1. Foren
  2. Kommentare
  3. OpenSource
  4. Alle Kommentare zum Artikel
  5. › Matthew Garrett: "Secure Boot ist…

Welches Problem wird eigentlich gelöst ?

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Welches Problem wird eigentlich gelöst ?

    Autor: dabbes 30.03.13 - 13:10

    Ich sehe in all dem keinen Sinn.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: Welches Problem wird eigentlich gelöst ?

    Autor: k@rsten 30.03.13 - 13:46

    Hardwarehersteller müssen nun komplexere Treiber schreiben und können endlich mehr Bugs einbauen, die den Rechner endlich auch zerstören, wenn z.B. über die hälfte des Rams genutzt wird, wie z.B. Samsungs Laptops mit SecureBoot. Ist das nicht toll, dann kaufst du endlich auch mehr Rechner :D

    Windows Virenschreiber, die sich im Bootprozess einnisten wollen, müssen jetzt 3 Zeilen Code mehr schreiben. Also endlich ein absolut sicheres System ^^

    Nebenbei hast du jetzt den Vorteil eines Smartphone endlich auch für deinen Laptop, du kannst das vorinstallierte System endlich nicht einfach austauschen. Toll oder, hast du dir das noch nie gewünscht ^^ ?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: Welches Problem wird eigentlich gelöst ?

    Autor: nille02 30.03.13 - 13:53

    k@rsten schrieb:
    --------------------------------------------------------------------------------
    > Hardwarehersteller müssen nun komplexere Treiber schreiben und können
    > endlich mehr Bugs einbauen,

    Was ist an einem Signierten treiber Komplexer oder wo sollen dadurch Bugs auftreten?

    > die den Rechner endlich auch zerstören, wenn
    > z.B. über die hälfte des Rams genutzt wird, wie z.B. Samsungs Laptops mit
    > SecureBoot.

    Nur hat der Bug nichts mit Secure Boot oder dem Ram zu tun. Es geht um den UEFI Speicher wo das OS Key=Value Daten Ablegen kann.

    > Windows Virenschreiber, die sich im Bootprozess einnisten wollen, müssen
    > jetzt 3 Zeilen Code mehr schreiben. Also endlich ein absolut sicheres
    > System ^^

    Und das Belegst du womit?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: Welches Problem wird eigentlich gelöst ?

    Autor: robinx999 30.03.13 - 14:16

    "Evil Maid atack" wird damit ziemlich unmöglich gemacht.
    http://www.zdnet.com/blog/security/evil-maid-usb-stick-attack-keylogs-truecrypt-passphrases/4662

    Kurz zusammengefasst man lässt einen Computer mit Festplattenverschlüsselung unbeaufsichtigt zum Beispiel im Hotelzimmer und z.B.: das Zimmermädchen hat Zugriff (daher auch der Name). Jetzt kann der Hacker von einem USB Stick booten (falls das Booten von Fremden medien nicht erlaubt ist könnte natürlich auch die Festplatte ausgebaut werden und mit einem anderem Computer gearbeitet werden), den Bootloader austauschen und dann Malware installieren, die dann Passwörter aufzeichnet. Könnte durchaus sein, dass soetwas im Rahmen von Industriespionage gemacht wird. Im Idealfall hätte man sogar den Microsoft schlüssel entfernt und Benutzt nur seine eigenen, dann währe man relativ sicher gegen diese Art des angriffes (wobei ein Angreifer natürlich auch Kameras im Hotelzimmer anbringen könnte um an das Passwort zu kommen)

    Bei Secure Boot ist das nicht mehr möglich. Selbst wenn die Festplatte ausgebaut wird und der Bootloader manipuliert wurde, so wird der Computer nicht mehr Booten, da der neue Bootloader nicht signiert ist.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: Welches Problem wird eigentlich gelöst ?

    Autor: k@rsten 30.03.13 - 14:24

    lol unmöglich ^^ ... einfach Zertifikat mit einspielen und fertig ist die Infektion.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: Welches Problem wird eigentlich gelöst ?

    Autor: robinx999 30.03.13 - 14:28

    Ist die Frage ob man da ohne weiteres überhaupt ein Zertifikat einspielen kann, wenn der Zugriff zum Setup passwort geschützt ist. Bei Laptops ist das BIOS passwort reset in der Regel schon einiges schwerer wie bie Desktop PCs wo es meistens nur ein Jumper ist.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Re: Welches Problem wird eigentlich gelöst ?

    Autor: tingelchen 30.03.13 - 14:35

    > Bei Secure Boot ist das nicht mehr möglich. Selbst wenn die Festplatte ausgebaut wird
    > und der Bootloader manipuliert wurde, so wird der Computer nicht mehr Booten, da
    > der neue Bootloader nicht signiert ist.
    >
    Auch hier. Sag niemals nie ;)

    Alternativen Bootloader drauf packen (z.B. den, den Fedora nutzt) und der bootet dann Windows selbst. Oder man schaltet Secure Boot einfach aus. Oder man signiert sich seinen eigenen Boot Loader und packt den Schlüssel mit ins UEFI.

    Oder, wenn man schon einmal am Rechner selbst ist, zieht man sich einfach ein Image von dieser und nimmt die 1:1 Kopie einfach mit. Alternativ greift man die Tasteneinschläge von der Tastatur direkt ab. Oder man baut die Platte ins eigene System ein (Wechselgehäuse lässt grüßen) und infiziert das System von Hand.

    Es gibt nichts was man machen kann, um einen Rechner vor Einbruch zu schützen, wenn der Angreifer physischen Zugriff auf diesen hat.

    Secure Boot ist nur eine weitere Hürde, die einem Angreifer entgegen gestellt wird. Aber keine, die unüberwindbar ist. Die Hürde ist allerdings nicht nur schädlich für Angreifer, sondern auch für den Nutzer. Sie ist eine weitere Fehlerquelle welche bis zur Unbenutzbarkeit des Rechners führen kann.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  8. Re: Welches Problem wird eigentlich gelöst ?

    Autor: xmaniac 30.03.13 - 14:57

    k@rsten schrieb:
    --------------------------------------------------------------------------------
    > lol unmöglich ^^ ... einfach Zertifikat mit einspielen und fertig ist die
    > Infektion.


    wenn das so einfach ist, wieso dann die ganze aufregung im Linux-Lager?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  9. Re: Welches Problem wird eigentlich gelöst ?

    Autor: robinx999 30.03.13 - 15:12

    tingelchen schrieb:
    --------------------------------------------------------------------------------
    > > Bei Secure Boot ist das nicht mehr möglich. Selbst wenn die Festplatte
    > ausgebaut wird
    > > und der Bootloader manipuliert wurde, so wird der Computer nicht mehr
    > Booten, da
    > > der neue Bootloader nicht signiert ist.
    > >
    > Auch hier. Sag niemals nie ;)
    >
    > Alternativen Bootloader drauf packen (z.B. den, den Fedora nutzt) und der
    > bootet dann Windows selbst. Oder man schaltet Secure Boot einfach aus. Oder
    > man signiert sich seinen eigenen Boot Loader und packt den Schlüssel mit
    > ins UEFI.
    >
    Setzt zugriff auf das BIOS / UEFI Setup vorraus und dass man da einfach dran kommt. Passwort Reset ist bei Notebooks teilweise schon jetzt problematischer, als bei Desktop PCs
    > Oder, wenn man schon einmal am Rechner selbst ist, zieht man sich einfach
    > ein Image von dieser und nimmt die 1:1 Kopie einfach mit.
    Dann hat man eine Kopie einer verschlüsselten Festplatet mit der man nichts anfangen kann.
    > Alternativ greift
    > man die Tasteneinschläge von der Tastatur direkt ab.
    Einbau eines Keyloggers in das Notebook währe tatsächlich noch ein Angriffspunkt. Ist aber je nach Modell schon aufwendiger und man läuft gefahr dass Beschädigungen entstehen, die dann aufffallen. Falls ein Schlüssel auf einem USB Stick benutzt wird statt eines Passwortes (oder zusätzlich zum password) wird es Problematischer
    > Oder man baut die
    > Platte ins eigene System ein (Wechselgehäuse lässt grüßen) und infiziert
    > das System von Hand.
    Was willst du da Infizieren bei einem Verschlüsseltem System sieht man nur den Bootloader bzw. bei Linux systemen mit LUKS verschlüsselung sieht man noch /boot aber da könnte man höchstens den kernel oder die initrd manipulieren oder halt den Bootloader, aber wenn man die Manipuliert wird das System nicht mehr starten da sie nicht mehr signiert sind.

    >
    > Es gibt nichts was man machen kann, um einen Rechner vor Einbruch zu
    > schützen, wenn der Angreifer physischen Zugriff auf diesen hat.
    >
    Verschlüsselung ist da schon ein relativ sicheres System und in verbindung mit einem vernünftig umgesetzten Secure Boot sogar recht sicher, falls man auch noch den Original Microsoft Schlüssel entfernen kann wird es sogar noch sicherer
    > Secure Boot ist nur eine weitere Hürde, die einem Angreifer entgegen
    > gestellt wird. Aber keine, die unüberwindbar ist. Die Hürde ist allerdings
    > nicht nur schädlich für Angreifer, sondern auch für den Nutzer. Sie ist
    > eine weitere Fehlerquelle welche bis zur Unbenutzbarkeit des Rechners
    > führen kann.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  10. Re: Welches Problem wird eigentlich gelöst ?

    Autor: a user 30.03.13 - 17:29

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > Ist die Frage ob man da ohne weiteres überhaupt ein Zertifikat einspielen
    > kann, wenn der Zugriff zum Setup passwort geschützt ist. Bei Laptops ist
    > das BIOS passwort reset in der Regel schon einiges schwerer wie bie Desktop
    > PCs wo es meistens nur ein Jumper ist.
    also wenn du das bios password geschützt hast, hilft ggf. ein cmos reset ;)

    und ausserdem, wenn es passwort geschützt ist, dann kann man auch ohne secureboot von usb booten, denn dazu müssten man im normal fall das im bios erst aktivieren. ist standardmäßig bei den miesten boards nicht der fall.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  11. Re: Welches Problem wird eigentlich gelöst ?

    Autor: robinx999 30.03.13 - 17:35

    a user schrieb:
    --------------------------------------------------------------------------------
    > robinx999 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ist die Frage ob man da ohne weiteres überhaupt ein Zertifikat
    > einspielen
    > > kann, wenn der Zugriff zum Setup passwort geschützt ist. Bei Laptops ist
    > > das BIOS passwort reset in der Regel schon einiges schwerer wie bie
    > Desktop
    > > PCs wo es meistens nur ein Jumper ist.
    > also wenn du das bios password geschützt hast, hilft ggf. ein cmos reset
    > ;)
    >
    bei einigen Notebooks nicht so einfach ;)
    > und ausserdem, wenn es passwort geschützt ist, dann kann man auch ohne
    > secureboot von usb booten, denn dazu müssten man im normal fall das im bios
    > erst aktivieren. ist standardmäßig bei den miesten boards nicht der fall.
    Na ich gehe für einen sicherheitsgewinn schon von bios einstellungen aus die "Secure Boot Only" im setup gesetzt haben und an das Setup kommt man ohne Passwort nicht sehr leicht ran (klar nicht völlig unmöglich aber schon viel aufwendiger)

    Benutzer wird von Ihnen ignoriert. Anzeigen

  12. Re: Welches Problem wird eigentlich gelöst ?

    Autor: NeverDefeated 30.03.13 - 23:18

    xmaniac schrieb:
    --------------------------------------------------------------------------------
    > k@rsten schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > lol unmöglich ^^ ... einfach Zertifikat mit einspielen und fertig ist
    > die
    > > Infektion.
    >
    > wenn das so einfach ist, wieso dann die ganze aufregung im Linux-Lager?

    Die Aufregung herrscht nicht nur im Linux-Lager. Mit dieser Technologie ist es ebenfalls möglich Programmierern die Möglichkeit zu nehmen ihren selbstgeschriebenen Code auf ihrem System auszuführen, egal ob das nun ein Windows- oder Linux-System ist. D.h. man müsste als Windows-Nutzer nicht nur beim Hersteller "betteln", wenn man sein Mainboard austauscht und sein altes System weiterverwenden will, sondern sogar um eigenen Code ausserhalb einer virtuellen Maschine testen zu können.

    Eher friert die Hölle zu als das ich mir ein System kaufe auf dem ich keine eigenen Programme mehr schreiben kann ohne bei Microsoft "Bitte, Bitte" machen zu müssen um diese auch wirklich zu nutzen.

    Hinzu kommt, dass es durchaus möglich ist sogar in den Linux-Kernel einen "Wrapper" zu integrieren, der einfach einen Microsoft-Zertifizierungsschlüssel enthält und Linux so auf Secure-Boot-Maschinen laufen lässt. Die Linux-Community will so einen höchst fragwürdigen Ansatz aber nicht im Kernel integrieren, da dieser Microsoft eine Möglichkeit bieten könnte gerichtlich gegen Linux vorzugehen. Es wird also darauf hinauslaufen, dass das Auslesen und Einschmuggeln des Microsoft-Zertifikats von jedem Linux-Nutzer persönlich übernommen werden muss, da es keine legale Handlung darstellt und daher von offizieller Seite nicht angeboten werden kann.

    Solange man SecureBoot abschalten kann, interessiert mich persönlich der ganze Kram aber nicht weiter. Wenn neuere Windows-Versionen bei abgeschaltetem SecureBoot nicht mehr laufen, disqualifiziert sich Windows als Betriebssystem bei mir ganz von selbst und wird nicht mehr eingesetzt werden. Ich werde nicht darauf verzichten meine alten DOS, OS2 und Windows-Versionen weiter zu verwenden und die unterstützen SecureBoot ohnehin nicht. D.h. SecureBoot wird auf meinen Rechnern nie aktiviert sein und was auf einem solchen Rechner nicht läuft kommt gleich in die Tonne.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  13. Re: Welches Problem wird eigentlich gelöst ?

    Autor: Raketen angetriebene Granate 31.03.13 - 01:24

    Du willst uns doch nicht weis machen, dass Secure Boot deshalb entwickelt und eingeführt wird.

    Ich denke, man sollte eher einmal im Smartphone-Sektor nach möglichen Beweggründen gucken.

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige

Haben wir etwas übersehen?

E-Mail an news@golem.de


Security: Smarthomes, offen wie Scheunentore
Security
Smarthomes, offen wie Scheunentore
  1. Software-Plattform Bosch und Cisco gründen Joint Venture für Smart Home
  2. Pantelligent Die funkende Bratpfanne
  3. Smarthome Das intelligente Haus wird nie fertig

Nexus 6 gegen Moto X: Das Nexus ist tot
Nexus 6 gegen Moto X
Das Nexus ist tot
  1. Teardown Nexus 6 kommt mit wenig Kleber aus
  2. Google Nexus 6 kommt doch erst viel später
  3. Google Nexus 6 erscheint nächste Woche - doch nicht

E-Mail-Ausfall in München: Und wieder wars nicht Limux
E-Mail-Ausfall in München
Und wieder wars nicht Limux
  1. Öffentliche Verwaltung Massiver E-Mail-Ausfall bei der Stadt München
  2. Limux Kopf einziehen und über Verschwörung tuscheln
  3. Limux Windows-Rückkehr würde München Millionen kosten

  1. Day of the Tentacle (1993): Zurück in die Zukunft, Vergangenheit und Gegenwart
    Day of the Tentacle (1993)
    Zurück in die Zukunft, Vergangenheit und Gegenwart

    Golem retro_ Tentakel mit Weltherrschaftsambitionen stehen uns in der fünften Episode von Golem retro_ gegenüber. Das Erstlingswerk von Tim Schafer (Grim Fandango, Broken Age) überzeugte bereits 1993 mit Comiclook und Slapstick.

  2. ODST: Gratis-Kampagne für Halo Collection wegen Bugs
    ODST
    Gratis-Kampagne für Halo Collection wegen Bugs

    Die Kampagne namens ODST aus Halo 3 gibt es demnächst in überarbeiteter Fassung für alle, die die Master Chief Collection bereits gekauft haben. Die Chefin des Studios 343 Industries plant auch weitere Gratis-Angebote, weil die Sammlung etliche Startprobleme hatte.

  3. Medienbericht: Axel Springer will T-Online.de übernehmen
    Medienbericht
    Axel Springer will T-Online.de übernehmen

    Der Wirtschaftswoche zufolge will sich die Deutsche Telekom von Teilen ihres Onlinegeschäfts trennen. Dabei soll die Axel-Springer-Gruppe vor allem das Portal T-Online.de übernehmen, was aber die Kartellwächter noch beschäftigen könnte.


  1. 12:04

  2. 16:02

  3. 13:11

  4. 11:50

  5. 11:06

  6. 09:01

  7. 20:17

  8. 18:56