Hallo,

da ich mich länger nicht drum gekümmert habe,
gibts noch So 1150 oder zur not So 1155 Boards ohne UEFI?


Solange der Kram nicht wirklich ausgereift ist mag ich mir diese Sicherheitslücke nicht unbedingt anlachen.
Ein Haswell oder zur not Ivy wäre allerdings schon schön.

Soll definitiv OC geeignet sein, sprich für K Modelle und mit freien Spannungsänderungen etc.


Abseits der Sicherheitsthematik brauch ich auch kein maus/netz/schickimicki bios ;).

Es gibt schon lange keine klassischen BIOSe mehr. Selbst Boards mit alten Text-Setup Menüs haben nur einen Kompatibilitätslayer auf dem UEFI laufen.

Und ohne UEFI und SecureBoot brauchst Du Dir über die ach so schlimme Sicherheitslücken im UEFI BIOS eh keine Gedanken machen, denn dann ist der Boot sowieso völlig ungesichert und es gibt viel einfacherer Möglichkeiten, in den Bootvorgang einzugreifen, als das UEFI selbst anzugreifen.

Das ganze ist wie die Argumentation: "Man kann Fahradschlösser ja bekannterweise knacken, also lass ich mein Fahrrad besser ohne Schloss stehen, denn dann man das nicht vorhandene Schloss schließlich auch nicht knacken!"

Schade.
Du Mißinterpretierst allerdings meine Kritik, mir gehts nicht um SecureBoot - im Gegenteil, ich finde solche Beschränkungen ziemlich hinderlich.

Ein RootKit was sich im UEFI einnisted (und damit quasi nicht mehr entfernbar ist) finde ich halt nicht witzig.

Du Mißinterpretierst allerdings meine Kritik, mir gehts nicht um SecureBoot.

Ein RootKit was sich im UEFI einnisted (und damit quasi nicht mehr entfernbar ist) finde ich halt nicht witzig.

Verstehe ich schon, nur ist die Gefahr IMO überschätzt. Sowohl was das Risiko als auch was die Folgen angeht.

Man bekommt einen solches RootKit schon los, in dem man eben sein BIOS neu flashed. Und grundsätzlich ist ein ähnlicher Angriff auch auf herkömmliche BIOS denkbar. Wie gesagt, es würde sich nur niemand die Mühe machen wollen.

Diese UEFI Lücke ist speziell für Systeme relevant und problematisch, für die Hochsicherheitsanforderungen gelten. Nicht für normale Haus- und Hofrechner, wie wir sie alle einsetzen.

Die letzte non-UEFI Generation war Lynnfield auf dem So1156, es gab anfangs z.B. von Gigabyte auch einige Sandy Bridge So1155 Boards die mit einem "echten" Bios ausgeliefert wurden, mit den Ivy Bridge FW Updates ist aber auch da das UEFI hinzugekommen.

Ein System mit klassischem Bios kann auch abseits der aktuellen Sicherheitsprobleme interessant sein, z.B. für RAID-Controller: ich hab hier einen HP P410 welcher mit den aktuellen Firmwares nur in HP Boards läuft, auf einem non-HP UEFI Board bleibt der Rechner in einer Bootschleife hängen. Mit einem non-HP non-UEFI Board dagegen läuft die Karte problemlos und ließ sich somit mit der letzten für non-HP UEFI Boards kompatible FW flashen.

@Tia Gast unter mir:

Intel Boards auch, die Frage ist welche Generation. Für Bulldozer gibts auch keine non-UEFI Boards mehr.

AMD-Boards gibt es noch mit echtem Bios.

Du solltest nicht auf den UEFI Part verzichten. Schon allein wenn es sich um ein neu aufgelegtes 64bit Betriebssystem handelt. http://www.pcwelt.de/ratgeber/BIOS_2.0__10_UEFI-Tricks_fuer_Insider-PC_und_Mainboards-8723414.html

Das EFI Secure Zeugs kannst Du deaktiveren. Ist durch das UEFI Konsortium immer noch gefordert. Bei größeren Laufwerken und wegen des beschleunigten Systemsstarts (Fastboot, Bootloader etc.) macht UEFI aber Sinn. Auch SSDs werden besser unterstützt.

Nimm so neu wie möglich (was bezahlbar bleibt) und nicht den alten Krempel.

... Für Bulldozer gibts auch keine non-UEFI Boards mehr.

Sogar für Vishera: http://geizhals.de/?cat=mbam3p&asuch=-uefi&asd=on&bpmax=&v=e&hloc=at&hloc=de&plz=&dist=&filter=aktualisieren&mail=&bl1_id=30&sort=p

Mein Fehler, hast Recht.

Nur fraglich ob dieser Aufrüstweg für den TS mit X6 @ 3.8 GHz großartig interessant wäre.

Du solltest nicht auf den UEFI Part verzichten. Schon allein wenn es sich um ein neu aufgelegtes 64bit Betriebssystem handelt. http://www.pcwelt.de/ratgeber/BIOS_2.0__10_UEFI-Tricks_fuer_Insider-PC_und_Mainboards-8723414.html

Das EFI Secure Zeugs kannst Du deaktiveren. Ist durch das UEFI Konsortium immer noch gefordert. Bei größeren Laufwerken und wegen des beschleunigten Systemsstarts (Fastboot, Bootloader etc.) macht UEFI aber Sinn. Auch SSDs werden besser unterstützt.

Nimm so neu wie möglich (was bezahlbar bleibt) und nicht den alten Krempel.

Also eigentlich geht es hier nur um Microsoft. Alle anderen modernen Betriebsysteme haben überhaupt kein Interesse an UEFI.

Kruemel hat da schon recht, ausgehend von der Basis, und ohne direkte ruckelnot hätt ich schon gern einen großen Performanceschub damit sich das ganze lohnt.

Nun gut, dann wirds halt nen UEFI ... oder ich lass der sache noch ein halbes Jahr Zeit.
Bis dahin ist sicherlich das bekannte Sicherheitsloch des universal rootkits gelöst und
die nächsten CPU Generationen stehen vielleicht auch schon bereit (AMD & INTEL).


Zum Thema viele Vorteile: nein, ich sehe da keinen nennenswerten Vorteil für mich (und das Win7) - dem ubuntu ists eh total egal.
SSD werden auch mit UEFI nicht anders angesteuert als ohne. Kann mir nicht vorstellen das AHCI auf UEFI anders funktioniert ... :D
GRUB2 hat auch kein problem damit ein W7 auf einer GPT partitionierten Platte zu booten.

Danke für die Infos.

Und wenn man einen UEFI-Rechner ausschließlich offline nutzen will, kommen Microsoft und Andere mit Online-Zwang. Kein Schelm, wer sich dabei etwas denkt.

Verstehe ich schon, nur ist die Gefahr IMO überschätzt. Sowohl was das Risiko als auch was die Folgen angeht.

Man bekommt einen solches RootKit schon los, in dem man eben sein BIOS neu flashed. Und grundsätzlich ist ein ähnlicher Angriff auch auf herkömmliche BIOS denkbar. Wie gesagt, es würde sich nur niemand die Mühe machen wollen.

Diese UEFI Lücke ist speziell für Systeme relevant und problematisch, für die Hochsicherheitsanforderungen gelten. Nicht für normale Haus- und Hofrechner, wie wir sie alle einsetzen.
Ist es nicht auch relevant für die Möglichkeit,überhaupt ein Linux installieren zu können?

Wenn da noch so ein System im System existiert, auf das man als Anwender gar keinen Einfluß mehr hat, kann das doch nicht positiv sein, egal wie relevant das für Privatleute angeblich ist.

Ohne UEFI würde mein PC und Laptop wohl doppelt so lange zum starten benötigen... Verstehe auch nicht, warum so viele immer gerne an (sehr) alter Technik festhalten... Zudem gibts UEFI ja auch nicht erst seit gestern, ist dem entsprechend also auch schon recht ausgereift. Aber das wichtigste wurde ja schon gesagt, mit reinem BIOS gibts nichts mehr halbwegs aktuelles von Intel.

Kernfrage ist ja geklärt, aber zur Diskussion:



@ kevsti: du hast die Thematik nicht annähernd verstanden - und was das alt angeht: mag sein, aber es tut wofür es gut ist/war

Wenns so toll ausgereift wäre, wäre nicht die referenzimplementierung so anfällig das 80 % problemlos kompromittierbar sind mittels des Exploits von vor ein paar wochen.

-> http://www.golem.de/news/firmware-hacker-veroeffentlicht-anleitung-fuer-uefi-rootkits-1502-112305.html


Und Grestorn hat es zwar vermutlich verstanden, redet es aber schön.
Es ist ja nicht so das man jederzeit mal eben das UEFI flasht weil man ja was eingefangen haben könnte.
Und ja, rein theoretisch kann man sowas auch für ein AWARD Modular BIOS machen, da muss man den exploit aber für jedes Board einzeln entwickeln,
ist also kein Massentauglicher Einfallsvektor vorhanden.

Hin wie her, ich kann keine notwendigkeit für netzwerkstacks o.ä. in einem BIOS erkennen.



1. Ist es fast unmöglich überhaupt den Befall festzustellen da das über dem OS sitzt und scanner allgemein im OS laufen

2. Ob es sich überhaupt mit bios update beseitigen lässt ist auch noch fraglich, denn theoretisch könnte es ja auch den update call anders handhaben (allerdings fehlen mir da die technischen details ob das bestehende uefi das update selbst durchführt, ist allerdings wahrscheinlich weil es eben kein minimalistisches BIOS mehr ist)

3. Thema schneller Boot: Ja klar, wenn man sämtliche initialisierungen und nullen von speicher weglässt ist das schneller - ob das immer von vorteil ist ist fraglich

Debian @ Core2-Bios-Laptop mit SSD geschätzt weniger als 5 Sekunden Bootzeit. Und nu?

In diesem Zusammenhang:
Kann man mit UEFI/SecureBoot überhaupt andere Betriebssysteme außer Windows installieren?

In diesem Zusammenhang:
Kann man mit UEFI/SecureBoot überhaupt andere Betriebssysteme außer Windows installieren?

Natürlich. Alle modernen Betriebssysteme (inkl. diverser Linux-Varianten).

Und bei jedem UEFI lässt sich SecureBoot auch ausschalten. So betreibe ich meines. Ist schlicht einfacher. Dann bootet auch ein MS-DOS und auch sonst alles wieder.


@Mad-Marty: Klar kann man UEFI wegen vieler Dinge kritisieren. Wie so viele neue Entwicklungen. Es ist aber ein Kampf gegen Windmühlen, sich dem Gang der Technik entgegenzustellen.

Unterm Strich werden IT Systeme immer sicherer. Dass trotzdem immer mehr passiert liegt nicht daran, dass sie unsicherer werden, sondern dass inzwischen wesentlich häufiger Angriffe stattfinden.

UEFI ist kein wirkliches Einfallstor, zumindest nicht für den Normalanwender. Wenn Dich die NSA, der Verfassungsschutz oder der BND auf dem Kieker hat, dann könnte es allerdings schon sein, dass man sich einer solchen Lücke bedient. Aber die finden auch ohne UEFI eine brauchbare Lücke, und sei es nur, dass sie ohne Dein Wissen bei Dir eindringen und Deine Hardware manipulieren... :)

1. Ist es fast unmöglich überhaupt den Befall festzustellen da das über dem OS sitzt und scanner allgemein im OS laufen

2. Ob es sich überhaupt mit bios update beseitigen lässt ist auch noch fraglich, denn theoretisch könnte es ja auch den update call anders handhaben (allerdings fehlen mir da die technischen details ob das bestehende uefi das update selbst durchführt, ist allerdings wahrscheinlich weil es eben kein minimalistisches BIOS mehr ist)

3. Thema schneller Boot: Ja klar, wenn man sämtliche initialisierungen und nullen von speicher weglässt ist das schneller - ob das immer von vorteil ist ist fraglich
Schon mal was von Mebromi gehört? Wie sicher ist da Award oder Phönix? Ich sag es Dir. Null. Du musst es mir aber nicht glauben. Bin nur Gast.

Alte MB unterstützen eben weniger Hardware, was sich später negativ bemerkbar machen kann. Man muss nochmasl kaufen, weil die Firmware nicht mehr aktualisiert wird.

Debian @ Core2-Bios-Laptop mit SSD geschätzt weniger als 5 Sekunden Bootzeit. Und nu?
Und?, sieh Dir den Kernel an.


Kann man mit UEFI/SecureBoot überhaupt andere Betriebssysteme außer Windows installieren?
Ja.

UEFI ist kein wirkliches Einfallstor, zumindest nicht für den Normalanwender.
Doch, es hat seine Fehler so wie jeder andere Biostyp. Die Usability ist aber deutlich breiter als bei älteren Versionen.

msdn.microsoft.com/de-de/library/hh824898.aspx

Auch andere 64bit Betriebssystme profitieren davon. Das Basic Input Output System kann einfach nicht mehr mithalten. Die Strukturen sind nicht modern genug um allen Ansprüchen gerecht zu werden. UEFI ist wie ein kleines Betriebssystem vor dem Betriebssystem aufgebaut.

Mit wachsenden Marktanteilen von DXE kompatibler Hardware wird die UEFI Verbreitung voranschreiten. UEFI besitzt einen eigenen Bootloader der Informationen bereits gespeichert hat und nicht bei jedem Start erneut suchen muss.

Wenn Dich die NSA, der Verfassungsschutz oder der BND auf dem Kieker hat, dann könnte es allerdings schon sein, dass man sich einer solchen Lücke bedient. Aber die finden auch ohne UEFI eine brauchbare Lücke, und sei es nur, dass sie ohne Dein Wissen bei Dir eindringen und Deine Hardware manipulieren... :)
Übertreib nicht! Das Hacking findet schon im Vorfeld oder beim Hersteller statt, nicht danach. Niemand hat hier irgendwen auf dem Kieker, soweit man sich nichts zu Schulden kommen lässt.

An gezielten Hardwaremanipulationen sind eher professionelle Hacker interessiert. Die Intentionen sind dabei sehr unterschiedlich gelagert.

Und bei jedem UEFI lässt sich SecureBoot auch ausschalten. ...
aktuell ja

Unterm Strich werden IT Systeme immer sicherer. Dass trotzdem immer mehr passiert liegt nicht daran, dass sie unsicherer werden, sondern dass inzwischen wesentlich häufiger Angriffe stattfinden.




Das kann aber auch nur jemand sagen, der kein ITler ist.

aktuell ja

Es ist auf absehbare Zeit nicht wahrscheinlich, dass sich das ändern wird. Zumindest nicht bei frei käuflichen Motherboards. Bei Rechnern und Notebooks von der Stange mag das anders sein. Aber es ist immer noch die Entscheidung des Kunden, was er kauft...

Das kann aber auch nur jemand sagen, der kein ITler ist.

Lol. You don't know who you're talking to...

Aber bitte. Vergleich doch eine aktuelle Maschine mal mit einem XP Rechner von 2001. Oder meinetwegen mit einem MacIntosh von 2000. Oder auch einem Linux-Rechner aus dieser Zeit.

Von den 90ern mal gar nicht zu reden.

....


Und?, sieh Dir den Kernel an.




Wie meinen? Das "Problem" Bootzeit existiert schlichtweg so nicht. Die Befürworter, die was von "neuer Technik" daherfaseln brauchen Umsatz. Der Schulden wegen versauen die hier alles Mögliche und erzeugen aufgeblasenen Technikmüll.

Smarte Technik sieht anders aus. Der Raspberry Pi zB. hat weder Uefi noch Bios. Die Firmware lädt die Parameter aus einer einfachen Txt-Datei des Betriebssystems.

Und einen PC habe ich früher noch gejumpert oder per Dil eingestellt. Da kann keine Malware angreifen. DAS IST SICHER!

Und einen PC habe ich früher noch gejumpert oder per Dil eingestellt. Da kann keine Malware angreifen. DAS IST SICHER!

Du meinst das wirklich ernst, oder? Damals war es nicht nötig, das System über das BIOS anzugreifen! Da gab es vieeeel einfachere Wege.

Korrektur:

Du meinst das wirklich ernst, oder? Damals war es nicht nötig nicht möglich, das System über das BIOS anzugreifen! Blablub.

Was kommt eigentlich nach dem Betriebssystem(UEFI) für das Betriebssystem? Das Betriebssystem für das Betriebssystem für das Betriebssystem? Und dann das Betriebssystem für das Betriebssystem für das Betriebssystem für das Betriebssystem?

Smart und effizient geht anders.

http://www.extremetech.com/extreme/201722-linuxs-worst-case-scenario-microsoft-makes-secure-boot-mandatory-locks-out-other-operating-systems

http://youtu.be/nCVFHLVsk44

Korrektur:Was kommt eigentlich nach dem Betriebssystem(UEFI) für das Betriebssystem? Das Betriebssystem für das Betriebssystem für das Betriebssystem? Und dann das Betriebssystem für das Betriebssystem für das Betriebssystem für das Betriebssystem?Smart und effizient geht anders.
UEFI ist eine Art Firmware-Interface mit eigenem Bootloader. Lies noch mal schnell nach wie ein Bios so funktioniert, besonders von wo und aus welchen Zeiten dieses abstammt. DOS-Kernel sind immer angreifbar. Mit DOS Attacken der feinsten Art. Zudem sind die Lizenzen nicht mehr ohne. Du kannst ja gerne mit OpenBios-Alternativen friemeln. Viel Spaß damit.

Nur weil sich für FreeBDS ähnliche Systeme die breite Masse oder eben niemand potentiell interessiert, "heißt es nicht", dass es sicher ist!

BIOS ist Krempel aus den 90iger Jahren, wenn man gerne alte und damit kompatible Hardware betreiben will, bitte, sicherer ist es nicht und darum ging es dem TS wohl. Das hat weder was mit der NSA oder dem BND zu tun. Die haben da eher wenig Interesse daran.

Den Herstellern ging es auch um DRM. Trotzdem überwiegen die positiven Anteile und UEFI bietet auch eine BIOS-Emulation über den BIOS-Legacy OS Loader. Ich weiß nicht wo dein Problem ist. Secure Boot war Bestandteil der Windows 8 Strategie. Jede BIOS-Info gibt Hilfestellungen um diesen Part abzuschalten. Auch Windows 8 verrichtet dann seinen Dienst wie gewohnt. Es gibt somit keine Nachteile, eher Vorteile weil man neuere und damit leistungsfähigere Hardware verwenden kann.

SecureBoot diente dazu, um gefährlichen und unsignierten Code vom PC fern zu halten. Und da gibt es sehr viel unseriöses Zeug.

Ansonsten verstehe ich was Du sagen möchtest. Ja, es gibt immer Alternativen! Nur sind sie nicht für jedermann (-frau?) geeignet. ;)

Ist das hier ein IT-Forum oder ein Rosa-Marshmallow-Kreditinstitut? Mein Windows kommt schon lange nicht mehr Online und dient lediglich noch als Fallback und für Spiele. Wenn M$ den Gängel-Überwachungs-Ablinkkram weiterfährt, dreh ich dem Shice komplett den Hahn zu.

Mein Windows kommt schon lange nicht mehr Online und dient lediglich noch als Fallback und für Spiele. Wenn M$ den Gängel-Überwachungs-Ablinkkram weiterfährt, dreh ich dem Shice komplett den Hahn zu.
Hi Tia, Shim 0.2? => GRUB2 (schon mal gehört), da werden Fedora ab Version 18, Open Suse ab 12.3 oder Ubuntu ab 12.04.2. unterstützt. Auch UEFI-Secure-Boot kann man dann benutzen. Lässt sich so auch neben oder mit Windows installieren. Shim stammt ursprünglich von Matthew Garrett. Dabei installierst Du dein eigenes Zertifikat ins UEFI und signiert den Bootloader. http://mjg59.dreamwidth.org/20303.html Den Rest musst Du selbst wissen.:)

Ist das hier ein IT-Forum oder ein Rosa-Marshmallow-Kreditinstitut?
Ich wäre eher für Kreditinstitut...:ulol:

_Isch_abe_überhaupt_keine_uefi_Board_ ... aber Danke für den Hinweis.

@Eidolon:
Danke für die Links. Sowas hatte ich nämlich auch gehört, deshalb meine Eingangsfrage.
Mag sein dass man momentan SB abschalten kann, wer garantiert mir aber dass das so bleibt. Bei ARM Systemen soll es ja jetzt schon nicht möglich sein alternative BSe zu installieren.
Wenn Mainboards Linux Zertifizierungen erhalten können wir weiterreden.


ps: Tscheff ich heisse Tscheff!