Sicherheit des ASUS BIOS Upgrade

Code & Zahlen

Vor einigen Monaten habe ich mir ein neues Mainboard von ASUS gekauft. Ich hatte mir das Mainboard ausgesucht, weil es mit einem normalen AMD Prozessor ECC RAM unterstützt. Die mitgelieferte Software unter Windows erlaubt eigentlich auch das aktualisieren. Allerdings hat das nicht so sonderlich gut funktioniert. Also habe ich das von deren Webseite herunterladen und über einen USB-Stick durchführen wollen. Das Mainboard hat hinten einen extra USB-Slot, mit dem man BIOS-Updates durchführen kann. Gerade hatte ich mir auch einen neuen USB-Stick gekauft, so dass ich das sogar ohne große Bad-USB Risiken genießen konnte.

Auf der Webseite habe ich dann die Software gefunden, die ich brauche. Allerdings ging der Download von der Firmware nur über HTTP. Das muss man sich auf der Zunge zergehen lassen: Die Firmware für das Mainboard, die tiefste und und mächtigste Ebene des Rechners bekommt ein Softwareupdate. Und das lädt man über eine unverschlüsselte Verbindung herunter. Es wäre ein leichtes für einen Angreifer in der Mitte einfach die Datei auszutauschen. Mit diversen Programmen, die die Geheimdienste so fahren, lässt sich mein Vorhaben früh erkennen und mir eine andere Datei unterjubeln. Diese installiere ich dann auf meinem Rechner und derjenige hat die Software noch deutlich unter dem Betriebssystem verankert.

Das empfinde ich als grob fahrlässig und habe mal ASUS über deren Webseite kontaktiert. Hier der ganze Gesprächsverlauf. Es ist ziemlich traurig, das schon mal vorweg.

ich habe gerade mein BIOS aktualisiert und dabei über Ihre Webseite das Update in einem unverschlüsselten Download erhalten. Es ist brutal fahrlässig eine derart kritische Software ohne Verschlüsselung herunterladen zu lassen. Bitte bessern Sie hier nach und bieten HTTPS für die Downloads an.

Dann bekam ich als Antwort die Bestätigung, dass das mit der Sprachwahl nicht so gut geklappt hat:

My name is Matthew and I will try my best to assist you issue. Please feel free to rate our service according to the solution provided in the questionnaire that will be sent to you shortly after our reply to your inquiry.

You have reached ASUS SOUTH AFRICA, please reply to this e-mail in english for us to be able to help you.

Should you have any further questions, please do not hesitate to get back in touch with us.

Dann habe ich das ganze noch mal in Englisch geschrieben:

so what I wrote in the initial request is the following:

I have just updated the BIOS firmware of my Asus mainboard using a USB Thumbdrive. The download of the firmware from the Asus website was over an unencrypted HTTP connection. That means that any attacker on the network or ISP level could just give me a different download. Since the BIOS is at such a low level, malware implanted at this level would be able to do great harm.

So I ask you to offer the BIOS firmware downloads over an HTTPS connection.

Antwort:

Unfortunatly the only place where I can recommend that you download the BIOS updates is from the Asus support page for your device, I cannot recommend downloding the updates from another page and the support page is the place where the updates are posted.

Im ernst? Es ist doch klar, dass man seine BIOS Updates nicht bei Chip oder einer noch unseriöseren Seite herunterlädt. Im besten Fall erhält man nur noch vier weitere Toolbars für den Internet Explorer. Die haben also überhaupt nicht verstanden, was das Problem eigentlich ist. Das macht mich schon wütend.

Also habe ich da dann zurückgeschrieben:

Unfortunatly the only place where I can recommend that you download the BIOS updates is from the Asus support page for your device, I cannot recommend downloding the updates from another page and the support page is the place where the updates are posted.

I am not sure that you really understood my point. Downloading the updates from a third-party site is insane. On a third-party site you have no idea what kind of stuff they put into the installer.

What I am talking about is the security of downloads from your official ASUS website! On your website, the download is run over HTTP which is not encrypted and unverified and therefore insecure by default. Any man-in-the-middle could easily exchange the downloaded BIOS update with a file of his choosing. This man-in-the-middle could be my ISP (internet service provider), compromised firmware in my router or even the government somewhere.

So please change your downloads to HTTPS and deliver the BIOS updates securely to your customers. Otherwise it is too easy to implant malware in your customer's ASUS mainboard when they update them.

Bisher habe ich da allerdings keine Antwort enthalten. Vielleicht schreibe ich die noch mal an, wenn ich die Zeit dazu habe. Aber die Hoffnung, dass da irgendwas kommt, habe ich eher nicht.

Es tut einfach weh, wenn Leute für kritische Software verantwortlich sind und sich überhaupt nicht darum kümmern, ob das ganze sicher ist oder nicht. Die einzige Möglichkeit, die ich jetzt habe, ist halt ein Mainboard von einer anderen Firma zu nutzen. Bis dahin habe ich jetzt ein Firmwareupgrade da drauf wo ich mir einfach nicht sicher sein kann, ob das das legitime Update ist oder irgendwas untergeschobenes.