1. Foren
  2. Kommentare
  3. OpenSource
  4. Alle Kommentare zum Artikel
  5. › Matthew Garrett: "Secure Boot ist…

Faszinierend wie er sich zur Hure machen lässt

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Faszinierend wie er sich zur Hure machen lässt

    Autor Casandro 30.03.13 - 12:31

    Würde er mal 10 Minuten über das Problem kritisch nachdenken, so würde er bemerken, dass das angebliche Sicherheitsproblem das "Secure Boot" lösen soll nicht existiert.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: Faszinierend wie er sich zur Hure machen lässt

    Autor hackCrack 30.03.13 - 12:47

    Secure Boot bringt kein bisschen was...
    Natürlich ist es schwieriger etwas einzuschleusen, dennoch aber möglich, da bin ich der festen überzeugung. Wenn eine linux distri. es hinbekommt bekommt es auch irgenein hacker hin...

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: Faszinierend wie er sich zur Hure machen lässt

    Autor robinx999 30.03.13 - 12:55

    hackCrack schrieb:
    --------------------------------------------------------------------------------
    > Secure Boot bringt kein bisschen was...
    > Natürlich ist es schwieriger etwas einzuschleusen, dennoch aber möglich, da
    > bin ich der festen überzeugung. Wenn eine linux distri. es hinbekommt
    > bekommt es auch irgenein hacker hin...

    Die Linux Distribution bekommt es aber nur hin, wenn entweder der von Microsoft Zertifzierte Bootloader benutzt wird, der zumindest einmal eine Interaktion des Nutzers benötigt. Oder wenn eigene Schlüssel im UEFI abgelegt werden und dafür muss der Benutzter mindestens einmal ins Setup Menu. Um UEFI in Setup modus zu schalten.

    Ob es sicherheitslücken gibt, dass muss sich zeigen und natürlich auch ob es dann die selben sicherheitslücken auf mehreren geräten gibt, oder ob man für jedes Gerät eine eigene Lücke nutzen muss könnte es schon Probleme machen soetwas von hackern aus der Ferne zu nutzen.

    Grundsätzlich ist eine zusätzliche Sicherheitsschicht nicht schlecht, solange der Nutzer die Kontrolle behält und auch eigene Schlüssel hinzufügen kann, da währe ein System mit Standard schnittstellen schon nett. Oder generell alles aus dem BIOS / UEFI Menu erledigen und dann von dort halt Schlüssel von z.B.: USB Sticks lesen, währe schon schön.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: Faszinierend wie er sich zur Hure machen lässt

    Autor Casandro 30.03.13 - 12:55

    Der Punkt ist der, wenn es irgendjemand schafft den Bootprozess ohne Secure Boot auszunutzen, dann hat er schon entweder physikalischen Zugriff, oder Betriebssystemszugriff. In beiden Fällen hat er eh gewonnen.

    Das einzige was Secure Boot machen kann ist solch einen Angriff in einen DoS umzuwandeln.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: Faszinierend wie er sich zur Hure machen lässt

    Autor Casandro 30.03.13 - 13:05

    Übrigens diese "zusätzliche Sicherheitsschicht unter der Kontrolle des Nutzers" gibts schon lange. Nennt sich Bootsector Protection und kann fast jedes BIOS.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: Faszinierend wie er sich zur Hure machen lässt

    Autor robinx999 30.03.13 - 14:18

    Casandro schrieb:
    --------------------------------------------------------------------------------
    > Übrigens diese "zusätzliche Sicherheitsschicht unter der Kontrolle des
    > Nutzers" gibts schon lange. Nennt sich Bootsector Protection und kann fast
    > jedes BIOS.

    Schützt nur sehr begrenzt. Würde nicht helfen, wenn ein Angreifer bei einem Vollverschlüsseltem Linux System den Kernel durch einen Kompromitierten austauscht, und würde auch nicht vor Manipualtionen schütze, wenn die Festplatte ausgebaut wurde und dann da der Bootloader ausgetauscht wurde

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Re: Faszinierend wie er sich zur Hure machen lässt

    Autor xUser 30.03.13 - 16:49

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > Casandro schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Übrigens diese "zusätzliche Sicherheitsschicht unter der Kontrolle des
    > > Nutzers" gibts schon lange. Nennt sich Bootsector Protection und kann
    > fast
    > > jedes BIOS.
    >
    > Schützt nur sehr begrenzt. Würde nicht helfen, wenn ein Angreifer bei einem
    > Vollverschlüsseltem Linux System den Kernel durch einen Kompromitierten
    > austauscht, und würde auch nicht vor Manipualtionen schütze, wenn die
    > Festplatte ausgebaut wurde und dann da der Bootloader ausgetauscht wurde

    Wenn man ein X-beliebiges Linux unter Secure Boot booten kann, dann kann man auf den gleichen Weg auch eine x-beliebige Malware booten.

    Wenn du bei einem verschlüsselten Linux den Kernel tauschen willst, musst du entweder den Schlüssel kennen, oder Live Root Rechte erlangen.

    Die Verschlüsselung kannst du auch direkt an der Tastertur abfangen.

    In beiden Fällen ist Secure Boot kein Sicherheitsgewinn, bzw. die Punkte im Artikel treffen zu.

    Wenn du Sicherheit möchtest, dann musst du die Platte verschlüsseln und von einem USB Stick Booten, den du wie einen Schlüssel immer bei dir trägst.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  8. Re: Faszinierend wie er sich zur Hure machen lässt

    Autor robinx999 30.03.13 - 17:23

    xUser schrieb:
    --------------------------------------------------------------------------------
    > robinx999 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Casandro schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Übrigens diese "zusätzliche Sicherheitsschicht unter der Kontrolle des
    > > > Nutzers" gibts schon lange. Nennt sich Bootsector Protection und kann
    > > fast
    > > > jedes BIOS.
    > >
    > > Schützt nur sehr begrenzt. Würde nicht helfen, wenn ein Angreifer bei
    > einem
    > > Vollverschlüsseltem Linux System den Kernel durch einen Kompromitierten
    > > austauscht, und würde auch nicht vor Manipualtionen schütze, wenn die
    > > Festplatte ausgebaut wurde und dann da der Bootloader ausgetauscht wurde
    >
    > Wenn man ein X-beliebiges Linux unter Secure Boot booten kann, dann kann
    > man auf den gleichen Weg auch eine x-beliebige Malware booten.
    >
    Wenn man die Microsoft Keys löscht und alles mit eigenen Keys versieht, dann kann man nur noch das Booten, was man selber signiert hat.
    Und belibige Linux Distris kann man glaube ich nicht booten wenn man das Bios /UEFI Passwort nicht kennt, da man soweit ich es verstanden habe, den rechner in einen "Setup Modus" versetzen muss, und dass sollte ohne das Passowort nicht möglich sein, wenn ich die ganzen Videos die ich zum thema secure boot gesehn habe richtig verstanden habe. Außerdem kann man sich die aktuellen Keys auch noch im BIOS / UEFI anschauen und so würde man Manipulationen entdecken.
    > Wenn du bei einem verschlüsselten Linux den Kernel tauschen willst, musst
    > du entweder den Schlüssel kennen, oder Live Root Rechte erlangen.
    >
    > Die Verschlüsselung kannst du auch direkt an der Tastertur abfangen.
    >
    Ja das habe ich auch nicht bestritten, wird bei Laptops aber je nach Modell schon recht aufwendig. Klar man könnte auch Kameras verstecken, die die Key eingabe filmen.
    > In beiden Fällen ist Secure Boot kein Sicherheitsgewinn, bzw. die Punkte im
    > Artikel treffen zu.
    >
    > Wenn du Sicherheit möchtest, dann musst du die Platte verschlüsseln und von
    > einem USB Stick Booten, den du wie einen Schlüssel immer bei dir trägst.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  9. Re: Faszinierend wie er sich zur Hure machen lässt

    Autor xUser 30.03.13 - 17:55

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > xUser schrieb:
    > ---------------------------------------------------------------------------
    > > Wenn man ein X-beliebiges Linux unter Secure Boot booten kann, dann kann
    > > man auf den gleichen Weg auch eine x-beliebige Malware booten.
    > >
    > Wenn man die Microsoft Keys löscht und alles mit eigenen Keys versieht,
    > dann kann man nur noch das Booten, was man selber signiert hat.
    > Und belibige Linux Distris kann man glaube ich nicht booten wenn man das
    > Bios /UEFI Passwort nicht kennt, da man soweit ich es verstanden habe, den
    > rechner in einen "Setup Modus" versetzen muss, und dass sollte ohne das
    > Passowort nicht möglich sein, wenn ich die ganzen Videos die ich zum thema
    > secure boot gesehn habe richtig verstanden habe. Außerdem kann man sich die
    > aktuellen Keys auch noch im BIOS / UEFI anschauen und so würde man
    > Manipulationen entdecken.
    > > Wenn du bei einem verschlüsselten Linux den Kernel tauschen willst,
    > musst

    Soweit zur Theorie. Die Praxis:

    Microsoft Schlüssel ist vorinstalliert und lässt sich nicht entfernen. Es lassen sich keine weiteren Schlüssel hinzufügen, bzw. die Funktionen ist total buggy.
    Das Bios ist nicht abgeriegelt, bzw. lässt sich zurücksetzen. Es existieren Master Passwörter für das Bios :/

    Die Boot Reihenfolge ist per Default so eingestellt, dass man von einen Datenträger (!= Festplatte) booten kann.

    Ist einer der oberen Punkt erfüllt, dann ist entweder keine Sicherheitsgewinn erreicht oder OSS wird ausgeschlossen.

    > > du entweder den Schlüssel kennen, oder Live Root Rechte erlangen.
    > >
    > > Die Verschlüsselung kannst du auch direkt an der Tastertur abfangen.
    > >
    > Ja das habe ich auch nicht bestritten, wird bei Laptops aber je nach Modell
    > schon recht aufwendig. Klar man könnte auch Kameras verstecken, die die Key
    > eingabe filmen.

    Ein Kamera zu verstecken ist zu aufwendig.
    Einen Keylogger bekommt man ganz gut eingebaut. Bei den meisten Modellen ist unter der Tastatur noch Platz und die Tastatur lässt sich ziemlich einfach entfernen.
    Zumindest bei den Business Modellen kommt du ganz leicht unter die Tastatur. Bei Consumer Modellen evtl. nicht, aber die profitieren eh nicht wirklich von Sicherheit, da dort der Hauptangriffsweg über ein live OS geht.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  10. Re: Faszinierend wie er sich zur Hure machen lässt

    Autor robinx999 30.03.13 - 18:04

    xUser schrieb:
    --------------------------------------------------------------------------------
    > robinx999 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > xUser schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > > Wenn man ein X-beliebiges Linux unter Secure Boot booten kann, dann
    > kann
    > > > man auf den gleichen Weg auch eine x-beliebige Malware booten.
    > > >
    > > Wenn man die Microsoft Keys löscht und alles mit eigenen Keys versieht,
    > > dann kann man nur noch das Booten, was man selber signiert hat.
    > > Und belibige Linux Distris kann man glaube ich nicht booten wenn man das
    > > Bios /UEFI Passwort nicht kennt, da man soweit ich es verstanden habe,
    > den
    > > rechner in einen "Setup Modus" versetzen muss, und dass sollte ohne das
    > > Passowort nicht möglich sein, wenn ich die ganzen Videos die ich zum
    > thema
    > > secure boot gesehn habe richtig verstanden habe. Außerdem kann man sich
    > die
    > > aktuellen Keys auch noch im BIOS / UEFI anschauen und so würde man
    > > Manipulationen entdecken.
    > > > Wenn du bei einem verschlüsselten Linux den Kernel tauschen willst,
    > > musst
    >
    > Soweit zur Theorie. Die Praxis:
    >
    > Microsoft Schlüssel ist vorinstalliert und lässt sich nicht entfernen. Es
    > lassen sich keine weiteren Schlüssel hinzufügen, bzw. die Funktionen ist
    > total buggy.
    doch der lässt sich entfernen http://www.rodsbooks.com/efi-bootloaders/secureboot.html
    Punkt "Replacing Your Firmware's Keys"
    > Das Bios ist nicht abgeriegelt, bzw. lässt sich zurücksetzen. Es existieren
    > Master Passwörter für das Bios :/
    >
    Bei einigen ja bei anderen Nein. Master Passwörter sind eigentlich Out. Der Support hat mitlerweile Spezielle USB Sticks, die das BIOS Passwort umgehen (hab ich zumindest schonmal in Aktion gesehn). Klar vieleicht kommt ein Einbrecher auch da dran und hebelt es so aus, aber es ist halt eine zusätzliche Schutzeinrichtung, weil sonst könnte man auch sagen ich brauche die Haustür nicht abschließen, da sie ein Eibrecher sowiso knacken kann.
    > Die Boot Reihenfolge ist per Default so eingestellt, dass man von einen
    > Datenträger (!= Festplatte) booten kann.
    >
    Das kann man absichern bzw. der Boot würde wegen fehlendem Key scheitern
    > Ist einer der oberen Punkt erfüllt, dann ist entweder keine
    > Sicherheitsgewinn erreicht oder OSS wird ausgeschlossen.
    >
    OSS wird doch nicht ausgeschlossen wenn ich eigene Keys hinzufügen und löschen kann, solange ich mein BIOS / UEFI Passwort kenne. Wenn ich keine Keys hinzufügen kann, solange ein mir Unbekanntes Passwort gesetzt ist, ja dann ist es ein sicherheitsgewinn und schließt nichts aus.
    > > > du entweder den Schlüssel kennen, oder Live Root Rechte erlangen.
    > > >
    > > > Die Verschlüsselung kannst du auch direkt an der Tastertur abfangen.
    > > >
    > > Ja das habe ich auch nicht bestritten, wird bei Laptops aber je nach
    > Modell
    > > schon recht aufwendig. Klar man könnte auch Kameras verstecken, die die
    > Key
    > > eingabe filmen.
    >
    > Ein Kamera zu verstecken ist zu aufwendig.
    > Einen Keylogger bekommt man ganz gut eingebaut. Bei den meisten Modellen
    > ist unter der Tastatur noch Platz und die Tastatur lässt sich ziemlich
    > einfach entfernen.
    > Zumindest bei den Business Modellen kommt du ganz leicht unter die
    > Tastatur. Bei Consumer Modellen evtl. nicht, aber die profitieren eh nicht
    > wirklich von Sicherheit, da dort der Hauptangriffsweg über ein live OS
    > geht.
    Ja wobei man natürlich auch eine Zeit Frage hat, wie lange ist so ein Notebook unbeaufsichtigt und wie lange habe ich für Manipulationen zeit

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige

Haben wir etwas übersehen?

E-Mail an news@golem.de


Sony Alpha 7S im Test: Vollformater sieht auch bei Dunkelheit nicht schwarz
Sony Alpha 7S im Test
Vollformater sieht auch bei Dunkelheit nicht schwarz
  1. FPS 1000 Kamera soll 18.500 Frames pro Sekunde aufnehmen
  2. Bericht Sony will 4K-Superzoom-Kamera entwickeln
  3. Minikamera Ai-Ball Die WLAN-Kamera aus dem Überraschungsei

IT-Gipfel 2014: De Maizière nennt De-Mail "nicht ganz zufriedenstellend"
IT-Gipfel 2014
De Maizière nennt De-Mail "nicht ganz zufriedenstellend"
  1. Digitale Verwaltung 2020 E-Mail soll Briefe und Amtsbesuche ersetzen
  2. Digitale Agenda Ein Papier, das alle enttäuscht
  3. Webmail Web.de kritisiert langsame De-Mail-Einführung der Regierung

Retro-Netzwerk: Der Tilde.Club erstellt Webseiten wie in den Neunzigern
Retro-Netzwerk
Der Tilde.Club erstellt Webseiten wie in den Neunzigern

  1. Pangu 1.0.1: Jailbreak für iOS 8.1
    Pangu 1.0.1
    Jailbreak für iOS 8.1

    Für iOS 8.1 soll es mit Pangu 1.0.1 einen Jailbreak geben, der aus China stammt. Er nutzt eine Lücke aus, die es ermöglicht, iPhones, iPads und den iPod touch zu entsperren, um Software installieren zu können, die nicht von Apple abgesegnet wurde.

  2. Gratiseinwilligung für Google: Verlage knicken beim Leistungsschutzrecht ein
    Gratiseinwilligung für Google
    Verlage knicken beim Leistungsschutzrecht ein

    Es war kaum anders zu erwarten: Die meisten in der VG Media organisierten Verlage wollen keine verkürzte Darstellung ihrer Links bei Google hinnehmen. Der Konzern lehnte zuvor eine Bitte um "Waffenruhe" ab.

  3. John Riccitiello: Ex-EA-Chef ist neuer Boss von Unity Technologies
    John Riccitiello
    Ex-EA-Chef ist neuer Boss von Unity Technologies

    Der Engine-Hersteller Unity Technologies steht unter neuer Führung: Gleichzeitig mit dem Rücktritt von Mitgründer David Helgason als CEO gibt das Unternehmen die Berufung von John Riccitiello als Nachfolger bekannt, dem ehemaligen Chef von Electronic Arts.


  1. 00:45

  2. 20:52

  3. 19:50

  4. 19:46

  5. 19:09

  6. 18:36

  7. 18:22

  8. 17:11