Ich weiß zwar nicht, wie sie das genau meinen, hört sich in meinen Ohren aber nach einem absoluten Security-Fail an.
Zuerst baut man einen vom OS unabhängigen Modus, auf den kein Virus ohne weiteres Zugriff hat, um die Modifikation von selbigem zu verhindern, dann wollen die Wahnsinnigen von der Linux-Foundation wieder eine Schnittstelle, die das ganze Konzept unbrauchbar macht.
Also ich wär dafür: PC mit UEFI mit Windows vorinstalliert (ggf. auch komerzielle Distributionen,,,), Secure Boot Aktiviert; für alle anderen Betriebssysteme -> SecureBoot abschaltbar.
Die haben doch echt nicht mehr alle Zertifikate im Cache....;)
Also wenn abschaltbar, dann bitte nur per Jumper auf dem Mainboard. So wie das Teil, das einst das CMOS gecleart hat. Jumper ziehen, Schutz deaktiviert. Jumper drauf, Schutz drin.
Und du glaubst, bei Notebooks, bei denen man nicht mal mehr den Akku wechseln kann, kommst du an solche einen Jumper ran?
chrilo schrieb:
--------------------------------------------------------------------------------
> Ich weiß zwar nicht, wie sie das genau meinen, hört sich in meinen Ohren
> aber nach einem absoluten Security-Fail an.
>
> Zuerst baut man einen vom OS unabhängigen Modus, auf den kein Virus ohne
> weiteres Zugriff hat, um die Modifikation von selbigem zu verhindern, dann
> wollen die Wahnsinnigen von der Linux-Foundation wieder eine Schnittstelle,
> die das ganze Konzept unbrauchbar macht.
>
> Also ich wär dafür: PC mit UEFI mit Windows vorinstalliert (ggf. auch
> komerzielle Distributionen,,,), Secure Boot Aktiviert; für alle anderen
> Betriebssysteme -> SecureBoot abschaltbar.
>
> Die haben doch echt nicht mehr alle Zertifikate im Cache....;)
ist doch vorstellbar, oder nicht?
das einzig Wichtige ist, dass sich die Schlüssel auf einem Wechseldatenträger befinden
denn wenn dies der Fall ist, kann der Schlüssel (fast) nicht mehr gefälscht werden bzw. ein unerwünschter Schlüssel hinzugefügt werden
soweit die Theorie ...
ich weiß nämlich nicht, inwiefern die Kommunikation EFI <-> OS stattfindet, und welche Daten ein Motherboard so lesen kann (welche Dateisysteme, welche Schnittstellen)
Naja, ich weiß nicht, wo das Problem liegen sollte, dem Benutzer selbst die Wahl zu lassen, ob er nun ein Zertifikat hinzufügen will. - Von mir aus auch mit großem Warntext, dass man es nur machen sollte, wenn man die Quelle des .iso Images, welches man auf CD gebrannt hat vertraut.
Das Problem dabei ist, dass man die Leute aussperrt, die sich eine eigene Linux-Distribution zusammengefrickelt haben und die Windows-Nutzer, die ihr abgeschossenes System mit einer temporären Installation eines alternativen Betriebssystems retten wollen.
Ich bin mal gespannt, ob es irgendwann zu Hamsterkäufen von Mainboards mit BIOS kommt...
> Zuerst baut man einen vom OS unabhängigen Modus, auf den kein Virus ohne weiteres Zugriff hat,
> dann wollen die [..] von der Linux-Foundation wieder eine Schnittstelle, die das ganze Konzept unbrauchbar macht.
Sie wollen eine offene Schnittstelle um Benutzer definierte Zertifikate zu installieren.
Ich finde das begrüssens Wert.
Im übrigen gibt es ganz ähnliche Schnittstellen bereits:
- In Windows um Treiber zu zertifizieren.
- In Linux um Software-Quellen zu zertifizieren.
- In Firefox um Webseiten zu zertifizieren.
Bei all diesen Schnittstellen, kann man auch selbst erstellte Zertifikate verwenden.
___
Die ganz grossen Wahrheiten sind EINFACH!
Wirkung und Gegenwirkung.
Variation und Selektion.
Wie im grossen, so im kleinen.
1 mal bearbeitet, zuletzt am 29.10.11 03:09 durch Der Kaiser!.
@Der Kaiser!
Theoretisch gesehen, ist es eben nicht nur eine Schnittstelle wie man sie bei Treiber, etc. findet.
Hier geht es um eine Pre-Boot Sicherheit, die, falls sauber ausgearbeitet, eine wirklich fast unknackbare Nuss für jeden Hacker darstellen würde.
Vorrausgesetzt eben, Systeme niederer Rangordnung können nicht durch Schnittstellen das UEFI beeinflussen oder auch nur in irgendeiner Weise SecureBoot manipulieren, denn wenn es auch eine Benutzerbestätigung erfordert, in Zeiten von Social-Fishing,etc. sind dass sowieso die bedeutensten Attacken.
Bei physikalischem Zugriff auf den Rechner kann gerne ein Passwort abgefragt werden, womit man dann hunderte Coole Sachen an und abschalten kann, keine Frage, der Benutzer soll auch noch Kontrolle über sein System haben.
Bis auf wenige Ausnahmen wären dann dem Virusschreiber aber die Hände gebunden:
Vor dem UEFI kann er keinen Schadcode ausführen.
Das UEFI selbst ist auch digital signiert und kann nicht einfach durch eine manipulierte Version ersetzt werden.
Und er kann auch nichts zwischen dem OS Start ausführen, da vom Bootloader bis hin zu den Treibern (64 Bit verpflichtend) alles signiert sein muss.
Die einzige Möglichkeit ist also sich ein gültiges Zertifikat zu erschleichen, stehlen. Und wenn es auch mal alle paar Jahre vorkommt, dass ein Realtek Zertifikat in die falschen Hände gelangt, so kann dies auch "nur" zu Treiber Viren führen.
Um ein Rootkit vor dem Windows Systemstart zu platzieren bräuchte man schon die Kernelzertifikate von Windows.
> Zuerst baut man einen vom OS unabhängigen Modus, auf den kein Virus ohne weiteres Zugriff hat,
Ist nur eine Frage der Zeit, bis sich jemand die Arbeit macht einen Payload-Virus zu schreiben.
Alternativ könnte man auch den Server mit den Zertifikaten übernehmen. Und "nichts geht mehr".
> dann wollen die Wahnsinnigen von der Linux-Foundation wieder eine Schnittstelle, die das ganze Konzept unbrauchbar macht.
Weisst du eigentlich was das für Konsequenzen hätte, wenn es keine offenen Schnittstellen gibt?
Nur ein paar der Möglichkeiten:
- Microsoft meint, dein Betriebssystem ist "abgelaufen". Zertifikat zurückgenommen.
- Microsoft meint, du hättest eine Raubkopie installiert. Zertifikat zurückgenommen.
- Microsoft meint, mehr als 3x neuinstallieren reicht. Zertifikat zurückgenommen.
- Microsoft meint, mehr als 3x Hardware tauschen reicht. Zertifikat zurückgenommen.
Und das soll ausreichen, damit MEINE Kiste GAR NICHT mehr hochfährt??
Wir BRAUCHEN so eine Schnittstelle!! Sonst sind wir am Arsch!!
___
Die ganz grossen Wahrheiten sind EINFACH!
Wirkung und Gegenwirkung.
Variation und Selektion.
Wie im grossen, so im kleinen.
2 mal bearbeitet, zuletzt am 29.10.11 03:37 durch Der Kaiser!.
> Das UEFI selbst ist auch digital signiert
> und kann nicht einfach durch eine manipulierte Version ersetzt werden.
Wie wird UEFI aktualisiert?
Das ist dann der Angriffspunkt.
___
Die ganz grossen Wahrheiten sind EINFACH!
Wirkung und Gegenwirkung.
Variation und Selektion.
Wie im grossen, so im kleinen.
1 mal bearbeitet, zuletzt am 29.10.11 03:41 durch Der Kaiser!.
Nochmal,
ich hab nichts gegen Schnitstellen per se, aber eine Schnittstelle ZWISCHEN UEFI unddem OS zum sich gegenseitig bequem konfigurieren ist widersprüchlich!
Gegen einen manuellen abgesicherten Modus im UEFI Setup durch den man Zertifikate laden kann, hab ich nichts, genauso wenig wie gegen das optionale Abschalten des SecureBoot Features (wie oft muss ich mich denn noch wiederholen?)
Die lange Liste von dir zeigt nur, dass du von der Zertifikatgeschichte ziemlich wenig Ahnung hast.
Secure Boot erweitert nicht den Umfang der Windows Activation.
> Secure Boot erweitert nicht den Umfang der Windows Activation.
Das mag heute noch so sein.
Das sieht morgen vielleicht anders aus.
___
Die ganz grossen Wahrheiten sind EINFACH!
Wirkung und Gegenwirkung.
Variation und Selektion.
Wie im grossen, so im kleinen.
Der Kaiser! schrieb:
--------------------------------------------------------------------------------
> > Das UEFI selbst ist auch digital signiert
>
> > und kann nicht einfach durch eine manipulierte Version ersetzt werden.
>
> Wie wird UEFI aktualisiert?
>
> Das ist dann der Angriffspunkt.
Ganz einfach, indem der OEM die Firmware Updates eben wieder mit dem selben Schlüssel signiert, der dann vom Updateprozess anerkannt wird.
>> Wie wird UEFI aktualisiert?
> Indem der OEM die Firmware Updates [..] mit dem selben Schlüssel signiert
Da brauchts doch nur einen Netzwerksniffer, um die Schlüssel abzufangen.
___
Die ganz grossen Wahrheiten sind EINFACH!
Wirkung und Gegenwirkung.
Variation und Selektion.
Wie im grossen, so im kleinen.
Der Kaiser! schrieb:
--------------------------------------------------------------------------------
> >> Wie wird UEFI aktualisiert?
>
> > Indem der OEM die Firmware Updates [..] mit dem selben Schlüssel
> signiert
>
> Da brauchts doch nur einen Netzwerksniffer, um die Schlüssel abzufangen.
Du hast nicht verstanden, wie Signaturen funktionieren.
Ist egal wie oft du dich wiederholst. Du hast den Text nicht vollständig gelesen. Die Mainboards oder fertigen PC's werden mit einem UEFI im Setup Modus ausgeleifert. In diesem Modus ist es möglich ein eigenes Zertifikat zu installieren. Das ist zu 100% notwendig, damit man eben nicht andere Betriebsysteme ausschließen kann. Welches zweifels ohne das Ziel von Microsoft ist. Ich kann ihnen das nicht einmal verübeln. Ist schließlich kein Wohlfahrtsverein.
Bei der Installation gibt es noch keine Viren die das UEFI infizieren können. Es sei denn, die Installationsroutine selbst ist schon infiziert. Nach der Installation schaltet das OS den Setup Modus des UEFI ab. Kann es aber nicht wieder einschalten. Dazu ist es notwendig ins UEFI direkt zu gehen.
Problem gelöst.
>Sie wollen eine offene Schnittstelle um Benutzer definierte Zertifikate zu installieren.
>Ich finde das begrüssens Wert.
Nein. DIe Schnittstelle kann dann auch immer ein Programm nutzen, damit ist keine Sicherheit drin.
WolfgangS schrieb:
--------------------------------------------------------------------------------
> >Sie wollen eine offene Schnittstelle um Benutzer definierte Zertifikate zu
> installieren.
>
> >Ich finde das begrüssens Wert.
>
> Nein. DIe Schnittstelle kann dann auch immer ein Programm nutzen, damit ist
> keine Sicherheit drin.
Nein. Wenn es gar nicht anders geht, dürfen halt nur bei einem Boot von der CD / DVD / USB-Stick Zertifikate installiert werden oder vor dem Boot mit expliziter Einwilligung des Nutzers ...
> Bei der Installation gibt es noch keine Viren die das UEFI infizieren können.
Gibt ja auch keine BIOS-Viren.
___
Die ganz grossen Wahrheiten sind EINFACH!
Wirkung und Gegenwirkung.
Variation und Selektion.
Wie im grossen, so im kleinen.
Kommentare: 222 | letzter Beitrag 26.05. 23:51
Kommentare: 216 | letzter Beitrag 00:27 Uhr
Kommentare: 160 | letzter Beitrag 26.05. 23:16
Kommentare: 93 | letzter Beitrag 26.05. 19:45
Kommentare: 68 | letzter Beitrag 25.05. 12:17
E-Mail an news@golem.de
Ein soziales Netzwerk für Pornografie muss seine Marke nicht an Facebook übergeben. Faceporn, ein norwegisches Unternehmen, freut sich über den Sieg vor einem kalifornischen Gericht.
Diablo 3 ist toll, sagen viele Spieler - Diablo 3 ist eine Stimulus-Response-Maschine, sagt Rainer Sigl. Der Blogger und leidenschaftliche Gamer erklärt, warum er sich Blizzards jüngstem Werk verweigert.
Lockheed Martin hat eine neue Version des Exoskeletts Hulc vorgestellt, das es einem Menschen ermöglicht, schwere Lasten zu heben und zu tragen. Der Hersteller will das System im Spätsommer testen und, wenn alles gutgeht, danach an US-Soldaten in Afghanistan ausliefern.
Ein britisches Blog will erfahren haben, dass Facebook den norwegischen Browserhersteller Opera Software kaufen will. Beide Unternehmen wollen sich dazu nicht äußern.
Am 26. Mai 2012 treten neue Datenschutzregeln der EU in Kraft. Websitebetreiber und Werbenetzwerke müssen Nutzer um Erlaubnis fragen, wenn sie Cookies setzen.
Libreoffice könne mehr als Openoffice und biete Entwicklern zudem Vorteile, sagte Michael Meeks auf dem Linuxtag 2012. Außerdem spricht er mit Golem.de über Libreoffice-Online, woran er derzeit arbeitet.