Damit verschwindet dann hoffentlich bald das nächste proprietäre Gängelband,damit wir endlich zu einer wirklich "sicheren" Boot-Kette kommen. Den wie sollte man (post Snowden) einem proprietären (Boot-)System vertrauen können?
www.golem.de/news/freie-firmware-linuxboot-startet-windows-1908-143046.html

Vielleicht lassen sich damit ja auch die merkwürdigen Hardware-Nicht-Erkennungsprobleme lösen, von denen Rudi vor einiger Zeit berichtete. Zumindest gibt es bei einem offenen System eine Chance, daran etwas zu verbessern.

Hallo Dr. Tux,

das mag ein großer Fortschritt sein, ein propritäres Betriebssystem über eine offene Software starten zu können.

Aber ich halte persönlich eher folgendes für den viel größeren Schritt in die von dir skizzierte Richtung:
www.heise.de/newsticker/meldung/Offene-Coreboot-Firmware-fuer-Xeon-Serverboard-4490578.html

Der Serverbereich mag jetzt dem Endnutzer nicht direkt helfen, aber das ist ein erster Schritt hin zu einem komplett quelloffenen System. Serverboards haben in der Regel weniger Komponenten - kein Display, kein Sound, ...

Das kann man dann aber eventuell schrittweise erweitern. Nur fürchte ich, wird jedes Coreboot für jede Hardware ein Einzelkunstwerk.

Wenn man dann aber doch noch einen Ersatz für die ME findet und die vielen, vielen Firmwares für allen anderen Krams, der mittlerweile unverzichtbar auf den Mainboards verbraten ist könnten es ein komplett quelloffenes System geben.

Aber da fürchte ich liegt die echte Krux. Das ist wie eine Hydra - hat man einen Typ Hardware endlich quelloffen unterstützt - gibt es 10 neue Hardware Typen, Varianten, Abarten, mit anderer Firmware und das ganze fängt von vorne an. Die Fortschrittszyklen sind sehr kurz. Oft zu kurz als das sich da überhaupt eine Community bilden könnte.
Ein Hardwarehersteller wie z.B. Asus, MSI etc. wirft jedes Jahr eine neue Generation Hardware auf den Markt. Und immer wieder neu zusammengesetzt aus anderen Chips, die andere FW brauchen angetrieben durch Intel und AMD.

Ich glaube das an dieser Stelle für den Mobilen Endgerätebereich auch Cyanogenmod/LineageOS kapituliert hat. Man müsste sich schon speziell ein Mobiltelefon nach den Unterstützungsangaben von Cyanogenmod kaufen - wer macht das?
Oder noch besser: Man hat ein Galaxy S9 aus dem letzten Jahr und darf dann lesen, dass es nicht mehr von LineageOS unterstützt wird: wiki.lineageos.org/devices/starlte - WTF? Wo war da noch der Nachhaltigkeitsgedanke?

Tja, bleibt nur zu hoffen, dass es irgendwann auch im hardwarenahen Umfeld bei den Herstellern ein Umdenken gibt, hin zu quelloffen. Wenn die Hersteller erst Mal anfangen auch alle ihre Firmwares quelloffen anzubieten, dann gibt es eine reelle Chance dafür das diese Utopie vielleicht Realität wird.
Dagegen spricht leider, dass keiner seine "Secret Souce" zu leicht an die Konkurrenz abgeben möchte .
Vielleicht würde eine offene Firmware zu viel enthüllen... inklusive peinlicher Implementationen und Workarounds .

Liebe Grüße,
Klaren

Na sowas, ich hatte ja im vorigen Post meinen Verdacht geäußert, dass die Treiber und Firmwares wohl möglich gammelig sein könnten, da kommt das hier um die Ecke:

www.heise.de/security/meldung/Windows-Treiber-von-Intel-AMD-Nvidia-und-vielen-Mainboard-Herstellern-unsicher-4494929.html?wt_mc=rss.ho.beitrag.atom

Ist auch so M)

Liebe Grüße,
Klaren

Na, das ist ja ganz großes Kino. Aber irgendwie auch nicht verwunderlich, bei dem Tempo mit dem neue Hartware in die Welt geblasen wird.

Somit wäre dann ein gangbares/empfehlenswertes Szenario:

- Man kauft sich einen Rechner bei einem Händler, der explizit für Linux zertifiziert ist, aber ohne Betrübssystem
- Ggfs. packt man sich eine freie, quelloffene und gut gepflegte BIOS-Alternative drauf
- Man installiert sich eine Distribution mit libre-Kernel und mit ohne unfreie Anwendungen und Treibern (idealerweise ohne SystemD-Gefrickel)

Somit ist die Auswahl geeigneter Händler und Rechner natürlich recht gering. Der Zugewinn an Sicherheit aber eine ernstthafte Überlegung wert.

Aus Gründen der Nachhaltigkeit rate ich ja zu gebrauchten Rechnern (z.B. von AfB ). Streng genommen würde dies aber bedeuten, dass man vor der Installation des Systems erst mal sämtliche Firmwares lokalisieren und flashen müsste. Das dürfte wohl selbst für Nerds eine Herausforderung sein.

Bei den geeigneten Distributionen wird es da schon eng - ausser man bastelt sich ein "Linux from scratch" selbst zusammen.
Im Debian/Ubuntu-Umfeld gibt es nichts wirklich begeisterndes (Devuan ist bzgl. unfreier Software so aufgestellt wie Debian, und wer einen libre-Kernel haben will muß wiederum auf einen Fork setzen, was schon experimentell werden kann.)
Gentoo ("Kompilierst du noch, oder arbeitest du schon?") kann wohl prinizipiell alles
Im Arch-Lager sind Hyperbola und Parabola verortet, was schon ein Experiment wert zu sein scheint.

Ich glaube, als nächstes kaufe ich mir Wählscheibentelefon, Schreibmaschine und Taschenrechner.

P.S.: Wir erinnern uns, dass Router & Co. ja auch kaputt sind.

Hallo Dr. Tux,

ja, da muss ich dir zustimmen. Die Schreibmaschiene und der Taschenrechner sind vergleichsweise abhörsicher.
Nur: Was macht man dann damit? Briefe schreiben. Statistik zu Fuß? Banküberweisungen? Doch eher nicht.
Ich denke, wenn man nicht in die Frühsteinzeit mit Keilschrift zurück möchte muss man den einen oder anderen Kompromiss eingehen.
Überweisung als Steintafel stelle ich mir schwierig vor.

Ich glaube hier gibt es ein Grundproblem des modernen Paranoikers. Man kann heutzutage einfach nicht mehr alles selber herstellen.
Und damit begibt man sich zwangsweise in eine Abhängigkeit und ein Vertrauensverhältnis.
Zum einen bedarf es sehr spezieller Kenntnisse und Fertigkeiten und Werkzeug, um einen Computer aus Microchips zusammen zu bauen. Zum anderen müsste man selbst diese Chips selber herstellen um ganz sicher zu sein, dass da nicht doch was drin ist, was da nicht hin gehört.
Wenn man diese Hürde geschafft haben sollte, müsste man sich ein eigenes Betriebssystem schreiben. Etwas vorgefertigtes aus irgendwelchem Quellcode kompilieren ist immer noch nicht 100% sicher.
Tja und mit dem Betriebssystem dann auch alle Anwendungen.

Ich denke das ist in einer durchschnittlichen Lebenszeit eines Menschen nicht zu schaffen.
Also muss man irgendwem Vertrauen.
Zuerst dem Chipherstellern - hier könnte man AMD nehmen, um der ME aus dem Weg zu gehen. Aber selbst AMD hat eine ME in ihren CPUs:
www.heise.de/newsticker/meldung/AMD-Secure-Processor-PSP-wohl-bei-einigen-Ryzen-Mainboards-abschaltbar-3913635.html

Immerhin teilweise abschalten scheint leichter zu sein. Aber der Weg von da zum komplett System ist noch weit. Mittlerweile hat fast jedes Bauteil
egal ob SSD, Festplatte oder was auch immer seine Firmware... der man dann vertrauen muss.. oder auch nicht, aber dann auch keine SSD/Festplatte.

Und so gehts munter weiter. Und wenn man dann seine Hardware komplett sicher zusammengestellt hat, macht man irgend einen dummen Einstellungsfehler und
Bumms ist da doch ein riesen Scheunentor offen. Und selbst einer der größten, Google kriegts nicht hin wirklich ALLE Scheunentore zu schließen. www.golem.de/news/linux-kernel-selbst-google-ist-unfaehig-android-zu-pflegen-1910-144319.html

Vielleicht sollte man den Radikalansatz also lieber lassen. Ich bin ein Freund von relativer Sicherheit. Das benutzte Vehikel muss für 98% der Angreifer nicht einnehmbar sein. Bei der Hardware könnte man darauf achten, dass es keine Fernwartung gibt. Ansonsten, ob man der ME jetzt vertraut oder nicht - los wird man sie nicht. Ich denke im Normalbetrieb wird da nicht viel passieren.
Es wird immer dann spannend, wenn die eigene Hardware sich mit irgendwelchen anderen Medien verbindet. Sei es Internet oder USB Stick oder 3,5" Floppy Disk.
Je nach dem Medium gibt es unterschiedlich starke Angriffe.
Mit der 3,5" Floppy kann ein Angreifer den Bootsektor verseuchen und auf die 1,44 MB Schadcode unterbringen. Das ist jetzt nicht so viel Platz.
USB Stick hat ein Vielfaches davon und kann je nach dem ein eigenes Computersystem sein, das über die Schnittstelle versucht den angeschlossenen Rechner zu übernehmen.
www.heise.de/security/meldung/BadUSB-Tools-kursieren-im-Netz-Angriffs-Stick-im-Eigenbau-2411135.html
Also es braucht keine Internetverbindung, um in einen Rechner einzufallen und ihn zu übernehmen.

Aber übers Internet hat man quasi endlos Möglichkeiten eines Angriffs.

Bezüglich alter Hardware und Nachhaltigkeit. Da muss man auch den Stromverbrauch und die Leistungsfähigkeit berücksichtigen.
Ich glaube nicht das es Nachhaltig ist mit einem Z1 noch was anderes machen kann als eine Museumsdemo.
Andererseits kann man den mit einem Schraubendreher und einem Vorschlaghammer reparieren .

Liebe Grüße,
Klaren

Ich will dir generell nicht widersprechen. Dennoch sollte jeder der zumeist technikgläubigen Zeitgenossen mal sein Tun hinterfragen. Joseph Weizenbaum hatte mit seinem Wandel vom Top-Informatiker zum Technik-Kritiker echt nicht unrecht gehabt - wie man ja an solchen Fällen sieht.
Ich glaube die breite Masse hat noch gar nicht begriffen, was da auf uns zukommt - wenn man mal exemplarisch so Szenarien wie Stuxnet weiter denkt. Quasi jeder benutzt eine Taschenwanze, wohlwissend dass inzwischen die überwiegende Menge Schadcode dafür geschrieben wird und die Schutzmöglichkeiten dort noch mieser sind, als auf diesem angeblichen Standard-"Betriebssystem". Der Einsatz von Feature-Phones hilft da auch nur bedingt, da diese ja gar nicht gepatched werden. Wenn man das mal auf Fernseher, Waschmaschinen, Kühlschränke, Autos, Navigationsgeräte, SmartWatches, etc. und deren angestrebte bzw. stattfindende Kommunikation via Internet überträgt, wird zumindest mir schlecht. Gar nicht zu denken an Software (z.B. Spiele), bei der die Sicherheitsaspekte quasi gar keine Rolle spielen. Oder hat schon mal jemand über KI und Sicherheit nachgedacht? Der Infrastruktur der Telekommunikationsunternehmen muss man gar blind vertrauen, kann allenfalls TOR benutzen. Zumal es wohl niemanden geben dürfte, der heute noch alle beteiligten Komponenten versteht oder gar deren Sicherheitsaspekte überblickt. Ein C64 war noch für gute Informatiker verständlich. Heutige Gerätschaften sind nur noch Black Boxes, denen man vertrauen muss.
Ich rate da aus Gründen des Selbstschutzes zu einem sehr reduzierten Umgang mit solchen Gerätschaften. Sicher, mein Hinweis auf die Schreibmachine war nicht ernst gemeint. Aber eine Landkarte bringt einen auch ans Ziel bei gleichzeitig besserer Ökobilanz und geringerer "Absturzgefahr".

Seit einigen Jahren kaufe ich mir nahezu alle Geräte gebraucht ("gut abgehangen"/gepatched wie "Debian Stable"), was ich zudem bedeutend besser mit meinem ökologischen Gewissen vereinbaren kann. Und ich habe nicht den Eindruck, dass diese einige Jahre alte Hardware leistungsschwach ist. In Zeiten der begrüssenswerten Arbeit von FFF und nachdenkens über die zukünftige Versorgung mit Seltenen Erden halte ich dies für einen guten Kompromiss zwischen Leistungsanforderungen und Nachhaltigkeit. Wenn man sich dann noch überlegt, welchen Fenstermanager und welche Anwendungen man sich auf die Platte packt, kann man mit sehr wenig sehr weit kommen. Ich fahre wunderbar mit Rechnern die 5-8 Jahre alt sind. Hätte ich eine Taschenwanze im Einsatz, würde die Sache natürlich anders aussehen. Ich verstehe ja durchaus deren Annehmlichkeiten. Aber so wie bei der Diskussion Texteditor vs CMS oder KDE vs Fluxbox oder eben Leben ohne vs mit "Smart"-Phone favorisiere ich (nicht nur aus Gründen der Nachhaltigkeit) eben meist die einfachere Variante und lebe immer noch.

Ich gebe dir und Joseph recht: Man kann die Lage nicht wirklich durchschauen heute in einer Zeit wo Spühlmaschiene, Kühlschrank und Waschmaschiene mit dem Internet kommunizieren und der Komplexitätsgrad von Smartphones und Computern generell für einen Enduser, aber auch für einen Experten nicht mehr überschaubar ist.
Das gilt auch für den professionellen Bereich. Komplexität ist der Feind von Sicherheit und wir haben über die Jahrzehnte sehr viel Komplexität auf allen Ebenen (Hardware und Software) angesammelt.

Tja, wie wir aus der Nummer wieder raus kommen ohne dabei in die Steinzeit zurück fallen zu müssen, ist die Frage.

Bezüglich Taschenwanze gibt es da eventuell eine Lösung für dich: puri.sm/posts/librem-5-smartphone-final-specs-announced/

Der Komplexitätsgrad der Hardware ist vermutlich nicht viel anders, aber wenigstens hat man ein Linux auf dem Telefon laufen, dass nicht so verdongelt ist wie Android. Auch wird das Phone vermutlich für einen für Android zugeschnittenen Angriff weniger bis garnicht anfällig sein.
Ich glaube die Idee von Google mit Android war von Apple geklaut: Man bietet dem Benutzer schöne, einfache Oberflächen und versteckt das eigentliche Betriebssystem vor ihm.
Mit dem librem 5 hast du die Möglichkeit wieder an Linux heran zu kommen. Auch hat das Gerät mechanische Schalter zum Abschalten von Wlan etc.
Vielleicht ist das ein erster, keiner Schritt aus der Komplexitätsapokalypse. Heise hat es allerdings ziemlich verrissen: www.heise.de/newsticker/meldung/Linux-Smartphone-Librem-5-Einstieger-Hardware-fuer-High-End-Geld-4483513.html Weil ist ja nicht cutting-edge super-geil und für die Leistungsfähigkeit viel zu teuer. Ich glaube die haben den Ansatz des Geräts nicht kapiert.
Mal sehen wie das so läuft. Ein Arbeitskollege hat für das Teil Crowdfunding mit gemacht und hat voraussichtlich ein Gerät unter dem Weihnachtsbaum.

Trotzdem bleibt natürlich der Hohe Grad an Komplexität auch im Linux selbst und der Hardware bestehen. Die zunehmende Vernetzung ist Chance und Katastrophe zu gleich. Wir werden irgendwie damit leben müssen.

Liebe Grüße,
Klaren

P.S.: Mein Rechner ist ein X201 von 2011 - soviel zu gut abgehangen.
Ja, läuft prima, ich kann damit alles machen. Aber:

• der Akku ist signifikant dicker, wenn ich ihn austauschen muss brauch ich mehr, nicht weniger Resourcen. (Aber wenigstens kann ich ihn noch leicht tauschen)
• die Laderegelung ist um einiges schlechter und damit stirbt der Akku schneller
• die Leistungsaufnahme des Geräts ist um einiges größer
• ...

als bei modernen Rechnern. Ob die Bilanz unter dem Strich noch positiv ist verglichen mit einem Neugerät vermag ich nicht einzuschätzen.

Sicherheitstechnisch ist die Hardware gewiss eher ein Kompromiss. Das BIOS ist von 2014. Die CPU anfällig für Angriffe auf die Hardware. Es kamen zwar Microcode updates, aber ob die Metdown und Spectre auf dieser alten CPU verhindern oder nicht - wer weiß das schon.