(U)EFI-Boot
Marcus Moeller
marcus.moeller at gmx.ch
Do Jul 14 05:50:25 UTC 2016
Hallo zusammen.
> Ich versuche mal, die Situation zu sortieren.
>
> On Wed, Jul 13, 2016 at 07:15:52PM +0200, Wolfgang Romey (woro) wrote:
>> Am Dienstag, 12. Juli 2016, 21:16:40 schrieb Marcus Moeller:
>>
>>> UEFI würde ich immer nur mit Secure Boot betreiben, andernfalls ist
>>> es deutlich unsicherer als klassisches BIOS.
>>
>> Das verstehe ich noch nicht. Gehört wohl zur Einarbeitung.
>
> Das würde ich auch gerne verstehen.
Bei UEFI läuft eigentlich alles über die EFI Partition. Somit auch die Aktualisierung der Firmware. Einem Angreifer würde es reichen ein modifiziertes BIOS dort zu platzieren und das Laden zu triggern.
Intel versucht dem mittlerweile mit „Boot Guard" entgegen zu wirken:
http://www.intel.com/content/dam/www/public/us/en/documents/product-briefs/4th-gen-core-family-mobile-brief.pdf
was aber dazu führt, dass man auch kein Freies BIOS mehr einspielen kann.
Die Sicherheit von proprietären BIOS Varianten an sich ist allerdings eh fragwürdig. Siehe aktuell:
https://github.com/Cr4sh/ThinkPwn
Greets
Marcus
Mehr Informationen über die Mailingliste FSFE-de