neprihlásený Nedeľa, 24. novembra 2024, dnes má meniny Emília
Na stovkách MSI dosiek nie je Secure Boot bezpečný

Značky: bezpečnosťPC

DSL.sk, 17.1.2023


Na mnohých desktopových základných doskách od výrobcu MSI v štandardnom nastavení nefunguje technológia UEFI Secure Boot tak ako by mala a hoci je zapnutá, dovoľuje nabootovať aj operačné systémy nepodpísané dôveryhodným kľúčom.

Aktuálne na to upozornil Dawid Potocki.

Dôvodom nie je technická chyba ale zlé štandardné nastavenie Secure Boot, keď vo firmvéri týchto dosiek je štandardne nastavená politika Always Execute znamenajúca vždy spúšťať kód nielen pre Option ROM ale aj pre fixné a vymeniteľné médiá. Pri tejto politike sa ROM a bootloader operačného systému spustí vždy aj keď nie je korektne podpísaný pre Secure Boot.

UEFI Secure Boot pri štarte počítača overuje kryptograficky zabezpečený podpis spúšťaného kódu a dovoľuje spustenie iba autorizovaného kódu. Cieľom tejto technológie je tak najmä zabrániť škodlivému kódu alebo útočnikovi trvalo infikovať počítač a operačný systém. Secure Boot overuje spúšťaný bootloader a ten by zase mal spustiť iba podpísané jadro operačného systému a to by malo prípadne načítavať iba podpísané moduly.

Problém na doskách MSI je možné napraviť zmenením nastavení Secure Boot na vlastné a následne zmenou politiky na Deny Execute.

Potocki najskôr problém identifikoval na niekoľkých základných doskách od MSI. Následne analyzoval firmvér pre mnohé ďalšie dosky od MSI a zlé štandardné nastavenie identifikoval na stovkách modelov základných dosiek MSI. Problém sa nevyskytuje len na niekoľkých modeloch.

Problém evidentne nebol prítomný na MSI doskách vždy, štandardné nastavenie sa pre viacero dosiek zmenilo v novších verziách firmvéru. Prvé firmvéry, v ktorých Potocki identifikoval zlé nastavenia, sú zrejme zo septembra 2021.

      Zdieľaj na Twitteri



Najnovšie články:

Starship by mohla za najbližšie štyri roky uskutočniť až 400 štartov
Protimonopolný úrad začal prešetrovať, prečo v SR nie sú skutoční virtuálni mobilní operátori
Nový trailer filmu Minecraft
Linux v ďalšej verzii vyradí súborový systém Reiser
Odštartovaná výroba flash pamäte s 321 vrstvami
Apple má prvýkrát použiť vlastný 5G modem v iPhone v marci
Linux dostáva podporu veľkokapacitných pamäťových SDUC kariet
USA požadujú, aby Google predal Chrome a potenciálne aj Android
ISS zvýšila orbitu, aby sa vyhla troskám zo satelitu
Vzniknú fyzické zábavné tematické Minecraft parky


Diskusia:
                               
 
Pohoda
Od reg.: MackoPu1 | Pridané: 18.1.2023 6:49

Kto si neskontroluje nastavenie biosu tak mu na tom asi nazalezi.
Odpovedať Známka: 6.0 Hodnotiť:
 
Re: Pohoda
Od: OriginalnyKoumak | Pridané: 18.1.2023 8:27

Vacsina wannabe technikov povazuje instalaciu OS odklepanim 'next' za odbornu cinnost a instalacia ovladacov, zmena systemovych a bezpecnostnych nastaveni, alebo vytvorenie uzivatelskeho konta povazuju za nieco uletene a staromodne, takze necakaj od nich, ze dokazu chapat jednotlive polozky hoci aj v okryplenom phoenix biose ako mavaju niektore znackove PC.
Ked takto funguju technici ponukajuci svoje sluzby nielen v nakupnych centrach, ale aj zazmluvnenych firmach, tak necakaj, ze obyvajneho bezneho uzivatela vobec napadne pozret do BIOSu, alebo ze mu vobec nieco vravi nejake uefi.
Odpovedať Známka: 5.0 Hodnotiť:
 
Re: Pohoda
Od: qwertyuiop1 | Pridané: 18.1.2023 13:43

Ako vzniklo to ocakavanie, ze tito ludia budu nieco vyladovat? Bootuje to, ok, pokial je to v defaulte, je to ok, lebo je to bezpecna volba, ze vsetko bude fungovat. Mozno nie uplne optimalne, ale pobezi to.

Predstav si, ze ten clovek nieco nastavi, co potom pouzivatelovi bude v niecom prekazat. Bude to ten zly technik, co nevedel co tam nieco posteloval, nie zakaznik, ktory si nevedel specifikovat, co chce a nechce. Robil by som to presne tak isto, co najblizsie k defaultu.
Odpovedať Známka: 3.3 Hodnotiť:
 
Re: Pohoda
Od: OriginalnyKoumak | Pridané: 19.1.2023 9:16

Chod do politiky, vies sa vykrucat ako paragraf a dokonale obhajovat pripadnu neschopnost a nevedomost. :)

Defaultne nastavenia su vzdy optimalizovane iba na maximalnu HW a SW kompatibilitu, aby vobec stroj dokazal nabehnut a vyrobca PC mohol potom spravne nastavit vsetko podla potreby do optimalu.
Je to podobne ako nudzovy rezim na niektorych autach - umoznuju ti nastartovat a ist s motorom urcitou rychlostou a vykonom, nezavisle od kvality benzinu, kvalite oleja a teploty vody, resp. chladenia, proste len tak, aby si dosiel do servisu alebo na bezpecne odstavisko.
Odpovedať Hodnotiť:
 
Re: Pohoda
Od: ffdf | Pridané: 19.1.2023 21:43

Veru drísta ako nejaký drístič! :-)
Odpovedať Hodnotiť:
 
Re: Pohoda
Od reg.: Sheep | Pridané: 20.1.2023 7:14

Buďme realisti - ak robíš ako technik pre niekoho niečo, riešiš tu požiadavku ktorú od teba chcú, ak pracuješ vo firme a požadujú aby si im PC robil aj s nastavením secure boot tak to urobíš, ak nie tak to nechaš na default. Ak máš v robote pripraviť niekoľko desiatok nových PC tak nebudeš kontrolovať všetky nastavenia pre prípad že ,čo ak'. Niesom sice PC technik ale mojou rukou prešlo niekoľko stoviek počítačov a jediné čo som so secure boot kedy riešil je DISABLE. Príde mi táto funkcia ako zbytočne veľa bezpečnosti, zachvíľu sa ti nespláchne WC lebo nejaká firma ti nato nedá certifikát.
Odpovedať Hodnotiť:
 
Beznu BFU
Od: mmichalll | Pridané: 18.1.2023 6:58

Bezny BFU do BIOSu resp UEFI ani nelezie.
Co mu nastavia pri kupe pc/notasu tam necha...

Prve co spravim ked osadim dosku a zapnem je ze prehladam cely bios co kde je a pomenim par nastaveni co treba.
Secure boot je inak len otrava ktora spomaluje spustenie pc/notasu
Odpovedať Známka: 5.0 Hodnotiť:
 
Re: Beznu BFU
Od: meheh | Pridané: 18.1.2023 19:00

ze Secure Boot spomaluje spustanie systemu? kolko mikrosekund uz len moze trvat ten check?
Odpovedať Známka: 6.7 Hodnotiť:
 
Re: Beznu BFU
Od: testerovac | Pridané: 19.1.2023 11:28

Mna by toto tiez zaujimalo, bohuzial moja vzorka zakladnych dosiek roznych vyrobcov zostala na cisle 2 a nemozem teda povedat ze by u Asusu ten boot trval dlhsie/kratsie nez u Gigabyte so Secure Boot. Ale POST pre SATA zariadenia uz ide do niekolko sekund. Kto sa ponahla nech si dava PC do spiaceho rezimu.
Odpovedať Hodnotiť:
 
ultraradikálny ohľaduplnizmus
Od: syntaxterrorXXX,. X | Pridané: 19.1.2023 11:46

Nejde o sekundy, ale ak niekto vytvára zbrusu nový OS s nejakým bleeding edge polohovacím zariadením, takže klávesnicu ani myš jednoducho nemá(napríklad i z náboženských dôvodov), tak ten Secure Boot priekazne v EFI nemá ako vypnúť.
Odpovedať Hodnotiť:
 
ultraumiernený pacifizmus
Od: syntaxterrorXXX,. X | Pridané: 18.1.2023 8:29

V dobe kamennej rovnaký kokoti poskakovali okolo ustralopiteka, že nemúže štiepať nôž z pazúrika, kým si preň priekazne nescertifikuje bezpečné puzdro, až kým nevzniklo slovné spojenie po ubití tupým predmetom.
Odpovedať Známka: 3.6 Hodnotiť:
 
No ale
Od: pozorovateľ | Pridané: 18.1.2023 8:30

To tu už ozaj nikto nič negarantuje?
Odpovedať Známka: 6.0 Hodnotiť:
 
Re: No ale toto...
Od reg.: ujo horar | Pridané: 18.1.2023 12:24

NIE !
Odpovedať Hodnotiť:
 
Re: No ale
Od: lenja | Pridané: 18.1.2023 15:25

Áno.
Odpovedať Hodnotiť:
 
ultraradikálny objasňovačizmus
Od: syntaxterrorXXX,. X | Pridané: 18.1.2023 15:43

Možno to garantuje len tu, tu a tu, ale pre samostatné tu priekazne už nie.
Odpovedať Známka: 10.0 Hodnotiť:
 
Re: No ale
Od: ffdf | Pridané: 19.1.2023 21:42

iba Gargantua!
Odpovedať Hodnotiť:
 
Je to dobrá zimná ponuka.
Od: Konšpirátor | Pridané: 18.1.2023 8:53

V našich zemepisných šírkach tradičný konzument inklinuje skôr k doskám Asus série B.
Odpovedať Hodnotiť:
 
muhahahaaaa
Od: bubak z bubakova | Pridané: 18.1.2023 9:13

BIOS? Co to je?
Vas Apple user... :P

Odpovedať Známka: -8.8 Hodnotiť:
 
Re: muhahahaaaa
Od: OriginalnyKoumak | Pridané: 18.1.2023 9:29

Drz stlacene pri zapnuti tlacitka command, option, O aj F, uvidis tvoje moznosti v ramci MAC...
Pri MAC standartny BIOS nie je, lebo to bol povodne navrhnuty system pre neschopnych amikov, co su schopni susit macku v mikrovlnke, dokial ich na to neupozornili, ze to zabija.
Odpovedať Známka: 10.0 Hodnotiť:
 
Re: muhahahaaaa
Od: qwertyuiop1 | Pridané: 18.1.2023 13:40

PowerPC Macy mali OpenFirmware. Ten obsahoval interpreter jazyka Forth a REPL k nemu. Velke casti firmware boli napisane vo Forthe a dali sa pekne prezerat, co a ako robia; svojho casu som si takto pozeral, ake DHCP tagy potrebuje dostat a co v nich, aby bootoval zo siete bez kupovania serveru od Apple.

Ano, userom to na oci nebolo vyhadzovane, ale bolo to tam. Dnes UEFI shell je vo firmware len na niektorych pocitacoch, alebo si ho clovek musi priniest sam. Pritom je to stale len zlomok z toho, co vedel REPL Forthu.
Odpovedať Známka: 10.0 Hodnotiť:
 
ultraradikálny objasňovačizmus
Od: syntaxterrorXXX,. X | Pridané: 18.1.2023 9:33

Niečo mimo oberučného meča, nakoľko nevyžaduje súčasne priekazne mačkať “Command,” “Option,” “0” a “F”.
Odpovedať Známka: -1.4 Hodnotiť:
 
Re: ultraradikálny objasňovačizmus
Od: Záhadológ | Pridané: 18.1.2023 10:15

Divoká honba náleží do skupiny E501. Kategorie E označuje příběhy o zemřelých, podkategorie E500 příběhy o přízračné armádě.


Odpovedať Známka: 3.3 Hodnotiť:
 
ultraradikálny gamerizmus
Od: syntaxterrorXXX,. X | Pridané: 18.1.2023 10:45

Chronickú masturbáciu si ale nastavil napríklad i Witcher priekazne ako tentative.
Odpovedať Známka: 6.0 Hodnotiť:
 
Desivé, tajomné, a hrôzostrašné historky a príhody, pre agrárnicko- krestansko- demokratickú mládež, (pre členov strany, len za 6,6 grajciarov rakusko- česko-slovenských)
Od: Lyta Hochbatnica | Pridané: 18.1.2023 19:35

a do akej kategorie by sa zaradila príhoda o 3 mrtvých bielých kočkách, o sne v dalšom sne, sne o dívke spadnutej do hlbokej studne, strašne sa trasúcom starom otcovi, v posteli, a o lžičkách, a nožíkoch zabodnutých do vysokého, velmi vysokého stropu ?
Odpovedať Hodnotiť:
 
Re: Desivé, tajomné, a hrôzostrašné historky a príhody, pre agrárnicko- krestansko- demokratickú mládež, (pre členov strany, len za 6,6 grajciarov rakusko- česko-slovenských)
Od reg.: MackoPu1 | Pridané: 18.1.2023 21:26

Lsd ?
Odpovedať Hodnotiť:
 
Re: Desivé, tajomné, a hrôzostrašné historky a príhody, pre agrárnicko- krestansko- demokratickú mládež, (pre členov strany, len za 6,6 grajciarov rakusko- česko-slovenských)
Od: ffdf | Pridané: 19.1.2023 21:39

To skôr na Stopex! minimálne 20 tabletiek!
Odpovedať Hodnotiť:
 
Re: muhahahaaaa
Od: Reikii | Pridané: 18.1.2023 12:02

BIOS = Best iOS ... proste najlepsia verzia operacneho systemu od Apple
Odpovedať Známka: 2.0 Hodnotiť:
 
sdadasdas
Od: dasdasdas | Pridané: 18.1.2023 10:05

Kto by to povedal, ze tieto uzavrete CPU a systemy na doskach derave a plne backdoorov? Ktoze by to len mohol cakat? Kto?

Ked raz niekto vyrobi open source CPU tak tym dostanu vsetci tito statni posluhovaci kopanec do gul
Odpovedať Známka: 0.0 Hodnotiť:
 
Win 7 SP2 64b - na M.2 NVMe 980 Pro 1 TB - už beží
Od: Lyta Hochbatnica | Pridané: 18.1.2023 12:52

sa mi to, ovšemže, podarilo takmer hned, - well, resp. na 2-3 pokus, za 2 - 3 hodky všetjko komplet hotovo..

(z 1.usb kluča - tam nejak nesadli ovladače, - resp.sa to zadrhlo, zaseklo (úplne, úplne na samom konci celej inštalacie, už ked sa mala "otvorit do Plochy", na načítaní, /overovaní, sprocesovaní *disk.sys
aktualizace, zápis, prepis registrô..ä )


som skusil (takmer) tú istú inštalačku, (takmer) stejný Win, ale z iného zdroja, na inom usb, - a šlo to!

a BIOS-e, /UEFI ? - tie priam študujem, priam aj celé hodiny, hej ajž zbytočne moc dlho, a detailne, ale
zatial som sa stretol asi s 2 - 3 položkami, čo mi neboli úplne jasné, hned že očo_ide..
Odpovedať Známka: -7.1 Hodnotiť:

Pridať komentár