Názory k článku
Byl objeven škodlivý kód LoJax útočící na UEFI. Řádí i ve střední Evropě

akorát, že to v tvém českém návodu, mají "gramatické" chyby, už jen tvrzení, že je počítač infikovaný dříve než se zapne, počítač se nakazí při běhu stejně jako jiným virem, jen tenhle se neuloží na disk, ale do základní desky.

Podle hintu na konci článku budu spekulovat že půjde o zneužití featury reportovani ukradených PC k tomu aby se počítač připojil z biosu na úplně jinou adresu a pak tam posílal citlivá data.

Proč přesně může nějaký program flashovat základní desku? Stačilo by, aby uživatel vždycky před flashováním musel přehodit jumper na mother boardu, nebo opsat dlouhé heslo z krabice k tomu počítači.
Útok by se díky tomu dostal pod hranici kdy se jím útočníkům vyplatí zabývat.

Desítky mi přijde poměrně přehnané číslo, nicméně v takovém případě dává smysl nasadit elektronický podpis. Přijde mi, že už je pomalu na čase začít od výrobců právně vymáhat nějakou kvalitu a bezpečnost.

(Samozřejmě se základní myšlenkou svobodné kontroly nad HW: jestli chcete nahrát nepodepsaný bios, přehoďte jumper.)

Okay. :-)

Mně nejde jen o můj počítač. Mně jde o to, že pak bude internet plnej neodvirovatelnejch počítačů rozesílajících spam na moje servery. Pořád všichni řeší spam v emailu, spam na fórech, DDOS útoky, masivní exploitování počítačů, bruteforce útoky prakticky neustále prakticky na všechno, crawlery procházející internet a kontrolující, kde běží jaké CMS (další krok je že někdo najde exploit a následuje masivní hackování všech běžících instancí), to, že někdo zaplatí autorovi jiného malwaru, aby mu jeho malware rozšířil po internetu, atd.
Přitom by stačilo trhat nízko visící ovoce, a pozice útočníků by se významně ztížila.

A mimochodem, u té karty to považuju za naprosto totéž.

"...dává smysl nasadit elektronický podpis"

Na to slúži Secure Boot.

secure boot podepisuje aktualizace firmwaru motherboardu a GPU?

Jumper u serveru nepřichází v úvahu(hlavně v měřítku stovek a tisicu) z důvodu managementu. Už I u workstation je třeba cesteji flashnout bios. Např k notasu už mám 7 releasu vcetne oprav závažných bezpečnostních chyb. Jak tohle chceš dělat v měřítku tisíců strojů? Ale tam je to většinou jisti nadrazeny out of band management system pres ktery to jde.
U user pecek je to smůla. Bránit se dá vypnutím možnosti flashovani I proti heslu nebo podepisovanim fw ale pokud se to da obejit a developer byl niemenad tak smůla.
Už je to ale nějaký pátek co mají u některé laptopy aspoň boot block recovery( to uz asi 17 let) nebo dokonce dual bios. Pokud je dual bios implementovány spravne tak do zajištěné oblasti nelze zapisovat jinak než nacvaknutim se na SPI, přímo na cip nebo i na jtag desky.

To s těmi jumpery a serverovými farmami je dobrý postřeh.

K té druhé části: důležité je, jak to funguje by je default, protože tak to nakonec bude u naprosté většiny uživatelů.