Re: fwupd* -> aggiornamenti firmware
Il 03/09/2023 10:52, Davide Prina ha scritto:
Ho notato una cosa: con questo "aggiornamento" nelle "impostazioni di
Gnome -> Privacy" è apparso un nuovo elemento che è "Device security"
Se sono installati i famigerati pacchetti del thread, allora verifica
se è stato avviato con secure boot, se hai UEFI abilitato, ...
mentre se non hai i pacchetti installati, allora ti dice che non è
stato rilevato nessun hardware fisico e quindi è una macchina virtuale.
Uh? Mi sono perso qualcosa. In Proxmox puoi creare un TPM virtuale,
volendo. Se il "device security" cerca un TPM, allora lo trova.
A me sembra un po' assurdo che si indichi come sicuro un sistema che
ha quelle parti e relativi pacchetti... basti pensare che in un
articolo di sicurezza avevo letto qualche mese fa che probabilmente
il 50-60% dei portatili (se non ricordo male) avevano tutto questo
stack di "sicurezza" che in realtà non funzionava, quindi il tuo
sistema ti diceva che tutto questo era funzionante e attivo, ma in
realtà non era così, era come se non vi fosse tale stack.
Uh? Il TPM, se ben utilizzato, funziona. I più vecchi sono "attaccabili"
con decapping, ma richiede molte ore, molto lavoro ed è rischioso (è
facile danneggiare il chip).
L'attacco di cui ho letto prevedeva l'intercettazione della chiave per
cifrare il disco, rilasciata dal TPM durante il boot. Peccato che
venisse usata un'impostazione notoriamente insecura: al boot non veniva
richiesta dal BIOS nessuna password per convalidare la presenza
dell'utente. Praticamente la chiave del disco veniva data a chiunque la
chiedesse. Che sorpresa: sacrificata la sicurezza per la comodità e il
sistema è diventato insicuro...
e poi ci sono aziende che si sentono sicure solo perché hanno lo
stack di sicurezza m$ sui dispositivi aziendali.
Il problema è che così le aziende possono (o credono di poter...)
"scaricare" sul vendor eventuali problemi di sicurezza, dato che non
hanno, e non vogliono avere, figure interne competenti (costano e non
"rendono").
Tenendo conto che una società ha consegnato ad un esperto di sicurezza
un portatile aziendale con secure boot, UEFI, ... con installato
uindous... e questo nel giro di 15 o 45 minuti (ora non ricordo) è
riuscito ad avere una console e l'accesso alla rete aziendale...
Normale, visto che non c'era password al BIOS...
Inoltre, secondo me, l'apertura dell'informatica alle masse sta
portando l'informatica verso il baratro: si fanno sempre più
cose insicure by design e si richiedono sempre più cose per
mitigare il punto precedente, senza mai risolverlo.
Ma tanto poi abbiamo i politici che sistemano tutto con una legge, come
la certificazione dell'età per accedere ai siti... Una volta che hanno
fatto la legge, l'implementazione tecnica non è un problema loro.
Poi ci troviamo con storture (vedi l'obbligo di cambio password
periodico) che sono dimostrate dannose ma che oramai sono cementate in
leggi e regolamenti.
docente aveva una preparazione informatica... diciamo approssimativa.
Però si sapeva vendere bene al management, che non aveva neppure la
preparazione approssimativa. E se lo fai notare sei quello che vuole
mettersi in mostra tirando fango sugli altri... Però quando impari
quanto certi "docenti" vengono pagati per venire a dirti certe cose,
altro che fango ti vien voglia di tirargli...
--
Diego Zuccato
DIFA - Dip. di Fisica e Astronomia
Servizi Informatici
Alma Mater Studiorum - Università di Bologna
V.le Berti-Pichat 6/2 - 40127 Bologna - Italy
tel.: +39 051 20 95786
Reply to: