Login
Newsletter
Werbung

Thema: Google will UEFI und Management Engine loswerden

65 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
4
Von $heldon am Mo, 30. Oktober 2017 um 14:10 #

Ich begrüße diese Entwicklung. Mir ist UEFI und die Management Engine schon lange ein Dorn im Auge, gerade als begeisterter Open Source Fan. Komponenten, die so tief ins System greifen, ohne Überprüfen zu können was sie wirklich machen, sind mir nicht ganz geheuer. Aber nein, es ist alles nur zu unserem Besten.

  • 1
    Von User am Mo, 30. Oktober 2017 um 17:38 #

    Was willst du denn - die Intel Management Engine (IMT) läuft doch schon unter einem Open-Source-Betriebssystem („Minix“) ...

    1
    Von Anonymous am Mo, 30. Oktober 2017 um 19:16 #

    .... von der prinzipiellen Machbarkeit bis zu BIOS-images, die man per Software-Update auf die gängigen Notebooks bzw. Mainboards aufspielen kann, ist es aber noch ein weiter Weg!

    Möglicherweise kommen die nie an diesem Ziel an.

    me_cleaner scheint ne ziemlich wacklige Sache zu sein, und nicht jeder ist bereit und in der Lage, sein Notebook zu zerlegen und den BIOS-Chip mit einem externen Programmer neu zu flashen.

    • 1
      Von kamome umidori am Mo, 30. Oktober 2017 um 23:34 #

      Dann sollte sich „jeder“ eben einen ordentlichen Rechner zulegen, oder so.

      • 1
        Von Allen Dulles am Di, 31. Oktober 2017 um 13:59 #

        Ich denke mal "jeder" ist überhaupt nicht an dem Thema interessiert, es sind nur ein (kleiner?) Teil der Nerds welche sich für dieses Thema erheitern - und dass man nur bei sehr wenigen Rechnern (verglichen zu den Mengen, welche in Umlauf sind) das BIOS gegen core-/libreboot auswechseln kann, tut ein übriges zur Nichtverbreitung von AMT/IME freien BIOSen...

        • 1
          Von blablabla233 am Di, 31. Oktober 2017 um 18:16 #

          Was UNS ja wohl egal sein kann solange WIR die Wahl haben (bei Server, Workstation und Laptops)

          1
          Von kamome umidori am Mi, 1. November 2017 um 22:16 #

          Du hast doch sogar die Anführungszeichen wiederholt – waren die nicht klar zu verstehen?
          Leider ist es natürlich doch für _alle_ wichtig, wenn sich auch nur wenige (ausreichend) dafür interessieren.

    3
    Von Thomas Hooge am Di, 31. Oktober 2017 um 12:38 #

    Volle Zustimmung.

    Außerdem hätte ich gerne Mainboards, die das Flashen nur über einen Jumper erlauben.

    1
    Von schmidicom am Di, 31. Oktober 2017 um 12:58 #

    Es steht und fällt eben mit der Implementation.
    Das UEFI von Tianocore, welches auch als Payload für Coreboot verwendet werden kann, ist ein UEFI wie es sein sollte.

    1
    Von Temporary am Di, 31. Oktober 2017 um 15:23 #

    Ich stimme dir zu, das ist eine sehr gut Entwicklung, wenn ein "Big Player" (auch wenn er eine Datenkrake ist) hier etwas Bewegung rein bringt.

    Hier im Forum wurde mal folgendes gepostet und ich finde das passt richtig gut: Richtig auf Überwachung eindreschen :D

0
Von schmidicom am Mo, 30. Oktober 2017 um 14:53 #

Die Firmware des eigenen Mainboards mit einem Hack zu verstümmeln soll jetzt also kurzfristig die Rettung sein? Sorry aber das Risiko ist mir dann doch zu groß. Das einzig richtige wäre die Mainboardhersteller dazu zu zwingen dem Endkunden endlich die volle Kontrolle über das gekaufte Produkt zu überlassen.

  • 1
    Von asdfghjkl am Mo, 30. Oktober 2017 um 21:16 #

    Meine persönliche Meinung dazu:

    Es lohnt sich aktuell aufgrund dieser Google- und Wikileaks-Erkenntnisse, nicht mehr, einen neuen originalen Intel- oder AMD-PC, der mit allergrößter Sicherheit quasi firmware- bzw. hardwareseitig unterwandert und verwanzt ist (mittels IME, dem AMD-Pendant der IME und UEFI), zu kaufen.

    Wir müssen uns quasi zunächst auf die letzte Hardwaregeneration zurückziehen, die diese unkontrollierbaren Fernwartungsfeatures noch nicht besessen hat.

    • 1
      Von Nur ein Leser am Mo, 30. Oktober 2017 um 22:07 #

      Wir müssen uns quasi zunächst auf die letzte Hardwaregeneration zurückziehen, die diese unkontrollierbaren Fernwartungsfeatures noch nicht besessen hat.
      Hmm, nette Idee.

      Allerdings, wenn diese Liste stimmt, dann ist AMT/ME schon seit Q963/Q965 Chipsätzen enthalten. Die sind von 2006.

      Das war noch vor der Core-Familie von Intel-Prozessoren. Und ich meine nicht Core-i, sondern Core 2.

      Ich glaube, auf der P6-Hardware (Pentium Pro - Pentium M) möchte man heutzutage nicht mehr ernsthaft arbeiten.
      Natürlich wäre es mir auch lieb, wenn keine unkontrollierten Backdoors auf Hardware-Ebene da wären, aber ich fürchte, vorerst werden wir damit leben müssen. Ich drücke Google die Daumen, das sie es entschärfen und für die Allgemeinheit nutzbar machen können.
      Noch besser wäre natürlich, wenn die Hersteller gar nicht erst so ein Feature einbauen, zumindest nicht, ohne den Code dafür offenzulegen.

      • 3
        Von asdfghghjjk am Di, 31. Oktober 2017 um 18:33 #

        Ja, das ist übel.

        Bei AMD sieht es etwas besser aus, aber nur weil AMD länger brauchte, um mit PSP eine IME-ähnliche Technologie zu entwickeln: Die letzten CPUs ohne PSP-Engine (AMDs Intel-IME-Pendant) waren diejenigen der 15h-Generation (Piledriver, Bulldozer). Allerdings enthalten diese offenbar schon einen unabhängig vom Nutzersystem operierenden Firmware-only-Kleinrechner namens SMU.

        Aufgrund der integrierten, in Hardware gegossenen Verschlüsselungsalgorithmen und -Keys wird freie Firmware auch kaum jemals die volle Kontrolle über solche Hardware übernehmen können.

        Mir erschließen sich nur die Beweggründe für dieses Streben von Intel und AMD nach totaler Kontrolle der von Ihnen verkauften (!) Rechner nicht. Gibt es vielleicht sogar eine Art Kommandozentrum, dass solche Rechner, sobald Sie mit dem Internet verbunden sind, direkt detektiert und anzeigt und bestimmten Entitäten problemlosen Direkt-Zugriff auf die kompromittierten Systeme ermöglicht? D.h. handeln Intel und AMD gemäß einer staatlichen Vorgabe, d.h. auf staatlichen Zwang hin, mit der Maßgabe, staatlichen Behörden den Zugriff auf solche Rechner zum Abernten der dortigen Daten zur Verfügung stellen zu müssen, was ja auch z.B. im Tor-Netzwerk funktionieren müsste?

        Diese Management-Engines sind IMO Backdoors, Trojaner. Das ist der eigentliche Skandal.

        Die nächste Frage dürfte sein, ob Router-CPUs mittlerweile analoge Features aufweisen.

        0
        Von ___# am Mo, 13. November 2017 um 13:11 #

        Wenn ich das richtig verstehe, gibt es eine
        Moderne Alternative.

      1
      Von kamome umidori am Mo, 30. Oktober 2017 um 23:31 #

      Das Dumme ist, dass die noch kein IOMMU (VT-d) können. Sollte die Bedeutung nicht klar sein, z.B. bei QubesOS dazu nachlesen.

      • 1
        Von asdfgfghhjkj am Mi, 1. November 2017 um 21:57 #

        Das macht auch Sinn. Dann kann der integrierte Minixrechner, über den man keinerlei Kontrolle hat, auch gleich noch Images dieser virtuellen Maschinen mitanlegen und versenden (laut Google soll das funktionieren). Ideal für Serverparks von Firmen an dicken Gbit-Standleitungen.

        Die CPU- und Mainboardhersteller haben die Freie Software-Szene letztendlich komplett ad absurdum geführt, frei nach dem Motto, macht auf Euren Rechnern vorgeblich, was Ihr wollt, unser letztendlich Closed-Source-Minix-"Underground"-Rechner (Intel veröffentlicht ja die Quellen nicht) hat sowieso das letzte Wort.

        Privat komme ich ohne virtuelle Maschinen aus. Ich hätte nie gedacht, dass ich so manchen antiken Rechner vielleicht noch einmal gebrauchen könnte.

        • 1
          Von kamome umidori am Mi, 1. November 2017 um 22:23 #

          Ich verstehe Deine Argumentation nicht in allen Punkten („Das macht auch Sinn.“), aber mit einem Rechner ohne ME (o.ä.), bzw. einem „befreiten“ Rechner (z.B. Librem), jedoch mit IOMMU ist Virtualisierung auch privat sehr interessant/nötig, um einen „einigermaßen sicheren“ Rechner zu verwenden (siehe Qubes).

    2
    Von klaus818 am Di, 31. Oktober 2017 um 09:07 #

    Welches Risiko siehst du denn? Es ist dokumentiert, was entfernt wurde. Und wenn es funktioniert, wo ist denn da dein Problem? Natürlich sollte das Ziel ein komplettes BIOS sein, aber es ist doch schon mal ein Anfang. Und vor allem, werden die Leute mal wachgerüttelt. Es ist nicht perfekt, aber es ist doch nichts schlechter als wie vorher.

    • 0
      Von schmidicom am Di, 31. Oktober 2017 um 09:20 #

      Die Firmware eines handelsüblichen Server/Desktop-Mainboards ist nur sehr schlecht bis gar nicht Dokumentiert, wodurch jede noch so kleine Veränderung zu einem Experiment mit unvorhersehbarem Ausgang wird. An so etwas herumzubasteln ist EXTREM GEFÄHRLICH und für den Hersteller mitunter ein legitimer Grund jeden Support, Ersatz und/oder Reparatur zu verweigern.

      Das ist keine Lösung, nicht mal ansatzweise! Es mag höchstens dazu dienen auf das Thema aufmerksam zu machen aber mehr auch nicht...

      EDIT:
      Ich weiß von einem BIOS-Modding-Experiment bei einem ThinkPad Edge aus eigener Erfahrung wie heikel so etwas ist. Das ist immer eine reine Verzweiflungstat die einem früher oder später bei irgendetwas in die Quere kommt.

      Dieser Beitrag wurde 2 mal editiert. Zuletzt am 31. Okt 2017 um 12:54.
      • 1
        Von blablabla233 am Di, 31. Oktober 2017 um 20:40 #

        EXTREM :D :D :D Man beachte ZUERST ein Backup-Blob ziehen, wenn etwas EXTREM GEFÄHRLICHES passiert kann man per klammer den alten Blob wieder daraufspielen, verzweifelt ist nur jemand der kein Plan hat.

        1
        Von asdfghghjjk am Mi, 1. November 2017 um 22:27 #

        Mich würde dabei vor allen Dingen interessieren, ob diese IME- und PSP-Engines botnetzwerkähnliche Netzwerkstrukturen aufbauen, die man dann entsprechend missbrauchen könnte. So von wegen IoT mit etwas dickeren CPUs.

        Von daher hätte man unter Umständen sogar die juristische Verpflichtung, solche Rechner vom Netz zu nehmen.

        IMO sollte man sich nach anderen Rechnerarchitekturen umsehen, die diese IME-Features noch nicht besitzen und die von Intel und AMD kontrollierte x86-Hardware-Plattform aufgeben. Diese ist unrettbar verloren. Serveranbieter z.B. können mit solcher x86-Hardware nicht mehr die Sicherheit der Daten Ihrer Kunden garantieren. Entsprechende Leaks sind quasi vorpogrammiert.

7
Von WoodyEllen am Mo, 30. Oktober 2017 um 15:52 #

Ich weiß nicht, ob es eine Freud'sche Fehlleistung oder tatsächlich gewollt ist. Aber die Formulierung "von Geheimdiensten unterwandert, somit auch potentiell von anderen Kriminellen zu unterwandern." ist eine schöne Formulierung, die ahnen lässt, was der Autor von Geheimdiensten hält. ;)

  • 4
    Von sadsssdsad am Mo, 30. Oktober 2017 um 16:21 #

    Wäre zumindest nicht das erste mal, dass ein Geheimdienst in einem Rechtsstaat für sein Fehlverhalten gerügt wird. Ob in DE oder USA. Von daher mMn durchaus berechtigt.

    • 1
      Von Atalanttore am Mi, 1. November 2017 um 02:31 #

      Rechtsstaat bedeutet halt auch nur, dass Gesetze von den dafür zuständigen Stellen (Geheimdienste gehören nicht dazu) gnadenlos durchgesetzt werden. Mit Gerechtigkeit muss ein Gesetz auch nicht zwingend etwas zu tun haben.

      Rechtsstaat ist IMHO ein viel zu positiv besetzter Begriff. Letztendlich kann man jede Schandtat/Ungerechtigkeit mit einem Gesetz legitimieren. Beispiele dazu gab es in Deutschland ja genug.

    2
    Von Tuxentier2011 am Mo, 30. Oktober 2017 um 16:38 #

    Wollte ich auch gerade schreiben. Die einzig korrekte Forumulierung! Geheimdienste und andere Kriminelle. Geheimdienste agieren außerhalb der freiheitlich-demokratischen Grundordnung. Manche der dort Arbeitenden reden sich vielleicht noch ein, daß sie aber doch "die Guten" seien, aber das trifft nicht zu. Und auch dann - und gerade dann ("die Guten") sollte man nicht die Verfassung / Grundgesetz etc. mit Füßen treten.

    2
    Von tom2 am Mo, 30. Oktober 2017 um 18:02 #

    Die Formulierung konnte man hier schon öfter lesen. Es dürfte sich also um Absicht handeln. Ich finde sie passend. :-)

1
Von WoodyEllen am Mo, 30. Oktober 2017 um 16:03 #

§ 903 BGB:
"Der Eigentümer einer Sache kann, soweit nicht das Gesetz oder Rechte Dritter entgegenstehen, mit der Sache nach Belieben verfahren und andere von jeder Einwirkung ausschließen."

Das scheint irgendwie für Mainboards nicht zu gelten. Der Gesetzgeber sollte hier regelnt eingreifen und Sachen, die diesem Recht des Eigentümers vom Verkauf ausschließen. Man muss zumindest die Wahl haben, ob man den Zugriff Dritter zulässt oder nicht (soll ja tatsächlich Menschen geben, die nichts zu verbergen haben :evil: ).

  • 1
    Von SebastianB am Mo, 30. Oktober 2017 um 16:21 #

    Kleines missverständnis deinerseits. Beachte den teil über die rechte dritter, damit sind die amerikanischen geheimdienste und dere recht ander zu überwachen gemeint. Du willst doch wohl nicht den kampf gegen den terrorismus behindern oder?

    1
    Von Allen Dulles am Di, 31. Oktober 2017 um 14:04 #

    Eben - Rechte Dritter:
    Das MB gehört dir, aber du hast damit nicht automatisch das Recht am BIOS erworben, das liegt immer noch beim Hersteller...

    0
    Von chefin am Do, 16. November 2017 um 07:40 #

    aber im gesetz steht halt nicht, wie du das bewerkstelligen musst und was der Hersteller dazu tun sollte.

    Du bekommst also Firmwarelose Hardware, schreibst dir die Firmware selbst? Ne, natürlich nicht

    Ausserdem geht es hier um Eigentum. Das Recht am Eigentum wird dir nicht steitig gemacht. Wie es immer so schön heist, wenn ich einen Film kopiere oder ein Musikstück, klaue ich es doch keinem. Der Eigentümer hat es doch weiterhin. Und wenn jemand deine Daten kopiert, sind die auch nicht geklaut, sondern du hast sie ja weiterhin.

    Bedeutet, das es nicht um Eigentum sondern um Datenschutz geht. Und du dann nicht ankommen kannst und einen Eigentumsparagrafen so uminterpretieren, das er dir zum Datenschutz dient.

1
Von asdasdsda am Mo, 30. Oktober 2017 um 23:31 #

Es ist durchaus lobenswert, dass Google es zum Thema macht. Allerdings zweifel ich, dass Google den Hebel besitzt, um diese Entwicklung zu stoppen. Es ist immer so, dass nur diejenigen die den Markt beherrschen (Intel,MS), den Druck ausüben können. In weit Google da schon im Desktop Markt eingreifen?

Wahrscheinlich bleibt es bei einer Frickel-Lösung, die nur für wenige Mainboards mit einer bestimmten Firmware gilt. Naja, besser irgend eine Bewegung als kompletter Stillstand.

Ich frage mich in wie weit es für den einzelnen Nutzer relevant ist, der ohnehin hinter einer Pseudo-NAT ala. Fritz!Box sitzt. Vorausgetzt die Auto-Updates und Anbieter-Dienste sind ebenfalls deaktiviert. Das sind jetzt zwar viele Nebenbedingungen, aber durchaus realitisch.

  • 1
    Von Allen Dulles am Di, 31. Oktober 2017 um 14:08 #

    Ich drück ihnen die Daumen, vllt mischens damit den Markt etwas auf, und die Hersteller bieten mal sowas wie libre/coreboot als Alternative an, bzw stellen es dem User frei, diese zu nutzen - Google baut ja schon lang eigene Server für ihre RZ, auch in grossen Stückzahlen, ich denke die sind da schon eine gewisse Marktmacht

    1
    Von hh am Di, 31. Oktober 2017 um 14:11 #

    Die Intel Management Engine ist ein zweiter Rechner, der während der gesamten Laufzeit deines Rechners am Betriebssystem (Linux) vorbei Zugriff auf z.B. RAM und Netzwerk hat. Fühlst du dich da wirklich hinter deiner Fritz!Box sicher? Da müsstest du wohl schon deinem Rechner den Zugriff in der Fritz!Box sperren.

    1
    Von adsfghjhjk am Di, 31. Oktober 2017 um 14:42 #

    "Allerdings zweifel ich, dass Google den Hebel besitzt, um diese Entwicklung zu stoppen."

    Google wird wohl Mainboardhersteller werden müssen, z.B. mit Coreboot und freier Linux-Bios-Firmware ab Werk. Alterrnativ könnte Google versuchen, Intel zu kaufen.

    Diese kompromittierte, ferngesteuerte Hardware legt derartig die Axt an das moderne Computing, dass ohne die Beseitigung dieses Problems die weitere technische Entwicklung massiv behindert wird.

    Diese IME hat ja offenbar auch uneingeschränkten Zugriff auf alle Datenträger und damit auf Firmen- und Staatsgeheimnisse.

    Damit ist es unverantwortlich, solche Rechner in Behörden und Firmen mit Netzwerkverbindung laufen zu lassen.

    Da alle Mainboard-Hersteller diese IME bzw. IME-ähnlichen Features mittlerweile in Ihre Hardware einbauen, i.e. Intel, AMD und auch ARM-Hersteller, ist anzunehmen, dass es dafür auch einen originären, für alle verbindlichen Anstoss gibt.

    Und: Auf solchen fernkontrollierten Rechnern ist es völlig unerheblich, ob nun Windows 10 oder Debian GNU/Linux läuft. Der Nutzer hat auf beiden Systemen keinerlei Kontrolle mehr über die Hardware und das, was z.B. über seine Netzwerkberbindung verschickt bzw. an Datenträgerinhalten und Informationen z.B. über "dicke" DSL-Leitungen aus der Ferne "abgezogen" wird.

    • 1
      Von Anonymous am Di, 31. Oktober 2017 um 20:23 #

      Google wird wohl Mainboardhersteller werden müssen

      Die sind ja bereits einer; die Chromebooks sind mit coreboot ausgestattet. Allerdiings weiss ich nicht, wie brauchbar die sind, wenn man da ein richtiges Linux draufpappt. Der SSD-Speicher ist halt recht klein und läßt sich vermutlich nicht austauschen.

      0
      Von DieGesellschaftDerArkanoiden am Sa, 4. November 2017 um 00:17 #

      Stimme dir bis auf die ersten Absatz zu: denn du glaubst doch nicht allen Ernstes, dass Google auf lange Sicht was anderes machen würde als Intel.

      Damit ist es unverantwortlich, solche Rechner in Behörden und Firmen mit Netzwerkverbindung laufen zu lassen.

      So weit, so offensichtlich. Die Behörde, die etwas tun könnte, wurde übernommen. Die Realität ist einfach ein Schauspiel und hier ist eine Episode davon:
      Ende 2015 / Anfang 2016 wurde Arne Schönbohm, der Sohn von Jörg Schönbohm zum BSI-Präsdenten auf Geheiß von CDU de Maizière benannt und vom Kabinett bestätigt. Damit werden so ziemlich alle Erwartungen gebrochen, die an eine eigentlich unabhängige Behörde gestellt werden. Sehen wir mal ganz großzügig davon ab, dass sie dem Innenmysterium unterstellt ist. Da wird also jemand auf diesen Schlüsselposten gesetzt, der offensichtliche Nähe zur Überwachungs- und Rüstungsindustrie zeigt und Mitglied der Atlantikbrücke ist. Seine vorherigen Tätigketen und Mitgliedschaften erwecken bloß den Eindruck Kompetenz im Fachgebiet der IT-Sicherheit zu haben. Vorher waren dort Leute aus dem Fachgebiet der IT Präsidenten, die sich wirklich mit der Technik auskannten.

      Was glaubst du, was da noch sinnvolles in Bezug auf IT-Sicherheit kommt? :huh:

      • 0
        Von asdfhgjhkjl am Sa, 4. November 2017 um 22:46 #

        Schwierig vorherzusagen.

        Aber Richter sind nicht nur rein proforma unabhängig und gerade in solchen Sachfragen folgen diese nicht unbedingt mutmaßlichen Beschaffungsnöten der Geheimdienste.

        Die IME oder PSP muss auch nicht zwingend freie Software sein, diese muss nur im BIOS abschaltbar sein und zwar so, dass diese auch wirklcih abgeschaltet wird, wenn dies im BIOS so eingestellt wurde.

        Zumindest in Deutschland bin ich für meinen Internetanschluss selbst verantwortlich und für das, was darüber heruntergeladen und hochgeladen wird. Das gilt auch für das, was die IME über meine Internetverbindung anstellt. Laut Google ist u.U. auch noch ein Webserver in der IME mitinstalliert und aktiviert. Z.B. nicht in meinem Providervertrag steht aber u.a., dass ich keinen Webserver an diesem Privatanschluss betreiben darf. Dass, was Intel und wohl auch AMD hier tun, hat somit auch rechtliche Implikationen, die Schadensersatzforderungen und juristische Verfolgung möglich machen. Juristen werden dies IMO nicht anders sehen.

        Wie gesagt: Der Punkt ist, dass weder IME noch PSP im BIOS abschaltbar sind. Zumindest für die Netzwerkverbindungen und Webserverangebote, die durch IME oder PSP nach außen (z.B. übers Internet) aufgebaut werden können, müsste diese Abschaltmöglichkeit zwingend im BIOS angeboten werden.

        Wenn Google genau dieses Abschalten der "Netzwerkaktivität" nachträglich hinbekommt, dann können IME und PSP zumindest nach außen hin keinen Schaden mehr anrichten.

        Netzwerkverbindungen ohne Einverständnis des Rechnerbesitzers aufzubauen und Webserverangebote ohne dessen Erlaubnis an einem fremden Internetanschluss zu betreiben, ist IMO illegal. Der erste Nachweis solcher Aktivität sollte IMO genügen, damit Organisationen wie die FSF oder EFF die betroffenen Chiphersteller juristisch erfolgreich gegen die Wand fahren können.

        • 0
          Von DieGesellschaftDerArkanoiden am So, 5. November 2017 um 17:31 #

          Einverstanden: dass unabhängige Justiz nicht im Allgemeinen den mutmaßlichen Beschaffungsnöten der Geheimdienste folgt, stelle ich nicht in Abrede. Allerdings haben die Dienste auch keine Beschaffungsnöte, sondern hinreichend dokumentierte Zügellosigkeit mit nachträglicher Rechtsbrechstange.

          Die IME oder PSP muss auch nicht zwingend freie Software sein, diese muss nur im BIOS abschaltbar sein und zwar so, dass diese auch wirklcih abgeschaltet wird, wenn dies im BIOS so eingestellt wurde.

          Das entspricht etwa bei DBMSs Asozialer Netzwerke: Dieser Datensatz wurde in der Spalte gelöscht markiert. Vertrauen sie uns, dieser Datensatz ist *sogutwiehust* gelöscht. Das ist der fasche Ansatz. Das ganze Geraffel von UEFI, SMM und IME muss durch offene, minimal notwendige, nachvollziehbare Technik ersetzt werden bzw. ganz verschwinden.

          Du legst mir zu viel Hoffung in die Justiz. Wir reden hier aber über eine Technologie, die schon seit fast 10 Jahre in steigender Form Platz greift. Wie viele Fälle von Rechtssteitigkeiten gab es zu dem Thema, die auch publik geworden sind?

          Zudem: Die ganz Diskussion über mehr IT-Sicherheit wirkt einfach arg zwefelhaft, ähnlich dem Terror-FUD, angesichts dessen, dass in diese Massenarchitektur ständig neue, permanente Einfallstore geschaffen werden. Es wird der Fokus auf Sicherheitslücken in Software auf Applikations- und Betriebssystemebene gelekt und munter die Hardwareebene mit neuen Allzugriffssebenen durchseucht. Zurzeit also Ring -1, -2, -3: Ringe sie alle zu knechten. Mal schauen ob der Ringelreigen, den Machtkämpfen der unterschiedlichen Bedarfsträger schon reicht oder ob das Tunnelbohren in der Hardware in den nächsten Jahren weitere Ringeltänze vollführt. Ich bin ja so gespannt *gähn*.

          • 0
            Von asddfghjk am So, 5. November 2017 um 21:29 #

            Die Frage ist, was man abseits von Googles Firmware-Experimenten aktuell selbst tun kann.

            Bevor ein Chip-Hersteller nicht massiven Umsatzverlusten ausgesetzt ist, wird sich nichts ändern. Deshalb der Vorschlag, betroffene Hardware keinesfalls mehr zu kaufen. Und deshalb auch der Gedanke im Hinblick auf drohende Schadensersatzzahlungen bei Hacks von Kunden- und Firmendaten, die durch Sucherheitslücken in der nicht vom Nutzer kontrollierbaren IME- oder PSP-Engine erst ermöglicht wurden.

            Man muss das eigene Netzwerk vor diesem Rechner schützen, und zwar so, als sei dies ein aktuell nicht zu beseitigender trojanisierter Windows-Rechner, der einen "lebensnotwendigen" Dienst ausführt. Eigentlich sollte ein Router mit IME- oder PSP-freier Hardware genügen (notfalls auch z.B. ein alter PentiumIII-Rechner oder ein sonstiger selbstkontrollierbarer, updatefähiger, "freier" Router), der den Netzwerkverkehr unabhängig von diesem IME- oder PSP-verseuchten Rechner kontrolliert.

            Wichtig wäre zu wissen, welche CPUs aktuell IME-ähnliche Features enthalten. Bisher wurden nur Intel-CPUs seit etwa 2006 und AMD-CPUs seit etwa 2013 (ab den 16h-CPUs/APUs) genannt.

            Wie sieht es denn mit modernen AMD-Grafikkarten und AMD-Grafikchips aus? Auch hier könnte ein solches PSP-Rechnersystem problemlos enthalten sein.

            Der Verdacht drängt sich auf, wenn man das hier liest:
            http://www.amd.com/de-de/innovations/
            software-technologies/security

            Auf dem Weg mit den zwei virtuellen Welten in einer CPU werde ich AMD nicht folgen können (auch nicht Intel). Mein Piledriver-System war deshalb wohl mein letztes AMD-Rechnersystem.

            • 0
              Von DieGesellschaftDerArkanoiden am Mo, 6. November 2017 um 21:15 #

              Die Frage ist, was man abseits von Googles Firmware-Experimenten aktuell selbst tun kann.

              Klar kann der einzelne Ausweichbewegungen versuchen. Die werden in den letzten Jahren immer schmerzhafter. Das kann aber kein Gesamtansatz sein. Ein Forent hat puri.sm-Systeme genannt und auch vikings.net. Wie tauglich und vertrauenswürdig die sind, ist Bewertungssache. Zumindest puri.sm versucht IME einzuhegen. Für den Heimbereich ist es vielleicht Zeit eine andere exotischere Architektur zu nehmen: Verursacht sicher ein paar größere Schmerzen, aber Schmerzen sind die, die wir bei Linux am Anfang auch hatten :smile:.

              Bevor ein Chip-Hersteller nicht massiven Umsatzverlusten ausgesetzt ist, wird sich nichts ändern. Deshalb der Vorschlag, betroffene Hardware keinesfalls mehr zu kaufen.

              Boykott ist ein Anfang aber beim derzeitigen Status Quo bringt das nahezu nichts.

              Wir sind weit entfernt davon in den KMUs - und vermutlich auch in vielen der großen europäischen Unternehmen - überhaupt ein Verständis über ein existierendes Problem zu haben. Vieles ist doch nicht einmal bis zur Verwaltungsebene durchgedrungen.
              Ich weiß nicht, ob du in der Branche arbeitest, aber aus meiner Erfahrung ist der Unternehensführung weder das Problem klar, noch die Implikationen. Sprich mal mit deinen Kollegen, ob die das Problem überhaupt auf dem Schirm haben. Wenn die es nicht kennen, verstehen oder sehen wollen, wie willst du das Nichttechnikern klar machen? :smile:

1
Von GetOffMyBack am Di, 31. Oktober 2017 um 23:08 #

Asus µATX AM3+ Board mit 760G Chip (40 Öcken, altes AMI Bios, ECC Support (!)). Für das Geld kann man gleich 3 auf Halde kaufen.

FX CPU bis 95W (4300, 6300, 8300).

Gut, das ist jetzt bald 2018 nicht unbedingt ein technisches Highlight an Rechenleistung und Energieeffizienz. Und SATA-II und USB 2.0 mögen vielleicht hier und da etwas bremsen.

Aber wenn einem das Thema so wichtig ist... Kommt halt drauf an, wie man seine Prios setzt.

Dürfte auf jeden Fall die allerletzte Chance sein. Und eine Weile könnte man sowas im Prinzip schon noch fahren.

1
Von Alzheimer am Mi, 1. November 2017 um 10:25 #

Google jammert über ein geschlossenes UEFI in der PC-Welt, legt dem aber gleichzeitig in Sachen Android-Bootloadern noch eins drauf, wodurch ein Smartphone-Besitzer sein Gerät meist nur rooten oder gar das System ersetzen kann, wenn irgendeine Sicherheitslücke bekannt wird. Das ist irgendwie heuchlerisch.

1
Von DieGesellschaftDerArkanoiden am Mi, 1. November 2017 um 21:59 #

Möglichkeiten die Einstiegsluken. Jeder Interessent™. Auf jeder verfügbaren Ebene™, auf die sie™ Einfluß nehmen können.

Klassischer Fall von

Wenn du den Fnord nicht siehst, kann er dich auch nicht fressen.

Selbst wenn das irgendwann mal für irgendeine Hardware von Googol standardmäßig benutzt wird oder ihr mühselig bis wagemutig an euren Systemen rumschraubt, ist das Herangehen in etwa so glaubwürdig wie die Halbwahrheiten unserer Massenmedien. Diese technologischen Anælsonden, sind teilweise vorher noch aktiv bis der Kernel geladen ist.

Schaut euch den Vortrag an.

Zur Erinnerung:

Fortan wurden die Spione aus dem Osten bestens beliefert. Einziger Nachteil für Moskau: Die trojanischen Pferde von der CIA führten zu schweren Schäden statt zum erhofften Aufholen.

Seit ein paar Jahren wird's einfach 'ne Ebene™ höher skaliert. Wir sind der Gnade von Intel™ingence ausgeliefert. Klassischer Fall von

Wenn du den Fnord nicht siehst, kann er dich auch nicht fressen.

Möchte jemand eigentlich die rethorische Frage anschließen: Was macht eigentlich das BSI? :angel:

  • 1
    Von Allan Dulles am Mi, 1. November 2017 um 23:35 #

    Das BSI? Das hält sich vermutlich an das, was der Andere damals sagte - dass es "keine Anzeichen dafür gibt, dass uns die NASA ausspioniert..." ^_^

    • 0
      Von blablabla233 am Fr, 3. November 2017 um 10:00 #

      Wart mal, die NASA?
      Das BSI ist aber in der tat ein halb-blindes unfähiges Stück Beamtentum, wer nicht mal das Handy der eigenen Kanzlerin schützen, Steuerungen von z.B Windanlagen nicht prüft und behauptet das kein Problem besteht, ist einfach nur peinlich, da spricht ein Bier-bauchiger Beamten-Sack und weiß das er gar nichts anderes sagen darf. Schon schade das selbst in Technischen Abteilungen die Bosse ignorante Beamte sind (fast wie in den meisten Firmen. Ein CTO der nicht nur ein Projektmanager ist, ist schon fast eine Ausnahme)

Pro-Linux
Pro-Linux @Twitter
Neue Nachrichten
Werbung