(U)EFI - Fluch oder Segen

  • Hallo Genossen!


    Ich stehe noch voll unter dem Einfluß der SIGINT, die dieses Wochenende in Köln statt fand. Dort habe ich eine Keynote besucht, die mir etwas Angst gemacht hat und indirekt auch mit unserem Hobby zu tun hat.


    Ihr wisst vielleicht, UEFI ist das "neue BIOS". Apple nutzt es schon seit dem Umstieg auf die Intelplattform, immer mehr PCs nutzen es, damit man mit Partitionen >2,2GB arbeiten und von diesen Booten kann.
    Das technische Konzept von UEFI hört sich garnicht schlecht an, so können Treiber und Funktionen im UEFI-Bereich gespeichert werden und damit soll auch der Bootvorgang beschleunigt werden.
    Aber da fangen die Probleme an:
    Wir haben auch schon ein Rootkit für UEFI erstellt. Es wurde einfach ein "kill 7777" unter Linux eingegeben und unser UEFI hat das umgeleitet und dem User ziemlich einfach Root-Rechte gegeben. Das hat auch wirklich funktioniert.


    Man geht also davon aus, dass die PC-Sparte (also das UEFI-Konsortium) in Zukunft nur noch mit SecureBoot arbeitet um uns vor solechen Manipulationen zu "schützen".
    Im Konsortium von UEFI sitzen eigentlich alles grossen Hersteller. Dagegen ist im Moment wohl nur Microsoft, aber auch nur für x86-Plattformen, nicht für ARM und andere.


    SecureBoot arbeitet nur noch mit signierten Anwendungen, wie wir es schon von Konsolen und Smartphones kennen. Den Schlüssel bekommt man vom Hersteller. Natürlich bekommt nicht jeder den Key, sonst könnte man es ja gleich bleiben lassen.


    Für mich hört sich das so an, dass ich bald nur noch kommerzielle Software unter Windows nutzen kann oder ich ein EFI ohne SecureBoot brauche, dann aber auch mit einer neuen Qualität an Schädlingen rechnen muss.
    Was das z.B. für Linux bedeutet, weiss man noch nicht.


    Ich denke, das ist zumindest ein Thema, von dem man gehört haben sollte, bevor die Hersteller da irdentetwas durchsetzen und wir, die User, kaufen eines Tages aus Unwissenheit irgendeinen Schrott!


    Gruss
    Thomas

    -------------------------------------------------------------------------------------------------------------------


    Ich bin immer auf der Suche nach Ersatzteilen und Elekronikrestposten.
    Bitte an mich denken, wenn Ihr über Angebote stolpert!

    • Official Post

    Na, wenn ich das lese, klingelts doch bei mir.
    Mir schwant da eine gewisse Ähnlichkeit zu TCPM, wie es ürspünglich hieß, jetzt ja nur noch TPM.
    Das sollte ja vor etlichen Jahren auch mal für alle neuen Rechner als Pflichtausrüstung kommen, was aber dann zum Glück an heftigen Protesten gescheitert ist.
    Die Intention dahinter war, daß den Nutzern die Kontrolle über die Rechner entzogen werden sollte, die sollte dann zu MS wandern, wo dann entschieden werden sollte, welche Software 'sicher' ist, und ausgeführt werden darf.
    Damals was dieser Gedanke aber offenkundiger, diesmal versucht man wohl, damit hintern Berg zu halten - aus Erfahrung. So wie ich das verstehe läuft es aber diesmal auch wieder darauf hinaus, das MS kontrollieren kann, wer welche Software ausführen darf. In diesem Fall sehe ich aber dazu noch die Möglichkeit heraufziehen, daß auch auf die Hardware zu erweitern. Man könnte auf der Ebene auch kontrollieren, welche Grafikkarten, Controller und sonstwas auf einem bestimmten Rechner eingesetzt werden darf.


    Da droht sich DRM in totaler Vollendung an fürchte ich.


    Christian

    • Official Post

    Hallo Allerseits


    In der Linux-Szene ist das Problem nicht unbekannt, die grossen Distributoren setzen sich intensiv damit auseinander. Es gibt auch ein entsprechendes White Paper von Canonical (Ubuntu) und Red Hat hierzu. Die Lage ist grundsätzlich nicht unkritisch- allerdings wird "Secure Boot" derzeit eher als Option gehandelt denn als Default. Fraglich ist nur, inwieweit Microsoft hier mit seiner Marktmacht Hersteller unter Druck setzt (siehe die Intervention bzgl. Linux auf Netbooks vor einigen Jahren). Besonders im Serverbereich ist Linux eine wichtige Grösse und durchaus Konkurrenz zu Windows (indianisches Wort für: "Bleichgesicht starrt durch Fenster auf Sanduhr").


    Spannend wird es, wie sich Citrix (Xen-basiert und damit Linux) und VMWare (Serverlösungen sind auch Linux-basiert) hier positioniert. Die könnten entweder ihre ganzen Komponenten entsprechend signieren und es dabei belassen oder auf eine generelle Lösung hinarbeiten, die allen Distributionen nützt. Von der Seite ist bisher soweit ich weiss nix gekommen... .


    Ich bin Mi. auf dem Linuxtag in Berlin und frage da mal 'rum, zumindest die grossen Distributionen sind ja vertreten.


    Details zu UEFI stehen auch in der c't, Heft 11/2012, besonders auch zum neuen Partitionsschema, das UEFI huckepack mitbringt.


    Details zu UEFI und Linux stehen hier: http://www.pro-linux.de/news/1…acht-weiter-probleme.html


    Mythen über UEFI vom Red Hat Experten: http://mjg59.dreamwidth.org/10971.html
    (übrigens mit etlichem weiteren Input zum Thema)


    Gruss- Georg B. aus H.

    Denn Feindschaft wird durch Feindschaft nimmermehr gestillt; Versöhnlichkeit schafft Ruh’ – ein Satz, der immer gilt. Man denkt oft nicht daran, sich selbst zurückzuhalten; Wer aber daran denkt, der lässt den Zorn erkalten. Sprüche von Buddha, aus dem ‹Dhammapada›.


    Mein Netz: Acorn | Atari | Milan | Amiga | Apple //e und IIGS | Macintosh | SUN Sparc | NeXT |SGI | IBM RS/6000 | DEC Vaxstation und Decstation| Raspberry Pi | PCs mit OS/2, BeOS, Linux, AROS, Windows, BSD | Stand-alone: Apple //c und III | Commodore 128D | Sinclair QL | Amstrad | PDAs

  • Hier ist übrigens die Mutter aller Seiten, die garnicht mal schlecht ist: http://www.uefi.org/specs


    yalsi: Die Option ist ja ok, aber wie will man sich vor Fluten von Rootkits. Trojanern etc. schützen, wenn die Manipulation so einfach ist OHNE SecureBoot!?


    Ich bin aber schon sehr gespannt, was Du auf dem LinuxTag noch so rausfindest!

    -------------------------------------------------------------------------------------------------------------------


    Ich bin immer auf der Suche nach Ersatzteilen und Elekronikrestposten.
    Bitte an mich denken, wenn Ihr über Angebote stolpert!

  • Ich denke daß das UEFI sich auch eher als Fluch denn als Segen auswirken wird. Das in der Anfang ganz unten an der Hardware. In vielen Bereichen wird ein enormer Aufwand zur Verschlüsselung und Verdongelung betrieben. Damit eingehend eine Umerziehung des Kunden. Apple (ich mag die Hardware) ist da schon recht weit. Siehe System "App-Store". Das in Konsequenz wird wohl auch in OS X einziehen - der App Store existiert bereits. Vielleicht ist es irgentwann soweit daß es nicht mehr optional ist die Software von dort zu kaufen - sondern Pflicht weil keine andere Software mehr auszuführen geht. Ich denke auch Microsoft will in der Windows-Welt langfristig auf dieses Geschäftsmodell - Software als Service, für jedes Gerät neu zu kaufen.


    Viele Grüße
    Andreas

  • Ich habe seit nem halben Jahr eines dieser ollen UEFI-Boards. Bisher sehe ich für mich nur Nachteile und keine Vorteile. Nun ja ich kann Booten jenseits der tollen Grenze, aber wat solls, das hätte man sicherlich auch mit nem Patch für die alte Welt geschafft.
    Maus im Bios benutzten? Hm, das konnte schon mein Compaq-Laptop ende der 90er.
    Mehrsprachiges Bios? Gabs auch schon zu hauf. Brauchen tut das doch sowieso keiner. Macht nur die Fehlersuche im Netz schwerer.
    Booten von alten Controllern? In den meisten Fällen fällt das flach.


    Ganz besorgt bin ich bei dem UEFI in Zusammenhang mit dem Verschlüsseln. Hier sehe ich vor allem den erneuten Versuch das DRM (aka TCPM) so weit wie möglich unten ins System zu bekommen, um so die Software-Piraten zu gängeln. Unterm Strich wirds den ehrlichen Kunden mehr gängeln, als irgendwelche illegalen Geschäftsgebaren.
    Durch Smartfones und Ipads ist der Kunde mittlerweile so Stimmlos in der IT-Heimwelt, dass ich die nächste DRM-Welle ohne Gegenwehr der User sehe.


    Das Bios soll aus meiner sich nur zwei Sachen machen. HW initialisieren und den Bootvorgang von einem Medium anstoßen. Alles andere ist unnötig.

    Suche: Sun Ultra 45 | Dolch PAC 65

    • Official Post


    Ich bin aber schon sehr gespannt, was Du auf dem LinuxTag noch so rausfindest!


    Oops, ich bin ja noch eine Rückmeldung schuldig... hier kommt sie: Die grossen Distributoren waren auf dem LinuxTag nicht vertreten. Red Hat war nur in Form einiger überwiegend deutscher Fedora-Projektmitglieder vertreten, die Ubuntu Usergruppe Berlin war dort, OpenSuse war auch zu sehen. Aber weder Red Hat selbst, Canonical oder Novell haben Flagge gezeigt... soviel zur Bedeutung dieses Events. Für mich war's das letzte Mal, und ich war seit 1999 fast jedes Jahr dabei.


    Die einzigen, die UEFI problematisieren wollen, ist die Free Software Foundation Europe, die wollen im Sommer eine Initiative starten und Presse machen. Darum teile ich echo's Meinung- die Gegenwehr fällt im Moment noch dürftig aus. Eher ist Red Hat mit seiner Initiative erfolgreich, einen zertifizierten Mini-Bootloader vor Grub zu schalten und damit Secure Boot fähig zu werden. Der ganze Kram ist eh' Nonsense- wie sicher das dann sicher zu bootende Windows ist, zeigen ja z.B. die neusten Trojaner-Meldungen :thumbdown:


    Gruss- Georg B. aus H.

    Denn Feindschaft wird durch Feindschaft nimmermehr gestillt; Versöhnlichkeit schafft Ruh’ – ein Satz, der immer gilt. Man denkt oft nicht daran, sich selbst zurückzuhalten; Wer aber daran denkt, der lässt den Zorn erkalten. Sprüche von Buddha, aus dem ‹Dhammapada›.


    Mein Netz: Acorn | Atari | Milan | Amiga | Apple //e und IIGS | Macintosh | SUN Sparc | NeXT |SGI | IBM RS/6000 | DEC Vaxstation und Decstation| Raspberry Pi | PCs mit OS/2, BeOS, Linux, AROS, Windows, BSD | Stand-alone: Apple //c und III | Commodore 128D | Sinclair QL | Amstrad | PDAs

  • RedHat, das sind doch die, die elitär immer ihre eigenen Gesprächsgruppen bilden :P

    Suche: Sun Ultra 45 | Dolch PAC 65

  • Manchmal mischt sich ein CentOS-User darunter - aber wehe er wird entdeckt :D
    Dann iss aber was los

  • Quote from echo

    Durch Smartfones und Ipads ist der Kunde mittlerweile so Stimmlos in der IT-Heimwelt, dass ich die nächste DRM-Welle ohne Gegenwehr der User sehe.


    Quote from yalsi

    die Gegenwehr fällt im Moment noch dürftig aus.


    Darum hab ich den Thread ja hier gestartet und ich hoffe, dass viele Leute das weiter geben und den Schwachsinn dann nicht sofort kaufen.

    -------------------------------------------------------------------------------------------------------------------


    Ich bin immer auf der Suche nach Ersatzteilen und Elekronikrestposten.
    Bitte an mich denken, wenn Ihr über Angebote stolpert!