Softlink 1509124

c't 9/2015, p. 124

Stevig op slot

eBook: Platform Embedded Security Technology Revealed

Gratis e-book over Intels Management Engine (ME) van Intel-ontwikkelaar Xiaoyu Ruan.

NIST Special Publication 800-147 (NIST SP800-147)

BIOS Protection Guidelines: Recommendations of the National Institute of Standards and Technology (NIST) – aanbevelingen voor ondermeer veilige BIOS-updates

Vereisten aan ondertekende UEFI-firmware-drivers voor PCIe-uitbreidingskaarten met Option ROM (oROM)

Coreboot-ontwikkelaar Bruce Griffith over AMD AGESA

Uitleg over functies van Nvidia-chips, die alleen met ondertekende firmware toegankelijk zijn

Kritiek van een ontwikkelaar van Linux-drivers op ondertekende firmware voor Nvidia-gpu's

Lekken in de beveiliging

Extreme Privilege Escalation: gevaarlijke beveiligingslekken in UEFI-firmware

US-Cert waarschuwt voor UEFI-BIOS-lekken, videopresentatie van ca. 1 uur

Defeating Signed BIOS Enforcement

De MITRE-onderzoekers Corey Kallenberg, John Butterworth, Xeno Kovah en Sam Cornwell over onvoldoende beveiligde BIOS-update-mechanismen, met name verkeerd gebruik van Protected Ranges (PR).

Beveiligingslek in firmware AMD-cpu's

Presentatie op YouTube van de Tsjechische programmeur Rudolf Marek tijdens het 31e Chaos Communication Congress eind 2014 over een beveiligingslek in een firmware-component voor AMD-processors van de series Trinity, Richland, Kaveri en Kabini

AMD x86 SMU firmware analysis

Presentatie van Rudolf Marek over het System Management Unit in apu's van AMD.

Uitleg van het Russische IT-securitybedrijf Kaspersky Lab over de hackers Equation Group. Het team zou met uiterst goede methoden overheden en bedrijven in meer dan 30 landen hebben aangevallen.

Een uitgebreid rapport staat hier.

Bericht van Google in het Online Security Blog over de Indian Controller of Certifying Authorities die valse SSL-certificaten voor Google-services verstrekt.

Verslag van Fox-IT over het onderzoek naar de inbraak bij DigiNotar in 2011, waarbij een hacker erin slaagde een groot aantal SSL-certificaten voor gerenommeerde domeinen als google.com, microsoft.com en skype.com in handen te krijgen.