1. Foren
  2. Kommentare
  3. Applikationen
  4. Alle Kommentare zum Artikel
  5. › Microsoft: Windows überprüft…

Klar.

  1. Thema

Neues Thema Ansicht wechseln


  1. Klar.

    Autor: Nullmodem 22.10.19 - 17:00

    Der übliche Angriffsvektor auf einen PC mit Windows ist natürlich ein Firmwarepatch, und nicht etwa das löchrige Windows selbst.
    Jetzt kann man also mit höchster Sicherheit ein unmanipuliertes Windows booten.
    Schaun wir doch mal, was der letzte CVE so hergibt:
    https://www.cvedetails.com/cve/CVE-2019-1359/

    "A remote code execution vulnerability exists when the Windows Jet Database Engine improperly handles objects in memory, aka 'Jet Database Engine Remote Code Execution Vulnerability'."

    Seit 20 Jahren ist bekannt, das TPM genau gar nichts bringt und es wird wieder und wieder als Allerheilmittel präsentiert.
    Man kriegt die PCs nie wieder sicher, solange die Software immer komplexer wird. Schon gar nicht, wenn man die Firmware jetzt auch noch komplexer macht.
    Die älteren unter uns werden sich noch mit Amüsement an die Wörter NGSCB und Palladium erinnern, so lange geistert dieser Quatsch schon herum.

    nm

  2. Re: Klar.

    Autor: azeu 22.10.19 - 17:45

    Der Vorteil - für MS - man kann nicht mehr Linux installieren. Damit würde man ja den Bootloader - also die "Firmware des PCs" - manipulieren.

    DU bist ...

  3. Re: Klar.

    Autor: ffx2010 22.10.19 - 18:02

    Ja, ich finde es auch völlig Banane, und am Ende haben dann nur noch Microsoft, NSA und gute Hacker Vollzugriff und können diese Hürden umgehen. Und genau hier liegt der Hund begraben, die Annahme, dass Unternehmen wie Microsoft und Apple vertrauenswürdiger seien, als der Besitzer des Computers. Es ist auch eine grandiose Selbstüberschätzung dieser Unternehmen.



    1 mal bearbeitet, zuletzt am 22.10.19 18:03 durch ffx2010.

  4. Re: Klar.

    Autor: park3r 22.10.19 - 18:47

    Korrekt!

    Simplicity - the ultimate sophistication.

    Nullmodem schrieb:
    --------------------------------------------------------------------------------
    > ...
    > Seit 20 Jahren ist bekannt, das TPM genau gar nichts bringt und es wird
    > wieder und wieder als Allerheilmittel präsentiert.
    > Man kriegt die PCs nie wieder sicher, solange die Software immer komplexer
    > wird. Schon gar nicht, wenn man die Firmware jetzt auch noch komplexer
    > macht.
    > ...
    > nm

  5. Re: Klar.

    Autor: MancusNemo 22.10.19 - 18:57

    Hehe, genau wie ich es mir dachte. Nur die Weiterführung der Perversionierung von SecureBoot. Na da bin ich mal gespannt, wie lange M$ noch basteln muss, bis man Linux nicht mehr rauf bekommt und der Verbraucherschutz endlich auf Microsoft eindrischt bis die verbluten!

    Bevor auch nur SecureBoot da war wusste ich schon das es nur missbraucht wird um Linux zu sabotieren. Deshalb trau ich denen troz wir Microsofot sind jetzt so open source überhaupt nicht über den Weg... Google hab ich auch nicht von anfang an getraut und sah gleich die wollen nur deine Daten...

  6. Re: Klar.

    Autor: 0xffff 22.10.19 - 19:23

    Wieso diese Hass gegen SecureBoot?
    Wir nutzen es in der Firma auf unseren Ubuntu Laptops ohne Probleme.
    Und der SicherheitGewinn ist definitiv vorhanden in Verbindung mit Einer verschlüsselten Festplatte.
    Was wir nicht gescheit zusammenbringen ist die Verschlüsselung MIT dem TPM2 Modul.
    Deswegen verschlüsseln wir im Moment mit einem normalen Kennwort.

  7. Re: Klar.

    Autor: tritratrulala 22.10.19 - 21:06

    Nullmodem schrieb:

    > Seit 20 Jahren ist bekannt, das TPM genau gar nichts bringt und es wird
    > wieder und wieder als Allerheilmittel präsentiert.
    > Man kriegt die PCs nie wieder sicher, solange die Software immer komplexer
    > wird. Schon gar nicht, wenn man die Firmware jetzt auch noch komplexer
    > macht.

    Als ein Allgemeinplatz ist das Unsinn. Ein TPM ist praktisch eine eingebettete Smartcard. Ein TPM ist auch vergleichsweise simpel. Ein kleiner, auf Hardware-Sicherheit getrimmter Mikrocontroller für ein paar Kryptografiefunktionen, abgeschottet vom restlichen System und nur über ein serielles Interface ansprechbar. Somit sollte das doch deinen Vorstellungen entsprechen, oder?

    Es ist kein Allheilmittel, aber damit kann man eine Reihe an interessanten Dingen machen. Beispielsweise Passphrasen an die Hardware und ihre Konfiguration binden. Damit kann man dann kein Brute Force bei der Festplattenverschlüsselung mehr machen, auch wenn die Passphrase nur wenige Zeichen lang ist (als Beispiel). Oder das Booten komplett verhindern, wenn die Hardwarekonfiguration sich geändert. Oder auch Geheimnisse wie z.B. GPG-Schlüssel lassen sich durch Nutzung als virtuelle PKCS#11-Smartcard im TPM absichern, sodass ein Angreifer diese nicht von der Festplatte lesen kann.

    Ob die neue Initiative jetzt durchdacht ist und sinnvoll, das kann ich nicht beurteilen. Aber TPMs sind definitiv sehr sinnvoll.

  8. Re: Klar.

    Autor: tg-- 22.10.19 - 21:56

    0xffff schrieb:
    --------------------------------------------------------------------------------
    > Wieso diese Hass gegen SecureBoot?
    > Wir nutzen es in der Firma auf unseren Ubuntu Laptops ohne Probleme.
    > Und der SicherheitGewinn ist definitiv vorhanden in Verbindung mit Einer
    > verschlüsselten Festplatte.
    > Was wir nicht gescheit zusammenbringen ist die Verschlüsselung MIT dem TPM2
    > Modul.
    > Deswegen verschlüsseln wir im Moment mit einem normalen Kennwort.

    Wer sagt hier etwas von Hass gegen SecureBoot?
    SecureBoot ist hier nicht das Problem und war es auch nicht vor 10 Jahren als die Benutzer dagegen noch auf die Barrikaden gingen.

    Das Problem ist: wer kontrolliert die Keys?
    Die Antwort ist simpel: einige, wenige, mächtige Konzerne. Bei iPhones ist es Apple, bei PCs ist es - praktisch uneingeschränkt - Microsoft.

    Klar kann SecureBoot eine hilfreiche Sicherheitstechnik sein. Aber ist es wirklich wünschenswert, dass SecureBoot in erster Linie dazu genutzt wird den Rechner vor seinem Besitzer zu schützen?

    Bei der bisher universellsten Implementierung eines SecureBoot-Schemes, nämlich Apples iOS-Plattform ist das offensichtlich. Nur Apple kontrolliert die Keys, Nutzerkeys existieren nicht. Damit verhindert Apple, dass Nutzer andere Betriebssysteme verwenden, ihre eigenes Betriebssystem modifizieren und sogar eigene Software zu installieren.
    Vielen ist es immer noch nicht klar: der App-Store erlaubt es dem Nutzer nicht eigene Software zu installieren - der App-Store erlaubt es dem Nutzer Apple zu bitten Software auf ihrem Gerät zu installieren.

    Wird das bei Windows anders sein?
    Ich bezweifle es.
    Wir werden in Zukunft einen signierten Origin-Launcher sehen, der nur startet wenn die trusted bootchain erhalten bleibt - das heißt, Spiele laufen nur, wenn der Windows-Bootloader unmodifiziert gestartet wird und sich kein Linux-Bootloader (und damit kein Linux) auf dem System befindet.

    Auch wird nur ein Browser in der verifizierten Chain noch Netflix, Disney+, und diverse andere Streamingdienste starten. Firefox, Waterfox, Chromium usw. sind raus.

    Auch HDCP kann über die Trusted Chain verifiziert werden. Wird Hardware in Zukunft noch 4K darstellen dürfen, wenn die Chain unterbrochen wurde?

    Das Problem ist also nicht SecureBoot. Das Problem ist: wem gehört die Chain?
    Bislang gehört sie einzig und allein Microsoft (auf der PC-Plattform).

  9. Re: Klar.

    Autor: tritratrulala 22.10.19 - 22:49

    tg-- schrieb:
    --------------------------------------------------------------------------------
    > 0xffff schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wieso diese Hass gegen SecureBoot?
    > > Wir nutzen es in der Firma auf unseren Ubuntu Laptops ohne Probleme.
    > > Und der SicherheitGewinn ist definitiv vorhanden in Verbindung mit Einer
    > > verschlüsselten Festplatte.
    > > Was wir nicht gescheit zusammenbringen ist die Verschlüsselung MIT dem
    > TPM2
    > > Modul.
    > > Deswegen verschlüsseln wir im Moment mit einem normalen Kennwort.
    >
    > Wer sagt hier etwas von Hass gegen SecureBoot?
    > SecureBoot ist hier nicht das Problem und war es auch nicht vor 10 Jahren
    > als die Benutzer dagegen noch auf die Barrikaden gingen.
    >
    > [...]
    >
    > Das Problem ist also nicht SecureBoot. Das Problem ist: wem gehört die
    > Chain?
    > Bislang gehört sie einzig und allein Microsoft (auf der PC-Plattform).

    Nö, sie gehört auf dem PC nicht zwangsweise Microsoft, das ist nur das Default. UEFI Secure Boot muss laut Spezifikation die Möglichkeit bieten, im Setup Mode den Platform Key zu ersetzen. Das ist der Top-Level-Key, wenn du den änderst, ist es "dein" Rechner und Microsoft ist komplett raus. Und ich habe auch noch keinen PC gesehen, der diese Möglichkeit nicht bietet. Mag ja sein, dass es das vereinzelt gibt: aber die Regel ist es nicht.



    1 mal bearbeitet, zuletzt am 22.10.19 22:54 durch tritratrulala.

  10. Re: Klar.

    Autor: tg-- 22.10.19 - 23:15

    tritratrulala schrieb:
    --------------------------------------------------------------------------------
    > tg-- schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > 0xffff schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Wieso diese Hass gegen SecureBoot?
    > > > Wir nutzen es in der Firma auf unseren Ubuntu Laptops ohne Probleme.
    > > > Und der SicherheitGewinn ist definitiv vorhanden in Verbindung mit
    > Einer
    > > > verschlüsselten Festplatte.
    > > > Was wir nicht gescheit zusammenbringen ist die Verschlüsselung MIT dem
    > > TPM2
    > > > Modul.
    > > > Deswegen verschlüsseln wir im Moment mit einem normalen Kennwort.
    > >
    > > Wer sagt hier etwas von Hass gegen SecureBoot?
    > > SecureBoot ist hier nicht das Problem und war es auch nicht vor 10
    > Jahren
    > > als die Benutzer dagegen noch auf die Barrikaden gingen.
    > >
    > > [...]
    > >
    > > Das Problem ist also nicht SecureBoot. Das Problem ist: wem gehört die
    > > Chain?
    > > Bislang gehört sie einzig und allein Microsoft (auf der PC-Plattform).
    >
    > Nö, sie gehört auf dem PC nicht zwangsweise Microsoft, das ist nur das
    > Default. UEFI Secure Boot muss laut Spezifikation die Möglichkeit bieten,
    > im Setup Mode den Platform Key zu ersetzen. Das ist der Top-Level-Key, wenn
    > du den änderst, ist es "dein" Rechner und Microsoft ist komplett raus. Und
    > ich habe auch noch keinen PC gesehen, der diese Möglichkeit nicht bietet.
    > Mag ja sein, dass es das vereinzelt gibt: aber die Regel ist es nicht.

    Absolut korrekt, es gibt die Möglichkeit eigene Keys zu setzen (nicht immer) - aber das ergibt eine eigene Chain.
    Was hilft einem die Option seine eigene Chain zu verwenden, wenn dann plötzlich 50% der Software nicht mehr funktioniert?

    Wenn SecureBoot mit Microsofts Chain zum Standard wird, glaubst du wirklich Origin und Co. werden mit deiner eigenen Chain noch Spiele starten? Glaubst du ein Chrome in deiner Chain wird noch Netflix (in mehr als SD) abspielen? Glaubst du die Labels hinter Spotifys Angebot werden Spotify Musik abspielen lassen wenn der Browser nicht in der Chain ist - und ggf. die Soundkarte via zertifiziertem Treiber nur via HDMI+HDCP Audio ausgibt?

    Ein eigener Key klingt also erstmal toll, hindert aber große Konzerne nicht daran dich von ihren Angeboten auszuschließen.

  11. Re: Klar.

    Autor: treysis 22.10.19 - 23:28

    azeu schrieb:
    --------------------------------------------------------------------------------
    > Der Vorteil - für MS - man kann nicht mehr Linux installieren. Damit würde
    > man ja den Bootloader - also die "Firmware des PCs" - manipulieren.

    Der Bootloader bei PCs befindet sich auf der Festplatte. Sofern SecureBoot eingeschaltet ist, lässt der sich auch jetzt schon nicht manipulieren. glaube sogar, wenn SecureBoot ausgeschaltet ist.

    Egal, das BIOS könnte man manipulieren. Die werden aber mittlerweile auch geschützt. Oft kann man bspw kein Downgrade mehr machen. Und wenn du das BIOS über SPI-Flash veränderst, verwehrt es den Start. Jetzt muss man eigentlich nur noch Chips einbauen, bei denen ohne Signatur nichtmal der Flashvorgang möglich ist.

    Bringt zwar schon Sicherheit, aber entmündigt auch die Nutzer.

  12. Re: Klar.

    Autor: treysis 22.10.19 - 23:35

    tg-- schrieb:
    --------------------------------------------------------------------------------
    > Wir werden in Zukunft einen signierten Origin-Launcher sehen, der nur
    > startet wenn die trusted bootchain erhalten bleibt - das heißt, Spiele
    > laufen nur, wenn der Windows-Bootloader unmodifiziert gestartet wird und
    > sich kein Linux-Bootloader (und damit kein Linux) auf dem System befindet.
    >
    > Auch wird nur ein Browser in der verifizierten Chain noch Netflix, Disney+,
    > und diverse andere Streamingdienste starten. Firefox, Waterfox, Chromium
    > usw. sind raus.
    >
    > Auch HDCP kann über die Trusted Chain verifiziert werden. Wird Hardware in
    > Zukunft noch 4K darstellen dürfen, wenn die Chain unterbrochen wurde?
    >
    > Das Problem ist also nicht SecureBoot. Das Problem ist: wem gehört die
    > Chain?
    > Bislang gehört sie einzig und allein Microsoft (auf der PC-Plattform).

    Nein, du kannst bei aktuellen Systemen deine eigenen Zertifikate beim SecureBoot eintragen. Die sind dann ganz weit oben in der Chain-of-Trust (leider stellt Windows noch andere Anforderungen an Treiber, die mit davon abgeleiteten Zertifikaten signiert werden).

    Den Rest predige ich schon seit Jahren. Es wird eben nur noch eine Whitelist von Apps geben. Hört sich auch zuerst gut an: Ransomware hat keine Chance mehr (außer, sie nutzt Sicherheitslücken). Aber ja, es wird alles von dieser Trust-Chain abhängen. Und man sieht ja schon jetzt, dass einige Anbieter ihre Medien nur in SD-Qualität abspielen lassen, wenn ein Monitor nicht mit HDCP-Unterstützung daher kommt (also bspw. HDMI oder gar VGA).

    Und tatsächlich sehen wir bei Apple und teilw. auch Android, was das bedeutet.

  13. Re: Klar.

    Autor: User_x 23.10.19 - 07:41

    kann man denn beim Surface heute noch was anderes installieren außer Windows?

  14. Re: Klar.

    Autor: chefin 23.10.19 - 08:41

    Nullmodem schrieb:
    --------------------------------------------------------------------------------
    > Der übliche Angriffsvektor auf einen PC mit Windows ist natürlich ein
    > Firmwarepatch, und nicht etwa das löchrige Windows selbst.
    > Jetzt kann man also mit höchster Sicherheit ein unmanipuliertes Windows
    > booten.
    > Schaun wir doch mal, was der letzte CVE so hergibt:
    > www.cvedetails.com
    >
    > "A remote code execution vulnerability exists when the Windows Jet Database
    > Engine improperly handles objects in memory, aka 'Jet Database Engine
    > Remote Code Execution Vulnerability'."
    >
    > Seit 20 Jahren ist bekannt, das TPM genau gar nichts bringt und es wird
    > wieder und wieder als Allerheilmittel präsentiert.
    > Man kriegt die PCs nie wieder sicher, solange die Software immer komplexer
    > wird. Schon gar nicht, wenn man die Firmware jetzt auch noch komplexer
    > macht.
    > Die älteren unter uns werden sich noch mit Amüsement an die Wörter NGSCB
    > und Palladium erinnern, so lange geistert dieser Quatsch schon herum.
    >
    > nm

    Und weil alles so löchrig ist, sind alle aktuellen Schadsoftware auf einen Klick von Usern angewiesen.Alle anderen Infektionswege scheinen so untauglich zu sein, das sie kein Hacker mehr verwendet.

    Sehr logisch deine Ausführung, so logisch wie Pille seine Argumentationen.

  15. Re: Klar.

    Autor: FreiGeistler 23.10.19 - 17:33

    0xffff schrieb:
    --------------------------------------------------------------------------------
    > Wieso diese Hass gegen SecureBoot?
    > Wir nutzen es in der Firma auf unseren Ubuntu Laptops ohne Probleme.
    > Und der SicherheitGewinn ist definitiv vorhanden in Verbindung mit Einer
    > verschlüsselten Festplatte.

    Mit LVM & Luks hättet ihr nicht auf eine nachweisbar unsichere Blackbox setzen müssen...
    UND hättet ein flexibleres Setup.

  16. Re: Klar.

    Autor: treysis 23.10.19 - 17:36

    FreiGeistler schrieb:
    --------------------------------------------------------------------------------
    > 0xffff schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wieso diese Hass gegen SecureBoot?
    > > Wir nutzen es in der Firma auf unseren Ubuntu Laptops ohne Probleme.
    > > Und der SicherheitGewinn ist definitiv vorhanden in Verbindung mit Einer
    > > verschlüsselten Festplatte.
    >
    > Mit LVM & Luks hättet ihr nicht auf eine nachweisbar unsichere Blackbox
    > setzen müssen...
    > UND hättet ein flexibleres Setup.

    SecureBoot und LUKS schließt sich ja nicht aus. SecureBoot hat einen ganz anderen Zweck.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. operational services GmbH & Co. KG, Berlin, Dresden, Frankfurt am Main, München
  2. Stadtwerke München GmbH, München
  3. Bundeskriminalamt, Meckenheim
  4. ServiceXpert GmbH, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u.a. Winkelschleifer GWS 7-125 für 35,99€, Akku Kreissäge GKS 18V-57 für 115,99€ )
  2. (aktuell u. a. Deepcool Castle 240EX Wasserkühlung für 109,90€, Asus VG248QZ LED-Monitor 169...
  3. (u. a.Battlefield V für 21,49€ und Star Wars Jedi: Fallen Order für 52,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mi Note 10 im Kamera-Test: Der Herausforderer
Mi Note 10 im Kamera-Test
Der Herausforderer

Im ersten Hands on hat Xiaomis Fünf-Kamera-Smartphone Mi Note 10 bereits einen guten ersten Eindruck gemacht, jetzt ist der Vergleich mit anderen Smartphones dran. Dabei zeigt sich, dass es einen neuen, ernstzunehmenden Konkurrenten unter den besten Smartphone-Kameras gibt.
Von Tobias Költzsch

  1. Xiaomi Neues Redmi Note 8T mit Vierfachkamera kostet 200 Euro
  2. Mi Note 10 Xiaomis neues Smartphone mit 108 Megapixeln kostet 550 Euro
  3. Mi Watch Xiaomi bringt Smartwatch mit Apfelgeschmack

In eigener Sache: Aktiv werden für Golem.de
In eigener Sache
Aktiv werden für Golem.de

Keine Werbung, kein unerwünschtes Tracking - kein Problem! Wer Golem.de-Inhalte pur nutzen möchte, hat neben dem Abo Golem pur jetzt eine weitere Möglichkeit, Golem.de zu unterstützen.

  1. Golem Akademie Von wegen rechtsfreier Raum!
  2. In eigener Sache Wie sich Unternehmen und Behörden für ITler attraktiv machen
  3. In eigener Sache Unser Kubernetes-Workshop kommt auf Touren

Definitive Editon angespielt: Das Age of Empires 2 für Könige
Definitive Editon angespielt
Das Age of Empires 2 für Könige

Die 27 Einzelspielerkampagnen sollen für rund 200 Stunden Beschäftigung sorgen, dazu kommen Verbesserungen bei der Grafik und Bedienung sowie eine von Grund auf neu programmierte Gegner- oder Begleit-KI: Die Definitive Edition von Age of Empires 2 ist erhältlich.

  1. Microsoft Age of Empires 4 schickt Spieler ins Mittelalter

  1. Playstation 5: Skizzen zeigen möglicherweise Dualshock 5
    Playstation 5
    Skizzen zeigen möglicherweise Dualshock 5

    Sony hat neue Funktionen des Gamepads für die Playstation 5 bereits bestätigt. Nun zeigen Skizzen des japanischen Patentamts, dass der nächste Dualshock möglicherweise fast genauso aussieht wie der Controller der PS4.

  2. Smartphone: Fairphone 3 bei Vodafone erhältlich
    Smartphone
    Fairphone 3 bei Vodafone erhältlich

    Mit Vodafone hat das niederländische Unternehmen Fairphone einen Vertrieb für sein nachhaltigeres Smartphone Fairphone 3 gefunden. Ab heute bietet der Netzanbieter das Gerät an, Interessenten können es mit oder ohne Vertrag bekommen.

  3. Spielestreaming: Wie archiviert man Games ohne Datenträger?
    Spielestreaming
    Wie archiviert man Games ohne Datenträger?

    Falls sich Stadia und das Streaming von Games durchsetzen, gibt es eine Herausforderung für die Bewahrer des digitalen Erbes: Wie kann man etwas sammeln, wenn man nichts mehr hat, das man ins Regal stellen oder auf einer Festplatte speichern kann?


  1. 12:45

  2. 12:25

  3. 12:05

  4. 11:50

  5. 11:39

  6. 11:22

  7. 11:07

  8. 10:52