Schede madri MSI, Secure Boot non funziona come dovrebbe?

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/skmadr...be_113294.html

Un ricercatore di sicurezza polacco ha identificato quella che ritiene essere un'impostazione di default errata per quanto riguarda Secure Boost nei firmware delle motherboard MSI. Con la voce predefinita selezionata si permette l'avvio di codice non firmato in fase di boot.

Click sul link per visualizzare la notizia.

[WarSide]

Avranno voluto ridurre a 0 le richieste di assistenza dei niubbi che non sanno cosa sia secureboot e vogliono installare le robe più disparate e scaricate da chissà dove

[Perseverance]

Questi oggetti sono per un mercato di appassionati e fai-da-te, si deve presumere che chi compra l'oggetto sappia come usarlo. MSI ha fatto benissimo a disattivare quelle opzioni, anzi, dovrebbero in via predefinita farlo tutti i marchi.

--EDIT--

Quote:

Originariamente inviato da LL1

Avete volutamente banalizzato la notizia mettendo in discussione l'incuria dell'utente ma la cosa è ben più fine di come appunto l'avete messa a causa del fatto che sicuramente non avete capito nulla in merito all'oggetto del discutere.

Edito, infatti avevo capito tutt'altro: il fatto che tengo spento secureboot e vorrei fosse di default su tutto è un desiderio personale e non c'entra col problema riportato.

[silvanotrevi]

quelli che leggo qui sono problemi di sicurezza molto gravi e inaccettabili. Personalmente non comprerò mai più una scheda madre Msi

[Saturn]

Quote:

Originariamente inviato da Perseverance

Questi oggetti sono per un mercato di appassionati e fai-da-te, si deve presumere che chi compra l'oggetto sappia come usarlo. MSI ha fatto benissimo a disattivare quelle opzioni, anzi, dovrebbero in via predefinita farlo tutti i marchi.

Esatto.

Quote:

Originariamente inviato da silvanotrevi

quelli che leggo qui sono problemi di sicurezza molto gravi e inaccettabili. Personalmente non comprerò mai più una scheda madre Msi

Quali problemi di sicurezza ? E' un'opzione da abilitare, tutto qui. Se assembli un pc la prima cosa che fai è aggiornare il bios all'ultima versione e settarlo come si deve. Altrimenti compri un assemblato. Che poi servisse davvero questo secureboot, fai una breve ricerca e vedi quanto è efficace nel garantire "l'integrità e la sicurezza dei tuoi dati" !

[silvanotrevi]

Quote:

Originariamente inviato da Saturn

Esatto.



Quali problemi di sicurezza ? E' un'opzione da abilitare, tutto qui. Se assembli un pc la prima cosa che fai è aggiornare il bios all'ultima versione e settarlo come si deve. Altrimenti compri un assemblato. Che poi servisse davvero questo secureboot, fai una breve ricerca e vedi quanto è efficace nel garantire "l'integrità e la sicurezza dei tuoi dati" !

queste parole nell'articolo non mi sembrano tanto confortanti:

"Ho deciso di configurare Secure Boot sul mio nuovo desktop con l'aiuto di sbctl. Sfortunatamente, ho scoperto che il mio firmware accettava ogni immagine del sistema operativo che gli fornivo, indipendentemente dal fatto che fosse attendibile o meno", spiega il ricercatore nel suo articolo. "Come ho scoperto in seguito, non si trattava solo di un firmware rotto; MSI aveva modificato le impostazioni predefinite di Secure Boot per consentire l'avvio in caso di violazioni della sicurezza (!!)"

no comment. Da parte mia mai più Msi e ringrazio i redattori per aver reso nota una cosa così grave

[LL1]

Quote:

Originariamente inviato da silvanotrevi

quelli che leggo qui sono problemi di sicurezza molto gravi e inaccettabili. Personalmente non comprerò mai più una scheda madre Msi

stessa posizione sulla gravità (in generale infatti un utente non ha certo gli strumenti e/o capacità per poter verificare in autonomia se certe tecnologie sono implementate correttamente e si fida dunque di chi professionalmente fornisce il supporto al prodotto certificandolo oltretutto come aderente a determinate specifiche)

[Saturn]

Quote:

Originariamente inviato da silvanotrevi

queste parole nell'articolo non mi sembrano tanto confortanti:

"Ho deciso di configurare Secure Boot sul mio nuovo desktop con l'aiuto di sbctl. Sfortunatamente, ho scoperto che il mio firmware accettava ogni immagine del sistema operativo che gli fornivo, indipendentemente dal fatto che fosse attendibile o meno", spiega il ricercatore nel suo articolo. "Come ho scoperto in seguito, non si trattava solo di un firmware rotto; MSI aveva modificato le impostazioni predefinite di Secure Boot per consentire l'avvio in caso di violazioni della sicurezza (!!)"

no comment. Da parte mia mai più Msi e ringrazio i redattori per aver reso nota una cosa così grave

Ma che no-comment ? Ma quale grave ? Significa che oltre a Windows potevano partire anche sistemi operativi scritti dal sottoscritto, tanto per fare un esempio ! Punto, stop. Ripeto assembli un pc e se proprio vuoi "l'illusione della sicurezza" abiliti il secure boot. Tra l'altro Win11 senza quello attivo neanche si installa, salvo magheggi nella iso. Ma qui finisce la storia. Stiamo parlando del nulla cosmico. Semplicemente hanno scelta di non attivarla di default. E hanno fatto bene. Neanche meritava una notizia. Ribadisco se non si conosce quello di cui si parla, meglio non spingersi troppo oltre...!

[Saturn]

Veramente ormai all'utente medio se non gli dai la "pappa pronta" e già masticata si mette a sbattere i piedi come un poppante.

Una volta si studiava il manuale della motherboard (ed era tosto) e poi si settava secondo le proprie esigenze.

Adesso facciamo causa a msi perchè sceglie, come suo diritto, di settare un opzione in un modo invece che in un altro.

Resto allibito. Che poi, il secureboot...una garanzia proprio !

Quote:

Originariamente inviato da LL1

stessa posizione sulla gravità (in generale infatti un utente non ha certo gli strumenti e/o capacità per poter verificare in autonomia se certe tecnologie sono implementate correttamente e si fida dunque di chi professionalmente fornisce il supporto al prodotto certificandolo oltretutto come aderente a determinate specifiche)

Che studi l'utente. O altrimenti che compri un pre-assemblato di marca o un Mac se non ha volontà di applicarsi UN MINIMO !

[StylezZz`]

Quote:

Originariamente inviato da silvanotrevi

quelli che leggo qui sono problemi di sicurezza molto gravi e inaccettabili. Personalmente non comprerò mai più una scheda madre Msi

MSI farà a meno di te

[ciolla2005]

Quote:

Originariamente inviato da silvanotrevi

quelli che leggo qui sono problemi di sicurezza molto gravi e inaccettabili. Personalmente non comprerò mai più una scheda madre Msi

Con le mani ciao ciao!

[giovanni69]

Quote:

Originariamente inviato da Saturn

Una volta si studiava il manuale della motherboard (ed era tosto) e poi si settava secondo le proprie esigenze.

Eh me li ricordo! E magari fossero belli grossi e dettagliati come allora.

[rattopazzo]

Quote:

Originariamente inviato da silvanotrevi

quelli che leggo qui sono problemi di sicurezza molto gravi e inaccettabili. Personalmente non comprerò mai più una scheda madre Msi

E Se fosse lo stesso windows ad avere un problema di sicurezza grave (ed è gia avvenuto molte volte) allora non useremo più sistemi operativi windows?
O se fosse Intel o AMD ad avere delle vulnerabilità nei loro processori? (ed è già avvenuto)

[Saturn]

Quote:

Originariamente inviato da rattopazzo

E Se fosse lo stesso windows ad avere un problema di sicurezza grave (ed è gia avvenuto molte volte) allora non useremo più sistemi operativi windows?
O se fosse Intel o AMD ad avere delle vulnerabilità nei loro processori? (ed è già avvenuto)

Questa era un NON NOTIZIA, de-facto. Che però fa il suo piccolo lavoro, infatti stiamo qui a parlarne.

Il polacco Potocki (mai sentito nominare) ho praticamente scoperto che un opzione può essere settata su ON o su OFF. L'acqua calda praticamente ! Wow !

Continuo a non capire perchè secondo lui possa essere un problema.

Ribadisco, chi assembla un personal computer la prima cosa che deve fare è aggiornare il BIOS e personalizzarlo secondo le sue esigenze.

Io ad esempio non utilizzo il secure-boot. Neanche per Windows 11. Voglio avere la libertà di fare boot con quello che accidenti mi pare e non è certo quello che garantisce la sicurezza delle mie macchine. Che dopo venga richiesto attivo addirittura di alcuni videogiochi (se non sbaglio) è un altro paio di maniche. Ma anche qui chi assembla per il gaming si curerò di controllare se arrivo.

[LL1]

Avete volutamente banalizzato la notizia mettendo in discussione l'incuria dell'utente ma la cosa è ben più fine di come appunto l'avete messa a causa del fatto che sicuramente non avete capito nulla in merito all'oggetto del discutere.

A prescindere dall'efficacia o meno della tecnologia in questione, se un utente qualunque guarda l'interfaccia della schermata incriminata (Security/Secure Boot) può osservare chiaramente che la voce di interesse è flaggata (quindi, da per buono quello che viene detto ed è sereno nel passare oltre).




Vi sfido infatti ad affermare che voi, nella stessa circostanza, sapevate che il nocciolo si sarebbe celato dietro il percorso Image Execution Policy a dispetto di quello che recitava la voce precedente.



Perché se si, dovreste a questo punto spiegare al mondo (visto che neppure il BIOS lo specifica) qual è la differenza tra Always Execute & Allow Execute (o Defer Execute, tanto per dire: io non la so...ma ho una scheda Asus per cui è capace che il manuale utente reciti qualcosa a riguardo, estremamente improbabile) ...




Oltretutto, l'utente veniva ingannato anche da System information (in Windows, è capace non sappiate nemmeno di cosa si parla vista appunto la superficialità delle risposte) che, alla voce Secure Boot attivo o meno, recitava "ATTIVO".

Problema gravissimo, i vostri tentativi di banalizzarlo denotano altro.

Saluti ed evitate di far girare il contatore dei post se non capite fino in fondo le notizie (o, meglio, più che le rielaborazioni dei redattori di questa testata, le FONTI originarie).

[Saturn]

Quote:

Originariamente inviato da LL1

Avete volutamente banalizzato la notizia mettendo in discussione l'incuria dell'utente ma la cosa è ben più fine di come appunto l'avete messa a causa del fatto che sicuramente non avete capito nulla in merito all'oggetto del discutere.

A prescindere dall'efficacia o meno della tecnologia in questione, se un utente qualunque guarda l'interfaccia della schermata incriminata (Security/Secure Boot) può osservare chiaramente che la voce di interesse è flaggata (quindi, da per buono quello che viene detto ed è sereno nel passare oltre).


Vi sfido infatti ad affermare che voi, nella stessa circostanza, sapevate che il nocciolo si sarebbe celato dietro il percorso Image Execution Policy a dispetto di quello che recitava la voce precedente.

Perché se si, dovreste a questo punto spiegare al mondo (visto che neppure il BIOS lo specifica) qual è la differenza tra Always Execute & Allow Execute (o Defer Execute, tanto per dire: io non la so...ma ho una scheda Asus per cui è capace che il manuale utente reciti qualcosa a riguardo, estremamente improbabile) ...

Oltretutto, l'utente veniva ingannato anche da System information (in Windows, è capace non sappiate nemmeno di cosa si parla vista appunto la superficialità delle risposte) che, alla voce Secure Boot attivo o meno, recitava "ATTIVO".

Problema gravissimo, i vostri tentativi di banalizzarlo denotano altro.

Saluti ed evitate di far girare il contatore dei post se non capite fino in fondo le notizie (o, meglio, più che le rielaborazioni dei redattori di questa testata, le FONTI originarie).

Allora non ci siamo capiti. Ritento per l'ultima volta poi abbandono l'impresa, tanto non devo convincere nessuno. Sarò una mosca bianca ma io ho faccio la radiografia, la TAC ad ogni sezione del bios. E col cavolo che mi sarei perso questa opzione. Il bios della scheda madre lo configuro una volta solo ma lo configuro bene. A me dell'utente "normale" poco mi interessa.

Mi scarico i manuali della motherboard, come ho sempre fatto in quasi quarant'anni di informatica visto che il formato cartaceo è sparito e poi agisco, setto. E soprattutto aggiorno all'ultima versione, sempre curandomi di leggere i changelog e capire che modifiche hanno apportato.

Non si deve "dare per buono" niente quando configuri per la prima volta una scheda madre. É un atteggiamento superficiale che può costare in stabilità e performances, oltre che sicurezza.

Detto questo, per l'ennesima volta, io preferire avere di DEFAULT il SECUREBOOT DISABILITATO. Sarà mia cura, se lo riterrò opportuno ATTIVARLO.

p.s. se un'opzione non ti risulta chiara, ti vai ad informare, Internet è utilissimo in questo, non serve solo per i social e per altre sciocchezze. É nato per condividere informazioni.

L'utente "non viene ingannato", l'utente se decide di assemblare un pc in autonomia DEVE SAPERE. Una volta se non sapevi il fatto tuo neanche un HDD riuscivi a far riconoscere ad un bios !

Saluti anche a te. P.S. Riguardo la frase in grassetto, tranquillo si posta per confrontarsi, il dibattito duro lo aizzi tu con certe frasi.

[LL1]

allora, cortesemente, spiega (visto che non lo sa nessuno compreso il manuale utente) la differenza di cui sopra (Always Execute/Allow Execute, tanto per dire) visto che faresti un favore a milioni di utenti nel mondo.

E che significa poi Image Execution Policy in questo contesto quando il flag alla voce secure boot risulta attivo?

La verità è che stai accampando scuse per giustificare il niente e ribadisco che MAI un utente poteva pensare che, indipendentemente da quello che il flag diceva, era necessario intervenire su qualcosa di più profondo.

Beato te che sai ma ti guardi bene dal rispondermi ...

E beato te che continui ad addurre motivazioni senza aver capito la notizia:
tiri in ballo il fatto che hai cura di aggiornare il BIOS all'ultima release (stabile), ed è appunto proprio questo uno degli scenari contemplati & osservati dall'acuta fonte.

[Saturn]

Quote:

Originariamente inviato da LL1

allora, cortesemente, spiega (visto che non lo sa nessuno compreso il manuale utente) la differenza di cui sopra (Always Execute/Allow Execute, tanto per dire) visto che faresti un favore a milioni di utenti nel mondo.

E che significa poi Image Execution Policy in questo contesto quando il flag alla voce secure boot risulta attivo?

Guarda non faccio la carità o lavori pro-bono. Se sei interessato alle mie competenze sarà mia cura mandarti un preventivo per avere formazione specifiche sul settaggio delle motherboard. Se non vuoi spendere apri google e studia, pure tu ! Noi neanche quello avevamo, dovevamo affidarci ai manuali, spesso non aggiornarti e spaccarci la testa per riuscire a far funzionare i personal computer.

Quote:

Originariamente inviato da LL1

La verità è che stai accampando scuse per giustificare il niente e ribadisco che MAI un utente poteva pensare che, indipendentemente da quello che il flag diceva, era necessario intervenire su qualcosa di più profondo.

Beato te che sai ma ti guardi bene dal rispondermi ...

Pensiamo le stesse cose l'uno dell'altro.

Quote:

Originariamente inviato da LL1

E beato te che continui ad addurre motivazioni senza aver capito la notizia:
tiri in ballo il fatto che hai cura di aggiornare il BIOS all'ultima release (stabile), ed è appunto proprio questo uno degli scenari contemplati & osservati dall'acuta fonte.

Tiro in ballo (che oratore che sei) UNA delle cose da dare, non l'unica. Ma leggi quello che scrivo. Comunque passo e chiudo ! Basta. Anche altri utenti hanno spiegato le stesse cose. La colpa è mia è che persisto. Ma con questo messaggio mollo, tanto è come parlare ai muri.

[LL1]

ecco, bravo:
volatizzati visto che la frittata ormai è fatta e non apporti niente anzi

[Saturn]

Quote:

Originariamente inviato da WarSide

Avranno voluto ridurre a 0 le richieste di assistenza dei niubbi che non sanno cosa sia secureboot e vogliono installare le robe più disparate e scaricate da chissà dove

Quote:

Originariamente inviato da Perseverance

Questi oggetti sono per un mercato di appassionati e fai-da-te, si deve presumere che chi compra l'oggetto sappia come usarlo. MSI ha fatto benissimo a disattivare quelle opzioni, anzi, dovrebbero in via predefinita farlo tutti i marchi.

Quote:

Originariamente inviato da StylezZz`

MSI farà a meno di te

Quote:

Originariamente inviato da ciolla2005

Con le mani ciao ciao!

Quote:

Originariamente inviato da giovanni69

Eh me li ricordo! E magari fossero belli grossi e dettagliati come allora.

Quote:

Originariamente inviato da rattopazzo

E Se fosse lo stesso windows ad avere un problema di sicurezza grave (ed è gia avvenuto molte volte) allora non useremo più sistemi operativi windows?
O se fosse Intel o AMD ad avere delle vulnerabilità nei loro processori? (ed è già avvenuto)

Avete capito ? Ho fatto la frittata !

Quote:

Originariamente inviato da LL1

ecco, bravo:
volatizzati visto che la frittata ormai è fatta e non apporti niente anzi

Volatizzati dillo ad altri se permetti, sarebbe il caso di parlare in maniera calma ed educata ! Tu invece che apporti ? Quattro screenshot e il piagnisteo perchè non avete voglia o competenze per settare un bios ? Farsi un bagno d'umiltà non sarebbe sbagliato - ci sono ben altre opzioni per la sicurezza da settare correttamente nei bios delle quali probabilmente l' "utente medio" e chiunque stia facendo una tragedia greca per il secureboot probabilmente neanche ne conosce l'esistenza !

Ripeto gli assemblati fanno al caso vostro. Su quelli il bios ha quattro opzioni in croce e tutte per dare il minor margine possibile all'utente di toccare anche i settaggi più elementari !
Bello sarà quando TUTTI I SOFTWARE richiederanno pc Windows con TPM e SECUREBOOT ATTIVI solo per avviarsi ed avrai controllo zero. Stile smartphone. Ah che bella prospettiva.
Ma potrai sempre ritrovarti con dati crittografati da ransomware o lo stesso secureboot (come già successo) bellamente bucato e violato.

Forse sarebbe il caso di imparare ad usare correttamente i vostri pc - nella mia macchina principale, bios classico, stessa installazione da 13 anni, neanche l'OMBRA di un virus/malware o qualunque altra porcheria, rootkit compresi !