ref: https://dlorenc.medium.com/improving-tofu-with-transparency-da674aa2879d

本篇文章要介紹的是一種名為 TOFU 的認證機制，其全名為 Trust-On-First-Use.

要探討這個機制前，作者先列舉一個情境
假設你人要到火車站去找一個名為 Alice 的人交換手提箱，你要如何於火車站正確的找到 Alice?

# Nothing
最基本的情況就是你看到每個人都詢問，你是不是 Alice，但是任何人都可以說謊假裝自己是 Alice，因此惡意攻擊者跟 Alice
一樣都可以輕鬆回答你「我就是 Alice」，顯而易見這種機制基本上沒有辦法幫助我們找到 Alice，也沒有辦法分辨到底眼前的人是惡意攻擊者還是 Alice。

一種改善的機制就是 PKI (Public Key Infrastructure)，該機制的概念是
1. 有一個第三方服務會發行相關的 ID 證件，該 ID 證件難以偽造 (譬如 Certificate Authorities)
2. 你信賴這個第三方服務

所以你到火車站之後，每遇到一個人就要求對方出示其 ID，並且請第三方服務幫忙驗證這個 ID 證件是否合法，透過這種概念來找到到底誰是 Alice。

這種機制運作起來沒有問題，唯一的問題就是找到一個可信任的第三方服務相對複雜且困難。

有沒有一種相對簡單又有點有效的機制? 就是本篇要探討的 TOFU

假設情境改成，今天需要頻繁的到火車站去找 Alice 交換行李箱，這件事情會重複非常多次。這種情境下，我們可以
記住第一次遇到號稱自己是 Alice 的那個人，接下來每次都找該人交易。
簡單來說就是，相信第一次遇到的人，並且記住該人的狀態與面貌，接下來每次交易都直接尋找上次熟悉的面孔。

網路世界來說，一個非常知名使用 TOFU 的軟體就是 SSH。
SSH 使用者第一次連線到遠方 Server 時會相信自己連接到的是正確的 Server，同時將 Server 本身的指紋資訊給存入到本地快取。
因此接下來每次連接到該 SSH 的時候，就直接比較 Server 的指紋是否一致來確定是否連線。
這個機制聽起來很可怕，不過對於這種「很難預測第一次連線的 Server 是誰的狀態」的情境是滿堪用的，畢竟不容易一開始就被偽裝攻擊。

另外一個使用 TOFU 機制的概念就是 supply-chain security，假設你要透過 Packager Manager 來使用不同版本的 Package
這種情境下系統要如何信任每次抓到的 Package 都是正確的?

透過 TOFU 的機制將每個 Package 的 Hash 值都存放 local，這種情況下就可以去比對第二次，第三次下載的內容是否一致。
不過對於 CI 環境下，要一直維持 local cache 實在不容易，因此 Trust-On-First-Use 就會演化成另外一種 Trust-On-Every-Use.

文章後續還介紹 golang 生態系的 go get 是採用何種機制去信任每次下載的 library，對於這篇文章有興趣的不要錯過

徵才機關：經濟部加工出口區管理處
人員區分：聘用人員
官職等：聘用六等一階
職系：無
名額：1
性別：不拘
工作地點：82-高雄市
有效期間：110/08/12~110/08/17
資格條件：
1.教育部承認之大學以上會計、管理、商業等相關科系畢業。
2.須具備電腦文書處理能力（Word、Excel）。
3.工作認真、主動積極及品德操守良好，配合度高。
4.具會計或相關行政經驗者尤佳。
5.無公務人員任用法第26條及第28條各款所列不得為公務人員、無利益衝突迴避法第2條、第3條及第5條之情事。
6.本職缺歡迎原住民族參加甄選。
工作項目：
1.辦理歲計會計等相關業務。
2.其他臨時交辦事項。
3.派駐高雄分處主計室服務。
工作地址：
高雄市前鎮區中一路2號。
電子地圖
聯絡E-Mail：ssh@epza.gov.tw
聯絡方式：
1.請至本處網站/首頁/就業資訊(https://www.epza.gov.tw/info.aspx?pageid=fb7b56f7a69ce4bc&cid=b05806eba6b61396)下載報名表及履歷表。
2.請檢具甄選報名表、履歷表（自傳務必填寫）、最高學歷證書及工作經歷證明書影本(檔案請勿大於10MB，以免無法傳送)，並請將相關電子檔案掃描後於110月8月17日前以電子郵件傳送至ssh@epza.gov.tw（主旨請註明應徵主計室職務代理人-000姓名）。
3.逾時報名或履歷表電子檔案未傳送、資料不完整、證件不齊全者恕不受理。
合於資格條件者另行由用人單位擇優通知面試，不合恕不通知且不予退件。
4.本約聘職務代理人為專員職代，依約聘六等1階280薪點支薪（月薪約
34,916元），聘用期間自到職日起至110年12月31日，如聘用期滿或聘用原
因消失即應無條件解聘。
5.備註：除正取1名外，得視成績增列候補人員2名，候補期間自公告翌日起
至110年12月31日止。
6.本案聯絡人：07-3611212轉622洽許小姐。
職缺類別：
不須具公務人員任用資格職缺
* 請注意：本職缺啟用應徵人員調閱履歷功能，應徵者需同意開放履歷給徵才機關調閱 公務人員應徵作業說明

OSSLab Geek Lab之前限量賣的HP EC200A Server 有一個小問題,
那就是風扇轉速真的有點真的有點大聲.
ilo(IP KVM)指令又無法修改,硬拔風扇則開不了機.
參考 https://0rz.tw/q4zrW 感謝u/phoenixdev大神的韌體.
目前準備嘗試這樣處理.(理論上通用於全部ilo4 機種 Server)
1.機器先正常裝v2.50 iLO4 此為linux安裝版
https://support.hpe.com/hpsc/swd/public/detail?swItemId=MTX_42ef22e4dff6423e8dbe111904
2.https://github.com/airbus-seclab/ilo4_toolbox
下載法國空中巴士安全團隊ilo4攻擊腳本.
3.修改版v2.6 ilo 4 https://www.dropbox.com/s/87ecmkimbqigyiv/ilo4_260_healthcommands.bin?dl=0
4. exploit_write_flash.py 服務器IP 250 patched fw.bin
5. ssh 到ilo4 ,執行cd map1, reset
也要進Web界面，Information-> Diagnostics並單擊Reset。
刷進去後 多了fan指令
fan p set
(fan 0-5, rate 0 -255).

另外一種未經證實處理方式
一.用上面1抓下的檔案 下
sh CP027911.scexe --unpack= 解開檔案
二.把patched rom替換掉ilo4_250.bin
三.下./flash_ilo4 --direct
個人覺得這個方法應該有點困難 因為自從發生疑似Supermicro BMC(Baseboard Management Controller) 有木馬程式後,
大廠對於這類BMC韌體都要求安全簽章.
空中巴士那個攻擊腳本則是不理會簽章,直接刷入.

#OSSLab #我們嘗試用我們的方法解決問題