The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимости в устройствах Dell, позволяющие совершить MITM-атаку для подмены прошивки"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в устройствах Dell, позволяющие совершить MITM-атаку для подмены прошивки"  +/
Сообщение от opennews (ok), 25-Июн-21, 14:45 
В реализации продвигаемых компанией Dell технологий удалённого восстановления ОС и обновления прошивок (BIOSConnect и HTTPS Boot) выявлены уязвимости, позволяющие добиться подмены устанавливаемых обновлений прошивок BIOS/UEFI и удалённо выполнить код на уровне прошивки. Запущенный код может изменить начальное состояния операционной системы и использоваться для обхода применяемых механизмов защиты. Уязвимости затрагивают 129 моделей различных ноутбуков, планшетов и ПК  Dell, в том числе защищённых при помощи технологий UEFI Secure Boot и Dell Secured-core...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55389

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +6 +/
Сообщение от ryoken (ok), 25-Июн-21, 14:45 
Ну хоть на  CoreBoot или что ещё хорошее перешить-то можно? :D
Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +/
Сообщение от OnTheEdgeemail (ok), 25-Июн-21, 15:40 
https://doc.coreboot.org/mainboard/index.html#dell
Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +18 +/
Сообщение от Аноним (3), 25-Июн-21, 14:50 
"BIOSConnect" Даже вчитываться не нужно чтобы понять, что это плохая идея.
Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +1 +/
Сообщение от Аноним (4), 25-Июн-21, 14:50 
Прекрасно, прекрасно. Ну, хоть Ленова не одна со своими бэкдорами облаждалась. Когда уже поймут, что бэкдоры никогда на пользу не будут? И почему люди не понимают, к чему ведёт покупка протрояненного железа?
Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +/
Сообщение от Аноним (9), 25-Июн-21, 15:27 
> И почему люди не понимают, к чему ведёт покупка протрояненного железа?

Посоветуй магазин с непротрояненным железом за хоть сколько-нибудь разумные деньги и хотя бы приближающееся по возможностям к "протрояненному".

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +/
Сообщение от Сейд (ok), 25-Июн-21, 19:06 
https://digma.ru/buy/
Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +1 +/
Сообщение от Аноним (9), 25-Июн-21, 19:20 
Очень сильно сомневаюсь, что Дигму можно отнести к категории "непротрояненное".
Да и смартфон от них, побывавший у меня в руках около года, никаких положительных впечатлений о себе не оставил.
Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +/
Сообщение от Аноним (43), 26-Июн-21, 09:00 
Они разве не всякую китайщину продают?
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

27. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  –1 +/
Сообщение от Michael Shigorinemail (ok), 25-Июн-21, 21:07 
http://bitblaze.ru/
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

35. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +/
Сообщение от Аноним (9), 25-Июн-21, 23:05 
Если не ошибаюсь, стоимость платы Эльбрус с процессором колеблется в районе 120-150 тыс рублей?
И это без памяти, видео и прочей мелкой требухи? Согласен, threadripper дороже вдвое-втрое, но как-то некорректно их сравнивать...
Ну и тема "непротроянено" тоже не раскрыта до конца, учитывая, что ноги того процессора растут из Китая. Или "это другое, это НАШИ трояны"?
Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +2 +/
Сообщение от МимоКрокодил (?), 25-Июн-21, 23:38 
1. Институт кристаллографии (внутри курчатника) давно умеет хорошо просвечивать топологию, в том числе отличать полярность легирующих примесей.
2. МЦСТ умеет применять методики проектирования для защиты от атак смены полярности легирующих примесей.

Так что ни китайцы, ни сраные амеры Э не протроянят.

Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +1 +/
Сообщение от Аноним (43), 26-Июн-21, 09:04 
1. Концентрацию тоже?

3. микросхемы - они большие и сложные, хрен их отреверсишь. Хотя уже есть опенсорсные пародии на IDA PRO для микросхем, даже с ними хрен микросхемы отреверсишь.

Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +2 +/
Сообщение от erthink (ok), 26-Июн-21, 16:12 
Вроде-бы были какие-то научпоп фильмы, где Ковальчук в том числе про это рассказывал.
Умеют видеть структуру свертывания белков и (например) позицию катионов (если так можно сказать).
Следовательно должны уметь количественно оценивать легирующие примеси.

Но, AFAIK, это очень трудоёмкий и долгий процесс.
Т.е. чтобы "просветить" чип с ~1 млрд транзисторов нужна автоматизация наподобие степперов/сканеров для литографии.

Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +/
Сообщение от Michael Shigorinemail (ok), 03-Июл-21, 16:36 
> 3. микросхемы - они большие и сложные, хрен их отреверсишь.

Это в первую очередь играет как раз против "закладчиков" на стадии производства, если что.

Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

49. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +2 +/
Сообщение от erthink (ok), 26-Июн-21, 16:38 
1. Контроль просвечиванием - это IMHO скорее теоретическая возможность.
На практике, наверное, проще договориться с фабрикой о полном контроле/аудите.

2. Очень надеюсь что МЦСТ действительно в курсе этих атак и методик защиты от них.
Иначе 50/50 - либо есть https://www.securitylab.ru/upload/BeckerChes131.pdf, либо нет.

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

39. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +/
Сообщение от Аноним (39), 26-Июн-21, 01:41 
Опкоды закрыты частично, вот тебе и уязвимости
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

53. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +/
Сообщение от Michael Shigorinemail (ok), 03-Июл-21, 16:35 
> Если не ошибаюсь, стоимость платы Эльбрус с процессором колеблется
> в районе 120-150 тыс рублей?

Примерно: http://mcst.ru/modules

> И это без памяти, видео и прочей мелкой требухи?

На платах с 1С+ видео встроено, технически говоря, но на любых серийных (кроме того проанонсированного и утихшего варианта Центр8) пока что не бывает USB3 -- так что в "мелкую требуху" ещё и его добавляем.

> Согласен, threadripper дороже вдвое-втрое, но как-то некорректно
> их сравнивать...

В целом да, направление несколько разное.

> Ну и тема "непротроянено" тоже не раскрыта до конца, учитывая,
> что ноги того процессора растут из Китая.

А вот здесь -- не-а.  См. http://altlinux.org/эльбрус/faq

> Или "это другое, это НАШИ трояны"?

В наших калашах, радарах, ракетах, внешнеполитических заявлениях и действиях закладок, что характерно, уже которое десятилетие всё не могут найти.  Только вопят (или тень на плетень наводят), потому как не могут понять -- это как так, взять и не "подстраховаться"?

В общем, не наблюдаю я в эльбрусах троянов.  И даже намёков на такое мимо не пробегало.

Честное железо.

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

42. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +/
Сообщение от Fractal cucumber (ok), 26-Июн-21, 08:41 
Не стану ничего утверждать, но как на счет этого?
https://pine64.com/?v=0446c16e2e66
Правда, Pinebook Pro, который я хотел, Out of Stock, но, хотя-бы, PinePhone зацепить успел. Еще одноплатники есть желание потыкать.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

15. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +1 +/
Сообщение от Аноним (15), 25-Июн-21, 16:56 
Про Ленову мне сразу заявили в магазе, что заражено, но "я же линуксоид" - подумал я и купил со скидкой.)))
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

21. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +2 +/
Сообщение от Анании (?), 25-Июн-21, 19:31 
это что за магазин такой прекрасный? В РФ?
Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +/
Сообщение от Аноним (15), 25-Июн-21, 20:32 
Да. Лет 7 назад было, его вернули и уценили, париться не стали и роутер тоже со скидкой брал, там инет отваливался через пять минут, но я прошивку обновил и стало нормально. Джой вот только уцененный налпдить не смог, пришлось выкинуть, оси X Y  не видел совсем.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

7. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +3 +/
Сообщение от Аноним (7), 25-Июн-21, 14:58 
Лучше пользоваться тем, чем не пользуются остальные. Так как есть шанс нарваться на неуловимого Джо.
Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +/
Сообщение от уууу (?), 26-Июн-21, 09:52 
головой?
Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +/
Сообщение от Аноним (50), 26-Июн-21, 17:33 
Для начала.
Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +1 +/
Сообщение от InuYasha (??), 25-Июн-21, 15:15 
Что, снова нашли <s>дыру</s>возомжность обхода DRM?
Люблю всех этих горе-пенетраторов. Чуть что - бежать к вендору за денежкой. А потом эти красные плашки на форумах: "НЕ ОБНОВЛЯЙТЕСЬ ДО ВЕРСИИ 100.5.00!!! Иначе перепрошивка в кастом невозможна!".

Когда уже люди поймут, что проприетарство хуже пьянства?..

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +5 +/
Сообщение от Аноним (9), 25-Июн-21, 15:35 
> Когда уже люди поймут, что проприетарство хуже пьянства?..

Люди все прекрасно понимают, у них просто нет альтернатив со схожими характеристиками и за разумные деньги.
А так-то - у меня вон комплект ДВК с двойным дисководом пылится на антресоли. BASIC, текст-процессор, игры "Счастливое королевство", "Тетрис", и "Атака инопланетян". Если дискеты не сгнили, конечно. Никаких MITM, троянов... никакой проприетарщины, все "народное достояние" :) Велькам, работайте :)

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +3 +/
Сообщение от InuYasha (??), 25-Июн-21, 15:49 
выражаю желание о покупке шляпы для снятия перед этим аноном )
Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +/
Сообщение от IBM (?), 25-Июн-21, 18:25 
Шляпа продана за миллиарды, ходите мимо.
Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +/
Сообщение от Соня Мармеладова (?), 25-Июн-21, 23:59 
Это красная шляпа
Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  –1 +/
Сообщение от Аноним (14), 25-Июн-21, 16:38 
>> Когда уже люди поймут, что проприетарство хуже пьянства?..
> Люди все прекрасно понимают, у них просто нет альтернатив со схожими характеристиками
> и за разумные деньги.

Альтернатив со схожими характеристиками так-то нет и за не очень разумные деньги.

Openharware, за очень редким исключением, отстаёт от мейнстрима, хорошо если лет на 10, это если очень повезёт, а то и того больше или вообще отсутствуют открытые аналоги.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

17. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  –1 +/
Сообщение от Аноним (4), 25-Июн-21, 18:46 
Ходят слухи, что троянов в паверы пока не завезли. Всего раза в 2-3 дороже и раза в 2 хуже. Или лучше, в зависимости от задач. Вполне разумно. Открытое? Опенпавера вроде нет конкурируещего хотя бы с армом по производительности, а относительно открытые мипсы остались в 2006.
Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +/
Сообщение от Michael Shigorinemail (ok), 25-Июн-21, 21:10 
Вот кому-кому -- а IBM не верю от слова "вообще".
Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +1 +/
Сообщение от anonymous (??), 25-Июн-21, 21:29 
"Значит, хорошие сапоги, надо брать".
Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +/
Сообщение от Michael Shigorinemail (ok), 03-Июл-21, 16:29 
> "Значит, хорошие сапоги, надо брать".

Берите, сколько унесёте ;-)  А я на своих бюджетных эльбрусах поработаю.

Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +1 +/
Сообщение от Ordu (ok), 25-Июн-21, 21:15 
> Openharware, за очень редким исключением, отстаёт от мейнстрима, хорошо если лет на 10, это если очень повезёт, а то и того больше

И чё? Тебе обязательно нужно bleeding edge железо? То есть, в смысле, надо всё сразу, и опенхардварь, и топовая хардварь, и, надо полагать, ещё и бесплатно, и с бесплатной пересылкой до дома, так?

Но всё сразу не бывает.

> или вообще отсутствуют открытые аналоги.

Вот это да, проблема.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

23. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +/
Сообщение от Аноним (23), 25-Июн-21, 19:51 
Вот корпы и задавили твоё «народное достояние» ибо нефиг. Денежки плати в кассу, все что старше 5 лет превращается в тыкву, заходи за обновкой.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

28. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +1 +/
Сообщение от нах.. (?), 25-Июн-21, 21:08 
Какраз хомяки ничего не понимают и понимать не хотят.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

29. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +/
Сообщение от Michael Shigorinemail (ok), 25-Июн-21, 21:09 
Сделайте копии дискеток для яндекс-музея? :)
(могу состыковать)
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

36. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +/
Сообщение от Аноним (9), 25-Июн-21, 23:08 
Да, надо долезть туда, посмотреть, что от того "клада" осталось...
Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +4 +/
Сообщение от deeaitch (ok), 25-Июн-21, 16:09 
> HTTPS Boot

И опять хвалюнцй https. Планета обезьян.

Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  –4 +/
Сообщение от Аноним (23), 25-Июн-21, 19:53 
Обновления по интернету зло. Обновление только в специально оборудованном сервисе единственное правильное решение.
Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +1 +/
Сообщение от deeaitch (ok), 25-Июн-21, 21:20 
> Обновления по интернету зло. Обновление только в специально оборудованном сервисе единственное
> правильное решение.

Правильно. Специальным сертифицированным инженером. Час работы которого стоит 300$. Ведь это понятно, что любой купивший NAS для хранения своих видосиков готов за каждое обновление выкладывать 300$

Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  –1 +/
Сообщение от And (??), 26-Июн-21, 06:56 
Обновление нужно тестировать. Каждое обновление. И каждый карьерист норовит съэкономить расход на этом - схалтурить, отдав дешевле.

Обновления зло. Создают ощущения возможности рискнуть ошибкой, а получаем эти риски мы дома.

Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +/
Сообщение от deeaitch (ok), 27-Июн-21, 01:39 
> Обновление нужно тестировать. Каждое обновление. И каждый карьерист норовит съэкономить
> расход на этом - схалтурить, отдав дешевле.
> Обновления зло. Создают ощущения возможности рискнуть ошибкой, а получаем эти риски мы
> дома.

На специалистов просто надо деньги тратить а не на вебмакак

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  –2 +/
Сообщение от псевдонимус (?), 25-Июн-21, 20:13 
Почему в новости фича освещается как баг?
Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +2 +/
Сообщение от And (??), 26-Июн-21, 06:53 
Т.к. ошибки и неисправности - это баги.
Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимости в устройствах Dell, позволяющие совершить MITM-ат..."  +1 +/
Сообщение от Ананоним (?), 25-Июн-21, 22:16 
Опять спалили фичу шоле?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру