News BIOS-Problem: Bei MSI ist Secure Boot praktisch aus, wenn es an ist

[hardwärevreag]

Also, um mal hier ein bisschen Wissen in die Diskussion einzubringen. Ich bin aus mehreren Gründen Feind von Secure Boot:

a) Ich hatte bereits Probleme damit auf Klientenrechnern, wenn ich unbekanntere oder selbstgemachte Linuxdistros aufspielen wollte. Dass die grossen wie Debian oder Ubuntu mitziehen, wundert mich hingegen gar nicht. Daher ist eine Standarddebuggingmöglichkeit Secure Boot auszuschalten.
b) Macht Secure Boot nichts besser. Phishing funktioniert immer noch, dumme Menschen sind immer noch dumm und Wasser ist immer noch Wasser. Dumme Menschen werden immer das Opfer intelligenter Menschen sein, nur die Methoden werden anders. (Ein guter Grund bei der KI-Forschung aufzupassen, aber das wissen hier ja eh alle )
Und ja, ich weiss, dass die Statistiken hier etwas anderes erzählen, aber da ist das letzte Wort noch nicht gesprochen und es gibt zu viele konfundierende Variablen.
c) Zentrale Autoritäten sind schlechter als dezentrale Sicherheitsmechanismen. Wenn Microsoft die Kontrolle über Secure Boot durch einen Sicherheitslapsus entgleiten sollte, ist die halbe Welt vulnerabel, weil natürlich jeder sofort sein Bios updaten würde. Solche Szenarien haben wir regelmässig in der Sicherheitslandschaft ...
d) Virtualisierung wird ausgebremst. Ein grosses Problem von Virtualisierung sind Sicherheitsmechanismen, die bis auf die Hardware runter wollen. Das, was ihr von Valorant berichtet, finde ich geradezu skandalös. Unsere modernen Prozessoren und GPUs haben aber soviel Power, dass es im nächsten Jahrzehnt sicher reichen würde, nur noch einen Rechner pro Haushalt / Familie / WG zu haben. Vllt. irgendwann nur noch per Haus usw.

Dieses Szenario fände ich viel sinnvoller als alles in die Cloud zu stopfen, wo dann niemand mehr ausser ein paar Experten etwas kapiert, aber ja, ich weiss, das wird vermutlich auch so nicht kommen. Wenn es so weitergeht, dann leben wir bald in einer Gesellschaft, die hochgradig von Computern abhängt und niemand hat diese mythischen Dinger jemals gesehen, weil sie als Herrschaftsinstrument irgendwo in einem Rechenzentrum stehen und deine diversen Logins definieren dich genauso wie dein Personalausweis und deine Staatsangehörigkeit.

Micdrop

 

[Pisaro]

FIFA 23 und einige andere EA Titel möchten Dank Anti Cheat da auch aktiviertes Secure Boot.

Ist auch komisch. Ich habe Secure Boost deaktiviert, Fifa 23 startet aber. Mein Kollege muss Secure Boost aktivieren, sonst startet Fifa nicht.

 

[Epistolarius]

Mir ist das Problem mit meinen MSI Boards jedenfalls nicht aufgefallen, eher das Gegenteil. Selbst mit Secure Boot aus ist das booten von beliebigen Images, Tools, Live USBs außer Windows praktisch nicht möglich.

 

[cyberpirate]

Zum Glück ist mein Board nicht in der Liste.

 

[thuering]

Dann wäre es ja bestimmt schon längst aufgefallen, dass diese Spiele auf keinem aktuellen MSI-Board (ohne erweiterte Optionen im Bios umzustellen) laufen.

Du verstehst die Meldung nicht.

 

[Ranayna]

Sowas gehört trotzdem gefixt. Wenn man es will oder braucht, soll es auch funktionieren, wenn es aktiviert ist.

Stimme dir zu. Bei aller berechtigten und unberechtigten Kritik: Ein implementiertes und beworbenes Feature hat auch korrekt implementiert zu sein.

Dann wäre es ja bestimmt schon längst aufgefallen, dass diese Spiele auf keinem aktuellen MSI-Board (ohne erweiterte Optionen im Bios umzustellen) laufen.

Ich weiss ja nicht wie tief so ein Spiel oder Windows ins UEFI schauen kann. Aber wenn ich das richtig verstehe ist Secure Boot ja "aktiviert", und steht im UEFI auf "enabled". Ich vermute dass das das Flag ist auf das die Systeme achten.
Waere ja mal interessant zu Wissen ob jemand mit einem betroffenen Board problemlos ohne Tricks Windows 11 installieren konnte.

ein Supergau nach dem andren in der IT branche.

Das ist doch kein Supergau. Das ist wenn ueberhaupt ein Sturm im Wasserglas. Die Rootkitbedrohung vor der Secureboot schuetzen soll ist meiner Meinung nach vollkommen uebertrieben dargestellt, und liesse sich auch anders abmildern, in dem man zB dafuer sorgt dass das UEFI nicht vom gestarteten System aus manipuliert werden kann, wie es bei BIOS noch ueblich war.
Und inzwischen scheint sich ja auch rauszukristallieren dass das Problem zumindest teilweise schon laengst behoben worden ist.

 

[thuering]

Mein PC hat keine Fenster, so was ist nur für oberflächliche Menschen, die Wert auf Aussehen statt auf Features legen.

Damit dürftest Du die Mehrheit der CB-Community als oberflächlich beleidigt haben.
Dazu kommt, das heutzutage mindestens 80% aller Gehäuse ausschließlich mit Fenster auf den Markt kommen.
Alberne Aussage.

 

[The_Master]

Also beim "MAG X570 TOMAHAWK WIFI" wurde das mit dem letzten Bios gefixt.

Beschreibung:

• Update to AGESA ComboAm4v2PI 1.2.0.7.
• Change the default setting of Secure Boot.

Version: 7C84v1B
Datum: 2022-08-30

 

[benneq]

Und inzwischen scheint sich ja auch rauszukristallieren dass das Problem zumindest teilweise schon laengst behoben worden ist.

Aber das ändert nichts daran, das 99,9% der Heimanwender nicht mal wissen was ein BIOS ist, von welchem Hersteller ihr Mainboard ist, geschweige denn wie man da ein Update machen kann.

Soll heißen: Da draußen gibt es Millionen MSI Boards, die immer noch mit dem BIOS aus dem Auslieferungszustand betrieben werden, was in der Regel nicht die aktuellste Version mit dem Fix ist. Daran wird sich natürlich auch in Zukunft nichts ändern. Aber zumindest sollte die Öffentlichmachung des Problems bewirken, dass das bei zukünftigen Boards und BIOS Versionen nicht mehr auftritt.

 

[Ranayna]

Aber das ändert nichts daran, das 99,9% der Heimanwender nicht mal wissen was ein BIOS ist, von welchem Hersteller ihr Mainboard ist, geschweige denn wie man da ein Update machen kann.

Und diese 99,9% der User bekommen das jetzt mit? Ich werde jetzt jedenfalls nicht in meinem Bekanntenkreis rumgehen und die Leute nach ihren Rechnern fragen, und ob sie schon ihr BIOS upgedatet haben.
Damit die Leute es mitbekommen muesste es schon eine Radiomeldung dazu geben
Und das waere mal vollkommen uebertriebene Panikmache.

Windows Usern koennte man jetzt natuerlich uebers Windows Update eine neue BIOS Version installieren. Asus macht sowas ja schon, vielleicht kommt da jetzt von MSI auch was. Wundern taets mich jedenfalls nicht, angesichts dessen das MS ja der groesste Verfechter von Secure Boot ist.

 

[snickers303]

Also beim "MAG X570 TOMAHAWK WIFI" wurde das mit dem letzten Bios gefixt.

Beschreibung:

• Update to AGESA ComboAm4v2PI 1.2.0.7.
• Change the default setting of Secure Boot.

Ich glaube eher das es damit "kaputt" geändert wurde, steht nämlich u.a. beim X570 Unify und einigen anderen genauso dort

 

[NDschambar]

Secure Boot war ohnehin schon immer eine Luftnummer. Von Microsoft ins Leben gerufen, um das Booten von Nicht-Windows-Betriebssystemen zu verhindern oder zu erschweren.
Das ist bei mir ohnehin aus und trägt überhaupt nichts zur Systemsicherheit bei.

[Nachtrag:] Es ist ein UEFI-Feature, faktisch aber ein MS-exklusives, weil der Bootloader mit einem Schlüssel signiert werden muss, die Hardwarehersteller nur den für den Windowsboot aufnahmen und Signaturen anderer Systeme selten bis gar nicht aufgenommen wurden. Microsoft hat alle Hardwarehersteller zur Aktivierung von Secure Boot verpflichtet, die ihre Rechner Windowszertifiziert nennen und ab Werk damit ausstatten wollten.

Aus diesem Grund mussten sichim Wesentlichen alle anderen Betriebssysteme sich eine Signatur bei Microsoft erbetteln und dann über Microsofts Bootloader "shim" huckepack gehen, was MS nur sehr widerwillig implementiert hat und den "Schutz" von SecureBoot quasi komplett aushebelt. Inzwischen ist Microsoft's Key geleaked und damit ist Secure Boot komplett überflüssig geworden, es sei denn, es werden die Schlüssel ausgetauscht und ältere Windowsversionen damit ebenfalls ausgesperrt. Das komplette Design ist ranzig und schlecht umgesetzt.

Nachzulesen unter https://en.wikipedia.org/wiki/UEFI#Secure_Boot_criticism

 

[benneq]

Und diese 99,9% der User bekommen das jetzt mit?

Ich sagte doch, dass sich an deren BIOS Versionen eh nichts ändern wird

Diese Meldung ist eher für zukünftig verkaufte Boards wichtig, und vielleicht (hoffentlich) gibt's dadurch auch allgemeine Verbesserungen im QA Prozess, wodurch auch andere Fehler und Lücken verringert werden.

Asus macht sowas ja schon

Man lernt wohl nie aus. Ich kannte sowas bisher nur von Notebooks.

 

[JackTheRippchen]

Würde man alle Benutzer mit einem veralteten OS ohne aktuellem Patchlevel oder mit deaktivierten Sicherheitsstandards aus dem Internet aussperren, dann wäre die Welt um einiges besser.

Würde man alle Kfz-Fahrenden mit veralteteten StVO-Kenntnissen ohne Wiederholungsprüfung in den letzten 3 Jahren aus dem Straßenverkehr aussperren, wäre die Welt um einiges besser.

 

[rg88]

Es gibt so Grenzübergänge, bei denen dein Laptop mal eine Weile verschwindet und du ne Weile beschäftigt wirst...
Und ja, ich habe das schon erlebt.

Und dann hilft secure Boot genau was? Zum einen kann's im BIOS abgeschaltet werden, zum anderen kann man auch anderweitig auf die Platte zugreifen.
Nur eine Verschlüsselung der Platte würde hier was bringen und dafür brauchst kein Secure boot

 

[Euphoria]

Secure Boot war ohnehin schon immer eine Luftnummer. Von Microsoft ins Leben gerufen, um das Booten von Nicht-Windows-Betriebssystemen zu verhindern oder zu erschweren.
Das ist bei mir ohnehin aus und trägt überhaupt nichts zur Systemsicherheit bei.

Erstaunlich wie gut sich dieses Märchen hält.
Jedem ist freigestellt das auszumachen. Default ist nunmal die Absicherung und auch wenn ich mich wiederhole, das schützt vor Malware, denn wenn diese sich ohne Secure Boot früh genug im System versteckt wird diese durch AV nicht auffindbar sein.

Seit Secure Boot existiert sind die Angriffe mit Rootkits/Bootkits massiv runtergegangen, früher waren die deutlich häufiger. Hat aber natürlich nichts mit nichts zu tun.

Mehr Sicherheit ist gerade in der heutigen Zeit nicht verkehrt (man hat ja Kontrolle drüber). Es ist wie bei Airbags im Auto, die werden vielleicht nicht häufig benötigt, aber man ist froh wenn die da sind.

 

[RAMSoße]

Mich drängt sich eine eher philosophische Frage auf. Wenn ein Feature, dass 99,9% der User nicht auffällt oder nicht bewusst genutzt wird/genutzt werden kann (Update), ist es dann nicht überflüssig?

 

[DarkSoul]

Alberne Aussage.

Ich hätte auch ein Schild hochhalten können, weil meine Aussage an eine bestimmte Adressse ging. Wer sich angesprochen fühlt ist daher nicht mein Problem. Wer MSI-Produkte als hässlich bezeichnet, beleidigt damit auch alle MSI-Käufer. Hätte ich das ganze Forum gemeint, hätte ich es dazu geschrieben, aber das ist ein typisches Problem unserer aktuellen Gesellschaft: Gefühlt hat fast jeder hat den Finger am Abzug des Shitstsorm-Sturmgewehrs und giert darauf abzudrücken, auch wenn es völlig fehl am Platz ist. Differenzieren können irgendwie nur noch die wenigsten, siehe aktuelle Debatte in Bezug auf das neue Harry Potter Spiel und den Aussagen der Schöpferin der Bücher. Eine Schande, dass sich auch noch die 3 Hauptcharaktere von ihr distanzieren.

 

[Ranayna]

Man lernt wohl nie aus. Ich kannte sowas bisher nur von Notebooks.

https://www.asus.com/de/support/FAQ/1035492/
Der Artikel zeigt in den Screenshots ein Notebook, aber ich meine mich zu erinnern das hier im Forum mal ein User war dessen normales Mainboard ein Update bekommen hat, allerdings finde ich den Thread nicht wieder.

 

[benneq]

Nur eine Verschlüsselung der Platte würde hier was bringen und dafür brauchst kein Secure boot

Ja, jein, nein. Die Verschlüsselung ist eben auch nur brauchbar, wenn der Schlüssel sicher ist, wenn der Algorithmus zur Verschlüsselung sicher ist, wenn du den Schlüssel sicher aufbewahrst, und wenn die Eingabe des Schlüssels sicher ist.

Das alles lässt sich mit einem bösen Bootloader aushebeln: Keylogger, oder eigenen (schwachen) Algorithmus injecten, whatever. Und hier setzt Secure Boot an.

Ich sage nicht, dass es ein Allheilmittel ist. Aber es ist ein Glied in einer langen Kette aus Sicherheitsmaßnahmen.