Boothole: Kein Plan, keine Sicherheit

Völlig vorhersehbare Fehler mit UEFI Secure Boot führen vermutlich noch auf Jahre zu Problemen. Vertrauen in die Technik weckt das nicht.

Ein IMHO von veröffentlicht am
Mit der Boothole-Lücke zeigen sich viele vorhersehbare Probleme .
Mit der Boothole-Lücke zeigen sich viele vorhersehbare Probleme . (Bild: puuikibeach, flickr.com/CC-BY 2.0)

Mit der Veröffentlichung von Windows 8 vor rund neun Jahren hat Microsoft erstmals die Secure-Boot-Technik zum Signieren und Absichern des Systemstarts vorgestellt. Die Diskussion darum und auch die Umsetzung von Secure Boot in Linux dauerten danach aber noch Jahre. Ähnlich zähe und unnötig langwierige Diskussionen und Probleme folgen nun dank der Sicherheitslücke Boothole - eine Lücke, über deren Konsequenzen vorher nicht ausreichend nachgedacht wurde, obwohl sie völlig vorhersehbar war.

Inhalt:
  1. Boothole: Kein Plan, keine Sicherheit
  2. Secure Boot - leichter gesagt als getan

Die Boothole-Lücke ermöglicht es, Code in dem Bootloader selbst auszuführen, und somit theoretisch eine volle Kontrolle darüber, welches System gestartet werden soll. Mit der Möglichkeit, dabei auch die Konfiguration selbst so zu ändern, dass Code einfach immer vor dem Start des Betriebssystems ausgeführt wird, lässt sich Schadcode dauerhaft auf einem System einschleusen.

Genau das soll Secure Boot eigentlich verhindern. Dass die Beteiligten aber offenbar überfordert damit sind, Strategien gegen eben dieses Worst-Case-Szenario umzusetzen, spricht nicht dafür, dass das System gut durchdacht wurde, und ist ein Zeichen dafür, dass selbst dieser Worst Case nicht ausreichend betrachtet wurde.

Das fängt schon damit an, dass es trotz einer sehr langen Koordinationsphase zum Veröffentlichen der Lücke und der Patches schnell verschiedene Fehlerberichte über Geräte gab, die nach Einspielen der Updates schlicht nicht mehr starteten. Das lag unter anderem an der Kombination verschiedener Versionen der Bootloader Shim und Grub.

Stellenmarkt
  1. Software Test Engineer Buchhaltungssoftware (m/w/d)
    Haufe Group, Freiburg im Breisgau
  2. Softwareentwickler (w/m/d) Java
    SSI SCHÄFER IT Solutions GmbH, Giebelstadt, Bremen
Detailsuche

Hier lässt sich wenigstens noch einwenden, dass hiervor mit der Veröffentlichung der Patches explizit gewarnt wurde und somit beim Einspielen entsprechend Vorsicht geboten ist. Der Fehler trat aber auch auf Systemen auf, die Secure Boot nicht aktiviert hatten oder schlicht nicht über die Funktion verfügten, da das UEFI des Rechners zu alt war. Es scheint so, als ob diese beiden Situationen schlicht nicht mit den Patches getestet wurden, bevor diese verteilt wurden. Wieso eigentlich nicht?

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Bei der Secure-Boot-Technik werden Bootloader und Betriebssysteme kryptografisch signiert. Beim Start werden diese Signaturen mit Schlüsseln einer Datenbank in der Firmware des Rechners verglichen. Gelingt die Verifikation, startet auch das System selbst. Um die Lücke dauerhaft zu schließen, müssen die Signaturen zurückgezogen werden, die für die alten, verwundbaren Bootloader-Versionen genutzt wurden. Dann müssen die gepatchten Bootloader neu signiert und verteilt werden. Ebenso müssen neue Schlüssel verteilt werden, mit denen die Signaturen überprüft werden. So weit, so nachvollziehbar. Secure Boot war anfangs aber nicht außerhalb von Windows vorgesehen, was nun weitere Probleme verursacht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Secure Boot - leichter gesagt als getan 
  1. 1
  2. 2
  3.  


Aktuell auf der Startseite von Golem.de
Ohne GTA 6
Diese Spiele haben wir auf der E3 vermisst

E3 2021 Kein Dragon Age, kein neues Star-Wars-Spiel und Bioshock: Golem.de erklärt, welche Top-Spiele gefehlt haben - und warum.

Ohne GTA 6: Diese Spiele haben wir auf der E3 vermisst
Artikel
  1. Malware: Trojaner verhindert Urheberrechtsverletzungen
    Malware
    Trojaner verhindert Urheberrechtsverletzungen

    Wer sich die Schadsoftware Vigilante einfängt, kann nicht mehr auf The Pirate Bay und ähnliche Webseiten zugreifen.

  2. Nextbox von Nitrokey im Test: Die eigene Cloud im Wohnzimmer
    Nextbox von Nitrokey im Test
    Die eigene Cloud im Wohnzimmer

    Mit der Nextbox hat Nitrokey eine Cloud für zu Hause entwickelt, um die man sich nicht kümmern muss. Dafür kann man sie auf der ganzen Welt erreichen.
    Ein Test von Moritz Tremmel

  3. Prime Day 2021 bei Amazon - das sind die Highlights
     
    Prime Day 2021 bei Amazon - das sind die Highlights

    Lange haben wir gewartet, jetzt ist es so weit: Der Prime Day 2021 ist gestartet und bietet millionenfache Angebote aus allen Kategorien.
    Ausgewählte Angebote des E-Commerce-Teams

Xandros 24. Nov 2020

Mal abgesehen davon, dass Microsoft niemals in diese Position hätte kommen dürfen, sehe...

Dystopinator 18. Nov 2020

ähm nein, letztes bitte nicht, also voregerenerierte aufgedruckte passwörter die nicht...

x2k 18. Nov 2020

Es gibt einen microcode im bios/uefi der wird beim starten geladen damit die cpu...

Copper 17. Nov 2020

Nein, warum sollte es das auch sein? Behauptet auch niemand. Ist aber für das Problem...

dummzeuch 16. Nov 2020

Laufen diese Server denn überhaupt mit Secure Boot? Solange man auf den Server-Boards...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Amazon Prime Day • SSDs (u. a. Crucial MX500 1TB 75,04€) • Gaming-Monitore • RAM von Crucial • Fire TV Stick 4K 28,99€ • Bosch Professional • Dualsense + Pulse 3D Headset 139,99€ • HyperX Cloud II 51,29€ • Apple-Produkte (u. a. iPhone 12 128GB 769€) • TV OLED & QLED [Werbung]
    •  /