OpenForum RSS: Уязвимости в устройствах Dell, позволяющие совершить MITM-атаку для подмены прошивки https://www.opennet.ru/openforum/vsluhforumID3/124623.html В реализации продвигаемых компанией Dell технологий удалённого восстановления ОС и обновления прошивок (BIOSConnect и HTTPS Boot) выявлены уязвимости, позволяющие добиться подмены устанавливаемых обновлений прошивок BIOS/UEFI и удалённо выполнить код на уровне прошивки. Запущенный код может изменить начальное состояния операционной системы и использоваться для обхода применяемых механизмов защиты. Уязвимости затрагивают 129 моделей различных ноутбуков, планшетов и ПК Dell, в том числе защищённых при помощи технологий UEFI Secure Boot и Dell Secured-core...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55389<br> Уязвимости в устройствах Dell, позволяющие совершить MITM-ат... (Michael Shigorin) https://www.opennet.ru/openforum/vsluhforumID3/124623.html#54 Sat, 03 Jul 2021 13:36:46 GMT &gt; 3. микросхемы - они большие и сложные, хрен их отреверсишь.<br><br>Это в первую очередь играет как раз против "закладчиков" на стадии производства, если что.<br> Уязвимости в устройствах Dell, позволяющие совершить MITM-ат... (Michael Shigorin) https://www.opennet.ru/openforum/vsluhforumID3/124623.html#53 Sat, 03 Jul 2021 13:35:43 GMT &gt; Если не ошибаюсь, стоимость платы Эльбрус с процессором колеблется<br>&gt; в районе 120-150 тыс рублей?<br><br>Примерно: http://mcst.ru/modules<br><br>&gt; И это без памяти, видео и прочей мелкой требухи?<br><br>На платах с 1С+ видео встроено, технически говоря, но на любых серийных (кроме того проанонсированного и утихшего варианта Центр8) пока что не бывает USB3 -- так что в "мелкую требуху" ещё и его добавляем.<br><br>&gt; Согласен, threadripper дороже вдвое-втрое, но как-то некорректно<br>&gt; их сравнивать...<br><br>В целом да, направление несколько разное.<br><br>&gt; Ну и тема "непротроянено" тоже не раскрыта до конца, учитывая,<br>&gt; что ноги того процессора растут из Китая.<br><br>А вот здесь -- не-а. См. http://altlinux.org/эльбрус/faq<br><br>&gt; Или "это другое, это НАШИ трояны"? <br><br>В наших калашах, радарах, ракетах, внешнеполитических заявлениях и действиях закладок, что характерно, уже которое десятилетие всё не могут найти. Только вопят (или тень на плетень наводят), потому как не могут понять -- это как так, взять и не "подстраховаться"?<br><br>В общем, Уязвимости в устройствах Dell, позволяющие совершить MITM-ат... (Michael Shigorin) https://www.opennet.ru/openforum/vsluhforumID3/124623.html#52 Sat, 03 Jul 2021 13:29:53 GMT &gt; "Значит, хорошие сапоги, надо брать".<br><br>Берите, сколько унесёте ;-) А я на своих бюджетных эльбрусах поработаю.<br> Уязвимости в устройствах Dell, позволяющие совершить MITM-ат... (deeaitch) https://www.opennet.ru/openforum/vsluhforumID3/124623.html#51 Sat, 26 Jun 2021 22:39:57 GMT &gt; Обновление нужно тестировать. Каждое обновление. И каждый карьерист норовит съэкономить <br>&gt; расход на этом - схалтурить, отдав дешевле.<br>&gt; Обновления зло. Создают ощущения возможности рискнуть ошибкой, а получаем эти риски мы <br>&gt; дома.<br><br>На специалистов просто надо деньги тратить а не на вебмакак<br> Уязвимости в устройствах Dell, позволяющие совершить MITM-ат... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/124623.html#50 Sat, 26 Jun 2021 14:33:26 GMT Для начала.<br> Уязвимости в устройствах Dell, позволяющие совершить MITM-ат... (erthink) https://www.opennet.ru/openforum/vsluhforumID3/124623.html#49 Sat, 26 Jun 2021 13:38:27 GMT 1. Контроль просвечиванием - это IMHO скорее теоретическая возможность.<br>На практике, наверное, проще договориться с фабрикой о полном контроле/аудите.<br><br>2. Очень надеюсь что МЦСТ действительно в курсе этих атак и методик защиты от них.<br>Иначе 50/50 - либо есть https://www.securitylab.ru/upload/BeckerChes131.pdf, либо нет.<br> Уязвимости в устройствах Dell, позволяющие совершить MITM-ат... (erthink) https://www.opennet.ru/openforum/vsluhforumID3/124623.html#48 Sat, 26 Jun 2021 13:12:01 GMT Вроде-бы были какие-то научпоп фильмы, где Ковальчук в том числе про это рассказывал.<br>Умеют видеть структуру свертывания белков и (например) позицию катионов (если так можно сказать).<br>Следовательно должны уметь количественно оценивать легирующие примеси.<br><br>Но, AFAIK, это очень трудоёмкий и долгий процесс.<br>Т.е. чтобы "просветить" чип с ~1 млрд транзисторов нужна автоматизация наподобие степперов/сканеров для литографии.<br> Уязвимости в устройствах Dell, позволяющие совершить MITM-ат... (уууу) https://www.opennet.ru/openforum/vsluhforumID3/124623.html#45 Sat, 26 Jun 2021 06:52:54 GMT головой?<br> Уязвимости в устройствах Dell, позволяющие совершить MITM-ат... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/124623.html#44 Sat, 26 Jun 2021 06:04:00 GMT 1. Концентрацию тоже?<br><br>3. микросхемы - они большие и сложные, хрен их отреверсишь. Хотя уже есть опенсорсные пародии на IDA PRO для микросхем, даже с ними хрен микросхемы отреверсишь.<br>