Безопасная Open Source прошивка CoreBoot для ноутбуков
КиберУшанкаВсем привет!
На связи CyberUshanka!
Сегодня речь пойдет о самой безопасной прошивке для производительных ноутбуков на сегодняшний день!
Дисклеймер:
Данная статья создана в развлекательно-ознакомительных целях и не является призывом к каким-либо действиям, в том числе противоправным.
За все действия ответственность несёте исключительно вы сами.
Все сказанное в данной статье является исключительно мнением автора.
Материалы статьи находятся в открытом доступе.
Приятного чтения!
В первую очередь хочу обратить внимание на то, что Coreboot не имеет партнёрской программы, и данная статья так же носит исключительно обзорный характер!
Так что лучшей благодарностью будет: подписка и репост!
Итак, начнем!
Целью Coreboot является замена проприетарных и закрытых компонентов BIOS, а так же заводских закладок и бэкдоров.
Поэтому для начала стоит понять, что такое BIOS.
(BIOS — basic input/output system или базовая система ввода вывода) — программа, встроенная в материнскую плату (энергонезависимую память). Ее основные функции:
⦁ Загрузка операционной системы;
⦁ Поиск и диагностика оборудования;
⦁ Предоставление интерфейса для настройки оборудования.
Наиболее часто выполняемые настройки:
⦁ Скорость вращения кулеров;
⦁ Установка рабочей частоты материнской платы;
⦁ Включение/отключение периферийных устройств;
⦁ Порядок загрузки (с какого устройство начинать загрузку компьютера).
Для того чтобы зайти в BIOS, обычно, нужно нажать клавишу del или F2 при загрузке компьютера. Чаще всего, в нем настраивают загрузку компьютера с дисковода или флешки.
Так как БИОС обеспечивает обнаружение оборудования, в редких случаях, новое устройство может не заработать со старой версией базовой системы ввода вывода. В таком случае, БИОС необходимо обновить.
На новых компьютерах и ноутбуках уже установлена новая версия — UEFI.
Подробнее о БИОСе на сайте википедия
Итого мы имеем следующее:
BIOS - это программа, записанная на отдельную микросхему в вашем компьютере, которая обеспечивает работу системы с вашим оборудованием, BIOS имеет закрытый исходный код, соответственно мы не можем проверить то, насколько он безопасный
Coreboot - это открытый аналог BIOS, но некоторые участки кода Coreboot берутся из заводского BIOS вашего устройства.
Есть так же полностью свободная альтернатива BIOS, называется она Libreboot.
Libreboot, в отличие от Coreboot, не имеет закрытых компонентов, но официально Libreboot поддерживает только загрузку Linux систем(есть информация об успешной загрузке OpenBSD).
Минус Libreboot в том, что под данную прошивку очень устаревшие модели ноутбуков с низкой производительностью. Поэтому её мы пока рассматривать не будем.
Теперь вернемся к Coreboot
Немного истории, coreboot (ранее LinuxBIOS) — проект по созданию свободного программного обеспечения, одобренный Free Software Foundation. Целью проекта является замена проприетарных и закрытых BIOS, используемых большинством персональных компьютеров, на легковесный BIOS, предназначенный исключительно для загрузки и запуска современных 32 и 64 разрядных операционных систем. Проект LinuxBIOS был начат зимой 1999 года в лаборатории Advanced Computing Laboratory в Лос-Аламосе (см. Лос-Аламосская национальная лаборатория). Результаты работы проекта распространяются на условиях GNU GPL.
Типичная задача coreboot — загружать ядро Linux, но, кроме этого, coreboot может загружать и запускать исполняемые файлы в формате ELF, обычно называемые «полезной нагрузкой» (англ. payload). В качестве полезной нагрузки могут выступать, например, Etherboot, который способен загрузить Linux по сети или SeaBIOS — свободная реализация BIOS, позволяющая загружать Windows 2000/XP/Vista/7/10 и *BSD системы (ранее для этого использовалась нагрузка ADLO). Coreboot может загрузить операционную систему с любого поддерживаемого устройства, такого как Myrinet, QsNet, или SCSI.
Coreboot производит инициализацию аппаратного обеспечения, которую не может в полной мере выполнить операционная система, после чего передаёт управление модулю «полезной нагрузки» (Payload), который может выполнить дальнейшую загрузку ОС, либо выполнить некоторые другие полезные действия.
Coreboot поддерживает архитектуры x86, x86-64, ARM, ARM64, MIPS и RISC-V.
Отличительной особенностью coreboot по сравнению с Legacy BIOS является то, что версия для x86 начинает работать в защищённом режиме после выполнения всего лишь шестнадцати инструкций процессора, в то время как типичные BIOS для платформы x86 работают в основном в реальном режиме работы процессора. Совокупность этих факторов и простота внутреннего устройства делает загрузку с Coreboot очень быстрой (в настоящее время рекорд холодного старта с CoreBoot составляет около 3 секунд).
Хотя в названии LinuxBIOS присутствовало слово Linux, LinuxBIOS мог грузить и другие ядра операционных систем. Например, LinuxBIOS мог напрямую грузить ядро Plan 9. Поэтому он был переименован в coreboot.
Полезная нагрузка
Coreboot сам по себе является только маленькой программой, выполняющей инициализацию оборудования на материнской плате, далее управление передаётся одной из программ полезной нагрузки:
SeaBIOS — свободная реализация BIOS, поддерживающая стандартные системные вызовы. Позволяет загружать операционную систему с жёсткого диска или CD/DVD дисковода. На данный момент протестирована c ОС Linux, NetBSD, FreeDOS, и Windows XP/Vista/7/10.
Загрузка других x86-совместимых операционных систем также должна работать.
ADLO — реализация BIOS, использующая наработки проекта Bochs с поддержкой большинства стандартных системных вызовов. Позволяет загружать Windows 2000, OpenBSD. В настоящее время вытеснена SeaBIOS.
GRUB — популярный загрузчик ОС, позволяющий загружать ядра очень многих операционных систем (включая Linux) с широкого диапазона файловых систем, и обладающий множеством дополнительных функций.
LILO — простой загрузчик ОС с поддержкой файловых систем.
Etherboot — сетевой загрузчик ОС, позволяющий загружать ОС по сети в рамках технологии PXE.
OpenBIOS и Open Firmware — свободные реализации BIOS.
Ядро Linux — также может выступать в качестве полезной нагрузки.
TianoCore — свободная реализация UEFI.
Перейдем к преимуществам Coreboot:
-Удаляется Intel ME
-Загрузка происходит немного быстрее
-Настоящее полнодисковое шифрование, включая раздел /boot
Об уязвимостях Intel ME: ссылка на статью
Так же по ссылке можно ознакомится с неполным список возможных угроз, которые исключены в прошивке Coreboot: ссылка на статью
Материнские платы и ноутбуки поддерживаемые в Сoreboot:
https://coreboot.org/status/board-status.html
Наиболее популярные, доступные, качественные и производительные ноутбуки для прошивки Coreboot:
⦁ Lenovo ThinkPad X230
⦁ Lenovo ThinkPad T420
⦁ Lenovo ThinkPad T430
⦁ Lenovo ThinkPad T440P
Как производится прошивка:
Для прошивки нам понадобится сам ноутбук-пациент и
другой компьютер для компиляции кода coreboot
Программатор Raspberry Pi или CH341A и прищепка SOIC8.
Ну а так же инструмент, полная или частичная разборка ноутбука
А для создания параноик ноутбука рекомендуется демонтировать:
-микрофон
-веб-камеру
-bluetooth модуль
-wi-fi модуль
ВЫВОД:
Coreboot является прекрасной альтернативой для замены проприетарного BIOS. Устранение закладок которые таит в себе современное железо, нельзя осуществить просто используя открытую операционную систему.
И помните, одним ноутбуком с безопасной прошивкой не стоит ограничиваться. Для обеспечения максимальной безопасности и анонимности требуется целый комплекс настроек: открытая ОС на базе Linux-а, технологии сокрытия трафика, подмена цифровых отпечатков и идентификаторов аппаратных чипов.
А в следующей статье мы представим готовое решение Ноутбука, для безопасной и анонимной деятельности в сети и работы с чувствительными данными.
На сегодня всё! Спасибо за внимание!
Полезные ссылки:
Настройка анонимности и безопасности ПК
Анонимная и легальная покупка анонимной криптовалюты Monero 2022 (Мануал)
Анонимный и безопасный мини-роутер