amalia
Goto Top

BIOS manipuliert?

Hi, liebe Admins!

Mein Notebook ist wieder bei mir zurück. Ist es möglich, dass der Fremde es manipuliert haben könnte, bspw. BIOS? Wie kann ich das am besten feststellen? Gibt es dafür ein spezielles Programm oder CD? Wie sollte ich vorgehen?

LG Amalia

Content-Key: 51312061428

Url: https://administrator.de/contentid/51312061428

Printed on: April 22, 2024 at 07:04 o'clock

Mitglied: 11078840001
11078840001 Feb 19, 2024 updated at 16:00:12 (UTC)
Goto Top
Mein Notebook ist wieder bei mir zurück.
Aus dem Urlaub? 😃

Wie sollte ich vorgehen?
Einfach das Original EFI/BIOS vom Hersteller drüber flashen und eine evt. vorhandenen Platte mit DBAN (bzw. SSD mit SecureErase) behandeln wenn du meinst dir will da jemand was.
Member: Amalia
Amalia Feb 19, 2024 at 16:00:34 (UTC)
Goto Top
Ob es ein Urlaub für das Notebook war, weiß ich nicht ... und so weiß ich auch nicht, was damit angestellt wurde. Ich will mir jedenfalls die Laus im Pelz des Notebooks nicht auf meine anderen Geräte holen und schon gar nicht möchte ich einfach so ausgenutzt werden können.

Zum Flashen muss ich doch das Notebook starten. Könnte das BIOS so manipuliert sein, dass es in solches Flashen ins Leere laufen lässt? Kann ich das irgendwie verhindern?
Mitglied: 11078840001
11078840001 Feb 19, 2024 updated at 16:19:06 (UTC)
Goto Top
Zitat von @Amalia:
Zum Flashen muss ich doch das Notebook starten.
Nicht unbedingt. Kann man mit entsprechenden Equipment auch in Circuit mit einem Programmer erledigen.
Könnte das BIOS so manipuliert sein, dass es in solches Flashen ins Leere laufen lässt?
Möglich ist alles aber ob jemand den Aufwand bei dir treibt, fraglich ....
Kann ich das irgendwie verhindern?
BIOS Chip neu flashen/austauschen oder es wieder zurück in den Urlaub schicken oder gleich Thermit über dem Notebook zünden. face-big-smile.

Ist heute der "Tag der Paranoiden" ?! face-smile.
Member: Amalia
Amalia Feb 19, 2024 at 16:48:51 (UTC)
Goto Top
Zitat von @11078840001:
Nicht unbedingt. Kann man mit entsprechenden Equipment auch in Circuit mit einem Programmer erledigen.
Das verlinkte Gerät würde doch erfordern, den BIOS-Chip entnehmen zu können, oder?

Ist heute der "Tag der Paranoiden" ?! face-smile.
Nein, ganz bestimmt nicht. In meinem Fall kann und eher muss ich aus Sorgfalt davon ausgehen, dass nicht nur die Fähigkeit des Fremden besteht. Und bevor ich das Notebook das erste Mal wieder einschalte, will ich meine Optionen abklären.

Amalia
Member: Vision2015
Vision2015 Feb 19, 2024 at 17:18:03 (UTC)
Goto Top
Moin...
Zitat von @Amalia:

Hi, liebe Admins!

Mein Notebook ist wieder bei mir zurück.
zurück von wo?
Ist es möglich, dass der Fremde es manipuliert haben könnte, bspw. BIOS?
Bios glaube ich weniger, es sei den, du bist Agentin - uns spielst mit leuten vom geheimdienst rum!
aber dein Windows oder was auch immer für ein OS könnte manipuliert sein!
Wie kann ich das am besten feststellen? Gibt es dafür ein spezielles Programm oder CD? Wie sollte ich vorgehen?
du solltest entweder deine letzte Aktuelle Datensicherung einspielen, oder dein OS neu Installieren, aber keine Daten von der alten Installation übernehmen... aich eine Bilder!

LG Amalia
lass mich raten, dein Notebook war bei deinem EX.....
Frank
Member: TwistedAir
TwistedAir Feb 19, 2024 at 18:25:00 (UTC)
Goto Top
Hallo.

Zitat von @Amalia:

Mein Notebook ist wieder bei mir zurück. Ist es möglich, dass der Fremde es manipuliert haben könnte, bspw. BIOS?

Möglich ist alles. Wer hatte denn in der Abwesenheit Zugriff auf das Notebook? Welche Motive könnten diese Personenkreise haben und welche Fähigkeiten haben sie?

Wie kann ich das am besten feststellen? Gibt es dafür ein spezielles Programm oder CD? Wie sollte ich vorgehen?

Am besten, indem vor Herausgabe des Notebooks entsprechende Sicherungsmaßnahmen (Hash-Werte bei Soft- und Firmware, Siegel oder Schutzlack bei physischer Manipulation, Benutzung von Verschlüsselung, etc. …) getroffen wurde und nach Rückgabe mit den Ursprungswerten verglichen wird. Im Nachhinein ist es schwierig, da die Referenz fehlt. Dann ist es sicherer, „es neu aufzusetzen“.

Zum Flashen muss ich doch das Notebook starten. Könnte das BIOS so manipuliert sein, dass es in solches Flashen ins Leere laufen lässt? Kann ich das irgendwie verhindern?

Das BIOS/UEFI des Notebooks kann in der Regel in zwei Betriebsmodi geflasht werden: bequem, wenn das Betriebssystem schon gebootet ist (dann kann möglicherweise schon eine Netzwerkverbindung bestehen und so weitere Geräte infiziert werden) oder vor dem Start des Betriebssystems. Dort ist der Zugriff auf die Hardware direkter und ein Unterbinden des Flash-Vorgangs schwieriger. In beiden Fällen sollte für dein Vorhaben weder ein Netzwerkkabel angeschlossen noch die WLAN-Station eingeschaltet sein - sprich das Notebook keine Chance haben ein Netzwerk zu kontaktieren.

Je nachdem, was du befürchtest, müsstest du alles unter die Lupe nehmen, was Software oder Firmware enthält und dieses neu einspielen. Und ob Spuren physischer Manipulation (neue Kratzer, verletzte Siegel, neu aufgelötete oder veränderte Bausteine, …) sichtbar sind.

Wie ein manipulationsgesichertes Notebook aussehen kann, sieht man z. B. bei NitroKey: https://www.nitrokey.com/de/news/2020/nitropad-sicherer-laptop-mit-einzi ...

Grüße
TA
Member: Amalia
Amalia Feb 19, 2024 at 18:40:38 (UTC)
Goto Top
Zitat von @Vision2015:
Ist es möglich, dass der Fremde es manipuliert haben könnte, bspw. BIOS?
Bios glaube ich weniger, es sei den, du bist Agentin
aber dein Windows oder was auch immer für ein OS könnte manipuliert sein!
Die Festplatte des Notebooks ist verschlüsselt. Es ist die für Linux standardmäßige Verschlüsselung. Eine Manipulation des Betriebssystems möchte ich vorerst ausschließen. Aufgrund des zu kleinen Zeitfensters des fremden Zugriffs kann die Verschlüsselung auch nicht geknackt worden sein, wenn keine Abkürzung bekannt ist.
Wenn aber eine Verschlüsselung nicht geknackt werden konnte, ist es ja nicht ausgeschlossen, dass dennoch Manipulationen vorgenommen wurden, um doch noch die Verschlüsselung überwinden zu können. Daher meine Frage betreffend das BIOS als ein denkbarer Ansatz.

Denkbar ist aber auch eine Manipulation des Startbereichs / Bootloaders der Festplatte. Wann wird denn dieser Bereich gelesen beim Start eines Rechners: schon beim Erkennen / Initialisieren der Festplatte, also schon vor dem Bootmenü (Taste F12)? Oder anders gefragt, kann ich mit dem Start von einer Live-CD verhindern, dass ein manipulierter Startbereich der Festplatte ausgeführt wird? Von einer Live-CD würde der Zugriff auf die verschlüsselte Festplatte so ähnlich wie auf eine Festplatte ohne aktive Partition erfolgen können.

Amalia
Member: ASP.NET.Core
ASP.NET.Core Feb 19, 2024 at 18:47:25 (UTC)
Goto Top
Hi,

klar ist das möglich. Ist seit Jahren bekannt, dass neue Geräte vor der Auslieferung manipuliert werden. Machen z.B. Geheimdienste zum Überwachen oder Gerätehersteller zur Verbreitung von Schadsoftware.

Feststellen kannst du so was nicht ohne weiteres. Wie willst du z.B. bei einer proprietären Firmware feststellen, ob da jemand was injiziert hat? Zumal das ja nicht die einzige Möglichkeit ist. Wenn die Platte nicht oder nicht sicher verschlüssel wurde, könnte man beispielsweise das Betriebssystem verseuchen, was einfacher wäre.

Zielführender wird sein erst mal abzuwägen, wer das Gerät hatte, was da drauf ist und wie wichtig du bzw. die Daten sind. Damit dann überlegen, wie hoch das Risiko einzuschätzen ist und ob es Anhaltspunkte gibt. Theoretisch könnte dir auch z.B. jemand Pegasus & co. auf den Hals Hetzen. Oder dein Haus verwanzen, während du weg bist.

All das ist möglich und noch viel mehr. Realistische Gefahren dürften das für 0815 Menschen nur sehr unwahrscheinlich sein. Als z.B. investigativer Journalist sieht es schon deutlich anders aus. Aber so mal eben ein magisches Programm starten, dass dir sagt ob jemand was an deinem System manipuliert hat, funktioniert längst nicht mehr. Das klappt nicht mal mit Antivirenprogrammen auf Windows. Darüber hinaus auf Hardware-Ebene schon gar nicht.
Member: Vision2015
Vision2015 Feb 19, 2024 at 19:03:09 (UTC)
Goto Top
Moin...
wie hast du denn verschlüsselt, mit luks oder truecrypt oder wie?

Aufgrund des zu kleinen Zeitfensters des fremden Zugriffs kann die Verschlüsselung auch nicht geknackt worden sein, wenn keine Abkürzung bekannt ist.

also dafür sollten wir wissen, wie das Zeitfenster war, auch wissen wir nix über deine Verschlüsselung!
auch wissen wir nicht, was es für ein Notebook ist, und welches Linux... TPM? Secure Boot? PIN?
fragen über fragen...
Member: TwistedAir
TwistedAir Feb 19, 2024 at 19:04:29 (UTC)
Goto Top
Zitat von @Amalia:

Denkbar ist aber auch eine Manipulation des Startbereichs / Bootloaders der Festplatte. Wann wird denn dieser Bereich gelesen beim Start eines Rechners: schon beim Erkennen / Initialisieren der Festplatte, also schon vor dem Bootmenü (Taste F12)? Oder anders gefragt, kann ich mit dem Start von einer Live-CD verhindern, dass ein manipulierter Startbereich der Festplatte ausgeführt wird?

Diese Vorgehensweise sollte ausreichen - https://de.wikipedia.org/wiki/Booten
Member: Amalia
Amalia Feb 19, 2024 at 19:46:25 (UTC)
Goto Top
Zitat von @TwistedAir:
Welche Motive könnten diese Personenkreise haben und welche Fähigkeiten haben sie?
Motiv: Kenntnis vom Inhalt der Festplatte zu bekommen, was jetzt wegen der Verschlüsselung nicht möglich war. Fähigkeiten: Profi ist mindestens zu unterstellen.

Hash-Werte bei Soft- und Firmware, Siegel oder Schutzlack bei physischer Manipulation
Vorher leider nein.
Benutzung von Verschlüsselung
Das hingegen schon bei der Festplatte.

nach Rückgabe mit den Ursprungswerten verglichen wird. Im Nachhinein ist es schwierig, da die Referenz fehlt.
Genau das ist jetzt die Frage, wie ich das dennoch prüfen könnte. Anders gefragt: Wenn ich den gesamten BIOS-Speichers auslesen / sichern / extern speichern könnte, müsste ich doch diese Sicherung mit der originalen Firmware vergleichen können? Die (originale) Firmware-Datei wird doch eins-zu-eins in den BIOS-Speicher geschrieben, oder?

Das BIOS/UEFI des Notebooks kann in der Regel in zwei Betriebsmodi geflasht werden: ... vor dem Start des Betriebssystems. Dort ist der Zugriff auf die Hardware direkter und ein Unterbinden des Flash-Vorgangs schwieriger.
Das klingt plausibel. Ich bin mir nicht sicher, aber im BIOS könnte regulär eine Funktion AZ-Flash oder so für ein BIOS-Update vorhanden sein. Vielleicht gibt es ja dort eine Funktion, um die aktuelle BIOS-Firmware sichern zu können.

Falls nicht: Dann ging es ja nur über DOS (per Stick / CD) oder eben über das Betriebssystem.

Dieser Weg über Stick oder CD steht ja grundsätzlich zur Verfügung, so dass für den Fremden nicht unbedingt ein Öffnen des Notebooks erforderlich gewesen muss.

In beiden Fällen sollte für dein Vorhaben weder ein Netzwerkkabel angeschlossen noch die WLAN-Station eingeschaltet sein - sprich das Notebook keine Chance haben ein Netzwerk zu kontaktieren.
Ja, das ist mein Plan! Deswegen wurde das Notebook nach der Rückkehr noch nicht gestartet. Ich will erst alles vorbereiten.

Je nachdem, was du befürchtest, müsstest du alles unter die Lupe nehmen, was Software oder Firmware enthält und dieses neu einspielen. Und ob Spuren physischer Manipulation (neue Kratzer, verletzte Siegel, neu aufgelötete oder veränderte Bausteine, …) sichtbar sind.
Mechanische / Optische Spuren sind jedenfalls bisher nicht augenfällig. Dass etwas an der Hardware verändert wurde, würde ich eher weniger annehmen. Hingegen halte ich alle softwarebezogenen Manipulationsmöglichkeiten für überlegungsbedürftig.

Wie ein manipulationsgesichertes Notebook aussehen kann, sieht man z. B. bei NitroKey: https://www.nitrokey.com/de/news/2020/nitropad-sicherer-laptop-mit-einzi ...
Der dabei verwendete Ansatz von u.a. QUBES OS 4.0 und Coreboot ist in jedem Fall sehr interessant für die Zukunft.

Amalia
Mitglied: 11078840001
11078840001 Feb 19, 2024 updated at 20:06:13 (UTC)
Goto Top
Zitat von @Amalia:
Das verlinkte Gerät würde doch erfordern, den BIOS-Chip entnehmen zu können, oder?
Nöp. Was hast du an "InCircuit" nicht verstanden?
Member: Garrix
Garrix Feb 19, 2024 at 21:13:01 (UTC)
Goto Top
Zitat von @Amalia:
Genau das ist jetzt die Frage, wie ich das dennoch prüfen könnte. Anders gefragt: Wenn ich den gesamten BIOS-Speichers auslesen / sichern / extern speichern könnte, müsste ich doch diese Sicherung mit der originalen Firmware vergleichen können?
Reden wir von einem OSS Bios? Sonst viel Spaß beim Reverse Engineeren um da überhaupt hin zu kommen... Wenns keinen Export gibt was eher seltener ist.
Nachdem du hier trotz zig Nachfragen immer noch nicht wenigstens gesagt hast worum es genau geht wirst du dich wohl selbst durchhangeln müssen.
Member: Amalia
Amalia Feb 19, 2024 at 21:42:52 (UTC)
Goto Top
Zitat von @Vision2015:
wie hast du denn verschlüsselt, mit luks oder truecrypt oder wie?
LUKS mit Debian 11, weil VeraCrypt als Systemverschlüsselung nicht möglich ist.

Aufgrund des zu kleinen Zeitfensters des fremden Zugriffs kann die Verschlüsselung auch nicht geknackt worden sein, wenn keine Abkürzung bekannt ist.
also dafür sollten wir wissen, wie das Zeitfenster war, auch wissen wir nix über deine Verschlüsselung!
Zeitfenster: Wenn ich für ein Rechenbeispiel die Passwortlänge x nehme und nur auf Groß-/Kleinbuchstaben und Zahlen abstelle: 62^x Kombinationen. Wenn ich jetzt beispielhaft unterstellen würde, ein einzelner Ausführungstask würde mit jedem Takt bei 5 GHz eine Kombination vollständig ausprobieren können (in Wirklichkeit eher eine Vielzahl von Takten), ist zwanglos hochrechenbar, was rein theoretisch bei y solcher Ausführungstasks (Kerne / GPUs pro Node mal Anzahl Nodes) in der Abwesenheitszeit maximal durchprobiert worden sein könnten. Unter diesen Maßgaben würde weniger als ein Tag (= 86.400 Sekunden) genügen, um x=8 vollständig zu erledigen (y=1). Für x=9 sind 31,3 Tage und für x=10 schon 1.942,8 Tage erforderlich. Jetzt käme es auf die Größe von y an. Ein y=10.000 könnte allenfalls ein x=10 an einem Tag bewältigen (x=11 -> 12,05 Tage; x=12 -> 746,82 Tage). Ist y=10.000 realistisch? In 746,82 Tagen könnten bei x=14 (/ 15) gerade einmal 0,026 (/ 0,00042) Prozent der möglichen Kombinationen durchprobiert werden.
Bei unbekannter Passwortlänge und erst recht bei der Hinzunahme von (unbekannten) Sonderzeichen vervielfältigt sich das alles nochmals deutlich. Und selbst dann, wenn eine Kopie der Festplatte gezogen wurde und die Ausprobiererei weitergehen sollte, wird in absehbarer Zeit kein Treffer zu landen sein - von einem mehr oder weniger Zufallstreffer einmal abgesehen. Die reale Abwesenheitszeit ist geringer als 746,82 Tage.

auch wissen wir nicht, was es für ein Notebook ist, und welches Linux... TPM? Secure Boot? PIN?
TPM - nicht benutzt und daher auch keine PIN dafür. Hinsichtlich Secure Boot sind bei der Installation und danach keine Änderungen vom Standard gemacht worden. Für den Zugriff auf die BIOS-Einstellungen ist ein Passwort gesetzt, was ich aber nicht als nennenswerten Schutz ansehe.

Zitat von @TwistedAir:
Denkbar ist aber auch eine Manipulation des Startbereichs / Bootloaders der Festplatte. Wann wird denn dieser Bereich gelesen beim Start eines Rechners: schon beim Erkennen / Initialisieren der Festplatte, also schon vor dem Bootmenü (Taste F12)? Oder anders gefragt, kann ich mit dem Start von einer Live-CD verhindern, dass ein manipulierter Startbereich der Festplatte ausgeführt wird?
Diese Vorgehensweise sollte ausreichen - https://de.wikipedia.org/wiki/Booten
Das klingt schon einmal gut!
Wenn ich auf diesem Weg eine Manipulation des Startbereichs der Festplatte umgehen kann, dann müsste es doch funktionieren, von der Live-CD aus auf die verschlüsselten Partitionen zugreifen und etwa noch benötigte Dateien auf einen Remotedatenträger kopieren zu können, ohne eine etwaige Manipulation mitzuschleppen? Woran sollte ich in diesem Zusammenhang vorsorglich noch denken?

Amalia
Member: Amalia
Amalia Feb 19, 2024 updated at 22:05:02 (UTC)
Goto Top
Zitat von @11078840001:
Das verlinkte Gerät würde doch erfordern, den BIOS-Chip entnehmen zu können, oder?
Nöp. Was hast du an "InCircuit" nicht verstanden?
Die Nachfrage resultierte aus der Produktabbildung des Links. Dann werde ich mir das noch einmal genauer anschauen müssen.

Zitat von @Garrix:
Genau das ist jetzt die Frage, wie ich das dennoch prüfen könnte. Anders gefragt: Wenn ich den gesamten BIOS-Speichers auslesen / sichern / extern speichern könnte, müsste ich doch diese Sicherung mit der originalen Firmware vergleichen können?
Reden wir von einem OSS Bios? Sonst viel Spaß beim Reverse Engineeren um da überhaupt hin zu kommen... Wenns keinen Export gibt was eher seltener ist.
Ich würde denken, dass es kein OSS BIOS ist. Es ist ein älteres Lifebook.

Wenn es keine Exportfunktion gibt, dann ist es doch eher nicht möglich, einen Vergleichshash zu erstellen, um später eine Manipulation des BIOS prüfen zu können, oder?

Amalia
Member: Vision2015
Vision2015 Feb 20, 2024 at 06:46:58 (UTC)
Goto Top
Zitat von @Amalia:

Zeitfenster: Wenn ich für ein Rechenbeispiel die Passwortlänge x nehme und nur auf Groß-/Kleinbuchstaben und Zahlen abstelle: 62^x Kombinationen. Wenn ich jetzt beispielhaft unterstellen würde, ein einzelner Ausführungstask würde mit jedem Takt bei 5 GHz eine Kombination vollständig ausprobieren können (in Wirklichkeit eher eine Vielzahl von Takten), ist zwanglos hochrechenbar, was rein theoretisch bei y solcher Ausführungstasks (Kerne / GPUs pro Node mal Anzahl Nodes) in der Abwesenheitszeit maximal durchprobiert worden sein könnten. Unter diesen Maßgaben würde weniger als ein Tag (= 86.400 Sekunden) genügen, um x=8 vollständig zu erledigen (y=1). Für x=9 sind 31,3 Tage und für x=10 schon 1.942,8 Tage erforderlich. Jetzt käme es auf die Größe von y an. Ein y=10.000 könnte allenfalls ein x=10 an einem Tag bewältigen (x=11 -> 12,05 Tage; x=12 -> 746,82 Tage). Ist y=10.000 realistisch? In 746,82 Tagen könnten bei x=14 (/ 15) gerade einmal 0,026 (/ 0,00042) Prozent der möglichen Kombinationen durchprobiert werden.
Bei unbekannter Passwortlänge und erst recht bei der Hinzunahme von (unbekannten) Sonderzeichen vervielfältigt sich das alles nochmals deutlich. Und selbst dann, wenn eine Kopie der Festplatte gezogen wurde und die Ausprobiererei weitergehen sollte, wird in absehbarer Zeit kein Treffer zu landen sein - von einem mehr oder weniger Zufallstreffer einmal abgesehen. Die reale Abwesenheitszeit ist geringer als 746,82 Tage.

also manchmal kommt man sich ziemlich verarscht vor face-sad
du bist scheinbar sehr intelligent, musst aber noch lernen einfache Fragen zu beantworten!

Wenn ich auf diesem Weg eine Manipulation des Startbereichs der Festplatte umgehen kann, dann müsste es doch funktionieren, von der Live-CD aus auf die verschlüsselten Partitionen zugreifen und etwa noch benötigte Dateien auf einen Remotedatenträger kopieren zu können, ohne eine etwaige Manipulation mitzuschleppen?
da hast du grundsätlich mit recht, der Weg ist möglich, wo ist den LUKS Passwort oder eine Schlüsseldatei?
ich weis von systemen die das richtige LUKS Passwort ausgespuckt haben nach 2 1/2 Tagen... deswegen meine frage.
und nein, mehr kann ich dazu nicht schreiben Forumsregeln!
aber du bist ja nen schlaues Mädel, Tante Google fürht dich da auf den richtigen weg!

Frank
Member: Nils02
Nils02 Feb 20, 2024 at 09:26:16 (UTC)
Goto Top
Hallo,

ohne Informationen, wer denn Zugang zu deinem Notebook gehabt haben könnte und mit welcher Motivation kann man hier meiner Meinung nach das Risiko nicht vernünftig einschätzen.

Was ist denn überhaupt mit deinem Notebook passiert? Das wurde mir bislang auch weiterhin nicht wirklich klar.

Manipulationen am UEFI BIOS sind zweifelsfrei möglich, jedoch ist hierfür sehr viel Expertise und Zeit erforderlich.

Den Bootloader oder das System zu manipulieren, ist da deutlich leichter. Hier kann man eventuell mit einer Live-Umgebung nachschauen, ob etwas auffällig ist.

Die mathematische Wahrscheinlichkeit ein PW zu knacken ist ein Anhaltspunkt, die Möglichkeit, dass dein Passwort bekannt ist oder es eine uns unbekannte Schwachstelle gibt, besteht natürlich auch.
Ebenfalls kann beim Brutforcen auch der zweite Versuch bereits richtig sein, auch wenn die Wahrscheinlichkeit gegen null gehen dürfte.


LG
Member: Amalia
Amalia Feb 20, 2024 at 10:30:48 (UTC)
Goto Top
Zitat von @Vision2015:
also manchmal kommt man sich ziemlich verarscht vor face-sad
Lieber Frank, das war meinerseits gar nicht gewollt und das tut mir aufrichtig leid. Ich war davon ausgegangen, dass ich deine Frage nach dem Zeitfenster und der Verschlüsselung schon beantwortet habe, wenngleich ich weder die genaue Tageszahl noch die genaue Länge des Passworts benannt habe. Käme es denn auf die genaue Benennung dieser beiden Werte an? Es geht mir doch gar nicht darum, ob mein Passwort genackt worden sein könnte. Aufgrund der benötigten Ressourcen schließe ich das ruhigen Gewissens aus, sofern eben keine Abkürzung benutzt oder ein Zufallstreffer gelandet worden sein sollte. Und warum ich das ausschließe, habe näher dargestellt, weil das bestimmt sofort nachgefragt worden wäre, wie ich dazu käme. Angenommen hatte ich außerdem, dass es für die heutigen Verhältnisse anerkannt ist, dass Passwörter unter 16 nicht hinreichend sicher sind. Jedenfalls scheint @Nils02 mich insgesamt dahin verstanden zu haben.

Wenn ich auf diesem Weg eine Manipulation des Startbereichs der Festplatte umgehen kann, dann müsste es doch funktionieren, von der Live-CD aus auf die verschlüsselten Partitionen zugreifen und etwa noch benötigte Dateien auf einen Remotedatenträger kopieren zu können, ohne eine etwaige Manipulation mitzuschleppen?
da hast du grundsätlich mit recht, der Weg ist möglich, wo ist den LUKS Passwort oder eine Schlüsseldatei?
Das Passwort befindet sich an zwei Orten: der von LUKS notwendigerweise auf der Festplatte abgelegte Hashwert und in meinem Kopf.

ich weis von systemen die das richtige LUKS Passwort ausgespuckt haben nach 2 1/2 Tagen... deswegen meine frage.
War das dann auch ein sicheres Passwort? Falls ja, was hat das dennoch ermöglicht? Abkürzung? Zufallstreffer?

Im Übrigen geht es mir nicht um mein eigenes Passwort. Mir geht es darum, wie ich wegen des erfolglosen Passworterratens vorgenommene Manipulationen erkennen und gegebenenfalls leerlaufen lassen kann, ohne deren Existenz / Wirkung zu persistieren.

und nein, mehr kann ich dazu nicht schreiben Forumsregeln!
Deswegen dürften doch die Forumsregeln von meiner Fragestellung gar nicht berührt sein.
Wo könnte eine Manipulation gespeichert sein? In Betracht kommen doch nur das BIOS und die Festplatte, oder? Wenn es einen weiteren Ort gäbe, müsste dieser doch persistent beschreibbar sein? Welche weitere Hardwarekomponente bei einem Notebook würde dafür in Betracht kommen? Netzwerk-/Bluetooth-/GSM-Modul? Könnte das dann sinnvoll genutzt werden? Welcher Aufwand wäre dafür erforderlich, insbesondere im Vergleich zur Festplatte?
Inwieweit tangieren diese Fragen, die mein Passwort und dessen Entschlüsselung völlig außen vor lassen, die Forumsregeln?

Wie kann ich diese Manipulation erkennen?
Beim BIOS im Prinzip doch nur, wenn das BIOS selbst nicht aktiv beteiligt ist (=offline), wozu ich das verlinkte Equipment oder so bräuchte. Weil, wenn ich es richtige verstehe, beim Aufspielen einer neuen Firmware entweder über eine entsprechende Funktion in den BIOS-Einstellungen oder über ein DOS-Programm etc. letztlich doch immer das BIOS aktiv beteiligt wäre, oder? So könnte sich die Manipulation vor einem Entfernen schützen.
Verstößt der Hinweis auf das Equipment für einen Offline-Zugriff gegen die Forumsregeln? Verstößt mein Wunsch, eine von mir nicht autorisierte und somit wohl illegale Manipulation zu finden und restlos zu entfernen, gegen die Forumsregeln?

Bei der verschlüsselten Festplatte kommt es darauf an, ob eine etwaige Manipulation beim Zugriff auf die Festplatte aktiviert wird. Beim Booten von dieser Festplatte halte ich das für gegeben. Ansonsten können wegen der Verschlüsselung die gespeicherten Daten eigentlich nicht manipuliert sein, was doch nur ginge, wenn das Verschlüsselungspasswort bekannt wäre, oder?
Berührt die Frage, ob der Zugriff von einer Live-CD den aktiven Bereich der Festplatte beziehungsweise von mir nicht autorisierte Manipulationen unberührt lässt, die Forumsregeln?

Zitat von @Nils02:
Manipulationen am UEFI BIOS sind zweifelsfrei möglich, jedoch ist hierfür sehr viel Expertise und Zeit erforderlich.
Nach der Erörterung hier würde ich dazu tendieren, dass im Vergleich zur Leichtigkeit der Manipulation der Festplatte, die zudem weniger bis gar nicht von der speziellen Hardware des jeweiligen Notebooks/Rechners abhängt, eine Manipulation des BIOS eher weniger wahrscheinlich ist. Sofern die Firmware nicht schon präpariert vorliegt, müsste diese erst erstellt werden, was wiederum das von @Garrix erwähnte Reverse Engineering erfordern würde.

Den Bootloader oder das System zu manipulieren, ist da deutlich leichter. Hier kann man eventuell mit einer Live-Umgebung nachschauen, ob etwas auffällig ist.
Was wäre ein geeignetes Tool für eine solche Untersuchung?

Amalia
Member: TwistedAir
TwistedAir Feb 20, 2024 at 10:53:16 (UTC)
Goto Top
Hallo Amalia,

du scheinst ja echt arge Bedenken bzgl. deines Notebooks zu haben. Wenn dir die aufgezeigten Maßnahmen nicht ausreichend sicher erscheinen, solltest du erwägen die nicht vertrauenswürdige Hardware zu vernichten. Damit die Daten bestehen bleiben, hast du zwei Möglichkeiten:

  1. Bisheriges Notebook schreddern und Daten aus dem Backup auf neue Hardware einspielen. Wenn kein Backup vorhanden
  2. Festplatte ausbauen und Notebook schreddern. Festplatte als USB-Gerät hinzufügen (nicht davon booten!) und Daten auf neues Notebook einspielen.

Vorgang 1 wäre zu bevorzugen, da bei 2 die theoretische Möglichkeit besteht, dass die Firmware der Festplatte manipuliert wurde und somit die Manipulation mit ins neue System wandert.

Gruß
TA
Member: Amalia
Amalia Feb 20, 2024 at 12:19:09 (UTC)
Goto Top
Zitat von @TwistedAir:
du scheinst ja echt arge Bedenken bzgl. deines Notebooks zu haben.
Ich würde es nicht unbedingt als "arg" bezeichnen, sondern ich nehme die Situation hinreichend ernst. Vielmehr noch glaube ich, dass es reine Sorgfalt ist zu überlegen, in welchem Zustand sich ein Notebook befindet, das in fremden Händen war. Nur mit dem richtigen Problembewusstsein kann ich mich angemessen verhalten. Dabei geht es natürlich zugleich um die Handlungsptionen, die mir zur Verfügung stehen.

Auch wenn ich eine gewisse Vorstellung von der Risikolage habe, so ist mir dennoch nicht alles abschließend klar / bekannt. Auf das Schließen dieser Lücken zielen meine Fragen ab. Und die bisherige Diskussion war für mich bereits ein gutes Stück hilfreich, um mein schrittweises Vorgehen zu planen.

Wenn dir die aufgezeigten Maßnahmen nicht ausreichend sicher erscheinen, solltest du erwägen die nicht vertrauenswürdige Hardware zu vernichten.
Das ist für mich die ultima ratio. Zuvor möchte ich aber abklären, ob etwaige Manipulationen beseitigt werden können, so dass bei Risikoabwägung der letzte Schritt nicht gegangen werden muss. Das würde ich durchaus bevorzugen.

Vorgang 1 wäre zu bevorzugen, da bei 2 die theoretische Möglichkeit besteht, dass die Firmware der Festplatte manipuliert wurde und somit die Manipulation mit ins neue System wandert.
An diese Manipulationsmöglichkeit hatte ich noch gar nicht gedacht und das muss ich mir ersteinmal durch den Kopf gehen lassen.

# Festplatte ausbauen und Notebook schreddern. Festplatte als USB-Gerät hinzufügen (nicht davon booten!) und Daten auf neues Notebook einspielen.
Somit wäre eine meiner Hauptfragen beinahe geklärt. Zu klären ist für mich nur noch, ob der Bereich, in welchem LUKS die Schlüsseldaten etc. ablegt, derart manipuliert werden kann, dass beim Zugriff darauf böswilliger Code ausgeführt wird.

Insgesamt allen Diskutanten an dieser Stelle ein erstes Dankeschön für den bisherigen Input.

Amalia
Mitglied: 11078840001
11078840001 Feb 20, 2024 updated at 12:51:44 (UTC)
Goto Top
Was gibt's bei dir zu holen? Die geheimen Kochrezepte von Tim Mälzer 🤪? Aufwand Nutzen Abwägung spielt auch bei Angreifern eine Rolle.
As always for the paranoids... Good luck my dear.
Member: Amalia
Amalia Feb 20, 2024 at 15:21:44 (UTC)
Goto Top
Zitat von @11078840001:
Was gibt's bei dir zu holen? Die geheimen Kochrezepte von Tim Mälzer 🤪?
Die geheimnisvolle Formel für unvergängliche Schönheit und ewige Jugend! Damit lässt sich richtig Kohle machen bis zum Ersticken! face-smile

Aufwand Nutzen Abwägung spielt auch bei Angreifern eine Rolle.
Nach der bisherigen Diskussion würde ich deswegen das BIOS und die Festplattenfirmware eher als nicht manipuliert bewerten. Die Manipulation der Festplatte hingegen erscheint mir vergleichsweise als Minutenangelegenheit und daher ohne nennenswerten Aufwand machbar. Denn die Frage ist ja zugleich, wie werde ich aus der Sicht des Angreifers eingeschätzt: als Lieschen Müller? Allein die Verwendung einer (Standard-)Festplattenverschlüsselung hat ja noch gar nichts zu sagen.

??? Ich bin verwirrt! Meinst Du, ein 20-kg-Beutel dieses Zeugs neben das Notebook gestellt ist so furchteinflösend, dass ungebetene Manipulationen von selbst das Weite suchen 🤪? Das wäre geil - lol!

Amalia
Member: Vision2015
Vision2015 Feb 20, 2024 at 17:27:34 (UTC)
Goto Top
Moin...

??? Ich bin verwirrt! Meinst Du, ein 20-kg-Beutel dieses Zeugs neben das Notebook gestellt ist so furchteinflösend, dass ungebetene Manipulationen von selbst das Weite suchen 🤪? Das wäre geil - lol!
nee, nich daneben, sondern drauf... und anzünden!
ungebetene Manipulationen sind dann sicher wech!
Frank
Member: Amalia
Amalia Feb 20, 2024 at 17:35:34 (UTC)
Goto Top
Zitat von @Amalia:
Zitat von @11078840001:
Das verlinkte Gerät würde doch erfordern, den BIOS-Chip entnehmen zu können, oder?
Nöp. Was hast du an "InCircuit" nicht verstanden?
Die Nachfrage resultierte aus der Produktabbildung des Links. Dann werde ich mir das noch einmal genauer anschauen müssen.
Gesagt getan. In den nächsten Tagen werde ich das Notebook öffnen, weil ich ohnehin den erstmaligen Start ohne die Festplatte durchführen möchte. Dabei kann ich schauen, ob ich den BIOS-Chip finde und was das für einer ist. In Abhängigkeit davon werde ich nach einem kompatiblen Programmer Ausschau halten, falls der verlinkte das nicht sein sollte.

@11078840001: Hast Du bereits Erfahrung mit solchen Programmern?

Daneben werde ich mich noch zu den Themen GPT-Partitionen, LUKS-Header und EFI-Bootpartition näher einlesen, um besser zu verstehen, was und wo etwas auf der verschlüsselten Festplatte manipuliert sein könnte sowie wo dabei Schadcode zu suchen wäre.

Amalia
Member: Amalia
Amalia Feb 20, 2024 at 17:37:10 (UTC)
Goto Top
Zitat von @Vision2015:
nee, nich daneben, sondern drauf... und anzünden!
ungebetene Manipulationen sind dann sicher wech!
Du bist aber schon ein kleiner "Brandteufel" face-smile

Amalia
Member: Vision2015
Vision2015 Feb 20, 2024 at 17:41:31 (UTC)
Goto Top
Moin..
In den nächsten Tagen werde ich das Notebook öffnen, weil ich ohnehin den erstmaligen Start ohne die Festplatte durchführen möchte. Dabei kann ich schauen, ob ich den BIOS-Chip finde und was das für einer ist. In Abhängigkeit davon werde ich nach einem kompatiblen Programmer Ausschau halten, falls der verlinkte das nicht sein sollte.
wenn du und endlich mal den genauen Typ des Notebooks schreiben würdest, könnten wir dir besser helfen!
auch was das Bios angeht.... die frage würde jetzt schon öfters gestellt, warum so ein geheimnis um ein blödes Notebook.

Frank
Member: CypH3r-LE
CypH3r-LE Feb 22, 2024 at 22:49:22 (UTC)
Goto Top
Servus,

#offtoppic#
Ich hab mir den jetzt den gesamten Thread reingehämmert und komme einfach nicht an der Frage:

Warum gebe ich mein "ewige-Jugend-Rezept" Notebook in Hände, denen ich nicht (also wirklich nicht, also überhaupt nicht, auf gar keinen Fall) vertraue?

vorbei.


Ich möchte auf keinen Fall den Troll spielen, aber hier werden Antworten hinterfragt, welche ich evtl. stellen würde wenn ich Angst davor hätte, dabei erwischt zu werden, eine Regierung zu stürzen.
#end offtoppic#

am Rande
Member: Amalia
Amalia Feb 23, 2024 at 11:56:05 (UTC)
Goto Top
@CypH3r-LE:
An (unsachlichen) Spekulationen werde ich mich nicht beteiligen!

Es sieht so aus, dass Du beispielsweise einem Geistlichen, dem es nicht erlaubt ist, die von einem "betreuten Schaf" erhaltenen vertraulichen Informationen anderen zu verraten, und der solche Pflichten sehr ernst nimmt und treu erfüllt, unterstellst, er sei schon wegen seiner treuen Pflichterfüllung ein Umstürzler. Jetzt fehlen nur noch die üblichen diskreditierenden Schlagworte ... Mein dringender Rat: Überprüfe dringend Deinen Medienkonsum und das, was Dir dabei in den Schädel gehämmert wird.

Im Übrigen ist es für mich völlig schnuppe, wie (m)ein Notebook in fremde Hände gelangt sein könnte, wenn es um den vernünftigen Umgang mit dem Notebook nach dessen Rückkehr geht.

Amalia
Member: BOOTSTRAP
BOOTSTRAP Feb 23, 2024 at 12:02:08 (UTC)
Goto Top
Ahoy,

gerade erst registriert, aber mitgelesen habe ich über die Jahre immer mal wieder. Von genialen Tips, die ich selbst noch nicht kannte, bis hin zu "guter Unterhaltung", war immer alles irgendwie dabei. face-smile

Es soll jetzt also in keinster Weise abwertend klingen, aber es ist gelegentlich einfach "faszinierend", was hier manchmal für Themen losgetreten werden. Und wie lange dann versucht wird, detailreich zu antworten und möglichst lange höflich zu bleiben, alles bis ins kleinste Detail zu hinterfragen, bis endlich ein paar sarkastische und/oder leicht zynisch angehauchte Kommentare das Ganze ablösen. (was natürlich auch nicht immer die feine englische Art ist)

Von "Ich soll einen internationalen Konzern nächsten Monat IT-mäßig ausstatten. Worauf muss ich denn eigentlich achten?" bis hin zu diesem "geheimnisvollen Laptop" bin ich manchmal einfach wirklich vom Glauben abgefallen. Auch wie lange solche Threads am Leben bleiben. Aber dieser Thread setzt dem ganzen tatsächlich mal wieder die Krone auf. Alter Verwalter!

Ich wollte mir einen Kommentar eigentlich verkneifen, aber wtf?! Das ist unmöglich! :D


"Mein Notebook ist wieder bei mir zurück"

"BIOS manipuliert?"

"Es war nämlich ein fremder Profi am Werk!"

"Wie kann ich es prüfen?"

Welcher Laptop? Welches BIOS? Ist doch egal!
"Eine Manipulation des Betriebssystems möchte ich vorerst ausschließen"
Wenn, dann MUSS es das BIOS sein. Macht Sinn...

Und was dann? Schon mal mit den infiltrierten UEFI Systemen bei lenovo/hp auseinandergesetzt?
Mit bloßem Auge und ohne exploded-view PDFs nach zusätzlich aufgelöteten Bausteinen schauen? Viel Erfolg...

Amalia schreibt selbstsicher das Debian und LUKS zum Einsatz kommen, das der Inhalt der Festplatte somit verschlüsselt wäre und Dinge beinhalten würde wie: Die geheimnisvolle Formel für unvergängliche Schönheit und ewige Jugend! Damit lässt sich richtig Kohle machen bis zum Ersticken!

Begriffe wie Influencer und Coaches schossen mir zuerst in den Kopf. Und ich musste an 123 TV denken.
*BADUM TSSSS* Aber ganz sicher war das nur hochprofessioneller Sarkasmus, der von dem eigentlichen Problem ablenken soll?

Sie glaubt also nicht das die Festplatte manipuliert wurde. Schwadroniert ausschliesslich über das BIOS.
Lange Berechnungen über "Passwortentschlüsselungen" werden aufgeführt.

Der Laptop (und sein Inhalt) sind angeblich überlebenswichtig. Von einem Backup wird erst gar nicht gesprochen. Amalia weicht Fragen "gekonnt" aus.

@Amalia
Nutzt Du eigentlich einen Online Übersetzer? Bitte nicht persönlich nehmen, aber Du klingst wie ChatGPT.


Ich bin auf jeden Fall gespannt was Amalia in Zukunft noch alles an faszinierenden Zusatzinfos raushauen wird.

Ob wir jemals das Laptop Modell erfahren werden?
Oder nur das BIOS-Chip-Modell?
Von dem Sie dann Fotos hochladen wird und bereits Kabel angelötet hat? (Pinouts beachten!)
Ob plötzlich aus dem Nichts eine Datensicherung auftauchen wird?
Ob sie jemals zuvor ein UEFI-BIOS Update unter Debian auf diesem geheimnissvollen Laptop ausgeführt hat?
Ob sie das "gedumpte" BIOS dann vielleicht sogar mit uns teilen wird? x'D
Und wer mag der ominöse fremde Profi sein?

Sorry, ich kann nicht mehr, bis hierhin und nicht weiter. Und es täte mir selbstverständlich unendlich Leid, wenn hier wirklich ein verzweifelter Geheimagent mit Googleübersetzer um Hilfe bettelt. ;D Oder der verzweifelte 123-TV-CEO-Coach-Influencer, der das neue Parfüm-Rezept auf Grund von einem vergeigten BIOS Updates versemmelt hat...what the fuck?! Ernsthaft? Dennoch, besser als jedes Katzenvideo! Nächster Teil bitte! Und danke schon mal für die Unterhaltung!
Member: Amalia
Amalia Feb 23, 2024 at 15:08:25 (UTC)
Goto Top
Hmm: @BOOTSTRAP scheint mit
bis endlich ein paar sarkastische und/oder leicht zynisch angehauchte Kommentare das Ganze ablösen. (was natürlich auch nicht immer die feine englische Art ist)
zu kritisieren, dass es immer wieder in Diskussionsrunden einen "Witzbold" gibt, der das Beibehalten einer sachlichen Diskussion und eines guten Benehmens zerstört. Eigentlich beklagenswert. Indes sieht das @BOOTSTRAP ganz anders, weil er das als amüsanten Unterhaltungsspaß auffasst, wie er uns wissen lässt. Naja, wenn ein solcher "Witzbold" bisher fehlte, hat sich ein solcher wohl gefunden ...

Wie @CypH3r-LE leidet @BOOTSTRAP daneben daran, etwas hineinzuinterpretieren, was von mir nicht behauptet wurde. Beispiel:
  • Diskussionsverlauf
Zitat von @Amalia:
Zitat von @TwistedAir:
welche Fähigkeiten haben sie?
Fähigkeiten: Profi ist mindestens zu unterstellen.
  • Aus (m)einer Annahme (= Synonym für Unterstellen an dieser Stelle) macht @BOOTSTRAP unverständig
"Es war nämlich ein fremder Profi am Werk!"
also eine Aussage, bei der er durch Anführungszeichen sogar ein Zitat aus dem bisherigen Diskussionsverlauf suggeriert. Die Nuancen der deutschen Sprache und / oder Grundprinzipien eines sachlichen Herangehens an ein Problem scheinen ihm nicht ganz geläufig zu sein. Möglicherweise spürt er das auch, weshalb er sogleich unfundiert von ChatGPT fantasiert. Über "Online Übersetzer" will ich da gar nicht erst nachdenken.

@aqui mahnt immer wieder: lesen und verstehen!

Also zwei Dinge: (1.) Unterschätze nie deinen Feind! Getreu diesem Motto ist meine Aussage zu den Fähigkeiten absolut richtig und zwingend. Ob es wirklich ein Profi war oder nicht, ist (für mich) schnuppe. (2.) Immer schön ein normaldenkender Mensch bleiben und nicht zu viel Hollywood-Blödsinn und anderen Medienunfug reinziehen. Dann klappt das auch mit einem nüchternen Blick auf die Dinge.

Zitat von @CypH3r-LE:
Mehr muss nicht gesagt werden
Warum eigentlich nicht? Lass dich nicht betteln und teile deine fruchtbaren Sachbeiträge mit uns.

Amalia

PS: ChatGPT - ob so ein Ding ebenso einen guten Deutschlehrer hat(te)?
Member: CypH3r-LE
CypH3r-LE Feb 23, 2024 at 15:56:10 (UTC)
Goto Top
Zitat von @Amalia:

Zitat von @CypH3r-LE:
Mehr muss nicht gesagt werden
Warum eigentlich nicht? Lass dich nicht betteln und teile deine fruchtbaren Sachbeiträge mit uns.

Servus,

Nein alles gut.
Du wirst deine Gründe haben, weswegen du dir solche Gedanken machst und das wird selbstverständlich akzeptiert.

Ich denke einfach nur, dass wenn ein, an der Diskussion beteiligter Kollege, tatsächlich einen Rechner zur Reparatur gibt, er sich wesentlich weniger Sorgen um BIOS Injektions macht als du.

Ich wünsche dir alles Glück der Welt, dass es dir und deinem Notebook gut geht.
(sollte das etwas sarkastisch rüber gekommen sein, tut es mir außerordentlich leid)
Member: Amalia
Amalia Feb 23, 2024 at 18:58:07 (UTC)
Goto Top
Zitat von @CypH3r-LE:
Ich denke einfach nur, dass wenn ein, an der Diskussion beteiligter Kollege, tatsächlich einen Rechner zur Reparatur gibt, er sich wesentlich weniger Sorgen um BIOS Injektions macht als du.
Du hattest bei deinem ersten Post mitgeteilt, dass du bis dahin den gesamten Diskussionsverlauf gelesen hättest. Dann ist dir bestimmt aufgefallen, dass die Frage der BIOS-Manipulation eigentlich (1.) im Groben ausdiskutiert ist und (2.) sich längst davon weg und hin zur verschlüsselten Festplatte entwickelt hat. Oder habe ich irgendetwas nicht mitbekommen?
Über diese sachliche Entwicklung bin ich nicht unglücklich, weil ich die Manipulation der verschlüsselten Festplatte ursprünglich als zweite Frage einstellen wollte und weil es nun gleich hier mit abgehandelt wird. Aber auch das ist schon ziemlich fortgeschritten in der Diskussion.

Ich verstehe ehrlich gesagt nicht, warum ständig etwas hineininterpretiert wird, wofür es keine Verlassung gibt. Denn ich mache mir keine überzogenen Sorgen, sondern ich gehe schlicht und ergreifend einfach nur systematisch der Frage nach, was könnte manipuliert sein und wie kann ich das sinnvoll prüfen, um eine akzeptable Gewissheit zu erlangen, oder wie kann ich die Wirksamkeit von Manipulationen effektiv verhindern. Seien wir doch ganz ehrlich: So viele technische Ansatzpunkte für Angriffsvektoren bei einem physischen Zugriff auf die Hardware (bei verschlüsselter Festplatte) gibt es nun auch wieder nicht. Diese einfach schrittweise zu durchdenken/-spielen, verstehe ich als pure Sorgfalt - nicht mehr und nicht weniger. Also muss irgendwo der rote Faden aufgenommen werden: diesmal war das BIOS in der Poolposition. Nachfolgende Startpositionen belegt die Festplatte und so weiter.

Zur nochmaligen Klarstellung - @BOOTSTRAP aufgepasst, jetzt steigt möglicherweise wieder der Spannungsbogen - für mich ist das Notebook vorerst schlicht so etwas wie Aussatz/Gift/Pest/Cholera - bezeichnet es wie ihr lustig seid. Wie gesagt ist das Notebook bisher noch nicht wieder eingeschaltet worden. Ich gehe ganz entspannt an die Sache heran. Es geht mir als Ergebnis des Sorgfaltsprogramms insgesamt um die Beantwortung von zwei simplen Fragen: (1.) Ist es möglich, Daten von der Festplatte zu entnehmen, ohne sich eine Laus im Pelz mitzunehmen, und wie muss dazu vorgegangen werden und wo lauern Fallstricke? Ist eine (anschließende) Bereinigung der Festplatte ohne das Verbleiben etwaiger Manipulationen darauf möglich bzw. könnten sich eine Manipulation über eine Bereinigung hinwegretten und wie kann das verhindert werden? Was ein Nein in Bezug auf die Bereinigung für die Festplatte bedeutet, muss ich nicht weiter ausführen. (2.) Kann eine Manipulation sonstiger Teile der Hardware erkannt und gegebenenfalls gesäubert werden (Eigentlich dieselbe Frage wie bei der Festplatte, nur eben in Bezug auf andere Hardwareteile.)? Falls nein, werde ich symbolisch zum kleinen Brandteufel (s.o.) werden, denn einen ungebetenen blinden Passagier aka Laus im Pelz möchte ich nicht dulden - das führt zum sofortigen Liebesentzug und zur prompten Scheidung.
Wenn ich mit dem Sorgfaltsprogramm fertig bin, werde ich mir daraus einen Operationsmodus für die Zukunft und ähnlich gestrickte Situationen zurechtlegen. Ergebnis: noch mehr Gelassenheit!

Im Übrigen halte ich bestimmte Angriffsvektoren für unbeachtlich, weil das Angriffsziel keine Relevanz hat. So behandelt der von @CypH3r-LE verlinkte Artikel den Angriff auf ein TPM. Das ist aber völlig sinnlos, wenn ein TPM selbst bei Vorhandensein gar nicht benutzt wird (s.o.) - der Angreifer weiß das natürlich noch nicht und macht daher ganz großen, aber erfolglosen Zinnober. Effektiv bleiben dann eigentlich nur noch: (a) Keylocker bezüglich Passwort oder (b) Einklinken in die Kommunikation mit der Festplatte und nach Hause telefonierenden Staubsauger spielen oder (c) ein auf Trojanisches Pferd zur Schleusenöffnung machen. Allem ist aber gemein, dass es immer meiner Mitwirkung bedarf, um wirksam zu werden. Diese Mitwirkung will ich effektiv verweigern. Und da sind wir wie von selbst bei meinen systematisch zu klärenden Fragen zu möglichen Manipulationen etc. - was ist denkbar / erwartbar / erkennbar / bekämpfbar ... Für meine Begriffe recht simpel direkt vor der Nase liegend.

Amalia
Member: BOOTSTRAP
BOOTSTRAP Feb 23, 2024 at 22:49:25 (UTC)
Goto Top
Heiliger Strohsack!

Und wieder holst Du so unnötig weit aus, beantwortest weiterhin nicht die einfachsten Fragen aus den ersten Posts. z.B. die nach dem Laptop Modell. So wie du "antwortest", werden wir dieses Problem hier niemals lösen!

Aber den BIOS Chip willst du uns "die Tage" mal nennen, wenn du das Gerät denn mal aufschrauben solltest? wtf Amalia!?
Siehst Du denn wirklich nicht wie das Ganze hier auf andere wirken könnte?!

Handelt es sich denn um einen 4000 Euro Laptop?

Oder ein 300 Euro Gerät? Oder magst du das auch nicht beantworten?

Hast du (k)einen Ersatz-Laptop? Kleinanzeigen?

Wenn Du so sicher bist das die Festplatte "eher nicht" das Problem behinhaltet, warum klonst du diese nicht mal und steckst die Platte dann in ein anderes Gerät? In eine VM? Scheinst dich anscheinend mit Linux auszukennen? Aber wer weiß das schon so genau, außer Dir? Hast du keinen IT-Kumpel? Vermutlich eher nicht.

Oder hast Du Angst das Laptop Modell zu nennen, weil der "fremde Profi" hier mitließt und dann "alles ans Licht kommen könnte"?

Es gibt BIOS/UEFI Malware, die bekommst Du nie wieder raus. Es gibt Tools/Skripte auf der Festplatte, die keiner deiner Virenscanner anzeigen wird. Und wer garantiert dir/uns nochmal, das der "fremde Profi" dein Passwort nicht längst hat?

Die Festplatte hat er vielleicht auch längst geklont und angefangen zu luschern?

Musst du irgendjemandem später Rechenschaft darüber ablegen, ob das BIOS manipuliert wurde?
Willst Du später zur Polizei damit? Zum Staatsschutz? Schmeiss den Laptop doch einfach weg...

Ich schreibe nur noch, weil (für mich) im heutigen Internet immer eine minimale Restchance besteht, das jemand wie du das tatsächlich alles ernst meinst. Aber Hallelujah, das hier ist wirklich hart an der Grenze.


Es gibt hier keine Allroundlösung, besonders dann nicht, wenn du alle Basics gekonnt/absichtlich ignorierst
und dann noch so tust als wären wir hier die Trolle. Eigentlich unfuckingfassbar und ich bereue bereits, das ich überhaupt noch schreibe.

Vielleicht hat ja aber auch jemand bereits einen Kill-USB Stick in deinen Laptop gesteckt. Wer weiß.

Vielleicht platzt auch die Batterie beim Einschalten oder Quecksilberampullen platzen beim Aufschrauben.

Oder das Motherboard wurde bereits komplett getauscht, gegen eins aus einer China Fabrik, mit Mini-Hardware-Keyloggern auf der Platine.

p.s.
Kannst Du garantieren das dein Handy oder sämtliche Deiner Accounts nicht bereits unter der Kontrolle eines anderen sind?

Das Du hier derartig geheimnisvoll tust und einfachste Fragen ignorierst, aber dann jedes Mal megamäßig ausholst, wirkt irgendwie einfach so zwischen trolling und komplett albern.

**Den anderen zuliebe, die weiter gewillt sind hier noch zu helfen, beantworte doch bitte erstmal alle(!) Fragen, in kurzen, knappen Sätzen. Oder schreibe einfach, warum Du diese Fragen eben nicht beanworten willst. Dann darfst Du aber auch keine passenden Lösungen erwarten. Ich bin auf jeden Fall jetzt raus, das hier ist einfach komplett an der Realität vorbei und nicht gesund. Für keinen der Beteiligten.
Member: Amalia
Amalia Feb 24, 2024 updated at 13:59:02 (UTC)
Goto Top
@BOOTSTRAP: Ich habe den Eindruck, dass du mit dem zweiten Teil von @aqui's Mahnung noch nicht ganz warm geworden bist. Denn wie bekloppt müsste ich denn eigentlich sein, eine unter Quarantäne stehende Festplatte aus einem unter Quarantäne stehenden Notebook schnell 'mal in ein anderes Gerät einzubauen? Und dann erst deine Ausführungen zum Virenscanner zeigen mir, dass du noch lange nicht auf der Ebene der Problembetrachtung angekommen bist. Dabei ist diese Ebene während des Diskussionsverlaufes, bevor du hinzugetreten bist, mit sinnvollen und ernsthaften Überlegungen beleuchtet worden.
Im Übrigen: Wer im Glashaus sitzt, sollte nicht mit Steinen werfen! Schau dir lieber die Länge deiner zwei (ersten und bisher einzigen) Kommentare (hier im Forum) an, bevor du dich über andere künstlich echauffierst.

Amalia
Mitglied: 11078840001
11078840001 Feb 24, 2024 updated at 14:29:28 (UTC)
Goto Top
@Amalia ( aka @HansDampf06 ) und wenn du nun noch die schon seit langem offenen Fragen der Beteiligten beantwortest dann sind am Ende alle glücklich. Denn wenn nur von einer Seite Input kommt funktioniert ein Forum nur sehr eingeschränkt.

p.s. Du siehst, Einzeiler im Ursprungspost sind hier nicht gerade optimal, sie bieten einfach zu viel Interpretations-Spielraum welche Diskussionen oftmals aus dem Ruder laufen lassen. Deshalb das nächste mal doch bitte direkt mehr Details in deine Posts packen. Danke!

P.s.2 @aqui hat hier doch rein gar nichts mit dem Thread am Hut.
Member: Amalia
Amalia Feb 24, 2024, updated at Feb 25, 2024 at 18:15:39 (UTC)
Goto Top
Zitat von @11078840001:
@Amalia ( aka @HansDampf06 )
???

P.s. @aquí hat hier doch rein gar nichts mit dem Thread am Hut.
Stimmt, Netzwerke kein Thema. @aqui ist als alter Hase eine Instanz und seine zitierte Mahnung hat immer Gültigkeit.

Amalia
Mitglied: 11078840001
11078840001 Feb 24, 2024 updated at 14:47:35 (UTC)
Goto Top
Das Zitieren von @aqui musst du dir als (alter) Neuling erst noch verdienen. 😉

Und schon wieder keine Fragen beantwortet, ergo, das wird hier wohl dieses Leben nichts mehr ...

Wenn also kein Interesse mehr besteht bitte Thread dann auch dicht machen.
Member: Amalia
Amalia Feb 24, 2024 at 15:42:08 (UTC)
Goto Top
Jungs!
Ihr versteift euch so auf das Notebook-Modell. @11078840001 verlinkte einen Programmer. @TwistedAir wies auf HASH-Werte hin. Wäre ich ein Angreifer, würde ich eine Manipulation des BIOS so vornehmen, dass ein Update der Firmware über CD, USB, Betriebssystem oder BIOS die Manipulation nicht beseitigt. Egal, ob das geht oder nicht, ich unterstelle als worst case schlicht, dass es geht. So bleibt als einziger Weg für die Prüfung der BIOS-Firmware ein passender Programmer. Ein manipuliertes BIOS ist daran nicht aktiv beteiligt - genau das will ich vermeiden. Was ist daran so schwer? Verbauten Chip nachsehen, passenden Programmer besorgen und schauen was damit geht. Gut o.k., vorher im Umfeld des Chips schauen, ob der Programmer überhaupt verwendbar ist. Wenn das so klappt, ist das Notebook-Modell doch schnuppe, oder? Wozu brauche ich das dann noch?
@Garrix wies auf den selten vorhandenen Export hin, wodurch die Benutzung des Programmers eventuell wenig bringen wird. Sollte der verbaute Chip in einer Steckfassung sitzen, würde ich sowieso an einen Austausch denken. Dann muss der neue Chip nur noch beschrieben und eingesetzt werden und alles ist gut! Wozu benötige ich dabei das Notebook-Modell?
Oder ist zum BIOS irgendetwas an mir vorbeigerauscht? Dann erklärt es mir bitte.

Vermutet ihr, ich könnte den Chip vor lauter Leiterbahnen und Elementen nicht finden? Sollte ich zu blöd sein, werde ich euch löchern, ganz bestimmt!

Amalia
Member: Amalia
Amalia Feb 24, 2024 at 19:43:41 (UTC)
Goto Top
Zwischenstand: Notebook so gut wie vollständig zerlegt. Das Innere kenne ich ja durch Lüfter- und Festplattentausch bereits. Nach dem Zustand und einigen weiteren, mir erinnerlichen Besonderheiten würde ich sagen, dass das Gerät nicht geöffnet wurde, um direkt auf die Hardware zuzugreifen oder etwas einzubauen. Etwaige Manipulationen sollten also nur rein über Softwarezugriff (CD, USB etc.) erfolgt sein.

Es ist wirklich spannend, einmal die Bestückung der Hauptplatine genauer anzuschauen.

Amalia
Member: Amalia
Amalia Feb 25, 2024 updated at 21:48:55 (UTC)
Goto Top
@Vision2015, ziemt sich das? Wie passt sowas zu Diskussionsrichtlinien Regel Nr. 1: Netiquette? Bis du als Forumsmitglied nicht verpflichtet, solche frivolen und sexistischen Äußerungen zu unterlassen? Hast du ein persönliches (Männlichkeits-/Frust)Problem, das dich zu frauenfeindlichen Äußerungen bringt?

Was sagen die Moderatoren dazu?

Menschlich enttäuschen mich solche unschönen Aktionen!

Amalia
Member: colinardo
colinardo Feb 25, 2024 updated at 22:09:04 (UTC)
Goto Top
So liebe Leute, ich habe mir das jetzt lange genug ansehen (müssen). Bitte bleibt beim Thema und unterlasst zukünftig unpassende oder auch provozierende Off-Topics, diese landen nun konsequent in der Ablage. Merci!

Gruß @colinardo (Mod)
Member: Bitsqueezer
Bitsqueezer Feb 26, 2024 at 10:37:18 (UTC)
Goto Top
Hallo,

ich enthalte mich mal allen Spekulationen über Sinnhaftigkeiten.

Nur mal so in den Raum gestellt: Abgesehen von Wahrscheinlichkeiten, ein BIOS zu manipulieren, besonders, wenn nicht einmal die Zeit da war, um ein Passwort zu knacken - mal darüber nachgedacht, was für ein Aufwand notwendig wäre, so eine Manipulation durchzuführen?
Wir reden nicht über ein BASIC-Programm, sondern über Maschinencode, zu dem kein passender Sourcecode existiert (jedenfalls sicherlich nicht öffentlich). Hier etwas einzubauen, und sei es nur, eine LED an der Front zum Blinken zu bringen, halte ich schon an sich für extrem schwierig.
Aber dann kommen noch x Versionen hinzu, bei denen mein Patch wahrscheinlich nur bei genau einer davon funktioniert. Dann kommen noch Anpassungen des Herstellers auf das betreffende Rechnermodell hinzu, die beim nächsten Modell vermutlich schon nicht mehr kompatibel sind.
Also wenn ich genau dieses eine BIOS manipulieren will von einem Laptop, den ich nur kurze Zeit in der Hand hatte, wie soll das vonstatten gehen, dessen Code auszulesen, zu disassemblen, die richtigen Einstiegspunkte zu finden, um Manipulationscode einzuschleusen, und diesen dann noch so komplex zu gestalten, daß er sich gegen Überschreiben mit einem anderen BIOS selbst schützt?
Und bei einer noch viel kleineren Firmware von etwa CD-Laufwerken oder Festplatten - ernsthaft?

Was die Verschlüsselung der Festplatte angeht: Also etwa von Bitlocker von Windows ist bekannt, wenn man das Passwort mehrfach falsch eingegeben hat, muß es mit Aktivierungsschlüssel (der jedesmal anders ist) mit Hilfe eines Admins wieder entsperrt werden. Ich weiß nicht, wie das bei Linux ist, aber ich wage mal zu bezweifeln, daß simple "Brute-Force"-Attacken heutige Systeme noch beeindrucken. Im Beispiel nach dem 3. Versuch bereits Ende Gelände.

Ich bin immer für Sicherheit und Verhinderung von Manipulationen, aber man sollte schon eine Angriffswahrscheinlichkeit und Durchführungsmöglichkeit in die Betrachtungen einbeziehen. Die genannten Bedenken haben auch nichts mit dem spezifischen BIOS oder einem bestimmten Laptop- oder Desktop-Modell zu tun.

Aber ich muß echt schmunzeln, wenn ich sehe, daß man gar das Motherboard auf "angelötete Hardware" untersucht. Schon mal SMD-Bauteile gelötet? Das ist verdammt knifflig und sieht 100% anders aus als die werkseitigen Lötstellen. Und jetzt mal darüber nachdenken, wie genau man die verbaute Elektronik kennen muß, um hier auf Hardwareseite etwas (was auch immer) einzubauen, was dann auch noch funktionieren können soll.

Wie bereits vorgeschlagen: Einfach das BIOS flashen, einige Mainboards halten auch eine werksseitige BIOS-Version vor, auf die man zurücksetzen kann, wenn das Flashen mal danebengegangen ist. Das sollte, da ROM, auch nicht manipulierbar sein.
Wenn man aber auf gar nichts vertraut, dann hilft wirklich nur: Schrotten und neu kaufen.

Für mein Empfinden ist es viel wahrscheinlicher, Zugriff auf den Festplatteninhalt zu bekommen und dort etwas zu manipulieren, da bei Terabyte-Festplatten und Gigabyte-RAMs viel einfacher ist, in der Datenmenge etwas (selbst etwas Großes) zu verstecken als in einem sehr begrenzten BIOS.

Übrigens, nur mal am Rande, es heißt "Poleposition" und nicht "Poolposition", und es sind "Keylogger" und nicht "Keylocker", aber zumindest ChatGPT hätte diese Fehler nicht gebracht... ;)

Gruß

Christian
Member: Vision2015
Vision2015 Feb 26, 2024 at 12:16:42 (UTC)
Goto Top
Moin...

Ich weiß nicht, wie das bei Linux ist, aber ich wage mal zu bezweifeln, daß simple "Brute-Force"-Attacken heutige Systeme noch beeindrucken. Im Beispiel nach dem 3. Versuch bereits Ende Gelände.
unter Linux kannst du das selber einstellen, ob es jetzt 3 Versuche sind oder 10000!

Nur mal so in den Raum gestellt: Abgesehen von Wahrscheinlichkeiten, ein BIOS zu manipulieren, besonders, wenn nicht einmal die Zeit da war, um ein Passwort zu knacken
na ja... Bios ist ja schon raus!
Da die Liebe Amalia nicht mal das Notebook-Modell nennen möchte, (warum auch immer) ist es eh fraglich, ob wir eine passende lösung finden.
natürlich gibbet für bestimmte Notebooks Kits, um Geräte zu manipulieren, aber das will die Dame der Frage ja lieber ignorieren... lieber das teil in einzelteile zerlegen, und sinnfreie beurteilungen abgeben!
nehmen wir mal an, der angreifer hat manipulierte ram bausteine eingesetzt, ich sage nur stichwort Rowhammer, und in China gibbet wohl Arbeitsspeicher mit geänderten Chips, wo schadsoftware drin steckt!
was nu?

Frank
Member: FritzB
FritzB Feb 26, 2024 at 12:57:15 (UTC)
Goto Top
Liebe Amalia, kann es sein, dass Du bestimmte, grundlegende, wichtige Informationen hier unter allen Umständen zurückhalten willst?
Oder bist Du eine AI, die die Aufgabe erhalten hat, herauszufinden, wie die Profis hier im Forum damit umgehen?

Ich habe das Gefühl, hier die wichtigsten Informationen zur Beantwortung Deiner Frage nicht erhalten oder nicht verstanden zu haben. Aber zum Glück bin ich ja auch kein echter IT-Profi. Da darf ich vielleicht auch ein bisschen dumm sein ...

Grüße vom ollen FritzB
Mitglied: 11078840001
11078840001 Feb 26, 2024 updated at 13:04:51 (UTC)
Goto Top
Zitat von @FritzB:
Liebe Amalia, kann es sein, dass Du bestimmte, grundlegende, wichtige Informationen hier unter allen Umständen zurückhalten willst?
Das haben wir nun schon x mal abgefrühstückt, wenn sie uns das nicht verraten will hat sie eben Pech gehabt, so just ignore that cat, no input no output.
Member: ultiman
ultiman Feb 26, 2024 at 13:49:41 (UTC)
Goto Top
Moin, was für ein umfangreicher Text hier face-smile
Ich würde booten ins Bios und alles auf default (alternativ BIOS Batterie raus wenn vorhanden) dann von USB booten in den BIOS Flash des Herstellers, das Bios sichern, den HASH Wert des Image mit dem Original des Herstellers vergleichen. Fertig und für Laien machbar.

UND DANN würde ich mir Gedanken machen das es hier zu einfach zu finden wäre und überlegen wo noch im NVRAM Code schlummern könnte. Hier bieten sich noch verstecke in der Grafikkarte und dem / den Netzwerk / Wlan / Bluetooth Controllern an face-smile

@BOOTSTRAP Danke für den wundervollen Text = gute Unterhaltung

habt Spaß
ulti
Member: BOOTSTRAP
BOOTSTRAP Feb 27, 2024 at 06:49:04 (UTC)
Goto Top
Zitat von @Amalia:

Zwischenstand: Notebook so gut wie vollständig zerlegt. Das Innere kenne ich ja durch Lüfter- und Festplattentausch bereits. Nach dem Zustand und einigen weiteren, mir erinnerlichen Besonderheiten würde ich sagen, dass das Gerät nicht geöffnet wurde, um direkt auf die Hardware zuzugreifen oder etwas einzubauen. Etwaige Manipulationen sollten also nur rein über Softwarezugriff (CD, USB etc.) erfolgt sein.

Es ist wirklich spannend, einmal die Bestückung der Hauptplatine genauer anzuschauen.

Amalia


Fassen wir einmal zusammen: face-smile

1.) Amalia, obwohl sie es ausdrücklich niemals eilig hatte, zerlegt nun doch plötzlich Ihr Laptop.
"So gut wie vollständig."

2.) Sie kennt das Innere, den Zustand und andere, erinnerliche Besonderheiten sehr gut, weil Sie Lüfter/Festplatte schon einmal getauscht hat. Sauber!
(Halt Stop! Sollte das, völlig verfrüht versteht sich, eine weiterer Hinweis auf das Alter und den Wert des Laptops sein?! Wir alle wissen ja schliesslich, wie unwahrscheinlich häufig wir selbst Festplatten und Lüfter in unseren Laptops tauschen. Sofern die Garantie erloschen ist, versteht sich.)

3.) Dank fotografischem Gedächtnis, sind also Zustand und andere, erinnerliche Besonderheiten des Laptops, für Amalia ein ziemlich eindeutiges Zeichen dafür, das das Laptop niemals aufgeschraubt wurde, um auf Hardware zuzugreifen bzw. kleine, zusätzliche SMD Technik einzulöten. Hier macht Amalia niemand etwas vor. Erst recht kein fremder Profi!

Fazit nach einem geschulten Blick: Hauptplatine sicher! UEFI sicher! BAM!

Und wir müssen das jetzt natürlich erst einmal alle so glauben!
Denn mehr Infos gibt es von Amalia dazu nicht. Pech gehabt!

Also Case closed?

Moment mal?! Amalia! Ausgebaute Festplatte(n)? Dann hätten wir ja mit Glück sogar Backups?!
Neee, bestimmt alle HDDs Totalschaden! face-sad Nur wie genau kam dann noch mal das "Geheimnis ewigen Lebens" zurück auf das neue Linux mit LUKS?

Ein weiteres, ungelöstes Geheimnis!?

4.) Hat Amalia denn jetzt wenigstens die Bezeichnung des UEFI Bausteins gepostet?
Ach nein, das Teil ist ja jetzt sicher...mein Fehler.


Wer postet auf so eine Weise? Warum postet man auf so eine Weise?
Und wieso zieht man das auch noch so lange durch?
Das lässt wahrlich tief blicken. Sagt auch charakterlich etwas über die Person aus.
(von Schreibweise und Ausdruck mal ganz abgesehen)

Bestimmt interessant in den Foren Logs mal genauer hinzusehen, wer, wann und wie man sich als Benutzer "Amalia" registriert hat. =)

Und während ich mich tatsächlich gut unterhalten fühlte, haben andere Ihre wertvolle Zeit geopfert, um wirklich zu versuchen, hier jemandem zu helfen.

Ich habe Amalia bereits 2x versucht, begründet zu melden.

Bin auf jeden Fall gespannt wie es weitergeht und hoffe das mein Beitrag bestehen bleiben darf.
Member: Amalia
Amalia Feb 28, 2024 updated at 22:51:50 (UTC)
Goto Top
Zitat von @Bitsqueezer:
Ich bin immer für Sicherheit und Verhinderung von Manipulationen, aber man sollte schon eine Angriffswahrscheinlichkeit und Durchführungsmöglichkeit in die Betrachtungen einbeziehen. Die genannten Bedenken haben auch nichts mit dem spezifischen BIOS oder einem bestimmten Laptop- oder Desktop-Modell zu tun.
Das ist mein gedanklicher Startpunkt.

Aber ich muß echt schmunzeln, wenn ich sehe, daß man gar das Motherboard auf "angelötete Hardware" untersucht.
Wer hat das behauptet?
Schon mal SMD-Bauteile gelötet? Das ist verdammt knifflig und sieht 100% anders aus als die werkseitigen Lötstellen. Und jetzt mal darüber nachdenken, wie genau man die verbaute Elektronik kennen muß, um hier auf Hardwareseite etwas (was auch immer) einzubauen, was dann auch noch funktionieren können soll.
Da ein lötender Hardwareeingriff nicht zur Debatte steht, muss ich darüber nicht weiter nachdenken. Aber @Vision2015 weist auf
natürlich gibbet für bestimmte Notebooks Kits, um Geräte zu manipulieren
angreifer hat manipulierte ram bausteine eingesetzt, ich sage nur stichwort Rowhammer, und in China gibbet wohl Arbeitsspeicher mit geänderten Chips, wo schadsoftware drin steckt!
hin und es gibt in einem Notebook nicht nur die Hauptplatine. Bei den kleinen peripheren Platinchen wäre der Austausch gegen ein manipuliertes Teil denkbar. Ich kann das aber nach dem Blick ins Innere für mich ruhigen Herzens ausschließen.

Um die Festplatte ausbauen oder tauschen zu können, muss das Notebook vollständig geöffnet werden. Ist so! Für den Blick auf die andere Seite der Hauptplatine sind es dann nur noch ein paar Schrauben, also nullkommanix.

Nur mal so in den Raum gestellt: Abgesehen von Wahrscheinlichkeiten, ein BIOS zu manipulieren, besonders, wenn nicht einmal die Zeit da war, um ein Passwort zu knacken - mal darüber nachgedacht, was für ein Aufwand notwendig wäre, so eine Manipulation durchzuführen?
Wir reden nicht über ein BASIC-Programm, sondern über Maschinencode, zu dem kein passender Sourcecode existiert (jedenfalls sicherlich nicht öffentlich). Hier etwas einzubauen, und sei es nur, eine LED an der Front zum Blinken zu bringen, halte ich schon an sich für extrem schwierig.
Aber dann kommen noch x Versionen hinzu, bei denen mein Patch wahrscheinlich nur bei genau einer davon funktioniert. Dann kommen noch Anpassungen des Herstellers auf das betreffende Rechnermodell hinzu, die beim nächsten Modell vermutlich schon nicht mehr kompatibel sind.
Das erscheint mir zu kompliziert gedacht, auch wenn deine Gedanken zutreffend sind. Mir reicht es doch aus, den Inhalt des BIOS-Speichers mit der originalen Firmware des Herstellers zu vergleichen, wenn ich den BIOS-Speicher auslesen kann.
Also wenn ich genau dieses eine BIOS manipulieren will von einem Laptop, den ich nur kurze Zeit in der Hand hatte, wie soll das vonstatten gehen, dessen Code auszulesen, zu disassemblen, die richtigen Einstiegspunkte zu finden, um Manipulationscode einzuschleusen, und diesen dann noch so komplex zu gestalten, daß er sich gegen Überschreiben mit einem anderen BIOS selbst schützt?
Wie der oben genannte Hinweis von @visio2015 zeigt, könnte es die manipulierte Firmware im Internet geben, z.B. im Darknet. Ich setzte aber später an: ich unterstelle einfach die Existenz, den kurzfristigen Erwerb und die Verwendung einer manipulierten Firmware. Also muss ich nur den BIOS-Speicher prüfen. Welchen Aufwand der Fremde getrieben hat, interessiert mich eigentlich nicht weiter. Selbst Zeit, Können usw. alles zugestanden. Nur bei einem zweifelhaften Prüfungsergebnis werde ich dem weiter nachdenken müssen. Für mich ist nur eins wichtig: Wenn ich den BIOS-Speicher auslesen kann, sehe ich dann den gesamten (beschriebenen) Speicherinhalt? Weil dann ist mir ein vollständiger Vergleich möglich. Die maximale Speichergröße ist anhand des Chipdatenblatts nachlesbar und für den Fremden unveränderbar; das genügt mir.

Wie bereits vorgeschlagen: Einfach das BIOS flashen,
Ich möchte aber schon den Zustand vorher und nachher kennen und vergleichen können.
einige Mainboards halten auch eine werksseitige BIOS-Version vor, auf die man zurücksetzen kann, wenn das Flashen mal danebengegangen ist. Das sollte, da ROM, auch nicht manipulierbar sein.
Ob es eine solche Möglichkeit gibt, muss ich noch prüfen. Vermutlich nein.

Und bei einer noch viel kleineren Firmware von etwa CD-Laufwerken oder Festplatten - ernsthaft?
Nein, nicht wirklich.

Für mein Empfinden ist es viel wahrscheinlicher, Zugriff auf den Festplatteninhalt zu bekommen und dort etwas zu manipulieren, da bei Terabyte-Festplatten und Gigabyte-RAMs viel einfacher ist, in der Datenmenge etwas (selbst etwas Großes) zu verstecken als in einem sehr begrenzten BIOS.
Das sehe ich ähnlich für die Möglichkeit des Versteckens und dessen Größe.

Was die Verschlüsselung der Festplatte angeht: Also etwa von Bitlocker von Windows ist bekannt, wenn man das Passwort mehrfach falsch eingegeben hat, muß es mit Aktivierungsschlüssel (der jedesmal anders ist) mit Hilfe eines Admins wieder entsperrt werden. Ich weiß nicht, wie das bei Linux ist, aber ich wage mal zu bezweifeln, daß simple "Brute-Force"-Attacken heutige Systeme noch beeindrucken. Im Beispiel nach dem 3. Versuch bereits Ende Gelände.
Das ist für mich kein überzeugendes Argument. Niemand würde die originale Platte verwenden, sondern ein Image ziehen und mit Kopien dieses Images für die Attacke arbeiten. Vielleicht reicht auch schon eine Kopie des Headers. Deshalb sollte eine Vielzahl von Falscheingaben keine Sperre auslösen können. Auf
Zitat von @Vision2015:
unter Linux kannst du das selber einstellen, ob es jetzt 3 Versuche sind oder 10000!
kommt es dann schon gar nicht mehr an. Außerdem geht es doch bei Brute-Force-Attacken um das Entschlüsseln des Masterkey, der im Header auf der Festplatte gespeichert ist. Mit dem Masterkey kann die Festplattte gelesen werden.

Zitat von @Vision2015:
nehmen wir mal an, der angreifer hat manipulierte ram bausteine eingesetzt, ich sage nur stichwort Rowhammer, und in China gibbet wohl Arbeitsspeicher mit geänderten Chips, wo schadsoftware drin steckt!
Das würde dem Fremden hier auch dann nichts bringen, wenn er nicht zugleich die Seriennummer etc. unerkennbar gefaket hat. Da habe ich unabhängige Vergleichsdaten vom RAM-Austausch.

Zitat von @ultiman:
Ich würde booten ins Bios und alles auf default (alternativ BIOS Batterie raus wenn vorhanden) dann von USB booten in den BIOS Flash des Herstellers, das Bios sichern, den HASH Wert des Image mit dem Original des Herstellers vergleichen. Fertig und für Laien machbar.
Siehe oben. Einfach so loszuflashen, wirkt auf mich auch weniger überlegt. Es klingt schön einfach und schnell, aber ich liebe Sorgfalt vor Schnelligkeit.
UND DANN würde ich mir Gedanken machen das es hier zu einfach zu finden wäre und überlegen wo noch im NVRAM Code schlummern könnte. Hier bieten sich noch verstecke in der Grafikkarte und dem / den Netzwerk / Wlan / Bluetooth Controllern an face-smile
Siehe oben.

Wenn man aber auf gar nichts vertraut, dann hilft wirklich nur: Schrotten und neu kaufen.
Wie bereits geschrieben ist das der absolut letzte Schritt, wenn die vorherigen Schritte mich nicht überzeugen.

Ansonsten faselt @bootsrap zwar ständig etwas von Unterhaltung und andere beklatschen ihn dafür, aber seit seinem ersten Gekritzel und danach ist sein Puls längst durch die Decke gegangen. Mit dem Thema "verstehen" ist es bei ihm immer noch nicht so einfach. Insgesamt ist er schon ziemlich trollig und deshalb "Don't ...".

Einige scheinen mich für den Ausbau der Festplatte zu belächeln. Aber allem Anschein nach ist mein Vorgehen in vergleichbaren Situationen ganz üblich, wie ich dem ersten Kommentar zu Forensische Coldbackup Software entnehme:
Zitat von @ThePinky777:
mit was ? mit nem verseuchten USB Stick.
Weil jeder USB Stick den du dran hängst ist als konterminiert anzusehen.
Einzigstes was akzeptabel ist, wäre dann ein USB CD/DVD ROM.
Daher ausbauen der SSD
und dann kannst in ruhe Offline entscheiden was du mit der verseuchten SSD machen willst.
Großes Straußenei, Jungs, genau so! Von wegen paranoid, sondern überlegt und sorgfältig! Einschließlich dem technischen Zeugs, das @ThePinky777 in seinem Kommentar empfiehlt.

Amalia
Member: Bitsqueezer
Bitsqueezer Feb 29, 2024 at 01:56:14 (UTC)
Goto Top
Hallo Amalia,

Niemand würde die originale Platte verwenden, sondern ein Image ziehen und mit Kopien dieses Images für die Attacke arbeiten

Also Image ziehen, dreimal probieren, Image wieder zurückspielen, dreimal probieren usw.
Da wäre der Zeitaufwand bis zum Erraten des Kennwortes aber immens groß.

MS sagt dazu, daß bei Einsatz eines TPM-Chips Brute Force auch nicht funktioniert.

Zitat:
How does BitLocker help prevent an attacker from discovering the PIN that unlocks my operating system drive?

It's possible that a personal identification number (PIN) can be discovered by an attacker performing a brute force attack. A brute force attack occurs when an attacker uses an automated tool to try different PIN combinations until the correct one is discovered. For BitLocker-protected computers, this type of attack, also known as a dictionary attack, requires that the attacker has physical access to the computer.

The TPM has the built-in ability to detect and react to these types of attacks. Because different manufacturers' TPMs may support different PIN and attack mitigations, contact the TPM's manufacturer to determine how the computer's TPM mitigates PIN brute force attacks. After the TPM's manufacturer is determined, contact the manufacturer to gather the TPM's vendor-specific information. Most manufacturers use the PIN authentication failure count to exponentially increase lockout time to the PIN interface. However, each manufacturer has different policies regarding when and how the failure counter is decreased or reset.

Nachzulesen hier:
https://learn.microsoft.com/en-US/windows/security/operating-system-secu ...

Gruß

Christian
Member: Vision2015
Vision2015 Feb 29, 2024 at 04:17:25 (UTC)
Goto Top
Moin...
Das würde dem Fremden hier auch dann nichts bringen, wenn er nicht zugleich die Seriennummer etc. unerkennbar gefaket hat. Da habe ich unabhängige Vergleichsdaten vom RAM-Austausch.
oha... du hast also von allen verbauten teilen deines Notebooks vorher die Seriennummern aufgeschrieben?
das wirst du und ich nicht merken, wenn da bausteine ausgetauscht worden sind.
natürlich klappt das nur, wenn dein angreifer vorbereitet ist!
Frank
Member: Nils02
Nils02 Feb 29, 2024 at 10:12:34 (UTC)
Goto Top
Was immer noch unbeantwortet bleibt, ist die Frage nach dem Motiv bzw. der Motivation des Angreifers. Denn danach richtet sich massiv der Aufwand des Angreifers. Ebenfalls, was dich als Ziel relevant macht.

Wenn ein Geheimdienst oder staatliche Akteure es auf dich abgesehen haben, wäre viel denkbar, wenn entsprechend viel Zeit vorhanden.

Damit kann man die Wahrscheinlichkeit von vielen Manipulationen einschätzen und eben die nächsten Schritte planen.
Member: Amalia
Amalia Feb 29, 2024 at 23:46:48 (UTC)
Goto Top
Zitat von @Bitsqueezer:
Niemand würde die originale Platte verwenden, sondern ein Image ziehen und mit Kopien dieses Images für die Attacke arbeiten
Also Image ziehen, dreimal probieren, Image wieder zurückspielen, dreimal probieren usw.
Solche Behauptungen kommen davon, wenn meine Aussage einfach verkürzt wird. Hat der Masterkey-HASH im LUKS-Header auf der Festplatte eine eingebaute Falscheingabebeschränkung? Wie kommst Du darauf? Bitte erläutere es.

Da wäre der Zeitaufwand bis zum Erraten des Kennwortes aber immens groß.
Das ist er sowieso, wenn keine Abkürzung benutzt wird oder kein Zufallsfund einen frühen Treffer bringt.

MS sagt dazu, daß bei Einsatz eines TPM-Chips Brute Force auch nicht funktioniert.
Ist die Sicherheit des TPM-Chips nicht erst vor Kurzem im Forum diskutiert worden?
Was ist im TPM-Chip gespeicher? Der Schlüssel zum Entschlüsseln des Masterkey oder der Masterkey selbst? Im ersten Fall liegt der Masterkey auf der Festplatte und dann interessiert der TPM doch gar nicht, oder?

Zitat von @Vision2015:
oha... du hast also von allen verbauten teilen deines Notebooks vorher die Seriennummern aufgeschrieben?
Wieder einmal wird etwas hinzugedichtet, was ich nicht behauptet habe. Ich schrieb ausschließlich von den ausgetauschten RAM-Modulen!
das wirst du und ich nicht merken, wenn da bausteine ausgetauscht worden sind.
Du meinst jetzt Lötaktionen an den Chips oder das RAM-Modul insgesamt oder was? Bitte erläutere es.
natürlich klappt das nur, wenn dein angreifer vorbereitet ist!
Na davon gehe ich doch aus, dass der Fremde nicht wie ein Schlumpf rummacht.

Zitat von @Nils02:
Was immer noch unbeantwortet bleibt, ist die Frage nach dem Motiv bzw. der Motivation des Angreifers.
Jungs, hier scheint das Problem zu liegen. Ihr überlegt ja alle täglich, wo könnten Schwachstellen sein und wie könnte ein Angreifer diese nutzen. Deswegen macht ihr euch Gedanken über das Motiv und schaut in die Zukunft. Bei mir gibts es den Angreifer/Angriff in der Vergangenheit und ich muss schauen, ob ich einen Angriff entdecken kann. Mir ist doch dessen Motiv völlig klar: nachträglicher Zugang zum verschlüsselten Objekt - was denn sonst? Oder seit ihr der Meinung, er könnte mich mit der eingebauten Kamera beim Popeln beobachten wollen?

Ebenfalls, was dich als Ziel relevant macht.
Ziel ist ebenso klar: unverschlüsselter Zugang und was es so auf dem Notebook gibt.

Damit kann man die Wahrscheinlichkeit von vielen Manipulationen einschätzen und eben die nächsten Schritte planen.
1. Den Fremden interessiert der unverschlüsselte Inhalt nicht mehr = Wahrscheinlichkeit 0
2. Den Fremden interessiert der unverschlüsselte Inhalt weiterhin = Wahrscheinlichkeit 100
Ich wähle einfach 2. und schon sind wir dort, wo ich bereits bin. Ich will schrittweise prüfen, ob Manipulationen vorhanden sind.
Oder es bei meinem Notebook ein 3.? Was fällt euch ernsthaft ein? Mit leider nichts. Ich lande immer wieder bei 2.
Member: Vision2015
Vision2015 Mar 01, 2024 at 06:07:50 (UTC)
Goto Top
Moin...
Zitat von @Vision2015:
oha... du hast also von allen verbauten teilen deines Notebooks vorher die Seriennummern aufgeschrieben?
Wieder einmal wird etwas hinzugedichtet, was ich nicht behauptet habe. Ich schrieb ausschließlich von den ausgetauschten RAM-Modulen!
also behaupten tust du nix, nicht mal was es für ein Notebook ist!
du hast doch geschrieben:
Das würde dem Fremden hier auch dann nichts bringen, wenn er nicht zugleich die Seriennummer etc. unerkennbar gefaket hat. Da habe ich unabhängige Vergleichsdaten vom RAM-Austausch.
das bedeuetet doch, das du für einen vergleich, vorher alle Seriennummern aufgeschrieben haben musst!
wie willst du einen austausch ohne festellen?
das wirst du und ich nicht merken, wenn da bausteine ausgetauscht worden sind.
Du meinst jetzt Lötaktionen an den Chips oder das RAM-Modul insgesamt oder was? Bitte erläutere es.
wiso Lötaktionen, nun, jetzt weiß ich warum du über schlümpfe schreibst face-smile
falls du es noch nicht mitbekommen hast, du bekommst in China und Pakistan gefälschte Produkte, die zu 100% echt aussehen!
und das sind nicht nur blöde USB Sticks, das sind auch Festplatten uns Speichermodule etc..
böse zungen behaupten, das diese mit Schadsoftware bestückt sind (können)!
wie willst du jetzt also die Seriennummern überprüft haben, wenn du diese vorher nicht aufgezeichnet hast?
Glaskugel oder Astro TV?
natürlich klappt das nur, wenn dein angreifer vorbereitet ist!
Na davon gehe ich doch aus, dass der Fremde nicht wie ein Schlumpf rummacht.
also wenn Schlümpfe in deiner Umgebung raumlaufen, und du denen auch noch dein Notebook überlässt, will ich das, was du Rauchst auch haben!

Frank
Member: Nils02
Nils02 Mar 01, 2024 at 06:30:15 (UTC)
Goto Top
Zitat von @Amalia:

Zitat von @Bitsqueezer:
Niemand würde die originale Platte verwenden, sondern ein Image ziehen und mit Kopien dieses Images für die Attacke arbeiten
Also Image ziehen, dreimal probieren, Image wieder zurückspielen, dreimal probieren usw.
Solche Behauptungen kommen davon, wenn meine Aussage einfach verkürzt wird. Hat der Masterkey-HASH im LUKS-Header auf der Festplatte eine eingebaute Falscheingabebeschränkung? Wie kommst Du darauf? Bitte erläutere es.

Da wäre der Zeitaufwand bis zum Erraten des Kennwortes aber immens groß.
Das ist er sowieso, wenn keine Abkürzung benutzt wird oder kein Zufallsfund einen frühen Treffer bringt.

MS sagt dazu, daß bei Einsatz eines TPM-Chips Brute Force auch nicht funktioniert.
Ist die Sicherheit des TPM-Chips nicht erst vor Kurzem im Forum diskutiert worden?
Was ist im TPM-Chip gespeicher? Der Schlüssel zum Entschlüsseln des Masterkey oder der Masterkey selbst? Im ersten Fall liegt der Masterkey auf der Festplatte und dann interessiert der TPM doch gar nicht, oder?

Zitat von @Vision2015:
oha... du hast also von allen verbauten teilen deines Notebooks vorher die Seriennummern aufgeschrieben?
Wieder einmal wird etwas hinzugedichtet, was ich nicht behauptet habe. Ich schrieb ausschließlich von den ausgetauschten RAM-Modulen!
das wirst du und ich nicht merken, wenn da bausteine ausgetauscht worden sind.
Du meinst jetzt Lötaktionen an den Chips oder das RAM-Modul insgesamt oder was? Bitte erläutere es.
natürlich klappt das nur, wenn dein angreifer vorbereitet ist!
Na davon gehe ich doch aus, dass der Fremde nicht wie ein Schlumpf rummacht.

Zitat von @Nils02:
Was immer noch unbeantwortet bleibt, ist die Frage nach dem Motiv bzw. der Motivation des Angreifers.
Jungs, hier scheint das Problem zu liegen. Ihr überlegt ja alle täglich, wo könnten Schwachstellen sein und wie könnte ein Angreifer diese nutzen. Deswegen macht ihr euch Gedanken über das Motiv und schaut in die Zukunft. Bei mir gibts es den Angreifer/Angriff in der Vergangenheit und ich muss schauen, ob ich einen Angriff entdecken kann. Mir ist doch dessen Motiv völlig klar: nachträglicher Zugang zum verschlüsselten Objekt - was denn sonst? Oder seit ihr der Meinung, er könnte mich mit der eingebauten Kamera beim Popeln beobachten wollen?

Ebenfalls, was dich als Ziel relevant macht.
Ziel ist ebenso klar: unverschlüsselter Zugang und was es so auf dem Notebook gibt.

Damit kann man die Wahrscheinlichkeit von vielen Manipulationen einschätzen und eben die nächsten Schritte planen.
1. Den Fremden interessiert der unverschlüsselte Inhalt nicht mehr = Wahrscheinlichkeit 0
2. Den Fremden interessiert der unverschlüsselte Inhalt weiterhin = Wahrscheinlichkeit 100
Ich wähle einfach 2. und schon sind wir dort, wo ich bereits bin. Ich will schrittweise prüfen, ob Manipulationen vorhanden sind.
Oder es bei meinem Notebook ein 3.? Was fällt euch ernsthaft ein? Mit leider nichts. Ich lande immer wieder bei 2.

Okay, ich gebe es jetzt offiziell auf.

Wer nicht einmal simple Fragen sachlich beantworten kann, dem ist nicht zu helfen.

Und das ist hier jetzt schon mehrmals aufgefallen.

Und nur falls du es nicht wusstet:
Das Motiv des Angreifers spielt eben auch in der Analyse von Vorfällen eine Rolle.

Ich wünsche dir viel Erfolg.

LG
Member: Bitsqueezer
Bitsqueezer Mar 01, 2024 at 12:57:44 (UTC)
Goto Top
Hallo,

also hier mal zu LUKS und Brute Force:
https://www.heise.de/ratgeber/Festplattenverschluesselung-mit-Brute-Forc ...

Ohne wenigstens einen guten Teil des Kennwortes zu kennen, würde ich mal sagen: Keine Chance.

Ich hatte oben aber auch von Bitlocker geschrieben und nicht von LUKS, was ja Linux ist.

Aber das ganze wird mir jetzt hier zu sehr Maximum Paranoia, viel Erfolg bei Deinen Untersuchungen, ich bin raus.

Gruß

Christian
Member: colinardo
colinardo Mar 01, 2024 updated at 22:08:38 (UTC)
Goto Top
Da hier von allen Seiten keine konstruktiven Posts mehr kommen, sich der Thread im Kreis dreht und dieser vermehrt Trolle anzieht, werde ich den Thread nun endgültig schließen.
Sollten sich weitere Fragen ergeben bitte einen neuen Thread erstellen.

Gruß @colinardo (Mod)

- closed -