1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › LoJax: UEFI-Rootkit in freier…

Gibt es eigentlich noch Hardware-Schalter die das unterbinden?

  1. Thema

Neues Thema Ansicht wechseln


  1. Gibt es eigentlich noch Hardware-Schalter die das unterbinden?

    Autor: DreiChinesenMitDemKontrabass 28.09.18 - 11:26

    Ich meine mich zu erinnern, dass es mal ein Mainboard gab, wo man erst einen Hardware-Schalter umlegen muss, bevor man firmware ändern kann. Gibts sowas noch?
    Das wäre ja die sichererste Lösung.

  2. Re: Gibt es eigentlich noch Hardware-Schalter die das unterbinden?

    Autor: George99 28.09.18 - 11:42

    Die Sicherheitskatastrophen UEFI und Intel ME wurden doch nicht eingeführt, nur damit der User dann über einen HW-Schalter dann plötzlich doch wieder selbst die Kontrolle über sein Eigentum erlangen könnte.

  3. Re: Gibt es eigentlich noch Hardware-Schalter die das unterbinden?

    Autor: Quantium40 28.09.18 - 11:43

    DreiChinesenMitDemKontrabass schrieb:
    > Ich meine mich zu erinnern, dass es mal ein Mainboard gab, wo man erst
    > einen Hardware-Schalter umlegen muss, bevor man firmware ändern kann. Gibts
    > sowas noch?
    > Das wäre ja die sichererste Lösung.

    Nein. Da bei UEFI diverse Bereich u.a. auch vom Betriebssystem relativ hürdenfrei beschrieben werden dürfen, geht das leider wohl nicht mehr mit dem Hardwareschalter, auch wenn sowas natürlich die beste Lösung wäre.

  4. Re: Gibt es eigentlich noch Hardware-Schalter die das unterbinden?

    Autor: Captain 28.09.18 - 12:09

    Na und?
    Dann kommt halt ein Hinweis. das der Schreibschutz aktiv. Das ist mir allenthalben lieber, als diese Sicherheitslücke zu haben.

  5. Re: Gibt es eigentlich noch Hardware-Schalter die das unterbinden?

    Autor: Quantium40 28.09.18 - 12:18

    Captain schrieb:
    > Dann kommt halt ein Hinweis. das der Schreibschutz aktiv. Das ist mir
    > allenthalben lieber, als diese Sicherheitslücke zu haben.

    Der einzige wirklich sinnvolle Weg gegen diese Sicherheitslücke wäre wohl, wenn man vom total überfrachteten UEFI zu einem deutlich reduzierten reinen Bootloader zurückfinden würde.
    UEFI ist praktisch ein komplettes Betriebssystem, das vor und neben dem eigentlichen Betriebssystem läuft. Das ist die eigentliche Sicherheitskatastrophe.

  6. Unsinn

    Autor: Bouncy 28.09.18 - 12:45

    Und wie soll dann ein Äquivalent zu Secure Boot geschaffen werden? Das ist zweifellos ist riesiger, revolutionärer Schritt in Richtung Sicherheit, die Kette wieder abzuschaffen wäre ein gigantischer Schritt zurück, nur um irgendwelche vagen Ängste um UEFI auszuräumen. Ganz zu schweigen von der Frage nach TPM, welche Instanz soll das handlen?

    Mal davon ist BIOS auch ein Betriebssystem, nur eben nicht modular erweiterbar, aber "unheimlich" war es schon immer. Es konnte auch modifiziert werden und es war weder einsehbar noch leicht verständlich noch offen - im Gegenteil, den BIOS-Markt haben sich 2-3 dominante US-Hersteller geteilt, und urplötzlich sind die vertrauenswürdiger als ein von x Herstellern entwickelter Standard?!

  7. Re: Unsinn

    Autor: kazhar 29.09.18 - 12:31

    Bouncy schrieb:
    --------------------------------------------------------------------------------
    > Und wie soll dann ein Äquivalent zu Secure Boot geschaffen werden?

    Secure boot ließe sich genauso gut in ein traditionelles bios einbauen. Viel mehr als ein Signaturcheck des zu ladenden Bootloaders/Kernels ist das nicht.
    (mal abgesehen davon: ich bezweifle sehr stark, dass durch sb die Sicherheit signifikant erhöht wird)

    Das Problem am UEFI ist für mich das "E".
    Mit der Firmware hat man nicht herum zu spielen, nichts hin- oder her zu kopieren und schon gar nicht automatisch aus dem geladenen OS heraus.

  8. Re: Unsinn

    Autor: George99 29.09.18 - 12:40

    Bouncy schrieb:
    --------------------------------------------------------------------------------
    > Und wie soll dann ein Äquivalent zu Secure Boot geschaffen werden? Das ist
    > zweifellos ist riesiger, revolutionärer Schritt in Richtung Sicherheit

    Man kann ja Ironie im Internet nicht immer 100% erkennen, aber das sollte wohl doch welche sein?

  9. Das "E" in UEFI

    Autor: Icestorm 29.09.18 - 12:57

    Wird denn heute schon irgendwie vom "extensible" gebrauch gemacht?
    Nutzen Grafikkarten irgendwelche Möglichkeiten der Firmware?
    Ansonsten tut sich ja, bedingt durch die hohe Systemintegration, nicht viel in den Erweiterungsslots.

    kazhar schrieb:
    --------------------------------------------------------------------------------
    > Bouncy schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Und wie soll dann ein Äquivalent zu Secure Boot geschaffen werden?
    >
    > Secure boot ließe sich genauso gut in ein traditionelles bios einbauen.
    > Viel mehr als ein Signaturcheck des zu ladenden Bootloaders/Kernels ist das
    > nicht.
    > (mal abgesehen davon: ich bezweifle sehr stark, dass durch sb die
    > Sicherheit signifikant erhöht wird)
    >
    > Das Problem am UEFI ist für mich das "E".
    > Mit der Firmware hat man nicht herum zu spielen, nichts hin- oder her zu
    > kopieren und schon gar nicht automatisch aus dem geladenen OS heraus.

  10. Re: Das "E" in UEFI

    Autor: Bouncy 29.09.18 - 13:50

    Das E steht für die Modularität der Software, nicht für Modulschächte. Secure Boot ist ein Modul, Netzwerkfernsteuerung ist eins, die BIOS-Emulation ist eins, usw. Das ist doch das Besondere an UEFI, es ist bedarfsgerecht erweiterbar. Das sind quasi Apps fürs BIOS, wenn man so will...

  11. Re: Unsinn

    Autor: Bouncy 29.09.18 - 13:52

    George99 schrieb:
    --------------------------------------------------------------------------------
    > Man kann ja Ironie im Internet nicht immer 100% erkennen, aber das sollte
    > wohl doch welche sein?
    Darfst gerne argumentieren, warum SB Unsicherheit bringt. Ich sehe Tonnen an Vorteilen, wenn man die Möglichkeit hat eine Vertrauenskette zu bilden, aber bitte belehre mich, warum diese - optionale - Kette so schlecht ist...

  12. Re: Unsinn

    Autor: George99 29.09.18 - 14:20

    Es geht nicht um zusätzliche Unsicherheit durch SB, sondern darum, dass es nicht mehr als snakeoil ist.
    UEFI als Ganzes ist überkompliziert und entsprechend viele Sicherheitslücken, wie dieser Artikel mal wieder zeigt. Da nützt dir SB, was nur die Installation anderer Betriebssysteme verkompliziert, rein gar nichts.

  13. Re: Unsinn

    Autor: Bouncy 29.09.18 - 18:02

    Nur wegen einer seit 4 Jahren geschlossenen Sicherheitslücke ist das Konzept an sich nutzlos? Bei allem Respekt, da bin ich nicht ganz bei dir. Bisher stellt die Vertrauenskette eine beachtliche Hürde dar - niemand redet von 100% Sicherheit aber man kann wohl an einem Finger abzählen, wie viele Gruppen in der Lage sind, die zu umgehen. Sofacy und Co. sind definitiv kein Maßstab für die Frage, was sicher ist...

  14. Re: Unsinn

    Autor: qbl 30.09.18 - 00:24

    Bouncy schrieb:
    --------------------------------------------------------------------------------
    > George99 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Man kann ja Ironie im Internet nicht immer 100% erkennen, aber das
    > sollte
    > > wohl doch welche sein?
    > Darfst gerne argumentieren, warum SB Unsicherheit bringt. Ich sehe Tonnen
    > an Vorteilen, wenn man die Möglichkeit hat eine Vertrauenskette zu bilden,
    > aber bitte belehre mich, warum diese - optionale - Kette so schlecht ist...


    Ein Sicherheitsmechanismus, der aus dem zu sichernden System heraus zu beeinflussen ist, taugt einfach nichts...
    https://www.heise.de/security/meldung/Kardinalfehler-Microsoft-setzt-aus-Versehen-Secure-Boot-schachmatt-3291946.html

    Gruß
    qbl

  15. Re: Unsinn

    Autor: FreiGeistler 03.10.18 - 07:06

    Bouncy schrieb:
    --------------------------------------------------------------------------------
    > Und wie soll dann ein Äquivalent zu Secure Boot geschaffen werden? Das ist
    > zweifellos ist riesiger, revolutionärer Schritt in Richtung Sicherheit, die
    > Kette wieder abzuschaffen wäre ein gigantischer Schritt zurück, nur um
    > irgendwelche vagen Ängste um UEFI auszuräumen. Ganz zu schweigen von der
    > Frage nach TPM, welche Instanz soll das handlen?

    Ironischerweise sind die Chromebooks mit Coreboot/Seabios weitaus sicherer als jeder Server mit TPM über UEFI (mit unsicherem Netzwerkstack).
    >
    > Mal davon ist BIOS auch ein Betriebssystem, nur eben nicht modular
    > erweiterbar, aber "unheimlich" war es schon immer. Es konnte auch
    > modifiziert werden und es war weder einsehbar noch leicht verständlich noch
    > offen - im Gegenteil, den BIOS-Markt haben sich 2-3 dominante US-Hersteller
    > geteilt, und urplötzlich sind die vertrauenswürdiger als ein von x
    > Herstellern entwickelter Standard?!

    Gleiche Software mit denselben Lücken auf allen Computern ist ein attraktiveres Angriffsziel als eine, die bei jeder Produktserie anders ist.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Schwarz Dienstleistung KG, Neckarsulm
  2. ITEOS, Heilbronn, Stuttgart
  3. Deutsche Rentenversicherung Bund, Berlin
  4. Deloitte, Berlin, Düsseldorf, Frankfurt am Main, München, Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (u. a. Samsung 860 QVO 1 TB für 99,90€, Samsung 860 QVO 2 TB für 199,99€, Samsung Protable...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Homeschooling-Report: Wie Schulen mit der Coronakrise klarkommen
Homeschooling-Report
Wie Schulen mit der Coronakrise klarkommen

Lösungen von Open Source bis kommerzielle Lernsoftware, HPI-Cloud und Lernraum setzen Schulen derzeit um, um ihre Schüler mit Aufgaben zu versorgen - und das praktisch aus dem Stand. Wie läuft's?
Ein Bericht von Stefan Krempl

  1. Kinder und Technik Elfjährige CEO will eine Milliarde Kinder das Coden lehren
  2. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  3. Mädchen und IT Fehler im System

Datenschutz: Dürfen Ärzte, Lehrer und Anwälte Whatsapp beruflich nutzen?
Datenschutz
Dürfen Ärzte, Lehrer und Anwälte Whatsapp beruflich nutzen?

Das Coronavirus zwingt Ärzte, Lehrer und Rechtsanwälte zu digitaler Kommunikation mit und über ihre Patienten, Schüler und Mandanten. Viele setzen auf Whatsapp. Verstoßen sie damit gegen den Datenschutz oder machen sich gar strafbar?
Von Harald Büring

  1. Coronavirus Britische Soldaten müssen Whatsapp-Befehlen folgen
  2. Sicherheitslücke Dateien auslesen mit Whatsapp Desktop
  3. Messenger Whatsapp deaktiviert Chatexport in Deutschland

Arduino: Diese Visitenkarte ist ein Super-Mario-Spielender-Würfel
Arduino
Diese Visitenkarte ist ein Super-Mario-Spielender-Würfel

Eine Visitenkarte aus Papier ist langweilig! Der Elektroniker Patrick Schlegel hat eine Platine als Karte - mit kreativen Funktionen.
Von Moritz Tremmel

  1. Thinktiny Mini-Spielekonsole sieht aus wie winziges Thinkpad