W dniu 19 lutego 2015 22:35 użytkownik Łukasz Dudka pl.illusion@gmail.com napisał:
[...] Ale jest też lepsza strona medalu: Nawet z trefnym firmware dysku można być bezpiecznym. Kluczem jest tutaj zaszyfrowanie całych partycji oraz stworzyć chain-of-trust pokroju Intel TXT (najlepiej, gdy nie będzie to Intel TXT ;-)), tak aby nie pozwolić na odszyfrowanie systemu przy wstrzykniętym w bootloader kodzie.
Hmm, trochę mniej bezpiecznie (musisz zaufać w BIOS/UEFI, Option ROM, firmware pendrive/karty SD), ale jeszcze prościej: Full disk encryption + bootowanie z pendrive/SD z kluczem (zahasłowanym najlepiej). Wtedy omijasz wykonywanie kodu z MBR dysku twardego.
Co prawda nośniki wymienne też mają swój firmware, który często da się nadpisać (http://www.bunniestudios.com/blog/?page_id=3592), ale do tego trzeba mocno targetowanego ataku. Ponadto, można też na bazie prawie dowolnego mikrokontrolera zrobić USB-Mass storage i wykluczyć ten problem.
Z szalonych pomysłów bez babrania się w nośniki wymienne i przerabianie sprzętu, zostaje jeszcze wgranie bootloadera w Option ROM karty sieciowej ;-D.