Bei einer öffentlichen nachprüfbaren Zertifizierung über eine Organisation oder Firma ist das aber eher kein Problem, es geht ja gerade um die öffentliche Nachvollziehbarkeit und Attributierung. Als Privatperson mit Privatsphäre beziehe ich ja nur den Key um damit lokal meinen Bootloader zu signieren, darüber hat die Organisation keinerlei Information und Aufzeichnungen. Wo exakt siehst du die Möglichkeit für einen Leak oder Angriff?
Ich kenne beides und gerade beim zweiten war ich damals rege beteiligt an Diskussionen. Denn sich bei mir startete Ubuntu weiterhin.Microsoft löst Dual-Boot-Probleme von Windows und Linux
Microsoft hatte mit Windows-Updates Dual-Boot-Installationen mit Linux beim Starten gestört. Jetzt soll das Problem gelöst sein.www.heise.de
Windows-Update legt erneut Linuxe lahm
Mit den Windows-Updates vom 13. August booten verschiedene Linux-Installationsmedien nicht mehr. Das liegt an veralteten Bootloadern, die nun gesperrt wurden.
Kannst dir dazu auch die Diskussionen in deren Forum oder bei Reddit reintun. Gibt kaum jemand, der MS da einen lauteren Umgang mit unterstellt.
Wobei ich das zusätzliche Risiko dadurch von vornherein als so gering einschätze, dass man auch darauf verzichten kann, wenn es einen spürbar einschränkt.
Worauf basiert diese Einschätzung? Wir sehen auf der Arbeit eine ganze Menge an Versuchen Bootkits und Rootkits nachzuladen, wenn eine Malwareinfektion erfolgt und ein guter Teil von denen schlagen fehl wenn Secure Boot aktiv ist. Ja, es gab auch Sachen wie Black Lotus, die eine Möglichkeit gefunden haben, das zu umgehen, aber das ist verhältnismäßig selten. Du lässt ja auch nicht die Haustür offen, nur weil theoretisch jemand mit einem Rammbock die Tür aufbrechen könnte.
Darauf, dass es in aller Regel deutlich leichtere Wege gibt, an die Dinge zu gelangen, an die man gelangen will, als jemandem ein Rootkit unterzujubeln.
Was für eine Arbeit ist das?
Nein, aber ich verrammele meine Tür auch nicht mit Panzerstahl, wenn es am Ende trotzdem reicht, mir den Schlüssel zu klauen.
Da gab es mal einen Beitrag bei heise.de über einen beauftragten Pen-Test, wo man dachte, da würden die Beauftragten sich die Rechner vornehmen. Das haben die auch gemacht, aber gleichzeitig sind die ins Unternehmen gefahren, haben sich als Techniker für Drucker ausgegeben und sind dann IM Unternehmen auf Datensammlung gegangen. Am Ende hatten die Zugriff auf die IT von innen für draußen hergestellt, Daten abgegriffen und Autos aus dem Fuhrpark mitgenommen. Aber Secure Boot regelt.
Botnetze sind nach wie vor hochbegehrt, und wenn man einen Zombie hat will man ihn auch über Reboots hinweg behalten. Es ist auch kein Aufwand, die Malware-Dropper haben normalerweise eine Funktion, die basierend auf einem Scan des Hostsystems eine ganze Reihe an möglichen Exploits ausprobiert und wenn es klappt dann klappt es und wenn nicht dann nicht. Den Angreifern ist der einzelne Rechner egal, wenn man nicht ein interessantes Ziel ist (befallene Rechner werden klassifiziert, einzelne Rechner versucht man in ein Botnetz zu kriegen, bei Firmenrechnern schaut dann jemand von Hand, ob was möglich ist). Wenn man persönlich dann aber betroffen ist, kann es sehr unterschiedlich scheiße für einen werden.
IT-Sicherheit in einem deutschen Großunternehmen.
Um den Vergleich totzureiten: du legst den Schlüssel aber nicht vor die Tür, sondern behältst ihn wenigstens in der Hosentasche. Jeder Layer an Sicherheit ist sinnvoll. Wenn man noch nie was hatte sieht man das nicht so kritisch, aber wenn man regelmäßig mitbekommt, wie Leute beweisen müssen, dass nicht sie es waren, die auf ihrem Rechner bestimmte Dinge gemacht haben (von Verteilung von Kporn bis zu Geldwäsche), dann wird man nachdenklich und nutzt jede Möglichkeit, die Wahrscheinlichkeit solcher Ereignisse zu senken.Nein, aber ich verrammele meine Tür auch nicht mit Panzerstahl, wenn es am Ende trotzdem reicht, mir den Schlüssel zu klauen.
Naja gut, Rootkits können länger unentdeckt bleiben, aber um über mehrere Boots persistent zu bleiben und um ernsthaften Schaden anzurichten, braucht man halt nicht mal Root-Rechte.
Gut, da gelten natürlich andere Anforderungen als an einen gewöhnlichen, privaten PC. Ich will auch gar nicht sagen, dass es pauschal sinnlos ist, nur, dass es eine Abwägung ist.
Der Punkt ist: Wenn eine leichter zugängliche Schwachstelle existiert, die zu einem nahezu gleichwertigen Ziel führt, ist der Nutzen einer Barriere an einer anderen Stelle eingeschränkt.
Fast jeder Layer sorgt aber auch für mehr Umstände, von daher halte ich die Aussage, dass irgendjemand wirklich jede Möglichkeit nutzt, für etwas gewagt. Je nachdem, in welcher Bubble man unterwegs ist, sieht man die Dinge mehr oder weniger streng, wobei ich meine Einstellung schon deutlich strenger einschätze als die der meisten Nutzer.
Stimmt. Aber ich möchte das nicht auf Kosten meiner Entscheidungsfreiheit haben. Bei solchen Technologien kommt es immer drauf an, wer darüber verfügt und welche Intentionen derjenige hat. Ich vertraue MS nicht, also will ich MS auch nicht die Sicherheit meiner Systeme anvertrauen.
