@pepe123 ?? Wieso \"leider\" falsch? Wenn das, was ich beschrieben habe falsch wäre, na dann Gott sei Dank dafür. Leider ist aber, dass ich nicht falsch liege. Höflich nachgefragt: Wo denn sind Deine Zitate, welche belegen dass ich mit meinen Befürchtungen und Ergebnissen von online Recherche falsch liege?
@HKRUMB(1) zum von mir angesprochenen Thema: Unsicherheit wegen Kompromittierung von Zertifikaten z.B.
s.Engl.sprachig aber sehr informativ:
http://forums.macrumors.com/showthread.php?t=1300618autom.
übersetzt:
http://translate.google.de/translate?hl=de&langpair=en|de&u=http://forums.macrumors.com/showthread.php%3Ft%3D1300618Davon ein paar treffliche Passagen, von mir (so hoffe ich) etwas nachgebessert:
My systems have been crashing under the weight of DDoS floods and
networking carnage which - combined with my non-technical limitations -
effectively presents a situation where access to my systems are a free
for all, at the lowest levels. I\'ve been reading up on UEFI \"Secure
Boot\" and I\'m having trouble understanding how anyone can expect the
boot process to be \'secured\' the way it\'s been setup.
d.h. in etwa: >> Meine Systeme sind stets am Abstürzen unter das Gewicht von wahrer Überflutungen von DDOS und Netzwerk bezogenen Durcheinander welches - kombiniert mit den Einschränkungen meiner eher limitierten und nicht-technischen Kenntnissen - effektiv eine Situation hervorruft, worin meine Systeme einen Selbstbedienungsladen für alle entsprechen, und das auf aller grundlegendsten System Niveauen. Ich habe versucht alles verfügbare an Info über UEFI \"Secure Boot\" mir einzuziehen und ich habe dabei Schwierigkeit überhaupt einzusehen wie irgendwer erwarten könnte dass der Boot Prozess derart konzipiert und aufgestellt als \"sicher\" gelten könnte. <<
und...:
I can get training for the rest of my life and I\'m simply not going to
be able to protect myself when INTEL is giving access like this to
people who have the ability to make my efforts at securing my systems
something very near redundancy.
In this article titled \"Using the UEFI Shell for Bare Metal Provisioning\",
it sure sounds like anyone with access to any network which I
inadvertently or unintentionally connect to, can bypass the almost
non-existent \'security\' by simply installing a public key on my
computer. If I\'m understanding this correctly, the servers are secured
from me (they were secured by my ignorance, quite safely) but it would
be almost impossible to secure my client machines from them.
d.h. circa...: >> Ich könnte trainieren für den Rest meines Lebens und dennoch würde ich mich nicht in die Lage versetzen können, mich und die mir anvertrauten Systeme zu schützen solange INTEL solch einen Zugang wie dies anderen zu gewähren, zumal etliche von ihnen die Befähigung innehaben, jedweder meiner Versuche, die Systeme sicher zu machen effektiv konterkarieren zu können.
Aus dem Artikel betitelt \"Verwenden der UEFI Kommandozeile um unterste Hardware Ebene Einstellungen zu bewirken\" entnehme ich dass jedermann mit Zugang zu jedweder Netzwerk, auf welches ich versehentlich oder willentlich Zugriff erlangt habe könnte die so gut wie nicht existierende Sicherheits Vorkehrungen überwinden schlicht in dem sie ein öffentliches Schlüssel auf meinen Computer platzieren. Sollte ich das Beschriebene korrekt verstehen, werden zwar die Server vor mir geschutzt (sie waren auch vorher ganz sicher vor mir Kraft meiner Unkenntnis) aber es wäre nahezu unmöglich meine Klienten Anlagen vor den Servern zu sichern. <<
(2) zu beiden von Dir angesprochenen Themen:
https://de.wikipedia.org/wiki/Unified_Extensible_Firmware_Interfacedaraus entnommen folgender Zitat...:
EFI gilt einem Entwickler von Coreboot zufolge in sicherheitskritischen
Einsatzumgebungen – wie etwa in Banken – als ein mögliches
Sicherheitsrisiko, da etwa mit dem implementierten Netzwerkstack die
theoretische Möglichkeit bestünde, Daten unbemerkt vom Betriebssystem an
eine beliebige Adresse zu senden. Der eigene Netzwerkstack für TCP/IP,
der „unterhalb“ vom Betriebssystem direkt und unabhängig auf der
Hauptplatine läuft, ermöglicht es, das System zu manipulieren, zu
infizieren oder zu überwachen, ohne dass man es bspw. von Windows aus
kontrollieren oder einschränken könnte. Auch für DRM-Zwecke könnte EFI benutzt werden, um etwa den I/O-Datenstrom auf digitale Wasserzeichen hin zu überwachen.
s.auch Engl:
http://blog.thesilentnumber.me/2009/01/efi-hidden-threat-to-computing-freedom.htmlAnother important thing to realize about EFI is that it also
contemplates enabling chipset features that will trap certain OS
operations to an EFI-based control system running in System Management
Mode. In other words, under EFI, there is no guarantee that the OS owns
the platform.
Accesses to IDE I/O addresses, or certain memory
addresses, can be trapped to EFI code and potentially examined and
modified or aborted. Many see this as an effort to build a \"DRM BIOS\".
I am not sure what the real intent of this design is, but it is a real
concern in secure environments (such as those found in governments,
banks, and large search engine companies). A number of vendors and users
have told me that they are not sure they can ship an EFI system they
are willing to trust in a secure environment.
d.h. in etwa...: >>Ein weiterer wichtiger Aspekt von EFI ist, dass sein Konzept vorsieht Firmware Funktionen zu aktivieren, welche bestimmte OS Prozesse abfangen und zurückleiten werden an einem EFI-basierten Kontrollsystem. Jenes System soll laufen in einem System Verwaltung Modus. (also, mit erhabenere Rechte als dem Superuser oder Administrator des OS sowie noch grunlegendere Rechte als die des OS selbst). Mit anderen Wörtern, unter EFI gibt es keine Garantie dass tatsächlich das OS als dessen Eigentümer den Plattform, PC und Peripherie, kontrolliert.
Zugänge zu HDD I/O Adressen, oder zu bestimmte Arbeitsspeicher Adressen, können vom EFI abgefangen werden und potentiell untersucht und modifiziert oder abgebrochen werden. Viele sehen darin ein Versuch einen \"DRM BIOS\" aufzustellen. (d.h. ein solches dass das Eigentum an und die Kontrolle über den PC an DRM überträgt.
Ich bin nicht sicher was die wahrhaftige Zweckbestimmung dieses Design ist, aber es ist Grund zur ernsten Besorgnis gerade in Umgebungen welche unbedingt und notwendigerweise sicher vor Exploits gehalten werden müssen. (wie z.B. in Regierungen, Banken und große Suchdienst Firmen). Eine vielzahl von Einzelhändler und Endanwender haben mir anvertraut, dass sie nicht sicher sind ob sie es EFI basierende Systeme überhaupt für die Verwendung in solchen unbedingt sicher zu gestaltende Anwendungsbereiche konzipieren, zusammenstellen und liefern werden können. <<
s.auch...:
http://www.windowspro.de/wolfgang-sommergut/faq-zu-uefi-bios-guid-partition-table-gpt-master-boot-recordUEFI
ist zudem ein spezifizierter und plattformunabhängiger Standard, so
dass es keine größeren Abweichungen zwischen Produkten
verschiedener Hersteller geben sollte. Im Vergleich zum BIOS bietet
UEFI zusätzliche Funktionen, darunter Netzwerkunterstützung mit
einem kompletten Protokoll-Stack inklusive IPv6, Support für hoch
auflösende Boot-Grafik, neue Sicherheits-Features und ein
Partitionierungsschema namens GUID Partition Table (GPT).
...der Fettdruck habe ich hinzugetan zur Hervorhebung.
Ich hoffe, zumindest fürs Erste genügend Zitate fürs Weiterrecherchieren Euch an die Hand gegeben zu haben.
Autor
Thema: UEFI Alternative Umfrage (Gelesen 2790 mal)