From c32dc2731c809dfd8f0355f36f60b39e4ce051e5 Mon Sep 17 00:00:00 2001 From: eliot Date: Fri, 10 Nov 2017 23:27:55 +0100 Subject: [PATCH] --- "l\303\244sning.mdwn" | 27 +++++++++++++++------------ 1 file changed, 15 insertions(+), 12 deletions(-) diff --git "a/l\303\244sning.mdwn" "b/l\303\244sning.mdwn" index 781f648..b1ba8cd 100644 --- "a/l\303\244sning.mdwn" +++ "b/l\303\244sning.mdwn" @@ -1,32 +1,35 @@ #Läsning +* https://libreboot.org/faq.html - Libreboot FAQ +* https://www.raptorcs.com/blog/08212017001.php - Why Talos II + Vi borde ta en kik på säkerhet med Coreboot, och i övrigt. Säkerhet i Coreboot krävs att man kikar på, mot evil maid attacker etc. +For security we should investigate a stateless configuration. One could e.g. configure Systemd to achieve a stateless and verifiable system. + + + En skala, med FSF RYF och Purism, som jämför olika frihetsgrader. -Man inser vidden av problemet, då även FSF RYF accepterar non-free disk firmware. -https://platen-software.de/tobias/pictures/purism-road-to-fsf-ryf-graphic-20150812-700x745-minifree.jpeg +Man inser vidden av problemet, då även FSF RYF accepterar non-free disk firmware. -Intels bok om Intel ME och dess användning -http://www.apress.com/us/book/9781430265719 +Intels bok om Intel ME och dess användning -Intel ME enheter öppna mot internet -https://www.shodan.io/report/PuIRbQpt +Intel ME enheter öppna mot internet -Ytterligare en guide för att deaktivera Intel ME -https://news.ycombinator.com/item\?id\=15444607 +Ytterligare en guide för att deaktivera Intel ME -Detecting BadBIOS, Evil Maids, Bootkits, and Other Firmware Malware (framför allt UEFI) - https://preossec.com/SeaGL-2017/ +Detecting BadBIOS, Evil Maids, Bootkits, and Other Firmware Malware (framför allt UEFI) - Dom nämner olika sätt man kan skydda sig på (sida ~60). Min känsla är att standard (libre/) coreboot installation är utsatt, delvis saknas (by default) skrivskydd på chippet efter skrivning samt malware skulle kunna flasha om för persistens (?). Vidare saknas "secure boot"-funktionalitet, utan det bör undersökas hur man gör detta på sin image med olika verktyg så att ENBART den bootar vissa / kräver lösenord. En annan fråga är hur kraftfullt Bash skalet är, då vem som helst kommer åt denna. - Periodic/Regular firmware scans: (eg: re-run CHIPSEC, dump ACPI tables, UEFI vars) - PreOS Security has an upcoming ebook that covers this topic +Periodic/Regular firmware scans: (eg: re-run CHIPSEC, dump ACPI tables, UEFI vars) +PreOS Security has an upcoming ebook that covers this topic Lagring och skärmar (MonitorDarkly) kör (propritär) mjukvara som kan bli ägd -Firmware is the new Black – Analyzing Past 3 years of BIOS/UEFI Security Vulnerabilities - https://github.com/rrbranco/BlackHat2017 +Firmware is the new Black – Analyzing Past 3 years of BIOS/UEFI Security Vulnerabilities - “My system is secure” is almost meaningless • Against what? To what extent? (threat model) -- 2.39.2