Secure Boot

Smalltalk
uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Secure Boot

Beitrag von uname » 11.08.2016 07:29:09

Hallo,

leider ist meine Hardware so alt, dass mir die Freuden von Secure Boot entgehen. Auch nutze ich kein Windows 10, wo laut [1] es wohl möglich ist Secure Boot aus der Ferne zu deaktivieren. Ich frage extra mal hier in Smalltalk: Wem außer der NSA könnte es nutzen Secure Boot aus der Ferne zu deaktivieren? Widerspricht das nicht dem Grundgedanken von Secure Boot? Vielleicht kann mir jemand erklären was Secure Boot wem überhaupt hilft? Wird das also tatsächlich irgendwo für gebraucht oder kann das weg? Mindestens gegen Malware hat es wohl nicht geholfen. War es nicht dafür konzipiert?

[1] http://www.heise.de/security/meldung/Ka ... 91946.html

schwedenmann
Beiträge: 5525
Registriert: 30.12.2004 15:31:07
Wohnort: Wegberg

Re: Secure Boot

Beitrag von schwedenmann » 11.08.2016 08:48:09

Hallo

@uname
Das hat nichts mnit malware zu tun, da hat MS kompletten Mist beim letzten update für win10 gemacht. Also schlön den ball flach halten ud nciht imerwieder der selbe beißrefelex (MS = böse Linux = super), ach ja den bug im updatesystem bei BSD u d bei Linux hast du dann vergessen.

Zurück zu secureboot. Bei großen Firmen, wo direkt mehrere tausend PC auf einmal upgedatetd werden, ist es durchaus sinnvoll, secureboot und damit nur signierte Sw zulassen. Das ist ein Sicherheitsgewinn. Ob man das als EintelplatzPC zuhause benbötigt, ist eine andere Sache, aber in großen Umgebungen ist das durchaus von Vorteil.

mfg
schwedenmann

pferdefreund
Beiträge: 3791
Registriert: 26.02.2009 14:35:56

Re: Secure Boot

Beitrag von pferdefreund » 11.08.2016 10:26:50

Secure Boot sorgt dann wohl auch dafür, dass ein Einbrecher nicht einfach nen Rechner per Live-CD starten kann um dann
die Platte abzuziehen, verschlüsseln oder was auch immer. Ja er könnte die auch mitnehmen - aber eventuell will der ja,
dass keiner was merkt. Z. B die Schlapphüte

guennid

Re: Secure Boot

Beitrag von guennid » 11.08.2016 11:04:37

uname hat geschrieben:leider ist meine Hardware so alt, dass mir die Freuden von Secure Boot entgehen.
Ist hier genauso. :wink:

Doch! Eine Maschine, die als Fernseher missbraucht wird, habe ich; und da habe ich beim Zusammenbau leider vergessen, diesen Punkt mit dem Handwerker abzusprechen. Ich vermute mal, dass das jessie darauf jetzt im UEFI-Modus läuft (ist wohl irgendein Verzeichnis, dessen Existenz sowas dem Laien anzeigt, Namen habe ich schon wieder vergessen). Habe mich Gott sei Dank bisher nicht darum kümmern müssen. Und bevor der erhobene Zeigefinger jetzt wieder kommt: Ich mach' auch keinen Ölwechsel bei meinem Oppel :mrgreen:

Grüße, Günther

Benutzeravatar
Revod
Beiträge: 3788
Registriert: 20.06.2011 15:04:29
Lizenz eigener Beiträge: MIT Lizenz

Re: Secure Boot

Beitrag von Revod » 11.08.2016 12:38:10

guennid hat geschrieben:.... Und bevor der erhobene Zeigefinger jetzt wieder kommt: Ich mach' auch keinen Ölwechsel bei meinem Oppel :mrgreen:

Grüße, Günther
Der arme Opel... :mrgreen:

Musste mich bisher auch nicht mit dem " Unglück " beschäftigen. Ich habe die letzten 15 Jahren von keinen einzigen Fall gehört, oder darüber gelesen was das UEFI Vorbeugung Szenario begründet ist. Es kommt mir so vor und so erweckt es mir das Eindruck, je mehr Zeit vergangen ist seid dem UEFI raus kam desto mehr Pannen häufen sich scheinbar und alte Probleme sind immer noch nicht gelöst.

1. https://www.thomas-krenn.com/de/wiki/UEFI_Secure_Boot

Und immer noch erkenne ich im Secure Boot nur einen Zweck, ausschliesslich Rechner ( egal in welcher Form auch immer ) mit dem Win System Berechtigung.

Unter " 1. ( Vorteile: Bericht ) " liest man von Aufdeckung, doch nicht vor Hinderung, oder gar Schutz und was der Signatur angeht... na ja, man kanns auch unter Nachteile nach lesen wie sinnvoll das ist. Zu dem, seid 30 Jahren, ist es dem " M&S " jemals gelungen eine * gefährliche Hintertür * zu schliessen jemals gelungen ( vielleicht 1 bis 3, dafür 30 weitere geöffnet )?

Ich sehe mit dem Secure Boot nur Hindernisse und Nachteile.

Seid 30 Jahren klappte das Verkauf Erfolg mit vorgetäuschte Sicherheit, warum daher nicht weiter so machen? :twisted: :mrgreen:

@ schwedenmann

Bitte nicht missverstehen, ist kein " M&S vs. Linux " Vergleich, sondern schlichtweg eine Feststellung, die sich mit unzählige Artikeln im Internet belegen lassen und da gibt es gar auch Videos auf YT, von echte Experten die darüber berichten.

Und PS wegen der Libarche-2,1, bei mir bereits auf Version 3.2.1 geupdatet und gut ist. :mrgreen:

An diese Stelle, danke an dem TE über Libarchive wodurch ich erst aufmerksam wurde.
Systemd und PulseAudio, hmmm, nein danke.

Benutzeravatar
Canaglie
Beiträge: 14
Registriert: 07.05.2016 08:48:26

Re: Secure Boot

Beitrag von Canaglie » 11.08.2016 16:19:16

Revod hat geschrieben:
guennid hat geschrieben:.... Und bevor der erhobene Zeigefinger jetzt wieder kommt: Ich mach' auch keinen Ölwechsel bei meinem Oppel :mrgreen:

Grüße, Günther
Der arme Opel... :mrgreen:
Gemeint war sicherlich, dass du den Ölwechsel nicht selbst machst, oder?

guennid

Re: Secure Boot

Beitrag von guennid » 11.08.2016 19:57:00

Canaglie hat geschrieben:Gemeint war sicherlich, dass du den Ölwechsel nicht selbst machst, oder?
Nö. :mrgreen:

Aber ich kann sowas! :wink:

Benutzeravatar
Blackbox
Beiträge: 4289
Registriert: 17.09.2008 17:01:20
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Secure Boot

Beitrag von Blackbox » 12.08.2016 08:56:44

Tröstet euch, »Secure«boot ist kaputt [1].
Es gibt also nichts zu sehen, bitte gehen sie weiter!

[1] http://heise.de/-3291946

Ich habe »Secure«boot auf allen Systemen deaktiviert.
Bei zukünftiger Hardware wird das nicht mehr so einfach umzusetzen sein, denn Microsoft hat mit der Einführung von Windows 10, die Regeln für kompatible Hardware geändert.
Hat Microsoft den Hardwareherstellern früher vorgeschrieben, es muss möglich sein, ein alternatives System booten zu können, und TPM und »Secure«boot deaktivierbar zu halten.
Hat sich das mit Windows 10 geändert.
Seitdem ist TPM (2.0) verpflichtend, also nicht mehr deaktivierbar, Secureboot muss keinen Schalter zum deaktivieren mehr besitzen.
Außerdem muss es auch nicht mehr möglich sein, ein alternatives OS booten zu können.

Und jetzt dürft ihr raten, wie die meisten Hardwarehersteller die neuen Regeln umsetzen werden ...
Zuletzt geändert von Blackbox am 12.08.2016 09:06:24, insgesamt 1-mal geändert.
Eigenbau PC: Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Desktop PC: Dell Inspiron 530 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Notebook: TUXEDO BU1406 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Alles Minimalinstallationen und ohne sudo/PA/PW.
Rootserver: Rocky Linux 9.3 - Kernel: 5.14

Freie Software unterstützen, Grundrechte stärken!

Benutzeravatar
Canaglie
Beiträge: 14
Registriert: 07.05.2016 08:48:26

Re: Secure Boot

Beitrag von Canaglie » 12.08.2016 09:01:51

Blackbox hat geschrieben:Seitdem ist TPM (2.0) und Secureboot verpflichtend, also nicht mehr deaktivierbar, und es muss auch nicht mehr möglich sein, ein alternatives OS booten zu können.
Wenn ich diese Gruppenrichtlinie, um die es geht und die Secureboot "kaputt" gemacht hat, richtig verstehe, kann man darüber auch auf Geräten, die Firmwareseitig keine Deaktivierung von Secureboot erlauben, Secureboot deaktivieren. Korrigiert mich, wenn ich irre.

Benutzeravatar
Blackbox
Beiträge: 4289
Registriert: 17.09.2008 17:01:20
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Secure Boot

Beitrag von Blackbox » 12.08.2016 09:10:13

Ich habe meinen Text noch einmal überarbeit, sodass dieser hoffentlich jetzt eindeutiger, bzw. verständlicher ist?
Eigenbau PC: Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Desktop PC: Dell Inspiron 530 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Notebook: TUXEDO BU1406 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Alles Minimalinstallationen und ohne sudo/PA/PW.
Rootserver: Rocky Linux 9.3 - Kernel: 5.14

Freie Software unterstützen, Grundrechte stärken!

Benutzeravatar
Revod
Beiträge: 3788
Registriert: 20.06.2011 15:04:29
Lizenz eigener Beiträge: MIT Lizenz

Re: Secure Boot

Beitrag von Revod » 25.05.2017 11:58:53

Hi, dieses Thread " ist etwas " älter, trotzdem finde ich es hier passend.

Vor ca. 3 Wochen gab es Weltweit erfolgreiche Hacker Attacken auf die " M&S " Systeme ( Kam in den Nachrichten. Auf Linux Systeme weiss ich nichts davon ) um Daten der Benutzer und Firmen zu verschlüsseln und um danach für Geld den Passwort zu erhalten um an seine Daten wieder ran zu kommen zu können.

Ich weiss nicht wie das ganze von sich geht, ob es eine spezielle xy.exe braucht, oder Hacker online mit direktes Zugriff auf fremde Rechner auf die HD's Daten verschlüsseln.

Wäre eine xy.exe nötig so beweist es mir, dass das ganze " UEFI " im Grunde keinen reelles Schutz vor Angriffe ist, was ich in andere Threads auch bereits sagte ( Fragt mich bloss nicht bei welche, ich weiss es nicht mehr ).

Wie ich auch bereits sagte, wenn Schadsoftware sich installieren kann geschieht das während der Betriebszeit eines System, was dann UEFI nicht verhindern kann und ich vermute schwer noch, bei vielen Schadsoftware merkt Secure Boot nichts davon.

Oder wie konnten ein paar wenige Hacker in so kurze Zeit hundert tausende von Rechner infizieren?

Wie ich " M&S " in Erinnerung habe über den Schutz, waren alle Schutzmassnahmen schlichtweg dilettantisch und hatten nur eine sehr niedrige Sicherheit, bis gar keine. Bestätigt mich, Schutzmechanismen aus dem Hause " M&S " sind immer noch Augenwischerei, auch wenn in der Annahme von ca. 1000 Rechner bei einen Rechner der UEFI effektiv war um die Verbreitung zu vermeiden in dem es nicht durch bootete.
Systemd und PulseAudio, hmmm, nein danke.

DeletedUserReAsG

Re: Secure Boot

Beitrag von DeletedUserReAsG » 25.05.2017 12:01:56

a) wer ist »" M&S "«?
b) glaubst du, UEFI wurde von Noobs entwickelt?

Benutzeravatar
Revod
Beiträge: 3788
Registriert: 20.06.2011 15:04:29
Lizenz eigener Beiträge: MIT Lizenz

Re: Secure Boot

Beitrag von Revod » 25.05.2017 12:35:59

niemand hat geschrieben:a) wer ist »" M&S "«?
b) glaubst du, UEFI wurde von Noobs entwickelt?
" M&S " > keine Ahnung... :mrgreen:

" ... Noobs... " ... so kommt es mir jedenfalls vor. Nachdem Secure Boot auf dem Markt kam und heuer, vermutlich weit verbreitet ist sind mir keine Tatsachen bekannt über der erwiesene, wirksame Schutz Tatsachen bekannt, was es alles bisher vermeiden konnte ( Im Internet konnte ich bisher keine Dokumentation über erwiesene, erfolgreiche Wirksamkeit finden, nur über das was es kann, können sollte ).
Systemd und PulseAudio, hmmm, nein danke.

DeletedUserReAsG

Re: Secure Boot

Beitrag von DeletedUserReAsG » 25.05.2017 12:38:40

Im Internet konnte ich bisher keine Dokumentation über erwiesene, erfolgreiche Wirksamkeit finden
Konntest du denn Dokumente über einen erwiesenen, erfolgreichen Angriff über diesen Vektor bei aktiviertem Secure Boot finden?

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: Secure Boot

Beitrag von breakthewall » 25.05.2017 12:50:23

Was haben UEFI und Secure-Boot nun konkret mit WannaCry und einer SMB-Lücke in Windows zutun, wodurch die Ransomware von Windows zu Windows springen konnte? Das sind zwei völlig unterschiedliche paar Stiefel. Es ist nebenbei auch nicht die Aufgabe von Secure-Boot, irgendwelche web-basierenden Windows-Infektionen zu verhindern, sondern den Bootprozess abzusichern um Manipulationen vorzubeugen. Aber da Microsoft Secure-Boot via Windows-Update ohnehin ausser Kraft gesetzt hat, indem sie fahrlässig den Golden-Masterkey veröffentlicht haben, sind nun weltweit alle Systeme unsicher die nicht permanent UEFI-Updates einspielen. Und man kann sich denken, wie viele Menschen idR. BIOS-Updates einspielen. Meist nämlich überhaupt nicht, womit der alte Golden-Masterkey in jenen System verbleibt. Diverse Schadsoftware muss sich nur damit signieren, und schon wird Secure-Boot bequem überwunden. Und es ist durchaus eine Gefahr gegeben, dass eine Infektion in Windows selbst, unter Umständen derart signiert das UEFI-BIOS selbst befallen könnte.

DeletedUserReAsG

Re: Secure Boot

Beitrag von DeletedUserReAsG » 25.05.2017 12:52:55

Dass man Software, also auch die UEFI-Firmware, aktuell halten sollte, um nicht mit bekannten Lücken rumzusitzen, ist kein zu großes Geheimnis.

Benutzeravatar
Revod
Beiträge: 3788
Registriert: 20.06.2011 15:04:29
Lizenz eigener Beiträge: MIT Lizenz

Re: Secure Boot

Beitrag von Revod » 25.05.2017 12:58:46

@ niemand

Verstehe Deine Frage nicht,
niemand hat geschrieben: Konntest du denn Dokumente über einen erwiesenen, erfolgreichen Angriff über diesen Vektor bei aktiviertem Secure Boot finden?
ich habe noch keinen Board mit UEFI, und siehe meine Frage aus meinen Posting,
Revod hat geschrieben:....
Oder wie konnten ein paar wenige Hacker in so kurze Zeit hundert tausende von Rechner infizieren?
....
Danke, breakthewall, der Erklärung / Aufklärung. Wie ich Dich nun verstehe, ist durch das Secure Boot " Schutz Massnahme " noch einen grösseres Risiko entstanden und noch einen schwerer Schaden möglich, der womöglich bis hin zur Unbrauchbarkeit eines Board führen könnte!?
Systemd und PulseAudio, hmmm, nein danke.

DeletedUserReAsG

Re: Secure Boot

Beitrag von DeletedUserReAsG » 25.05.2017 13:07:17

Du solltest zumindest eine Zusammenfassung der Funktion von Secure Boot durchlesen. Es ist dafür da, dass nur signierte Komponenten gebootet werden können. Es soll z.B. vor Bootsektorviren (gibt’s die eigentlich noch im nennenswerten Umfang?) schützen, aber auch, und nicht zuletzt, gegen Manipulation des Systems, das gebootet wird. Kurz: es soll verhindern, dass jemand mit ’nem Knoppix-Stick mal eben die Kiste bootet und auf dem System rumpfuscht. Es hat nichts mit Laufzeitinfektionen zu schaffen.

Ich persönlich fände Secure Boot echt nicht schlecht – wenn ich meinen eigenen Schlüssel hinterlegen und alle anderen rausschmeißen könnte, so dass nur von mir selbst signierter Kram gebootet werden kann. Mit den Schlüsseln bei großen, nicht unbedingt vertrauenswürdigen, Unternehmen ist’s der gleiche Unsinn, wie mit den CAs – wobei man bei denen immerhin lokal ’ne eigene fahren, und halt auch alle anderen aus seinem System rauskannten könnte.

Benutzeravatar
Revod
Beiträge: 3788
Registriert: 20.06.2011 15:04:29
Lizenz eigener Beiträge: MIT Lizenz

Re: Secure Boot

Beitrag von Revod » 25.05.2017 20:06:11

Ok danke auch Dir, niemand. Doch so wie ich es nun verstehe ( Ja hatte es in einer Wiki gelesen ) hat auch dieses Zusatz seinen Vor- und Nachteil, so wie Du selber schilderst. Musste mich nie damit auf einen Rechner befassen, für mich nur Theorien ohne praktische Erfahrungen. Ich weiss auch nicht ob es deaktivierbar ist, wenn man eben Knoppix, oder eine andere Linux Live CD um z. B. aus irgend einen Grund die eigene Daten retten zu wollen, ohne die HD auszubauen zu müssen.

Kurz um, überzeugen tut es mich immer noch nicht, weil 100%-ige Sicherheit niemals geben wird, nur die Höhe der Hürde. Und wie aus der Schilderung von " breakthewall " besteht das Risiko für BIOS Schaden, was ich bezüglich Sicherheit <> Risiko Abwägung eher für eine grössere Gefahr halte, als für besseres Schutz ( Und Schlüssel können geknackt werden ).

Und bezüglich des booten, so ähnlich habe ich es mit dem UEFI verstanden. Glaube, für mich auch nicht klar differenzierbar zwischen UEFI und Secure Boot.

Wie ich es auch verstanden hatte ( Missverstanden ) Secure Boot und UEFI sollen auch infizierte Systeme verhindern zu booten um so Malware Verbreitung von Rechner zu Rechner zu hindern.

Mich scheint es einfach, alles was an Schutz neu entwickelt wird können Angreifer es für ihr eigenes Interesse für sich selber nutzbar machen. Simpel gesagt, wird eine Türe geschlossen werden dadurch 2 andere geöffnet. Deswegen finde ich es nicht das " das gelbe vom Ei " wie es angepriesen wurde.
Systemd und PulseAudio, hmmm, nein danke.

DeletedUserReAsG

Re: Secure Boot

Beitrag von DeletedUserReAsG » 25.05.2017 20:58:49

UEFI ist das Firmwareinterface, Secure Boot eine Funktion der Firmware. Welche zwei Türen werden deiner Meinung nach denn für Angreifer geöffnet, wenn ich Secure Boot anschalte und fortan nur noch signierte Kernel/Loader booten kann?

Benutzeravatar
Revod
Beiträge: 3788
Registriert: 20.06.2011 15:04:29
Lizenz eigener Beiträge: MIT Lizenz

Re: Secure Boot

Beitrag von Revod » 25.05.2017 21:50:45

... und es werde Licht ... danke :)

Zwei Türen, na ja, so wie es " breakthewall " beschrieben hat,
breakthewall hat geschrieben:... Aber da Microsoft Secure-Boot via Windows-Update ohnehin ausser Kraft gesetzt hat, indem sie fahrlässig den Golden-Masterkey veröffentlicht haben, sind nun weltweit alle Systeme unsicher die nicht permanent UEFI-Updates einspielen. Und man kann sich denken, wie viele Menschen idR. BIOS-Updates einspielen. Meist nämlich überhaupt nicht, womit der alte Golden-Masterkey in jenen System verbleibt. Diverse Schadsoftware muss sich nur damit signieren, und schon wird Secure-Boot bequem überwunden. Und es ist durchaus eine Gefahr gegeben, dass eine Infektion in Windows selbst, unter Umständen derart signiert das UEFI-BIOS selbst befallen könnte.
und wie unwahrscheinlich kann es sein, dass auch der neue Schlüssel und trotz Update nicht doch wieder gehackt werden könnte? Und wenn die Angreifer den BIOS noch infizieren können dann denke ich ist fertig mit " lustig " wenn ein neues Board deswegen gekauft werden soll, weil bis eine Gegenreaktion des Hersteller folgt wieder was dauern könnte ( Daher meine Sicht von " Hürde " und nicht Sicherheit ).

Muss zugeben, früher war ich immer froh keinen BIOS Update ausführen zu müssen, ein Vertipp Fehler und schon war das Board hin. Wie es heuer möglicherweise einfacher geworden ist kann ich nicht sagen, habe wirklich noch keinen neuen BIOS mit Mausgeschubse, oder UEFI Oberfläche gesehen.

Hack + BIOS infizieren = 2 Türen, in dem Sinne. Bis man es merkt vergeht womöglich auch eine gewisse Zeit, die der Angreifer noch schön für sich nutzen kann usw.

Und ja, die " ewigen M&S " grobe Lapsus erinnere ich mich noch aus der Vergangenheit. Z. B. wie hiess der Virus noch der den Rechner nach ein paar Sekunden wieder runter fahren liess? Haben es lange Zeit auf ihre Update Server gelassen ( Ca. vor 15 - 16 Jahren ).
Systemd und PulseAudio, hmmm, nein danke.

DeletedUserReAsG

Re: Secure Boot

Beitrag von DeletedUserReAsG » 25.05.2017 22:00:04

Microsoft ist ein privater Schlüssel entfleucht, aus neueren Firmware-Versionen wurde das öffentliche Gegenstück entsprechend entfernt – weswegen man die tunlichst einspielen sollte, wenn man Secure Boot zu dem Zweck nutzen will, für den’s entwickelt wurde.

Ich weiß nicht so recht, was du ständig mit „gehackt” meinst? Da wurde nichts gehackt. Und auch mit dem Schlüssel kann nichts „gehackt“ werden, damit kann nur Code so signiert werden, dass er bei aktivem Secure Boot geladen wird – sofern die Firmware eben nicht aktualisiert wurde. Die ganze Geschichte ist eh nur für die von Bedeutung, die Secure Boot überhaupt einsetzen (also im Debianumfeld wahrscheinlich: für keinen), insofern weiß ich immer noch nicht so recht, worauf du überhaupt hinauswillst.

Und was du mit „M&S“ meinst, ist mir ebenfalls weiterhin nicht klar.

Benutzeravatar
Revod
Beiträge: 3788
Registriert: 20.06.2011 15:04:29
Lizenz eigener Beiträge: MIT Lizenz

Re: Secure Boot

Beitrag von Revod » 25.05.2017 22:36:39

Ja der Linuxwelt betrifft das eher nicht stimmt ( Ausser wenn Secure Boot nicht deaktivierbar ist ), und daher wie anfänglich gesagt verstehen tue ich es auch nicht wirklich richtig. Ok, in dem Fall Schlüsselcode plus Signatur von Software... wie auch immer. Sorry für meinen Unwissen darüber und des erstes Post von heute in dieses Thread. ... entfleucht ... das wiederum nahm ich auch stark an ( Wie möglich ... ). Und weil ich es nicht 100%-ig verstehe kann ich es auch nicht richtig 100%-ig erklären.

Worauf ich hinaus will, jedes Code kann gehackt werden, da liegen meine Befürchtungen. Der daraus folgende Schaden kann für Benutzer eben grösser als bisher dagewesen sein, weil BIOS und Board Architektur sehr miteinander verbunden sind, aber letzteres weisst Du ja auch.

Wegen " M&S " ... ich dachte zuerst Du würdest wirklich nur scherzen, sollte ohne das " & " Zeichen nun besser zu verstehen sein... :mrgreen:
Systemd und PulseAudio, hmmm, nein danke.

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: Secure Boot

Beitrag von breakthewall » 25.05.2017 23:36:07

Revod hat geschrieben:Muss zugeben, früher war ich immer froh keinen BIOS Update ausführen zu müssen, ein Vertipp Fehler und schon war das Board hin. Wie es heuer möglicherweise einfacher geworden ist kann ich nicht sagen, habe wirklich noch keinen neuen BIOS mit Mausgeschubse, oder UEFI Oberfläche gesehen.
Das ist bedeutend einfacher geworden. Würde sogar sagen das es verpflichtend wird regelmäßig UEFI-Updates einzuspielen. Zumal das Konstrukt dahinter komplexer ist als zuvor, und auch schon einige Sicherheitslücken hatte. Ebenso können auf diese Weise aber auch Fehler diverser Art behoben werden, damit der PC letztlich wieder besser läuft. Der Trend geht eben deutlich in Richtung statusloser Hardware, sprich langsam aber sicher werden immer mehr Hardwarekomponenten zu aktualisieren sein. Und damit ist nun mal die frühere Sicherheit weg, als es noch Schreibschutzjumper gab und effektiv nichts der Hardware schaden konnte. Mit UEFI ist das völlig anders, und es gab auch schon ein Proof of Concept einer UEFI-Ransomware, die mittels Windows 10 und an allen Sicherheitsfunktionen vorbei installiert wurde. Von daher ist das keine Theorie mehr. Und ist das UEFI-BIOS einmal infiziert worden, ist das Mainboard erst mal Abfall. Da hilft nur noch das Einschicken zum Hersteller um es neu flashen zu lassen. Nur ob sich nicht auch in anderer Hardware etwas eingenistet hat, weiß man dann immer noch nicht. Vermutlich ist man unter unixioden Betriebssystemen besser geschützt, doch generell muss halt ein Umdenken stattfinden, weil fahrlässige Nutzung nun wirklich schwere Folgen haben kann, auch wenn solche Angriffe bislang noch Mangelware sind. Mit einer Formatierung der Festplatte ist es dann eben nicht mehr getan, wenn mal so ein Fall eintreten sollte. Daher muss schon das installierte System gut abgesichert sein, und sollte möglichst mit Verstand benutzt werden.
Revod hat geschrieben:Ja der Linuxwelt betrifft das eher nicht stimmt ( Ausser wenn Secure Boot nicht deaktivierbar ist )
Für Tablets und Laptops würde Ich meine Hand nicht ins Feuer legen, doch bei Desktops wird das sicher immer zu deaktivieren sein. Besonders wenn man selbst zusammenbaut wo schon prinzipiell nichts verdongelt sein darf.

Benutzeravatar
Revod
Beiträge: 3788
Registriert: 20.06.2011 15:04:29
Lizenz eigener Beiträge: MIT Lizenz

Re: Secure Boot

Beitrag von Revod » 26.05.2017 01:10:32

breakthewall hat geschrieben:... Und damit ist nun mal die frühere Sicherheit weg, als es noch Schreibschutzjumper gab und effektiv nichts der Hardware schaden konnte. Mit UEFI ist das völlig anders, und es gab auch schon ein Proof of Concept einer UEFI-Ransomware, die mittels Windows 10 und an allen Sicherheitsfunktionen vorbei installiert wurde. Von daher ist das keine Theorie mehr. Und ist das UEFI-BIOS einmal infiziert worden, ist das Mainboard erst mal Abfall. Da hilft nur noch das Einschicken zum Hersteller um es neu flashen zu lassen. Nur ob sich nicht auch in anderer Hardware etwas eingenistet hat, weiß man dann immer noch nicht...
... dann lag ich ( Sinnlich ) mit meine " Befürchtungen " und " ... zwei Türen ... " doch nicht so daneben, danke auch für diese Aufklärung. Genau, das mit dem Jumper war eine sehr gute Sache, stimmt, vor dem BIOS Update musste man zuerst umstecken und aus Sicherheitsgründe keinen Schaden am Hilfsbios zu verursachen auch vorerst die Batterie raus spicken lassen. Eigentlich schade, vom gut altbewährtes abzukommen. Auch danke über diese Wissenserfrischung. Ich finde, wozu " fremdes " verhindern zu booten? Um das zu können muss erst Mal physikalisch der Rechner unter Strom sein und man muss davor Sitzen und daher ergibt für mich das Secure Boot immer noch keinen Sinn. Und bei einen Einbruch... HD können ausgebaut werden usw.

Und ja, wenn irgend was sich noch in andere Chip verstecken können muss man immer davon ausgehen, ist die gleiche alte, bösartige rootkit Technik. Eigentlich eigenartig, Malware nutzt noch altbewährtes und die neue Sicherheit angreifbar mit alte Technik ( Ein Hauptgrund für Schreibschutz Jumper, man wusste schon warum )... :mrgreen:

... im Grunde eher ärgerlich als erfreulich.

BIOS einfachere Update, hatte ich vermutet, danke der Bestätigung. Und Mausbedienung im BIOS Interface kenne ich vom hören sagen.

Jepp, UEFI und Tablets, Notebooks Betreff Deaktivierung war auch klar. Bei Neukauf stets richtig " gucken " und die mit dem vor installiertes Win... System, wie Surface eher meiden ( Falls ich Mal wieder einen Neukauf brauchen würde dann kommen nur Linux kompatibel und ohne Win.... System in Frage ).
Systemd und PulseAudio, hmmm, nein danke.

Antworten