BIOS manipuliert?

Ob es ein Urlaub für das Notebook war, weiß ich nicht ... und so weiß ich auch nicht, was damit angestellt wurde. Ich will mir jedenfalls die Laus im Pelz des Notebooks nicht auf meine anderen Geräte holen und schon gar nicht möchte ich einfach so ausgenutzt werden können.

Zum Flashen muss ich doch das Notebook starten. Könnte das BIOS so manipuliert sein, dass es in solches Flashen ins Leere laufen lässt? Kann ich das irgendwie verhindern?

Das verlinkte Gerät würde doch erfordern, den BIOS-Chip entnehmen zu können, oder?

Nein, ganz bestimmt nicht. In meinem Fall kann und eher muss ich aus Sorgfalt davon ausgehen, dass nicht nur die Fähigkeit des Fremden besteht. Und bevor ich das Notebook das erste Mal wieder einschalte, will ich meine Optionen abklären.

Amalia

Die Festplatte des Notebooks ist verschlüsselt. Es ist die für Linux standardmäßige Verschlüsselung. Eine Manipulation des Betriebssystems möchte ich vorerst ausschließen. Aufgrund des zu kleinen Zeitfensters des fremden Zugriffs kann die Verschlüsselung auch nicht geknackt worden sein, wenn keine Abkürzung bekannt ist.
Wenn aber eine Verschlüsselung nicht geknackt werden konnte, ist es ja nicht ausgeschlossen, dass dennoch Manipulationen vorgenommen wurden, um doch noch die Verschlüsselung überwinden zu können. Daher meine Frage betreffend das BIOS als ein denkbarer Ansatz.

Denkbar ist aber auch eine Manipulation des Startbereichs / Bootloaders der Festplatte. Wann wird denn dieser Bereich gelesen beim Start eines Rechners: schon beim Erkennen / Initialisieren der Festplatte, also schon vor dem Bootmenü (Taste F12)? Oder anders gefragt, kann ich mit dem Start von einer Live-CD verhindern, dass ein manipulierter Startbereich der Festplatte ausgeführt wird? Von einer Live-CD würde der Zugriff auf die verschlüsselte Festplatte so ähnlich wie auf eine Festplatte ohne aktive Partition erfolgen können.

Amalia

Motiv: Kenntnis vom Inhalt der Festplatte zu bekommen, was jetzt wegen der Verschlüsselung nicht möglich war. Fähigkeiten: Profi ist mindestens zu unterstellen.

Vorher leider nein.
Das hingegen schon bei der Festplatte.

Genau das ist jetzt die Frage, wie ich das dennoch prüfen könnte. Anders gefragt: Wenn ich den gesamten BIOS-Speichers auslesen / sichern / extern speichern könnte, müsste ich doch diese Sicherung mit der originalen Firmware vergleichen können? Die (originale) Firmware-Datei wird doch eins-zu-eins in den BIOS-Speicher geschrieben, oder?

Das klingt plausibel. Ich bin mir nicht sicher, aber im BIOS könnte regulär eine Funktion AZ-Flash oder so für ein BIOS-Update vorhanden sein. Vielleicht gibt es ja dort eine Funktion, um die aktuelle BIOS-Firmware sichern zu können.

Falls nicht: Dann ging es ja nur über DOS (per Stick / CD) oder eben über das Betriebssystem.

Dieser Weg über Stick oder CD steht ja grundsätzlich zur Verfügung, so dass für den Fremden nicht unbedingt ein Öffnen des Notebooks erforderlich gewesen muss.

Ja, das ist mein Plan! Deswegen wurde das Notebook nach der Rückkehr noch nicht gestartet. Ich will erst alles vorbereiten.

Mechanische / Optische Spuren sind jedenfalls bisher nicht augenfällig. Dass etwas an der Hardware verändert wurde, würde ich eher weniger annehmen. Hingegen halte ich alle softwarebezogenen Manipulationsmöglichkeiten für überlegungsbedürftig.

Der dabei verwendete Ansatz von u.a. QUBES OS 4.0 und Coreboot ist in jedem Fall sehr interessant für die Zukunft.

Amalia

LUKS mit Debian 11, weil VeraCrypt als Systemverschlüsselung nicht möglich ist.

Zeitfenster: Wenn ich für ein Rechenbeispiel die Passwortlänge x nehme und nur auf Groß-/Kleinbuchstaben und Zahlen abstelle: 62^x Kombinationen. Wenn ich jetzt beispielhaft unterstellen würde, ein einzelner Ausführungstask würde mit jedem Takt bei 5 GHz eine Kombination vollständig ausprobieren können (in Wirklichkeit eher eine Vielzahl von Takten), ist zwanglos hochrechenbar, was rein theoretisch bei y solcher Ausführungstasks (Kerne / GPUs pro Node mal Anzahl Nodes) in der Abwesenheitszeit maximal durchprobiert worden sein könnten. Unter diesen Maßgaben würde weniger als ein Tag (= 86.400 Sekunden) genügen, um x=8 vollständig zu erledigen (y=1). Für x=9 sind 31,3 Tage und für x=10 schon 1.942,8 Tage erforderlich. Jetzt käme es auf die Größe von y an. Ein y=10.000 könnte allenfalls ein x=10 an einem Tag bewältigen (x=11 -> 12,05 Tage; x=12 -> 746,82 Tage). Ist y=10.000 realistisch? In 746,82 Tagen könnten bei x=14 (/ 15) gerade einmal 0,026 (/ 0,00042) Prozent der möglichen Kombinationen durchprobiert werden.
Bei unbekannter Passwortlänge und erst recht bei der Hinzunahme von (unbekannten) Sonderzeichen vervielfältigt sich das alles nochmals deutlich. Und selbst dann, wenn eine Kopie der Festplatte gezogen wurde und die Ausprobiererei weitergehen sollte, wird in absehbarer Zeit kein Treffer zu landen sein - von einem mehr oder weniger Zufallstreffer einmal abgesehen. Die reale Abwesenheitszeit ist geringer als 746,82 Tage.

TPM - nicht benutzt und daher auch keine PIN dafür. Hinsichtlich Secure Boot sind bei der Installation und danach keine Änderungen vom Standard gemacht worden. Für den Zugriff auf die BIOS-Einstellungen ist ein Passwort gesetzt, was ich aber nicht als nennenswerten Schutz ansehe.

Das klingt schon einmal gut!
Wenn ich auf diesem Weg eine Manipulation des Startbereichs der Festplatte umgehen kann, dann müsste es doch funktionieren, von der Live-CD aus auf die verschlüsselten Partitionen zugreifen und etwa noch benötigte Dateien auf einen Remotedatenträger kopieren zu können, ohne eine etwaige Manipulation mitzuschleppen? Woran sollte ich in diesem Zusammenhang vorsorglich noch denken?

Amalia

Die Nachfrage resultierte aus der Produktabbildung des Links. Dann werde ich mir das noch einmal genauer anschauen müssen.

Ich würde denken, dass es kein OSS BIOS ist. Es ist ein älteres Lifebook.

Wenn es keine Exportfunktion gibt, dann ist es doch eher nicht möglich, einen Vergleichshash zu erstellen, um später eine Manipulation des BIOS prüfen zu können, oder?

Amalia

Lieber Frank, das war meinerseits gar nicht gewollt und das tut mir aufrichtig leid. Ich war davon ausgegangen, dass ich deine Frage nach dem Zeitfenster und der Verschlüsselung schon beantwortet habe, wenngleich ich weder die genaue Tageszahl noch die genaue Länge des Passworts benannt habe. Käme es denn auf die genaue Benennung dieser beiden Werte an? Es geht mir doch gar nicht darum, ob mein Passwort genackt worden sein könnte. Aufgrund der benötigten Ressourcen schließe ich das ruhigen Gewissens aus, sofern eben keine Abkürzung benutzt oder ein Zufallstreffer gelandet worden sein sollte. Und warum ich das ausschließe, habe näher dargestellt, weil das bestimmt sofort nachgefragt worden wäre, wie ich dazu käme. Angenommen hatte ich außerdem, dass es für die heutigen Verhältnisse anerkannt ist, dass Passwörter unter 16 nicht hinreichend sicher sind. Jedenfalls scheint @Nils02 mich insgesamt dahin verstanden zu haben.

Das Passwort befindet sich an zwei Orten: der von LUKS notwendigerweise auf der Festplatte abgelegte Hashwert und in meinem Kopf.

War das dann auch ein sicheres Passwort? Falls ja, was hat das dennoch ermöglicht? Abkürzung? Zufallstreffer?

Im Übrigen geht es mir nicht um mein eigenes Passwort. Mir geht es darum, wie ich wegen des erfolglosen Passworterratens vorgenommene Manipulationen erkennen und gegebenenfalls leerlaufen lassen kann, ohne deren Existenz / Wirkung zu persistieren.

Deswegen dürften doch die Forumsregeln von meiner Fragestellung gar nicht berührt sein.
Wo könnte eine Manipulation gespeichert sein? In Betracht kommen doch nur das BIOS und die Festplatte, oder? Wenn es einen weiteren Ort gäbe, müsste dieser doch persistent beschreibbar sein? Welche weitere Hardwarekomponente bei einem Notebook würde dafür in Betracht kommen? Netzwerk-/Bluetooth-/GSM-Modul? Könnte das dann sinnvoll genutzt werden? Welcher Aufwand wäre dafür erforderlich, insbesondere im Vergleich zur Festplatte?
Inwieweit tangieren diese Fragen, die mein Passwort und dessen Entschlüsselung völlig außen vor lassen, die Forumsregeln?

Wie kann ich diese Manipulation erkennen?
Beim BIOS im Prinzip doch nur, wenn das BIOS selbst nicht aktiv beteiligt ist (=offline), wozu ich das verlinkte Equipment oder so bräuchte. Weil, wenn ich es richtige verstehe, beim Aufspielen einer neuen Firmware entweder über eine entsprechende Funktion in den BIOS-Einstellungen oder über ein DOS-Programm etc. letztlich doch immer das BIOS aktiv beteiligt wäre, oder? So könnte sich die Manipulation vor einem Entfernen schützen.
Verstößt der Hinweis auf das Equipment für einen Offline-Zugriff gegen die Forumsregeln? Verstößt mein Wunsch, eine von mir nicht autorisierte und somit wohl illegale Manipulation zu finden und restlos zu entfernen, gegen die Forumsregeln?

Bei der verschlüsselten Festplatte kommt es darauf an, ob eine etwaige Manipulation beim Zugriff auf die Festplatte aktiviert wird. Beim Booten von dieser Festplatte halte ich das für gegeben. Ansonsten können wegen der Verschlüsselung die gespeicherten Daten eigentlich nicht manipuliert sein, was doch nur ginge, wenn das Verschlüsselungspasswort bekannt wäre, oder?
Berührt die Frage, ob der Zugriff von einer Live-CD den aktiven Bereich der Festplatte beziehungsweise von mir nicht autorisierte Manipulationen unberührt lässt, die Forumsregeln?

Nach der Erörterung hier würde ich dazu tendieren, dass im Vergleich zur Leichtigkeit der Manipulation der Festplatte, die zudem weniger bis gar nicht von der speziellen Hardware des jeweiligen Notebooks/Rechners abhängt, eine Manipulation des BIOS eher weniger wahrscheinlich ist. Sofern die Firmware nicht schon präpariert vorliegt, müsste diese erst erstellt werden, was wiederum das von @Garrix erwähnte Reverse Engineering erfordern würde.

Was wäre ein geeignetes Tool für eine solche Untersuchung?

Amalia

Ich würde es nicht unbedingt als "arg" bezeichnen, sondern ich nehme die Situation hinreichend ernst. Vielmehr noch glaube ich, dass es reine Sorgfalt ist zu überlegen, in welchem Zustand sich ein Notebook befindet, das in fremden Händen war. Nur mit dem richtigen Problembewusstsein kann ich mich angemessen verhalten. Dabei geht es natürlich zugleich um die Handlungsptionen, die mir zur Verfügung stehen.

Auch wenn ich eine gewisse Vorstellung von der Risikolage habe, so ist mir dennoch nicht alles abschließend klar / bekannt. Auf das Schließen dieser Lücken zielen meine Fragen ab. Und die bisherige Diskussion war für mich bereits ein gutes Stück hilfreich, um mein schrittweises Vorgehen zu planen.

Das ist für mich die ultima ratio. Zuvor möchte ich aber abklären, ob etwaige Manipulationen beseitigt werden können, so dass bei Risikoabwägung der letzte Schritt nicht gegangen werden muss. Das würde ich durchaus bevorzugen.

An diese Manipulationsmöglichkeit hatte ich noch gar nicht gedacht und das muss ich mir ersteinmal durch den Kopf gehen lassen.

Somit wäre eine meiner Hauptfragen beinahe geklärt. Zu klären ist für mich nur noch, ob der Bereich, in welchem LUKS die Schlüsseldaten etc. ablegt, derart manipuliert werden kann, dass beim Zugriff darauf böswilliger Code ausgeführt wird.

Insgesamt allen Diskutanten an dieser Stelle ein erstes Dankeschön für den bisherigen Input.

Amalia

Die geheimnisvolle Formel für unvergängliche Schönheit und ewige Jugend! Damit lässt sich richtig Kohle machen bis zum Ersticken!

Nach der bisherigen Diskussion würde ich deswegen das BIOS und die Festplattenfirmware eher als nicht manipuliert bewerten. Die Manipulation der Festplatte hingegen erscheint mir vergleichsweise als Minutenangelegenheit und daher ohne nennenswerten Aufwand machbar. Denn die Frage ist ja zugleich, wie werde ich aus der Sicht des Angreifers eingeschätzt: als Lieschen Müller? Allein die Verwendung einer (Standard-)Festplattenverschlüsselung hat ja noch gar nichts zu sagen.

??? Ich bin verwirrt! Meinst Du, ein 20-kg-Beutel dieses Zeugs neben das Notebook gestellt ist so furchteinflösend, dass ungebetene Manipulationen von selbst das Weite suchen 🤪? Das wäre geil - lol!

Amalia

Gesagt getan. In den nächsten Tagen werde ich das Notebook öffnen, weil ich ohnehin den erstmaligen Start ohne die Festplatte durchführen möchte. Dabei kann ich schauen, ob ich den BIOS-Chip finde und was das für einer ist. In Abhängigkeit davon werde ich nach einem kompatiblen Programmer Ausschau halten, falls der verlinkte das nicht sein sollte.

@11078840001: Hast Du bereits Erfahrung mit solchen Programmern?

Daneben werde ich mich noch zu den Themen GPT-Partitionen, LUKS-Header und EFI-Bootpartition näher einlesen, um besser zu verstehen, was und wo etwas auf der verschlüsselten Festplatte manipuliert sein könnte sowie wo dabei Schadcode zu suchen wäre.

Amalia

Du bist aber schon ein kleiner "Brandteufel"

Amalia

@CypH3r-LE:
An (unsachlichen) Spekulationen werde ich mich nicht beteiligen!

Es sieht so aus, dass Du beispielsweise einem Geistlichen, dem es nicht erlaubt ist, die von einem "betreuten Schaf" erhaltenen vertraulichen Informationen anderen zu verraten, und der solche Pflichten sehr ernst nimmt und treu erfüllt, unterstellst, er sei schon wegen seiner treuen Pflichterfüllung ein Umstürzler. Jetzt fehlen nur noch die üblichen diskreditierenden Schlagworte ... Mein dringender Rat: Überprüfe dringend Deinen Medienkonsum und das, was Dir dabei in den Schädel gehämmert wird.

Im Übrigen ist es für mich völlig schnuppe, wie (m)ein Notebook in fremde Hände gelangt sein könnte, wenn es um den vernünftigen Umgang mit dem Notebook nach dessen Rückkehr geht.

Amalia

Hmm: @BOOTSTRAP scheint mit
zu kritisieren, dass es immer wieder in Diskussionsrunden einen "Witzbold" gibt, der das Beibehalten einer sachlichen Diskussion und eines guten Benehmens zerstört. Eigentlich beklagenswert. Indes sieht das @BOOTSTRAP ganz anders, weil er das als amüsanten Unterhaltungsspaß auffasst, wie er uns wissen lässt. Naja, wenn ein solcher "Witzbold" bisher fehlte, hat sich ein solcher wohl gefunden ...

Wie @CypH3r-LE leidet @BOOTSTRAP daneben daran, etwas hineinzuinterpretieren, was von mir nicht behauptet wurde. Beispiel:

• Diskussionsverlauf

• Aus (m)einer Annahme (= Synonym für Unterstellen an dieser Stelle) macht @BOOTSTRAP unverständig

also eine Aussage, bei der er durch Anführungszeichen sogar ein Zitat aus dem bisherigen Diskussionsverlauf suggeriert. Die Nuancen der deutschen Sprache und / oder Grundprinzipien eines sachlichen Herangehens an ein Problem scheinen ihm nicht ganz geläufig zu sein. Möglicherweise spürt er das auch, weshalb er sogleich unfundiert von ChatGPT fantasiert. Über "Online Übersetzer" will ich da gar nicht erst nachdenken.

@aqui mahnt immer wieder: lesen und verstehen!

Also zwei Dinge: (1.) Unterschätze nie deinen Feind! Getreu diesem Motto ist meine Aussage zu den Fähigkeiten absolut richtig und zwingend. Ob es wirklich ein Profi war oder nicht, ist (für mich) schnuppe. (2.) Immer schön ein normaldenkender Mensch bleiben und nicht zu viel Hollywood-Blödsinn und anderen Medienunfug reinziehen. Dann klappt das auch mit einem nüchternen Blick auf die Dinge.

Warum eigentlich nicht? Lass dich nicht betteln und teile deine fruchtbaren Sachbeiträge mit uns.

Amalia

PS: ChatGPT - ob so ein Ding ebenso einen guten Deutschlehrer hat(te)?

Du hattest bei deinem ersten Post mitgeteilt, dass du bis dahin den gesamten Diskussionsverlauf gelesen hättest. Dann ist dir bestimmt aufgefallen, dass die Frage der BIOS-Manipulation eigentlich (1.) im Groben ausdiskutiert ist und (2.) sich längst davon weg und hin zur verschlüsselten Festplatte entwickelt hat. Oder habe ich irgendetwas nicht mitbekommen?
Über diese sachliche Entwicklung bin ich nicht unglücklich, weil ich die Manipulation der verschlüsselten Festplatte ursprünglich als zweite Frage einstellen wollte und weil es nun gleich hier mit abgehandelt wird. Aber auch das ist schon ziemlich fortgeschritten in der Diskussion.

Ich verstehe ehrlich gesagt nicht, warum ständig etwas hineininterpretiert wird, wofür es keine Verlassung gibt. Denn ich mache mir keine überzogenen Sorgen, sondern ich gehe schlicht und ergreifend einfach nur systematisch der Frage nach, was könnte manipuliert sein und wie kann ich das sinnvoll prüfen, um eine akzeptable Gewissheit zu erlangen, oder wie kann ich die Wirksamkeit von Manipulationen effektiv verhindern. Seien wir doch ganz ehrlich: So viele technische Ansatzpunkte für Angriffsvektoren bei einem physischen Zugriff auf die Hardware (bei verschlüsselter Festplatte) gibt es nun auch wieder nicht. Diese einfach schrittweise zu durchdenken/-spielen, verstehe ich als pure Sorgfalt - nicht mehr und nicht weniger. Also muss irgendwo der rote Faden aufgenommen werden: diesmal war das BIOS in der Poolposition. Nachfolgende Startpositionen belegt die Festplatte und so weiter.

Zur nochmaligen Klarstellung - @BOOTSTRAP aufgepasst, jetzt steigt möglicherweise wieder der Spannungsbogen - für mich ist das Notebook vorerst schlicht so etwas wie Aussatz/Gift/Pest/Cholera - bezeichnet es wie ihr lustig seid. Wie gesagt ist das Notebook bisher noch nicht wieder eingeschaltet worden. Ich gehe ganz entspannt an die Sache heran. Es geht mir als Ergebnis des Sorgfaltsprogramms insgesamt um die Beantwortung von zwei simplen Fragen: (1.) Ist es möglich, Daten von der Festplatte zu entnehmen, ohne sich eine Laus im Pelz mitzunehmen, und wie muss dazu vorgegangen werden und wo lauern Fallstricke? Ist eine (anschließende) Bereinigung der Festplatte ohne das Verbleiben etwaiger Manipulationen darauf möglich bzw. könnten sich eine Manipulation über eine Bereinigung hinwegretten und wie kann das verhindert werden? Was ein Nein in Bezug auf die Bereinigung für die Festplatte bedeutet, muss ich nicht weiter ausführen. (2.) Kann eine Manipulation sonstiger Teile der Hardware erkannt und gegebenenfalls gesäubert werden (Eigentlich dieselbe Frage wie bei der Festplatte, nur eben in Bezug auf andere Hardwareteile.)? Falls nein, werde ich symbolisch zum kleinen Brandteufel (s.o.) werden, denn einen ungebetenen blinden Passagier aka Laus im Pelz möchte ich nicht dulden - das führt zum sofortigen Liebesentzug und zur prompten Scheidung.
Wenn ich mit dem Sorgfaltsprogramm fertig bin, werde ich mir daraus einen Operationsmodus für die Zukunft und ähnlich gestrickte Situationen zurechtlegen. Ergebnis: noch mehr Gelassenheit!

Im Übrigen halte ich bestimmte Angriffsvektoren für unbeachtlich, weil das Angriffsziel keine Relevanz hat. So behandelt der von @CypH3r-LE verlinkte Artikel den Angriff auf ein TPM. Das ist aber völlig sinnlos, wenn ein TPM selbst bei Vorhandensein gar nicht benutzt wird (s.o.) - der Angreifer weiß das natürlich noch nicht und macht daher ganz großen, aber erfolglosen Zinnober. Effektiv bleiben dann eigentlich nur noch: (a) Keylocker bezüglich Passwort oder (b) Einklinken in die Kommunikation mit der Festplatte und nach Hause telefonierenden Staubsauger spielen oder (c) ein auf Trojanisches Pferd zur Schleusenöffnung machen. Allem ist aber gemein, dass es immer meiner Mitwirkung bedarf, um wirksam zu werden. Diese Mitwirkung will ich effektiv verweigern. Und da sind wir wie von selbst bei meinen systematisch zu klärenden Fragen zu möglichen Manipulationen etc. - was ist denkbar / erwartbar / erkennbar / bekämpfbar ... Für meine Begriffe recht simpel direkt vor der Nase liegend.

Amalia

@BOOTSTRAP: Ich habe den Eindruck, dass du mit dem zweiten Teil von @aqui's Mahnung noch nicht ganz warm geworden bist. Denn wie bekloppt müsste ich denn eigentlich sein, eine unter Quarantäne stehende Festplatte aus einem unter Quarantäne stehenden Notebook schnell 'mal in ein anderes Gerät einzubauen? Und dann erst deine Ausführungen zum Virenscanner zeigen mir, dass du noch lange nicht auf der Ebene der Problembetrachtung angekommen bist. Dabei ist diese Ebene während des Diskussionsverlaufes, bevor du hinzugetreten bist, mit sinnvollen und ernsthaften Überlegungen beleuchtet worden.
Im Übrigen: Wer im Glashaus sitzt, sollte nicht mit Steinen werfen! Schau dir lieber die Länge deiner zwei (ersten und bisher einzigen) Kommentare (hier im Forum) an, bevor du dich über andere künstlich echauffierst.

Amalia

???

Stimmt, Netzwerke kein Thema. @aqui ist als alter Hase eine Instanz und seine zitierte Mahnung hat immer Gültigkeit.

Amalia

Jungs!
Ihr versteift euch so auf das Notebook-Modell. @11078840001 verlinkte einen Programmer. @TwistedAir wies auf HASH-Werte hin. Wäre ich ein Angreifer, würde ich eine Manipulation des BIOS so vornehmen, dass ein Update der Firmware über CD, USB, Betriebssystem oder BIOS die Manipulation nicht beseitigt. Egal, ob das geht oder nicht, ich unterstelle als worst case schlicht, dass es geht. So bleibt als einziger Weg für die Prüfung der BIOS-Firmware ein passender Programmer. Ein manipuliertes BIOS ist daran nicht aktiv beteiligt - genau das will ich vermeiden. Was ist daran so schwer? Verbauten Chip nachsehen, passenden Programmer besorgen und schauen was damit geht. Gut o.k., vorher im Umfeld des Chips schauen, ob der Programmer überhaupt verwendbar ist. Wenn das so klappt, ist das Notebook-Modell doch schnuppe, oder? Wozu brauche ich das dann noch?
@Garrix wies auf den selten vorhandenen Export hin, wodurch die Benutzung des Programmers eventuell wenig bringen wird. Sollte der verbaute Chip in einer Steckfassung sitzen, würde ich sowieso an einen Austausch denken. Dann muss der neue Chip nur noch beschrieben und eingesetzt werden und alles ist gut! Wozu benötige ich dabei das Notebook-Modell?
Oder ist zum BIOS irgendetwas an mir vorbeigerauscht? Dann erklärt es mir bitte.

Vermutet ihr, ich könnte den Chip vor lauter Leiterbahnen und Elementen nicht finden? Sollte ich zu blöd sein, werde ich euch löchern, ganz bestimmt!

Amalia

Zwischenstand: Notebook so gut wie vollständig zerlegt. Das Innere kenne ich ja durch Lüfter- und Festplattentausch bereits. Nach dem Zustand und einigen weiteren, mir erinnerlichen Besonderheiten würde ich sagen, dass das Gerät nicht geöffnet wurde, um direkt auf die Hardware zuzugreifen oder etwas einzubauen. Etwaige Manipulationen sollten also nur rein über Softwarezugriff (CD, USB etc.) erfolgt sein.

Es ist wirklich spannend, einmal die Bestückung der Hauptplatine genauer anzuschauen.

Amalia

@Vision2015, ziemt sich das? Wie passt sowas zu Diskussionsrichtlinien Regel Nr. 1: Netiquette? Bis du als Forumsmitglied nicht verpflichtet, solche frivolen und sexistischen Äußerungen zu unterlassen? Hast du ein persönliches (Männlichkeits-/Frust)Problem, das dich zu frauenfeindlichen Äußerungen bringt?

Was sagen die Moderatoren dazu?

Menschlich enttäuschen mich solche unschönen Aktionen!

Amalia

Das ist mein gedanklicher Startpunkt.

Wer hat das behauptet?
Da ein lötender Hardwareeingriff nicht zur Debatte steht, muss ich darüber nicht weiter nachdenken. Aber @Vision2015 weist auf
hin und es gibt in einem Notebook nicht nur die Hauptplatine. Bei den kleinen peripheren Platinchen wäre der Austausch gegen ein manipuliertes Teil denkbar. Ich kann das aber nach dem Blick ins Innere für mich ruhigen Herzens ausschließen.

Um die Festplatte ausbauen oder tauschen zu können, muss das Notebook vollständig geöffnet werden. Ist so! Für den Blick auf die andere Seite der Hauptplatine sind es dann nur noch ein paar Schrauben, also nullkommanix.

Das erscheint mir zu kompliziert gedacht, auch wenn deine Gedanken zutreffend sind. Mir reicht es doch aus, den Inhalt des BIOS-Speichers mit der originalen Firmware des Herstellers zu vergleichen, wenn ich den BIOS-Speicher auslesen kann.
Wie der oben genannte Hinweis von @visio2015 zeigt, könnte es die manipulierte Firmware im Internet geben, z.B. im Darknet. Ich setzte aber später an: ich unterstelle einfach die Existenz, den kurzfristigen Erwerb und die Verwendung einer manipulierten Firmware. Also muss ich nur den BIOS-Speicher prüfen. Welchen Aufwand der Fremde getrieben hat, interessiert mich eigentlich nicht weiter. Selbst Zeit, Können usw. alles zugestanden. Nur bei einem zweifelhaften Prüfungsergebnis werde ich dem weiter nachdenken müssen. Für mich ist nur eins wichtig: Wenn ich den BIOS-Speicher auslesen kann, sehe ich dann den gesamten (beschriebenen) Speicherinhalt? Weil dann ist mir ein vollständiger Vergleich möglich. Die maximale Speichergröße ist anhand des Chipdatenblatts nachlesbar und für den Fremden unveränderbar; das genügt mir.

Ich möchte aber schon den Zustand vorher und nachher kennen und vergleichen können.
Ob es eine solche Möglichkeit gibt, muss ich noch prüfen. Vermutlich nein.

Nein, nicht wirklich.

Das sehe ich ähnlich für die Möglichkeit des Versteckens und dessen Größe.

Das ist für mich kein überzeugendes Argument. Niemand würde die originale Platte verwenden, sondern ein Image ziehen und mit Kopien dieses Images für die Attacke arbeiten. Vielleicht reicht auch schon eine Kopie des Headers. Deshalb sollte eine Vielzahl von Falscheingaben keine Sperre auslösen können. Auf
kommt es dann schon gar nicht mehr an. Außerdem geht es doch bei Brute-Force-Attacken um das Entschlüsseln des Masterkey, der im Header auf der Festplatte gespeichert ist. Mit dem Masterkey kann die Festplattte gelesen werden.

Das würde dem Fremden hier auch dann nichts bringen, wenn er nicht zugleich die Seriennummer etc. unerkennbar gefaket hat. Da habe ich unabhängige Vergleichsdaten vom RAM-Austausch.

Siehe oben. Einfach so loszuflashen, wirkt auf mich auch weniger überlegt. Es klingt schön einfach und schnell, aber ich liebe Sorgfalt vor Schnelligkeit.
Siehe oben.

Wie bereits geschrieben ist das der absolut letzte Schritt, wenn die vorherigen Schritte mich nicht überzeugen.

Ansonsten faselt @bootsrap zwar ständig etwas von Unterhaltung und andere beklatschen ihn dafür, aber seit seinem ersten Gekritzel und danach ist sein Puls längst durch die Decke gegangen. Mit dem Thema "verstehen" ist es bei ihm immer noch nicht so einfach. Insgesamt ist er schon ziemlich trollig und deshalb "Don't ...".

Einige scheinen mich für den Ausbau der Festplatte zu belächeln. Aber allem Anschein nach ist mein Vorgehen in vergleichbaren Situationen ganz üblich, wie ich dem ersten Kommentar zu Forensische Coldbackup Software entnehme:
Großes Straußenei, Jungs, genau so! Von wegen paranoid, sondern überlegt und sorgfältig! Einschließlich dem technischen Zeugs, das @ThePinky777 in seinem Kommentar empfiehlt.

Amalia

Solche Behauptungen kommen davon, wenn meine Aussage einfach verkürzt wird. Hat der Masterkey-HASH im LUKS-Header auf der Festplatte eine eingebaute Falscheingabebeschränkung? Wie kommst Du darauf? Bitte erläutere es.

Das ist er sowieso, wenn keine Abkürzung benutzt wird oder kein Zufallsfund einen frühen Treffer bringt.

Ist die Sicherheit des TPM-Chips nicht erst vor Kurzem im Forum diskutiert worden?
Was ist im TPM-Chip gespeicher? Der Schlüssel zum Entschlüsseln des Masterkey oder der Masterkey selbst? Im ersten Fall liegt der Masterkey auf der Festplatte und dann interessiert der TPM doch gar nicht, oder?

Wieder einmal wird etwas hinzugedichtet, was ich nicht behauptet habe. Ich schrieb ausschließlich von den ausgetauschten RAM-Modulen!
Du meinst jetzt Lötaktionen an den Chips oder das RAM-Modul insgesamt oder was? Bitte erläutere es.
Na davon gehe ich doch aus, dass der Fremde nicht wie ein Schlumpf rummacht.

Jungs, hier scheint das Problem zu liegen. Ihr überlegt ja alle täglich, wo könnten Schwachstellen sein und wie könnte ein Angreifer diese nutzen. Deswegen macht ihr euch Gedanken über das Motiv und schaut in die Zukunft. Bei mir gibts es den Angreifer/Angriff in der Vergangenheit und ich muss schauen, ob ich einen Angriff entdecken kann. Mir ist doch dessen Motiv völlig klar: nachträglicher Zugang zum verschlüsselten Objekt - was denn sonst? Oder seit ihr der Meinung, er könnte mich mit der eingebauten Kamera beim Popeln beobachten wollen?

Ziel ist ebenso klar: unverschlüsselter Zugang und was es so auf dem Notebook gibt.

1. Den Fremden interessiert der unverschlüsselte Inhalt nicht mehr = Wahrscheinlichkeit 0
2. Den Fremden interessiert der unverschlüsselte Inhalt weiterhin = Wahrscheinlichkeit 100
Ich wähle einfach 2. und schon sind wir dort, wo ich bereits bin. Ich will schrittweise prüfen, ob Manipulationen vorhanden sind.
Oder es bei meinem Notebook ein 3.? Was fällt euch ernsthaft ein? Mit leider nichts. Ich lande immer wieder bei 2.