Произошла утечка одного из UEFI-ключей компании AMI? Cпециалист по информационной безопасности Adam Caudill опубликовал интересную запись в свой блог. Согласно этой записи, его партнер Brandon Wilson наткнулся на тайваньский FTP-сервер одного из вендоров (по некоторым источникам вендором является компания Jetway). На данном FTP-сервере, среди различных файлов, были обнаружены в открытом доступе: внутренняя почтовая переписка, системные образы, фотографии, персональная информация, изображения печатных плат в высоком разрешении, приватные спецификации и прочее. Однако самое интересное было впереди. В директории «code» лежали исходные коды различных версий прошивок American Megatrends (AMI) и это еще не все. Так же был обнаружен приватный UEFI-ключ в архиве с названием «Ivy Bridge». Если этот ключ действительно использовался в продуктах вендора, то не исключена возможность использования данного ключа и исходников для создания UEFI-обновления с вредоносным кодом. Данное обновление может быть использовано против продукции вендора использующих эту «Ivy Bridge» прошивку. Если ключ использовался во многих продуктах, то дела вендора значительно хуже. После публикации блога, с автором связалась компании AMI, которая подтвердила что вендор действительно является клиентом AMI. Ключ, который был обнаружен в архиве «Ivy Bridge», является тестовым default-ключем. AMI рекомендует не использовать default-ключ для реальных продуктов, но в текущее время неизвестно следовал ли вендор данной рекомендации. Несмотря на то, что пока не понятно насколько полезен утекший UEFI-ключ. Данная утечка все равно представляет интерес, так как судя по датам в исходном коде, он был изменен относительно недавно — в феврале 2012 года. 6 апреля 2013 http://habrahabr.ru/post/175699/
Исходный код AMI-BIOS и ключи подписи UEFI попали в открытый доступ Это должно было случиться рано или поздно. Тайваньский производитель JetWay случайно выложил на FTP-сайте ftp://ftp.jetway.com.tw/CODE/ исходный код AMI-BIOS, ключи подписи UEFI и много другой информации, которая явно не предназначалась для широкой публики. Почти целые сутки доступ ко всем этим файлам был возможен с логином и паролем ftp:ftp. Об утечке информации сообщил специалист по ИТ-безопасности Брэндон Уилсон в блоге своего друга. Чужие ключи подписи UEFI можно использовать для подписи любого загрузчика, в том числе произвольного Linux-дистрибутива. Этот случай наглядно показывает, что внедрение цифровой подписи на самом деле имеет мало смысла с точки зрения информационной безопасности, если ключи настолько просто можно достать. Разработчики могут купить их за 99 долларов, а мошенники — перекупить или украсть. Главное, что пользователь теперь и сам может подписать любую ОС, какую хочет установить на свой компьютер. Правда, когда об утечке становится всем известно, производитель может обновить UEFI-прошивку, так что старый ключ перестанет действовать. Сейчас пароли к FTP-серверу поменяли, но поздно: информация уже ушла в открытый доступ: magnet-ссылка указана ниже, зеркало здесь. Code: magnet:?xt=urn:btih:bd8b50ebfc73b4f0ea53bda4f7f6a1861b1eb19c&dn=leaked%5Fbios Компания AMI сейчас готовит пресс-релиз с объяснением произошедшего. 06.04.2013 http://www.xakep.ru/post/60404/