Benutzerfreundliche Live-Systeme

und 

hardwareschreibgeschütztes Linux

mit

SATA-DOM und mSATA SSDs

Ein verbesserter Schutz vor 0Day Exploits, Ransomware und möglichen Staatstrojanern

 

Im folgenden Text stelle ich die Vorteile, Umbau und Konfiguration von SATA-DOM (Disk On Module oder Device On Module) Speicherbausteinen für den Einsatz von über Hardware schreibgehärteten Linuxsystemen bzw. Live-Systemen vor.

Der bisherige Einsatz von Live-Systemen auf DVD oder USB-Stick setzt eine hohe Leidensfähigkeit und Verzweiflung der Anwender voraus. (Keinen Widerspruch bitte!)

Ich habe ein Produktivsystem mit physischen Schreibschutz zum Surfen, für E-Mail Bearbeitung und für Textverarbeitung gesucht, bei dem die Systemsoftware in einem quasi „SSD-PROM“ liegt. D. h. schnell, kein Aufräumen erforderlich (Datenamnesie) und ganz wichtig, keine Schadsoftware, die sich doch irgendwie permanent in die Systembereiche bis hinunter zum MBR hineinmogeln kann, bzw. dort Veränderungen vornimmt. Wer es noch etwas sicherer haben möchte, für den gebe ich unter No Bad BIOS weitere Umbauhinweise für das BIOS/UEFI-FLASH.

Die Boot- und Zugriffszeiten eines Betriebssystems auf DVD-ROM sind langsam und eine Aktualisierung der Systemsoftware ist umständlich. Live-Systeme auf USB-Sticks sind zwar schneller und auch ein Update der Systemsoftware ist einfacher durchzuführen. Allerdings wird bei den USB-Sticks der Geschwindigkeitsvorteil mit einer Sicherheitslücke, aufgrund eines meistens nicht vorhandenen Schreibschutzschalters erkauft. Ein vorhandener Schreibschutzschalter am USB-Stick ist mechanisch wenig belastbar (geringe Schaltzyklen) und auch die Bedienung selbst bleibt, infolge der geringen Schalterabmessung, immer noch umständlich. Die schnellen Standard-SSD-Festplatten bieten leider keine hardwareseitige Schreibschutzfunktion (nicht mal eine Steckbrücke) an.

Auf der Suche nach USB-Sticks und anderen FLASH-Speichermedien mit Schreibschutzschalter waren mir die SATA-DOM Bausteine und mSATA-SSDs aufgefallen.

Beide Speichertypen sind SSD-Festplatten im Miniaturformat und sind mit Schreibschutzschalter erhältlich. SATA-DOM-Bausteine und mSATA-SSDs mit HW-Schreibschutz vereinen die Vorteile von Manipulationssicherheit, einem unkompliziertem umprogrammieren/Update und einer schnellen Arbeitsgeschwindigkeit in einem Speichermedium. Diese Speichertypen sind daher für mich die ideale Hardwareergänzung zu einem mit Hardware schreibgehärteten Betriebssystem.

 

SATA-DOM
Abb. 1: SATA-DOM




1.1 Eigenschaften der SATA-DOM - Bausteine

mSATA Modul
Abb. 2: mSATA Modul - hier allerdings ohne WP-Schalter

SATA-DOMs sind SSDs in einem sehr kleinem Gehäuse. Sie sind dafür vorgesehen, direkt auf die SATA-Anschlüsse eines Mainboards gesteckt zu werden.

Die Spannungsversorgung erfolgt über zwei zusätzliche Kabel, die an einen der 5V12V Stecker (Molex) des Computernetzteils angeschlossen werden.

Einige DOM-Modelle verfügen auch über speziellen SATA-Stecker, die einen Pin am SATA-Stecker als +5V Eingang bereitstellen. Für diese Module sind entsprechend vorbereitete Mainboards erforderlich, sonst besteht Kurzschlussgefahr.

Die von der Industrie beworbenen Einsatzbereiche gehen von Spielautomaten über Embedded-Industrieapplikationen bis zur Medizintechnik.

Als besondere Eigenschaft gegenüber SSD-Festplatten ist ein Schreibschutzschalter bei vielen DOM-Modellen vorgesehen. Beispielsweise ist bei Medizintechnikprodukten manchmal ein Update erforderlich, aber ein versehentliches Überschreiben des Inhaltes muss auf jeden Fall verhindert werden.

Diese Eigenschaft hatte mir bis auf den kleinen und gut versteckten Schreibschutzschalter gefallen.


Gegenüber SSD-Festplatten sind SATA-DOM-Bausteine oft mit nur sehr wenigen Programmier- und Löschzyklen der Speicherzellen spezifiziert [(P/E Zyklen >3000)]. Diesen Nachteil sehe ich allerdings als unproblematisch an, denn diese DOM-Bausteine sollen meistens im nur Lese-Modus betrieben werden. SATA-DOMs sind sogar schneller als viele USB-Sticks. Als Auswahlkriterium ist deshalb eine hohe Lesegeschwindigkeit wichtig, denn die Schreibgeschwindigkeit darf vernachlässigt werden, da sie bei einem Live-System nur selten während eines Systemupdates zum Tragen kommt.

 

1.2 Sicherheitshinweise für DOM-Bausteine

Alle Schreibschutzschalter an den DOM-Modulen dürfen nur im ausgeschalteten PC-Zustand umgeschaltet werden. Es können sonst durch Lese- oder Schreibfehler Daten zerstört werden.

Manche DOM-Modelle, testen die Schalterposition des Schreibschutzschalters deshalb nur beim Einschalten der Spannungsversorgung am Modul.

In der Spezifikation weist ein Hersteller extra darauf hin:

... within the write-protect function could prevent the device from modification and deletion. Write-protected data could only be read, that is, users could not write to it, edit it, append data to it, or delete it. When users would like to make sure that neither themselves nor others could modify or destroy the file, users could switch on write-protection. Thus, Modul could process write-protect mechanism and disable flash memory to be written-in any data.

Only while the system power-off, users could switch on write-protection. Write-protection could not be switched-on, after OS booting ...“

Eine Ausnahme davon sind Trancesnd-SSDs (TS16GSTM360 , Quelle: Test Heise s. u.), die auch im laufenden Betrieb den Schalterzustand berücksichtigen. Diese Module könnten sich besonders für eine Absicherung des Anwenderbereiches mit den zu bearbeitenden Dateien eignen. Aktuell (11.12.15) wird gerade über Erpressungs- und Verschlüsselungs-Trojaner berichtet, die über EMail-Anhänge die Nutzerdaten angreifen. Vor der Bearbeitung von E-Mails könnte der angreifbare Arbeitsbereich, wenn er sich auf einem dieser DOM-Module befindet, dann schnell gegen Veränderungen geschützt werden.

Auch die Aktivierung der Spannungsversorgung darf nur bei heruntergefahrenem Computer erfolgen. Beispielsweise hatte ich zur Laufzeit des Computers ein SATA-DOM-Modul eingeschaltet. Eine Festplatte, die auch an dieser Spannungsversorgung angeschlossen war, wurde durch den Einschaltstrom so gestört, dass sie neu gestartet wurde. → Systemabsturz!



1.3 Eigenschaften von mSATA-SSDs mit Schreibschutz

Eine weitere Bauform von schnellen FLASH-Speicherträgern mit optionalem Hardwareschreibschutz sind mSATA-SSDs. Diese Module werden gerne als Ersatz für die magnetischen Festplatten in Laptops eingesetzt. Neben der Stoßunempfindlichkeit und hoher Geschwindigkeit, ist der geringe Leistungsverbrauch von mSATA-Speicherbausteinen für Laptops von Vorteil.

Die Stromversorgung von mSATA-Bausteinen kann allerdings nicht wie bei den DOM-SSDs so einfach unterbrochen werden. Eine Aktivierung und Auswahl der einzelnen Module (s. Kap. 1.4.2 Multiboot-System) über deren Spannungsversorgung ist dann nicht mehr so einfach möglich.

Für eine schaltbare Stromversorgung wäre ein Eingriff auf der mSATA Platine erforderlich oder ein Zwischenstecker an der Spannungsversorgung bietet einen offenen Zugang für eine Unterbrechung an.

Ich habe vor, einen Laptop mit Live-System für meine Reisen auszurüsten. Besonders für den Internet-Zugang, über unbekannte (Hotel-) Netzwerke, sehe ich diese Hardwareausstattung als sehr vorteilhaft an. Nur der zusätzliche rote Schalter am Laptopgehäuse könnte am Flughafen zu Irritationen führen;-). Ein Reedschalter innerhalb vom Plastikgehäuse ist dann doch die stressfreiere Variante und eine Bohrung (Beschädigung) am Gehäuse ist nicht erforderlich.

  

1.4 Konfiguration der Computerhardware

1.4.1 „Single-Boot“-System

Live-System , Wechselfestplatte
Abb. 3: Live-System Konfiguration mit nur einem Betriebssystem

   

In dieser einfachen Konfiguration sind nur das Speichermedium für den Bootsektor und eine Systemsoftware schreibgeschützt.

Nutzerdaten bzw. der Anwenderbereich liegen auf einem anderen beschreibbaren Speichermedium.

Ein Test auf Schadsoftware wird mit einem vorbereiteten USB-Stick (z. B. Desinfec't) durchgeführt. Ein Angreifer kann nur noch den Anwenderbereich auf einem anderen Datenträger verändern, aber weder MBR noch Systemsoftware manipulieren.

 

1.4.2 „Multi-Boot“-System

Live-Systeme , Wechselfestplatten, SATA-DOM
Abb. 4: WP-Live-Systeme mit Write-Protect Optionen im Anwenderbereich

 

Bei dieser Konfiguration erfolgt die Auswahl eines Betriebssystems über das Zuschalten der Spannungsversorgung des ausgewählten DOM-Bausteins. Die einzelnen DOM-Module enthalten je ein Betriebssystem und können unabhängig voneinander ausgetauscht werden. Das hat den Vorteil, dass keine umständliche Konfiguration und Wartung eines Multi-Boot Datenträgers erforderlich ist. Programme, wie GRUB, Yumi, Liveboot u. a., als vorgeschalteter Manager für einen Multiboot-Datenträger, sind dann nicht mehr erforderlich. In einem Multiboot-System auf einem Datenträger können sich die Betriebssysteme noch „sehen“, auch dass kann nun mit getrennten und über die Spannungsversorgung abschaltbaren DOM-Bausteinen verhindert werden.

Zum Scannen nach Viren sollte ein DOM-Baustein z. B. mit Desinfec't zuschaltbar sein. Die BOOT-Reihenfolge im BIOS muss dann so gewählt werden, dass dieses Modul beim Start des PCs als erstes angesprochen wird. Für weitere DOM-Bausteine würden sich Surfix (alt) und Bankix (eingestellt) anbieten, allerdings erlauben die ISO-Dateien keine funktionsfähige Installationen auf SSDs und SATA-DOMS. Als Alternative zu Surfix verwende ich Linux-Mint mit einem Schreibschutzschalter. Die Optimierungsmöglichkeiten von SSDs sollten auch hier wieder berücksichtigt werden ( s. Anhang). 

DOM-Speicher können über Adapter auch an externe SATA-Ports angeschlossen werden. Sie entsprechen dann schnellen USB-Sticks, die allerdings noch eine Zuführung der Stromversorgung benötigen.


Folgende Grenzen der Sicherheit sind zu beachten:

Trojaner und Keylogger, wenn sie nicht schon mit dem Installationsmedium ausgeliefert werden, können weitestgehend verhindert werden. Allerdings sind Angriffe auf das Laufende System (SW im RAM) immer noch möglich. Datenkopien, Man in the Middle, DNS-Spoofing, auch selbst vertippte Webadressen, die auf eine falsche Online-Banking Adresse führen, können immer noch dem Anwender schaden.


 

1.5 Umbau der SATA-DOM-Bausteine

Anschluss WP-Lötpads, Stiftleiste, SATA-DOM
Abb. 5: Anschluss der WP-Lötpads an eine Stiftleiste

 

 

 

 

 

 

 

 

 

 


USB-Sticks mit Schreibschutzschalter und auch die kleinen Schalter an den SATA-DOM Bausteinen bieten keinen komfortablen Zugang für das Umschalten des Schreibschutzes. Aus diesem Grund habe ich die Kontakte an dem Schreibschutzschalter von den DOM-Bausteinen über Steuerleitungen an externe Schalter angeschlossen. Vor jedem Umbau sollten die Spannungen an den drei Anschlusspads der Mikroschalter in Abhängigkeit von der Schalterstellung ermittelt werden. Diese filigrane Arbeit muss mit Betriebsspannung am DOM-Baustein ausgeführt werden. Danach wurde der Schreibschutzschalter im spannungsfreien Zustand vom DOM-Baustein ausgelötet und zwei der nun offenen Lötpads an einer zweipoligen Stiftleiste angeschlossen. Der verbliebene offene Padkontakt (das sollte GND oder VCC sein) muss über einem 4,7k SMD Widerstand an den mittleren Schalterkontakt (meistens ist dort die WP-Steuerleitung zum Kontrollerbaustein angeschlossen) gelegt werden (s. Abb. 5). Ein undefinierter Logik-Pegel am WP-Eingang vom Kontrollerbaustein wird somit bei offener Stiftleiste sicher vermieden. Danach sollte im Betrieb die Spannung am mittleren Anschluss überprüft werden (min. 3 V HIGH oder 0 V - je nach Zustand des Schalters oder nun Jumpers).

Die Leitungen zur Stiftleiste wurden mit Sekundenkleber als Zugentlastung für die Lötpads auf der Platine fixiert. Die offenen Lötstellen an den Stiftleisten müssen mit Isolierband oder Schrumpfschlauch gesichert werden. Ist kein Isolationsmaterial vorhanden, kann auch vorsichtig eine dünne Isolierung mit Heißkleber erzeugt werden. Die Stiftleiste kann nun mit einem Jumper überbrückt werden oder es wird eine Verlängerung zu einem externen Schalter angeschlossen.

 

Hinweise:

Der DOM-Baustein sollte schon vor dem Umbau mit einem aufgespielten Linux-System getestet werden.

Den Schreibschutzschalter vom DOM habe ich sicherheitshalber immer entfernt. Im Prinzip könne der Schalter am Modul verbleiben, wenn er nur 2-polig als AUF/ZU-Schalter und nicht als Umschalter verwendet wird (ausmessen). Dann muss nur sichergestellt sein, dass er im Zustand „OFFEN“ verbleibt, um extern mit einem Parallelanschluss den Schreibschutz umschalten zu können.

Generell vermute ich einen Pullup oder Pulldown am WP-Steuereingang des Speicherkontrollers, um dort einen definierten logischen Zustand zu erhalten, wenn der Schalter geöffnet ist.

Wird der Schalter vom DOM-Baustein als Umschalter verwendet (Umschaltung zwischen VCC und GND jeweils an den Steuerpin), führt eine Parallelschaltung eines weiteren (unseres externen) Umschalters mit Sicherheit zum Kurzschluss zwischen VCC und GND. Der Ausbau des original WP-Schalters ist daher immer zu empfehlen.

Der WP-Steueranschluss am original WP-Schalter muss durch Ausmessen und einer Layout-Analyse ermittelt werden. Ich erwarte, dass er meistens mit dem mittleren Kontakt des Schalters verbunden ist.

Den Umbau der DOM-Bausteine sollten nur im SMD-Löten erfahrene Personen machen. Beispielsweise können die Anschlusspads sehr schnell beim Auslöten des Schreibschutzschalters abgerissen werden. Elektrostatische Aufladungen (ESD) sind auch eine Gefahr für diese Baugruppen.

Jedes DOM-Modell ist etwas anders aufgebaut. Ich kann daher nur eine sehr allgemeine Umbauanleitung geben.

Und ganz wichtig: Wer seine Elektronik schrottet, der ist selber daran schuld.

 

 

Zerlegte und umgebaute DOM-Bausteine
Abb. 6: Zerlegte und umgebaute SATA-DOM Bausteine

  

@Hersteller der FLASH-Speichermedien von DOM, SSD und mSATA:

Es wäre schön, wenn in den Designs immer eine Lötbrücke oder besser, ein Jumper zur Aktivierung des Schreibschutzes vorgesehen wird. Das spart den Aufwand für den Umbau und ist ohnehin in der Produktion billiger als ein Schalter. Ein Hersteller von DOM-SSDs hat mir dies auch bestätigt, denn ein SMD-Jumper kann maschinell bestückt werden. Die kostspieligere manuelle Platzierung eines Schalters könnte dann entfallen. Anscheinend wird ein Jumper zu wenig oder erst gar nicht von Kunden nachgefragt.

 

 

1.5.1 Ein CASE-Mod für die Schreibgehärteten

Einbau der Schalter in ein PC-Gehäuse
Abb. 7: Einbau der Schalter in ein PC-Gehäuse

Als besonderen Blickfang habe ich einen KFZ-„Ignition Switch“ als Schreibschutzschalter verwendet. Zusätzlich wurde auch die Stromzuführung der Module unterbrochen und über Verlängerungsleitungen an je einen externen Schalter angeschlossen. Die Auswahl der Betriebssysteme kann nun auch von außen über die Aktivierung der Versorgungsspannung je Modul erfolgen.

Für Schlüssel- und Notaus-Schalter ist ein weiteres Einsatzgebiet gefunden.


Ich verwende zusätzlich Wechselfestplatten mit unterschiedlichen Betriebssystemen und jede ist spezialisiert auf bestimmte Anwendungsbereiche (je eine für Banking, Internet, Spiele etc.) und falls erforderlich immer nur einem Anwender (Familienmitglied) zugeordnet. Mehr dazu ist im Kaptitel Luftmauer" zu finden.

 

 


 

 

 

 


1.6 Kauf von SATA-DOM und mSATA-FLASH Speichermedien mit WP

SATA-DOMs, wie auch mSATA-Module mit W.P., sind offenbar (bisher) nicht für den Konsumer-Markt gedacht. Viele meiner Bekannten aus dem IT-Bereich kannten die Bauform SATA-DOM nicht. Liegt hier möglicherweise ein Henne-Ei Problem von Nachfrage und Angebot vor? SATA-DOM Bausteine sind nicht in PC-Märkten und nur sehr selten bei Internet-Händlern (bspw. Caseking) zu finden.

In einigen Produktanzeigen wird die Schreibschutzfunktion gar nicht erwähnt, obwohl die Produkteigen-schaft bei näherer Recherche einen HW-Schreibschutz in der Spezifikation auflistet.

Ein Schalter ist manchmal auf der Produktabbildung zu sehen, aber seine Funktion ist nirgends beschrieben.

Ist das einschaltbare Schreibblockieren bei den DOM-Bausteinen möglicherweise so selbstverständlich, wie das Lock mit Plastikschieber von SD-Karten oder den alten Disketten und erfordert es deshalb keinen extra Hinweis?

Bei mSATA-Modulen wird eine WP gelegentlich nicht erwähnt und ist dann doch aufgrund eines Schalters im Abbild zu vermuten. Umgekehrt ist es auch möglich. Es wird mit Write-Protection geworben, aber kein Schalter ist auf den Abbildungen zu sehen. (Hinweise:Abbildung kann vom Original abweichen.“)

Zudem sind sich Hersteller, Distributor und Weiter-Verkäufer nicht immer einig, wie diese Write-Protection (über Software oder Hardware) zustande kommt.

In einigen Spezifikationen ist eine Hardware-Write-Protection nur als „optional“ angegeben und muss extra angefordert werden.

Ein Fazit für Bestellungen von SATA-DOM Bausteinen ist, dass ein mit Schaltern aktivierbarer Hardwareschreibschutz nochmals ausdrücklich vorher nachgefragt werden muss.


Als SATA-DOM Bausteine verwende ich:

- Mach XTREME Technology MXSSD2MSLD32G-V

- innodisk SATADOM-MV 3ME 32GB



1.7 Sind Virtuelle Maschinen (VM) eine Alternative? 

Ein Hardware-Write-Protect ist meiner Ansicht nach die bessere Alternative zur VM. Ein VM-System befindet sich nach einem Start im wesentlichen im RAM (Cache) und ist zur Laufzeit auch nur dort angreifbar. Bis hierher gleichen sich die Eigenschaften.
Mit einer VM erhöhe ich aber immer den Wartungsaufwand (Updates/Bugs) und den Anspruch an das erforderliche Anwenderwissen, denn ich muss mich nicht nur um das Wirtssystem selbst, sondern auch um die Gast-Software in der VM kümmern.
Eine VM sehe ich zudem sicherheitstechnisch als schwächer an (s. Sicherheit von Hypervisoren u. Hacker brechen aus virtueller Maschine aus). Noch unbekannte Sicherheitslücken in Hypervisor und Wirtssystem, die eine permanente Manipulation der Systemsoftware als Ziel haben, stellen mit einem HW-Schreibschutz keine Gefahr mehr dar.
VMs bieten eine wesentlich bessere Sicherheit gegenüber einem reinem Betriebssystem ohne HW-Schreibschutz, aber sie ermöglichen meiner Meinung nach kein simples Produktivsystem. VMs sind für mich eine Option, wenn ich mal etwas ausprobieren möchte.

 

 

1.8 Installation und Update eines Betriebssystems 

Ich installiere ein Linux auf einer DOM-SSD, ganz normal und mit den üblichen SSD-Optimierungen (kein SWAP, Auslagerung der /tmp-Verzeichnisse nach tempfs etc.). Danach wird der Hardwareschreibschutz aktiviert (Live-System Modus). Diese Systeme starten nun so schnell, wie man es von SSDs gewöhnt ist - (1. Vorteil gegenüber Live-Systemen auf USB oder DVD).  

Der wesentliche Unterschied gegenüber einem Live-System ist nun, dass ein Zugriff auf andere Datenträger immer noch möglich ist und auch sein darf (variable Arbeitsdaten). 

Ein System-Update wird dann wie folgt ausgeführt:
- System herunterfahren - Schreibschutzschalter umlegen - System starten und nun NUR das Update wie gewohnt aktivieren - Ein Neustart des Systems erfolgt wieder mit aktivem Hardwareschreibschutz. - Das wars. 

Ein Update ist fast so schnell und komfortabel, wie auf einer SSD ohne Schreibschutz und ein zusätzliches Anwenderwissen ist nicht erforderlich (2. Vorteil gegenüber Live-Systemen auf USB bzw. DVD). Dann werden auch eher Sicherheitsupdates eingespielt.
Mit einer reinen (umständlichen) Systemkonfiguration und Härtung in Software, kann ich das Grundprinzip nicht sicherstellen, dass nichts auf dem Systemdatenträger verändert werden kann. Ich muss auch nicht für jedes Programm zur Erstinstallation die entsprechenden Amnesie-Konfigurationen anpassen - da wird schnell mal etwas vergessen.
Mit Hardwareschreibschutz ist ein Linuxsystem, sogar bis hinunter zum MBR, gegen Manipulation automatisch abgesichert.
Die Handhabung von Hardwareschreibschutz ist im Normalbetrieb gegenüber VMs unkomplizierter. Daher sehe ich diese Technik, gerade für den durchschnittlichen Anwender, als sehr geeignet an. Ist darüber hinaus kein weiterer beschreibbarer Datenträger vorhanden oder zuvor entfernt worden, könnte im Prinzip ein Anwender sogar als Root/Admin alles ansurfen und alle E-Mails öffnen. Nach einem Kaltstart sind Schadprogramme und die Manipulationen aus dem System wieder automatisch verschwunden.
Wer den Wartungsaufwand von VM,- USB- und DVD-Live Systemen scheut und keine PC-Wächter Hardware einsetzen möchte, hat nun eine weitere Alternative zur Auswahl. Es gibt allerdings nichts geschenkt. Hier ist halt ein zusätzlicher, aber wartungsfreier Schalter am PC erforderlich.
 

 

 

 

Quellen:

 

Testbericht: c't 27/2015 s. 128 / Lutz Labs :   SSD-Minis -  Festspeicher für Spezialanwendungen

 

Konfiguration von Computern für anonymes Surfen, Live-Systeme und E-Mail Verschlüsselung:

privacy-handbuch

und

Informationelle Selbstbestimmung



Live-Systeme:

Liste von Live-Systemen

Linux_Mint

c't Surfix: Sicher im Web (leider sehr alt)

c't Desinfec't

c't  SicheresOnline-Banking mit Bankix (Projekt wurde 2016 eingestellt)

Linux_Virus

 Tails - (Bei Tails wurde leider keine Installationsmöglichkeit für SSDs vorgesehen. Warum dann wiederum manipulierbare USB-Sticks möglich sind verstehe ich nicht.)


SSD-Optimierungen:

LinuxMint optimieren für SSD

Solid State Disks (SSDs) unter Linux optimal nutzen  - (Browser Cache ins RAM auslagern etc.)

Framp's Linux Tips und Tricks

 

Sonstiges:

 Erpressungs-Trojaner