News BIOS-Problem: Bei MSI ist Secure Boot praktisch aus, wenn es an ist

[1ST1]

Mich drängt sich eine eher philosophische Frage auf. Wenn ein Feature, dass 99,9% der User nicht auffällt oder nicht bewusst genutzt wird/genutzt werden kann (Update), ist es dann nicht überflüssig?

Sind Airbags im Auto überflüssig, nur weil du die nur dann zu sehen bekommst, wenn du mit deinem Auto wo drauf knallst?

 

[TenDance]

Er hat eine leicht einsehbare Einstellung im UEFI gefunden und... richtig gelesen was da steht?
Das ist ja mal voll der Hacker.

MSI hat in meinen Augen nichts Falsches gemacht, da diese boards vornehmlich bei Privatpersonen landen ist diese Einstellung genau richtig um etwaige Problemchen zu vermeiden. Könnten sie das mit "secure boot: on" etwas klarer darstellen? Bestimmt.

Aber das kann auch nur jemand als "kritische Sicherheitslücke" deklarieren der sich damit in der Industrie profilieren will für ein Jobangebot oder mehr Klicks auf seinem twitter.

 

[NDschambar]

Secure Boot ist Schrott. Microsoft's "Golden Key" ist 2016 aus einer schlecht geschützten MS-Binary geleaked worden und damit kann sich auch jedes Rootkit signieren.
Der beste Schutz ist nach wie vor Hirnschmalz im Alltag und ein sicher konfiguriertes und sauberes Betriebssystem zu nutzen.
[Nachtrag:] Der Key lässt sich nicht ohne weiteres austauschen oder blacklisten, weil er die Kompatibilität älterer Windows-Versionen brechen würde. Umgekehrt ließen sich neue Windowsversionen mit Secure Boot nicht mehr auf Mainboards mit älterem UEFI installieren. Hier ist man in einem Deadlock - daher ist das Problem quasi nicht ohne Kompatibilitätsbruch behebbar. Flawed by Design.

 

[Ranayna]

Wenn der von 2016 ist, ist der dann noch relevant?
Der duerfte ja wohl in jedem UEFI welches seitdem erschienen oder upgedatet wurde geblacklisted sein. Dafuer kann man's ja updaten. Ist nicht so wie beim HDMI Masterkey, der bei Sperrung Millionen von nicht updatebaren Hardwaregeraeten verschrotten wuerde

 

[DocWindows]

Mal ne Frage zum Verständnis:
In den Screenshots ist der Secure Boot Mode auf Custom gestellt. Ist das der Auslieferungszustand?

Auf meinem Board steht der auf "Normal" und die ganzen Unterpunkte sind gar nicht zu sehen. Ist die Image Execution Policy im Modus "Normal" auch auf Allow gesetzt oder auf Deny?

Wenn die Image Execution im Mode "Normal" auf Deny steht, und das der standardmäßige Auslieferungszustand ist, gibt es überhaupt kein Problem. Wenn sie aber auf Allow steht und man die Option zum Deaktivieren gar nicht sieht.

 

[D0m1n4t0r]

Das nenne ich mal Kundenfreundlich.

 

[douggy]

Bei all dem Gemecker über Secureboot wäre es mal interessant zu wissen, was diejenigen für ein Mobiltelefon haben

Keine Ahnung, was diese Vergleiche zwischen PC/Notebook und Smartphone immer sollen.

Es soll Leute geben, die ihr Smartphone nicht für das gleiche benutzen wie ihr PC/Notebook.

 

[Hito360]

ist doch kein Supergau. Das ist wenn ueberhaupt ein Sturm im Wasserglas. Die Rootkitbedrohung vor der Secureboot schuetzen soll ist meiner Meinung nach vollkommen uebertrieben dargestellt

deiner Meinung nach schoen und gut, mir geht es nicht nur um den einzelnen Sicherheitsaspekt:

wenn ein renomierter Hersteller die Pflicht (BIOS testing, secureboot ist auch kein unbekanntes oder selten gekutztes feature) nicht mehr erfuellt, sollte man auf die Kuer verzichten.

Wieviele BIOSfehler kann man verkraften?
Was wenn nach BIOSupdate die Spannungen nicht das tun was BIOS vorgibt zu tun?
Wird nur ein RAMriegel verwendet aber dualchannel ist angeblich aktiv?

ergo: BIOS bestimmt zuviel um sich Patzer zu erlauben. imho


ps: deawegen sind bios fail news auch so selten und unter allen herstellern

 

[Ranayna]

@Hito360: Das es ein Fehler ist der korrigiert gehoert habe ich doch garnicht abgestritten.

Aber ein Supergau, insbesondere solange wir hier von Desktop PCs sprechen, ist es bei weitem nicht. Es scheint ja nichtmal eine Auswirkung auf die praktische Funktionalitaet eines Rechners gehabt zu haben.
Da ist ja Spectre kritischer gewesen, und das ist soeine Sache die ich fuer den typischen Privat PC auch fuer vernachlaessigbar halte.

Wenn die Laptops betroffen gewesen waeren, dann saehe das womoeglich anders aus. Denn da ist die Sicherheitsanforderung in der Regel, insbesondere bei Firmenkunden, wesentlich hoeher. Das liegt in der Natur der Sache, da ein Laptop mobil ist, und schneller verloren werden kann. Secureboot ist dann ein Baustein der trotz Hardwarezugriff moeglicherweise eine Manipulation verhindern kann, wenn er richtig verwendet wird.

Aber bei Desktops, insbesondere bei Custombuilds aus einzelnen Komponenten, ist das in den allermeisten Faellen in der Praxis vollkommen irrelevant.

Seit Secure Boot existiert sind die Angriffe mit Rootkits/Bootkits massiv runtergegangen, früher waren die deutlich häufiger. Hat aber natürlich nichts mit nichts zu tun.

Hast du dafuer eine Quelle? Belastbare Zahlen taeten mich wirklich interessieren.

 

[raekaos]

Das ist der Kernpunkt des Problems. Microsoft zertifiziert. Wenn das eine unabhängige Organisation machen würde, hätte ich kein Problem damit. Aber solange Microsoft allein entscheidet, was laufen darf und was nicht ist das inakzeptabel, aus jeglicher Hinsicht.

Das setzt voraus, dass es eine Organisation gibt, die das Know-How und die Ressourcen hat sowas zu unterhalten. Der Überprüfungsprozess müsste dann vermutlich Geld kosten, was wiederum weitere/andere Hürden bedeuten würde.
Da ein überwiegender Teil der DIY-/Systembuilder-Hardware Micosoftsysteme beheimatet, macht es da durchaus Sinn, es in MS-Hand zu belassen.
Heute habe ich sogut wie keine Probleme mehr mit SecureBoot und Linux und wenn lassen sie sich leicht umgehen (außer in MS Hyper-V)

BTT:
Ich weiß wieso ich MSI-Boards meide, die haben einfach das schlechteste BIOS am Markt und wie man sieht nicht nur optisch oder vom Bedienkonzept.

 

[douggy]

Das setzt voraus, dass es eine Organisation gibt, die das Know-How und die Ressourcen hat sowas zu unterhalten. Der Überprüfungsprozess müsste dann vermutlich Geld kosten, was wiederum weitere/andere Hürden bedeuten würde.

So eine Organisation wird dann durch eine Hardware-Umlage finanziert. Dann kostet das Mainboard, der Fertig-PC oder der Laptop 5 Cent mehr.

 

[vander]

mehr ein akademisches Problem, Secure Boot braucht kein Mensch, macht mehr Probleme als es nutzt.

Genau deshalb diese Einstellung, gut für den Support des Herstellers, schlecht für alle die "nicht so genau" hinschauen.

 

[Fruchtnektar]

Hmm verstehe die News dahinter nicht. Für mich wirkt es wie ein "Works as designed". Also prinzipiell ist es an, aber auf "Erlaube alles" gestellt.
In zumindest bei SELinux heißt das: Permissive und Enforce (das erste erlaubt alles, loggt eventuell; das zweite erzwingt es mit allen Nachteilen).

 

[brotkastn]

a) warum sollte jemand das machen?
b) warum sollte er das Gerät nicht einfach mitnehmen?

a) Sysadmin mit weitreichenden Zugriffsrechten
b) Die platte ist verschlüsselt, wenn jetzt jemand den bootprozess glaubhaft nachbaut (am dock in meiner abwesenheit gesteckter) via bootbarem usb-stick, und dass das eingegebene passwort einfach als text auf dem stick ablegt, kann man die platte entschlüsseln

 

[pseudopseudonym]

Und ein verschlüsseltes Laufwerk mit passwortgesichertem Bios würde in welcher Weise erlauben was Secureboot verhindert?

Nur eine Verschlüsselung der Platte würde hier was bringen und dafür brauchst kein Secure boot

Viel Spaß dabei, auch deinen Bootloader komplett zu verschlüsseln...
Da ist die Frage nicht, was sie dir da auslesen, sondern was sie dir draufspielen. Wenn da dann unsigniertes Zeug drauf landet, merkst du's mit SecureBoot. Ohne nicht.

 

[flaphoschi]

Setzen 6...
Wenn man keine Ahnung hat und so. Passwort Schutz schützt dich nur vor Angreifern die an deinen Rechner physikalisch rankommen. Secure Boot hingegen schützt vor Allem vor Malware, da bringen dir auch 20 Passwörter absolut NICHTS.

Ähm. Doch genau das tut es

1. Die Firmware-Passwort (BIOS/UEFI) verhindert Firm- und Hardwaremanipulation
2. Das Verschlüsselung-Passwort verhindert das jemand das Systempasswort ändert oder direkt Daten ausliest oder Daten manipuliert.
3. Das System-Passwort schützt im laufenden Betrieb.

Die Punkte 1 und 2 schützen zusammen gegen physikalischen Zugriff. Vielleicht nochmal lesen und darüber nachdenken? Das Argument von Microsoft ist, das SecureBoot sich um 1 und 2 kümmert ohne, dass die Administration dafür Denkleistung erbringen muss. SecureBoot ist zu komplex um diesen Schutz zu erbringen und die Intention die verwendeten Betriebssysteme zu limitieren (Laien den Betrieb von Linux zu erschweren) war und ist direkt erkennbar.

Sonst würde es einen automatischen Mechanismus geben, mit denen sich ein System bei Installation offiziell eintragen kann. Sprich, Boot von anderem Medium führt zur Abfrage des BIOS-Passwort und das System hinterlegt seine Hashsumme für den Bootloader oder EFISTUB (alles mit Zertfikaten ist chronisch Abfall). Ob und wie dann weiter verfahren wird entscheidet der Bootloader oder EFISTUB.

 

[eastcoast_pete]

Es geht doch nicht darum, ob "Secure Boot" jetzt gut, schlecht oder eigentlich egal ist, sondern darum, das ein MB Hersteller das, was da ausgeliefert wird, nicht richtig beschreibt. Die Wahl ob und wie SB benutzt wird sollte dem User überlassen werden, und wenn in der Beschreibung des MB BIOS "Secure Boot enabled" oder ähnliches steht, sollte das auch so funktionieren. Und dann eben auf die Möglichkeit hinweisen, SB abzustellen oder "Pseudo SB" zu ermöglichen (damit Anti Cheat denkt, es ist an), und gut ist's.
MBs werden ja nicht von Leuten gekauft, die sich Fertig-PCs kaufen und einfach einschalten und loslegen wollen. Allerdings muss ich auch eingestehen, daß ich nicht selbst immer nachprüfe, ob jedes vom Hersteller als "aktiviert" beschriebenes Feature auch tatsächlich so funktioniert wie spezifiziert. Gerade wenn das Teil von einem lang etablierten Hersteller kommt erwarte ich, daß die Beschreibung stimmt. Vielleicht sollte ich meine Erwartungen ändern, aber dann macht das Selbst Bauen irgendwann mal keinen Spaß mehr.

 

[Schmarall]

Weil die einzigen Keys in der Secure Boot Policy meine sind.

Das ist toll - und trifft auf eine homöopathische Anzahl an Benutzern zu.

 

[MichaG]

Artikel-Update: Auf Reddit hat MSI Stellung genommen. Demnach sei die bemängelte Standardeinstellung von Secure Boot nach dem Aspekt der Anwenderfreundlichkeit und Kompatibilität gewählt worden. Nutzer, die auf Sicherheit bedacht sind, könnten die Ausführungsrichtlinien entsprechend anpassen.

MSI wolle aber neue BIOS-Versionen bereitstellen, bei denen die Einstellung „Deny Execute“ standardmäßig ausgewählt ist.

 

[Akkulaus]

Anti Cheat Software ist selbst Malware, solchen Dreck sollte man sich niemals installieren!

Genau Ist Müll. Wer braucht schon Anti Cheat Software. Alle Spieler Spielen fair ohne Cheats. Ironie off

Bist traurig weil du nicht Cheaten kannst?