cell Programming 1
Cell Programming 1
 
Guida al computer - Lezione 132 - Windows 8 – L’installazione Parte 1
Guida al computer - Lezione 132 - Windows 8 – L’installazione Parte 1Guida al computer - Lezione 132 - Windows 8 – L’installazione Parte 1
Guida al computer - Lezione 132 - Windows 8 – L’installazione Parte 1
 
Da Windows a Linux: è tempo di migrare
Da Windows a Linux: è tempo di migrareDa Windows a Linux: è tempo di migrare
Da Windows a Linux: è tempo di migrare
 
Linux Day 2017 - Italia
Linux Day 2017 - ItaliaLinux Day 2017 - Italia
Linux Day 2017 - Italia
 
Systemd - Firenze LUG
Systemd - Firenze LUGSystemd - Firenze LUG
Systemd - Firenze LUG
 
Linux console
Linux consoleLinux console
Linux console
 
Linux & Tools: per la piccola azienda e i freelance
Linux & Tools: per la piccola azienda e i freelanceLinux & Tools: per la piccola azienda e i freelance
Linux & Tools: per la piccola azienda e i freelance
 
Il software libero
Il software liberoIl software libero
Il software libero
 
XPaddio - Come installare GNU/Linux e vivere felici
XPaddio - Come installare GNU/Linux e vivere feliciXPaddio - Come installare GNU/Linux e vivere felici
XPaddio - Come installare GNU/Linux e vivere felici
 

Más de Marcello Missiroli

Guida del perfetto Algoritmista I
Guida del perfetto Algoritmista IGuida del perfetto Algoritmista I
Guida del perfetto Algoritmista IMarcello Missiroli
 
5 stadi dello sviluppo di un gruppo
5 stadi dello sviluppo di un gruppo5 stadi dello sviluppo di un gruppo
5 stadi dello sviluppo di un gruppoMarcello Missiroli
 
Vogliamo programmatori stupidi e pigri!
Vogliamo programmatori stupidi e pigri!Vogliamo programmatori stupidi e pigri!
Vogliamo programmatori stupidi e pigri!Marcello Missiroli
 

Más de Marcello Missiroli (12)

Algorithmist guide II
Algorithmist guide IIAlgorithmist guide II
Algorithmist guide II
 
Guida del perfetto Algoritmista I
Guida del perfetto Algoritmista IGuida del perfetto Algoritmista I
Guida del perfetto Algoritmista I
 
Workshop: Introduzione ad TDD
Workshop: Introduzione ad TDDWorkshop: Introduzione ad TDD
Workshop: Introduzione ad TDD
 
Dal c a Java (3/3)
Dal c a Java (3/3)Dal c a Java (3/3)
Dal c a Java (3/3)
 
Dal C a Java (2/3)
Dal C a Java (2/3)Dal C a Java (2/3)
Dal C a Java (2/3)
 
Dal C a Java (1/3)
Dal C a Java (1/3)Dal C a Java (1/3)
Dal C a Java (1/3)
 
Variabili
VariabiliVariabili
Variabili
 
Sviluppo degli algoritmi
Sviluppo degli algoritmiSviluppo degli algoritmi
Sviluppo degli algoritmi
 
5 stadi dello sviluppo di un gruppo
5 stadi dello sviluppo di un gruppo5 stadi dello sviluppo di un gruppo
5 stadi dello sviluppo di un gruppo
 
Vogliamo programmatori stupidi e pigri!
Vogliamo programmatori stupidi e pigri!Vogliamo programmatori stupidi e pigri!
Vogliamo programmatori stupidi e pigri!
 
Big O Notation
Big O NotationBig O Notation
Big O Notation
 
Introduzione a java doc
Introduzione a java docIntroduzione a java doc
Introduzione a java doc
 

Uefi: l'eterna lotta tra il bene e il male

  • 1. UEFI Secure Boot The good and the bad Marcello Missiroli Davide Bolcioni
  • 2. Di che cosa parleremo ● Motivazioni che hanno portato a UEFI ● Stutturazione tecnica di UEFI ● Le cose buone ● Le cose cattive (o quantomeno sospette)
  • 3. Evoluzione del Boot ● Anni 70: Inizializza e lancia il BASIC ● Anni 80: IBM propone e distribuisce il codice per il BIOS – successo oltre le aspettative ● Tentativi di miglioramenti BIOS (falliti) ● ABIOS (IBM su PS/2, Microchannel) ● Common Hardware Reference Platform (PowerPC) ● OpenFirmware(Forth) ● LinuxBIOS (Licenza)
  • 4. Come funziona il boot oggi ● Lento ● Menu del bios poco intuitivi (spesso in inglese) ● Opzioni oscure tramite [canc] [Fn] ● Tecnologia degli anni 80 ● Durata dai 15 ai 120 secondi ● Usa 16bit e 1Mbyte (max) ● Limite di 2Tb
  • 5. Avvio e spegnimento ● Si fanno tutti i giorni (spesso più volte al giorno) ● Sono un elemento di valutazione della bontà di un sistema (specie per gli utenti non tecnici) ● Dipendono dal firmware
  • 6. Come lo vorremmo? ● Veloce ● Bello ● Moderno ● Chiaro
  • 7. Ecco UEFI ● Unified Extensible Firmware Interface (UEFI) ● Sostituisce il BIOS ● Usa 32 o 64 bit ● Usa UGA (Unified Graphics Adapter) che sostituisce e migliora VGA ● Usa driver (EFI Byte Code, EBC). I dispositivi possono essere usati anche in fase di avvio
  • 8. Uso del disco ● Si possono usare partizioni maggiori di 2Tbyte (max 8Zbyte) ● Non usa più il MBR e le partizioni “classiche”, ma lo schema GUID ● Supporta FAT 32/16/12
  • 9. Schema di GUID MBR “fasullo” Tabella partizioni Primaria (128 max) Elenco partizioni Tabella partizioni Secondaria (copia)
  • 10. Voce della tabella delle partizioni GUID ● Usa 128 byte(!) ● I primi 16 sono il TIPO della partizione ● I secondi 16 sono un ID univoco della partizione ● Seguono 8 byte per l'inizio della partizione (Logical Block Addressing) ● 8 per la fine della partizione (LBA) ● 16 per gli attributi ● 72 per il nome della partizione (UTF-16)
  • 12. Situazione attuale di supporto ● Windows ● Windows 3.1, XP e Vista NON possono funzionare con EFIU ● Windows 7 e Windows server si, ma solo a 64bit ● Linux ● Può funzionare ● Mac OS ● Si, ma con un hack (hackintosh)
  • 13. UEFI: il buono ● Tempi di boot ridotti (7s) ● POST effettuato in grafica moderna ● Passaggio al SO senza sfarfallii ● Protezione dai rootkit e dalle modifiche al BIOS non autorizzate ● Uso di grandi partizioni
  • 14. UEFI Secure Boot ● Come funziona? ● All'avvio viene eseguito il firmware UEFI ● Esamina le memorie di massa che trova ● Riconosce le partizioni avviabili ● Segue una politica per avviare qualcosa ● L'unico che trova ● Il primo ● Chiede all'utente
  • 15. UEFI Secure Boot ● I file avviabili includono una firma ● Firmati con una chiave privata – Nel caso di Windows 8, una di Microsoft ● Il firmware cerca la chiave pubblica corrispondente ● Il file viene letto e la firma viene verificata ● Se non corrisponde, quel file non viene avviato ● Tecnologia analoga a SSL – Ingegnerizzata da Intel – Sicura quanto lo home banking
  • 16. Conseguenze ● Windows 8 da HD si avvia ● Firmato dalla chiave Microsoft Presumibilmente presente (OEM certification) – ● Windows 8 da CD o USB si avvia ● Idem ● Linux da CD si avvia ? La chiave è presente ?
  • 17. Le chiavi del regno ● Chi controlla le chiavi UEFI controlla il PC ● Il produttore del PC controlla la chiave iniziale ● Quelle di Microsoft ci saranno – I produttori di PC non possono ignorare Windows ● Red Hat potrebbe, probabilmente pagando – Non necessariamente in tutti ● Canonical potrebbe, probabilmente pagando – Non è un costo da poco ● Debian avrebbe presumibilmente difficoltà
  • 18. Fornitore e consumatore ● Il fornitore sceglie le chiavi presenti ● Opzione per disabilitare la verifica della chiave ● Il fornitore può scegliere varie politiche ● Solo la chiave Microsoft ● La chiave Microsoft e la propria ● La chiave di chiunque paghi abbastanza ● Una chiave da dispositivo rimovibile (dopo) ● Interfaccia di gestione delle chiavi – Aggiungi, Rimuovi, Abilita, Disabilita, ...
  • 19. A pensar male - 1 ● Ufficialmente per motivi di sicurezza ● Strumenti di ripristino ? ● Stratagemma per tagliare le gambe a Linux ● Quota di mercato in crescita – In particolare nei mercati emergenti ● Acquirente ostaggio delle scelte del fornitore ● Scelte presenti ma soprattutto future – Software a corredo – Installazione OEM vincolata
  • 20. A pensar male -2 ● L'avvio è solo il primo passo ● Una rana si può bollire viva ... piano piano ● Con UEFI controllo cosa viene avviato ● Ciò che viene avviato controlla che S.O. parte – Le chiavi sono nel TPM (aka Palladium) ● Il S.O. controlla la chiave dei programmi avviati – Possono andare in esecuzione solo se autorizzati ● Autorizzati da chi ? ● Niente più software liberamente modificabile – Dà fastidio, perchè consente ai peones di scegliere
  • 21. Esempio: Windows 8 ● Per avere il logo Windows 8 un OEM deve ● Attivare Secure Boot ● Impedirne il controllo tramite programma – Quale programma ? ● Assicurare che vengano impediti aggiornamenti del firmware non autorizzati – Autorizzati da chi ?
  • 22. Attestazione ● Il software può proteggersi dalla copia e dall'uso fuori dai termini di licenza ● Si collega via Internet per verificare ● Questo controllo non può essere rimosso ● Si torna a pagare la licenza di ogni programma ● Niente abuso del software OEM ● Posso impedire la circolazione dell'usato ● Software in abbonamento, a consumo, a tempo ● Intrattenimento pay per view
  • 23. Farsi pagare ● I produttori di PC possono farsi pagare ● Per ciascuna chiave nel firmware UEFI ● I produttori di S.O. possono farsi pagare ● Per ciascuna applicazione autorizzata ● I produttori di applicazioni possono farsi pagare ● Per l'applicazione stessa ● Per i contenuti che riproducono ● Per autorizzare eventuali add-on ● I produttori di contenuti possono farsi pagare
  • 24. Se non siete d'accordo... ● Petizione della FSF http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot
  • 26. Caso RedHatLinux Il sistema legge la tabella delle partizioni ● monta EFI System Partition (ESP), una partizione VFAT etichettata con un globally unique identifier (GUID) particolare (di solito in /boot/efi/) ● La directory /boot/efi/EFI/redhat/ contiene grub.efi, una versione di GRUB speciale. ● GRUB determina quale sistema operativo o kernel deve avviare, lo carica all'interno della memoria e trasferisce il controllo della macchina al sistema operativo in questione.
  • 27. Caso Ubuntu ● Google is your friend, or try: ● https://help.ubuntu.com/community/UEFI ● http://askubuntu.com/questions/91484/how-to-boot-ubun ● https://help.ubuntu.com/community/UEFIBooting YMMV
  • 28. Licenza ● Questo file è distribuito con licenza Creative Common BY-SA ● http://creativecommons.org/licenses/by-sa/2.5/it/ ●