MSI BIOS Update Hash

[minibip]

Hallo,

gibts eigentlich eine Möglichkeit die Validität einer BIOS Update Datei zu prüfen?

Ich möchte gerne mein B450M Mortar Max von MSI updaten. Allerdings gab es erst vor kurzem einen Hack der MSI Seite.

https://www.heise.de/news/MSI-Hack-Hardware-Hersteller-warnt-vor-Fake-BIOS-Updates-8875303.html

Gibts auch bei BIOS Files einen MD5 oder SHA Hash zum Prüfen der Datei so wie z.B. bei einer Windows ISO, bevor ich das neue BIOS installiere?

Danke.

Gruß

 

[Skudrinka]

Nach einer Cyberattacke rät der Hardware-Hersteller MSI Kunden BIOS- und Firmware-Updates ausschließlich von der offiziellen Seite herunterzuladen.

Fertig.

 

[xxMuahdibxx]

Die MSI Seite war nicht gehackt... Sondern was viel tiefer drinnen..

Man hackt auch nicht die Oberfläche wo es schneller gemerkt wird...man will Daten..

Also die MSI Seite ist safe.

 

[Fujiyama]

Im Zweifel erstmal kein Update durchführen, solange alles funktioniert das Update nach hinten schieben.

 

[tollertyp]

Wenn du über eine Internet-Zeitmaschine alte Hash-Codes findest, die bekanntermaßen vor dem Hack waren, dann kannst du den Hash-Werten trauen.

 

[0x8100]

Internet-Zeitmaschine

archive.org

ansonsten ist die frage des te natürlich vollkommen legitim. warum für msi & co. das so schwer ist, die checksummen mit anzugeben, weiss ich auch nicht...

 

[Mickey Mouse]

es wurde eigentlich alles gesagt, teilweise völliger Blödsinn, teilweise völlig richtig!

der Eröffnungspost ist eben schon falsch. Es wurde nicht die Web-Seite von MSI gehackt, die ist weiterhin sicher!
es wurden Keys entwendet (wenn ich das richtig gelesen habe, über Social Engineering Attacke auf Mitarbeiter), mit denen man eigene Dateien signieren und als original MSI ausgeben kann.

man kann sich also weiterhin aus der sicheren Quelle MSI (HTTPS) die Dateien laden und installieren.
Gefahr besteht (nur), wenn man sich (manipulierte) Dateien aus "anderen Quellen" besorgt.
und wenn man den Binär-Files von MSI nicht traut, warum sollte man dann den Hashes trauen?!?

es wird wohl kaum jemand so blöd sein (obwohl, wenn ich mir bestimmte Antworten hier ansehe, dann bin ich mir nicht mehr so sicher) und von einer Seite "latest-bios-updates.ru" eine neue BIOS Datei mit der Beschreibung: "musst flush these! after performanz is mouch bater" laden und installieren, weil es auf einer von dort verlinkten Seite die passenden Hash-Codes gibt, Hauptsache du hast "Prüfsummen gesucht" und kontrolliert, kann ja nix passieren...

um es nochmal klarzustellen: solche Prüfsummen dienen NUR dafür, die Integrität von Files aus verschiedenen Quellen sicherzustellen, weil es sie "original nicht gibt". Man hat also eine sichere Quelle A, die aber z.B. vom Durchsatz nicht dazu geeignet ist, große Dateien ausliefern zu können. Dann lädt man sich die große Datei von Quelle XYZ und überprüft die Integrität mit der Prüfsumme von Quelle A (der man ja traut).
gibt es eine Quelle, der man traut UND die die eigentlich gewünschte Datei liefert, dann ist das Prüfsummenspiel überflüssig. Wer die Nutzlast manipulieren kann, kann auch die Prüfsumme dazu anpassen. In jedem Fall braucht man mindestens eine irgendwie geartete SICHERE Quelle, ansonsten nutzen Prüfsummen gar nichts!

das ist so, als wenn man sich nach dem Einkaufen den Kassenbon nimmt und mit dem Taschenrechner die Summe kontrolliert, völliger Blödsinn, die Kasse verrechnet sich nicht! Sinnvoll ist nur, zu kontrollieren, ob die korrekten Preise eingetippt wurden, dabei hilft der Taschenrechner (die Prüfsumme) aber nicht.

 

[minibip]

Super, vielen herzlichen Dank für die vielen Informationen.

Ich war vorhin einfach verunsichert. Dank eurer Erläuterungen kann ich die Thematik nun viel besser einordnen.

Danke!

 

[0x8100]

man kann sich also weiterhin aus der sicheren Quelle MSI (HTTPS) die Dateien laden und installieren.

die bios-dateien liegen aber nicht bei msi, sondern bei einem cdn:

$ dig +short download.msi.com
star-dl-cn.msi.com.edgekey.net.
star-dl-cn.msi.com.edgekey.net.globalredir.akadns.net.
e40369.dscb.akamaiedge.net.
184.25.239.57
184.25.239.26

wenn (warum auch immer) beim cdn bios-dateien liegen, die schadhaft sind, aber nach dem hack eine gültige signatur haben, dann bekommst du das einfach nicht mit. das betrifft nicht nur msi, sondern auch andere und es wäre absolut kein aufwand für die, die checksummen einfach mit anzugeben. dass es auch anders geht sieht man, wenn man zu den professionelleren anbietern schaut.

 

[Mickey Mouse]

wenn (warum auch immer) beim cdn bios-dateien liegen, die schadhaft sind, aber nach dem hack eine gültige signatur haben, dann bekommst du das einfach nicht mit. das betrifft nicht nur msi, sondern auch andere und es wäre absolut kein aufwand für die, die checksummen einfach mit anzugeben.

nochmal, warum sollte man der Prüfsumme trauen, wenn man der Datei selber nicht traut?!?

es muss ja jemand die Möglichkeit haben, die BIOS Files auszutauschen. Wenn er DAS kann, kann er vermutlich auch die Prüfsummen dazu austauschen, auch wenn die irgendwo anders gehostet werden. Der Zugriff dazu (auf das CMS) wird ja eh an anderer Stelle kontrolliert. Bei MSI selber muss ja jemand das BIOS und die Prüfsumme bereitstellen.

natürlich kann man sich jetzt Szenarien "konstruieren", bei denen jemand "hintenrum" Zugriff auf einen der Server bekommt, auf dem die BIOS Datei liegt und die manipulieren kann.

nennt mich naiv, aber glaubt ihr nicht auch, dass MSI nach den Vorkommnissen zumindest seine "eigenen" Downloadserver regelmäßig überprüft? Das macht eine "persönliche" Prüfsummenkontrolle obsolet.

ich halte das ganze für eine rein akademische Diskussion, wo etwas aufgebauscht wird, weil sich Leute wichtig machen wollen...

 

[0x8100]

nochmal, warum sollte man der Prüfsumme trauen, wenn man der Datei selber nicht traut?!?

weil prüfsumme und datei auf zwei verschiedenen system liegen. es ist in der vergangenheit häufiger vorgekommen, dass irgendwelche cloud-instanzen gehackt wurden; selbst microsoft wurde in ihrer eigenen azure-cloud gehackt.

glaubt ihr nicht auch, dass MSI nach den Vorkommnissen zumindest seine "eigenen" Downloadserver regelmäßig überprüft?

und wie überprüfen sie das? anhand der prüfsummen, die sie also sowieso haben. dann können sie die auch auf ihre webseite stellen. der aufwand läuft gegen null.

 

[tollertyp]

nochmal, warum sollte man der Prüfsumme trauen, wenn man der Datei selber nicht traut?!?

Wenn es z.B. um eine BIOS-Version ginge, die Anfang des Jahres veröffentlicht wurde, damals mit Prüfsumme, noch vor dem Hack. Dann könnte ich über die Prüfsumme feststellen, dass die BIOS-Datei, die ich heute herunterlade, noch die originale ist.

Dazu ist es aber notwendig, eine unabhängige Quelle für die damaligen Prüfsummen zu haben. Ein Webarchive könnte eine solche Quelle sein, da fand ich aber die entsprechende Seite nicht.