1. Foren
  2. » Kommentare
  3. » OpenSource
  4. » Alle Kommentare zum Artikel
  5. » Matthew Garrett: "Secure Boot ist…

Faszinierend wie er sich zur Hure machen lässt

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Faszinierend wie er sich zur Hure machen lässt

    Autor Casandro 30.03.13 - 12:31

    Würde er mal 10 Minuten über das Problem kritisch nachdenken, so würde er bemerken, dass das angebliche Sicherheitsproblem das "Secure Boot" lösen soll nicht existiert.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: Faszinierend wie er sich zur Hure machen lässt

    Autor hackCrack 30.03.13 - 12:47

    Secure Boot bringt kein bisschen was...
    Natürlich ist es schwieriger etwas einzuschleusen, dennoch aber möglich, da bin ich der festen überzeugung. Wenn eine linux distri. es hinbekommt bekommt es auch irgenein hacker hin...

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: Faszinierend wie er sich zur Hure machen lässt

    Autor robinx999 30.03.13 - 12:55

    hackCrack schrieb:
    --------------------------------------------------------------------------------
    > Secure Boot bringt kein bisschen was...
    > Natürlich ist es schwieriger etwas einzuschleusen, dennoch aber möglich, da
    > bin ich der festen überzeugung. Wenn eine linux distri. es hinbekommt
    > bekommt es auch irgenein hacker hin...

    Die Linux Distribution bekommt es aber nur hin, wenn entweder der von Microsoft Zertifzierte Bootloader benutzt wird, der zumindest einmal eine Interaktion des Nutzers benötigt. Oder wenn eigene Schlüssel im UEFI abgelegt werden und dafür muss der Benutzter mindestens einmal ins Setup Menu. Um UEFI in Setup modus zu schalten.

    Ob es sicherheitslücken gibt, dass muss sich zeigen und natürlich auch ob es dann die selben sicherheitslücken auf mehreren geräten gibt, oder ob man für jedes Gerät eine eigene Lücke nutzen muss könnte es schon Probleme machen soetwas von hackern aus der Ferne zu nutzen.

    Grundsätzlich ist eine zusätzliche Sicherheitsschicht nicht schlecht, solange der Nutzer die Kontrolle behält und auch eigene Schlüssel hinzufügen kann, da währe ein System mit Standard schnittstellen schon nett. Oder generell alles aus dem BIOS / UEFI Menu erledigen und dann von dort halt Schlüssel von z.B.: USB Sticks lesen, währe schon schön.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: Faszinierend wie er sich zur Hure machen lässt

    Autor Casandro 30.03.13 - 12:55

    Der Punkt ist der, wenn es irgendjemand schafft den Bootprozess ohne Secure Boot auszunutzen, dann hat er schon entweder physikalischen Zugriff, oder Betriebssystemszugriff. In beiden Fällen hat er eh gewonnen.

    Das einzige was Secure Boot machen kann ist solch einen Angriff in einen DoS umzuwandeln.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: Faszinierend wie er sich zur Hure machen lässt

    Autor Casandro 30.03.13 - 13:05

    Übrigens diese "zusätzliche Sicherheitsschicht unter der Kontrolle des Nutzers" gibts schon lange. Nennt sich Bootsector Protection und kann fast jedes BIOS.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: Faszinierend wie er sich zur Hure machen lässt

    Autor robinx999 30.03.13 - 14:18

    Casandro schrieb:
    --------------------------------------------------------------------------------
    > Übrigens diese "zusätzliche Sicherheitsschicht unter der Kontrolle des
    > Nutzers" gibts schon lange. Nennt sich Bootsector Protection und kann fast
    > jedes BIOS.

    Schützt nur sehr begrenzt. Würde nicht helfen, wenn ein Angreifer bei einem Vollverschlüsseltem Linux System den Kernel durch einen Kompromitierten austauscht, und würde auch nicht vor Manipualtionen schütze, wenn die Festplatte ausgebaut wurde und dann da der Bootloader ausgetauscht wurde

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Re: Faszinierend wie er sich zur Hure machen lässt

    Autor xUser 30.03.13 - 16:49

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > Casandro schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Übrigens diese "zusätzliche Sicherheitsschicht unter der Kontrolle des
    > > Nutzers" gibts schon lange. Nennt sich Bootsector Protection und kann
    > fast
    > > jedes BIOS.
    >
    > Schützt nur sehr begrenzt. Würde nicht helfen, wenn ein Angreifer bei einem
    > Vollverschlüsseltem Linux System den Kernel durch einen Kompromitierten
    > austauscht, und würde auch nicht vor Manipualtionen schütze, wenn die
    > Festplatte ausgebaut wurde und dann da der Bootloader ausgetauscht wurde

    Wenn man ein X-beliebiges Linux unter Secure Boot booten kann, dann kann man auf den gleichen Weg auch eine x-beliebige Malware booten.

    Wenn du bei einem verschlüsselten Linux den Kernel tauschen willst, musst du entweder den Schlüssel kennen, oder Live Root Rechte erlangen.

    Die Verschlüsselung kannst du auch direkt an der Tastertur abfangen.

    In beiden Fällen ist Secure Boot kein Sicherheitsgewinn, bzw. die Punkte im Artikel treffen zu.

    Wenn du Sicherheit möchtest, dann musst du die Platte verschlüsseln und von einem USB Stick Booten, den du wie einen Schlüssel immer bei dir trägst.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  8. Re: Faszinierend wie er sich zur Hure machen lässt

    Autor robinx999 30.03.13 - 17:23

    xUser schrieb:
    --------------------------------------------------------------------------------
    > robinx999 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Casandro schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Übrigens diese "zusätzliche Sicherheitsschicht unter der Kontrolle des
    > > > Nutzers" gibts schon lange. Nennt sich Bootsector Protection und kann
    > > fast
    > > > jedes BIOS.
    > >
    > > Schützt nur sehr begrenzt. Würde nicht helfen, wenn ein Angreifer bei
    > einem
    > > Vollverschlüsseltem Linux System den Kernel durch einen Kompromitierten
    > > austauscht, und würde auch nicht vor Manipualtionen schütze, wenn die
    > > Festplatte ausgebaut wurde und dann da der Bootloader ausgetauscht wurde
    >
    > Wenn man ein X-beliebiges Linux unter Secure Boot booten kann, dann kann
    > man auf den gleichen Weg auch eine x-beliebige Malware booten.
    >
    Wenn man die Microsoft Keys löscht und alles mit eigenen Keys versieht, dann kann man nur noch das Booten, was man selber signiert hat.
    Und belibige Linux Distris kann man glaube ich nicht booten wenn man das Bios /UEFI Passwort nicht kennt, da man soweit ich es verstanden habe, den rechner in einen "Setup Modus" versetzen muss, und dass sollte ohne das Passowort nicht möglich sein, wenn ich die ganzen Videos die ich zum thema secure boot gesehn habe richtig verstanden habe. Außerdem kann man sich die aktuellen Keys auch noch im BIOS / UEFI anschauen und so würde man Manipulationen entdecken.
    > Wenn du bei einem verschlüsselten Linux den Kernel tauschen willst, musst
    > du entweder den Schlüssel kennen, oder Live Root Rechte erlangen.
    >
    > Die Verschlüsselung kannst du auch direkt an der Tastertur abfangen.
    >
    Ja das habe ich auch nicht bestritten, wird bei Laptops aber je nach Modell schon recht aufwendig. Klar man könnte auch Kameras verstecken, die die Key eingabe filmen.
    > In beiden Fällen ist Secure Boot kein Sicherheitsgewinn, bzw. die Punkte im
    > Artikel treffen zu.
    >
    > Wenn du Sicherheit möchtest, dann musst du die Platte verschlüsseln und von
    > einem USB Stick Booten, den du wie einen Schlüssel immer bei dir trägst.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  9. Re: Faszinierend wie er sich zur Hure machen lässt

    Autor xUser 30.03.13 - 17:55

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > xUser schrieb:
    > ---------------------------------------------------------------------------
    > > Wenn man ein X-beliebiges Linux unter Secure Boot booten kann, dann kann
    > > man auf den gleichen Weg auch eine x-beliebige Malware booten.
    > >
    > Wenn man die Microsoft Keys löscht und alles mit eigenen Keys versieht,
    > dann kann man nur noch das Booten, was man selber signiert hat.
    > Und belibige Linux Distris kann man glaube ich nicht booten wenn man das
    > Bios /UEFI Passwort nicht kennt, da man soweit ich es verstanden habe, den
    > rechner in einen "Setup Modus" versetzen muss, und dass sollte ohne das
    > Passowort nicht möglich sein, wenn ich die ganzen Videos die ich zum thema
    > secure boot gesehn habe richtig verstanden habe. Außerdem kann man sich die
    > aktuellen Keys auch noch im BIOS / UEFI anschauen und so würde man
    > Manipulationen entdecken.
    > > Wenn du bei einem verschlüsselten Linux den Kernel tauschen willst,
    > musst

    Soweit zur Theorie. Die Praxis:

    Microsoft Schlüssel ist vorinstalliert und lässt sich nicht entfernen. Es lassen sich keine weiteren Schlüssel hinzufügen, bzw. die Funktionen ist total buggy.
    Das Bios ist nicht abgeriegelt, bzw. lässt sich zurücksetzen. Es existieren Master Passwörter für das Bios :/

    Die Boot Reihenfolge ist per Default so eingestellt, dass man von einen Datenträger (!= Festplatte) booten kann.

    Ist einer der oberen Punkt erfüllt, dann ist entweder keine Sicherheitsgewinn erreicht oder OSS wird ausgeschlossen.

    > > du entweder den Schlüssel kennen, oder Live Root Rechte erlangen.
    > >
    > > Die Verschlüsselung kannst du auch direkt an der Tastertur abfangen.
    > >
    > Ja das habe ich auch nicht bestritten, wird bei Laptops aber je nach Modell
    > schon recht aufwendig. Klar man könnte auch Kameras verstecken, die die Key
    > eingabe filmen.

    Ein Kamera zu verstecken ist zu aufwendig.
    Einen Keylogger bekommt man ganz gut eingebaut. Bei den meisten Modellen ist unter der Tastatur noch Platz und die Tastatur lässt sich ziemlich einfach entfernen.
    Zumindest bei den Business Modellen kommt du ganz leicht unter die Tastatur. Bei Consumer Modellen evtl. nicht, aber die profitieren eh nicht wirklich von Sicherheit, da dort der Hauptangriffsweg über ein live OS geht.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  10. Re: Faszinierend wie er sich zur Hure machen lässt

    Autor robinx999 30.03.13 - 18:04

    xUser schrieb:
    --------------------------------------------------------------------------------
    > robinx999 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > xUser schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > > Wenn man ein X-beliebiges Linux unter Secure Boot booten kann, dann
    > kann
    > > > man auf den gleichen Weg auch eine x-beliebige Malware booten.
    > > >
    > > Wenn man die Microsoft Keys löscht und alles mit eigenen Keys versieht,
    > > dann kann man nur noch das Booten, was man selber signiert hat.
    > > Und belibige Linux Distris kann man glaube ich nicht booten wenn man das
    > > Bios /UEFI Passwort nicht kennt, da man soweit ich es verstanden habe,
    > den
    > > rechner in einen "Setup Modus" versetzen muss, und dass sollte ohne das
    > > Passowort nicht möglich sein, wenn ich die ganzen Videos die ich zum
    > thema
    > > secure boot gesehn habe richtig verstanden habe. Außerdem kann man sich
    > die
    > > aktuellen Keys auch noch im BIOS / UEFI anschauen und so würde man
    > > Manipulationen entdecken.
    > > > Wenn du bei einem verschlüsselten Linux den Kernel tauschen willst,
    > > musst
    >
    > Soweit zur Theorie. Die Praxis:
    >
    > Microsoft Schlüssel ist vorinstalliert und lässt sich nicht entfernen. Es
    > lassen sich keine weiteren Schlüssel hinzufügen, bzw. die Funktionen ist
    > total buggy.
    doch der lässt sich entfernen http://www.rodsbooks.com/efi-bootloaders/secureboot.html
    Punkt "Replacing Your Firmware's Keys"
    > Das Bios ist nicht abgeriegelt, bzw. lässt sich zurücksetzen. Es existieren
    > Master Passwörter für das Bios :/
    >
    Bei einigen ja bei anderen Nein. Master Passwörter sind eigentlich Out. Der Support hat mitlerweile Spezielle USB Sticks, die das BIOS Passwort umgehen (hab ich zumindest schonmal in Aktion gesehn). Klar vieleicht kommt ein Einbrecher auch da dran und hebelt es so aus, aber es ist halt eine zusätzliche Schutzeinrichtung, weil sonst könnte man auch sagen ich brauche die Haustür nicht abschließen, da sie ein Eibrecher sowiso knacken kann.
    > Die Boot Reihenfolge ist per Default so eingestellt, dass man von einen
    > Datenträger (!= Festplatte) booten kann.
    >
    Das kann man absichern bzw. der Boot würde wegen fehlendem Key scheitern
    > Ist einer der oberen Punkt erfüllt, dann ist entweder keine
    > Sicherheitsgewinn erreicht oder OSS wird ausgeschlossen.
    >
    OSS wird doch nicht ausgeschlossen wenn ich eigene Keys hinzufügen und löschen kann, solange ich mein BIOS / UEFI Passwort kenne. Wenn ich keine Keys hinzufügen kann, solange ein mir Unbekanntes Passwort gesetzt ist, ja dann ist es ein sicherheitsgewinn und schließt nichts aus.
    > > > du entweder den Schlüssel kennen, oder Live Root Rechte erlangen.
    > > >
    > > > Die Verschlüsselung kannst du auch direkt an der Tastertur abfangen.
    > > >
    > > Ja das habe ich auch nicht bestritten, wird bei Laptops aber je nach
    > Modell
    > > schon recht aufwendig. Klar man könnte auch Kameras verstecken, die die
    > Key
    > > eingabe filmen.
    >
    > Ein Kamera zu verstecken ist zu aufwendig.
    > Einen Keylogger bekommt man ganz gut eingebaut. Bei den meisten Modellen
    > ist unter der Tastatur noch Platz und die Tastatur lässt sich ziemlich
    > einfach entfernen.
    > Zumindest bei den Business Modellen kommt du ganz leicht unter die
    > Tastatur. Bei Consumer Modellen evtl. nicht, aber die profitieren eh nicht
    > wirklich von Sicherheit, da dort der Hauptangriffsweg über ein live OS
    > geht.
    Ja wobei man natürlich auch eine Zeit Frage hat, wie lange ist so ein Notebook unbeaufsichtigt und wie lange habe ich für Manipulationen zeit

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige

Haben wir etwas übersehen?

E-Mail an news@golem.de


Display Scanout Engine: Xbox, streck das Bild!
Display Scanout Engine
Xbox, streck das Bild!

Die Xbox One berechnet viele Spiele nicht nativ in 1080p. Stattdessen vergrößern ein Hardware-Scaler oder einige Softwareschritte niedrigere Auflösungen. Beide Lösungen bieten Vor- und Nachteile, welche die Bildqualität oder Bildrate beeinflussen.

  1. Xbox One Upgedated und preisgesenkt
  2. Xbox One Microsoft denkt über Xbox-360-Emulation nach
  3. Xbox One Inoffizielle PC-Treiber für Controller erhältlich

Facebook und Oculus Rift: Vier Prognosen zu Faceboculus
Facebook und Oculus Rift
Vier Prognosen zu Faceboculus

Der erste Shitstorm hat sich gelegt. Und Oculus gehört immer noch Facebook. Was ändert das jetzt? Und was bedeutet das für die Zukunft? Wer sich mit Entwicklern und Experten unterhält, der kann einige erste Schlüsse ziehen.

  1. Oculus Rift 25.000 Exemplare der neuen Dev-Kit-Version verkauft
  2. Developer Center Sicherheitslücke bei Oculus VR
  3. Oculus VR "Wir haben nicht so viele Morddrohungen erwartet"

Windows XP ade: Linux ist nicht nur ein Lückenfüller
Windows XP ade
Linux ist nicht nur ein Lückenfüller

Wenn der Support für Windows XP ausläuft, wird es dringend Zeit, nach einer sicheren und vor allem kostenlosen Alternative zu suchen. Linux ist dafür bestens geeignet. Bleibt nur noch die Qual der Wahl.

  1. Open Source Linux 3.15 startet in die Testphase
  2. Linux-Kernel LTO-Patch entfacht Diskussion
  3. Linux-Distribution Opensuse baut um und verschiebt Version 13.2

  1. Verband: "Uber-Verbot ruiniert Ruf der Startup-Stadt Berlin"
    Verband
    "Uber-Verbot ruiniert Ruf der Startup-Stadt Berlin"

    Eine einstweilige Verfügung gegen Uber und zuvor ein Gesetz über das Verbot der Zweckentfremdung von Wohnraum, dass 9flats aus der Stadt vertrieb. Der Startup-Verband fragt: "Wer gründet schon ein Unternehmen in Berlin, wenn er mit Verbot rechnen muss?"

  2. Kabel Deutschland: 2.000 Haushalte zwei Tage von Kabelschaden betroffen
    Kabel Deutschland
    2.000 Haushalte zwei Tage von Kabelschaden betroffen

    Durch einen Kabelschaden waren zweitausend Haushalte vom Netz von Kabel Deutschland getrennt. Über der Schadensstelle hatte ein parkender Wagen die Arbeiten behindert.

  3. Cridex-Trojaner: Hamburger Senat bestätigt großen Schaden durch Malware
    Cridex-Trojaner
    Hamburger Senat bestätigt großen Schaden durch Malware

    Hundertfünfzig Rechner in der Hamburger Verwaltung sind im Januar 2014 tagelang durch den Cridex-Trojaner lahmgelegt worden. Das hat der Senat bestätigt. Der Trojaner installiert auch einen Keylogger, doch einen Datenverlust hat es angeblich nicht gegeben.


  1. 20:20

  2. 19:26

  3. 19:02

  4. 17:52

  5. 17:10

  6. 17:02

  7. 17:00

  8. 16:22