... wenn alle Windowsrechner böse werden?

Mir egal, ich hab nen Mac! :grosses Lachen:

Cool. Endlich mal Zeit für die wichtigen Dinge im Leben.

Door Miesegrau

Der jetzt sofort diesen Fall proben tut, Rechner aus....:grosses Lachen:

Hm, ist etwas schwierig, weil die Setzung "alles, was ein Hacker sich ausdenken kann" leider ein wenig unkonkret ist und da alles oder nichts passieren könnte.

Wieso "werden" ?
Da fällt mir ein Zitat aus dem Film "Kingsman - The secret Service" ein, gesprochen von Samuel L. Jackson: "Weißt du warum ich diesen Scheiss (Papier) so liebe? Weil man es nicht hacken kann"
Gruß Bandit

Moin, Nick, moin @ll,

das ganze erinnert mich an ein Szenario, das so etwa anno `96 in die Diskussion kam, in `99 richtig Fahrt aufnahm und zum 01.01.2000 zuschlagen sollte:

Die Millenium-Katastrophe!

Das fing dabei an, dass Buchhaltungs- bzw. Lagerhaltungssoftware welche durchgängig in Clipper oder bei Nixdorf in BASIC (!) geschrieben war, völlig aussteigen würde. Diverse Rechnerbasis auf DOS (ja, war damals noch recht verbreitet) und Win 3.11 Basis abschmiert etc.

Der Befürchtungen gab es vom Headcrash am heimischen PC über den Ausfall des BIOS, den Zusammenbruch des Elektrizitätsnetzes bis zum Ausfall der Tankstellen....

Ich habe damals reihenweise Systeme in ganz NRW innerhalb meiner Organisation überprüft und ggfs. die Updates veranlasst, ein komplett neues bundesweit einheitliches Buchaltungssystem mit eingeführt bzw. für NRW die Infrastrukturvorgaben mit ausgearbeitet, Leitstellen und Einsatzzentralen ertüchtigt etc.

War lustig, was sich manche vor Ort da so gedacht hatten ... :Sagenichtsmehr:

Am Ende war ich dann Sylvester auch mit draußen, damit mein eigener Stall lief.

Was habe ich gelernt? (Vorsicht, leichte Satire nicht ausgeschlossen... :Ironie:)

1) Kein Szenario ist so blöd, dass nicht irgend ein Depp die Vorraussetzung dafür schaffen würde! So wurden in Datenbanken die Jahresszahlen generell nur zweistellig geführt. Man musste ja Speicherplatz sparen.

2) Nichts ist so alt wie die EDV von heute. Das gilt nicht nur für die Hardware, sondern auch für die Software. Mit das größte Problem innerhalb der Wirtschaft war seinerzeit, dass eben die Buchhaltungs- und Warenwirtschaftssoftware zum Teil als Hausentwicklung in Clipper geschrieben. Die Systeme liefen stabil allerdings wurden sie so gut wie nicht weiterentwickelt. Die Programmiersprache verschwand irgendwann praktisch vom Markt und die Systeme liefen ohne Probleme einfach weiter, weil stabil. Ja und irgendwann war dann auch die Programmierergeneration einfach ganz kommentarlos in Rente gegangen ....
Und was für Anwendungsprogramme gilt, passt(e) auch für so elementare Software wie das BIOS!
Wer braucht schon Dokumentationen für seine Software?

3) Wartung und Pflege von Hard- und Software wird völlig überbewertet! "Never touch a running System!" war und ist der probate Grundsatz und wurde und wird aktiv gelebt...

4) Das Vertrauen in Computer ist blind! Wie oft hörte und höre ich den Satz ja aber die Zahlen kommen so aus dem Computer ... :Sagenichtsmehr:
(Bestes Beispiel: Eine Abteilung mit ca. 50 Standardbriefen Postausgang pro Monat stand mit 1.000,-- DM Portokosten im Monat in der betriebswirtschaftlichen Auswertung und keinen hat´s gestört ... )

5) Die installierte Rechnerbasis ist so heterogen, dass komplexe Schadprogramme keine Chance haben, flächendeckende Katastrophen auszulösen!

6) Datensicherungen sind überflüssiger Luxus! Nach einem Crash kann die eh keiner mehr zurückladen ....

Was bleibt "prepperrelevant":

a) (Windows-)Updates werden frühestens zwei Wochen nach erscheinen eingepflegt. Bis dahin sind die meisten Probleme bereits bekannt!
b) Relevante Daten (Ja, auch die Kinderfotos) werden regelmäßig bewegt, angeschaut bzw. auch mal auf andere / neue Speichermedien umkopiert.
c) Datenformate werden regelmäßig betrachtet. Welche alten Daten könnten mit der Einführung eines neuen Formates nicht mehr lesbar werden, was muss konvertiert werden?
Beispiel: Kennt hier noch jemand "interlaced GIF"?
d) Nichts ist so blöd, dass es mit einem Computer nicht passieren könnte... Immer "um die Ecke" denken!
e) Es kommt nichts auf den Rechner, was nicht aus einer vertrauenswürdigen Quelle stammt!
f) Nicht jeder Rechner muss jederzeit im Netz hängen....

Ach so, was war eigentlich in der Millenium-Nacht?

Es war Sylvester! (Wer hätte es gedacht...) Die Leute haben gesoffen wir blöde - wir kamen mit den Einsätzen kaum nach, trotz Verstärkung "bis zum Anschlag". Halb Deutschland lag anderntags mit einem Mörderkater in der Ecke. Der Strom ist nicht flächendeckend ausgefallen. Wir Einsatzkräfte haben erst mal gut gefrühstückt.
Die Nachrichten hatten den Tenor "War doch alles nicht so schlimm!". Die Besserwisser sagten "Haben wir doch gleich gewusst!" und die Pessimisten sagten"Wenn wir Euch nicht gewarnt hätten wäre es aber schief gegangen!"
Alle hatten Recht und waren glücklich (außer denen mit Kater :devil:).

@Nick: Vom Grundsatz her hast Du recht. Allerdings - unter 5 wies ich darauf hin - ist ein derart umfassendes Szenario ebenso wahrscheinlich wie die böse Z-Apokalypse. Aber die viele tausend "Kleinkatastrophen" sind für den einzelnen betroffenen wie auch in der Summe am Ende des Tages mindestens genauso böse. Daher meine Folgerungen a bis f, die gerne erweitert werden dürfen....

Be prepared!

Christian

Hallo,

auf den Hauptplatinen von neuen Rechnern (dabei ist es egal, welches Betriebssystem drauf installiert wird) sind seit 1/2016 die Funktionen Secure Boot und TPM2.0 installiert. Prinzipiell bieten beide Funktionen erweiterten Schutz vor Schadsoftware, die heute ja z.t. in der Lage ist, sich im Flashspeicher des BIOS oder sogar in der Festplatten-Elektronik(!) einzunisten. Diese erweiterten Schutzfunktionen verlangen aber, dass eine dritte Instanz dem Rechner mitteilen kann, ob er kompromittiert wurde oder nicht. Bei einem ab Werk mit Windows 10 ausgelieferten Rechner ist diese Instanz dann eben Microsoft und bei einem Mac ist es Apple. Dummerweise kann man mit dieser Funktion auch dem Rechner mitteilen, dass er kompromittiert ist (obwohl er an sich in Ordnung ist). Mit dem Resultat, dass der den Bootvorgang verweigert. Auf diese Weise kann ein Secure Boot-Rechner vom OS-Hersteller "abgeschaltet" werden.

Grüsse

Tom

Zitat von tomduly;260956

Dummerweise kann man mit dieser Funktion auch dem Rechner mitteilen, dass er kompromittiert ist (obwohl er an sich in Ordnung ist). Mit dem Resultat, dass der den Bootvorgang verweigert. Auf diese Weise kann ein Secure Boot-Rechner vom OS-Hersteller "abgeschaltet" werden.

Darum wird mein nächster Rechner einer der schon mit Linux ausgeliefert wird. Evt. kaufe ich mir auch wieder einen Mac. Aber mit Sicherheit keinen PC mehr der mit Windows ausgeliefert wird. Microsoft traue ich inzwischen alles zu, seit Windows 10. Da ist für mich Apple noch vertrauenswürdiger.

Das ist auch ein Mitgrund warum ich so eine Abneigung gegen die Tablet-Computer habe. Da haben die OS-Hersteller eine viel zu grosse Macht über den End-Benutzer. Oder warum muss ich ein Gerät "hacken" (also das System "rooten" und einen anderen Boodloader installieren, damit ich überhaupt die Möglichkeit bekomme ein alternatives System zu installieren?
Ich hoffe echt, dass das bei den klassischen PC's nicht auch bald der Fall sein wird, dass wenn ich mal ein FreeBSD ausprobieren möchte, zuerst noch einen neuen BIOS/UEFI-Chip einlöten muss.

Hi,
Schadware die überall in Windows oder ähnlichen Systemen versteckt werden würde müsste man für jede Systemgattung ein eigenes Programm schreiben um die "Selbstzerstörung" einzuleiten, zb.: Überhitzung der Kerne von Prozessoren und Grafikkarten, ...usw.

Kein einzelner könnte so etwas schaffen, Und würde zb.: Windows so etwas machen, würden zu viele davon wissen und irgendwann würde auch mal was durchsickern da wäre es schon einfacher wenn man einfach Alle Firmenressourcen dafür Missbraucht jeden einzelnen PC durch DDos Attacken zu überlasten.

Obwohl der Angreifer auch mit dieser "Schadware" ein Botnetz aufbauen könnte und dann zb.: eine Regierung oder Regierungsorganisation wie NSA, CIA, FBI oder aber auch Nicht-Amerikanische Gehiemdienste mit einer DDOS Attacke lahmlegen könnte.
In so einem Szenario müssten wir uns dann keine Sorgen machen da ja "nur" Ein Geheimdienst von Milliarden PC´s Attackiert wird und dann zerstört ist

Ich bin glücklicher Weise vor kurzem auf eine Linux Distribution namens Kubuntu umgestiegen, Und dank einer Virtuellen Maschine kann Ich auch Windows Programme weiterhin nutzen.
Aber jedem das seinige Betriebssytem

LG

Hallo,

die Annahme, dass ein Apple- oder Linux-System "immun" gegen eine Fern-Stilllegung via TPM2.o/Secure Boot sei, ist etwas naiv.

In Linux ist die Unterstützung für TPM2.0 seit Kernel 4.0 drin und auf Mainboards, die Windows-kompatibel sein wollen, _muss_ ein TPM2.0-Chip drauf sein, unabhängig vom darauf laufenden Betriebssystem. Nochmal: diese Sicherheitsfunktionen können sinnvoll sein, haben aber den entscheidenden Nachteil, dass der Eigentümer des Rechners nicht mehr der Souverän über den Rechner ist. Denn ob der PC bootet, entscheidet das Mainboard mittels TPM2.0 und Secure Boot anhand Informationen, die von dritter Seite bereitgestellt werden. Vereinfacht gesagt, fragt sich das BIOS bei jedem Einschalten des Rechners: "Darf ich das System hochfahren, mal schauen, ob die Erlaubnis dafür nicht beim letzten Systemupdate entzogen wurde?" D.h. diese Entscheidung fällt das BIOS vor dem Start des Betriebssystems und von daher ist es technisch zunächst einerlei, welches Betriebssystem auf einem Rechner läuft, dessen Mainboard TPM2.0/Secure Boot basiert ist.
Natürlich kann man sich dieser Problematik ein Stück weit entziehen, in dem man den Rechner vom Internet fernhält, ihn also 100% offline betreibt. Oder indem man _hofft_, ein Betriebssystem zu nutzen, das den Zugriff von extern via Internet auf die Boot-Sperre zuverlässig zu verhindern.

Das dumme ist, dass diese aus Security-Sicht (zumindest der Sicht von Microsoft) "gut gemeinte" Funktion halt auch missbraucht werden kann, zum einen natürlich durch staatliche Stellen a la NSA, was schon schlimm genug ist, aber natürlich auch zum anderen durch Kriminelle, die z.B. kritische Rechner in wichtigen Systemen auf diese Weise aus der Ferne deaktivieren könnten, um Lösegeld zu erpressen. Ähnlich wie das "ransom ware" heute schon macht (Viren, die die Daten auf dem heimischen Rechner verschlüsseln und man sich das Passwort zur Entschlüsselung gegen Zahlung eines Lösegelds erbetteln darf).

Ich halte die Fernabschaltung ganzer Gruppen von Rechnern durch Dritte für ein absolut ernstzunehmendes Szenario.

Grüsse

Tom

@wolpertinger, das hatte ich letzte Woche in der Tat auf meinem Win 7 System. Ich hab die Zeit von Hand korrigiert. Dauerte 2 Tage, dann war es wieder OK, ohne dass ich konfigurationstechnisch irgendwas dran gemacht hätte, auch kein automatisches Update. Auf dem Win 8.1 System lief alles normal.

Zitat von tomduly;261010

Das dumme ist, dass diese aus Security-Sicht (zumindest der Sicht von Microsoft) "gut gemeinte" Funktion halt auch missbraucht werden kann, zum einen natürlich durch staatliche Stellen a la NSA, was schon schlimm genug ist, aber natürlich auch zum anderen durch Kriminelle, die z.B. kritische Rechner in wichtigen Systemen auf diese Weise aus der Ferne deaktivieren könnten, um Lösegeld zu erpressen.

Genau das ist ja das Problem. Wenn Microsoft sagt, alle sollen Windows benutzen, dann drücken sie einen Knopf und alle werden dazu gezwungen Windows zu benutzen. (Logischerweise muss dann jeder noch eine Lizenz-Geführ dafür bezahlen.)
Soweit ging bis jetzt nicht mal Apple. Bei den Mac's kann ich bis jetzt immernoch Linux installieren, ohne dass ich irgendwas an einem EFI/BIOS rumbasteln muss. (Zumindest ist das bei meinem aktuellen iMac von 2009 noch so.)

Warum hat ein Software-Hersteller zukünftig die Macht über eine komplette Computer-Industrie? Und dass soll noch gut sein? Da verzichte ihr sehr gerne auf dieses Sicherheits-Ficture.
Und wenn schon dann muss solch etwas von einer unabhängigen Gesellschaft kontrolliert werden. Nicht über eine Firma wie Microsoft die in erster Linie interesse daran hat, dass sie ihre Produkte an möglichst viele Benutzer verkaufen kann.

Und wenn ich es schon nur schlecht verhindern kann, dann werde ich es sicher nicht noch Unterstützen indem ich eine Windows-Lizenz bezahle die ich praktisch nie gebrauchen werde.
Darum werde ich mir einen "Linux-Rechner" kaufen. Ohne Microsoft-Lizenz. Und wenn ich schon für ein Betriebsystem bezahle, dann für Mac OS X. Die haben mit Darwin wenigstens einen stabilen (Unix-)Unterbau.

noxis: Was ist ein "nicht- Windows Rechner"? Auf allen meinen Windows Maschinen läuft auch Linux, teils auch ständig mit Dual Boot. Und aktuell sind alle meine Kisten -1 mit UEFI am Laufen. Wo ist diese Zwangs-Windows-Lizenz? Ich hab für jeden Rechner außer einen alles separat erworben. Und selbst der Windows-Aufkleber-Rechner, da kann ich immer noch installieren, was ich will.

Zitat von Thomas;261056

Wie wird diese "Erlaubnis" denn festgestellt? Kann man einen solchen Rechner überhaupt noch von DVD oder USB-Stick booten, wenn die Festplatte mit dem Original-Betriebssystem im Eimer ist? Gibt es eine Möglichkeit, die "Erlaubnis" wiederherzustellen, wenn sie mal entzogen wurde, oder ist der Rechner ein für alle mal Schrott?

Prinzipiell kann man immer den TPM Chip resetten. Oft auch abschalten. Und mit etwas gefummel auch das Startup Passwort entfernen. Booten geht immer. Aber wenn die Signatur des SecureBoot Betriebssystems verändert wurde, so startet das OS nicht mehr. Entscheidungen, ob der Rechner gemäß Paragraf/Lizenz/Sternenkonstellation nicht mehr funktionieren darf, gibt es nicht, es sei denn das Betriebssystem entscheidet das nach einem Start, aber nicht das UEFI/BIOS.

Zitat von SBB+;261055

noxis: Was ist ein "nicht- Windows Rechner"? Auf allen meinen Windows Maschinen läuft auch Linux, teils auch ständig mit Dual Boot. Und aktuell sind alle meine Kisten -1 mit UEFI am Laufen. Wo ist diese Zwangs-Windows-Lizenz? Ich hab für jeden Rechner außer einen alles separat erworben. Und selbst der Windows-Aufkleber-Rechner, da kann ich immer noch installieren, was ich will.

Auf meinem alten Vaio-Laptop von 2006 läuft im Moment auch noch Windows XP und Lubuntu-Linux. Einen Computer mit UEFI besitze ich bis jetzt noch keinen.
Der iMac hat soweit ich weiss EFI. Da weiss ich aber zuwenig darüber ob es da grosse Unterschiede zum UEFI gibt. Zumindest per Live-CD bringe ich da auch relativ problemlos ein Lubuntu zum laufen.

Noch lässt Microsoft zu, dass man auch alternative System installieren kann. Noch lässt sich dieses Secure-Boot deaktivieren. Aber bleibt das auch so? Da bin ich mir nicht so sicher.
Es ist einfach zu verlockend, per Knopfdruck (oder einem Sicherheits-Update) den Chip so abzuändern, das zukünftig nur noch Windows zugelassen wird.
Auf dem Smartphone- und Tablet-Markt wird das ja schon fleissig umgesetzt, dass man enormen und riskanten Aufwand betreiben muss, um ein alternatives System installieren zu können.
Von Werk aus hat man ja nicht mal Root-Berechtigung.

Ein Nicht-Windows-Rechner ist für mich ein Rechner der nicht mit einem vorinstallierten Windows ausgeliefert wird. Und man beim Kauf im Mediamarkt somit auch keine über 100 CHF/Euro teure Software-Lizenz dafür bezahlt.
Noch gibt es die Mögleichkeit einen PC selber zusammenzubauen. Oder sich einen Laptop zu kaufen, der von Werk aus mit Linux oder gar keinen Betriebsystem geliefert wird. Bis jetzt noch...

"Noch lässt Microsoft zu, dass man auch alternative System installieren kann. Aber bleibt das auch so? Da bin ich mir nicht so sicher.
Es ist einfach zu verlockend, per Knopfdruck (oder einem Sicherheits-Update) den Chip so abzuändern, das zukünftig nur noch Windows zugelassen wird."

Das halte ich für Computeresoterik. Abgesehen davon hat der Konzern wirklich kein Interesse solche Mittel anzuwenden. Sie machen mit Betriebssystemen im Vergleich zu früher kaum Geld. Sie haben sich längst auf andere Sachen konzentriert. Beispielsweise klingelt mit Microsoft Azure (http://www.azure.microsoft.com) bei denen ordentlich die Kasse.