<div dir="ltr">Well said about open and auditable, </div><br><div class="gmail_quote"><div dir="ltr">On Thu, Oct 4, 2018 at 10:53 AM <<a href="mailto:seclists@boxdan.com">seclists@boxdan.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">If there are any mailing lists which are more suitable to this discussion, please mention them so we may subscribe to them and discuss this there.<br>
<br>
<br>
> David Hendricks <<a href="mailto:david.hendricks@gmail.com" target="_blank">david.hendricks@gmail.com</a>> hat am 4. Oktober 2018 um 19:00 geschrieben:<br>
> <br>
> <br>
> On Thu, Oct 4, 2018 at 9:22 AM Patrick Georgi via coreboot <<br>
> <a href="mailto:coreboot@coreboot.org" target="_blank">coreboot@coreboot.org</a>> wrote:<br>
> <br>
> > But generally speaking: that discussion is rather off topic for this<br>
> > mailing list.<br>
> > Please look for some more suitable venue to discuss "people potentially<br>
> > tampering other people's devices (with no obvious connection to coreboot)".<br>
> ><br>
> <br>
> Patrick is right that the Bloomberg article is not particularly well-suited<br>
> for the coreboot mailing list.<br>
> <br>
> However, it's still worth pointing out that supply chain attacks are a<br>
> serious threat. This could be in the form of added hardware (like the<br>
> Bloomberg article suggests) or it could be in the form of firmware that<br>
> contains malicious code from any of the many parties involved in creating<br>
> it.<br>
> <br>
> Traditionally, firmware contains modules from the silicon vendor, a<br>
> software vendor (IBV/ISV) who packages it with their SDK and value-add<br>
> software, and ODMs/OEMs who make further product-specific additions. Modern<br>
> firmware can easily contain over a million lines (or multiple millions of<br>
> lines) of code from several parties, and this code runs at the highest<br>
> privilege level before any OS-based security mechanism comes into play.<br>
> Anyone in that part of the supply chain can slip in malicious code, and the<br>
> customer usually doesn't have any way of viewing the code or tracing where<br>
> it came from due to its closed nature.<br>
> <br>
> That is relevant to coreboot insofar as coreboot has been leading the<br>
> charge (with varying levels of success) for open and auditable firmware on<br>
> x86 platforms for nearly two decades.<br>
> -- <br>
> coreboot mailing list: <a href="mailto:coreboot@coreboot.org" target="_blank">coreboot@coreboot.org</a><br>
> <a href="https://mail.coreboot.org/mailman/listinfo/coreboot" rel="noreferrer" target="_blank">https://mail.coreboot.org/mailman/listinfo/coreboot</a><br>
<br>
-- <br>
coreboot mailing list: <a href="mailto:coreboot@coreboot.org" target="_blank">coreboot@coreboot.org</a><br>
<a href="https://mail.coreboot.org/mailman/listinfo/coreboot" rel="noreferrer" target="_blank">https://mail.coreboot.org/mailman/listinfo/coreboot</a><br>
</blockquote></div>