PTT推薦

[情報] MSI的部分韌體密鑰和BootGuard密鑰被駭客洩漏

看板PC_Shopping標題[情報] MSI的部分韌體密鑰和BootGuard密鑰被駭客洩漏作者
hn9480412
(ilinker)
時間推噓18 推:18 噓:0 →:53

https://tinyurl.com/29hvuet8


上個月MSI被勒索軟體Money Message竊取1.5TB的資料,並要求400萬美元的贖金。
MSI拒絕支付結果部分MSI產品的韌體和Boot Guard密鑰就被公開在網路上了

Boot Guard是Intel CPU保護措施的一部分,主要用於防止裝置執行非系統供應商提供的韌體,如果密鑰被洩漏的話駭客可以使用這些合法密鑰將惡意軟體偽裝成系統供應商提供的更新來躲避Boot Guard的驗證。同時這些惡意程式碼是在系統啟動前就會載入所以可以躲避防護軟體或是其他軟體檢測

不過目前公開的資料中有57個MSI產品的韌體密鑰被公開,有166個Boot Guard密鑰被公開。但從清單來看受影響的裝置大部分都是筆電為主。不過受到波及的可能還有美超微和
聯想的產品
https://tinyurl.com/ydw3v2rb


有使用MSI產品的人最近要注意一下產品或是韌體/BIOS更新的檔案來源啊。不要找非官方的載點應該就沒問題了吧?

--
roy1123:聽說把住址打出來會變米字號呢 我住***************** 02/18 13:54 hopeofplenty:測試一下 ********************** 02/18 14:17 tddrean:*****************真的耶 02/18 14:25 Kovan:***********怎麼打不出地址! 02/18 14:28 jimmy00102:台中市西屯區四川東街33號 02/18 14:50 jimmy00102:幹!!!! 02/18 14:51

--

※ PTT留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 125.229.98.170 (臺灣)
PTT 網址
※ 編輯: hn9480412 (125.229.98.170 臺灣), 05/06/2023 21:53:24

Fezico05/06 21:57MSI的MIS要被抓起來吊路燈惹嗎

seiya200005/06 22:14跟MIS有什麼關係?

ch41077305/06 22:25網管啊

Porops05/06 22:26資安防護通常是MIS的職責沒問題吧,不過有時候是被社交工

Porops05/06 22:26程攻破MIS也無解

Arbin05/06 22:27這樣BIOS modding會變得比較容易嗎..

oppoR2005/06 22:555星7的密鑰(x)大家公共的密鑰(O)

seiya200005/06 23:33金管會都要求資安要有專責人員了,還在MIS

kuroshizu2105/06 23:38可是seiya大上面貼的那篇新聞連結, 金管會規範的對象

kuroshizu2105/06 23:38是 "主要經營電子商務媒介商品或服務" 的公司耶

kuroshizu2105/06 23:39七星....算嗎? XDDDDD

seiya200005/06 23:40你有看到第二階段其餘上市櫃公司嗎

kuroshizu2105/06 23:40雖然第二階段是有擴及到符合規定的其他上市上櫃公司

kuroshizu2105/06 23:41但目前規定也只有說在2023年底前完成建置

kuroshizu2105/06 23:42(不好意思打字比較慢, 所以剛剛後面還沒打完 XD)

Fezico05/06 23:44七折資本額也沒百億阿...裡面列舉三個七折到底哪個有?

kuroshizu2105/06 23:45至於其他條件的部分, 因為我還沒去查過七星的公司資

kuroshizu2105/06 23:45訊, 並不清楚, 所以就不知道士不是有符合法律規範的

seiya200005/06 23:45MSI在2020年就成立資訊安全管理委員會了,詳見官網

kuroshizu2105/06 23:45對象了 XDD

Fezico05/06 23:45金管會那條主要是對岸有人一直DDOS搞到網銀掛惹才出台的

kuroshizu2105/06 23:46七星有資訊安全管理委員會的部分, 感謝seiya大提供的

Fezico05/06 23:46MIS就是什麼屎缺都有份才屎

kuroshizu2105/06 23:47資訊, 那如果他們有這樣的單位, 內部要扛鍋的就專責

kuroshizu2105/06 23:47單位了 XDDDDD

kuroshizu2105/06 23:47不過MIS在很多公司真的是只要跟電腦有關的東西都要兼

kuroshizu2105/06 23:48我在想就算萬一將來法定規範擴大有效範圍, 很多公司

kuroshizu2105/06 23:48應該會採取將MIS改個名稱變成資安啥啥啥的, 然後就繼

kuroshizu2105/06 23:49續什麼相關的都要管 XDDD

Fezico05/06 23:49MIS屎在講人話但他馬的沒一個人聽得懂,都說不要點還是

Fezico05/06 23:49手賤點下去在跟你說完惹,雞巴勒...

※ 編輯: hn9480412 (125.229.98.170 臺灣), 05/06/2023 23:51:07

kuroshizu2105/06 23:50因為有些人鐵齒或賭性堅強, 有些人真的聽不懂, 然後

kuroshizu2105/06 23:51手一滑就...(眼神死

Fezico05/06 23:53更多狀況都說公司不是有買防毒,怎還會中毒。

Fezico05/06 23:53人家是防毒但不防蠢阿幹。

kuroshizu2105/06 23:57使用習慣不好也是個問題

kuroshizu2105/06 23:57現在電腦真的很普及, 很多工作上也都會用到, 但有些

kuroshizu2105/06 23:58能降低中標的基本(?)使用習慣其實出乎意料的, 並沒

kuroshizu2105/06 23:58跟上 (抓腦袋

givemeback05/07 06:07主要是社交工程就跟詐騙集團一樣,沒警覺的一般人很

givemeback05/07 06:07容易就被騙

spfy05/07 07:22現在還有雙重社交工程更難防 一堆YT網紅被盜都是因為這樣

b32501905/07 11:01被社交工程騙到的太多搞到公司內部自己偷偷做社交工程信

b32501905/07 11:01件看哪個阿呆點到,中招的要跟老闆報告

roseritter05/07 11:28有的時候,因為沒錢,內外網直接物理分割,內網的電腦

roseritter05/07 11:28受限規定無法更新

roseritter05/07 11:32又因為規定太腦殘,就有外面的usb甚至網路線插進去通

roseritter05/07 11:32外網

cn20105/07 15:43但是事實上,規定要有資安專責人員,很多公司依然都是MIS兼

cn20105/07 15:43著做,資安委員會也只是走個形式

cn20105/07 15:44兼著做的情況下能做到多完善,只能打一個大大的問號

cn20105/07 15:51另外專責只是定義要有人負責做這件事情,並沒有全職投入的

cn20105/07 15:52要求,所以除非管理階層很有決心不然都是兼任居多,兼任的

cn20105/07 15:52人有沒有相關know how或受過教育訓練還很難講

seiya200005/07 16:11https://i.imgur.com/EPgL3EQ.png

圖 MSI的部分韌體密鑰和BootGuard密鑰被駭客洩漏

seiya200005/07 16:13MSI有通過ISO27001認證,應該不會是MIS兼任吧

cn20105/07 16:29我可以給你講過iso 27001一樣可以兼任,因為條文沒有寫必須

cn20105/07 16:29要全職投入,國際認證都是跟你講你必須要有什麼而不會告訴

cn20105/07 16:29你必須要怎麼做

cn20105/07 16:30實作指引是可以參考iso 27002,但那不是唯一

cn20105/07 16:32最糟糕的情況是資訊單位必須要集行政 立法 司法 監察四位一

cn20105/07 16:32體,整天被內部使用者靠北外功勞還都被上層有名無實的資安

cn20105/07 16:32委員會搶走

ayanami0005/07 19:38BIOS又沒有加密,你只要能燒上去,隨你改

zjin112605/07 21:23就算燒上去,也不能啟動,Intel me是比bios還早執行的

zjin112605/07 21:23東西,他會負責驗證韌體是否有效

zjin112605/07 21:26但不是所有主版都有把fuse打開,有的出廠時在manufactu

zjin112605/07 21:26rer mode,就可以隨便你刷

zjin112605/07 21:31https://tinyurl.com/3z3kh7j9

zjin112605/07 21:32https://tinyurl.com/4mdbfezw