Boottilukitukset uusissa PC-koneissa

[Sompi]

Löysin Acer Aspire E15-mallisen läppärin. SETUP-ohjelmassa voi valita kaksi käynnistystilaa, "UEFI"-tilan ja "Legacy"-tilan. UEFI-tilassa secure boot -toiminnallisuus on aina päällä eikä sitä saa pois. Myöskään secure bootin avaimia ei voi mitenkään muuttaa. "Legacy"-tila (jonka oletan tarkoittavan IBM PC-yhteensopivalta käynnistyssektorilta käynnistämistä) ei oikeasti toimi. Yritin käynnistää USB-tikulta ja kone ei edes yritä bootata siltä, vaan USB-tikun valo vähän vilkahtaa (eli jotain se sieltä lukee) ja sitten kone ilmoittaa vain, ettei se ole boottaava asema. USB-tikulla on varmasti toimiva käynnistyssektori. Tuolla tietokoneella ei siis näköjään voi ajaa mitään muita ohjelmia kuin Microsoft Windowsia. "Legacy"-tilaa valitessa SETUP-ohjelma vieläpä näyttää monta varoitusta, joiden viesti on, että Microsoft suosittelee käyttämään UEFIa, jotta saavutetaan täysi Windows 8 -toiminnallisuus.

Miten yleistä tällainen on nykytietokoneiden kanssa? Miten uutta tietokonetta tai emolevyä ostaessa voi tietää, onko se boottilukittu Windowsiin vai ei?

 

[Ormu]

Löysin Acer Aspire E15-mallisen läppärin. SETUP-ohjelmassa voi valita kaksi käynnistystilaa, "UEFI"-tilan ja "Legacy"-tilan. UEFI-tilassa secure boot -toiminnallisuus on aina päällä eikä sitä saa pois. Myöskään secure bootin avaimia ei voi mitenkään muuttaa. "Legacy"-tila (jonka oletan tarkoittavan IBM PC-yhteensopivalta käynnistyssektorilta käynnistämistä) ei oikeasti toimi. Yritin käynnistää USB-tikulta ja kone ei edes yritä bootata siltä, vaan USB-tikun valo vähän vilkahtaa (eli jotain se sieltä lukee) ja sitten kone ilmoittaa vain, ettei se ole boottaava asema. USB-tikulla on varmasti toimiva käynnistyssektori. Tuolla tietokoneella ei siis näköjään voi ajaa mitään muita ohjelmia kuin Microsoft Windowsia. "Legacy"-tilaa valitessa SETUP-ohjelma vieläpä näyttää monta varoitusta, joiden viesti on, että Microsoft suosittelee käyttämään UEFIa, jotta saavutetaan täysi Windows 8 -toiminnallisuus.

Miten yleistä tällainen on nykytietokoneiden kanssa? Miten uutta tietokonetta tai emolevyä ostaessa voi tietää, onko se boottilukittu Windowsiin vai ei?

Netistä löytynee asiaan liittyvä tieto useimmille koneille. Ikävä ilmiöhän tämä on, mutta eiköhän edelleen tule olemaan koneita, joihin saa muitakin käyttöjärjestelmiä kuin Windowsin.

Jos ei muuta kuin Windowsia saa helpoilla keinoilla toimimaan, saisikohan tuohon koneeseen Corebootin tms. tungettua? Tai vain hieman muokatun firmiksen, jossa ei ole secure boot päällä?

 

[Vaateri]

Miten yleistä tällainen on nykytietokoneiden kanssa? Miten uutta tietokonetta tai emolevyä ostaessa voi tietää, onko se boottilukittu Windowsiin vai ei?

Ostettu kone tuskin. Löydetty mahdollisesti.

 

[Sompi]

Tein tätä konetta koskevasta kokemuksesta viestiketjun Hacker Newsiin: Acer Aspire E15 and its firmware problems | Hacker News

Ostettu kone tuskin. Löydetty mahdollisesti.

Tämä Acer on onneksi peräisin SER-roskiksesta. Jos olisikin ostettu kone, niin harmittaisi enemmän. Harmittaa kyllä muutenkin tällainen kehityssuunta.

 

[Ormu]

Tein tätä konetta koskevasta kokemuksesta viestiketjun Hacker Newsiin: Acer Aspire E15 and its firmware problems | Hacker News



Tämä Acer on onneksi peräisin SER-roskiksesta. Jos olisikin ostettu kone, niin harmittaisi enemmän. Harmittaa kyllä muutenkin tällainen kehityssuunta.

Luin tuon kirjoituksesi. Ilmeisesti kone ei siis ole aivan niin rajoittunut kuin mitä kirjoitit aloitusviestissä, kun secure bootin saa kuitenkin pois asettamalla salasanan ja vanhan tyylinenkin käynnistys toimii, kunhan kovalevyllä on tietynlainen osiointi.

Salasanalla kikkailu on kankeaa ja ylipäätään tuo näyttää siltä, että on pyritty tahallaan hankaloittamaan muiden käyttöjärjestelmien kuin Windowsin asennusta.
Jälkimmäinen tapaus taas kuulostaa lähinnä siltä, että halpiskoneen firmis on vain kuraa eikä sen suunnittelussa ole huomioitu muuta kuin tyypillinen Windowsin käyttö. Toisaalta varsinaista ongelmaa siitä ei tuollaisen koneen kohdalla tule kuin äärimmäisen harvoissa tapauksissa.

 

[Sompi]

Luin tuon kirjoituksesi. Ilmeisesti kone ei siis ole aivan niin rajoittunut kuin mitä kirjoitit aloitusviestissä, kun secure bootin saa kuitenkin pois asettamalla salasanan ja vanhan tyylinenkin käynnistys toimii, kunhan kovalevyllä on tietynlainen osiointi.

Käyttölogiikka on varmaan tarkoituksella tehty sellaiseksi, että tulee vaikutelma, ettei secure boottia saa pois päältä mitenkään. Ei näin rajoittuneita koneita pitäisi markkinoida minään yleiskäyttöisinä tietokoneina.

 

[leffo]

Jos se boottaus on oikeasti lukittu, niin sä et voi muuttaa mitään. Koska sä olet kertonut pystyneesi muuttamaan jotain asioita, se boottaus ei ole lukittu. Tämä ihan ekan viestin perusteella.

Tuon bastebin kirjoituksen perusteella sä et osaa asentaa siihen haluamaasi käyttöjärjestelmää. Kyllä se varmaan lopulta onnistuu.

"Miten yleistä tällainen on nykytietokoneiden kanssa? Miten uutta tietokonetta tai emolevyä ostaessa voi tietää, onko se boottilukittu Windowsiin vai ei? "

Jos ostat uuden irrallisen emon niin siinä ei kyllä voi olla tuota päällä.
Ymmärtääkseni ongelma oli jossain vaiheessa todellinen joillain läppäreillä, koska sitä secure boottia ei välttämättä saanut oikeasti pois päältä millään. En ole varma oliko se osaamattomutta. Kyllä noiden nykyään pitäisi olla pois kytkettävissä.

"SETUP-ohjelma" Tää vähän hämäsi, luulin että olit saanut jonkun asennusohjelman alkuun muttet päässyt siitä eteenpäin. Yleensä tuota kutsutaan biosiksi, myös ja erityisesti näin uefi aikakaudella. Harva tietää mitä se myös tarkoittaa niiden asetusten lisäksi, tästä syystä kai nimitys bios on jäänyt vaikka se "bios" on nykyään uefi tyyppinen. Uefi legacy kutsutaan myös csm, ilmeisesti nykyään useimmin tyyliin "legacy boot".

Ihan kuin MBR on yhden osiointityypin nimitys.

 

[Sompi]

"SETUP-ohjelma" Tää vähän hämäsi, luulin että olit saanut jonkun asennusohjelman alkuun muttet päässyt siitä eteenpäin. Yleensä tuota kutsutaan biosiksi, myös ja erityisesti näin uefi aikakaudella. Harva tietää mitä se myös tarkoittaa niiden asetusten lisäksi, tästä syystä kai nimitys bios on jäänyt vaikka se "bios" on nykyään uefi tyyppinen. Uefi legacy kutsutaan myös csm, ilmeisesti nykyään useimmin tyyliin "legacy boot".

BIOS on lyhenne sanoista "Basic Input/Output System" ja tarkoittaa ohjelmointirajapintaa, joka ladataan muistiin tietokoneen käynnistyessä ennen kontrollin antamista käyttäjän käynnistyskoodille eli useimmiten käyttöjärjestelmän alkulataajalle. SETUP-ohjelma on eri asia eikä se välttämättä edes sijaitse ROM-piirillä, vaan monessa koneessa se ladataan muistiin levyltä. UEFIssa ei ole BIOSia, koska ei siinä ole ajonaikaisia palveluitakaan.

Käytännössä kaikissa tietokoneissa, jotka on tehty silloin 80- ja 90-luvuilla, kun tekniset asiat vielä tehtiin järkevästi loppuun asti mietittynä, on jonkinlainen ajonaikaiset palvelut tarjoava BIOS niiden ohjelmointia helpottamassa. Se ei ole pelkästään IBM PC-yhteensopivien koneiden juttu.

GNU-järjestelmien osiointityökalut puhuvat nykyään MBR:n sijaan MS-DOS-tyyppisestä osioinnista, koska MBR menee helposti käynnistyssektorin kanssa sekaisin. MBR on lyhenne sanoista "Master Boot Record", jolla tarkoitetaan usein myös käynnistyssektoria osiointitavasta riippumatta.

Termit kuntoon.

Tuon bastebin kirjoituksen perusteella sä et osaa asentaa siihen haluamaasi käyttöjärjestelmää. Kyllä se varmaan lopulta onnistuu.

Ei ole osaamisesta kiinni, kun selvästikin tuo tietokone on boottilukittu käyttöjärjestelmiin, jotka käyttävät MS-DOS-yhteensopivaa osiotaulua. Se firmware tekee jostain syystä ennen boottausta jonkin paskavammaisen tarkistuksen, että löytyykö kiintolevyltä sellaista osiotaulua, ja jos ei löydy, niin se ei sitten boottaa.

 

[leffo]

Termit kuntoon.

Ei, vaan opettelet suomea.

 

[Sompi]

Ei, vaan opettelet suomea.

Mitkä ovat noiden asioiden suomenkieliset nimitykset?

 

[Ormu]

Ei ole osaamisesta kiinni, kun selvästikin tuo tietokone on boottilukittu käyttöjärjestelmiin, jotka käyttävät MS-DOS-yhteensopivaa osiotaulua. Se firmware tekee jostain syystä ennen boottausta jonkin paskavammaisen tarkistuksen, että löytyykö kiintolevyltä sellaista osiotaulua, ja jos ei löydy, niin se ei sitten boottaa.

En tiedä, millä perusteella tuollainen tarkistus on lisätty tai onko tarkoituksena ollut muiden käyttöjärjestelmien kuin Windowsin asennuksen estäminen. Esim. Linuxin asennusta se ei kuitenkaan estä ollenkaan. Se, että halpiskoneen firmispuoli on huonosti tehty eikä noudata IBM PC:n mukaisia standardeja täsmällisesti, on ehkä ikävää, mutta ei yllättävää.

Jos ostat uuden irrallisen emon niin siinä ei kyllä voi olla tuota päällä.
Ymmärtääkseni ongelma oli jossain vaiheessa todellinen joillain läppäreillä, koska sitä secure boottia ei välttämättä saanut oikeasti pois päältä millään. En ole varma oliko se osaamattomutta. Kyllä noiden nykyään pitäisi olla pois kytkettävissä.

Ei se mahdotonta olisi, että erillinen emolevy olisi rajoitettu vain Windowsin käyttöön. Harvinaista voi olla.

 

[Sompi]

En tiedä, millä perusteella tuollainen tarkistus on lisätty tai onko tarkoituksena ollut muiden käyttöjärjestelmien kuin Windowsin asennuksen estäminen. Esim. Linuxin asennusta se ei kuitenkaan estä ollenkaan.

Niin, se ei estä "esim. Linuxin" asennusta, mutta aika monen muun käyttöjärjestelmän asennuksen se estää. Maailmassa on olemassa muutakin kuin Linux ja Windows, ja yleiskäyttöisen tietokoneen pitäisi ajaa mitä tahansa koodia, mitä käyttäjä sille syöttää.

Tuon keinotekoisen Windows vs. Linux -dualismin ylläpitäminen antaa vain hyvän tekosyyn rajoittaa digitaalisia vapauksia, ja sitä tekosyytä myös jatkuvasti käytetään siihen tarkoitukseen.

 

[Ormu]

Niin, se ei estä "esim. Linuxin" asennusta, mutta aika monen muun käyttöjärjestelmän asennuksen se estää. Maailmassa on olemassa muutakin kuin Linux ja Windows, ja yleiskäyttöisen tietokoneen pitäisi ajaa mitä tahansa koodia, mitä käyttäjä sille syöttää.

Tuon keinotekoisen Windows vs. Linux -dualismin ylläpitäminen antaa vain hyvän tekosyyn rajoittaa digitaalisia vapauksia, ja sitä tekosyytä myös jatkuvasti käytetään siihen tarkoitukseen.

Tällaisten koneiden kohdalla Windows on se, mitä yleensä käytetään. Linux on marginaalitapaus, ja kaikki muut ovat marginaalin marginaalissa.

Ikäväähän se on, että eksoottisempien järjestelmien käyttö ei onnistu, mutta totuus on, että kaikki tietokoneet, varsinkaan halpikset, eivät ole tässä suhteessa kunnolla tehtyjä.

Mikään laki tai määräys ei kai velvoita, että jokaisella tietokoneena myytävällä laitteella pitäisi pystyä suorittamaan kaikkia tietyn standardin mukaisia ohjelmia ja käyttöjärjestelmiä.
En ehkä pistäisi pahakseni, vaikka velvoittaisikin, mutta ainakin toistaiseksi tilanne on se, että kunnollisiakin koneita on olemassa.

 

[Sompi]

Tuo tuollainen rajoittuneisuus on kuitenkin aika uusi ilmiö. Jos ottaa suurin piirtein minkä tahansa IBM PC-yhteensopivan tietokoneen, joka on valmistettu vuosien 1980 ja 2005 välillä, niin ei siinä vain ole tuollaisia vammaisia rajoituksia. UEFIn tultua kuvioihin niitä rajoituksia alkoi sitten tulla.

 

[CodeRed]

Kai ymmärrät, että UEFI on parannus ja seuraava kehitysaskel vanhaan BIOSiin verrattuna. UEFI tukee mm. yli 2.2 TB levyjä (BIOS maks. 2.2 TB) ja tarjoaa 32/64 -bit tuen (BIOS 16-bit) joka mahdollistaa esim. graafisen käyttöliittymän hiirituella ja paremman tietoturvan. Tässä nyt pari esimerkkiä vain ja on muitakin etuja UEFI:n hyväksi. Kehitys kehittyy.

Ja mainitset tässä ketjussa, että UEFI -tilassa Secure Boot on pakotetusti päällä. Tämä ei ole mikään pakote ja Secure Boot on normaalisti aina otettavissa pois päältä - jos ei, niin silloin kyseessä enemmänkin laite/siinä olevan UEFI:n rajoite. Itse en ole tuollaista nähnyt ikinä, että Secure Bootia ei saisi pois. Secure Boot itsessään kannattaa aina olla päällä ja on yksi UEFI:n tuomia hyötyjä millä estetään mm. rootkittien toiminta tai ylipäätään allekirjoittamattoman koodin lataus bootissa.

Tässä ketjussa tuntuu enemmänkin olevan ymmärryksen puute koko asiasta kuin mitään muuta.

 

[Sompi]

Kai ymmärrät, että UEFI on parannus ja seuraava kehitysaskel vanhaan BIOSiin verrattuna. UEFI tukee mm. yli 2.2 TB levyjä (BIOS maks. 2.2 TB) ja tarjoaa 32/64 -bit tuen (BIOS 16-bit) joka mahdollistaa esim. graafisen käyttöliittymän hiirituella ja paremman tietoturvan. Tässä nyt pari esimerkkiä vain ja on muitakin etuja UEFI:n hyväksi. Kehitys kehittyy.


Ja mainitset tässä ketjussa, että UEFI -tilassa Secure Boot on pakotetusti päällä. Tämä ei ole mikään pakote ja Secure Boot on normaalisti aina otettavissa pois päältä - jos ei, niin silloin kyseessä enemmänkin laite/siinä olevan UEFI:n rajoite. Itse en ole tuollaista nähnyt ikinä, että Secure Bootia ei saisi pois. Secure Boot itsessään kannattaa aina olla päällä ja on yksi UEFI:n tuomia hyötyjä millä estetään mm. rootkittien toiminta tai ylipäätään allekirjoittamattoman koodin lataus bootissa.


Tässä ketjussa tuntuu enemmänkin olevan ymmärryksen puute koko asiasta kuin mitään muuta.

Mistä olet keksinyt, että BIOS ei muka tukisi yli 2.2 teratavun levyjä? BIOSin levypalvelut käyttävät 64-bittistä osoitusta sektoreille, joten 512 tavun sektoreilla raja olisi 8589934592 teratavua. PC-yhteensopivissa tietokoneissa sektori voi tosin olla kooltaan mitä tahansa 128 tavun ja 32 kilotavun väliltä.


Mistä olet keksinyt, että BIOS estäisi käyttämästä tietokonetta muissa prosessoritiloissa kuin real modessa? Ja mitä tekemistä tuolla on graafisten käyttöliittymien, hiirituen ja tietoturvan kanssa? Tuossa, mitä kirjoitat, ei ole yhtään mitään järkeä.

Secure Boot ei estä rootkittien toimintaa mitenkään, koska se ei suojaa käyttöjärjestelmän ns. "privilege escalation"-haavoittuvuuksilta. Yksi viimeisimmistä löydetyistä kyseistä hyökkäysvektoria käyttävistä viruksista on BlackLotus: Stealthy UEFI malware bypassing Secure Boot enabled by unpatchable Windows flaw

Useimmissa tietokoneissa Secure Bootin saa muutenkin helposti kokonaan pois päältä käyttöjärjestelmästä käsin sopivilla ohjelmilla. UEFIn yleistymisen myötä on uutena hyökkäysvektorina tullut myös itse firmwaren koodiin injektoituvat virukset, jotka ovat mahdollisia, koska UEFIn järjettömän monimutkaisuuden takia ROM-piirien koko on kasvanut kymmeniin megatavuihin, jolloin sinne on aikaisempaa helpompi ujuttaa myös ylimääräistä haittakoodia.

Ylipäätään digitaaliset allekirjoitukset ovat huono ja toimimaton tapa parantaa käynnistystietoturvaa. Fyysinen kirjoitussuojaus on ainoa oikeasti toimiva keino.

Ymmärryksen puutetta tässä on vain sinulla itselläsi, jos et sitten tahallasi trollaa.

Tuonkin Acerin tapauksessa Secure Bootin pois saaminen on oikeasti vaikeaa, eikä Secure Boot päällä voi käynnistää muita ohjelmia kuin Microsoft Windowsia, koska avaimia ei voi vaihtaa. Sitten siinä on "legacy"-tila, jota on myös keinotekoisesti rajoitettu.