Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Утечка закрытых ключей Intel, используемых для заверения прошивок MSI"	+/–
Сообщение от opennews (??), 06-Май-23, 23:15
В ходе атаки на информационные системы компании MSI злоумышленникам удалось загрузить более 500 ГБ внутренних данных компании, содержащих среди прочего исходные тексты прошивок и сопутствующих инструментов. Совершившие атаку потребовали 4 млн долларов за неразглашение, но компания MSI отказалась и некоторые данные были опубликованы в открытом доступе... Подробнее: https://www.opennet.me/opennews/art.shtml?num=59092
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

2. Сообщение от Golangdev (?), 06-Май-23, 23:27	+34 +/–
> применялись для заверения цифровой подписью выпускаемых прошивок что в очередной раз доказывает, какое ненужное г-но эти цифровые подписи прошивок сами придумали проблему, сами пытались решить, сами облажались, круг замкнулся, хе-хе_)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #8, #43, #117, #138

4. Сообщение от vitalif (ok), 06-Май-23, 23:30	+21 +/–
Я лично только за взлом аппаратных залочек т.к. 99.99% что использовать их будут против меня, а не я сам.)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #70

5. Сообщение от InuYasha (??), 06-Май-23, 23:31	+1 +/–
Да что всё интел да интел, стырьте уже исходники всех УЕФИшек для AMD ASUS, Tyan и Supermicro! Вот это будет дело!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #44, #120

6. Сообщение от tty0 (?), 06-Май-23, 23:34	+5 +/–
А говорили: с уефи не страшны никакие вирусы, думаю, что кого надо не вирусы сбор статистики! Что терпеть можно сказать? В стране сборщиков статистики пополнение :~)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #16, #144

7. Сообщение от Ivan_83 (ok), 06-Май-23, 23:37	+2 +/–
Наконец то можно будет свои прошивки шить :)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #60, #90

8. Сообщение от cheburnator9000 (ok), 06-Май-23, 23:41	+/–
А еще придумали пароли использовать, один хрен все взломают, какие то пин коды на банковских картах, пароли от банковских аккаунтов, даешь свободных доступ ко всему! Еще стоит избавиться от документов на авто и квартиры, чтобы любой мог воспользоваться чем хочет на выбор.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #11, #61, #80

9. Сообщение от maximnik0 (?), 06-Май-23, 23:47	+/–
Не страшно,у меня амд
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12, #29, #71, #78

10. Сообщение от Аноним (10), 06-Май-23, 23:55	+3 +/–
Сижу на втором пне (могу пруфануть если кому интересно), поэтому мне всё равно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #17

11. Сообщение от Аноним (11), 06-Май-23, 23:57	+2 +/–
Микрософт, перелогинься.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #18

12. Сообщение от Аноним (11), 06-Май-23, 23:58	+4 +/–
Так там тоже самое, только хозяева ихтиойды вместо рептилойдов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #91

13. Сообщение от Аноним (11), 06-Май-23, 23:59	+1 +/–
Сдувай с него пылинки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #15

14. Сообщение от Аноним (14), 07-Май-23, 00:06	–2 +/–
Надеюсь MSI умрет как компания, а ответственные лица сядут в тюрьму
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19, #20, #25

15. Сообщение от Аноним (15), 07-Май-23, 00:09	+/–
Шутки шутками, но действительно есть люди, которые из-за всех этих аппаратных ME и т.п. бэкдоров специально сидят на древнем железе
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #22, #30

16. Сообщение от Аноним (16), 07-Май-23, 00:12	+/–
Причём тут УЕФИ... Ключ - единая точка отказа. В людях дело. Пока всё это заверено ключём, обслуживаемо более чем одним человеком, эти ключи, пароли будут утекать. А вот если людям дать удобный инструмент самоподписных ключей и оборудование, умеющее это. То может и станет интереснее и лучше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #39, #48, #100, #116

17. Сообщение от Страдивариус (?), 07-Май-23, 00:12	+/–
Сколько у тебя оперативы? Или ты его в обшивку кресла вклеил?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #28

18. Сообщение от Аноним (16), 07-Май-23, 00:13	+/–
Насколько всё проще, когда это опенсорс.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

19. Сообщение от Страдивариус (?), 07-Май-23, 00:13	+5 +/–
Наоборот, радоваться надо - корпорастов нагнули.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

20. Сообщение от Аноним (16), 07-Май-23, 00:14	+/–
Проблему это не решает, а потому негодно. Следующий Аноним!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

22. Сообщение от Аноним (16), 07-Май-23, 00:17	+/–
Тока это никак не способствует достижению желаемого ими. Увы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

23. Сообщение от Аноним (16), 07-Май-23, 00:19	+/–
И это бизнес системы... А ещё есть государственные. Цифровизация - отличное развлечение и источник плюшек. Но ломучее и уязвимое. Если бизнес не смог, то гос-во не может вдвойне.
Ответить | Правка | Наверх | Cообщить модератору

25. Сообщение от Аноним (25), 07-Май-23, 00:32	+1 +/–
Нет конечно. Ничего никому не будет, даже премии не лишат, чай не в диком совке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

28. Сообщение от Аноним (-), 07-Май-23, 00:55	+1 +/–
Всего 256MB. Стоит Windows NT 4.0 SP6a. Сейчас запущен IE6 + прокси для обхода https. Итого свободно 218MB. Это тебе не смузи хлебать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #32, #54

29. Сообщение от Аноним (29), 07-Май-23, 00:57	+/–
Там всё то же самое, только под другими брендами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #149

30. Сообщение от Аноним (30), 07-Май-23, 01:09	+3 +/–
Почему вместо LGBTQ+ friendly макбуков в Пентагоне до сих пор используют PDP-11 с 8 дюймовыми флопиками? Почему в элитных американских школах, гда обучение стоит пару десятков лямов в год, учат библию вместо гендерно-полового воспитания? Каждый сам для себя ответит на эти вопросы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #46

31. Сообщение от Аноним (-), 07-Май-23, 01:39	+/–
Жаль что не рут-кей ME boot rom, вот это было бы шикарно :)
Ответить | Правка | Наверх | Cообщить модератору

32. Сообщение от Аноним (-), 07-Май-23, 01:40	+/–
И чего оно рендерить умеет кроме сайта с локалхоста и опеннета?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

39. Сообщение от Аноним (39), 07-Май-23, 03:29	+1 +/–
>А вот если людям дать удобный инструмент самоподписных ключей и оборудование, умеющее это. То может и станет интереснее и лучше. Раскатал губу, так они тебе и дадут то, на чем наваривают миллиарды.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #119

41. Сообщение от penetrator (?), 07-Май-23, 03:48	+/–
где скачать?
Ответить | Правка | Наверх | Cообщить модератору

43. Сообщение от Аноним (43), 07-Май-23, 05:11	+6 +/–
> сами придумали проблему, сами пытались решить, сами облажались, круг замкнулся, хе-хе_) Компьютеры позволили людям делать ошибки намного быстрее и проще.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

44. Сообщение от Аноним (43), 07-Май-23, 05:12	+1 +/–
Лучше мастерключ ME - вот это был бы номер. Тот который в BootROM прошит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #82

46. Сообщение от User (??), 07-Май-23, 05:47	+/–
Сорян, бро - если надо объяснять, почему не надо переделывать то, что работает и решает задачи достаточно хорошо - то уже и не надо объяснять, ибо бесполезно. И да, я рептилойд, который пытается скрыть ПРАВДУ
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

48. Сообщение от maximnik0 (?), 07-Май-23, 06:00	+4 +/–
Так есть же возможность вставить самоподписанный ключ, до фига производителей потдерживает эту возможность.Другое дело 90% предпочитают вообще отключить проверку ключа чем заниматься страданием с ключами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #77

49. Сообщение от Иваня (?), 07-Май-23, 06:01	+/–
Прощай Intel, для меня ты умер навсегда, никогда больше не куплю твою продукцию.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #53, #56

52. Сообщение от КО (?), 07-Май-23, 06:56	+/–
ВОТ ЭТО ГРЯЗНЫЕ ХАКИ! Осталось только подойти к компьютеру...хмм, погодите-ка...
Ответить | Правка | Наверх | Cообщить модератору

53. Сообщение от Аноним (53), 07-Май-23, 06:59	–9 +/–
Бери AMD! Познай боль! Смотри как твой новый Ryzen 7-сой серии сгорел! Жди поддержки твоей красной видеокарты в Mesa, Kernel, а потом ещё года 3-4 её подпиливания до рабочего состояния, чтобы можно было не только видеть рабочее пространство, но и работать в профсофте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #66, #68, #72

54. Сообщение от Ананимаз (?), 07-Май-23, 07:04	+/–
ie6 могет в html5? сумлеваюсь
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #85

56. Сообщение от Кругом_лжецы (?), 07-Май-23, 07:32	+/–
> Прощай Intel, для меня ты умер навсегда, никогда больше не куплю твою продукцию. PS Сотрудник компании нвидиа связанный по можоритарным связям с лизой су
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

57. Сообщение от Tron is Whistling (?), 07-Май-23, 07:54	+1 +/–
А ведь эти ключи будет даже не сменить :D
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #108

58. Сообщение от Аноним (58), 07-Май-23, 08:29	+/–
"злоумышленникам удалось загрузить более 500 ГБ" Загрузить на сайт MSI ?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #89

60. Сообщение от Аноним (60), 07-Май-23, 08:58	–2 +/–
Согласен, в АНБ точно так же радуются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #63

61. Сообщение от maximnik0 (?), 07-Май-23, 09:05	+/–
>Еще стоит избавиться от документов на авто и квартиры, А по сути сейчас так и есть,вы свежие документы на недвижимость видели ? Никакой защиты, даже печати нету,только подпись. Плюс электронная подпись,которую хрен проверишь т.к спецсофт+спецключи за охулиард рублей.А даже проверив нет уверенности что завтра не отберут, слишком много для мошенников стало разрешенных способов легального отъёма.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #69, #83

62. Сообщение от Аноним (62), 07-Май-23, 09:48	+/–
А они сами то пользуются что выдумывают: Например, свои сервера?
Ответить | Правка | Наверх | Cообщить модератору

63. Сообщение от Совершенно другой аноним (?), 07-Май-23, 09:50	+7 +/–
Скорее всего в АНБ оно было ещё до того, как было передано MSI.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

64. Сообщение от Аноним (64), 07-Май-23, 09:56	+1 +/–
Когда Асус подписанную малварь через сервис апдейтов распространял вы чёт не переживали. Ленова опять же. А всё потому, что такие дела делаются без шума, а корпорациям не выгодно такой пиар.
Ответить | Правка | Наверх | Cообщить модератору

66. Сообщение от Аноним (66), 07-Май-23, 10:13	+1 +/–
Это у тебя такая фантазия или ты ChatGPT попросил тебя придумать параллельную вселенную?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

68. Сообщение от Full Master (?), 07-Май-23, 11:08	+3 +/–
Не гони, поддержка видеокарт AMD в линуксе нормальная. Я недавно купил себе RX6700, поставил и оно просто работает безо всяких дополнительных действий. В новых и не очень йобах выдаёт от 70-100 FPS в 1440p на максималках. На счёт 7xxx райзенов не знаю, сижу пока на 5800X.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #180

69. Сообщение от FF (?), 07-Май-23, 11:08	+1 +/–
в твоём случае некорректно, надо писать: "мы избавим вас от множества паролей и аутентификаций, просто зашейте удобный прогрессивный чип, а всех остальных назовите луддитами"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

70. Сообщение от FF (?), 07-Май-23, 11:09	+/–
как и Раст для АНБ, чтобы они могли взломать, а вы не могли взломать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #127

71. Сообщение от FF (?), 07-Май-23, 11:10	+/–
Пепси или Кока? Марс или сникерс? Тайд или миф?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #95, #101, #105

72. Сообщение от FF (?), 07-Май-23, 11:13	+2 +/–
> твой новый Ryzen 7-сой серии сгорел стоило производителю материнки не сделать защиту от дуpaка, как он тут же накрутил нештатную напругу и удивился
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

74. Сообщение от FF (?), 07-Май-23, 11:15	+/–
Все правильно сделали, бегом в магазинчики покупать новые безопасТные процики и материнки, луддиты!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #75

75. Сообщение от FF (?), 07-Май-23, 11:16	+/–
Интол заплатила MSI больше, чем предложили хацкеры? Потому что все равно побегут покупать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #129

76. Сообщение от YetAnotherOnanym (ok), 07-Май-23, 11:16	+1 +/–
Наличие в оборудовании аппаратных бэкдоров от производителя позволяет получить доступ к сведениям о других аппаратных бэкдорах от производителя.
Ответить | Правка | Наверх | Cообщить модератору

77. Сообщение от user (??), 07-Май-23, 11:43	+/–
Если нет возможности убрать остальные ключи, тогда это не для моей безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #88

78. Сообщение от user (??), 07-Май-23, 11:44	+1 +/–
Там чуть менее плохо, но непринципиально.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

80. Сообщение от Аноним (16), 07-Май-23, 12:18	+1 +/–
> А еще придумали пароли использовать, один хрен все взломают, какие то пин коды на банковских картах, пароли от банковских аккаунтов, даешь свободных доступ ко всему! Еще стоит избавиться от документов на авто и квартиры, чтобы любой мог воспользоваться чем хочет на выбор. Так ведь в этих документах человек в базе-данных перебивает строку и всё иначе. Удобно. Люди всё решают. Хочу подменил, хочу не подменил. Страшная система, когда проконтролировать невозможно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

81. Сообщение от шмякшмяк (?), 07-Май-23, 12:23	–1 +/–
Вообще не вижу проблем. Некоторые ещё пишут,что хомячки ломанутся толпой за новым железом... Забавно это всё, особенно когда подавляющее количество софта и так сливает всё что может. Я как злобные хомячок уже приучен к безопасности по-новому и мне хорошо всегда.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #87

82. Сообщение от Анонус (?), 07-Май-23, 12:35	+2 +/–
Вроде как "самые главные ключи", ну типа ключи для корневых сертификатов и всякие мастеры, должны быть внутри специальных железяк. Откуда их теоретически никак нельзя выковырять. Странно, что в MSI такой не пользовались.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #96, #104

83. Сообщение от Аноним (83), 07-Май-23, 13:00	+1 +/–
Поправлю Вас немного ugo+rwx это 777
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #84

84. Сообщение от Я (??), 07-Май-23, 13:15	+2 +/–
Тогда уж 0777
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #83

85. Сообщение от Аноним (85), 07-Май-23, 13:22	+/–
в принципе, можно написать прокси который на лету будет переделывать смузи сайты под старые браузеры но это столько мороки, что даже маргиналы с вогонс этим заниматься не будут
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #97

87. Сообщение от Аноним (-), 07-Май-23, 14:16	+1 +/–
Сливают всё о тебе в первую очередь браузеры и сама операционка. Не зря вон выше люди сидят в 2023 году на операционках которым чуть ли не 30 лет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81 Ответы: #109

88. Сообщение от Qq (?), 07-Май-23, 14:29	+/–
Если речь только про secure boot - легион их, по умолчанию там, конечно, ключ от майкрософт, но многие позволяют снести его и добавить только свой (и тогда без сброса ключей винду ты там не запустишь). При чем это даже не про серверные продукты, и ноутбуки, и десктопные материнки. Но подписи там используются не только для этого, подписи используют и для заверения прошивок для материнки, и черт ещё знает где
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77 Ответы: #114

89. Сообщение от anodymus (?), 07-Май-23, 15:13	+2 +/–
Да. Скачали, посмотрели что нужно и обратно загрузили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

90. Сообщение от Аноним (90), 07-Май-23, 16:03	+/–
Свои прошивки и так можно шить, просто не через интерфейс uefi, а через специальные утилиты, по крайней мере на АМД так, в интернете есть кастомные прошивки и инструкции, у Интел незнаю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

91. Сообщение от Аноним (90), 07-Май-23, 16:11	+/–
Что то же самое?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #94

92. Сообщение от Аноним (92), 07-Май-23, 16:29	–1 +/–
Схемы плат утекли? /me в своё время с удовольствием изучал свою старую материнку от асуса, доставило очень.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #98

94. Сообщение от Аноним (94), 07-Май-23, 17:18	+/–
Да те же бэкдоры для удалённого низкоуровнего доступа в обход ОС, только вместо Intel ME - Microsoft Pluton.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

95. Сообщение от Аноним (94), 07-Май-23, 17:21	+/–
Тут скорее как в Южном Парке - выбор между гигантской клизмой и сэндвичем с д***мом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

96. Сообщение от fidoman (ok), 07-Май-23, 19:57	+3 +/–
Это сложно, каждый раз к железке бегать (да ещё и вдвоём, если ключ разделённый). Надо же всё быстро, быстро!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82

97. Сообщение от fidoman (ok), 07-Май-23, 20:01	+1 +/–
Прокси, с X клиентом и запущенным файрфоксом
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85

98. Сообщение от fidoman (ok), 07-Май-23, 20:06	+1 +/–
Что там такого интересного?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92 Ответы: #99, #112

99. Сообщение от Аноним (92), 07-Май-23, 21:38	+1 +/–
Скорее для общего развития смотрел, многие вещи в целом понятны по маркировкам микросхем на платах. Но там всё равно есть нюансы что и куда подключено, какие возможности задействованы и т.д. Т.к. иногда бывает непонятно - стоит ШИМ-контроллер, а у него там 3 режима работы... какой выбран - непонятно. Ну по результатам сделал вывод: "LPC - это главное что делает компьютер IBM PC-совместимым". На неё завязано много всего - начиная от вычитывания BIOS и управления питанием и заканчивая кучей периферии, которая с 90-х должна работать в тех же протоколах (по тем же адресам памяти и IO).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98 Ответы: #107

100. Сообщение от Michael Shigorin (ok), 07-Май-23, 22:14	+2 +/–
> А вот если людям дать Явно не для того делали. PS: если что, я делал поддержку UEFI в альте и с секирбутом тоже возился: http://en.altlinux.org/UEFI_SecureBoot_mini-HOWTO
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #118

101. Сообщение от Michael Shigorin (ok), 07-Май-23, 22:17	–2 +/–
Квас :] e16c:~> arch e2k
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #121

104. Сообщение от Аноним (-), 08-Май-23, 00:38	+/–
> нельзя выковырять. Странно, что в MSI такой не пользовались. Комодохакер помнится на такую штуку в дигинотаре наткнулся. Не растерялся и подписал ей все что хотел. Ну и хли толку что ключ не сперт, если неспертым ключом подписано все что хотел атакующий? В принципе не так уж важно где именно подписывание состоится, подписать какой-нибудь generic, unsecure лоадер прямо на мощностях интела тоже сойдет, чтобы им потом остальное стартить уже без спроса интеля. При таком раскладе и хрен с ним с ключом в железке :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82

105. Сообщение от Аноним (-), 08-Май-23, 00:45	+1 +/–
> Пепси или Кока? Марс или сникерс? Тайд или миф? Вискас или китикет?! Агаблин, на производителя посмотри! Он внезапно одинаковый и "конкурирует" сам с собой, так что что бы ты ни выбрал, деньги его. С марсом и сникерсом вроде та же история. Колы таки разные фирмы делают. Так что пример неудачный.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71

107. Сообщение от Аноним (-), 08-Май-23, 01:02	+/–
На некоторые LPC чипы даже даташиты есть. Ничего особо интересного. А что до вычитывания BIOS сейчас и по другому бывает, см про чипсет и SPI (в современных системах BIOS/EFI в SPI флехах). Узнать какой режим контроллера выбран можно ткнувшись в него мультиметром, если уж шЫт на него есть. А если хочется понять как такое может выглядеть - очень скромная версия в виде опенсорсной 6-слойки есть у Olimex, это всего лишь 64-битный 1-платник с DDR3, но поверьте, вам и такой платы хватит выше крыши. Тем более что вон то открывается в обычном KiCad. Ну а следующие ..цать лет - удачи вам в достижении хотя-бы этого уровня. Даже это будет для вас не сильно далеко от blueprints инопланетного космического корабля. Если вы просто произведете это, может даже получиться, но при попытке что-то изменить не обладая должным уровнем...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99

108. Сообщение от Аноним (108), 08-Май-23, 01:14	+/–
Ключ имеет срок действия, возможно, есть механизм и инфраструктура замены ключа. Компрометация закрытого ключа - вероятное событие.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #115

109. Сообщение от Аноним (108), 08-Май-23, 01:18	+/–
Их потихоньку сливают через "Культуру Отмены Легаси" )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87 Ответы: #110

110. Сообщение от Аноним (110), 08-Май-23, 02:45	+3 +/–
Сейчас как грибы после дождя появляются проекты альтернативного не смузихлёбного вэба. Вот как пример http://frogfind.com поисковик, который дёргает API duckduckgo. Штатно поддерживает даже IE3. И куча других подобных проектов. Я сам сейчас пишу телеграм клиент под MS-DOS (уже есть под Win3.x и Win9.x), адский труд, учитывая отсутствие штатной поддержки tcp/ip, sqlite, json и т.д. Скоро на гитхаб выложу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109 Ответы: #124

112. Сообщение от maximnik0 (?), 08-Май-23, 03:18	+1 +/–
Фичи.Если охота проверьте на Висте sp1.Мs получила втык от Евросоюза за драйвер препятствующий загрузке Linux.На преведущей материнка у меня эта фича работала,пока полный рестарт (отключение питания через кнопку питания) не сделаешь,linux не стартовал.А также затирала виста загрузчик grub, но уже тогда задноручие у программистов стало проявляться.Мать позволяла стартовать с 2 жёсткого диска,я туда загрузчик и прописал,тогда виста загрузчик не сносила.С опциями висту можно было установить,но при некоторых обновлениях она падала,приходилось 2 жёсткий отключать...Хотя ХР все штатно такую вещь отрабатывала..
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

114. Сообщение от Аноним (119), 08-Май-23, 08:22	+1 +/–
> и тогда без сброса ключей винду ты там не запустишь Запустишь, если своим сертом c UEFI загрузчик винды подпишешь: https://www.linux.org.ru/forum/admin/15742224?cid=15742698 > подписи там используются не только для этого, подписи используют и для заверения прошивок для материнки Не та подпись! Для заверения прошивок UEFI, ключей и настроек UEFI, используются ключ Intel Boot Guard.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88 Ответы: #148

115. Сообщение от Tron is Whistling (?), 08-Май-23, 08:32	+/–
С этими ключами проблема - они в железо прошиты. Да, какая-то новая серия железа пойдёт с новым ключом. Может быть что-то удастся вместе с фирмварью обновить. Но основная масса пользователей так с уязвимым ключом и останется.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108 Ответы: #128

116. Сообщение от Аноним (119), 08-Май-23, 08:42	+/–
> В людях дело. Пока всё это заверено ключом, обслуживаемом более чем одним человеком, эти ключи, пароли будут утекать. Яви миру, безопасный и надёжный, алгоритм работы с ключами Intel Boot Guard. При котором этот ключ знает только один админ. Мне в голову приходит только шифрованные бекапы с паролями для расшифровки в опечатанных конвертах хранящихся в сейфах под сигнализацией и с контролем доступа. Но опять же: 1. Админ может быть не честным и положить в конверт не тот ключ или написать не тот пароль к нему. 2. Данный алгоритм укажет на компроментацию системы, но не скажет что делать. Придется менять все проци и мамки! 3. Если админ потеряет ключ, как минимум, изменения в UEFI будут невозможны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

117. Сообщение от Аноним (119), 08-Май-23, 08:51	+/–
> что в очередной раз доказывает, какое ненужное г-но эти цифровые подписи прошивок Альтернативу в студию внесите пожалуйста. https://www.linux.org.ru/forum/security/16550382?cid=16567474
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

118. Сообщение от Аноним (119), 08-Май-23, 08:56	+/–
> я делал поддержку UEFI в альте и с секирбутом Что думают в ALT о https://www.linux.org.ru/forum/security/15283293?cid=15285785
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100

119. Сообщение от Аноним (119), 08-Май-23, 09:28	+1 +/–
> исходные тексты прошивок и сопутствующих инструментов для их сборки Надеемся, что проекту CoreBoot поможет. > В числе опубликованных данных оказались передаваемые OEM-производителям закрытые ключи компании Intel, которые применялись для заверения цифровой подписью выпускаемых прошивок и для обеспечения защищённой загрузки при помощи технологии Intel Boot Guard. > ... > Ключи заверения прошивок затрагивают как минимум 57 продуктов MSI, а ключи Intel Boot Guard - 166 продуктов MSI. Предполагается, что ключи для Intel Boot Guard не ограничиваются компрометацией продуктов MSI и также могут применяться для атак на оборудования других производителей, использующих 11, 12 и 13 поколения процессоров Intel (например, упоминаются платы Intel, Lenovo, Supermicro, ...). Это капец подсистеме Integrity (https://www.opennet.me/openforum/vsluhforumID3/127714.html#164) для ВСЕХ кто пользуется ключами от фирмы Intel! А все потому что нарушили правила прописанные в учебнике: https://www.linux.org.ru/forum/security/16550382?cid=16564526 Публичный ключ Intel Boot Guard прописывается в ROM единожды и не может быть изменён без замены мамки с процом. Военная тайна от Intel: если мамку и проц покупать отдельно, то ключ Intel Boot Guard гарантировано не прошит! Возможность установки своего ключа Intel Boot Guard зависит от UEFI мамки и версии процессора Intel.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #133, #136

120. Сообщение от Аноним (120), 08-Май-23, 13:36	+/–
https://www.opennet.me/opennews/art.shtml?num=53204
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #135

121. Сообщение от Аноним (120), 08-Май-23, 13:42	+/–
Покажи тесты E2K + GNU/Linux: https://www.opennet.me/openforum/vsluhforumID3/129886.html#309
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101

124. Сообщение от ыы (?), 08-Май-23, 15:04	–1 +/–
а долго еще MSDOS будет поддерживать новые процессоры?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110 Ответы: #143

127. Сообщение от Аноним (127), 08-Май-23, 19:37	+1 +/–
GCC-RS что такое тогда? Для меня ваше утверждение звучит как "алфавит это для сквернословия".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

128. Сообщение от Аноним (128), 08-Май-23, 20:02	+/–
Обычное дело. Скачиваешь файл из надежного источника. Заливаешь на пустую шлэшку и подключаешь. Подаешь питание при нажатой кнопки и удерживаешь сколько то. Там апдейтер разберется. Может для пакета с новыми ключами другая пара ключей предусмотрена.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #115 Ответы: #130, #131

129. Сообщение от Аноним (128), 08-Май-23, 20:05	+/–
Потому что контроль за ключами потерян. Скомпрометированные ключи обратно не нужны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

130. Сообщение от Tron is Whistling (?), 08-Май-23, 20:05	+/–
Конкретно с этими ключами есть шанс, что они прошиты намертво, и обновятся только в новых моделях. А может быть и не обновятся вообще, если на них завязаны подписи третьих сторон.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128

131. Сообщение от Tron is Whistling (?), 08-Май-23, 20:08	+/–
Это как раз и есть ключи для подписывания вендорских ключей, такие дела...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128 Ответы: #132

132. Сообщение от Аноним (132), 08-Май-23, 23:39	+/–
>оказались передаваемые OEM-производителям закрытые ключи компании Intel, которые применялись для заверения цифровой подписью выпускаемых прошивок и для обеспечения защищённой загрузки при помощи технологии Intel Boot Guard. Не понятно зачем Интел передал закрытые ключи, вместо того чтобы просто заверить ключи вендора, как поставщик Intel Boot Guard. Замена ключей Интела так же должна быть предусмотрена, потому что компрометация ключей _Вполне_Вероятное_Событие_. Но они могут включить дурачка для отдельных потребителей, а для остальных штатно заменить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #131 Ответы: #134

133. Сообщение от Аноним (-), 09-Май-23, 04:58	+/–
> Военная тайна от Intel: если мамку и проц покупать отдельно, то ключ > Intel Boot Guard гарантировано не прошит! Возможность установки своего ключа Intel > Boot Guard зависит от UEFI мамки и версии процессора Intel. Военная тайна: за индейцев вас держит не только интел но и какой-то анонимус, нагло размахивая ерундовым псведоключом, в то время как мастерключ платформы вшит в boot ROM ME и принадлежит фирме интел. А этот так, для иллюзии контроля и безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #119

134. Сообщение от Tron is Whistling (?), 09-Май-23, 08:38	+/–
Всё там понятно. Открытые ключи от этого добра зашиты в железо вендора и используются для верификации вендорской фирмвари.  При этом вендор сам подписывает фирмвари закрытым ключом, выданным вендору. Скорее всего ключ этот подписан глобальным интеловским ключом, т.е. интел может вендору ключ сменить. Однако скорее всего открытый ключ подписи в железе залочен жёстко и вместе с рядовой фирмварью не заменяется, только через технологический интерфейс.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #132 Ответы: #181

135. Сообщение от InuYasha (??), 09-Май-23, 10:14	+/–
> https://www.opennet.me/opennews/art.shtml?num=53204 Спасибо, помним, но это немного не то. Это не сырцы, и даже не ключи. (
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120

136. Сообщение от Аноним (136), 09-Май-23, 13:52	+/–
> Военная тайна: за индейцев вас держит не только интел но и какой-то анонимус, нагло размахивая ерундовым псведоключом, в то время как мастерключ платформы вшит в boot ROM ME и принадлежит фирме интел. Ты о этом ключе: https://www.opennet.me/opennews/art.shtml?num=52487 > А этот так, для иллюзии контроля и безопасности. https://github.com/corna/me_cleaner/wiki/Intel-Boot-Guard Если есть возможность взять новое оборудование, выбирайте поддерживаемое LibreBoot, или разрешающие устанавливать свои ключи UEFI и свой ключ Intel Boot Guard. Позиция вот есть у интел там "Chipset key" и "Secure Key Storage" и поэтому ничего вообще делать не будем в Integrity - не состоятельна. Почему вы не сделали до сих пор подсистему Integrity: https://www.linux.org.ru/forum/admin/15742224?cid=15744272 Сделайте хотя бы поддержку GRUB и ядра Linux. А не говорите "вот нам не нравится Secure boot & Intel Boot Guard и по этому мы ничего не будем делать".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #119 Ответы: #139, #145

137. Сообщение от Аноним (138), 09-Май-23, 13:58	+/–
похоже это очередная шутка с выкупом которую кому-то удалось провернуть в инфраструктуре мэйси, взлом и кража такого количества данных показывают наличие множества уязвимостей в системе и полную неспособность администраторов надлежащим образом обезопасить ресурсы компании, подобные инциденты становятся все чаще из-за распространения криптовалют и халявных денег, вместо того чтобы тратить ресурсы на выкуп лучше сосредоточиться на решении проблем безопасности и соответствия требованиям, а для предотвращения подобных атак в дальнейшем необходимо провести тщательный аудит инфраструктуры и пересмотреть всю систему защиты и контроля доступа
Ответить | Правка | Наверх | Cообщить модератору

138. Сообщение от Аноним (138), 09-Май-23, 13:59	+/–
история с взломом мэйси лишний раз показывает что даже так называемые "элитные" высокотехнологичные компании в большинстве своем имеют критически слабые системы безопасности, а цифровые подписи и прочие меры контроля оказываются ненадежными и легко взламываются, главная проблема не в технологиях а в отсутствии системного подхода к обеспечению защищенности, компании склонны решать отдельные задачи и проблемы вместо создания целостной архитектуры безопасности, поэтому такие инциденты будут продолжаться и лишь еще раз подчеркивать наивность представлений о "цифровой безопасности" со стороны маркетологов и руководства
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #140

139. Сообщение от Аноним (136), 09-Май-23, 14:03	+/–
"Intel Boot Guard is a technology introduced by Intel in the 4th Intel Core generation (Haswell) to verify the boot process. This is accomplished by flashing the public key of the BIOS signature into the field programmable fuses (FPFs), a one-time programmable memory inside Intel ME, during the manufacturing process; in this way it has the public key of the BIOS and it can verify the correct signature during every subsequent boot. Obviously, once enabled by the manufacturer, Intel Boot Guard can't be disabled anymore. If you don't have a preassembled computer, no, as the CPU and the chipset must be physically connected during the manufacturing process to fuse the public key into the CPU and enable Intel Boot Guard " Да, ключ Intel Boot Guard прошивается в ROM на Intel ME. Но это не делает сразу его плохим из-за ненавистного здесь словосочетания "Intel ME". Еще раз, они не могут прошить в ROM этого "Intel ME" ключ Intel Boot Guard пока к мамке не присоеденён процессор. Покупайте мамку и проц отдельно и выбирайте те, которые разрешают устанавливать свои ключи и удалять чужие с UEFI, поддерживают установку ключа Intel Boot Guard и процессоры с поддержкой технологии Intel Boot Guard.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136

140. Сообщение от Аноним (136), 09-Май-23, 14:12	+/–
Во всём виновны "эффективные менеджеры", которые поставлены для увеличения прибыли компании и дивидендов акционерам, оптимизировали штат, включая штат безопасников... Главное это цена акций на бирже и дивиденды, а безопасность и ключи неинтересны, пока не влияют на цену акции и дивиденды.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #138

142. Сообщение от Nora Puchreiner (?), 09-Май-23, 17:55	–36 +/–
А торрент есть? С onion-сайта обещает докачаться через 4 месяца
Ответить | Правка | Наверх | Cообщить модератору

143. Сообщение от ryoken (ok), 10-Май-23, 09:12	+/–
А зачем они в ДОСе-то?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #124

144. Сообщение от mos87 (ok), 10-Май-23, 09:55	+/–
если в организации не заведёно на флешках инфу таскать между рабстанциями на вендовсах то и опасностей сразу на порядок меньше. делаешь замкнутые контуры, отделяешь данные от разработки/тестирования. сами рабстанции заменить, как и должно быть, на терминалы. и вуаля вместо этого обезьяны расставляют софт/хард с паролями админ/админ. Страдает тут только тот чьи конф. данные не опять а снова спёрли. Нет стимула корпам нормально орг-ть ИТ-инфраструктуру.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

145. Сообщение от Аноним (-), 10-Май-23, 10:41	+/–
> Ты о этом ключе: https://www.opennet.me/opennews/art.shtml?num=52487 Не-а. О ключе который для boot ROM проца ME прописан, с которого все и начинается. Начальный код ME вот этим ключом подписан. Ну а дальше оно уже там раскочегаривает остальное, как я понимаю. Без этого ключа индейцы могут до упора радоваться порошку для лечения тифа, а белый человек будет ржать с того что индейцы зубной порошок радостно жрут и даже прессуют в таблетки, белому человеку же помогает, да?! > https://github.com/corna/me_cleaner/wiki/Intel-Boot-Guard ...а вот когда ME запустился и все такое, он может потом BIOS прочитать и запустить. Проверив подпись даже вот. Проблемка в том что право первой ночи интел зарезервировал себе. А вы там даже с вот этим вот - только ЕСЛИ интел милостиво разрешит. Если его ROM и догружаемое добро из ME в хорошем настроении. И имеючи вон тот ключ, интел технически главнее вас. Какой бы вы свой ключ не вписали для "проверки" своего BIOS, интел всегда может подписать своим ключом ME лоадер ME который стартует раньше вас - и поэтому обходит вас и ваш фуфлоключ. Как и кому интел такое (не) может выписать исключительно на усмотрение интела. Они и есть настоящий хозяин платформы. > Если есть возможность взять новое оборудование, выбирайте поддерживаемое LibreBoot, Я думаю что скорее буду выбирать ARM64 и RISCV. Поддерживаемые uboot. На линухе довольно похрен какая там архитектура так то. Там секурбут если есть, то как правило можно вписать именно ROOT key hash в фузы и _самый первый_ лоадер подписан вот этим вот. А если этого счастья нет, всегда можно сделать наглухо READONLY SPI или SDCard эмулирующий собой ROM + загрузчик в который вот именно мой ключ вписан. И оно напрочь откажется запускать хлам где ключ не мой. Вот так секурбут даже секурити фича. А вон то - одеяло для наивных индейцев. > или разрешающие устанавливать свои ключи UEFI и свой ключ Intel Boot Guard. Покорно благодарю их за ослиное позволение, но я уже добрался до уровня который ближе к системному интегратору или OEM-lite, так что могу себе запиливать более осмысленно и понимать кто за кого меня держит и как это работает. А заодно не зависеть от процессорной архитектуры особо. > Позиция вот есть у интел там "Chipset key" и "Secure Key Storage" > и поэтому ничего вообще делать не будем в Integrity - не состоятельна. По моему позиция не брать тифозные одеяла, особенно за свои деньги, вполне рабочая. Особенно когда развелось достаточно теплых одеял от других чипмейкеров. Мне имхо хватит. > Почему вы не сделали до сих пор подсистему Integrity: Не понял. Там про загрузчики виндовса. Мне виндовс не интересен, я им не пользуюсь ни в каком виде уже лет 10+. Поэтому пусть там ктонить другой с этим возится. А секурити линухов я более-менее в состоянии обеспечить. И есть более 1 метода это сделать. В том числе и без всей этой TPMной дряни. Извините, а фирмварь TPM-клоаки у вас открытая? Или вы самые чувствительные данные доверите еще 1 мутноблобику "потому что он хороший"? Мне одеяла для индейцев не требуются, спасибки. Я сам немного научился одеяла шить. Без тифа в комплекте. > Сделайте хотя бы поддержку GRUB и ядра Linux. А не говорите "вот > нам не нравится Secure boot & Intel Boot Guard и по этому мы ничего не будем делать". Эм... а почему в этом месиве должен по вашему копаться именно я? Мне вообще модель безопасности в стиле хромобука нравится и там никаких уефи, TPM в обязаловку и проч, а эквивалент секурбута сделан куда интереснее. С возможностью оверрайда юзером - можно снять readonly с флехи открутив 1 винтик и переписать свой первый лоадер, может быть с своими ключами верификации дальнейшей цепочки. Ремотный атакующий внитик отвинтить не может и поэтому чисот софтварно атака не реализуема - зато владелец может взять штурвал на себя и порулить платформой от и до. Будем считать что мне как-то так больше нравится. А вы можете покупать шыт с ME и PSP за свои деньги если оно вам надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136 Ответы: #147

146. Сообщение от Прыгающий Ленивец (?), 10-Май-23, 15:34	+/–
Это интересно в свете того что MSI официально не ушла из РФ и отжала долю рынка у ушедших производителей
Ответить | Правка | Наверх | Cообщить модератору

147. Сообщение от Аноним (147), 10-Май-23, 15:47	+/–
>> Ты о этом ключе: https://www.opennet.me/opennews/art.shtml?num=52487 > Не-а. О ключе который для boot ROM проца ME прописан, с которого все и начинается. Тыкни ссылку доказывающую существование ещё одного ключа в Intel ME кроме Intel Boot Guard! Ещё разок прочти: https://www.opennet.me/openforum/vsluhforumID3/130402.html#139 > Начальный код ME вот этим ключом подписан. Начальный код Inetl ME в ROM и его подписывать и проверять незачем. Все, что до ключа Intel Boot Guard включительно записано в ROM и не проверяется при старте. Возможны внутренние тесты работоспособности есть, но они не связаны с криптухой. > ...а вот когда ME запустился и все такое, он может потом BIOS прочитать и запустить. Проверив подпись даже вот. Каким ключом проверяется UEFI? Ключом - Intel Boot Guard, которым ты должен подписать UEFI со своими ключами Secure Boot и настройками. Других подписей кроме Inetl Boot Guard на твоем ключе Secure Boot в принципе быть не может. Понимаешь почему? А без проверки подписи ключа Secure Boot комп не загрузится. > Проблемка в том что право первой ночи интел зарезервировал себе. Право установить в ROM на Intel ME созданную публичную часть ключа Intel Boot Guard для верификации всего изменяемого в UEFI имеет право тот кто вставил проц в мамку! Кто вставил проц в мамку, тот и собственник. > Я думаю что скорее буду выбирать ARM64 и RISCV. Поддерживаемые uboot. На линухе довольно похрен какая там архитектура так то. Как раз очень не всё равно: https://www.opennet.me/openforum/vsluhforumID3/129886.html#309 https://www.opennet.me/openforum/vsluhforumID3/129886.html#351 > Извините, а фирмварь TPM-клоаки у вас открытая? Где я упоминал TPM? Вот реализация https://www.linux.org.ru/forum/security/16550382?cid=16567177 Классический вариант Integrity в GNU/Linux: Загрузчик верифицирует свои модули, настройки, ядра с ключами IMA/EVM и инитрд: https://www.gnu.org/software/grub/manual/grub/grub.html#Usin... Ядро верифицирует все запускаемые программы, библиотеки, настройки,… https://sourceforge.net/p/linux-ima/wiki/Home/ Можно организовать с помощью Secure Boot верификацию GRUB core.img с публичным ключом GRUB: https://habr.com/en/post/273497 http://en.altlinux.org/UEFI_SecureBoot_mini-HOWTO
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #145 Ответы: #150

148. Сообщение от Qq (?), 10-Май-23, 18:35	+/–
> Запустишь, если своим сертом c UEFI загрузчик винды подпишешь: https://www.linux.org.ru/forum/admin/15742224?cid=15742698 Ух ты, круть :) а вообще справедливое замечание, да > Не та подпись! Для заверения прошивок UEFI, ключей и настроек UEFI, используются > ключ Intel Boot Guard. Да, я знаю, но там немного контекст иной.. В тоже время secure boot, есть, работает и, благо, поддается настройке что должно перекрыть потребности основной массы с головой
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #114

149. Сообщение от Аноним (149), 11-Май-23, 14:51	+/–
От другого вендера хехехе
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

150. Сообщение от Аноним (-), 12-Май-23, 12:56	+/–
> Тыкни ссылку доказывающую существование ещё одного ключа в Intel ME кроме Intel > Boot Guard! https://github.com/ptresearch/me-disablement - см пдфник и вокруг, там процесс старта разрисован. ME стартует с самого начала, и вот там, когда он читает свой лоадер из флешки, ключ который подписывает его - интеловский, прописаный еще на фабе, интелом. OEMам этот ключ ессно не дают. Права бога (запуск произвольного кода на ME "официально") - это для интела. Кстати там же в соседних репках и доступный пдфник с иерархией нарисован, вот этот - https://github.com/ptresearch/IntelME-Crypto/blob/master/The... Где там пользователь - сами видите. А таки интел всегда может подписать себе лоадер для ME (bup в их терминологии) и из него сделать все что угодно плевать хотев на ваши бутгады, они более привилегированые чем вы и могут все и вся. > Ещё разок прочти: https://www.opennet.me/openforum/vsluhforumID3/130402.html#139 Какие-то коменты на опеннете (и даже лоре) довольно слабый референс. >> Начальный код ME вот этим ключом подписан. > Начальный код Inetl ME в ROM и его подписывать и проверять незачем. Конечно. Он проверяет лоадер (bup) догружающий остальное. И вот в этом месте ключи прописаны именно интелские. Еще с фабы. Их замена вообще не предусмотрена. Это самый главный ключ и он почему-то ВНЕЗАПНО у интела. Нет, ОЕМам это не дают, MSI даже показал почему :). Косплеить бога прерогатива корпорации Интел. > Все, что до ключа Intel Boot Guard включительно записано в ROM > и не проверяется при старте. Ага, ща. Читай в том месте где про старт ME, модуль bup и все такое, чем там оно проверяется. И вот в этом месте интел всегда может инициативу перехватить если хочет. Это ж их ключ вшит. И это гораздо более интересный проц, он активен даже когда комп выключен. Это вообще "ring -3" в терминах мадам руткитской. И он всеми секурити и дебаг фичами платформы рулит так то, у x86 вообще доступа в многие закоулки куда ME пускают - нету. > Возможны внутренние тесты работоспособности есть, но они не связаны с криптухой. Это, так то, side by side работа ME со всем остальным и она и с крипто связана, и самая привилегированная и чувствительная часть системы, которая де факто рулит всем. А x86 вообще доступ не имеет в дофига внутреннего мира, который в самых критичных местах ME почему-то рулится. И ваш код на ME вам никто выполнять не даст. Во всяком случае официально. > Каким ключом проверяется UEFI? Ключом - Intel Boot Guard, которым ты должен > подписать UEFI со своими ключами Secure Boot и настройками. Индеец, твое одеяло с тифом для ME вообще ортогонально. ME технически сильно более привилегирован, он всем секурити и дебагом платформы дирижирует, х86 вообще туда не пускают. И вот его фирмвара (начальные модули оной) подписаны именно интеловским ключом, хардкоднутым сразу с фабы. И как ты уже понял, интел всегда может подписать себе лоадер ME и проч который забьет на все твои ключи и сделает все что хотел. А ты настолько индеец что даже не понял за кого тебя в этой схеме держат, лол. Да, тебе отдали x86 проц, сделав его secondary, а главным в системе теперь ME является. Всегда активный, даже при типа-poweroff, он от дежурки питается. > Других подписей кроме Inetl Boot Guard на твоем ключе Secure Boot в принципе > быть не может. Понимаешь почему? Расскажи это ME :) > А без проверки подписи ключа Secure Boot комп не загрузится. А если ты фирмвару ME не дашь, ROM современных ME через полчаса комп выключает, на всякий случай. Поэтому - дашь. И вот там подпись интелским ключом. В этот момент интел если ему станет надо всегда подпишет себе альтернативный кастомный код, которым грубо наплюет на все твои бутгады. Застартив самый привилегированый компонент системы альтернативным кодом без твоего ослиного разрешения - и при желании сделав что они там хотели с x86 вот оттуда. > Право установить в ROM на Intel ME созданную публичную часть ключа Intel > Boot Guard для верификации всего изменяемого в UEFI имеет право тот > кто вставил проц в мамку! А ключ которым стартовый модуль ME подписан, вот, интелский и вшит на фабе, интелом. И это намного круче. Глупый индеец даже не понял что одеяло давно уже с тифом :). Тебе вообще выполнять код на ME нельзя. Так что на тебе вместо настоящего контроля над платформой иллюзию для индейцев развесивших уши. А самый крутой ключ - интелу. > Кто вставил проц в мамку, тот и собственник. Осталось в этом Intel ME убедить, который "собственника" шлет на 3 буквы с его кодом, при этом руля всем секурити и дебагом платформы. Ну да, номинально его можно типа-отключить. Вежливо попросив отвалить, через интерфейс. Что он там по факту при этом сделает - вопрос номер два. Да и не отменяет возможность для интела подписать левый ME loader (bup) делающий все что угодно их вшитым ключом. И да, это как я понимаю позволяет бледнолицым богам при желании забить на бутгада и твой ключ. >> На линухе довольно похрен какая там архитектура так то. > Как раз очень не всё равно: > https://www.opennet.me/openforum/vsluhforumID3/129886.html#309 > https://www.opennet.me/openforum/vsluhforumID3/129886.html#351 ИМХО сперва разберитесь за кого вас в "вашей" платформе ее производитель на самом деле держит, а потом будете другим пытаться лекции по секурити давать, эксперт. Ключ бутгада менее интересен чем ключ Интел для ME ROM, тот мощнее. Пока вы на какие то жалкие фичи наяриваете, у вас резидентно, side by side постороний проц с более крутым доступом в систему образовался. И ключ для его первого лоадера у интела, хы. Самое клевое кольцо Саурон оставил себе, какая неожиданность! >> Извините, а фирмварь TPM-клоаки у вас открытая? > Где я упоминал TPM? Вы может и нигде. А вон те господа сватающие секурные технологии загрузки - вполне. Кстати ME недалеко от этого ушел, смотрите описание что там с секурити, ключами и проч и у кого какие права. Вон там у позитивов все по полочкам, ликбез для индейцев и гайд по кольцам всевластия. > Вот реализация "Если вы хотите рассмешить бога, расскажите ему о своих планах" > Можно организовать с помощью Secure Boot верификацию GRUB core.img с публичным ключом ...но это не поможет от Саурона и его кольца всевластия в виде интела с ключом ME. Ну так, мелочи :) > GRUB: Я для себя предпочту что-нибудь более компактное и менее оверинженернутое и wintel-образное - потому что с теми господами и их официозом секурити больно уж характерная получается. Т.е. много пафоса и мало результата, да еще в процессе, вот, за индейца держут постоянно. А на ARM или RISCV я так то могу затолкать uboot в ридонли флеху или sd/emmc и вот в нем чекать подписи всего чего я хочу, потому что это и есть первый лоадер после power up, кроме может быть ROM проца. Мне даже не надо чтобы проц проверял его: если стораж с ним именно readonly, он типа расширение ROM, тоже readonly. И главное никаких резидентных side by side суперпривилегированных процов нет. Это важнее чем какие-то чекмарки в каком-то глупом тесте, при ТОМ уровне контроля над системой на все эти чекмарки можно забить, влупив какой-нибудь брутальный DMA в память вообще с полным оверрайдом ваших x86 глупостей от и до.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #147

180. Сообщение от Олег (??), 16-Май-23, 21:17	+/–
Толку от AMD Nvidia это нормальные FFmpeg ускорители и прочее Да даже виндовый примьер не любит AMD совсем AMD видюхи это игрульки и только Тот же искусственный интеллекут на NVIDIA, на AMD кот на плакал
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

181. Сообщение от Аноним (181), 22-Май-23, 08:05	+/–
>  При этом вендор сам подписывает фирмвари закрытым ключом, выданным вендору. Скорее всего ключ этот подписан глобальным интеловским ключом, т.е. интел может вендору ключ сменить. У меня есть информация только о одном неизменяемом ключе Intel Boot Guard прошитым однократно в  ROM рядом с неизменяемой частью  Intel ME. > Однако скорее всего открытый ключ подписи в железе залочен жёстко и вместе с рядовой фирмварью не заменяется, только через технологический интерфейс. Intel говорит, что изменение Intel Boot Guard невозможно. Если у кого есть ссылки на официальный сайт Intel с опровержениями, выложите здесь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #134

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема