Wenn auf dem Mainboard die Linux-Signaturen nicht mehr gültig sein sollten, werden wohl zahlreiche Linux-CDs mit Hilfstools ausgesperrt. Das kann noch interessant werden. Bei Heise liest man: "Das Update unter Windows wieder zurückzunehmen löst das Problem nicht, weil es den Inhalt des Flash-Speichers auf dem Mainboard ändert, der auch den UEFI-BIOS-Code speichert. Kurzerhand Secure Boot abzuschalten kann das Problem bei manchen Computern sogar vergrößern und zu einem vollständigen Datenverlust unter Windows führen, sodass man am Ende ganz ohne funktionierendes Betriebssystem dasteht." https://www.heise.de/hintergrund/Bootloader-Signaturen-per-Update-zurueckgezogen-Microsoft-bootet-Linux-aus-7250544.html
Damit fliegt MS endgueltig von meiner Platte (vor dem naechsten Start naturlich). Bye! Bye!
Es ist ja wohl kaum zulässig, dass eine Software Inhalte des Mainboards gegen den Willen des Eigentümers verändert.
Gibt es dazu irgendwelche Details die nicht hinter einer Paywall sind?
Gerd E. schrieb: > Details Die Technik hinter Secure Boot (und die Probleme mit den MS-Keys) kurz erklärt https://www.heise.de/forum/heise-online/Kommentare/Bootloader-Signaturen-per-Update-zurueckgezogen-Microsoft-bootet-Linux-aus/Die-Technik-hinter-Secure-Boot-und-die-Probleme-mit-den-MS-Keys-kurz-erklaert/posting-41543894/show/
Der Hintergrund zu der Technik, den verschiedenen CAs und Signaturen etc. ist mir bekannt. Auch bekannt ist daß vor kurzem schwerwiegende Lücken in 3 von MS signierten Bootloadern gefunden wurden: https://www.heise.de/news/UEFI-Secure-Boot-Microsoft-sperrt-unsichere-Bootloader-per-Windows-Update-7220634.html Daß diese Bootloader auf die Deny-List genommen wurden ist nachvollziehbar. Was ich mich aber frage ist - welche Linux-Bootloader wurden mit auf die Deny-List genommen? - betrifft das nur einzelne, konkrete Versionen von grub oder dem Kernel bei denen Sicherheitslücken gefunden wurden oder wurde gleich ganze Schlüssel von Distributionen gesperrt so daß die keine neuen Updates von grub/shim mehr signieren können? - was gibt MS dafür für eine Begründung an?
:
Bearbeitet durch User
Das kommt davon, wenn man einem Monopol zu viel Macht gibt. Ob ein putinischer Hintergrund vorliegt, werden kaum erfahren. Eigentlich sollte zu jedem Bios ein Schreibschutzschalter gehören, wo man diesen Mist verhindern kann. Ein mechanischer Schalter behindert leider automatische Updates und Fernwartung. Gerd E. schrieb: > - welche Linux-Bootloader wurden mit auf die Deny-List genommen? ca. 100 und Clonezilla war auch dabei wie man heute las.
Beitrag #7180521 wurde von einem Moderator gelöscht.
Beitrag #7180525 wurde von einem Moderator gelöscht.
Beitrag #7180532 wurde von einem Moderator gelöscht.
Das haben die "Brav-immer-alle-Updates-Einspieler" nun davon. Selbst phoese "Schadsoftware" hätte sie nicht härter treffen können. Vermutlich würde selbst ein Imagebackup der UEFI-Partition den Schaden nicht kurzfristig wieder beheben können.
Oscar der Rumänenkönig schrieb im Beitrag #7180521: > Verstehe das Problem nicht, wenn Windows das Update einspielen kann dann > läuft wohl eh Windows auf der Kiste. Und das kann danach ja > offensichtlich noch booten. > > Also in der Realität kein Problem? Doch, an einem Dual boot System. Ich hatte bei meinem neuen Laptop noch Win draufgelassen, falls mal jemand mit irgendweiner Windows SW kommt, die nicht auf einer virtuellen Maschine laeuft. Ich plante, Win zu loeschen falls der Plattenplatz eng wird. Das hat sich damit jetzt ja erledigt. Ah, ja, der Grund ist: Ich will mit dem System arbeiten und nicht spielen.
:
Bearbeitet durch User
Und wieder ein fehlerhafter Versuch alles nicht signierte und explizit von MS zugelassene Software auszusperren. Was hat ein Betriebssystem sich in die grundlegende Hardware eines Motherboardherstellers einzumischen? Wer die Funktion eines BIOS --> nun UEFI kennt weiss das dies nur eine in Hardware programmierte Routine sein soll um alle Komponenten/"Hauptbausteine" eines PC's in den Initialisierungszustand zu bringen damit dann eine "Speicherstelle" auf der HDD/SSD angesprungen werden soll zum lesen in den Ram und danach auszuführen. Ja auch ich nütze Dual Boot. Dank UEFI nun deutlich einfacher ohne das MS die Boot Partition zerschießt. Aber warum will mir MS vorschreiben ich darf nur noch Secure Boot MS booten?
:
Bearbeitet durch User
Wie aus gut unterrichteten Kreisen verlautbarte, ist nur die Installation von Linuxsystemen betroffen. Und auch nur insoweit, dass aktualisierte Bootlader funktionieren. Also keine Panick auf der Titanick.
Und für was soll TPM sein ? Ich bin nur eine "MS" Erfindung damit nur noch ich booten darf mit den passenden Schlüsseln? Ach ja da hat Google und Facebook unabhängig herausgefunden das Hardware nicht fehlerfrei ist. Der Versuchsaufbau war ich nehme meine eigene Hardware davon 100 Stück und betanke sie mit der gleichen Software um einen RSA Key zur Verschlüsselung zu erzeugen. Ooh happy surprise sie haben die Berechnung mehrfach durchgeführt. Ergebniss immer ein Rechner hat nicht das gleiche Ergebniss geliefert. Konsequenz dann lass ich nochmal Rechnen und dann Entscheide ich nach Häufigkeit was richtig ist. Mit dem Rowhammer bug bei dem schon mehr als nur ein Bit kippt wird das nicht besser werden. Das ist ein Bug in Hardware. Und bei der nächsten Stufe der Verkleinerung wird das Physikalisch zugrundelegende Prinzip der Ladungsumladung zu noch mehr Bit kipper führen. How to fix ? Macht nur mehr doppel dreifach .... Berechnungen um das Ergebniss zu überprüfen ob es korrekt ist? Wieviel Energie wurde nun schon verschwendet anstatt auf das ganze Zeug zu verzichten und die "freie" Energie für Licht zu verwenden? Ich hab Hunger /Durst aber verschwende die ganze Energie für Unnütze "Pc- Berechnungen" .......
Gerd E. schrieb: > Gibt es dazu irgendwelche Details die nicht hinter einer Paywall sind? Goldesel.to und die aktuelle c't holen.
Klingt wie ein Designproblem wenn ein laufendes OS Zertifikate zum Booten manipulieren kann. Wann kommt der erste Virus der diese Zertifikate komplett abräumt?
Vulganer schrieb: > Klingt wie ein Designproblem wenn ein laufendes OS Zertifikate zum > Booten manipulieren kann. Und wie ein Monopolproblem, wenn ein Hersteller die Hoheit darüber hat, welche anderen Betriebssysteme er auf dem PC zulässt und welche nicht.
... schrieb: > Wie aus gut unterrichteten Kreisen verlautbarte, ist nur die > Installation von Linuxsystemen betroffen. > Und auch nur insoweit, dass aktualisierte Bootlader funktionieren. [Citation needed] was bedeutet "aktualisiert" in diesem Fall? Die Windows-Updates sind inzwischen 4 bzw. 3 Wochen alt, die letzten Bootloader-Updates aber über 1 Jahr? Entweder gibt es von Debian noch keinen aktualisierten Bootloader oder Microsoft hat über ein Jahr für den Patch gebraucht? Übrigens: Andreas B. schrieb: > Damit fliegt MS endgueltig von meiner Platte (vor dem naechsten Start > naturlich). Das nützt dir demnächst auch nichts mehr. Wenn du einen neuen PC brauchst, ist natürlich auch ein aktuelles Windows mit aktuellen Signaturen vorinstalliert. https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/GRUB2SecureBootBypass2021 https://metadata.ftp-master.debian.org/changelogs//main/s/shim-signed/shim-signed_1.38_changelog https://www.heise.de/news/UEFI-Secure-Boot-Microsoft-sperrt-unsichere-Bootloader-per-Windows-Update-7220634.html
:
Bearbeitet durch User
Bauform B. schrieb: > Wenn du einen neuen PC > brauchst, ist natürlich auch ein aktuelles Windows mit aktuellen > Signaturen vorinstalliert. Man muss Rechner nicht mit vorinstalliertem Windows kaufen.
:
Bearbeitet durch User
Kann man den Kram nicht einfach abschalten? Die Gefahr daß da durch Updates Probleme entstehen scheint mir größer als durch irgendetwas anderes.
Andreas B. schrieb: > Damit fliegt MS endgueltig von meiner Platte (vor dem naechsten Start > naturlich). > Bye! Bye! Bye Bye Windows, oder Bye Bye Rechner? Wenn aufgrund des Problems Linux nicht mehr bootet, hilft es nicht wirklich, Windows runter zu werfen. Eher hilft es, beim Kauf eines Rechners darauf zu achten, dass man auch ohne rigide Bootkontrolle ein Betriebssystem starten kann. Dann kriegt man vielleicht irgendwann kein Windows mehr drauf, dafür aber Linux.
:
Bearbeitet durch User
Jürgen schrieb: > Die Gefahr daß da durch Updates Probleme entstehen scheint mir größer > als durch irgendetwas anderes. Hat alles seine 2 Seiten. Der Rechner wird durchaus sicherer, wenn darauf nur noch narrensicher versiegeltes Zeug starten kann. Die Wahrscheinlichkeit, dass jemand was drauf pflanzt, was da nicht hingehört, sinkt. Dafür steigt die Wahrscheinlichkeit eines Totalausfalls. Was sinnvoller ist, ist nicht so leicht zu beantworten. Auf Handys irgendwas zu starten, was da nicht vom Hersteller vorgesehen ist, kann je nach Modell recht interessant werden. Und das ist keine Schikane, sondern ein Sicherheitsaspekt.
:
Bearbeitet durch User
Vulganer schrieb: > Wann kommt der erste Virus der diese Zertifikate komplett abräumt? Sowas in der Art hatte vor einigen Jahren einer der Big Names bei Laptops bereits zelebriert. Nach irgendeiner Software-Geschichte wurde ein Mainboardtausch nötig.
Chris K. schrieb: > Was hat ein Betriebssystem sich in die grundlegende Hardware eines > Motherboardherstellers einzumischen? Das Problem beginnt ja schon viel frueher. MS bestimmt, was die MB Hersteller zu produzieren haben. Zumindest hat man bisher zum Zeitpunkt des Kaufes gewusst was man hat. Das aendert sich nun. (prx) A. K. schrieb: > Bye Bye Windows, oder Bye Bye Rechner? Wenn aufgrund des Problems Linux > nicht mehr bootet, hilft es nicht wirklich, Windows runter zu werfen. Aktuell existiert das Problem ja noch nicht. Deswegen schrieb ich ja: Runterwerfen vor dem naechsten Win boot. Man weiss ja nie, was MS da heimlich so treibt..... Nicht dass dieses "Update" ohne explizite Aufforderung da reinkommt. Was hilft es mir denn wenn ich Win booten kann? Mein Arbeitssystem ist nun mal Linux. (prx) A. K. schrieb: > Der Rechner wird durchaus sicherer, wenn > darauf nur noch narrensicher versiegeltes Zeug starten kann. "Sicherer" im Sinne von MS, ja.
So was Ähnliches gab es damals (ca. 1998 herum) und nannte sich CIH Virus. Dieser hatte damals das BIOS vom Rechner Kaputt geflasht, sodass der nicht mehr Funktionsfähig war. Damals konnte man den BIOS Chip noch problemlos tauschen, da der gesockelt war. Heute muss man mit der Reflow Station ran. Und ein Hardware Schreibschutz zu realisieren muss man das Datenblatt vom jeweiligen Flashrom suchen und den entsprechenden Pin auf Masse ziehen oder hochlegen.
:
Bearbeitet durch User
Sind Windows-Linzenzen eigentlich abwärtskompatibel ? Kann man also z.B. auf einem Rechner mit installiertem Win11 mit Lizenz auch Win10 installieren ? Spätestens wenn für die Nutzung von Windows zwingend ein persönliches Konto bei Microsoft erforderlich ist, bin ich raus.
Da liest sich das alles etwas anders: https://www.debian.org/security/2020-GRUB-UEFI-SecureBoot/#revocations Die Linux-Distributoren haben wohl Microsoft gebeten, ältere, unsichere Bootloader-Versionen zu sperren.
Walter schrieb: > Die Linux-Distributoren haben wohl Microsoft gebeten, ältere, unsichere > Bootloader-Versionen zu sperren. Da dachte sich MS dann wohl: Machen wir es jetzt gruendlich.
Andreas B. schrieb: > Da dachte sich MS dann wohl: Machen wir es jetzt gruendlich. Ein Gärtner würde raten: säge nie den Ast ab, auf dem Du sitzt. Wenn man den Faden weiter spinnt ist MS oder ein Angreifer damit in der Lage sämtliche Rechner durch falsche Signaturen hardwaremäßig unbrauchbar zu machen. Keine besonders gute Aussicht! Was meint das BSI? Seit W8: ..."6.4.1.7 ...Ein weiterer Grund für eine nicht korrekte Durchführung von Secure Boot ist die Kompromittierung der UEFI-Firmware durch einen Angreifer oder durch Schadsoftware. Diese Gefahr besteht insbesondere aufgrund der umfangreichen UEFI-Spezifikation und der damit einhergehenden Komplexität der Firmware-Software. Insbesondere ist zu mutmaßen, dass der, gegenüber dem klassischem PC-BIOS, erweiterte Funktionsumfang der UEFI-Firmware, dieses in Zukunft zu einem lohnenswerten Angriffsziel für Schadsoftware macht. In diesem Zusammenhang ist z.B. die Netzwerkunterstützung zu nennen. Auch ist zu mutmaßen, dass durch die Standardisierung der entsprechenden Firmware-Schnittstellen die Entwicklung von Schadsoftware, die die Firmware angreift, vereinheitlicht werden kann und diese somit vereinfacht. ... Quelle: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/SUSIv8/SUSIv8.pdf?__blob=publicationFile&v=3
... nur mal so allgemein --< Niemand wird gezwungen Microsoft-Produkte zu kaufen, es ist wohl eher der Unlust geschuldet, sich ernsthafte Gedanken bzgl. Datenschutz und Datensicherheit zu machen. Es gibt auch Hersteller, die nicht automatisch 'Windows' als Hauptbetriebssystem installieren sondern nur auf speziellen Wunsch. In diesem Sinne weiterhin viel Spass beim gegenseitigen 'Abkanzeln' mfG
eigentlich_unwissender schrieb: > Es gibt auch > Hersteller, die nicht automatisch 'Windows' als Hauptbetriebssystem > installieren sondern nur auf speziellen Wunsch. Damit wird die Auswahl Deines PCs aber sehr eingeschränkt. Darum geht es ja eigentlich in diesen Thread, nämlich daß MS bestimmt wie die HW auszusehen hat.
:
Bearbeitet durch User
Andreas B. schrieb: > Damit wird die Auswahl Deines PCs aber sehr eingeschränkt. Darum geht es > ja eigentlich in diesen Thread, nämlich daß MS bestimmt wie die HW > auszusehen hat. Das kann man "noch" umgehen indem man einen "alten" PC mit win10 kauft bei dem sich "secure boot" im bios abschalten lässt. Dann nervt der auch nicht immer mit "win11 update, geil und gratis", und linux läuft dann auch.
:
Bearbeitet durch User
Beitrag #7211012 wurde von einem Moderator gelöscht.
Alt G. schrieb: > Das kann man "noch" umgehen indem man einen "alten" PC mit win10 kauft > bei dem sich "secure boot" im bios abschalten lässt. Das ist ja eben die Einschränkung. Also lahme Krücke kaufen. Das ist nicht die Lösung die mir vorschwebt. Dieter schrieb im Beitrag #7211012: > Wenn Deutschland nur halb so viele Einwohner > Bla Bla was hat das mit dem Thema zu tun?
Alt G. schrieb: > Das kann man "noch" umgehen indem man einen "alten" PC mit win10 kauft > bei dem sich "secure boot" im bios abschalten lässt. Gibt es denn neue PCs bei denen sich ›secure boot‹ nicht abschalten lässt? (Kein Trolling, ernst gemeinte Frage. Mein letzter Kauf ist Jahre her)
Ich hab letztens meinen Linux Kernel neu kompiliert (um ein paar Anpassungen daran zu machen). Hab dann mein eigenes Zertifikat eingegeben um den zu signieren. Bei meinem HP Server war das damals ganz einfach. Ich hab einfach im Bios "Zertifikat Hinzufügen" ausgewählt, ausgewählt, und fertig. Aber bei meinem neuen HP Laptop... Um Linux überhaupt erst installieren zu können, musste ich erst irgend was im Bios ausschalten. Erst danach konnte ich die im Bios dann überhaupt einschalten, da gabs immerhin eine checkbox. Vor all dem wollte HP auch noch, dass man ein Bios Passwort setzt, weil ist ja sonst so gefährlich das zu machen... Zum Ausschalten von Secure Boot wäre das alles auch nötig gewesen, hab ich dort aber anfangs noch nicht gemacht. Aber jetzt, mit eigenem Kernel, und notwendigerweise eigenem Zertifikat, ist das nochmal ne Nummer zusätzlich verkompliziert. Es gibt im Bios eine Option, Zertifikat installieren. Aber die Rebootet den PC, und versucht irgend welche key stores von der EFI Partition unter /EFI/HP/ zu laden, und sagt den, nope, nichts da. Im Internt findet man, dass es wohl ein Windows-Only Tool gibt, um den bestehenden key store zu exportieren, das man den dann mit openssl manuell bearbeiten müsste, und den dann mit windows only tools wieder importieren kann. Aber Windows hab ich längst von der Platte geschmissen (wurde nie gestartet). Und ich könnte versuchen, die Dinger manuell zu erstellen, aber das Risiko, dass das Bios noch irgend ein HP Zertifikat bräuchte, und das ganze dann ein Schrotthaufen wird, ist mir zu hoch. Darum musste ich das dann schweren herzens doch noch ganz abstellen. Aber eben, selbst um das nur abzustellen, musste ich ein Bios Passwort setzen, irgend welche Sachen ausschalten, und erst dann liess es mich das überhaupt machen. Natürlich mit mehreren Neustarts und Nummern Abtippen zwischen drinn "wollen sie wirklich X ändern". WTF.
DPA schrieb: > Erst danach konnte ich die im Bios dann überhaupt einschalten Die Zertifikate, die die Linux Installer verwendeten, meinte ich da.
Norbert schrieb: > Gibt es denn neue PCs bei denen sich ›secure boot‹ nicht abschalten > lässt? Gute Frage! Gerade mal geschaut: Bei meinem T14s Gen2 (ziemlich neu) kann man es abschalten. Also dann kein BIOS Upgrade machen. ;-)
Funktioniert denn ein Original-Distributions-Kernel ohne Tricks? Und wie sieht das bei Boards von Advantech, Congatec, Kontron... aus? Die haben ja auch ganz normale Intel-Boards (bis auf den Formfaktor)?
Bauform B. schrieb: > Funktioniert denn ein Original-Distributions-Kernel ohne Tricks? Es geht erstmal nur um den Bootloader, GRUB/SHIM etc. Und ja, eine aktuelle Distribution lässt sich weiterhin normal installieren. Eine angestaubte DVD aus dem Schrank nicht mehr, wenn da eine verbuggte GRUB-Version drauf ist, die durch entzogene Zertifikate stillgelegt wurde. Bei der bräuchtest du dann Tricks, wie z.B. aktuellen GRUB vom USB-Stick starten, und den dann Initrd, Linux-Kernel & co von der DVD laden lassen.
DPA schrieb: > Aber bei meinem neuen HP Laptop... Um Linux überhaupt erst installieren > zu können, musste ich erst irgend was im Bios ausschalten. Erst danach > konnte ich die im Bios dann überhaupt einschalten, da gabs immerhin eine > checkbox. Vor all dem wollte HP auch noch, dass man ein Bios Passwort > setzt, weil ist ja sonst so gefährlich das zu machen... Zum Ausschalten > von Secure Boot wäre das alles auch nötig gewesen, hab ich dort aber > anfangs noch nicht gemacht. Mithin hängt also die ganze Sicherheitskette von a) der Qualität des BIOS-Passworts ab und b) wie gut das BIOS eben Dieses schützt. Wenn diese Hürde überwindbar ist, fällt die ganze Sicherheit wie die Bäume damals bei Kyrill? > Darum musste ich das dann schweren herzens doch noch ganz abstellen. ›Same here‹, jedoch mit leichtem Herzen und Freude. Damit will ich aber nicht gesagt haben das es nicht doch irgendwo Szenarien gibt, in denen das sinnvoll und wichtig erscheint. > Aber eben, selbst um das nur abzustellen, musste ich ein Bios Passwort > setzen, irgend welche Sachen ausschalten, und erst dann liess es mich > das überhaupt machen. Natürlich mit mehreren Neustarts und Nummern > Abtippen zwischen drinn "wollen sie wirklich X ändern". WTF. WTF. In der Tat!
Ist ja alles "schön sicher dann". Es bleibt bei mir bloß die kleine Frage, wie ein jetzt mit MS-Updates versautes Board mühsam wiederbelebt werden soll. Es könnte ja auch eine produktive 100k€-Maschine noch dranhängen, die dringend eine RESTORE braucht? Die alten CDs allein helfen ja nicht mehr, wie man oben las, weil die "verdächtigen" Signaturen entfernt wurden. Eigentlich ein typischer Fall für eine Klage? Leider gewinnt die Bank immer.
Alt G. schrieb: > Das kann man "noch" umgehen indem man einen "alten" PC mit win10 kauft > bei dem sich "secure boot" im bios abschalten lässt. Verstehe das Problem nicht. Eine altes Debian 5 bringt eh nicht die passenden Kerneltreiber für aktuelle Hardware mit. Was spricht also gegen ein aktuelles Ubuntu 22.04 bzw dann 22.10? Das brauchst du nämlich eh wenn du aktuelle Hardware wie einen Ryzen 7000 nutzen möchtest. Wieso macht ihr also so einen Aufriss darum einmal für die Installation ein 2GB Image herunterzuladen zu müssen? Mit dem aktuellen grub könnt ihr ja auch weiterhin euer Debian 3 nutzen...
eigentlich_unwissender schrieb: > ... nur mal so allgemein --< Niemand wird gezwungen Microsoft-Produkte > zu kaufen, es ist wohl eher der Unlust geschuldet, sich ernsthafte > Gedanken bzgl. Datenschutz und Datensicherheit zu machen. Nunja, die meisten installieren sich Windows nicht zum Selbstzweck, sondern um darauf Software laufen zu lassen. Wenn die vom Hersteller so entwickelt ist, dass sie nur mit Windows funktioniert, dann ist man durchaus gezwungen, Windows zu haben, um die benötigte Software nutzen zu können. Stell dir einfach vor, es gäbe Straßen, die man nur mit bestimmten Automarken nutzen kann. Wenn dann die Freundin in einer BMW-Straße wohnt, kommst du da mit dem Audi leider nicht hin. Aber du bist ja nicht gezwungen, dir einen BMW zu kaufen. Du kannst auch einfach die Freundin wechseln.
Beitrag #7212169 wurde von einem Moderator gelöscht.
KArl Fred M. schrieb im Beitrag #7212169: > Oder einfach ein aktuelles Linux installieren, muss man doch bei Linux > sowieso alles X Jahre auch Muss man das? Die letzten Jahre haben bei mir Upgrades gereicht, jedenfalls solange keine neue Festplatte im Spiel war. Da habe ich dann eine Neuinstallation vorgezogen (kein Muss, ich weiss).
oszi40 schrieb: > Es bleibt bei mir bloß die kleine Frage, wie ein jetzt mit MS-Updates > versautes Board mühsam wiederbelebt werden soll. Es könnte ja auch eine > produktive 100k€-Maschine noch dranhängen, die dringend eine RESTORE > braucht? Die alten CDs allein helfen ja nicht mehr, wie man oben las, > weil die "verdächtigen" Signaturen entfernt wurden. In der letzten c't stand drin, das man den Patch installiert lässt, aber im Bios im Key Management die Denyliste löscht, die dieser installiert hat, erkennbar an ca. 180 als böse markierten Keys. Und Bingo tut der Haufen wieder, ohne das Windows das merkt. Deinstalliert man den Update, kommt er wieder und installiert wieder die Denyliste. Die Schlüssel werden also nicht gelöscht, sondern in die "Böse!"-Liste eingetragen, da kann man sie auch wieder draus entfernen. Ist allerdings nur ne Frage der Zeit bis diese Option aus dem Bios verschwindet, ebenso wie die Möglichkeit Secure Boot zu deaktivieren. Aber ganz ehrlich, wenn man eine produktive Maschine an der der Ertrag der Firma hängt im LAN hat, am Ende noch mit Internetzugang, und auch noch regelmäßig Patches einspielt, dann hat man sie doch nicht mehr alle. Da sind regelmäßig steinalte Windowsversionen drauf, oder so verbastelte UIs das man gar nicht patchen könnte, geschweige denn sollte. Das ist doch wie mit dem Streichholz in den Tank leuchten...
Jens M. schrieb: > Aber ganz ehrlich, wenn man eine produktive Maschine an der der Ertrag > der Firma hängt im LAN hat, am Ende noch mit Internetzugang, und auch > noch regelmäßig Patches einspielt, dann hat man sie doch nicht mehr > alle. > Da sind regelmäßig steinalte Windowsversionen drauf, oder so verbastelte > UIs das man gar nicht patchen könnte, geschweige denn sollte. > Das ist doch wie mit dem Streichholz in den Tank leuchten... Es gibt oft Geräte, die von einem PC gesteuert werden, da ist man auf das OS angewiesen, was geliefert wird, und das ist praktisch immer Windows. Ich betreue eine Arztpraxis, da sucht man sich die Geräte nicht nach dem OS aus, sondern nach der Qualität der Untersuchung. In solchen Umgebungen sollte man keinerlei Updates einspielen, das sagen oft sogar die Hersteller der Geräte. Die Geräte hängen in einem separaten Netz, das keinen Zugang zum Internet hat.
Beitrag #7212645 wurde von einem Moderator gelöscht.
uxdx schrieb: > Es gibt oft Geräte, die von einem PC gesteuert werden, da ist man auf > das OS angewiesen, was geliefert wird Falls da im Netz ein PC ohne Update steht, könnte schon ein alter SASSER-Virus viel "Spaß" bereiten. Jede Medaille hat 2 Seiten. Fakt ist leider auch, dass nicht jede alte Kiste für 1000 neue Updates oder ein neues System Platz haben wird. Das gilt auch für Linux.
Wer Windows benötigt sich den Gängeleien ergibt muss zukünftig mehr zahlen (ABO). Wer sich die Mühe macht und sich wirklich überlegt was soll die "Black Box" machen kommt auf den Gedannken ich könnte es ja mit Linux versuchen. Ja auch unsere Firma ist nach mehr als 100 000 Stück eines Gerätes an das Lebensende von Win 7 gestoßen und mit Win 10 gibts nur Probleme (EOL für normale Versionen 2025, die spezielle Versionen die wir verwenden 2030) aber danach ist auch Schluss. Nun wird er Nachfolger rein auf Linux laufen. Keine horrenden Lizenzkosten mehr und raus aus der Abhängigkeit. Ob ich Win 11 und das folgende mitmache - Nein ein Abo was das MS Ziel ist will ich mir nicht antun vorher steig ich komplett wieder auf Linux um. Meine Frau nicht PC affin kennt beide Welten und schimpft mittlerweile über die Windows Patch orgien die ihr unter Linux nie aufgefallen sind, so oft läuft der PC nicht und wenn er läuft nervt das Update ....
:
Bearbeitet durch User
Chris K. schrieb: > so oft läuft der PC nicht und wenn er läuft nervt das Update .... Ich hatte auch schon Fälle, wo Linux totgepatcht wurde genau wie MS. Das eigentliche Problem ist, dass nichts mehr sicher für die Ewigkeit ist und in einigen Jahren der Platz für weitere SW knapp wird auf alten Systemen. Die Bootladersünden sind nur die Spitze des Eisbergs. 640k sind genug?
fragjanur schrieb: > Es ist ja wohl kaum zulässig, dass eine Software Inhalte des Mainboards > gegen den Willen des Eigentümers verändert. Deshalb hast du auch die Bedingungen gelesen und denen zugestimmt.
Nur mal so nebenbei, ich möchte nicht wissen, wie viele embedded devices unter Linux weder gegen Heartbleed noch gegen Log4Shell gepatscht sind. Auch die ganzen Sicherheitslücken von diversen linuxbasierten Routern werden oft gerne verdrängt in den Diskutierten hier. Das ach so elitäre MacOS mit Safari musste vor kurzen auch massiv gepatscht werden. Mein Fazit: Wer ohne Sünde ist werfe den ersten Stein. PS: Falls ich jetzt Jehova gesagt haben, nur zu ;-) PPS: ich hätte das jetzt auch als anonymer Gast schreiben können und mir Bashing und Shitstorms ersparen können
Georg W. schrieb: > ich möchte nicht wissen, wie viele embedded +1 Die Summe aller Übel bleibt immer gleich. Schlecht ist jedoch, dass MS mit seinen Updates ungefragt das Mainboard beeinflussen kann. Einen Schreibschutz hätte ich schon erwartet, da Viren dort schon vor Jaaahren ihr Unwesen getrieben haben.
Beitrag #7213016 wurde von einem Moderator gelöscht.
Georg W. schrieb: > PS: Falls ich jetzt Jehova gesagt haben, nur zu ;-) ich finde das immer gut hier, während mir eigentlich schon vor lauter Verzweiflung und Hilflosigkeit zum Heulen zumute ist (wie damals, als ich auf dem Windows 8 NB die Start-Optionen im Bios verändern wollte) - wenn es bei solcherlei düsteren Thematik immer noch was zum Schmunzeln gibt. Bei meinem Windows 8 NB wird es immer schwieriger, das Ding einfach anzumachen und zu Surfen. Ständig friert irgendwas ein, vor allem auch Opera, wegen irgendwelcher ständigen Updates. Programm beenden und Neustarten geht auch nicht mehr, Opera braucht ein paar Minuten Erholungszeit, ansonsten kommt die Meldung "keine Berechtigung/falsches Konto". Und wenn man erstmal wieder genug hat, und den Rechner runterfahren möchte (um an der Linux-Kiste weiterzumachen), erscheint die Option "herunterfahren und neustarten". Diese Update-Neustarts dauern aber öfter ziemlich lange. Manchmal bis zu einer Stunde, bis es wieder weiter geht. Bei UEFI fällt mir meistens so ein Spruch von einem Arbeitskollegen zum Thema Radwechsel beim Roller ein: "da muss man sich vorher einen Ansaufen". Eventuell wäre ein wenig UEFI-Führerscheinkurs in der Artikelsammlung ganz gut?
Beitrag #7213035 wurde von einem Moderator gelöscht.
KArl Fred M. schrieb im Beitrag #7213035: > Linux hat sich seinen Platz aber im Serverbereich erarbeitet und das ist > auch völlig ok. > Im Heimbereich bringt es mehr Nach als Vorteile Ja das stimmt! Ich lebe jetzt schon seit knapp zwanzig Jahren mit diesen vielen schlimmen Nachteilen. Ich kann dir sagen, das ist nicht schön. Man bekommt nicht nur ständig (alle zwei Jahre) ein kostenloses Upgrade bei Debian angeboten (dem man zustimmen kann oder nicht), nein, dann läuft der verdammte Mist auch noch völlig problemlos durch. Über nichts kann man sich mehr ärgern, ich gestehe das ich die alten Zeiten vermisse. (Sie haben die Maus bewegt, bitte starten sie Windows neu) Aber ich muss auch einen Teil der Schuld bei mir suchen, hatte ich mich doch schon vor langer Zeit für Debian Stable entschieden. Damit fordert man die Problemlosigkeit ja geradezu heraus.
Was wird hier so rumgeheult. Der Großteil von euch hat doch eh CompuTrace aufm Bios.
Eigentlich wäre das was für die Politik. Wir brauchen endlich mal
Technologie Gesetze, die für uns gemacht werden!
Hier könnte man z.B. Anforderungen ans Bios gesetzlich verankern.
Könnte ich die Definieren, ich will folgende Garantien:
* Andere Betriebssysteme müssen zum Booten ausgewählt werden können, und
dessen Start & korrekte Funktion darf nicht aktiv verhindert oder
beeinträchtigt werden.
* Das muss mit höchstens 3 Selektionen möglich sein (Menu aufrufen,
Eintrag auswählen). Der Nutzer soll keine weiteren Änderungen vornehmen
müssen.
* Die Boot Kette darf kryptografisch abgesichert werden, sofern
folgendes sichergestellt wird:
* Andere Betriebssysteme können weiterhin gestartet werden
* Beim Starten eines Betriebssystems, falls die Signatur des
Bootloaders des zu startenden Betriebssystems nicht stimmt, müssen
mindestens folgende Optionen geboten werden:
* Ausschalten
* Einmalig trotzdem Starten (es dürfen keine weiteren Eingaben
gefordert werden)
* Das nicht passende Zertifikat zukünftig zulassen (es dürfen keine
weiteren Eingaben gefordert werden)
* Zertifikate bearbeiten (Hinzufügen (PEM, per Dateiauswahl, von
einem vom Benutzer kontrolliertem Medium), Löschen (per Listenauswahl),
Werkseinstellungen). Das BIOS und die Firmware müssen dabei immer voll
funktional bleiben.
* Das System muss Möglichkeiten zur automatischen Erkennung von Hardware
bieten. Dies kann z.B. über ACPI oder per Device Tree erfolgen. Diese
Angaben müssen vollständig und korrekt sein. Nachträgliches korrigieren
per Firmwareupdate ist erlaubt. Die Verbreitung der Firmware darf nicht
eingeschränkt werden.
* Firmware Updates müssen auch ohne installiertes OS möglich sein
* Nach Firmware Updates müssen die oberen punkte weiterhin gegeben sein,
das System muss weiterhin vollumfänglich funktionieren, und es dürfen
keine existierenden Funktionalitäten entfernt oder eingeschränkt werden
* Falls beliebige Firmware oder das BIOS signiert sind, muss der Nutzer
in der Lage sein, auch seine eigene Firmware & BIOS zu signieren und
mittels der von ihm im BIOS hinterlegten Keys nutzen. Der Hersteller ist
dann aber nicht für Folgeprobleme verantwortlich. Er muss aber
sicherstellen, dass es immer irgendwie technisch möglich ist, wieder die
ursprüngliche Originalfirmware einzuspielen, wobei dies auch physische
Eingriffe an der Hardware erfordern darf.
* Der PC Hersteller darf nicht verhindern, dass ältere Firmwareversionen
wieder eingespielt werden.
* Der Hersteller darf keine Funktionen aktiv einschränken, nur wenn der
Nutzer das System nicht nach dessen Vorstellungen verwendet.
* Das nachträgliche kommerzielle Freischalten von Hardwarefunktionen ist
nicht gestattet.
* Das Schützen von BIOS und Firmware und dessen Einstelligen über einen
physischen durch den Nutzer einfach erreichbaren Schalter oder Jumper
ist gestattet.
* Diese Punkte betreffen alle General Purpose Computer. Laptops, Server,
Personal Computers, Smartphones, Smart TVs, BluRay Player, Game
Konsolen, uns vergleichbare Geräte, sind immer als General Purpose
Computer zu betrachten.
* Sind diese punkte nicht alle erfüllt, hat sowohl der Besitzer sowie
der Eigentümer des Geräts einen nicht verjährenden Garantieanspruch.
Ausserdem muss das Kartellamt Bussen verhängen, wenn derartige
Missstände gefunden erkannt werden.
Ich bin der Meinung, bei allen Technologien brauchen wir Gesetze mit
klaren Anforderungen, wie oben. Bei Internet und Mobilfunkanbietern,
dass man statische öffentliche IPv6 immer hat, und falls das Modem SIP
verwendet, man die Zugangsdaten bekommt. Bei Webseiten zum Verhindern
von Dark-Pattern. Bei Bezahlprogrammen, gegen in-app Käufe, Werbung, und
derartiges. Beim E-IDs, damit es keinen Blödsinn wie kostendes Signieren
von Dokumenten as a Service und solchen Mist gibt. Beim online Voting,
dass man auch selbst alles nachverfolgen kann, und man der Technik mal
vertrauen kann. Bei Überwachungskameras, dass man da nicht überall per
Gesichtserkennung verfolgt werden darf. etc.
Das sind die Dinge, die bei der Digitalisierung in Gesetzte gehören.
Das, was gut für uns ist, nicht das. was Firmen wollen, oder einfach
Blind, "mehr Digitalisierung, alles Online jetzt". Das läuft momentan
alles komplett falsch.
KArl Fred M. schrieb im Beitrag #7213035:
> Im Heimbereich bringt es mehr Nach als Vorteile
Welche Nachteile siehst Du denn dabei?
könnte denn microsoft betriebsgeheimnisse verlieren durch ein gehacktes bios ? also andererseits ein berechtigtes interesse daran haben können auf ein gesichertes bios zu bestehen ? also nur seine technologien schützen wollen. der kontrollverlust durch abhängigkeit von zertifikat-gönnern is natürlisch ned schee.
jkjk schrieb: > Deshalb hast du auch die Bedingungen gelesen und denen zugestimmt. Konkretisiere mal: Wo steht das?
Carypt C. schrieb: > könnte denn microsoft betriebsgeheimnisse verlieren durch ein gehacktes > bios Nein. Aber Du. Bzw. Firmen, die MS-Betriebsysteme einsetzen (Hab gehört, davon gibt es ein paar). Sinn vom Secure boot ist, dass nur signierter Code bootet (ob jetzt von MS, von Redhat/SuSE/Ubuntu/..., oder vom Machine Owner signiert, ist egal). Viren/Trojaner/Rootkits usw. sind nicht signiert, und werden deshalb nicht gestartet. Wenn jetzt ein signierter Bootloader einen Bug hat, der es erlaubt, beliebigen unsignierten Code auszuführen, ist das Schutzkonzept im Eimer. Das Rootkit bringt dann einfach diesen Bootloader mit, gilt damit als voll "secure" signiert, und kann trotzdem beliebigen Schadcode ausführen. Einziger Ausweg aus dem Dilemma: Die Signaturen für den fehlerhaften Code widerrufen... und genau das hat MS gemacht. Vermutlich nur, weil dieser Fehler, obwohl er in Linux-Bootloadern vorhanden ist, eben auch Windows-Anwender gefährdet die mit Linux sonst nix am Hut haben. Wäre es nur eine Gefahr für die paar Linux-Hanseln, wär' das MS wohl am Allerwertesten vorbeigegangen.
Εrnst B. schrieb: > Wäre es nur eine Gefahr für die paar Linux-Hanseln, wär' das MS wohl am > Allerwertesten vorbeigegangen. "Linux distributions have long been used as server operating systems, and have risen to prominence in that area;" https://en.wikipedia.org/wiki/Linux_range_of_use#Servers,_mainframes_and_supercomputers
Alexander S. schrieb: > "Linux distributions have long been used as server operating systems, > and have risen to prominence in that area;" Und welche Server haben ein Dual-Boot Setup mit Windows, und sind monatelang ohne Linux-Updates geblieben? Welche dieser Server haben Admins, nicht nicht wissen, für was ein MOK im Bios hinterlegt werden kann? Die Schnittmenge der Linux-Server, die von der Signatur-Revocation betroffen sind, ist recht überschaubar...
Jens M. schrieb: > Aber ganz ehrlich, wenn man eine produktive Maschine an der der Ertrag > der Firma hängt im LAN hat, am Ende noch mit Internetzugang, und auch > noch regelmäßig Patches einspielt, dann hat man sie doch nicht mehr > alle. Mal ganz ehrlich, ich glaube, Du hast sie nicht alle. Erstens hast Du doch sicherlich ein Backup Deines Systems. Zweitens hast Du doch sicherlich keine Dual-Boot-Cfg auf Deinem produktiven System. Es kann also nicht passieren, daß ein WinUpdate eine Linux-Installation wegen gelöschter Zertifikate lahmlegt. Und sich selbst wird es sich schon nicht lahmlegen. Und wenn doch -> Backup.
Jens G. schrieb: > selbst wird es sich schon nicht lahmlegen. Und wenn doch -> Backup. Sobald eine SW BIOS-HW einfach verändern kann, wäre ich mir nicht so sicher, dass Dein schönes Backup jemals wieder auf DIESER Maschine läuft. Wahrscheinlich sollte man vorbeugend alles virtualisieren. Dann bleibt jedoch die Frage der Verwaltung wooo diese VM aktuell gerade läuft.
oszi40 schrieb: > Sobald eine SW BIOS-HW einfach verändern kann, wäre ich mir nicht so > sicher, dass Dein schönes Backup jemals wieder auf DIESER Maschine > läuft. Du musst nicht die Möglichkeitsform bemühen, es ist sicher, dass ein Backup die verbogenen Signaturen nicht wieder gerade rückt. Da sieht man, wie angebliche Sicherheitsmechanismen Angriffsszenarien ermöglichen, die es im uralt BIOS mit EPROMs nie gegeben hat. Eine Zeit lang gab es auf vielen Mainboards einen Stecker (Jumper), der das Schreiben in deren BIOS-EEPROMs per Hardware verhinderte, ist leider auch entfallen.
Jens G. schrieb: > Mal ganz ehrlich, ich glaube, Du hast sie nicht alle. Danke für die Blumen, gehen ungesehen zurück! :D Jens G. schrieb: > Es kann also nicht passieren, daß ein WinUpdate eine > Linux-Installation wegen gelöschter Zertifikate lahmlegt. Aber viele Updates und das "notwendige" Windows-Update alle paar Monate kann durchaus dafür sorgen das irgendeine wichtige Software nicht mehr läuft, und bingo ist die Kiste tot. Dann muss man den Update einspielen, was ja nur ein bissel Zeit kostet, und dann ist man trotzdem nicht wirklich sicher das nicht irgendwas im BIOS verpfuscht wurde und das Backup nie wieder geht. Bei einer Maschine, die etliche tausend Euro pro Stunde Laufzeit kostet, will man das nicht wirklich. Ist der Haufen offline, verliert man keine Funktionalität und hat das Risiko nicht das man einen Updatebedingten Ausfall bezahlen muss. Die kleinen simplen Backups sind schnell gemacht, weil man nur einmal eine Komplettsicherung braucht (Windows usw.) und danach immer nur die Produktionsdaten sichert, quasi inkrementell, das dauert nur wenige Minuten...
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.