Christian1000
Anmeldungsdatum: 17. Juni 2007
Beiträge: 448
|
Kann das sein?: "Secure-Boot-Loader für Linux .... Garretts Shim-Binary ist von Microsoft signiert, sodass jede nahezu jede UEFI-Firmware den Secure-Boot-Loader ausführt."
http://www.heise.de/open/meldung/Secure-Boot-Loader-fuer-Linux-1760997.html Kann mir das mal jemand übersetzen? Was wird aus GRUB? Kriegen wir jetzt die wichtigsten Softwareteile von MS - in einer Zeit, in der immer klarer wird, dass nichts so unsicher ist wie die Software der großen US Unternehmen? Und überhaupt: Wie ist Linux vor Manipulationen durch NSA & Co geschützt bzw. schützbar?
|
tomtomtom
Supporter
Anmeldungsdatum: 22. August 2008
Beiträge: 53601
Wohnort: Berlin
|
Christian1000 schrieb: Kann das sein?:
Warum soll das nicht sein können?
Kann mir das mal jemand übersetzen?
Ist doch schon deutsch. 😛 Der Herr hat einen Bootloader entwickelt, der von Microsoft zertifiziert ist und damit bei Geräten mit SecureBoot genutzt werden kann. SecureBoot ist im übrigen nur bei ARM-Geräten nicht abschaltbar, bei x86-Hardware muss es per Spezifikation abschaltbar sein.
Was wird aus GRUB?
42. Shim ist kein Bootloader für das System, sondern ein Loader, der andere Bootloader lädt. Steht zumindest so im Artikel.
Kriegen wir jetzt die wichtigsten Softwareteile von MS - in einer Zeit, in der immer klarer wird, dass nichts so unsicher ist wie die Software der großen US Unternehmen?
Nimmst du woher? Die gesamte erwähnte Software ist OpenSource.
Und überhaupt: Wie ist Linux vor Manipulationen durch NSA & Co geschützt bzw. schützbar?
Genau wie jedes andere Betriebssystem: Gar nicht. Denn es werden ja nicht die einzelne Rechner "angegriffen", sondern der Internetverkehr "abgeschnorchelt".
|
chilidude
Anmeldungsdatum: 18. Februar 2010
Beiträge: 867
|
tomtomtom schrieb: Der Herr hat einen Bootloader entwickelt, der von Microsoft zertifiziert ist und damit bei Geräten mit SecureBoot genutzt werden kann. SecureBoot ist im übrigen nur bei ARM-Geräten nicht abschaltbar, bei x86-Hardware muss es per Spezifikation abschaltbar sein.
Wenn du die Nachrichten aufmerksam verfolgen würdest, dann wäre dir nciht entgangen dass das BSI davor gewarnt hat, dass M$ plant diese Option gänzlich auszuschalten. (Und das BSI hat auch nur davor gewarnt weil es seine eigenen Einflussmöglichkeiten, es arbeitet auch dem BND zu, damit schwinden sieht und nicht bloss der Nutzerfreundlichkeit wegen.) Z.B war es unter Windows 7 als letztem Betriebssytstem noch möglich, unsignierte Treiber zu laden. Unter Windows 8 ist das ausgeschlossen. Unter unter zukünftigen Windowssystemen wird auch die Bootkette genau festgelegt sein. Es ist ja gerade der Trick unter einem guten Vorwand eine (technische) Revolution zu starten und dann hinterher, bei Marktmacht, mit einfachen Mitteln einen Zwang umzusetzen. Der Grundgedanke von Secureboot war nicht schlecht, dient aber am Ende dazu den Nutzer zu knebeln und Software auszuschliessen, also den Rechner zu verdongeln. Die technische Umsetzung dazu liegt beiUEFI, welches nach 10 Jahren, auf neuesten Sockel-Mainboards auschliesslich zu haben ist. Alternative Bios-Systeme (OpenBios, Coreboot) sind bei UEFI-Boards nicht mehr umsetzbar und damit wird ein Gossteil essentieller Software schon von Herstellerseite ausgeliefert ohne das du etwas daran ändern kannst. Darüber hinaus ist das UEFI-Bios permanent lauffähig, also auch nachdem das Betriebbsystem (egal welches) schon gestartet wurde. Dies war bei einem konventienellem Bios nicht der Fall, denn dieses lief ausschliesslich nur im Real-Mode, während moderne Betriebssysteme ausschliesslich im Protectde-Mode laufen und dazu ihre eigenen Treiber zur Ansteuerung der Hardware mitbrachten. Heute werden diese Treiber vom Hersteller der Hardware geliefert - auch für Linux. Und überhaupt: Wie ist Linux vor Manipulationen durch NSA & Co geschützt bzw. schützbar?
Mit UEFI gar nicht mehr. Das hängt damit zusammen, dass die Software, die die Flexibilität (also Intelligenz) stellt, bereits vom Hersteller der Hardware kommt und damit umfangreich spioniert werden kann. Es nützt auch nichts den Rechner hinter einer Firewall zu verstecken (oder sogar passiv zum Netz mit Wechselmedien zu betreiben), weil die Treiber eben genügend Komplexität mitbringen um darauf zu reagieren. So kann z.B. jedes Datenwort welches über den Bus marschiert (also alle Speicherzugriffe) getriggert und dann, in Abhängigkeit abgearbeitet werden - völlig unbemerkt vom Betriebssystem und ohne das du überhaupt etwas von dieser Ebene unternehmen kannst. UEFI bildet also den Grundstein vollständiger Kontrolle.
|
tomtomtom
Supporter
Anmeldungsdatum: 22. August 2008
Beiträge: 53601
Wohnort: Berlin
|
chilidude schrieb: Wenn du die Nachrichten aufmerksam verfolgen würdest, dann wäre dir nciht entgangen dass das BSI davor gewarnt hat, dass M$ plant diese Option gänzlich auszuschalten.
*gähn* Wenn es solche Hardware mal geben sollte, kann man da gerne diskutieren. Bisher ist dies nicht der Fall. Z.B war es unter Windows 7 als letztem Betriebssytstem noch möglich, unsignierte Treiber zu laden. Unter Windows 8 ist das ausgeschlossen.
Was mit Secure-Boot genau gar nichts zu tun hat.
Unter unter zukünftigen Windowssystemen wird auch die Bootkette genau festgelegt sein.
Es gibt in Deutschland keinen Zwang, einen PC mit einem Betriebssystem zu verkaufen. Was "zukünftige Windowssysteme" da tun ist mir herzlich egal.
Mit UEFI gar nicht mehr.
Mit BIOS genauso wenig, da eben nicht der PC selbst betroffen ist...
|
chilidude
Anmeldungsdatum: 18. Februar 2010
Beiträge: 867
|
tomtomtom schrieb: Wenn es solche Hardware mal geben sollte, kann man da gerne diskutieren. Bisher ist dies nicht der Fall.
Dann lässt sich nicht mehr darüber diskutieren. Du wirst das kaufen müssen was man dir anbietet, denn es fehlen die Alternativen. (Das ist schon heute der Fall.) Dein Betriebssystem lebt übrigens zentral von den Alternativen. Das ist die Freiheit die Open-Source ausmacht.
Was mit Secure-Boot genau gar nichts zu tun hat.
Das hat eine ganze Menge damit zu tun, denn die "Sicherheit" muss über den gesamten Bootup gewährleistet sein. Nennt sich "Chain of Trust". Es gibt in Deutschland keinen Zwang, einen PC mit einem Betriebssystem zu verkaufen. Was "zukünftige Windowssysteme" da tun ist mir herzlich egal.
Darauf kommt es nicht an. Es geht vielmehr darum was zwangsweise vor dem Laden eines Betriebssystem geladen, im Speicher gehalten und dauerhaft zur Ausführung gebracht wird ohne dass du noch einen Einfluss darauf hast. Dein Linux wirst du auch weiterhin laden könnnen, keine Sorge.
Mit BIOS genauso wenig, da eben nicht der PC selbst betroffen ist...
Tja, dazu fällt mir jetzt auch nichts mehr ein. Vielleicht schaust du einfach mal nach, wofür das Akronym BIOS überhaupt steht und was es gewährleisten soll. Schönen Tag noch!
|
lionlizard
Anmeldungsdatum: 20. September 2012
Beiträge: 6244
Wohnort: Berlin
|
chilidude schrieb:
chilidude schrieb: tomtomtom schrieb: Der Herr hat einen Bootloader entwickelt, der von Microsoft zertifiziert ist und damit bei Geräten mit SecureBoot genutzt werden kann. SecureBoot ist im übrigen nur bei ARM-Geräten nicht abschaltbar, bei x86-Hardware muss es per Spezifikation abschaltbar sein.
Wenn du die Nachrichten aufmerksam verfolgen würdest, dann wäre dir nciht entgangen dass das BSI davor gewarnt hat, dass M$ plant diese Option gänzlich auszuschalten. (Und das BSI hat auch nur davor gewarnt weil es seine eigenen Einflussmöglichkeiten, es arbeitet auch dem BND zu, damit schwinden sieht und nicht bloss der Nutzerfreundlichkeit wegen.) Z.B war es unter Windows 7 als letztem Betriebssytstem noch möglich, unsignierte Treiber zu laden. Unter Windows 8 ist das ausgeschlossen. Unter unter zukünftigen Windowssystemen wird auch die Bootkette genau festgelegt sein. Es ist ja gerade der Trick unter einem guten Vorwand eine (technische) Revolution zu starten und dann hinterher, bei Marktmacht, mit einfachen Mitteln einen Zwang umzusetzen. Der Grundgedanke von Secureboot war nicht schlecht, dient aber am Ende dazu den Nutzer zu knebeln und Software auszuschliessen, also den Rechner zu verdongeln.
Dann arbeitet Apple vermutlich seit 30 Jahren für die NSA. Denn das Ausschließen von Software, ja sogar von 'fremder' Hardware betreiben die schon fast seit Beginn ihres Bestehens. Und die NSA achtet darauf, dass die Systeme stabil laufen, damit niemand ihre Abhöraktionen mitbekommt - ständige Abstürze und sonderbare Aktivitäten des Rechners, da wird man doch mißtrauisch.
Die technische Umsetzung dazu liegt beiUEFI, welches nach 10 Jahren, auf neuesten Sockel-Mainboards auschliesslich zu haben ist. Alternative Bios-Systeme (OpenBios, Coreboot) sind bei UEFI-Boards nicht mehr umsetzbar
Warum nicht? Du kannst in heutigen Rechnern viel eher als früher einfach dein Basic Input Output System programmieren und damit den Betriebssystemen die standardisierten Softwareschnittstellen für den Zugriff auf die Hardware ermöglichen, und diese dann einfach über das eingebaute Flash-Programm auf das EEprom schreiben. Früher musste man immer erste ein Eprom brennen, und bei manch einem Board war das BIOS Eprom nicht einmal gesockelt, da musste man mit dem Lötkolben ran... Ach, du kannst kein EFI programmieren? Aber BIOS hättest du programmieren gekonnt, wenn Tigger dich nicht angestoßen hätte.
und damit wird ein Gossteil essentieller Software schon von Herstellerseite ausgeliefert ohne das du etwas daran ändern kannst. Darüber hinaus ist das UEFI-Bios permanent lauffähig, also auch nachdem das Betriebbsystem (egal welches) schon gestartet wurde. Dies war bei einem konventienellem Bios nicht der Fall, denn dieses lief ausschliesslich nur im Real-Mode, während moderne Betriebssysteme ausschliesslich im Protectde-Mode laufen und dazu ihre eigenen Treiber zur Ansteuerung der Hardware mitbrachten. Heute werden diese Treiber vom Hersteller der Hardware geliefert - auch für Linux.
Glaubst du wirklich, dass die Betriebssysteme auf den 80286/386 Prozessoren, die den protected Mode benutzt haben, nach umschalten in den selben die BIOS-Funktionen ersetzt haben? Selbst Laufwerks- oder Grafikzugriffe, die am Betriebssystem vorbeigehen - was von Spieleprogrammierern gern genutzt wurde, um die Performance zu steigern und Kopierschutze zu realisieren - kommen ohne BIOS-Funktionen nicht aus. Und überhaupt: Wie ist Linux vor Manipulationen durch NSA & Co geschützt bzw. schützbar?
Mit UEFI gar nicht mehr. Das hängt damit zusammen, dass die Software, die die Flexibilität (also Intelligenz) stellt, bereits vom Hersteller der Hardware kommt und damit umfangreich spioniert werden kann. Es nützt auch nichts den Rechner hinter einer Firewall zu verstecken (oder sogar passiv zum Netz mit Wechselmedien zu betreiben), weil die Treiber eben genügend Komplexität mitbringen um darauf zu reagieren. So kann z.B. jedes Datenwort welches über den Bus marschiert (also alle Speicherzugriffe) getriggert und dann, in Abhängigkeit abgearbeitet werden - völlig unbemerkt vom Betriebssystem und ohne das du überhaupt etwas von dieser Ebene unternehmen kannst. UEFI bildet also den Grundstein vollständiger Kontrolle.
Sowas lässt sich doch viel einfacher in der Hardware realisieren! Seit es den 80386 gibt, existiert ein undokumentierter Prozessorbefehl SPY_A,B , der bei Aufruf die entsprechende Speicherstelle, also z.B. den Tastaturpuffer oder ein Zeichen auf dem Bildschirm ausliest und per Bluetoth - welches von der NSA entwickelt wurde - an die Lauschschnittstelle funkt. Dabei wird eine Funkfrequenz im Frequenzbereich des Polizeifunk verwendet. Wer schon mal eine durchsage vom Sprechgerät eines Polizisten gehört hat, kennt die typischen Störungen, die genau diese Funksignale verursachen, das krachen und knacksen... Nein, gibt es nicht wirklich, das habe ich mir gerade ausgedacht!
Aber das wäre viel einfacher, als manipulierte UEFIs zu benutzen, weil diese ja von hunderten von Firmen programmiert werden können, und die alle unter Kontrolle zu halten, wird wohl etwas schwierig. Wenn man aber einfach ein Agreement mit Intel trifft, eine Hintertür in ihre North- oder Southbridge einzubauen, ist das genau ein Partner - selbst die Raubkopien der Chips aus China würden die Schnittstelle enthalten, weil diese so komplex sind, dass sie einfach 1:1 kopiert werden und nicht etwa aus dem bestehenden Chipdesign neu entwickelt. Also ich habe ja nichts gegen Verschwörungstheorien, und dass die Geheimdienste uns alle überwachen, ist mir schon lange klar - ich habe nicht vergessen, dass die Stasi alle Telefongespräche von der DDR ins Ausland abgehört hat - aber solange wie die Mehrheit der Menschen ihre Täglichen Verrichtungen bloggt oder facebooked - Ich bin jetzt gerade bei unserem Italiener Luigi und esse Scampi mit Knoblauch und ich LIKE IT. Und wenn ihr meinem Geotag folgt, dann können wir uns jetzt treffen braucht kein Mensch UEFI um Leute zu überwachen. Stefan
|
chilidude
Anmeldungsdatum: 18. Februar 2010
Beiträge: 867
|
@lionlizard Wenn du keine Ahnung von dem hast, wovon du redest, dann solltest du besser die Kl...e halten. Ich bin Hardware-Programmierer, schon immer gewesen. Ich entwickle PCI-Geräte und schreibe auch die Treiber dafür. Meine ersten Gehversuche habe ich noch unter DOS gemacht und daher weiss ich sehr genau, wozu das BIOS fähig ist.
Glaubst du wirklich, dass die Betriebssysteme auf den 80286/386 Prozessoren, die den protected Mode benutzt haben, nach umschalten in den selben die BIOS-Funktionen ersetzt haben?
Ich glaube es nicht, ich weiss es.
Selbst Laufwerks- oder Grafikzugriffe, die am Betriebssystem vorbeigehen - was von Spieleprogrammierern gern genutzt wurde, um die Performance zu steigern und Kopierschutze zu realisieren - kommen ohne BIOS-Funktionen nicht aus.
Na dann klärst du mich jetzt mal auf welche das sein sollen, du Schlaumeier.
Nein, gibt es nicht wirklich, das habe ich mir gerade ausgedacht!
Ich habe die komplette Liste aller dokumentierten und vermutlich auch undokumentierten Maschinenbefehle für die 80386 CPU und niedriger. Du hättest mir nichts vormachen können.
Aber das wäre viel einfacher, als manipulierte UEFIs zu benutzen, weil diese ja von hunderten von Firmen programmiert werden können, und die alle unter Kontrolle zu halten, wird wohl etwas schwierig. Wenn man aber einfach ein Agreement mit Intel trifft, eine Hintertür in ihre North- oder Southbridge einzubauen, ist das genau ein Partner - selbst die Raubkopien der Chips aus China würden die Schnittstelle enthalten, weil diese so komplex sind, dass sie einfach 1:1 kopiert werden und nicht etwa aus dem bestehenden Chipdesign neu entwickelt.
Von Chip-Design hast du keine Ahnung. Schon mal geschaut, welche Komponenten auf einem Waver den meisten Platz beanspruchen? Nimm eine Maske eines aktuelle Prozessors mit 2-4Mb Cache (was nicht viel ist) und du wirst feststellen, dass 3/4 der Resourcen des "DIE" durch Ram belegt werden. Es ist also gar nicht möglich so viel Komplexität direkt in einem Chip unterzubringen. Um Platz zu sparen müsste man den Code hart einprogrammieren und dann lässt er sich nicht mehr flexibel ändern. Abgesehen davon lässt sich durch Reverse-Engineering des Chips der Code sofort offenlegen, er ist schliesslich ein Masssenprodukt. Ein Treiber kann lokal geändert werden, im kleinen Kreis, wo es nicht auffällt - das ist ja der Trick!
Also ich habe ja nichts gegen Verschwörungstheorien, und dass die Geheimdienste uns alle überwachen, ist mir schon lange klar - ich habe nicht vergessen, dass die Stasi alle Telefongespräche von der DDR ins Ausland abgehört hat - aber solange wie die Mehrheit der Menschen ihre Täglichen Verrichtungen bloggt oder facebooked - Ich bin jetzt gerade bei unserem Italiener Luigi und esse Scampi mit Knoblauch und ich LIKE IT. Und wenn ihr meinem Geotag folgt, dann können wir uns jetzt treffen braucht kein Mensch UEFI um Leute zu überwachen.
"Niemand ist hoffnungsloser versklavt als der, der fälschlich glaubt frei zu sein." J.W.Goethe Ignoranz ist eine entscheidende Form von Dummheit. Du hast keine Ahnung von der Materie - dann rede auch nicht mit! Spart Zeit. Was du glaubst interessiert mich nicht! Komm' mit Fakten rüber und wir können diskutieren.
|
Antiqua
Anmeldungsdatum: 30. Dezember 2008
Beiträge: 4532
|
@ chilidude lies dir bitte dringend mal Netiquette, also unseren Verhaltenscodex hier im Forum, durch.
|
lionlizard
Anmeldungsdatum: 20. September 2012
Beiträge: 6244
Wohnort: Berlin
|
chilidude schrieb: @lionlizard Wenn du keine Ahnung von dem hast, wovon du redest, dann solltest du besser die Kl...e halten. Ich bin Hardware-Programmierer, schon immer gewesen. Ich entwickle PCI-Geräte und schreibe auch die Treiber dafür. Meine ersten Gehversuche habe ich noch unter DOS gemacht und daher weiss ich sehr genau, wozu das BIOS fähig ist.
Na dann werde ich mal lieber die Klause, Klippe, Klorre, Klunne - na was auch immer halten. Ich bin nur Fahrscheinkontrolleur und habe keine Ahnung.
Glaubst du wirklich, dass die Betriebssysteme auf den 80286/386 Prozessoren, die den protected Mode benutzt haben, nach umschalten in den selben die BIOS-Funktionen ersetzt haben?
Ich glaube es nicht, ich weiss es.
Fein. Selbst Laufwerks- oder Grafikzugriffe, die am Betriebssystem vorbeigehen - was von Spieleprogrammierern gern genutzt wurde, um die Performance zu steigern und Kopierschutze zu realisieren - kommen ohne BIOS-Funktionen nicht aus.
Na dann klärst du mich jetzt mal auf welche das sein sollen, du Schlaumeier.
Du würdest mich ja doch durchschauen, als Hardwareprogrammierer... Nein, gibt es nicht wirklich, das habe ich mir gerade ausgedacht!
Ich habe die komplette Liste aller dokumentierten und vermutlich auch undokumentierten Maschinenbefehle für die 80386 CPU und niedriger. Du hättest mir nichts vormachen können.
Na bestimmt selbst reverse engineered vom selbstgemachten Foto des abgeschliffenen Prozessors, weil bei einer Liste von jemand anderem kann man ja nie wissen, ob da nicht etwas 'vergessen' wurde.
Von Chip-Design hast du keine Ahnung. Schon mal geschaut, welche Komponenten auf einem Waver den meisten Platz beanspruchen? Nimm eine Maske eines aktuelle Prozessors mit 2-4Mb Cache (was nicht viel ist) und du wirst feststellen, dass 3/4 der Resourcen des "DIE" durch Ram belegt werden. Es ist also gar nicht möglich so viel Komplexität direkt in einem Chip unterzubringen. Um Platz zu sparen müsste man den Code hart einprogrammieren und dann lässt er sich nicht mehr flexibel ändern. Abgesehen davon lässt sich durch Reverse-Engineering des Chips der Code sofort offenlegen, er ist schliesslich ein Masssenprodukt. Ein Treiber kann lokal geändert werden, im kleinen Kreis, wo es nicht auffällt - das ist ja der Trick!
Stimmt, ich habe keine Ahnung, ich wüsste nicht einmal, wie viele von den 1400 Millionen Transistoren eines Intel Core i7-4930MX für so eine Schaltung benötigt würden. Aber einem diplomierten Reverse Engineer würde das bestimmt sofort auffallen. "Niemand ist hoffnungsloser versklavt als der, der fälschlich glaubt frei zu sein." J.W.Goethe
"Der Augenschein ist genauso Trügerisch, wie die Sicherheit, in der man sich wiegt." James Thurber
Ignoranz ist eine entscheidende Form von Dummheit. Du hast keine Ahnung von der Materie - dann rede auch nicht mit! Spart Zeit.
Find ich gut. Ich mochte es schon immer, wenn mir jemand sagt, wann ich etwas äußern darf und wann nicht. Macht das Leben leichter, wenn andere sowas für einen entscheiden. Was du glaubst interessiert mich nicht!
Was du glaubst, interessiert mich auch nicht. Allerdings nehme ich mir das Recht, auf eine öffentliche Äußerung von dir öffentlich zu antworten.
Komm' mit Fakten rüber und wir können diskutieren.
"Wenn ich Ihnen das sagen würde, dann müsste ich Sie töten." Johnny English Stefan
|
chilidude
Anmeldungsdatum: 18. Februar 2010
Beiträge: 867
|
Antiqua schrieb: @ chilidude lies dir bitte dringend mal Netiquette, also unseren Verhaltenscodex hier im Forum, durch.
Ja, tut mir leid. @lionlizard Die Nachrichten sind voll davon, wie die grossen Hersteller durch die Geheimdienste in die Pflicht genommen werden. (Man muss sie nur lesen.) Jetzt ganz aktuell, dass Googel, Microsoft und Co dafür bezahlt werden, Schnittstellen für den Lauschangriff einzurichten. Es geht schon lange nicht mehr nur darum den Internetverkehr abzulauschen, denn der ist verschlüsselt und dezentral. UEFI, das als Ziel die Schaffung einer einheitlichen Schnittstelle hat, die unabhängig von Plattform (Betriebssystem) und Architektur arbeitet, ist eine Notwendigkeit für eine effektives, konspiratives Vorgehen im digitalen Zeitalter. Es ist explizit als Abstraktionslayer vorgesehen.
|
Lindiot
Anmeldungsdatum: 22. August 2006
Beiträge: 679
|
Ein Programm das vor dem Betriebssystem läuft, ist, wenn es eigenständig Kontakt nach außen halten kann, im Kern ein Root-Kit.
|