Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
To by se na Macbooku Pro M1 nestalo!
Irony level over 9000! ;)
Tam je to zbytečné, ten už má malware vestavěný. ;)
it´s not a bug, it´s a feature
Toto je neskutocne bezbecnostne zlyhanie nV, ze sa im cert a cert keys povaluju niekde na serveroch (a je jedno, ze cert subory uz vyprsali).
Takyto druh "credentials" ma byt v pripade nejakeho startupu ulozeny v zasifrovanej forme na USBcku, ktore je potom zamknute na nejakom bezpecnom mieste (riaditelsky stol, trezor). Generovanie certov ma potom prebiehat na cistom notebooku, ktory je tzv. airgapped.
V pripade multimiliardovej spolocnosti akou je nV, sa toto povysuje do formy HSM, ktore je zasite niekde v zabezpecenej budove s pristupovymi kodmi riadne vymahanymi bezpecnostnymi protokolmi. Kuknite na Mr. Robot S03E05 (okolo 32min), ako take podpisovanie certu na HSM vypada.
Ale prečo MS uznáva vypršané certifikáty ako platné? či by mu vynadali výrobcovia HW, keby sa ukázalo Ovládač vyzerá ako pôvodný, ale výrobca HW v ňom už dlho neopravuje chyby ani sa o HW inak nestará ?
MS má pro ovladač NV asi stopadesát (hyperbola) shimů a výjimek, aby taková zhůvěřilost vůbec najela a fungovala. Nedivil bych se, kdyby tohle byla jedna z nich.
Tak vo VESA režime to nabehne aj bez ovládača od nVidia
No pokud by je neuznával, tak by v okamžiku vypršení certifikátu přestaly dané ovladače fungovat a systém by už třeba ani nenaběhnul.
>systém by už třeba ani nenaběhnul.
to nehrozí boot kritické ovládače/mikrokódy sa aktulaizujú najmenj 1x za mesiac u AMD a najemenj 1x za kvartál u Intel-u,.
To ne. Podpis je odvolaná od nějakého data a času. Podpisy tímto certifikátem do časového razítka odvolání jsou stále platné. Od čeho jinak ty e-podpisy jsou a jak mají jinak mají fungovat... Tohle je vyložená chyba v implementaci na straně MS.
Protoze u podepsanyho ovladace/binarky se vyprseni certifikatu neresi. Tam je dulezite, ze to je nekym digitalne podepsane validnim certifikatem. Nikdo nechce znefunkcnit ovladace/software jen proto, ze nemaji (a mozna ani nepotrebuji) aktualizaci.
> (a mozna ani nepotrebuji) aktualizaci.
Nebláznite. SW, ktorý nepotrebuje aktualizáciu sa vyrobiť nedá..
Jo, dneska uz asi ne. A pristi generace uz neuveri, ze Atari ST melo OS v ROM - TOS 1.0 - a nikdy nepotreboval service pack :-)
Samozrejme je to nefer, protoze slozitost dnesniho OS se s tim pred padesati lety neda srovnat.
Ja bych očekával, že u firmy se zisky v mld US$ kliče vzniknou, existují a zaniknou v rámci HSM.
No jo no, kde je ČERT, tam je to vždy špatné, a pokud má ČERT klíče, tak je to úplná tragédie :)
Jenže pokud nvidia ty certifikáty používala k podepisování svých ovladačů a MS je teď invaliduje, tak tím asi přestanou fungovat starší ovladače tímhle certifikátem podepsané, ne? Což by byl dost problém pro lidi se starším hardwarem od nv, pro který už nevychází nové verze ovladačů. A ještě to MS schytá, že "zase něco rozbil aktualizací", i když je v tom nevinně.
Nepřestanou platit ty dříve podepsané. Neplatné budou jenom ty podepsané po úniku klíčů. Součástí podpisu je i časová značka, kdy se to podepsalo. Tohle je prostě chyba na straně MS!
Já v tomhle nejsem úplně kovanej, takže možná se zeptám na úplnou kravinu, ale jak se zabrání tomu, aby si ten kdo podepisuje ("hacker") posunul při podepisování čas do minulosti?
No, tak právě takhle to nefunguje :) Podepisuje se proti časovému razítku, které dodá důvěryhodná autorita. Podepisujeme si kód, takže vím, že to nejde očůrat zas tak jednoduše. Stojí a padá na tom veškeré elektronické podepisování. Ať už pro účely kódu, nebo pro právní účely (smlouvy). Tohle je právě docela dobře vymyšlené. Proto mi uniká, jak je možné, že si nainstaluju SW s neplatným podpisem - to je prostě fail na straně implementace ověřování podpisu - podle mého názoru
Zalezi na pouzitych nastrojich a pouzitych parametrech. Podepsat binarku Microsoftim SignTool lze bez timestamp.
Tak snad v MS nejsou tak hloupí, aby takový podpis akceptovali.
Windows to sami o sobe u exe/dll vubec neresi. Ty neresi ani spatny kontrolni soucet u binarek. Tim digitalnim podpisem se obchazi windows defender (a mozna i jiny antiviry). Na zive dneska vysel clanek kde je i screenshot malware podepsaneho ukradenym certifikatem od nvidie a je tam videt ze timestamp "not available". Defenderu je to naprosto jedno a takovou binarku pusti jako nezavadnou.
smutné
Dávám plus 100 bodů za ilustrační obrázek. :-D
Budu nejspíš poněkud střílet do redaktora, když napíšu, že je hezké, že varuje před podepsaným malwarem, ale hezčí by bylo, kdyby byl napsal i o tom úniku, ze kterého to jaksi vzešlo. Nečíst pravidelně TPU, tak nevím která bije.
Pro psaní komentářů se, prosím, přihlaste nebo registrujte.