Ich möchte gerne vermeiden, dass das Betriebssystem auf den BIOS Zugriff hat, um im Falle von Malware sicherzugehen, dass eine Neuinstallation des Betriebssystems auch wirklich einen „sauberen“ Rechner liefert. Wo kann ich solche Einstellungen vornehmen?
Bei alten Rechnern gab es da mal physische switche auf dem Motherboard, aber heute kann man da eigentlich nichts mehr machen. Es gibt wohl noch die Möglichkeit bei spezieller Hard & Software, das Bios zu prüfen, z.B. kann angeblich der librem key bei einigen librem laptops mit Heads als Bios prüfen, ob dieses nicht manipuliert wurde, wobei ich nicht glaube, dass man das nicht umgehen könnte. Und es ist ja nicht nur das Bios, die Firmware der ganzen Dinger die am PCI Bus hängen und mit DMA so ziemlich alles manipulieren könnten, und die Festplatten, wo man Firmware unter linux bequem mit hwparam Flaschen kann... Aber ich denke, wir können froh sein, dass das nicht stärker verschlossen wird. De Code würde man ja trotzdem nicht kennen, und wenn solche dinge mal implementiert werden, kann man gift darauf nehmen, dass man auf Reparierbarkeit und Modifizierbarkeit durch den Eigentümer der Hardware keine Rücksicht nehmen würde. if(date>warranty)explode(); Das sicherste ist vermutlich, mit einem anderen PC mit einer komplett anderen Architektur den LAN Datenstrom zu beobachten, und seine Backups so anzulegen, dass der PC die nachher nicht zerstören kann. Aber sicher kann man sich nie sein.
DPA schrieb: > gab es da mal Mag sein, trotzdem hatte sich einiger Mist im CMOS eingenistet. Selbst Prüfzahlen nützen wenig, wenn sich Daten ständig ändern. Backups aus dem Schrank sind noch die einfachste Lösung, falls man das Übel bemerkt.
Das war früher ein Jumper den man setzen musste. War der gesetzt, dann konnte man das BIOS flashen, ansonsten nicht. Im CMOS konnten nur flüchtige Daten gespeichert werden. Sobald man den Rechner ausschaltete und die Batterie kurz entfernte, war der Virus weg. Mit Flash geht das natürlich nicht mehr so einfach. Heute sichert man so etwas, wenn dann per Verschlüsselungssignatur ab. Aber dafür bedarf es eines µC der die Firmware von der CPU entsprechend abschottet und die neue Firmware anhand der Signatur überprüft. Sobald das die x86 CPU selbst machen muss, ist es eine reine Softwarelösung, die dann mit Drittsoftware vom OS natürlich nicht mehr funktionieren und die Firmware schützen kann.
Barbara G. schrieb: > Ich möchte gerne vermeiden, dass das Betriebssystem auf den BIOS Zugriff > hat, um im Falle von Malware sicherzugehen, dass eine Neuinstallation > des Betriebssystems auch wirklich einen „sauberen“ Rechner liefert. > Wo kann ich solche Einstellungen vornehmen? Nirgendwo. Dazu kommt: Es ist ja nicht nur das BIOS (bzw. heute eher: das UEFI), welches sich manipulieren lässt. Fast jede Peripheriebaugruppe enthält heute (updatebare) Firmware. Von der HD/SSD über den WLAN-Adapter bis hin selbst zur ziemlich blöden PCIe-Parallelportkarte. Wenn du wirklich sicheres Computing willst, musst du schon heute alles komplett selbst bauen und die Firmware dafür selbst schreiben. Das Problem ist halt: das ist nicht wirklich zu schaffen, zumal man selber ja auch noch Fehler machen kann... Scheiß-Komplexität...
vielleicht wäre eine Umschaltlösung auch etwas du kopierst also die Daten auf einen 2ten Baustein(sSchaltest ihn read-only) und schaltest im richtigen Moment um, die Lötarbeiten dürften aber etwas schwierig werden oder die Chips Huckepack. Um welche Speicherbausteine handelt es sich? Also wo sitzt dein Bios
Bescheidene Frage, was ist es denn für ein BIOS (UEFI)? Und was für ein Rechner? Und wieviel Angst ist vorhanden? Es sollte auch Viren geben, welche sich in der Grafikkarte versteckt haben.
Vor nicht all zu langer Zeit warben die Mutterbretthersteller damit, dass das BIOS als sogenanntes DUAL-BIOS implementiert sei und man (the user) kann diese "Schattenkopie" zur aktuellen machen/kopieren. Ist dem heute nicht mehr so?
>Bescheidene Frage, was ist es denn für ein BIOS (UEFI)? >Und was für ein Rechner? Das wäre auch meine Frage. Generell zum BIOS/UEFI über Hardwareschreibschutz absichern gibt's hier etwas: https://www.vkldata.com/No-BadBIOS-Retro-Hack Andere Firmwarekomponenten sind als Einfallstor auch möglich, das sehe ich aber als weniger Problematisch an. Zu signierter Software: Das hilft m.A.n. nur gegen einfache Angriffe. Die richtigen Signaturen dürften den Geheimdiensten bekannt sein (Patriot Act, NDAs...). Secure-Boot hilft dann auch nicht mehr.
Irgendwo habe ich mal auf geschnappt, dass das heutige Fenster einen großen Teil des BIOS "überbrückt" und es gleich selber macht. Nach dem Booten kann also das System machen was es will, bzw. seine "Schreiberlinge" wollen. Ob diese nur Dein Bestes wollen oder Dein Bestes, bleibt dabei wohl die große Frage.
Barbara G. schrieb: > Ich möchte gerne vermeiden, dass das Betriebssystem auf den BIOS Zugriff > hat, um im Falle von Malware sicherzugehen, dass eine Neuinstallation > des Betriebssystems auch wirklich einen „sauberen“ Rechner liefert. > Wo kann ich solche Einstellungen vornehmen? In der Steinzeit von PC's gab es auch welche, bei denen man das BIOS http://www.bing.com/search?q=bios&src=IE-TopResult&FORM=IE10TR überhaupt nicht verändern konnte. Neben solchen, die auch recht komfortable Einstellungen erlaubten. Vielleicht verstehen wir ja auch die Funktion eines BIOS unterschiedlich oder ich verstehe sie falsch. :) Weil ich denke, daß im BIOS Vor-Einstellungen hinterlegt sind, die für das Betriebssystem (BS) unveränderlich maßgeblich sind. Ihm sozusagen "übergestülpt" sind, so lange sie nicht verändert werden. Ich denke deshalb auch, daß es prinzipiell nicht so ohne weiteres möglich ist, überhaupt vom BS aus das BIOS verändern zu können. Aus ganz aktuellem Anlaß kann ich das auch verifizieren, weil ich gestern zusammen mit einem Bekannten das BS meines Laptops (ThinkPad, R52) "auffrischte". Lief an sich auch alles problemlos mitsamt Eingaben legaler Nummern, die abgefragt und mit einzugebenden Gegennummern telefonisch bestätigt wurden. Machten wir alles, und danach wurde Windows weiter (komplett neu) geladen. Nachdem alles neu aufgeladen wurde, stellte sich ein Phänomen ein: a) mit der USB-Tastatur, mit der mein Bekannter das alles abwickelte, funktionierten alle Tasten einwandfrei b) nicht aber mit der ThinkPad-Tastatur, weil bei der alle Zahlen bis 9 zwar funktionierten, aber bei der Null ein Schrägstrich und bei Buchstaben krauses Zeug daherkam. Hatten wir beide noch nicht erlebt. Wählten im BS andere Treiber, was aber alles nichts half. Ich nahm dann die USB-Tastatur nachhause mit, um der Sache auf den Grund zu gehen. Weil ich mir 100%ig sicher war, daß die ThinkPad-Tastatur auch noch einwandfrei funktioniert hatte, nachdem ich im BIOS-Setup unter Startup den Boot-Mode von [Quick] auf [Diagnostics] umgestellt hatte. Um mir im (uralten) DOS-Modus ansehen zu können, was da auf der Festplatte eigentlich so los ist. Bzgl. Partitionen, Anzahl und Größenordnungen von denen, sowie, was da wirklich wo "hockt". ;) Und, ob Du es glaubst oder nicht: Bei der USB-Tastatur war der NUM-Block blockiert. Was das BIOS registriert und dem BS "auf's Auge gedrückt" hatte. Kein Wunder, daß wir dagegen nicht mit anderen Treibern vom BS aus "anstinken" konnten. ;) Nachdem ich bei angeschlossener USB-Tastatur die Num-Blockierung beim Hochlaufen aufgehoben hatte, wurde auch das registriert. Dazu muß ich auch noch sagen, daß das BIOS immer unverändert auf Testmodus "voreingestellt" war. Macht man so, wenn man x-beliebige Einstellungen auf ihre Funktionsfähigkeit hin überprüfen will. Nach der Aufhebung der Num-Blockierung lief auch die ThinkPad-Tastatur wieder einwandfrei. Heutzutage übliche BIOS o.ä. kenne ich nicht so genau. Ich kann Dir nur sagen, daß sich m.E. ein besonderer Schutz des Bios bzgl. Einwirkungen vom BS her erübrigt. Und wenn Du ein nochmal "abgesichertes" BIOS haben willst, acht darauf, daß sich das nur per Passwort verändern läßt. Bei meinem BIOS ist es möglich, das "sperren" zu können. D.h., man könnte es nur dann verändern, wenn vorher ein Passwort eingegeben wurde. Auf der BIOS-Ebene, die mit der BS-Ebene an sich nichts zu tun hat. Ich halte sowas zwar für überflüssig, kann man aber auch ganz anders sehen. :) Grüße
michael_ schrieb: > Bescheidene Frage, was ist es denn für ein BIOS (UEFI)? > Und was für ein Rechner? > > Und wieviel Angst ist vorhanden? > Es sollte auch Viren geben, welche sich in der Grafikkarte versteckt > haben. Es wäre tatsächlich UEFI auf einem T430 Thinkpad.
Sebastian S. schrieb: > Irgendwo habe ich mal auf geschnappt, dass das heutige Fenster einen > großen Teil des BIOS "überbrückt" und es gleich selber macht. > Das machen heutzutage alle modernen Betriebssysteme so, ob Windows oder Linux ist da egal. Die greifen alle nicht mehr auf 16 Bit Biosroutinen zurück, außer vielleicht ganz am Anfang beim Start bis der Kernel gebootet ist. Ein manipuliertes BIOS kann aber das OS vor dessen Start manipulieren, deswegen wurde das ganze UEFI Secure Zeug eingeführt.
Die klassischen BIOS-Aufrufe werden heute nur noch beim Rechnerstart genutzt. Andere Teile des BIOS ROMs spielen auch zur Laufzeit eine wichtige Rolle, in Form von ACPI/SMM und Intel ME/AMT bzw AMDs Entsprechung.
:
Bearbeitet durch User
A. K. schrieb: > Die klassischen BIOS-Aufrufe werden heute nur noch beim Rechnerstart > genutzt. Dieses "heute" begann aber schon vor 25 Jahren.
T430 Thinkpad - BINGO! Theoret. ist dein Wunsch machbar, ein gut abgesichertes BIOS-FLASH gegen Malware (Lojax etc.) zu erhalten. Nur mit einer einfachen Einstellung wird das m.A.n. nicht möglich sein. Du musst auf jeden Fall einen Schreibschutzjumper nachrüsten. Der BIOS-FLASH MX25L3206 vom T430 hat einen #WP-PIN der bisher ungenutzt als NC verwendet wird. (Also nur single line Data SPI ist schon mal gut.) Wird der PIN gegen LOW gezogen, dann ist das FLASH schreibgeschützt. Zuvor müssen die SRWD und BlockProtection Bits BP0...BP3 gesetzt werden, damit dieser PIN wirken kann. Wie schon gesagt hier der Lötaufwand und zus. Infos: https://www.vkldata.com/No-BadBIOS-Retro-Hack Das Problem wird sein, dass nach dem Umbau mit Jumper der Programmierclip nicht mehr gut anzubringen ist. Ev. kann die Software FLASHROM das aus dem System selbst heraus erledigen (nur die Register setzen), dann ist das mit dem Programmierclip nicht mehr erforderlich. Alternativ löte einen Sockel als Kontaktbereich für den Prog-Clip über den FLASH an- quasi als PiggiBack socket. Kann FLASHROM diese Protection- Register setzen? Das ist ebenfalls noch abzuklären. https://nm-projects.de/2017/08/flashing-coreboot-on-the-t430-with-a-raspberry-pi/ Das mit dem Core-Boot aufspielen brauchst Du nicht - es zeigt nur den technischen Aufwand, wenn im Worst-Case sogar nur die Register im FLASH über Clip programmiert werden können/müssen. Nach jedem BIOS-Update sind die Register meiner Erfahrung nach ebenfalls wieder zu setzen damit #WP wirkt. Zunehmend werden im FLASH auch variable Daten abgelegt. Das kann zu Problemen führen, wenn die vom Betriebssystem/Systemsoftware verändert werden. Ev. ist die BlockProtection so anzupassen, dass ein Bereich beschreibbar bleibt. Welcher das ist und ob der dann immer noch zusammen als Firmwarespeicher mit verwendet wird, dass kann ich nicht sagen. Zumindest kannst Du Images ziehen und nachsehen, ob bzw. welche Bereiche sich verändern. Danach den Schreibschutz in den Registern entsprechend einstellen. Sind Konfigurationsdaten darin gespeichert, dann muss zu jeder Änderung der BIOS-Einstellungen auch der Hardwareschreibschutz freigegeben werden. Zumindest aber immer für BIOS-Updates. -> Verlängere den WP-Jumper mit einem Reed-Kontakt unter das Gehäuse. Eine Freigabe mit Magnet, ohne öffnen des Gehäuses, ist dann möglich. Bei Dual-Boot FLASH -> 2x den Aufwand. Viel Erfolg
Kleine Korrektur: >Sind Konfigurationsdaten darin gespeichert, dann muss zu jeder Änderung >der BIOS-Einstellungen auch der Hardwareschreibschutz freigegeben >werden. Nur wenn dieser Bereich über die Protection-Bits gesichert wurde. Ist der Bereich nicht gesichert, dann wirkt auch dort der #WP-Pin nicht. Der #WP muss nicht freigegeben werden...
Einen Mainboardhersteller zu suchen, der noch MB mit HW Schutz per Jumpereinstellung herstellt wäre meiner Meinung nach die sinnvollste Lösung. Gibt es solche noch überhaupt?
Ist wie Nadel im Heuhaufen suchen. Daher auch die Anleitung zum Selbstbau. Wenn jemand einen (modernen) MB-Typ kennt, der das noch unterstützt, das würde ich gerne in meine Liste aufnehmen.
Wenn ich das Laptop starte kann ich durch drücken bestimmter Taste ins BIOS rein. Da gibt es eine Option zum BIOS Schutz per Passwort. Weiß aber nicht ob das die Lösung ist...
Barbara G. schrieb: > Wenn ich das Laptop starte kann ich durch drücken bestimmter Taste ins > BIOS rein. Da gibt es eine Option zum BIOS Schutz per Passwort. Weiß > aber nicht ob das die Lösung ist... Warum sollte das nicht die Lösung sein? Das BIOS ist ein ROM, und in diesem ROM kannst nur Du etwas verändern. Das dann auch jedes Mal, bevor das BS überhaupt bootet, genau so "abgearbeitet" wird, wie es im ROM "hinterlegt" ist. Genauer gesagt, kannst nur Du das BIOS-ROM "umschreiben", wodurch Du für das BS verbindliche Voreinstellungen festlegst. Am Schluß aller Änderungen verläßt Du das BIOS mit der save+exit-Taste. Darauf folgt nochmal ein Abfrage ob das nun so auch gespeichert werden soll. Wenn Du die Abfrage mit yes beantwortet hast, wird das so im BIOS-ROM gespeichert, womit der Änderungsvorgang im BIOS auch beendet ist. Mir ist bisher kein einziger Fall bekannt, daß vom BS aus ein BIOS verändert worden wäre. :) Warum befürchtest Du sowas? Natürlich kannst Du das BIOS auch noch per Passwort "schützen". Wenn Du das Passwort aber vergißt oder verlierst, kommst Du auch nicht mehr in das BIOS rein. ;) Grüße
L. H. schrieb: > Mir ist bisher kein einziger Fall bekannt, daß vom BS aus ein BIOS > verändert worden wäre. :) Nahezu zu jedem modernen Mainboard, welches in den letzten 5 Jahren auf den Markt kam, gibt es Flash-tools, um das BIOS-Update aus Windows heraus durchführen zu können. Bei Alienware sogar per Browserskript direkt aus dem Browser heraus, der dann das richtige Updatefile dort vom FTP-Server lädt! Ob diese Manipulationsmöglichkeit derzeit aktiv ausgenützt wird kann ich nicht sagen. Aber allein die Möglichkeit eines solchen Updates öffnet das BIOS auch für alle anderen bösen Buben, die dort eigentlich nichts verloren haben...
:
Bearbeitet durch User
Jeffrey L. schrieb: > L. H. schrieb: >> Mir ist bisher kein einziger Fall bekannt, daß vom BS aus ein BIOS >> verändert worden wäre. :) > > Nahezu zu jedem modernen Mainboard, welches in den letzten 5 Jahren > auf den Markt kam, gibt es Flash-tools, um das BIOS-Update aus Windows > heraus durchführen zu können. > > Bei Alienware sogar per Browserskript direkt aus dem Browser heraus, der > dann das richtige Updatefile dort vom FTP-Server lädt! Ahja, danke für die Info. Wußte ich nicht. > > Ob diese Manipulationsmöglichkeit derzeit aktiv ausgenützt wird kann ich > nicht sagen. Aber allein die Möglichkeit eines solchen Updates öffnet > das BIOS auch für alle anderen bösen Buben, die dort eigentlich nichts > verloren haben... Die Tür macht hoch, die Tore weit... :D @ barbarab: Kannst ja mal nachsehen, welches BIOS Du hast bzw. wann Dein Laptop ausgeliefert wurde. Vielleicht hast Du ja noch ein BIOS, das verriegelt ist. Grüße
Jeffrey L. schrieb: > Nahezu zu jedem modernen Mainboard, welches in den letzten 5 Jahren > auf den Markt kam, gibt es Flash-tools, um das BIOS-Update aus Windows > heraus durchführen zu können. FÜNF?! Schon vor 20 Jahren war das durchaus übliche Praxis. Ganz sicher jedenfalls bei den großen Desktop-Lieferanten wie etwa Dell oder HP. Sehr wahrscheinlich gab es entsprechende Tools vor 20 Jahren auch schon für jeden anderen Desktop (liegt einfach am sehr kleinen Oligopol für x86-Firmware), nur kam da noch nicht jeder so einfach ran wie heute. Aber: selbst wenn man das Tool nicht irgendwo einfach herunterladen kann: man kann es immer noch selbst schreiben. Der springende Punkt ist nicht die Verfügbarkeit der Software, sondern die prinzipielle Möglichkeit in der Hardware...
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.