1. Foren
  2. Kommentare
  3. OpenSource
  4. Alle Kommentare zum Artikel
  5. › Matthew Garrett: "Secure Boot ist…

Welches Problem wird eigentlich gelöst ?

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Welches Problem wird eigentlich gelöst ?

    Autor: dabbes 30.03.13 - 13:10

    Ich sehe in all dem keinen Sinn.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: Welches Problem wird eigentlich gelöst ?

    Autor: k@rsten 30.03.13 - 13:46

    Hardwarehersteller müssen nun komplexere Treiber schreiben und können endlich mehr Bugs einbauen, die den Rechner endlich auch zerstören, wenn z.B. über die hälfte des Rams genutzt wird, wie z.B. Samsungs Laptops mit SecureBoot. Ist das nicht toll, dann kaufst du endlich auch mehr Rechner :D

    Windows Virenschreiber, die sich im Bootprozess einnisten wollen, müssen jetzt 3 Zeilen Code mehr schreiben. Also endlich ein absolut sicheres System ^^

    Nebenbei hast du jetzt den Vorteil eines Smartphone endlich auch für deinen Laptop, du kannst das vorinstallierte System endlich nicht einfach austauschen. Toll oder, hast du dir das noch nie gewünscht ^^ ?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: Welches Problem wird eigentlich gelöst ?

    Autor: nille02 30.03.13 - 13:53

    k@rsten schrieb:
    --------------------------------------------------------------------------------
    > Hardwarehersteller müssen nun komplexere Treiber schreiben und können
    > endlich mehr Bugs einbauen,

    Was ist an einem Signierten treiber Komplexer oder wo sollen dadurch Bugs auftreten?

    > die den Rechner endlich auch zerstören, wenn
    > z.B. über die hälfte des Rams genutzt wird, wie z.B. Samsungs Laptops mit
    > SecureBoot.

    Nur hat der Bug nichts mit Secure Boot oder dem Ram zu tun. Es geht um den UEFI Speicher wo das OS Key=Value Daten Ablegen kann.

    > Windows Virenschreiber, die sich im Bootprozess einnisten wollen, müssen
    > jetzt 3 Zeilen Code mehr schreiben. Also endlich ein absolut sicheres
    > System ^^

    Und das Belegst du womit?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: Welches Problem wird eigentlich gelöst ?

    Autor: robinx999 30.03.13 - 14:16

    "Evil Maid atack" wird damit ziemlich unmöglich gemacht.
    http://www.zdnet.com/blog/security/evil-maid-usb-stick-attack-keylogs-truecrypt-passphrases/4662

    Kurz zusammengefasst man lässt einen Computer mit Festplattenverschlüsselung unbeaufsichtigt zum Beispiel im Hotelzimmer und z.B.: das Zimmermädchen hat Zugriff (daher auch der Name). Jetzt kann der Hacker von einem USB Stick booten (falls das Booten von Fremden medien nicht erlaubt ist könnte natürlich auch die Festplatte ausgebaut werden und mit einem anderem Computer gearbeitet werden), den Bootloader austauschen und dann Malware installieren, die dann Passwörter aufzeichnet. Könnte durchaus sein, dass soetwas im Rahmen von Industriespionage gemacht wird. Im Idealfall hätte man sogar den Microsoft schlüssel entfernt und Benutzt nur seine eigenen, dann währe man relativ sicher gegen diese Art des angriffes (wobei ein Angreifer natürlich auch Kameras im Hotelzimmer anbringen könnte um an das Passwort zu kommen)

    Bei Secure Boot ist das nicht mehr möglich. Selbst wenn die Festplatte ausgebaut wird und der Bootloader manipuliert wurde, so wird der Computer nicht mehr Booten, da der neue Bootloader nicht signiert ist.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: Welches Problem wird eigentlich gelöst ?

    Autor: k@rsten 30.03.13 - 14:24

    lol unmöglich ^^ ... einfach Zertifikat mit einspielen und fertig ist die Infektion.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: Welches Problem wird eigentlich gelöst ?

    Autor: robinx999 30.03.13 - 14:28

    Ist die Frage ob man da ohne weiteres überhaupt ein Zertifikat einspielen kann, wenn der Zugriff zum Setup passwort geschützt ist. Bei Laptops ist das BIOS passwort reset in der Regel schon einiges schwerer wie bie Desktop PCs wo es meistens nur ein Jumper ist.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Re: Welches Problem wird eigentlich gelöst ?

    Autor: tingelchen 30.03.13 - 14:35

    > Bei Secure Boot ist das nicht mehr möglich. Selbst wenn die Festplatte ausgebaut wird
    > und der Bootloader manipuliert wurde, so wird der Computer nicht mehr Booten, da
    > der neue Bootloader nicht signiert ist.
    >
    Auch hier. Sag niemals nie ;)

    Alternativen Bootloader drauf packen (z.B. den, den Fedora nutzt) und der bootet dann Windows selbst. Oder man schaltet Secure Boot einfach aus. Oder man signiert sich seinen eigenen Boot Loader und packt den Schlüssel mit ins UEFI.

    Oder, wenn man schon einmal am Rechner selbst ist, zieht man sich einfach ein Image von dieser und nimmt die 1:1 Kopie einfach mit. Alternativ greift man die Tasteneinschläge von der Tastatur direkt ab. Oder man baut die Platte ins eigene System ein (Wechselgehäuse lässt grüßen) und infiziert das System von Hand.

    Es gibt nichts was man machen kann, um einen Rechner vor Einbruch zu schützen, wenn der Angreifer physischen Zugriff auf diesen hat.

    Secure Boot ist nur eine weitere Hürde, die einem Angreifer entgegen gestellt wird. Aber keine, die unüberwindbar ist. Die Hürde ist allerdings nicht nur schädlich für Angreifer, sondern auch für den Nutzer. Sie ist eine weitere Fehlerquelle welche bis zur Unbenutzbarkeit des Rechners führen kann.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  8. Re: Welches Problem wird eigentlich gelöst ?

    Autor: xmaniac 30.03.13 - 14:57

    k@rsten schrieb:
    --------------------------------------------------------------------------------
    > lol unmöglich ^^ ... einfach Zertifikat mit einspielen und fertig ist die
    > Infektion.


    wenn das so einfach ist, wieso dann die ganze aufregung im Linux-Lager?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  9. Re: Welches Problem wird eigentlich gelöst ?

    Autor: robinx999 30.03.13 - 15:12

    tingelchen schrieb:
    --------------------------------------------------------------------------------
    > > Bei Secure Boot ist das nicht mehr möglich. Selbst wenn die Festplatte
    > ausgebaut wird
    > > und der Bootloader manipuliert wurde, so wird der Computer nicht mehr
    > Booten, da
    > > der neue Bootloader nicht signiert ist.
    > >
    > Auch hier. Sag niemals nie ;)
    >
    > Alternativen Bootloader drauf packen (z.B. den, den Fedora nutzt) und der
    > bootet dann Windows selbst. Oder man schaltet Secure Boot einfach aus. Oder
    > man signiert sich seinen eigenen Boot Loader und packt den Schlüssel mit
    > ins UEFI.
    >
    Setzt zugriff auf das BIOS / UEFI Setup vorraus und dass man da einfach dran kommt. Passwort Reset ist bei Notebooks teilweise schon jetzt problematischer, als bei Desktop PCs
    > Oder, wenn man schon einmal am Rechner selbst ist, zieht man sich einfach
    > ein Image von dieser und nimmt die 1:1 Kopie einfach mit.
    Dann hat man eine Kopie einer verschlüsselten Festplatet mit der man nichts anfangen kann.
    > Alternativ greift
    > man die Tasteneinschläge von der Tastatur direkt ab.
    Einbau eines Keyloggers in das Notebook währe tatsächlich noch ein Angriffspunkt. Ist aber je nach Modell schon aufwendiger und man läuft gefahr dass Beschädigungen entstehen, die dann aufffallen. Falls ein Schlüssel auf einem USB Stick benutzt wird statt eines Passwortes (oder zusätzlich zum password) wird es Problematischer
    > Oder man baut die
    > Platte ins eigene System ein (Wechselgehäuse lässt grüßen) und infiziert
    > das System von Hand.
    Was willst du da Infizieren bei einem Verschlüsseltem System sieht man nur den Bootloader bzw. bei Linux systemen mit LUKS verschlüsselung sieht man noch /boot aber da könnte man höchstens den kernel oder die initrd manipulieren oder halt den Bootloader, aber wenn man die Manipuliert wird das System nicht mehr starten da sie nicht mehr signiert sind.

    >
    > Es gibt nichts was man machen kann, um einen Rechner vor Einbruch zu
    > schützen, wenn der Angreifer physischen Zugriff auf diesen hat.
    >
    Verschlüsselung ist da schon ein relativ sicheres System und in verbindung mit einem vernünftig umgesetzten Secure Boot sogar recht sicher, falls man auch noch den Original Microsoft Schlüssel entfernen kann wird es sogar noch sicherer
    > Secure Boot ist nur eine weitere Hürde, die einem Angreifer entgegen
    > gestellt wird. Aber keine, die unüberwindbar ist. Die Hürde ist allerdings
    > nicht nur schädlich für Angreifer, sondern auch für den Nutzer. Sie ist
    > eine weitere Fehlerquelle welche bis zur Unbenutzbarkeit des Rechners
    > führen kann.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  10. Re: Welches Problem wird eigentlich gelöst ?

    Autor: a user 30.03.13 - 17:29

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > Ist die Frage ob man da ohne weiteres überhaupt ein Zertifikat einspielen
    > kann, wenn der Zugriff zum Setup passwort geschützt ist. Bei Laptops ist
    > das BIOS passwort reset in der Regel schon einiges schwerer wie bie Desktop
    > PCs wo es meistens nur ein Jumper ist.
    also wenn du das bios password geschützt hast, hilft ggf. ein cmos reset ;)

    und ausserdem, wenn es passwort geschützt ist, dann kann man auch ohne secureboot von usb booten, denn dazu müssten man im normal fall das im bios erst aktivieren. ist standardmäßig bei den miesten boards nicht der fall.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  11. Re: Welches Problem wird eigentlich gelöst ?

    Autor: robinx999 30.03.13 - 17:35

    a user schrieb:
    --------------------------------------------------------------------------------
    > robinx999 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ist die Frage ob man da ohne weiteres überhaupt ein Zertifikat
    > einspielen
    > > kann, wenn der Zugriff zum Setup passwort geschützt ist. Bei Laptops ist
    > > das BIOS passwort reset in der Regel schon einiges schwerer wie bie
    > Desktop
    > > PCs wo es meistens nur ein Jumper ist.
    > also wenn du das bios password geschützt hast, hilft ggf. ein cmos reset
    > ;)
    >
    bei einigen Notebooks nicht so einfach ;)
    > und ausserdem, wenn es passwort geschützt ist, dann kann man auch ohne
    > secureboot von usb booten, denn dazu müssten man im normal fall das im bios
    > erst aktivieren. ist standardmäßig bei den miesten boards nicht der fall.
    Na ich gehe für einen sicherheitsgewinn schon von bios einstellungen aus die "Secure Boot Only" im setup gesetzt haben und an das Setup kommt man ohne Passwort nicht sehr leicht ran (klar nicht völlig unmöglich aber schon viel aufwendiger)

    Benutzer wird von Ihnen ignoriert. Anzeigen

  12. Re: Welches Problem wird eigentlich gelöst ?

    Autor: NeverDefeated 30.03.13 - 23:18

    xmaniac schrieb:
    --------------------------------------------------------------------------------
    > k@rsten schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > lol unmöglich ^^ ... einfach Zertifikat mit einspielen und fertig ist
    > die
    > > Infektion.
    >
    > wenn das so einfach ist, wieso dann die ganze aufregung im Linux-Lager?

    Die Aufregung herrscht nicht nur im Linux-Lager. Mit dieser Technologie ist es ebenfalls möglich Programmierern die Möglichkeit zu nehmen ihren selbstgeschriebenen Code auf ihrem System auszuführen, egal ob das nun ein Windows- oder Linux-System ist. D.h. man müsste als Windows-Nutzer nicht nur beim Hersteller "betteln", wenn man sein Mainboard austauscht und sein altes System weiterverwenden will, sondern sogar um eigenen Code ausserhalb einer virtuellen Maschine testen zu können.

    Eher friert die Hölle zu als das ich mir ein System kaufe auf dem ich keine eigenen Programme mehr schreiben kann ohne bei Microsoft "Bitte, Bitte" machen zu müssen um diese auch wirklich zu nutzen.

    Hinzu kommt, dass es durchaus möglich ist sogar in den Linux-Kernel einen "Wrapper" zu integrieren, der einfach einen Microsoft-Zertifizierungsschlüssel enthält und Linux so auf Secure-Boot-Maschinen laufen lässt. Die Linux-Community will so einen höchst fragwürdigen Ansatz aber nicht im Kernel integrieren, da dieser Microsoft eine Möglichkeit bieten könnte gerichtlich gegen Linux vorzugehen. Es wird also darauf hinauslaufen, dass das Auslesen und Einschmuggeln des Microsoft-Zertifikats von jedem Linux-Nutzer persönlich übernommen werden muss, da es keine legale Handlung darstellt und daher von offizieller Seite nicht angeboten werden kann.

    Solange man SecureBoot abschalten kann, interessiert mich persönlich der ganze Kram aber nicht weiter. Wenn neuere Windows-Versionen bei abgeschaltetem SecureBoot nicht mehr laufen, disqualifiziert sich Windows als Betriebssystem bei mir ganz von selbst und wird nicht mehr eingesetzt werden. Ich werde nicht darauf verzichten meine alten DOS, OS2 und Windows-Versionen weiter zu verwenden und die unterstützen SecureBoot ohnehin nicht. D.h. SecureBoot wird auf meinen Rechnern nie aktiviert sein und was auf einem solchen Rechner nicht läuft kommt gleich in die Tonne.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  13. Re: Welches Problem wird eigentlich gelöst ?

    Autor: Raketen angetriebene Granate 31.03.13 - 01:24

    Du willst uns doch nicht weis machen, dass Secure Boot deshalb entwickelt und eingeführt wird.

    Ich denke, man sollte eher einmal im Smartphone-Sektor nach möglichen Beweggründen gucken.

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen

Fuzzing: Wie man Heartbleed hätte finden können
Fuzzing
Wie man Heartbleed hätte finden können
  1. Fehlersuche LLVM integriert eigenes Fuzzing-Werkzeug
  2. Mozilla Firefox 37 bringt Zertifikatsperren und Nutzerfeedback
  3. IT-Sicherheit Regierung fördert Forschung mit 180 Millionen Euro

Mini-PCs unter Linux: Installation schwer gemacht
Mini-PCs unter Linux
Installation schwer gemacht
  1. Mini-Business-Rechner im Test Erweiterbar, sparsam und trotzdem schön klein
  2. Shuttle DS57U Passiver Mini-PC mit Broadwell und zwei seriellen Com-Ports

Fire TV mit neuer Firmware im Test: Streaming-Box wird vielfältiger
Fire TV mit neuer Firmware im Test
Streaming-Box wird vielfältiger
  1. Amazons X-Ray im Hands On Fire TV zeigt direkt Zusatzinformationen zu Filmen
  2. Update Amazon wertet Fire TV auf
  3. Workshop Kodi bequemer auf Amazons Fire TV verwenden

  1. Smithsonian: Museum restauriert die Enterprise NCC-1701
    Smithsonian
    Museum restauriert die Enterprise NCC-1701

    Auch Raumschiffe müssen in Reparatur - vor allem, wenn sie wie die USS Enterprise NCC-1701 schon ein halbes Jahrhundert alt sind. Das Smithsonian Air and Space Museum restauriert das Modell der Enterprise aus der ersten Star-Trek-Serie. Später soll es in die Dauerausstellung kommen.

  2. Cyberkrieg: Pentagon will Angreifer mit harten Gegenschlägen abschrecken
    Cyberkrieg
    Pentagon will Angreifer mit harten Gegenschlägen abschrecken

    Die USA wollen offenbar ihre Fähigkeiten im Cyberkrieg ausbauen. Mit den neuen Drohgebärden sollen Angriffe vor allem aus vier Staaten verhindert werden.

  3. Weißes Haus: Hacker konnten offenbar Obamas E-Mails lesen
    Weißes Haus
    Hacker konnten offenbar Obamas E-Mails lesen

    Nach und nach kommen immer mehr Details über die Attacke auf Server des Weißen Hauses ans Licht. Die US-Regierung will die Hintermänner aber weiterhin nicht identifizieren.


  1. 15:49

  2. 14:25

  3. 13:02

  4. 11:44

  5. 09:56

  6. 15:17

  7. 10:05

  8. 09:50