Solo gli utenti registrati possono leggere l'articolo sul forum. Registrati o effettua il login!
Un grave problema di sicurezza incombe su tutte le mainboard che utilizzano BIOS UEFI di produzione AMI.
Solo gli utenti registrati possono leggere l'articolo sul forum. Registrati o effettua il login!
Mi sembra eccessivo come allarmismo...
Se è vero che il rischio c'è, è altrettanto vero che chi si arrischia a scaricare il bios della propria mobo da un sito che non sia quello ufficiale del produttore, nel 99% dei casi non si cura neppure di un warning relativo alla mancata corrispondenza del certificato...
Questa è la storia di 4 persone chiamate Ognuno, Qualcuno, Ciascuno e Nessuno. C'era un lavoro importante da fare e Ognuno era sicuro che Qualcuno lo avrebbe fatto. Ciascuno poteva farlo, ma Nessuno lo fece, Qualcuno si arrabbiò perché era il lavoro di Ognuno. Ognuno pensò che Ciascuno potesse farlo, ma Ognuno capì che Nessuno l'avrebbe fatto. Finì che Ognuno incolpò Qualcuno perché Nessuno fece ciò che Ciascuno avrebbe potuto fare.
Giusto per dire, in rete, è anche possibile reperire gratis (prima era a pagamento) il codice sorgente di ZeuS (noto anche come Zbot / wsnpoem).
Il kit crimeware in questione, se "regolato" a dovere è in grado di rubare le credenziali di vari servizi online come i social network, i conti bancari online, account ftp, account e-mail e altri (phishing). Un kit come questo se finisce nelle mani sbagliate può generare molti guai..
Questo per dire che il "materiale pericoloso" in rete non manca.. il fatto è che ormai si trova di tutto e di più e la cosa disarmante è la facilità con cui un eventuale malintenzionato riesce a rimediarsi il kit che gli serve... namo bene...
AMI dal canto suo sta scaricando (anche giustamente imho) la colpa sul OEM che ha lasciato l'ftp aperto... AMI | American Megatrends Inc. : Press Releases
I rischi di sicurezza sono potenziali, quello è indubbio, ma quello che dice brugola è vero...
Di schede madri e pc ne ho visti tanti... e ne ho visti un numero non trascurabili con BIOS che riportavano la scritta "for testing only" e il tutto in ambienti tutt'altro che di test!
betaxp86
ho potuto solo ora approfondire la vicenda (oltremodo negativa in sé), ma concordo con il pensiero di Matteo: c'è poco o
niente di che.
Mi permetto di fare un'altra considerazione, tralasciando l puri accadimenti, ma alla luce di un'ulteriore implicazione di
sicurezza strettamente (e subdolamente) correlata al fatto in sé. E purtroppo, mi duol dire, dai più sottovalutata e che,
imho, ha certamente portato a creare, per assurdo, problemi ben più gravi del fatto in sé.
Il protagonista della vicenda, l'esperto (vorrei dire di che cosa ... ma mi trattengo) Adam Caudill, ha pubblicato
l'articolo in questione annunciando a tutto il mondo digitale, dal proprio blog, l'assoluta mancanza del sistema di
protezione/autenticazione in un non meglio identificato server FTP di un'azienda produttrice di mainboard.
L'arco temporale in cui è collocabile l'effettiva pubblicazione della notizia rispetto alla sua scoperta è candidamente indicato
ed ammesso all'interno dello stesso articolo del blog:
"[...] A few hours ago I received a call from my frequent research partner, Brandon Wilson, about an open FTP server hosted
in Taiwan serving up some rather interesting data. Internal emails, various system images (and even the Ghost software!),
numerous photos - some personal, some high resolution PCB images, private specification sheets, Excel documents loaded
with private information - but that wasn’t the worst."
L'egregio Adam, seppur non nominando in maniera diretta l'azienda interessata, non solo ha ugualmente inserito nel corpo
dell'articolo generiche indicazioni che hanno, di fatto, portato i più ad individuarla in Jetway, ma ha soprattutto reso
immediatamente pubblico quanto scoperto.
Egli ha, così, implicitamente trasgredito alla primissima regola non scritta che impone agli esperti in sicurezza, ricercatori
di falle, bug e quant'altro, non solo la dovuta serietà ma soprattutto il buon senso di anteporre gli interessi del proprietario
del bene (in questo caso Jetway e soprattutto AMI), a qualsiasi altro tipo di interesse (evidentemente personale).
Serietà e buon senso imponevano all'esperto Caudill di dover prima di tutto contattare i responsabili Jetway, lasciar
loro il tempo di mettere in sicurezza il server FTP e soltanto dopo contattare AMI e/o pubblicare il tutto, nell'ordine
a seconda solo, a questo punto, della propria (in)sensibilità.
E' accaduto, infatti, che al pubblicare la notizia e a seguito dell'immediato tam-tam in rete, molti sono stati i curiosi e non
(anche cattivi e malintenzionati, non ancora a conoscenza del fatto) che dopo aver seguito le tracce (si doveva solo fare
2+2) hanno ovviamente scovato il server FTP di Jetway, con tutto il suo presumibile contenuto ancora privo di protezione:
https://news.ycombinator.com/item?id=5498560
UEFI private signing key leaked, when security goes totally wrong, with the help of a security researcher » Kleissner & Associates s.r.o.
etc. etc.
Su Virus Tracker, qualcuno (sapientemente) dopo aver constatato il tutto, non ha saputo resistere a farlo, seppur sobriamente,
notare in maniera diretta:
"Unfortunately he did not wait until the FTP was completely secured. For security researchers – like us – it is easy to find loopholes, to find the original
FTP URL even though it was not published in the blog post. The “leaky” ftp was ftp://ftp.jetway.com.tw/ and here’s a screenshot:"
Che dire .... sarebbe opportuno calare un velo pietoso su tutti ma proprio tutti i protagonisti della vicenda (anche AMI che si è
volutamente tirata fuori, senza bacchettare le modalità della pubblicazione), auspicandosi che ognuno al proprio livello possa
giungere, prima o poi, a fare correttamente e bene il proprio lavoro.
Ci sono attualmente 1 utenti che stanno visualizzando questa discussione. (0 utenti e 1 ospiti)
|
nexthardware.com - © 2002-2022 |
Rispondi quotando
