Abo
  • Services:
Anzeige
Ronald Minnich auf dem Open Source Summit in Prag
Ronald Minnich auf dem Open Source Summit in Prag (Bild: Linux Foundation/CC-BY 2.0)

Freie Linux-Firmware: Google will Server ohne Intel ME und UEFI

Ronald Minnich auf dem Open Source Summit in Prag
Ronald Minnich auf dem Open Source Summit in Prag (Bild: Linux Foundation/CC-BY 2.0)

Nach dem Motto "Habt ihr Angst? Wir schon!" arbeitet ein Team von Googles Coreboot-Entwicklern mit Kollegen daran, Intels ME und das proprietäre UEFI auch in Servern unschädlich zu machen. Und das wohl mit Erfolg.
Ein Bericht von Sebastian Grüner

Eigentlich arbeitet der Entwickler Ronald Minnich bei Google an der freien Firmware Coreboot, die das proprietäre Bios oder UEFI ersetzen soll und auf Chromebooks eingesetzt wird. Leider sei Coreboot auf Servern aber nicht verfügbar, sagte Minnich auf dem Open Source Summit in Prag. Deshalb versucht er mit einigen Gleichgesinnten, die proprietären Firmware-Komponenten auf Servern mit Intels x86-Chips so weit es geht zu ersetzen oder wenigstens für den laufenden Betrieb unschädlich zu machen.

Anzeige

Um darzustellen, warum das überhaupt notwendig sei, erklärte Minnich zu Beginn seines Vortrags Details zu den proprietären Bestandteilen und mögliche Angriffe auf diese, falls diese etwa Sicherheitslücken enthielten.

Intel ME ist anfällig

So läuft die sogenannte Intel Management Engine (ME) auf einem vom Rest des Systems getrennten Prozessor, hat aber im Prinzip Vollzugriff auf das System und damit zum Beispiel auch auf Passwörter, ohne dass etwa ein Linux-Betriebssystem dies bemerken könnte.

Die ME ist außerdem sehr groß, enthält einen Netzwerk-Stack, einen Webserver oder auch USB-Treiber und kann immer wieder angegriffen werden. So kündigten erst Anfang des Jahres Hersteller Updates für Intel ME an, und vor wenigen Wochen teilten Sicherheitsforscher mit, die Software komplett überlistet zu haben.

Als Nebenprodukt dieser Arbeiten wurde auch entdeckt, dass die ME vollständig deaktiviert werden kann. Letzteres nutzt das Purism-Team für seine Librem-Laptops und liefert diese künftig mit einer deaktivierten Intel ME aus.

UEFI hat die Größe von Linux

Quasi eine Ebene höher als ME läuft dann das UEFI. Dieses System nutzt die gleiche CPU wie das Linux-Betriebssystem, hat laut Minnich einen ähnlich komplexen Kernel und besteht außerdem aus Millionen Zeilen von Code. Zudem laufe das UEFI immer weiter, so lange die Rechner angeschaltet seien.

Ähnlich wie die ME enthält auch das UEFI einen eigenen Netzwerk-Stack, eine Vielzahl von Hardware-Gerätetreibern etwa für USB und weitere Module. Schlimmer sei jedoch, dass ein UEFI-System es ermögliche, sich selbst zu überschreiben - zum Beispiel für Updates. Malware könnte dies ausnutzen und eventuell sogar so tun, als würden Sicherheitslücken geschlossen, obwohl dies nicht geschehe.

Um dieses Angriffsszenario zu beheben, hilft laut Minnich im Prinzip nur ein Shredder, um die Hardware dauerhaft zu zerstören. Wirklich umsetzbar ist das aber nicht. Minnich fragte das Publikum: "Habt ihr Angst? Wir schon!"

Um diesen Zustand zu überwinden, experimentiert sein Team mit dem Abschalten der ME sowie einem Linux-Ersatz für UEFI, was beides nebenbei noch den Boot-Vorgang eines Server-Systems massiv beschleunigt.

NERF-Projekt statt UEFI 

eye home zur Startseite
FreiGeistler 21. Nov 2017

@tha_specializt: Toll getrollt. Fast glaubhaft. :-) Entweder das, oder du musst noch eine...

teleborian 03. Nov 2017

Könnte sich da nicht auch das Gerade laufende Betriebssystem einloggen um bessere...

tha_specializt 02. Nov 2017

Nein. Was soll "mehr warm da seltener Exoten" bedeuten? Raspberries werden nicht...

gadthrawn 01. Nov 2017

Ein an die Hardware angepasstes Linux als bootloader welches nie gekauft wird ist da...

muhviehstarrr 31. Okt 2017

Power on Linux wird doch von IBM angeboten?



Anzeige

Stellenmarkt
  1. Heise Medien GmbH & Co. KG, Hannover
  2. ETAS GmbH & Co. KG, Stuttgart
  3. Bosch Engineering GmbH, Abstatt
  4. Bayerische Versorgungskammer, München


Anzeige
Spiele-Angebote
  1. (-80%) 3,99€
  2. 1,29€

Folgen Sie uns
       


  1. Flightsim Labs

    Flugsimulator-Addon klaut bei illegalen Kopien Passwörter

  2. Entdeckertour angespielt

    Assassin's Creed Origins und die Spur der Geschichte

  3. Abwehr

    Qualcomm erhöht Gebot für NXP um 5 Milliarden US-Dollar

  4. Rockpro64

    Bastelplatine kommt mit USB-C, PCIe und Sechskernprozessor

  5. Jameda

    Ärztin setzt Löschung aus Bewertungsportal durch

  6. Autonomes Fahren

    Forscher täuschen Straßenschilderkennung mit KFC-Schild

  7. Fernsehstreaming

    Magine TV zeigt RTL-Sender in HD-Auflösung

  8. TV

    SD-Abschaltung bei Satellitenfernsehen steht jetzt fest

  9. PM1643

    Samsung liefert SSD mit 31 TByte aus

  10. Spielebranche

    Innogames wächst weiter stark mit Free-to-Play



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sam's Journey im Test: Ein Kaufgrund für den C64
Sam's Journey im Test
Ein Kaufgrund für den C64
  1. THEC64 Mini C64-Emulator erscheint am 29. März in Deutschland
  2. Sam's Journey Neues Kaufspiel für C64 veröffentlicht

Star Trek Discovery: Die verflixte 13. Folge
Star Trek Discovery
Die verflixte 13. Folge
  1. Star Trek Bridge Crew Sternenflotte verlässt Holodeck

Fe im Test: Fuchs im Farbenrausch
Fe im Test
Fuchs im Farbenrausch
  1. Mobile-Games-Auslese GladOS aus Portal und sowas wie Dark Souls für unterwegs
  2. Monster Hunter World im Test Das Viecher-Fleisch ist jetzt gut durch
  3. Indiegames-Rundschau Krawall mit Knetmännchen und ein Mann im Fass

  1. Re: km/h

    masel99 | 22:33

  2. Illegal

    /mecki78 | 22:28

  3. Re: Das wurde nicht an autonomen Autos getestet

    masel99 | 22:23

  4. Re: ENDLICH

    nille02 | 22:19

  5. Re: Erfreut über die Entwicklung von Ubisoft

    FrankKi | 22:18


  1. 17:41

  2. 17:09

  3. 16:32

  4. 15:52

  5. 15:14

  6. 14:13

  7. 13:55

  8. 13:12


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel