Asrocks moderkort uppdaterar UEFI via nätet

CRC är enkelt att ta sig förbi, det är bara en checksumma för att hitta om filen blivit skadad, inte om den mixtrats med för de behöver man en kryptografisk hashing algorithm som SHA-2 eller liknande.
CRC är inte tamper-proof.

Men de har ofta varit med hjälp av så kallade "Option ROMs".
Dessutom tror jag inte de implementerar en full IP stack, saker som TFTP.
Men good point. Men även så, så är BIOS väldigt simpelt och inte tänkt att multithreada, köra saker i bakgrunden, etc.
BIOS är också mycket mer monolitisk, UEFI har typ appar, så UEFI har mer potential för malware.

Ja, BIOS är tråkigare. Tråkigare är en bra sak, det är en feature.
Ett firmware bör vara tråkigt.
BIOS är inte puckat för det gör exakt det de ska. De bootstrappar systemet och inte mycket mer.

Ett bra firmware är så simpelt som möjligt och gör så lite som möjligt innan de passerar kontrollern av systemet vidare till bootloadern eller operativ systemets kernel.

Ett spiffigt, häftigt, flashisht firmware är ett dåligt firmware.
Förövrigt så är inte PC BIOS 90-tal, det är 80-tal.

Jag säger inte att BIOS är superbra, för det är det inte. BIOS har massa legacy skit, och fula fixar och inkonsistent och underligt beteende. Men UEFI är ingen bra lösning för det är för stort och bloatat, det har en för stor arkitektur och gör för mycket.
Ett firmware bör följa KISS (keep it simple, stupid!) principen och "less is more" principen.

Det är inte alltid du märker att du blir omdirigerad.
Detta går att göra osynligt med DNS spoofing.

MITM attack är en man-in-the-middle attack.
Bara för att du är uppkopplad mot ftp://ftp.asus.com/ så betyder det inte att du är på ASUS autentiska officiella ftp site. Kolla din hosts fil eller dina DNS inställningar, du kanske på någon underlig rysk ftp site.

Flame är ett malware som hade ett certifikat som var signerat som ett pålitligt Microsoft certifikat.
Man kan inte alltid lita på certifikat heller.

Observera att UEFI använder endast IP stacken vid explicit behov, det vill säga då du försöker använda dess OPROM, eller upgraderings klienten.

Kom ihåg att UEFI är modulärt, och du bygger upp det genom att ha individuella specialiserade komponenter - precis som KISS principen säger. Användargänsnittet är inte en del av bootstrappern, vilket den däremot är i BIOS.

För att inte glömma Stuxnet, som använde stulet certifikat från Realtek och JMicron.

Där ser man, det hade jag ingen aning om. Ge oss nu den funktionen på alla nya moderkort och även möjligheten att om man vill göra det utan usb direkt över bredbandet

Skickades från m.sweclockers.com

Hade hellre kört coreboot med SeaBIOS eller TianoCore som payload, eller någon variant av OpenFirmware.

Aha, det visste jag inte.
Vad bra, det är iaf lite mer tryggande.
Måste man bekräfta då eller kan vilken UEFI-app som helst begära åtkomst till IP stacken?

Ingen bekräftelse, men å andra sidan finns det ju inte mer än nätverks bootloader, samt denna updaterare som använder IP stack. Därefter måste du ju få in en UEFI modul på moderkortet på något sätt - och jag vet inte alls hur detta kan göras om man inte gör en updatering av hela UEFI systemet.

EFI har tydligen också (eller kan iaf ha) en EFI partition på systemdisken.
Där lagras EFI appar, som kan köras via EFI shell.

Vet inte om dom kan autostartas och köras i bakgrunden, etc.

UEFI tillsammans med TPM, så har du inte mycket att säga till om, så där säger jag tack men nej tack, detta är inget för mig!.
Skulle aldrig köpa moderkort som bestämmer vad jag skall göra och inte.

Vad har TPM att göra med vad du kan och inte kan göra?

TPM är en modul för att lagra nycklar för till exempel krypterade hårdiskar. Används till exempel av Bitlocker för att kryptera den primära disken.

Nu är det ju ingen autouppdatering som vi pratar om. Uppdatering sker endast när du ber om det.

Att det ska bakas in mer och mer skrot, less is more verkar inte rimma väl med dagens konsumenter.

Gällande säkerhetsaspekten så kommer vi nog aldrig få se något bra* från tillverkarna själva. Istället får vi hoppas på att CoreBoot får mer tracktion nu när de har Google till hjälp för SB/IB. Sen, även om man en dag lyckas få till en relativt öppen firmware-lösning så blir man ändå tvungen att ladda blobs (CPU microcode t.ex.). Ska vi vara ärliga så gör vi det hela mer komplext än det behöver vara, att gömma backdoors i kisel är under omständigheterna simpelt att genomföra och svårt att upptäcka. Därmed är en _helt_ säker miljö ändå inget annat än en utopi, såvida man inte tar fram sina egna blueprints, skapar sin egen kisel i sin egen fab och skriver sin egen kod... any day now.

*T.ex. en fysiskt löstagbar EEPROM (med HW-switch för att växla mellan RO/RW) som kan dumpas/flashas med ett externt verktyg. Källkod och build env. skeppas i PGP-signad tarball bränd på CD från fabrik, samt distrubieras över internet. På så sätt kan konsumenten kontrollera dumpen mot sin egenkompilerade image. Web of trust skulle kunna komma till hjälp för authentisering, plus att man redan har tillverkarens publika nyckel på den utskeppade CD:n.

Hoppas det kommer automatisk uppdatering! Det skulle vara så sjukt roligt om någon gjorde en worm i UEFI

Jag tror inte att du förstår rollen som ett firmware innehar. Eller riktigt vad firmware är för något, vad den har för uppgift.

Jag tror inte att du förstår skillnaden mellan BIOS och UEFI.
Du gillar säkert UEFI för att du anser att setup verktyget ser snyggt och modernt ut.

Ett firmware ska vara så simpelt som möjligt och göra minsta lilla möjliga för att sedan passera kontrollen över systemet till bootloadern alternativt kerneln.

Vilket är precis vad UEFI, men inte BIOS, gör.

Samtliga 'kontrol paneler' är inte en del av firmware, utan ensama moduler som finns tillgängliga att ladda efter uppstart av systemet. (Desutom har många funktioner som tidigare var inskrivet i BIOS flyttats till en egenstående modul)

Nej.

BIOS bootstrappar bara datorn. Den initialiserar minnet, probar PCI bussen och laddar Option ROM från PCI enheter om den finner några sådana, sedan tilldelar den hårddisken som ska bootas med värdet 80h för att sedan exekvera dom första byten på hårddisken och där släpper den taget.

UEFI har egna drivrutiner, stöd för fonter, services, mm. Runtime services körs även i bakgrunden när operativ systemet körs. Så UEFI lämnar aldrig kontrollen över till mjukvaran, den sitter där i bakgrunden och kör sina egna tjänster.

Linus Torvalds har postat vad han tycker om BIOS och EFI och han vet vad han snackar om.
http://kerneltrap.org/node/6884

Foliehattsförsedda Sweclockare är inte representativa för dagens konsumenter.

80-talet vill ha tillbaka sin EEPROM-brännare. Du är nog ganska ensam om att vilja mecka med sånt och sitta och kompilera din egen UEFI.

Inget som hindrar att UEFI-imagen på moderkortet direkt från fabriken har ASRocks publika nyckel och med den verifieras signaturen på alla UEFI-uppdateringar innan de installeras via nätet eller via Windows (kanske är så redan, vet inte och bryr mig inte heller).

Många självutnämnda säkerhetsexperter i den här tråden, ett tips till dessa är: "don't quit your day jobs".

Sant, men sen när har konsumenter varit vägledare för vad som är good practise? Skulle konsumenter få välja så hade vi ersatt alla interna filservrar med Dropbox. Lösenord skulle i bästa fall bli dotterns namn med en extra siffra.

Det är stor skillnad på att vilja och kunna. Jag vill inte, men jag inser fördelarna med att kunna. Vissa miljöer är känsligare än andra. Åsa 58 som nästan uteslutande surfar på Aftonbladet, Match.com och Facebook kanske inte bryr sig. Men är säkerhet av intresse så duger inte någon halvmesyr.

Att låta en miljö utvärdera sin egen säkerhet är knappast optimalt. Det bör finnas möjlighet till att göra en extern kontroll för den som önskar. PKI i allmänhet har sina svagheter. Ska du ha en mekanism för att kunna uppdatera denna nyckel som finns på moderkortet? Eller ska det vara statiskt inbränt i någon ROM? Vad händer om den privata nyckeln blir knäckt/läcker/stulen? Det är inte direkt ett fantasiscenario. I båda fallen så skulle du riskera sitta med firmware som inte agerar i ditt intresse. Och vad duger dessa onboard-mekanismer till om man hijackar UEFI?

Jo det gör man, man fattar inte, är BIOS alltså Bättre som i bättre prestanda och överföringar(kommandon och vem vet vad)?
För när ja läste så verkar han mer klaga på att BIOS va liksom, ett litet mellan stadie, där man kan ställa in ynka grejer, sen skiter man i den när OSet drar igång.

Och UEFI vill vara lite mer och snyggare(snyggare är INTE bättre oftast helt klart;D).
Men fattar inte om den är Sämre i helhet.

Prestanda är nog ingen skillnad alls.

BIOS var bra när det kom, men PC har ändrats så då har man tvingats vidare utveckla det för att komma runt begränsningar. BIOS exekveras i 16-bitar, medan dagens processorer är 64-bit, så mixar man ibland 16-bit exekvering med 32-bit exekvering. Sen hade man LBA för att kunna ha större diskar än 137 gb. Och en massa fixar, och många saker har inte gått att lösa på ett snyggt sätt, och man måste ha bakåtkompatibilitet så många fixar är fula hack. Så mixar man real mode med protected mode och har SMM. Resultatet är att BIOS har blivit ett föråldrat hack och är rätt fult.

Så ja det finns anledning att byta ut BIOS mot något mer modernt och renare och simplare. En ny start där man gör saker rätt.

Men istället har man tagit fram UEFI (som har vissa fördelar över BIOS som GPT). UEFI är dåligt för att det är stort och komplicerad och gör mer än vad det ska, de gör mer än bara initalisera hårdvaran och ge kontrollen till mjukvaran. De kör services i bakgrunden parallellt med operativ systemet och har drivrutiner och annat blaj.

BIOS har en simpel approach till firmware där den gör så lite som möjligt medan UEFI tar en annan approach och gör mycket mer.

Jag tycker att man bör ersätta BIOS, fast med något i samma anda. Alternativt använda något befintligt som OpenFirmware som används på POWER och SPARC.

Linus är bara sur över att han inte kan installera Linux på sin gamla Mac Mini

Skämt åsido. Enligt mig är han lite väl trångsynt ibland men har ofta sina poänger, som Linux användare så är man dock glad över hans sätt att de på saker och ting.

Han har sagt flera gånger att han inte ser någon fördel med EFI över BIOS men jag skulle vilja påstå att det finns vissa fördelar med EFI. En sak som företaget där jag jobbar har arbetat på är bland annat kryptering av hela system via EFI. Detta är någonting som är helt omöjligt i BOIS men fungerar i EFI. Du kan låsa ett system i BOIS men flyttar du över diskarna till ett annat moderkort så kommer det att fungera igen.

Men som du säger det finns även vissa nackdelar men det har även SPARCs variant, OpenBoot. Men då OpenBoot är ett mer öppet system så förstår jag att Linus är lockad till det OpenBoot skulle jag dock vilja påstå är ett större säkerhets problem än EFI, men det är nog en diskussion för en annan tråd.

Mitt "problem" med dom uppdateringarna var ju egentligen inte någon rädsla för virus som några av er pratat om, utan den gamla devisen att man "inte ska laga något som inte är trasigt". Alltså om man (personligen) inte har direkt behov av att uppdatera bios, som vid överklockning/stöd för processor/minne etc, så låter jag helst bli. UEFI verkar ju bra mer avancerat än det "gamla" BIOS vilket för mig som slutanvändare betyder =mer att klanta till. Därför blev jag nervös med uppdatering direkt från nätet, för har man bränt några moderkort pga misslyckad bios-uppdatering så blir man ju något försiktigare. Moderkort är ju trots allt inte gratis. Det var alltså den sortens bakåtsträvare jag är

Säkerhetstjänster och andra som behöver har koll på läget, du kan sova gott om natten.

Vad jag vet är flash-chippet monterat i en sockel på ASRock-kort, till skillnad från hos diverse andra tillverkare. Så inget hindrar dig från att läsa ut innehållet på chippet externt.

Om man gör rätt är det omöjligt att knäcka nyckeln och extremt otroligt att den blir stulen eller läcker. Sen används ju Internet-uppdateringen bara om man manuellt väljer den, så det är lika (o)säkert som uppdatering från USB.

Sen har du förstås dina datorer med hemligheter fristående från internet ändå...

När jag använde X-Windows terminaler till UNIX i början av 90 talet så funkade de också så. Laddade ner firmware vid varje start via TFTP om det behövdes.

Skickades från m.sweclockers.com

Tell me more oh great oracle - du verkar vara väldigt insatt i vad främmande människor har för behov. Kanske kan du ta och använda dina krafter till sakligare ting?

Jag har inte så stor nytta av en blob.

Fortsätt med att dra statements från baken din.

Problemet är att det är väldigt få som gör det "rätt". De flesta som generar en nyckel använder någon form av pseudorandom number generator istället för en extern källa med sann entropi. Detta är extremt viktigt för t.ex. RSA-nycklar. Playstation 3-incidenten är ett bra exempel på hur viktigt det är med en bra seed.

Och det är inte alls "omöjligt" att knäcka en nyckel, men givet att det oftast är snabbare (och billigare) att köpa/stjäla sig till en - och det händer oftare än du tror. I detta specifika fall finns det inte ens ett behov att knäcka nyckeln när man kan angripa kontrollrutinerna.

Slutligen, om någon form av integritetsdata finns tillgängligt på tillverkares hemsida så är det oftast CRC, MD5 eller något annat junk. Givetvis från samma källa som man får hem filen som ska kontrolleras... what could possibly go wrong.