Login
Login-Name Passwort


 
Newsletter
Werbung

Thema: Google will UEFI und Management Engine loswerden

11 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
1
Von asdasdsda am Mo, 30. Oktober 2017 um 23:31 #

Es ist durchaus lobenswert, dass Google es zum Thema macht. Allerdings zweifel ich, dass Google den Hebel besitzt, um diese Entwicklung zu stoppen. Es ist immer so, dass nur diejenigen die den Markt beherrschen (Intel,MS), den Druck ausüben können. In weit Google da schon im Desktop Markt eingreifen?

Wahrscheinlich bleibt es bei einer Frickel-Lösung, die nur für wenige Mainboards mit einer bestimmten Firmware gilt. Naja, besser irgend eine Bewegung als kompletter Stillstand.

Ich frage mich in wie weit es für den einzelnen Nutzer relevant ist, der ohnehin hinter einer Pseudo-NAT ala. Fritz!Box sitzt. Vorausgetzt die Auto-Updates und Anbieter-Dienste sind ebenfalls deaktiviert. Das sind jetzt zwar viele Nebenbedingungen, aber durchaus realitisch.

  • 1
    Von Allen Dulles am Di, 31. Oktober 2017 um 14:08 #

    Ich drück ihnen die Daumen, vllt mischens damit den Markt etwas auf, und die Hersteller bieten mal sowas wie libre/coreboot als Alternative an, bzw stellen es dem User frei, diese zu nutzen - Google baut ja schon lang eigene Server für ihre RZ, auch in grossen Stückzahlen, ich denke die sind da schon eine gewisse Marktmacht

    1
    Von hh am Di, 31. Oktober 2017 um 14:11 #

    Die Intel Management Engine ist ein zweiter Rechner, der während der gesamten Laufzeit deines Rechners am Betriebssystem (Linux) vorbei Zugriff auf z.B. RAM und Netzwerk hat. Fühlst du dich da wirklich hinter deiner Fritz!Box sicher? Da müsstest du wohl schon deinem Rechner den Zugriff in der Fritz!Box sperren.

    1
    Von adsfghjhjk am Di, 31. Oktober 2017 um 14:42 #

    "Allerdings zweifel ich, dass Google den Hebel besitzt, um diese Entwicklung zu stoppen."

    Google wird wohl Mainboardhersteller werden müssen, z.B. mit Coreboot und freier Linux-Bios-Firmware ab Werk. Alterrnativ könnte Google versuchen, Intel zu kaufen.

    Diese kompromittierte, ferngesteuerte Hardware legt derartig die Axt an das moderne Computing, dass ohne die Beseitigung dieses Problems die weitere technische Entwicklung massiv behindert wird.

    Diese IME hat ja offenbar auch uneingeschränkten Zugriff auf alle Datenträger und damit auf Firmen- und Staatsgeheimnisse.

    Damit ist es unverantwortlich, solche Rechner in Behörden und Firmen mit Netzwerkverbindung laufen zu lassen.

    Da alle Mainboard-Hersteller diese IME bzw. IME-ähnlichen Features mittlerweile in Ihre Hardware einbauen, i.e. Intel, AMD und auch ARM-Hersteller, ist anzunehmen, dass es dafür auch einen originären, für alle verbindlichen Anstoss gibt.

    Und: Auf solchen fernkontrollierten Rechnern ist es völlig unerheblich, ob nun Windows 10 oder Debian GNU/Linux läuft. Der Nutzer hat auf beiden Systemen keinerlei Kontrolle mehr über die Hardware und das, was z.B. über seine Netzwerkberbindung verschickt bzw. an Datenträgerinhalten und Informationen z.B. über "dicke" DSL-Leitungen aus der Ferne "abgezogen" wird.

    • 1
      Von Anonymous am Di, 31. Oktober 2017 um 20:23 #

      Google wird wohl Mainboardhersteller werden müssen

      Die sind ja bereits einer; die Chromebooks sind mit coreboot ausgestattet. Allerdiings weiss ich nicht, wie brauchbar die sind, wenn man da ein richtiges Linux draufpappt. Der SSD-Speicher ist halt recht klein und läßt sich vermutlich nicht austauschen.

      0
      Von DieGesellschaftDerArkanoiden am Sa, 4. November 2017 um 00:17 #

      Stimme dir bis auf die ersten Absatz zu: denn du glaubst doch nicht allen Ernstes, dass Google auf lange Sicht was anderes machen würde als Intel.

      Damit ist es unverantwortlich, solche Rechner in Behörden und Firmen mit Netzwerkverbindung laufen zu lassen.

      So weit, so offensichtlich. Die Behörde, die etwas tun könnte, wurde übernommen. Die Realität ist einfach ein Schauspiel und hier ist eine Episode davon:
      Ende 2015 / Anfang 2016 wurde Arne Schönbohm, der Sohn von Jörg Schönbohm zum BSI-Präsdenten auf Geheiß von CDU de Maizière benannt und vom Kabinett bestätigt. Damit werden so ziemlich alle Erwartungen gebrochen, die an eine eigentlich unabhängige Behörde gestellt werden. Sehen wir mal ganz großzügig davon ab, dass sie dem Innenmysterium unterstellt ist. Da wird also jemand auf diesen Schlüsselposten gesetzt, der offensichtliche Nähe zur Überwachungs- und Rüstungsindustrie zeigt und Mitglied der Atlantikbrücke ist. Seine vorherigen Tätigketen und Mitgliedschaften erwecken bloß den Eindruck Kompetenz im Fachgebiet der IT-Sicherheit zu haben. Vorher waren dort Leute aus dem Fachgebiet der IT Präsidenten, die sich wirklich mit der Technik auskannten.

      Was glaubst du, was da noch sinnvolles in Bezug auf IT-Sicherheit kommt? :huh:

      • 0
        Von asdfhgjhkjl am Sa, 4. November 2017 um 22:46 #

        Schwierig vorherzusagen.

        Aber Richter sind nicht nur rein proforma unabhängig und gerade in solchen Sachfragen folgen diese nicht unbedingt mutmaßlichen Beschaffungsnöten der Geheimdienste.

        Die IME oder PSP muss auch nicht zwingend freie Software sein, diese muss nur im BIOS abschaltbar sein und zwar so, dass diese auch wirklcih abgeschaltet wird, wenn dies im BIOS so eingestellt wurde.

        Zumindest in Deutschland bin ich für meinen Internetanschluss selbst verantwortlich und für das, was darüber heruntergeladen und hochgeladen wird. Das gilt auch für das, was die IME über meine Internetverbindung anstellt. Laut Google ist u.U. auch noch ein Webserver in der IME mitinstalliert und aktiviert. Z.B. nicht in meinem Providervertrag steht aber u.a., dass ich keinen Webserver an diesem Privatanschluss betreiben darf. Dass, was Intel und wohl auch AMD hier tun, hat somit auch rechtliche Implikationen, die Schadensersatzforderungen und juristische Verfolgung möglich machen. Juristen werden dies IMO nicht anders sehen.

        Wie gesagt: Der Punkt ist, dass weder IME noch PSP im BIOS abschaltbar sind. Zumindest für die Netzwerkverbindungen und Webserverangebote, die durch IME oder PSP nach außen (z.B. übers Internet) aufgebaut werden können, müsste diese Abschaltmöglichkeit zwingend im BIOS angeboten werden.

        Wenn Google genau dieses Abschalten der "Netzwerkaktivität" nachträglich hinbekommt, dann können IME und PSP zumindest nach außen hin keinen Schaden mehr anrichten.

        Netzwerkverbindungen ohne Einverständnis des Rechnerbesitzers aufzubauen und Webserverangebote ohne dessen Erlaubnis an einem fremden Internetanschluss zu betreiben, ist IMO illegal. Der erste Nachweis solcher Aktivität sollte IMO genügen, damit Organisationen wie die FSF oder EFF die betroffenen Chiphersteller juristisch erfolgreich gegen die Wand fahren können.

        • 0
          Von DieGesellschaftDerArkanoiden am So, 5. November 2017 um 17:31 #

          Einverstanden: dass unabhängige Justiz nicht im Allgemeinen den mutmaßlichen Beschaffungsnöten der Geheimdienste folgt, stelle ich nicht in Abrede. Allerdings haben die Dienste auch keine Beschaffungsnöte, sondern hinreichend dokumentierte Zügellosigkeit mit nachträglicher Rechtsbrechstange.

          Die IME oder PSP muss auch nicht zwingend freie Software sein, diese muss nur im BIOS abschaltbar sein und zwar so, dass diese auch wirklcih abgeschaltet wird, wenn dies im BIOS so eingestellt wurde.

          Das entspricht etwa bei DBMSs Asozialer Netzwerke: Dieser Datensatz wurde in der Spalte gelöscht markiert. Vertrauen sie uns, dieser Datensatz ist *sogutwiehust* gelöscht. Das ist der fasche Ansatz. Das ganze Geraffel von UEFI, SMM und IME muss durch offene, minimal notwendige, nachvollziehbare Technik ersetzt werden bzw. ganz verschwinden.

          Du legst mir zu viel Hoffung in die Justiz. Wir reden hier aber über eine Technologie, die schon seit fast 10 Jahre in steigender Form Platz greift. Wie viele Fälle von Rechtssteitigkeiten gab es zu dem Thema, die auch publik geworden sind?

          Zudem: Die ganz Diskussion über mehr IT-Sicherheit wirkt einfach arg zwefelhaft, ähnlich dem Terror-FUD, angesichts dessen, dass in diese Massenarchitektur ständig neue, permanente Einfallstore geschaffen werden. Es wird der Fokus auf Sicherheitslücken in Software auf Applikations- und Betriebssystemebene gelekt und munter die Hardwareebene mit neuen Allzugriffssebenen durchseucht. Zurzeit also Ring -1, -2, -3: Ringe sie alle zu knechten. Mal schauen ob der Ringelreigen, den Machtkämpfen der unterschiedlichen Bedarfsträger schon reicht oder ob das Tunnelbohren in der Hardware in den nächsten Jahren weitere Ringeltänze vollführt. Ich bin ja so gespannt *gähn*.

          • 0
            Von asddfghjk am So, 5. November 2017 um 21:29 #

            Die Frage ist, was man abseits von Googles Firmware-Experimenten aktuell selbst tun kann.

            Bevor ein Chip-Hersteller nicht massiven Umsatzverlusten ausgesetzt ist, wird sich nichts ändern. Deshalb der Vorschlag, betroffene Hardware keinesfalls mehr zu kaufen. Und deshalb auch der Gedanke im Hinblick auf drohende Schadensersatzzahlungen bei Hacks von Kunden- und Firmendaten, die durch Sucherheitslücken in der nicht vom Nutzer kontrollierbaren IME- oder PSP-Engine erst ermöglicht wurden.

            Man muss das eigene Netzwerk vor diesem Rechner schützen, und zwar so, als sei dies ein aktuell nicht zu beseitigender trojanisierter Windows-Rechner, der einen "lebensnotwendigen" Dienst ausführt. Eigentlich sollte ein Router mit IME- oder PSP-freier Hardware genügen (notfalls auch z.B. ein alter PentiumIII-Rechner oder ein sonstiger selbstkontrollierbarer, updatefähiger, "freier" Router), der den Netzwerkverkehr unabhängig von diesem IME- oder PSP-verseuchten Rechner kontrolliert.

            Wichtig wäre zu wissen, welche CPUs aktuell IME-ähnliche Features enthalten. Bisher wurden nur Intel-CPUs seit etwa 2006 und AMD-CPUs seit etwa 2013 (ab den 16h-CPUs/APUs) genannt.

            Wie sieht es denn mit modernen AMD-Grafikkarten und AMD-Grafikchips aus? Auch hier könnte ein solches PSP-Rechnersystem problemlos enthalten sein.

            Der Verdacht drängt sich auf, wenn man das hier liest:
            http://www.amd.com/de-de/innovations/
            software-technologies/security

            Auf dem Weg mit den zwei virtuellen Welten in einer CPU werde ich AMD nicht folgen können (auch nicht Intel). Mein Piledriver-System war deshalb wohl mein letztes AMD-Rechnersystem.

            • 0
              Von DieGesellschaftDerArkanoiden am Mo, 6. November 2017 um 21:15 #

              Die Frage ist, was man abseits von Googles Firmware-Experimenten aktuell selbst tun kann.

              Klar kann der einzelne Ausweichbewegungen versuchen. Die werden in den letzten Jahren immer schmerzhafter. Das kann aber kein Gesamtansatz sein. Ein Forent hat puri.sm-Systeme genannt und auch vikings.net. Wie tauglich und vertrauenswürdig die sind, ist Bewertungssache. Zumindest puri.sm versucht IME einzuhegen. Für den Heimbereich ist es vielleicht Zeit eine andere exotischere Architektur zu nehmen: Verursacht sicher ein paar größere Schmerzen, aber Schmerzen sind die, die wir bei Linux am Anfang auch hatten :smile:.

              Bevor ein Chip-Hersteller nicht massiven Umsatzverlusten ausgesetzt ist, wird sich nichts ändern. Deshalb der Vorschlag, betroffene Hardware keinesfalls mehr zu kaufen.

              Boykott ist ein Anfang aber beim derzeitigen Status Quo bringt das nahezu nichts.

              Wir sind weit entfernt davon in den KMUs - und vermutlich auch in vielen der großen europäischen Unternehmen - überhaupt ein Verständis über ein existierendes Problem zu haben. Vieles ist doch nicht einmal bis zur Verwaltungsebene durchgedrungen.
              Ich weiß nicht, ob du in der Branche arbeitest, aber aus meiner Erfahrung ist der Unternehensführung weder das Problem klar, noch die Implikationen. Sprich mal mit deinen Kollegen, ob die das Problem überhaupt auf dem Schirm haben. Wenn die es nicht kennen, verstehen oder sehen wollen, wie willst du das Nichttechnikern klar machen? :smile:

Pro-Linux
Pro-Linux @Twitter
Neue Nachrichten
Werbung