Open-Source Projekte zu Hardware-Schreibschutz



Den Einsatz von Open-Source Schreibschutz-Adapter halte ich mittel- und langfristig für die kostengünstigste und sicherste Variante. Mit vorgeschaltetem Schreibschutz-Adapter ist nun immer eine physische Präsenz notwendig, um die Datenträger bewusst zu manipulieren. Malware ist so erfolgreich, weil die physische Präsenz eines Angreifers eben nicht erforderlich ist. Wird das Speichermedium ausgetauscht, bleibt das Vertrauen in die Schutzfunktion des zwischengeschalteten Write-Blockers erhalten. Bei Speichermedien mit eingebautem Hardware-Schreibschutz gibt es immer die Unsicherheit, in wie weit eine proprietäre Firmware die Blockade der Schreibkommandos und anderer Kommandos (Firmwareupdate) garantiert und nur die zum Lesen des Datenträgers erforderlichen Kommandos durchlässt. Ein Nachweis müsste bei jedem Modellwechsel bzw. zu jedem Firmwareupdate des Speicherträgers erbracht werden (s. erforderliche Zertifizierung der Forensikblockers).

Mit Write-Blocker-Adapter müssen die Speichermedien selbst keinen fest verdrahteten Schreibschutz aufweisen. Ein Speichermodul (USB-Stick, SSD, mSATA-SSD ,..) kann bei Bedarf/Defekt durch ein schnelleres oder eines mit mehr Speicherplatz ausgetauscht werden, ohne dass auf die Verfügbarkeit einer Schreibschutzfunktion über Hardware am neuen Speicher geachtet werden muss. Kommerzielle und daher kostengünstig verfügbare Speichermedien bleiben als Auswahlmöglichkeit erhalten.

Den sicherheitstechnischen Nachteil, dass die Firmware der Speicherträger und deren Speicherbereich weiterhin nicht über einen zuverlässigen Schreibschutz abgesichert sind, halte ich für vernachlässigbar.

Die Firmware des Speicherträgers kann weiterhin Speichermanagement und Fehlerbeseitigung ausführen. Das ist sogar ein technischer Vorteil von Schreibschutz-Adaptern gegenüber der direkten Blockade der Schreibfunktion (s. WP-Pin der FLASH Bausteine) auf den Speicherträgern. Die Software eines Write-Blocker Adapters besteht im wesentlichen nur aus der Analyse und Freigabe von Steuerkommandos. Das macht eine Entwicklung, Wartung und Funktionskontrolle gegenüber Speichermedien mit eingebauten HW-Schreibschutz sehr einfach. Die zuvor genannten Punkte von Speichermanagement, Fehlerbeseitigung müssen in der Software eines Schreibschutz-Adapters nicht mit berücksichtigt werden. Auch die Hardware/Platine eines Schreibschutz-Adapters ist kostengünstiger gegenüber einer All-in-One Lösung herzustellen, da nun in der Entwicklung und beim Einkauf der Komponenten weder eine Auswahl der FLASH-Speicherbausteine, noch das komplexere HW-Design zu berücksichtigen sind. Speicherverwaltung und die passenden Komponenten dazu sollte den Herstellern der Speichermedien überlassen bleiben. Deren Lernkurven zu wiederholen halte ich vorerst für Verschwendung von Resourcen.

Open-Source ist für mich die Voraussetzung für Vertrauen und dient der besten Nachprüfbarkeit einer Sicherheitsfunktion. Bei einer proprietären Firmware eines Write-Blocker-Adapters kennen wir die Black- bzw. Whiteliste der Steuerkommandos nicht (Black Box). Selbst wenn die Software unter NDA von einer Zertifizierungstelle (BSI) eingesehen werden kann, werden die Algorithmen nur von wenigen, allerdings auch fehlbaren Experten überprüft (bspw. BSI Zertifiziert RSA BUG).



Folgende Open-Source Projekte sind mir bekannt:


USB to USB Write-Blocker:

Ein Open-HW Projekt für einen USB zu USB Write-Block-Adapter habe ich hier [BlackHat Euro 2013] gefunden. Allerdings sehe ich mit einem Testboard und dem hohen Aufwand im Selbstbau keine praktikable Grundlage, mit der eine große Anzahl von Nutzern erreicht werden kann. Zudem hatte mein Test dieser Hardware eine Lesegeschwindigkeit bzw. Durchsatz von maximal 50KByte/sek ergeben. Nach Aussage vom Dr. P. Polstra sollen bis zu 500KB/sek erreichbar sein, wenn ein schneller USB-Stick verwendet wird. - Das ist keine wesentliche Verbesserung.

Dieses Beispiel verdeutlicht, dass bei einem Write-Blocker immer mit einer Reduktion in der Kommunikationsgeschwindigkeit gerechnet werden muss. Kommerziell erhältliche Write-Blocker sind allerdings nicht so unterirdisch langsam. Eine Eigenentwicklung von offener SW, auf Basis dieser schnellen Write-Blocker, bietet sich an.


http://www.instructables.com/id/Cheap-and-Effective-USB-Write-Blocker/Blackhat Euro: cheap open source USB drive write blocker


https://media.blackhat.com/bh-eu-12/Polstra/bh-eu-12-Polstra-Preventing_Oh_Shit-WP.pdf


http://philpolstra.com/Linux-Forensics/


Face Dancer/ BeagleDancer/ RaspDancer:

https://dominicspill.com/presentations/2014/Spill_BSidesLV_USBProxy_slides.pdf



USB zu SATA Write-Blocker:

Von der Iowa State University: USB 3.0 Write Blocker


Allgemein:

Studie über Open-Source Write-Blockes auf der Basis von Single-Board Computern