Pro Hardware-Schreibschutz

Vorteile eines Hardwareschreibschutzes an den Datenspeichern

 

Der wesentliche Vorteil eines fest verdrahteten Schreibschutzes über Hardware ist, dass die Inhalte auf den so gesicherten Speichermedien nicht mehr durch Sicherheitslücken einer Software jederzeit manipulierbar sind. Der Anwender bekommt die vollständige Kontrolle, wann bestimmte Daten im Computer verändert werden dürfen.

Ein HW-Schreibschutz zwingt einen Angreifer entweder am System physisch aktiv zu werden, oder der Angreifer muss ein Computersystem sehr aufwendig überwachen, um es nach jedem Kaltstart durch mögliche Sicherheitslücken während der Kommunikation wieder neu übernehmen zu können. Für Systeme mit einem HW-Schreibschutz müssen Angreifer dann immer komplexere und daher kostspieligere Angriffe entwickeln. Die Entwicklung von Schadsoftware verschiebt sich zu wenigen, leistungsfähigen „Firmen“ mit entsprechendem Know-How. Das sollte die Anzahl der sich lohnenden Ziele reduzieren. Geheimnis- und Entscheidungsträger und auch allzu kritische Journalisten profitieren weniger davon, aber Tante Erna, denn ihr PC läuft nun weniger Gefahr mit Malware infiziert oder Teil eines Botnetzes zu werden.

 

Technische Beispiele für einen sicheren HW-Schreibschutz sind:

-Write-Protection Anschlüsse (WP-Pins) an den FLASH-Speicherbausteinen

-WP- bzw. Vprog- Jumper am WP-Pin vom BIOS-FLASH-Speicher

Nur die Anwendung der WP-Pins an den FLASH-Bausteinen bietet einen 100% sicheren HW-Schreibschutz. Das Blocken der Schreibkommandos ist „fest verdrahtet“ auf dem Silizium der Speicherbausteine selbst vorgegeben und kann nur vom logischen Zustand an diesem Pin gesteuert werden. Die Ansteuerung der WP-Pins zeige ich in „No BadBIOS - Retro Hack“ 

"Security by HW-design" fängt bei mir mit der Verwendung dieser Write-Protect Pins an den Speicherbausteinen an. Alles andere sehe ich als Designfehler an. 

 

Technische Beispiele für einen guten HW-Schreibschutz sind:

-Schreibschutzschalter am USB-Stick oder an einer SATA- DOM SSD

-Die Auswertung der Position vom Plastik-Lock-Schieber vom SD-Kartenleser

-WP-Jumper an den 2,5" SSDs (sehr selten, MIL-Bereich)

Bei den hier aufgeführten Speichermedien wird die Schalterposition meistens durch eine manipulierbare/aktualisierbare und nicht offene Firmware in den Speicherkontrollern ausgewertet. Die Schreibkommandos an die FLASH-Speicher werden dann von der Firmware analysiert und geblockt. Die genaue Blacklist bzw. Whitelist der Kommandos ist nicht bekannt. Die Firmware in den Speichermodulen arbeitet unabhängig und physisch getrennt von den anderen Computerkomponenten und ist daher vor Angriffen weitestgehend geschützt. Viele (die meisten) Exploits und Schadsoftware greifen nicht die Firmware an. Die dem gegenüber trivialeren Angriffe werden aber mit diesem Hardwareschreibschutz erfolgreich geblockt. Diese dem FLASH vorgelagerte hardwareseitige Schreibblockade, auch wenn sie nur von einer Firmware ausgeführt wird, hält sozusagen viele und besonders die unbekannten ferngesteuerten Manipulationsangriffe an der darüber liegenden Ebene der Systemsoftware (MBR und darüber) auf. Diesen Sicherheitsgewinn will ich nutzen.

Erforderlicher Aufwand und Komplexität für eine Manipulation der Firmware und die bisher selten aktive BadFirmware sprechen für einen guten HW-Schreibschutz.

In Schreibschutzschalter am USB-Stick nachrüsten wird ein 100% sicherer HW-Schreibschutz ergänzt. 


Selbst Live-Systeme auf CDs bieten keinen vollständigen HW-Schreibschutz, denn in den optischen Laufwerken arbeiten auch wieder Mikrocontroller mit manipulierbarer Software.  

 

Kein HW-Schreibschutz sind z. B. die Write-Protection-Flags der Dateien oder die Verwaltung der Schreibrechte. Dateiverschlüsselung ist kein Schreibschutz, denn die Datei bzw. der Datenträger kann immer noch gelöscht oder die Datei über Ransomware nochmals verschlüsselt werden.

 

Meine Motivation

1. Die Schadsoftware, die ich als durchschnittlicher Nutzer miterlebe, sind Viren und Trojaner, die sich in der Betriebssystemsoftware und in Programmen eingenistet haben oder auch ein manipulierter MBR. Die wenn-, dann-, falls- BIOS- und Firmware-Schadsoftware ist zwar möglich, aber sie verursacht bei mir bis jetzt nicht die Probleme, die Kosten und den Aufwand, den momentan einfachere Schadsoftware verursacht oder verursachen kann.

Zweifelhafte E-Mails sind immer schlechter zu erkennen. Es soll sich dann wenigstens nichts im Betriebssystem festsetzen können, wenn dennoch eine schädliche E-Mail geöffnet wurde. Der Computer soll fehlertoleranter gegenüber solchen Bedienfehlern werden.

2. Ein Virenscanner bremst mein Computer-System. Er „nervt“ und ist nie aktuell.

3. Ich weiß nie, ob meine Firewall und Sicherheitssoftware richtig konfiguriert sind und auch wirken.

4. Wenn ich doch einen Trojaner oder Schädling im System hatte, installiere ich das Betriebssystem und die Programme neu. Das kostet viel Zeit. (Schneller geht es mit einem vollständigem Festplatten-Image als Backup, aber es kostet auch wieder Zeit.) 

5. Die Cleaner- und Optimier-Programme haben mich genervt, weil sie ein Betriebssystem nur ineffizient aufräumen. Irgendetwas bleibt immer zurück und die stärker optimierenden Tools zerstören mir meine Konfiguration.

6. Am privat genutztem Computer surfe ich im Internet, bearbeite E-Mails, höre Musik und verwende LibreOffice. Ein spezielles Betriebssystem ist dafür nicht erforderlich.

Ein mit Hardware schreibgeschütztes Linux bzw. Live-Systeme sind momentan für meine privaten Anforderungen die beste Lösung.

 

Linux (im Desktop, nicht AndroidLx) sehe ich als ein Betriebssystem mit dem man aktuell deutlich sicherer unterwegs ist. Es ist vermutlich aufgrund seiner noch geringen Verbreitung nicht ein bevorzugtes Ziel von Schadsoftware. Und allein das erhöht schon die Sicherheit in der Praxis. Ich tendiere sogar noch zu der Aussage von Kaspersky, dass es gegenüber Android und Windows sogar noch weniger gute Programmierer gibt. Das würde das Mehr an Schadsoftware auf AndroidLx gegenüber Linux erklären. Gutes Personal zu finden betrifft halt auch die dunklen Bereiche der SW-Industrie ;-).

Argumente die eine vergleichbare Angreifbarkeit von Linux zu Windows herstellen, wenn es nur genug Linux-Desktop Systeme gäbe, vermischen einen aktuellen Zustand (Windows) mit einer zukünftigen Möglichkeit (Linux).

Zudem sollte man doch gerade diesen Zeitvorteil und Lernkurve nutzen, um die (Anwender-)Fehler mit anderen Systemen nicht zu wiederholen.

Die Auswahl eines Betriebssystems ist für mich nicht dogmatisch. In ein paar Jahren ist möglicherweise ein anderes System besser/wird weniger angegriffen. Dann wird dieses gewählt. Microsoft verdeutlicht sehr wohl mit seinen wechselnden Windowsoberflächen, dass ein Anwender sich auch schnell auf neue Bedienkonzepte anpassen soll und zwangsläufig auch muss. (Insofern wundert es mich immer, dass ein Umschulungsaufwand von Windows zu Linux als Kostenfaktor aufgeführt wird, aber die permanent erforderliche Nachschulung für neue Windowsversionen und Oberflächen nie mit berücksichtigt wird.)

Eine Live-System bzw. eine Read-Only Systemsoftware bietet die Vorteile, dass sich viele triviale* Viren nicht einnisten können oder dass offene Sicherheitslücken nicht als Brückenkopf für weitere Manipulationen an der Systemsoftware missbraucht werden. Ich muss keine Systemsoftware mehr neu aufsetzen, um eine Schadsoftware loszuwerden. Auch die nun saubere Zwangstrennung (physisch voneinander getrennte Datenträger) zwischen der nur lesbaren Systemsoftware (Betriebssystem, Programme, Konfiguration etc.) und den variablen Daten (Arbeitsdateien mit den variablen Parametern), ermöglicht zusätzlich ein gezieltes Aufräumen und Entschlacken des Dateisystems. Der Datenträger mit der Systemsoftware bleibt so optimiert, wie ich ihn zu Beginn, oder nach einem Update konfiguriert hatte.

Ein schnelles und über Hardware schreibgehärtetes Linux bzw. ein Live-System und beide mit komfortablen Update und abschaltbarem Hardware-Schreibschutz habe ich mit SATA-DOM SSDs (SATA- Disk On Module) realisiert.

*(Unter „trivialer“ oder „einfacher“ Schadsoftware gehe ich von Computerviren, Exploits und Root-Kits, aus, die weder BIOS oder eine Kontrollerfirmware verändern.)

Ein Windows-System kann ich mit einem HW-Schreibschutz nicht sichern, denn es ist für den Betrieb als Read-Only-System nicht ausgelegt. (29.3.2017) Das stimmt so generell nicht, denn mit einem Enhanced Write Filter Treiber (EWF) werden alle Schreibzugriffe abgeblockt. Dann kann sozusagen als doppelter Boden auch Hardware mit Schreibschutzfunktion eingesetzt werden. Nähere Infos sind in meinem Blog vom 29.03.2017 zu finden.

Ich verwende daher als Basis Linux (Mint). Viele Angriffe von Schadsoftware auf Windows-Systeme könnten mit einem HW-Schreibschutz abgewehrt werden, aber leider wurden Windows-Systeme nicht für eine HW-Write-Protection entwickelt (vermute ich). Oder warum wird immer ein Linux-Live System zum Internet-Surfen, Internet-Banking oder als Desinfec't zum Beseitigen von Viren empfohlen? Sind es Lizenzgründe mit denen sich Microsoft selbst blockiert?

 

Wenn eine Sicherheitslücke veröffentlicht wird, muss ein Schreibschutz erst recht gesetzt sein/bleiben/werden. Denn nun werden viel mehr Angreifer, auch über diese Lücke, Manipulationen in den nicht geschützten Speicherbereichen bis zum nächsten Sicherheits-Patch versuchen. - Wenn überhaupt ein Update geliefert wird (Bsp. Android Sicherheitslücken). Eine fehlerhafte BIOS- oder Systemsoftware wird ohne HW-Schreibschutz dann erst recht zum Sprungbrett für weitere Schadsoftware (BIOS-Rootkit, UEFI-Rootkit).

HW-Schreibschutz alleine ist kein Allheilmittel. Ich sehe aber erhebliche Sicherheitsvorteile und Schadensbegrenzung durch Verringerung der Angriffsfläche. Er muss nur in ein Systemkonzept mit eingeplant werden und ein PC-Nutzer muss die Möglichkeit erhalten ihn zu verwenden. Kein Anwender ist in der Lage sämtliche Sicherheitshinweise für sein Computersystem zu kennen und zu berücksichtigen. Daher sehe ich einen HW-Schreibschutz, der sogar nur für den Bereich der Systemsoftware vorgesehen ist, schon als sehr effizient an. Viele Exploits und Angriffe nutzen SW-Lücken zu weiteren Manipulationen in diesem Systembereich aus, um sich dort im Computer dauerhaft festzusetzen. Mit einem HW-Schreibschutz, nur an der Systemsoftware, werden viele dieser Angriffe verhindert.

Eine weitere Optimierung der Sicherheit betrifft die Anwendung von HW-Schreibschutz am BIOS/UEFI-Speicher und auch an der Kontrollerfirmware der anderen PC-Komponenten. Mit HW-Schreibschutz sollen die bisher noch seltenen BIOS-Rootkits und BadFirmware blockiert werden (s. a. Mac FirmWorm).

 

Werden Betriebssystem, Programme und BIOS (hoffentlich bald auch die Kontrollerfirmware der Systemkomponenten) mit einem HW-Schreibschutz gesichert, ergeben sich folgende Punkte:

 

1. Die so gesicherten Systemkomponenten stehen für den Ausbau eines Angriffs nicht mehr zur Verfügung.

2. Der Einfluss und die Ausführung von Schadsoftware wird zeitlich sehr stark begrenzt und beschränkt sich nur noch auf RAM und die beschreibbaren Speichermedien mit den nicht flüchtigen Arbeitsbereichen und den (wenigen) dort ausführbaren Programmkomponenten. Eine Sicherheitssoftware kann dann fokussierter diese Bereiche überwachen.

3. Eine schreibgeschützte Sicherheitssoftware kann nicht mehr persistent manipuliert werden. Beispielsweise werden gerne Virenscanner als Ziel für Schadsoftware ausgesucht, da ihre Grundfunktion einen administrativen Zugriff auf die ganze System-Software verlangt (s. a. „Vom Jäger zum Gejagten: Kaspersky-Virenscanner ...“). Eine AV-Software kann sogar den Kommunikationskanal gefährden (s. a. Eset NOD32 Antivirus 9 gefährdet https-Verschlüsselung) Diese Angriffsmöglichkeit würde dann entfallen. 

4. Im Schadensfall sind nur die beschreibbaren Arbeitsbereiche betroffen.

     4.1 Das Betriebssystem und die anderen geschützten Bereiche bleiben vertrauenswürdig.

     4.2 Die Beseitigung bzw. Reparatur über ein Backup wird einfacher und zuverlässiger, denn es ist

           nur der Arbeitsbereich betroffen.

5. Wird eine (unbekannte) Schadsoftware im System mit HW-Schreibschutz quasi aus Versehen konserviert, kann sich diese weder selbst ändern, aktualisieren oder sogar löschen. Mit den immer mit Zeitverzug aktualisierten Virenscannern besteht dann sogar die Möglichkeit, einen Angriff im Nachhinein zu erkennen und zu analysieren.

 

Mein Ansatz für eine Systemkonfiguration ist daher:

Jedes Byte, dass zur Laufzeit nicht geändert werden muss, muss bis zu einem erforderlichen Update durch Hardware schreibgeschützt werden.

 

Argumente

Folgende Argumente gegen einen Hardware-Schreibschutz habe ich gesammelt und möchte ich aus meiner Sicht entgegnen:

 

I. „Damit kann der Nutzer nicht umgehen.“

Es werden immer gerne die Nutzer zitiert, die mit einem HW-Schreibschutz gar nicht umgehen können.

Ach ja, aber mit den kryptischen Meldungen einer Firewall oder eines Virenscanners können/sollen diese Nutzer dann umgehen? Und sie sind in der Lage auch einen Virus wieder zu entfernen, ein Betriebssystem wieder zu reparieren oder neu zu installieren? Eine zuverlässige Konfiguration der Sicherheitssoftware wird sogar auch noch erwartet. Was ein BIOS ist und wann und wie ein Update ausgeführt wird, wird dann auch als bekannt angenommen. (s. a. Kap. XV. Updates sollen aus Sicherheitsgründen kontinuierlich möglich sein)

(Mein Herd hat ca. 20 Knöpfe zum Bedienen und ich bin bisher weder verhungert noch abgebrannt.)

Gehe ich durch PC-Märkte, sehe ich Speichererweiterungen, Grafikkarten und viel Hardware zum Einbau in einen Computer. Könnten die Anwender damit nicht umgehen, würden diese Produkte aus den Regalen, infolge zu großer Rücklaufquoten und Servicefällen verschwinden.

Es wird durchschnittlichen Anwendern also viel mehr als nur das Setzen eines Jumpers zugemutet und das meistern sie anscheinend auch erfolgreich.

Ich sehe Hardwareschreibschutz als die Technik an, die das geringste Anwenderwissen über Hard- und Software erfordert, um sich wirkungsvoll gegen Schadsoftware zu schützen. Er liefert einen Basisschutz und ist wartungsfrei.


Nutzerfreundliche Hardware ist vorhanden

Jumper (Kurzschlussbrücke) steht für den technisch umständlichsten Fall. Dieser Begriff wird gerne verwendet, um eine Diskussion über HW-Schreibschutz abzublocken, denn ein Jumper erfordert zu jedem Update ein Öffnen des Computers und die Suche nach einer 2-poligen Stiftleiste auf dem Mainboard. Es wird eine Anforderung an Technologiewissen, manuellen Fähigkeiten und Arbeitsaufwand als Abschreckung aufgebaut, bei der viele Anwender das geistige Handtuch werfen sollen. Es gibt allerdings sehr viele Anwender mit solidem Halbwissen, die bestimmt mit einem einfachen (Schreibschutz-)Schalter direkt am PC-Gehäuse umgehen können. Der bisher verantwortungsvolle Umgang mit dem Reset-Taster und dem AN/AUS-Schalter, gerade von technischen Laien, zeigt mir das;-).


'Jumper' soll hier in den Texten mehr als Synonym für alle technischen Varianten gesehen werden, die zwei Kontakte kurzschließen können, bzw. eine physische Präsenz zum Umschalten eines Hardwareschreibschutzes erfordern.


- Jumper selbst gibt es in vielen Bauformen, die ein Wiederauffinden der richtigen Steckbrücke erleichtern.
Eine rote Bauform mit Grifflasche und Beschriftung vermeidet vor jedem BIOS-Update ein Nachschlagen im Mainboard-Handbuch und eine längere Suche nach der richtigen Steckbrücke.

- Ein kleiner Schalter am Gehäuse (bspw. in der Slotblende) ist nutzerfreundlicher und lässt sich, wie der Reset-Taster, von vornherein für den technischen Laien einbauen. Ein Öffnen des Gehäuses (Garantieverlust?) und die fehlerbehaftete Suche nach der Steckbrücke auf dem Mainboard sind damit nicht mehr vor einem SW-Update erforderlich.

 

Slotblende WP-Schalter BIOS Festplatte
Abb. 1: Slotblende mit WP-Schalter für BIOS u. Festplatte

                              CC-BY-NC 2.0 Volker Kleipa


- Etwas dezenter am Gehäuse sind Stiftschalter mit einer Verlängerung zur Steckbrücke. Als technische Alternative kann auch eine 3,5mm Klinken-Einbaubuchse (s. Kopfhörerbuchse) mit Schaltkontakt verwendet werden. Ein Klinkenstecker schließt dann die Kontakte.

- Ein Neigungsschalter erfordert nur eine neue Positionierung vom PC-Gehäuse...

- Wer die archaische Mechanik eines Schalters nicht mehr gewöhnt ist, liegt mit einem Touch-Sensor am PC-Gehäuse im Trend der Zeit.;-)

- Eine Schraube wird  zum Kurzschließen von zwei Kontakten verwendet (hier intern s. Acer Chromebook C720)

- Reedschalter können so im Gehäuse angebracht werden, dass ein von außen angelegter Magnet den Kontakt schließt. Eine Markierung der Position des Schalters kann auch entfallen, wenn diese von außen nicht ersichtlich sein soll. Zudem sind Reedschalter gut für Laptops geeignet, denn es ist keine Beschädigung (Bohrung) des Gehäuses erforderlich.

- ...  weitere Ideen nehme ich hier gerne auf

Diese Ergänzungen an der Hardware müssen dann nur von den  Herstellern eingefordert werden oder können von technisch versierten Anwendern selbst nachgerüstet werden.


 

II. „HW-Schreibschutz ist teuer.“

Bitte genauer begründen  und was haben Kosten mit prinzipieller Wirksamkeit zu tun?

1. Produktionskosten der Hardware:

Ein WP-Jumper an den FLASH-Bausteinen kostet in der Herstellung und Bestückung nur wenige Cent.

Im Vergleich dazu ist ein Virenscanner in Anschaffung und Wartung 100x teurer. Warum wird der Kostenaufwand von Virenscannern nicht als primärer Kostentreiber für Sicherheitsmechanismen aufgeführt? Zu spät erkannte und im Betriebssystem eingenistete Schadsoftware ist in der Beseitigung noch wesentlich kostspieliger, denn die Systemsoftware sollte nach einem Befall immer neu installiert werden. Microsoft legt eine Neuinstallation für Windows sogar ausdrücklich nahe (s. Help: I Got Hacked. Now What Do I Do? ). Einfache Beseitigungsempfehlungen bzw. Programme zur Reparatur sehe daher als sehr unprofessionell an, denn der Betriebssystemhersteller sollte es am Besten wissen.

Selbst wenn der FLASH-Speicher mit WP-Pins wenige Euro mehr auf den Endpreis meiner SSD ausmacht, bin ich immer noch preiswerter als ein Virenscanner. Ein HW-Schreibschutz benötigt keine Aktualisierung  und ist wartungsfrei.

Auf einem Main-Board werden viele teure Komponenten auf Vorrat verbaut. Beispielsweise sind die SATA-Schnittstellen, PCI-Steckplätze und USB-Ports selten vollständig belegt. Ich möchte diese Komponenten nicht wegdiskutieren. Sie sind vorhanden, wenn ich sie benötige.

Betrachte ich dann sogar den fertig aufgebauten PC, bleiben meistens Kaltgerätestecker, HDMI/DVI Kabel und irgendwelche Bleche und Montagematerial übrig. Gerade die Verbindungskabel von älteren PCs können weiter verwendet werden. Sie werden aber immer noch vorsichtshalber mit ausgeliefert. Die Tendenz ist tatsächlich, diese redundanten Komponenten weg zu optimieren oder als Zukaufmaterial breit zu stellen. Den Grundpreis erhöhen merklich auch die Urheberrechtsabgaben/Pauschalabgaben je PC zusätzlich von mind. 13 €. Selbstverständlich muss den Verkäufern und Herstellern auch ihre Gewinnmarge zugesprochen werden.

Mit der Auflistung dieser Komponenten und Zusatzkosten möchte ich nur zeigen, dass ein weiterer Jumper am BIOS mit ca. 0,04 € (Stiftleiste Conrad), in der gesamten Kalkulation überhaupt nicht mehr ins Gewicht fällt.

Ein serielles SPI-FLASH MX25L4005 mit 4 Mbit kostet beispielsweise 0,46 € bei DigiKey, wenn Stückzahlen in tausend vom Hersteller abgenommen werden. Diese zusätzlichen Centbeträge würden mich nicht vom Kauf eines Main-Boards abhalten, wenn dafür neben den HW-geschützten BIOS ein weiteres und immer beschreibbares FLASH für ECC und variable Systemdaten ergänzt wird. (Ist das BIOS-CMOSRAM für solche Daten nicht ausreichend?) 

Zum Vergleich: Ein Schuko-Kaltgerätekabel kostet über 3 € (je 100 Stück) und landet dann meistens in der Tonne, denn ein anderes Kabel wird weiter verwendet.

 

2. Folgekosten:

Eine überschlagsweise Berechnung sieht folgendermaßen aus:

Ich gehe davon aus, dass pro Rechner (Lebensdauer ca. 3 Jahre) das Betriebssystem mindestens 1x neu, aufgrund eines Trojaners, von der Administration installiert werden muss. Es entstehen ca. günstige 50 € Kosten an Stundenlohn für die Reparatur. Die Zeit, die ein Mitarbeiter dann nicht an seinem Computer arbeiten kann (und dann auch andere Mitarbeiter von der Arbeit abhält;-), betrachte ich mal nicht. Probleme und Folgekosten eines persistenten Trojaner-Befalls (Industriespionage, Sabotage etc.) werden ja ohnehin nicht gerne veröffentlicht.

Eine DOM-SSD/16 GB mit HW-Schreibschutz kostet ca. 30 €/Stück/CASEKING.

Verhindere ich nur einen Trojaner (bspw. Linux) durch den Einsatz eines WP-DOMs, habe ich schon Geld gespart.

->Ein HW-Schreibschutz verringert die Folgekosten von Schadsoftware.

 

Das bedeutet für mich, wenn mit Kosten argumentiert wird, soll dies auch belegt werden.

BIOS-Update-Kosten (Stundensatz) für das Öffnen eines PC-Gehäuses aufzuführen, kommt für mich entweder berechtigt von technischen Laien oder als Totschlag-Argument von einer unflexiblen Administration. Es gibt genug technische Möglichkeiten (s.o.), bei (Reed-)Schaltern am PC-Gehäuse angefangen, die eine Freigabe für ein Update zeitsparend und daher kostengünstig machen. Es wird selbstverständlich erst über eine Optimierung nachgedacht, wenn ein Kosten- oder Zeitdruck besteht. Mit Interesse erwarte ich neue Lösungswege aus der Administration, wenn es Vorgaben für die Anwendung einer HW-Write Protection gibt.

Wie hoch ist im Vergleich dazu der Aufwand, um ein immer schreiboffenes BIOS-Zertifizierungssystem halbwegs sicher zu erhalten?

Einen HW-Schreibschutz würde ich daher nicht pauschal ablehnen, wenn jemand bereit ist, dafür Geld auszugeben (0,04 € /Jumper, 0,46 €/SPI-FLASH oder 30 €/DOM-SSD, - Werte von MRZ. 2015). HW-Schreibschutz könnte sogar als Verkaufsargument (s. BadBIOS) eine Verwendung finden.

Es bestimmt der Anwendungsfall und die Risikobereitschaft, die Schmerzgrenze für Aufwand und Kosten.

 

3. Was brauche ich wirklich?

Ein System sollte nur so sicher wie notwendig und nicht so sicher wie möglich gemacht werden.

Ein Verkäufer von Sicherheitssystemen versucht natürlich den Punkt der „möglichen“ Sicherheit bei seinen Kunden zu ermitteln, den sie noch bereit sind zu bezahlen. Mit einem HW-Schreibschutz (und Linux) kann ich z. B. überlegen, ob die unzuverlässige Wirkung und das Sicherheitsrisiko eines permanent aktiven Virenscanners überhaupt erforderlich sind. Für mich ist ein HW-Schreibschutz die kostengünstigere Variante und ein gelegentlicher Virus-Scan von einem USB-Stick (Desinfec't) gestartet, stellt für mich die notwendige Sicherheit her.

Beispielsweise bei einen PC, der nur zum Internet-Surfen (nicht Banking) verwendet wird, ist das Risiko vom Kosten/Nutzen-Aufwand für mich vertretbar, dass sich eine Schadsoftware zeitweise im Computer (RAM, Browser-Cache) aufhalten darf. Kreditkartendaten (wenn überhaupt) oder Logins werden erst nach einem erneuten Kaltstart und dem direkten Aufruf der Internetseite eingegeben. Die vorhergehende Internet-Sitzung ist dann inklusive der Schadsoftware im Browser-Cache gelöscht. D. h. auch mit kleinen Anpassungen im Nutzerverhalten, können günstigere Konzepte für eine notwendige Sicherheit ermöglicht werden.

Ein gekaufter Virenscanner ist dann die kostspieligere Variante für eine notwendige Sicherheit.

Außerdem, gibt es einen Virenscanner/Heuristik etc., der nur einen Knopf für AN/AUS hat und ein „Einnisten“ von sogar noch unbekannter Schadsoftware in BIOS/UEFI und Systemsoftware verhindert?

Gerade für die Anwender aus der Gruppe „Ich habe ja auch nichts zu verbergen“, wird die notwendig erforderliche Sicherheit bereits mit einem HW-Schreibschutz erreicht. ;-)
Er gewährleistet die noch erforderliche Manipulations- und Sabotagesicherheit vom Betriebssystem. Teure, wartungsintensive (und nutzlose) Virenscanner können entfallen und es kann weiter im bevorzugten Admin-Modus gearbeitet werden. Für SW-Neuinstallationen und Updates ist dann nur noch zuvor und danach ein Schalter zu betätigen. Es ist dann auch nicht mehr erforderlich, sich ein Login- bzw. Admin-Passwort zu merken.

→ Ein HW-Schreibschutz bietet die Möglichkeit, die individuelle notwendige Sicherheit kostengünstiger und einfacher zu erreichen. (Bspw. NSA und BND dürfen nachsehen- Ich habe ja nichts zu verbergen ;-) aber triviale Schadsoftware aus E-Mails soll geblockt werden.)

Das Einsparpotential aller HW-Schreibschutzmöglichkeiten (BIOS-Jumper, DOM-SSDs mit WP-Schalter) können meiner Ansicht nach nur Linux-Anwender mit Live-Systemen ausnutzen.

 

 

III. „Ein Administrator kann doch nicht jeden PC im Unternehmen mehrmals öffnen, um ein BIOS-FLASH für ein Update freizugeben.“

Das Eingangsargument ist ein Kosten und Aufwands-Argument gegen HW-Schreibschutz und kein Sicherheitsargument und gehört daher nicht eine Diskussion, wenn es um die Wirksamkeit von HW-Schreibschutz gehört.

1. Das ist nur viel Arbeit, wenn viele PCs zu administrieren sind, denn nach meinen Erfahrungen musste ein PC-BIOS bisher nur ca. 4x ohne Schreibschutz auskommen.

1x wenn Win8 installiert wird (Win8 Key) und ca. 3x für ein BIOS-Update zur Lebenszeit eines PCs (ca. 3 Jahre). Eine normales Systemupdate kann auch über einen Schalter am PC-Gehäuse komfortabel freigegeben werden. (s. Benutzerfreundliche Live-Systeme mit SATA-DOM SSDs). Erfordert es eine als „notwendig“ definierte Sicherheit, einen PC zu öffnen, dann muss der PC geöffnet und die Kosten für den Aufwand vom Unternehmen getragen werden. („So isses!“ und nicht „Wünsch Dir was!“)

Für mich ist ein PC in erster Linie für den Anwender und nicht für den Administrator da. Für einen Admin gehört dann halt auch mal das unbequeme Öffnen eines PC-Gehäuses vor einem BIOS-Update dazu (ca. 4-mal ... s. o.) - wenigstens beim Chef. Die anderen Computer im Unternehmen können ja digitales Kanonenfutter bleiben. Oder?

Anscheinend ist der Leidensdruck bisher nicht hoch genug, um technische und systemspezifische Lösungen für einen HW-Schreibschutz in Rechnerfarmen zu suchen.

Ein kleiner Schalter an der Rückseite, beispielsweise wie die versteckten Reset-Knöpfe, kommt einem BIOS-Update bestimmt entgegen. (Wir lassen unseren Airbag im Auto ja auch nicht weg, nur weil ihn der Wartungs-Mechaniker schlecht erreichen kann. Und so ein Rundgang durch das Unternehmen dient auch der betriebsinternen Kommunikation ;-)

 

2. Ja, ein HW-Schreibschutz kann auch wie bisher inaktiv bleiben. Es ist aus einer Option doch kein Zwang abzuleiten, einen Schreibschutz einzusetzen. Ein aktiver HW-Schreibschutz stellt eine Verbesserung der Sicherheit dar. Ohne HW-Schreibschutz bleibt die Sicherheit halt beim bisherigen hingenommenen Status quo. Das gilt natürlich auch für den aus Versehen nicht wieder aktivierten HW-Schreibschutz nach einem Update.

Warum werden eigentlich immer die wenigen Administratoren als Argument gegen einen HW-Schreibschutz aufgeführt? Im Vergleich zu den vielen privaten Anwendern können sie aufgrund ihrer Ausbildung und finanziellen Ausstattung wesentlich umfangreichere Sicherheitsmechanismen etablieren. Es kann der Top-Support für die Firma eingekauft werden. Ein HW-Schreibschutz spielt dann in einer Sicherheitsbewertung möglicherweise wirklich nur eine Nebenrolle und stellt oberflächlich gesehen ein Arbeitshindernis dar. Die Firewalls eines Unternehmens können aufgrund der vorhandenen Spezialisten wesentlich effektiver konfiguriert werden. Die besser aktualisierten Profi-Pakete der Virenscanner werden eher eingesetzt (hoffe ich). Auch sollte dort eine Passwortvergabe und Rechteverwaltung restriktiver gehandhabt werden.

Das ist ganz im Gegensatz zu einem privaten Nutzer ohne IT-Ausbildung, der ohnehin meistens direkt an seinem PC sitzt, einen günstigeren und daher funktional eingeschränkten (Home Version) Virenscanner erst gar nicht kaufen möchte, die neuen Sicherheitshinweise aus der Tageszeitung erfährt (wenn überhaupt) und mit einfachen Passwörtern und aus Bequemlichkeit ohnehin immer im Admin-Modus arbeitet.

Was für einen Administrator gilt muss daher noch lange nicht für Tante Erna gelten und umgekehrt. Alle Anwendergruppen in eine Topf zu werfen, ohne deren Individuellen Sicherheitsanforderungen und Möglichkeiten zu berücksichtigen halte ich für sehr unqualifiziert.

Nur weil ein HW-Schreibschutz für bestimmte Gruppen ein „No Go“ ist, z. B. Administration oder DAU, er aber für viele andere Anwender, wie beispielsweise bei einem PC-Schrauber, beim Nutzer zu Hause oder sogar in einem kleinen Unternehmen, eine praktikable, kostengünstige und wirkungsvolle Option darstellt, würde ich diese Hardware-Funktion nicht pauschal aus einem Design verbannen.

Für einen technischen Laien wie Tante Erna sehe ich den Hardwareschreibschutz als unbedingt erforderlich an. Sie ist weder in der Lage die Top-SW Sicherheitsprodukte zu kaufen, konfigurieren und zu warten,  noch kann man ihr zumuten jede EMail und den Anhang genau zu überprüfen. Eine permanenter Befall mit Schadsoftware, von PCs aus dieser Anwendergruppe, wird mit Hardwareschreibschutz m. a. n. hier am besten verhindert.

 

IV. „Das kann alles mit Software und Zertifikaten gelöst werden.“


1.  Ein Computeranwendung besteht nicht nur aus Software. Sie benötigt auch physische Schichten, die sogenannte "Hardware" ;-) (OSI Schicht 1- physical layer).
Eine Analyse und Diskussion zur Computersicherheit, die Anwendungschichten von vornherein nicht berücksichtigt, halte ich für sehr unprofessionell.
Mängel in den Softwarelayern werden interessanterweise gerne dem Layer 8, also dem Anwender, als Verantwortung zugeschoben. (Bspw. "Der Anwender soll auf Executables in den E-Mail Anhänge achten."), obwohl es Mechanismen in der Hardware gibt, die den Anwender in den Folgen einer Fehlbedienung entlasten könnten. (Crypto-Trojaner und andere Schadsoftware mit Timer könnten sich nicht im Betriebssystem festsetzen.) Das Problem, ein Betriebssystem bei Fehlbedienung (EXE im EMail-Anhang...) neu installieren zu müssen, bleibt weiterhin am Anwender hängen. Eine wirksame Schadensbegrenzung erfolgt mit Software letztendlich nicht.
Die Technik des Hardwareschreibschutzes schützt den Anwender auch vor sich selbst. Der Coputer wird fehlertoleranter gegenüber dem Benutzerverhalten.

Oft habe ich den Eindruck, dass diese weitere effizienten Maßnahmen dem technisch nicht versiertem Anwender/Käufer/Angebotsersteller erst gar nicht mitgeteilt werden, um die Grenzen des angepriesenen Sicherheitsproduktes und Betriebssystems nicht eingestehen zu müssen.

Nach weiteren Mechanismen außerhalb von Software wird dann nicht gesucht, um die genau den Anwender in seiner Verantwortung und Aufwand entlasten zu können.


2. Das ist für mich die Argumentation eines Windows-Nutzers.

Es gibt keine Live-Systeme unter Windows. Win-PE ist für mich nur ein Behelf.

Ein zuschaltbarer Hardware-Schreibschutz wird vom Windows-Betriebssystem nicht unterstützt und er ist für dieses Betriebssystem sehr hinderlich (bspw. permanent notwendige Schreibzugriffe in die Registry). Windows-Software kann daher nur wieder mit Software sicherer gemacht werden. Aus diesen Gründen werden selbstverständlich auch nur auf Software basierende Lösungen favorisiert. Die Argumentation läuft daher immer in Richtung „überflüssig“ und „ineffizient“, wenn es um einen Hardwareschreibschutz geht.

Mit der Fokussierung auf Software verschwindet letztendlich auch die Anforderung eines HW-Schreib-schutzes in den Hardwaredesigns. Eine Windowsentwicklung (Win10?) müsste ganz von vorne anfangen, um ein System nach Harvard-Architektur (Das Programm-ROM ist physisch getrennt von Arbeitsspeicher und den variablen Anwenderdaten) zu unterstützen.

Windows-Nutzer benötigen Gottvertrauen in ihre proprietäre Software (stichel;-).

 

3. Software-Zertifikate sind eine wichtige Ergänzung zu HW-WP und eine Basis gegen triviale Angriffe.

Ein HW-Schreibschutz hat keinen Einfluss auf eine SW-Qualität und kann auch keine Aussage über die Vertrauenswürdigkeit machen. Ebenso sagt eine erfolgreiche Zertifizierung einer Software auch nichts über deren Eigenschaften aus. Eine erfolgreiche Zertifizierung zeigt mir nur an, dass die Quelle meines SW-Updates ein exklusiveres Wissen über das Zielsystem hat. Vertraue ich Zertifikaten, dann vertraue ich Herstellern, Geheimdiensten und Hackern mit diesem Exklusivwissen.

Mit Zertifikaten reduziere den Kreis, der einen Schaden verursachen kann. Skriptkiddies bleiben außen vor.

Die Berichte über Lenovo-BIOS-Rootkit, Win10 sammelt Nutzerdaten und z. B. Smart TVs sind Datenschleudern, zeigen am besten, dass auch schon vom Hersteller zertifizierte Systeme, Hintertüren für unerwünschte Systemmanipulation und zum Ausspionieren des Anwenders mitbringen.

 

4. „Halte es einfach.“ - Keep it Simple Stupid (KISS)

Signaturmechanismen machen das System kompliziert - mit den üblichen Folgeerscheinungen.

Wenn der komplizierte Zertifizierungs- bzw. Signatur-Mechanismus nicht einheitlich und richtig implementiert wurde (bspw. Extreme Privilege Escalation), habe ich wieder eine schreiboffene BIOS- bzw. Systemsoftware. Dann habe ich wieder mit der Problematik von den unzuverlässigen proprietären Updates zu tun (Freak Attack: Hotfix legt Windows Update lahm - betrifft nicht UEFI, ist aber typisches Bsp.). Wenn der Fehler sogar in der Zertifizierungshardware selbst vorliegt, bspw. der fest eingebrannte CPU-Mikrocode Schlüssel wird bekannt, dann gibt es keine Möglichkeit mehr mit diesem System die angestrebte Sicherheit zu erreichen. Das gilt natürlich auch für ein schlechtes Design bei einem HW-Schreibschutz.

(s. a. Auch OS-X-Installer von Zertifikateproblem betroffen")

Sind weitere SW-Mechanismen, z. B. Widerrufslisten/Revocation, die auch wieder nur mit SW abgesichert werden, eine Lösung? Also eine auf Software basierte Rüstungsspirale, die sehr aufwendig und fehler-anfällig wird. Es müssen dann Updates gemacht werden, wieder mit neuen (absichtlichen) Sicherheitslecks, nur um Sicherheitslecks aus alten Updates zu stopfen.

Was passiert, wenn der Hersteller insolvent wird, von einer weniger vertrauenswürdigen Firma übernommen wird oder wichtige Komponenten eines Zertifizierungssystems „verloren“ gehen? (s. NSA-Spionage bei SIM-Karten-Herstellern) oder diese sogar an staatliche Stellen weitergeben (müssen). Ein Anwender hat keine Möglichkeit eine Datenmigration beim Hersteller zu überwachen. Schlüsselsysteme haben die Tendenz, mit der Zeit unwirksam zu werden.

 

5. Welche Möglichkeiten könnten noch helfen, wenn ein Zertifizierungsmechanismus versagt?

Ein HW-Schreibschutz sorgt für Redundanz in der Sicherheit, da er auf einem ganz anderen Prinzip beruht. Auch er verhindert ein unbemerktes, ferngesteuertes Aufspielen von Schadsoftware auf die schreibge-schützten Datenträger. Mit einem HW-Schreibschutz am BIOS-FLASH können vorhandene UEFI-BIOS Lücken daher nur noch zum Updatezeitpunkt (HW-Schreibschutz abgeschaltet) ausgenutzt werden, um ein BIOS weiter zu manipulieren.

Der WP-Jumper am BIOS-FLASH ist eine (noch) vorhandene Absicherung. Zertifikate und andere Kontrollmechanismen für Firmware müssen teilweise erst noch entwickelt und fehlerfrei etabliert werden.

 

6. Ein HW-Schreibschutz kann auch eine übereifrige Sicherheitssoftware in ihre Schranken weisen.

(s. Achtung: Panda-Virenscanner zerschießt Windows, nicht Neustarten!). Mit einer schreibgesicherten Systemsoftware könnte die Funktion eines (neuen Updates) Viren-Scanners erst gesichert überprüft werden, ohne dass eine Software beschädigt wird. (Ergänzung zu Punkt II. „teuer“: Gerade das Beispiel mit dem Panda-Virenscanner hätte mit einem HW-Schreibschutz an der Systemsoftware und ohne aktiven Virenscanner, nicht zur Katastrophe geführt.)

 

7. Etwas überheblich formuliert würde ich auch sagen, dass der durchschnittliche Anwender beim Begriff „Zertifizierung“ schon nicht mehr zuhört, bevor das Wort zu Ende ausgesprochen wurde.

Mit dem Mechanismus eines (HW-)Schreibschutzes ist der Anwender vertraut (bspw. Schiebeschalter am USB-Stick, SD-Lock Plastikschieber, Diskettenfenster etc.). Er kann die Wirksamkeit jederzeit selbst überprüfen und nachvollziehen. Es ist für ihn ein bekanntes Prinzip.

Dieses Anwendungswissen auf einen weiteren Schalter zu übertragen, sollte ohne Schwierigkeiten möglich sein.

 

8. Zertifikate und Signaturmechanismen sind für mich nur zum Updatezeitpunkt erforderlich, wenn eine neue SW in den PC geholt wird. Eine so bestätigte Integrität wird dann am zuverlässigsten mit einem Hardwareschreibschutz konserviert. Eine Anforderung, nach einem erfolgtem Update, einen immer beschreibbaren und daher manipulierbaren Datenträger bereitzuhalten, kann ich dann nicht mehr erkennen. Einen permanent beschreibbarer Datenträger der Systemsoftware stellt daher für mich ein überflüssiges Sicherheitsrisiko dar.

Sind die Zertifizierungsmechanismen so komplex geworden, gerade weil ein immer schreiboffener und daher manipulierbarer Programmspeicher vorliegt? Bei schreiboffenen Systemen kann sich beispielsweise der Boot-Prozess nie sicher sein, ob nicht doch etwas seit dem letzten Start verändert wurde und muss daher die Verifikationskette immer neu ausführen. Selbst dieser Startup-Test erfordert meines Wissens nach keine permanente Schreiberlaubnis. Zertifizierungsmechanismen nutzen auch Schreibschutz, in dem sie (nur über Software) schreibgeschützte Bereiche als Schlüsselablage und sogar für Unterprogramme verwenden. Warum wird das nicht von vornherein auf die vollständige Boot-SW im BIOS/UEFI-FLASH, nun aber mit einem HW-Schreibschutz angewendet?


Zu dem Thema Zertifizierung und Mikrocode empfehle ich folgenden Link:

NSA nutzt Backdoor in Prozessor Mikrocode.

Das impliziert sogar eine Forderung nach HW-WP an der CPU.


9. Zertifikate bzw. Signaturmechanismen helfen nicht bei direkter Sabotage.

Meist unterbewusst gehen wir davon aus, dass eine Schadsoftware ihren Wirtsrechner am Leben erhält. Der Wunsch nach Information und Geschäftsmodelle bis zu den Erpressungs-Trojanern bestätigt das in aller Regel. Oft kann ein System dann mit einer Live-Distribution noch gerettet werden.

Selten wird auf Sabotagemöglichkeiten eingegangen, die ein Computersystem vollständig stilllegen können. Hat ein Angreifer erst gar nicht die Absicht, eine Schadsoftware im Zielsystem fest zu etablieren, dann sind auch keine späteren Signatur- und Zertifizierungs- Maßnahmen, als Blockade für diese Software vom Angreifer zu berücksichtigen.
 

Der Artikel „Bärendienst“ beschreibt eine Sabotagemöglichkeit über SATA-Kommandos. Festplatten lassen mit ihrer Hardware eine Verschlüsselung zu (s. ATA-Security Feature Set), die auch missbraucht werden kann. Wird das Passwort nun gesetzt und bleibt dem Anwender unbekannt, ist kein Zugriff mehr auf das Betriebssystem und die Dateien möglich. Neben dem im Bericht genannten Lösungen, könnte auch ein WP-Schalter an der Festplatte hier das Aktivieren oder Ändern der Passwortabfrage verhindern. (Mein Designhinweis an die HD-Entwicklung für die nächste WP-SSD Spezifikation: Der WP-Jumper blockt auch die Passwortänderung/-Aktivierung der ATA-SEC-Kommandos).

Eine vergleichbare Möglichkeit ein Computersystem stillzulegen sehe ich auch bei den FLASH-Speicherbausteinen BIOS, und den anderen Firmwarespeichern im Computersystem.

Die einfachen FLASH-Speicher haben üblicherweise keine eingebauten Verschlüsselungsverfahren. Es sind aber Steuerkommandos wie ERASE_ALL implementiert, die innerhalb von wenigen Millisekunden den gesamten Baustein löschen können. Werden diese Kommandos an einem FLASH-Speicher gesendet, haben sie eine fast identische Wirkung, wie eine nicht mehr auflösbare Verschlüsselung. Nach einem Kaltstart findet der Computer keine gültige Software vor und startet nicht mehr.

Geht man davon aus, dass eine Schadsoftware Administrationsrechte erlangt hat (das wird oft bestätigt), ist eine Ausführung von SATA- oder FLASH-Kommandos möglich und auch ein Kaltstart kann mit diesen Rechten zu beliebiger Zeit erzwungen werden. Gerade eine immer aktive BIOS-Update-SW, für ein immer beschreibbares FLASH-BIOS, bringt die Voraussetzungen für erweiterte Schreibrechte im System mit. Wie bei den Virenscannern, die auch erweiterte Systemrechte benötigen, kommt man hier den Angreifern auf halben Weg entgegen (s. a. „Vom Jäger zum Gejagten: Kaspersky-Virenscanner ...").    

Die Ausführung der ERASE-Kommandos werden allerdings auch mit aktiven /WP-Eingang an den FLASH-Bausteinen geblockt.

Die unterschiedlichen PC-Chipsätze und die uneinheitlichen Verfahren, um ein ERASE-ALL oder generell eine Programmierung in den FLASH-Bausteinen zu aktivieren, erfordern ein sehr gezieltes Entwickeln der Schadsoftware. Spätestens hier würde ich gerne wissen, warum besonders die Administration von homogenen MainBoard-Strukturen und Serverfarmen nicht eine hardwareseitige Schreibschutzmöglichkeit vom BIOS einfordert, sondern nicht selten das Gegenteil verlangt.

Es gibt auf Mainboards auch oft ein zweites BIOS / Shadow-FLASH als Sicherheits- und Rückfalloption, wenn das eigentliche BIOS-Update fehlgeschlagen ist. Diese doppelten BIOS-Speicher sollten aber auch erst mit einem manuellen Umsetzen eines Jumpers(!) aktiviert werden. Ist die Aktivierung des zweiten Bausteins wieder über das PC-Chipset möglich, erwarte ich gleichfalls eine schnelle Löschung auch dieses Bausteins.
Allgemein stellt sich mit der Aktivierung des redundanten Speichers immer die Frage, wie aktuell und daher systemstabil die darin enthaltene Software ist.
Eine weitere Schutzmaßnahme ist die Blockade von Lösch- und Programmieranweisungen durch die davor geschalteten PC-Chipsätze oder Speicherkontroller.

Hier ist aber auch wieder offen, wie und wann diese Blockade administrativ aktiviert oder deaktiviert wird und wie zuverlässig diese Blockade arbeitet (s. a. US-Cert warnt vor weiteren UEFI-BIOS-Lücken). Gerade weil ein BIOS-Update ja immer möglich sein soll, dürften die Schutzmechanismen nicht allzu hoch liegen.
Sind es wiederum nur SW-Bits in einem Kontroll-Register, die nur umprogrammiert werden müssen, oder (-Achtung ab jetzt Hardware!-) eine schaltbare Steuerleitung die ausgewertet wird oder die zuverlässige Blockade an den Speicherbausteinen selbst (/WP-Pin+Jumper).

Als Reparaturmaßnahme ist ein Öffnen des PC-Gehäuses meistens unvermeidlich, um einen Zugang zum Speicherbaustein zu erhalten. Ein Programmierclip oder ein JTAG-Anschluss erfordern nicht unbedingt den Ausbau der FLASH-Speicher für eine Reprogrammierung. Selten werden die BIOS-Speicher noch gesockelt.

Mit Interesse verfolge ich die Entwicklung der IoT-Technik. Für Billig-Produkte halte ich ein OTP-Design für angebracht.

Ob die neuen intelligenten Stromzähler auch ohne Firmware noch Strom ausliefern?- Mein bisheriger elektro-mechanischer Zähler arbeitet ohne Software und kann das.  (Dazu eine Romanempfehlung : BLACKOUT  von  Marc Elsberg)

 

 

V. „Es wird immer eine Lücke gefunden. – Es gibt keine 100%tige Sicherheit.“

Für diese Totschlagargumente als Vorlage muss man sich eigentlich bedanken, denn jetzt sollte man auch die bisher angepriesene Software genau unter diesem Gesichtspunkt betrachten.

Keep it simple stupid und alle Mechanismen betrachten.

Warum werden dann überhaupt Virenscanner und Firewalls eingesetzt? Für beide gilt diese Aussage doch auch.

Die folgenden Abschnitte von VI. bis X. führen diese Argumentationsweise noch etwas differenzierter aus. Im Wesentlichen werden vorhandene Sicherheitslücken herangezogen, die mit einem HW-Schreibschutz nicht abgesichert werden können (bspw. „Evil Maid Attack“). Allerdings vergisst man gerne bei diesem Argument mitzuerwähnen, dass auch andere Sicherheitsmechanismen in diesen Fällen wirkungslos sind und auch nicht alles schützen können.

Besonders Argumentationen gegen eine HW-WP mit Evil-Maid-Attack, CPU-Mikrocode oder erfolgreiche Angriffe unter Laborbedingungen, also Angriffe bei denen eine persönliche Präsenz, großer Aufwand und hohes Spezialwissen erforderlich sind, um eine HW-WP auszuhebeln, bestätigen doch damit indirekt eine sehr gute Wirksamkeit von Hardwareschreibschutz.

Es werden gerne Argumente gegen einen Hardwareschreibschutz aufgeführt, die immer die aktuelle Anwendungssituation aushebeln. Allerdings haben diese dann angenommenen Gegenargumente oft gar nichts mit der Betriebsumgebung eines typischen Anwenders zu tun. Oder wird tatsächlich erwartet, dass jetzt bei tausenden von Firmen und Heimanwendern eingebrochen wird, um beispielsweise den FLASH WP-Schalter am BIOS umzusetzen oder sogar, um den Baustein vor Ort cryogen zu knacken? Die Unterschiede in den Anforderungen und Handhabung von Sicherheitsmaßnahmen, wird am Austausch der Argumente zu Hardwareschreibschutz zwischen der Systemadministration von Serverfarmen und den privaten Anwendern deutlich.

Eine Rückendeckung, die sich die unterschiedlichen Sicherheitsmechanismen gegenseitig geben können, wird auch gerne ausgeklammert. 

So Binsenweisheiten wie Eine 100% Sicherheit gibt es nicht helfen im übrigen nicht weiter. Sie sollen nur die Ansicht des Vortragenden zementieren und halten die Leichtgläubigen nur von der Suche nach Verbesserungen und Problemlösungen, also einer Verringerung der Angriffsfläche ab. Eine 100%tige Sicherheit gibt es im übrigen auch nicht mit den anderen Sicherheitsmechanismen. (Daher Banane-Argument)

Was ist unter „Sicherheit“ zu verstehen? Ohne eine genaue Definition - manipulationsfest, Datenbackup, Informationslücke? oder alles zusammen?
Da dichtet jeder (ich selbstverständlich auch) für sich etwas zurecht. Es geht meistens darum, die Angriffsfläche bzw. Angriffsmöglichkeiten auf ein System so weit zu reduzieren, dass es für einen Angreifer zu aufwendig (teuer auch im Sinne von kenntnisreich) wird. Es reicht aus, dass eine Umgehung der Sicherheitsmaßnahmen immer nur etwas teurer" als der erhoffte Gewinn ist, damit sie wirksam sind.


Nochmals zu 100%:

Ich habe einen USB-Stick so umgebaut, dass der FLASH-Speicher nicht mehr umgeschrieben werden kann.  - Wenn ich Sicherheit auf manipulationsfest" beziehe, werden hier nahezu 100% erreicht.

(Ist der WP-Pin am FLASH-Baustein aktiviert, werden über die Festverdrahtung im Silizium die Schreibkommandos an den Speicherbaustein blockiert. Eine Umgehung des Schreibschutzes durch reine Softwaremethoden ist mir bisher nicht bekannt und erwarte ich auch nicht. - daher die o. g. ~100%)

Es gibt also Ausnahmen von der Regel, wenn man den Kopf nicht in den Sand steckt. Es liegt dann an den Anwendern, dass das nicht eine Ausnahme bleibt. Diese Designmöglichkeiten von Hardware müssen nur bekannt sein und eingefordert werden.  


 

VI. „Mit einem HW-Schreibschutz kann ich ja nicht überprüfen, ob die Software sicher ist.“

(Was ist unter sicher zu verstehen? - fehlerfrei, keine Hintertüren, kein Datenspion?)

Stimmt, das konnte man ohne HW-Schreibschutz bisher auch nicht. Ein durchschnittlicher Anwender konnte/kann das auch nicht bei Open-Source(*).

Ein Schreibschutz hat hier weder eine positive noch eine negative Wirkung auf die Eigenschaften einer Software zum Update-Zeitpunkt. Er gewährleistet während der alltäglichen Arbeit am PC eine Manipulations- und Sabotagesicherheit vom Betriebssystem. Wie Pand(or)a und Win-Updates uns zeigen, bieten auch Signatur- bzw. Zertifizierungssysteme nicht einmal mehr Sicherheit vor herstellerseitiger Systemsabotage zum Update-Zeitpunkt.

Kleine Bugs (Bugdoors) führen nicht zu großen Manipulationen am schreibgeschützten Betriebssystem oder an Programmen. → Vorteil mit permanentem HW-Schreibschutz

*Das ist nicht als Argument gegen Open-Source gemeint, denn bei proprietärer Software ist die Sicherheits-Problematik noch viel größer. Bei Open-Source verhindern wenigstens viele angenommene Augen eine Kompromittierung von vornherein. In sicherheitsrelevanten Bereichen wird eine SW-Zertifizierung/Durchsicht gefordert. Das ist nur mit Open-Source möglich. Hintertüren können auch nicht so einfach einem OS-Hersteller verordnet werden. Die Unschuldsvermutung stelle ich daher eher bei offener Software und nicht bei proprietären Betriebssystemen.

Die Fehlerbeseitigung bei Open-Source sehe ich auch als effizienter an. Der Anwender ist nicht an die Update-Zyklen der Hersteller gebunden, wenn überhaupt ein Update kommt bzw. der Hersteller noch existiert. Bei O.S. besteht immer die Möglichkeit, dass Fehler von anderen SW-Entwicklern und Firmen behoben werden können und das noch weit über die Service-Zeit des Herstellers hinaus. (-> Wirtschaftlichkeit, geringerer Migrationszwang)


 

VII. „Es wird sich physisch Zugang zum PC verschafft und der Schreibschutz wird deaktiviert. Ein System kann dann doch manipuliert werden.

Mit diesem Argument soll gezeigt werden, dass der Aufwand um einen Schreibschutz im Fall einer „Evil Maid Attack“ nutzlos und er damit suggeriert generell überflüssig ist. Es wird mit diesem Argument allerdings übersehen, dass der Aufwand für vorhandene Virenscanner, Firewalls und sogar Verschlüsselungsmechanismen dann natürlich auch wirkungslos wird. Wird mit Evil-Maid-Attack gegen HW-WP argumentiert, dann gibt es aus der Sicht des Argumentierenden keinen einfacheren Mechanismus, um die Wirksamkeit von HW-WP aufzuheben. Also erst dann, wenn alles andere auch schon längst wirkungslos geworden ist. Ein HW-Schreibschutz wirkt bis zu einer Evil-Maid-Attack. Das sehe ich als Qualitätsmerkmal und das kann bestimmt nicht von einem Zertifizierungsmechanismus (Geheimdienst- Hintertüren?) oder von einem Virenscanner behauptet werden.

Malware/Ransomware ist so erfolgreich, weil eine physische Anwesenheit nicht erforderlich ist. 

Wer seinen Rechner noch etwas besser gegen physische Eingriffe absichern möchte, der findet hier eine Diskussion.

 

Es gibt allerdings auch Risiken:

Ein HW-Schreibschutz, bzw. ein zu gut gesichertes System, kann sogar erst der Auslöser für einen „Besuch“ werden.

Ein Schreibschutz ist dann tatsächlich nicht nur nutzlos, er verursacht auch unerwartete Störungen.

Einen kleinen Vorteil bei HW-Schreibschutz gibt es doch noch, denn ein PC muss dann tatsächlich geöffnet werden, wenn die Schreibschutzmechanismen nur per Hardware im Computer abgeschaltet werden sollen. Eine schnelle Infektion mit einem Boot-USB-Stick ist vorher nicht möglich.

Der Aufwand für einen Angreifer und sein Risiko entdeckt zu werden halte ich für sehr hoch. Ich vermute, dass von diesen Brachialaktionen nur ein sehr kleiner Anteil der Anwender (Geheimnis- und Entscheidungsträger und allzu kritische Journalisten) heimgesucht werden. Wer eine „Evil Maid Attack“ als Gefahr für sich ansieht (sich also für sehr wichtig hält;-) und diese Gefahr einschränken möchte, könnte sich eine analoge Zugangsbehinderung vom Typ „Zerberus“ zulegen. Ein quasi anonymer Kauf im PC-Shop verhindert eine persönliche Bearbeitung in der Lieferkette (s. NSA manipuliert per Post versandte US-Netzwerktechnik). Live-Systeme auf USB-Sticks oder auf DOM-SSDs sind auch selbst schnell aus externen PC-Ports entfernt und so einem Angriff entzogen. Es gibt bestimmt noch weitere Möglichkeiten ...

 


VIII. „Ein schreiboffenes BIOS oder eine SSD-Firmware können doch heimlich manipuliert werden. Ein HW-Schreibschutz an anderen Medien ist daher nutzlos.

1. Das Argument stimmt insofern, dass wenn eine als notwendig erachtete Sicherheit nicht herstellbar ist, alle weiteren Maßnahmen überflüssig sind. D. h. Nutzerrechte, Virenscanner, Firewalls, Zugangsberechtigungen usw. müssten dann auch als überflüssig betrachtet werden und könnten von vornherein weggelassen werden. Oder?

Kann etwas heimlich manipuliert werden, hat in diesem Fall die teure Sicherheitssoftware/Zertifikate versagt, bzw. sie stößt an ihre Grenzen. Kann sie daher auch generell entfallen?

->Nur ein aktiver HW-Schreibschutz hilft am BIOS/Firmware, um eine Basis für notwendige Sicherheit herzustellen.


 2. Wahrscheinlichkeit. Ja, ein schreiboffenes BIOS oder eine Firmware können manipuliert werden, aber wie oft wird das bisher gemacht? In meiner Argumentation bemühe ich nun die gefühlte Statistik. Momentan sehe ich, dass die meisten Viren, Botnetze und Exploits, das Betriebssystem mit Programmen und Nutzer-Berechtigungen persistent verändern. Das ist für mich derzeit das Haupt-Einfallstor für die meisten Probleme und das sollte zuerst geschlossen werden (notwendige Sicherheit). Nur weil es eine noch nicht etablierte Möglichkeit für Schadsoftware gibt, wird das zusätzliche Sicherheitskonzept mit HW-Write Protection gegen 99 % der anderen, einfacheren und schon aktiven möglichen Angriffe doch nicht überflüssig.

Je einfacher ein Sicherheitsmechanismus umgangen werden kann, so weit er überhaupt vorhanden ist, umso häufiger wird diese Lücke ausgenutzt werden.

Mögliche BIOS-Manipulationen, die auf vielen Main-Boards mangels HW-Schreibschutz nicht zu verhindern sind, sind für mich kein Ausschlusskriterium für eine notwendige HW-Write Protection von anderen Speichermedien.


3. Ein immer beschreibbares (keine HW-Write Protection) BIOS oder Firmware ist für mich ein Designfehler.

Mit dem oben genannten Argument wird oft unterstellt, dass BIOS- oder Firmware-Speicher nicht über HW abzusichern sind. Dem ist nicht so, bzw. die noch vorhandenen Jumper sollen angewendet werden oder die entsprechend verbesserten HW-Designs, nun mit Jumper, müssen vom Kunden nachgefragt und eingefordert werden.

 

4. Nur weil etwas schlecht implementiert wurde (immer programmierbares BIOS), müssen nicht auch alle anderen Komponenten so schlechte Eigenschaften erhalten. S. a. nächsten Punkt IX. 2 + 3. 



IX. „Ein HW-Schreibschutz am BIOS oder an der Systemsoftware ist überflüssig, denn es gibt andere Komponenten im Computer, wie SSD-Firmware oder CPU-Mikrocode, mit denen die Sicherheit eines HW-Schreibschutzes umgangen werden kann.“

1. Ein HW-Schreibschutz Design, dass den /WP-Pin an den FLASH-Speichermedien (z. B. BIOS) selbst verwendet, kann nicht „umgangen“ im Sinne von „umprogrammiert“ werden. Nur der Inhalt des FLASH-Speichers kann ignoriert, aber nicht mehr persistent manipuliert werden. (Ein Mechanismus, der den Schreibschutz bei aktiven WP-Pin und programmierten Status-Register im FLASH umgeht, ist mir nicht bekannt. Bspw. im Datenblatt vom BIOS-FLASH Typ Maconix MX25L4005 s. S. 15 ..„it is impossible to write the Status Register..“. Natürlich ist die Unterbrechung der Programmierspannungszuführung an alten FLASH-Speichern auch eine sichere WP-Variante.)

2. Wenn über andere Komponenten noch Sicherheitslücken existieren, dann ist es doch gerade wichtig, nicht manipulierbare Speicherbereiche im Computer zu haben. Diese stehen dann für den Ausbau eines Angriffs nicht zur Verfügung. Es geht immer um die Verringerung der Angriffsfläche. 

3. Ein Virenscanner oder eine Firewall helfen auch nicht bei Problemen mit SSD-Firmware oder CPU-Mikrocode. Sicherheitssoftware wie z. B. Virenscanner, Firewall oder aufwendige Zertifizierungs-mechanismen sind daher auch überflüssig. Oder?

Mit einem Verweis auf andere, auch unsichere Systemkomponenten, werden im Prinzip Äpfel mit Birnen verglichen. Jeder Sicherheitsmechanismus kann nur innerhalb seiner Möglichkeiten wirken. Beispielsweise wird die Wahl eines schwachen Passwortes weder durch einen HW-Schreibschutz, einen Virenscanner oder einer Firewall verhindert. Sind diese Sicherheitsmechanismen dann überflüssig? Virenscanner oder Firewalls decken auch nur jeweils einen Teil eines Schutzes ab und sind nicht zu 100% zuverlässig. Sie erzeugen sogar zusätzliche Sicherheitslücken (Mac-AV-Software ermöglichte Einschleusen von Schadcode). Gerade Microsoft zeigt die Gefahr von Virenscannern sehr deutlich. Microsofts Antivirensoftware gefährdet Windows-Nutzer. Besonders erwähnenswert ist hier, dass Microsoft seinen proprietären Code von Betriebssystem und Virenscanner am besten kennen und daher testen kann und gegenüber den Herstellern von Sicherheitssoftware vermutlich auch die meisten Sicherheitsexperten hat.


X. „Ein Schreibschutz verhindert keine „Man in the Middle“ Angriffe aus dem Internet beim Surfen oder dass Passwörter im Netz ausspioniert werden, ...“

Es werden mit diesem Vergleich unterschiedliche technische Konzepte, also auch wieder Äpfel mit Birnen, verglichen. Nur weil ein Schreibschutz hier keine Lösung bietet, also den Kommunikationskanal oder die Daten in der Klaut direkt sichert, ist er doch nicht generell überflüssig. Im Allgemeinen gehe ich davon aus, dass nach dem meine Daten die Netzwerkschnittstelle am Computer verlassen haben, dass diese Daten frei verfügbar werden. Ein HW-Schreibschutz blockiert eine dauerhafte Manipulation der Sicherheits-Software, u. a. auch eine persistente Manipulation und Schwächung der Kommunikations- und Verschlüsselungssoftware auf dem PC.



XI. „Es können doch auch mit einem Update, über „Man in the Middle“ Angriffe, eine Schadsoftware überspielt werden.

Das gehört wieder zur Kategorie von Argumenten nach dem Motto: „Irgendetwas muss es doch geben, mit dem ein HW-Schreibschutz nicht fertig wird und deshalb braucht man ihn nicht.“


1. Eine Schadsoftware bekomme ich auch ohne HW-Schreibschutz frei Haus geliefert.

D. h. ein HW-Schreibschutz hat zum Zeitpunkt eines Updates weder eine positive noch eine negative Wirkung. Mit Zertifizierung/Signaturen erreicht man ein höheres Vertrauen in ein Update. Allerdings können auch schon beim Kauf, zertifizierte Hintertüren in einem Betriebssystem vorhanden sein (s. Kap. IV.).

2. Aber ein Schreibschutz wirkt später, in weiterer Hinsicht. Und zwar können nach einem Update keine weiteren Manipulationen ferngesteuert an der Systemsoftware vorgenommen werden (s. Lenovo-Rootkit). Noch allgemein unbekannte oder absichtliche Bugdoors in einem Update sorgen nicht für eine Möglichkeit zu weiteren Änderungen am schreibgeschützten BIOS oder am geschützten Betriebssystem.

3. Nur weil eine Systemsoftware oder ein BIOS für ein Update überschreibbar sein muss, muss ich doch nicht die meiste Zeit ein heimliches Überschreiben als Sicherheitsrisiko zulassen. Zum Update-Zeitpunkt muss man sich auf den Zertifizierungsmechanismus verlassen können. Dann ist es doch von Vorteil, dass bis zum Update die hinterlegten Passwörter, Schlüssel und die Zertifizierungssoftware nicht manipuliert werden konnten. Ein „Man in the Middle“ Angriff wird dann schwieriger.

→ Vorteil mit Schreibschutz, er sichert den Updatemechanismus und die Sicherheitssoftware.

Für mich ist es auch wieder eine Frage der Statistik. Bekomme ich zum Updatezeitpunkt oder beim Bearbeiten von E-Mails und Surfen mit dem Internet-Browser die meiste Schadsoftware zugespielt?

Nach meinen Erfahrungen als durchschnittlicher Anwender habe ich, im Gegensatz zu E-Mails, mit einem Update bisher keine Probleme gehabt. Ich führe das auf Zertifizierung und die Auswahl sicherer SW-Quellen zurück.

→ Vorteile mit HW-Schreibschutz beim alltäglichen Arbeiten am PC.



XII. „Es kann der HW-Schreibschutz doch mit geheimen Kommandos an die FLASH-Bausteine oder an die Speicherkontroller ausgehebelt werden.“

1. Davon gehe ich sogar aus, dass wenn mit nicht spezifizierten Datensequenzen auf einen FLASH-Speicher eingehämmert wird (Fuzzy Pentesting), damit auch Bits wieder umgesetzt werden können, obwohl eine (SW-)Write-Protection aktiviert wurde. Mir ist allerdings kein Verfahren bekannt, dass den im Silizium fest verdrahteten aktiven/aktivierten /WP-Pin eines FLASH-Bausteines umgehen kann.

Die nicht veröffentlichenden Update- und Test-Kommandos für die Kontrollerbausteine der FLASH-Speicher sorgen für eine zusätzliche Sicherheitslücke. Ich gehe aber davon aus, dass diese „Joker“ momentan nur wenige Personen kennen und das sie auch nur in besonderen Fällen eingesetzt werden.

Für ein massives Verbreiten von Malware sind diese Hintertüren vermute ich zu kostbar, um entdeckt zu werden. Ein Austausch der Hardware aus der Ferne ist nicht mehr möglich, um eine neue Hintertür zu installieren. Könnte es sogar sein, dass sich Schadsoftware nur ein mal installieren kann, da die Tarnmechanismen ein Überschreiben auch mit weiterer Schadsoftware verhindern? Daher werden Angriffe vermutlich nur sehr sparsam eingesetzt. Komplexität (s. u. Punkt 2.), Social-Engineering und personeller Aufwand könnten weitere Gründe für die momentan noch geringe Verbreitung sein. Vor dieser Art von Angriff müssen sich deshalb nur wenige Anwender fürchten. Er erscheint mir nicht massentauglich. Auf ein weit verteiltes Betriebssystem-Update zu warten, mit neuen Bugs als Sicherheitslecks, ist da viel bequemer.

Ich möchte die alltäglichen, also technisch einfacheren Angriffe auf Daten und Systemsoftware abfangen, die mir die meisten Kopfschmerzen machen. Den Effekt, dass seltene Spezialfälle (BadBIOS, BIOS/UEFI-Ransomware, Staatstrojaner und BadFirmware) auch manchmal mit verhindert werden können, nehme ich natürlich gerne mit.


2. Durch die Vielzahl der verschiedenen Kontrollertypen wird eine massenhaftes und automatisiertes Einschleusen von Schadsoftware über eine zuvor auch manipulierte Kontrollerfirmware sehr aufwendig. Eine Manipulation der Kontrollerfirmware sehe ich momentan als kostbares Know-How an und solange es noch einfachere Möglichkeiten gibt, vermute ich, werden erst diese vorgezogen. Außerdem bleibt z. B. ein BIOS-FLASH mit aktivierten /WP-Pin schreibgeschützt, auch wenn im Computersystem die Firmware eines anderen Kontrollerbausteins angegriffen wird (Thema BadUSB).

Ein mit Jumper gesichertes BIOS wird dann nicht zum Brückenkopf für den Ausbau eines Angriffs. Aufgrund der zunehmenden Anzahl von Berichten über BIOS-Rootkits, sehe ich einen HW-Schreibschutz am BIOS-Speicher sogar als zwingend erforderlich an.

 

Eine besondere Angriffsmethode über BIOS WE-Bits betrifft die Bausteine, die den BIOS-Chip steuern und nicht den BIOS-Chip und seine HW-Write Protection selbst. Ein aktivierter HW-Schreibschutz-Pin eines BIOS-FLASH-Speichers könnte damit nicht umgangen werden.



XIII. „Schadsoftware kann sich immer noch im System umsehen.“

Ja, dagegen hilft kein HW-Schreibschutz. (Ich habe ja auch nichts zu verbergen, oder?)

Mit der bisher üblichen und löchrigen Sicherheitssoftware kann sich ein erfolgreicher Angreifer nicht nur umsehen, sondern dann auch Veränderungen an der Systemsoftware vornehmen. (s. Bootkits etc.). Eine Schadsoftware kann sich fest im System einnisten und ein permanentes Überwachen (bspw. SW-Keylogger) des Anwenders ermöglichen.

Da sehe ich Computer mit einem HW-Schreibschutz klar im Vorteil.

Entferne ich vor dem Öffnen einer verdächtigen E-Mail sogar die beschreibbaren Datenträger mit den persönlichen Arbeitsdaten (Wechseldatenträger, Festplatte im Wechselschacht), dann sieht eine Schadsoftware nur das „langweilige“ Betriebssystem. Sie kann aber keine Änderungen daran persistent vornehmen. Das gilt auch für Schadsoftware, die von kompromittierten Webseiten verteilt wird. Nach einem System-Kaltstart ist die Schadsoftware aus dem RAM wieder verschwunden. Keylogger, BKA-Virus (Windows SW) etc. konnten nicht installiert werden. Erpressungs-Trojaner wie Locky haben keine Möglichkeit einen Schaden an der Systemsoftware anzurichten.

Selbst mit schlecht implementiertem HW-Schreibschutz (Der WP-Pin am FLASH-Speicher wird nicht direkt verwendet, sondern eine Kontrollerfirmware dient quasi als Firewall für die Steuerkommandos) erfordert es erheblich mehr Aufwand, Systemkenntnis (s. BadFirmware) und Glück von einem Angreifer, eine Schadsoftware nach jedem Kaltstart im Computer neu zu aktivieren.

Exploits bauen oft auf einer Manipulation weiterer Systemkomponenten auf (bspw. neuer Account als Administrator, Nachladen von Schadsoftware), um eine permanente Infektion zu ermöglichen. Ein Hardware-Schreibschutz verhindert zwar nicht die zeitweise Erlangung von Administrationsrechten, denn es kann wie bisher immer noch Schadcode aus dem RAM heraus ausgeführt werden, aber er verhindert persistente Änderungen an der Systemsoftware. Dieses Prinzip, die Ausführung temporär nur auf das RAM zu beschränken, sehe ich als besonders geeignet für private PCs an. Diese werden ohnehin nur bei Nutzerbedarf eingeschaltet. Mit jedem Kaltstart ist der vorherige Inhalt im RAM dann sicher gelöscht.

Ein bequemer Schnellstart aus dem Hibernate ist dann natürlich nicht zulässig. Ein Linux Live-System auf SSD ist mit ca. 25 sec ( BIOS SW und System SW benötigen davon jeweils die Hälfte der Zeit)  aus dem Kaltstart wieder aktiviert.


XIV. „Der Nutzer wird in falscher Sicherheit gewogen. Das macht ihn leichtsinnig. Ein HW-Schreibschutz sollte deshalb entfallen.

1. Das klingt sehr nach Bevormundung. Ich lasse mir nur ungern vorschreiben, wann ich etwas nutzen darf und wann nicht, besonders wenn ich einen Vorteil erkennen kann und in der Lage bin diesen auch anzuwenden.

2. Dieses Argument könnte genau so gut für den gerade aktualisierten Virenscanner oder für ein als besonders sicher angenommenes Betriebssystem gelten. Darf ich diese dann auch nicht nutzen, nur um nicht leichtsinnig zu werden?

3. Diese Argumentation erinnert mich an das Antiblockiersystem im Auto. Ich sehe für viele Anwender ein Sicherheitsgewinn. Etwas überheblicher formuliert: Viele Anwender sind auch ohne Schreibschutz, aus Gefahrenblindheit und Unwissen, ganz leichtsinnig unterwegs. Dann wird mit einem HW-Schreibschutz wenigstens ein Teil der trivialen Unfälle verhindert.

 ->Mit HW-Schreibschutz wird ein System fehlertoleranter gegenüber dem Benutzerverhalten.

4. Es ist Leichtsinn alleine auf die Sicherheitssoftware und ein als sicher angenommenes Betriebssystem zu vertrauen.

Ohne HW-Schreibschutz darf sich vom Systemhersteller bis Anwender keiner einen einzigen Fehler erlauben, sonst hat man sehr schnell eine Schadsoftware fest im System vorliegen.

Mit Schreibschutz wird das System wesentlich fehlertoleranter. Eine zweifelhafte E-Mail kann vom Anwender dann sogar mehrmals geöffnet werden, ohne dass sich persistent etwas einnisten kann.

Die Begriffe Unwissen und Leichtsinn weichen dann den Begriffen absichtlich und mutwillig.



XV. „Der (dumme) Anwender ist besser dran, wenn aktuelle Updates aus Sicherheitsgründen kontinuierlich eingespielt werden können.“

Ein Anwender ist mit dieser Aussage nur unwesentlich besser dran, denn genau hier können die Sätze verwendet werden: „Es wird immer eine Lücke gefunden!“, „Es ist immer noch eine Lücke vorhanden, die gerade ausgenutzt wird!“ und „Nach einem Sicherheitsupdate ist vor einem Sicherheitsupdate“.

Und besonders eine Studie: Zero-Day-Sicherheitslücken im Schnitt 7 Jahre ausnutzbar

Wenn eine Software kontinuierlich für Sicherheitsupdates beschreibbar bleiben soll, dann werden doch immer noch neue, also noch nicht erkannte Sicherheitslücken erwartet? Das System bleibt selbst mit Sicherheitsupdates im Wesentlichen unsicher (offen), da Sicherheitssoftware und Betriebssystem-Hersteller (selbst, wenn sind nicht dazu gezwungen werden), immer einen Schritt hinter den Angreifern bleiben. Der vorhandene Exploit-Schwarzmarkt, mit den dem SW-Herstellern nicht (offiziell) bekannten Lücken, zeigt dies.

Das Argument unterstellt zudem, dass jeder Softwarehersteller ein Update sofort nach bekannt werden einer Sicherheitslücke bereitstellt. Das ist ein Wunschdenken, die Wirklichkeit auch bei Herstellern proprietärer SW, sieht anders aus. Mir ist bisher kein Betriebssystem-Hersteller bekannt der dies leistet. Meistens ist es so, dass erst wenn ein Hersteller sich genötigt fühlt eine Sicherheitslücke zu stopfen, dass dann auch ein Patch bereitgestellt wird (bspw. Android). Oder sie zeigen sich sogar beratungsresistent.

Bis zum Update muss der Anwender dann auf sein Glück vertrauen, nicht zum Opfer eines Angriffs zu werden. Die effizient wirksame Maßnahme einer HW-WP wird hier durch das Prinzip „Hoffnung“ ersetzt.

Das Argument suggeriert dem Anwender, dass damit nun alle Probleme vorerst behoben sind und alle Sicherheitslücken beseitigt sind, bis wieder eine Lücke gefunden und vom Hersteller behoben wurde (bekannte wie auch unbekannte). Die Berichte über Sicherheitsprobleme (insbes. Adobe Flash-Player) zeigen aber, dass immer nur bestimmte Sicherheitslücken geschlossen werden, es werden wieder neue Sicherheitslücken in der Systemsoftware gefunden und auch bekannte Sicherheitslücken vom SW-Hersteller werden nicht oder nur sehr spät behoben. Selbst zeitnah bereitgestellte Sicherheitsupdates haben letzten Endes nur eine kosmetische Wirkung. Es werden weiterhin, dem SW-Hersteller noch (offiziell) unbekannte und daher nicht korrigierte Sicherheitslücken, ausgenutzt.

Ich unterstelle daher, dass es für einen DAU und dem durchschnittlichen Anwender nicht relevant ist, welche Sicherheitslücke gerade mit einem aktuellen Patch automatisiert behoben wurde, wenn es weiterhin noch viele andere ausgenutzte Sicherheitslücken gibt. Das System bleibt weiterhin offen, angreifbar und ohne HW-Schreibschutz dann auch weiterhin maximal manipulierbar.

Oder anders formuliert: Wenn ich diese Lücken automatisiert schließen kann, ich aber mit Sicherheit noch weitere Lücken habe, die eine Systemmanipulation ermöglichen, welchen Vorteil habe ich dann mit diesem Automatismus gegenüber einem System, das ohne diesen Automatismus auch mit Sicherheitslücken ausgestattet ist, nun aber nicht mehr weiter manipulierbar ist?


Wenn Updates kontinuierlich eingespielt werden sollen, erfordert dies einen permanenten administrativen Zugang auf das System von der Update-SW. Diese SW-Komponenten werden als bevorzugtes Ziel von Schadsoftware ausgesucht. Etwas Vergleichbares wird bereits mit Virenscannern gemacht, da sie ebenfalls einen administrativen Zugang zum System benötigen (s. a. „Vom Jäger zum Gejagten: Kaspersky-Virenscanner ...").


Was kann ein Anwender tun, bis ein Update bereitgestellt wird, um mögliche Schäden zu minimieren?

Dann gibt es so Tips wie, dass er seine Email-Anhänge besser überwachen soll, seine Virenscanner immer aktualisiert halten muss (das generiert Umsätze), auf ungewöhnliche Prozesse im Computer achten soll (wie auch immer die aussehen mögen) und bestimmte Software nicht anwendet (Er geht nach Hause,/ hört mit seiner Arbeit auf) oder sogar deaktiviert (Darf er überhaupt Adminrechte haben?). Diese Antworten fordern vom Anwender Tätigkeiten und Anwendungswissen, die man ihm allerdings genau mit dem Eingangsargument abnehmen wollte und bei ihm nicht vorausgesetzt hat.

Diesen Widerspruch konnte ich bisher nicht auflösen.

D. h. ist ein Angriff vor einem Sicherheitsupdate erfolgreich, ist ohne Schreibschutz mit persistenter Schadsoftware im Betriebssystem oder im BIOS-FLASH zu rechnen. Administrationsrechte zu erlangen, sind auch bei einem schreibgeschützten System möglich, allerdings eingeschränkt, weil keine Schreibzugriffe auf die Systemsoftware im Permanentspeicher möglich sind. Daten auf einem noch vorhandenem und beschreibbarem Arbeitsmedium können immer noch eingesehen, manipuliert und verschlüsselt (Erpressungs-Trojaner) werden.

Diese eingeschränkten Administrationsrechte sind zudem noch zeitbegrenzt, weil sich eine Schadsoftware nur im RAM bis zum Abschalten des Systems aufhalten kann.

Z. B. ein Passwortdiebstahl/Keylogger wäre mit HW-Schreibschutz wesentlich schwieriger permanent im RAM zu platzieren, da nach jedem Systemstart die Schadsoftware wieder neu in das System-RAM gelangen muss. Es ist ein permanenter Angriff z. B. auf eine Lücke in der Firewall, ein sich wiederholender Bedienfehler (öffnen des E-Mail Anhangs) oder eine Ausführung eines zuvor hinterlegten Scriptes im Arbeitsbereich dann erforderlich.

Besonders weil sich eine Schadsoftware tarnen, umprogrammieren, nachladen und auch wieder selbst löschen kann, lässt sehr viel Handlungsspielraum für einen Angreifer bis zu einem Sicherheitsupdate. Ein HW-Schreibschutz, selbst wenn er nur die Systemsoftware absichert, würde diesen Handlungsspielraum stark einschränken oder erst gar nicht ermöglichen.

 

Ein verantwortungsvoller Administrator ist über notwendige Updates informiert und er wird nie ein Update, ohne vorherige Tests, sofort in eine Produktivumgebung einspielen. Hier gibt es weder Informationslücken oder ein Zeitvorteil, die ein automatisches Update rechtfertigen.

Im Rahmen der Qualitätssicherung muss eine IT prüfen, ob ein Patch nicht anderwertig einen Schaden anrichtet. Was ist, wenn zu viele Patches hintereinander erfolgen (müssen)?
Das entspannte Prüfen zwischen den festgelegten Patchdays wird dann zu einem Hase -Igel Wettlauf der IT mit den Sicherheitsupdates, um die Produktstabilität zu erhalten. Was ist, wenn das Patchen aus QM-Resourcegründen nicht mehr eingeholt werden kann bzw. wie ist das System bis zum nächsten Patchday abgesichert?
Dann ist ein Hardwareschreibschutz die einzige Möglichkeit, wenigstens eine permanente Manipulation an den Computern zu verhindern.
 


Unter anderem unterstützt ein immer aktualisierbares System die Tendenz zur Entwicklung von Banane-Produkten - Es reift beim Kunden. Es verführt dazu, Software in schlechter (Sicherheits-)Qualität auszuliefern, denn ein Patch ist ja schnell und unbemerkt eingespielt. Der unbedarfte Anwender wird dann ungewollt zum Betha-Tester von Panik-Sicherheitsupdates, die dann auch sein Computer lahmlegen können. (s. "Stilles Apple-Update kappt Ethernet-Verbindungen","Ethernet-Update-Problem kann auch Mac-App-Store-Anwendungen tangieren")

 

Ein vollständiges geprüftes Betriebssystem über das Netzwerk aus sicherer Quelle zu laden, wäre die konsequente Fortsetzung dieses Ansatzes (s. a. PXE Boot).

 

 

XVI. „Es gibt keinen weiteren Nutzen für einen HW-Schreibschutz.“

Neben einer verbesserten Sicherheit, gibt es für den alltäglichen Gebrauch noch weitere Vorteile.

Es ist sehr schnell passiert, dass ein Copy/Sync/Backup in der falschen Richtung ausgeführt wird, oder das bei einer neuen Partitionierung eines weiteren Datenträgers, leider der Datenträger mit dem Betriebssystem als Ziel verwendet wurde. Dann hilft nur noch ein möglichst aktuelles Backup.

Ich kann die Daten auf einem Datenträger vor eigenen Bedienfehlern vor dem Partitionieren und Sychronisieren mit einem Handriff schützen - besonders um 2 Uhr nachts ;-). 

Ein Hardwareschreibschutz ist unabhängig vom Betriebssystem und schnell umgeschaltet. 

Ich muss nicht umständlich irgendwelche Schreibschutzflags von Dateien und Verzeichnissen im Explorer- Menue suchen und aktivieren. Diese 'Empfehlungen' an das Betriebssystem werden beim Partitionieren und Formatieren von Datenträgern ohnehin ignoriert.

Mit einem Schreibschutz kann ich die Datenintegrität auf dem Datenträger schnell und zuverlässig absichern.
Oft ist keine Zeit und Möglichkeit vorhanden nach SW-Flags zu suchen. Jeder, der schon einmal seine Powerpoint-Datei vor einem Plenum oder sein Photoalbum in einer Drogerie von seinem USB-Stick auf einen fremden Rechner kopieren musste, kennt diese Situation. Dann will ich auch die gut gemeinten Aktionen vom dortigen Betriebssystem, wie beispielsweise die Überprüfung und Reparatur des Dateisystems, zuverlässig blockieren können.
 

Ein zufälliger Stromausfall betrifft nur die beschreibbaren Arbeitsmedien. Die Systemsoftware bleibt auch ohne besondere readonly Konfiguration erhalten.


 

XVII. „Das kann mit einer Virtual Machine-VM auch gelöst werden“

Mit einer VM oder Sandbox soll sich nichts im Wirtssystem einnisten bzw. ändern können. Das Ziel ist eine Systemsoftware unverändert zu erhalten und das erreiche ich auch mit einem über Hardware schreibgehärteten Linux und zwar wesentlich zuverlässiger und mit weniger Wartungsaufwand.

Eine VM sehe ich mit meinem Konzept daher als überflüssig und auch sicherheitstechnisch schwächer an, wenn es darum geht mit dem Internet zu arbeiten. Sogar noch unbekannte Sicherheitslücken in Hypervisor und Wirtssystem, die eine permanente Manipulation der Systemsoftware als Ziel haben (Keylogger etc.), stellen dann keine Gefahr dar.  (s. Sicherheit von Hypervisoren u. Hacker brechen aus virtueller Maschine aus)
Mit einer VM erhöhe ich zudem immer den Wartungsaufwand und den Anspruch an das erforderliche Anwenderwissen, denn ich muss mich nicht nur um das Wirtssystem, sondern auch um die Software der VM und der SW des Gastsystems kümmern. VMs bieten eine wesentlich bessere Sicherheit, aber sie ermöglichen meiner Ansicht nach kein simples Produktivsystem. VMs sind eine gute Zwischenlösung, wenn ich mal etwas ausprobieren möchte.

Mit einem HW-schreibgehärteten Linux ist ein Systemupdate gegenüber einer VM nutzerfreundlicher -> System herunterfahren -> Schreibschutzschalter umlegen -> System starten und nun nur das Update wie bisher einspielen -> Neustart des Systems wieder mit HW-Schreibschutz. Das wars.
Keine ISOs oder Images sind zusätzlich neu zu erstellen und in die VM zu übertragen etc. (Ok, es gibt noch die VMs die auch das Update der ausgeführten Systemsoftware differentiell mit abspeichern.., es bleibt aber bei 2x ein Update ausführen.)
Ein Linux (Mint) wurde bei mir wie üblich installiert und für eine SSD Anwendung optimiert. Bspw. keine swap, die temp Verzeichnisse werden beim Start ins RAM ausgelagert etc.
Sind die beschreibbaren Datenträger ausgehängt bzw. vom Netz entfernt, dann sollte ich mit so einem über Hardware schreibgeschützten System jede E-Mail aufmachen können. Selbst Linux- Crypto Mail- Trojanern (gibt es die überhaupt schon?) sind dann harmlos.
Diese und andere nachgeladene Schadsoftware sind nach dem nächsten Kaltstart, da sie nur im RAM vorhanden sind (dito VM, USB-Live-System), wieder verschwunden und das wird ohne eine zwischengeschaltete VM erreicht.

 

 

Volker