Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в устройствах Dell, позволяющие совершить MITM-атаку для подмены прошивки"	+/–
Сообщение от opennews (ok), 25-Июн-21, 14:45
В реализации продвигаемых компанией Dell технологий удалённого восстановления ОС и обновления прошивок (BIOSConnect и HTTPS Boot) выявлены уязвимости, позволяющие добиться подмены устанавливаемых обновлений прошивок BIOS/UEFI и удалённо выполнить код на уровне прошивки. Запущенный код может изменить начальное состояния операционной системы и использоваться для обхода применяемых механизмов защиты. Уязвимости затрагивают 129 моделей различных ноутбуков, планшетов и ПК  Dell, в том числе защищённых при помощи технологий UEFI Secure Boot и Dell Secured-core... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55389
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от ryoken (ok), 25-Июн-21, 14:45	+6 +/–
Ну хоть на  CoreBoot или что ещё хорошее перешить-то можно? :D
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11

3. Сообщение от Аноним (3), 25-Июн-21, 14:50	+18 +/–
"BIOSConnect" Даже вчитываться не нужно чтобы понять, что это плохая идея.
Ответить | Правка | Наверх | Cообщить модератору

4. Сообщение от Аноним (4), 25-Июн-21, 14:50	+1 +/–
Прекрасно, прекрасно. Ну, хоть Ленова не одна со своими бэкдорами облаждалась. Когда уже поймут, что бэкдоры никогда на пользу не будут? И почему люди не понимают, к чему ведёт покупка протрояненного железа?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #15, #26

7. Сообщение от Аноним (7), 25-Июн-21, 14:58	+3 +/–
Лучше пользоваться тем, чем не пользуются остальные. Так как есть шанс нарваться на неуловимого Джо.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #45

8. Сообщение от InuYasha (??), 25-Июн-21, 15:15	+1 +/–
Что, снова нашли <s>дыру</s>возомжность обхода DRM? Люблю всех этих горе-пенетраторов. Чуть что - бежать к вендору за денежкой. А потом эти красные плашки на форумах: "НЕ ОБНОВЛЯЙТЕСЬ ДО ВЕРСИИ 100.5.00!!! Иначе перепрошивка в кастом невозможна!". Когда уже люди поймут, что проприетарство хуже пьянства?..
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10

9. Сообщение от Аноним (9), 25-Июн-21, 15:27	+/–
> И почему люди не понимают, к чему ведёт покупка протрояненного железа? Посоветуй магазин с непротрояненным железом за хоть сколько-нибудь разумные деньги и хотя бы приближающееся по возможностям к "протрояненному".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #18, #27, #42

10. Сообщение от Аноним (9), 25-Июн-21, 15:35	+5 +/–
> Когда уже люди поймут, что проприетарство хуже пьянства?.. Люди все прекрасно понимают, у них просто нет альтернатив со схожими характеристиками и за разумные деньги. А так-то - у меня вон комплект ДВК с двойным дисководом пылится на антресоли. BASIC, текст-процессор, игры "Счастливое королевство", "Тетрис", и "Атака инопланетян". Если дискеты не сгнили, конечно. Никаких MITM, троянов... никакой проприетарщины, все "народное достояние" :) Велькам, работайте :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #12, #14, #23, #28, #29

11. Сообщение от OnTheEdge (ok), 25-Июн-21, 15:40	+/–
https://doc.coreboot.org/mainboard/index.html#dell
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

12. Сообщение от InuYasha (??), 25-Июн-21, 15:49	+3 +/–
выражаю желание о покупке шляпы для снятия перед этим аноном )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #16

13. Сообщение от deeaitch (ok), 25-Июн-21, 16:09	+4 +/–
> HTTPS Boot И опять хвалюнцй https. Планета обезьян.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #24

14. Сообщение от Аноним (14), 25-Июн-21, 16:38	–1 +/–
>> Когда уже люди поймут, что проприетарство хуже пьянства?.. > Люди все прекрасно понимают, у них просто нет альтернатив со схожими характеристиками > и за разумные деньги. Альтернатив со схожими характеристиками так-то нет и за не очень разумные деньги. Openharware, за очень редким исключением, отстаёт от мейнстрима, хорошо если лет на 10, это если очень повезёт, а то и того больше или вообще отсутствуют открытые аналоги.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #17, #31

15. Сообщение от Аноним (15), 25-Июн-21, 16:56	+1 +/–
Про Ленову мне сразу заявили в магазе, что заражено, но "я же линуксоид" - подумал я и купил со скидкой.)))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #21

16. Сообщение от IBM (?), 25-Июн-21, 18:25	+/–
Шляпа продана за миллиарды, ходите мимо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #38

17. Сообщение от Аноним (4), 25-Июн-21, 18:46	–1 +/–
Ходят слухи, что троянов в паверы пока не завезли. Всего раза в 2-3 дороже и раза в 2 хуже. Или лучше, в зависимости от задач. Вполне разумно. Открытое? Опенпавера вроде нет конкурируещего хотя бы с армом по производительности, а относительно открытые мипсы остались в 2006.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #30

18. Сообщение от Сейд (ok), 25-Июн-21, 19:06	+/–
https://digma.ru/buy/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #19, #43

19. Сообщение от Аноним (9), 25-Июн-21, 19:20	+1 +/–
Очень сильно сомневаюсь, что Дигму можно отнести к категории "непротрояненное". Да и смартфон от них, побывавший у меня в руках около года, никаких положительных впечатлений о себе не оставил.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

21. Сообщение от Анании (?), 25-Июн-21, 19:31	+2 +/–
это что за магазин такой прекрасный? В РФ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

23. Сообщение от Аноним (23), 25-Июн-21, 19:51	+/–
Вот корпы и задавили твоё «народное достояние» ибо нефиг. Денежки плати в кассу, все что старше 5 лет превращается в тыкву, заходи за обновкой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

24. Сообщение от Аноним (23), 25-Июн-21, 19:53	–4 +/–
Обновления по интернету зло. Обновление только в специально оборудованном сервисе единственное правильное решение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #32

25. Сообщение от псевдонимус (?), 25-Июн-21, 20:13	–2 +/–
Почему в новости фича освещается как баг?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #40

26. Сообщение от Аноним (15), 25-Июн-21, 20:32	+/–
Да. Лет 7 назад было, его вернули и уценили, париться не стали и роутер тоже со скидкой брал, там инет отваливался через пять минут, но я прошивку обновил и стало нормально. Джой вот только уцененный налпдить не смог, пришлось выкинуть, оси X Y  не видел совсем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

27. Сообщение от Michael Shigorin (ok), 25-Июн-21, 21:07	–1 +/–
http://bitblaze.ru/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #35

28. Сообщение от нах.. (?), 25-Июн-21, 21:08	+1 +/–
Какраз хомяки ничего не понимают и понимать не хотят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

29. Сообщение от Michael Shigorin (ok), 25-Июн-21, 21:09	+/–
Сделайте копии дискеток для яндекс-музея? :) (могу состыковать)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #36

30. Сообщение от Michael Shigorin (ok), 25-Июн-21, 21:10	+/–
Вот кому-кому -- а IBM не верю от слова "вообще".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #33

31. Сообщение от Ordu (ok), 25-Июн-21, 21:15	+1 +/–
> Openharware, за очень редким исключением, отстаёт от мейнстрима, хорошо если лет на 10, это если очень повезёт, а то и того больше И чё? Тебе обязательно нужно bleeding edge железо? То есть, в смысле, надо всё сразу, и опенхардварь, и топовая хардварь, и, надо полагать, ещё и бесплатно, и с бесплатной пересылкой до дома, так? Но всё сразу не бывает. > или вообще отсутствуют открытые аналоги. Вот это да, проблема.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

32. Сообщение от deeaitch (ok), 25-Июн-21, 21:20	+1 +/–
> Обновления по интернету зло. Обновление только в специально оборудованном сервисе единственное > правильное решение. Правильно. Специальным сертифицированным инженером. Час работы которого стоит 300$. Ведь это понятно, что любой купивший NAS для хранения своих видосиков готов за каждое обновление выкладывать 300$
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #41

33. Сообщение от anonymous (??), 25-Июн-21, 21:29	+1 +/–
"Значит, хорошие сапоги, надо брать".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #52

34. Сообщение от Ананоним (?), 25-Июн-21, 22:16	+1 +/–
Опять спалили фичу шоле?
Ответить | Правка | Наверх | Cообщить модератору

35. Сообщение от Аноним (9), 25-Июн-21, 23:05	+/–
Если не ошибаюсь, стоимость платы Эльбрус с процессором колеблется в районе 120-150 тыс рублей? И это без памяти, видео и прочей мелкой требухи? Согласен, threadripper дороже вдвое-втрое, но как-то некорректно их сравнивать... Ну и тема "непротроянено" тоже не раскрыта до конца, учитывая, что ноги того процессора растут из Китая. Или "это другое, это НАШИ трояны"?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #37, #39, #53

36. Сообщение от Аноним (9), 25-Июн-21, 23:08	+/–
Да, надо долезть туда, посмотреть, что от того "клада" осталось...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

37. Сообщение от МимоКрокодил (?), 25-Июн-21, 23:38	+2 +/–
1. Институт кристаллографии (внутри курчатника) давно умеет хорошо просвечивать топологию, в том числе отличать полярность легирующих примесей. 2. МЦСТ умеет применять методики проектирования для защиты от атак смены полярности легирующих примесей. Так что ни китайцы, ни сраные амеры Э не протроянят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #44, #49

38. Сообщение от Соня Мармеладова (?), 25-Июн-21, 23:59	+/–
Это красная шляпа
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

39. Сообщение от Аноним (39), 26-Июн-21, 01:41	+/–
Опкоды закрыты частично, вот тебе и уязвимости
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

40. Сообщение от And (??), 26-Июн-21, 06:53	+2 +/–
Т.к. ошибки и неисправности - это баги.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

41. Сообщение от And (??), 26-Июн-21, 06:56	–1 +/–
Обновление нужно тестировать. Каждое обновление. И каждый карьерист норовит съэкономить расход на этом - схалтурить, отдав дешевле. Обновления зло. Создают ощущения возможности рискнуть ошибкой, а получаем эти риски мы дома.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #51

42. Сообщение от Fractal cucumber (ok), 26-Июн-21, 08:41	+/–
Не стану ничего утверждать, но как на счет этого? https://pine64.com/?v=0446c16e2e66 Правда, Pinebook Pro, который я хотел, Out of Stock, но, хотя-бы, PinePhone зацепить успел. Еще одноплатники есть желание потыкать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

43. Сообщение от Аноним (43), 26-Июн-21, 09:00	+/–
Они разве не всякую китайщину продают?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

44. Сообщение от Аноним (43), 26-Июн-21, 09:04	+1 +/–
1. Концентрацию тоже? 3. микросхемы - они большие и сложные, хрен их отреверсишь. Хотя уже есть опенсорсные пародии на IDA PRO для микросхем, даже с ними хрен микросхемы отреверсишь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #48, #54

45. Сообщение от уууу (?), 26-Июн-21, 09:52	+/–
головой?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #50

48. Сообщение от erthink (ok), 26-Июн-21, 16:12	+2 +/–
Вроде-бы были какие-то научпоп фильмы, где Ковальчук в том числе про это рассказывал. Умеют видеть структуру свертывания белков и (например) позицию катионов (если так можно сказать). Следовательно должны уметь количественно оценивать легирующие примеси. Но, AFAIK, это очень трудоёмкий и долгий процесс. Т.е. чтобы "просветить" чип с ~1 млрд транзисторов нужна автоматизация наподобие степперов/сканеров для литографии.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

49. Сообщение от erthink (ok), 26-Июн-21, 16:38	+2 +/–
1. Контроль просвечиванием - это IMHO скорее теоретическая возможность. На практике, наверное, проще договориться с фабрикой о полном контроле/аудите. 2. Очень надеюсь что МЦСТ действительно в курсе этих атак и методик защиты от них. Иначе 50/50 - либо есть https://www.securitylab.ru/upload/BeckerChes131.pdf, либо нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

50. Сообщение от Аноним (50), 26-Июн-21, 17:33	+/–
Для начала.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

51. Сообщение от deeaitch (ok), 27-Июн-21, 01:39	+/–
> Обновление нужно тестировать. Каждое обновление. И каждый карьерист норовит съэкономить > расход на этом - схалтурить, отдав дешевле. > Обновления зло. Создают ощущения возможности рискнуть ошибкой, а получаем эти риски мы > дома. На специалистов просто надо деньги тратить а не на вебмакак
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

52. Сообщение от Michael Shigorin (ok), 03-Июл-21, 16:29	+/–
> "Значит, хорошие сапоги, надо брать". Берите, сколько унесёте ;-)  А я на своих бюджетных эльбрусах поработаю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

53. Сообщение от Michael Shigorin (ok), 03-Июл-21, 16:35	+/–
> Если не ошибаюсь, стоимость платы Эльбрус с процессором колеблется > в районе 120-150 тыс рублей? Примерно: http://mcst.ru/modules > И это без памяти, видео и прочей мелкой требухи? На платах с 1С+ видео встроено, технически говоря, но на любых серийных (кроме того проанонсированного и утихшего варианта Центр8) пока что не бывает USB3 -- так что в "мелкую требуху" ещё и его добавляем. > Согласен, threadripper дороже вдвое-втрое, но как-то некорректно > их сравнивать... В целом да, направление несколько разное. > Ну и тема "непротроянено" тоже не раскрыта до конца, учитывая, > что ноги того процессора растут из Китая. А вот здесь -- не-а.  См. http://altlinux.org/эльбрус/faq > Или "это другое, это НАШИ трояны"? В наших калашах, радарах, ракетах, внешнеполитических заявлениях и действиях закладок, что характерно, уже которое десятилетие всё не могут найти.  Только вопят (или тень на плетень наводят), потому как не могут понять -- это как так, взять и не "подстраховаться"? В общем, не наблюдаю я в эльбрусах троянов.  И даже намёков на такое мимо не пробегало. Честное железо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

54. Сообщение от Michael Shigorin (ok), 03-Июл-21, 16:36	+/–
> 3. микросхемы - они большие и сложные, хрен их отреверсишь. Это в первую очередь играет как раз против "закладчиков" на стадии производства, если что.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема