UEFI ist jetzt doof, es lebe ModernFW! (zumindest für serverfarmen)

Intel Kicks Off OSTS2019 With New Firmware Initiative, New Cloud Hypervisor, Clear Linux
Written by Michael Larabel in Intel on 14 May 2019 at 05:30 PM EDT. 1 Comment
INTEL -- Intel is running their once internal-only Open-Source Technology Summit (OSTS) in Washington this week but for a first time they have begun inviting customers and industry stakeholders and others to this annual open-source shindig. We're out here for the very interesting event with Imad Sousou and Raja Koduri talking today and some highly interesting technical talks ahead tomorrow. Here is the initial slew of announcements.

New Intel open-source announcements so far include:

ModernFW - Intel has a new initiative around a scalable and secure modern firmware/BIOS replacement with a goal of removing legacy code from the systems... ModernFW is just enough to boot a kernel. I'll be working to obtain more information on ModernFW this week, especially how/if it will tie into Coreboot at all. There's also the matter if/when Intel will be open-sourcing the FSP. I'll be chasing down Raja for a follow-up to that! The initial ModernFW code can be found on GitHub.

Rust-VMM - Intel has posted rust-vmm as a new cloud hypervisor that, yes, is based on the Rust-VMM code.

Clear Linux Developer Edition - Intel is announcing a developer edition flavor of Clear Linux that introduces its new installer, which we stumbled upon last week and wasn't realized was tied to the OSTS announcements. There will also be a new software store/center. Clear Linux will also introduce/expand its software stacks around deep learning and data analytics.

Intel is also assigning more developers for critical system infrastructure open-source projects from GnuPG to the Linux kernel to Bash to others.

Overall, OSTS 2019 should be a very interesting event with Intel clearing ramping up their (open-source) software ambitions. Stay tuned for the live coverage of some quite interesting sessions over the day ahead.

https://www.phoronix.com/scan.php?page=news_item&px=Intel-modernFW-Rust-VMM


soso, ein "open UEFI":
Besonders Cloudanbieter hadern oft mit der aus ihrer Sicht nicht kontrollierbaren Sicherheit der UEFI-Firmware. Große Anbieter wie Google oder Facebook weichen deswegen sogar teilweise auf selbst entwickelte Hardware aus. Intel möchte offensichtlich mit offener Firmware Vertrauen schaffen und die Sicherheit verbessern.

[Update:] ModernFW setzt allerdings weiterhin auf UEFI, denn Code-Basis ist die offene UEFI-Implementierung TianoCore, die vor allem von Intel gepflegt wird und auch als Basis für kommerzielle UEFI-BIOSse dient. ModernFW wirft allerdings beispielsweise die Legacy-Unterstützung über Bord und soll selbst quelloffen sein; der Ansatz ähnelt also eher Microsofts Project Mu oder LinuxBoot als etwa Coreboot.
https://www.heise.de/newsticker/meldung/Intels-freie-ModernFW-soll-bestehende-UEFI-Firmware-ersetzen-4422221.html

Naja, es bleibt alles weiterhin im Rahmen von UEFI. Man will nur für das Server-Segment den alten Code rauswerfen und OpenSource reinnehmen, da große Anbieter der Sache ansonsten kaum trauen können. Sinnvoll, aber sehr kurz gesprungen. Für Consumer ändert sich wenig bis nichts - und die eigentlichen Schwächen von UEFI werden nichtmal gekratzt.

Was sind denn die Schwächen?

Mehr als Coreboot braucht kein Mensch, und SMM, SGX & Co sind einfach nur Angriffsvektoren.

Da stimme ich zu, ich bin mir aber nicht sicher ob er das meinte.

Hmm, die Sache ist doch: Wenn das ein entschlacktes TianoCore ist, dann ist das doch weiterhin ein Layer über Dingen wie Coreboot. Man kann ja durchaus Coreboot mit TianoCore als Payload ausführen, um so ein offenes EFI zu erhalten.

Schlankeres EFI schön und gut, aber irgendwie am Ziel vorbei... sofern ich da jetzt nichts übersehen habe.

Was sind denn die Schwächen?


- ME inside
- Netzwerk-Verbindung im UEFI (Todsünde)
- jedes Poppel-Gerät darf UEFI haben, damit viele BIOSe in einem PC
- anstatt es einfach zu machen, wurde es maßlos aufgebläht
- Riesenaufwand für wenig zählbarer Nutzer (das alte BIOS hat auch funktioniert)
... mir entfallen hier sicherlich auf die schnelle ein paar Gründe.

Dabei will ich die Fortschritte von UEFI gar nicht in Frage stellen. Nur hätte man selbige auch anderswo einbringen können, dafür braucht es UEFI nicht zwingend.

- Riesenaufwand für wenig zählbarer Nutzer (das alte BIOS hat auch funktioniert)

Nunja... ich bin ja auch kein Freund des ganzen High-Level geraffels in den EFI-Varianten, aber in einem normalen Consumer EFI ist ein Großteil davon doch gar nicht enthalten.

Wenn man sich mal so ein IBM Server anschaut, der braucht alleine 2-3 Minuten für all den Nonsense der da im EFI abläuft, bevor er überhaupt anfängt nach einem Bootmanager zu suchen.

Im Consumer-Bereich hat ein EFI imo schon große Vorteile gegenüber eines klassischen BIOS:

- Firmware Updates sind einfach. USB Stick rein, Update auswählen, fertig. Kein "Boote nach DOS und gib kryptischen Kram ein". Updates aus dem OS heraus sind auch wesentlich unkritischer.

- Boot-Manager sind quasi normale Programme, die auf einer FAT32 Partition liegen mit einer Config-Datei daneben. Kein "schreib Kram da hin, dann führe das aus, damit die ersten 512 Byte deiner (hoffentlich richtigen) Platte aktualisiert werden"

- die meisten Consumer-EFIs sind wesentlich einsteigerfreundlicher mit Maus-Bedienung und umfangreichen Hilfestellungen.

- der grundlegende angesprochene Standard sind nicht mehr PCs von 1989. Hohe Auflösungen existieren, Platten werden nicht mehr mit dem CHS Prinzip angesprochen und Datenträger mit >2TB sind auch kein Zukunfts-Ding. Das klassische BIOS hatte hier schon seit Jahren die Kotzgrenze stark überschritten. Und das hat auch nur funktioniert, weil Hardware so eingeschränkt gebaut wurde, dass es noch damit funktioniert.

- ME inside

Die Intel ME hat mit UEFI nichts zu tun. UEFI funktioniert auch auf AMD und ARM Geräten.

- jedes Poppel-Gerät darf UEFI haben, damit viele BIOSe in einem PC

War doch vorher auch schon so.

Back to the good old Bios!

modern UI statt UEFI ist die pest mit cholera ersetzt.

Wenn man sich mal so ein IBM Server anschaut, der braucht alleine 2-3 Minuten für all den Nonsense der da im EFI abläuft, bevor er überhaupt anfängt nach einem Bootmanager zu suchen.

Das hat nichts mit UEFI zu tun, das machen Server so, auch Non-X86.

- Firmware Updates sind einfach. USB Stick rein, Update auswählen, fertig. Kein "Boote nach DOS und gib kryptischen Kram ein". Updates aus dem OS heraus sind auch wesentlich unkritischer.

Dafür braucht es kein UEFI, das gab es auch mit Bios.

- Boot-Manager sind quasi normale Programme, die auf einer FAT32 Partition liegen mit einer Config-Datei daneben. Kein "schreib Kram da hin, dann führe das aus, damit die ersten 512 Byte deiner (hoffentlich richtigen) Platte aktualisiert werden"

Ist FAT mittlerweile Lizenzfrei?

- der grundlegende angesprochene Standard sind nicht mehr PCs von 1989. Hohe Auflösungen existieren, Platten werden nicht mehr mit dem CHS Prinzip angesprochen und Datenträger mit >2TB sind auch kein Zukunfts-Ding. Das klassische BIOS hatte hier schon seit Jahren die Kotzgrenze stark überschritten. Und das hat auch nur funktioniert, weil Hardware so eingeschränkt gebaut wurde, dass es noch damit funktioniert.

Weil Foo nichts taugt muss man das nicht durch etwas ersetzen was noch weniger taugt.

Bei fast allen Non-X86 Systemen war das schon vor Jahrzehnten besser gelöst.

Naja, es bleibt alles weiterhin im Rahmen von UEFI. Man will nur für das Server-Segment den alten Code rauswerfen und OpenSource reinnehmen, da große Anbieter der Sache ansonsten kaum trauen können. Sinnvoll, aber sehr kurz gesprungen. Für Consumer ändert sich wenig bis nichts - und die eigentlichen Schwächen von UEFI werden nichtmal gekratzt.

Ich habe da nochml darüber nachgedacht, Ich glaube die wollen verlorenen Boden wieder gut machen bei den großen Serverfarmen von Google, Facebook, Amazon etc.. die schreiben ja zum Teil ihre eigen firmware um eben das ganze gelumpe nicht zu haben. damit verliert intel natürlich Kontrolle. Außerdem ist Open source sexy auf der PowerPoint Folie. ;)


wenn man bedenkt, daß es open firmware schon Ende der 1990er auf POWER-Macs gab zum booten. Coreboot gibt es ja auch schon seit 1999. Oder Libreboot ohne blobs.

Bei fast allen Non-X86 Systemen war das schon vor Jahrzehnten besser gelöst.

Na nicht falsch verstehen, ich will hier EFI nicht irgendwie als besonders toll an sich hervorheben, aber im Vergleich zum uralten BIOS ist es halt einfach mal ein wesentlicher Fortschritt, der imo eben auch beim Consumer Fortschritte bringt. Also genau anders als hier dargestellt.

Ein PC mit einem normalen BIOS das ich z.B. per USB-Stick einfach in sich aus Updaten kann kenne ich persönlich halt nicht. Aber EFI gibt's halt auch schon jetzt schon ~15 Jahre und anfänglich war auch ein EFI optisch vom BIOS nicht großartig zu unterscheiden.

Aber ein klassisches BIOS arbeitet halt im 16bit Modus und braucht braucht irre viele Kniffe, Hacks und Workarounds, damit ein moderner PC überhaupt damit booten könnte. Diese Hacks und Workarounds ziehen sich halt durch alle Hardware die halt ebenfalls Workarounds und Hacks brauchen, damit der Scheiß überhaupt erkannt werden kann.

Es ist schön, wenn wir diesen uralten Ballast endlich mal über Board werfen können, siehe z.B. https://www.heise.de/newsticker/meldung/Intel-UEFI-BIOS-verliert-2020-die-BIOS-Kompatibilitaet-3890747.html Natürlich wäre mir ein minimalistischer Ansatz wie Coreboot lieber, aber solche Systeme gibt's halt eher selten, aber zurück zum BIOS will ich persönlich halt nicht. Und wie gesagt, Coreboot ist ein Layer unter UEFI.

Und klar, Non-x86 Systeme hatten weniger mit Legacy zu kämpfen und konnten somit schneller "modernisieren", aber trotzdem sind quasi alle x86-Alternativen zugrunde gegangen. Hilft uns also heute auch nicht.

Moderne ARM-Systeme verwenden ebenso UEFI. Kleine ARM SoCs verwenden gar nichts, sondern fest verschaltete Logik. Letzteres ist auch nicht so geil, weil man für jeden SoC die Bootlogik in den Kernel einbauen muss.

Ein PC mit einem normalen BIOS das ich z.B. per USB-Stick einfach in sich aus Updaten kann kenne ich persönlich halt nicht. Aber EFI gibt's halt auch schon jetzt schon ~15 Jahre und anfänglich war auch ein EFI optisch vom BIOS nicht großartig zu unterscheiden.

Also hier steht nichts von EFI, und da habe ich per USB geflasht:

Handle 0x0000, DMI type 0, 24 bytes
BIOS Information
Vendor: American Megatrends Inc.
Version: 0806
Release Date: 04/14/2010
Address: 0xF0000
Runtime Size: 64 kB
ROM Size: 1024 kB
Characteristics:
ISA is supported
PCI is supported
PNP is supported
APM is supported
BIOS is upgradeable
BIOS shadowing is allowed
ESCD support is available
Boot from CD is supported
Selectable boot is supported
BIOS ROM is socketed
EDD is supported
5.25"/1.2 MB floppy services are supported (int 13h)
3.5"/720 kB floppy services are supported (int 13h)
3.5"/2.88 MB floppy services are supported (int 13h)
Print screen service is supported (int 5h)
8042 keyboard services are supported (int 9h)
Serial services are supported (int 14h)
Printer services are supported (int 17h)
CGA/mono video services are supported (int 10h)
ACPI is supported
USB legacy is supported
LS-120 boot is supported
ATAPI Zip drive boot is supported
BIOS boot specification is supported
Targeted content distribution is supported
BIOS Revision: 8.15


Aber ein klassisches BIOS arbeitet halt im 16bit Modus und braucht braucht irre viele Kniffe, Hacks und Workarounds, damit ein moderner PC überhaupt damit booten könnte.

Und ein 8Mb großes Blog was im wesentlichen die erste Bootstage von einem Medium laden soll ist kein Hack und kein Workaround? Zum Vergleich: In 8Mb passt ein komplettes openwrt (incl. Bootloader) und dann ist noch Platz frei.

Moderne ARM-Systeme verwenden ebenso UEFI. Kleine ARM SoCs verwenden gar nichts, sondern fest verschaltete Logik. Letzteres ist auch nicht so geil, weil man für jeden SoC die Bootlogik in den Kernel einbauen muss.

Handys, Waschmaschinen, Kühlschränke und Fernseher haben UEFI? In so einem kostensensitiven Markt 8Mb für einen Bootloader verbauen?

- Boot-Manager sind quasi normale Programme, die auf einer FAT32 Partition liegen mit einer Config-Datei daneben. Kein "schreib Kram da hin, dann führe das aus, damit die ersten 512 Byte deiner (hoffentlich richtigen) Platte aktualisiert werden"

Von sich aus suchen viele (alle?) Consumer-Uefis den Bootloader nur an genau einem Pfad (wo Windows ihn ablegt) und finden dann ohne z.B. efibootmgr gar nichts mehr zusätzlich.

Also hier steht nichts von EFI, und da habe ich per USB geflasht:

Keine Ahnung auf was das aufbaut, aber das Jahr 2010 riecht schon stark nach EFI, auch wenn es sich nach außen hin nicht dafür ausgeben mag. Mein MacBook aus dem Jahr 2007 hatte auch schon EFI.


Handys, Waschmaschinen, Kühlschränke und Fernseher haben UEFI? In so einem kostensensitiven Markt 8Mb für einen Bootloader verbauen?

Ich red hier von Computern und Servern. Wegwerf-Hardware wie Handies und Co. sind halt Embedded Kram und haben das Problem, was ich genannt habe: Außer der Software vom Hersteller kriegst du dort so ziemlich exakt nichts anderes darauf gestartet, außer du passt z.B. einen Linux Kernel genau für dieses eine Gerät noch einmal extra an. Und nein, eine Android Custom ROM ändert an dem Hersteller-Kram auch nichts.

Hätten die Teile eine vorgelagerte Firmware, dann bräuchte der Linux Kernel nicht Code für jeden probeligen ARM SoC auf der Welt und man müsste Handys auch nicht alle 2 Jahre in die Mülltonne werfen, mal überspitzt ausgedrückt. Irgendwer muss halt die Hardware-Initialisierung machen.

Von sich aus suchen viele (alle?) Consumer-Uefis den Bootloader nur an genau einem Pfad (wo Windows ihn ablegt) und finden dann ohne z.B. efibootmgr gar nichts mehr zusätzlich.

Na das BIOS suchst selbst auch gar nichts, sondern führt immer nur die ersten 512 Byte der Datenträger aus. Aber einmal dem EFI gesagt "hier, starte folgendes Programm", brauchst du hinterher den ganzen Kram auch nicht mehr anfassen. Mein rEFInd läuft hier schon seit 2013 und sucht sich allen Kram selbst zusammen.

Aber einmal dem EFI gesagt "hier, starte folgendes Programm", brauchst du hinterher den ganzen Kram auch nicht mehr anfassen.
Ausnahme ist Clear CMOS (was man auch nach jedem Uefi-Update machen sollte), dann darf man es dem Uefi erneut beibringen. Das kommt natürlich immer irgendwie zur Unzeit...

War das gute alte BIOS eigentlich die sicherste Variante von allen?

Natürlich wäre mir ein minimalistischer Ansatz wie Coreboot lieber, aber solche Systeme gibt's halt eher selten, aber zurück zum BIOS will ich persönlich halt nicht.


Echte Männer-PCs haben textbasiertes BIOS!

Im Ernst: Ich stimme Dir generell zu. Was ich mag, ist der minimalistische Gedanke. Sprich: Das beste wäre ein BIOSv2, welches die Altlasten abwirft, aber dennoch keinen neuen Unsinn reinbringt.




War das gute alte BIOS eigentlich die sicherste Variante von allen?


Katastrophales Durcheinander (BIOS) gegen aufgemachtes Scheunentor (UEFI) ... unklar, wer da "gewinnt". Aber UEFI hat es wenigstens den bösen Raubmordkopierern etwas schwerer gemacht - wichtiger Zusatznutzen für Consumer!

War das gute alte BIOS eigentlich die sicherste Variante von allen?

Nein:
coreboot comes with a minimal Trusted Computing Base which reduces the general attack surface. It also supports a secure boot process called VBOOT2. It’s written in MISRA-C standard and provides other languages like Ada for formal verification of special properties. Also the use of platform features like IOMMU, flash protections and deactivated SMM mode increases the security as well.

-> https://www.coreboot.org/users.html

Damit kann dann so was bauen: https://www.crowdsupply.com/design-shift/orwl

Ausnahme ist Clear CMOS (was man auch nach jedem Uefi-Update machen sollte)

Kommt jetzt aber auch auf das Update an. Das ist auch gerne noch ähnlich wie bei "Du musst Windows neu starten, nachdem du $programm installiert hast". Wenn halt nur nur die Kompatibilität zu irgendwelcher Hardware verbessert, oder der Microcode aktualisiert wird, musst du nicht gleich die komplette Config löschen.

Nur passen die kurzen Changelogs dann häufig nicht so recht zu den Major-Versionssprüngen der Firmware-Version und einem fallen noch haufenweise weitere Änderungen auf etc. Wenn es dann klemmt, führt man das häufig auch nicht unmittelbar auf das Update zurück, irgendwas spinnt oder man merkt irgendwann, dass Geräte fehlen, weil irgendwelche Anschlüsse nicht mehr funktionieren. Alles schon selbst oder bei anderen erlebt.

Eben das spricht ja auch gegen Uefi: Es ist eine Blackbox, bei der die Hersteller rumpfuschen bis zum geht nicht mehr.

Intel updatet UEFI Module am laufenden Band, aber die Hersteller pflegen es kaum zeitnah ein. Und ein Changelog bekommt man fast nie.

UEFI hat effektiv in den letzten Jahren nicht wirklich viel gebracht. Fast Boot ist ein Fehlerteufel und gehört immer deaktiviert. Aus der CPU Erkennung wurde aus Sicherheitsgründen ein reine Freigabeliste. Für neue CPUs braucht es immer ein Bios Update.


Und ich erinnere mich zu gut an Asus Armory Crate, dass von heute auf morgen abgestellt wurde und seither nicht mehr geht. Warum? Sämtliche UEFI basierten Tools scheinen bei Asus anfällig für Hacker gewesen zu sein.

Eben das spricht ja auch gegen Uefi: Es ist eine Blackbox, bei der die Hersteller rumpfuschen bis zum geht nicht mehr.

Das tun sie so oder so, sei es BIOS, EFI oder irgend eine andere Firmware. Closed Source lädt ja geradezu dazu ein. Klar wäre direkter Coreboot Support wunderbar, aber das ist noch unrealistischer als First-Class Linux Support in Consumer-Geräten. Und dazu müssten sie einfach nur konform funktionieren und nicht verbuggten Mist raus bringen. Aber auch das klappt nicht.

Hier ist die Situation ähnlich wie bei Android. UEFI selbst ist mit TianoCore OpenSource, aber das selbst bringt einem nichts, weil die darunterliegende Firmware fehlt. Und einfach TianoCore auf die Hersteller-Firmware flashen geht halt in der Regel auch nicht.

Ansonsten muss man sich halt im POWER Umfeld umsehen, wenn man die Kohle hat: https://www.raptorcs.com/TALOSII/ Im Consumer-Umfeld sehe ich zumindest bei x86 keine Hoffnung auf einen Umbruch.

War das gute alte BIOS eigentlich die sicherste Variante von allen?
Nein. Das BIOS an sich ist nicht sicher, es hat aber recht wenig Angriffsfläche aufgrund der Tatsache, dass es fast nichts kann. :freak: (U)EFI ist eine Art Mini-Betriebssystem, welches auch noch eigene Module nachladen kann und es fungiert oberhalb des eigentlichen Betriebssystems. Sprich, mit einem schädlichen EFI-Netzwerkmodul könnte man sämtliche Sicherheitsmaßnahmen des Betriebssystems aushebeln. Das EFI-Netzwerkmodul bringt eigene Treiber, eigenen TCP/IP-Stack mit etc. Hier könnte man den gesamten Netzwerkverkehr abschnorcheln.

Fast Boot ist ein Fehlerteufel und gehört immer deaktiviert.
Echt? Seit wann das? Hmm, hab das immer aktiviert, zugegeben, PC braucht trotz SSD 30 Sekunden und mehr bis WIN aber dachte das sei normal bei ASUS Mainboards... :uponder:

Nein. Das BIOS an sich ist nicht sicher, es hat aber recht wenig Angriffsfläche aufgrund der Tatsache, dass es fast nichts kann. :freak: (U)EFI ist eine Art Mini-Betriebssystem, welches auch noch eigene Module nachladen kann und es fungiert oberhalb des eigentlichen Betriebssystems. Sprich, mit einem schädlichen EFI-Netzwerkmodul könnte man sämtliche Sicherheitsmaßnahmen des Betriebssystems aushebeln. Das EFI-Netzwerkmodul bringt eigene Treiber, eigenen TCP/IP-Stack mit etc. Hier könnte man den gesamten Netzwerkverkehr abschnorcheln.
Ah so. Na, wir werden eh nicht mehr zum guten alten DOS-Style BIOS zurück kommen. Auch wenn es was nostalgisch archaisches hatte.

Bei Ultra Fast Boot kommen die Probleme eher durch den Grafiktreiber als durch das Feature an sich.

Nein. Das BIOS an sich ist nicht sicher, es hat aber recht wenig Angriffsfläche aufgrund der Tatsache, dass es fast nichts kann. :freak: (U)EFI ist eine Art Mini-Betriebssystem, welches auch noch eigene Module nachladen kann und es fungiert oberhalb des eigentlichen Betriebssystems. Sprich, mit einem schädlichen EFI-Netzwerkmodul könnte man sämtliche Sicherheitsmaßnahmen des Betriebssystems aushebeln. Das EFI-Netzwerkmodul bringt eigene Treiber, eigenen TCP/IP-Stack mit etc. Hier könnte man den gesamten Netzwerkverkehr abschnorcheln.

Ich finde gerade den Vortrag nicht an den Ich denke, wo das ganze Konzept mal seziert wird mit effektiv mehreren Betriebsystemen, die im Hintergrund intransparent für den Benutzer des Rechners im Hintergrund laufen. Ziemlich beängstigend. intels Mangement Engine macht das auch, schön im verborgenen den Rechner kontrollieren. :eek:

Aber dieses hier führt auch eine Menge auf, warum Google von UEFI weg will:

https://osseu17.sched.com/event/ByYt/replace-your-exploit-ridden-firmware-with-linux-ronald-minnich-google
https://www.youtube.com/watch?v=iffTJ1vPCSo&
https://schd.ws/hosted_files/osseu17/84/Replace%20UEFI%20with%20Linux.pdf

Und eigentlich auf jedem Hackerkongress wie dem Chaos Communication congress gibt es Seminare und Vorträge über die Mängel von UEFI.

Mit Open Firmware haben schon die letzten POWER Macs gebootet. Linuxboot, Libreboot, coreboot und noch ein paar Alternativen gibt es. Das alte IBM-PC BIOS ist wirklich zu schwach und zu dumm um heutige hochkomplexe Prozessoren zu initialisieren. Und es erfordert den realmode. :freak:

noch ein paar Vorträge:

12NApRC8ZXc

QDSlWa9xQuA


Muss man sich wundern, daß nicht mehr passiert.