1. Foren
  2. Kommentare
  3. OpenSource
  4. Alle Kommentare zum Artikel
  5. › Boothole: Kein Plan, keine…

Ich sehe das Problem nicht?

  1. Thema

Neues Thema Ansicht wechseln


  1. Ich sehe das Problem nicht?

    Autor: lanG 16.11.20 - 07:57

    MS führt ein Sicherheitssystem für SEIN OS zusammen mit OEM win, das System hat Fehler und diese werden nun gepatcht. Habe ich etwas falsch verstanden oder wird MS gerade abseits einiger scheinbar nie getesteter Szenarien ernsthaft vorgeworfen das sie nicht damit hinterherkommen Secureboot für ursprünglich nie vorgesehene Systeme zu patchen?

  2. Hardware mit Sofware de facto verdongeln ist kein Problem?

    Autor: M.P. 16.11.20 - 08:05

    Solange man das Flash ROM auf dem Board mit LinuxBoot überbügeln kann, sehe ich da aber auch kein Problem ...

  3. Re: Hardware mit Sofware de facto verdongeln ist kein Problem?

    Autor: Bodhi 16.11.20 - 08:37

    Diejenigen, die keine IT-Profis sind, aber schon...

  4. Re: Hardware mit Sofware de facto verdongeln ist kein Problem?

    Autor: M.P. 16.11.20 - 09:07

    Die, die keine IT-Profis sind, werden einfach SecureBoot abschalten ;-)

  5. Re: Hardware mit Sofware de facto verdongeln ist kein Problem?

    Autor: Salzbretzel 16.11.20 - 09:09

    Wenn der Computer dies denn anbietet. Und die Nutzer über die Möglichkeit überhaupt Kenntnis haben.

  6. Re: Hardware mit Sofware de facto verdongeln ist kein Problem?

    Autor: M.P. 16.11.20 - 09:36

    Naja, die meisten Leute, die fernab von "IT-Profis" agieren, kaufen sich eine schlüsselfertige Lösung mit vorinstalliertem Windows, und wären sicherlich überfordert, sich ein Linux aufzuspielen - selbst wenn es von einer Ubuntu-Live-DVD wäre ...

  7. Re: Hardware mit Sofware de facto verdongeln ist kein Problem?

    Autor: chefin 16.11.20 - 09:51

    Salzbretzel schrieb:
    --------------------------------------------------------------------------------
    > Wenn der Computer dies denn anbietet. Und die Nutzer über die Möglichkeit
    > überhaupt Kenntnis haben.


    Genau diese Menschen nutzen Windows und nichts anderes. Linux wird in diesem Scenario nicht benutzt.

    Des weiteren muss man dazu sagen, das Secure Boot ein neues Feature ist. Wozu braucht Linux das überhaupt? Ich dachte Linux ist Eigensicher, wenn man es richtig handhabt. Wieso also muss es ein solches Feature implementieren. Und wieso bauen die sich dann nicht ein eigenes Keysystem auf und geben es den Hardwareherstellern. Den es ist NICHT Microsoft der das UEFI schreibt. Sondern spezielle Firmen für PC-Motherboards.

    Und ja, das kostet Geld. Wenn man das Geld nicht ausgeben will, muss man eben Secure Boot abschalten. Das ist grundsätzlich möglich. Weil sonst ein Hardware Hersteller explizit sagen müsste, das es für Windows und Linux Only ist. Er müsste also in seiner Beschreibung drauf hinweisen, das andere OS nicht drauf laufen werden. Und würde dafür im Gegenzug sich die Auflage erstellen Linux dort lauffähig hinzubekommen.

    Das Risiko geht keiner ein. Keiner wird ein UEFI auf den Markt bringen, das kein abschaltbares Secure Boot hat um sich damit Verantwortung ans Bein zu binden.

  8. Re: Ich sehe das Problem nicht?

    Autor: mnementh 16.11.20 - 10:18

    lanG schrieb:
    --------------------------------------------------------------------------------
    > MS führt ein Sicherheitssystem für SEIN OS zusammen mit OEM win, das System
    > hat Fehler und diese werden nun gepatcht. Habe ich etwas falsch verstanden
    > oder wird MS gerade abseits einiger scheinbar nie getesteter Szenarien
    > ernsthaft vorgeworfen das sie nicht damit hinterherkommen Secureboot für
    > ursprünglich nie vorgesehene Systeme zu patchen?

    Es ist ein Hardwaresystem. Microsoft hat Hardwarehersteller dazu gebracht das zu implementieren, was in Folge dazu führt dass diese Hardware nur mit Windows zu betreiben ist. Außer MS bietet sich als CA an, was sie notgedrungen gemacht haben. Mit anderen Worten, das System nimmt die Sicherheit aus der Hand der Anwender. Wenn man die Root-CA als Anwender selbst aufspielen könnte, dann könnte man ja eine alternative CA neben MS installieren. Oder MS als CA ganz streichen. Das ist aber nicht vorgesehen. Der Nutzer wird entmündigt und MS schreibt vor welche Software OK ist.

  9. Re: Ich sehe das Problem nicht?

    Autor: twothe 16.11.20 - 10:35

    Microsoft entwickelt ein System das nur MS erlaubt Betriebssysteme auf Rechnern zu starten und blockiert dann durch Schlampereien und Lustlosigkeit andere Betriebssysteme. Fehlt nur noch, dass die Option SecureBoot abzuschalten demnächst nicht mehr angeboten wird, und schon ist das MS-Monopol komplett.

    Also ich sehe da ein Problem.

  10. Re: Ich sehe das Problem nicht?

    Autor: Trockenobst 16.11.20 - 14:12

    lanG schrieb:
    --------------------------------------------------------------------------------
    > MS führt ein Sicherheitssystem für SEIN OS zusammen mit OEM win, das System
    > hat Fehler und diese werden nun gepatcht. Habe ich etwas falsch verstanden
    > oder wird MS gerade abseits einiger scheinbar nie getesteter Szenarien
    > ernsthaft vorgeworfen das sie nicht damit hinterherkommen Secureboot für
    > ursprünglich nie vorgesehene Systeme zu patchen?

    https://de.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface#Secure_Boot

    Microsoft hat sich selbst den Handschuh angezogen, die Schlüssel von anderen Systemen zu warten und die Revocationlist zu führen. Sie hätten die notwendige CA an eine andere Orga übergeben können, das wollten sie aber nicht.

    Ubuntu hat da wohl am meisten Arbeit reingesteckt
    https://ubuntu.com/blog/mitigating-boothole-theres-a-hole-in-the-boot-cve-2020-10713-and-related-vulnerabilities

    Fakt aber ist, dass viele Windows Systeme per Default mit Secure Boot ausgeliefert werden. Wenn du dort irgendwas mit Sicherheit, Backup oder sonstigem machen willst, brauchst du einen zertifizierten Shim von Microsoft. Und genau das ist jetzt wohl bei vielen mit solchen Produkten ein Problem.

    Es gibt keine andere CA die diese Arbeit erledigen könnte, da Microsoft das nicht aus der Hand geben will.

  11. Re: Ich sehe das Problem nicht?

    Autor: lanG 16.11.20 - 18:14

    twothe schrieb:
    --------------------------------------------------------------------------------
    > Microsoft entwickelt ein System das nur MS erlaubt Betriebssysteme auf
    > Rechnern zu starten und blockiert dann durch Schlampereien und
    > Lustlosigkeit andere Betriebssysteme. Fehlt nur noch, dass die Option
    > SecureBoot abzuschalten demnächst nicht mehr angeboten wird, und schon ist
    > das MS-Monopol komplett.
    >
    > Also ich sehe da ein Problem.

    Man kann starten was man will solange man SecureBoot ausschaltet. Ergo: kein Problem für non MS-Systeme ¯\_(ツ)_/¯

  12. Re: Hardware mit Sofware de facto verdongeln ist kein Problem?

    Autor: Copper 17.11.20 - 15:27

    > Ich dachte Linux ist Eigensicher, wenn man es richtig handhabt.

    Nein, warum sollte es das auch sein? Behauptet auch niemand.
    Ist aber für das Problem hier auch völlig irrelevant, wie sicher das Betriebssystem ist.
    Egal, wie gehärtet, fehlerfrei und sicher das eigentliche Betriebssystem ist, das nutzt alles im Zweifelsfall nichts, denn wir reden hier vom Bootloader, der das Betriebssystem überhaupt erstmal startet. Wer an der Stelle Zugriff hat, kann tun und lassen, was er will. Und damit auch das Betriebssystem kompromittieren.
    Denn selbst wenn das Betriebssystem den Bootloader prüfen würde, wäre es zu spät: die Schadsoftware kann der Prüfroutine die Werte unterschieben, die es sehen will.
    Die Absicherung des Bootloaders muss daher vorher erfolgen, bereits im UEFI.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Product Owner (m/w/d) Vertriebssysteme/CRM
    Württembergische Versicherung AG, Stuttgart
  2. Senior IT-Security Engineer (m/w/d) - Identity and Access Management (IAM) / Privileged Access Management (PAM)
    Börse Stuttgart GmbH, Stuttgart
  3. Fachinformatiker / Informatiker (m/w/d)
    Dr. Hobein (Nachf.) GmbH, med. Hautpflege / EUBOS, Meckenheim bei Bonn
  4. Mobile App Developer for Vibratory Hearing Systems (m/w)
    MED-EL Medical Electronics, Innsbruck (Österreich)

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 7 5800X für 469€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


  1. Elektroauto: Mercedes EQS mit besserer Hinterachslenkung als Abo
    Elektroauto
    Mercedes EQS mit besserer Hinterachslenkung als Abo

    Den Mercedes EQS gibt es mit Hinterachslenkung mit 4,5 Grad Einschlag. Wer ein Jahresabo abschließt, bekommt sogar 10 Prozent Lenkeinschlag und damit eine bessere Lenkung.

  2. Spiele-Notebooks: Lenovo schaltet H.264-Encoding ab
    Spiele-Notebooks
    Lenovo schaltet H.264-Encoding ab

    Mal eben eine Spieleszene mit dem Gaming-Laptop aufnehmen? Bei vielen Lenovo-Notebooks klappt das derzeit nicht, aber Besserung ist in Sicht.

  3. Festplatte: Seagates 20-TByte-HDDs soll bald erscheinen
    Festplatte
    Seagates 20-TByte-HDDs soll bald erscheinen

    Für das zweite Halbjahr 2021 plant Seagate mehrere Festplatten mit 20 TByte Kapazität und unterschiedlichen Aufzeichnungstechniken wie SMR.


  1. 14:15

  2. 13:21

  3. 12:30

  4. 11:20

  5. 11:05

  6. 10:51

  7. 09:00

  8. 06:18