UEFI Alternative Umfrage
Wir veröffentlichen neue Datenschutzrichtlinien um der europäischen DS-GVO, die ab dem 25.Mai 2018 in Kraft tritt, gerecht zu werden. Die neuen Datenschutzrichtlinien können Einfluss auf die Verwendung Ihrer Daten haben. Durch die weitere Nutzung unsere Webseiten stimmen Sie der Verwendung von Cookies, den neuen Datenschutzrichtlinien und den Geschäftsbedingungen zu.
Bitte loggen sie sich ein oder registrieren sie sich.

Einloggen mit Benutzername, Passwort und Sitzungslänge Bitte loggen sie sich ein oder registrieren sie sich.
Erweiterte Suche  

Autor Thema: UEFI Alternative Umfrage  (Gelesen 2790 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

RobertDMartin

  • Grünschnabel
  • *
  • :
  • Offline Offline
  • Beiträge: 4
UEFI Alternative Umfrage
« am: 27. Juli 2012, 13:56:55 »

Es ist mir wichtig ein Mainboard zu kaufen und zu benutzen, dass keine UEFI, noch Secureboot (noch TPM falls möglich) drauf hat. Denn aufgrund von online Recherchen sehe ich in jener Technologie keine Verbesserung der Sicherheit meines PC sondern eher eine gravierende Verschlechterung davon.

Wie es scheint stellt das Ganze schlicht ein fertig eingebautes Hintertür dar, ebenso schlimm und sogar schlimmer noch als ein \"Rootkit\" Exploit..Ich habe sogar online Hinweise darauf gelesen, dass der (U)EFI setup software noch nach Aufruf des OS aktiv bleibt, inklusive eigenen Internet Zugang, und dabei die eigentliche Souvereignität behält über jedweder Aktivität des PCs. So soll die (U)EFI sogar eigenständig entscheiden über das Gestatten oder Verbieten des Ablaufs jedweder Prozesses, der vom eigentlichem OS gestartet werden will und auch dessen Ablauf überwachen.

Angeblich gänzlich ohne auch nur den Eigentumer des PC oder dessen Benutzer davon in Kenntnis zu setzen könnte die (U)EFI gar das Gerät willkürlich lahmlegen, Festplatten und sonstigen Speichermedien gar löschen, nur ein bestimmtes OS gestatten überhaupt zu laufen und über allem Protokoll zu halten und darüber Bericht zu erstatten an wen auch immer die Kontrolle sich gerade erschlichen haben sollte (s. CA Zertifikate Klau Zwischenfälle der letzten Monate z.B.).

Wie also wäre es, wenn MSI alternativ auch Mainboards mit schlichtem BIOS im alten Stil weiterhin anbieten würde? Ich meine, selbst verzichten zu müssen auf über 2TB große Festplatten würde ich dafür im Kauf nehmen, damit ich mein neuer Mainboard gänzlich frei von UEFI & Co bekommen kann.
Ich würde gerne erfahren, ob einige von Euch anderen MSI Enduser Forum Besucher / Mitglieder / Moderatoren ebenfalls an solch eine Alternative zu UEFI, Secureboot und TPM interessiert sind. Daher die Umfrage.
Gespeichert

HKRUMB

  • Ehrenmitglied
  • ***
  • :
  • Offline Offline
  • Beiträge: 10.734
    • Wunschliste
UEFI Alternative Umfrage
« Antwort #1 am: 27. Juli 2012, 19:31:47 »

ich hätte gern ein paar Quellenangaben ,die so etwas belegen....

Zitat
So soll die (U)EFI sogar eigenständig entscheiden über das Gestatten
oder Verbieten des Ablaufs jedweder Prozesses, der vom eigentlichem OS
gestartet werden will und auch dessen Ablauf überwachen.



Angeblich gänzlich ohne auch nur den Eigentumer des PC oder dessen
Benutzer davon in Kenntnis zu setzen könnte die (U)EFI gar das Gerät
willkürlich lahmlegen, Festplatten und sonstigen Speichermedien gar
löschen, nur ein bestimmtes OS gestatten überhaupt zu laufen und über
allem Protokoll zu halten und darüber Bericht zu erstatten an wen auch
immer die Kontrolle sich gerade erschlichen haben sollte
Gespeichert
Corsair RMI 850W, MSI MPG X570 Gaming EDGE WiFi, Ryzen 9 3900X,2x 16GB G.Skill DDR4@CL16 3600 MHz, MSI GeForce RTX 3090 SUPRIM X 24G 

pepe123

  • Eroberer
  • ****
  • :
  • Offline Offline
  • Beiträge: 61
UEFI Alternative Umfrage
« Antwort #2 am: 27. Juli 2012, 21:01:06 »

Guter Quatsch - leider falsch. Wo hast du denn das gelesen? Auf solche \"seriöse\" Quellen wie z.B. yahoo nachrichten??? :D

\"Wer lesen kann ist im Vorteil!!!\"
Gespeichert

RobertDMartin

  • Grünschnabel
  • *
  • :
  • Offline Offline
  • Beiträge: 4
ok hier habt Ihr einige Quellen
« Antwort #3 am: 27. Juli 2012, 23:49:54 »

@pepe123 ?? Wieso \"leider\" falsch? Wenn das, was ich beschrieben habe falsch wäre, na dann Gott sei Dank dafür. Leider ist aber, dass ich nicht falsch liege. Höflich nachgefragt: Wo denn sind Deine Zitate, welche belegen dass ich mit meinen Befürchtungen und Ergebnissen von online Recherche falsch liege?

@HKRUMB

(1) zum von mir angesprochenen Thema: Unsicherheit wegen Kompromittierung von Zertifikaten z.B.

s.Engl.sprachig aber sehr informativ: http://forums.macrumors.com/showthread.php?t=1300618
autom.
übersetzt:
http://translate.google.de/translate?hl=de&langpair=en|de&u=http://forums.macrumors.com/showthread.php%3Ft%3D1300618
Davon ein paar treffliche Passagen, von mir (so hoffe ich) etwas nachgebessert:

Zitat
My systems have been crashing under the weight of DDoS floods and
networking carnage which - combined with my non-technical limitations -
effectively presents a situation where access to my systems are a free
for all, at the lowest levels. I\'ve been reading up on UEFI \"Secure
Boot\" and I\'m having trouble understanding how anyone can expect the
boot process to be \'secured\' the way it\'s been setup.

d.h. in etwa: >> Meine Systeme sind stets am Abstürzen unter das Gewicht von wahrer Überflutungen von DDOS und Netzwerk bezogenen Durcheinander welches - kombiniert mit den Einschränkungen meiner eher limitierten und nicht-technischen Kenntnissen - effektiv eine Situation hervorruft, worin meine Systeme einen Selbstbedienungsladen für alle entsprechen, und das auf aller grundlegendsten System Niveauen. Ich habe versucht alles verfügbare an Info über UEFI \"Secure Boot\" mir einzuziehen und ich habe dabei Schwierigkeit überhaupt einzusehen wie irgendwer erwarten könnte dass der Boot Prozess derart konzipiert und aufgestellt als \"sicher\" gelten könnte. <<

und...:

Zitat
I can get training for the rest of my life and I\'m simply not going to
be able to protect myself when INTEL is giving access like this to
people who have the ability to make my efforts at securing my systems
something very near redundancy.



In this article titled \"Using the UEFI Shell for Bare Metal Provisioning\",
it sure sounds like anyone with access to any network which I
inadvertently or unintentionally connect to, can bypass the almost
non-existent \'security\' by simply installing a public key on my
computer. If I\'m understanding this correctly, the servers are secured
from me (they were secured by my ignorance, quite safely) but it would
be almost impossible to secure my client machines from them.

d.h. circa...: >> Ich könnte trainieren für den Rest meines Lebens und dennoch würde ich mich nicht in die Lage versetzen können, mich und die mir anvertrauten Systeme zu schützen solange INTEL solch einen Zugang wie dies anderen zu gewähren, zumal etliche von ihnen die Befähigung innehaben, jedweder meiner Versuche, die Systeme sicher zu machen effektiv konterkarieren zu können.

Aus dem Artikel betitelt \"Verwenden der UEFI Kommandozeile um unterste Hardware Ebene Einstellungen zu bewirken\" entnehme ich dass jedermann mit Zugang zu jedweder Netzwerk, auf welches ich versehentlich oder willentlich Zugriff erlangt habe könnte die so gut wie nicht existierende Sicherheits Vorkehrungen überwinden schlicht in dem sie ein öffentliches Schlüssel auf meinen Computer platzieren. Sollte ich das Beschriebene korrekt verstehen, werden zwar die Server vor mir geschutzt (sie waren auch vorher ganz sicher vor mir Kraft meiner Unkenntnis) aber es wäre nahezu unmöglich meine Klienten Anlagen vor den Servern zu sichern. <<

(2) zu beiden von Dir angesprochenen Themen:
https://de.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface
daraus entnommen folgender Zitat...:
Zitat
EFI gilt einem Entwickler von Coreboot zufolge in sicherheitskritischen
Einsatzumgebungen – wie etwa in Banken – als ein mögliches
Sicherheitsrisiko, da etwa mit dem implementierten Netzwerkstack die
theoretische Möglichkeit bestünde, Daten unbemerkt vom Betriebssystem an
eine beliebige Adresse zu senden. Der eigene Netzwerkstack für TCP/IP,
der „unterhalb“ vom Betriebssystem direkt und unabhängig auf der
Hauptplatine läuft, ermöglicht es, das System zu manipulieren, zu
infizieren oder zu überwachen, ohne dass man es bspw. von Windows aus
kontrollieren oder einschränken könnte. Auch für DRM-Zwecke könnte EFI benutzt werden, um etwa den I/O-Datenstrom auf digitale Wasserzeichen hin zu überwachen.

s.auch Engl: http://blog.thesilentnumber.me/2009/01/efi-hidden-threat-to-computing-freedom.html
Zitat
Another important thing to realize about EFI is that it also
contemplates enabling chipset features that will trap certain OS
operations to an EFI-based control system running in System Management
Mode. In other words, under EFI, there is no guarantee that the OS owns
the platform.

Accesses to IDE I/O addresses, or certain memory
addresses, can be trapped to EFI code and potentially examined and
modified or aborted. Many see this as an effort to build a \"DRM BIOS\".

I am not sure what the real intent of this design is, but it is a real
concern in secure environments (such as those found in governments,
banks, and large search engine companies). A number of vendors and users
have told me that they are not sure they can ship an EFI system they
are willing to trust in a secure environment.
d.h. in etwa...: >>Ein weiterer wichtiger Aspekt von EFI ist, dass sein Konzept vorsieht Firmware Funktionen zu aktivieren, welche bestimmte OS Prozesse abfangen und zurückleiten werden an einem EFI-basierten Kontrollsystem. Jenes System soll laufen in einem System Verwaltung Modus. (also, mit erhabenere Rechte als dem Superuser oder Administrator des OS sowie noch grunlegendere Rechte als die des OS selbst). Mit anderen Wörtern, unter EFI gibt es keine Garantie dass tatsächlich das OS als dessen Eigentümer den Plattform, PC und Peripherie, kontrolliert.

Zugänge zu HDD I/O Adressen, oder zu bestimmte Arbeitsspeicher Adressen, können vom EFI abgefangen werden und potentiell untersucht und modifiziert oder abgebrochen werden. Viele sehen darin ein Versuch einen \"DRM BIOS\" aufzustellen. (d.h. ein solches dass das Eigentum an und die Kontrolle über den PC an DRM überträgt.

Ich bin nicht sicher was die wahrhaftige Zweckbestimmung dieses Design ist, aber es ist Grund zur ernsten Besorgnis gerade in Umgebungen welche unbedingt und notwendigerweise sicher vor Exploits gehalten werden müssen. (wie z.B. in Regierungen, Banken und große Suchdienst Firmen). Eine vielzahl von Einzelhändler und Endanwender haben mir anvertraut, dass sie nicht sicher sind ob sie es EFI basierende Systeme überhaupt für die Verwendung in solchen unbedingt sicher zu gestaltende Anwendungsbereiche konzipieren, zusammenstellen und liefern werden können. <<


s.auch...:
http://www.windowspro.de/wolfgang-sommergut/faq-zu-uefi-bios-guid-partition-table-gpt-master-boot-record

Zitat
UEFI
ist zudem ein spezifizierter und plattformunabhängiger Standard, so
dass es keine größeren Abweichungen zwischen Produkten
verschiedener Hersteller geben sollte. Im Vergleich zum BIOS bietet
UEFI zusätzliche Funktionen, darunter Netzwerkunterstützung mit
einem kompletten Protokoll-Stack inklusive IPv6, Support
für hoch
auflösende Boot-Grafik, neue Sicherheits-Features und ein
Partitionierungsschema namens GUID Partition Table (GPT).
...der Fettdruck habe ich hinzugetan zur Hervorhebung.



Ich hoffe, zumindest fürs Erste genügend Zitate fürs Weiterrecherchieren Euch an die Hand gegeben zu haben.
Gespeichert

pepe123

  • Eroberer
  • ****
  • :
  • Offline Offline
  • Beiträge: 61
UEFI Alternative Umfrage
« Antwort #4 am: 28. Juli 2012, 10:24:43 »

Zitat von: \'RobertDMartin\',\'index.php?page=Thread&postID=801975#post801975\'
@pepe123 ?? Wieso \"leider\" falsch? Wenn das, was ich beschrieben habe falsch wäre, na dann Gott sei Dank dafür. Leider ist aber, dass ich nicht falsch liege. Höflich nachgefragt: Wo denn sind Deine Zitate, welche belegen dass ich mit meinen Befürchtungen und Ergebnissen von online Recherche falsch liege?


Du willst Quellen? Dannst musst du den unterschied zwischen open-sourced und close-sourced kennen? Wenn nicht fängt damit an.

in der closed-sourced community (aka microsoft & friends) wirst du keine argumente gegen uefi finden.

dagegen wurden die themen uefi & secureboot schon längst in der open-source community (aka linux) diskutiert. Ich erinnere mich an eine sehr gute Argumentation von promineneten linux-entwicklier belegt durch u.a. source code. derzeit habe ich den richtigen namen nicht im Kopf dennoch weiß wo ich suchen soll.

ich bin generell auch gegen secureboot aber die technologie kann (vorausgesetzt die notwendige kenntnise) sehr breite resonanz finden. bei vorhanden schlüsseln ist sie ein wichtiger punkt in richtung sicherhet.

wie schon oben geschrieben: \"wer lesen kann ist im vorteil\"
Gespeichert