Sicherheits-Forscher hinken beim BIOS hinterher

Der Stand der Sicherheits-Forschung im Bereich der untersten Systemebenen hinkt den praktischen Fähigkeiten von Angreifern inzwischen ein gutes Stück hinterher. Dabei wäre gerade hier mehr Einsatz gefordert. mehr... Cpu, Ram, Mainboard Bildquelle: thskyt / Flickr Cpu, Ram, Mainboard Cpu, Ram, Mainboard thskyt / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Von den vor Jahren angepriesenen Vorteilen des EFI-Konzepts für den Nutzer ist ohnehin nichts übriggeblieben. Ich habe schon vor Jahren geschrieben, dass es den Herstellern mit der UEFI-Implementation nur darum geht komplette Kontrolle über die Rechner der Kunden zu erlangen und diesen vorschreiben zu können, was sie an Software auf ihrer Hardware nutzen dürfen und was nicht.____

Im Endeffekt wird UEFI nun exakt das Gegenteil von dem bewirken, was dem Nutzer vorgegaukelt wurde. Statt einem Mehr an Sicherheit durch die Verhinderung der Ausführung von Schadcode durch das TPM, benutzen die Malwareautoren das TPM zum Schutz ihres Schadcodes vor den Versuchen des Nutzers diesen zu entfernen.____

Der Nutzer sitzt nun bei einem neuen PC mit UEFI genauso entmündigt da, wie bei SmartPhones und Lifestyle-Tablets schon seit langem und sicher ist nur eines: Das er Schadcode auf seinem System aufgrund seiner niederen Benutzerrechte erst garnicht entdecken kann. Auch das haben die SmartPhones mit der CarrierIQ-Spionagesoftware schon eindrucksvoll gezeigt, bei der sich Hersteller/Provider jahrelang nicht einmal die Mühe gemacht haben sie mit Rootkittechniken zu verstecken, weil es dem entmündigten Benutzer schon so nicht möglich war diese zu entdecken. Das sie letztendlich dann von einem Hacker entdeckt wurde, war halt Pech und heute nutzt solche Spionagesoftware des Herstellers/Providers eben Rootkit-Techniken und ist daher selbst von Hackern nicht mehr so einfach zu finden.____

Ich persönlich werde deshalb nie ein Mainboard kaufen in dem sich das TPM nicht mehr deaktivieren lässt (wie im TPM 2.0 Standard vorgesehen, der bald in allen neuen Mainboards implementiert sein wird). Was die Angreifbarkeit des UEFI durch Malware angeht interessiert mich das Problem nicht, da bei mir ohnehin nur die ältesten meiner Rechner Zugang zu Internet kriegen und ich auf einem Rechner mit Internetzugang niemals auch nur meinen Namen eintippen würde, geschweige denn wichtigen Daten darauf speichern. Insofern ist es uninteressant für mich, ob so ein Rechner von Malware auf Firmware-Ebene infiltriert und somit korrumpiert oder gar die Hardware zerstört wird. Für 20 EUR gibt es für mich bei eBay einen neuen 8-10 Jahre alten Rechner um im Internet zu surfen. Für das Geld gehe ich nicht einmal auf Malwaresuche, wenn ich nicht gerade Lust dazu habe. ;-)
 
@nOOwin: Kaufst du online ein?
 
@Knerd: Ich besitze keine Online-Shopping-Accounts auf meinen Namen oder meine Anschrift. Zum Online-Shopping nutze ich Dienstleister oder eben Freunde und Bekannte, bei denen nichts mehr zu retten ist, weil sie ihre Daten ohnehin schon im Internet breitgetreten haben, bestellen mir etwas mit. Ich habe selber noch nie meinen richtigen Namen (oder den eines Freundes oder Bekannten - Ich verrate nämlich die Daten meiner Freunde und Bekannten nicht an Dritte.) oder meine Anschrift in einen Rechner mit Internetzugang eingetippt.
 
@nOOwin: Ok, dann sind alle deine Verträge die du online geschlossen hast, ja auch Kaufverträge, nicht für dich gültig. Respekt.
 
@Knerd: Das ist der Sinn hinter dieser Strategie. Selbst mein Haus in Deutschland ist über eine Firma gekauft, die meine Identität schützt indem sie als Eigentümer auftritt und alle laufenden Kosten aus einem von mir vor Jahren dort hinterlegten Vermögen zahlt. Der Internetzugang in meinem Haus in Deutschland läuft daher auch nicht über meinen Namen, so dass man auch durch eine Providerauskunft nicht an meine Identität herankommt, sondern eben nur eine Firma mit Hauptsitz im Ausland als Besitzer sieht.
 
@nOOwin: Und was machst du wenn die Firma pleite geht? Und hast du eine/n Perso/Führerschein/Krankenversicherung?
 
@Knerd: Mein Grundstück in Deutschland ist nur mein Zweitwohnsitz. Wenn die Firma pleite gehen sollte, kaufe ich mein Haus über eine andere Firma aus der Konkursmasse zurück. Ich bin zudem seit einigen Jahren kein deutscher Staatsbürger mehr. Personalausweis, deutschen Führerschein, Krankenversicherung und Sozialversicherung habe ich daher nicht mehr.
 
@nOOwin: Ok, und wie schaut es dann mit einem Visum aus? Oder einem Pass eines anderen Staates? Du musst, sobald du dich länger als 3 Monate in DE aufhältst hier anmelden, habe ich selbst mit meiner Freundin (britische Staatsbürgerin) erlebt.
 
@nOOwin:
eigentlich machst du so alles richtig von Anfang an. Denn schon durch die Bekanngabe von Snowden macht eben dieser Aufwand nun gar kein Sinn mehr. Aber mir stellt sich auch die Frage was treibt dich dazu solch einen imensen Aufwand zu betreiben, dass alles so durch zu ziehen wie du das beschreibst.
 
@nOOwin: man kann's auch übertreiben.
Da hat wohl jemand mächtig etwas zu verbergen, mh? (:
 
@Johro: Don't feed the Troll... ;)
 
@Not-Aus: ><((((*>
 
Gerade in einem so kritischen Bereich sollte die Software nur so viel wie nötig und nicht so viel wie möglich bieten. Wer zur Hölle braucht denn einen MP3-Player oder einen Webbrowser im UEFI? Keiner nutzt es, und trotzdem baut man es zusammen mit zig Sicherheitslücken ein. Dasselbe mit WebGl. Schön, dass Browser nun in der Lage sind, 3D-Grafiken und sonstigen Code auszuführen. Dass das Ding aber direkt am Internet und damit direkt an der Gefahrenquelle hängt, interessiert anscheinend niemand.
 
@Jean-Paul Satre: Als UEFI bei uns in der Schule Thema war, war mein erster Gedanke, "Das kann zu viel und wieso zum Geier braucht das eine GUI?"
 
@Jean-Paul Satre: Ich behaupte das Webbrowser weniger Sicherheitslücken haben wie die meisten Virenscanner. Denn die einfachste Möglichkeit Viren zu verbreiten ist der Browser also stecken die Entwickler einen Haufen Energie in dessen Sicherheit. Man sollte sich nur bewusst sein das es keine absolute Sicherheit geben kann.
 
@Eistee: Wenn ich Malware verbreiten wollte, würde ich das auch lieber über Sicherheitslücken im Virenscanner machen. Der läuft wenigstens mit hohen Rechten auf dem System, welche die Malware dann "erben" kann. ;-) Ich benutze wohl seit über 10 Jahren weder einen installierten Virenscanner noch eine Desktopfirewall auf meinen eigenen Rechnern. Von Zeit zu Zeit scanne ich mal mit einer Linux-Live-CD mit mehreren Virenscannern darauf nach Viren. Dabei wurde bisher nie etwas gefunden.
 
@nOOwin: ein (fast) Gleichgesinnter (:
 
Irgendwie wird meine Meinung immer weiter darin gestärkt, dass ich einfach nur froh und glücklich bin, vor 2 Jahren noch einen Desktop (i7-2600K, 8GB RAM, Geforce GTX 550 Ti) mit BIOS bei Dell gekauft zu haben. Mit diesem Rechner werde ich sicherlich noch viele viele Jahre glücklich sein. Es kommt auch heute nur in Ausnahmenfällen bzw. in "erzwungenen" Situationen dazu, dass ich ihn annähernd voll auslaste. Von (U)EFI höre ich aber überwiegend nur Nachteile gegenüber dem guten alten BIOS. Versteht mich nicht falsch, ich bin garantiert nicht fortschrittsfeindlich, aber im Fall von (U)EFI überwiegen (zumindest ist das mein Eindruck) die Nachteile gegenüber dem BIOS gewaltig.
 
@seaman: Naja, ich hab ein Lenovo Yoga mit UEFI und hab keinen Nachteil im Vergleich zum alten BIOS in meinem anderen Laptop.
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen