Neues vom Secure-Boot-Chaos von M$. Schon mal ein Teaser auf einen Artikel aus der kommenden c't: https://www.heise.de/ratgeber/Naechster-Akt-im-Secure-Boot-Drama-Startverbot-fuer-alle-Windows-Bootloader-9709428.html?wt_mc=nl.red.ct.ct-club.2024-05-14.link.link
Mein W10 läuft im "Legacy Mode", da jucken Peinlichkeiten mit "Secure Boot" überhaupt nicht.
Gerald B. schrieb: > Schon mal ein Teaser auf einen Artikel aus der kommenden c't: wen interessiert was hinter der Paywall vertrottelt ...
Eigentlich wird nur alles abgeschaltet, was via Secureboot gestartet wird. Wenn man den PC noch im Legacy CSM Modus(Bios MBR) laufen hat, dann sollte der auch noch nach 5 Jahren laufen, sofern kein Hardwareschaden eintritt.
Herbert Z. schrieb: > Mein W10 läuft im "Legacy Mode", da jucken Peinlichkeiten mit "Secure > Boot" überhaupt nicht. Du hast vermutlich das Update schon drauf, es muss nur noch scharf geschaltet werden. Windows manipuliert das BIOS immer, auch im CSM.
Also gut, lesen macht schlau. Ich weiß seit heute , dass es neben dem Bootloader von Microsoft auch diverse gibt die nicht von Microsoft sind. Sollte mit diesen Bootloadern es möglich sein über Sicherheitslücken "Secure Boot" zu umgehen, dann werden exakt diese von Microsoft gesperrt. Die damit verknüpften Anwendungen werden dann nicht mehr zu laden sein. Nichts übles nichts schreckliches ,ist so ok finde ich...
Herbert Z. schrieb: > Nichts übles nichts schreckliches ,ist so ok finde ich... Na klar, ist schon ok, wenn Microsoft bestimmt, was du mt deinem Rechner anstellen darfst. Leute gibts :-(
Das werden die bestimmt nicht machen. Das gäbe tausende Anzeigen wegen Computersabotage (§ 303b StGB).
Xxx X. schrieb: > Das werden die bestimmt nicht machen. Das gäbe tausende Anzeigen > wegen Computersabotage (§ 303b StGB). Ob wohl schon jemand probiert hat, MS damit aufs Korn zu nehmen? Die Idee hat was. Sogar in den Seufzern eines sehr mit Windows verheirateten Bekannten war unlängst Linux rauszuhören. Naja, eine Scheidung hat er schon durch. ;)
:
Bearbeitet durch User
(prx) A. K. schrieb: > Ob wohl schon jemand probiert hat, MS damit aufs Korn zu nehmen? Die > Idee hat was. Sogar in den Seufzern eines sehr mit Windows verheirateten > Bekannten war unlängst Linux rauszuhören. Naja, eine Scheidung hat er > schon durch. ;) Manchmal ist es so, dass nach einer "Scheidung" die Kacke in einer neuen Beziehung noch erheblich größer werden kann. Viele geben in der Schnupperehe schon auf und kehren reumütig zurück zu dem was sie immer als schlimm kritisiert haben. Merke: Es geht immer noch deutlich schlechter, egal worüber man unzufrieden ist.
:
Bearbeitet durch User
Sinus T. schrieb: > Na klar, ist schon ok, wenn Microsoft bestimmt, was du mt deinem Rechner > anstellen darfst. Wenn der Hacker seine Schadsoftware erst bei Microsoft zertifizieren muss, dann hilft das dem Internet ungemein. Wer ständig Hilfen feindselig gegenübersteht kann sich ja scheiden lassen.
Eine gut dokumentierte Schnittstelle gibt auch bösen Geistern die Möglichkeit, Übles anzustellen. Deshalb M$ die Gelegenheit genutzt, einzugreifen und andere auszusperren? Auf Dauer ist das natürlich Mist, wenn Zertifikate ungültig werden. UEFI-Boot https://de.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface
Secure Boot bootet auch Betriebssysteme mit Sicherheitslücken, daher ist dieser ganze Zinnober völlig sinnlos.
Sinus T. schrieb: > Na klar, ist schon ok, wenn Microsoft bestimmt, was du mt deinem Rechner > anstellen darfst. Deswegen war bei Secure Boot von Anfang an spezifiziert, dass man es abschalten kann. Leider halten sich nicht alle Computer-Hersteller daran. Spätestens da ist für mich der Punkt, wo die Hersteller ihre Marktmacht missbrauchen, also ein Fall für das Kartellamt.
Bei Secure Boot ist auch vorgesehen, dass der Eigentümer der Maschine eigene Zertifikate installieren kann. Den Machine Owner Key. Die Entscheidung, was booten darf und was nicht, liegt damit bei dem. Dass da Microsoft-Zertifikate vorinstalliert sind, ist eine Bequemlichkeits-Sache... Der Windows-Installer soll halt deppensicher funktionieren, ohne das man sich damit beschäftigen muss. Wenn diese Bequemlichkeits-Zertifikate auslaufen, gesperrt oder widerrufen werden, wird's halt komplizierter, alte Installer oder Bootloader zu verwenden. "Unbequem" ist aber was ganz Anderes als "Aussperren".
Moin, Auch diesesmal wird das hier schon gesagte abermals eintreten: Beitrag "Re: Birulki, Digitalelektronik – neue Mikrocontroller, neue ICs und Windows 11" Gruss WK
Steve van de Grens schrieb: > Deswegen war bei Secure Boot von Anfang an spezifiziert, dass man es > abschalten kann. Bei ARM Geräten spezifiziert MS meines Wissens immer noch, dass man es nicht abschalten können darf, und man keine eigenen Zertifikate hinzufügen können darf. Εrnst B. schrieb: > Bei Secure Boot ist auch vorgesehen, dass der Eigentümer der Maschine > eigene Zertifikate installieren kann. Den Machine Owner Key. Ich habe einen Server und einen Laptop. Beim Server ist es simpel. Im Bios das Zertifikat auswählen, fertig. Aber auf dem HP Laptop... Da müsste man die momentane CA mit irgendwelchen Tools extrahieren, das eigene Zertifikat hinzufügen, am richtigen Ort auf der EFI Partition ablegen, dann im Bios die Import Option auswählen, irgendwelche Codes abtippen, und dann hoffen, dass man sich nicht gerade das ganze System zerschossen hat, und man überhaupt noch ins BIOS kommt. Das war mir dann doch etwas zu heikel.
Die BIOS Versionen der Computer in meinem Haushalt haben auch keine offensichtliche Funktion zur Verwaltung der Zertifikate. Dazu muss man wohl zusätzliche Software verwenden. Blöderweise funktionieren derartige Tools von HP immer nur unter Windows.
Herbert Z. schrieb: > Wenn der Hacker seine Schadsoftware erst bei Microsoft zertifizieren > muss, dann hilft das dem Internet ungemein. Du hast einen Smiley vergessen. https://arstechnica.com/gadgets/2021/06/microsoft-digitally-signs-malicious-rootkit-driver/ Wahrscheinlich kann ein Hacker beliebige Zertifikate in Russland bekommen, bei Microsoft kommt ja öfter mal was weg: https://www.heise.de/news/Klatsche-fuer-Microsoft-US-Behoerde-wirft-MS-Sicherheitsversagen-vor-9674431.html https://www.heise.de/news/Cyber-Attacke-ueber-SolarWinds-Angreifer-hatten-Zugriff-auf-Microsoft-Quellcode-5001678.html https://www.wired.com/story/russia-hackers-microsoft-source-code/ Außerdem: wenn man UEFI oder den Bootloader angreifen will, macht man das doch von Windows aus? Ob man einen Trojaner irgendwo im Autostart, im Device Driver oder gleich im UEFI unterbringt, ist doch praktisch kein Unterschied.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.