PC-Sicherheitsproblem

WinfriedM

ww-robinie
Registriert
25. März 2008
Beiträge
24.301
Ort
Dortmund
Kann ich nicht bestätigen, mein BIOS holt sich über DHCP die Netzwerkdaten und zieht dann der Herstellerseite direkt das Update wenn ich das will, alternativ vom USB Stick, Tools oder gar Bootdisk braucht man nicht

Sehr vorbildlich, so läufts bei vielen Herstellern leider nicht.

Wie läuft das denn bei dir konkret? Gehst du zuerst mit Tastenkombination ins Bios und dort stößt du den Prozess an? Oder ist das ein bootbarer USB-Stick, der ein Biosupdater enthält? Wie erstellst du den?

Ganz ehrlich - damit kann ich leben. Ich traue mich sogar noch in den Straßenverkehr, und esse Lebensmittel übers MHD hinaus. Was ist wohl gefährlich er?

Deiner Argumentation kann ich nicht folgen. Als Admin muss ich sicherstellen, dass ein System möglichst sicher funktioniert, weil sonst extrem hohe Schäden verursacht werden können: Datenverlust, nicht funktionierende EDV (über Tage/Wochen), die ein Unternehmen in den Konkurs bringen kann, sensible Daten, die in fremde Hände geraten usw. Man hat Verantwortung für sein Geschäft, seine Mitarbeiter, seine Kunden usw. Da kann man doch nicht so leichtfüßig daher kommen, als würde das alles irrelevant sein.

Sich nicht um Bios-Updates zu kümmern ist in vielen Fällen grob fahrlässig. Ein EDV-System ist nunmal auch nur so sicher, wie das schwächste Glied.

Hier gibts auch noch ein paar Infos zu solchen Attacken, diesmal von Heise und nicht von Bild :emoji_wink:

https://www.heise.de/security/meldung/Lojax-Der-Spion-der-aus-dem-BIOS-kam-4175535.html
 
Zuletzt bearbeitet:

uli2003

ww-robinie
Registriert
21. September 2009
Beiträge
13.467
Alter
57
Ort
Wadersloh
Winfried - du sprichst von Produktivsystemen, mit hoher Verfügbarkeit und ggf. sensiblen Daten, ich vom PC des häuslichen Forenbesuchers. :emoji_slight_smile:
Da liegt der Unterschied.
 

WinfriedM

ww-robinie
Registriert
25. März 2008
Beiträge
24.301
Ort
Dortmund
@uli2003 Da hast du recht, da muss man klar unterscheiden, welche Systeme wir meinen. Wobei auch im privaten Bereich ich immer mal wieder Feuerwehr spiele und Betroffene einen mittleren Nervenzusammenbruch bekommen, wenn sie begreifen, dass ihre Daten mangels Backup nun endgültig weg sind. Urlaubsbilder der letzten 10 Jahre, private Korrespondenz, alle Bilder der heranwachsenden Kinder, Finanzdaten, angefangene Doktorarbeiten usw.

Wenn man dann auch private Daten anderer auf seinen Systemen gespeichert hat (z.B. Adresslisten eines Vereins inkl. Bankverbindung und Geburtsdatum), wirds schnell asozial, sich dann nicht entsprechend um die Sicherheit zu kümmern.
 

uli2003

ww-robinie
Registriert
21. September 2009
Beiträge
13.467
Alter
57
Ort
Wadersloh
Tja, die rudimentären Dinge muss man schon selber unternehmen.
Backups sind wichtig. Wenn es hier mal brennt, reiße ich die externe Backup-Platte ab, und habe alle Daten.
Vereinslisten sind im Programm verschlüsselt, und dann noch programmspezifische Datenbanken.
Wenn wir die Listen mal austauschen müssen, dann nur zusätzlich verschlüsselt. Kann man sicher mit entsprechendem Aufwand knacken, so wertvoll sind Bsnkverbindungen aber nicht.

BIOS - Updates habe ich gemacht als das BIOS anfangs Fehler hatte und das System nicht stabil lief.
Bei mir werkelt ein 4x2,33 Q8200 in einem Foxconn Board. Versuch mal beim Foxconn Updates zu bekommen..
 

pixelflicker

ww-robinie
Registriert
8. August 2017
Beiträge
1.854
Ort
Mitten in Bayern
Dass sich das Bios selbst das Update holt ist nicht ganz tivial, da Netzwerkzugriffe und Dinge wie die Auswertung von Zertifikaten und Verschlüsselung auf einer höheren Ebene passieren. Das BIOS bringt sowas normalerweise nicht mit, es muss also ein großer Aufwand getrieben werden. Deswegen kenne ich es eigentlich eher anders und so ist es auch bei meinem Rechner: Es gibt ein Dienstprogramm das auf dem Rechner im Betriebssystem läuft (also üblicherweise unter Windows) und dort regelmäßig nach Updates für das BIOS schaut und im Bedarfsfall dieses dann auch ausführt. Das hat dann den Vorteil, dass das Dienstprogramm auch gleich die Treiber für das System mit Aktualisieren kann und evtl. noch weitere Aufgaben übernehmen kann wie Garantieverlängerungen oder prüfen der Hardware auf Fehler. Bei mir tut das Programm "Dell Update" genau das alles.

Spätestestens bei den großen Lücken im letzten Jahr (Spectre und Meltdown) hat sich herausgestellt, dass BIOS-Updates eben nicht nur bei Stabilitätsproblemen nötig sind.
 

ChristophW

ww-robinie
Registriert
27. November 2013
Beiträge
2.790
Ort
Schleswig-Holstein
Das BIOS bringt sowas normalerweise nicht mit, es muss also ein großer Aufwand getrieben werden.
Dann verweise ich doch nochmal auf https://de.m.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface insbesondere auf den Abschnitt 'Techniken und Möglichkeiten' jedes halbwegs aktuelle System sollte bereits mit einem UEFI-BIOS ausgerüstet sein.
Das die Hersteller lieber noch eigene 'Tools' anbieten bestreitet doch keiner und ist ja trotzdem möglich, hier ging es aber darum das BIOS gerade ohne zusätzliche Tools oder Bootdisketten zu aktualisieren...
 

ChrisOL

ww-robinie
Registriert
25. Juli 2012
Beiträge
5.733
Ort
Oldenburg
und Betroffene einen mittleren Nervenzusammenbruch bekommen, wenn sie begreifen, dass ihre Daten mangels Backup nun endgültig weg sind. Urlaubsbilder der letzten 10 Jahre, private Korrespondenz, alle Bilder der heranwachsenden Kinder, Finanzdaten, angefangene Doktorarbeiten usw.

Nach anfänglicher Skepsis lobe ich mir da für privat doch die Cloud Lösungen. Für ein paar € bekomme ich mehr als genug Speicher. Dokumente und Bilder sind da automatisch synchronisiert.

Da muss beim Brand nicht mal was retten :emoji_wink:
 

WinfriedM

ww-robinie
Registriert
25. März 2008
Beiträge
24.301
Ort
Dortmund
ann verweise ich doch nochmal auf https://de.m.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface insbesondere auf den Abschnitt 'Techniken und Möglichkeiten' jedes halbwegs aktuelle System sollte bereits mit einem UEFI-BIOS ausgerüstet sein.
Das die Hersteller lieber noch eigene 'Tools' anbieten bestreitet doch keiner und ist ja trotzdem möglich, hier ging es aber darum das BIOS gerade ohne zusätzliche Tools oder Bootdisketten zu aktualisieren...

Hab gerade nochmal nachgeschaut. Wir setzen viel Fujitsu Computer ein, da gibts auch bei aktuellen Systemen kein Tool, womit man das Bios direkt flashen kann, ohne irgendein System zuvor zu starten. Es gibt hier nur Werkzeuge, die auf Windows basieren oder auf Freedos.

Bei Dell und Lenovo kenne ich auch keinen Weg. Sysadmins, die ich kenne, nutzen ausschließlich die Windows-Tools dafür.
 

ChristophW

ww-robinie
Registriert
27. November 2013
Beiträge
2.790
Ort
Schleswig-Holstein
Was für Mainboards sind das den?

Letztendlich muss es natürlich nicht so eine Funktion geben, technisch möglich ist das, auch wenn es "kompliziert" ist.
 
Zuletzt bearbeitet:

Holz-Fritze

ww-robinie
Registriert
23. Januar 2008
Beiträge
5.243
Alter
55
Ort
Bonn
Warum sollte man das tun? Mein Rechner ist schon einige Jahre alt, läuft aber einwandfrei. Wüsste nicht warum ich da was erneuern sollte.
Ich schrieb hier von industrieller Nutzung, nichts ist teurer als wenn eine Person in einer Firma nicht arbeiten kann. Also wird die HW regelmäßig getauscht um die Ausfallwahrscheinlichkeit zu verringern.
 

Holz-Fritze

ww-robinie
Registriert
23. Januar 2008
Beiträge
5.243
Alter
55
Ort
Bonn
Früher ging das oft noch über eine Boot-Diskette, also ohne das ein Betriebssystem laufen musste. Heute brauchts oft Windows, weil es nur dafür Tools gibt, die das Bios flashen können bzw. die diesen Update-Prozess anstoßen. Wenn aber das System erstmal infiziert ist, bekommst du es nicht mehr hochgefahren, ohne das ein Virus aktiv ist. Und der kann das flashen ja wiederum verhindern.

Dann boote ich eben ein abgespecktes Windows von einem USB Stick oder von einer sauberen Festplatte. Wie auch immer ob das wirtschaftlich ist, das ist eben die frage. Wenn die IT das bei 400 Rechnern machen muss ist es eventuell billiger alles neu zu kaufen.
 

WinfriedM

ww-robinie
Registriert
25. März 2008
Beiträge
24.301
Ort
Dortmund
Dann boote ich eben ein abgespecktes Windows von einem USB Stick oder von einer sauberen Festplatte.

Das ist ja das Problem, dann bootest du über das Uefi-System und das ist ja schon evtl. virenverseucht. Du schaffst es so nicht, ein System sauber neu aufzusetzen, der Uefi-Virus kann schlicht verhindern, dass du neu flashen kannst, tut aber so, als wärest du erfolgreich gewesen.

Was für Mainboards sind das den?

Fujitsu, Dell und Lenovo dürften ihre Mainbords selber bauen, also keine Standard-Ware, die von Drittherstellern eingekauft wird.
 

uli2003

ww-robinie
Registriert
21. September 2009
Beiträge
13.467
Alter
57
Ort
Wadersloh
Das ist ja das Problem, dann bootest du über das Uefi-System und das ist ja schon evtl. virenverseucht.
Kann ich jetzt nicht wirklich glauben, von CD gebootet und neu geflasht, sollte die Probleme beheben. Es wäre nun schon sehr speziell, das Flash-Programm im Speicher zu manipulieren.
 

WinfriedM

ww-robinie
Registriert
25. März 2008
Beiträge
24.301
Ort
Dortmund
Viren, die sich direkt ins Bios/Uefi reinsetzen, gibts zum Glück noch relativ selten. Es gibt sie aber, siehe Lojax bzw. den Link in #101

Wenn der im Uefi sitzt, ist der aktiv, bevor deine CD bootet. Es ginge nur, wenn das Bios/Uefi-System einen festen Bootmechanismus speziell für das Flashen hätte, der niemals überschrieben/ausgetauscht werden kann. Oder anders ausgedrückt: Einem Gauner, der dir ein neues Sicherheitsschloss ins Haus einbaut, dem kannst du nicht trauen.
 

uli2003

ww-robinie
Registriert
21. September 2009
Beiträge
13.467
Alter
57
Ort
Wadersloh
Lass ihn doch aktiv sein, spielt doch keine Rolle. Der Flasher bügelt das BIOS komplett über, dann ist nach dem Neustart Schluss.
Auf Windows Ebene mag eine Manipulation klappen, auf DOS Ebene arbeitet das Programm eher rudimentär.
Sofern es ein Flash-Programm in der Form gibt.
 

Holz-Fritze

ww-robinie
Registriert
23. Januar 2008
Beiträge
5.243
Alter
55
Ort
Bonn
Das ist ja das Problem, dann bootest du über das Uefi-System und das ist ja schon evtl. virenverseucht. Du schaffst es so nicht, ein System sauber neu aufzusetzen, der Uefi-Virus kann schlicht verhindern, dass du neu flashen kannst, tut aber so, als wärest du erfolgreich gewesen.
Fujitsu, Dell und Lenovo dürften ihre Mainbords selber bauen, also keine Standard-Ware, die von Drittherstellern eingekauft wird.
Ich glaube nicht, dass der Virus der nur begrenzte Möglichkeiten hat, verhindern kann, dass das Bios geflasht wird.
 

uli2003

ww-robinie
Registriert
21. September 2009
Beiträge
13.467
Alter
57
Ort
Wadersloh
Das sehe ich genau so. Ein Programm in sehr knapp bemessenem Speicher, das dann eine riesige Funktionalität haben soll, um alle Eventualitäten ausbremsen zu können? Es ist schon eine Menge möglich auf Betriebssystemebene, da wird dann auch einiges nachgeladen.
 

WinfriedM

ww-robinie
Registriert
25. März 2008
Beiträge
24.301
Ort
Dortmund
@uli2003 Du kennst doch noch die Heimcomputerzeit. Was gabs da für ausgekügelte Spiele mit Grafik, die in 40KB passten, weil sie in Assembler sehr effektiv programmiert wurden. Ich halte es für überhaupt kein Problem, einen Mechanismus einzubauen, der jegliches Update verhindert. Ja das wäre das erste, was ich als Hacker einbauen würde, weil ich so das Überleben meines Virus schütze.

Kurzum: Ein laufendes verseuchtes System darf niemals die Grundlage darstellen, um sich selbst zu bereinigen. Das verstößt gegen rudimentäre EDV Grundsätze. Ich muss sicherstellen, dass der Mechanismus, der das neue Bios einspielt, 100% vertrauenswürdig ist.
 

Holz-Fritze

ww-robinie
Registriert
23. Januar 2008
Beiträge
5.243
Alter
55
Ort
Bonn
@uli2003 Du kennst doch noch die Heimcomputerzeit. Was gabs da für ausgekügelte Spiele mit Grafik, die in 40KB passten, weil sie in Assembler sehr effektiv programmiert wurden. Ich halte es für überhaupt kein Problem, einen Mechanismus einzubauen, der jegliches Update verhindert. Ja das wäre das erste, was ich als Hacker einbauen würde, weil ich so das Überleben meines Virus schütze.

Kurzum: Ein laufendes verseuchtes System darf niemals die Grundlage darstellen, um sich selbst zu bereinigen. Das verstößt gegen rudimentäre EDV Grundsätze. Ich muss sicherstellen, dass der Mechanismus, der das neue Bios einspielt, 100% vertrauenswürdig ist.

Na wenns eben nicht geht, dann gehts nicht, ich verstehe das Problem nicht. Dann wird eben die HW getauscht. Trotz allem ist dies ein seltener Virus.
 

WoodyAlan

ww-robinie
Registriert
28. Februar 2016
Beiträge
5.332
Ort
Vilshofen
Vernünftige Boards haben nen eigenen Jumper mit dem das komplette BIOS resetet wird, danach geflashed und sauber is das ding
 

WinfriedM

ww-robinie
Registriert
25. März 2008
Beiträge
24.301
Ort
Dortmund
Vernünftige Boards haben nen eigenen Jumper mit dem das komplette BIOS resetet wird, danach geflashed und sauber is das ding

Jumper gibts bei allen mir bekannten Herstellern schon lange nicht mehr und die haben auch nie das Bios gelöscht, sondern lediglich auf Standard-Konfiguration zurückgesetzt. Hier gehts aber nicht um die Konfiguration, sondern um den Programmcode, also das Bios selber.
 

WoodyAlan

ww-robinie
Registriert
28. Februar 2016
Beiträge
5.332
Ort
Vilshofen
Sorry, nö.

Meine Asus boards konnten bisher alle das bios komplett zurücksetzen inkl bios Version vom auslieferungszustand. Klar, auch Werkseinstellungen, aber eben auch deutlich mehr:emoji_wink:
 

uli2003

ww-robinie
Registriert
21. September 2009
Beiträge
13.467
Alter
57
Ort
Wadersloh
Ich weiß nicht wie viele infizierte BIOS du schon geflasht hast Winfried, aber in der Regel ist der Flasher recht dumm - schreibt einfach nur das BIOS über.
Ich kann mir auch nicht vorstellen, dass da Interrupts möglich sind.
 
Oben Unten