»Secure Boot« ist ein Gefängnis

Veröffentlicht am 2. Januar 2013 von Elias

Ich finde es unfassbar, dass Menschen nicht verstehen können, was ich gegen die Idee habe, die von Microsofts Werbelügnern als »Secure Boot« genannt wurde, damit niemand sofort die Zumutung darin bemerkt.

Deshalb hier eine kurze Zusammenfassung:

Microsoft sagt dir: Wir schließen den Computer ab, so dass er sicher vor Angriffen ist.

Microsoft sagt dir nicht, obwohl genau das der Kerngedanke hinter der »Idee« ist: Den Schlüssel behalten wir. Wenn du aus irgendeinen Grund selbst etwas anderes mit dem von dir gekauften und bezahlten Computer machen willst, zum Beispiel ein anderes Betriebssystem wie Linux, FreeBSD, Haiku oder auch nur eine ältere Version von Microsoft Windows darauf installieren und anschließend booten möchtest, bist du immer darauf angewiesen, dass wir deinen Rechner dafür aufschließen.

Wer das Problem darin nicht versteht, betrachte die folgende Analogie.

Ein Schlüssel, den man selbst besitzt, kann die Sicherheit erhöhen. Jedes Haustürschloss belegt das.

Ein Schlüssel, mit dem abgeschlossen wird und den man nicht selbst besitzt, sondern der von jemanden anders zum Öffnen und Schließen der Türen verwendet wird, ist etwas sehr anderes. Es ist der Schlüssel zu einer Gefängniszelle.

Der Computer ist in ein Gefängnis verwandelt worden. Der Nutzer nimmt jedes Mal, wenn er den gekauften und bezahlten Computer benutzt, Platz in einem Gefängnis. Microsoft hat sich zum Gefängniswärter gemacht. »Secure Boot« ist ein technisches Gefängnis.

In der Tat: Ein Gefängnis schafft »Sicherheit«. Man kann jemanden vor Schaden bewahren, indem man ihn einfach einsperrt.

Dennoch würde kaum jemand auf die Idee kommen, Geld dafür zu bezahlen, seine Freiheit abzugeben und Platz in einem Gefängnis zu nehmen.

Genau das verlangt Microsoft von mir, von dir, von allen. Allerdings ohne vorher zu fragen, ob wir das überhaupt wollen.

Microsoft hat mit seiner Marktmacht alles dafür getan, dass möglichst viele Computer zu technischen Gefängnissen umgebaut werden. Computer, die das von Microsoft vergebene Zertifikat bekommen, geeignete Hardware für Windows 8 zu sein, müssen »Secure Boot« unterstützen und standardmäßig aktivieren. Sonst bekommen sie das Zertifikat nicht. Die Hersteller können dann auch nicht den Microsoft-Aufkleber »Certified for« auf ihre Computer kleben und in die Reklame stempeln lassen. Menschen, die uninformiert sind und nicht um die Hintergründe wissen, werden mehr oder (zumeist) minder bewusst ihre Kaufentscheidungen von diesem Microsoft-Aufkleber mitbestimmen lassen. Natürlich steht auf diesem Aufkleber nicht der wahre Satz: »Dieser Computer ist werksseitig als ein technisches Gefängnis konzipiert«, aber genau das sagt dieser Aufkleber. In wertheischedem Silber, mit neuem Windows-Logo.

Windows 8: Jail by designDieser Aufkleber sollte jedem Menschen sagen: »Kauf diesen Computer nicht, denn er schränkt deine Freiheit ein; er fügt einem wichtiger werdendem Teil deines Daseins eine künstliche Abhängigkeit von Dritten hinzu, die nicht erforderlich ist und er ist ein technisch konstruiertes Gefängnis. Computer ohne diesen Aufkleber sind vielfältiger verwendbar und kommen ohne diese Nachteile daher.«

Aber ich lebe – genau wie jeder Leser dieses marginalisierten Textes – in einer Zeit, in der man als naiver Traumtänzer gilt, wenn man von Werbern fordert, dass sie die Wahrheit sagen. Und ich lebe leider nicht in einer Zeit, in der solche offenen und käuferverachtenden Lügen und Irreführungen juristisch verfolgt werden.

Für Menschen, denen ihre Freiheit etwas bedeutet, gibt es nur eine vernünftige Reaktion auf diese Zumutung: Geräte, die werksseitig als technisches Gefängnis gebaut sind, nicht zu kaufen.

Die Reaktion einiger Linux-Distributionen, Microsoft Geld dafür zu bezahlen, dass Microsoft das Gefängnis für die Installation dieser Software aufschließt, ist keine vernünftige Reaktion. Ganz im Gegenteil: Es ist eine dumme Reaktion, wenn man sich ohne Not freiwillig in ein Gefängnis begibt und seine Freiheit aufgibt. Die Vorgehensweise Microsofts hat jede nur denkbare Ächtung verdient. Wenn einem einer einen Platz im Gefängnis anbietet und dabei von »Sicherheit« faselt, ist selbst ein aufrechtes Leben in Zelten vorzuziehen.

Wer das immer noch nicht versteht und mich für einen Fundamentalisten hält, der sich in idiotischen Gedanken verrannt hat, möge sich selbst – oder noch besser: Microsoft – nur eine einzige Frage stellen: Was ist der zusätzliche »Sicherheitsgewinn«, der dadurch entsteht, dass der Schlüssel bei Microsoft bleibt? Welche »Sicherheit« ginge verloren, wenn jeder Käufer eines Computers den Schlüssel selbst erhielte und so verwendete, wie er es für richtig hält? (Klar, er müsste dann bootfähige Software selbst signieren. Das ist der Preis dafür, dass dieses technische »Schloss« am Computer angebracht wird. Im Zeitalter des Internet würden sehr schnell laientaugliche Beschreibungen, wie das gemacht wird, frei verfügbar sein, so dass das Problem nicht so groß wäre.)

Diese einfache Frage zeigt das Ausmaß der Entmündigung und Enteignung, die Microsoft am liebsten der gesamten Menschheit zumuten möchte, am deutlichsten.

Mit jemanden, der so auftritt, verbietet sich die Kooperation. Die Idee eines freien und von allen Beteiligten so weit wie möglich selbstbestimmten Miteinanders hat Microsoft einseitig und ohne einen anderen Grund als seine grenzenlose Profitgier verworfen. In einer besseren Welt als der derzeitigen, in einer Welt, in der Recht nicht aus den Gesetzen und der politischen Lobbyarbeit der Besitzenden besteht, wäre dieser Versuch Microsofts illegal und würde verfolgt.

Und nein, die »Sicherheit« von Microsoft Windows – das selbstverständlich von Microsoft auf den Rechner gelassen wird – verändert sich durch »Secure Boot« nicht im Geringsten. Es wird auch weiterhin das Lieblingsbetriebssystem der organisierten Internet-Kriminalität sein. Wer hingegen aus Sicherheitsgründen – zum Beispiel für einigermaßen vertrauenswürdiges Online-Banking oder garantiert nicht von irgendwelchen Trojanern der Verbrecher oder der Staaten mitgeschnittene Kommunikation – ein sauberes Betriebssystem von einem Speicherstick booten möchte, bekommt diese zurzeit noch bestehende Option zur Erhöhung der Sicherheit und zum Schutz der Privatsphäre fortan nicht mehr eingeräumt.

»Secure Boot« ist als Wort eine Lüge.

Das, was mit dem Wort »Secure Boot« bezeichnet wird, ist ein Gefängnis.

Microsoft ist dein Feind.

Und. Diese »Sicherheit« macht nur unfrei.

Ins Gefängnis gehören die Entscheidungsträger von Microsoft, nicht die Käufer von Computern.

Nachtrag-Link vom 9. März 2015: Netzpolitik.org – Vor Windows 8 wird gewarnt

Halb-OT-Nachtrag vom 12. August 2015:

Der Hauptzweck von WPBT besteht darin, wichtige Software auch dann zur Verfügung zu stellen, wenn ein Betriebssystem verändert oder in einer ’sauberen‹ Konfiguration neu installiert wird

Nachtrag-Link vom 31. Dezember 2015: 32C3: Kryptologe warnt vor dem »Botnetz« Windows 10

Nachtrag-Link vom 10. August 2016: Kardinalfehler: Microsoft setzt aus Versehen Secure Boot Schachmatt

Nachtrag-Link vom 31. Januar 2019: Ein Microsoft-Update des Schlangenöls »Windows Defender« führt dazu, dass Rechner mit »Secure Boot« nicht mehr hochfahren.

Nachtrag-Link vom 14. Mai 2024:

Das bedeutet, dass Secure Boot nun überhaupt keinem damit signierten Loader mehr vertraut, egal, ob sicher oder unsicher. Und das sind alle seit 2012 erschienenen Windows-Bootloader, weil Microsoft für alle dasselbe Zertifikat nutzte. Ausgenommen ist alles, was vor Windows 8 erschien […] Microsoft wird die Änderungen aber trotzdem auf allen UEFI-PCs einspielen. Grund ist ein weiteres Secure-Boot-Problem, das bislang in der öffentlichen Wahrnehmung eher unter dem Radar flog: Das von Microsoft zum Signieren der Windows-Loader verwendete Zertifikat enthält ein Ablaufdatum

Nachtrag-Link vom 17. August 2024:

Manche Windows-Rechner, auf denen das am 13. August veröffentlichte Update installiert wurde, starten die Installationsmedien und Live-Systeme mancher Linux-Distributionen nicht mehr. Betroffen ist nach unseren Recherchen auch das aktuelle Ubuntu 24.04 LTS sowie darauf aufsetzende Live-Systeme wie zum Beispiel Desinfec‹t. Die Ursachen sind, wie auch bei vorherigen Windows-Updates, die Linuxe am Booten hinderten, veraltete Linux-Bootloader, die bereits seit einiger Zeit als unsicher bekannt sind

Veröffentlicht unter Technisches | Verschlagwortet mit , , , , , , , , , | 17 Kommentare

Bing: Hotlinking als Geschäftsmodell

Veröffentlicht am 19. Dezember 2012 von Elias

Hotlinking war bislang ein Problem, das mir vor allem bei irgendwelchen fragwürdigen Web-2.0-Sites begegnete, bei denen Leute massenhaft Inhalte aus irgendwelchen Websites in ihre Profile einbetten. Bevor ich dagegen strikt vorgegangen bin, hat es zeitweise ein Drittel des Traffics auf diesem Server ausgemacht, dass Leute irgendwelches Dekorationsmaterial auf diese Weise beschafften – und das bei Inhalten, die unter Piratenlizenz lizenziert sind und damit beliebig kopiert werden dürfen, die also in die Profile hochgeladen werden können. Eine höchst hirnlose Methode, anderen Leuten technische Probleme zu bereiten.

Nun, ich habe mir beholfen, indem ich ein paar Zeilen für bestimmte Websites in meine .htaccess aufgenommen habe, die einen kleinen Rewrite der angefragten URL in Abhängigkeit vom Referer machen. So bekamen diese Leute dann Bilder, die sie gewiss nicht so gern haben wollten, und nach wenigen Monaten hatte sich der Spuk gelegt. Der Server hatte wieder mehr Luft, um Inhalte auszuliefern, die nicht zur Dekoration irgendwo eingeklebt wurden.

So weit, so gut.

Aber das Hotlinking kommt wieder. Denn Microsoft hat jetzt Hotlinking als Geschäft entdeckt. Die Bildsuche bei Bing funktioniert jetzt so, dass sie keinen (mit Thumbnail versehenen) Link mehr auf die Website mit dem Bild macht, sondern das Bild in die Bing-Website hotlinkt. Wer also Bilder auf seiner Website hat, die häufiger einmal gefunden werden, bekommt zwar keine Besucher mehr (und kann so weder um Spenden bitten noch seine Judasgroschen für eingeblendete Reklame kassieren), aber der Server muss den Traffic dennoch stemmen. Dafür sind die Bilder auf einer Website von Microsoft eingebettet und können und werden dort auch von Microsoft in klingende Münze umgewandelt werden¹. Damit das nicht so asozial klingt, wie es ist, spricht Microsoft lieber von einer Verbesserung für Bing-Nutzer.

Nun, ich bin nicht Presse und ich fordere kein Leistungsschutzrecht (und halte das Urheberrecht in jeder Weise für einen großen Hemmschuh, der nicht so bleiben darf), aber ich finde dennoch, dass diesem asozialen »Geschäftsmodell« ein Riegel vorgeschoben werden sollte. Mein Riegel sieht so aus, dass ich eben die .htaccess bearbeitet habe und die folgenden vier Zeilen hinzugefügt habe.

RewriteEngine On
RewriteCond %{HTTP_REFERER} ^http://(.*)bing\. [NC]
RewriteCond %{REQUEST_URI} !^/wp-content/hotlinker.png
RewriteRule .*\.(gif)|(jpe?g)|(png)$ /wp-content/hotlinker.png [L,R]

So sehen die Menschen, die ein Bild über Bings Bildabschnorchelmaschine laden, jetzt ein hübsches Ersatzbild. Dieses Bild darf natürlich jeder unter den Bedingungen der Piratenlizenz nach Herzenslust kopieren und benutzen, nur vom Hotlinking bitte ich Abstand zu nehmen. Die Übersetzungen wurden zum Teil mit Google Translations angefertigt, es kann sich also um schlechte Übersetzungen handeln.

¹Die Vorgehensweise Bings ist nicht vergleichbar mit den Snippets in Suchergebnissen, die von der Suchmaschine selbst gehostet werden und in ihrer Funktion etwa einem Vorschaubild entsprächen, das dem Nutzer einen Eindruck vom gefundenen Inhalt gibt – hier geht es um die vollständige Übernahme von Inhalten auf Kosten desjenigen, der die Inhalte ins Netz stellt. Microsoft tut also genau das, wass die Journaille der BRD Google beim Einfordern eines Leistungsschutzrechtes vorwirft.

Veröffentlicht unter Technisches | Verschlagwortet mit , , , | 5 Kommentare

Ich erinnere mich, als wäre es gestern gewesen

Veröffentlicht am 29. November 2012 von Elias

Im späten Sommer des Jahres 1994 – ich erinnere mich noch daran, als wäre es erst gestern gewesen – hat die Netscape Communication Corporation die Version 0.95beta ihres Browsers Mosaic Netscape zum kostenlosen Download auf ihren FTP-Server gestellt.

Dieser Browser hat insofern Maßstäbe gesetzt, als dass er das erste betont benutzerfreundliche Stück Software war, um sich durchs Web zu bewegen. Er hat einen Weg in das Web für »normale« Menschen eröffnet, hat dem Web einen Platz außerhalb des akademischen Umfeldes und außerhalb der für Außenstehende etwas kryptischen Gemeinschaften irgendwelcher Geeks gegeben.

Das war die Initialzündung für den Irrsinn, den wir alle bis heute erleben. Webbrowser wurden zur selbstverständlichen Software, und der Zugriff aufs Web ist für die meisten »normalen« Menschen (also nicht Fachleute und Autisten) synonym mit dem Zugriff aufs Internet geworden.

Es hat nicht lange gedauert. Im Jahre 1995 und – noch verstärkt – im Jahre 1996 hatte die CeBIT eine auffällige Präsenz des damals irre modern wirkenden Webs und es gab allerhand tolle (wie aus dem Tollhaus) Geschäftsideen, wie man mit diesem für alle Menschen geöffneten Web Geld machen kann. Die Mehrzahl davon ist inzwischen Geschichte, und einige haben zu erstaunlichen Erfolgsgeschichten geführt.

Inzwischen schreiben wir 2012. Das alles ist mehr als anderthalb Jahrzehnte her, also etwa drei Erdzeitalter der IT.

Die Verlegerbrut in der BRD – ich gebe mit diesem Schimpfwort nur einen Teil des Schimpfes und sprachlichen Unrats zurück, mit dem ich als Nutzer und Mitgestalter des deutschsprachigen Internet aus den so bezeichneten Kreisen bei jeder Gelegenheit überschüttet werde – hat es ebenfalls sehr schnell ins Web getrieben, versprach man sich davon doch eine preiswerte und profitable Zweitverwertung der Inhalte, die man eh schon erstellt, um sie auf Cellulose zu stempeln. Niemand hat diese Leute ins Web gebeten, sie haben einfach nur eine Möglichkeit gesehen, dort ihren Reibach zu machen. (Was ich ihnen übrigens nicht verüble.)

Und nun schaut es so aus, dass es der Verlegerbrut in der BRD trotz guter Ausgangslage (eingeführte Marken, die an einen festen Leserstamm gebunden sind und über gute Reputation verfügten) in über anderhalb Jahrzehnten nicht gelungen ist, ein Modell zu entwickeln, das den herbeiphantaiserten Reibach durch Webauftritte in die Kassen spült.

Da würde sich doch jeder fragen, ob dieser Reibach nicht eine Illusion war und ob man nicht besser damit aufhört, Geschäftsideen zu verfolgen, mit denen nichts zu holen ist, um sich ergiebigeren Ideen zuzuwenden.

Nicht so die Verlegerbrut in der BRD. Die findet keine ergiebigeren Ideen und macht in den Dunkelkammern des Deutschen Reichstages versteckte, intransparente Lobbyarbeit, um ihr Lex Baumbestempler, ihr so genanntes »Leistungsschutzrecht« zu bekommen. Dass sie nicht mit dem Urheberrecht zufrieden sind, sondern eine möglichst unmittelbare Geldquelle zum Abzapfen aus dem Internet haben wollen, sagt ja eigentlich schon alles – zum Beispiel, dass man auf Seiten der Verlegerbrut in der BRD genau weiß, dass den aus Elendsschreiberei und Agenturmeldungen zusammengeklöppelten Elaboraten jene Schöpfungshöhe fehlt, die für den urheberrechtlichen Schutz eines Werkes nun einmal erforderlich ist.

Und jetzt vertritt Google – ein Laden, von dem ich nicht viel Gutes sagen kann – ganz öffentlich als Betroffener dieses Unsinnsrechts seine Interessen, und der Verlegerbrut in der BRD fällt nichts anderes ein, als von »Propaganda« zu sprechen.

Wenn die »Qualität« der journalistischen Produkte genau so gut ist wie die Intelligenz in diesem Vorgehen, dann kann ich auf diesen »Qualitätsjournalismus« wirklich gut verzichten.

Veröffentlicht unter Allgemeines | Verschlagwortet mit , , | Schreibe einen Kommentar

Permanentes Mahnmal

Veröffentlicht am 22. November 2012 von Elias

Zu den Projekten, die so klein sind, dass ich sie gar nicht groß mit einer Projektseite an dieser Stelle erwähnen möchte, gehört das Permanente Mahnmal für den Staatstrojaner 0zapftis, bei dem ich befürchte, dass ich es noch lange unverändert stehen lasse.

Übrigens: Auch kleine Dinge können mich sehr aufhalten, es hat deutlich länger als die eine Stunde gedauert, in der ich es eigentlich herunterschreiben wollte. Aber das liegt nicht etwa an irgendeiner Komplexität, sondern nur daran, dass ich mit möglichst einfachen Mitteln ein gutes Design für diese Seite machen wollte. Gutes Design erkennt man meiner Meinung nach daran, dass man es kaum bemerkt, weil es sich nicht aufdringlich in den Weg stellt, dass es aber dennoch eine unverwechselbare Note zum Gesamten beiträgt. Auf einen Versuch, dabei noch kompatibel zum Internet Explorer zu sein, habe ich allerdings verzichtet. Die Menschen, die diesen Browser voller Einschränkungen und Sicherheitsprobleme trotz verfügbarer guter Alternativen noch benutzen, bringen mich nicht mehr dazu, dass ich besonderen Aufwand betreibe. (Zumal es diesen Browser für mein bevorzugtes Betriebssystem nicht gibt.) Immerhin glaube ich guten Gewissens sagen zu können, dass es auch im IE nicht zerschossen und unlesbar aussieht, es fehlen eben nur ein paar subtile Spielereien mit Hintergrundfarben und die gerundeten Ecken in den etwas älteren IE-Versionen.

Wer ebenfalls ein solches Mahnmal auf seinem Webspace hosten möchte, kann einfach zugreifen, es anpassen und – unter den Einschränkungen der Piratenlizenz – damit machen, was immer er möchte. Das bisschen Quelltext ist sehr übersichtlich…

Veröffentlicht unter Technisches | Verschlagwortet mit , , , | Schreibe einen Kommentar

SVG-Download der Facebook-Grafik

Veröffentlicht am 5. November 2012 von Elias

Diese (von mir wie immer in Gimp ausgearbeitete) Grafik…

Facebook ist...

…möchte vielleicht jemand besser machen, als ich das vorhin »auf die Schnelle« gemacht habe. Grundlage dieses kleinen Werkes ist ein von mir mit Inkscape erstelltes SVG im DIN-A4-Hochformat, das ich gern zum freien Download stelle (ZIP-Archiv, 3,3 KiB). Als Fonts werden DejaVu Serif und Arial Bold verwendet. Die Lizenz, unter der dieses Werk bearbeitet und verbreitet werden darf, ist die Piratenlizenz.

Übersetzungen in andere Sprachen sind von mir explizit erwünscht. 😉

Share and Enjoy, but don’t sue me!

Veröffentlicht unter Download | Verschlagwortet mit , , | Schreibe einen Kommentar