UEFI Secure Boot: Microsoft sperrt unsichere Bootloader per Windows-Update

  • Hallo,


    ja, die Einleitung reicht mir auch. Wenn das das neue Niveau von heise ist, dann kann ich auch gleich ComputerBild lesen. Dieser Artikel ist nichts als eine Auffforderung heise+ zu kaufen.


    Da ich selber kein heise+ habe, kann ich nur auf den sichtbaren Teil eingehen: Wer Zugang zu heise+ hat, kann gerne weitere Informationen liefern.


    Zitat von heise

    Seither verhindert UEFI Secure Boot, dass etliche Linux-Distributionen booten. So konnten wir bei Redaktionsschluss das noch immer aktuelle Ubuntu 20.04 LTS und auch Manjaro Linux nicht mehr installieren

    Aha, es handelt sich also nicht um installierte Systeme sondern um Bootmedien. Und damit kommen wir dem Problem auf die Spur - das Alter dieser Systeme. Ubuntu 20.04 ist aus dem April 2020, also über 2 Jahre alt. Stimmt, damit geht es nicht mehr. Nehme ich aber das aktuelle Ubuntu 22.04.1, dann funktioniert das Ganze wieder.


    Fazit: wer ein aktuell gepatches Linux im Dualboot hat bzw. wer ein aktuelles Bootimage nutzt, hat, so gut ein erster schneller Test dies überhaupt zeigen kann, kein Problem. MS hat also auf den ersten Blick nur alte und damit potentiell unsichere Elemente entfernt.


    Kurz etwas zum Hintergrund: Du schaltest den Rechner ein. Das Erste was sich rührt ist das BIOS oder heutzutage das UEFI. UEFI sucht dann auf den angeschlossenen Datenträgern nach einem Bootloader. Wird dieser gefunden, übergibt das UEFI die Startkontrolle an den Bootloader. Jetzt mal ziemlich stark verkürzt und vereinfacht dargestellt.

    UEFI findet Bootloader, aber sind diese auch sicher? Gibt es Sicherheitslücken? Fehlende Updates? Die Antwot ist ja, es gab einige Sicherheitsupdates für den Bootloader Grub von Linux. Und hier kommt diese Signatur zum tragen. Alter unsicherer Grub? Kein Start. Aktueller sicherer Grub? Start.

    Wer mehr wissen möchte kann gerne nach Firmware, Bootloader und SecureBoot suchen.


    CU

  • Danke, Newbie!


    Ich hatte auch vermutet, daß der Artikel vielleicht ziemlich daneben liegen könnte und eigentlich (und vorwiegend) als schlichter Köder hätte entworfen sein können! :rolleyes:



    PS

    Merkwürdigerweise erschien jetzt der Artikel bei mir doch komplett!


    Ich verlinke davon die Leserkommentare, in der Hoffnung, daß sie bei jedem, der sie anklickt, lesbar verbleiben!


    heise online
    www.heise.de

    Meine smarte, die kommenden Zeitalter bescheiden vorwegnehmende Signatur befindet sich noch in ihrem Herstellungsprozeß. Im 1. Quartal 2034 dürfte mit ihrer Lieferung zu rechnen sein.

    Vorläufig zitiere ich Karl Kraus: „Wer jetzt übertreibt, kann leicht in den Verdacht kommen, die Wahrheit zu sagen.“

    Dazu meint Pepino: Cogito, ergo schnurr'.


  • Hallo,


    selbst das Desinfec't-Live-System von heise hat ein Problem. Aber heise hat bereits ein Update dafür angekündigt. Ergo: aktuelle Images nehmen. Sollte es Probleme geben: auf ein Update warten.


    Sorry, ich habe mich vertippt: gemeint war 20.04.5 und nicht 22.04.5, denn diese Version gibt es (noch) nicht, bei der 22er-LTS ist man erst bei 22.04.1


    CU

  • Einfach immer die jeweiligen LTS-Versionen installieren, die haben immer 5 Jahre Support, auch wenn es neuere Versionen früher gibt. Und keines der Updates war zumindest bei mir auch nur annähernd so "auffällig" wie nicht selten bei MS, wo man alle halbe Jahre (jetzt wohl alle Jahre) ein komplett neues Windows bekam.

    Was immer man sagt, es ist immer nur ein Teil dessen, was zu sagen wäre.

  • newbie123 hat das ja schon richtig gestellt das nur Versionen die veraltete Grub-Versionen verwenden betroffen sind. :top:


    Glasen schreibt in seinem Blog von Clickbait seitens heise.de und deren desinfec’t und das Microsoft als Zertifizierungsstelle von Secure Boot nur ihre Pflicht getan haben...und einen unsicheren Bootloader gesperrt...


    c’t zerstört das Vertrauen ihrer Leser mit Clickbait! – Glasens Blog

    „Alle Menschen sind klug - die einen vorher, die anderen nachher.“

    ―Voltaire

  • c’t zerstört das Vertrauen ihrer Leser mit Clickbait! – Glasens Blog

    Also von irgendeinem Blog lasse ich mir garantiert nicht meine Meinung manipulieren, mein Vertrauen zu Heise ist noch immer weit größer als zu Microsoft. Wie kommt MS dazu, unabgesprochen mal einfach so nach eigenem Gusto, mir zu sagen, was ich darf und was nicht??? Das hat was grundsätzliches, für mich völlig unakzeptables!

    Wenn MS mit seinen Produkten was auch immer macht, ok, schlimm, aber begrenzt. Aber meinen Rechner zu manipulieren - das geht zu weit!


    Wenn eine neutrale Stelle (BSI vielleicht) Hinweise gibt oder was auch immer - gut. Aber eine Bude wie MS ist doch nicht neutral! Kommt mir nicht in Frage, solche Dinge zu entscheiden!

    Was immer man sagt, es ist immer nur ein Teil dessen, was zu sagen wäre.

    Einmal editiert, zuletzt von Pfannkuchengesicht () aus folgendem Grund: Ein Beitrag von Pfannkuchengesicht mit diesem Beitrag zusammengefügt.

  • Man sollte vielleicht weniger nach vorgefassten jeweiligen "Vertrauensaufladungen" beurteilen (was häufig, wie in Deinem Fall, mit "Mißtrauensaufladungen" korrespondiert), sondern mehr nach dem Einzelfall.


    In der Sache, um die es geht, erscheint mir selbst Glasens Stellungnahme höchst plausibel.

    Meine smarte, die kommenden Zeitalter bescheiden vorwegnehmende Signatur befindet sich noch in ihrem Herstellungsprozeß. Im 1. Quartal 2034 dürfte mit ihrer Lieferung zu rechnen sein.

    Vorläufig zitiere ich Karl Kraus: „Wer jetzt übertreibt, kann leicht in den Verdacht kommen, die Wahrheit zu sagen.“

    Dazu meint Pepino: Cogito, ergo schnurr'.


  • In dem Blog steht am Ende dies:


    <<< Man kann über den Sinn und Zweck von SecureBoot mehr als nur streiten. Nur ist die „Schuld“ diesmal definitiv nicht bei Microsoft zu suchen, da die Firma nur ihren „Pflichten“ nachgekommen ist, unsichere Bootloader zu sperren.

    Mich persönlich stört viel mehr, dass Heise aus diesem „Nicht-Thema“ einen Artikel bastelt und ihn mit einer reißerischen Überschrift versehen hinter einer Paywall versteckt um möglichst viele Heise+-Abos zu verkaufen. Dazu kommt noch die Tatsache, dass es Heise dann auch nicht für notwendig hält die Clickbait-Überschrift zu korrigieren.

    Dieser Artikel war es dann auch, der mich dazu gebracht hat, mein c’t-Abo zu kündigen. >>>


    Meine persönlichen Stellungnahmen dazu:


    Ich sehe es definitiv nicht als MSs "Pflicht" an, Manipulationen außerhalb ihres Betriebssystems zu tätigen! Das hat nur von neutraler(er) Stelle zu erfolgen.


    Der Sichtweise eine "reißerische Überschrift" zu einem "Nicht-Thema" kreiert zu haben kann ich in keinster Weise folgen, vielmehr lässt sie mich an der Kompetenz des Bloggers zweifeln - sorry, wenn ich das so hart formuliere.


    Dass er sein c't-Abo nun deswegen gekündigt hat, bestätigt das nur! Lässt er sich auch scheiden, wenn seine Frau mit dem Familienauto einen Totalschaden verursacht hatte?! Allein dieser Kündigungsgrund ist für mich - sorry - lächerlich. Ich bin bei Weitem nicht mit Allem konform, was heise von sich gibt, aber der Verlag besteht doch nicht aus einem einzigen Thema, einer einzige Person!

    Hr. Glasen, gut, dass ich bislang nichts von Ihnen gelesen habe, was auch so bleiben wird!


    Musste ich jetzt mal loswerden, so schreiben... ;--)))


    Nachtrag:

    Wenn MS so besorgt ist um seine Nutzer, sollen sie doch ihr Windows in irgend einen Container packen, so das es von "außen" nicht erreichbar, angreifbar ist. Aber nicht meine ganze "Welt" dirigieren wollen!

    Anders gesagt, es geht MS doch mehr darum, seine Monopolstellung zu sichern, die "Usersicherheit" ist m. E. dabei eher ein Nebeneffekt. Mal außer Acht gelassen, dass Windows nun alles Andere als in sich total sicher ist.

    Was immer man sagt, es ist immer nur ein Teil dessen, was zu sagen wäre.

    2 Mal editiert, zuletzt von Pfannkuchengesicht () aus folgendem Grund: Ein Beitrag von Pfannkuchengesicht mit diesem Beitrag zusammengefügt.

  • Ich belasse Dir selbstverständlich Deine Meinung, die von meinen sehr differenzierten jeweiligen Abwägungen insgesamt abweicht.


    Okay. :top:


    Zwei davon völlig unabhängige Punkte spreche ich aber noch, ganz im Vorbeigehen, an. (Möchtest Du doch vertiefen, würde ich eher auf die PNs hinweisen...)


    1.) Abweichende Meinungen bedeuten eigentlich nicht automatisch einen Zwang, die Stellungnahme anderer frontal abzuwerten.


    2.) Aufregung sollte lieber nicht die Logik "beherzt" untergraben. Der Vorwurf des Bloggers beträfe (falls zutreffend) ein bewußtes Täuschen. Der Vorwurf des Ehemannes beträfe einen Unfall.

    Meine smarte, die kommenden Zeitalter bescheiden vorwegnehmende Signatur befindet sich noch in ihrem Herstellungsprozeß. Im 1. Quartal 2034 dürfte mit ihrer Lieferung zu rechnen sein.

    Vorläufig zitiere ich Karl Kraus: „Wer jetzt übertreibt, kann leicht in den Verdacht kommen, die Wahrheit zu sagen.“

    Dazu meint Pepino: Cogito, ergo schnurr'.


  • Hallo,


    was wäre denn, wenn MS dieses Update nicht ausgerollt hätte und jemand stolpert darüber? Shitstorm weil MS eine bekannte Sicherheitslücke nicht geschlossen hat. Nichts anderes ist hier passiert.


    Und ja, heise hat aus einer Mücke einen Elefanten gemacht. Bessere Überschriften wären meiner Meinung nach gewesen:

    "Microsoft rollt Patch aus um bekannte unsichere veraltete Bootloadersignaturen zu entfernen - bitte aktualisieren Sie ihre Linuxbasierten Notfalldatenträger"

    "Microsoft sperrt veraltete und unsichere Bootladersignaturen aus - laden Sie bitte eine aktualisierte Version Ihres Rettungs-Sticks"


    Ja, der Blogger hat auch etwas überzogen, aber das ist nun mal so in unsere heutigen Welt. Es geht für Alle nur noch darum Reichweite, Umsatz, ... zu generieren.


    MS hat SecureBoot ins Leben gerufen und auf Grund ihrer Reichweite haben die Hardwarehersteller mitgezogen. Jetzt liefern Ubuntu und Co. ihre Bootloader zum Signieren an Microsoft. Könnte man das anders lösen? Sicher, aber so ist es nun mal momentan.


    Und wenn Du Dich wegen Bevormundung so aufregst: HP sperrt Fremdtinte per Update, Sonos mach alte Boxen per Update unbrauchbar, Deere mach Traktoren aus der ferne unbrauchbar, ... da gibt es Beispiele ohne Ende. Die Konzerne wissen einfach besser, was wir Verbrauchen brauchen und wollen. Du bist Konsumsklave und Wahlvieh. Punkt. Und viele Menschen scheinen gut damit leben zu können, das Denken Anderen zu überlassen.


    Schönen Sonntag


    P.S. Dieser Beitrag kann Spuren von Nüssen enthalten. Äh, falsches Produkt, eher Spuren von Humor oder Sarkasmus.

  • Bessere Überschriften wären meiner Meinung nach gewesen:

    "Microsoft rollt Patch aus um bekannte unsichere veraltete Bootloadersignaturen zu entfernen - bitte aktualisieren Sie ihre Linuxbasierten Notfalldatenträger"

    "Microsoft sperrt veraltete und unsichere Bootladersignaturen aus - laden Sie bitte eine aktualisierte Version Ihres Rettungs-Sticks"

    Mein Grundproblem bleibt aber bestehen: Microsoft bestimmt außerhalb seinen Betriebssystems auf meinem(!!) Rechner, was ich darf oder nicht. Ich könnte es akzeptieren, wenn MS wie auch immer eine Warnung, einen Hinweis gibt, aber nicht einfach irgendwas sperren.


    Und wenn Du Dich wegen Bevormundung so aufregst: HP sperrt Fremdtinte per Update, Sonos mach alte Boxen per Update unbrauchbar, Deere mach Traktoren aus der ferne unbrauchbar, ... da gibt es Beispiele ohne Ende.

    Das stimmt leider, Viele scheinen sich daran zu gewöhnen. Ich nicht, werde so gut es geht diese Dinge meiden. Würde mir auch nie freiwillig einen Tesla oder ähnlich neuere "fernwartbare" Geräte kaufen.


    Man muss sich diesen Machenschaften doch nicht "still" ergeben.


    1.) Abweichende Meinungen bedeuten eigentlich nicht automatisch einen Zwang, die Stellungnahme anderer frontal abzuwerten

    Immerhin hat der Blogger aus meiner Sicht unsachgemäß heise denunziert. Als Blogger ist er doch auch eine "öffentliche" Instanz, die Einfluss auf Viele hat, haben will. Ich sehe da keine "emotionale" (Auf-)Regung bei mir, wenn ich ihn mit ähnlichen Vorwürfen wie er es mit heise tut.


    Der Vorwurf des Bloggers beträfe (falls zutreffend) ein bewußtes Täuschen.

    Genau, schon das gereicht ihm zur "Scheidung"... Er hat seine Meinung über heise kund getan, ich meine Meinung über ihn - gleiches (Un)recht für Alle?


    Ich sehe keinen nicht sachbezogenen Fehler bei mir, wenn solche Meinungsverschiedenheiten nicht erwünscht sind... Ich könnte durchaus mit dem Blogger ein Bierchen trinken, werde aber deswegen meine Sichtweise nicht ändern, sie betrifft den Beitrag vom Blogger, nicht seine Person insgesamt.

    Was immer man sagt, es ist immer nur ein Teil dessen, was zu sagen wäre.

  • Noch einmal ein (allerletzter) Hinweis auf Mindestmaßstäbe bei der Logik, beim Schlüsse-Ziehen, beim Behaupten:


    Der Blogger hat nicht seine Meinung über "Heise" "kundgetan", sondern über ein ganz bestimmtes Verhalten in einem ganz bestimmten Fall seitens "Heise".


    Er hat dabei keine "Meinung", vorgetragen. Er hat bewertet. (Ob zutreffend oder unzutreffend bewertet, ist an dieser Stelle nicht der Punkt.)


    Diese seine Wertung hat er auch begründet. (Falls seine Analyse zuträfe, wäre seine Wertung sogar zutreffend.)


    Das hat alles mit einem "Jonglieren mit Meinungen" nichts zu tun. ("Ich habe ja meine, Du hast ja Deine, jedem die seine; noch ein Bierchen...?")


    Vielleicht ist Dir das alles zu analytisch, zu philosophisch... Erlaubt jedoch Abstand vom unmittelbaren und emotionalen Reagieren...

    Meine smarte, die kommenden Zeitalter bescheiden vorwegnehmende Signatur befindet sich noch in ihrem Herstellungsprozeß. Im 1. Quartal 2034 dürfte mit ihrer Lieferung zu rechnen sein.

    Vorläufig zitiere ich Karl Kraus: „Wer jetzt übertreibt, kann leicht in den Verdacht kommen, die Wahrheit zu sagen.“

    Dazu meint Pepino: Cogito, ergo schnurr'.


  • Der Blogger hat nicht seine Meinung über "Heise" "kundgetan", sondern über ein ganz bestimmtes Verhalten in einem ganz bestimmten Fall seitens "Heise".

    Da gehen unser beider Meinung schlicht auseinander... immerhin hat er Heise ja gekündigt, aber egal - Friede sei mit uns!

    Vielleicht ist Dir das alles zu analytisch, zu philosophisch...

    Nein, ganz sicher nicht - ich bin der geborene Philosoph, und Analysefähigkeit hat man mir in meinem Job vielfach bestätigt. Auf ein Bierchen, wie, wann wo auch immer! ;--)))

    Was immer man sagt, es ist immer nur ein Teil dessen, was zu sagen wäre.

  • Mein Grundproblem bleibt aber bestehen: Microsoft bestimmt außerhalb seinen Betriebssystems auf meinem(!!) Rechner, was ich darf oder nicht. Ich könnte es akzeptieren, wenn MS wie auch immer eine Warnung, einen Hinweis gibt, aber nicht einfach irgendwas sperren.

    wenn MS Deinen Rechnr nicht patcht, dann muss es Ubuntu tun. Irgendwer MUSS die Sicherheitslücken schließen. Und eine dritte/"neutrale" CA-Partei gibt es da niergends. Und ich sehe da auch keine Änderung auf absehbarer Zeit.

    Ja, ich stimme Dir zu, MS könnte seine Kommunikation durchaus verbessern.


    Man muss sich diesen Machenschaften doch nicht "still" ergeben.

    Auch da stimme ich Dir zu, nur ist es sehr mühsam. Und mit dem Alter wird man ruhiger und lernt, welche Kämpfe es sich lohnt zu kämpfen. Schau Dich nur um wie viele Alexa, Siri und Co nutzen, wieviele Facebook nutzen, ... Ich habe da im Bekanntenkreis inzwischen aufgegeben. Da ist mir meine Energie zu schade.


    Sag Bescheid, wenn Du und Abi ein Bierchn trinkt. Würde mich da durchaus anchließen. :hicks:

  • Und mit dem Alter wird man ruhiger und lernt, welche Kämpfe es sich lohnt zu kämpfen.

    Also ich bin seit fast 4 Jahren Rentner, der aber noch immer für "seine" Firma bedarfsweise tätig ist. Ruhiger bin ich schon geworden, aber - wie man sieht - nicht in jeder Hinsicht. "Kämpfen" tue ich ja nicht wirklich, vertrete nur "entschlossen argumentativ" meine Sichtweise.

    Generell sehe ich das so: Jede(r) soll Alexa, Facebook, ......., Windows nutzen, wenn's gewünscht ist. Ich habe vor Allem etwas gegen dieses weit verbreitete "einfach (heimlich) machen ohne zu fragen, informieren", darum geht es mir hauptsächlich. Die Unwissenheit der Leute ausnutzen ist für mich hart an der Grenze der Kriminalität.


    Mein Geld auf dem Konto ist meins, wenigstens das wird mir nicht heimlich weggenommen, niemand sagt mir, wofür ich es ausgeben soll. Wenn aber jemand einfach heimlich auf meinen Rechner, den ich (zumeist) nicht von Microsoft gekauft habe, Dinge macht, die mich einschränken, nee, sorry, das geht gar nicht.


    Ich darf in der Stadt nur 50 fahren, oder 30, usw., aber diese Regeln kenne ich, habe sie von Anfang an mitgeteilt bekommen. Heute kann es aber passieren, dass Hersteller aus der Ferne Dinge mit meinem Eigentum(!!) einfach Dinge machen, von denen ich nichts weiß.

    Ganz nebenbei bemerkt, werde ich nicht vergessen: Vor Längerem hat ein Sicherheitsprofi Behörden und Firmen von der Verwendung von MS-Office abgeraten, nun rate mal, warum... Es ist fast eine Wissenschaft für sich, MS-Software das Schnüffeln zu untersagen.


    Also wegen dem Bier, ok, schauen wir mal... ;--))


    wenn MS Deinen Rechnr nicht patcht, dann muss es Ubuntu tun.

    Noch was: IOT, das sind Webcams, Alarmanlagen, ... sind bez. Sicherheit nicht selten eine Katastrophe - wann, wie wird MS diese Teile patchen oder ausschließen? ;)

    Was immer man sagt, es ist immer nur ein Teil dessen, was zu sagen wäre.

    Einmal editiert, zuletzt von Pfannkuchengesicht () aus folgendem Grund: Ein Beitrag von Pfannkuchengesicht mit diesem Beitrag zusammengefügt.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!