Standort: fm4.ORF.at / Meldung: "BIOS: Das Misstrauen gegen Windows 8"

Erich Moechel

CC zazie.at

Erich Möchel

Netzpolitik, Datenschutz - und Spaß am Gerät.

26. 9. 2011 - 06:00

BIOS: Das Misstrauen gegen Windows 8

"Aus Sicherheitsgründen" wird das kommende Windows-Betriebssystem 8 nur nach Authentifizierung starten. Damit sind Rechner gemeint, die ausschließlich mit einer Windows-Version hochfahren können - andere Betriebssysteme werden ignoriert.

"Mit dem UEFI wird der Bootvorgang schnell, sicher und schön. Das führt zu mehr Kundenzufriedenheit und ermöglicht Produktdifferenzierung." Windows 8 werde deshalb nur noch über das neue "Unified Extensible Firmware Interface" (UEFI) zu starten sein, nicht aber über ein herkömmliches BIOS.

Diese schlichten Worte des Microsoft-Topmanagers Arie van der Hoeven auf der Windows-Entwicklerkonferenz in Anaheim in Kalifornien vor 14 Tagen haben im Open-Source-Lager mit einiger Zeitverzögerung ziemliche Unruhe ausgelöst.

Präsentation des UEFI auf der Microsoft-Entwicklerkonferenz

Microsoft

Die Parallelen zu Microsofts "Trusted Computing"-System, das nach einer weltweiten Protestwelle 2003 wieder verworfen wurde, sind unübersehbar.

Über 30 Jahre BIOS

Im Grunde ist es schon eine naheliegende Idee, das in die Jahre gekommende BIOS (Basic Input/Output System) von PCs ablösen. Während sich die PC-Technologie insgesamt rasant verändert hat, ist dieses 16-Bit-System, das den PC bei dessen Start sozusagen zum Leben erweckt, seit mehr als 30 Jahren ziemlich unverändert geblieben. Es wurde nur daran herumgebastelt, um damit auch die neueren 32- und 64-Bit-Betriebssysteme hochfahren zu können.

Beim Einschalten überprüft das BIOS alle angeschlossenen Hardwarekomponenten und aktiviert sie. Dem PC wird gewissermaßen mitgeteilt, aus welchen Komponenten er besteht, vor allem aber, wo sich die Festplatte mit Bootloader und Betriebssystem(en) befindet.

UEFI authentifiziert

Vom guten alten BIOS, das dann den Bootvorgang einleitet bzw. im Fall von Dual-Boot-Systemen anbietet, entweder mit Windows oder Linux hochzufahren, entscheidet sich der Nachfolger UEFI in einem entscheidenden Punkt.

Die ersten Kritiker meldeten sich erst eine Woche nach der Entwicklerkonferenz zu Wort. "Es ist wahrscheinlich nicht angebracht, gleich in Panik zu verfallen. Anlass für Sorge ist es allemal", schreibt Matthew Garrett, Linux-Entwickler beim Distributor Red Hat. Ross Anderson, Professor für Computersicherheit an der Uni Cambridge, dessen Gutachten entscheidend dazu beigetragen hatten, dass "Trusted Computing" 2003 zu Fall gebracht wurde, dazu: "Die Ausweitung des Microsoft-Monopols auf Hardware wäre ein Desaster. Das verstößt gegen internationale Verträge und darf deshalb nicht umgesetzt werden."

Hier wird nicht etwa gebootet, was sich gerade auf der Harddisk befindet, sondern nur jenes Betriebssystem, dessen Schlüssel mit einem in der Hardware hinterlegten Schlüssel übereinstimmt. Auf einem solchermaßen "abgesicherten" Rechner, der für Windows 8 ausgeliefert wird, lässt sich kein anderes Betriebssystem mehr installieren. Nicht einmal Windows 7, wenn das vom Hersteller des Rechners nicht vorgesehen wurde.

Schutz vor BIOS-Rootkits

Laut Van der Hoeven geschieht das primär, um den Benutzer vor BIOS-Rootkits zu schützen. Diese Art von Schadsoftware, die sich in den Bootvorgang einschmuggelt, ist von Virenscannern sehr schwer zu entdecken, da sie ihre Aktivitäten entfaltet, bevor das Betriebssystem samt Programmen hochgefahren ist.

BIOS-Rootkits sind zwar seit Jahren bekannt, jedoch spielten sie im kakophonen Konzert der Schadprogramme nie eine besondere Rolle. Sie wurden vielmehr periodisch als "Proof of Concept" auf Security-Konferenzen vorgestellt. Der letzte bekanntgewordene Fall eines BIOS-Rootkits "in the wild" liegt mehr als vier Jahre zurück.

Rootkit-Koinzidenzen

Wie es der Zufall will, war knapp vor dieser Windows-Entwicklerkonferenz plötzlich ein BIOS-Rootkit in freier Wildbahn aufgetaucht. Die Nachricht verbreitete sich im Auftakt zur Konferenz sehr rasch, weil ein Anti-Virus-Haus nach dem anderen Updates veröffentlichte. Das BIOS-Rootkit "Mebromi" versteckt sich auf unbenützten Sektoren der Festplatte, beim Booten drängelt es sich ganz nach vorne und startet.

Das ist insofern wichtig, als sich die Reihenfolge des Bootvorgangs direkt in der Hierarchie abbildet: Was vorher gestartet war, kontrolliert alles, was danach an die Reihe kam.

Das Prozedere der Malware

Danach tut "Mebromi", was so ziemlich jede moderne Schadsoftware auch macht. Eine Backdoor (Trojaner) zur Fernsteuerung wird installiert, die Inhalte der Festplatte werden gescannt, das tief im Betriebssystem eingenistete Rootkit verschleiert all diese Vorgänge vor dem Benutzer des PC.

Dass "Mebromi" von den Virenspezialisten trotzdem durch die Bank als "geringe Bedrohung" eingestuft wird, hat einen simplen Grund. Angegriffen werden ausschließlich die BIOS-Systeme eines von vielen Herstellern, damit sind die Verbreitungsmöglichkeiten sehr beschränkt.

"Mebromi" ähnelt damit den "Proof of Concept"-Viren, die nur die Möglichkeit eines Angriffs beweisen sollen, aber nicht für einen realen, großangelegten Angriff programmiert sind.

Das BIOS-Rootkit "Membromi" wurde zuerst in China entdeckt, am 9. September veröffentlichte der Anti-Viren-Hersteller Symantec bereits ein Antidot. An diesem Tag startete die BUILD-Entwicklerkonferenz, auf der Microsoft-Manager Arie van der Hoeven das neue Bootsystem vorstellte.

Mit dem neuen UEFI sind zwar BIOS-Rootkits ausgeschaltet, aber auch alle anderen Betriebssysteme, die nicht in der Hardware authentifiziert werden können. Das ist der kritische Punkt.

Kryptische Produktdifferenzierung

Doch was bedeuten die reichlich kryptischen Äußerungen des Microsoft-Topmanagers zur "Produktdifferenzierung"? Hier geht es nicht etwa um den (stagnierenden) Markt für Stand-PCs, sondern vorwiegend um mobile Klein-PCs, nämlich Tablets, Smartphones usw.

Hier wiederum herrscht ein ganz anderes Vertriebsparadigma als für den althergebrachten Markt mit Stand-PCs. Die überwältigende Mehrheit aller derartigen Handhelds werden im Rahmen eines Zwei- oder Dreijahresvertrags über Mobilfunkunternehmen vertrieben.

Vorbild iPhone

Microsofts Geschäftsstrategie folgt hier dem höchst erfolgreichen Vorbild von Apples iPhone. Im Interesse der Mobilfunker ist, dass die Kunden ihren Handheld eben nicht über entsprechende Software - a la iPhone-"Jailbreaks" - entsperren können.

Microsoft wiederum hat das entsprechende Interesse, dem Kunden nach Vorbild Apples weitere Produkte (Filme, Musik etc.) zu verkaufen. Das UEFI verhindert, dass sich der Kunde mit einem anderen Betriebssystem aus diesem Geschäftsmodell verabschiedet.

Das Szenario

Mit "Produktdifferenzierung" ist also folgendes Szenario gemeint: Ein Hersteller von Tablet-PCs liefert eine Großserie dieser Geräte aus, die ausschließlich Windows 8 booten und nur SIM-Cards von ausgewählten Mobilfunkpartnern akzeptieren.

Für Microsoft sind Betriebssystem und Browser Marketinginstrumente, um anderes zu verkaufen, die Mobilfunker versuchen mit Tablets/Smartphones der Konkurrenz Kunden abzujagen. Also subventioniert man die Mobilgeräte aus dem Marketingbudget.

Im UEFI-Konsortium sitzen neben Microsoft von Intel bis AMD, von IBM bis HP vor allem Hardwareproduzenten, die ihre Hardware künftig mit Schlüsseln versehen werden. Auch Apple ist im Konsortium vertreten, Google und sämtliche Hersteller von Android-Handys hingegen fehlen.

Teurer ohne Betriebssystem

Was das alles zusammen heißt? Es wird definitiv schwieriger werden, auf Netbooks, Tablets und PCs alternative Betriebssysteme zu installieren. In Großserie gefertigte Geräte, die nur das kostenpflichtige Windows 8 booten, könnten dann billiger angeboten werden als "freigeschaltete", also solche ohne Betriebssystem. Diese "Produktdifferenzierung" gefällt naturgemäß den Hardwareherstellern, weil sie den Absatz steigert.

Microsofts Reaktion

Und an diese reichte Microsoft den Schwarzen Peter auch prompt am Donnerstag weiter, nachdem sich die anfängliche Unruhe vor allem in der Blogosphäre erheblich ausgeweitet hatte.

Es stehe den Hardwareproduzenten ja frei, diesen "Secure-Boot-Vorgang" mit Schlüssel-Authentifizierung optional zu machen, hieß es vonseiten Microsofts.

Sicherheit, Geschäftskalkül

Was das verblichene "Trusted Computing" angeht, so sind die damaligen Argumente jenen von Van der Hoeven zur Einführung von Authentifizierung und Schlüsselhinterlegung in der Hardware verblüffend ähnlich.

Zum Ende des auch als "Palladium" bekannten "Trusted Computing" hatte Professor Andersons Analyse von 2003 wesentlich beigetragen. Dagegen mobilgemacht hatten auch Bürgerrechtsorganisationen wie das Electronic Privacy Information Center.

Der eigentliche Einführungsgrund, ein dahinterstehendes Geschäftskalkül, ist diesmal nicht ganz so offensichtlich. Damals drehte sich alles um "Digital Rights Management", bei dem es nicht um die Sicherheit des Kunden, sondern um die Absicherung des PC gegen den Kunden ging.

Schlüsselhinterlegung in der Hardware und
Authentifizierung dienten nur dazu, nicht autorisiertes Kopieren von Musik- und Videodateien zu verhindern.

Epilog: "Chernobyl"

Was BIOS-Schadsoftware betrifft, so hieß der erste Angreifer offiziell "Win CIH", bekannter ist er unter dem Alias "Chernobyl". Er verbreitete sich etwa ein Jahr lang unauffällig, am 26. April 1999, dem Jahrestag der Katastrophe, schlug "Chernobyl" dann zu. Zuerst wurde der Bootsektor der Harddisk mit Nullen überschrieben, dann griff er die BIOS-Chips mehrerer Hersteller an und überschrieb auch diese. Das Resultat waren massenhaft Elektronikschrott vor allem in Asien und neue Aufträge für die Hardwarehersteller ebendort.