Oioioioi!
Nein, nein, und nochmals nein.
Inzwischen gibts eigentlich keinen mir bekannten sinnvollen Grund mehr, nicht UEFI Only zu fahren, […]
Es gibt mindestens hundert Gründe. Und jeder einzelne ist eine katastrophale Sicherheitslücke.
[…] UEFI fördert die Sicherheit deines Rechner […]
Das ist es, was uns die Marketingabteilungen der jeweiligen Hersteller seit Jahren weiszumachen versuchen.
Im folgenden nur vier Heise-Links, bewusst über mehrere Jahre gestreut:
Hacking Team verwendet UEFI-Rootkit (14.07.2015): "Mit einem speziellen Hintertür-Programm im UEFI-BIOS soll die Spionage-Software von Hacking Team sogar Neuinstallationen von Windows überlebt haben"
Kaspersky enttarnt UEFI-BIOS-"Bootkit" (06.10.2020): "Die Malware 'MosaicRegressor' nistete sich im Flash-Chip für den BIOS-Code ein und lässt sich nur schwer löschen"
Cybercrime: Trickbot lernt neuen Trick (04.12.2020): "Emotet-Infektionen werden zukünftig noch gefährlicher. Denn die nachgeladene Malware könnte sich im BIOS festsetzen."
Updates notwendig: Sicherheitslücken im UEFI-BIOS erleichtern Rootkitverankerung (02.02.2022): "Zahlreiche Bugs in UEFI-BIOS-Versionen der Firma Insyde H2O betreffen auch große PC-Hersteller. Sie erleichtern gezielte Angriffe auf Desktop-PCs und Notebooks."
Diese Sicherheitslücke (nur in meiner Auflistung die aktuellste, es gibt zahlreiche weitere, die seit Februar bekannt wurden)
bekam gleich 19 CVE-Nummern (das heißt, dass 19 verschiedene Angriffsvektoren über dieses Angriffscluster möglich sind – und alle 19 "haben CVSS-Scores von 7,5 bis 8,2, sind also mit einem 'hohem' Sicherheitsrisiko eingestuft").
Ich habe dieses heiße Eisen bereits in anderem Zusammenhang kurz gestreift:
(Sicherheitslücken in CPUs […])
Ich kann´s (und möchte es auch hier) nur kurz anreißen: UEFI ist mittlerweile so komplex, dass ein einzelner Programmierer längst nicht mehr den kompletten Code kennt. UEFI-Implementierungen folgen zwar einem standardisierten Muster, sind aber faktisch proprietärer Code (und zwar nicht der Notebook- oder PC-Hersteller, die implementieren das nur), der deshalb auch nicht von (vielen) unabhängigen Augen angeschaut und geprüft werden kann. Es gibt weder einen ökonomischen Areiz, den Code sauber und überschaubar zu halten, noch, Sicherheitslücken zu stopfen. Und wenn diese schließlich doch gestopft werden, vergammelt der Code oft auf den Servern der (PC-)Hersteller, weil Windows die Auslieferung verschlampt oder der Endanwender nicht weiß, dass auch eine PC-Firmware gewartet werden muss.
Das Problematischste ist aber vielleicht, dass stets eine ganze Reihe von Sicherheitslücken in den verschiedenen UEFI-Implementierungen sperrangelweit offenstehen, Sicherheitslücken, von denen kein Mensch und keine Analyse-KI weiß (oder eben nur wenige, und die geben´s nicht preis). So lange, bis das Sicherheitsloch ausgenutzt wird (und es eben niemand merkt bzw. es keine Öffentlichkeit hierzu gibt).
Das Ganze wird nicht einfacher dadurch, dass spätestens seit der Veröffentlichung der Snowden-Dokumente auch nicht mehr abstreitbar ist, dass die "Dienste" rund um den Globus ein großes Interesse daran haben, sich auf dieser Ebene Zugang zu digitalen Geräten zu sichern, einer Ebene, auf der Zugriffe im Prinzip unsichtbar bleiben. - Denn via UEFI (und seine Sicherheitslücken) hat ein (staatlicher oder nichtstaatlicher) Angreifer Zugriff auf ein eigenes Betriebssystem, von dem dem Endnutzer in aller Regel nicht bewusst ist, dass es stets läuft, und über das er auch so gut wie keine Kontrolle hat, auch nicht via (konventionelle) Schadsoftware- und Analysetools.
Und schließlich: Die Sicherheitszertifikate, die z.B. bei SecureBoot genutzt werden, sind nur so sicher wie die Maßnahmen, die ihr Herausgeber unternimmt, um Angriffe abzuwehren. Wenn dann z.B. (auch das ist bereits vorgekommen) ein Zertifikat, weil kompromittiert, zurückgezogen werden muss und durch ein anderes ersetzt: dann starten ab diesem Zeitpunkt alle Betriebssysteme nicht mehr, die auf das nunmehr als "ungültig" eingestufte Zertifikat angewiesen sind. Die Kosten (und Lösung solcher Probleme) werden auf mich als Nutzer/Nutzerin abgewälzt. Es schmerzt, aber es ist offensichtlich so, dass ich hier auf allen Ebenen abhängig bin von anderen Akteuren – deren Motivationen, etwas zu tun (oder auch nicht) oft das genaue Gegenteil sind von dem, was ich als Nutzer/Nutzerin will.
Und hier sind wir wieder beim Marketing: Wenn das nicht so verdammt gut funktionieren würde, könnten die Firmen dieses grundkaputte UEFI-Konzept nicht weiterverkaufen und müssten sich tatsächlich etwas Besseres überlegen ...
Gibt es hier einen Ausweg? - Meiner Ansicht nach: ja. Ich habe es in dem oben verlinkten Thread ebenfalls kurz angesprochen. Es ist zwar eine Krücke, aber es funktioniert (wenngleich einige Hürden übersprungen werden müssen, bis es auf dem Rechner ist): coreboot.
Und: es funktioniert besser als UEFI – der Rechner bootet signifikant schneller, und vor allem ist es möglich, den Bootprozess mit eigenen Zertifikaten abzusichern (via
heads). Zum Umgang mit Sicherheitslücken in der Coreboot-Community habe ich
dort auch das Wichtigste skizziert.
Übrigens: Google und Facebook und allen großen und größeren Serverfarmen-Betreibern ist dieses UEFI-Ding schon seit Längerem ein (Security-)Dorn im Auge. In den Serverfarmen sind in aller Regel Boards installiert, auf denen Coreboot laufen kann, und es werden nicht unerhebliche Ressourcen bereitgestellt (auch innerhalb der Coreboot-Community), damit das so bleibt und weiterentwickelt wird. Ich weiß, das ist für manchen Verfechter /manche Verfechterin der "reinen Leere" etwas schwer verdaulich, aber die Welt ist in der Realität eben nicht ganz gleichmäßig schwarz-weiß-gemustert ...
Hm. Jetzt ist mein "kurz-Anreißen" doch zu einem längeren Beitrag geworden ...
:
