Link alla notizia: http://www.hwfiles.it/news/sottratti-i-codici-sorgente-dei-bios-prodotti-da-ami_46542.html

Server FTP ad accesso libero e un codice sorgente che non doveva essere lì: una grossa leggerezza potrebbe causare gravi danni dal punto di vista della sicurezza. Vediamo cosa è successo

Click sul link per visualizzare la notizia.

sebbene siano stati dei beoti a lasciare l'ftp aperto, dubito che gli utente scaricherebbero dei bios fatti da questi pirati, modificando gli originali. dove li hosterebbero?

trojan o virus via mail, mail fatta aprire all'utente tramite tecniche di social engineering, verifica se il bios del pc è AMI, download del bios piratato in background via rootkit da server ad indirizzo generato casualmente per evitare blacklist, installato al primo reboot.

Se fra quelli che entreranno in possesso di questi sorgenti ci sono anche gli sviluppatori del progretto CoreBoot (http://en.wikipedia.org/wiki/Coreboot) (creazione di BIOS open source) questa potrebbe essere un'ottima notizia.

E poi, sono 20 anni che Linux ha i sorgenti aperti. Ci possono guardare dentro sia quelli che vogliono cercare falle per fini malevoli , che quelli che vogliono fare patch e migliorare la sicurezza.

Spero inoltre che si vedano alcuni di quei trucchetti e features non documentati che in tanti casi ancora impediscono una gestione impeccabile del sistema dagli OS non windows.

Preoccupante leggerezza, anche se legata soprattutto alle varianti EFI.

Per l'autore dell'articolo, si scrive "codici sorgente", oppure "sorgenti" direttamente, ma non "codici sorgenti", non siamo mica in un trailer di Maccio Capatonda, in cui si parla di "impercettibili segnali codici" per fare la battuta. Mica si dice "paesi d'origini". Insomma, un po' di cura della lingua.

E poi, sono 20 anni che Linux ha i sorgenti aperti. Ci possono guardare dentro sia quelli che vogliono cercare falle per fini malevoli , che quelli che vogliono fare patch e migliorare la sicurezza.Dev'essere comunque una scelta del produttore e non una leggerezza di un partner commerciale, e soprattutto stiamo parlando proprio di software commerciale, Linux non lo si deve vendere (i distributori vendono licenze di assistenza, non del software stesso) mentre i BIOS sì, perciò la riservatezza dei sorgenti è fondamentale per un ambito in cui c'è competizione commerciale.

Dev'essere comunque una scelta del produttore e non una leggerezza di un partner commerciale, e soprattutto stiamo parlando proprio di software commerciale, Linux non lo si deve vendere (i distributori vendono licenze di assistenza, non del software stesso) mentre i BIOS sì, perciò la riservatezza dei sorgenti è fondamentale per un ambito in cui c'è competizione commerciale.

Hai perfettamente ragione.
Hanno esposto il codice proprietario di un loro fornitore, con le relative proprietà intellettuali.
Il mio discorso era solo basato sull'aspetto della sicurezza. Se uno dice che dato che ora si hanno i sorgenti del BIOS c'è il rischio che se ne sfruttino le falle, beh io rispondo che allora Linux, BSD, Google Chrome, Andorid e Firefox sono i software più insicuri al mondo.

Il mio discorso era solo basato sull'aspetto della sicurezza. Se uno dice che dato che ora si hanno i sorgenti del BIOS c'è il rischio che se ne sfruttino le falle, beh io rispondo che allora Linux, BSD, Google Chrome, Andorid e Firefox sono i software più insicuri al mondo.
Capisco il discorso, ma la situazione non è così lineare.
Uno sviluppo basato sulla condivisione dei sorgenti permette di individuare e rattoppare i bug rapidamente, uno sviluppo proprietario basa parte della sicurezza sul fatto che certi segreti non vengano svelati.
É proprio la filosofia di sviluppo a rendere fattibile la condivisione del codice, ma se questo accade, come in questo caso, con del software non sviluppato in quel modo, beh, saltano fuori le magagne.

sono anni che non vedo Ami bios...sempre Award su fisso e Phoenix su portatile.
li eviterò cmq per sicurezza.

ma il produttore quindi è jetway?:confused:

perché su altri siti non ho trovato riferimenti esplicito o meno, quali la scansione dell' FTP come invece qui su hardware hupgrade...

sì, ma in poche parole cosa potrebbe succedere?