Slo-Tech - Moderni sistemi že dobro desetletje uporabljajo Secure Boot, ki počne točno to. Ob zagonu zagotavlja, da se izvaja le varna koda, ki jo označuje digitalni podpis. Gre za zaščito pred napadi, ko so bili še pred dvema desetletjema teoretični, nato pa so se pojavili v praksi. Škodljiva programska oprema, ki bi se ugnezdila v UEFI oziroma firmware, ima lahko popoln nadzor nad sistemom in ker se zažene še pred sistemom, v praksi ni vidna ali enostavno izbrisljiva. Secure Boot vsaj v teoriji pred tem ščiti.
V četrtek zvečer pa so raziskovalci iz podjetja Binarly ugotovili, da je na več kot 200 različnih modelih računalnikov proizvajalcev Acer, Dell, Gigabyte, Intel in Supermicro sistem zatajil. Kriptografski ključ, ki ga uporabljajo za preverjanje istovetnosti kode, je namreč kompromitiran. In to že dve leti.
Leta 2022 se je na Githubu (na naslovu, ki ni več aktiven https://github.com/raywu-aaeon/Ryzen200... ) znašel tudi zasebni ključ, zgolj navidezno zaščiten s štirimestnim geslom, ki ga je sprejemal Secure Boot. Ta ključ je omogočal podpis škodljive programske opreme, ki bi jo potem SecureBoot vseeno zagnal. To je velik problem.
Kasneje so ugotovili, da je sumljivih ključev še več. V več kot 300 napravah so odkrili tudi ključe, ki so zgolj preizkusni in nikoli niso bili namenjeni uporabi v produkcijskih okoljih. V 21 ključih se odkrili oznako O NOT SHIP ali DO NOT TRUST, ker je šlo za testne ključe. Vseeno so se ti nekako znašli v produkcijskih okoljih v napravah proizvajalcev Aopen, Foremelife, Fujitsu, HP, Lenovo in Supermicro.
Na vseh prizadetih napravah - seznam ima več kot 500 vnosov - je sedaj Secure Boot neefektiven. Virusi, ki okužijo UEFI, pa niso le teorija, temveč obstajajo. S ključi so torej proizvajalci ravnali površno, zato imajo sedaj težavo. Posodobitev UEFI je možna, v Secure Boot pa lahko kompromitirane ključe dodajo na seznam preklicanih. Nihče pa ne, koliko sistemov se bo zaradi tega zrušilo. Velika verjetnost je, da za večino naprav popravkov sploh ne bo, ker niso več aktivno podprte.
Svoje ključe lahko preverite z ukazom [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI PK).bytes) -match "DO NOT TRUST|DO NOT SHIP" v powershellu v Windows.
Novice » Varnost » Secure Boot na več kot 200 napravah neučinkovit
HotBurek ::
Ali ima lahko moj računalnik iz leta 2009 kakšne probleme zaradi tega?
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window
HrščPščvnk ::
ne vem kakšen stroj maš Iz Leta 2009.
Kaj ti pa izpiše v powershell?
Kaj ti pa izpiše v powershell?
Hrošč Puščavnik, ogrožena živalska vrsta iz Tivolija.
Han ::
Zopet na hitro spisana novica z napakami: O NOT SHIP... Nihče pa ne, koliko sistemov...
Kako mora Powershell oziroma Windows Terminal na ukaz odgovoriti, če ključ ni kompromitiran?
Kako mora Powershell oziroma Windows Terminal na ukaz odgovoriti, če ključ ni kompromitiran?
MrStein ::
Je bilo kaj novic o Microsoftovem načrtu, da blokira skoraj boot loaderje?
Ti bi izvedel z nadgradnjo spiska ključev uefi.
Ti bi izvedel z nadgradnjo spiska ključev uefi.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
_Denny_ ::
Kako mora Powershell oziroma Windows Terminal na ukaz odgovoriti, če ključ ni kompromitiran?
S False.
Asrock X670E Taichi, Ryzen 9 7950X3D + NH-D14, 96GB Corsair DDR5-6400 CL32
RTX 2070S 8GB, 2TB Kingston KC3000, 2TB ADATA SX8200 Pro, 4TB Micron 5200
Seasonic Focus Plus 850W, Corsair Air 540, Logitech Z-2300, Samsung UE65H6400
RTX 2070S 8GB, 2TB Kingston KC3000, 2TB ADATA SX8200 Pro, 4TB Micron 5200
Seasonic Focus Plus 850W, Corsair Air 540, Logitech Z-2300, Samsung UE65H6400
dr.Akula ::
Nerad kritiziram, ampak novica je res slabo napisana, predvsem zadnji odstavek.
Če hočete probat pri sebi, morate Powershell pognati v admin načinu. Če ključ ni kompromitiran, vrne "false".
Tu piše malo več, ampak so pa spodaj zajebali ukaz, ker ni pravilno formatiran, če ga kopiraš.
Če hočete probat pri sebi, morate Powershell pognati v admin načinu. Če ključ ni kompromitiran, vrne "false".
Tu piše malo več, ampak so pa spodaj zajebali ukaz, ker ni pravilno formatiran, če ga kopiraš.
ni podatka
war-dog ::
No, pa še Windows proof of concept:
Object reference not set to an instance of an object.
krho ::
Pa ni 200 naprav ampak MODELOV. Kar je dejansko velika razlika.
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net
MrStein ::
Je bilo kaj novic o Microsoftovem načrtu, da blokira skoraj boot loaderje?
Ti bi izvedel z nadgradnjo spiska ključev uefi.
Eh, typoti.
Skoraj VSE boot loaderje
Ti bi -> To bi
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
k4vz0024 ::
Sem vnesel zgornji ukaz v powershell in odgovor je:
Get-SecureBootUEFI : Unable to set proper privileges. Access was denied.
Kako to interpretirat?
Get-SecureBootUEFI : Unable to set proper privileges. Access was denied.
Kako to interpretirat?
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | nov SSD disk v prenosnikOddelek: Pomoč in nasveti | 2230 (1129) | turist1 |
» | Stranska vrata v Microsoftov Secure Boot so se odprlaOddelek: Novice / Varnost | 7108 (5356) | johnnyyy |
» | SSD upgrade: BIOS najde disk, windows inštalacija ne (strani: 1 2 )Oddelek: Strojna oprema | 20104 (2342) | Mare2 |
» | Acerjev šef vidno nenavdušen nad Microsoftovim pohodom v hardware (strani: 1 2 3 4 )Oddelek: Novice / Windows Mobile | 34584 (30997) | Icematxyz |
» | Nam bosta UEFI varnostni zagon in Microsoft preprečila poganjanje alternativnih opera (strani: 1 2 3 4 5 )Oddelek: Novice / Varnost | 51581 (42644) | Icematxyz |