Link alla notizia: https://www.hwupgrade.it/news/sicurezza-software/uefi-scovate-23-vulnerabilita-molto-gravi-coinvolti-piu-di-25-produttori-di-computer_104476.html

Ricercatori di sicurezza hanno scoperto 23 falle molto pericolose nel software di uno dei principali sviluppatori di BIOS. I problemi si riverberano quindi su numerose aziende che usano quel codice per realizzare il loro firmware UEFI.

Click sul link per visualizzare la notizia.

Solo 23 ? Pensavo peggio...@microsoft dormi tranquilla se parliamo del tuo windows11 - lo installo dove mi pare, pc-mbr only compresi e alla sicurezza ci penso io....:D

E allora Micro$oft dovrà aggiustare il tiro con i requisiti per Windows 12. Suggerisco TPM 7.0.1 associato a un coprocessore crypto-quantico con banda minima di 1TB/s always-on-line. Lo faranno per noi e per la nostra "$icurezza".

Ciao

come si diceva nell'altra news, l'uefi è come l'uffico complicazioni affari semplici, se aumenti la superfice d'attacco ovvio che le vulnerabilità aumentano. Poi ci riempiono di secure-fuffa-tpm-ecc. tutti belli fo..tuti a monte dalle vulnerabilità uefi. E noi fessi tranquilli "tanto c'ho il secure qualcoss, anzi ne ho due, e l'antivirus dice tutt'appost..."

Pochi giorni fa c'era anche una news in cui distribuivano malware via Windows Update, non ricordo come facevano, ma con Pluton che si aggiorna proprio così saremmo fottuti...
ma è per la vostra sicurezzaHHH!!! si si, mi avete convintoH. :doh: e ci sono dei fulminati che li difendono!
edit: ecco la news (link alla fonte invece che a Tom's dove l'ho letta, per graziare Manolo):
https://blog.malwarebytes.com/threat-intelligence/2022/01/north-koreas-lazarus-apt-leverages-windows-update-client-github-in-latest-campaign/

o mio dio... andiamo bene ...... Tre di queste falle relative a SMM (CVE-2021-45969, CVE-2021-45970 e CVE-2021-45971) sono critiche e accompagnate da un punteggio di 9,8 su 10 ............ i nostri computer in sicurezza sono come il TITANIC

e UEFI l'hanno fatto per "aumentare la sicurezza".... :muro:
più una cosa è pubblicizzata in un certo modo, più è l'esatto contrario... :doh:

Ma dipende dalla combinazione UEFI - W11 ?

Io sono ancora fermo a W7 e molto probabilmente salterò direttamente a Linux senza provare le successive vesioni delle finestre.
E tengo il 7 fin che mi fa funzionare i vari giochi già in uso, poi mi darò al solo retrogaming o a quelli che girano anche sul pinguino :O

a me non mi fregate io continuo ad usare la mia agendina digitale casio

Buffoni...
Veramente ridicoli...
Se c'è una cosa veramente odiosa è proprio UEFI, chi l'ha descritto come "ufficio complicazione affari semplici" ha azzeccato il concetto.
Il problema è che adesso lo aggiri bypassandolo e utilizzando Legacy, ma a breve (grazie M$ e win11) saranno tutti UEFI puro...
Sempre che le case di mainboard non facciano riottismo e, come per AVX-512, se ne sbattono delle indicazione di mamma M$, continuando a montare ibridi BIOS/UEFI.
Io mi sto dannando abbastanza su una macchina per assemblata HP che, cambiata scheda video, ho dovuto girarla su Legacy perché al UEFI sta sulle balle la nuova... E se resetto il BIOS...?
Bho... Vedremo
Imho

Certo che 23 nuove falle, più quelle precedenti, più quasi sicuramente altre che verranno fuori in seguito fanno GIUSTAMENTE pensare che questo “piccolo” software sia fatto male dall’ inizio alla fine :eek:

Minchia quanti profesionisti programmatori l' uefi era necessario per passare poi ad altre cose ma che senso ha spiegarlo ad un sasso ?
Quello pensa ed è così perchè lo pensa lui da ing. informatico e vari altri phd

Se siete così furbi mandate curriculum vitae nei posti giusti e quadruplicate lo stipendio, poi magari ve ne andate dall' italia che è un paese di merda e siete a posto !

Seriamente, siete ancora qui ? andate a fare un pacco di soldi all' estero se siete così furbi, vi assumono al volo !

Ma dipende dalla combinazione UEFI - W11 ?

Io sono ancora fermo a W7 e molto probabilmente salterò direttamente a Linux senza provare le successive vesioni delle finestre.
E tengo il 7 fin che mi fa funzionare i vari giochi già in uso, poi mi darò al solo retrogaming o a quelli che girano anche sul pinguino :O
A quanto capisco, Win11 pretende UEFI e TPM, per cui in futuro il mercato hw "seguirà" le imposizioni di M$ a produrrà solo roba adatta a win11, quindi con 'sta merdata di firmware.

quanto al tuo salto, già fatto alla scadenza del supporto a 7 ;)

...la punta dell’iceberg: ci sarà da ridere quando Windows 11 inizierà ad avere la stessa quota di mercato che detiene ora Windows 10...

Non ho fatto in tempo a dirlo (link (https://www.hwupgrade.it/forum/showpost.php?p=47717061&postcount=41)) anzi, a ribadirlo - visto che sono anni che lo scrivo - ed ecco apparire come per magia “solo” 23 nuove vulnerabilità made in UEFI:
:muro: :mad: :doh:

Minchia quanti profesionisti programmatori l' uefi era necessario per passare poi ad altre cose ma che senso ha spiegarlo ad un sasso ?
tu potresti andare a farti un ripassino di italiano... :rolleyes:
UEFI non serve a niente, il BIOS andava benissimo.

Minchia quanti profesionisti programmatori l' uefi era necessario per passare poi ad altre cose ma che senso ha spiegarlo ad un sasso ?
Quello pensa ed è così perchè lo pensa lui da ing. informatico e vari altri phd

Se siete così furbi mandate curriculum vitae nei posti giusti e quadruplicate lo stipendio, poi magari ve ne andate dall' italia che è un paese di merda e siete a posto !

Seriamente, siete ancora qui ? andate a fare un pacco di soldi all' estero se siete così furbi, vi assumono al volo !

Amico mio, tranquillo che con l'uefi, secure boot, tpm e compagnia bella qui dentro molti di noi, per professione, ci mettono le mani tutti i giorni, e non sul computerino del centro commerciale ma su sistemi di virtualizzazione più o meno complessi, a seconda dei casi. Per il resto mi trovo bene dove sto, lavoro e lo stipendio è più che sufficiente e per quanto riguarda il resto del mondo visto che l'ho visitato, non dico tutto, ma una buona parte, non è così tanto superiore al bel paese come tanti lo dipingono...anzi...la qualità della vita che abbiamo noi molti se la sognano. Comunque non siamo all'osteria, eh...se qui siamo alterati con l'uefi è perchè qualcuno, senza fare nomi, ha come al solito fatto la solita "magra figura" facendo il "gradasso" pubblicizzando l'ultimo o.s. con dei requisiti da malati, in nome della sicurezza (e qualche altra feature relativa alla virtualizzazione altrimenti mi prendi per bifolco) quando all'atto pratico win11 gira perfettamente per uso ufficio persino su un dualcore del 2006 con 4 gb di ram e un ssd da 250 gb. Costo totale della macchina (usata) 80-100€ - invece no, tutto in discarica, anche alcuni Ryzen, se non fosse stato che l'utenza li ha mandati subito a quel paese, installando comunque dove voleva.

UEFI non serve a niente, il BIOS andava benissimo.

il bios è ormai obsoleto vantati di volerlo usare nel 2022 rispetto al uefi che è superiore in feature e performance

Mi son dovuto registrare per commentare questa discussione perché veramente è al livello di chiacchiere al bar, non da forum "tecnico"

Il team Microsoft merda (tra l'altro: fa così 2007 scrivere winzoz e M$) sa che UEFI non è solo di MS? È un progetto di tutte le grandi aziende tech. Google lo usa persino nei suoi telefoni: viene usato per bootare Android, così come tantissimi altri dispositivi. E sì, UEFI è una soluzione sovra ingegnerizzata per un problema non facile, ed è anche stato un fallimento dal punto di vista della sicurezza perché nel progetto originario non erano definite funzionalità necessarie.

Però sapete cosa è SMM? Avete idea di come funziona davvero una CPU intel? Io ho reversato un po' di questa roba: è una shitfest. Il codice dei vendor fa schifo ed Insyde produce merda, ma pure EDK2 ha dentro perle di immondizia. SMM non c'entra nulla con UEFI: questi sono handler più a basso livello sotto e le vulnerabilità son state trovate lì (niente di nuovo). SMM esisteva da prima di UEFI, tirare fuori windows è non aver capito niente. Se davvero lavorate con queste cose cercate di andare oltre le osservazioni che potrebbe fare mio nonno al bar sui bei tempi passati e di come si stesse meglio quando si stava peggio.

Ultima cosa: no, BIOS non bastava più.

Mi son dovuto registrare per commentare questa discussione perché veramente è al livello di chiacchiere al bar, non da forum "tecnico"

Il team Microsoft merda (tra l'altro: fa così 2007 scrivere winzoz e M$) sa che UEFI non è solo di MS? È un progetto di tutte le grandi aziende tech. Google lo usa persino nei suoi telefoni: viene usato per bootare Android, così come tantissimi altri dispositivi. E sì, UEFI è una soluzione sovra ingegnerizzata per un problema non facile, ed è anche stato un fallimento dal punto di vista della sicurezza perché nel progetto originario non erano definite funzionalità necessarie.

Però sapete cosa è SMM? Avete idea di come funziona davvero una CPU intel? Io ho reversato un po' di questa roba: è una shitfest. Il codice dei vendor fa schifo ed Insyde produce merda, ma pure EDK2 ha dentro perle di immondizia. SMM non c'entra nulla con UEFI: questi sono handler più a basso livello sotto e le vulnerabilità son state trovate lì (niente di nuovo). SMM esisteva da prima di UEFI, tirare fuori windows è non aver capito niente. Se davvero lavorate con queste cose cercate di andare oltre le osservazioni che potrebbe fare mio nonno al bar sui bei tempi passati e di come si stesse meglio quando si stava peggio.

Ultima cosa: no, BIOS non bastava più.

santo subito !

Qui ci si impunta non sui "pregi" dell'uefi ma sul fatto che Microsoft lo imponga come REQUISITO insieme a SECURE BOOT E TPM !

Poi ovvio che le macchine fisiche o virtualizzate, Microsoft o distribuzioni Linux si installino utilizzando tutte le ultime possibilità che vengano offerte. É evidente che non si poteva andare avanti all'infinito con il bios classico.

Ma fin'ora solo Windows 11, magheggi ufficiali o non, impone i suddetti.

Il discorso è solo questo.

il bios è ormai obsoleto vantati di volerlo usare nel 2022 rispetto al uefi che è superiore in feature e performance

AKA rootkit

Qui ci si impunta non sui "pregi" dell'uefi ma sul fatto che Microsoft lo imponga come REQUISITO insieme a SECURE BOOT E TPM !

Poi ovvio che le macchine fisiche o virtualizzate, Microsoft o distribuzioni Linux si installino utilizzando tutte le ultime possibilità che vengano offerte. É evidente che non si poteva andare avanti all'infinito con il bios classico.

Ma fin'ora solo Windows 11, magheggi ufficiali o non, impone i suddetti.

Il discorso è solo questo.

No, qui non si parlava di Windows 11, si parlava di UEFI e di SMM. Windows 11 è stato tirato fuori a caso perché è sempre divertente prendersela con microsoft e fare i fanboy.
Ed io sono una che usa linux quotidianamente, ho Windows installato solo per i software di sviluppo di board strambe che funzionano solo su win e non voglio fare girare sotto wine/in VM. Il mio punto è: tutta questa discussione non ha senso di esistere ed è solo tifo da stadio, non ha niente a che vedere con le falle. Microsoft non ha alcuna responsabilità per come i vendor sviluppano i firmware, spingere per il TPM è una buona idea perché è una delle poche cose che può dare fastidio (molto fastidio) a chi scrive malware in firmware (vedasi boot chain firmata della HP). Non è la panacea, ma taglia oggettivamente fuori molti attacchi "facili". Gli state actor non verranno fermati, continueranno ad uscire attacchi estremamente creativi (ma poco applicabili) e non saranno risolti tutti i problemi, ma BIOS NON era una soluzione e Microsoft qui non c'entra niente. Non è difficile.

Tu sei esattamente come Sandro Curzi, fai della retorica insopportabile. Windows 11 potrebbe avviarsi senza TPM ma è inutile tirar fuori Windows 11, altrimenti io tiro fuori che Torvalds era uno stronzo, Stallman era una merda e i poveri dev kernel sono degli eroi. Che c'entra?
Forse era Sgarbi, ma non son sicuro.

AKA rootkit
Ecco, questo è parlare senza alcuna cognizione di causa, gg. Bella firma, molto appropriata devo dire.

No, qui non si parlava di Windows 11, si parlava di UEFI e di SMM. Windows 11 è stato tirato fuori a caso perché è sempre divertente prendersela con microsoft e fare i fanboy.
Ed io sono una che usa linux quotidianamente, ho Windows installato solo per i software di sviluppo di board strambe che funzionano solo su win e non voglio fare girare sotto wine/in VM. Il mio punto è: tutta questa discussione non ha senso di esistere ed è solo tifo da stadio, non ha niente a che vedere con le falle. Microsoft non ha alcuna responsabilità per come i vendor sviluppano i firmware, spingere per il TPM è una buona idea perché è una delle poche cose che può dare fastidio (molto fastidio) a chi scrive malware in firmware (vedasi boot chain firmata della HP). Non è la panacea, ma taglia oggettivamente fuori molti attacchi "facili". Gli state actor non verranno fermati, continueranno ad uscire attacchi estremamente creativi (ma poco applicabili) e non saranno risolti tutti i problemi, ma BIOS NON era una soluzione e Microsoft qui non c'entra niente. Non è difficile.

Tu sei esattamente come Sandro Curzi, fai della retorica insopportabile. Windows 11 potrebbe avviarsi senza TPM ma è inutile tirar fuori Windows 11, altrimenti io tiro fuori che Torvalds era uno stronzo, Stallman era una merda e i poveri dev kernel sono degli eroi. Che c'entra?
Forse era Sgarbi, ma non son sicuro.

Ecco, questo è parlare senza alcuna cognizione di causa, gg. Bella firma, molto appropriata devo dire.

Guarda ti sei iscritto OGGI e dare del fanboy a qualcuno al secondo messaggio ti direi che è quantomeno prematuro oltre che inopportuno. Fai una cosa, cerca nei mei 7000 messaggi quante volte gli sono andato io dietro agli hater microsoft poi ne riparliamo. Non mi è andata giù questa scelta di requisiti draconiani su un sistema operativo che alla fine dei conti, con qualche compromesso, funziona esattamente come il predecessore, amenità più o meno interessanti introdotte a parte che richiedono certe caratteristiche specifiche nelle cpu. Ahi voglia se Microsoft ha responsabilità. Hanno il sistema operativo dominante nel mondo dei client e personalmente che per il tpm, il secure boot e l'uefi si debbano mandare in discarica non so quante macchine o sostituirle forzatamente non mi sta bene. Infatti ai loro requisiti "faccio spallucce". Soprattutto se la macchina (e non c'è fretta assolutamente) non è in grado di sostenere Win11 la faccio rimanere a 10, tanto semplice ! E questo è quanto. Buona serata.

p.s. da regolamento, anche parolacce e insulti non sono graditi qui dentro. Grazie.

Non mi è andata giù questa scelta di requisiti draconiani su un sistema operativo che alla fine dei conti, con qualche compromesso, funziona esattamente come il predecessore, amenità più o meno interessanti introdotte a parte che richiedono certe caratteristiche specifiche nelle cpu. Ahi voglia se Microsoft ha responsabilità.

Sei divento il nuovo Svelgen o come si fa chiamare oggi l'ex Alex multinick eccetera eccetera. Ripeti ossessivamente questa cosa anche in thread in cui non c'entra o c'entra molto marginalmente. La parola Windows ed anche il nmero 11 non sono presenti in alcuna riga della pagina web della redazione su cui si dovrebbe commentare, anche perché non c'entrano nulla. UEFI non è Windows 11 e viceversa.

Mah... deve essere contagioso, meglio che me ne torno via :)

Sei divento il nuovo Svelgen o come si fa chiamare oggi l'ex Alex multinick eccetera eccetera. Ripeti ossessivamente questa cosa anche in thread in cui non c'entra o c'entra molto marginalmente. La parola Windows ed anche il nmero 11 non sono presenti in alcuna riga della pagina web della redazione su cui si dovrebbe commentare, anche perché non c'entrano nulla. UEFI non è Windows 11 e viceversa.

Mah... deve essere contagioso, meglio che me ne torno via :)

Intanto grazie alle sonore lamentele pervenute a Microsoft son tornati parzialmente sui loro passi. Comunque si dev'essere contagioso...non fermarti troppo !

p.s. grazie anche a te di avermi ricordato che uefi e windows son due cose diverse...ma non scordiamoci che non è neanche mac osx o una distro linux ! :D

Guarda ti sei iscritto OGGI e dare del fanboy a qualcuno al secondo messaggio ti direi che è quantomeno prematuro oltre che inopportuno. Fai una cosa, cerca nei mei 7000 messaggi quante volte gli sono andato io dietro agli hater microsoft poi ne riparliamo. Non mi è andata giù questa scelta di requisiti draconiani su un sistema operativo che alla fine dei conti, con qualche compromesso, funziona esattamente come il predecessore, amenità più o meno interessanti introdotte a parte che richiedono certe caratteristiche specifiche nelle cpu. Ahi voglia se Microsoft ha responsabilità. Hanno il sistema operativo dominante nel mondo dei client e personalmente che per il tpm, il secure boot e l'uefi si debbano mandare in discarica non so quante macchine o sostituirle forzatamente non mi sta bene. Infatti ai loro requisiti "faccio spallucce". Soprattutto se la macchina (e non c'è fretta assolutamente) non è in grado di sostenere Win11 la faccio rimanere a 10, tanto semplice ! E questo è quanto. Buona serata.

p.s. da regolamento, anche parolacce e insulti non sono graditi qui dentro. Grazie.

Io mi son iscritto oggi qui, ma non pensare che non girassi già anni fa qui e su altri forum. Conosco le meccaniche da forum e son tornato qui solo perché mi han girato il link a questo articolo: visto il tono dei commenti ho deciso che potesse essere bene riportare la discussione on topic, giusto perché mi metteva un po' tristezza fosse rimasto tutto come quando avevo 15 anni e leggevo proprio questo forum.

Bene, dici di non essere un fanboy/hater, però renditi conto che nell'articolo non si parlava di quello di cui stavate discutendo voi. E poi non facevo riferimento solo a te, ma a praticamente tutti quelli che avevano commentato sopra.

I requisiti imposti da MS sono necessari perché win è oggettivamente un colabrodo (non che linux sia tanto meglio) e stanno cercando di mettere pezze. Una boot chain sicura è fondamentale (non pensavo fosse nemmeno necessario dirlo) e con BIOS era letteralmente impossibile. Il mio punto resta: non si parlava di windows e di TPM, che son necessari ma per motivi non collegati all'argomento dell'articolo. Non c'è da prendersela con Microsoft su QUESTO argomento perché non c'entrano niente, se non per il fatto che hanno partecipato alla standardizzazione di UEFI, così come tante altre grandi aziende. Sicuramente se MS non avesse spinto per usare i PE come formato standard per UEFI magari sarebbe stato meglio, ma questo non è rilevante.

Per quanto riguarda il lessico io stavo citando un momento che pensavo fosse ben conosciuto della televisione italiana che risale a prima che io nascessi.
https://youtu.be/YQjOXEk360E?t=50

Una boot chain sicura è fondamentale (non pensavo fosse nemmeno necessario dirlo) e con BIOS era letteralmente impossibile.
per chi?
un uefi per trovarli, un uefi per domarli, un uefi per ghermirli e nel buio incatenarli :p
gli utenti...

Ah beh, non avevo capito che l'obiettivo fosse meno sicurezza, meno funzionalità e dover supportare una foresta di configurazioni legacy! Allora siamo d'accordo: BIOS era perfetto

Intanto grazie alle sonore lamentele pervenute a Microsoft son tornati parzialmente sui loro passi.

Hanno già tolto il requisito UEFI grazie alle tue continue e ripetute lamentele su questo forum? Opperbacco non me ne ero accorto, proprio poco fa ho risposto ad un post di uno che chiedeva come bypassarlo...

Bene, almeno qualcosa la hai ottenuta :)


Comunque si dev'essere contagioso...non fermarti troppo !


:ops:

Hanno già tolto il requisito UEFI grazie alle tue continue e ripetute lamentele su questo forum? Opperbacco non me ne ero accorto, proprio poco fa ho risposto ad un post di uno che chiedeva come bypassarlo...

Bene, almeno qualcosa la hai ottenuta :)

:ops:

Ne vado molto fiero infatti ! :D ...e scherzi a parte, si hanno pubblicato loro stessi procedure per mitigare i requisiti forse grazie a tanti messaggi come il mio, in tutti i social del mondo. Sai com'è, comincia tutto da qualcuno. Ma se nessuno avesse in alcun modo domandato come mai con un i7-6xxx ad esempio si ritrovasse con il setup di 11 che mostrava il dito medio...eh....magari non si sarebbero neanche scomodati... dai su... non prendiamoci in giro...la sicurezza...si...! E comunque tornando all'UEFI e in topic...faccio mea-culpa, quelle vulnerabilità son cavolatine alla fine...mi fa sentire veramente sicuro utilizzarlo ! ;)

Ah beh, non avevo capito che l'obiettivo fosse meno sicurezza, meno funzionalità e dover supportare una foresta di configurazioni legacy! Allora siamo d'accordo: BIOS era perfetto
mi pare che l'articolo chiarisca che la presunta maggior sicurezza di uefi in realtà NON esiste.

E comunque tornando all'UEFI e in topic...faccio mea-culpa, quelle vulnerabilità son cavolatine alla fine...mi fa sentire veramente sicuro utilizzarlo ! ;)
Quotando il mio primo messaggio
[UEFI] è anche stato un fallimento dal punto di vista della sicurezza perché nel progetto originario non erano definite funzionalità necessarie
Quindi non penso che nessuno abbia mai detto che questa robaccia è sicura (se dico che l'ho almeno un po' reversato saprò di cosa sto parlando...), ma il punto è sempre stato che MS non c'entra nulla. L'OS è due cpu ring sopra i problemi di cui si sta parlando: questa è tutta responsabilità dei vendor dei firmware. Sono Insyde/AMI/Lenovo/Dell/MSI/<scegliete voi> a scrivere codice insicuro persino con gli standard del 2005

mi pare che l'articolo chiarisca che la presunta maggior sicurezza di uefi in realtà NON esiste.
LoL

Riguardo Windows 11, il problema di per sé non è l’OS ma è che per utilizzarlo sei obbligato ad attivare e mantenere attivo UEFI + TPM ovvero tecnologie ultra-bacate su cui andrà a poggiare la robustissima sicurezza di “cartone” del nuovo Windows 11 (già bacato di suo a livello di codice, visto che è tutt’ora in alpha): e non conviene neppure utilizzare i vari “trucchetti” presenti in rete per installarlo (bypass di UEFI/TPM) perché ciò potrebbe rendere W11 ancora più instabile/vulnerabile di quello che già non è. Se vogliamo indicare come parametro di riferimento l'obiettivo di ottenere la miglior sicurezza possibile all’interno di una determinata infrastruttura informatica basata su Windows, l’unica condicio sine qua non è quella di evitare UEFI/TPM e conseguentemente non installare Windows 11.

...solo una piccolissima precisazione...volendo, con le giuste procedure disponibili ovunque, si può utilizzare w11 anche con tutto disattivato. Ripeto, una volta "ritoccato" il setup, i requisiti tornano quelli dei predecessori. :)

Questa discussione va di bene in meglio.

Disabilitare Intel ME? Ottimo modo per ottenere un PC che non può accendersi, dato che è ME a fare il bringup della CPU dai suspension state e dal cold boot.

TPM tecnologia bucata? Le implementazioni dei TPM magari son fatte male, ma non è la tecnologia il problema: è una buona idea mettere dei segreti in un contesto completamente separato e (teoricamente) inaccessibile. Senza TPM come implementi un secure boot? Dove sta la root della chain of trust? In quale modo rinunciare completamente alla CoT sarebbe meglio per ridurre la superficie d'attacco? Ah chiaro, non è nemmeno necessario pwnare il TPM per tirare fuori segreti, basta prelevarli gentilmente dalla ram una volta scalato a kernel.

Di cosa stiamo parlando?

Il punto di tutte queste tecnologie fra cui UEFI, TPM etc. è quello di "blindare" il boot da attacchi che appunto minano la catena di boot. Questi sono attacchi su cui l'utente può fare molto poco. Immaginate un malware che si installa al posto di uno dei firmware nella catena di boot: avrebbe accesso a qualsiasi cosa accada (più o meno) nella macchina senza che nessuno possa farci nulla. Per questo Intel ha creato ME (protezione dei segreti) e per questo esiste una serie di contromisure più o meno efficaci, contromisure che a loro volta hanno dei buchi ovviamente.

Dire di disattivare tutto per ridurre la superficie di attacco è come dire di togliere le serrature dalle porte perché offrono una superficie di attacco troppo grande e quindi... meglio togliere direttamente tutta la porta e lasciare casa aperta!

Capite che è un ragionamento che non ha molto senso...

Il punto di tutte queste tecnologie fra cui UEFI, TPM etc. è quello di "blindare" il boot da attacchi che appunto minano la catena di boot. Questi sono attacchi su cui l'utente può fare molto poco. Immaginate un malware che si installa al posto di uno dei firmware nella catena di boot: avrebbe accesso a qualsiasi cosa accada (più o meno) nella macchina senza che nessuno possa farci nulla. Per questo Intel ha creato ME (protezione dei segreti) e per questo esiste una serie di contromisure più o meno efficaci, contromisure che a loro volta hanno dei buchi ovviamente.

Dire di disattivare tutto per ridurre la superficie di attacco è come dire di togliere le serrature dalle porte perché offrono una superficie di attacco troppo grande e quindi... meglio togliere direttamente tutta la porta e lasciare casa aperta!

Capite che è un ragionamento che non ha molto senso...

Questo ovviamente no. Ma che lo lascino installare su macchine che hanno la potenza hardware necessaria come gli altri sistemi operativi. Poi i rischi, ovviamente se parliamo di pc in ambiente domestico, li valuterò io. Come ben sai poi, anche con uefi/secureboot ci sono state rogne da poco...mi pare avessimo commentato anche qui...il famoso intruso che si mette per primo nella catena di boot e il gioco è fatto.

Semplificando molto, non troppo diverso dai classici rootkit dei tempi andati...

Ma quale “Secure boot”...forse volevi scrivere “Secure boom”?

Microsoft creates Secure Boot backdoor, leaks golden keys (URLhttps://betanews.com/2016/08/11/microsoft-secure-boot-golden-key/)
Trapela la Golden Key, Microsoft Secure Boot si può aggirare (https://www.tomshw.it/altro/trapela-la-golden-key-microsoft-secure-boot-si-puo-aggirare/)
Questa penso la conoscessimo tutti.
Stai mancando il punto: qui si parla di MS che permette di disabilitare (con le sue chiavi) il secure boot, non del concetto di secure boot, che è usato in ogni dispositivo moderno, dai telefoni ai PC passando per un buon numero di dispositivi embedded. Il secure boot è una cosa necessaria per garantire l'integrità di un dispositivo, per impedire o limitare le possibilità di interferire con il boot del sistema operativo.
Che esistano delle vulnerabilità ti stupisce? A causa di alcune vuln nelle implementazioni di secure boot nelle piattaforme intel/amd si dovrebbe tornare ai tempi dei rootkit? Sembra un buon piano

Ma poi parlare delle cpu commerciali come oggetti progettati per la sicurezza assoluta è sbagliato dal principio: la sicurezza non è conciliabile con le performance richieste, a livello architetturale. Vedasi Spectre/Meltdown e tutti i mille attacchi che ha tirato fuori Gruss, che ormai dovrebbe cambiare argomento di ricerca. Bravo, bello, figata, però ce lo aspettavamo.


Di questo?

Trusted platform module security defeated in 30 minutes (https://arstechnica.com/gadgets/2021/08/how-to-go-from-stolen-pc-to-network-intrusion-in-30-minutes/)
TPM CVE (https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=tpm)

I CVE sulle numerose vulnerabilità UEFI te li risparmio perché oramai a forza di parlarne li conoscono anche i bambini delle elementari.

Stesso discorso di prima: buttare via il bambino con l'acqua sporca.
Ma gli articoli si leggono prima di linkarli? "Hacker son riusciti a leggere una password che passa sul bus in plaintext"
https://i.ibb.co/1GsC93S/40f.jpg

Non è mai stato quello il threat model del TPM, e lo dicono anche loro: Getting around the TPM in this manner is akin to ignoring Fort Knox and focusing on the not-so-armored car coming out of it.

Con accesso remoto dumpo le chiavi mentre l'OS è in esecuzione? No? Buono, ho rallentato a sufficienza un attaccante ed alzato l'asticella.
Non penso sia difficile da capire che il punto è sempre e soltanto quello di alzare sempre più l'asticella.

Ma poi se ho iniziato a scrivere qui dicendo che ho reversato UEFI e che so essere una shitfest pensi di stupirmi con queste cose? So perfettamente che la sicurezza è un'illusione, ma sicuramente non sarà disabilitando ogni tecnologia di protezione che si risolve il problema.

Dai pure un'occhiata per bene ai CVE nella lista, sono relativi a BIOS, librerie esterne o ancora vulnerabilità hardware. Non sto dicendo che sia assolutamente sicuro (spoiler: non lo è) o che sia una panacea, ma concettualmente è perfettamente sensato i segreti altrove rispetto alla memoria controllata da un attaccante.

Lo scrivo meglio :), magari facendo un discorso più diretto, così evitiamo il ripetersi di ambiguità lessicali: IMHO quello che non è indispensabile al mero caricamento dell’OS va disattivato sia a livello hardware che software. E solo “dopo” si implementano le dovute eccezioni minime ed indispensabili (e anche qui non mi invento nulla: si chiama architettura Zero Trust).
In quale modo, di grazia, non sarebbe indispensabile mantenere una chain of trust dall'early boot fino all'inizio dell'esecuzione dell'OS? Giusto per capire.

Come fa il kernel a caricare dei dati early boot non fidandosi di essi? Li decripta con delle chiavi ECDSA da inserire a boot? E chi controlla che non sia stato tamperato il software che si occupa del decrypt? E da dove viene caricato?

Torno a dire: di cosa stiamo parlando? Mettere qualche buzzword tipo Zero Trust non risolve il problema di base: ogni pezzo dell'avvio deve potersi fidare del passaggio precedente perché se no sarà sicuramente vulnerabile. È così che funzionano i sistemi operativi o i computer per come li conosciamo, almeno nelle applicazioni prosumer.

Segui questa semplice regola e i tuoi sistemi non vedranno mai un malware né mai subiranno un qualsiasi tipo di compromissione.
Devo ammettere che qui ho riso: mi è tornato in mente l'omino sentenzioso di Nonciclopedia. Questa discussione è un viaggio nel mio personale passato su internet.

Ora come ora a minare la catena di boot è proprio UEFI e le sue numerose vulnerabilità (e il buon TPM non è da meno): della serie “quando la cura fa più danni della malattia”.
Sicurosicuro? E l'alternativa attuale quale sarebbe? Senza parlare di fantascienza però. BIOS era meglio?
UEFI è una pila di merda, ma è il meglio che abbiamo, malgrado i vendor non sappiano scrivere software

Lo sanno pure quelli di Wikipedia cos’è Intel ME: (https://en.wikipedia.org/wiki/Intel_Management_Engine)


Evidenziamolo meglio: Intel ME → it is a backdoor

Domanda retorica: avere una backdoor hardware attiva giorno e notte su di un Server aziendale connesso 24h/24h ad internet dici che aumenta intrinsecamente la sicurezza dell’intera infrastruttura a cui quel Server è connesso?
Esattamente quale sarebbe il tuo threat model? La NSA che prende i tuoi PC dopo che una squadra SWAT ti è entrata in casa? In quel caso sì, Intel ME potrebbe essere un problema. ME fa molto più di quello che c'è scritto su wikipedia (c'è letteratura scientifica, basta leggerla) quindi è assolutamente impossibile disattivarlo. È parte integrante del boot e verifica parti del firmware con le chiavi fused in-silicon.

Per difendere qualsiasi utente normale o azienda da un hacker anche molto motivato UEFI e secure boot sono un'ottima cosa perché, ripetendomi, spostano in alto l'asticella.

Giusto perché ho voglia di mettere anche io il cappellino di alluminio, chiudo a mia volta con una domanda: come mai nel kernel linux c'è il supporto al TPM se è inutile? Chiedo per capire, perché di solito se c'è una cosa che non piace a Linus è proprio fare merge di feature non indispensabili. Eppure...

...
Evidenziamolo meglio: Intel ME → it is a backdoor...
ok, meglio aprlar chiaro, così questo l'ho capito :D
AMD come sta messa? :confused:

... secure boot, che è usato in ogni dispositivo moderno, dai telefoni ai PC passando per un buon numero di dispositivi embedded. Il secure boot è una cosa necessaria per garantire l'integrità di un dispositivo, per impedire o limitare le possibilità di interferire con il boot del sistema operativo....
stai parlando dell'utilissima "feature" che impedisce di disinstallare quintali di merda preinstallata negli smartphone che occupano spazio per nulla, impedendo di installare quello che l'utente vuole? :muro: :rolleyes:
è la stessa "feature" che costringe a esotiche e rischiose procedure di rooting degli apparecchi suddetti?

allora direi che l'unica cosa che il secure boot impedisce e limita, è la libertà dell'utente di usare ragionevolmente come vuole il prodotto che ha comprato, pagandolo spesso non poco... :mad: :banned:

Giusto perché ho voglia di mettere anche io il cappellino di alluminio, chiudo a mia volta con una domanda: come mai nel kernel linux c'è il supporto al TPM se è inutile? Chiedo per capire, perché di solito se c'è una cosa che non piace a Linus è proprio fare merge di feature non indispensabili. Eppure...
è proprio l'esempio per cui la diffusone di "feature" inutili e fastidiose ma pervasive costringe tutti a dover implementare 'ste merdate. :muro:

Sicurosicuro? E l'alternativa attuale quale sarebbe? Senza parlare di fantascienza però. BIOS era meglio?
UEFI è una pila di merda, ma è il meglio che abbiamo, malgrado i vendor non sappiano scrivere software


Domanda da ignorante: Coreboot come si pone come alternativa? Viene solitamente pubblicizzato come più sicuro...

Esattamente quale sarebbe il tuo threat model?

Quello del carretto© :O :
non aveva bisogno dell'elettricista, del carrozziere, non andava in crisi per la carenza di chip, [...] :asd:

stai parlando dell'utilissima "feature" che impedisce di disinstallare quintali di merda preinstallata negli smartphone che occupano spazio per nulla, impedendo di installare quello che l'utente vuole? :muro: :rolleyes:
Hmmm no, non c'entra nulla, quello è l'OS e quelle di cui ti lamenti son le app di sistema. Non c'entra nulla con il secure boot.
è la stessa "feature" che costringe a esotiche e rischiose procedure di rooting degli apparecchi suddetti?

allora direi che l'unica cosa che il secure boot impedisce e limita, è la libertà dell'utente di usare ragionevolmente come vuole il prodotto che ha comprato, pagandolo spesso non poco... :mad: :banned:
Sì, è necessario sbloccare il bootloader per avviare codice non firmato. È esattamente quello di cui sto parlando. Ma ancora una volta, tu come altri, scambiate il concetto con l'implementazione. Allora ti faccio il controesempio di OnePlus in cui per sbloccare il bootloader bastano due comandi da fastboot. Ora contento? Diversi produttori, diverse procedure. Non mi sembra così difficile da capire che aziende diverse possano avere politiche diverse verso pratiche come il root/unlock.
è proprio l'esempio per cui la diffusone di "feature" inutili e fastidiose ma pervasive costringe tutti a dover implementare 'ste merdate. :muro:
Assolutamente NIENTE obbligherebbe il kernel linux a supportare il TPM se non fosse una cosa utile. Non ho più intenzione di perdere tempo a spiegarlo, basta leggere wikipedia e capire cosa sia il TPM.

Domanda da ignorante: Coreboot come si pone come alternativa? Viene solitamente pubblicizzato come più sicuro...
È potenzialmente più sicuro perché puoi leggerne il codice.
Qualcuno ha mai fatto un audit di sicurezza di Coreboot? Non che io sappia, dunque al momento si può considerare sicuro quanto i firmware proprietari.
Magari non ci sono certi errori macroscopici (non ne son del tutto sicuro) che si trovano nel codice legacy di molti produttori, però nel momento in cui qualcuno volesse bucare coreboot puoi star sicuro che ci riuscirebbe. Ma questo vale per tutto: se c'è abbastanza interesse un modo si trova.

Come no. L'utente "tipo" che utilizza Secure Boom! in accoppiata con Windows sa “esattamente” cos'è una "Golden Key"...
Ma stai interpretando male in malafede oppure ti viene spontaneo? Perché mi son sempre riferito agli utenti qui dentro, sin dal primo messaggio dove mi lamentavo del tono "da bar" della conversazione. Ti esplicito che il mio concetto era "mi aspetto che tutti qui dentro sappiano di quella vulnerabilità perché era stata ben pubblicizzata dalle testate a suo tempo"

...quindi mi stai dicendo che se mi rubano il portatile posso stare tranquillo grazie a questi mega condom hardware? Che i miei dati risulteranno protetti nonché inaccessibili? magari utilizzando Bitlocker in combo con le suddette protezioni HW?
Beh.... Sì. Puoi stare ragionevolmente sicuro, molto più sicuro che senza alcun tipo di criptazione. Poi, ancora una volta ti faccio presente che dipende tutto dal threat model. Sei il CEO di un'azienda importante? No, non stai sicuro. Sei un tizio a caso a cui hanno rubato il PC in biblioteca? Puoi star sicuro che dopo averlo avviato e visto che serviva la password il tuo PC è stato prontamente formattato e venduto su qualche mercatino online.

Con “torno a dire” intendi “fidarsi” attivando UEFI & compagni di merende in modo da rendere il sistema meno “vulnerabile” e quindi più “sicuro”? (nel caso, vedi sotto).
Ok, ti avevo sopravvalutato, vedo che non sai di cosa stiamo parlando. Non intendo farti una lezione su come funzioni il bringup di una macchina e di cosa comporti a livello hardware e software, non ho tempo.

Guarda: mi hai convito! adesso rimetto su il mio Windows però sotto UEFI, perché UEFI è da sempre un baluardo inespugnabile ai rootkit:

Spunta il primo rootkit per UEFI (https://www.securityinfo.it/2018/09/28/spunta-il-primo-rootkit-per-uefi-si-chiama-lojax-e-lo-usa-il-gruppo-fancy-bear/) (...correva l’anno 2018)
Serio? Tiri fuori uno dei 3 (letteralmente tre) esempi noti di rootkit UEFI? Incidentalmente, tutti e 3 sono stati creati/usati da entità statali (Russia e Cina). Sai vero che questo malware dei russi me lo son studiato? Usavano pezzi di codice scritto dagli italiani di Hacking Team (il loro driver NTFS lo usano tutti a quanto pare) e sfruttavano l'assoluta imperizia di un'azienda terza che scriveva driver UEFI da usare come antifurto nei PC aziendali. In pratica già il software originale era un rootkit ed i russi hanno riutilizzato quello.
Recentemente invece è saltato fuori un bel pezzo di codice dei cinesi che usava vere vulnerabilità in UEFI, ma si sa di un solo utilizzo in the wild proprio per quanto costano e quando sono specifici questi malware.
Mi stai dando ragione con questi esempi, ma nemmeno te ne rendi conto. Questi sono software complessi, costosi e che gli attaccanti "tengono cari", a cui hanno accesso pochissime entità. I rootkit prima di UEFI erano quasi all'ordine del giorno.

Se il futuro dell'hardware è quello di tramutare le schede madri in blackbox (https://postimg.cc/0K0JyHJP) in grado di connettersi autonomamente ad internet...allora meglio restare nel passato.
Il passato dei rootkit distribuiti direttamente su internet da qualsiasi attaccante? Quel passato? Ok.
Non riesci a capire che stai analizzando la situazione passata selettivamente ignorando grandissima parte dei problemi che hanno portato alle soluzioni attuali?
BTW hai letto di recente il firmware della tua scheda di rete? Quella che da 20 anni ormai può fare Wake On Lan e quindi è permanentemente attiva ed è collegata al bus PCI? No chiedo perché magari tu hai controllato sempre il firmware di quella, quindi sei sicurissimo che non ci siano implant. O anche il router di casa. Perché non quello dell'operatore? Magari fanno deep packet inspection.
Stai guardando il mondo dal fondo di un tubo e non vedi l'immagine globale, ignorando completamente le problematiche reali e concentrandoti su UEFI per qualche ragione nota solo a te.

Come contraddirti? Se è per questo hai anche reversato un bellissimo lolloso simil-puffetto:

https://i.postimg.cc/ZKdx05Hr/fuffa.jpg (https://postimages.org/)
Ok boomer, se vuoi dopo ti spiego quel meme di pikachu, ma comunque è veramente difficile contraddirmi, perché è un fatto che mi sia messo a reversare UEFI. :)

Ho la certezza che gli utenti del forum di vecchia data (quelli iscritti da 10-20 anni) siano rimasti impressionati dalle tue argomentazioni e se la stiano ridendo di quei fessacchiotti di ricercatori incompetenti patentati e prezzolati che hanno appena scoperto “solo” 23 vulnerabilità UEFI di cui “alcune” definite critiche.
Eppure l'ho detto TANTE volte: UEFI dal punto di vista della sicurezza, allo stato attuale, fa schifo. Ci sono tante implementazioni rotte perché i produttori di hardware non si occupano della sicurezza di queste componenti. L'ho già detto troppe volte per doverlo ripetere ancora.
Il mio problema ora è la tua "soluzione": tornare alla carriola perché qualcuno fa incidenti in auto.

Ah, per quanto riguarda il mio account nuovo, basta scannerizzare il qr code che è il mio avatar per trovare tutti i miei profili che ho da più anni. Non mi nascondo dietro ad un dito, ci sono il mio nome ed il mio cognome online. Però hey, tu sei registrato dal 2005 su hwupgrade.it, questo fa di te un'autorità.

Se l’asticella è marcia (UEFI/TPM, etc.) la puoi innalzare quanto ti pare ma resta sempre un’asticella marcia.
Come detto sopra, con i tuoi stessi link hai dimostrato che questi attacchi tipo-rootkit ora sono rari, fanno notizia e sono usati solo da state-backed attackers. Non penso ci sia altro da dire per chiarire lo scollamento tra la tua impressione della sicurezza e la reale sicurezza. Continua a definire UEFI marcio, non hai troppo torto, ma sostenere che si stesse meglio prima è sbagliato nonché ridicolo.

Trollata scarsa: bocciato. Ma non disperare: ti manca solo una bella lavagna e poi la maestra potrà metterti in castigo lì dietro...ma prima ti scriverà sul cappellino d'alluminio la parola U-E-F-I.
Questo si commenta da solo

Toglici un dubbio: l’iscrizione di poche ore fa su questo forum ti vale come benefit extra oppure è compreso nella diaria giornaliera?
No guarda, anzi, perdere tempo con te ha smesso di essere divertente già dallo scorso messaggio. Penso infatti tornerò a scrivere l'articolo che devo presentare per KES 2022 entro un paio di mesi e a lavorare sul mio attuale progetto. Purtroppo non mi pagano per spiegarti l'architettura del secure boot.

Ma che dici? Il TPM è utilissimo: una blackbox (https://postimg.cc/0K0JyHJP) attiva sul sistema 24h/24h e che può comunicare con l’esterno via internet in modalità cifrata! Diciamolo: è più che utile! poi a chi sarà utile non lo si può dire con certezza...
Hmm forse volevi dire intel ME, non il TPM che non ha accesso alla rete, ma come vuoi. In ogni caso, come sopra, controlla la scheda di rete, il router, la stampante, i router dell'operatore...


Grazie per aver confermato quello da me già scritto:

...ma soprattutto un grazie di cuore per aver confermato il mio assunto, ovvero che:

Prego, stavo appunto confermando, ma ti sei perso forse dove dicevo che questa è una preoccupazione ridicola perché il threat model è sbagliato. Preoccuparsi che arrivi un elicottero da guerra a lanciare un missile sulla casa e poi tenere il fornello a gas del 1950 con i tubi tagliati.

Chiudo a mia volta con una seconda contro-domanda, anch’essa retorica: per poter installare una distro Linux è obbligatorio attivare il TPM come sotto Windows 11?
Ah ma quindi siamo tornati a windows 11? Buono a sapersi che è ancora quello il problema, esattamente come pensavo. Non hai capito il punto del mio discorso, si vede, o lo stai deliberatamente ignorando.

...un poco meglio. :) Però anche su AMD imho vale lo stesso discorso: disabilitare tutto il possibile (sia hardware che software). In particolare eviterei anche l’installazione dei programmi forniti dal vendor collegati con le funzionalità di gestione a basso livello della motherboard.
finchè dura...

...Se il futuro dell'hardware è quello di tramutare le schede madri in blackbox (https://postimg.cc/0K0JyHJP) in grado di connettersi autonomamente ad internet...allora meglio restare nel passato.
:mano:



Hmmm no, non c'entra nulla, quello è l'OS e quelle di cui ti lamenti son le app di sistema. Non c'entra nulla con il secure boot.
...
Sì, è necessario sbloccare il bootloader per avviare codice non firmato.
quindi c'entra eccome il boot blindato... CVD :read: :rolleyes:
e rompe le balle all'utente.

Non sto nemmeno a quotare perché è inutile: non è il chip TPM che è connesso alla rete, quello di cui parli è un protocollo a livello superiore (infatti proprio nella tua slide è alla voce “applications”) che è implementato nell’OS il quale, guarda caso, è connesso ad internet. Il chip del TPM non tocca la rete perché è connesso al bus SPI. Se riesci a far parlare il bus SPI con la scheda ethernet/wifi che stanno sul PCI sei DAVVERO forte.
Ma tu non sei forte, perché ancora una volta dimostri di non aver capito niente.

Proof: un qualsiasi datasheet di un TPM https://www.st.com/en/secure-mcus/st33tphf20spi.html#documentation

La backdoor hardware è quindi adesso diventata software?
Nonno Simpson, riesci a stare 5 minuti senza umiliarti?

Also: io ho un qr, un nome ed un cognome, mentre tu sei nessuno.
https://i.kym-cdn.com/photos/images/original/001/515/235/3d7.jpg

PS se non hai risposto al resto è solo perché non sai come rispondere, mentre io mi son davvero stancato di chi ha poche idee ben confuse. Enjoy your ignorance.

@ ceres-c

visto che sembri esperto, mi interessa la tua opinione su Pluton, l'evoluzione del TPM aggiornabile da remoto con dei semplici Windows Update. E' già stato annunciato sulle prossime cpu amd mobile, non so se anche le intel.
A me preoccupa il fatto che sia accessibile/gestibile da remoto, se poi è anche stato scritto con l' @no tanto quanto l'uefi (come dici tu) mi pare pericolosissimo...

Comunque mi pare strano che parti così importanti del codice siano scritte così male, sembra che le abbiano date da fare a stagisti estivi a quanto dici... come te lo spieghi?
Una cassaforte è una buona idea per la sicurezza, ma se le pareti sono di cartone è una falsa sicurezza, è anche peggio...

@ ceres-c

visto che sembri esperto, mi interessa la tua opinione su Pluton, l'evoluzione del TPM aggiornabile da remoto con dei semplici Windows Update. E' già stato annunciato sulle prossime cpu amd mobile, non so se anche le intel.
A me preoccupa il fatto che sia accessibile/gestibile da remoto, se poi è anche stato scritto con l' @no tanto quanto l'uefi (come dici tu) mi pare pericolosissimo...

Comunque mi pare strano che parti così importanti del codice siano scritte così male, sembra che le abbiano date da fare a stagisti estivi a quanto dici... come te lo spieghi?
Una cassaforte è una buona idea per la sicurezza, ma se la combinazione la sanno tutti gli scassinatori è una falsa sicurezza, è quasi peggio...
Quando non so qualcosa io lo ammetto: non ho alcuna esperienza con questa specifica cosa che è Pluton. In linea di massima l'idea di avere un coprocessor per la sicurezza è buona ed ormai industry standard (TPM è quello, infatti). Leggo un sacco di buzzword tipo cloud, che d'altro canto...
Mettere il coprocessor nella CPU è buono, si evitano i bus attack tipo quello che aveva mandato prima Phoenix2005. Per quanto estremamente remoti, sono reali, e possono essere un vettore d'attacco per target importanti e se l'attaccante ha in mano l'hardware. Tutto ciò sempre a patto che questo nuovo silicio sia effettivamente buono e faccia esattamente quello che deve, cosa non scontata.
Tutti i coprocessor avanzati hanno dentro un RTOS: è il modo più cost efficient per costruire qualcosa del genere. A questo punto, renderli aggiornabili da remoto è solo un passo in più. L'idea di costruire un TPM avanzato con una procedura di aggiornamento non è intrinsecamente sbagliato, ma ovviamente spostandolo nella CPU si pongono i soliti problemi che ci sono anche con Intel ME o l'equivamente di AMD (ma questo NON vuol dire che vadano disabilitati). Potrebbe essere anche un bene per risolvere potenziali vulnerabilità senza dover rimpiazzare l'hardware.
Alla fine la differenza rispetto al TPM è che:

Se si volesse pensare che ci siano già in entrambi delle vulnerabilità inserite apposta: in questo caso potrebbero essere risolte rapidamente con un update software nel caso in cui qualcuno le trovasse
Se ci si volesse fidare dei fornitori hardware/software (che siano essi ST, Qualcomm o MS): non ci dovrebbero essere reali differenze.

Tutto questo almeno dal punto di vista teorico, come dicevo non conosco bene questo specifico prodotto e quindi sto solo speculando.

Per avere un'idea di come son scritti questi software datti un'occhiata ai post di Cr4sh, è bravo e spiega bene: http://blog.cr4.sh/

Queste son parti del software in cui non si investe, perché l'utente non le vede, anzi devono essere viste il meno possibile. Nessuno vuole perdere tempo davanti alla schermata del BIOS per 40 secondi perché questo controlli qualsiasi minimo dettaglio. Non è nemmeno vista come una cosa di cui è necessario preoccuparsi perché sono attacchi per ora state sponsored e nessuno ha davvero le risorse da investire in sicurezza per mettersi contro gli stati. Chiaro che sarebbe meglio scrivere codice più sicuro, ma da qualche parte tocca tagliare per mettere sul mercato un PC che costi 50€ in meno della concorrenza.

P.S. → La prossima volta cos'è che ci linkerai? Una nuova gif lollosa oppure il bugiardino dell’aspirina?

Sarai pure molto “occupato” a riversare UEFI su VHS ma non abbastanza da non da demolire più volte la netiquette di questo forum in soli 9 messaggi (complimenti...un vero record!), di cui l’ultimo alle 3:49 di questa mattina, insozzando l’intero thread con image-spam, insulti verbali diretti & corbellerie varie, riuscendo così - tra le altre cose - a far sanguinare gli occhi ai nostri poveri moderatori di sezione. E non sono l’unico ad averlo notato:
https://i.ibb.co/09Vy8RK/cry-me-a-river.jpg (https://imgbb.com/)

il bios è ormai obsoleto vantati di volerlo usare nel 2022 rispetto al uefi che è superiore in feature e performance

non lo metto in dubbio.
però perdonami... io nel bios ci entro, forse, quando aggiungo una scheda o se mi piglia l'idea perversa di "tirare il collo" a cpu o ram; una grossa fetta dell'utenza manco per quello.
che diamine ci dovrei fare?