Это должно было случиться рано или поздно. Тайваньский производитель JetWay случайно выложил на FTP-сайте ftp://ftp.jetway.com.tw/CODE/ исходный код AMI-BIOS, ключи подписи UEFI и много другой информации, которая явно не предназначалась для широкой публики. Почти целые сутки доступ ко всем этим файлам был возможен с логином и паролем ftp:ftp. Об утечке информации сообщил специалист по ИТ-безопасности Брэндон Уилсон в блоге своего друга.

Чужие ключи подписи UEFI можно использовать для подписи любого загрузчика, в том числе произвольного Linux-дистрибутива. Этот случай наглядно показывает, что внедрение цифровой подписи на самом деле имеет мало смысла с точки зрения информационной безопасности, если ключи настолько просто можно достать. Разработчики могут купить их за 99 долларов, а мошенники — перекупить или украсть. Главное, что пользователь теперь и сам может подписать любую ОС, какую хочет установить на свой компьютер.

Правда, когда об утечке становится всем известно, производитель может обновить UEFI-прошивку, так что старый ключ перестанет действовать.

Сейчас пароли к FTP-серверу поменяли, но поздно: информация уже ушла в открытый доступ: magnet-ссылка указана ниже, зеркало здесь.

magnet:?xt=urn:btih:bd8b50ebfc73b4f0ea53bda4f7f6a1861b1eb19c&dn=leaked%5Fbios

Компания AMI сейчас готовит пресс-релиз с объяснением произошедшего.

Оставить мнение