Rück-Sicht 04/18

- 28. Januar 2018

Auf so gut wie jedem einzelnen Rechner – auch unter Linux – läuft heute proprietäre Software, die unbeschränkte Rechte hat, wahrscheinlich bereits unterwandert ist und womöglich auch Kriminellen Hintertüren öffnet. Gemeint ist der komplexe Code, der den Rechner bootet oder autonom aus der Ferne zugänglich macht, wie Intels weit verbreitete Management Engine. Die Linux Foundation tut nun etwas dagegen.

Forscher von Google schockierten im letzten Jahr die Öffentlichkeit mit einer Untersuchung, derzufolge vor jedem Linux-Start wenigstens zweieinhalb andere Kernel das Heft in der Hand hatten. Sie hatten unbeschränkte Macht über die Hardware und sie laufen zum Teil sogar nach dem Booten unbemerkt weiter. Diese Kernel, die im Zuge des Bootprozesses aktiv sind, sind sehr komplex und damit anfällig. Sie unterliegen im Unterschied zu Linux keiner öffentlichen Kontrolle. Sie sind in der Lage, persistenten Code in Flashspeicher zu schreiben, der vom Betriebssystem aus nicht entdeckt und nicht entfernt werden kann. Diese Kernel enthalten komplette Netzwerkstacks, Webserver, Filesysteme und Gerätetreiber. Die Prozessoren, auf denen diese Kernel laufen, versorgen sich unter Umständen mit Batteriestrom und sind so auch bei ausgeschaltetem Rechner aktiv.

All das birgt große Gefahren. Man kann annehmen, dass Geheimdienste die Möglichkeiten bereits nutzen, um fremde Rechner auszuspionieren. Und was Geheimdienste können, das können früher oder später auch Cyberkriminelle. Einige Schwachstellen, beispielsweise in Intels Management Engine, wurden auch schon gefunden, nachdem sie zuvor jahrelang existierten. Für UEFI gilt ähnliches: Der UEFI Kernel ist annähernd so komplex wie der Linux-Kernel selber.

Wo könnte ein Ausweg sein? Google stellte damals das Projekt NERF (Non-Extensible Reduced Firmware) vor, ein freies und offenes System, das UEFI fast komplett durch einen kleinen Linux-Kernel ersetzt und so deutlich sicherer sein sollte. Die Linux Foundation – das meldete letzte Woche Pro Linux – hat nun bekanntgegeben, dass sie einen Teil vonn NERF als eigenes Projekt betreuen will. Diess Projekt heißt LinuxBoot. Es basiert auf CoreBoot und beinhaltet unter anderem ein eigenes, ganz in Go programmiertes Initramfs namens u-root. Das neue Bootsystem ist nicht nur sicherer, sondern soll auch sehr viel schneller sein als UEFI. Das größte Problem ist derzeit noch die mangelnde Hardwareunterstützung, denn es funktioniert nur mit ausgewählten Mainboards, deren Hersteller kooperationsbereit waren.

Die Vorteile der neuen Linux-basierten Firmware werden vor allem da zum Tragen kommen, wo sehr viele Maschinen zu booten sind. Das ist zum einen in der Cloud so, zum anderen im Internet of Things. Jeder der mitmachen will, ist willkommen. Zu den Firmen, die das Projekt von Anfang an unterstützen, gehören Google, Facebook, Horizon Computing Solutions und Two Sigma.

Der Anfang ist die Hälfte des Ganzen. [1]

Rück-Sichts-voll

Jens-Christoph Brendel

[1] Aristoteles: Politik V, 4

SCHLAGWORTE

Rück-Sicht

Verwandte Artikel

GitLab 16.6 bringt zahlreiche Neuerungen

Die quelloffene GitHub-Alternative für Entwickler liegt in einer neuen Version 16.6 vor, die ihre größten Änderungen allerdings den kommerziellen Fassungen vorbehält. In der freien Variante erlaubt GitLab ein Minimal Forking und ein verbessertes Variablenmanagement.

Kernel 6.6 bekommt LTS

Der Linux-Kernel 6.6 wird die nächste Ausgabe mit Long Term Support (LTS). Er bekommt dann über drei Jahre hinweg Pflege und Updates.

Rust 1.74.0 ist fertig

Das Rust-Team hat die Programmiersprache Rust in Version 1.74.0, angekündigt. Die neue Ausgabe bringt diverse Neuerungen und Verbesserungen mit.

Anzeige: Black Week: Top-Deals in der Golem Karrierewelt!

Bis zu 70 Prozent Rabatt auf Workshops, E-Learning-Kurse, Coachings und Sprachkurse!

Signal: Stiftung des Messengers macht Kosten öffentlich

Die gemeinnützige Signal Foundation, die hinter dem Messenger Signal steht, hat detailliert aufgelistet, wie viel es pro Jahr kostet, um Signal zu entwickeln.

BackBox Linux 8.1 aktualisiert Basissystem und Tools

Die Distribution BackBox Linux richtet sich mit ihren zahlreichen vorinstallierten Werkzeugen vor allem an Sicherheitsexperten und Pentester. Die jetzt veröffentlichte Version 8.1 betreibt im Wesentlichen Produktpflege.

E-Mail Benachrichtigung

0 Comments

Inline Feedbacks

Alle Kommentare anzeigen

Auf gut 460 Seiten unseres Jubiläums-Pakets "100 Ausgaben Kern-Technik" erfahren Sie alles rund um den Linux-Kernel. Die aktualisierte Zusammenstellung umfasst alle 100 Folgen aus dem Linux-Magazin 11/2018.

Die C++11-Reihe gehört zu den beliebtesten Serien im Linux-Magazin. Sie stellt alle wichtigen Neuerungen im neuen C++-Standard C++11 und darüber hinaus dar.

Seit inzwischen 10 Jahren schreibt Charly Kühnast nun seine Kolumne Aus dem Alltag eines Sysadmins. 122 Seiten Charly versprechen Unterhaltung und Information für den Admin pur.

Das Bundle für Admins und interessierte Anwender dekliniert Benutzer- und Identitätsverwaltung anhand der bekanntesten Themen LDAP und Apache Directory Server.

Das 12-teilige Bundle "Postwesen" enthält handverlesenes E-Mail-Knowhow aus dem Linux-Magazin der letzten zwei Jahre und gibt einen facettenreichen Kompaktkurs an die Hand.

Rück-Sicht 04/18

Verwandte Artikel

GitLab 16.6 bringt zahlreiche Neuerungen

Kernel 6.6 bekommt LTS

Rust 1.74.0 ist fertig

Anzeige: Black Week: Top-Deals in der Golem Karrierewelt!

Signal: Stiftung des Messengers macht Kosten öffentlich

BackBox Linux 8.1 aktualisiert Basissystem und Tools

100 Ausgaben Kern-Technik

C++11-Paket: Folgen 1 bis 16

10 Jahre Charly

Der gute Hirte. Großes Einmaleins der Benutzerverwaltung

Expertenpost. Das Bundle rund um E-Mail, Spam, Mailserver und IMAP