Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 163 reacties
Submitter: Allubz

Kwetsbaarheden in het bios zorgen ervoor dat vrijwel alle pc's momenteel vatbaar zijn voor malware. Beveiligingsonderzoekers hebben op een beveiligingsconferentie een proof-of-concept getoond van dergelijke malware, die 80 procent van de pc's zou kunnen infecteren.

Omdat de malware actief is op het niveau van het bios, maakt het gebruikte besturingssysteem niet uit. De onderzoekers tonen in hun presentatie proof-of-concepts met zowel Windows 10 als Tails, het beveiligde op Linux gebaseerde besturingssysteem dat zijn sporen wist op het moment dat het zichzelf afsluit. Met hun methode konden de onderzoekers een pgp-sleutel vanuit Tails onderscheppen.

Het proof-of-concept werkt, omdat het volgens de onderzoekers gebruikmaakt van een beveiligingsfout in een modus voor Intels x86- en 'Intel 64'-architectuur. Bij die architectuur heeft System Management Mode, of SMM, altijd read/write-toegang tot al het geheugen, ook als Tails dat gebruikt. Malware kan dat heimelijk misbruiken om het geheugen van een getroffen machine uit te lezen. Het proof-of-concept heet LightEater en maakt onder meer gebruik van Intel Serial Over LAN om het bios te infecteren.

Bij System Management Mode wordt speciale software zoals firmware en debuggers met verhoogde beheerdersrechten uitgevoerd voor onder andere toepassingen als energiebeheer, beheer van systeemonderdelen, enzovoorts. Uit de Snowden-onthullingen bleek al dat de NSA SMM misbruikte op een vergelijkbare manier als de onderzoekers nu aantonen.

De besmetting kan bijvoorbeeld via kwaadaardige bijlagen in e-mail verlopen als op het systeem een uefi-programma aanwezig is om het bios bij te werken. Is dit niet het geval dan is fysieke toegang tot een systeem vereist, om bijvoorbeeld met een usb-stick tot besmetting over te gaan. Dit zou in twee minuten kunnen, tonen de onderzoekers aan.

De onderzoekers hebben contact opgenomen met alle fabrikanten, maar vanwege de hoeveelheid kwetsbaarheden in het bios van die fabrikanten hebben die niet allemaal geantwoord. Dell heeft beloofd om de kwetsbaarheden te patchen en ook Lenovo wil de kwetsbaarheden verhelpen. Andere fabrikanten van systemen waarvan het bios kwetsbaar zou zijn, zijn Asus, HP en LG.

LightEater bios malware flowchart

Moderatie-faq Wijzig weergave

Reacties (163)

Prachtig onderzoek. Leuke presentatie. Maar ik erger me helemaal stuk aan het gebruik van de term BIOS waar alleen UEFI hoort te staan. Sterker nog, het gaat uitsluitend om UEFI en helemaal niet om BIOS. Erg verwarrend om deze twee termen door elkaar te gebruiken dus nog een keer:

UEFI vervangt BIOS.
Er bestaat niet zoiets als UEFI BIOS.
Je kunt UEFI niet uitschakelen.

Terug naar de presentatie. Nu deze kennis openbaar gemaakt is, kun je ervan op aan dat deze week de nodige malware die gebruik maken van deze technologie om computers te besmetten, zullen gaan rondwaren. Omdat het lek niet met een OS patch te fixen is, moeten alle UEFI's gepatched worden en daar ligt een groot probleem. Er is niet 1 uitgever van UEFI. Elke fabrikant heeft zijn eigen implementaties gemaakt en is zelf een UEFI uitgever. Elke fabrikant is moreel verplicht voor alle modellen die ze voorzien hebben van UEFI een nieuwe firmware uit te brengen, zelfs als het om een jaren oud model gaat die al heel lang niet meer in productie is maar in het wild nog wel gebruikt wordt.

Dan bestaat het volgende probleem ook nog. Zelfs als de fabrikanten voor alle modellen die ooit van UEFI zijn voorzien, gepatchte updates beschikbaar stellen, moet de gebruiker zelf actief deze update opzoeken en installeren. Er bestaat geen automatische update die op elk gebruikt OS werkt voor alle UEFI systemen.

Je kunt hierdoor stellen dat alle computers met UEFI van voor 2015 of zelfs 2016 potentieel onveilig zijn en technisch dus niet te vertrouwen is zelfs als het systeem met Secure Boot aan het OS start. De malware is namelijk al geladen voor Secure Boot het OS start. Het is wachten op malware die alle ongepatchedte pc's aanvalt. Antimalware- en antivirussoftware zijn op dit moment de laatste lijn van bescherming en lopen altijd achter.

Computeren met geheime en/of gevoelige informatie begint nu een beetje op Russisch Roulette te lijken.
En dit toont meteen ook aan dat de grootste fout van UEFI/SecureBoot is om bedrijven zoals AMI, Phoenix en co de basis van je security te laten leveren en om H/W bedrijven (Asus, MSI, Lenovo, Dell, ...) hier aan de slag mee te laten gaan.

Helaas is het logisch dat de chain of trust van hardware naar bootloader naar kernel naar software gaat, maar de verantwoordelijken (lees: firmware developers) in deze bedrijven (en voornamelijk de hardware leveranciers) hebben geen kaas gegeten van security.

Iedereen kon dit 5 jaar geleden al voorspeld hebben.
Oplossing: gooi alles open en laat mensen/bedrijven zelf er een UEFI op zetten?
Krijg je gelijk meerdere implementaties. Coreboot(TianoCore) is er ťťn van.

Waarom is er besloten dat de BIOS meer moet doen dan het minimale dat nodig is om een PC op te starten?
Het hoogste level van controle over de computer, en dus de gebruiker...
Die macht is miljarden waard: je kan bepalen wat de gebruiker kan en mag en daarmee je eigen markt maken. Dat de computer an sich alles gewoon al kon is niet van belang. De open PC was een vergissinkje. Daarmee kan iedereen alles wat de hardware echt kan, oftewel "daar zitten we niet op te wachten"

[Reactie gewijzigd door blorf op 23 maart 2015 17:00]

Waarom is er besloten dat de BIOS meer moet doen dan het minimale dat nodig is om een PC op te starten?
Dat stamt nog uit het IBM PC-tijdperk en is altijd zo gebleven om redenen van backwards compatibility.
Iedereen kon dit 5 jaar geleden al voorspeld hebben.
Het was ook allemaal al 'voorspeld' door deskundigen, direct in den beginne.
Eigenlijk is 'voorspeld' niet het goede woord; dat UEFI een gevaar is, is al vanaf den beginne gewoon duidelijk.
@Xellence Daar ben ik het niet meer eens ... Je kan UEFI zien als een Addon voor BIOS.

BIOS = Basis Input Output System.
UEFI = Unified Extensible Firmware Interface.

De BIOS start nog altijd op en daaraan gekoppeld UEFI.
Want met alleen een UEFI ga jij niet jou pc aan het starten krijgen. ;)

Mijn Asus Maximus VII Ranger heeft ook nog altijd een bios die start met American megatrends.

UEFI is meant to replace the Basic Input/Output System (BIOS) firmware interface.
Met andere woorden de interface is gebruikersvriendelijker gemaakt. Maar een BIOS die blijft gewoon hoor.

[Reactie gewijzigd door straat18 op 23 maart 2015 12:29]

Wordt een beetje offtopic maar goed. In de kern zijn BIOS en UEFI 2 totaal verschillende typen firmware. Veel UEFI implementaties hebben een CSM aan boord waarmee BIOS functies geŽmuleerd worden om legacy besturingssystemen te kunnen starten. Omgekeerd kan BIOS geen UEFI nabootsen omdat BIOS in 16 bit realmode draait en UEFI in 64 bit protected mode. Er zijn ook 32 bit protected mode implementaties maar daar moet je van wegblijven door gebrek aan ondersteuning.

Dat fabrikanten hun UEFI stevast BIOS blijven noemen jaagt de verwarring alleen maar aan. Wil je echt een beter beeld hebben wat UEFI is en waarom het geen add-on voor BIOS kan zijn, heb ik hier enkele bronnen.

http://www.uefi.org/faq
http://en.wikipedia.org/w...nsible_Firmware_Interface
https://www.happyassassin...-that-actually-work-then/
Dan kun je inderdaad wel zeggen dat er verwarring is..

Want als ik naar American megatrends. https://www.ami.com/products/bios-uefi-firmware/ website ga dan staat alles vermeld onder BIOS ⁄ UEFI Firmware, waarom doet iedereen zo verwarrend dat snap ik dan niet.

The Next Generation of UEFI BIOS.
Ik zeg ook lekker UEFI BIOS
De eerste link (uefi.org) zegt:
Do UEFI specifications completely replace the BIOS?
The UEFI specifications define an interface and the BIOS refers to a specific implementation of the firmware that initializes the platform and loads an OS setup.
Duidelijk?
Ja tot je de volgende regel leest:
UEFI specifications define an interface in which the implementation of UEFI performs the equivalent of the BIOS, by initiating the platform and loading the operating system.
Het equivalent of the BIOS gedeelte van UEFI (het boot gedeelte dus) wordt waarschijnlijk gewoon BIOS genoemd door alle UEFI fabrikanten.

[Reactie gewijzigd door Jaco69 op 23 maart 2015 19:26]

Hier vind je alles wat je over het UEFI wilt weten, op UEFI.org(ontwikkelaars)

De 10 grootste misvattingen vindt je direct hier.
@Teijgetje Bedankt.. ik ga het eens doorlezen :D
Nee dus, zoals je zelf al zegt: " UEFI firmware images provide legacy support for BIOS services " zit er een emulatie BIOS bovenop UEFI en niet andersom. Je kan wel degelijk een computer startende krijgen met "slechts" UEFI.
Nee dus, zoals je zelf al zegt: " UEFI firmware images provide legacy support for BIOS services " zit er een emulatie BIOS bovenop UEFI en niet andersom. Je kan wel degelijk een computer startende krijgen met "slechts" UEFI.
Goed voorbeeld: Een Mac. Die heeft standaard geen BIOS emulatie-layer, tenzij je Boot Camp (of een andere UEFI shell) installeert.
Geen idee waar je dit vandaan haalt, maar het is onzin. Een UEFI kan een BIOS 'nadoen' (compatibility mode), maar dat er altijd ook nog een BIOS aanwezig zou (moeten) zijn op een UEFI-systeem is gewoon niet waar.
Waarom zit er in mijn (2014)Moederbord nog gewoon een BIOS / UEFI ?
Asus praat in de handleiding over BIOS updates en niet UEFI updates ?

Maar als jij zegt dat die een BIOS kan nadoen.. geloof ik je wel (compatibility mode) maar dan moet er wel bios zijn voor de functie compatibility mode te kunnen gebruiken toch ?

[Reactie gewijzigd door straat18 op 23 maart 2015 12:45]

Waarom zit er in mijn (2014)Moederbord nog gewoon een BIOS / UEFI ?
Om legacy redenen. De kern van het verhaal is dat een BIOS niet nodig is om je PC te booten, zoals jij beweerde in je vorige post. Maar dat sluit niet uit dat hij helemaal niet aanwezig is.

[Reactie gewijzigd door .oisyn op 23 maart 2015 12:50]

Dus hij is toch nog aanwezig voor een bepaalde functie ?
Niemand heeft hier beweerd dat het geen functie heeft. Die functie is, zoals ik al zei, legacy. Compatibiliteit met oudere OS'en die afhankelijk zijn van het BIOS om toegang te krijgen tot devices om te kunnen booten. En dat de CPU Łberhaupt al in een bepaalde addressing mode staat (16-bits real mode). Windows XP kan bijvoorbeeld alleen booten vanuit een BIOS omgeving, dus out of the box kun jij Windows XP niet draaien op een UEFI systeem zonder BIOS emulatie (wat niet betekent dat het onmogelijk is - je kunt een UEFI bootloader gebruiken die BIOS emulatie implementeert)

Maar de BIOS is niet waar de kwetsbaarheid ligt waar het in het artikel over gaat. Of er nou een BIOS laag aanwezig is of niet, om kwetsbaar te zijn moet je over UEFI beschikken.

[Reactie gewijzigd door .oisyn op 23 maart 2015 13:07]

Nee, er is een UEFI aanwezig die voor bepaalde omstandigheden het BIOS emuleert. Oftewel BIOS command omzet naar UEFI zodat het OS met UEFI kan praten zonder het OS te verbouwen.
Tja, op een moederbord waarop geen ondersteuning meer is, hoeft men echt geen update voor uit te brengen (dat jij dat wilt is een ander verhaal).. Malware via de bios os overigens helemaal niets nieuws..
Tja, op een moederbord waarop geen ondersteuning meer is, hoeft men echt geen update voor uit te brengen (dat jij dat wilt is een ander verhaal)..
Nee joh... Waarom zouden we in vredesnaam verwachten dat fabrikanten hun firmware gaan patchen? Firmware waar je niet omheen kan, en die je (als je een beetje zuinig met je spullen bent) 6 jaar of langer mee kan doen? En dan verwacht je geen ondersteuning meer na de verplichte 1 jaar garantie? |:(
En na die 6 jaar koop je weer een UEFI-systeem, en dan zit je weer met 't zelfde probleem? Absurde voorliefde voor vrije markteconomie waarbij fabrikanten alles maar kunnen flikken, heb jij.
tja,das geen voorliefde, dat is realiteit.. Kijk ook maar naar smartphone/tablet fabrikanten, die ondersteunen vaak nog niet eens een 3 jaar oud model meer (of nog erger, ze pleuren em op de markt met een bepaald OS en updaten daarna helemaal niet meer)..
Tuurlijk zou ik ook het liefst zien dat fabrikanten 10 jaar oude hardware (die nog steeds goed is) door blijven ondersteunen..
Volgens het oeroude principe, hoe complexer iets is hoe meer fouter er zijn die misbruikt kunnen worden. Wat is nu eigenlijk het grote voordeel van UEFI? Dat je PC sneller opstart? Als straks secure boot niet meer uit te zetten valt dan is dan ronduit kut voor een boel computer reparateurs zoals mijns persoontje die graag nog willen blijven booten van thumbdrives met onze collectie bootable ISO's op. Maar goed, ongeveer 10% van mijn klanten werken nu met besturingssystemen zoals Linux Mint, laten we hopen dat Microsoft wat monopolie verliest zodat de PC zo open mogelijk blijft. Het is altijd hetzelfde, iedereen geeft maar vrijheid op voor een beetje schijnveiligheid. Terwijl ook met secure boot al die voor geÔnstalleerde computers binnen de kortste keren trage krengen vol met troep worden. Maar ja, de ťťn de computer zijn dood is mijn brood. In dat opzicht ben ik Microsoft af en toe wel dankbaar.

[Reactie gewijzigd door Kain_niaK op 23 maart 2015 17:00]

Dit weekend hierover gelezen op Wired [1]. Je hoort steeds meer over fysieke aanvallen en aanvallen via firmware in HDD, netwerkkaart, grafische kaart [2] en uiteraard de BIOS.

In een poging om het aantal binary blobs zo klein mogelijk te houden heb ik gisteren de hele dag gezocht naar een (ITX) moederbord wat door coreboot [3] ondersteund wordt zodat ik het brakke BIOS of het nog brakkere UEFI waar dit artikel over gaat kan vervangen voor een lean en mean open source BIOS. Helaas zijn er maar weinig ITX borden die ondersteund worden. Het meest recente wat ik kon vinden was de ASRock E350M1 uit 2011, maar zelfs die lijkt nog wat glitches te hebben [4][5]. Er lijkt momenteel niets voorhanden voor kleine low power servertjes zonder binary blobs zonder gelijk het ultra low power segment van DIY embedded bordjes in te stappen (en ook daar is vooral veel met blobs voorhanden).

[1] http://www.wired.com/2015...secure-operating-systems/
[2] https://news.ycombinator.com/item?id=9245980
[3] http://coreboot.org/
[4] pricewatch: ASRock E350M1
[5] http://www.coreboot.org/Board:asrock/e350m1
80%, vind ik niet echt "vrijwel alle". Er word explicitiet over BIOS gepraat (Basic Input Output System) terwijl praktisch alle nieuwe moederborden gebruik maken van UEFI(Unified Extensible Firmware Interface).

Word hier dus nog echt het ouderwetse bios gebruikt? Of is het gewoon een algemeen ingeburgerde term voor dat stukje software op het moederbord? Want ik vermoed dat het gewoon om UEFI gaat. Deze zijn praktisch altijd vanuit het OS te writen (je kunt een "bios update" vanuit het os doen). Terwijl de oude "echte" bios altijd via een floppy of cd/usb stickje moest via onboard flash software, of via een opstartschijf met dos software.
Lees de PDF en je ziet dat het ook UEFI biossen treft
nee niet OOK, het betreft hier ALLEEN UEFI!!!
Eh.. 4 op de 5 pc's vind je niet 'vrijwel alle'? :/
Ja en 2 van de 3 is ook vrijwel alle. Maar is 66.66%.. Maar als je er 800.000 van de 1.000.000 van maakt is het ineens niet vrijwel alle.
als 80% van de zuurstof weg is, dan weet ik wel zeker dat aadje het 'vrijwel alle' zuurstof vind.
Ja maar als 80% van het zuurstof weg valt is ook niet vrij wel al het leven op aarde dood. Vrijwel alle vind ik minimaal 90+%
en toch zal een mens stikken als de lucht minder dan 4% zuurstof is. (normaal is het 20%)

Edit: we raken off topic, met al deze meningen over wat iedereen nou "vrijwel alle" vind.het zou een gigantische klap zijn mochten 80% van alle <vul hier tech in> plotseling kortsluiten

[Reactie gewijzigd door SirJMO op 25 maart 2015 08:29]

Een mens is geen computer.
Bij 'Vrijwel alle' denk ik eerder aan 99,9%.
Denk het wel. Kan mij niet voorstellen dat 80% van de pc's bios ipv van uefi gebruikt.
Nee, ik kon mijn Asus P5E3 mb van 2008 met bios ook al flashen met Asus software in Windows zelf.
"De besmetting kan bijvoorbeeld via kwaadaardige bijlagen in e-mail verlopen als op het systeem een uefi-programma aanwezig is om het bios bij te werken. Is dit niet het geval dan is fysieke toegang tot een systeem vereist, om bijvoorbeeld met een usb-stick tot besmetting over te gaan. Dit zou in twee minuten kunnen, tonen de onderzoekers aan."

Het is dus een of of verhaal. Er is fysiek toegang nodig, mits er een BIOS / UEFI update programma op je computer staat.
Er is fysiek toegang nodig, mits er een BIOS / UEFI update programma op je computer staat.

Er is fysiek toegang nodig,
- tenzij er een specifiek UEFI update programma op je computer staat.
- of tenzij er een bruikbare kwetsbaarheid zit in de UEFI implementatie.

Dat laatste vereist dan denk ik wel admin-rechten, en zal UVC of browser-sandboxing wel meestal beschermen.

[Reactie gewijzigd door Armin op 23 maart 2015 21:24]

Als dat update-programma aanwezig is zou je aan een geÔnfecteerde e-mail genoeg hebben (als de gebruiker de .exe opent neem ik aan), anders kan je de aanval via USB doen, waarop je ook een update-tooltje zet
Waarmee het probleem grotendeels door het UEFI komt, omdat je daarmee via je OS je UEFI kunt updaten. Bij ouderwetsche BIOSen moet je een moederbord-specifiek programma hebben om toegang te krijgen, en zelfs dan moet je dus nog opnieuw opstarten et cetera.
Daarnaast kunnen heel veel functies dus SMM-functies aanroepen, waar ze nooit bij hadden mogen komen... Die combinatie is dus, zoals nu aangetoond, giftig. Extra gevaar komt doordat fabrikanten elkaars code recyclen, wat natuurlijk ontwikkelwerk scheelt, maar ook zorgt dat als er 1 kwetsbaar is, iedereen kwetsbaar is.
Daarnaast kunnen heel veel functies dus SMM-functies aanroepen, waar ze nooit bij hadden mogen komen... Die combinatie is dus, zoals nu aangetoond, giftig.
Tja, dat is jouw mening, men wil juist een meer gevarieerde 'bios'.. malware via bios was voor de UEFI ook al mogelijk en is dus niets nieuws..
Het verschil met BIOS infecties is dat die meestal geflashed moesten worden (geinfecteerde BIOS update), en bij UEFI het kan zonder dat je ook maar iets zelf hoeft te doen.
Dat klopt niet. UEFI werkt net zo goed met flashen, alleen er zitten meer mogelijkheden in en het flashen is makkelijker geworden.

De enige goede beveiliging is die, die je vroeger op ouderwetse biossen wel eens tegenkwam: fysiek een jumpertje omzetten voordat je kon flashen.
Dat is niet waar. BIOS is een heel eenvoudig systeem en verschillend op practisch elke moederbord. Je kunt wel een virus schrijven die vanuit het OS de BIOS flasht maar dat virus heeft per PC een andere flash programma en binary nodig. Je krijgt dus geen virus geschreven dan een groot hoeveel computer kan infecteren. Daarbij kun je sommige biossen ook locken op read-only, flashen is dan niet meer mogelijk. UEFI is complexer en daar kan meer misgaan en meer fouten kunnen misbruikt worden, Wat is het grote voordeel van UEFI? Dat je computer wat sneller opstart, en dat is het dan. De nadelen zijn veel groter.
Misschien een domme vraag maar hoe kan ik zien of mijn PC een BIOS of een UEFI heeft? Zou dat meteen zichtbaar moeten zijn wanneer ik bij het opstarten op DEL druk?
Ik zou het houden op moederborden pre 2013 = BIOS vanaf 2013 = UEFI. Maar zeker weten doe je het natuurlijk gewoon in de handleiding van je specifieke moederplank. En als je wil weten wat voor moederbord je hebt kun je bijvoorbeeld gemakshalve Piriform Speccy downloaden. Dit tooltje vertelt je o.a. het merk en type moederbord, van daaruit kun je zoeken op de site van het merk (OEM).
moederborden pre 2013 = BIOS vanaf 2013 = UEFI

Nope, ten tijde van mijn P8H67-M EVO uit eind 2011 was UEFI al helemaal hot.
En dan te bedenken dat instanties zoals de NSA dit al vele jaren misbruiken. Ik vind het ziek dat de gatenkaas waar we nu mee zitten gewoon voorkomen had kunnen worden als instanties de verplichting hadden gehad "in het algemene belang" deze problemen bij ontdekking te melden en te laten verhelpen,

Het algemene belang is niet Stuxnet-rommel te kunnen verspreiden en de halve wereld af te kunnen luisteren***. De gevaren en lange termijn gevolgen van deze aanpak is denk ik slechter voor ons allen dan heel Al Qaida of IS.

***Je ziet dat kwaadwillenden zich meer en mee richten op activiteiten die niet door afluisteren kunnen worden bestreden.
En dan te bedenken dat instanties zoals de NSA dit al vele jaren misbruiken.
Bron? Wellicht zijn Kallenberg en Kovah de eersten die dit hebben ontdekt en hebben zij het in een redelijke tijd publiekelijk gemaakt.

[Reactie gewijzigd door The Zep Man op 23 maart 2015 11:24]

denk het niet denk eerder dat ze iets aan de kaart stellen van iets dat allang bekend is bij bios makers.
Welke bron verwacht je? Snowden?

Ik verwacht dat de NSA zo een lijstje met 10 grove gebreken met betrekking tot alleen al de Bios op kan noemen, waarvan dit er maar eentje is. Besef dat een grote groep zeer begaafde mensen in dienst zijn van hen en dat te gebruiken kwetsbaarheden verzamelen (en misbruiken) een hoofdtaak van hen is.
Welke bron verwacht je? Snowden?
Het wordt als feit neergezet dat de NSA dit al misbruikt. Hier is geen aanleiding voor. Je kan natuurlijk wel zeggen dat het aannemelijk is door informatie uit het verleden.
Ik heb het bewust zo neergezet om het verhaal kort en helder te houden. Dat deze "hobbyende amateurs" (vergeleken met de NSA) toevallig een nieuwe kwestbaarheid ontdekt hebben is natuurlijk een mogelijkheid.
Het wordt als feit neergezet dat de NSA dit al misbruikt. Hier is geen aanleiding voor.
Nogal extreem naief als je denkt dat de NSA dit niet al jaren misbruikt.
En dan te bedenken dat instanties zoals de NSA dit al vele jaren misbruiken. Ik vind het ziek dat de gatenkaas waar we nu mee zitten gewoon voorkomen had kunnen worden als instanties de verplichting hadden gehad "in het algemene belang" deze problemen bij ontdekking te melden en te laten verhelpen,
Mensen worden vanaf hun geboorte geprogrammeerd met ideeŽn hoe de overheid en instanties als veiligheidsdiensten geheel en alleen hun belang dienen. Helaas zitten de overheid en instanties als de NSA er niet slechts voor het belang van de bevolking. Zij dienen voornamelijk het belang van de zittende economische/financiŽle macht. Zij dienen de westerse oligarchie die achter de politieke schermen de touwtjes in handen heeft en plegen politieke en economische spionage voor deze groep machthebbers die koste wat kost hun macht willen consolideren en uitbreiden.
In dat perspectief is het ook logisch dat het in het algemeen belang melden van dit soort kwetsbaarheden niet plaats vindt en waarom dit niet verplicht wordt gesteld.

[Reactie gewijzigd door SeelenSchmerz op 23 maart 2015 12:45]

Je zit verwacht ik zeer dicht bij de waarheid.

De gegevens van Snowden die nog steeds bij stukjes en beetjes worden gelekt zijn inmiddels redelijk aan het achterlopen op de huidige praktijk.

Het zal denk ik niet lang duren voordat de NSA (en/of anderen) al standaard op je pc/telefoon/tablet/laptop zitten, alles wat gezegd wordt primitief laten vertalen door middel van spraakherkenning zodat ze 'lui' op termen kunnen scannen om te bepalen of ze met betere (duurdere) middelen moeten afluisteren. Op dit moment is zo'n breedschalige scan waarschijnlijk nog een gigantische/ onmogelijke pokkenklus. Maar gezien de beschikbare bedragen voor apparatuur en research is dit slechts een kwestie van tijd.

De hoeveelheid verzet tegen deze Stasi-achtige praktijken is verwaarloosbaar. Dat ons landje nu zelfs officieel meeloper is en de NSA vrij baan geeft is voor mij een van de meest walgelijke ontwikkelingen die ik de afgelopen 50 jaar heb zien gebeuren.

Edit 16:10: Toevallig heb ik de moderator-scores in de gaten zitten houden, en deze door gebruikers uiteindelijk (6x) op "+2" gemoddereerde reactie is handmatig door een Tweaker-moderator op "+1" gezet (met een extra 6x "0"). Ik hoop dat Tweakers snel dit soort VEEL belangrijkere achtergrond-issues naar voren brengt in Frontpage-artikelen i.p.v. dit kunstmatig "Off Topic" onderdrukken. Grappig dit zoveelste incident met kwetsbaarheden van onze pc/enz. maar er blijft de zeer stekende oorzaak en te verwachten gevolgen van wat er speelt. Ik verwacht dat jullie (Tweakers.net) ook jullie verantwoordelijkheden nemen en niet alleen domweg nieuws doorkoppen.

[Reactie gewijzigd door Ettepet op 23 maart 2015 16:10]

Het zal denk ik niet lang duren voordat de NSA (en/of anderen) al standaard op je pc/telefoon/tablet/laptop zitten, alles wat gezegd wordt primitief laten vertalen door middel van spraakherkenning zodat ze 'lui' op termen kunnen scannen om te bepalen of ze met betere (duurdere) middelen moeten afluisteren. Op dit moment is zo'n breedschalige scan waarschijnlijk nog een gigantische/ onmogelijke pokkenklus. Maar gezien de beschikbare bedragen voor apparatuur en research is dit slechts een kwestie van tijd.
Ik snap je onderstreepte zin hierboven niet. Op dit moment luistert de NSA alle data af op alle grote internetknooppunten ter wereld in binnen en buitenland. Ze kunnen dus alles al inzien (waarschijnlijk zelfs https verkeer dat ze ongetwijfeld al gekraakt hebben als er al geen backdoor in zit).

Waar ze niet op knooppunten afluisteren, luisteren ze direct un-encrypted alles bij bedrijven af (facebook, microsoft, etc) en/of vragen volledig geautomatiseerd en legaal "achteraf" de data op bij die bedrijven. Waarbij je "achteraf" mag lezen als volledig automatisch en realtime zonder tussenkomst van rechter.

In andere woorden: op extreem grote schaal alles en iedereen afluisteren gebeurd al jaren. Ik ben het wel met je eens dat ze wellicht in de nabije toekomst direct op telefoons kunnen afluisteren (als ze dat nu niet al doen), maar daarmee wordt het probleem voor de democratie niet echt zo veel gigantischer dan het al was...

[Reactie gewijzigd door GeoBeo op 23 maart 2015 19:37]

De onderzoekers hebben contact opgenomen met alle fabrikanten, maar vanwege de hoeveelheid kwetsbaarheden in het bios van die fabrikanten hebben die niet allemaal geantwoord. Dell heeft beloofd om de kwetsbaarheden te patchen en ook Lenovo wil de kwetsbaarheden verhelpen. Andere fabrikanten waarvan het bios kwetsbaar zou zijn, zijn Asus, HP en LG.
Sinds wanneer produceren HP en LG zelf moederborden? Die kopen toch moederborden in bij andere fabrikanten en passen het eventueel aan.

Is het niet beter dat het bij de bron wordt aangepast, dus dat de fabrikanten die moederborden voor de grote bedrijven maken de kwetsbaarheden in de bios fixen?
De besmetting kan bijvoorbeeld via kwaadaardige bijlagen in e-mail verlopen als op het systeem een uefi-programma aanwezig is om het bios bij te werken.
Vraag mij af hoe dat gaat bij systemen zoals mijn surface pro3. Hierbij wordt de bios update via Windows update uitgevoerd en niet via een geÔnstalleerde uefi-programma. Daarnaast ben ik ook benieuwd of dit geldt voor Raidcontrollers waar ook een bios op zit. In theorie zou deze ook gemanipuleerd worden en dat zou voor een server grote gevolgen hebben.

[Reactie gewijzigd door vali op 23 maart 2015 11:19]

Je kan de bron aanpakken het selecte groepje dat daadwerkelijk UEFI maakt, maar de fabrikanten van moederborden passen de code zelf ook aan voor hun moederborden. Dus de moederbord fabrikanten moeten met een update komen om die op te lossen.

En raidcontrollers gebruiken voor zover ik weet een BIOS en dit is een lek van UEFI, dus die zullen niet kwetsbaar zijn voor dit lek.
'als op het systeem een uefi-programma aanwezig is om het bios bij te werken'

Is er een vlotte manier om te weten of je zulks programma hebt?
Als ik het goed begrijp ben je zonder zulks programma relatief veilig aangezien je in de andere gevallen fysieke toegang nodig hebt.
achja, als de malware al verspreid wordt en mensen deze starten, dan is het toch helemaal geen moeite om in die malware het uefi-programma zelf al mee te leveren...
In principe zijn alle ASUS-systemen van de afgelopen jaren er dan kwetsbaar voor omdat ASUS zijn mobomanagementtooltje AI Suite meelevert bij zijn moederborden. (Mijn versie is AI Suite II 1.01.34 die kwam bij de P8H67-M EVO (geen UEFI bordje).) Onderdeel van die suite is een BIOS-updater. Mits je die software had geÔnstalleerd natuurlijk ...

[Reactie gewijzigd door Kalief op 23 maart 2015 16:46]

Ja, die software heb ik wel geÔnstalleerd...t'is alleen niet zo dat die ook daadwerkelijk deed waarvoor die bedoeld was, namelijk de UEFI bijwerken. Dat heb ik altijd met de hand moeten doen (nadat er een foutmelding vanuit de auto-update kwam :? )
nou, dan dus maar goed de updates voor je moederbord in de gaten houden.....

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True