Page 3 of 3

Re: Mit BIOS-Trojaner gegen Live-DVD

Posted: Sat Mar 28, 2015 21:40
by Al3ph
Und ich dache, ich wäre ein Pessimist...
Soweit ich das verstanden habe ist dem Problem auf OS-Ebene nicht beizukommen. Was soll also JonDo dagegen unternehmen?

Ich habe mich einen Abend lang durch die verfügbare open source hardware gewühlt, es scheint gegenwärtig nichts mit x86 Architektur zu geben was 100% open source ist. MinnowBoard wirbt zwar damit, braucht im Kleingedruckten aber offenbar doch binary-blobs deren Quellcode nicht frei verfügbar ist.
http://www.minnowboard.org/meet-minnowboard-max/

Es ist sicher möglich ein JonDo oder Tor Live-OS auf ARM Architektur zum Laufen zu bringen, nur müste es jemand machen. Ich bastle gerne aus Einzelteilen etwas zusammen, aber Software zu portieren übersteigt meine Fähigkeiten bei Weitem.

Ich finde es eigentlich erstaunlich dass noch niemand auf die Idee gekommen ist, es wäre doch eigentlich naheliegend ein 'sicheres' und offenes OS auch auf ebenso vertrauenswürdiger Hardware laufen zu lassen. Habe schon vor über 1 Jahr mal die Tor Devs darauf angesprochen, die Antwort lautete damals aber 'kein Interesse'. Man müsste sich wohl direkt an die community dieser open-source boards wenden, ich denke es kann nicht so schwer sein. Leistungsstark genug sollte die Hardware mittlerweile sein.

Vielleicht bewirkt ja genau dieser BIOS Trojaner ein Umdenken, ich bin gespannt.

Re: Mit BIOS-Trojaner gegen Live-DVD

Posted: Sun Mar 29, 2015 6:44
by Ochnö
Dies klingt doch schon mal recht ordentlich:

https://www.crowdsupply.com/purism/librem-laptop

https://trisquel.info/

THX @Ivan

Preis"uebel"aber in Anbetracht dessen das auch die FW"praktisch"voellig frei ist...bis auf einen"klitzekleinen kinken"beim BIOS..
Die Hardware intelligent aufgebaut und flexibel austauschbar.

Fuer den "absoluten Paranoiker"fehlt natuerlich die Moeglichkeit selbst die FW und BIOS zu installieren und dann via leicht zugaenglichem microswitch die gegen ueberschreiben zu sichern ;)

@Al3ph
Das die Tor devs da abgeblockt haben ist verstaendlich.
Die haben mit Tor und dem browser bundel schon genug zu tun.Hardware ist eine voellig andere Baustelle.

Re: Mit BIOS-Trojaner gegen Live-DVD

Posted: Sun Mar 29, 2015 9:25
by xg27
Al3ph wrote: Ich habe mich einen Abend lang durch die verfügbare open source hardware gewühlt, es scheint gegenwärtig nichts mit x86 Architektur zu geben was 100% open source ist.
Gegen BIOS-trojaner hilft open-source Hard- / Software alleine nicht. Wenn ein open-source BIOS abenfalls ins RAM geladen wird zum Betrieb des Rechners bzw. als Software aus der Ferne veraenderbar ist, dann ist es gegen das konkrete Problem ebenso anfaellig.

Und, BIOS-trojaner sind alles andere als neu...

Das Einzige, was neu ist, ist das groessere Interesse der Oeffentlichkeit am Thema Sicherheit / Kompromittierung / Abhoehren; als Folge der Snowden-Affaere.

Auch die Tatsache, dass e-mails leicht abgehoert werden koennen, war seit Jahrzehnten oeffentlich bekannt.

Re: Mit BIOS-Trojaner gegen Live-DVD

Posted: Sun Mar 29, 2015 9:34
by Ochnö
https://en.wikipedia.org/wiki/CIH_%28computer_virus%29

http://www.heise.de/security/meldung/Di ... 41262.html

bei den uralt pcs konnte man den BIOS chip auf dem board durch einen switch gegen schreiben schuetzen.

Etwas vergleichbares fehlt heute.

Re: Mit BIOS-Trojaner gegen Live-DVD

Posted: Sun Mar 29, 2015 10:02
by xg27
Ochnö wrote:
bei den uralt pcs konnte man den BIOS chip auf dem board durch einen switch gegen schreiben schuetzen.

Etwas vergleichbares fehlt heute.
Der Schalter verhindert permanente Einnistung aber der exploit ist auch mit dem Schalter noch da.

Der exploit ist das zum Betrieb ins RAM geladene BIOS, und zumindest dort ist es [als Software] modifizierbar.IMHO wuerde nur ein hard-wired BIOS wirklich helfen.Ein Chip der in seinen Schaltkreisen den BIOS-job erledigt, nichts davon als Software in irgendeinen Speicher geladen wird, und den man natuerlich dann zum updaten physisch auswechseln muss.

Re: Mit BIOS-Trojaner gegen Live-DVD

Posted: Sun Mar 29, 2015 11:09
by Ochnö
xg27 wrote:
Ochnö wrote:
bei den uralt pcs konnte man den BIOS chip auf dem board durch einen switch gegen schreiben schuetzen.

Etwas vergleichbares fehlt heute.
Der Schalter verhindert permanente Einnistung aber der exploit ist auch mit dem Schalter noch da.

Der exploit ist das zum Betrieb ins RAM geladene BIOS, und zumindest dort ist es [als Software] modifizierbar.IMHO wuerde nur ein hard-wired BIOS wirklich helfen.Ein Chip der in seinen Schaltkreisen den BIOS-job erledigt, nichts davon als Software in irgendeinen Speicher geladen wird, und den man natuerlich dann zum updaten physisch auswechseln muss.
Ein exploit der"irgendwo"auf der HD herumliegt ist genau so interessant wie ein win exploit auf einem Linux ;)
Zudem"kann"er dann entdeckt werden.
Genau das ist ja derzeit das Problem das niemand sein BIOS oder seine FW von HD,Graka&Co"scannen"kann ob die auch sauber sind.

Austauschbare BIOS Chips zwecks update sind voellig unrealistisch.Genauso wie die Forderung das nichts"in software"und nichts ins RAM geladen werden soll\darf.
"Nichts ins RAM" bedeutete einen voelligen technischen Umbau der PC structure.
Im Falle des BIOS heisst das ja sowieso-es wird vom BIOS(Chip)aus geladen und eben nicht von der HD,wo es entdeckt werden koennte!

"Machbar"aber waeren micro schalter(leicht erreichbar unter einer Klappe)die FW updates freigeben oder Sperren fuer BIOS,HD,GRAKA usw.
Mit Auslieferung der HW gleich ein einfach zu bedienendes prog mitgeben das die signatur der updates checkt.
Wobei ich mir recht sicher bin das gut 90% der user nie ein BIOS oder sonstiges FW update durchfuehren.