~ # fwupdmgr security
Host Security ID: HSI:0! (v1.9.10)
HSI-1
✔ BIOS Firmware-Aktualisierungen:Enabled
✔ csme überschreiben: Locked
✔ csme v0:12.0.93.2331: Valid
✔ Fehlerdiagnose der Plattform: Disabled
✔ SPI schreiben: Disabled
✔ Unterstützte CPU: Invalid
✔ UEFI-Bootdienst-Variablen: Locked
✘ csme Herstellungsmodus: Unlocked
✘ SPI sperren: Disabled
✘ SPI BIOS-Region: Unlocked
✘ TPM v2.0: Not found
HSI-2
✔ Intel BootGuard: Enabled
✔ Intel GDS-Milderung: Enabled
✔ IOMMU: Enabled
✔ Fehlerdiagnose der Plattform: Locked
✘ Intel BootGuard ACM-geschützt: Invalid
✘ Einmalig programmierbare Intel BootGuard-Sicherung:Invalid
✘ Verifizierter Start mit Intel BootGuard:Invalid
HSI-3
✘ Intel BootGuard-Fehlerrichtlinie:Invalid
✘ Intel CET aktiviert: Not supported
✘ DMA-Schutz vor dem Booten: Disabled
✘ Im Leerlauf anhalten: Disabled
✘ Im RAM anhalten: Enabled
HSI-4
✔ Intel SMAP: Enabled
✘ Verschlüsselter RAM: Not supported
Runtime Suffix -!
✔ fwupd-Plugins: Untainted
✔ Linux-Kernel-Sperrung: Enabled
✔ Linux-Kernel: Untainted
✘ Linux-Auslagerung: Unencrypted
✘ Sicherer UEFI-Boot: Disabled
This system has a low HSI security level.
» https://fwupd.github.io/hsi.html#low-security-level
This system has HSI runtime issues.
» https://fwupd.github.io/hsi.html#hsi-runtime-suffix
Host Security Events
2024-07-06 06:24:41: ✔ Kernel lockdown enabled
2024-07-06 06:24:41: ✔ IOMMU device protection enabled
2024-06-07 10:12:54: ✔ csme v0:12.0.81.1753 changed: Invalid → Valid
2023-06-14 09:18:48: ✔ Unterstützte CPU changed: Valid → Invalid
2023-04-20 05:03:10: ✔ Kernel is no longer tainted
2023-04-20 05:03:10: ✘ CSME v0:12.0.81.1753 changed: Valid → Invalid
2023-03-01 08:55:17: ✘ Kernel is tainted
2022-06-29 10:17:13: ✔ Kernel is no longer tainted
Ist das ein „übliches“ Ergebnis?
Muss ich mir „Sorgen machen“?
Gibt es „üblicherweise“ wesentlich „bessere“ Ergebnisse?
Kann ich hier konkret Maßnahmen ergreifen, um das Ergebnis zu verbessern?
Wenn das Ergebnis „besser“ wäre (hin zu optimal), was würde mir das als privater Nutzer eines Desktop-PC im Alltag bringen? (Siehe auch die oberen Punkte.)
Nun habe ich auch schon mehrmals das Stichwort Secured-Core-PC gelesen…
Ist das eine Sache der HW oder SW (oder beides)?
Ist das eventuell eine Sache von Microsoft Windows? (Ich benutze Linux — siehe auch den Punkt oben.)
Was bringt mir so ein System als privater Desktop Nutzer im Alltag? — Ja, die Entscheidung muss am Ende ich treffen: aber ich habe bisher gar keine Ahnung, was mir so ein System technisch als wesentliche Vorteile bietet, so dass ich auch keinen Bezug zu Wahrscheinlichkeit eines persönlichen Bedrohungsszenarios sowie verfügbarem Finanzbudget (Anschaffung) sowie Zeitbudget (eventuelle Einrichtung und Anpassung) ziehen kann…
Genau die selben ganzen Fragen aus diesem Thema stelle ich mir auch und freue mich ganz genauso über Antworten auf diese.
Betrifft ein Secured-Core-PC ähnliche Themen wie die Secure Chips eines Smartphones? Dass auf einem abgetrennten Bereich eines Chips sensible Daten wie Login/ Fingerabdruck/ Verifizierung welches Betriebssystem gestartet werden soll u.Ä. verarbeitet werden um das Betriebssystem nach außen hin abzusichern?
Wenn auf der Seite LVFS: HSI Devices nun bestimmte Geräte mit relativ hohem HSI drin stehen - die meisten Seiten zum Verkauf von Geräten (neu oder refurbished) sind nicht auf Sicherheit fokussiert, oft kann man in Suchfunktionen gar nicht erst Sicherheitsfunktionen auswählen. Welche Seiten sind da zum anschließenden Vergleich wertvoll und vertrauenswürdig?
Hoffentlich kommt noch etwas guter Input oder zumindest gute Links…
Ich habe zwar von diesen Begriffen gehört/gelesen, aber bisher kaum Ahnung davon. Und ich selbst habe noch kaum aussagekräftigen Erläuterungen und Kommentare gesehen. Außer, dass man halt immer wieder mal darüber stolpert…
Bei Graphene OS ist ja ein wesentlicher Faktor warum nur gewisse Geräte eines unbeliebten Herstellers zulässig sind, dass sie u.a. einen Secure Chip drin haben der nahezu allen anderen Geräten fehlt, mal abgesehen von Apple und Samsung (Samsung scheint nicht quelloffen genug zu sein).
Bei PCs und Laptops scheint auf der einen Seite die Hardware-Relevanz weniger ein Thema zu sein. Andererseits zeigen HSI-Level dass ja doch einiges dran sein muss.
Und warum sollen die Hardware-Anforderungen des Sicherheits-orientierten Betriebssystems Qubes Humbug sein - mal abgesehen von Geräten mit HSI:0 die zulässig wären?
Ich finde es toll, dass Ihr Euch damit befasst und finde das Thema auch interessant, aber ist das wirklich Euer Bedrohungsmodell? Nur mal irgendwas random rausgesucht:
Suspend to Ram (S3) keeps the raw contents of the DRAM refreshed when the system is asleep. This means that the memory modules can be physically removed and the contents recovered, or a cold boot attack can be performed with a USB device.
Also mein Bedrohungsmodell ist das nicht. Und Euers vermutlich auch nicht.
Mein Laptop hat TPM, aber ich nutze es nicht - ich gebe mein PW bei jedem boot per Hand ein und habe auch kein Problem damit - das Kriterium ist also ohne Aussagekraft.
Ich würde gern secure boot nutzen, aber dann mit eigenem key und nicht mit dem von Microsoft. Praktisch habe ich dafür aber keine Zeit, also ist auch das irrelevant.
Und so weiter.
Mein extremstes Bedrohungsmodell ist: Microsoft gibt die secure boot keys an Behörden weiter und deshalb darf ich meinen Laptop bei Grenzkontrollen nicht aus den Augen lassen. Und die Firmware meines Rechners (IME, PSA) kann nach Hause telefonieren, wenn das jemand bei Intel oder AMD will. Dagegen kann ich gar nichts machen, solange ich das Netz nutze.
Gegen beides hilft HSI-whatever überhaupt nicht. Geht mal die HSI-Anforderungen durch und fragt Euch, welche irgendetwas mit Eurem Bedrohungsmodell zu tun hat. Falls Ihr eine findet, könnt Ihr Euch Hardware suchen, die das berücksichtigt. Den Rest könnt Ihr getrost ignorieren.
Vermutlich habe die meisten Nutzer wenig bis keine Ahnung diesbezüglich. In diesem Sinne: Ich sehe ein Ranking und möchte ein möglichst hohes Level zu erreichen, um vor möglichst vielen Bedrohungen geschützt zu sein.
Im Sinne von: ich ernähre mich gesund und mache Sport, damit das Immunsystem stark ist, ohne, dass ich vielleicht weiß gegen was ich mich konkret schützen muss, oder wegen Anfälligkeiten schützen sollte.
Am sichersten gegen alle möglichen Unfälle und Angriffe geschützt bist Du in einem gepanzerten Fahrzeug einer gewissen Automarke. Du fährst aber nur einmal die Woche zum Supermarkt. Kaufst Du Dir jetzt das gepanzerte Fahrzeug oder doch lieber einen günstigen Kleinwagen?
Du kannst das so machen, wenn Du willst. Das könnte dann teurer werden und macht jedenfalls viel Arbeit. Ich wollte nur die beiden Vorposter beruhigen, dass sie sich über ein HSI-Level ihrer Geräte keine Sorgen machen müssen.
Ich interessiere mich für Security und Privacy… Ich versuche mein Wissen zu erweitern und eventuelle Schwachstellen einzudämmen. — Aber…
(An @Chief1945)
Welches konkrete und tatsächliche Bedrohungsszenario habe ich denn dadurch?
Und auf welche Weise? Etwa wirklich mittels LVHS: HSI Devices? Gibt es da nichts „Besseres“?
„Gibt es sonst noch etwas, das sich umsetzen lässt?“
Deswegen habe ich etwas oben in diesem Beitrag nun noch einmal konkret nachgefragt…
Ich habe einen Desktop-PC.
Ohne versiegelte Schrauben oder versiegelte Ports! — Wenn sich einer da zu schaffen macht, dann muss er im Haus sein. Dann kann er auch gleich die ganze Bude verwanzen. Da gibt es zig Möglichkeiten, die „man“ nicht im Blick hat. So lange ich mir keine Sorgen mache, dass meine Rauchmelder mich beim Schmökern im Brockhaus beobachten, habe ich auch kaum Sorge um eine Evil Maid Attacke auf meinen PC innerhalb meines eigenen Hauses… (Gegen Datenauslesen bei Diebstahl habe ich Systemverschlüsselung meines PCs sowie verschlüsselte Backup-Medien. — Jaja, aber wenn der Rauchmelder mich bei der Eingabe des Passworts filmt…)
Ohne BIOS-Passwort! — Was sollte ein Angreifer in meinem BIOS tatsächlich ernsthaft Schlimmes machen?
Ja: Systemverschlüsselung sowie verschlüsselte Backup-Medien.
Ja: ein root-Account mit nicht simplem Passwort (für administrative Zwecke, nicht regulär!)
Ja: ein User-Account mit nicht simplem Passwort (für die tägliche Arbeit)
Ja: Anwendungen wohlüberlegt ausgesucht und installiert
Ja: Internet-Dienste wohlüberlegt ausgesucht und genutzt (so weit bewusst)
Aber sonst? Natürlich kann ich Maßnahmen zur Steigerung der Security bis in die Sättigungsgrenze (eben nicht 100%!) hinein ergreifen — aber auf Kosten von Finanzen, Zeit, allgemeine Nutzbarkeit, Komfort, etc! (Ich fahre z.B. Fahrrad mit permanent Licht und Helm — aber ohne (weitere) Protektoren oder gar Begleitfahrzeuge…)
Das sind alles wichtige Dinge, die Du da auflistet. Demgegenüber spielt das HSI-Level so gut wie keine Rolle. Evil Maid Attacken und ähnliches spielen für Normalnutzer, wenn überhaupt, nur bei Laptops eine Rolle. Bei denen können Gefahren lauern, wenn man sie im Hotelzimmer allein läßt oder bei unangenehmen Grenzkontrollen. Dementsprechend enthält auch die verlinkte Liste Laptops (vor allem oder sogar nur, ich hab das nicht einzeln gecheckt).
Man sollte es nicht übertreiben. Es gibt auch noch ein Leben abseits des Bildschirms. Der Rauchmelder ist sowieso die größte Gefahr.
Du hast halt keinerlei Boot Security. Stand der Technik ist - und Linux-User hassen diesen Begriff - Verified Boot. Dabei wird ausgehend von einem Hardware-Root-of-Trust eine Vertrauenskette aufgebaut und jedes auszuführende Bit (idealerweise die gesamte Systempartition inklusive Firmware) vor der Ausführung verifiziert. Fährt das System sauber hoch, kannst du dir sehr sicher sein, dass alles intakt ist, sich keine Malware in deinem System befindet und auch nicht an der Firmware herumgefummelt wurde. Sollte etwas nicht okay sein, wirst du entweder gewarnt oder das System stellt automatisch einen intakten Zustand wieder her. Diese Garantie hast du bei deinem Rechner nicht - du bist sogar relativ weit davon entfernt. Ein immutable System ist ein Schritt in die richtige Richtung, es fehlt aber der oben genannte Vertrauensanker.
Wichtig dabei ist, dass Boot Security (bzw. Verified Boot) nicht nur bei physischem Zugriff eine wirksame Verteidigung darstellen, sondern bei jeder Manipulation des Systems. Das kann Malware sein, irgendein Datenfehler, oder sogar ein Bitflip durch kosmische Hintergrundstrahlung.
Kann ich die unter Linux denn überhaupt haben? Eventuell mit welchem HSI-Level? Oder gar nicht? Mit welchem OS sonst? macOS? iOS? Android i.A.? GrapheneOS i.B.? ChromeOS? Windows (welches!)?
Und dann? Was passiert bei dieser „Boot Security (bzw. Verified Boot)“ dann? (Ich frage inhaltlich interessiert.)
Woher weiß dieses System denn, was Malware ist und was nicht? Es wird mir doch prinzipiell möglich sein, (gegenüber der Erstinbetriebnahme) zusätzlich Software (egal wie groß oder klein, egal wie „seriös“) zu installieren?!
Das ist eine der Kernfragen. Die uefi firmware Deines motherboards enthält Schlüssel von Microsoft. Alles, was mit diesem Schlüssel signiert ist, hält Dein System für legitim. Das ist auch unter Linux nicht anders. Soweit zu secure boot. Die Erklärung von wellenbrecher zu „Verified Boot“ klingt mir genauso. Der Schlüssel von Microsoft ist der " Hardware-Root-of-Trust" in dieser Kette. Ob „Boot Guard“ irgendwie darüber hinausgeht, weiß ich nicht.
Wir wissen seit letztem Jahr, wie Microsoft mit ihren Schlüsseln umgeht (extrem nachlässig, falls es wer nicht mitgekriegt haben sollte). Jetzt kommen wir wieder zurück auf das individuelle Bedrohungsmodul …
Das System wäre brauchbar, wenn ich den „Hardware-Root-of-Trust“ selbst kontrollieren könnte. Bei vielen boards geht das auch, aber mir fehlt die Zeit dafür und den meisten anderen Leuten fehlt außerdem das Wissen, denn trivial ist das nicht.