Diit.cz - Novinky a informace o hardware, software a internetu

Diskuse k Uniklé certifikáty Nvidie jsou využívány k podpisu malwaru

To by se na Macbooku Pro M1 nestalo!

+1
+7
-1
Je komentář přínosný?

Irony level over 9000! ;)

+1
+2
-1
Je komentář přínosný?

Tam je to zbytečné, ten už má malware vestavěný. ;)

+1
+3
-1
Je komentář přínosný?

it´s not a bug, it´s a feature

+1
0
-1
Je komentář přínosný?

Toto je neskutocne bezbecnostne zlyhanie nV, ze sa im cert a cert keys povaluju niekde na serveroch (a je jedno, ze cert subory uz vyprsali).
Takyto druh "credentials" ma byt v pripade nejakeho startupu ulozeny v zasifrovanej forme na USBcku, ktore je potom zamknute na nejakom bezpecnom mieste (riaditelsky stol, trezor). Generovanie certov ma potom prebiehat na cistom notebooku, ktory je tzv. airgapped.

V pripade multimiliardovej spolocnosti akou je nV, sa toto povysuje do formy HSM, ktore je zasite niekde v zabezpecenej budove s pristupovymi kodmi riadne vymahanymi bezpecnostnymi protokolmi. Kuknite na Mr. Robot S03E05 (okolo 32min), ako take podpisovanie certu na HSM vypada.

+1
-3
-1
Je komentář přínosný?

Ale prečo MS uznáva vypršané certifikáty ako platné? či by mu vynadali výrobcovia HW, keby sa ukázalo Ovládač vyzerá ako pôvodný, ale výrobca HW v ňom už dlho neopravuje chyby ani sa o HW inak nestará ?

+1
+6
-1
Je komentář přínosný?

MS má pro ovladač NV asi stopadesát (hyperbola) shimů a výjimek, aby taková zhůvěřilost vůbec najela a fungovala. Nedivil bych se, kdyby tohle byla jedna z nich.

+1
+2
-1
Je komentář přínosný?

Tak vo VESA režime to nabehne aj bez ovládača od nVidia

+1
0
-1
Je komentář přínosný?

No pokud by je neuznával, tak by v okamžiku vypršení certifikátu přestaly dané ovladače fungovat a systém by už třeba ani nenaběhnul.

+1
+6
-1
Je komentář přínosný?

>systém by už třeba ani nenaběhnul.

to nehrozí boot kritické ovládače/mikrokódy sa aktulaizujú najmenj 1x za mesiac u AMD a najemenj 1x za kvartál u Intel-u,.

+1
-3
-1
Je komentář přínosný?

To ne. Podpis je odvolaná od nějakého data a času. Podpisy tímto certifikátem do časového razítka odvolání jsou stále platné. Od čeho jinak ty e-podpisy jsou a jak mají jinak mají fungovat... Tohle je vyložená chyba v implementaci na straně MS.

+1
-3
-1
Je komentář přínosný?

Protoze u podepsanyho ovladace/binarky se vyprseni certifikatu neresi. Tam je dulezite, ze to je nekym digitalne podepsane validnim certifikatem. Nikdo nechce znefunkcnit ovladace/software jen proto, ze nemaji (a mozna ani nepotrebuji) aktualizaci.

+1
+6
-1
Je komentář přínosný?

> (a mozna ani nepotrebuji) aktualizaci.

Nebláznite. SW, ktorý nepotrebuje aktualizáciu sa vyrobiť nedá..

+1
-6
-1
Je komentář přínosný?

Jo, dneska uz asi ne. A pristi generace uz neuveri, ze Atari ST melo OS v ROM - TOS 1.0 - a nikdy nepotreboval service pack :-)

Samozrejme je to nefer, protoze slozitost dnesniho OS se s tim pred padesati lety neda srovnat.

+1
+3
-1
Je komentář přínosný?

Ja bych očekával, že u firmy se zisky v mld US$ kliče vzniknou, existují a zaniknou v rámci HSM.

+1
+2
-1
Je komentář přínosný?

No jo no, kde je ČERT, tam je to vždy špatné, a pokud má ČERT klíče, tak je to úplná tragédie :)

+1
0
-1
Je komentář přínosný?

Jenže pokud nvidia ty certifikáty používala k podepisování svých ovladačů a MS je teď invaliduje, tak tím asi přestanou fungovat starší ovladače tímhle certifikátem podepsané, ne? Což by byl dost problém pro lidi se starším hardwarem od nv, pro který už nevychází nové verze ovladačů. A ještě to MS schytá, že "zase něco rozbil aktualizací", i když je v tom nevinně.

+1
+2
-1
Je komentář přínosný?

Nepřestanou platit ty dříve podepsané. Neplatné budou jenom ty podepsané po úniku klíčů. Součástí podpisu je i časová značka, kdy se to podepsalo. Tohle je prostě chyba na straně MS!

+1
+1
-1
Je komentář přínosný?

Já v tomhle nejsem úplně kovanej, takže možná se zeptám na úplnou kravinu, ale jak se zabrání tomu, aby si ten kdo podepisuje ("hacker") posunul při podepisování čas do minulosti?

+1
+5
-1
Je komentář přínosný?

No, tak právě takhle to nefunguje :) Podepisuje se proti časovému razítku, které dodá důvěryhodná autorita. Podepisujeme si kód, takže vím, že to nejde očůrat zas tak jednoduše. Stojí a padá na tom veškeré elektronické podepisování. Ať už pro účely kódu, nebo pro právní účely (smlouvy). Tohle je právě docela dobře vymyšlené. Proto mi uniká, jak je možné, že si nainstaluju SW s neplatným podpisem - to je prostě fail na straně implementace ověřování podpisu - podle mého názoru

+1
+4
-1
Je komentář přínosný?

Zalezi na pouzitych nastrojich a pouzitych parametrech. Podepsat binarku Microsoftim SignTool lze bez timestamp.

+1
0
-1
Je komentář přínosný?

Tak snad v MS nejsou tak hloupí, aby takový podpis akceptovali.

+1
0
-1
Je komentář přínosný?

Windows to sami o sobe u exe/dll vubec neresi. Ty neresi ani spatny kontrolni soucet u binarek. Tim digitalnim podpisem se obchazi windows defender (a mozna i jiny antiviry). Na zive dneska vysel clanek kde je i screenshot malware podepsaneho ukradenym certifikatem od nvidie a je tam videt ze timestamp "not available". Defenderu je to naprosto jedno a takovou binarku pusti jako nezavadnou.

+1
0
-1
Je komentář přínosný?

smutné

+1
0
-1
Je komentář přínosný?

Dávám plus 100 bodů za ilustrační obrázek. :-D

+1
0
-1
Je komentář přínosný?

Budu nejspíš poněkud střílet do redaktora, když napíšu, že je hezké, že varuje před podepsaným malwarem, ale hezčí by bylo, kdyby byl napsal i o tom úniku, ze kterého to jaksi vzešlo. Nečíst pravidelně TPU, tak nevím která bije.

+1
0
-1
Je komentář přínosný?

Pro psaní komentářů se, prosím, přihlaste nebo registrujte.