Nem túl biztonságos Secure Boot beállítást használnak az egyes MSI alaplapok

Nem hibáról, hanem egy döntésről beszélhetünk, ami nem kedvező alapértelmezett paraméterezést eredményez.

Dawid Potocki lengyel biztonsági szakértő nemrég tett közzé egy blogbejegyzést, amelyben ecsetelte, hogy az egyes MSI alaplapok alapértelmezett módban egy nem biztonságos Secure Boot beállítást használnak. Mint ismeretes, maga a Secure Boot egy biztonsági funkció az UEFI firmware-ekben, amely azt hivatott biztosítani, hogy az alaplap a bootfolyamat során csak megbízható forrásból származó, aláírt szoftverkódot futtasson, ezzel kerülve ki a különböző ártalmas UEFI bootkitek és rootkitek indítását.

A Secure Boot igazából a feladatát ellátja, de a funkcióhoz a gyártók különböző beállításokat is biztosítanak. Normál esetben az az ideális, ha a nem megbízható forrásból származó szoftvereket  a bootfolyamat során nem engedi futtatni a rendszer, ugyanakkor előfordulhat olyan helyzet, amikor ezt a felhasználó felül szeretné bírálni, és emiatt az egész szolgáltatás paraméterezhető, vagyis akár az is beállítható, hogy minden szoftvert futtasson.

Az egyes MSI alaplapok esetében úgy néz ki, hogy az úgynevezett Always Execute paraméter az alapvető Secure Boot konfiguráció, ami önmagában nem hiba, mert ennek a beállításnak a megléte fontos, viszont biztonsági szempontok alapján erősen megkérdőjelezhető döntés ezt gyári alapértelmezett módként használni. Sokkal inkább a csak megbízható forrást engedő Deny Execute beállításnak kellene élnie alapból, és majd a felhasználó megváltoztatja, ha akarja.

A fentiek mellett maga a Secure Boot működik az egyes MSI alaplapokon, tehát funkcionálisan minden rendben van, csak az alapértelmezett paraméterezés tekinthető furcsa választásnak. A vállalat reagált is a helyzetre, és elmondásuk szerint az Always Execute beállítással felhasználóbarát környezetet szerettek volna kínálni, miközben opcionálisan használható a Deny Execute annak, aki magasabb biztonsági igényekkel rendelkezik. Erre így önmagában azt lehet mondani, hogy a cégnek ez az álláspontja, és bizonyos nézőpontokból érthető is, de észben kell tartani, hogy nagyon sokan azt se tudják, hogy mi az a Secure Boot. A kevésbé felkészült felhasználóknak valószínűleg nem jut eszébe manuálisan átállítani az alapértelmezett működést biztonságosabbra, és ilyen szempontból felmerül az a kérdés, hogy a termék gyártója mennyire felel az ügyfeleinek biztonságáért. Erre már nehéz nagyon egyértelműen válaszolni, de az MSI elárulta, hogy készítenek olyan BIOS-okat, ahol a Deny Execute paraméter lesz az alapértelmezett, így igazodva az ügyfeleik igényeihez.

Ami egyértelműen az MSI felelőssége, hogy a Secure Boot alapértelmezett beállításának megváltoztatását nem dokumentálta. Az egyes alaplapokon a régebbi BIOS-okban a Deny Execute paraméter volt az alap, majd egy frissebb verziótól kezdve már az Always Execute. Még ha a gyártó úgy is gondolta, hogy ez a döntés jobb az ügyfeleinek, akkor is figyelmeztetést kellene kiadni a változás kapcsán, hogy ne a felhasználók vegyék észre a Secure Boot nem éppen biztonságos működését. Ergo egy gyártónak megvan a lehetősége arra, hogy egy korábban elfogadott beállítást megváltoztasson, csak fontos, hogy arról a hivatalos csatornákon keresztül tájékoztassa az ügyfeleket. Ezt az MSI elfelejtette megtenni, és ez hiba volt.

Az ügy kapcsán az alábbi GitHub oldal gyűjti össze az érintett MSI alaplapokat, és a biztonság érdekében, az érintett BIOS-okon érdemes is élni a Deny Execute opcióra való manuális áttéréssel.

  • Kapcsolódó cégek:
  • MSI

Előzmények

Hirdetés