4 jun 2012

UEFI secure boot en Fedora 18 - UEFI secure boot una amenaza para los usuarios | Microsoft quiere que seas un cordero, no lo dejes!, entrá, lee y firmá!

Hace algunos dias, me enteré (tarde), que Fedora 18 va a incluir secure boot, una caracteristica de UEFI bios, que usará tambien Microsoft.

Referencias:
http://www.h-online.com/open/news/item/Fedora-18-to-support-UEFI-Secure-Boot-1588057.html
http://mjg59.dreamwidth.org/5552.html
http://mjg59.dreamwidth.org/


Primero que nada, que es UEFI secure boot?:

http://en.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface#Secure_Boot

Existen 4 datos relevantes aqui y ahora y sobre este tema.

1.- Me decepciona muchisimo, que redhat haya pagado $99 dolares a Microsoft, asi bajando su cabeza, para comprar una firma digital UEFI, y asi incorporarla en GRUB2, con licencia GPLv3 (no la rompe, pero es una trampa legal para no hacerlo).
Fedora es un proyecto comunitario, o lo era, que tenia como sponsor, a RedHat.
En estos ultimos dias, lei a algunos developer de Fedora Project, decir que cuando esto sea aprobado, van a mudarse a otra distro, por cuestiones éticas.

Referencia: http://lists.fedoraproject.org/pipermail/devel/2012-June/167732.html

2.- Una empresa que defiende la libertad, y la promueve, liberando los .src.rpm de su distro enterprise, compra una firma a Microsoft?, es evidente el porque lo hace, la entiendo, pero no lo justifico ni comparto.

3.- Esta nueva caracteristica, impide que sea usado un kernel compilado por uno mismo, o cualquier otra cosa ajena a la distribucion, como ser: VirtualBox, nvidia driver, .tar.gz compilados, y cualquier software que no este firmado. Al día de la fecha, Fedora no ha informado sobre alguna herramienta de firmado para los usuarios, ni tampoco la opcion de poder desactivar la posibilidad de secure boot.

4.- Debajo del manto de seguridad que nos quiere mostrar Microsoft, existe una malevola realidad, que es la de presionar a los OEM vendors, como HP, DELL, etc, para que solo puedan vender sus equipos con el logotipo de Windows 8, si lockean y viene por defecto el secure boot activado. Esto impediria que se instale cualquier otro OS o distro no firmado, por eso, redhat compró una firma a Microsoft.

Analizando brevemente esto, puedo decir, y tomando en cuenta comentarios de gente del Fedora Team, que RedHat toma a Fedora como RHEL-Devel, ni mas ni menos, le guste a quien le guste, no daré nicks de los developer porque no quiero perjudicar a nadie, pero poseo los LOG en caso de ser necesarios.

RedHat de forma arbitraria, se interpone en un proyecto comunitario, para imponer un feature que nadie pidio, pero le conviene a ellos, como?.

Al ser Fedora el RHEL-Devel, esto quiere decir que Fedora 18, sera el proximo RHEL7, el cual tendrá esa caracteristica, y RedHat, no quiere perder el soporte a equipos OEM y no clones, es decir, mucha gente usa RHEL en sus notebook o desktop de marca.

Donde esta el problema?, en ningun lado y en todos a la vez. La accion arbitraria de RedHat es correcta para su modelo de negocios, pero se contradice con los principios de Fedora, o ahora los valores de la distro pueden cambiarse?. El caso es que es una accion para no perder de ganar dinero en un futuro cercano, sin tener en cuenta los valores con los que se promociona Fedora Project.
Me pregunto, van a pagarme por los bugreport que hice?, de bug pequeños como de seguridad?, no !.
Entonces, tengo yo el derecho de interceder?, si, puedo?, no, ya se lo han negado a varios developer, quien soy yo?, nadie para RedHat.

Me parece bien que una distro linux compita de cara a cara con Windows 8 y no se quede afuera, lo que me parece errado, es comprar una key a Microsoft, y dejar como feature, secure boot en Fedora, dejandome a mi y a muchos usuarios, sin la posibilidad de compilar un kernel.

Es patetico ver como el mundo agacha la cabeza frente a M$, aka microsoft, y ceden a sus peticiones.

Esperaba mas de RedHat, como por ejemplo, comprar una key, para poder iniciar en hardware firmado para Windows 8, y mientras iniciar una demanda por acciones monopolicas, dado que esto no es ni mas ni menos que eso.

Esto se contradice con el banner de mi blog, que en breve cambiaré, porque?, no voy a seguir usando una distro que sea la esclava de las decisiones de una corporacion, si bien reitero, es correcto el camino de RedHat, no es la forma, podrian haber realizado su propia firma, o como harán otras distro, y no "transar" con M$.

Como dije, usaré Fedora y RHEL, pero cuando esto se confirme, si veo que no tengo herramientas para desactivarlo o firmar mis paquetes, me cambiaré de distro, sin dudarlo. Pero... no estabas molesto por el hecho en si?, asi es, pero debo reconocer que el sistema RPM + YUM es lo mejor que  probé, y entiendo, no soy tan cerrado, la postura de RedHat: No quedarse afuera. Es como las patentes que paga Google a M$ por Android.

Hay otro camino?, si realmente, generar una key propia, o una key de manos de un organismo sin fines de lucro, compartirla con M$, y mientras tanto, iniciar una demanda, para que si no retiran la exigencia, al menos permitan a cada OEM dejar claro en su manual y BIOS UEFI que pueden sacar el secure boot.

Voy a poner a continuacion un texto sobre el tema, de la FSF, y un lugar donde firmar, para pedir que M$ no obligue a los OEM a lockear esta caracteristica


No hace mucho que salío la noticia del acuerdo entro Microsoft y los fabricantes de computadoras para habilitar de forma predeterminada el "Booteo Seguro" impidiendo así arrancar y por lo tanto instalar un sistema operativo no firmado por el mismísimo Microsoft, Microsoft a pesar de haber aclarado que permitirá que los fabricantes implementen alguna opción para desactivar esta características, son muchas las personas escépticas (entre esas personas, yo), en que los fabricantes den realmente esta libertad. Por ello la FSF se a puesto en campaña para asegurarse de que todos los fabricantes de computadoras den la opción de desactivar el "Secure Boot".

FSF.org escribió:

Por favor firme nuestro petición para mostrar su apoyo!

Microsoft ha anunciado que si los fabricantes de computadoras desean distribuir las máquinas con el logotipo de compatibilidad con Windows 8, tendrá que aplicar una medida llamada "Arranque Seguro" (Secure Boot). Arranque Seguro está diseñado para proteger contra malware previniendo que las computadoras carguen programas binarios no autorizados en el arranque. En la práctica, esto significa que los equipos que implenten esta característica no podrán arrancar sistemas operativos no autorizados -- incluyendo los sistemas inicialmente autorizados que han sido modificados sin ser aprobado de nuevo.

Esto podría ser una característica, siempre y cuando el usuario está en condiciones de autorizar los programas que quiere usar, por lo que puede ejecutar el Software Libre escrito y modificado por el mismo o las personas de su confianza. Sin embargo, nos preocupa que Microsoft y los fabricantes de hardware incorporen el llamado Arranque Seguro de una manera que los usuarios no podrán iniciar algo que no sea Windows. En este caso, el requisito es una restricción en el usuario, no una característica de seguridad en absoluto.

La posible necesidad del arranque restringido viene como parte de una especificación denominada Interfaz Extensible del Firmware y Unificada (Unified Extensible Firmware Interface, UEFI), que define una interfaz entre el hardware y el software que se ejecuta. Es un software que permite al equipo arrancar, y que está destinado a sustituir la tradicional BIOS. La mayoría de las computadoras como Lenovo, HP, y Dell se distribuyen con UEFI, y otros fabricantes no se quedan atrás. Todos los ordenadores de Apple vienen con EFI y componentes de UEFI. Al arrancar, este software se inicia en conjunto, utilizando un protocolo de autenticación de clave pública basado ​​en criptografía, el cual puede comprobar el kernel del sistema operativo y otros componentes para asegurarse de que no se han modificado de manera no autorizada. Si los componentes dan error en la comprobación, el equipo no arranca.

La amenaza no es la especificación UEFI sí mismo, sino en cómo los fabricantes de ordenadores optarán por aplicar las restricciones de arranque. Dependiendo de la implementación de un fabricante, que podría bloquear los usuarios de sus propios equipos, evitando que nunca puedan arrancar o instalar de un sistema operativo de Software Libre.

Es esencial que los fabricantes implementen UEFI de la manera correcta. Para respetar la libertad del usuario y realmente proteger su seguridad, o bien debe permitir a los propietarios de ordenadores desactivar la restricción de arranque, o proporcionar una manera segura para que ellos puedan instalar y ejecutar un sistema operativo de Software Libre de su elección. Los propietarios de ordenadores no estarán obligados a solicitar la autorización externa para el ejercicio de sus libertades.

La alternativa es aterradora e inaceptable: los usuarios tendrán que ir a través de medidas complicadas y riesgosas para eludir las restricciones, la tendencia popular de revivir el hardware viejo con GNU/Linux llegará a su fin, causando que más hardware sea desechado como basura, y las compañias de Software Privativo podrían ganar una ventaja gigante sobre el movimiento del Software Libre, debido a sus conexiones con los fabricantes.

Estaremos siguiendo de cerca la evolución en esta área, y realizando una activa campaña para asegurarnos de proteger esta importante libertad. Nuestro primer paso es demostrar que la gente valora esa libertad, y no comprar o recomendar los equipos que intentan restringirla. 




Fuente de el texto anterior en Italic: http://www.somoslibres.org/modules.php?name=News&file=article&sid=4970

Donde firmar?: http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot


Sin más, solo cabe aclarar algo más, porque no me gusta prestar a confusion sobre mi persona, para que luego se inicie un flamewar en comment sobre el blog

1.- No estoy de acuerdo con el camino que tomo RedHat para solucionar el problema
2.- Si me gusta Fedora y RHEL
3.- Dejaré de usar Fedora, en caso de que esta mi limite en cuestiones de compilacion y demas, por temas éticos, M$ me limita, ellos tambien?, no, serian la misma basura
4.- No dejaré de usar Fedora por temas éticos relacionados al pago, dado que entiendo que RedHat necesita del soporte para ganar dinero y asi mantener los servidores de Fedora, contribuir con codigo al linux kernel, etc
5.- Si creo firmemente que este es el comienzo del fin, una vez que aceptas algo de un matón (Microsoft), luego no hay vuelta atrás, hubiera preferido, que se generase una key en un organismo sin fines de lucro y se inicie una demanda a M$
6.-Si van a comprar una PC armada, notebook, chequeen que su BIOS tenga la opción de unlockear esa caracteristica
7.- Si el secure boot esta lockeado, es decir, fijado, su PC no correrá otra cosa que Windows 8 y por ahora, Fedora 18, ningun otro sistema operativo

Sin mas, saludos



No hay comentarios:

Publicar un comentario

Dejá tu comentario