UEFI, scovate 23 vulnerabilità molto gravi: coinvolti più di 25 produttori di computer

Questa discussione va di bene in meglio.

Disabilitare Intel ME? Ottimo modo per ottenere un PC che non può accendersi, dato che è ME a fare il bringup della CPU dai suspension state e dal cold boot.

TPM tecnologia bucata? Le implementazioni dei TPM magari son fatte male, ma non è la tecnologia il problema: è una buona idea mettere dei segreti in un contesto completamente separato e (teoricamente) inaccessibile. Senza TPM come implementi un secure boot? Dove sta la root della chain of trust? In quale modo rinunciare completamente alla CoT sarebbe meglio per ridurre la superficie d'attacco? Ah chiaro, non è nemmeno necessario pwnare il TPM per tirare fuori segreti, basta prelevarli gentilmente dalla ram una volta scalato a kernel.

Di cosa stiamo parlando?

Il punto di tutte queste tecnologie fra cui UEFI, TPM etc. è quello di "blindare" il boot da attacchi che appunto minano la catena di boot. Questi sono attacchi su cui l'utente può fare molto poco. Immaginate un malware che si installa al posto di uno dei firmware nella catena di boot: avrebbe accesso a qualsiasi cosa accada (più o meno) nella macchina senza che nessuno possa farci nulla. Per questo Intel ha creato ME (protezione dei segreti) e per questo esiste una serie di contromisure più o meno efficaci, contromisure che a loro volta hanno dei buchi ovviamente.

Dire di disattivare tutto per ridurre la superficie di attacco è come dire di togliere le serrature dalle porte perché offrono una superficie di attacco troppo grande e quindi... meglio togliere direttamente tutta la porta e lasciare casa aperta!

Capite che è un ragionamento che non ha molto senso...

Questo ovviamente no. Ma che lo lascino installare su macchine che hanno la potenza hardware necessaria come gli altri sistemi operativi. Poi i rischi, ovviamente se parliamo di pc in ambiente domestico, li valuterò io. Come ben sai poi, anche con uefi/secureboot ci sono state rogne da poco...mi pare avessimo commentato anche qui...il famoso intruso che si mette per primo nella catena di boot e il gioco è fatto.

Semplificando molto, non troppo diverso dai classici rootkit dei tempi andati...

Questa penso la conoscessimo tutti.
Stai mancando il punto: qui si parla di MS che permette di disabilitare (con le sue chiavi) il secure boot, non del concetto di secure boot, che è usato in ogni dispositivo moderno, dai telefoni ai PC passando per un buon numero di dispositivi embedded. Il secure boot è una cosa necessaria per garantire l'integrità di un dispositivo, per impedire o limitare le possibilità di interferire con il boot del sistema operativo.
Che esistano delle vulnerabilità ti stupisce? A causa di alcune vuln nelle implementazioni di secure boot nelle piattaforme intel/amd si dovrebbe tornare ai tempi dei rootkit? Sembra un buon piano

Ma poi parlare delle cpu commerciali come oggetti progettati per la sicurezza assoluta è sbagliato dal principio: la sicurezza non è conciliabile con le performance richieste, a livello architetturale. Vedasi Spectre/Meltdown e tutti i mille attacchi che ha tirato fuori Gruss, che ormai dovrebbe cambiare argomento di ricerca. Bravo, bello, figata, però ce lo aspettavamo.


Stesso discorso di prima: buttare via il bambino con l'acqua sporca.
Ma gli articoli si leggono prima di linkarli? "Hacker son riusciti a leggere una password che passa sul bus in plaintext"
Link ad immagine (click per visualizzarla)

Non è mai stato quello il threat model del TPM, e lo dicono anche loro: Getting around the TPM in this manner is akin to ignoring Fort Knox and focusing on the not-so-armored car coming out of it.

Con accesso remoto dumpo le chiavi mentre l'OS è in esecuzione? No? Buono, ho rallentato a sufficienza un attaccante ed alzato l'asticella.
Non penso sia difficile da capire che il punto è sempre e soltanto quello di alzare sempre più l'asticella.

Ma poi se ho iniziato a scrivere qui dicendo che ho reversato UEFI e che so essere una shitfest pensi di stupirmi con queste cose? So perfettamente che la sicurezza è un'illusione, ma sicuramente non sarà disabilitando ogni tecnologia di protezione che si risolve il problema.

Dai pure un'occhiata per bene ai CVE nella lista, sono relativi a BIOS, librerie esterne o ancora vulnerabilità hardware. Non sto dicendo che sia assolutamente sicuro (spoiler: non lo è o che sia una panacea, ma concettualmente è perfettamente sensato i segreti altrove rispetto alla memoria controllata da un attaccante.


In quale modo, di grazia, non sarebbe indispensabile mantenere una chain of trust dall'early boot fino all'inizio dell'esecuzione dell'OS? Giusto per capire.

Come fa il kernel a caricare dei dati early boot non fidandosi di essi? Li decripta con delle chiavi ECDSA da inserire a boot? E chi controlla che non sia stato tamperato il software che si occupa del decrypt? E da dove viene caricato?

Torno a dire: di cosa stiamo parlando? Mettere qualche buzzword tipo Zero Trust non risolve il problema di base: ogni pezzo dell'avvio deve potersi fidare del passaggio precedente perché se no sarà sicuramente vulnerabile. È così che funzionano i sistemi operativi o i computer per come li conosciamo, almeno nelle applicazioni prosumer.


Devo ammettere che qui ho riso: mi è tornato in mente l'omino sentenzioso di Nonciclopedia. Questa discussione è un viaggio nel mio personale passato su internet.


Sicurosicuro? E l'alternativa attuale quale sarebbe? Senza parlare di fantascienza però. BIOS era meglio?
UEFI è una pila di merda, ma è il meglio che abbiamo, malgrado i vendor non sappiano scrivere software


Esattamente quale sarebbe il tuo threat model? La NSA che prende i tuoi PC dopo che una squadra SWAT ti è entrata in casa? In quel caso sì, Intel ME potrebbe essere un problema. ME fa molto più di quello che c'è scritto su wikipedia (c'è letteratura scientifica, basta leggerla) quindi è assolutamente impossibile disattivarlo. È parte integrante del boot e verifica parti del firmware con le chiavi fused in-silicon.

Per difendere qualsiasi utente normale o azienda da un hacker anche molto motivato UEFI e secure boot sono un'ottima cosa perché, ripetendomi, spostano in alto l'asticella.

Giusto perché ho voglia di mettere anche io il cappellino di alluminio, chiudo a mia volta con una domanda: come mai nel kernel linux c'è il supporto al TPM se è inutile? Chiedo per capire, perché di solito se c'è una cosa che non piace a Linus è proprio fare merge di feature non indispensabili. Eppure...

ok, meglio aprlar chiaro, così questo l'ho capito
AMD come sta messa?


stai parlando dell'utilissima "feature" che impedisce di disinstallare quintali di merda preinstallata negli smartphone che occupano spazio per nulla, impedendo di installare quello che l'utente vuole?
è la stessa "feature" che costringe a esotiche e rischiose procedure di rooting degli apparecchi suddetti?

allora direi che l'unica cosa che il secure boot impedisce e limita, è la libertà dell'utente di usare ragionevolmente come vuole il prodotto che ha comprato, pagandolo spesso non poco...


è proprio l'esempio per cui la diffusone di "feature" inutili e fastidiose ma pervasive costringe tutti a dover implementare 'ste merdate.

Domanda da ignorante: Coreboot come si pone come alternativa? Viene solitamente pubblicizzato come più sicuro...

Quello del carretto© :
non aveva bisogno dell'elettricista, del carrozziere, non andava in crisi per la carenza di chip, [...]

Hmmm no, non c'entra nulla, quello è l'OS e quelle di cui ti lamenti son le app di sistema. Non c'entra nulla con il secure boot.

Sì, è necessario sbloccare il bootloader per avviare codice non firmato. È esattamente quello di cui sto parlando. Ma ancora una volta, tu come altri, scambiate il concetto con l'implementazione. Allora ti faccio il controesempio di OnePlus in cui per sbloccare il bootloader bastano due comandi da fastboot. Ora contento? Diversi produttori, diverse procedure. Non mi sembra così difficile da capire che aziende diverse possano avere politiche diverse verso pratiche come il root/unlock.

Assolutamente NIENTE obbligherebbe il kernel linux a supportare il TPM se non fosse una cosa utile. Non ho più intenzione di perdere tempo a spiegarlo, basta leggere wikipedia e capire cosa sia il TPM.


È potenzialmente più sicuro perché puoi leggerne il codice.
Qualcuno ha mai fatto un audit di sicurezza di Coreboot? Non che io sappia, dunque al momento si può considerare sicuro quanto i firmware proprietari.
Magari non ci sono certi errori macroscopici (non ne son del tutto sicuro) che si trovano nel codice legacy di molti produttori, però nel momento in cui qualcuno volesse bucare coreboot puoi star sicuro che ci riuscirebbe. Ma questo vale per tutto: se c'è abbastanza interesse un modo si trova.


Ma stai interpretando male in malafede oppure ti viene spontaneo? Perché mi son sempre riferito agli utenti qui dentro, sin dal primo messaggio dove mi lamentavo del tono "da bar" della conversazione. Ti esplicito che il mio concetto era "mi aspetto che tutti qui dentro sappiano di quella vulnerabilità perché era stata ben pubblicizzata dalle testate a suo tempo"


Beh.... Sì. Puoi stare ragionevolmente sicuro, molto più sicuro che senza alcun tipo di criptazione. Poi, ancora una volta ti faccio presente che dipende tutto dal threat model. Sei il CEO di un'azienda importante? No, non stai sicuro. Sei un tizio a caso a cui hanno rubato il PC in biblioteca? Puoi star sicuro che dopo averlo avviato e visto che serviva la password il tuo PC è stato prontamente formattato e venduto su qualche mercatino online.


Ok, ti avevo sopravvalutato, vedo che non sai di cosa stiamo parlando. Non intendo farti una lezione su come funzioni il bringup di una macchina e di cosa comporti a livello hardware e software, non ho tempo.


Serio? Tiri fuori uno dei 3 (letteralmente tre) esempi noti di rootkit UEFI? Incidentalmente, tutti e 3 sono stati creati/usati da entità statali (Russia e Cina). Sai vero che questo malware dei russi me lo son studiato? Usavano pezzi di codice scritto dagli italiani di Hacking Team (il loro driver NTFS lo usano tutti a quanto pare) e sfruttavano l'assoluta imperizia di un'azienda terza che scriveva driver UEFI da usare come antifurto nei PC aziendali. In pratica già il software originale era un rootkit ed i russi hanno riutilizzato quello.
Recentemente invece è saltato fuori un bel pezzo di codice dei cinesi che usava vere vulnerabilità in UEFI, ma si sa di un solo utilizzo in the wild proprio per quanto costano e quando sono specifici questi malware.
Mi stai dando ragione con questi esempi, ma nemmeno te ne rendi conto. Questi sono software complessi, costosi e che gli attaccanti "tengono cari", a cui hanno accesso pochissime entità. I rootkit prima di UEFI erano quasi all'ordine del giorno.


Il passato dei rootkit distribuiti direttamente su internet da qualsiasi attaccante? Quel passato? Ok.
Non riesci a capire che stai analizzando la situazione passata selettivamente ignorando grandissima parte dei problemi che hanno portato alle soluzioni attuali?
BTW hai letto di recente il firmware della tua scheda di rete? Quella che da 20 anni ormai può fare Wake On Lan e quindi è permanentemente attiva ed è collegata al bus PCI? No chiedo perché magari tu hai controllato sempre il firmware di quella, quindi sei sicurissimo che non ci siano implant. O anche il router di casa. Perché non quello dell'operatore? Magari fanno deep packet inspection.
Stai guardando il mondo dal fondo di un tubo e non vedi l'immagine globale, ignorando completamente le problematiche reali e concentrandoti su UEFI per qualche ragione nota solo a te.


Ok boomer, se vuoi dopo ti spiego quel meme di pikachu, ma comunque è veramente difficile contraddirmi, perché è un fatto che mi sia messo a reversare UEFI.


Eppure l'ho detto TANTE volte: UEFI dal punto di vista della sicurezza, allo stato attuale, fa schifo. Ci sono tante implementazioni rotte perché i produttori di hardware non si occupano della sicurezza di queste componenti. L'ho già detto troppe volte per doverlo ripetere ancora.
Il mio problema ora è la tua "soluzione": tornare alla carriola perché qualcuno fa incidenti in auto.

Ah, per quanto riguarda il mio account nuovo, basta scannerizzare il qr code che è il mio avatar per trovare tutti i miei profili che ho da più anni. Non mi nascondo dietro ad un dito, ci sono il mio nome ed il mio cognome online. Però hey, tu sei registrato dal 2005 su hwupgrade.it, questo fa di te un'autorità.


Come detto sopra, con i tuoi stessi link hai dimostrato che questi attacchi tipo-rootkit ora sono rari, fanno notizia e sono usati solo da state-backed attackers. Non penso ci sia altro da dire per chiarire lo scollamento tra la tua impressione della sicurezza e la reale sicurezza. Continua a definire UEFI marcio, non hai troppo torto, ma sostenere che si stesse meglio prima è sbagliato nonché ridicolo.


Questo si commenta da solo


No guarda, anzi, perdere tempo con te ha smesso di essere divertente già dallo scorso messaggio. Penso infatti tornerò a scrivere l'articolo che devo presentare per KES 2022 entro un paio di mesi e a lavorare sul mio attuale progetto. Purtroppo non mi pagano per spiegarti l'architettura del secure boot.


Hmm forse volevi dire intel ME, non il TPM che non ha accesso alla rete, ma come vuoi. In ogni caso, come sopra, controlla la scheda di rete, il router, la stampante, i router dell'operatore...


Prego, stavo appunto confermando, ma ti sei perso forse dove dicevo che questa è una preoccupazione ridicola perché il threat model è sbagliato. Preoccuparsi che arrivi un elicottero da guerra a lanciare un missile sulla casa e poi tenere il fornello a gas del 1950 con i tubi tagliati.


Ah ma quindi siamo tornati a windows 11? Buono a sapersi che è ancora quello il problema, esattamente come pensavo. Non hai capito il punto del mio discorso, si vede, o lo stai deliberatamente ignorando.

finchè dura...







quindi c'entra eccome il boot blindato... CVD
e rompe le balle all'utente.

Non sto nemmeno a quotare perché è inutile: non è il chip TPM che è connesso alla rete, quello di cui parli è un protocollo a livello superiore (infatti proprio nella tua slide è alla voce “applications&#8221 che è implementato nell’OS il quale, guarda caso, è connesso ad internet. Il chip del TPM non tocca la rete perché è connesso al bus SPI. Se riesci a far parlare il bus SPI con la scheda ethernet/wifi che stanno sul PCI sei DAVVERO forte.
Ma tu non sei forte, perché ancora una volta dimostri di non aver capito niente.

Proof: un qualsiasi datasheet di un TPM https://www.st.com/en/secure-mcus/s...l#documentation

La backdoor hardware è quindi adesso diventata software?
Nonno Simpson, riesci a stare 5 minuti senza umiliarti?

Also: io ho un qr, un nome ed un cognome, mentre tu sei nessuno.
Link ad immagine (click per visualizzarla)

PS se non hai risposto al resto è solo perché non sai come rispondere, mentre io mi son davvero stancato di chi ha poche idee ben confuse. Enjoy your ignorance.