Mit Secure Boot unsignierte DKMS Module laden [unmöglich]

[DeletedUserReAsG]

Das Bios könnte mit dem "neuen" UEFI nach wie vor "zugänglich" sein.

Es gibt Management Engines und ähnlichen Kram, der quasi neben dem eigentlichen OS läuft. Mit UEFI oder Secureboot hat’s aber erstmal nicht direkt etwas zu tun.

[rockyracoon]

@niemand:
Schon klar - Aber:
In einem Thread hier (ich weiß den Link nicht mehr) war jemand zum Beispiel zurecht darüber erstaunt, dass man mit UEFI aus Windows heraus das Bios updaten kann. Das heißt aus meiner bescheidenen laienhaften Sicht, dass man aus dem Betriebssystem heraus auf das Bios zugreifen kann. Und das halte ich nicht für "secure" sondern für "vulnerable". Es kann aber natürlich sein, dass ich mich irre. Es wäre nicht das erste Mal.

[DeletedUserReAsG]

In einem Thread hier (ich weiß den Link nicht mehr) war jemand zum Beispiel zurecht darüber erstaunt, dass man mit UEFI aus Windows heraus das Bios updaten kann.

Eigentlich war’s aber schon immer™ so, dass zum Update des BIOS oder UEFI ein OS gestartet werden muss. Gerne wurde ein dediziertes DOS genommen, weil’s kein Multitasking hat, und daher keine anderen Prozesse den recht sensiblen Update-Prozess stören können, aber genausogut ging’s in der Regel direkt von Windows aus (wenngleich manche Hersteller drauf bestanden haben, dass ein reines DOS gebootet wird – aus o.g. Grund).

Die Möglichkeit, das Update direkt vom UEFI-/BIOS-Menü direkt aus zu fahren, ist erst viel später gekommen, und noch gar nicht soo alt.

[debianuser4782]

@niemand:
Schon klar - Aber:
In einem Thread hier (ich weiß den Link nicht mehr) war jemand zum Beispiel zurecht darüber erstaunt, dass man mit UEFI aus Windows heraus das Bios updaten kann. Das heißt aus meiner bescheidenen laienhaften Sicht, dass man aus dem Betriebssystem heraus auf das Bios zugreifen kann. Und das halte ich nicht für "secure" sondern für "vulnerable". Es kann aber natürlich sein, dass ich mich irre. Es wäre nicht das erste Mal.

Ja, ein Angriff auf den BIOS aus einem OS heraus ist möglich. Es gibt da auch einige Artikel bei heise.de und golem.de dazu.
Könnte man einen infizierten oder kompromittierten BIOS über ein Update desselben über seine eigene Update-Funktion eigentlich wieder "heilen"?
Und ist die Installation einer minimalen Linux-Distribution (ggf mit selbst kompilierten minimalen Kernel) genauso anfällig für diesbezügliche Angriffe wie Windows 10? Wenn nein, wäre es wohl besser niemals Windows auf einem Rechner zu installieren, wenn man ganz sicher gehen möchte. Dasselbe gilt wohl auch für übrige Firmware, die nicht zum BIOS gehört.

[nudgegoonies]

Dann würde ich an deiner Stelle erst einmal mit Secure Boot tiefer einsteigen und einen MOK (Machine Owner Key) erzeugen und im BIOS installieren, damit auch wirklich nur DU derjenige bist, der Signaturen ausstellen kann.

Was nützt dir Secure-Boot, wenn für dich nicht klar nachvollziehbar/belegbar ist, wer das Recht hat Software für deinen Boot-Prozess zu signieren?

Das werde ich sicher mal ausprobieren ob ich damit signiert booten kann ohne den Kernel-Lockdown. Aber erst sobald ich privat auch einen UEFI-BIOS Laptop habe. Auf meinem Firmenrechner ist das BIOS für mich leider tabu.

[nudgegoonies]

In einem Thread hier (ich weiß den Link nicht mehr) war jemand zum Beispiel zurecht darüber erstaunt, dass man mit UEFI aus Windows heraus das Bios updaten kann. Das heißt aus meiner bescheidenen laienhaften Sicht, dass man aus dem Betriebssystem heraus auf das Bios zugreifen kann. Und das halte ich nicht für "secure" sondern für "vulnerable". Es kann aber natürlich sein, dass ich mich irre. Es wäre nicht das erste Mal.

Die Frage ist, passiert das wirklich aus Windows heraus? Oder ist das wie bei fwpdate unter Linux, dass da einmalig der Updater auf die UEFI Partition kommt, danach durch einen Neustart in diesen Updater gebooted wird, und nach dem nächsten BOOT-Vorgang wieder weggeputzt wird. Was aber bedeutet, dass diese Firmware-Updater ja auch wieder signiert sein müssen.