Guten Tag Gemeinde, ich habe vor einigen Jahren das BIOS von meinem alten Computer schreibgeschützt, in dem ich den BIOS-Chip in einen Sockel gesteckt habe und dann den Writepin (WP) am Sockel abgeschnitten habe. Hat prima funktioniert. Das BIOS ließ sich nicht mehr beschreiben und war somit sicher. Nun hatte ich dass bei meinem neuen Computer auch vor gehabt, und musste feststellen das wenn man den WP unterbricht der Computer nicht mehr startet. Weiß vielleicht jemand warum warum diese Methode anscheinend bei einem UEFI nicht mehr funktioniert? Und was ich tun könnte um mein BIOS "hacksicher" zu machen? Grüße Max
Max schrieb: > wenn man den WP unterbricht der Computer nicht mehr startet. Kann sein, das er dadurch einen zufälligen Pegel hatte, so dass dein BIOS nun verloren ist. CMOS Chips haben hochohmige Eingänge, die muss man auf definierte Pegel (high/low) legen. Es kann aber auch sein, dass die Software blockiert, wenn sie den Chip nicht beschreiben kann.
Max schrieb: > Nun hatte ich dass bei meinem neuen Computer auch vor gehabt, und musste > feststellen das wenn man den WP unterbricht der Computer nicht mehr > startet. Das UEFI schreibt nur Änderungen der Konfiguration in den Flash. Du musst also vor dem Abklemmen dafür sorgen, dass es keine Änderungen mehr zu schreiben gibt. Dann fällt dem UEFI auch nicht auf, dass es den Flash nicht mehr beschreiben kann. > Und was ich tun könnte um mein BIOS "hacksicher" zu machen? Wirklich DU? Wohl nix. Da du ja offensichtlich nicht einmal dazu in der Lage bist, derart einfach Sachverhalte selbst zu ermitteln...
Ob S. schrieb: > Max schrieb: > > Das UEFI schreibt nur Änderungen der Konfiguration in den Flash. Du > musst also vor dem Abklemmen dafür sorgen, dass es keine Änderungen mehr > zu schreiben gibt. Dann fällt dem UEFI auch nicht auf, dass es den Flash > nicht mehr beschreiben kann. Ich hatte das UEFI konfiguriert. Wenn es im Hintergrund nicht irgendwas schreibt, dann war zumindest von meiner Seite aus nicht's mehr zu erledigen. Neustart hatte ich auch durchgeführt. Ob S. schrieb: > Max schrieb: > >> Und was ich tun könnte um mein BIOS "hacksicher" zu machen? > > Wirklich DU? Wohl nix. Da du ja offensichtlich nicht einmal dazu in der > Lage bist, derart einfach Sachverhalte selbst zu ermitteln... Schön das Du einen neuen Nutzer gleich mal zeigst wie erniedrigend es hier zu gehen kann. Ich habe mich soweit es mir möglich war, vorher schon versucht, den Hintergrund des Problems zu finden. Leider erfolglos. Solche Foren, wie hier, sind doch dazu da um Hilfe zu bekommen, sich auszutauschen, oder? Ich bin ja nur ein "normaler PC Benutzer". Wenn ich firm genug wäre, dann hätte ich mich wohl auch nicht an ein Forum wenden müssen. Oder dient so ein Forum einigen nur dazu sich über andere zu stellen und zu diffamieren? Grüße Max
Steve van de Grens schrieb: > Max schrieb: >> wenn man den WP unterbricht der Computer nicht mehr startet. > > Kann sein, das er dadurch einen zufälligen Pegel hatte, so dass dein > BIOS nun verloren ist. > > CMOS Chips haben hochohmige Eingänge, die muss man auf definierte Pegel > (high/low) legen. > > Es kann aber auch sein, dass die Software blockiert, wenn sie den Chip > nicht beschreiben kann. Hallo Steve, danke für Deine Antwort. Ich werde wohl einen neuen Bios-Chip flashen und auf das Mainboard auflöten. Mal sehen ob der Rechner dann wieder funktioniert. Ich hatte nämlich nach dem Update und der Konfiguration einfach den WP durchgeschnitten. Denn mal ehrlich, wenn der Rechner läuft und man die Hardware nicht ändert, dann braucht man im Regelfall auch kein Biosupdate. Hast Du vielleicht einen Tipp wie ich das UEFI "hacksicher" machen kann? Grüße Max
Max schrieb: > Ich bin ja nur ein "normaler PC Benutzer". Dann lass' einfach die Finger von der Hardware, deren Zusammenspiel mit der Software du nicht verstehst.
Ob S. schrieb: > Max schrieb: > >> Ich bin ja nur ein "normaler PC Benutzer". > > Dann lass' einfach die Finger von der Hardware, deren Zusammenspiel mit > der Software du nicht verstehst. Danke für den Versuch mich an meiner Weiterentwicklung zu hindern. Grüße Max
Max schrieb: > einen Tipp Habe ich nicht, aber es koennte sein, dass ME schreiben koennen muss. https://www.heise.de/select/ct/2017/4/1487336443921024 ME-Blockade Linux-Tüftler schalten Intels Management Engine aus Datenschützer kritisieren die sogenannte Management Engine in allen Systemen mit Intel-Prozessoren. Durch Firmware-Modifikationen lässt sie sich bei vielen Rechnern aushebeln.
Heutige Flash ICs werden oft im QSPI Modus betrieben. Der WP Pin ist dann eine Datenleitung....
Dieter D. schrieb: > Max schrieb: >> einen Tipp > > Habe ich nicht, aber es koennte sein, dass ME schreiben koennen muss. > > https://www.heise.de/select/ct/2017/4/1487336443921024 > > ME-Blockade > Linux-Tüftler schalten Intels Management Engine aus > Datenschützer kritisieren die sogenannte Management Engine in allen > Systemen mit Intel-Prozessoren. Durch Firmware-Modifikationen lässt sie > sich bei vielen Rechnern aushebeln. Moin Dieter, danke für Deinen Hinweis. Der Überwachungswahn nimmt ja echt kein Ende. So langsam glaube ich dass man mit einem "neuen" Computer heute in Sachen Datenschutz und Schutz der Privatsphäre nicht mehr auf einen Grünen Zweig kommt. Ich wäre ja fast gewillt mir ein AMD Mainboard und Prozessor zu kaufen, nur um die Sache mit dem BIOS/UEFI und dem WP auszuprobieren. Grüße Max
Max schrieb: > Ich wäre ja fast gewillt mir ein AMD Mainboard und Prozessor zu kaufen, > nur um die Sache mit dem BIOS/UEFI und dem WP auszuprobieren. Wobei mir persönlich die Hardware relativ egal ist, wenn der Datenabfluss in erster Linie per Software passiert.
Andreas M. schrieb: > Heutige Flash ICs werden oft im QSPI Modus betrieben. Der WP Pin ist > dann eine Datenleitung.... Moin Andreas, habe im Datenblatt des Mikrochips gelesen, und QSPI kommt da nicht vor. Dafür (ich vermute) der Vorläufer QPI. Demnach hast Du wohl Recht. Der Pin 3 (SIO2) wird dort auch nicht mehr als WP geführt (siehe Seite 6). https://www.macronix.com/Lists/Datasheet/Attachments/8935/MX25L12872F,%203V,%20128Mb,%20v1.1.pdf Somit ist wohl klar was das Problem im ist. Der Schreibschutzpin wurde "wegrationalisiert" bzw. umbelegt. Also neuen Chip flashen, auflöten und dann war es dass. ....ich glaub ich werde wohl besser Amish. :D Grüße Max
Reinhard S. schrieb: > Max schrieb: >> Ich wäre ja fast gewillt mir ein AMD Mainboard und Prozessor zu kaufen, >> nur um die Sache mit dem BIOS/UEFI und dem WP auszuprobieren. > > Wobei mir persönlich die Hardware relativ egal ist, wenn der > Datenabfluss in erster Linie per Software passiert. Wie meinst Du dass?
Hallo Max, das UEFI-Bios sicher zu machen ist für Dich vermutlich nur ein Aspekt eines Gesamtkonzepts. Wenn Dein UEFI-Bios schon eine Lücke enthält, würdest Du sie gut konservieren. Wie viele Schmerzen bist Du bereit zu ertragen? Du müsstest Dich mit dem Thema coreboot, Openbios, Intel Management Engine und ihrem AMD-Pendant auseinandersetzen. Wieso reserviert sich Microsoft eigentlich eine leere Partition? Nicht alle linuxoiden Betriebssysteme sind gleich sicher.
Max schrieb: > Das BIOS ließ sich nicht mehr beschreiben und war somit sicher. Vorsicht: Das BIOS mag änderungsgeschützt und dennoch unsicher sein. Ein heutiges Bios hat nämlich eine böse Sicherheitslücke. Das von Microsoft ersonnene Abhilfe-Verfahren kann dazu führen, dass der Rechner niemals mehr startet. https://support.microsoft.com/de-de/topic/kb5025885-verwalten-der-windows-start-manager-sperrungen-für-secure-boot-Änderungen-im-zusammenhang-mit-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d Das Problem betrifft nicht nur Windows sondern auch Linux, weil das Nicht-Windows-Zertifikat von Microsoft, das im UEFI-Bios liegt, ebenfalls abläuft. Alles ein ziemliches Durcheinander. Besser zusätzlich zu dem obigen MS-Text die c't Nr. 12/2024 lesen, die gerade am Kiosk liegt. > Und was ich tun könnte um mein BIOS "hacksicher" zu machen? Ein vernünftiges BIOS hat eine Schreibschutzeinstellung. Außerdem lässt es sich nur von einer Software überschreiben, die mit einer Signatur geschützt ist, deren Schlüssel vom Hersteller geheim gehalten wird. Mehr kannst du nicht tun, wenn du den Rechner ans Internet hängen willst.
:
Bearbeitet durch User
Peter M. schrieb: > Hallo Max, > > das UEFI-Bios sicher zu machen ist für Dich vermutlich nur ein Aspekt > eines Gesamtkonzepts. Wenn Dein UEFI-Bios schon eine Lücke enthält, > würdest Du sie gut konservieren. > Wie viele Schmerzen bist Du bereit zu ertragen? > > Du müsstest Dich mit dem Thema coreboot, Openbios, Intel Management > Engine und ihrem AMD-Pendant auseinandersetzen. > Wieso reserviert sich Microsoft eigentlich eine leere Partition? > > Nicht alle linuxoiden Betriebssysteme sind gleich sicher. Guten Abend Peter, danke für Deine Hinweise. Da gibt es ja eine Menge zu lesen und zu lernen. Openbios hatte ich schon mal gehört. Ist mir aber wieder entfallen. Wird bestimmt eine ganze Zeit dauern, bis ich damit durch bin. Wie sicher schätzt Du Ubuntu/Kubuntu ein? Grüße Max
Rolf schrieb: > Max schrieb: >> Das BIOS ließ sich nicht mehr beschreiben und war somit sicher. > > Vorsicht: Das BIOS mag änderungsgeschützt und dennoch unsicher sein. Ein > heutiges Bios hat nämlich eine böse Sicherheitslücke. Das von Microsoft > ersonnene Abhilfe-Verfahren kann dazu führen, dass der Rechner niemals > mehr startet. > https://support.microsoft.com/de-de/topic/kb5025885-verwalten-der-windows-start-manager-sperrungen-für-secure-boot-Änderungen-im-zusammenhang-mit-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d > > Das Problem betrifft nicht nur Windows sondern auch Linux, weil das > Nicht-Windows-Zertifikat von Microsoft, das im UEFI-Bios liegt, > ebenfalls abläuft. > > Alles ein ziemliches Durcheinander. Besser zusätzlich zu dem obigen > MS-Text die c't Nr. 12/2024 lesen, die gerade am Kiosk liegt. > >> Und was ich tun könnte um mein BIOS "hacksicher" zu machen? > > Ein vernünftiges BIOS hat eine Schreibschutzeinstellung. Außerdem lässt > es sich nur von einer Software überschreiben, die mit einer Signatur > geschützt ist, deren Schlüssel vom Hersteller geheim gehalten wird. Mehr > kannst du nicht tun, wenn du den Rechner ans Internet hängen willst. C't Nr. 12/2024... Mal sehen ob ich die Morgen noch bekommen kann. Schreibschutzeinstellung: Du meinst sicher Secureboot. Da ich unter Anderem Kubuntu benutze, ist es anscheinend nicht verfügbar. Das ganz Thema ist echt eine vertrackte Sache. Auf der einen Seite werden Datenschutzgesetze erlassen. Und auf der anderen Seite mindestens denen, die diese erlassen Tür und Tor geöffnet. Blöde neue Welt. Grüße Max
Max schrieb: > Hast Du vielleicht einen Tipp wie ich das UEFI "hacksicher" machen kann? Ich kenne die Eigenheiten deines Mainboardes nicht, und der Hersteller wird sie wohl kaum verraten. Also wenn da nichts in der Anleitung des Boardes steht, dann ist das nicht vorgesehen, und damit solltest du dich abfinden. Ein Schreibschutz Jumper habe ich das letzte mal vor etwa 25 Jahren gesehen.
Hallo Max, Max schrieb: > Guten Abend Peter, > danke für Deine Hinweise. > Da gibt es ja eine Menge zu lesen und zu lernen. > Openbios hatte ich schon mal gehört. Ist mir aber wieder entfallen. > Wird bestimmt eine ganze Zeit dauern, bis ich damit durch bin. > > Wie sicher schätzt Du Ubuntu/Kubuntu ein? Keine Ahnung! Mein Gehirn v1.0 hat aber gespeichert, dass der Geldgeber von Ubuntu, Marc Shuttleworth oder so ähnlich irgendso eine Reporting-Nach-Hause-Telefonieren hat einbauen lassen. Aber die abstrakte Frage nach "Sicherheit" kann man eigentlich nur mit der von Buchautor Douglas Adams bekannten Zahl "42" kommentieren. Weiter oben schreibst Du etwas von: "Datenschutz und Schutz der Privatsphäre" Aber das ist auch noch viel zu unspezifisch. Du musst schon konkret sagen, was genau Du wovor schützen willst, ansonsten gibt es hier nur Metablublaberei. Und da Dein Bios-Thema nur ein Bruchteil des Thema "Sicherheit" ausmacht, darfst Du Dich nicht wundern, dass Dir die Leute durch's Fenster im Ergeschosss einsteigen, während Du stolz wie Oskar die Kellerfenster abgesichert hast.
Max schrieb: > Der Überwachungswahn nimmt ja echt kein Ende. Das ist paranoid. > So langsam glaube ich dass man mit einem "neuen" Computer heute in > Sachen Datenschutz und Schutz der Privatsphäre nicht mehr auf einen > Grünen Zweig kommt. Du must den Herstellern deiner Geräte und Programme vertrauen, sowie den Dienstleistern, mit denen du zu tun hast. Das war schon immer so. Wenn du ihnen nicht vertrauen kannst, dann lass es halt. Rum meckern bringt nichts. Max schrieb: > Wie sicher schätzt Du Ubuntu/Kubuntu ein? Mir ist von denen kein Datenschutz-Gau bekannt, darum vertraue ich der Firma Canonical. Noch mehr vertraue ich Debian, weil diese Distribution aus Deutschland kommt (kein "America first").
:
Bearbeitet durch User
Ihr wisst schon, dass das wesentliche Problem SecureBoot ist? Schaltest SecureBoot ab/aus, dann sind die Probleme in Beitrag "Re: UEFI schreibschützen" schlagartig nicht mehr so kritisch. Mein wesentliches Problem mit dem Microsoft-Produkten ist, dass es nach hause telefoniert (Telemetriedaten, die aber nicht offengelegt werden). Ansonsten muss ich natuerlich MS und Mozzilla vertrauen dass meine Daten nicht ausgeleitet werden. Ich schaetze das BIOS-Problem fuer ein sehr geringes Risiko (vollen Bauch Risikoabschaetzung) verglichen mit Einsatz von Google- oder Apple-Produkten. Ubuntu hatte (vor ca. 10 Jahren) auch angefangen, Telemetriedaten sogar an "interested Parties" zu verschicken. Dauert nur einen Release. Fuer Server et al. bevorzuge ich Debian.
:
Bearbeitet durch User
Zumindest in Verbindung mit einem Notebook gibt es einen Hersteller, der eine Alternative anbietet: https://novacustom.com/de/coreboot-laptop/ Es gibt auch eine Kampagne für ein freies BIOS: https://www.fsf.org/campaigns/free-bios.htmlhttps://coreboot.org/status/board-status.html Dort wird auch auf coreboot verwiesen. Du kannst ja mal schauen, ob Dein Board dort gelistet ist: https://coreboot.org/status/board-status.html
Max schrieb: > C't Nr. 12/2024... > Mal sehen ob ich die Morgen noch bekommen kann. https://novafile.org/file/03rkzsewflhj
Max schrieb: > Schreibschutzeinstellung: > Du meinst sicher Secureboot. Nein. Secureboot funktioniert so: Beim Einschalten des Rechners sucht das UEFI-Bios auf dem Datenträger nach einem Bootlader. Wenn einer gefunden wird, prüft das Bios, ob es für diesen Bootlader ein gültiges Zertifikat besitzt. Wenn nicht, dann bootet der Rechner einfach nicht, denn dann könnte der Bootlader böswilligen Code enthalten, der schon vor dem Start des BS ausgeführt wird und deshalb vom BS, von Virenscannern usw. nicht erkannt werden kann. Die Zertifikate sind im Bios gespeichert. Um ein Zertifikat zu ergänzen oder ungültig zu machen, braucht man also Schreibzugriff.
Thomas W. schrieb: > Ihr wisst schon, dass das wesentliche Problem SecureBoot ist? Schaltest > SecureBoot ab/aus, dann sind die Probleme in > Beitrag "Re: UEFI schreibschützen" schlagartig nicht > mehr so kritisch. Richtig, wenn man SecureBoot abschaltet, startet der Rechner immer problemlos. Das ist wie "Der Schlüssel unter der Matte", damit verhinderst du, dass du dich versehentlich aussperrst – mehr nicht. Es ermöglicht aber, dass ein böser Mensch den Schlüssel nimmt, ihn kopiert und später wann immer er Lust hat, ungesehen rein und raus gehen kann. Genau das ist die Sicherheitslücke, die Microsoft schließen will. > Mein wesentliches Problem mit dem Microsoft-Produkten ist, dass es nach > hause telefoniert (Telemetriedaten, die aber nicht offengelegt werden). Wenn jemand dir einen anderen Bootlader unterjubelt, dann will der Bankdaten erbeuten, deine Identität fälschen, persönliche Daten zwecks Missbrauch lesen, deine Daten löschen und noch so Einiges. Wenn der z. B. ausspioniert, welche Webseiten du besuchst, dann zum Beispiel, weil er nach www.aids-beratung.de oder www.scheidungsanwalt.de sucht, womit er dich erpressen/verunglimpfen kann. DAS alles wird Microsoft sicher nicht tun wollen.
Steve van de Grens schrieb: > Noch mehr vertraue ich Debian, weil diese Distribution > aus Deutschland kommt (kein "America first"). Nein kommt sie nicht. Wie kommst Du darauf? Ian ist zwar in Deutschland geboren, war zur Zeit von Debian aber schon lange in den USA. Es gibt nicht "den Ort" wo Debian her kommt. Es ist ein weltweites Projekt.
Max schrieb: > Ich wäre ja fast gewillt mir ein AMD Mainboard und Prozessor zu kaufen, > nur um die Sache mit dem BIOS/UEFI und dem WP auszuprobieren. Ich glaube kaum, dass die Intel ME da viel mit dem Problem zu tun hat. Der Vollständigkeit Haber sei aber gesagt: Intel -> ME AMD -> PSP ARM -> TrustZone RISC-V -> MultiZone Ja, der scheiss ist überall.
Max schrieb: > und dann den Writepin (WP) am Sockel abgeschnitten habe. Dann hast Du wohl riesen Glück gehabt und der Flash Chip hat intern einen Pullup an WP.
Hallo Daniel A., Daniel A. schrieb: > Intel -> ME > AMD -> PSP > ARM -> TrustZone > RISC-V -> MultiZone > > Ja, der scheiss ist überall. danke für den Hinweis auch auf ARM und RISC-V-Plattformen! Beim Abschnorcheln gilt das Motto "Wer zuerst kommt, saugt zuerst!", bzw. wer zuerst kommt, kann eventuell von den später startenden nicht gefunden werden.
Max schrieb: >> Wobei mir persönlich die Hardware relativ egal ist, wenn der >> Datenabfluss in erster Linie per Software passiert. > > Wie meinst Du dass? Was nutzt dir ein schreibgeschütztes UEFI, wenn das OS, der Browser, andere Programme und der Nutzer fleißig Daten sammeln und verschicken?
:
Bearbeitet durch User
Max schrieb: > Schön das Du einen neuen Nutzer gleich mal zeigst wie erniedrigend es > hier zu gehen kann. nichteinmal ignorieren - solch eine Forenzickenhorde gibts in jedem Forum. Sind harmlos und sind leicht mit einem Wackeldackel zu erschrecken. setze die auf "ignore" und gut ist ;)
Max schrieb: > Steve van de Grens schrieb: >> Max schrieb: >>> wenn man den WP unterbricht der Computer nicht mehr startet. >> >> Kann sein, das er dadurch einen zufälligen Pegel hatte, so dass dein >> BIOS nun verloren ist. >> >> CMOS Chips haben hochohmige Eingänge, die muss man auf definierte Pegel >> (high/low) legen. >> >> Es kann aber auch sein, dass die Software blockiert, wenn sie den Chip >> nicht beschreiben kann. > > Hallo Steve, > danke für Deine Antwort. > > Ich werde wohl einen neuen Bios-Chip flashen und auf das Mainboard > auflöten. > Mal sehen ob der Rechner dann wieder funktioniert. > Ich hatte nämlich nach dem Update und der Konfiguration einfach den WP > durchgeschnitten. > Denn mal ehrlich, wenn der Rechner läuft und man die Hardware nicht > ändert, dann braucht man im Regelfall auch kein Biosupdate. > > Hast Du vielleicht einen Tipp wie ich das UEFI "hacksicher" machen kann? > > Grüße > Max Moin Steve, nun habe ich einen neuen Bios-chip geflshed und auf das Mainboard gelötet. Einschalten lässt es sich nicht mehr. Da ist wohl auf der Platine etwas durchgeschmort. Keine Ahnung wie es jetzt weitergehen soll. Vermutlich fehlen mir die Technischen Mittel um herauszufinden was damit los ist. Dann ist das Mainboard wohl für mich verloren. Gruß Max
Rolf schrieb: > Max schrieb: >> Das BIOS ließ sich nicht mehr beschreiben und war somit sicher. > > Vorsicht: Das BIOS mag änderungsgeschützt und dennoch unsicher sein. Ein > heutiges Bios hat nämlich eine böse Sicherheitslücke. Das von Microsoft > ersonnene Abhilfe-Verfahren kann dazu führen, dass der Rechner niemals > mehr startet. > https://support.microsoft.com/de-de/topic/kb5025885-verwalten-der-windows-start-manager-sperrungen-für-secure-boot-Änderungen-im-zusammenhang-mit-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d > > Das Problem betrifft nicht nur Windows sondern auch Linux, weil das > Nicht-Windows-Zertifikat von Microsoft, das im UEFI-Bios liegt, > ebenfalls abläuft. Moin Rolf, letztlich ist es geplante Obsolescence. Muttererde wird sich über so ein nachhaltiges Geschäftsgebaren bestimmt sehr freuen. Für mich sind die alle Verbrecher. Grüße Max
Steve van de Grens schrieb: > Max schrieb: >> Hast Du vielleicht einen Tipp wie ich das UEFI "hacksicher" machen kann? > > Ich kenne die Eigenheiten deines Mainboardes nicht, und der Hersteller > wird sie wohl kaum verraten. Also wenn da nichts in der Anleitung des > Boardes steht, dann ist das nicht vorgesehen, und damit solltest du dich > abfinden. > > Ein Schreibschutz Jumper habe ich das letzte mal vor etwa 25 Jahren > gesehen. Wenn man an der Sicherheit der Kunden wirklich interessiert wäre, dann würde man auf jeden Fall eine "mechanische "Schreibschutzsicherung" einbauen. Irgendwie wird das Thema Datensicherheit immer absurder. Frage mich wie lange es noch dauert bis bis die komplett hirnlosen Menschen sich freiwillig einen Chip ins Gehirn pflanzen lassen. Grüße Max
Steve van de Grens schrieb: > Max schrieb: >> Der Überwachungswahn nimmt ja echt kein Ende. > > Das ist paranoid. > Nein, daß ist realistisch gedacht. Ich denke dass dass es klar ist, daß alle Hersteller letztendlich für sich selber und sogenannte Regierungen spionieren. Letztlich geht es ja immer nur um -Geld - Macht - Kontrolle. Grüße Max
Thomas W. schrieb: > Ihr wisst schon, dass das wesentliche Problem SecureBoot ist? Schaltest > SecureBoot ab/aus, dann sind die Probleme in > Beitrag "Re: UEFI schreibschützen" schlagartig nicht > mehr so kritisch. > > Mein wesentliches Problem mit dem Microsoft-Produkten ist, dass es nach > hause telefoniert (Telemetriedaten, die aber nicht offengelegt werden). > Ansonsten muss ich natuerlich MS und Mozzilla vertrauen dass meine Daten > nicht ausgeleitet werden. Ich schaetze das BIOS-Problem fuer ein sehr > geringes Risiko (vollen Bauch Risikoabschaetzung) verglichen mit Einsatz > von Google- oder Apple-Produkten. Gegen die Hersteller und ihre Lakaien kann man sich letztendlich, wahrscheinlich sowieso nicht 100%ig zur Wehr setzen. Letztlich läuft es sowie nur auf Schadensbegrenzung hinaus. Wie Du halt schreibst ....Mozilla und Co., andere Programme, Tools. Irgendeine Lücke gibt es wahrscheinlich immer. Was mich aber wirklich stört ist, daß es Privatpersonen sind die in die Privatsphäre von Menschen eindringen. Jemand der sowas macht ist von meiner Seite aus gesehen einfach nur sch.iße und hat damit, dadurch sein Anrecht auf Privatsphäre verloren. Wer andere "hacked" darf auch gehackt werden. Grüße Max
Dieter D. schrieb: > Zumindest in Verbindung mit einem Notebook gibt es einen Hersteller, der > eine Alternative anbietet: > https://novacustom.com/de/coreboot-laptop/ > > Es gibt auch eine Kampagne für ein freies BIOS: > https://www.fsf.org/campaigns/free-bios.htmlhttps://coreboot.org/status/board-status.html > Dort wird auch auf coreboot verwiesen. > > Du kannst ja mal schauen, ob Dein Board dort gelistet ist: > https://coreboot.org/status/board-status.html Moin Dieter, ich habe mich da jetzt durchgeklickt, und ich muss sagen, daß die Mainboard und Laptops, Notebooks, alle echt sehr alt sind. Wenn ich einen maximalen Schnitt machen müsste, dann würde ich sagen, daß die Liste bei ca. 2015 aufhört. Mein Board ist dort leider nicht gelistet. Nun ist es ja anscheinend auch kaputt. Da ich aber die restlichen Komponenten nicht verkaufen oder in die Tonne hauen will, habe ich mir das selbe Board noch mal gekauft. Mal abwarten ob alle anderen Teile (CPU, Speicher usw.) noch heile sind. https://www.fsf.org/campaigns/free-bios.html Die dort angegebenen Geräte sind in erster Linie Laptops. Und wenn ich dass richtig verstanden habe, dann muss man da auch wieder dran rumlöten. Kostet dann auch wieder Geld (Gerät kaufen) und ob ich da momentan Lust und Zeit für habe weiß ich auch noch nicht. Schlimm, dass es immer kompliziert werden muss. Die Hersteller von "Computern" sind wirklich nicht unsere Freunde. Gruß Max
:
Bearbeitet durch User
Beitrag #7672500 wurde vom Autor gelöscht.
Sim schrieb: > Max schrieb: >> Schön das Du einen neuen Nutzer gleich mal zeigst wie erniedrigend es >> hier zu gehen kann. > > nichteinmal ignorieren - solch eine Forenzickenhorde gibts in jedem > Forum. Sind harmlos und sind leicht mit einem Wackeldackel zu > erschrecken. > > setze die auf "ignore" und gut ist ;) Habe ihn einfach beim Admin gemeldet. Beleidigen lasse ich mich ja nun nicht. Grüße Max
Andreas M. schrieb: > Heutige Flash ICs werden oft im QSPI Modus betrieben. Der WP Pin ist > dann eine Datenleitung.... Moin Andreas, damit hattest Du wohl recht. Ich habe hier noch ein anderes, älteres Mainboard. - Asus P8H61-MX USB 3.0 . Der Bioschip ist ein - Winboand 25Q64FVAIG. Im Datenbaltt steht wieder etwas von QPI. Der Chip selber ist auf einem Stecksockel moniert. Ich vermute mal das anhand des Übertragungsprotokolls (QPI) der WP auch wieder Datenleitung ist, und den WP totlegen daher auch nicht funktioniert. Zumal es wieder mal ein UEFI ist. Kann mir bitte jemand sagen ob dass so richtig ist? Grüße Max
Max schrieb: > Der Chip selber ist auf einem Stecksockel moniert. Perfekte Chance zur Paranoia-Kontrolle: Lass den Schreibschutz weg, zieh den Chip raus, mach ein Image, pack ihn wieder rein, installier Windows, installier Windows-Updates usw., benutz den Rechner eine Weile "ganz normal", dann zieh ein neues Image vom Chip, und vergleiche. Solange du im Test-Zeitraum kein Bios-Update gefahren hast oder groß an den Einstellungen gedreht hast, sollten die Änderungen sehr übersichtlich sein... Die Spionage-Software-Entwickler sind ja nicht blöde... Warum sollte man die mühsam gesammelten privaten Daten vom Anwender im Bios-Flash-Chip speichern, wo gerade mal ein paar Megabyte reinpassen, oder im TPM Chip, wo nach ein paar Kilobyte schon Schluss ist... Der Rechner hat ja auch noch eine Festplatte/SSD auf der man Gigabyteweise Daten unterbringen kann, ohne das es groß auffällt.
Max schrieb: > Schlimm, dass es immer kompliziert werden muss. Wegen UEFI SecureBoot und TP-Chip gab es kaum Infos. Hacken könnte eventuell mit dem § 202a StGB einen Konflikt verursachen. > Die Hersteller von "Computern" sind wirklich nicht unsere Freunde. Die Hersteller wollen alle nur unser Bestes. Sie wollen nur unser Geld. Ein Hersteller muss Umsatz machen und Geld verdienen, wie jeder Hersteller.
Εrnst B. schrieb: > Perfekte Chance zur Paranoia-Kontrolle: Nachdem ich schon mal einen Rechner mit einem BIOS-Virus hatte, ist das schon gut, wenn der Chip ausgetauscht werden kann. Gerade in Bereichen, die für die IT-Sicherheit zuständig sind, wie z.B. ein Bundesamt für Cyber- und Informationssicherheit würde ich erwarten, dass da solche Mainboards verbaut sind und auch genügend BIOS-Ersatzchips, sowie Flashgeräte vorhanden sind.
Εrnst B. schrieb: > Max schrieb: >> Der Chip selber ist auf einem Stecksockel moniert. > > Perfekte Chance zur Paranoia-Kontrolle: > > Lass den Schreibschutz weg, zieh den Chip raus, mach ein Image, pack ihn > wieder rein, installier Windows, installier Windows-Updates usw., benutz > den Rechner eine Weile "ganz normal", dann zieh ein neues Image vom > Chip, und vergleiche. > Was meinst Du mit "lass den Schreibschutz weg"? Also alles original so lassen wie es ist? > Solange du im Test-Zeitraum kein Bios-Update gefahren hast oder groß an > den Einstellungen gedreht hast, sollten die Änderungen sehr > übersichtlich sein... Moin Ernst, wenn ich ein Bios auslese, dann bekomme ich ja nur "kryptische" Zahlen-Buchstabenkombinationen angezeigt. Wirklich etwas lesen kann ich da ja nicht, weiß also auch nicht was es ist, zu bedeuten hat. Gibt es die Möglichkeit das Angezeigte in etwas lesbares zu wandeln? Grüße Max
Dieter D. schrieb: > Max schrieb: >> Schlimm, dass es immer kompliziert werden muss. > > Wegen UEFI SecureBoot und TP-Chip gab es kaum Infos. > Hacken könnte eventuell mit dem § 202a StGB einen Konflikt verursachen. > Die Strafe/n halte ich für sehr lasch, bedenkt man das man ja auch an Menschen geraten könnte die ein Unternehmen führen, Geheimnisträger sind oder vielleicht "Erfinder". Meiner Meinung nach sollte mit in die Bestrafung ein langes Verbot zur Nutzung von Geräten/Endgeräten und/oder Programmen/Tools ausgesprochen werden, mit denen man andere "anhacken" kann. >> Die Hersteller von "Computern" sind wirklich nicht unsere Freunde. > > Die Hersteller wollen alle nur unser Bestes. > Sie wollen nur unser Geld. > Aber meinst Du dass es nötig ist Daten von Kunden abzusaugen um das Geschäft am Leben zu halten? Wenn man so was machen muss, dann kann der Laden ja wohl nicht wirtschaftlich korrekt geführt worden sein. Das Problem bei denen ist ja dass sie der Meinung sind, dass wenn sie im Vorjahr einen Gewinn von 3 Milliarden gemacht haben und nun "nur noch" einen Gewinn von 2 Milliarden haben, es ein Minus ist. Auf so einen bekloppten Gedankengang muss man erst mal kommen. Ein Plus ist ein Plus und kein Minus. Gruß Max
Max schrieb: > Ich vermute mal das anhand des Übertragungsprotokolls (QPI) der WP auch > wieder Datenleitung ist, und den WP totlegen daher auch nicht > funktioniert. Zumal es wieder mal ein UEFI ist. > > Kann mir bitte jemand sagen ob dass so richtig ist? So pauschal kann man das nicht sagen. Die Dual/Quad SPI Modi gibt es bei Flashes schon sehr lange. Die müssen vom Master jedoch zunächst erst aktiviert werden. Erst dann werden der WP und HOLD Pin zu Datenleitungen und MISO/MOSI zu Bidirektionalen Signalen. Solange das nicht aktiviert wurde, verhält sich der Flash wie gehabt. Das kann also je nach Mainboard/CPU/Chipsatz anders sein. Eventuell noch interessant ist, die Einstellung SPI/Dual-SPI/Quad-SPI in den Flashes auch gerne permanent gespeichert wird. D.h. der Baustein merkt sich die letzte Einstellung und startet dann damit.
Dieter D. schrieb: > Εrnst B. schrieb: >> Perfekte Chance zur Paranoia-Kontrolle: > > Nachdem ich schon mal einen Rechner mit einem BIOS-Virus hatte, ist das > schon gut, wenn der Chip ausgetauscht werden kann. > > Gerade in Bereichen, die für die IT-Sicherheit zuständig sind, wie z.B. > ein Bundesamt für Cyber- und Informationssicherheit würde ich erwarten, > dass da solche Mainboards verbaut sind und auch genügend > BIOS-Ersatzchips, sowie Flashgeräte vorhanden sind. Ich hatte mal zwei Chips die ich neu geflashed hatte, also auch "erased" habe. Nur war es so dass der Chip anscheinend nicht komplett gelöscht worden ist. Hat mich gewundert, hatte ich doch einen Programmer benutzt. Anscheinend gibt es auch Möglichkeiten einen Chip so zu manipulieren, daß dieser nicht richtig, vollständig gelöscht werden kann. Weiß da jemand was drüber? Grüße Max
Max schrieb: > Wenn man so was machen muss, dann kann der Laden ja wohl nicht > wirtschaftlich korrekt geführt worden sein. und > Ein Plus ist ein Plus und kein Minus. Schau mal, nach welchen Kriterien Aktionäre und Rating-Agenturen den Wert ihrer Unternehmen bewerten. Die sehen das leider anders.
:
Bearbeitet durch User
wer wirklich (hack)sicher sein will, nutzt keinen Computer, kein Handy und kein Internet. Und all die anderen dazu tauglichen Geräte werden auch schon mal garnicht miteinander vernetzt. Und wenn man halt doch modern unterwegs sein will, kann man eben nur Systeme von Anbietern seines geringsten Misstrauens nutzen. Das wird sich noch zeigen, wie altbacken ich drauf bin, wenn mein Haus smartfrei funktioniert.
Max schrieb: > Aber meinst Du dass es nötig ist Daten von Kunden abzusaugen um das > Geschäft am Leben zu halten? Das liegt auch am Code of Conduct. Wie sonst kann man so etwas herausfinden und demjenigen dann die Nutzung entziehen? Das ist dann wie die Sperrung aller Konten von bestimmten Personen durch die Banken, EMail-Provider, usw. und dann kann dieser sich nicht mal mehr beschweren sobald alles digitalisiert ist.
Dieter D. schrieb: > Max schrieb: >> Aber meinst Du dass es nötig ist Daten von Kunden abzusaugen um das >> Geschäft am Leben zu halten? > > Das liegt auch am Code of Conduct. Wie sonst kann man so etwas > herausfinden und demjenigen dann die Nutzung entziehen? > Das ist dann wie die Sperrung aller Konten von bestimmten Personen durch > die Banken, EMail-Provider, usw. und dann kann dieser sich nicht mal > mehr beschweren sobald alles digitalisiert ist. So ein System ist Menschen und lebenverachtend. Kann grundsätzlich also nur satanisch sein. Sollte die Nummer so weiterlaufen wird der Mensch bald nichts mehr sein, was man als Mensch eigentlich sein will. Angefangen mit dem frei sein. Grüße Max
Steve van de Grens schrieb: > Max schrieb: >> Wenn man so was machen muss, dann kann der Laden ja wohl nicht >> wirtschaftlich korrekt geführt worden sein. > und >> Ein Plus ist ein Plus und kein Minus. > > Schau mal, nach welchen Kriterien Aktionäre und Rating-Agenturen den > Wert ihrer Unternehmen bewerten. Die sehen das leider anders. Die sind ja auch bescheuert. Denken sich irgendwelche Werte aus, die es gar nicht gibt. Ich frage mich wie die dass eigentlich machen. Würfeln? :-) Börsen, Aktienhandel gehört verboten. Es ist ein Spiel mit denen, die echte Werte schaffen. Meist Du eigene Hände arbeit. Letztlich auch nur eine Wette; also für die, die keine Supercomputer zur Hand haben. Grüße Max
Max schrieb: > Das BIOS ließ sich nicht mehr beschreiben und war somit sicher. Dem Biosraub ein Ende, dem versehentlich sinnlosem Update auch. Respekt zur Beschneidung der Umbeschreibung / falls Du nicht Rabbi Jakob oder Papst Salomon oder irgendeiner seiner orthodoxen himmlischen Verwandschaft, hast also die freie Wahl, auch gegen Mainstreampopulisten Taeglich Selbsthirnwasch vergnuegt bis der Arsch im Grabe liegt... Respekt f. DIY ein Dackel /////// P.S. Nachtragsfrage Obs gegen Observation von BigData Gutwichte wie Google, MS, Apple und Konsorten hilft sei dahingestellt / ist vlt. OT aber weitere Meinungen 100 pro OK
:
Bearbeitet durch User
●DesIntegrator ●. schrieb: > wer wirklich (hack)sicher sein will, nutzt keinen Computer, > kein Handy und kein Internet. Und DU willst nicht hacksicher sein dann Achtung mein grosser Bruder, der Fleischwolf hat Dich gleich am Arsch, nicht als Beleidigung sondern im Grab liegend. Du schreibst leider schneller als Du denkst und irgendwann tuts Dir weh trotz Vorwarnung... Als Dackel weiss ich das.
:
Bearbeitet durch User
Fiffidackel schrieb: > ●DesIntegrator ●. schrieb: >> wer wirklich (hack)sicher sein will, nutzt keinen Computer, >> kein Handy und kein Internet. > > Und DU willst nicht hacksicher sein dann Achtung mein grosser > Bruder, der Fleischwolf hat Dich gleich am Arsch, nicht als Beleidigung > sondern im Grab liegend. Du schreibst leider schneller als Du denkst und > irgendwann tuts Dir weh trotz Vorwarnung... > > > Als Dackel weiss ich das. Und für dieses Stuss musste es sich extra anmelden...
Fiffidackel schrieb: > orthodoxen himmlischen Verwandschaft ... gegen Mainstreampopulisten > der Fleischwolf hat Dich gleich am Arsch Hast du dich ernsthaft für diese Scheiß-Beiträge hier angemeldet? Kann man noch tiefer sinken?
:
Bearbeitet durch User
Fiffidackel schrieb: > Max schrieb: >> Das BIOS ließ sich nicht mehr beschreiben und war somit sicher. > > Dem Biosraub ein Ende, dem versehentlich sinnlosem Update auch. > > Respekt zur Beschneidung der Umbeschreibung / falls Du nicht Rabbi Jakob > oder Papst Salomon oder irgendeiner seiner orthodoxen himmlischen > Verwandschaft, hast also die freie Wahl, auch gegen Mainstreampopulisten > > Taeglich Selbsthirnwasch vergnuegt > bis der Arsch im Grabe liegt... > > Respekt f. DIY > > ein Dackel > > /////// > > P.S. Nachtragsfrage > > Obs gegen Observation von BigData Gutwichte wie Google, MS, Apple und > Konsorten hilft sei dahingestellt / ist vlt. OT aber weitere Meinungen > 100 pro OK Kann dem Buchstabensalat nur halbwegs folgen. Aber mal am Rande erwähnt... Ein Rabbi bin ich bestimmt nicht und und auch kein Papst, denn mit sata.ismus habe ich grundsätzlich nix am Hut. Grüße Max
:
Bearbeitet durch User
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.