Sottratti i codici sorgente dei BIOS prodotti da AMI

Sottratti i codici sorgente dei BIOS prodotti da AMI

Server FTP ad accesso libero e un codice sorgente che non doveva essere lì: una grossa leggerezza potrebbe causare gravi danni dal punto di vista della sicurezza. Vediamo cosa è successo

di pubblicata il , alle 08:44 nel canale Sicurezza
 

Una ingiustificata leggerezza che potrebbe mettere a repentaglio la sicurezza di alcuni computer utilizzanti le schede madri di un noto produttore taiwanese. Scoperta dai ricercatori Adam Caudill e Brandon Wilson durante lo scorso fine settimana, tale falla, presente in uno dei server FTP di una società produttrice di schede madri, ha permesso a numerose persone, e potenzialmente pirati informatici, di scaricare i codici sorgenti completi dei BIOS prodotti da American Megatrends Inc. per le piattaforme basate su Intel Ivy Bridge, Sandy Bridge, Cedar Trail e Luna Pier.

Stando alla scoperta di Adam Caudill il server FTP contenente i codici sorgenti sarebbe stato accessibile pubblicamente, senza alcuna richiesta di autenticazione tramite password. Secondo fonti ad oggi non ufficialmente confermate il produttore in questione sembrerebbe essere Jetway* e il server FTP, dopo essere stato messo offline per alcune ore, è tornato online ma accessibile esclusivamente tramite credenziali di accesso.

La gravità dell'evento, oltre al fatto che il codice dei vari BIOS può essere letto liberamente da chiunque, consiste nel fatto che, in una delle sottocartelle del BIOS per la piattaforma Ivy Bridge, sarebbe stata rinvenuta una chiave RSA privata a 2048 bit il cui utilizzo è ancora ignoto ma che potrebbe potenzialmente avere gravi risvolti a livello di sicurezza.

"Una delle peculiarità dei nuovi BIOS basati su piattaforma UEFI è la funzionalità tanto discussa del SecureBoot, per la quale solo determinati bootloader, firmati con specifiche chiavi RSA, possono essere autorizzati ad essere eseguiti nel sistema. Per poter verificare quali sono le firme digitali accettate la scheda madre include un database di firme digitali accreditate, database che può essere aggiornato esclusivamente dal produttore stesso della scheda madre tramite una propria coppia di chiavi RSA. Avere accesso a tale chiave potrebbe avere risvolti critici per la sicurezza del sistema, perché si potrebbe avere in teoria la possibilità di alterare il database e aggiungere in quelle specifiche schede madri dei certificati ad hoc per firmare poi del malware" ha dichiarato ad Hardware Upgrade Marco Giuliani, CEO della società di sicurezza italiana Saferbytes, che ha poi aggiunto "AMI ha confermato che la chiave in questione, trovata nella sottocartella, è una chiave di default, che il produttore dovrebbe sostituire con un'altra prima di entrare in distribuzione. Le guide linea sono quelle, sperando che il produttore le abbia tuttavia seguite".

Sempre secondo Giuliani l'esposizione del codice sorgente potrebbe inoltre aiutare eventuali pirati informatici ad identificare possibili falle nel BIOS, con l'unico fine di sviluppare, ipotesi tuttavia remota, nuove potenziali tecniche di attacco. Secondo le ultime indiscrezioni American Megatrends Inc. starebbe preparando un comunicato stampa per definire meglio l'accaduto.

* Fonte: Slashdot (nei commenti alla notizia)

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

10 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
illidan200008 Aprile 2013, 09:11 #1
sebbene siano stati dei beoti a lasciare l'ftp aperto, dubito che gli utente scaricherebbero dei bios fatti da questi pirati, modificando gli originali. dove li hosterebbero?
Axios200608 Aprile 2013, 09:21 #2
trojan o virus via mail, mail fatta aprire all'utente tramite tecniche di social engineering, verifica se il bios del pc è AMI, download del bios piratato in background via rootkit da server ad indirizzo generato casualmente per evitare blacklist, installato al primo reboot.
teolinux08 Aprile 2013, 11:26 #3
Se fra quelli che entreranno in possesso di questi sorgenti ci sono anche gli sviluppatori del progretto CoreBoot (creazione di BIOS open source) questa potrebbe essere un'ottima notizia.

E poi, sono 20 anni che Linux ha i sorgenti aperti. Ci possono guardare dentro sia quelli che vogliono cercare falle per fini malevoli , che quelli che vogliono fare patch e migliorare la sicurezza.

Spero inoltre che si vedano alcuni di quei trucchetti e features non documentati che in tanti casi ancora impediscono una gestione impeccabile del sistema dagli OS non windows.
inited08 Aprile 2013, 11:30 #4
Preoccupante leggerezza, anche se legata soprattutto alle varianti EFI.

Per l'autore dell'articolo, si scrive "codici sorgente", oppure "sorgenti" direttamente, ma non "codici sorgenti", non siamo mica in un trailer di Maccio Capatonda, in cui si parla di "impercettibili segnali codici" per fare la battuta. Mica si dice "paesi d'origini". Insomma, un po' di cura della lingua.
inited08 Aprile 2013, 11:34 #5
Originariamente inviato da: teolinux
E poi, sono 20 anni che Linux ha i sorgenti aperti. Ci possono guardare dentro sia quelli che vogliono cercare falle per fini malevoli , che quelli che vogliono fare patch e migliorare la sicurezza.
Dev'essere comunque una scelta del produttore e non una leggerezza di un partner commerciale, e soprattutto stiamo parlando proprio di software commerciale, Linux non lo si deve vendere (i distributori vendono licenze di assistenza, non del software stesso) mentre i BIOS sì, perciò la riservatezza dei sorgenti è fondamentale per un ambito in cui c'è competizione commerciale.
teolinux08 Aprile 2013, 11:54 #6
Originariamente inviato da: inited
Dev'essere comunque una scelta del produttore e non una leggerezza di un partner commerciale, e soprattutto stiamo parlando proprio di software commerciale, Linux non lo si deve vendere (i distributori vendono licenze di assistenza, non del software stesso) mentre i BIOS sì, perciò la riservatezza dei sorgenti è fondamentale per un ambito in cui c'è competizione commerciale.


Hai perfettamente ragione.
Hanno esposto il codice proprietario di un loro fornitore, con le relative proprietà intellettuali.
Il mio discorso era solo basato sull'aspetto della sicurezza. Se uno dice che dato che ora si hanno i sorgenti del BIOS c'è il rischio che se ne sfruttino le falle, beh io rispondo che allora Linux, BSD, Google Chrome, Andorid e Firefox sono i software più insicuri al mondo.
calabar08 Aprile 2013, 12:06 #7
Originariamente inviato da: teolinux
Il mio discorso era solo basato sull'aspetto della sicurezza. Se uno dice che dato che ora si hanno i sorgenti del BIOS c'è il rischio che se ne sfruttino le falle, beh io rispondo che allora Linux, BSD, Google Chrome, Andorid e Firefox sono i software più insicuri al mondo.

Capisco il discorso, ma la situazione non è così lineare.
Uno sviluppo basato sulla condivisione dei sorgenti permette di individuare e rattoppare i bug rapidamente, uno sviluppo proprietario basa parte della sicurezza sul fatto che certi segreti non vengano svelati.
É proprio la filosofia di sviluppo a rendere fattibile la condivisione del codice, ma se questo accade, come in questo caso, con del software non sviluppato in quel modo, beh, saltano fuori le magagne.
djfix1308 Aprile 2013, 16:29 #8
sono anni che non vedo Ami bios...sempre Award su fisso e Phoenix su portatile.
li eviterò cmq per sicurezza.
maxmax8009 Aprile 2013, 00:19 #9
ma il produttore quindi è jetway?

perché su altri siti non ho trovato riferimenti esplicito o meno, quali la scansione dell' FTP come invece qui su hardware hupgrade...
Faster_Fox09 Aprile 2013, 21:33 #10
sì, ma in poche parole cosa potrebbe succedere?

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^