6
Security Done Wrong: Leaky FTP Server - Adam Caudill
Hi,
Der Kollege schreibt von einem FTP-Server, auf dem der Sourcecode eines UEFI-BIOS von AMI aufgetaucht ist samt private-signing-key!
Wenn das stimmt, was der Kollege da schreibt, muß man in nächster Zeit beim UEFI-Bios von AMI aufpassen, daß einem da kein gefaktes BIOS unterschiebt. Insbesondre sollte man bei BIOS-Updates sicherstellen, daß des tatsächlich original vom Hersteller stammen.
lks
http://adamcaudill.com/2013/04/04/security-done-wrong-leaky-ftp-server/
Der Kollege schreibt von einem FTP-Server, auf dem der Sourcecode eines UEFI-BIOS von AMI aufgetaucht ist samt private-signing-key!
Wenn das stimmt, was der Kollege da schreibt, muß man in nächster Zeit beim UEFI-Bios von AMI aufpassen, daß einem da kein gefaktes BIOS unterschiebt. Insbesondre sollte man bei BIOS-Updates sicherstellen, daß des tatsächlich original vom Hersteller stammen.
lks
http://adamcaudill.com/2013/04/04/security-done-wrong-leaky-ftp-server/
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 204509
Url: https://administrator.de/contentid/204509
Printed on: April 23, 2024 at 10:04 o'clock
6 Comments
Latest comment
Oh mein Gott! Ein gefaktes BIOS! Das war meine Horrorvorstellung, schon immer. Deswegen frage ich, wenn ich ein neues BIOS brauche auch immer auf superhackers.ru im Forum nach, ob mir einer ein garantiert sauberes schicken kann.
Auf gut deutsch: Ich würde mich wundern, wenn irgendeins, der vielen, vielen BIOS-Updates (die kann ein einhändiger an beiden Händen abzählen, wenn man Telefon-Updates nicht dazuzählt) die ich bisher gemacht habe, durch PKI abgesichert gewesen wäre. Bestenfalls ist auf der Download-Seite des Herstellers (die sich dann ähnlich leicht manipulieren lässt wie sein Download-Verzeichnis) ein Hashwert angegeben.
Auf gut deutsch: Ich würde mich wundern, wenn irgendeins, der vielen, vielen BIOS-Updates (die kann ein einhändiger an beiden Händen abzählen, wenn man Telefon-Updates nicht dazuzählt) die ich bisher gemacht habe, durch PKI abgesichert gewesen wäre. Bestenfalls ist auf der Download-Seite des Herstellers (die sich dann ähnlich leicht manipulieren lässt wie sein Download-Verzeichnis) ein Hashwert angegeben.
Zitat von @filippg:
Bestenfalls ist auf der Download-Seite des Herstellers (die sich dann ähnlich leicht
manipulieren lässt wie sein Download-Verzeichnis) ein Hashwert angegeben.
Bestenfalls ist auf der Download-Seite des Herstellers (die sich dann ähnlich leicht
manipulieren lässt wie sein Download-Verzeichnis) ein Hashwert angegeben.
Du vergißt, daß heuzutgae es ein leicchtes ist, bei dem ein oder anderen Hersteller Malware unterzubringen, bei neueren BIOS's schietert es meist an der Signatur. Außerdem gibt es heute genug möglichkeiten MITM zu spielen. Und nachdem die wenigsten Hersteller tatsächlich Hashwerte angeben, wird die Überprüfung auch schwierig.
Ein weitere punkt ist, daß heutztage BIOS-Updates meist mit Windows-Tools erfolgen, die automqatisch nahschauen, ob was neueres da ist und dieses dann installieren. Die prüfen dann meist keine md5 oder sha1-Summen, sondern nur die Signatur.
Davon geht jetzt die Welt nicht unter und wir werden auch nicht alle sterben, aber es ist ist jedenfalls ein zusätzlicher Angriffsvektor, den man betrachten muß.
lks
Die Sicherheitsbedingungen in den asiatischen Hardware-Schmieden sind ein generelles Problem; schön dass darauf mal so ein Schlaglicht fällt. Bei nahezu jeder Malware, die mit einem gestohlenen Zertifikat aufwartet, steht einer dieser Hersteller im Aussteller.
Die eigentliche Implikation aus meiner Sicht: Das sagt alles über die Vorstellung, man könne Trusted-Boot-Strukturen auf Herstellervertrauen stützen. Die müssen für den Anwender offen bleiben!
Grüße
Richard
Die eigentliche Implikation aus meiner Sicht: Das sagt alles über die Vorstellung, man könne Trusted-Boot-Strukturen auf Herstellervertrauen stützen. Die müssen für den Anwender offen bleiben!
Grüße
Richard
Hallo,
Apple glänzt(e) dafür mit einer "Geräteverschlüsselung", die sich durch Anschließen des Geräts an USB _vor_ dem Einschalten umgehen lies. Ui. Und wenn's dir nur um Zertifikate geht: Ich hoffe, du hast mal was von Diginotar gehört & auch mit bekommen, dass RSA die Seeds gestohlen bekommen hat - beide Firmen nicht wirklich verdächtig "einer dieser Hersteller" zu sein. Ach ja, Default-Kennwörter in Siemens Steuer-Anlagen sind auch so ein Knüller.
Grüße
Filipp
Bei nahezu jeder Malware, die mit einem gestohlenen Zertifikat aufwartet, steht einer dieser Hersteller im
Aussteller.
Soso, "einer dieser Hersteller". Das in Security-Vorfälle relativ viele asiatische Hersteller involviert sind könnte daran liegen, dass die allermeisten Hersteller nun mal aus Asien stammen.Aussteller.
Apple glänzt(e) dafür mit einer "Geräteverschlüsselung", die sich durch Anschließen des Geräts an USB _vor_ dem Einschalten umgehen lies. Ui. Und wenn's dir nur um Zertifikate geht: Ich hoffe, du hast mal was von Diginotar gehört & auch mit bekommen, dass RSA die Seeds gestohlen bekommen hat - beide Firmen nicht wirklich verdächtig "einer dieser Hersteller" zu sein. Ach ja, Default-Kennwörter in Siemens Steuer-Anlagen sind auch so ein Knüller.
Grüße
Filipp
AMI hat inzwischen reagiert und klargestellt, dass es ich um einen Developer-Key handelt:
http://www.ami.com/News/PressRelease/?PrID=392
http://www.ami.com/News/PressRelease/?PrID=392
1
Auch wenn es nur ein developer-key ist/sein sollte, zeigt das doch, wie nachlässig die Entwickler mit sicherheitsrelevanten Belangen umgehen.
Ein gesundes Mißtrauen ist immer angebracht.
Ein gesundes Mißtrauen ist immer angebracht.
