»

Secure Boot na več kot 200 napravah neučinkovit

Slo-Tech - Moderni sistemi že dobro desetletje uporabljajo Secure Boot, ki počne točno to. Ob zagonu zagotavlja, da se izvaja le varna koda, ki jo označuje digitalni podpis. Gre za zaščito pred napadi, ko so bili še pred dvema desetletjema teoretični, nato pa so se pojavili v praksi. Škodljiva programska oprema, ki bi se ugnezdila v UEFI oziroma firmware, ima lahko popoln nadzor nad sistemom in ker se zažene še pred sistemom, v praksi ni vidna ali enostavno izbrisljiva. Secure Boot vsaj v teoriji pred tem ščiti.

V četrtek zvečer pa so raziskovalci iz podjetja Binarly ugotovili, da je na več kot 200 različnih modelih računalnikov proizvajalcev Acer, Dell, Gigabyte, Intel in Supermicro sistem zatajil. Kriptografski ključ, ki ga uporabljajo za preverjanje istovetnosti kode, je namreč kompromitiran. In to že dve leti.

Leta 2022 se je na Githubu (na naslovu, ki ni več aktiven https://github.com/raywu-aaeon/Ryzen200... ) znašel tudi zasebni ključ, zgolj navidezno zaščiten s štirimestnim geslom,...

14 komentarjev

Številni računalniki z ranljivostjo v UEFI-ju

Slo-Tech - Skorajda vsi osebni računalniki, ki imajo Intelove ali AMD-jeve procesorje, imajo resno luknjo, ki omogoča okužbo sistema med zagonom in nadaljnji prevzem nadzora nad napravo. Ranljivost tiči v UEFI-ju, in sicer v delu kode, ki omogoča prikaz poljubne slike med začetno fazo zagona, zato so raziskovalci ranljivost poimenovali LogoFAIL. Prizadeti so sistemi, za katere je UEFI izdelal AMI, Insyde ali Phoenix, kar so praktično vsi sistemi, ne glede na sestavljavca (Lenovo, Dell, HP). Ti so večidel že izdali obvestila (advisory) in priporočajo nadgradnjo firmwara na ploščah oziroma UEFI-ja.

O napadu so raziskovalci podrobneje spregovorili na Black Hat Security Conference, ki je ta teden potekala v Londonu. Napad LogoFAIL je posledica več ranljivosti v sistemih, ki omogočajo izvedbo s podtaknjeno okuženo sliko. UEFI ima namreč možnost, da med zagonom prikaže logotip proizvajalca, denimo Lenovo. Del, ki skrbi za to možnost (image parser), pa ni posebej varen. Napadi med zagonom, in sicer med stadijem DXE (Driver Execution Environment), so posebej problematični, ker jih je zelo težko preprečiti, zaznati in odpraviti. Če v tej fazi zlonamerna koda pridobi nadzor nad sistemom, ima praktično neomejene privilegije. Za napad ni potreben...

30 komentarjev

Okna bodo za Evropejce kmalu manj nadležna

The Windows Blog - Pri Microsoftu začenjajo s testiranjem sprememb v operacijskem sistemu Windows, ki jih zahteva evropski zakon DMA in bodo odstranile vsaj nekaj muh, ki okolje zadnje čase pestijo.

V zadnjih letih delo z Microsoftovimi Okni vse prepogosto motijo nadležni zahtevki in ovire, ki so jih v Redmondu v sistem vgradili z namenom promoviranja in širjenja lastnih programskih rešitev. Težave ob nameščanju konkurenčnih spletnih brskalnikov ali oglasih za karkoli-365 so že ponarodele, z enajstico pa so dosegle vrelišče, tudi z bizarnostmi, kot je bil preizkus obveznega kviza, če je uporabnik želel odstraniti aplikacijo OneDrive. Na srečo pa živimo v Evropski uniji, ki je letos pričela uvajati uredbo Digital Markets Act, ki utegne zaznavno zauzdati samovoljo informacijskih velikanov na Stari celini. Z marcem 2024 bodo morali v Redmondu Windowse in njihove aplikacije napraviti priročnejše za odstranjevanje in pripravnejše za sodelovanje s konkurenčnim programjem. Sedaj so pričeli spremembe...

20 komentarjev

BlackLotus Microsoftu povzroča veliko dela

Microsoft - Pri Microsoftu so lansirali popravek, ki onemogoča, da bi zlobna koda BlackLotus obšla sistem Secure Boot in se prikrito namestila na računalnik še pred zagonom Windowsov. Toda postopno nameščanje na vse računalnike naj bi trajalo slabo leto, po tem pa na teh napravah starejši mediji za nameščanje Oken ne bodo več uporabni, če ne bodo tudi posodobljeni.

BlackLotus je zbirka orodij, ki skozi zlorabo ranljivosti v strojni kodi UEFI omogoča nameščanje rootkitov, se pravi programja za prevzem nadzora nad računalnikom (UEFI bootkit). Varnostni strokovnjaki so ga prvič zaznali lansko jesen, od tedaj pa poteka napeta tekma z zlikovci v iskanju protistrupov. Razvijalci BlackLotusa so namreč zelo aktivni in ga stalno nadgrajujejo; v tem pogledu pa je predvsem pomembno, da je marca postal prvi javni UEFI malware, ki je zmožen zaobiti tudi Secure Boot, torej sistem, ki s pomočjo vezja Trusted Platform Module (TPM) načeloma preprečuje, da bi naprava ob zagonu pognala nepodpisano kodo. Sedaj...

4 komentarji

Napadalci ukradli podpisne ključe MSI, prizadet tudi Intel Boot Guard

Slo-Tech - Marca letos so člani hekerske skupine Money Message napadli proizvajalca strojne opreme MSI. Po lastnih navedbah so odtujili 1,5 TB podatkov, med katerimi so tudi izvorna koda in podpisni ključi. Od podjetja so zahtevali štiri milijone dolarjev odkupnine, a ker je niso prejeli, so začeli javno objavljati ukradene podatke. MSI javno ni komentiral dogajanja, a to ni omililo posledic.

Med pobeglimi datotekami je tudi izvorna koda firmwara, ki teče na MSI-jevih matičnih ploščah, ter podpisni ključi za 57 njihovih izdelkov ter podpisni ključi za Intel Boot Guard na 116 izdelkih MSI. Intel Boo Guard je varnostna funkcija, ki v modernih sistemih z Intelovimi procesorji preprečuje zaganjanje zlonamerne programske opreme (npr. UEFI bootkit), ki ni podpisana. Njena uporaba je na primer potrebna za Windows UEFI Secure Boot. S pobeglimi ključi, katerih izdajanje je v pristojnosti proizvajalca strojne opreme in ne Intela, se efektivnost tega sistema izniči. Napadalci lahko zlonamerno kodo...

29 komentarjev

Stranska vrata v Microsoftov Secure Boot so se odprla

Slo-Tech - Microsoftu so na internet ušli glavni ključi, ki omogočajo poganjanje poljubne programske opreme, četudi zagon sistema ščiti Secure Boot. S tem je mogoče na nekatere doslej zaščitene naprave namestiti na primer Linux, po drugi strani pa se odpirajo možnost zlorab za pisce zlonamerne programske opreme. Microsoft se trudi s popravki, a težave v celoti ne more odpraviti, ne da bi zrušil združljivost z obstoječimi sistemi.

Secure Boot je funkcija UEFI-ja (naslednik BIOS-a), ki med zagonom preprečuje zaganjanje nepodpisane in nepreverjene programske opreme. Prvikrat smo ga dobili v Windows 8 in za delovanje zahteva računalnik z UEFI. Secure Boot odpravlja pomanjkljivost starega zagona v BIOS-u, kjer se je po sekvenci POST inicializirala strojna oprema, prebral in naložil firmware, nato pa je zaganjalnik (bootloader) začel zagon operacijskega sistema. Ta prva stopnja ni bila varovana, saj se nikjer...

11 komentarjev

UEFI SecureBoot v praksi

ThinkCentri M92 sicer niso nič posebnega. Za ceno 749 dolarjev dobite eno od teh dveh škatel (ne tudi monitorja) z 3.2GHz Core i5-3470, 4GB RAMA, 5000GB 7200rpm diskom, integrirano grafo, troletno garancijo in seveda Okna, čeprav zgolj 7 Pro.

vir: Lenovo
Lenovo - Lani tega časa, ko so bila nova Okna, se je veliko pisalo o nevarnosti, ki jo za uporabnike alternativnih operacijskih sistemov predstavlja specifikacija SecureBoot, sicer del BIOS nadomestka UEFI. SecureBoot namreč dovoljuje namestitev oz. zagon zgolj tistih operacijskih sistemov, katerih zagonska slika je podpisana z ustreznim ključem. Uradno zato, da nas zaščiti pred poganjanjem zloveščih ali spremenjenih operacijskih sistemov. Neuradno je seveda šlo za iniciativo Redmonda, da skozi svojo iniciativo "združljivo z Windows 8" od velikih sestavljavcev računalnikov izsili, da v UEFI namestijo samo ključe za Okna in morda še nekatere izbrane operacijske sisteme, tako da domača inštalacija GNU/Linuxa ne bi bila mogoča brez...

35 komentarjev

CES 2012: Kaj smo izvedeli o Windows 8

ZDNet - Na sejmu CES, ki se je iztekel včeraj, je Microsoft sodeloval zadnjič. Povrhu pa so se še odločili, da ne bodo govorili veliko o prihajajočem operacijskem sistemu Windows 8, saj niso vse svoje prisotnosti omejiti le nanj. Kljub temu smo uradno ali neuradno izvedeli mnogo o prihajajočem sistemu in napovedanem datumu izida.

Ballmer v svojem nagovoru Windows 8 praktično ni omenjal, a na stojnici je bilo mogoče videti Windows 8 build 8175, kar mnogi sestavljavci računalnikov in pisci programske opreme smatrajo kot predbeta verzijo. Prava beta je sicer napovedana za februar. Kot je sedaj že znano, bo Windows 8 tekel tudi na arhitekturi ARM. Največ ugibanj in špekulacij se tiče prav te verzije. Tako še vedno ni znano, ali bo...

97 komentarjev

Nam bosta UEFI varnostni zagon in Microsoft preprečila poganjanje alternativnih operacijskih sistemov?

Sliko sem ukradel iz googla.

vir: OMG! UBUNTU!
OMG! UBUNTU! - Davnega leta 2005 nas je Andraž Tori na NESTu strašil s predavanjem o kraticah, kot so DRM (digital rights management), TPM (trusted platform module), TC (trusted computing). Predavanje smo v skupni debati zaključili z ugotovitvijo, da nam bodo v neki ne tako daljni prihodnosti proizvajalci programske in strojne opreme (ali pa kakšna druga organizacija na višji ravni) določali kaj bomo poganjali na svojih računalnikih in kako bomo te programe poganjali. Kontrolo pa smo raztegnili tudi na prikaz in predvajanje vsebin. Večina slušateljev je zamahnila z roko, češ tega pa tako ali tako ne bo nihče dovolil.

V letu 2011 je večina računalnikov že opremljena s TPM čipom in večina računalnikov...

202 komentarja