Ключи UEFI для AMI-BIOS утекли в сеть

Это должно было случиться рано или поздно. Тайваньский производитель JetWay случайно выложил на FTP-сайте исходный код AMI-BIOS, ключи подписи UEFI и много другой информации, которая явно не предназначалась для широкой публики.

Утечка ключей шифрования

Почти целые сутки доступ ко всем этим файлам был возможен с логином и паролем ftp:ftp. Об утечке информации сообщил специалист по ИТ-безопасности Брэндон Уилсон в блоге своего друга.

Ключи подписи UEFI можно использовать для установки любого дистрибутива Linux

Чужие ключи подписи UEFI можно использовать для подписи любого загрузчика, в том числе произвольного Linux-дистрибутива. Этот случай наглядно показывает, что внедрение цифровой подписи на самом деле имеет мало смысла с точки зрения информационной безопасности, если ключи настолько просто можно достать. Разработчики могут купить их за 99 долларов, а мошенники — перекупить или украсть. Главное, что пользователь теперь и сам может подписать любую ОС, какую хочет установить на свой компьютер.

Отзыв ключа

Правда, когда об утечке становится всем известно, производитель может обновить UEFI-прошивку, так что старый ключ перестанет действовать.

Открытый доступ

Сейчас пароли к FTP-серверу поменяли, но поздно: информация уже ушла в открытый доступ: magnet:?xt=urn:btih:bd8b50ebfc73b4f0ea53bda4f7f6a1861b1eb19c&dn=leaked%5Fbios

Компания AMI сейчас готовит пресс-релиз с объяснением произошедшего.