[gelöst] BIOS Integrität prüfen

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Phatalis
Beiträge: 6
Registriert: 15.01.2018 09:34:59

[gelöst] BIOS Integrität prüfen

Beitrag von Phatalis » 28.05.2018 04:25:36

Hallo,

vor nicht allzu langer Zeit habe ich bei einer Diskussion zum Thema Sicherheit gelesen, dass auch heute noch von einem infizierten BIOS eine gewisse Gefahr ausgehen könnte. Kann ich das mit den Bordmitteln von Debian überprüfen?
Zuletzt geändert von Phatalis am 28.05.2018 16:33:20, insgesamt 1-mal geändert.

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: BIOS Integrität prüfen

Beitrag von breakthewall » 28.05.2018 05:36:56

Bedauere aber das geht nicht. Insbesondere nicht bei einem proprietären UEFI-BIOS. Du kannst zwar mit mehreren Programmen gewisse Werte eines BIOS auslesen, aber nicht verifizieren ob das laufende BIOS nun korrekt bzw. vertrauenswürdig ist. Sollte es tatsächlich einmal kompromittiert sein, dann kann Dir das BIOS jeden beliebigen Wert bzw. Zustand vorspielen, um Dich in Sicherheit zu wiegen. Normalerweise sollte oberste Priorität haben, dass eigene System erstens aktuell zu halten, und zweitens entsprechend zu pflegen wie auch Sicherheitsmechanismen anzuwenden, um irgendwelchen Infektionen durch Schadsoftware vorzubeugen.

Aber je nach Hersteller eines Mainboards gibt es ohnehin verschiedene BIOS-Implementierungen, was öfters in Form eines Dual-BIOS vorzufinden ist. Somit gibt es hier zwei Chips auf dem Mainboard, mit zwei identischen BIOS-Implementierungen, wovon eine zur regulären Nutzung dient und auch aktualisiert werden kann, während die andere nicht beschreibbar ist und sozusagen als Fallback dient, sofern das reguläre BIOS ausfallen oder kompromittiert sein sollte. Von daher dürfte eine Kompromittierung nicht so einfach sein, wenn es nicht gerade grob fahrlässige Fehler gibt, oder ein Angreifer direkt am Mainboard Hand anlegen kann. Eine freie Alternative wäre auch einfach Coreboot zu nutzen, nur steht man dann wieder vor dem Problem, dass das kaum offiziell unterstützt wird, und einem gewissermaßen UEFI aufgezwungen wird wenn man auch nur ein halbwegs modernes Mainboard haben will. Die besten Chancen bezüglich Coreboot, hat man wohl mit einem Chromebook bzw. Purism Librem 13/15.

BenutzerGa4gooPh

Re: BIOS Integrität prüfen

Beitrag von BenutzerGa4gooPh » 28.05.2018 13:59:34

Kann ich das mit den Bordmitteln von Debian überprüfen?

Was denn genau???

In den BIOSen professioneller Hardware (Thin Clients, Server) z. B: Trusted Platform Management (TPM) vorhanden und deaktivierbar.
https://en.wikipedia.org/wiki/Trusted_Platform_Module
Was sagen deine möglichen BIOS-Einstellungen? Mal im Hardware Reference Guide deines Servers Bedeutung nachgelesen?

Für professionelle Server gibt es weitere Protokolle, z. B. um sogar BIOS remote zu konfigurieren, ein beliebiges Betriebssystem zu booten (PXE usw.). Hast du einen Server mit speziellem Management-Port? Welche Protokolle einstellbar?

Am Ende geht es bezüglich "Management-Sicherheit" darum, ein halbwegs bequemes Management für den Admin aus dem LAN zu haben - aus dem WAN/Internet/WLAN gesperrt oder nur für den Admin durchdringbar. Dafür hilft ein Firewall-Regelwerk nebst Zertfikaten und Schutz gegen DOS. Gibt viele Management-Möglichkeiten:
Intel ME und AMDs Pendant, Ciscos Smart Installation (SMI) und no vstack selber googeln
usw.
(Cisco ist oft "pöhse" und unwissende Möchtegern-Admins schimpfen auf Ciscos Bösigkeit (z. B. SMI/vstack, leicht nutzbar oder leicht deaktivieŕbar oder per WAN nicht erreichbar zu konfigurieren nach einmaliger Nutzung/Inbtriebnahme durch Remote-Admin).
... dass auch heute noch von einem infizierten BIOS eine gewisse Gefahr ausgehen könnte
Wie auch nicht, wie von jedem infizierten System (selbst Mensch mit MRSA). Konkrete, beantwortbare Fragen?

Nochmals gefragt, worum geht es dir? Welches Management-Protokoll welcher Hardware? Vorrangig professionelle Server und Clients (PCs) für zentrales Management interessant. Dein Problem besteht worin?

@all: TPM im BIOS einfach mal nachsehen, selbst entscheiden, vorher Bedeutuung nachlesen:
Kritik
TPM Chips werden bisher nur eingeschränkt verwendet, da sie die Kontrollmöglichkeiten der Nutzer stark einschränken. Das Fernhalten unerwünschter Software kann beispielsweise sowohl Virensoftware als auch Konkurrenzsoftware betreffen[9].

Das BSI schreibt in der Pressemeldung „Stellungnahme des BSI zur aktuellen Berichterstattung zu MS Windows 8 und TPM“ vom 21. August 2013, dass für Nutzergruppen, die „sich aus verschiedenen Gründen nicht um die Sicherheit ihrer Systeme kümmern können […], sondern dem Hersteller des System vertrauen […]“, „Windows 8 in Kombination mit einem TPM durchaus einen Sicherheitsgewinn bedeuten“ kann.

Allerdings beschreibt das BSI auch, dass durch die Verwendung von Windows und TPM 2.0 ein „Verlust an Kontrolle über […] Betriebssystem und […] Hardware“ einhergehe. „Insbesondere können auf einer Hardware, die mit einem TPM 2.0 betrieben wird, mit Windows 8 durch unbeabsichtigte Fehler des Hardware- oder Betriebssystemherstellers, aber auch des Eigentümers des IT-Systems Fehlerzustände entstehen, die einen weiteren Betrieb des Systems verhindern.“ Laut BSI kann dies soweit gehen, dass sogar die „Hardware dauerhaft nicht mehr einsetzbar ist“. Gleiche Situationen bezeichnet das BSI für Bundesverwaltung und für andere Anwender, insbesondere auf kritischen Infrastrukturen, als nicht akzeptabel und bemängelt auch, dass auf diesem Wege Sabotage möglich ist.[10]
https://de.wikipedia.org/wiki/Trusted_Platform_Module
Im BIOS eines kürzlich konfiguriertem Thin Clients (HP) war TPM deaktivierbar.

Am Ende geht es rein darum, von Herstellern bereit gestellte Managementfunktionen für eine Vielzahl von (professionellen) Clients und Servern clever zu nutzen - aus dem LAN, nur von den Mangamentstationen mehrerer Firmen-Admins (1st/2nd-Level-Support) - und nicht von aussen, nicht vom WAN, nicht von Fremden! Keinen Hersteller (Geheimdienst?) wird ein Privat-PC und desseln unwissender (BIOS-) Admin großartig interessieren.

KP97
Beiträge: 3403
Registriert: 01.02.2013 15:07:36

Re: [gelöst] BIOS Integrität prüfen

Beitrag von KP97 » 28.05.2018 20:55:29

@Phatalis
Da Du Deinen Thread als gelöst gekennzeichnet hast, wird Deine Anfrage wohl beantwortet sein.
Zum guten Ton im Forum und auch die Höflichkeit gebietet es, sich bei den Helfern zu bedanken.
Die machen das freiwillig in ihrer Freizeit, zumal die Antworten sehr ausführlich waren und daher sicher auch zeitaufwändig.

Wer sich so als neuer User im Forum präsentiert, dürfte künftig mit wenig Hilfe rechnen.

Antworten