BIOS/UEFI: Security/Password - Erklärungen zu Einstellungen?

[cyberjonny]

Ah, ok. LUKS/VeraCrypt/etc. greifen erst, nachdem das System von eine unverschlüsselten Bootumgebung gebootet hat. Ergo kann der Angreifer den unverschlüsselte Teil (z.B. initrd ...) ohne dein Wissen ändern und erhält (zeitversetzt) Zugriff auf deine verschlüsselten Daten - Howtos dazu finden sich im Netz. Ein HD-Password verhindern die Modifikation des unverschlüsselten Bereiches, ergo bietet es mehr Sicherheit.

Ja, das ist theoretisch ein Nachteil, in der Praxis aber wohl ein eher abstraktes Risiko (zumindest wenn man nicht gerade die NSA o.ä. als Gegner hat). Du meinst vermutlich die Evil Maid Attack, wobei der Angreifer physischen Zugriff auf das System haben muss und das Opfer das System danach erneut nutzen muss, also nichts von der Kompromittierung des Systems erfahren darf. In diesem Fall könnte man aber auch ein SED/"HD-Passwort" aushebeln, nämlich indem man einen Hardware-Keylogger installiert, anstatt dass man die unverschlüsselte Boot-Partition manipuliert. Was ich damit sagen will ist, dass auch ein SED/"HD-Passwort" bei entsprechend konstruierten Szenarien (Evil Maid Attack) keine absolute Sicherheit bieten kann.

Wer den HD-Passwortschutz umgehen kann, für den sind LUKS/VeraCrypt auch kein Hindernis.

Da stimme ich dir wohl zu - allerdings nur unter zwei Prämissen:
a) mit "HD-Passwortschutz" meinst du eine Hardware-basierte FDE (aka ein SED) und nicht nur das einfache (Hard Disk) ATA-Passwort
b) der Hersteller des SED bzw. der Entwickler dessen Firmware ist vertrauenswürdig und hat keine Backdoor oder Bugs eingebaut

Ich meine, Power-On Password heißt, dass man bei jedem Start des Laptops ein PW eingeben muss, also schon vor dem Bootloader, das jedoch unabhängig von einem Hard Disk-Passwort. Also PW bei jedem Hochfahren nötig, Harddisk bei Ausbau/Klau jedoch nicht gesichert (zumindest nicht mit HD-Passwort aus BIOS).

Das schützt also theoretisch dagegen, dass z.B. jemand ein OS von einem Stick oder einer externen HDD an dem Rechner booten kann. Wobei ihm das bei einem vollverschlüsselten System ja ohnehin nicht wirklich etwas bringt - oder?
Und wie sicher ist das Power-On Password überhaupt? Man liest häufig, dass sich das sehr leicht umgehen lässt, z.B. indem man die BIOS-Batterie eine Weile abzieht.

Lock UEFI BIOS Settings soll wohl Veränderungen der UEFI-Einstellungen z.B. aus dem laufenden OS heraus oder gar einer Installation heraus verhindern. Ich z.B. hatte es in meinem paranoiden Sicherheitswahn gesetzt und nach der Linux-Installation (neben Windows) stundenlang gewundert, warum der GRUB-Loader nicht als Bootoption erschien! Irgendwann drauf gekommen, die Option im BIOS abgewählt, GRUB neu installiert und dann ging es.

Okay, das macht Sinn. Das ist aber im Hinblick auf einen höheren oder zusätzlichen Schutz der bereits vollverschlüsselten Daten doch eigentlich auch nicht relevant - oder?

Btw: Das mit dem Hard Disk-Passwort war mir auch immer nicht ganz klar: Bedeutet das tatsächlich eine Verschlüsselung der gesamten Festplatte? Und wenn ja, welches Verfahren wird da eingesetzt? Funktioniert das (optional oder gar ausschließlich) mittels TPM-Chip? Bei mir war beispielsweise der TPM anfangs als inaktiv markiert, habe ihn nicht manuell aktiviert, war aber dann aktiv. Ist das durch setzten des Supervisor-Passwords und Setzen einiger PW-Optionen passiert?

Das würde mich auch interessieren.

Meine Threorie ist, dass das Hard Disk Password zunächst "nur" das ATA-Passwort ist (?), also die Daten nicht verschlüsselt werden und das PW im Zweifelsfall vergleichsweise leicht zu knacken bzw. zu umgehen ist.
Erst wenn ein SED verbaut wird, könnte das Hard Disk Password die integrierte Hardware-Verschlüsselung aktivieren, was dann (das nötige Vertrauen gegenüber dem Hersteller vorausgesetzt) ziemlich sicher wäre.
Kann das jemand so bestätigen oder dementieren? Und falls das so nicht stimmt: Wie wird dann bei einem SED die Verschlüsselung aktiviert?

Hard Disk-Passwort (im BIOS gesetzt) verschlüsselt gar nix. Das sperrt "nur" den Zugriff auf die HDD. Auch in jedem anderen Computer/Laptop.

Verschlüsselung über Betriebssystem verschlüsselt dann tatsächlich alle Dateien. An Fremdrechner mit bekannten Passwort ist auch Zugriff möglich.

TPM spielt glaub nur im ersten Fall eine Rolle (Kontrolle HDD <-> Rechner).

Das wäre dann das ATA-Passwort wie oben beschrieben.

Wann bzw. wofür genau der TPM zum Einsatz kommt (oder auch nicht), ist mir allerdings auch noch nicht ganz klar.

 

[zwieblum]

Ja, das ist theoretisch ein Nachteil, in der Praxis aber wohl ein eher abstraktes Risiko (zumindest wenn man nicht gerade die NSA o.ä. als Gegner hat). Du meinst vermutlich die Evil Maid Attack, wobei der Angreifer physischen Zugriff auf das System haben muss und das Opfer das System danach erneut nutzen muss, also nichts von der Kompromittierung des Systems erfahren darf..

Es reicht ein schlichtes Rootkit.

 

[cyberjonny]

Naja, ganz so "schlicht" ist ein Rootkit ja nun auch nicht und genau das installiert dann die Evil Maid (wohl in Form eines Bootkits) auf dem Rechner.

A kernel-mode rootkit variant called a bootkit, it can infect startup code like the Master Boot Record (MBR), Volume Boot Record (VBR) or boot sector, and in this way, can be used to attack full disk encryption systems. An example is the "Evil Maid Attack", in which an attacker installs a bootkit on an unattended computer, replacing the legitimate boot loader with one under their control.

Quelle: https://en.wikipedia.org/wiki/Rootkit

Meines Wissens ist dafür aber (bisher) immer physischer Zugriff nötig. Mir wäre kein Fall bekannt, wo sich jemand sowas z.B. einfach über das Netz "eingefangen" hätte. Andere Erkenntnisse gerne mit Quelle.

Wir sind uns aber einig, dass bei physischem Zugriff auch keine Hardware-basierte FDE/kein SED hilft?

 

[zwieblum]

"Dirty cow" zB ? Oder ein "netter" Arbeitskollege, Student, Lehrling etc?

"Nur weil du nicht paranoid bist, heißt das nicht, dass sie nicht hinter dir her sind"

 

[cyberjonny]

Mal davon abgesehen, dass Dirty COW in der Praxis vorwiegend Android betrifft, ist der zugrunde liegende Bug bei den meisten aktuellen Distributionen afaik gefixt.

Arbeitskollege, Student, Lehrling... Ja, aber trotzdem eben alle "nur" mit physischem Zugriff.


Deinem Zitat stimme ich zwar gerne zu , aber ist dir denn auch ein nicht nur theoretisch möglicher, sondern ein tatsächlich erfolgreich durchgeführter Angriff bekannt, der explizit eine Folge dessen war, dass keine Hardware-basierte, sondern eine Software-basierte FDE zum Einsatz kam bzw. der mit einer SED hätte verhindert werden können? Theoretisch erfolgreiche Angriffsszenarien kann man für quasi jeden Schutz skizzieren...

 

[zwieblum]

"erfolgreich durchgeführte Angriffe" ... wenn er erfolgreich war, hörst du nichts davon, anderenfalls war er ja nicht erfolgreich

Es gibt immer die Möglichkeit, sich in Sicherheit zu wiegen. In Österreich gibt's jährlich ~ 1 Millarde Euro Schaden (2015) wegen Spionage, die Zahlen variieren je nach Untersuchung (1-2''') http://www.bmi.gv.at/cms/bmi_verfassungsschutz/

Wenn ich die "Sicherung" umgehen kann, dann ist sie für mich unbrauchbar - und ich kann sie folglich nicht empfehlen.

Arbeitskollege, Student, Lehrling... Ja, aber trotzdem eben alle "nur" mit physischem Zugriff.

??? Was willst du überhaupt mit der Verschlüsselung lösen?

 

[cyberjonny]

"erfolgreich durchgeführte Angriffe" ... wenn er erfolgreich war, hörst du nichts davon, anderenfalls war er ja nicht erfolgreich

Das mag vielleicht für Einzelfälle stimmen, aber wenn ein System grundsätzlich Schwächen hat oder kompromitiert wurde, dann bleibt sowas nicht dauerhaft "geheim". Mit deiner Aussage ließe sich auch für die Existenz von Aliens auf der Area 51 "argumentieren". Sorry, aber da brauche ich schon was Handfesteres als nebulöse Sprüche.

Es gibt immer die Möglichkeit, sich in Sicherheit zu wiegen. In Österreich gibt's jährlich ~ 1 Millarde Euro Schaden (2015) wegen Spionage, die Zahlen variieren je nach Untersuchung (1-2''') http://www.bmi.gv.at/cms/bmi_verfassungsschutz/

Es gibt auch immer die Möglichkeit, sich in Paranoia zu verrennen. Und was bei deinem genannten Beispiel aus Österreich unter "Spionage" fällt, ist für mich auch nicht wirklich ersichtlich. Zumal ich mir fast sicher bin, dass sich die meisten Leute mit einer halbwegs gut gemachten Phishing-Mail und einem simplen Trojaner "ausspionieren" lassen (oder noch einfacher: überreden, kaufen, erpressen lassen), völlig unabhängig davon, ob und wie ihr System überhaupt verschlüsselt ist.

Wenn ich die "Sicherung" umgehen kann, dann ist sie für mich unbrauchbar - und ich kann sie folglich nicht empfehlen.

Demnach kannst du überhaupt keine "Sicherung" empfehlen, denn letztendlich sind mit dem richtigen Angriffsvektor und den passenden Bedingungen alle "Sicherungen" knack- oder umgehbar. Da hilft auch eine Hardware-basierte FDE (aka ein SED) nicht, eher im Gegenteil (das ist eine proprietäre Blackbox; woher weißt du, dass der Hersteller nicht noch andere "Kunden" hat?).

??? Was willst du überhaupt mit der Verschlüsselung lösen?

Eigentlich will ich nur meine Daten im Alltag schützen, also z.B. bei Diebstahl, Verlieren und vielleicht noch an Grenze/Flughafen oder bzgl. Polizei und co. (was vermutlich jede sauber implementierte Vollverschlüsselung mit entsprechendem Passwort leisten kann, egal ob Hardware- oder Software-basiert). Alles darüber hinaus (Geheimdienste etc.) sind dann sowieso ganz andere Kaliber, wenn es die auf einen abgesehen haben, hat man wohl ohnehin andere Probleme. Ich will nicht sagen, dass es nicht auch da Möglichkeiten gäbe, um Daten noch abzusichern, aber es wird immer aufwendiger und unkomfortabler in der Alltagsnutzung und mit zunehmenden Ressourcen und investierter Energie steigt einfach auch die Wahrscheinlichkeit, dass ein Angreifer Erfolg hat. Da ist dann die Verhältnismäßigkeit nicht mehr gegeben, wenn es keinen wirklichen Grund gibt.

Und ansonsten habe ich einfach nur persönliches Interesse an dem Thema, (zum Glück) ohne direkten Bedarf für ein bis aufs letzte Bit sicheres System.