Es wird so getahn, als wäre das BIOS der ultimative Virenbruhtplatz. Aber wieviel Verbreitung haben denn BIOS Viren überhaupt, alle großen Virenwellen der letzten 10 Jahre waren nämlich keine BIOS Viren.
Von Boot Guard-007 am Di, 17. Februar 2015 um 19:34 #
Wär ja auch noch schöner, wenn da einfach einer das BIOS austauschen könnte, gegen eines das seiner Meinung nach vertrauenswürdiger ist. Das würde ja unserer mühevoll in die UEFI Firmware integrierte Backdoor gemäß Patriot Act zunichte machen - so geht's freilich nicht, uns derart n die Suppe spucken zu wollen. Klar könnt ihr da gerne das OS eurer Wahl installieren, aber die UEberwachungs-FIrmware darunter, die kontrollieren wir - ätsch!
P.S. UEFI war nur der Türöffner, für all diese tollen neuen Möglichkeiten, dann kam Restricted Boot und jetzt auch noch Boot Guard. Und bald gibt's dann auch sicher nix anderes mehr zu kaufen - Lieschen Müller kümmert's eh nicht, Hauptsache das vorinstallierte Betriebssystem läuft OOTB und nervt nicht Registrierung/Aktivierung und wieso überhaupt CPU oder Mainboard einzeln wechseln, wo sie sich doch immer gleich einen neuen Rechner kauft, gelle.
Deine Argumentation geht ins Leere, denn wenn der Hersteller eine Hintertür einbaut, muß die ja nicht unbedingt in der EFI-Firmware sein, sondern vorzugsweise in einem anderen Chip auf dem Motherboard, der fest verdrahtet und nicht flashbar ist. Außerdem gibt es noch Firmware für Peripheriegeräte, z. B. Ethernet-Adapter ...
Hier wird ueber backdoors geklagt, es kommt ein Vorschlag dieses Problem zu loesen und direkt wird auf die naechste potenzielle backdoor verwiesen. Denk mal an die Antidepressiva
Ich weiß nicht, was Du meinst, ich hatte auf Dein Posting ja gar nicht geantwortet. Um das nachzuholen: Ich halte die Idee einer Produktion ordentlicher Mainboards über Crowd funding für - hm - sehr, sehr ehrgeizig. Ohne eine milliardenschwere Firma erreicht man dabei höchstens Raspberry-Pi-Niveau. Zum Thema Backdoor: Wenn Du dem Hersteller Deines MB nicht vertraust, ist Hopfen und Malz verloren. Er hat 1000 Möglichkeiten, Dich an den ... zu packen. Es ist Zeitverschwendung, sich über einzelne davon Gedanken zu machen, wie 007 es oben tat. Das ist ungefähr so, als ob Du glaubst, die Regierung wolle Dich umbringen, und deshalb trinkst Du keine Milch mehr, denn sie könnte ja vergiftet sein.
Wieso so aufwendig und kompliziert mit Signatur? Ein einfacher Jumper oder Schalter würde es doch auch tun. Ist garantiert sicherer und noch dazu raubt man den Benutzer seine Freiheit nicht.
Dieses Boot Guard ist ja nur in einem sehr speziellen Szenario von Nutzen nämlich * wenn der Angreifer Zugriff auf die Hardware hat (im Gegensatz zu Hackerangriff oder Malware) und gleichzeitig ... * wenn der Besitzer ansonsten den Rechner maximal abgesichert hat, insbesondere seine Festplatte verschlüsselt. (Sonst genügt ein Rootkit.)
Ohne Zugriff auf die Hardware ließe sich das ganze ja hardwaremäßig zu 100 % absichern z. B. durch einen Jumper auf dem Motherboard. Im Normalbetrieb ist er auf "Flashen verboten" gesteckt, nur bei Bedarf steckt ihn der Besitzer um auf "Flashen erlaubt".
Aber auch wenn man die Hardware wirklich nicht wegsperren kann, gäbe es eine einfache und sehr sichere Alternative: Eine Art Autoschlüssel für das Motherboard, ohne den das Flashen und überhaupt das "Anlassen" des MB unmöglich wären. Der Besitzer muß dann halt den Schlüssel immer abziehen. Das wäre immer noch nicht zu 100 % sicher, denn der Angreifer könnte mit einem Lötkolben anrücken und auf das MB manipulierte Chips auflöten, aber spätestens hier steigt der Aufwand für einen Geheimdienst ins Unermeßliche.
Bei den Chromebooks gibt es bei der Stock-Firmware einen "Write-Only"-Bereich, der mit einer Schraube / einem Jumper geschützt wird. Muss man rausmachen, um vollwertige GNU/Linux-Distributionen zu installieren.
Es wird so getahn, als wäre das BIOS der ultimative Virenbruhtplatz. Aber wieviel Verbreitung haben denn BIOS Viren überhaupt, alle großen Virenwellen der letzten 10 Jahre waren nämlich keine BIOS Viren.
BIOS != UEFI
Wär ja auch noch schöner, wenn da einfach einer das BIOS austauschen könnte, gegen eines das seiner Meinung nach vertrauenswürdiger ist. Das würde ja unserer mühevoll in die UEFI Firmware integrierte Backdoor gemäß Patriot Act zunichte machen - so geht's freilich nicht, uns derart n die Suppe spucken zu wollen.
Klar könnt ihr da gerne das OS eurer Wahl installieren, aber die UEberwachungs-FIrmware darunter, die kontrollieren wir - ätsch!
P.S. UEFI war nur der Türöffner, für all diese tollen neuen Möglichkeiten, dann kam Restricted Boot und jetzt auch noch Boot Guard. Und bald gibt's dann auch sicher nix anderes mehr zu kaufen - Lieschen Müller kümmert's eh nicht, Hauptsache das vorinstallierte Betriebssystem läuft OOTB und nervt nicht Registrierung/Aktivierung und wieso überhaupt CPU oder Mainboard einzeln wechseln, wo sie sich doch immer gleich einen neuen Rechner kauft, gelle.
Crowdfunding ???
Vielleicht kann man sich ja auf mehrere mainboards fuer den jeweiligen Zweck - server oder workstation- einigen.
In Zusammenarbeit mit den coreboot-lern natuerlich
Deine Argumentation geht ins Leere, denn wenn der Hersteller eine Hintertür einbaut, muß die ja nicht unbedingt in der EFI-Firmware sein, sondern vorzugsweise in einem anderen Chip auf dem Motherboard, der fest verdrahtet und nicht flashbar ist. Außerdem gibt es noch Firmware für Peripheriegeräte, z. B. Ethernet-Adapter ...
Wieso beschweren wir uns dann ueberhaupt noch ?
Hier wird ueber backdoors geklagt, es kommt ein Vorschlag dieses Problem zu loesen und direkt wird auf die naechste potenzielle backdoor verwiesen.
Denk mal an die Antidepressiva
Ich weiß nicht, was Du meinst, ich hatte auf Dein Posting ja gar nicht geantwortet. Um das nachzuholen: Ich halte die Idee einer Produktion ordentlicher Mainboards über Crowd funding für - hm - sehr, sehr ehrgeizig. Ohne eine milliardenschwere Firma erreicht man dabei höchstens Raspberry-Pi-Niveau.
Zum Thema Backdoor: Wenn Du dem Hersteller Deines MB nicht vertraust, ist Hopfen und Malz verloren. Er hat 1000 Möglichkeiten, Dich an den ... zu packen. Es ist Zeitverschwendung, sich über einzelne davon Gedanken zu machen, wie 007 es oben tat.
Das ist ungefähr so, als ob Du glaubst, die Regierung wolle Dich umbringen, und deshalb trinkst Du keine Milch mehr, denn sie könnte ja vergiftet sein.
Wie immer gehts um Kosten. Ein gesonderter Chip kostet, mit ins bios/uefi reinnehmen ist dagegen günstig.
Wieso so aufwendig und kompliziert mit Signatur? Ein einfacher Jumper oder Schalter würde es doch auch tun. Ist garantiert sicherer und noch dazu raubt man den Benutzer seine Freiheit nicht.
"because they already decided for you and they already decided not to trust you" -- http://www.lafkon.net/tc/
Alles nicht neu aber jetzt wird der Käse halt langsam Stück für Stück implementiert…
Dieses Boot Guard ist ja nur in einem sehr speziellen Szenario von Nutzen nämlich
* wenn der Angreifer Zugriff auf die Hardware hat (im Gegensatz zu Hackerangriff oder Malware) und gleichzeitig ...
* wenn der Besitzer ansonsten den Rechner maximal abgesichert hat, insbesondere seine Festplatte verschlüsselt. (Sonst genügt ein Rootkit.)
Ohne Zugriff auf die Hardware ließe sich das ganze ja hardwaremäßig zu 100 % absichern z. B. durch einen Jumper auf dem Motherboard. Im Normalbetrieb ist er auf "Flashen verboten" gesteckt, nur bei Bedarf steckt ihn der Besitzer um auf "Flashen erlaubt".
Aber auch wenn man die Hardware wirklich nicht wegsperren kann, gäbe es eine einfache und sehr sichere Alternative: Eine Art Autoschlüssel für das Motherboard, ohne den das Flashen und überhaupt das "Anlassen" des MB unmöglich wären.
Der Besitzer muß dann halt den Schlüssel immer abziehen.
Das wäre immer noch nicht zu 100 % sicher, denn der Angreifer könnte mit einem Lötkolben anrücken und auf das MB manipulierte Chips auflöten, aber spätestens hier steigt der Aufwand für einen Geheimdienst ins Unermeßliche.
Bei welchen Mainboards gibt es denn noch Schreibschutz Jumper?
Derart sinnvolle Entwicklungen gibt es heute doch gar nicht mehr.
Serverboards haben manchmal noch sowas, aber meist auch nur noch die älteren...
Bei den Chromebooks gibt es bei der Stock-Firmware einen "Write-Only"-Bereich, der mit einer Schraube / einem Jumper geschützt wird. Muss man rausmachen, um vollwertige GNU/Linux-Distributionen zu installieren.
Meinte natürlich read-only.
Das grenzt ja an "Security through obscurity" oder noch einfacher "Geiselnahme des Endkunden".
http://de.wikipedia.org/w/index.php?title=Security_through_obscurity&redirect=no