LINUX.ORG.RU

Первая утечка приватных ключей UEFI

 , ,


4

3

Тайваньский производитель JetWay выложил на своем ftp-сервере очень много приватной информации, среди которой любопытствующие специалисты по безопасности нашли файлы, похожие на приватные ключи для подписи UEFI, и исходники, похожие на исходные тексты BIOS для различных платформ Intel.

Прошло почти полдня с момента обнаружения, а на ftp все так и пускают с логином и паролем ftp:ftp. Если в вашем дистрибутиве пока не собрали 99$ на подписывание загрузчика ключом от майкрософт, то самое время воспользоваться конкурирующим и более удобным решением.

>>> Подробности

★★★★★

Проверено: Shaman007 ()

Не знаю даже, хорошо это или плохо.

carasin ★★★★★ ()
Ответ на: комментарий от carasin

Из плюсов. Можно поставить то что тебе вздумается в любом режиме. Из минусов, возможных, юридические угрозы. Потом обновят ключи.

anonymous ()

Эти ключи не для Secure boot, а для подписывания самой прошивки. Новость - желтуха.

AntonK ()

Ожидаемо. Бюрократия и безопасность вещи несовместимые.

winddos ★★★ ()

тут нужно смеяться, радоваться или плакать?

BattleCoder ★★★★★ ()
Ответ на: комментарий от anonymous

«компания ASUS отозвала все произведённые ноутбуки для устранения дефекта», ага.

quiet_readonly ★★★★ ()

Дай б-г не последняя.

kranky ★★★★★ ()

Исправьте: «Тайваньский производитель, похожий на JetWay, выложил на сервере, похожем на ftp» - и далее по тексту

TI_Eugene ()
Ответ на: комментарий от Chaser_Andrey

Схоронил, ночь будет интересной :3

Да там посинеешь копаться! 50+ мегов ассемблерного кода для каких-то проприетарных ассемблеров, какие-то keygen.exe, какие-то батнички - я вообще не понял, как из этого что-то можно собрать. Зато может теперь будет больше инфы, как интеловские платформы устроены.

plm ★★★★★ ()

Это случилось немного быстрее, чем я предполагал. В то, что UEFI будет сверхнадежным, верилось мало.

PaulCarroty ★★★★ ()

а где-нибудь уже выложили на какой-нибудь нормальный хостинг?
Ато оттуда медленно идёт

Bad_ptr ★★★★ ()

....а так же фотографию человека, похожего на генерального прокурора Скуратов, в компании девушек, похожих на проституток....

anonymous ()
Ответ на: комментарий от anonymous

Предмет, похожий на изображение, похожее на фотографию существа, похожего на человека, похожего на генерального прокурора...

shimon ★★★★★ ()
Ответ на: комментарий от PaulCarroty

Это случилось немного быстрее, чем я предполагал.

А что произошло-то, кто-нибудь внятно может объяснить?

Citramonum ★★ ()

на FTP сервере ЛОР-эффект :)

Harald ★★★★★ ()
Ответ на: комментарий от Bad_ptr

magnet:?xt=urn:btih:bd8b50ebfc73b4f0ea53bda4f7f6a1861b1eb19c&dn=leaked%5Fbios

plm ★★★★★ ()

Зонд протек, что уж тут. Microsoft заботится о вашей безопасности!

unknown_artist ()

Если в вашем дистрибутиве пока не собрали 99$ на подписывание загрузчика ключом от майкрософт

Собственно единственной проблемой uefi было то, что пользователь не может подписать сам. Благодаря этим растыкам можно поговорить и про положительные моменты. :)

ziemin ★★ ()
Ответ на: комментарий от Citramonum

А что произошло-то, кто-нибудь внятно может объяснить?

Появилась дыра в UEFI там, где её не было. Теперь в UEFI можно загружать любую ОС/драйвер с этими ключами. Главное — не обновлять прошивку UEFI после публикации «исправлений безопасности»

GreenTea ★★ ()
Ответ на: комментарий от Chaser_Andrey

пока не нагнули.

ну или так энергично нагибают, что забыли вырубить фтп.

anonymous ()
Ответ на: комментарий от steemandlinux

Как будто сейчас их нельзя делать с классическим BIOS и UEFI без Secure Boot. Только вот если и делают — то не массово, т.к. чрезвычайно сложно и невыгодно.

Chaser_Andrey ★★★★★ ()
Ответ на: комментарий от Chaser_Andrey

Так уже нагнули вот и мстит как может.

ЗЫ. Ждем новости про незаконную загрузку линукса с утекшими ключами...

anonymous ()
Ответ на: комментарий от anonymous

даешь лоу-сьюты! я мечтаю, что в один прекрасный день один такой лоу-сьют обернется последствиями, подобными оным в фильме Sleepers.

anonymous ()
Ответ на: комментарий от Chaser_Andrey

Могут и не нагнуть - смотря кто выложил файлы. У нас было: на открытый фтп очумелые дизайнеры выложили то, что в продакшен должно было пойти через три месяца, вместе с промо-материалами.

leave ★★★★★ ()
Ответ на: комментарий от Chaser_Andrey

UEFI без Secure Boot эмулирует биос, а для запуска PE требуются ключи, BIOS API не имеет для написания программ. А UEFI имеет стандартизированный API, одинаковый для всех материнских плат.

steemandlinux ★★★★★ ()

Похоже, пол-интернета качают с этого сервера.

tailgunner ★★★★★ ()
Ответ на: комментарий от ziemin

Щито? Uefi вообще подписью не занималось. SecureBoot - да, подписи и прошитый ключ от МС. В нормальных ноутах - с возможностью отключить или прописать свой ключ.

zink ★★ ()

Когда-то я работал в компании JetWay, но они меня увoлили из-за кpизиса! Поэтому я хочу, чтобы знали как можно больше человек про секрeтный ftp, благодаря которому возможно скачать приватные ключи для UEFI. Мы делали так: заходишь на ftp://ftp.jetway.com.tw/CODE/ с логином и паролем ftp:ftp и скачиваешь похожие на исходные тексты BIOS для различных платформ Intel! Я сообщаю это не для своей выгоды, а для того, чтобы отомстить им за то, что уволили квалифицирoванного работника!
100% работает на Asus, Intel, Gygabyte, MSI, Asrock, а также на кит. производителе мат. плат Foxconn!!!

sid350 ★★★★★ ()

Код не смотрел, но это epic win.

Aceler ★★★★★ ()

Этого не могло не произойти.

vilisvir ★★★★★ ()

если это ОНО то это просто праздник какой то!

и да. ftp уже в дауне.

exception13 ★★★★★ ()
Последнее исправление: exception13 (всего исправлений: 1)
Ответ на: комментарий от exception13

и да. ftp уже в дауне.

Скоро ждите на всех торрент-трекерах.

vilisvir ★★★★★ ()
Ответ на: комментарий от steemandlinux

BIOS API не имеет для написания программ.

Вот Джордейн то удивился бы...

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.