Asrocks moderkort uppdaterar UEFI via nätet

Har inte heller hört talats om ett men teoretiskt skulle det kunna modifiera HDD. T.ex. lägga till datorn i ett botnätverk, lägga till en osynlig bootloader, försätta antivirus i OSet ur spel eller helt enkelt köra ett par hundra ampere genom CPU'n (poff!). Men jag tror inte att ladda ner imagen via UEFI istället för OS paverkar säkerheten. Man kan väll argumentera att ju mer komplexitet UEFI far, desto ömtaligare blir det. Men vi är inte där än.

EDIT: "UEFI-antivirusprogram" lästa "UEFI-virus", oops. UEFI antivirus skulle kunna kontrollera att parametrarna är rimliga och begränsa möjligheterna att göra dumheter via en updatering. Det finns nog redan sadan funktionalitet, men den är nog enkel.

Jag säger inte att det är en säkerhetsrisk jag bara säger att det kan vara det.
Precis som på 90-talet då det fanns virus som specifikt skrev över cmos.
Det är pga detta virus man senare kunde stänga av funktionen att kunna flasha cmos utanför bios.

Sen i windows har man mer kontroll man kan se varifrån man laddar ner filen man kan kontrollera checksum så att ingen har varit där och pillat med filen m.m.
Även om säkert den inbyggda uefi också ska göra detta så känns det ändå bäst att kunna göra detta manuellt.

Om du säger "fler FirmWare-virus", ge gärna en referens till några som finns nu. En virusinfekterad bios/uefi som dessutom passerar crc-check vore något som åtminstone jag skulle bli imponerad av.

Uppdatera bios över nätet?? Eh, nä tack, tror inte det....

Har aldrig låtit bioset i mina datorer uppdatera sig självt över nätet förut och skulle knappast göra det nu heller

Nej, det är istället du som uppdaterat bios över nätet, skillnaden är att detta görs automatiskt. Filen som används för att uppdatera bioset är fortfarande densamma.

Om det är medför någon ökad risk har jag ingen uppfattning om, har på tok för lite kompetens inom det området...

Dock verkar det som en trevlig funktion, gör att till och med farmor skulle kunna flasha bios! =D

Men om man omdirigerar dig när du klickar in på asrocks hemsida med biosfiler byter de självklart ut checksumman som anges på hemsidan? Annars tycker jag inte man ska vara hacker.

Msi har funktionen om man installerar deras tilläggspaket med bland annat webbläsare. Men jag tycker asus bios flashback låter som bästa implementeringen. Trasigt bios/uefi eller köpt en cpu som inte har stöd med den installerad bios, bara in med USB och flasha oavsett.

Ännu en anledning att inte köpa ett ASRock moderkort, kanske bara är paranoid, men detta känns lite små läskigt, håller mig gärna till USB flashning.

säkerhetshål känner jag av.. nee har man en dator får man väl ta o lära sig o använda den, manualen för att uppdatera bios som kommer med moderkortet är ju busenkelt, detta känns jätte trevligt men jag tycker inte om att det nu finns en extra bakdörr i datorn att oroa sig över.

Glad att jag inte köpte ASRock. Med en liten omdirigering i nätverket så kan BIOS vara infekterat. Givetvis kan samma sak även hända då man uppdaterar med USB men då kan man iallafall se filen och dubbelkolla mot säkra checksummor.
Vill någon jävlas riktigt mycke är det inte helt omöjligt att det även går att modifiera DNS/IP där uppdateringen tankas ifrån. Då krävs det bara att man uppdaterar en gång så är infekterad för alltid tills man upptäcker det själv.

relativt ovanligt med infekterad UEFI, och jag tror att 99% av användarna inte vet vad UEFI är och aldrig kommer på tanken att uppdatera den, vilket kan lösa buggar och liknande. Men självklart ett potentielt hot i framtiden.

Så (understruket) tolkar inte jag det! jag tolkar det som, att Santa-san hämtar filen, sen uppdaterar han! Och då uppdaterar han ju inte över nätet.


Själv är jag inte nojig för att "big bad hacker" ska ta UEFI och göra den till en PacMan som käkar på 1: or och 0: or till frukost

Ni säger allvarligt att ni är glada att ni inte köpte Asrock, på grund av att de har lagt till en frivillig funktion för att enklare uppdatera bios?

Nu vet ingen av oss hur det här uppdateringssystemet fungerar, men om man tänker efter lite kan man enkelt anta att det här automatiska systemet oftast skulle vara säkrare än att uppdatera själv.

Säg att du ska uppdatera BIOS själv, manuellt.
Du går in på Asrocks hemsida, söker på ditt moderkort, och laddar hem filen.
Sen skulle jag säga att dom flesta faktiskt inte kollar checksumen, eftersom risken att den nu skulle vara infekterad är väldigt liten, eller pga att man inte är medveten om risken att filen kan vara skadad.
Du lägger filen på en usbsticka, rebootar och flashar. Klart.

Om du nu skulle uppdatera BIOS automatiskt med den här nya funktionen, gör den förmodligen nästan exakt samma sak, men, den kollar förmodligen checksumen exakt varje gång.
Den kanske tex. laddar hem http://asrock.com/bios-update/Z68ATX-S/, som alltid svarar med senaste versionen. Sen kollar den checksum, och kör in den direkt om det stämmer.

Båda dessa sätten är sårbara mot samma saker, och det är som du sa omdirigering, eller om någon lyckas få in modifierade filer på servern.
Det finns ingen anledning att antalet försök att få in infekterade BIOS på folks moderkort skulle öka, förutom möjligtvis att fler kommer vilja/kunna uppdatera BIOS för att det kommer vara enklare.



Nähä, han hämtar inte filen över nätet?
Joo, och han laddar förmodligen hem exakt samma fil från exakt samma server som denna automatiska updatering skulle göra.

Jag tycker att det är skitpuckat.

UEFI är puckat, ett firmware ska inte inte vara en komplicerad sak som innehåller en IP stack, det ska vara en minimalistisk bootstrapper som initialiserar hårdvaran för att sedan snarast möjligast passera vidare kontrollen av systemet till bootloadern eller operativ systemets kernel.

Med egen IP stack i firmware så är ju trojaner, spyware och backdoors väldigt läskiga.

Undrar om underrättelsetjänster kan pusha sk "uppdateringar" over the air som automatiskt installeras?

Klart att det är samma fil.

Vilket de i regel redan gör. Kom ihåg, att boota över nätverk har varig möjligt i många många många många år.
(Och på de flesta hemabyggar system är detta aktivt som default)

Lustig attityd på många personer här. Så bara för att det finns möjlighet att uppdatera igenom UEFI så ska ni bojkotta deras produkter? Ni kan ju helt enkelt att strunta i att ställa in nätverkinställningarna. Dessutom tolkar jag det hela som att man måste gå in i UEFI och välja "Update" själv, den verkar inte göra något automatiskt.

Om någon person skulle hacka sig in till en tillverkare eller göra en Man-in-the-middle attack så skulle ni inte kunna lita på checksummorna heller. Så jag förstår inte varför ni tycker det är säkrare att kolla den själv. Mest troligvis så kontrollerar alla tillverkare checksumman innan de skriver in datan till EEPROM i vilket fall.

Det finns massor av produkter som uppdaterar firmware genom internet. Xbox, Playstation, telefoner, till och med min Onkyo-receiver. Borde inte de vara lika utsatta?

BIOS är väl nått om något puckat, långsammare och tråkigare. Jag var med skeptisk till UEFI i början. Men jag älskar det nu! BIOS är så 90 talet!!

Säkerhetsmässigt använder man ju hellre certifikat än endast checksummor för att verifiera filen.

Checksummor är för enkla att spoofa, och dess syfte är främst för att kolla att filen inte är korrupterad från nerladdningsfel.

Men om man nu blir omdirigerad när man går in på tillverkarens hemsida så skulle åtminstonde inte jag tanka ner och flasha några bios filer där ifrån...

Och du skulle märka en MITM attack hur?

Bra skrivet! Vill även tillägga GPS enheter och CD/DVD/Blå brännare uppdaterar firmware genom internet.

Nu vet jag inte vad en MITM attack är men om biosfilerna inte kommer från tillverkarens ftp hade jag inte laddat ner dem.

Det kanske bara är ASRock som har BIOS uppdatering, men en full IP stack är en del av UEFI, så alla moderkort med UEFI har ett firmware som kan kommunicera över nätverk.

Man in the middle innebär att det finns en dator i mitten som ändrar den data den vill som skickas mellan A och B (och kan även avlyssna allt). För dig ser det ut som om du snackar med ASROCK, men du får igentligen informationen från en annan dator.

Som sagts tidigare, Certifikat kan skydda mot detta, samt kan förbestämd kryptering.

Faktum är, jag skulle kunna köra en MITM attack mellan dig och Sweclockers, och du skulle inte märka skit.

Man In The Middle, Dvs någon som sitter mellan din dator och servern, och sendan ändrar på datan som skickas, alternativt helt utger sig för att vara servern. Jävligt svårt att skydda sig imot utan massa kryptering och säkerhets certifikat som måste vara 100% pålitliga.

Ok tack för svar!
Borde inte en VPN skydda mot detta?

Om kryptering används (och där nyckeln inte kan tas fram av den i mitten), ja. Annars nej. Och detta endast om den VPN tunnel du använder går rakt till ASROCK. Annars kan någon sitta mellan ASROCK och VPN tunnel och köra MITM där.

UEFI kan använda authenticering för att säkerhetställa att servern den snackar med värkligen är den det är (typ, VPN till ASROCK), och skicka informationen därefter krypterad. Då kan inte MITM modifiera data (och troligen inte avlyssna) utan att ochså göra det uppenbart att datan har modifierats (och därmed länken brytas).

Detta kan du inte göra via website nerladdning.