Материалы по тегу: uefi

14.05.2021 [23:38], Андрей Галадей

AMI участвует в разработке UEFI-прошивок с открытым исходным кодом

Перевод различных прошивок на open source решения продолжается. В дело вступает AMI (American Megatrends) — известный поставщик BIOS/UEFI. Проприетарные решения American Megatrends активно применяются в материнских платах разных производителей. Потому интерес последних к открытым решениям вполне понятен. Как сообщается, компания участвует в работе с OpenBMC и связанными проектами. Разработка идёт в рамках Open Compute Project.

При этом AMI разрабатывает версию прошивки сразу под несколько видов процессоров — AMD, Intel и Arm. Похоже, что таким образом компания хочет охватить все актуальные платформы. AMI уже некоторое время работает с OpenBMC, EDK II и связанными с ними компонентами, однако сопровождает собственные форки этих решений. В дальнейшем компания намерена оказывать дополнительные услуги по поддержке, обновлению и кастомизации прошивок.

Согласно блогу консалтинговой фирмы 9elements Security, разработка открытых решений идёт весьма активно. Intel уже заявила о своей поддержке Coreboot на платформах Ice Lake-SP, а также Elkhart Lake и Tiger Lake. Sapphire Rapids также будет поддерживаться. Правда, доступ к компонентам и инструментам Firmware Support Package (FSP), без которых не обойтись, открыт не полностью. На текущий момент реализована загрузка систем Delta Lake на базе Cooper Lake-SP.

Открытые прошивки активно развивает и Ampere Computing, которая работает с EDK II, LinuxBoot и OpenBMC. А вот c AMD ситуация выглядит несколько странно. Компания пару лет назад говорила о поддержке coreboot и даже нанимала инженеров, однако на текущий момент ситуация с серверными платформами на базе AMD EPYC остаётся неясной.

Постоянный URL: http://servernews.ru/1039593
06.05.2021 [20:25], Андрей Галадей

LinuxBoot внедрил netboot.xyz для простой PXE-загрузки по сети

Проект LinuxBoot, который может в будущем заменить некоторые версии проприетарных прошивок UEFI, получил поддержку универсального PXE-загрузчика netboot.xyz. Это сделали разработчики из компании 9elements, которая специализируется на кибербезопасности и консалтинге в области ПО с открытым исходным кодом.

Netboot.xyz представляет собой простой в использовании, открытый инструмент для PXE-загрузки различных установщиков ОС, утилит или иных образов по сети. Это даёт возможность запускать разные системы, выбирать конкретную ОС, версию и так далее. Интеграция Netboot.xyz с LinuxBoot значительно упрощает развертывание ОС и приложений и делает эту альтернативу проприетарным UEFI-решения более привлекательной.

Постоянный URL: http://servernews.ru/1039002
02.12.2020 [14:04], Сергей Карасёв

«Рикор» выпустила собственные версии BIOS/BMC для российских серверов

Компания «Рикор» сообщила о разработке обновлённой версии системы управления BIOS/BMC — отечественного продукта, ориентированного на серверные платформы. Это решение уже включено в Единый реестр российских программ для электронных вычислительных машин и баз данных.

Названная система управления сервером не содержит так называемых «закладок», то есть несанкционированных программных модулей, которые могут использоваться, скажем, с целью шпионажа или нанесения ущерба IT-инфраструктурам. Благодаря этому продукт может применяться в структурах с повышенными требованиями к кибербезопасности.

Новая версия BMC отличается расширенной функциональностью и улучшенной гибкостью настройки. Система может быть адаптирована под требования конкретного заказчика. В частности, могут быть добавлены фирменный логотип, дополнительные функции работы с электронными ключами, обеспечивающими контроль доступа и защиты данных, и др.

«Всё больше российских системных интеграторов и производителей во исполнение политики правительства по импортозамещению задумываются о производстве оборудования под собственным брендом. В том числе, для участия в гостендерах по ФЗ-44 и ФЗ-223. Мы готовы помогать им и с аппаратными, и с программными решениями нижнего уровня. Другими словами, логотип партнера может быть размещен как на корпусе, так и отображаться в системе управления», — подчёркивает «Рикор».

Постоянный URL: http://servernews.ru/1026839
30.07.2020 [11:34], Юрий Поздеев

Серьезная уязвимость BootHole в GRUB2 ставит под угрозу миллионы систем по всему миру

Исследователи из Eclypsium обнаружили серьезную уязвимость в загрузчике GRUB2, которая может быть использована киберпреступниками для контроля над системами Linux и другими ОС во время процесса загрузки, а также для установки срытых вредоносных загрузчиков-буткитов, которые будут работать даже если включить опцию SecureBoot (Безопасная загрузка).

Уязвимость BootHole оценена в 8.2 по CVSS и затрагивает системы, использующие почти каждую версию GRUB2. Таким образом, практически все дистрибутивы Linux находятся в зоне риска. Если вы думаете, что на этом плохие новости заканчиваются, то вы ошибаетесь: GRUB2 используется для поддержки других операционных систем и гипервизоров, таких как Xen. Проблема касается и Windows, если используется этот загрузчик.

Ожидается, что отдельные патчи и рекомендации будут выпущены в ближайшее время Microsoft, Oracle, Red Hat, Canonical, SuSE, Debian, Citrix, VMware и OEM-производителями.

Используя уязвимость BootHole, злоумышленники могут не только контролировать загрузку операционной системы, но и отключать практически любые средства защиты более высокого уровня. Уязвимость основана на переполнении буфера при работе GRUB2 и позволяет выполнять произвольный код при загрузке. Для этого требуется, чтобы злоумышленник имел повышенные привилегии доступа, чтобы менять содержимое файла конфигуратора загрузчика, вне зависимости от включенного SecureBoot. На практике это не такое уж большое ограничение, так как можно воспользоваться другими уязвимостями ОС.

Eclypsium согласовала ответственное раскрытие этой уязвимости с различными отраслевыми организациями, включая поставщиков ОС, производителей ПК и серверов, о чем она сообщила в своем блоге. Для устранения этой уязвимости производителям придется проделать большую работу по внесению изменений и выпуску патчей. В первую очередь обновления требует список отозванных UEFI-сертификатов dbx, что приведёт к невозможности загрузки старых сборок Linux.

Eclypsium рекомендует ИТ отделам и подразделениям ИБ проверить наличие у них возможностей для мониторинга загрузчиков и встроенного ПО UEFI и протестировать возможность восстановления по мере появления обновлений (включая параметры сброса к заводским настройкам).

UPD: как и ожидалось, выпущенные для GRUB2  обновлениявызвали проблемы с их установкой и/или последующей загрузкой ОС. На ошибки жалуются, к примеру, пользователи RHEL и Debian/Ubuntu.

Постоянный URL: http://servernews.ru/1016991
01.07.2020 [23:09], Илья Коваль

Попрание устоев: Fedora Linux может отказаться от поддержки BIOS и заменить vi на nano

Для Linux пришло время больших перемен — в прошлом году начался «крестовый поход» против поддержки 32-бит систем, а уже в этом наметился курс на отказ от старых CPU без AVX2 и ряда других инструкций в рамках Fedora Enterprise Linux Next. Теперь разработчики обсуждают следующий логичный шаг — отказ от поддержки BIOS и работу только с UEFI.

GitHub: hakluke / how-to-exit-vim

GitHub: hakluke / how-to-exit-vim

Компания Intel, ключевой игрок серверного рынка, ещё три года назад пообещала избавиться от поддержки BIOS и OpROM-модулей к концу 2020 года — в современных платформах для их работы требуется принудительно включить режим совместимости CSM (Compatibility Support Module). ARM в рамках программы ServerReady склоняет производителей к унификации, и здесь наличие классического BIOS тоже не подразумевается.

Разработчики дистрибутива Fedora, который многие называют тестовым полигоном для нововведений, попадающих в итоге в Red Hat Enterprise Linux и его «потомков», обсуждают возможность отказа от поддержки BIOS и работу только с UEFI. Отмечается, что современное «железо» всё равно не будет адекватно работать с 32-бит ОС и ПО и не будет совместимо с действительно старым оборудованием.

Если решение об отказе будет принято, а произойдёт это всё равно не раньше следующего года, то обладатели старых, но всё ещё рабочих, то есть чаще всего серверных, систем вряд ли этому обрадуются. Кроме того, могут возникнуть и проблемы с системами виртуализации — почти все из них по умолчанию предлагают загрузку виртуальных машин именно с эмуляцией BIOS, а не UEFI.

Второе важное изменение, обсуждаемое в сообществе Fedora, носит не технический, а скорее исторический характер. В качестве текстового редактора предлагается всегда использовать по умолчанию nano вместо vi (или Vim). Оба из них достаточно легковесны для любых современных систем (со встраиваемыми решениями это не всегда так, но Fedora к таковым трудно отнести). Однако nano гораздо проще в использовании для неподготовленного пользователя, он хотя бы отображает подсказки для клавиатурных сочетаний прямо на экране.

Vi и его наследники по историческим причинам используют отдельные режимы для набора текста и манипуляций над ним, в которых назначение клавиш отличается и никаких подсказок по умолчанию не выводится. Никакой сложности в этом на самом деле нет, но вопрос «Как выйти из vi(m)» регулярно задаётся на протяжении 40 с лишним лет, что стало поводом для, пожалуй, изрядно затянувшихся шуток. Есть даже специальные подборки весьма изощрённых способов покинуть редактор.

Постоянный URL: http://servernews.ru/1014721
04.06.2020 [01:05], Игорь Осколков

Вместо Intel ME можно будет «зашить» загрузчик Linux 5.8

Если точнее, речь идёт об initrd, который используется в процессе загрузке Linux. Новые патчи, предложенные для следующего релиза ядра Linux 5.8, позволят использовать образ, размещённый непосредственно во флеш-памяти BIOS/UEFI материнской платы. Свободное место  для initrd можно получить, удалив из прошивки, например, Intel ME.

Новые патчи добавляют возможность передать в параметре initrdmem физический адрес и размер initrd, записанного во флеш-память. Такой подход необходим из-за ограничений, связанных со строением UEFI: добавление нового раздела невозможно без пересборки образа прошивки из исходников или написания отдельного драйвера. Так что единственная возможность — прямое указание адреса в памяти.

Новую функцию предлагается сделать опциональной для x86-платформ, а свободное место для initrd можно получить, удалив Intel ME. Автор патча отмечает, что для Intel ME обычно отводится половина объёма набортной флеш-памяти, да и вторая половина может использоваться не полностью, так что из типовых 16 Мбайт может быть доступно более десяти, чего вполне достаточно для initrd. Автор также занимается разработкой coreboot, открытой замены BIOS/UEFI.

Напомним, что в 2017 году в Intel ME (Management Engine) нашли серьёзные уязвимости, которые впоследствии были подтверждены Intel. В качестве одной из основных мер защиты предлагалось отключение части функций или полное удаление компонентов ME из прошивки плат. Соответствующие утилиты были созданы и сторонними разработчиками, и производителями оборудования.

Впрочем, новые патчи пригодятся не только для серверов или, реже, десктопных ПК, но и для одноплатных и промышленных компьютеров — в комментариях к патчу, например, указывается возможность работы на Atomic Pi на базе Intel Atom.

Постоянный URL: http://servernews.ru/1012583
05.09.2019 [18:15], Андрей Галадей

Oreboot — Rust-аналог Coreboot — получил поддержку RISC-V и ARM

Oreboot — это аналог Coreboot, который написан на Rust вместо C, что видно даже из названия проекта. Новинка позиционирует себя как замена Coreboot и уже позволяет работать с LinuxBoot. Ну а сам Coreboot является открытой заменой BIOS/UEFI. 

Активная разработка Oreboot продолжается уже несколько месяцев, но только на днях появилась базовая поддержка первых аппаратных платформ. Ими стали BMC-контроллер ASpeed AST2500 на базе ARM и плата HiFive Unleashed на базе RISC-V. 

Пока что Oreboot ориентируется только на полностью открытые системы, что означает, в частности, отсутствие поддержки x86. Исходный код проекта размещён на GitHub, так что желающие могут ознакомиться с ним. Больше подробностей стоит ожидать с конференции OSFC 2019, которая сейчас проходит в Калифорнии. 

puri.sm

puri.sm

В целом же тематика замены проприетарных версий BIOS / UEFI становится всё более популярной в среде крупных корпораций и IT-компаний. Ранее компания AMD сообщила , что намерена вернуться к поддержке Coreboot в своих продуктах. А в Supermicro добавили поддержку Coreboot для системной платы X11SSH-TF.

В целом, переход на open source в области программного и аппаратного обеспечения становится всё активнее. И причина тому — безопасность. Уж слишком часто проприетарные системы становились источниками разноплановых утечек, так что компании всё чаще обращают внимание на открытые аналоги.

К слову о  Rust. Недавно стало известно, что использование этого языка может стать реальностью для ядра Linux. Речь идёт о написании драйверов, что должно улучшить безопасность системы в целом. Правда, это потребует большой подготовительной работы, ведь потребуется создать специальный фреймворк и мотивировать разработчиков переходить на  Rust.

Постоянный URL: http://servernews.ru/993565
16.04.2013 [18:27], Андрей Крупин

«Лаборатория Касперского» интегрировала антивирусные технологии в «железо»

«Лаборатория Касперского» объявила о реализации проекта по созданию доверенной вычислительной среды и выпуске защитного решения для интерфейса загрузки UEFI (Unified Extensible Firmware Interface), пришедшего на смену BIOS и используемого для инициализации оборудования при включении компьютера и последующей передачи управления загрузчику операционной системы.

Новый продукт, получивший название Антивирус Касперского для UEFI, позволяет проверять используемые в процессе загрузки операционной системы файлы и предназначен в первую очередь для организаций, предъявляющих к вопросам информационной безопасности повышенные требования. В качестве потенциальных пользователей решения называются государственные, силовые, финансовые структуры, компании, занимающиеся разработкой инновационных технологий, предприятия энергетического и промышленного сектора.

Лаборатория Касперского занялась интеграцией антивирусных технологий в железо

В России Антивирус Касперского для UEFI будет доступен как коммерческим, так и государственным организациям в виде средства защиты, интегрированного в материнские платы рабочих станций, производимых компанией Kraftway. На сегодняшний день Kraftway выпускает пять моделей материнских плат с интегрированными модулями безопасности «Лаборатории Касперского».

«Интеграция наших технологий в «железо» — новая область работы для нас. Однако развитие киберугроз, их усложнение и модернизация требуют новых подходов не только в разработке, но и в распространении защитного ПО. И в этом плане сотрудничество с Kraftway, одним из ведущих производителей аппаратного обеспечения на российском рынке, как нельзя лучше способствует решению этой задачи. Кроме того, наше партнёрство позволит российским компаниям и пользователям в числе первых в мире получить качественную антивирусную защиту нового поколения», — отметил Сергей Земков, управляющий директор «Лаборатории Касперского» в России.

Материалы по теме:

Источник:

Постоянный URL: http://servernews.ru/597292
Система Orphus