Von DieGesellschaftDerArkanoiden am Sa, 4. November 2017 um 00:17 #
Stimme dir bis auf die ersten Absatz zu: denn du glaubst doch nicht allen Ernstes, dass Google auf lange Sicht was anderes machen würde als Intel.
Damit ist es unverantwortlich, solche Rechner in Behörden und Firmen mit Netzwerkverbindung laufen zu lassen.
So weit, so offensichtlich. Die Behörde, die etwas tun könnte, wurde übernommen. Die Realität ist einfach ein Schauspiel und hier ist eine Episode davon: Ende 2015 / Anfang 2016 wurde Arne Schönbohm, der Sohn von Jörg Schönbohm zum BSI-Präsdenten auf Geheiß von CDU de Maizière benannt und vom Kabinett bestätigt. Damit werden so ziemlich alle Erwartungen gebrochen, die an eine eigentlich unabhängige Behörde gestellt werden. Sehen wir mal ganz großzügig davon ab, dass sie dem Innenmysterium unterstellt ist. Da wird also jemand auf diesen Schlüsselposten gesetzt, der offensichtliche Nähe zur Überwachungs- und Rüstungsindustrie zeigt und Mitglied der Atlantikbrücke ist. Seine vorherigen Tätigketen und Mitgliedschaften erwecken bloß den Eindruck Kompetenz im Fachgebiet der IT-Sicherheit zu haben. Vorher waren dort Leute aus dem Fachgebiet der IT Präsidenten, die sich wirklich mit der Technik auskannten.
Was glaubst du, was da noch sinnvolles in Bezug auf IT-Sicherheit kommt?
Von asdfhgjhkjl am Sa, 4. November 2017 um 22:46 #
Schwierig vorherzusagen.
Aber Richter sind nicht nur rein proforma unabhängig und gerade in solchen Sachfragen folgen diese nicht unbedingt mutmaßlichen Beschaffungsnöten der Geheimdienste.
Die IME oder PSP muss auch nicht zwingend freie Software sein, diese muss nur im BIOS abschaltbar sein und zwar so, dass diese auch wirklcih abgeschaltet wird, wenn dies im BIOS so eingestellt wurde.
Zumindest in Deutschland bin ich für meinen Internetanschluss selbst verantwortlich und für das, was darüber heruntergeladen und hochgeladen wird. Das gilt auch für das, was die IME über meine Internetverbindung anstellt. Laut Google ist u.U. auch noch ein Webserver in der IME mitinstalliert und aktiviert. Z.B. nicht in meinem Providervertrag steht aber u.a., dass ich keinen Webserver an diesem Privatanschluss betreiben darf. Dass, was Intel und wohl auch AMD hier tun, hat somit auch rechtliche Implikationen, die Schadensersatzforderungen und juristische Verfolgung möglich machen. Juristen werden dies IMO nicht anders sehen.
Wie gesagt: Der Punkt ist, dass weder IME noch PSP im BIOS abschaltbar sind. Zumindest für die Netzwerkverbindungen und Webserverangebote, die durch IME oder PSP nach außen (z.B. übers Internet) aufgebaut werden können, müsste diese Abschaltmöglichkeit zwingend im BIOS angeboten werden.
Wenn Google genau dieses Abschalten der "Netzwerkaktivität" nachträglich hinbekommt, dann können IME und PSP zumindest nach außen hin keinen Schaden mehr anrichten.
Netzwerkverbindungen ohne Einverständnis des Rechnerbesitzers aufzubauen und Webserverangebote ohne dessen Erlaubnis an einem fremden Internetanschluss zu betreiben, ist IMO illegal. Der erste Nachweis solcher Aktivität sollte IMO genügen, damit Organisationen wie die FSF oder EFF die betroffenen Chiphersteller juristisch erfolgreich gegen die Wand fahren können.
Von DieGesellschaftDerArkanoiden am So, 5. November 2017 um 17:31 #
Einverstanden: dass unabhängige Justiz nicht im Allgemeinen den mutmaßlichen Beschaffungsnöten der Geheimdienste folgt, stelle ich nicht in Abrede. Allerdings haben die Dienste auch keine Beschaffungsnöte, sondern hinreichend dokumentierte Zügellosigkeit mit nachträglicher Rechtsbrechstange.
Die IME oder PSP muss auch nicht zwingend freie Software sein, diese muss nur im BIOS abschaltbar sein und zwar so, dass diese auch wirklcih abgeschaltet wird, wenn dies im BIOS so eingestellt wurde.
Das entspricht etwa bei DBMSs Asozialer Netzwerke: Dieser Datensatz wurde in der Spalte gelöscht markiert. Vertrauen sie uns, dieser Datensatz ist *sogutwiehust* gelöscht. Das ist der fasche Ansatz. Das ganze Geraffel von UEFI, SMM und IME muss durch offene, minimal notwendige, nachvollziehbare Technik ersetzt werden bzw. ganz verschwinden.
Du legst mir zu viel Hoffung in die Justiz. Wir reden hier aber über eine Technologie, die schon seit fast 10 Jahre in steigender Form Platz greift. Wie viele Fälle von Rechtssteitigkeiten gab es zu dem Thema, die auch publik geworden sind?
Zudem: Die ganz Diskussion über mehr IT-Sicherheit wirkt einfach arg zwefelhaft, ähnlich dem Terror-FUD, angesichts dessen, dass in diese Massenarchitektur ständig neue, permanente Einfallstore geschaffen werden. Es wird der Fokus auf Sicherheitslücken in Software auf Applikations- und Betriebssystemebene gelekt und munter die Hardwareebene mit neuen Allzugriffssebenen durchseucht. Zurzeit also Ring -1, -2, -3: Ringe sie alle zu knechten. Mal schauen ob der Ringelreigen, den Machtkämpfen der unterschiedlichen Bedarfsträger schon reicht oder ob das Tunnelbohren in der Hardware in den nächsten Jahren weitere Ringeltänze vollführt. Ich bin ja so gespannt *gähn*.
Die Frage ist, was man abseits von Googles Firmware-Experimenten aktuell selbst tun kann.
Bevor ein Chip-Hersteller nicht massiven Umsatzverlusten ausgesetzt ist, wird sich nichts ändern. Deshalb der Vorschlag, betroffene Hardware keinesfalls mehr zu kaufen. Und deshalb auch der Gedanke im Hinblick auf drohende Schadensersatzzahlungen bei Hacks von Kunden- und Firmendaten, die durch Sucherheitslücken in der nicht vom Nutzer kontrollierbaren IME- oder PSP-Engine erst ermöglicht wurden.
Man muss das eigene Netzwerk vor diesem Rechner schützen, und zwar so, als sei dies ein aktuell nicht zu beseitigender trojanisierter Windows-Rechner, der einen "lebensnotwendigen" Dienst ausführt. Eigentlich sollte ein Router mit IME- oder PSP-freier Hardware genügen (notfalls auch z.B. ein alter PentiumIII-Rechner oder ein sonstiger selbstkontrollierbarer, updatefähiger, "freier" Router), der den Netzwerkverkehr unabhängig von diesem IME- oder PSP-verseuchten Rechner kontrolliert.
Wichtig wäre zu wissen, welche CPUs aktuell IME-ähnliche Features enthalten. Bisher wurden nur Intel-CPUs seit etwa 2006 und AMD-CPUs seit etwa 2013 (ab den 16h-CPUs/APUs) genannt.
Wie sieht es denn mit modernen AMD-Grafikkarten und AMD-Grafikchips aus? Auch hier könnte ein solches PSP-Rechnersystem problemlos enthalten sein.
Der Verdacht drängt sich auf, wenn man das hier liest: http://www.amd.com/de-de/innovations/ software-technologies/security
Auf dem Weg mit den zwei virtuellen Welten in einer CPU werde ich AMD nicht folgen können (auch nicht Intel). Mein Piledriver-System war deshalb wohl mein letztes AMD-Rechnersystem.
Von DieGesellschaftDerArkanoiden am Mo, 6. November 2017 um 21:15 #
Die Frage ist, was man abseits von Googles Firmware-Experimenten aktuell selbst tun kann.
Klar kann der einzelne Ausweichbewegungen versuchen. Die werden in den letzten Jahren immer schmerzhafter. Das kann aber kein Gesamtansatz sein. Ein Forent hat puri.sm-Systeme genannt und auch vikings.net. Wie tauglich und vertrauenswürdig die sind, ist Bewertungssache. Zumindest puri.sm versucht IME einzuhegen. Für den Heimbereich ist es vielleicht Zeit eine andere exotischere Architektur zu nehmen: Verursacht sicher ein paar größere Schmerzen, aber Schmerzen sind die, die wir bei Linux am Anfang auch hatten :smile:.
Bevor ein Chip-Hersteller nicht massiven Umsatzverlusten ausgesetzt ist, wird sich nichts ändern. Deshalb der Vorschlag, betroffene Hardware keinesfalls mehr zu kaufen.
Boykott ist ein Anfang aber beim derzeitigen Status Quo bringt das nahezu nichts.
Wir sind weit entfernt davon in den KMUs - und vermutlich auch in vielen der großen europäischen Unternehmen - überhaupt ein Verständis über ein existierendes Problem zu haben. Vieles ist doch nicht einmal bis zur Verwaltungsebene durchgedrungen.
Ich weiß nicht, ob du in der Branche arbeitest, aber aus meiner Erfahrung ist der Unternehensführung weder das Problem klar, noch die Implikationen. Sprich mal mit deinen Kollegen, ob die das Problem überhaupt auf dem Schirm haben. Wenn die es nicht kennen, verstehen oder sehen wollen, wie willst du das Nichttechnikern klar machen?
Stimme dir bis auf die ersten Absatz zu: denn du glaubst doch nicht allen Ernstes, dass Google auf lange Sicht was anderes machen würde als Intel.
So weit, so offensichtlich. Die Behörde, die etwas tun könnte, wurde übernommen. Die Realität ist einfach ein Schauspiel und hier ist eine Episode davon:
Ende 2015 / Anfang 2016 wurde Arne Schönbohm, der Sohn von Jörg Schönbohm zum BSI-Präsdenten auf Geheiß von CDU de Maizière benannt und vom Kabinett bestätigt. Damit werden so ziemlich alle Erwartungen gebrochen, die an eine eigentlich unabhängige Behörde gestellt werden. Sehen wir mal ganz großzügig davon ab, dass sie dem Innenmysterium unterstellt ist. Da wird also jemand auf diesen Schlüsselposten gesetzt, der offensichtliche Nähe zur Überwachungs- und Rüstungsindustrie zeigt und Mitglied der Atlantikbrücke ist. Seine vorherigen Tätigketen und Mitgliedschaften erwecken bloß den Eindruck Kompetenz im Fachgebiet der IT-Sicherheit zu haben. Vorher waren dort Leute aus dem Fachgebiet der IT Präsidenten, die sich wirklich mit der Technik auskannten.
Was glaubst du, was da noch sinnvolles in Bezug auf IT-Sicherheit kommt?
Schwierig vorherzusagen.
Aber Richter sind nicht nur rein proforma unabhängig und gerade in solchen Sachfragen folgen diese nicht unbedingt mutmaßlichen Beschaffungsnöten der Geheimdienste.
Die IME oder PSP muss auch nicht zwingend freie Software sein, diese muss nur im BIOS abschaltbar sein und zwar so, dass diese auch wirklcih abgeschaltet wird, wenn dies im BIOS so eingestellt wurde.
Zumindest in Deutschland bin ich für meinen Internetanschluss selbst verantwortlich und für das, was darüber heruntergeladen und hochgeladen wird. Das gilt auch für das, was die IME über meine Internetverbindung anstellt. Laut Google ist u.U. auch noch ein Webserver in der IME mitinstalliert und aktiviert. Z.B. nicht in meinem Providervertrag steht aber u.a., dass ich keinen Webserver an diesem Privatanschluss betreiben darf. Dass, was Intel und wohl auch AMD hier tun, hat somit auch rechtliche Implikationen, die Schadensersatzforderungen und juristische Verfolgung möglich machen. Juristen werden dies IMO nicht anders sehen.
Wie gesagt: Der Punkt ist, dass weder IME noch PSP im BIOS abschaltbar sind. Zumindest für die Netzwerkverbindungen und Webserverangebote, die durch IME oder PSP nach außen (z.B. übers Internet) aufgebaut werden können, müsste diese Abschaltmöglichkeit zwingend im BIOS angeboten werden.
Wenn Google genau dieses Abschalten der "Netzwerkaktivität" nachträglich hinbekommt, dann können IME und PSP zumindest nach außen hin keinen Schaden mehr anrichten.
Netzwerkverbindungen ohne Einverständnis des Rechnerbesitzers aufzubauen und Webserverangebote ohne dessen Erlaubnis an einem fremden Internetanschluss zu betreiben, ist IMO illegal. Der erste Nachweis solcher Aktivität sollte IMO genügen, damit Organisationen wie die FSF oder EFF die betroffenen Chiphersteller juristisch erfolgreich gegen die Wand fahren können.
Einverstanden: dass unabhängige Justiz nicht im Allgemeinen den mutmaßlichen Beschaffungsnöten der Geheimdienste folgt, stelle ich nicht in Abrede. Allerdings haben die Dienste auch keine Beschaffungsnöte, sondern hinreichend dokumentierte Zügellosigkeit mit nachträglicher Rechtsbrechstange.
Die IME oder PSP muss auch nicht zwingend freie Software sein, diese muss nur im BIOS abschaltbar sein und zwar so, dass diese auch wirklcih abgeschaltet wird, wenn dies im BIOS so eingestellt wurde.
Das entspricht etwa bei DBMSs Asozialer Netzwerke: Dieser Datensatz wurde in der Spalte gelöscht markiert. Vertrauen sie uns, dieser Datensatz ist *sogutwiehust* gelöscht. Das ist der fasche Ansatz. Das ganze Geraffel von UEFI, SMM und IME muss durch offene, minimal notwendige, nachvollziehbare Technik ersetzt werden bzw. ganz verschwinden.
Du legst mir zu viel Hoffung in die Justiz. Wir reden hier aber über eine Technologie, die schon seit fast 10 Jahre in steigender Form Platz greift. Wie viele Fälle von Rechtssteitigkeiten gab es zu dem Thema, die auch publik geworden sind?
Zudem: Die ganz Diskussion über mehr IT-Sicherheit wirkt einfach arg zwefelhaft, ähnlich dem Terror-FUD, angesichts dessen, dass in diese Massenarchitektur ständig neue, permanente Einfallstore geschaffen werden. Es wird der Fokus auf Sicherheitslücken in Software auf Applikations- und Betriebssystemebene gelekt und munter die Hardwareebene mit neuen Allzugriffssebenen durchseucht. Zurzeit also Ring -1, -2, -3: Ringe sie alle zu knechten. Mal schauen ob der Ringelreigen, den Machtkämpfen der unterschiedlichen Bedarfsträger schon reicht oder ob das Tunnelbohren in der Hardware in den nächsten Jahren weitere Ringeltänze vollführt. Ich bin ja so gespannt *gähn*.
Die Frage ist, was man abseits von Googles Firmware-Experimenten aktuell selbst tun kann.
Bevor ein Chip-Hersteller nicht massiven Umsatzverlusten ausgesetzt ist, wird sich nichts ändern. Deshalb der Vorschlag, betroffene Hardware keinesfalls mehr zu kaufen. Und deshalb auch der Gedanke im Hinblick auf drohende Schadensersatzzahlungen bei Hacks von Kunden- und Firmendaten, die durch Sucherheitslücken in der nicht vom Nutzer kontrollierbaren IME- oder PSP-Engine erst ermöglicht wurden.
Man muss das eigene Netzwerk vor diesem Rechner schützen, und zwar so, als sei dies ein aktuell nicht zu beseitigender trojanisierter Windows-Rechner, der einen "lebensnotwendigen" Dienst ausführt. Eigentlich sollte ein Router mit IME- oder PSP-freier Hardware genügen (notfalls auch z.B. ein alter PentiumIII-Rechner oder ein sonstiger selbstkontrollierbarer, updatefähiger, "freier" Router), der den Netzwerkverkehr unabhängig von diesem IME- oder PSP-verseuchten Rechner kontrolliert.
Wichtig wäre zu wissen, welche CPUs aktuell IME-ähnliche Features enthalten. Bisher wurden nur Intel-CPUs seit etwa 2006 und AMD-CPUs seit etwa 2013 (ab den 16h-CPUs/APUs) genannt.
Wie sieht es denn mit modernen AMD-Grafikkarten und AMD-Grafikchips aus? Auch hier könnte ein solches PSP-Rechnersystem problemlos enthalten sein.
Der Verdacht drängt sich auf, wenn man das hier liest:
http://www.amd.com/de-de/innovations/
software-technologies/security
Auf dem Weg mit den zwei virtuellen Welten in einer CPU werde ich AMD nicht folgen können (auch nicht Intel). Mein Piledriver-System war deshalb wohl mein letztes AMD-Rechnersystem.
Klar kann der einzelne Ausweichbewegungen versuchen. Die werden in den letzten Jahren immer schmerzhafter. Das kann aber kein Gesamtansatz sein. Ein Forent hat puri.sm-Systeme genannt und auch vikings.net. Wie tauglich und vertrauenswürdig die sind, ist Bewertungssache. Zumindest puri.sm versucht IME einzuhegen. Für den Heimbereich ist es vielleicht Zeit eine andere exotischere Architektur zu nehmen: Verursacht sicher ein paar größere Schmerzen, aber Schmerzen sind die, die wir bei Linux am Anfang auch hatten :smile:.
Boykott ist ein Anfang aber beim derzeitigen Status Quo bringt das nahezu nichts.
Ich weiß nicht, ob du in der Branche arbeitest, aber aus meiner Erfahrung ist der Unternehensführung weder das Problem klar, noch die Implikationen. Sprich mal mit deinen Kollegen, ob die das Problem überhaupt auf dem Schirm haben. Wenn die es nicht kennen, verstehen oder sehen wollen, wie willst du das Nichttechnikern klar machen?