1. Foren
  2. Kommentare
  3. OpenSource
  4. Alle Kommentare zum Artikel
  5. › UEFI: Secure Boot macht Linux…

Solange Secure Boot im EFI abschaltbar ist

Anzeige
  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Solange Secure Boot im EFI abschaltbar ist

    Autor regiedie1. 16.11.12 - 17:07

    ist alles in Ordnung. Dann kann mensch auch Rechner damit kaufen. Hat die Computerwelt eh noch nie gebraucht, und das Konzept ist so sinnlos, weil Schadsoftware dann doch über Sicherheitslücken der "signierten" Systeme Wege finden wird, sich einzunisten. Es ist nicht so, dass wir Secure Boot brauchen würden – Microsoft hat dessen Einführung voran getrieben, weil sie wissen, dass sie damit die Massenverbreitung freier Betriebssysteme erschweren können!

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Ob das in ein paar Jahren noch so sein wird

    Autor Casandro 16.11.12 - 17:34

    Microsoft wird jetzt bestimmt noch ein paar Demos machen lassen, in dem ein Computer auf dem Secure Boot abgeschaltet ist ganz schlimm gefährdet ist, und dann für Windows 9 auf x86 die selben Regeln einführen wie für ARM.
    Gottseidank hat zur Zeit der Markt für ARM-Desktoprechner grob 99% Linux Marktanteil.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: Solange Secure Boot im EFI abschaltbar ist

    Autor Lala Satalin Deviluke 16.11.12 - 18:02

    Kein Sicherheitskonzept bietet 100% Sicherheit. Es geht eher darum es den Hackern so schwer zu machen, dass sich Aufwand und Nutzen für diese Aktion nicht mal mehr positiven im Gleichgewicht bringen lassen. Dann gibt er auf.

    Grüße vom Planeten Deviluke!



    1 mal bearbeitet, zuletzt am 16.11.12 18:02 durch Lala Satalin Deviluke.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: Ob das in ein paar Jahren noch so sein wird

    Autor Lala Satalin Deviluke 16.11.12 - 18:06

    Mit den ARM-Schnecken kann ich rein gar nichts anfangen. Und mit Touch kann man nicht gescheit arbeiten. Nur spielen...

    Microsoft wird garantiert nicht so ein Mist machen, die haben so etwas gar nicht erst nötig.

    Nicht nur Microsoft hat SecureBoot gepusht, da waren weit mehr Firmen drin. Man wollte den Anwender vor Malware schützen.

    Leider haben die dabei einiges außer Acht gelassen, vielleicht am Ende auch bewusst um es doch noch anbieten zu können...

    Ist das Gleche wie mit dem Mobilfunk: Funktioniert nichtmal so, dass man es BETA-Status nennen könnte aber verkauft und angeboten wird es dennoch...

    Grüße vom Planeten Deviluke!

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: Solange Secure Boot im EFI abschaltbar ist

    Autor motzerator 16.11.12 - 18:36

    regiedie1. schrieb:
    -------------------------
    > ist alles in Ordnung. Dann kann mensch auch Rechner damit kaufen.

    Ob das den leuten hilft, deren Rechner wegen einer Ubuntu Live CD
    nun nciht mehr booten wollen?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: Solange Secure Boot im EFI abschaltbar ist

    Autor SSD 16.11.12 - 23:25

    Lala Satalin Deviluke schrieb:
    --------------------------------------------------------------------------------
    > Kein Sicherheitskonzept bietet 100% Sicherheit. Es geht eher darum es den
    > Hackern so schwer zu machen, dass sich Aufwand und Nutzen für diese Aktion
    > nicht mal mehr positiven im Gleichgewicht bringen lassen. Dann gibt er auf.

    Die Frage ist doch, wie sinnvoll es ist, den OS-Startup-Code signieren zu lassen?
    Ist es für einen Hacker nicht genauso "einfach", einen Dienst beim Start automatisch im Hintergrund öffnen zu lassen, als sich irgendwie in den Startup einzuschreiben?
    Wie funktioniert überhaupt Letzteres, wenn doch nach dazu der Start-Vorgang von Windows nicht (im Detail) öffentlich dokumentiert ist (oder?) ?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Re: Solange Secure Boot im EFI abschaltbar ist

    Autor nille02 17.11.12 - 10:37

    SSD schrieb:
    --------------------------------------------------------------------------------
    > Die Frage ist doch, wie sinnvoll es ist, den OS-Startup-Code signieren zu
    > lassen?

    Sich nur den Bootloader zu Signieren recht nicht. Es geht ja darum das alles Signiert sein muss. UEFI Secure Boot läd erst mal nur einen Signierten Bootloader. Dieser wiederum läd nur ein Signierten Kernel. Der Kernel läd nur Signierte Treiber, usw ...

    > Ist es für einen Hacker nicht genauso "einfach", einen Dienst beim Start
    > automatisch im Hintergrund öffnen zu lassen, als sich irgendwie in den
    > Startup einzuschreiben?

    Wenn das OS nur Signierten Code ausführt oder nicht Signierten Code den Zugriff auf Funktionen verweigert ist es für den "Hacker" nicht mehr so einfach.

    > Wie funktioniert überhaupt Letzteres, wenn doch nach dazu der Start-Vorgang
    > von Windows nicht (im Detail) öffentlich dokumentiert ist (oder?) ?

    Was soll daran nicht bekannt sein? Wenn du dich aber dafür interessierst solltest du bei ReactOS nachfragen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  8. Re: Solange Secure Boot im EFI abschaltbar ist

    Autor SSD 17.11.12 - 12:53

    nille02 schrieb:
    --------------------------------------------------------------------------------
    > SSD schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Die Frage ist doch, wie sinnvoll es ist, den OS-Startup-Code signieren
    > zu
    > > lassen?
    >
    > Sich nur den Bootloader zu Signieren recht nicht. Es geht ja darum das
    > alles Signiert sein muss. UEFI Secure Boot läd erst mal nur einen
    > Signierten Bootloader. Dieser wiederum läd nur ein Signierten Kernel. Der
    > Kernel läd nur Signierte Treiber, usw ...
    Bei dem Ansatz der Linux Foundation muss aber nur dieser Mini-Bootloader Shim signiert sein, nicht?
    Also hängt die Sicherheit in dieser Hinsicht auch vom OS ab?

    > > Ist es für einen Hacker nicht genauso "einfach", einen Dienst beim Start
    > > automatisch im Hintergrund öffnen zu lassen, als sich irgendwie in den
    > > Startup einzuschreiben?
    >
    > Wenn das OS nur Signierten Code ausführt oder nicht Signierten Code den
    > Zugriff auf Funktionen verweigert ist es für den "Hacker" nicht mehr so
    > einfach.
    Also denkst du, dass auch Dienste signiert sein müssen?
    Oder nur die, die automatisch starten sollen?
    Was hindert Hacker eigentlich daran, ihren Code zu signieren?

    Benutzer wird von Ihnen ignoriert. Anzeigen

  9. Re: Solange Secure Boot im EFI abschaltbar ist

    Autor SoniX 17.11.12 - 13:24

    Bringt doch eh nichts. Alles eine Seifenblase. Solche Wundertechnik kam schon oft und hatte genau nichts bewirkt. Ja wie denn auch.... Die Malware sitzt in den seltensten Fällen im bootloader, eher wird sie mit irgendeinem Programm mitinstalliert oder direkt von einer Webseite (mittels Lücle) oder gleich per email mit nude.jpg.exe vom Anwender selbst. Da hilft auch kein signierter bootloader was.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  10. Re: Solange Secure Boot im EFI abschaltbar ist

    Autor nille02 17.11.12 - 13:47

    SSD schrieb:
    --------------------------------------------------------------------------------
    > Bei dem Ansatz der Linux Foundation muss aber nur dieser Mini-Bootloader
    > Shim signiert sein, nicht?
    > Also hängt die Sicherheit in dieser Hinsicht auch vom OS ab?

    Genau. Secure Boot stellt ja nur sicher ein ein "gültiger" Bootcode ausgeführt wird. Alles weitere muss der dann machen. Wenn der Bootloader, oder das OS selber die Kette nicht fortführt, bringt es recht wenig Secure Boot zu nutzen.
    Die Lösung für Linux ist ja auch nur, dass Linux auf einem Secure Boot System gestartet werden kann. Es gibt aber auch schon Patches, die es ermöglichen nur Signierte Kernel Module zu laden.


    >
    > > > Ist es für einen Hacker nicht genauso "einfach", einen Dienst beim
    > Start
    > > > automatisch im Hintergrund öffnen zu lassen, als sich irgendwie in den
    > > > Startup einzuschreiben?
    > >
    > > Wenn das OS nur Signierten Code ausführt oder nicht Signierten Code den
    > > Zugriff auf Funktionen verweigert ist es für den "Hacker" nicht mehr so
    > > einfach.
    > Also denkst du, dass auch Dienste signiert sein müssen?
    > Oder nur die, die automatisch starten sollen?

    Bei RT muss alles Signiert sein, sonst wird es nicht ausgeführt. Unter Windows 8 wird es aber freilich schwer dies zu Erzwingen. Man kann aber heute schon Windows sagen das nur Signierte Programme Ausgeführt werden dürfen. http://technet.microsoft.com/de-de/library/dd723683%28v=ws.10%29.aspx

    > Was hindert Hacker eigentlich daran, ihren Code zu signieren?

    Hindern tut sie keiner, das Zertifikat muss aber auch akzeptiert werden. Für Treiber und Windows RT Anwendungen muss es Microsoft signieren. Für Applock kann der Administrator festlegen welche Zertifikate/Signaturen erlaubt sind.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  11. Re: Solange Secure Boot im EFI abschaltbar ist

    Autor nille02 17.11.12 - 13:48

    SoniX schrieb:
    --------------------------------------------------------------------------------
    > Bringt doch eh nichts. Alles eine Seifenblase. Solche Wundertechnik kam
    > schon oft und hatte genau nichts bewirkt. Ja wie denn auch.... Die Malware
    > sitzt in den seltensten Fällen im bootloader, eher wird sie mit irgendeinem
    > Programm mitinstalliert oder direkt von einer Webseite (mittels Lücle) oder
    > gleich per email mit nude.jpg.exe vom Anwender selbst. Da hilft auch kein
    > signierter bootloader was.

    Wenn das OS, nur noch Signierten Code ausführt wie im Falle von Windows RT, bringt es schon was. Secure Boost versucht sicher zu stellen, dass das OS nicht vorher schon kompromittiert wird.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  12. Re: Solange Secure Boot im EFI abschaltbar ist

    Autor SoniX 17.11.12 - 14:36

    Ja, wenn. Wenn alles durchgehend signiert ist. Wenn nirgendwo ne Lücke ist. Wenn man RT verwendet. Wenn wenn wenn...

    Reicht ja schon wenn MS etwas im Store übersieht und schon hat man Malware auf dem signierten Sytsem direkt aus dem MS Store.
    Das Sytem ist jetzt schon löchrig.

    Von mir aus kann diese ganze Signaturgeschichte wieder verschwinden. Wäre ja im Prinzip was tolles, wenn der Anwender das sagen hätte. Hat er aber nicht.

    Kennt noch jemand das TCPA Video von Lafcon? Ist schon einige Jahre alt, aber hat genau das vorausgesagt was wir heute haben.
    Damals wurde dagegen angegangen, heute schlucken wirs.. Weils in kleinen Häppchen kam.

    Die Geschichte macht mich traurig...

    Benutzer wird von Ihnen ignoriert. Anzeigen

  13. Re: Solange Secure Boot im EFI abschaltbar ist

    Autor nille02 17.11.12 - 14:47

    SoniX schrieb:
    --------------------------------------------------------------------------------
    > Von mir aus kann diese ganze Signaturgeschichte wieder verschwinden. Wäre
    > ja im Prinzip was tolles, wenn der Anwender das sagen hätte. Hat er aber
    > nicht.

    Kannst du heute doch schon mit Windows. http://technet.microsoft.com/de-de/library/dd723683%28v=ws.10%29.aspx

    Benutzer wird von Ihnen ignoriert. Anzeigen

  14. Re: Solange Secure Boot im EFI abschaltbar ist

    Autor SoniX 17.11.12 - 22:59

    Ja... Können schon :-)

    Die Treibersignaturabfrage ist eines der ersten Dinge die ich seit XP direkt nach der Installation deaktiviere. Wozu auch? Ausser vor 90% der Treiberinstallationen Warnungen wegklicken bringts eh nichts.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  15. Re: Solange Secure Boot im EFI abschaltbar ist

    Autor Thaodan 17.11.12 - 23:41

    Eigentlich sollte der BIOS eh nur dazu dienen das OS zu starten* und mehr nicht so groß wie bei UEFI sein.

    *also das Henne, Ei Problem lösen.

    Wahrung der Menschenrechte oder Freie fahrt am Wochenende.
    -- Georg Schramm

    Benutzer wird von Ihnen ignoriert. Anzeigen

  16. Re: Ob das in ein paar Jahren noch so sein wird

    Autor benji83 19.11.12 - 08:22

    Lala Satalin Deviluke schrieb:
    --------------------------------------------------------------------------------
    > Mit den ARM-Schnecken kann ich rein gar nichts anfangen.
    Aha.
    > Und mit Touch kann
    > man nicht gescheit arbeiten.
    Kommt auf die Arbeit an.

    > Nur spielen...
    Nein...

    > Microsoft wird garantiert nicht so ein Mist machen, die haben so etwas gar
    > nicht erst nötig.
    Die Knechtung ihrer Kunden (bzw der Kunden ihrer Geschäftspartner) begründen? Nein, das haben die leider nicht nötig.

    > Nicht nur Microsoft hat SecureBoot gepusht, da waren weit mehr Firmen drin.
    Vielen Firmen ging es dabei aber sicherlich auch um die Geschäftsbeziehungen mit MS. Für Lau machen sie ihre Produkte bestimmt nicht schlechter/eingeschränkter.

    > Man wollte den Anwender vor Malware schützen.
    Vor den drölftausend Bootsektorviren die zur Zeit im Umlauf sind? Parity B war der letzte den ich in freier Wildbahn gesehen habe.

    > Leider haben die dabei einiges außer Acht gelassen, vielleicht am Ende auch
    > bewusst um es doch noch anbieten zu können...
    Genau :) Es hat nicht nur negative "Randeffekte" sondern der angeblich ursprüngliche Anwendungsfall wird nicht einmal ausreichend erfüllt.

    > Ist das Gleche wie mit dem Mobilfunk: Funktioniert nichtmal so, dass man es
    > BETA-Status nennen könnte aber verkauft und angeboten wird es dennoch...
    Nennt sich imho Ausnutzung von Marktmacht. Heute Lenovo morgen das ganze Business.

    >Kein Sicherheitskonzept bietet 100% Sicherheit. Es geht eher darum es den Hackern so schwer zu machen, dass sich Aufwand und Nutzen für diese Aktion nicht mal mehr positiven im Gleichgewicht bringen lassen. Dann gibt er auf.
    Genau ;)
    So wie die Raubmordjihadkipoterrorkopierer aufgegeben haben als die Spieleindustrie ihre Produkte dank Abspielschutz unspielbar für die zahlenden Kunden gemacht hat. Diesmal ist alles Sicher, es besteht keine Gefahr für die Bevölkerung und Alternativlos ist es sogar auch noch.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  17. Re: Ob das in ein paar Jahren noch so sein wird

    Autor SoniX 19.11.12 - 13:48

    benji83 schrieb:
    --------------------------------------------------------------------------------
    > Lala Satalin Deviluke schrieb:
    > > Man wollte den Anwender vor Malware schützen.
    > Vor den drölftausend Bootsektorviren die zur Zeit im Umlauf sind? Parity B
    > war der letzte den ich in freier Wildbahn gesehen habe.

    hehe, das war auch mein letzter Bootvirus der mir untergekommen ist. Mensch ist das schon lange her; da hatte ich noch DOS auf nem 486DX2 und Windows 3.1.

    Ich bin ja mal gespannt was secure boot wirklich bringt. Ich denke diese zusätzliche (Schein)sicherheit wird sich nichtmal in Statistiken niederschlagen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  18. Re: Solange Secure Boot im EFI abschaltbar ist

    Autor SoniX 19.11.12 - 13:52

    regiedie1. schrieb:
    --------------------------------------------------------------------------------
    > ist alles in Ordnung. Dann kann mensch auch Rechner damit kaufen.

    Der Rechner aus dem Artikel war nach einer Installation von Ubuntu reif fürs Servicecenter.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  19. Re: Solange Secure Boot im EFI abschaltbar ist

    Autor regiedie1. 19.11.12 - 14:49

    SoniX schrieb:
    --------------------------------------------------------------------------------
    > Der Rechner aus dem Artikel war nach einer Installation von Ubuntu reif fürs Servicecenter.

    Das war er auch nur, weil versucht wurde, den Ubuntu-Schlüssel in Secure Boot zu nutzen. Ich sage doch, solange sich Secure Boot noch komplett abschalten lässt, ist alles in Ordnung...

    Benutzer wird von Ihnen ignoriert. Anzeigen

  20. Re: Solange Secure Boot im EFI abschaltbar ist

    Autor SoniX 19.11.12 - 14:58

    Naja.. ich wäre mir da nicht so sicher.

    Der Fehler lag ja nicht an Secureboot ansich, sondern an fehlerhafter Implementierung.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  1. 1
  2. 2

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige

Haben wir etwas übersehen?

E-Mail an news@golem.de


Liebessimulation Love Plus: "Ich hoffe, du wirst für immer schön bleiben"
Liebessimulation Love Plus
"Ich hoffe, du wirst für immer schön bleiben"
  1. PES 2015 angespielt Neuer Ball auf frischem Rasen
  2. Metal Gear Solid - The Phantom Pain Krabbelnde Kisten und schwebende Schafe

LG 34UM95 im Test: Ultra-Widescreen-Monitor für 3K-Gaming
LG 34UM95 im Test
Ultra-Widescreen-Monitor für 3K-Gaming
  1. Free-Form Display Sharp zeigt LCD mit kurvigem Rahmen
  2. Eizo Foris FS2434 IPS-Display mit schmalem Rahmen für Spieler
  3. Philips 19DP6QJNS Klappmonitor mit zwei IPS-Displays

Bluetooth Low Energy und Websockets: Raspberry Pi als Schaltzentrale fürs Haus
Bluetooth Low Energy und Websockets
Raspberry Pi als Schaltzentrale fürs Haus
  1. Echtzeitkommunikation Socket.io 1.0 mit neuer Engine

  1. Arbeitsspeicher: Erste Smartphones mit Low-Power-DDR4 erscheinen 2015
    Arbeitsspeicher
    Erste Smartphones mit Low-Power-DDR4 erscheinen 2015

    Ab 2015 werden nicht nur Computer und Notebooks mit DDR4-Speicher ausgeliefert, sondern auch Smartphones und Tablets: Erste Geräte sollen im zweiten Halbjahr auf LPDDR4-RAM setzen, um genug Bandbreite für 4K und Spiele zu liefern.

  2. Wearables: Samsung lässt sich runde Smartwatch-Designs patentieren
    Wearables
    Samsung lässt sich runde Smartwatch-Designs patentieren

    Die US-Patentbehörde hat Samsung drei Design-Patente auf runde Smartwatches zugesprochen. Der Verschluss des Armbands ist bei den Modellen gleichzeitig der Ladeanschluss, zudem haben die Geräte offenbar eine Kamera im Armband.

  3. Tinkerforge: Linux anpassen für ein neues Prozessorboard
    Tinkerforge
    Linux anpassen für ein neues Prozessorboard

    Neue Hardware erfordert oft auch neue Software. Wie aufwendig die Programmierung ist und wieso Open Source dabei eine große Hilfe sein kann, erklärten uns die Macher von Tinkerforge anhand ihres RED-Brick.


  1. 12:40

  2. 12:28

  3. 12:05

  4. 12:01

  5. 11:59

  6. 11:55

  7. 11:53

  8. 11:46