Forum: PC Hard- und Software UEFI schreibschützen


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von Max (bio)


Lesenswert?

Guten Tag Gemeinde,
ich habe vor einigen Jahren das BIOS von meinem alten Computer 
schreibgeschützt, in dem ich den BIOS-Chip in einen Sockel gesteckt habe 
und dann den Writepin (WP) am Sockel abgeschnitten habe.
Hat prima funktioniert.
Das BIOS ließ sich nicht mehr beschreiben und war somit sicher.

Nun hatte ich dass bei meinem neuen Computer auch vor gehabt, und musste 
feststellen das wenn man den WP unterbricht der Computer nicht mehr 
startet.

Weiß vielleicht jemand warum warum diese Methode anscheinend bei einem 
UEFI nicht mehr funktioniert?

Und was ich tun könnte um mein BIOS "hacksicher" zu machen?

Grüße
Max

von Monk (roehrmond)


Lesenswert?

Max schrieb:
> wenn man den WP unterbricht der Computer nicht mehr startet.

Kann sein, das er dadurch einen zufälligen Pegel hatte, so dass dein 
BIOS nun verloren ist.

CMOS Chips haben hochohmige Eingänge, die muss man auf definierte Pegel 
(high/low) legen.

Es kann aber auch sein, dass die Software blockiert, wenn sie den Chip 
nicht beschreiben kann.

von Ob S. (Firma: 1984now) (observer)


Lesenswert?

Max schrieb:

> Nun hatte ich dass bei meinem neuen Computer auch vor gehabt, und musste
> feststellen das wenn man den WP unterbricht der Computer nicht mehr
> startet.

Das UEFI schreibt nur Änderungen der Konfiguration in den Flash. Du 
musst also vor dem Abklemmen dafür sorgen, dass es keine Änderungen mehr 
zu schreiben gibt. Dann fällt dem UEFI auch nicht auf, dass es den Flash 
nicht mehr beschreiben kann.

> Und was ich tun könnte um mein BIOS "hacksicher" zu machen?

Wirklich DU? Wohl nix. Da du ja offensichtlich nicht einmal dazu in der 
Lage bist, derart einfach Sachverhalte selbst zu ermitteln...

von Max (bio)


Lesenswert?

Ob S. schrieb:
> Max schrieb:
>
> Das UEFI schreibt nur Änderungen der Konfiguration in den Flash. Du
> musst also vor dem Abklemmen dafür sorgen, dass es keine Änderungen mehr
> zu schreiben gibt. Dann fällt dem UEFI auch nicht auf, dass es den Flash
> nicht mehr beschreiben kann.

Ich hatte das UEFI konfiguriert. Wenn es im Hintergrund nicht irgendwas 
schreibt, dann war zumindest von meiner Seite aus nicht's mehr zu 
erledigen.
Neustart hatte ich auch durchgeführt.

Ob S. schrieb:
> Max schrieb:
>
>> Und was ich tun könnte um mein BIOS "hacksicher" zu machen?
>
> Wirklich DU? Wohl nix. Da du ja offensichtlich nicht einmal dazu in der
> Lage bist, derart einfach Sachverhalte selbst zu ermitteln...

Schön das Du einen neuen Nutzer gleich mal zeigst wie erniedrigend es 
hier zu gehen kann.

Ich habe mich soweit es mir möglich war, vorher schon versucht, den 
Hintergrund des Problems zu finden. Leider erfolglos.
Solche Foren, wie hier, sind doch dazu da um Hilfe zu bekommen, sich 
auszutauschen, oder?

Ich bin ja nur ein "normaler PC Benutzer".
Wenn ich firm genug wäre, dann hätte ich mich wohl auch nicht an ein 
Forum wenden müssen.

Oder dient so ein Forum einigen nur dazu sich über andere zu stellen und 
zu diffamieren?

Grüße
Max

von Max (bio)


Lesenswert?

Steve van de Grens schrieb:
> Max schrieb:
>> wenn man den WP unterbricht der Computer nicht mehr startet.
>
> Kann sein, das er dadurch einen zufälligen Pegel hatte, so dass dein
> BIOS nun verloren ist.
>
> CMOS Chips haben hochohmige Eingänge, die muss man auf definierte Pegel
> (high/low) legen.
>
> Es kann aber auch sein, dass die Software blockiert, wenn sie den Chip
> nicht beschreiben kann.

Hallo Steve,
danke für Deine Antwort.

Ich werde wohl einen neuen Bios-Chip flashen und auf das Mainboard 
auflöten.
Mal sehen ob der Rechner dann wieder funktioniert.
Ich hatte nämlich nach dem Update und der Konfiguration einfach den WP 
durchgeschnitten.
Denn mal ehrlich, wenn der Rechner läuft und man die Hardware nicht 
ändert, dann braucht man im Regelfall auch kein Biosupdate.

Hast Du vielleicht einen Tipp wie ich das UEFI "hacksicher" machen kann?

Grüße
Max

von Ob S. (Firma: 1984now) (observer)


Lesenswert?

Max schrieb:

> Ich bin ja nur ein "normaler PC Benutzer".

Dann lass' einfach die Finger von der Hardware, deren Zusammenspiel mit 
der Software du nicht verstehst.

von Max (bio)


Lesenswert?

Ob S. schrieb:
> Max schrieb:
>
>> Ich bin ja nur ein "normaler PC Benutzer".
>
> Dann lass' einfach die Finger von der Hardware, deren Zusammenspiel mit
> der Software du nicht verstehst.

Danke für den Versuch mich an meiner Weiterentwicklung zu hindern.

Grüße
Max

von Dieter D. (Firma: Hobbytheoretiker) (dieter_1234)


Lesenswert?

Max schrieb:
> einen Tipp

Habe ich nicht, aber es koennte sein, dass ME schreiben koennen muss.

https://www.heise.de/select/ct/2017/4/1487336443921024

ME-Blockade
Linux-Tüftler schalten Intels Management Engine aus
Datenschützer kritisieren die sogenannte Management Engine in allen 
Systemen mit Intel-Prozessoren. Durch Firmware-Modifikationen lässt sie 
sich bei vielen Rechnern aushebeln.

von Andreas M. (amesser)


Lesenswert?

Heutige Flash ICs werden oft im QSPI Modus betrieben. Der WP Pin ist 
dann eine Datenleitung....

von Max (bio)


Lesenswert?

Dieter D. schrieb:
> Max schrieb:
>> einen Tipp
>
> Habe ich nicht, aber es koennte sein, dass ME schreiben koennen muss.
>
> https://www.heise.de/select/ct/2017/4/1487336443921024
>
> ME-Blockade
> Linux-Tüftler schalten Intels Management Engine aus
> Datenschützer kritisieren die sogenannte Management Engine in allen
> Systemen mit Intel-Prozessoren. Durch Firmware-Modifikationen lässt sie
> sich bei vielen Rechnern aushebeln.

Moin Dieter,
danke für Deinen Hinweis.
Der Überwachungswahn nimmt ja echt kein Ende.
So langsam glaube ich dass man mit einem "neuen" Computer heute in 
Sachen Datenschutz und Schutz der Privatsphäre nicht mehr auf einen 
Grünen Zweig kommt.

Ich wäre ja fast gewillt mir ein AMD Mainboard und Prozessor zu kaufen, 
nur um die Sache mit dem BIOS/UEFI und dem WP auszuprobieren.

Grüße
Max

von Reinhard S. (rezz)


Lesenswert?

Max schrieb:
> Ich wäre ja fast gewillt mir ein AMD Mainboard und Prozessor zu kaufen,
> nur um die Sache mit dem BIOS/UEFI und dem WP auszuprobieren.

Wobei mir persönlich die Hardware relativ egal ist, wenn der 
Datenabfluss in erster Linie per Software passiert.

von Max (bio)


Lesenswert?

Andreas M. schrieb:
> Heutige Flash ICs werden oft im QSPI Modus betrieben. Der WP Pin ist
> dann eine Datenleitung....

Moin Andreas,
habe im Datenblatt des Mikrochips gelesen, und QSPI kommt da nicht vor. 
Dafür (ich vermute) der Vorläufer QPI.

Demnach hast Du wohl Recht.
Der Pin 3 (SIO2) wird dort auch nicht mehr als WP geführt (siehe Seite 
6).
https://www.macronix.com/Lists/Datasheet/Attachments/8935/MX25L12872F,%203V,%20128Mb,%20v1.1.pdf

Somit ist wohl klar was das Problem im ist.

Der Schreibschutzpin wurde "wegrationalisiert" bzw. umbelegt.

Also neuen Chip flashen, auflöten und dann war es dass.

....ich glaub ich werde wohl besser Amish. :D

Grüße
Max

von Max (bio)


Lesenswert?

Reinhard S. schrieb:
> Max schrieb:
>> Ich wäre ja fast gewillt mir ein AMD Mainboard und Prozessor zu kaufen,
>> nur um die Sache mit dem BIOS/UEFI und dem WP auszuprobieren.
>
> Wobei mir persönlich die Hardware relativ egal ist, wenn der
> Datenabfluss in erster Linie per Software passiert.

Wie meinst Du dass?

von Peter M. (r2d3)


Lesenswert?

Hallo Max,

das UEFI-Bios sicher zu machen ist für Dich vermutlich nur ein Aspekt 
eines Gesamtkonzepts. Wenn Dein UEFI-Bios schon eine Lücke enthält, 
würdest Du sie gut konservieren.
Wie viele Schmerzen bist Du bereit zu ertragen?

Du müsstest Dich mit dem Thema coreboot, Openbios, Intel Management 
Engine und ihrem AMD-Pendant auseinandersetzen.
Wieso reserviert sich Microsoft eigentlich eine leere Partition?

Nicht alle linuxoiden Betriebssysteme sind gleich sicher.

von Rolf (rolf22)


Lesenswert?

Max schrieb:
> Das BIOS ließ sich nicht mehr beschreiben und war somit sicher.

Vorsicht: Das BIOS mag änderungsgeschützt und dennoch unsicher sein. Ein 
heutiges Bios hat nämlich eine böse Sicherheitslücke. Das von Microsoft 
ersonnene Abhilfe-Verfahren kann dazu führen, dass der Rechner niemals 
mehr startet.
https://support.microsoft.com/de-de/topic/kb5025885-verwalten-der-windows-start-manager-sperrungen-für-secure-boot-Änderungen-im-zusammenhang-mit-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d

Das Problem betrifft nicht nur Windows sondern auch Linux, weil das 
Nicht-Windows-Zertifikat von Microsoft, das im UEFI-Bios liegt, 
ebenfalls abläuft.

Alles ein ziemliches Durcheinander. Besser zusätzlich zu dem obigen 
MS-Text die c't Nr. 12/2024 lesen, die gerade am Kiosk liegt.

> Und was ich tun könnte um mein BIOS "hacksicher" zu machen?

Ein vernünftiges BIOS hat eine Schreibschutzeinstellung. Außerdem lässt 
es sich nur von einer Software überschreiben, die mit einer Signatur 
geschützt ist, deren Schlüssel vom Hersteller geheim gehalten wird. Mehr 
kannst du nicht tun, wenn du den Rechner ans Internet hängen willst.

: Bearbeitet durch User
von Max (bio)


Lesenswert?

Peter M. schrieb:
> Hallo Max,
>
> das UEFI-Bios sicher zu machen ist für Dich vermutlich nur ein Aspekt
> eines Gesamtkonzepts. Wenn Dein UEFI-Bios schon eine Lücke enthält,
> würdest Du sie gut konservieren.
> Wie viele Schmerzen bist Du bereit zu ertragen?
>
> Du müsstest Dich mit dem Thema coreboot, Openbios, Intel Management
> Engine und ihrem AMD-Pendant auseinandersetzen.
> Wieso reserviert sich Microsoft eigentlich eine leere Partition?
>
> Nicht alle linuxoiden Betriebssysteme sind gleich sicher.

Guten Abend Peter,
danke für Deine Hinweise.
Da gibt es ja eine Menge zu lesen und zu lernen.
Openbios hatte ich schon mal gehört. Ist mir aber wieder entfallen.
Wird bestimmt eine ganze Zeit dauern, bis ich damit durch bin.

Wie sicher schätzt Du Ubuntu/Kubuntu ein?

Grüße
Max

von Max (bio)


Lesenswert?

Rolf schrieb:
> Max schrieb:
>> Das BIOS ließ sich nicht mehr beschreiben und war somit sicher.
>
> Vorsicht: Das BIOS mag änderungsgeschützt und dennoch unsicher sein. Ein
> heutiges Bios hat nämlich eine böse Sicherheitslücke. Das von Microsoft
> ersonnene Abhilfe-Verfahren kann dazu führen, dass der Rechner niemals
> mehr startet.
> 
https://support.microsoft.com/de-de/topic/kb5025885-verwalten-der-windows-start-manager-sperrungen-für-secure-boot-Änderungen-im-zusammenhang-mit-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d
>
> Das Problem betrifft nicht nur Windows sondern auch Linux, weil das
> Nicht-Windows-Zertifikat von Microsoft, das im UEFI-Bios liegt,
> ebenfalls abläuft.
>
> Alles ein ziemliches Durcheinander. Besser zusätzlich zu dem obigen
> MS-Text die c't Nr. 12/2024 lesen, die gerade am Kiosk liegt.
>
>> Und was ich tun könnte um mein BIOS "hacksicher" zu machen?
>
> Ein vernünftiges BIOS hat eine Schreibschutzeinstellung. Außerdem lässt
> es sich nur von einer Software überschreiben, die mit einer Signatur
> geschützt ist, deren Schlüssel vom Hersteller geheim gehalten wird. Mehr
> kannst du nicht tun, wenn du den Rechner ans Internet hängen willst.

C't Nr. 12/2024...
Mal sehen ob ich die Morgen noch bekommen kann.

Schreibschutzeinstellung:
Du meinst sicher Secureboot.
Da ich unter Anderem Kubuntu benutze, ist es anscheinend nicht 
verfügbar.

Das ganz Thema ist echt eine vertrackte Sache.
Auf der einen Seite werden Datenschutzgesetze erlassen. Und auf der 
anderen Seite mindestens denen, die diese erlassen Tür und Tor geöffnet.
Blöde neue Welt.

Grüße
Max

von Monk (roehrmond)


Lesenswert?

Max schrieb:
> Hast Du vielleicht einen Tipp wie ich das UEFI "hacksicher" machen kann?

Ich kenne die Eigenheiten deines Mainboardes nicht, und der Hersteller 
wird sie wohl kaum verraten. Also wenn da nichts in der Anleitung des 
Boardes steht, dann ist das nicht vorgesehen, und damit solltest du dich 
abfinden.

Ein Schreibschutz Jumper habe ich das letzte mal vor etwa 25 Jahren 
gesehen.

von Peter M. (r2d3)


Lesenswert?

Hallo Max,

Max schrieb:
> Guten Abend Peter,
> danke für Deine Hinweise.
> Da gibt es ja eine Menge zu lesen und zu lernen.
> Openbios hatte ich schon mal gehört. Ist mir aber wieder entfallen.
> Wird bestimmt eine ganze Zeit dauern, bis ich damit durch bin.
>
> Wie sicher schätzt Du Ubuntu/Kubuntu ein?

Keine Ahnung!
Mein Gehirn v1.0 hat aber gespeichert, dass der Geldgeber von Ubuntu, 
Marc Shuttleworth oder so ähnlich irgendso eine 
Reporting-Nach-Hause-Telefonieren hat einbauen lassen.

Aber die abstrakte Frage nach "Sicherheit" kann man eigentlich nur
mit der von Buchautor Douglas Adams bekannten Zahl "42" kommentieren.

Weiter oben schreibst Du etwas von:
"Datenschutz und Schutz der Privatsphäre"

Aber das ist auch noch viel zu unspezifisch.

Du musst schon konkret sagen, was genau Du wovor schützen willst, 
ansonsten  gibt es hier nur Metablublaberei.

Und da Dein Bios-Thema nur ein Bruchteil des Thema "Sicherheit" 
ausmacht, darfst Du Dich nicht wundern, dass Dir die Leute durch's 
Fenster im Ergeschosss einsteigen, während Du stolz wie Oskar die 
Kellerfenster abgesichert hast.

von Monk (roehrmond)


Lesenswert?

Max schrieb:
> Der Überwachungswahn nimmt ja echt kein Ende.

Das ist paranoid.

> So langsam glaube ich dass man mit einem "neuen" Computer heute in
> Sachen Datenschutz und Schutz der Privatsphäre nicht mehr auf einen
> Grünen Zweig kommt.

Du must den Herstellern deiner Geräte und Programme vertrauen, sowie den 
Dienstleistern, mit denen du zu tun hast. Das war schon immer so. Wenn 
du ihnen nicht vertrauen kannst, dann lass es halt. Rum meckern bringt 
nichts.

Max schrieb:
> Wie sicher schätzt Du Ubuntu/Kubuntu ein?

Mir ist von denen kein Datenschutz-Gau bekannt, darum vertraue ich der 
Firma Canonical. Noch mehr vertraue ich Debian, weil diese Distribution 
aus Deutschland kommt (kein "America first").

: Bearbeitet durch User
von Thomas W. (dbstw)


Lesenswert?

Ihr wisst schon, dass das wesentliche Problem SecureBoot ist? Schaltest 
SecureBoot ab/aus, dann sind die Probleme in 
Beitrag "Re: UEFI schreibschützen" schlagartig nicht 
mehr so kritisch.

Mein wesentliches Problem mit dem Microsoft-Produkten ist, dass es nach 
hause telefoniert (Telemetriedaten, die aber nicht offengelegt werden). 
Ansonsten muss ich natuerlich MS und Mozzilla vertrauen dass meine Daten 
nicht ausgeleitet werden. Ich schaetze das BIOS-Problem fuer ein sehr 
geringes Risiko (vollen Bauch Risikoabschaetzung) verglichen mit Einsatz 
von Google- oder Apple-Produkten.

Ubuntu hatte (vor ca. 10 Jahren) auch angefangen, Telemetriedaten sogar 
an "interested Parties" zu verschicken. Dauert nur einen Release.

Fuer Server et al. bevorzuge ich Debian.

: Bearbeitet durch User
von Dieter D. (Firma: Hobbytheoretiker) (dieter_1234)


Lesenswert?

Zumindest in Verbindung mit einem Notebook gibt es einen Hersteller, der 
eine Alternative anbietet:
https://novacustom.com/de/coreboot-laptop/

Es gibt auch eine Kampagne für ein freies BIOS:
https://www.fsf.org/campaigns/free-bios.htmlhttps://coreboot.org/status/board-status.html
Dort wird auch auf coreboot verwiesen.

Du kannst ja mal schauen, ob Dein Board dort gelistet ist:
https://coreboot.org/status/board-status.html

von Manfred P. (pruckelfred)


Lesenswert?

Max schrieb:
> C't Nr. 12/2024...
> Mal sehen ob ich die Morgen noch bekommen kann.
https://novafile.org/file/03rkzsewflhj

von Harald K. (kirnbichler)


Lesenswert?

Manne, das war jetzt nicht die hellste Kerze auf der Torte.

von Rolf (rolf22)


Lesenswert?

Max schrieb:
> Schreibschutzeinstellung:
> Du meinst sicher Secureboot.

Nein. Secureboot funktioniert so:
Beim Einschalten des Rechners sucht das UEFI-Bios auf dem Datenträger 
nach einem Bootlader. Wenn einer gefunden wird, prüft das Bios, ob es 
für diesen Bootlader ein gültiges Zertifikat besitzt. Wenn nicht, dann 
bootet der Rechner einfach nicht, denn dann könnte der Bootlader 
böswilligen Code enthalten, der schon vor dem Start des BS ausgeführt 
wird und deshalb vom BS, von Virenscannern usw. nicht erkannt werden 
kann.
Die Zertifikate sind im Bios gespeichert. Um ein Zertifikat zu ergänzen 
oder ungültig zu machen, braucht man also Schreibzugriff.

von Rolf (rolf22)


Lesenswert?

Thomas W. schrieb:
> Ihr wisst schon, dass das wesentliche Problem SecureBoot ist? Schaltest
> SecureBoot ab/aus, dann sind die Probleme in
> Beitrag "Re: UEFI schreibschützen" schlagartig nicht
> mehr so kritisch.

Richtig, wenn man SecureBoot abschaltet, startet der Rechner immer 
problemlos. Das ist wie "Der Schlüssel unter der Matte", damit 
verhinderst du, dass du dich versehentlich aussperrst – mehr nicht.
Es ermöglicht aber, dass ein böser Mensch den Schlüssel nimmt, ihn 
kopiert und später wann immer er Lust hat, ungesehen rein und raus gehen 
kann. Genau das ist die Sicherheitslücke, die Microsoft schließen will.

> Mein wesentliches Problem mit dem Microsoft-Produkten ist, dass es nach
> hause telefoniert (Telemetriedaten, die aber nicht offengelegt werden).

Wenn jemand dir einen anderen Bootlader unterjubelt, dann will der 
Bankdaten erbeuten, deine Identität fälschen, persönliche Daten zwecks 
Missbrauch lesen, deine Daten löschen und noch so Einiges. Wenn der z. 
B. ausspioniert, welche Webseiten du besuchst, dann zum Beispiel, weil 
er nach www.aids-beratung.de oder www.scheidungsanwalt.de sucht, womit 
er dich erpressen/verunglimpfen kann.
DAS alles wird Microsoft sicher nicht tun wollen.

von Andreas M. (amesser)


Lesenswert?

Steve van de Grens schrieb:
> Noch mehr vertraue ich Debian, weil diese Distribution
> aus Deutschland kommt (kein "America first").

Nein kommt sie nicht. Wie kommst Du darauf? Ian ist zwar in Deutschland 
geboren, war zur Zeit von Debian aber schon lange in den USA.

Es gibt nicht "den Ort" wo Debian her kommt. Es ist ein weltweites 
Projekt.

von Daniel A. (daniel-a)


Lesenswert?

Max schrieb:
> Ich wäre ja fast gewillt mir ein AMD Mainboard und Prozessor zu kaufen,
> nur um die Sache mit dem BIOS/UEFI und dem WP auszuprobieren.

Ich glaube kaum, dass die Intel ME da viel mit dem Problem zu tun hat. 
Der Vollständigkeit Haber sei aber gesagt:
Intel -> ME
AMD -> PSP
ARM -> TrustZone
RISC-V -> MultiZone

Ja, der scheiss ist überall.

von Peter D. (peda)


Lesenswert?

Max schrieb:
> und dann den Writepin (WP) am Sockel abgeschnitten habe.

Dann hast Du wohl riesen Glück gehabt und der Flash Chip hat intern 
einen Pullup an WP.

von Peter M. (r2d3)


Lesenswert?

Hallo Daniel A.,

Daniel A. schrieb:

> Intel -> ME
> AMD -> PSP
> ARM -> TrustZone
> RISC-V -> MultiZone
>
> Ja, der scheiss ist überall.

danke für den Hinweis auch auf ARM und RISC-V-Plattformen!
Beim Abschnorcheln gilt das Motto "Wer zuerst kommt, saugt zuerst!", 
bzw. wer zuerst kommt, kann eventuell von den später startenden nicht 
gefunden werden.

von Reinhard S. (rezz)


Lesenswert?

Max schrieb:
>> Wobei mir persönlich die Hardware relativ egal ist, wenn der
>> Datenabfluss in erster Linie per Software passiert.
>
> Wie meinst Du dass?

Was nutzt dir ein schreibgeschütztes UEFI, wenn das OS, der Browser, 
andere Programme und der Nutzer fleißig Daten sammeln und verschicken?

: Bearbeitet durch User
von Sim (Gast)


Lesenswert?

Max schrieb:
> Schön das Du einen neuen Nutzer gleich mal zeigst wie erniedrigend es
> hier zu gehen kann.

nichteinmal ignorieren - solch eine Forenzickenhorde gibts in jedem 
Forum. Sind harmlos und sind leicht mit einem Wackeldackel zu 
erschrecken.

 setze die auf "ignore" und gut ist ;)

von Max (bio)


Lesenswert?

Max schrieb:
> Steve van de Grens schrieb:
>> Max schrieb:
>>> wenn man den WP unterbricht der Computer nicht mehr startet.
>>
>> Kann sein, das er dadurch einen zufälligen Pegel hatte, so dass dein
>> BIOS nun verloren ist.
>>
>> CMOS Chips haben hochohmige Eingänge, die muss man auf definierte Pegel
>> (high/low) legen.
>>
>> Es kann aber auch sein, dass die Software blockiert, wenn sie den Chip
>> nicht beschreiben kann.
>
> Hallo Steve,
> danke für Deine Antwort.
>
> Ich werde wohl einen neuen Bios-Chip flashen und auf das Mainboard
> auflöten.
> Mal sehen ob der Rechner dann wieder funktioniert.
> Ich hatte nämlich nach dem Update und der Konfiguration einfach den WP
> durchgeschnitten.
> Denn mal ehrlich, wenn der Rechner läuft und man die Hardware nicht
> ändert, dann braucht man im Regelfall auch kein Biosupdate.
>
> Hast Du vielleicht einen Tipp wie ich das UEFI "hacksicher" machen kann?
>
> Grüße
> Max
Moin Steve,
nun habe ich einen neuen Bios-chip geflshed und auf das Mainboard 
gelötet.
Einschalten lässt es sich nicht mehr.
Da ist wohl auf der Platine etwas durchgeschmort.
Keine Ahnung wie es jetzt weitergehen soll.
Vermutlich fehlen mir die Technischen Mittel um herauszufinden was damit 
los ist.
Dann ist das Mainboard wohl für mich verloren.

Gruß
Max

von Max (bio)


Lesenswert?

Rolf schrieb:
> Max schrieb:
>> Das BIOS ließ sich nicht mehr beschreiben und war somit sicher.
>
> Vorsicht: Das BIOS mag änderungsgeschützt und dennoch unsicher sein. Ein
> heutiges Bios hat nämlich eine böse Sicherheitslücke. Das von Microsoft
> ersonnene Abhilfe-Verfahren kann dazu führen, dass der Rechner niemals
> mehr startet.
> 
https://support.microsoft.com/de-de/topic/kb5025885-verwalten-der-windows-start-manager-sperrungen-für-secure-boot-Änderungen-im-zusammenhang-mit-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d
>
> Das Problem betrifft nicht nur Windows sondern auch Linux, weil das
> Nicht-Windows-Zertifikat von Microsoft, das im UEFI-Bios liegt,
> ebenfalls abläuft.

Moin Rolf,
letztlich ist es geplante Obsolescence.
Muttererde wird sich über so ein nachhaltiges Geschäftsgebaren bestimmt 
sehr freuen.
Für mich sind die alle Verbrecher.

Grüße
Max

von Max (bio)


Lesenswert?

Steve van de Grens schrieb:
> Max schrieb:
>> Hast Du vielleicht einen Tipp wie ich das UEFI "hacksicher" machen kann?
>
> Ich kenne die Eigenheiten deines Mainboardes nicht, und der Hersteller
> wird sie wohl kaum verraten. Also wenn da nichts in der Anleitung des
> Boardes steht, dann ist das nicht vorgesehen, und damit solltest du dich
> abfinden.
>
> Ein Schreibschutz Jumper habe ich das letzte mal vor etwa 25 Jahren
> gesehen.

Wenn man an der Sicherheit der Kunden wirklich interessiert wäre, dann 
würde man auf jeden Fall eine "mechanische "Schreibschutzsicherung" 
einbauen.

Irgendwie wird das Thema Datensicherheit immer absurder.

Frage mich wie lange es noch dauert bis bis die komplett hirnlosen 
Menschen sich freiwillig einen Chip ins Gehirn pflanzen lassen.

Grüße
Max

von Max (bio)


Lesenswert?

Steve van de Grens schrieb:
> Max schrieb:
>> Der Überwachungswahn nimmt ja echt kein Ende.
>
> Das ist paranoid.
>
Nein, daß ist realistisch gedacht.
Ich denke dass dass es klar ist, daß alle Hersteller letztendlich für 
sich selber und sogenannte Regierungen spionieren.

Letztlich geht es ja immer nur um -Geld - Macht - Kontrolle.

Grüße
Max

von Max (bio)


Lesenswert?

Thomas W. schrieb:
> Ihr wisst schon, dass das wesentliche Problem SecureBoot ist? Schaltest
> SecureBoot ab/aus, dann sind die Probleme in
> Beitrag "Re: UEFI schreibschützen" schlagartig nicht
> mehr so kritisch.
>
> Mein wesentliches Problem mit dem Microsoft-Produkten ist, dass es nach
> hause telefoniert (Telemetriedaten, die aber nicht offengelegt werden).
> Ansonsten muss ich natuerlich MS und Mozzilla vertrauen dass meine Daten
> nicht ausgeleitet werden. Ich schaetze das BIOS-Problem fuer ein sehr
> geringes Risiko (vollen Bauch Risikoabschaetzung) verglichen mit Einsatz
> von Google- oder Apple-Produkten.

Gegen die Hersteller und ihre Lakaien kann man sich letztendlich, 
wahrscheinlich sowieso nicht 100%ig zur Wehr setzen.
Letztlich läuft es sowie nur auf Schadensbegrenzung hinaus.

Wie Du halt schreibst ....Mozilla und Co., andere Programme, Tools.
Irgendeine Lücke gibt es wahrscheinlich immer.

Was mich aber wirklich stört ist, daß es Privatpersonen sind die in die 
Privatsphäre von Menschen eindringen.
Jemand der sowas macht ist von meiner Seite aus gesehen einfach nur 
sch.iße und hat damit, dadurch sein Anrecht auf Privatsphäre verloren. 
Wer andere "hacked" darf auch gehackt werden.

Grüße
Max

von Max (bio)


Lesenswert?

Dieter D. schrieb:
> Zumindest in Verbindung mit einem Notebook gibt es einen Hersteller, der
> eine Alternative anbietet:
> https://novacustom.com/de/coreboot-laptop/
>
> Es gibt auch eine Kampagne für ein freies BIOS:
> 
https://www.fsf.org/campaigns/free-bios.htmlhttps://coreboot.org/status/board-status.html
> Dort wird auch auf coreboot verwiesen.
>
> Du kannst ja mal schauen, ob Dein Board dort gelistet ist:
> https://coreboot.org/status/board-status.html

Moin Dieter,
ich habe mich da jetzt durchgeklickt, und ich muss sagen, daß die 
Mainboard und Laptops, Notebooks, alle echt sehr alt sind.
Wenn ich einen maximalen Schnitt machen müsste, dann würde ich sagen, 
daß die Liste bei ca. 2015 aufhört.
Mein Board ist dort leider nicht gelistet.
Nun ist es ja anscheinend auch kaputt.
Da ich aber die restlichen Komponenten nicht verkaufen oder in die Tonne 
hauen will, habe ich mir das selbe Board noch mal gekauft.
Mal abwarten ob alle anderen Teile (CPU, Speicher usw.) noch heile sind.

https://www.fsf.org/campaigns/free-bios.html
Die dort angegebenen Geräte sind in erster Linie Laptops.
Und wenn ich dass richtig verstanden habe, dann muss man da auch wieder 
dran rumlöten.
Kostet dann auch wieder Geld (Gerät kaufen) und ob ich da momentan Lust 
und Zeit für habe weiß ich auch noch nicht.
Schlimm, dass es immer kompliziert werden muss.
Die Hersteller von "Computern" sind wirklich nicht unsere Freunde.

Gruß
Max

: Bearbeitet durch User
Beitrag #7672500 wurde vom Autor gelöscht.
von Max (bio)


Lesenswert?

Sim schrieb:
> Max schrieb:
>> Schön das Du einen neuen Nutzer gleich mal zeigst wie erniedrigend es
>> hier zu gehen kann.
>
> nichteinmal ignorieren - solch eine Forenzickenhorde gibts in jedem
> Forum. Sind harmlos und sind leicht mit einem Wackeldackel zu
> erschrecken.
>
>  setze die auf "ignore" und gut ist ;)

Habe ihn einfach beim Admin gemeldet.
Beleidigen lasse ich mich ja nun nicht.

Grüße
Max

von Max (bio)


Angehängte Dateien:

Lesenswert?

Andreas M. schrieb:
> Heutige Flash ICs werden oft im QSPI Modus betrieben. Der WP Pin ist
> dann eine Datenleitung....

Moin Andreas,
damit hattest Du wohl recht.

Ich habe hier noch ein anderes, älteres Mainboard. - Asus P8H61-MX USB 
3.0 .
Der Bioschip ist ein - Winboand 25Q64FVAIG.
Im Datenbaltt steht wieder etwas von QPI. Der Chip selber ist auf einem 
Stecksockel moniert.
Ich vermute mal das anhand des Übertragungsprotokolls (QPI) der WP auch 
wieder Datenleitung ist, und den WP totlegen daher auch nicht 
funktioniert. Zumal es wieder mal ein UEFI ist.

Kann mir bitte jemand sagen ob dass so richtig ist?

Grüße
Max

von Εrnst B. (ernst)


Lesenswert?

Max schrieb:
> Der Chip selber ist auf einem Stecksockel moniert.

Perfekte Chance zur Paranoia-Kontrolle:

Lass den Schreibschutz weg, zieh den Chip raus, mach ein Image, pack ihn 
wieder rein, installier Windows, installier Windows-Updates usw., benutz 
den Rechner eine Weile "ganz normal", dann zieh ein neues Image vom 
Chip, und vergleiche.

Solange du im Test-Zeitraum kein Bios-Update gefahren hast oder groß an 
den Einstellungen gedreht hast, sollten die Änderungen sehr 
übersichtlich sein...

Die Spionage-Software-Entwickler sind ja nicht blöde... Warum sollte man 
die mühsam gesammelten privaten Daten vom Anwender im Bios-Flash-Chip 
speichern, wo gerade mal ein paar Megabyte reinpassen, oder im TPM Chip, 
wo nach ein paar Kilobyte schon Schluss ist... Der Rechner hat ja auch 
noch eine Festplatte/SSD auf der man Gigabyteweise Daten unterbringen 
kann, ohne das es groß auffällt.

von Dieter D. (Firma: Hobbytheoretiker) (dieter_1234)


Lesenswert?

Max schrieb:
> Schlimm, dass es immer kompliziert werden muss.

Wegen UEFI SecureBoot und TP-Chip gab es kaum Infos.
Hacken könnte eventuell mit dem § 202a StGB einen Konflikt verursachen.

> Die Hersteller von "Computern" sind wirklich nicht unsere Freunde.

Die Hersteller wollen alle nur unser Bestes.
Sie wollen nur unser Geld.

Ein Hersteller muss Umsatz machen und Geld verdienen, wie jeder 
Hersteller.

von Dieter D. (Firma: Hobbytheoretiker) (dieter_1234)


Lesenswert?

Εrnst B. schrieb:
> Perfekte Chance zur Paranoia-Kontrolle:

Nachdem ich schon mal einen Rechner mit einem BIOS-Virus hatte, ist das 
schon gut, wenn der Chip ausgetauscht werden kann.

Gerade in Bereichen, die für die IT-Sicherheit zuständig sind, wie z.B. 
ein Bundesamt für Cyber- und Informationssicherheit würde ich erwarten, 
dass da solche Mainboards verbaut sind und auch genügend 
BIOS-Ersatzchips, sowie Flashgeräte vorhanden sind.

von Max (bio)


Lesenswert?

Εrnst B. schrieb:
> Max schrieb:
>> Der Chip selber ist auf einem Stecksockel moniert.
>
> Perfekte Chance zur Paranoia-Kontrolle:
>
> Lass den Schreibschutz weg, zieh den Chip raus, mach ein Image, pack ihn
> wieder rein, installier Windows, installier Windows-Updates usw., benutz
> den Rechner eine Weile "ganz normal", dann zieh ein neues Image vom
> Chip, und vergleiche.
>
Was meinst Du mit "lass den Schreibschutz weg"?
Also alles original so lassen wie es ist?

> Solange du im Test-Zeitraum kein Bios-Update gefahren hast oder groß an
> den Einstellungen gedreht hast, sollten die Änderungen sehr
> übersichtlich sein...

Moin Ernst,
wenn ich ein Bios auslese, dann bekomme ich ja nur "kryptische" 
Zahlen-Buchstabenkombinationen angezeigt.
Wirklich etwas lesen kann ich da ja nicht, weiß also auch nicht was es 
ist, zu bedeuten hat.
Gibt es die Möglichkeit das Angezeigte in etwas lesbares zu wandeln?

Grüße
Max

von Max (bio)


Lesenswert?

Dieter D. schrieb:
> Max schrieb:
>> Schlimm, dass es immer kompliziert werden muss.
>
> Wegen UEFI SecureBoot und TP-Chip gab es kaum Infos.
> Hacken könnte eventuell mit dem § 202a StGB einen Konflikt verursachen.
>
Die Strafe/n halte ich für sehr lasch, bedenkt man das man ja auch an 
Menschen geraten könnte die ein Unternehmen führen, Geheimnisträger sind 
oder vielleicht "Erfinder". Meiner Meinung nach sollte mit in die 
Bestrafung ein langes Verbot zur Nutzung von Geräten/Endgeräten und/oder 
Programmen/Tools ausgesprochen werden, mit denen man andere "anhacken" 
kann.
>> Die Hersteller von "Computern" sind wirklich nicht unsere Freunde.
>
> Die Hersteller wollen alle nur unser Bestes.
> Sie wollen nur unser Geld.
>
Aber meinst Du dass es nötig ist Daten von Kunden abzusaugen um das 
Geschäft am Leben zu halten?
Wenn man so was machen muss, dann kann der Laden ja wohl nicht 
wirtschaftlich korrekt geführt worden sein.

Das Problem bei denen ist ja dass sie der Meinung sind, dass wenn sie im 
Vorjahr einen Gewinn von 3 Milliarden gemacht haben und nun "nur noch" 
einen Gewinn von 2 Milliarden haben, es ein Minus ist.

Auf so einen bekloppten Gedankengang muss man erst mal kommen.
Ein Plus ist ein Plus und kein Minus.

Gruß
Max

von Andreas M. (amesser)


Lesenswert?

Max schrieb:
> Ich vermute mal das anhand des Übertragungsprotokolls (QPI) der WP auch
> wieder Datenleitung ist, und den WP totlegen daher auch nicht
> funktioniert. Zumal es wieder mal ein UEFI ist.
>
> Kann mir bitte jemand sagen ob dass so richtig ist?

So pauschal kann man das nicht sagen. Die Dual/Quad SPI Modi gibt es bei 
Flashes schon sehr lange. Die müssen vom Master jedoch zunächst erst 
aktiviert werden. Erst dann werden der WP und HOLD Pin zu Datenleitungen 
und MISO/MOSI zu Bidirektionalen Signalen. Solange das nicht aktiviert 
wurde, verhält sich der Flash wie gehabt. Das kann also je nach 
Mainboard/CPU/Chipsatz anders sein.

Eventuell noch interessant ist, die Einstellung SPI/Dual-SPI/Quad-SPI in 
den Flashes auch gerne permanent gespeichert wird. D.h. der Baustein 
merkt sich die letzte Einstellung und startet dann damit.

von Max (bio)


Lesenswert?

Dieter D. schrieb:
> Εrnst B. schrieb:
>> Perfekte Chance zur Paranoia-Kontrolle:
>
> Nachdem ich schon mal einen Rechner mit einem BIOS-Virus hatte, ist das
> schon gut, wenn der Chip ausgetauscht werden kann.
>
> Gerade in Bereichen, die für die IT-Sicherheit zuständig sind, wie z.B.
> ein Bundesamt für Cyber- und Informationssicherheit würde ich erwarten,
> dass da solche Mainboards verbaut sind und auch genügend
> BIOS-Ersatzchips, sowie Flashgeräte vorhanden sind.

Ich hatte mal zwei Chips die ich neu geflashed hatte, also auch "erased" 
habe.
Nur war es so dass der Chip anscheinend nicht komplett gelöscht worden 
ist.
Hat mich gewundert, hatte ich doch einen Programmer benutzt.
Anscheinend gibt es auch Möglichkeiten einen Chip so zu manipulieren, 
daß dieser nicht richtig, vollständig gelöscht werden kann.

Weiß da jemand was drüber?

Grüße
Max

von Monk (roehrmond)


Lesenswert?

Max schrieb:
> Wenn man so was machen muss, dann kann der Laden ja wohl nicht
> wirtschaftlich korrekt geführt worden sein.
und
> Ein Plus ist ein Plus und kein Minus.

Schau mal, nach welchen Kriterien Aktionäre und Rating-Agenturen den 
Wert ihrer Unternehmen bewerten. Die sehen das leider anders.

: Bearbeitet durch User
von ●DesIntegrator ●. (Firma: FULL PALATINSK) (desinfector) Benutzerseite


Lesenswert?

wer wirklich (hack)sicher sein will, nutzt keinen Computer,
kein Handy und kein Internet.
Und all die anderen dazu tauglichen Geräte werden auch schon mal 
garnicht miteinander vernetzt.

Und wenn man halt doch modern unterwegs sein will,
kann man eben nur Systeme von Anbietern
seines geringsten Misstrauens nutzen.

Das wird sich noch zeigen, wie altbacken ich drauf bin,
wenn mein Haus smartfrei funktioniert.

von Dieter D. (Firma: Hobbytheoretiker) (dieter_1234)


Lesenswert?

Max schrieb:
> Aber meinst Du dass es nötig ist Daten von Kunden abzusaugen um das
> Geschäft am Leben zu halten?

Das liegt auch am Code of Conduct. Wie sonst kann man so etwas 
herausfinden und demjenigen dann die Nutzung entziehen?
Das ist dann wie die Sperrung aller Konten von bestimmten Personen durch 
die Banken, EMail-Provider, usw. und dann kann dieser sich nicht mal 
mehr beschweren sobald alles digitalisiert ist.

von Max (bio)


Lesenswert?

Dieter D. schrieb:
> Max schrieb:
>> Aber meinst Du dass es nötig ist Daten von Kunden abzusaugen um das
>> Geschäft am Leben zu halten?
>
> Das liegt auch am Code of Conduct. Wie sonst kann man so etwas
> herausfinden und demjenigen dann die Nutzung entziehen?
> Das ist dann wie die Sperrung aller Konten von bestimmten Personen durch
> die Banken, EMail-Provider, usw. und dann kann dieser sich nicht mal
> mehr beschweren sobald alles digitalisiert ist.

So ein System ist Menschen und lebenverachtend.
Kann grundsätzlich also nur satanisch sein.

Sollte die Nummer so weiterlaufen wird der Mensch bald nichts mehr sein, 
was man als Mensch eigentlich sein will.
Angefangen mit dem frei sein.

Grüße
Max

von Max (bio)


Lesenswert?

Steve van de Grens schrieb:
> Max schrieb:
>> Wenn man so was machen muss, dann kann der Laden ja wohl nicht
>> wirtschaftlich korrekt geführt worden sein.
> und
>> Ein Plus ist ein Plus und kein Minus.
>
> Schau mal, nach welchen Kriterien Aktionäre und Rating-Agenturen den
> Wert ihrer Unternehmen bewerten. Die sehen das leider anders.

Die sind ja auch bescheuert.
Denken sich irgendwelche Werte aus, die es gar nicht gibt.
Ich frage mich wie die dass eigentlich machen. Würfeln? :-)

Börsen, Aktienhandel gehört verboten.
Es ist ein Spiel mit denen, die echte Werte schaffen. Meist Du eigene 
Hände arbeit.
Letztlich auch nur eine Wette; also für die, die keine Supercomputer zur 
Hand haben.

Grüße
Max

von Fiffidackel (Gast)


Lesenswert?

Max schrieb:
> Das BIOS ließ sich nicht mehr beschreiben und war somit sicher.

Dem Biosraub ein Ende, dem versehentlich sinnlosem Update auch.

Respekt zur Beschneidung der Umbeschreibung / falls Du nicht Rabbi Jakob 
oder Papst Salomon oder irgendeiner seiner orthodoxen himmlischen 
Verwandschaft, hast also die freie Wahl, auch gegen Mainstreampopulisten

Taeglich Selbsthirnwasch vergnuegt
bis der Arsch im Grabe liegt...

Respekt f. DIY

ein Dackel

///////

P.S. Nachtragsfrage

Obs gegen Observation von BigData Gutwichte wie Google, MS, Apple und 
Konsorten hilft sei dahingestellt / ist vlt. OT aber weitere Meinungen 
100 pro OK

von Fiffidackel (Gast)


Lesenswert?

●DesIntegrator ●. schrieb:
> wer wirklich (hack)sicher sein will, nutzt keinen Computer,
> kein Handy und kein Internet.

Und DU willst nicht hacksicher sein  dann Achtung  mein grosser 
Bruder, der Fleischwolf hat Dich gleich am Arsch, nicht als Beleidigung 
sondern im Grab liegend. Du schreibst leider schneller als Du denkst und 
irgendwann tuts Dir weh trotz Vorwarnung...


Als Dackel weiss ich das.

von ●DesIntegrator ●. (Firma: FULL PALATINSK) (desinfector) Benutzerseite


Lesenswert?

Fiffidackel schrieb:
> ●DesIntegrator ●. schrieb:
>> wer wirklich (hack)sicher sein will, nutzt keinen Computer,
>> kein Handy und kein Internet.
>
> Und DU willst nicht hacksicher sein  dann Achtung  mein grosser
> Bruder, der Fleischwolf hat Dich gleich am Arsch, nicht als Beleidigung
> sondern im Grab liegend. Du schreibst leider schneller als Du denkst und
> irgendwann tuts Dir weh trotz Vorwarnung...
>
>
> Als Dackel weiss ich das.

Und für dieses Stuss musste es sich extra anmelden...

von Monk (roehrmond)


Lesenswert?

Fiffidackel schrieb:
> orthodoxen himmlischen Verwandschaft ... gegen Mainstreampopulisten
> der Fleischwolf hat Dich gleich am Arsch

Hast du dich ernsthaft für diese Scheiß-Beiträge hier angemeldet? Kann 
man noch tiefer sinken?

: Bearbeitet durch User
von Max (bio)


Lesenswert?

Fiffidackel schrieb:
> Max schrieb:
>> Das BIOS ließ sich nicht mehr beschreiben und war somit sicher.
>
> Dem Biosraub ein Ende, dem versehentlich sinnlosem Update auch.
>
> Respekt zur Beschneidung der Umbeschreibung / falls Du nicht Rabbi Jakob
> oder Papst Salomon oder irgendeiner seiner orthodoxen himmlischen
> Verwandschaft, hast also die freie Wahl, auch gegen Mainstreampopulisten
>
> Taeglich Selbsthirnwasch vergnuegt
> bis der Arsch im Grabe liegt...
>
> Respekt f. DIY
>
> ein Dackel
>
> ///////
>
> P.S. Nachtragsfrage
>
> Obs gegen Observation von BigData Gutwichte wie Google, MS, Apple und
> Konsorten hilft sei dahingestellt / ist vlt. OT aber weitere Meinungen
> 100 pro OK

Kann dem Buchstabensalat nur halbwegs folgen.

Aber mal am Rande erwähnt...
Ein Rabbi bin ich bestimmt nicht und und auch kein Papst, denn mit 
sata.ismus habe ich grundsätzlich nix am Hut.

Grüße
Max

: Bearbeitet durch User
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.