Secure Boot unter diversen Betriebssystemen

[medV2]

Also ich würde mit dem Argument mitgehen, das man deshalb Secure-Boot einrichten sollte, weil Secure-Boot zu haben ist immer noch besser als gar nichts zu haben. Und der Punkt gilt ja auch noch dann, wenn man die ganzen vorgefertigten Sachen benutzt, wo die Einrichtung ja tatsächlich kaum mehr als ein Knopfdruck ist.

Aber wie gesagt, Der Schutz von Secure-Boot ist nicht wirklich gut. Das hält den "Kleinkriminellen" ab. Wenn Du jetzt aber sagst "Staatstrojaner" und den zu platzieren ist für die behördliche Stelle offenbar so wichtig, das sie den Aufwand auf sich nehmen, mein Gerät in die Finger zu kriegen, dann würde ich mich nicht darauf verlassen, das Secure-Boot mich schützt.

Wenn mich also am Flughafen die Sicherheitsbehörden rauszerren und mein Laptop mal kurz mit ins Hinterzimmer nehmen, während sie mich befragen und mich dann irgendwie wieder gehen lassen und mir den Laptop in die Hand drücken, würde ich das Gerät eher schreddern, aber ganz sicher nicht weiter benutzen, weil ich hab ja Secure-Boot; was soll passieren.

Secure-Boot bringt mir nur in einem Fall was: Ich hab nicht mitgekriegt das sie den Laptop in den Händen hatten und sie waren obendrein zu doof den Schutz auszuhebeln.


Naja. Wenns nur darum geht jemanden irgendwas zu erzählen, dann von mir aus.
Die Leute lassen sich ja teilweise alles mögliche aufschwatzen. Wenn man so argumentiert, kann man jeglichen Unsinn rechtfertigen. Dann kann ich auch sagen: Wegen esoterisch Kunden tu ich in meine Geräte immer ein Schutzkristall und wenn ich den das dann sage, sind die alle beruhigt. :-)
Das kann man so machen, hat aber natürlich nix mit einer realen Risikobewertung zu tun.

Wenn ich nebenbei meine echten Maßnahmen setzen darf, leg ich gern den Kristall neben den Server

Diese Forensik hat aber prinzipbedingt Grenzen. Du kannst eigentlich nur nachweisen, was auch da ist. Du kannst aber darüber keine gesicherten Aussagen treffen treffen. Wenn Du also zu einer Sache keine Anhaltspunkte findest, heißt das noch lange nicht, das sie nicht passiert sind. Und selbst bei den Sachen, die Du findest ist es immer eine Frage der Wertung. Das sehen wir auch immer schön bei Behauptungen a-la "Russische Hacker haben ..." und als "Beweis" werden dann irgendwelche russischen Wörter in der Malware präsentiert, was natürlich letztlich gar nichts beweist.

Forensik funktioniert also sowieso nur in einen engen Bereich. Und wenn man dann noch sagt, das mir Secure-Boot dabei hilft ...
Also es mag Fälle geben, wo das so ist. Aber generell wirkt das erst mal etwas seltsam und ich würde eher denken: Wenn sich sowas jemand woher zieht (ziehen muss), um Secure-Boot positiv zu begründen, dann kanns nicht so dolle sein. :-)

Wie gesagt: Ich gehe mit dem Punkt mit, das es zu haben ist besser als nix zu haben. Aber man sollte es nicht versuchen es größer aufblasen, als es ist.

Sehr gängige Dinge sind halt sowas wie "Notebook in der Bahn vergessen und kommt dann nach 2 Wochen über irgendwelche Wege zurück zur Firma". Klar, alles Löschen und neues Images drüber wäre die beste Lösung. Aber wenn du immer auf Nummer Sicher gehst, sucht sich der Kunde bald nen Mitbewerber. Man muss da ein gesundes Mittelmaß finden.
Was leider auch schon mal vorkommt (nicht nur bei kleinen, auch bei großen Kunden die sich eigentlich alles leisten könnten): System darf nicht zur Analyse gestoppt werden. Ja da schreien alle Alarmglocken, aber ich muss dennoch das best mögliche daraus machen.
Und natürlich weiter oben schon beschriebene Dinge mit manipulierten Modulen wo ich keine Chance mehr hätte irgend was rauszufinden.

Aber ja - oft ist der Hauptgrund für Forensik dass jemand einen Bericht möchte wo in möglichst wichtig klingenden Worten steht: "Alles ist gut, nichts schlimmeres passiert".

 

[Andy_m4]

Klar, alles Löschen und neues Images drüber wäre die beste Lösung.

Die einzig akzeptable Lösung.
Ich meine, ne Recovery-Lösung brauchst Du eh. Schon allein weil ja immer mal was mit dem Gerät sein kann. Schon allein deshalb lohnt es sich ein Ablauf zu haben, wo man dem Betroffenen schnell wieder ein funktionstüchtiges Gerät zur Verfügung stellen kann.
An der Stelle hilft mir also Secure-Boot nicht wirklich weiter. Es sei denn man sagt sich: Ich nehm Secure-Boot und verzichte dafür auf ne vernünftige Recovery-Strategie was ich aber irgendwie seltsam fände. :-)

Aber wenn du immer auf Nummer Sicher gehst, sucht sich der Kunde bald nen Mitbewerber....

Wir haben ja grundsätzlich das Problem, das Sicherheit immer kostet und Sicherheit gerne alle haben wollen aber keiner will dafür bezahlen. :-)
Das führt dann dazu, das der Anbieter der um Sicherheit bemüht ist immer ein Kosten- und damit Wettbewerbsnachteil hat gegenüber denjenigen, die das mit der Sicherheit nicht so genau nehmen.
Und klar ist natürlich auch, das man auch gucken muss das es eine gewisse Balance gibt zwischen Aufwand und Nutzen.

System darf nicht zur Analyse gestoppt werden. Ja da schreien alle Alarmglocken, aber ich muss dennoch das best mögliche daraus machen.

Ja. Wie gesagt. An der Diskussion gibt es ja zwei Aspekte. Der erste ist: Was sicherheitstechnisch wirklich sinnvoll ist. Der zweite ist: Was der Kundenwunsch ist. Zum Zweiten will ich eigentlich gar nicht so viel sagen, weil sich damit alles mögliche verargumentieren lässt. Da kommt keine objektiv-sachliche Debatte raus.
Das mag für Dein täglich Brot wichtig sein und das kann ja auch jeder so machen. Da maße ich mir auch kein Urteil an.
Ich finde solche Punkte aber nicht zielführend für eine Diskussion hier im Forum. Da sind mir echte Gründe die auch einen Erkenntnisgewinn liefern wichtiger als ein "Der Kunde will es so."

 

[CommanderZed]

Die einzig akzeptable Lösung.
Ich meine, ne Recovery-Lösung brauchst Du eh. Schon allein weil ja immer mal was mit dem Gerät sein kann. Schon allein deshalb lohnt es sich ein Ablauf zu haben, wo man dem Betroffenen schnell wieder ein funktionstüchtiges Gerät zur Verfügung stellen kann.
An der Stelle hilft mir also Secure-Boot nicht wirklich weiter. Es sei denn man sagt sich: Ich nehm Secure-Boot und verzichte dafür auf ne vernünftige Recovery-Strategie was ich aber irgendwie seltsam fände. :-)

Genau! Heutzutage sichert man so ein Gerät doch irgendwie automatisch im Hintergrund, d.H. man hat nur wenige Minuten Arbeit Datenverlust.

Das Neu-Aufsetzen dauert mit ner gescheiten Verwaltung auch nur wenige Minuten Arbeitszeit und je nach System noch ne Stunde "echtzeit" - dann sind alle Programme wieder drauf und der Benutzer kann arbeiten, außer es ist nen Sonderfall wo man dann noch 20 Minuten investieren muss 2,3 Programme von Hand nachzuinstallieren, ist aber ja auch keine große Sache.

Sorry wenn ich da ehrlich bin, aber an nen Client kann immer mal irgend ne Platte versterben, der Benutzer versehentlich was wichtiges löschen oder es nen Angriff gegeben haben, und es gibt XXXX Lösungen die allen kram automatisch auf irgend nen System schieben. Wenn "Notebook verloren" = Datenverlust oder "Neuinstallation bindet ne IT-Kraft länger als 20, 30 Minuten" bedeutet, ist für mich das Konzept falsch.

 

[medV2]

Sorry wenn ich da ehrlich bin, aber an nen Client kann immer mal irgend ne Platte versterben, der Benutzer versehentlich was wichtiges löschen oder es nen Angriff gegeben haben, und es gibt XXXX Lösungen die allen kram automatisch auf irgend nen System schieben. Wenn "Notebook verloren" = Datenverlust oder "Neuinstallation bindet ne IT-Kraft länger als 20, 30 Minuten" bedeutet, ist für mich das Konzept falsch.

Inhouse ist das bei uns so. Ich würds jetzt nicht beschwören, aber bei keinem unsrer Kunden ist das glaube ich bei wirklich allen Notebooks so. Ist aber ehrlich gesagt auch nicht unser Bier, wir machen eher Software und Server/Infra Konzepte. Der Anruf kommt da erst, wenn das Kind schon in den Brunnen gefallen ist.


edit Und ich rede hier nicht von kleinen Butzen, sonst auch von Börsennotierten Unternehmen.

 

[pit234a]

Gern zitiert wird in dem Zusammenhang das Evil-Maid-Szenario.

nun bin ich ja noch nicht mal Hacker-Lehrling und weit davon entfernt, ein böses Mädchen zu sein, aber, ich habe hier einen Firmen-Laptop mit Secure-Boot und BIOS per Passwort gegen mich gesichert. Dort habe ich nun mal versucht, ein Knoppix vom Stick zu booten (das ist ein Live GNU/Linux). Natürlich geht das nicht, zunächst mal. Nachdem ich aber der Anleitung gefolgt bin, bootet dieses Knoppix ganz hervorragend und ohne Probleme mit dem Rechner.
Es wurde hier bereits erwähnt, dass Secure-Boot ja eher ein Oberbegriff ist, unter dem sich verschiedene Konzepte verbergen können.
Aber so wirklich sicher kann man das doch wohl zumindest in meinem Fall nicht nennen.

 

[medV2]

nun bin ich ja noch nicht mal Hacker-Lehrling und weit davon entfernt, ein böses Mädchen zu sein, aber, ich habe hier einen Firmen-Laptop mit Secure-Boot und BIOS per Passwort gegen mich gesichert. Dort habe ich nun mal versucht, ein Knoppix vom Stick zu booten (das ist ein Live GNU/Linux). Natürlich geht das nicht, zunächst mal. Nachdem ich aber der Anleitung gefolgt bin, bootet dieses Knoppix ganz hervorragend und ohne Probleme mit dem Rechner.
Es wurde hier bereits erwähnt, dass Secure-Boot ja eher ein Oberbegriff ist, unter dem sich verschiedene Konzepte verbergen können.
Aber so wirklich sicher kann man das doch wohl zumindest in meinem Fall nicht nennen.

Das KÖNNTE man verhindern indem man nicht die Trustkette mit dem MS Key nutzt sondern ein eigenes Key Enrollment macht. Das wurde hier schon beschrieben, ist aber wirklich viel Aufwand.

Prinzipiell gehts aber nicht zwingend darum zu verhindern, dass du etwas booten kannst. Angenommen die SSD in diesem Notebook ist verschlüsselt kannst du jetzt mit deinem Knoppix ja auf keine Daten zugreifen. Du kannst im schlimmsten Fall was löschen, das klappt mit physischem Zugriff aber auch mit nem Hammer
Als Angreifer müsstest du jetzt also aus dem Knoppix raus den Bootloader oder den Kernel so manipulieren, dass beim nächsten regulären Zugriff das VerschlüsselungsPW an dich (also den Angreifer) übermittelt wird oder sonst wie eine Hintertür eingebaut wird. Wie schon erwähnt sind das komplexe Angriffe, aber dagegen schützt dich secureboot, auch wenn du die Standardkeys von MS+Linuxdistri verwendest.

 

[roema]

UEFI und Secureboot sind für mich einfach nur ein Geschwür...

Ich musste jetzt sogar meine nanoBSD images EFI tauglich machen da ich Ersatzgeräte für die APUs stellen muss ich nichts mehr finde ohne diesen EFI Blödsinn.