Aparentemente, la Linux Foundation, esta trabajando en un codigo para evadir el secure boot de UEFI (que seguro era no? xD), de Intel y M$ (aka microsoft).
Mostrando entradas con la etiqueta secure boot. Mostrar todas las entradas
Mostrando entradas con la etiqueta secure boot. Mostrar todas las entradas
17 jul 2012
5 jun 2012
UEFI Secure Boot y Microsoft: No lo apoyes y defendete del monopolio de M$ sobre las PC - Notebook - All In One - Netbook! tampoco seas victima y dejes que tu PC este bloqueada! - No Queremos PC Bloqueadas
Qué es UEFI y porque deberia leer esto?
Voy a intentar explicar esto, no para los lectores de siempre, sino para una persona que sabe solo prender el microondas.
Hace algunos meses, se esta comentando y barajando la posibilidad, de que Microsoft, obligue a los fabricantes como: HP, DELL, Lenovo, Samsung, etc, a bloquear sus equipos para que solo puedas usar Windows 8.
Esta tecnologia creada por Intel, son los BIOS UEFI, esos que habras visto, que son graficos, con mouse, como si fuera un windows 98, bueno, eso son BIOS UEFI.
Las nuevas PC, mothers, notebook, laptop, netbook, AllInOne, van a tener posiblemente ese BIOS, por sus mejoras técnicas y usabilidad mejorada que tiene, el BIOS UEFI.
El UEFI BIOS, trae consigo, una utilidad llamada "secure boot". Esta funcion, permite al estar activada, que SOLAMENTE sistemas operativos (Windows 8), firmados (con una firma que se le compra a Microsoft en caso de quererlo), inicien en tu PC, y cosas no firmadas, no, por ejemplo:
Ubuntu, Debian, Linux, OSX, algun sistema operativo, programas no firmados, programas creados por vos, drivers no firmados por falta de convenios y malware. La cuestion radica en que Microsoft se vale de la excusa de ser "solo por seguridad", para poder pedir el bloqueo de esta opcion en tu PC, y asi prevenir que uses otro sistema operativo que no sea Windows 8.
La tecnologia se creo / invento, con el fin de impedir la carga de malware en Windows 8, como puede ser, rootkit, troyanos, etc. Eso seria algo bueno, nada malo, de hecho muy bueno. Por desgracia, Microsoft tiene planeado manipular esto, sigan leyendo.
Solo Windows 8 de momento posee estas firmas
Esto quiere decir, que si compras una PC, notebook, etc, con UEFI BIOS, y dejás "secure boot" activado, esa PC, solo va a iniciar un sistema Windows 8, que es el unico que soporta esa caracteristica.
Vos me dirás, pero eso que tiene de malo?, bueno, mucho. El UEFI BIOS lo que hace es impedir la carga de cualquier cosa, sistema, driver, programa, etc, que no este firmada por Microsoft con esa firma especial, por lo tanto, asi como previene el malware (virus, troyanos, etc) en la carga del sistema, previene que otros sistemas se ejecuten en el, o tu driver, tu programa preferido de musica, lo que sea, no va a andar!.
Microsoft se excusa en que esto es una funcionalidad de seguridad, para decir que esto no es monopolio, cuando si lo es, porque?, te explico.
Todas las empresas, como HP, DELL y las antes mencionadas, quieren tener el logo y sticker de Windows 8 certificado en sus cajas y PC, para eso, Microsoft obliga, como algo excluyente, que "secure boot", este activado si o si, que quiere decir?, que si compras una PC o algo, con Windows 8 y tiene sticker o logo, no va a poder iniciar un Ubuntu Linux, OSX o lo que quieras vos.
Si bien recientemente (noviembre del 2011), HP y DELL, las únicas, salieron a decir que iban a dejar esta medida para poder sacarla, no es seguro que eso paso, no fue un comunicado firmado ni nada que se los impida y Microsoft esta presionando para que esto sea una realidad absoluta, porque?, facil:
Con esta medida, Microsoft se asegura que cualquier PC, notebook moderna, solo funcione con Windows 8, y NO puedas instalar otra cosa, Windows 7, XP, Ubuntu Linux, DOS, lo que quieras, no va a andar, creeme.
Que podes hacer vos? para que no te quiten la libertad de elegir y no ser estafado?, aclaro antes que nada, esto NO tiene que ver con Linux, ni el comunismo ni nada similar, es un aviso que nadie dan en diarios como clarin.com, infobane.com, tn tecno, etc (soy de Argentina).
Que pasa con las tablets, smartphones y Ebook Reader?
Buena pregunta, y no está de mas explicarlo. Según Microsoft, el requerimiento para PC, notebook que usan CPU como Intel, AMD, de esa clase, los llamados x86, por su arquitectura, deben tener SI o SI activo el secure boot desde el inicio, pero no indican si debe estar bloqueado, lo que si podría pasar de todos modos.
Ahora bien, para arquitecturas ARM, asi se llama lo que usan de CPU las tablet, smartphone, netbook chinas, etc, especifica que ademas de activo por defecto, debe estar bloqueado, esto quiere decir, que si compras una tablet, netbook china ARM, smartphone o algo que no sea x86 y traiga Windows 8 con su logo certificado, de por vida eso que compraste deberá usarse con Windows 8, no podrás poner ni sacar nada, como si de un Iphone se tratase.
Medidas para que no te estafen
1.- Cuando vayas a comprar tu PC, a donde sea, asegurate que si trae UEFI BIOS, dentro de el, se pueda desactivar la opcion de "secure boot"
2.- Si compras o te quieren vender una PC o notebook con el "secure boot" habilitado y no se deja cambiar, te estan estafando!, podes denunciarlos!. No vas a poder instalar tu amado Windows 7, ni XP ni nada.
3.- Si trae el logo de Windows 8, asegurate bien lo que dice el primer punto, si el vendedor se niega a probartelo o no te asesoran, no compres!, asi vas a cortar el circuito mafioso de Microsoft y demas empresas.
Si además de los puntos antes mencionados, entendés todo esto que va a pasar y queres sumarte a una campaña para que no suceda, solo firmando de forma anonima, debés poner, nombre, apellido y mail, que NO serán publicados, podes ingresar en:
Firmá y hacete respetar! http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement
Eso es una firma en la FSF (Fundacion de Software Libre), para que sus abogados y demas, actuen en contra de Microsoft impidiendo que las PC esten bloqueadas, es una ONG, organizacion sin animo de lucro.
Por si no lo sabes detectar, un bios UEFI se ve así
Recordá, que si es UEFI y tiene el logo de Windows 8, debe poder desactivarse el "secure boot", o no compres!, buscá otra marca o modelo!
4 jun 2012
UEFI secure boot en Fedora 18 - UEFI secure boot una amenaza para los usuarios | Microsoft quiere que seas un cordero, no lo dejes!, entrá, lee y firmá!
Hace algunos dias, me enteré (tarde), que Fedora 18 va a incluir secure boot, una caracteristica de UEFI bios, que usará tambien Microsoft.
Referencias:
http://www.h-online.com/open/news/item/Fedora-18-to-support-UEFI-Secure-Boot-1588057.html
http://mjg59.dreamwidth.org/5552.html
http://mjg59.dreamwidth.org/
Primero que nada, que es UEFI secure boot?:
http://en.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface#Secure_Boot
Existen 4 datos relevantes aqui y ahora y sobre este tema.
1.- Me decepciona muchisimo, que redhat haya pagado $99 dolares a Microsoft, asi bajando su cabeza, para comprar una firma digital UEFI, y asi incorporarla en GRUB2, con licencia GPLv3 (no la rompe, pero es una trampa legal para no hacerlo).
Fedora es un proyecto comunitario, o lo era, que tenia como sponsor, a RedHat.
En estos ultimos dias, lei a algunos developer de Fedora Project, decir que cuando esto sea aprobado, van a mudarse a otra distro, por cuestiones éticas.
Referencia: http://lists.fedoraproject.org/pipermail/devel/2012-June/167732.html
2.- Una empresa que defiende la libertad, y la promueve, liberando los .src.rpm de su distro enterprise, compra una firma a Microsoft?, es evidente el porque lo hace, la entiendo, pero no lo justifico ni comparto.
3.- Esta nueva caracteristica, impide que sea usado un kernel compilado por uno mismo, o cualquier otra cosa ajena a la distribucion, como ser: VirtualBox, nvidia driver, .tar.gz compilados, y cualquier software que no este firmado. Al día de la fecha, Fedora no ha informado sobre alguna herramienta de firmado para los usuarios, ni tampoco la opcion de poder desactivar la posibilidad de secure boot.
4.- Debajo del manto de seguridad que nos quiere mostrar Microsoft, existe una malevola realidad, que es la de presionar a los OEM vendors, como HP, DELL, etc, para que solo puedan vender sus equipos con el logotipo de Windows 8, si lockean y viene por defecto el secure boot activado. Esto impediria que se instale cualquier otro OS o distro no firmado, por eso, redhat compró una firma a Microsoft.
Analizando brevemente esto, puedo decir, y tomando en cuenta comentarios de gente del Fedora Team, que RedHat toma a Fedora como RHEL-Devel, ni mas ni menos, le guste a quien le guste, no daré nicks de los developer porque no quiero perjudicar a nadie, pero poseo los LOG en caso de ser necesarios.
RedHat de forma arbitraria, se interpone en un proyecto comunitario, para imponer un feature que nadie pidio, pero le conviene a ellos, como?.
Al ser Fedora el RHEL-Devel, esto quiere decir que Fedora 18, sera el proximo RHEL7, el cual tendrá esa caracteristica, y RedHat, no quiere perder el soporte a equipos OEM y no clones, es decir, mucha gente usa RHEL en sus notebook o desktop de marca.
Donde esta el problema?, en ningun lado y en todos a la vez. La accion arbitraria de RedHat es correcta para su modelo de negocios, pero se contradice con los principios de Fedora, o ahora los valores de la distro pueden cambiarse?. El caso es que es una accion para no perder de ganar dinero en un futuro cercano, sin tener en cuenta los valores con los que se promociona Fedora Project.
Me pregunto, van a pagarme por los bugreport que hice?, de bug pequeños como de seguridad?, no !.
Entonces, tengo yo el derecho de interceder?, si, puedo?, no, ya se lo han negado a varios developer, quien soy yo?, nadie para RedHat.
Me parece bien que una distro linux compita de cara a cara con Windows 8 y no se quede afuera, lo que me parece errado, es comprar una key a Microsoft, y dejar como feature, secure boot en Fedora, dejandome a mi y a muchos usuarios, sin la posibilidad de compilar un kernel.
Es patetico ver como el mundo agacha la cabeza frente a M$, aka microsoft, y ceden a sus peticiones.
Esperaba mas de RedHat, como por ejemplo, comprar una key, para poder iniciar en hardware firmado para Windows 8, y mientras iniciar una demanda por acciones monopolicas, dado que esto no es ni mas ni menos que eso.
Esto se contradice con el banner de mi blog, que en breve cambiaré, porque?, no voy a seguir usando una distro que sea la esclava de las decisiones de una corporacion, si bien reitero, es correcto el camino de RedHat, no es la forma, podrian haber realizado su propia firma, o como harán otras distro, y no "transar" con M$.
Como dije, usaré Fedora y RHEL, pero cuando esto se confirme, si veo que no tengo herramientas para desactivarlo o firmar mis paquetes, me cambiaré de distro, sin dudarlo. Pero... no estabas molesto por el hecho en si?, asi es, pero debo reconocer que el sistema RPM + YUM es lo mejor que probé, y entiendo, no soy tan cerrado, la postura de RedHat: No quedarse afuera. Es como las patentes que paga Google a M$ por Android.
Hay otro camino?, si realmente, generar una key propia, o una key de manos de un organismo sin fines de lucro, compartirla con M$, y mientras tanto, iniciar una demanda, para que si no retiran la exigencia, al menos permitan a cada OEM dejar claro en su manual y BIOS UEFI que pueden sacar el secure boot.
Voy a poner a continuacion un texto sobre el tema, de la FSF, y un lugar donde firmar, para pedir que M$ no obligue a los OEM a lockear esta caracteristica
Fuente de el texto anterior en Italic: http://www.somoslibres.org/modules.php?name=News&file=article&sid=4970
Referencias:
http://www.h-online.com/open/news/item/Fedora-18-to-support-UEFI-Secure-Boot-1588057.html
http://mjg59.dreamwidth.org/5552.html
http://mjg59.dreamwidth.org/
Primero que nada, que es UEFI secure boot?:
http://en.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface#Secure_Boot
Existen 4 datos relevantes aqui y ahora y sobre este tema.
1.- Me decepciona muchisimo, que redhat haya pagado $99 dolares a Microsoft, asi bajando su cabeza, para comprar una firma digital UEFI, y asi incorporarla en GRUB2, con licencia GPLv3 (no la rompe, pero es una trampa legal para no hacerlo).
Fedora es un proyecto comunitario, o lo era, que tenia como sponsor, a RedHat.
En estos ultimos dias, lei a algunos developer de Fedora Project, decir que cuando esto sea aprobado, van a mudarse a otra distro, por cuestiones éticas.
Referencia: http://lists.fedoraproject.org/pipermail/devel/2012-June/167732.html
2.- Una empresa que defiende la libertad, y la promueve, liberando los .src.rpm de su distro enterprise, compra una firma a Microsoft?, es evidente el porque lo hace, la entiendo, pero no lo justifico ni comparto.
3.- Esta nueva caracteristica, impide que sea usado un kernel compilado por uno mismo, o cualquier otra cosa ajena a la distribucion, como ser: VirtualBox, nvidia driver, .tar.gz compilados, y cualquier software que no este firmado. Al día de la fecha, Fedora no ha informado sobre alguna herramienta de firmado para los usuarios, ni tampoco la opcion de poder desactivar la posibilidad de secure boot.
4.- Debajo del manto de seguridad que nos quiere mostrar Microsoft, existe una malevola realidad, que es la de presionar a los OEM vendors, como HP, DELL, etc, para que solo puedan vender sus equipos con el logotipo de Windows 8, si lockean y viene por defecto el secure boot activado. Esto impediria que se instale cualquier otro OS o distro no firmado, por eso, redhat compró una firma a Microsoft.
Analizando brevemente esto, puedo decir, y tomando en cuenta comentarios de gente del Fedora Team, que RedHat toma a Fedora como RHEL-Devel, ni mas ni menos, le guste a quien le guste, no daré nicks de los developer porque no quiero perjudicar a nadie, pero poseo los LOG en caso de ser necesarios.
RedHat de forma arbitraria, se interpone en un proyecto comunitario, para imponer un feature que nadie pidio, pero le conviene a ellos, como?.
Al ser Fedora el RHEL-Devel, esto quiere decir que Fedora 18, sera el proximo RHEL7, el cual tendrá esa caracteristica, y RedHat, no quiere perder el soporte a equipos OEM y no clones, es decir, mucha gente usa RHEL en sus notebook o desktop de marca.
Donde esta el problema?, en ningun lado y en todos a la vez. La accion arbitraria de RedHat es correcta para su modelo de negocios, pero se contradice con los principios de Fedora, o ahora los valores de la distro pueden cambiarse?. El caso es que es una accion para no perder de ganar dinero en un futuro cercano, sin tener en cuenta los valores con los que se promociona Fedora Project.
Me pregunto, van a pagarme por los bugreport que hice?, de bug pequeños como de seguridad?, no !.
Entonces, tengo yo el derecho de interceder?, si, puedo?, no, ya se lo han negado a varios developer, quien soy yo?, nadie para RedHat.
Me parece bien que una distro linux compita de cara a cara con Windows 8 y no se quede afuera, lo que me parece errado, es comprar una key a Microsoft, y dejar como feature, secure boot en Fedora, dejandome a mi y a muchos usuarios, sin la posibilidad de compilar un kernel.
Es patetico ver como el mundo agacha la cabeza frente a M$, aka microsoft, y ceden a sus peticiones.
Esperaba mas de RedHat, como por ejemplo, comprar una key, para poder iniciar en hardware firmado para Windows 8, y mientras iniciar una demanda por acciones monopolicas, dado que esto no es ni mas ni menos que eso.
Esto se contradice con el banner de mi blog, que en breve cambiaré, porque?, no voy a seguir usando una distro que sea la esclava de las decisiones de una corporacion, si bien reitero, es correcto el camino de RedHat, no es la forma, podrian haber realizado su propia firma, o como harán otras distro, y no "transar" con M$.
Como dije, usaré Fedora y RHEL, pero cuando esto se confirme, si veo que no tengo herramientas para desactivarlo o firmar mis paquetes, me cambiaré de distro, sin dudarlo. Pero... no estabas molesto por el hecho en si?, asi es, pero debo reconocer que el sistema RPM + YUM es lo mejor que probé, y entiendo, no soy tan cerrado, la postura de RedHat: No quedarse afuera. Es como las patentes que paga Google a M$ por Android.
Hay otro camino?, si realmente, generar una key propia, o una key de manos de un organismo sin fines de lucro, compartirla con M$, y mientras tanto, iniciar una demanda, para que si no retiran la exigencia, al menos permitan a cada OEM dejar claro en su manual y BIOS UEFI que pueden sacar el secure boot.
Voy a poner a continuacion un texto sobre el tema, de la FSF, y un lugar donde firmar, para pedir que M$ no obligue a los OEM a lockear esta caracteristica
No hace mucho que salío la noticia del acuerdo entro Microsoft y los fabricantes de computadoras para habilitar de forma predeterminada el "Booteo Seguro" impidiendo así arrancar y por lo tanto instalar un sistema operativo no firmado por el mismísimo Microsoft, Microsoft a pesar de haber aclarado que permitirá que los fabricantes implementen alguna opción para desactivar esta características, son muchas las personas escépticas (entre esas personas, yo), en que los fabricantes den realmente esta libertad. Por ello la FSF se a puesto en campaña para asegurarse de que todos los fabricantes de computadoras den la opción de desactivar el "Secure Boot".
FSF.org escribió:
Por favor firme nuestro petición para mostrar su apoyo!
Microsoft ha anunciado que si los fabricantes de computadoras desean distribuir las máquinas con el logotipo de compatibilidad con Windows 8, tendrá que aplicar una medida llamada "Arranque Seguro" (Secure Boot). Arranque Seguro está diseñado para proteger contra malware previniendo que las computadoras carguen programas binarios no autorizados en el arranque. En la práctica, esto significa que los equipos que implenten esta característica no podrán arrancar sistemas operativos no autorizados -- incluyendo los sistemas inicialmente autorizados que han sido modificados sin ser aprobado de nuevo.
Esto podría ser una característica, siempre y cuando el usuario está en condiciones de autorizar los programas que quiere usar, por lo que puede ejecutar el Software Libre escrito y modificado por el mismo o las personas de su confianza. Sin embargo, nos preocupa que Microsoft y los fabricantes de hardware incorporen el llamado Arranque Seguro de una manera que los usuarios no podrán iniciar algo que no sea Windows. En este caso, el requisito es una restricción en el usuario, no una característica de seguridad en absoluto.
La posible necesidad del arranque restringido viene como parte de una especificación denominada Interfaz Extensible del Firmware y Unificada (Unified Extensible Firmware Interface, UEFI), que define una interfaz entre el hardware y el software que se ejecuta. Es un software que permite al equipo arrancar, y que está destinado a sustituir la tradicional BIOS. La mayoría de las computadoras como Lenovo, HP, y Dell se distribuyen con UEFI, y otros fabricantes no se quedan atrás. Todos los ordenadores de Apple vienen con EFI y componentes de UEFI. Al arrancar, este software se inicia en conjunto, utilizando un protocolo de autenticación de clave pública basado en criptografía, el cual puede comprobar el kernel del sistema operativo y otros componentes para asegurarse de que no se han modificado de manera no autorizada. Si los componentes dan error en la comprobación, el equipo no arranca.
La amenaza no es la especificación UEFI sí mismo, sino en cómo los fabricantes de ordenadores optarán por aplicar las restricciones de arranque. Dependiendo de la implementación de un fabricante, que podría bloquear los usuarios de sus propios equipos, evitando que nunca puedan arrancar o instalar de un sistema operativo de Software Libre.
Es esencial que los fabricantes implementen UEFI de la manera correcta. Para respetar la libertad del usuario y realmente proteger su seguridad, o bien debe permitir a los propietarios de ordenadores desactivar la restricción de arranque, o proporcionar una manera segura para que ellos puedan instalar y ejecutar un sistema operativo de Software Libre de su elección. Los propietarios de ordenadores no estarán obligados a solicitar la autorización externa para el ejercicio de sus libertades.
La alternativa es aterradora e inaceptable: los usuarios tendrán que ir a través de medidas complicadas y riesgosas para eludir las restricciones, la tendencia popular de revivir el hardware viejo con GNU/Linux llegará a su fin, causando que más hardware sea desechado como basura, y las compañias de Software Privativo podrían ganar una ventaja gigante sobre el movimiento del Software Libre, debido a sus conexiones con los fabricantes.
Estaremos siguiendo de cerca la evolución en esta área, y realizando una activa campaña para asegurarnos de proteger esta importante libertad. Nuestro primer paso es demostrar que la gente valora esa libertad, y no comprar o recomendar los equipos que intentan restringirla.
Fuente de el texto anterior en Italic: http://www.somoslibres.org/modules.php?name=News&file=article&sid=4970
Donde firmar?: http://www.fsf.org/campaigns/secure-boot-vs-restricted-boot
Sin más, solo cabe aclarar algo más, porque no me gusta prestar a confusion sobre mi persona, para que luego se inicie un flamewar en comment sobre el blog
1.- No estoy de acuerdo con el camino que tomo RedHat para solucionar el problema
2.- Si me gusta Fedora y RHEL
3.- Dejaré de usar Fedora, en caso de que esta mi limite en cuestiones de compilacion y demas, por temas éticos, M$ me limita, ellos tambien?, no, serian la misma basura
4.- No dejaré de usar Fedora por temas éticos relacionados al pago, dado que entiendo que RedHat necesita del soporte para ganar dinero y asi mantener los servidores de Fedora, contribuir con codigo al linux kernel, etc
5.- Si creo firmemente que este es el comienzo del fin, una vez que aceptas algo de un matón (Microsoft), luego no hay vuelta atrás, hubiera preferido, que se generase una key en un organismo sin fines de lucro y se inicie una demanda a M$
6.-Si van a comprar una PC armada, notebook, chequeen que su BIOS tenga la opción de unlockear esa caracteristica
7.- Si el secure boot esta lockeado, es decir, fijado, su PC no correrá otra cosa que Windows 8 y por ahora, Fedora 18, ningun otro sistema operativo
Sin mas, saludos
Suscribirse a:
Entradas (Atom)