Автор Тема: Курилка. Болтаем о разном.  (Прочитано 711734 раз)

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 9 648
Re: Курилка. Болтаем о разном.
« Ответ #810 : 24.12.2017 23:28:34 »
- Вылетели 22 модели только по списку ланчпада. Заранее зная, что готовность релизного кода в линукс процентов на 70-80, насколько надо быть безголовым и безответственным, чтобы принять такой опасный код в ядро и нагреть пользователей на сумму более десяти штук баксов минимум.
Немного неправильно. Вопрос - на сколько навдо быть безголовым, чтобы выпустить такое железо. По мне - так однозначно гарантийные случаи. Пусть отзывают своё барахло назад.
Главное, чтобы гарантийный период не прошел. Иначе спросить не с кого будет.

:-) А-а... Ну пробуйте:
Цитировать
Digital Security
Безопасность как искусство

На страже руткитов

...
Ну а теперь перейдём к «горячему». Однажды мы обнаружили, что на многих системах в SPI флэш-дескрипторах записаны разрешения на доступ к регионам SPI флэш-памяти так, что все пользователи этой памяти могут и писать, и читать любой регион. Т.е. никак.
...
Адекватная реакция последовала только от Lenovo, которые признали проблему и выпустили патч.
...
Отменить действие будет нельзя, что означает:

*    обновлять UEFI BIOS на данной системе сможет только обладатель приватной части корневого ключа (т.е. тот, кто включил Intel BG);
*    если вернуть этой системе оригинальную прошивку, например, с помощью программатора, она даже не включится (следствие enforcement policy в случае ошибки верификации);
*    чтобы избавиться от такого UEFI BIOS, требуется заменить чипсет с запрограммированными FPF-ами на «чистый» (т.е. перепаять чипсет, если у вас есть доступ к инфракрасной паяльной станции ценой в автомобиль, ну или просто заменить материнскую плату).


Для понимания того, что может натворить такой руткит, нужно оценить, что даёт возможность исполнять свой код в среде UEFI BIOS. Скажем, в самом привилегированном режиме процессора – SMM. Такой руткит может иметь следующие свойства:

*    исполняться параллельно ОС (можно настроить отработку по генерации SMI прерывания, которое будет триггериться по таймеру);
*    иметь все преимущества нахождения в режиме SMM (полный доступ к содержимому оперативной памяти и к аппаратным ресурсам, скрытность от ОС);
*    программный код руткита может находиться в шифрованном виде и дешифровываться при запуске в режиме SMM. В качестве ключа для шифрования можно использовать любые данные, доступные только в режиме SMM. Например, хеш от набора адресов в SMRAM. Чтобы получить этот ключ, потребуется забраться в SMM. А это можно сделать двумя способами. Найти RCE в коде SMM и проэксплуатировать, либо добавить в BIOS свой SMM модуль, что невозможно, поскольку мы включили Boot Guard.


Таким образом, эта уязвимость позволяет злоумышленнику:

*    создать в системе скрытый, неудаляемый руткит неизвестного назначения;
*    исполнять свой код на одном из ядер чипсета внутри Intel SoC, а именно, на Intel ISH (внимательно взглянем на картинку).
...

Оффлайн Dmytro

  • Мастер
  • ***
  • Сообщений: 1 001
Re: Курилка. Болтаем о разном.
« Ответ #811 : 24.12.2017 23:51:00 »
А-а... Ну пробуйте:
Извините, не понятно я написал. Имел ввиду, что если гарантия закончится, то за это вообще никто не ответит, и пользователь попадет на деньги.

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 9 648
Re: Курилка. Болтаем о разном.
« Ответ #812 : 25.12.2017 04:58:03 »
А-а... Ну пробуйте:
Извините, не понятно я написал. Имел ввиду, что если гарантия закончится, то за это вообще никто не ответит, и пользователь попадет на деньги.

Не надо извиняться. Всё в порядке. Проблема серьёзная. Идёт обычный разговор.

Честно говоря в этой ситуации меня интересует не столько денежная проблема, хотя и это важно, сколько источник проблемы.

Я перечитал все ветки и к пяти утра у меня начала ехать крыша:
https://bugs.launchpad.net/ubuntu/+source/linux/+bug/1734147
https://forums.lenovo.com/t5/Lenovo-P-Y-and-Z-series/Y50-70-BIOS-Can-t-Save-Settings-Or-Exit/m-p/3853208#M157885

Когда она съехала почти полностью, то почему-то пришло на ум связать эти два сообщения одного и того же пользователя:
https://forums.lenovo.com/t5/Lenovo-P-Y-and-Z-series/Y50-70-BIOS-Can-t-Save-Settings-Or-Exit/m-p/3853208#M157885
https://forums.lenovo.com/t5/Lenovo-P-Y-and-Z-series/Y50-70-BIOS-Can-t-Save-Settings-Or-Exit/m-p/3895816#M158460

Первое, обход проблемы, переведёте сами. А вот второе уже интереснее:
https://forums.lenovo.com/t5/Lenovo-P-Y-and-Z-series-Notebooks/Y50-70-BIOS-Can-t-Save-Settings-Or-Exit/m-p/3601285?page=4
Цитировать
Marcin78
12-02-2017 02:37 AM

Please don not spread false information. It is no Ubuntu 17.10 issue. I never had Ubuntu but Antergos and the same happen to me. This is hardware failure of the NVRAM - too many writes, caused by how Linux/systemd (my guess) is handling any Kernel related change.

The real fix has been mentioned here - replacing the NVRAM and copying the old ones content to it.
Wayaround - my solution with rEFInd.

гуглотранслятор:
Цитировать
Re: Y50 70 BIOS не может сохранить настройки или выйти

12.02.2017 02:37

Пожалуйста, не распространяйте ложную информацию. Это не проблема Ubuntu 17.10. У меня никогда не было Ubuntu, но Antergos и то же самое случилось со мной. Это аппаратный сбой NVRAM - слишком много записей, вызванных тем, как Linux/systemd (моя догадка) обрабатывает любые изменения, связанные с ядром.

Здесь упоминалось реальное исправление - замена NVRAM и копирование на него старого контента.
Wayaround - мое решение с rEFInd.

Лёнчик, привет, как твоё здоровье?

P.S.
Кстати на ланчпаде, к списку ленов, эйсеров и ещё всяких разных, забыли дописать HP 250-G3
И если это действительно так, Лёня, ну тебя будут долго вспоминать.
« Последнее редактирование: 11.07.2020 14:46:43 от Speccyfighter »

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 9 648
Re: Курилка. Болтаем о разном.
« Ответ #813 : 25.12.2017 05:56:49 »
Попытался спросить гугл на предмет
NVRAM systemd
и таки увидел, - грепать nvram, но на бОльшее меня уже не хватило:
https://github.com/systemd/systemd/issues/909
https://wiki.archlinux.org/index.php/EFISTUB_(Русский)
https://wiki.archlinux.org/index.php/REFInd_(Русский)

На гитхабе - второе и третье сообщения.
Т.е. о проблеме которая взорвалась недавно на ланчпаде, знали ещё два года назад, что она может произойти?

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 9 648
Re: Курилка. Болтаем о разном.
« Ответ #814 : 25.12.2017 07:25:08 »
Искать где-то и как-то так:
https://www.google.by/search?q=How+can+I+hard+reset+NVRAM+on+a+Lenovo+G50-80+site%3Alenovo.com

Только для информации!!!
https://forums.lenovo.com/t5/Lenovo-B-and-G-Series-Notebooks/Lenovo-g50-80-Motherboard-battery/td-p/3896111
https://www.dedoimedo.com/computers/lenovo-g50-read-only-nvram.html

ИМХО:
То о чём сообщили на ланчпаде, может произойти с любым UEFI ноутбуком.

Добро пожаловать в новые технологии.

dango

  • Гость
Re: Курилка. Болтаем о разном.
« Ответ #815 : 25.12.2017 07:31:43 »
Главное, чтобы гарантийный период не прошел.
А есть гарантии, что техподдержка Lenovo не пошлет пользователей Linux лесом?
Имел ввиду, что если гарантия закончится, то за это вообще никто не ответит, и пользователь попадет на деньги.
Увы, Dmytro, нынче пользователи так или иначе попадают на деньги. И приходится прилагать все больше усилий, чтобы нужный результат получить за вменяемую стоимость.
« Последнее редактирование: 25.12.2017 07:37:10 от dango »

dango

  • Гость
Re: Курилка. Болтаем о разном.
« Ответ #816 : 25.12.2017 07:40:13 »
Добро пожаловать в новые технологии.
Нахер такие новые технологии!

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 9 648
Re: Курилка. Болтаем о разном.
« Ответ #817 : 25.12.2017 08:18:32 »
Добро пожаловать в новые технологии.
Нахер такие новые технологии!

:-)
В довесок:
В чём зап*ло UEFI-ев
https://mjg59.dreamwidth.org/22855.html
https://mjg59.dreamwidth.org/25091.html
Цитировать
оказалось, что подобной проблемой страдают очень многие ноутбуки как того же производителя, так и других, а корень проблемы — недоработки в их ПО UEFI, из-за которых garbage collector UEFI не чистил NVRAM, сбросить который можно только при обновлении прошивки встроенного ПО

Интуитивно чувствовал когда переводил в Legacy Support, что этого дерьма надо избегать.
« Последнее редактирование: 25.12.2017 08:43:50 от Speccyfighter »

dango

  • Гость
Re: Курилка. Болтаем о разном.
« Ответ #818 : 25.12.2017 08:45:49 »
Интуитивно чувствовал когда переводил в Legacy Support, что этого дерьма надо избегать.
Аналогично. Только, блин, чувствуешь себя как летучий мышь, которого выдувают из вентиляционнойт трубы, а он изо всех сил держится коготками за стенки.
Не, остаюсь на слаке 14.2, пока на ней можно жить и работать. Там, по крайней мере, в спину не пинают.

Оффлайн K0T

  • Давно тут
  • **
  • Сообщений: 215
  • Simply 7.0.5
    • Email
Re: Курилка. Болтаем о разном.
« Ответ #819 : 25.12.2017 21:21:23 »
я вот что-то не понял: эта проблема с UEFI зацепила пока только ноутбуки? про десктопы речь еще не идет?

т.е. кратко говоря получается NVRAM - read only и машина остается работать в одной фиксированной конфигурации
проявляется синптоматично
для linux при установке efibootmgr:
Installing for x86_64-efi platform.
Could not delete variable: Interrupted system call
Could not add entry to BootOrder: Interrupted system call
Installation finished. No error reported.

для Win:
bcdedit.exe /import newbcd /clean
The store import operation has failed.
The request was aborted.

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 9 648
Re: Курилка. Болтаем о разном.
« Ответ #820 : 25.12.2017 21:58:47 »
я вот что-то не понял: эта проблема с UEFI зацепила пока только ноутбуки? про десктопы речь еще не идет?

Не знаю, тут я не в курсе. У меня только на то чтобы обнаружить источник проблемы, зафиксировать его, без ОБС, ушло минимум 16 часов без перерыва. Насколько больше, тут тоже не в курсе, не засекал.
В конце 16-го часа, мне уже было противно даже на компьютер смотреть :-)
Но ASUS H61M-PRO с самого первого момента включения стоит в Legacy mode.
И честно признаюсь:
Когда начинал погружаться в поиск проблемы, даже приблизительно не представлял её масштабы...


т.е. кратко говоря получается NVRAM - read only и машина остается работать в одной фиксированной конфигурации

Угу.
Как я понял ситуацию:
Сборщик мусора из-за ошибок в микрокоде UEFI не освобождает свободное пространство в NVRAM и в результате микросхема оказывается в readonly.
Как сам вижу это:
Об этом писали ещё в 2013-ом и проблема не решена до сих пор.
Костыли UEFI микрокода подпираются костылями в ОС. Так оно и живёт этот UEFI, костыль на костыле.
А сам UEFI глубоко интегрирован в Intel ME, который в свою очередь сидит на аппаратном уровне.
Тех, у кого нет переключения на Legacy mode, вероятно сильно не повезло.

для linux при установке efibootmgr:
Could not delete variable: Interrupted system call

Ой блин!

Что писал Мэтью Гарретт в 2013-ом году:
Цитировать
Очевидно, это ошибка встроенного ПО. Написание переменных UEFI явно разрешено спецификацией, и никогда не должно быть ситуации, когда ОС может заполнять хранилище переменных таким образом, чтобы прошивка отказывалась загружать систему. Мы видели аналогичные ошибки в справочном коде Intel в прошлом, но все они были исправлены в начале прошлого года. На данный момент самое безопасное - не использовать UEFI на любых ноутбуках Samsung. К сожалению, если вы используете Windows, вам потребуется переустановить его с нуля.
(Зачёркнуто мной)

И ещё насколько понял, смотреть надо не в сторону производителя ноутбука, а в сторону insyde corp.


У Леново есть обновление BIOS, в частности для G50-80 от 31.10.2016, но решает ли оно проблему с NVRAM, тоже не в курсе.
Множество ссылок обновлений BIOS на модели ноутбуков и серверов:
https://support.lenovo.com/ru/ru/product_security/PS500073
« Последнее редактирование: 25.12.2017 22:29:25 от Speccyfighter »

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 9 648
Re: Курилка. Болтаем о разном.
« Ответ #821 : 25.12.2017 23:09:26 »
для linux при установке efibootmgr:
Could not delete variable: Interrupted system call

А что за железка если не секрет? На чём такое выдало?
Дело конечно хозяйское, но я бы в срочном порядке перешёл на Legacy mode. Без UEFI-я и с двумя терабайтами, как-нибудь переживу. А вот с железом похожим на кирпич, вряд ли.
Это в том смысле, что у себя предпочитаю предупреждать критические ситуации, а не дожидаться когда оно всё накроется медным тазом.
« Последнее редактирование: 25.12.2017 23:19:38 от Speccyfighter »

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 9 648
Re: Курилка. Болтаем о разном.
« Ответ #822 : 26.12.2017 10:28:54 »
т.е. кратко говоря получается NVRAM - read only и машина остается работать в одной фиксированной

Тут прикол с этим UEFI-ем и накрывшимся NVRAM ещё в том, что как кому "повезёт". В ряде случаев не обнаруживается периферия и загрузиться не с чего. Иногда настройки настраиваются, но после ребут они слетают и usb привод не обнаруживается. Так что всё хуже чем можно ожидать. И эта проблема возникла не вчера и не два года назад. Все о ней знали и все молчат. Только в кулуарах шёпотом базарят.

dango

  • Гость
Re: Курилка. Болтаем о разном.
« Ответ #823 : 26.12.2017 11:32:03 »
Сдается мне, что современные ИТ (что железо, что софт) это финансовая пирамида.

Оффлайн Speccyfighter

  • Мастер
  • ***
  • Сообщений: 9 648
Re: Курилка. Болтаем о разном.
« Ответ #824 : 26.12.2017 16:38:30 »
Вы же, сраные опенсорсные разработчики сраного UEFI-я, все четыре года знали о проблеме. Вы знали, что она не зависит от какого-то Линукс и выходит за рамки платформы. Вы знали, что она набирает всё большие масштабы. Вы же, как опенсорсники, первыми должны были поднять тревогу. Вы знали. И молчали. Вы не опенсорсники, вы продажные твари.