Schreibschutzschalter am USB-Stick nachrüsten


Auf der Suche nach USB-Sticks mit Schreibschutzschalter hatte ich mir die Frage gestellt, ob diese Funktion nachrüstbar ist. Ich kannte aus früheren Projekten die Pin-Funktionen der FLASH-Speicherbausteine. Hier bot sich der /WP (Write-Protect)-Pin für einen Schreibschutz-Hack an.

Ein besonderer Nebeneffekt dieses Umbaus ist ein 100 % sicherer Schreibschutz für den Inhalt der FLASH-Speicherbausteine. Mir ist kein Verfahren bekannt, das diesen Schreibschutz durch Schadsoftware umgehen kann. Als mögliches Sicherheitsleck ist dann nur noch die manipulierbare Firmware vom Speicherkontroller vorhanden, wenn sie nicht aus Kostengründen als Bootblock im dann schreibgeschützten FLASH-Speicher abgelegt wurde.

 

1.1 Nur die Hardware ändern

Ja das geht!

Nicht bei allen USB-Sticks und es erfordert Geschick, gute Hardware-Kenntnisse und einen Lötkolben für SMD-Bauteile.

Mein Vorschlag für den Umbau verwendet den /WP (Write-Protect) Pin an den FLASH-Speicherbausteinen. Liegt ein LOW-Signal an diesen Eingang an, werden Schreibsequenzen an den FLASH-Baustein abgewiesen. Diese Funktion ist besonders während eines Powerups oder Powerdowns erforderlich, denn diese Schreibkommandos könnten sonst inkonsistente Daten im Speicher verursachen. Erst wenn das Betriebssystem, also die Kontrollerfirmware stabil arbeitet, sollte der /WP-Eingang vom Speicherkontroller wieder umgeschaltet werden, also den Speicherbaustein für den Empfang von Schreibkommandos freigeben. Diese Eigenschaft des /WP-Pins eignet sich hervorragend, um auch einen Schreibschutz im Normalbetrieb zu ermöglichen.

Ein Mechanismus ist mir nicht bekannt, der diesen HW-Schreibschutz bei aktiven WP-Pin umgehen kann.

 

Als Versuchsexemplar habe ich einen USB-Stick mit 16 GB von Kingston geöffnet und hatte Glück. Die FLASH-Bausteine waren im TSOP-Gehäuse aufgelötet und ein Datenblatt mit Pinbelegung war im Internet abrufbar (Typ Micron 29F64G08CAM, S. Pin 19).

An jedem TSOP-Gehäuse der FLASH-Speicher habe ich nun den /WP-Pin mit einem SMD-Lötkolben vorsichtig etwas angehoben. Nicht zu viel biegen und nicht zu lange erwärmen, sonst bricht der Pin ab. Die angehobenen Anschlüsse wurden mit Kupferlackdraht verbunden. Ein Pulldown-Widerstand wird an dieser Verbindungsleitung gegen GND angeschlossen. (Mit „aktiv LOW“ oder aktiv-0 ist ein LOW-Pegel am Pin erforderlich, wenn die bezeichnete Funktion ausgeführt werden soll. Nomenklatur: Kennzeichnung '/' bzw. '#' in der Pinbezeichnung)


Abb. 1: Umgebauter USB-Stick mit Kupferlackdraht, Jumper und Widerstand

 

     

  

 

   

 

 

 

 

 

 


 

Abb. 2: Schaltplan vom Umbau des USB-Sticks mit Write-Protect Jumper

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Ein Jumper verbindet dann einen der /WP-Pin Landepads bei den FLASH-Bausteinen und den Stromkreis mit dem Pulldown-Widerstand.

Bei nicht gesetztem Jumper liegt nun über den Pulldown-Widerstand ein konstantes LOW-Signal am /WP-Pin an und das Schreiben in den Speicher wird permanent geblockt. Mit gestecktem Jumper kann der LOW-Pegel am Pin wieder mit dem Kontrollersignal vom Lötpad des /WP-Pins überschrieben werden. Es kann dann wieder in den FLASH-Baustein geschrieben werden, wenn der Kontrollerchip einen HIGH-Pegel auf der Signalleitung vorgibt.

Ich gehe davon aus, dass die /WP-Pins immer gemeinsam an einer Steuerleitung ausgehend vom Kontroller-baustein angeschlossen sind oder manchmal sogar nur fest auf HIGH-Pegel gelegt werden, also dauerhaft deaktiviert wurden (Risiko von Datenfehlern!).

Der Jumper, die Kupferlackdrähte und die angehobenen Pins wurden mit Sekundenkleber fixiert.

 

Sicherheitshinweise:

Ein schlechter ESD-Schutz und mangelhafte Löterfahrung führen sehr schnell zu einem zerstörten USB-Stick.

Und ganz wichtig: Wer seine Elektronik schrottet, ist selber daran schuld.

 

 

1.2 Selbstbau-Schreibschutz am USB-Stick im Test

Mit gestecktem Jumper, also deaktivierten Schreibschutz, konnte ich vom USB-Stick lesen und ihn auch wieder beschreiben. Ohne Jumper, war der Schreibschutz aktiv. Es konnten Dateien und Verzeichnisse „virtuell“ geschrieben werden, d. h. es gab keine Rückmeldung oder Fehlermeldung von WinXP und auch nicht von Linux Mint. Die Verzeichnisse mit Dateien waren zu sehen (im Test ca. 500 KB gesamt). Ein Zurücklesen der Dateien war möglich. Nach erneutem Einstecken des USB-Sticks waren die Dateien, wie erwartet, nicht mehr vorhanden.

Ich vermute, dass keine Verifizierung (Write-Read-Verify) der geschriebenen Daten vom Betriebssystem ausgeführt wird und diese „Virtuellen-Reste“ aus einem Zwischenspeicher stammen.

Das „virtuelle“-Schreiben wird von manchen Herstellern für ihre schreibgeschützten FLASH-Medien als besonderes Feature beworben. Es ist aber anscheinend nur der Inhalt aus dem Pufferspeicher.

 

1.2.1 Funktionssicherheit und offene Fragen

Mit einem aktiven /WP-Pin ist eine TRIM-Funktion (auch bei SSD) nicht mehr möglich. Je nach Firmware im Kontrollerbaustein wird ein TRIM ins Leere laufen, wenn er zu beliebigen Zeiten, also im Hintergrund und nicht nur beim Schreiben einer Datei, ausgeführt wird.

Bei USB-Sticks vermute ich allerdings keine aufwendige TRIM-Korrektur.

Was ist mit aktiver Fehlerkorrektur vom Kontrollerbaustein (Read-Modify-Write)?

Lesefehler von Speicherbereichen können nicht mehr behoben werden, wenn die Kontrollerfirmware eine automatische Korrektur über ein zurückschreiben (neuer Sektor) vorsieht. Entsteht eine Art TRIM bzw. ECC-Loop, der alles blockiert?

Ich kenne auch nicht den Ablageort der Laufzeitparameter (Speicherorganisation, Betriebszeitzähler, Logging der Lesefehler, etc.) von einer SSD oder eines USB-Sticks. Ist ein programmierbarer Speicherbereich im Kontroller dafür reserviert oder wurde im FLASH-Baustein, der nun schreibgeschützt ist, ein entsprechender Bereich vorgesehen?

Dieser harte Eingriff kann Fehler verursachen, wenn die Kontrollerfirmware nicht auf einen so schreibgeschützten FLASH-Speicher vorbereitet ist, bzw. wenn sie den logischen Zustand an den /WP-Pins nicht erkennen und berücksichtigen kann.

 

Neben dem filigranen Umbau gibt es noch andere Hindernisse und Fragen bei einem solchen Eingriff:

-In anderen USB-Sticks werden auch FLASH-Speicher in BGA Gehäusen verwendet. Hier kommt man nicht mehr so einfach an den /WP-Pin heran. Eventuell ist ein Zugriff auf einen gemeinsamen Steueranschluss am FLASH-Kontroller oder irgendwo auf der Platine möglich.

-Die Datenblätter der FLASH-Bausteine sind nicht freigegeben.

-Manche FLASH-Speicher (BIOS) reagieren auf den logischen Zustand am /WP-Pin Funktion erst, wenn zuvor interne Register (Fuses/Flags) im FLASH-Baustein programmiert wurden. Es ist dann zusätzliche Software im Kontroller notwendig, die diese FLASH-Speicher konfiguriert, damit der logische Zustand am /WP-Pin vom FLASH-Baustein auch den eingebauten Schreibschutz aktivieren kann. Das Zurücksetzen, also Umprogrammieren dieser Konfigurationsbits, ist dann auch nur bei freigegebenen /WP-Pin möglich, sonst macht ein Schreibschutz über Hardware keinen Sinn.

-Bei anderen FLASH-Speicherbausteinen verhindert ein aktiver /WP-Pin nicht nur die Schreibsequenzen, sondern auch das Auslesen.

 

1.3 Arbeiten mit einem schreibgeschützten USB-Stick

Ein Anwender hat nun eine sehr hohe Sicherheit, dass sein USB-Stick mit den Live-Systemen wie beispielsweise Bankix oder Desinfec't nicht heimlich manipuliert wird (Bootprogramm etc.). Mit aktiviertem Schreibschutz direkt am /WP-Pin vom FLASH-Baustein kann auch über eine fehlerhafte oder manipulierte Firmware des Kontrollers der Speicherinhalt im FLASH-Baustein selbst nicht verändert werden. Die Firmware könnte allerdings immer noch, wie bei einem „Man-in-the-Middle“ Angriff, die gelesenen Daten aus dem FLASH-Speicher, beim Durchreichen an das Computersystem, diese analysieren und manipulieren.

Es sollte auf jeden Fall vermieden werden, den Schreibschutz im Betrieb umzuschalten. Undefinierte Pufferzustände werden erzeugt (Was ist im FLASH?- Was ist noch im Schreibpuffer?). Das System wird instabil und hat inkonsistente, also zerstörte Dateien, auf dem FLASH-Speicher zur Folge.

 

1.4 Notwendige Absicherung der Firmware

Aktuell wird eine Diskussion über die Angriffsmöglichkeiten und der Manipulierbarkeit von USB-Firmware geführt. Stichwort: BadUSB. Mir geht es mehr darum eine unfreiwillige Manipulation der Firmware im Kontroller und der Daten im FLASH-Speicher selbst zu verhindern und nicht um schon manipulierte USB-Sticks, die dann im Zielsystem Schaden anrichten.

Wie bei den USB-Sticks, sind auch alle SSD-Speicher mit FLASH-Bausteinen und einem Kontroller ausgestattet. Der Kontroller benötigt Firmware und muss daher programmiert werden. Updates sollten auch möglich sein (leider, also 'Banane-Produkte'-Reift beim Kunden). Das bedeutet auch, dass sich Schadsoftware in diese Kontroller einnisten kann. Sie könnte die gewünschte Funktion der WP-Pins der FLASH-Bausteine je nach Bedarf abschalten.

Viele der Kontrollerbausteine verfügen aus Kostengründen nur über begrenzten Speicherplatz für ihre Firmware oder die Firmware ist gänzlich als Bootimage in das externe FLASH ausgelagert. Mit der Schreibblockade des Haupt-FLASH-Speichers, wie am USB-Stick Umbau demonstriert, wird dort ein heimliches Anlegen von weiteren Software-Ressourcen oder ein Umprogrammieren verhindert. Es wäre dort genug „Logische-Reserve“ für einen komplexen Angriff auf ein Zielsystem vorhanden. Bsp. EQUATIONGROUP Page 13, ModulFanny., s. a. Hidden sectors (DCO)

 

Bisher habe ich noch nie ein Firmware-Update für einen USB-Stick machen müssen!

Warum überhaupt ein Firmware-Update bei USB-Speichersticks ermöglicht wird und auch nach der Konfiguration notwendig sein soll und das sogar über den USB-Zugang, über den auch jederzeit Schadsoftware zugespielt werden kann, kann ich mir nicht erklären (Banane-Produkte?).

 

Meine Lösungsvorschläge, um die Sicherheitslücke „Kontrollerfirmware“ zu entschärfen, sind daher:

I. Der Einsatz von OTP-ROMs (One Time Programmable), als Speicher für die Firmware und Parameter von USB-Sticks, verhindert eine nachträgliche Programmierung mit einer BadUSB-Firmware mit Sicherheit. Das ist auch für andere USB-Geräte, wie z. B. Keyboards sinnvoll.

II. Ein Kontroller darf sich nur selbst umprogrammieren, wenn auch die Freigabe vom WP-Schalter für den allgemeinen FLASH-Speicher vorgegeben wurde. 

Alternativ bzw. unabhängig davon wäre eine billige WP-Lötbrücke als Freigabe nur für das Programmieren des Firmware- und Konfigurationsspeichers denkbar.

Mehr Vertrauen hätte ich in Kontrollerbausteine (ASICs), die eine Freigabe der Firmwareprogrammierung über Steuerleitungen schon als fest verdrahtet (hard-wired) implementiert haben.

III. Die Programmierung der Firmware eines USB-Kontrollers darf nur über eine weitere, sonst nicht genutzte Schnittstelle erfolgen.

Die Punkte können einzeln oder in Kombination angewendet werden.

 

Ein Programmieralgorithmus der die Zertifizierung/Signatur einer Firmware berücksichtigt, hält die trivialen BadUSB-Angriffe/Updates ab. Das ist ein Sicherheitsgewinn der beibehalten werden soll. Allerdings nur auf SW-Mechanismen zu bauen, ist für mich wieder ein Designfehler.

Denn sowie die Signatur- bzw. Zertifizierungsschlüssel bekannt werden, oder eine mangelhafte Implementierung in der Kontroller-Software vorliegt (Wie sicher sind FIPS-zertifizierte Geräte?), wird eine Firmware wieder mit einfachen Mitteln manipulierbar.

Eine erfolgreiche Programmierung mit signierter Software zeigt mir nur an, dass die Quelle meines Updates ein exklusives Wissen über das Zielsystem hat. Eine erfolgreiche Programmierung sagt nichts über die Eigenschaften einer so zertifizierten/signierten Software aus. Was ist, wenn der Hersteller von einer weniger vertrauenswürdigen Firma übernommen wird oder wichtige Komponenten eines Zertifizierungs-Systemes 'verloren' gehen? (s. NSA-Spionage bei SIM-Karten-Herstellern).

Kurz gesagt, BadUSB-Firmware kann auch zertifiziert sein.

(UEFI und BadBIOS liefern gute Beispiele über die Unzuverlässigkeit von Zertifizierungsmechanismen.)

 

 

1.5 Designfehler beim HW-Schreibschutz der FLASH-Speicher vermeiden 

Einen WP-Schalter nur an den Eingang eines Speicherkontrollers anzuschließen, halte ich für kein gutes HW-Design. Eine BadFirmware im Kontroller kann den Eingangszustand ignorieren und weiter Schreibkommandos auf dem FLASH-Speicher zulassen und den FLASH-Speicher sogar für eigene Zwecke umprogrammieren.

 

Security by Design" fängt bei mir mit dem Gebrauch der Write-Protect Pins an den Speicherbausteinen an. Alles andere sehe ich als Designfehler.

 

Als bisher absolut sicher sehe ich folgendes Schaltungsdesign:

Viele FLASH-Speicherbausteine besitzen, wie oben zu sehen, selbst einen /WP-Pin als Anschluss zum Blocken von Schreibkommandos. In einigen Bausteinen muss der WP-Eingang über die Programmierung interner Steuerbits noch erst freigeschaltet werden. Ein gesetzter Jumper (gegen GND) am /WP-Pin aktiviert den Schreibschutz, der dann natürlich auch ein Zurücksetzen der Steuerbits verhindert. Sonst macht ein HW-Schreibschutz keinen Sinn. Diese Funktion ist auf den Speicherchips fest verdrahtet und kann daher von Software nicht mehr umgangen werden. Die /WP-Pins der Speicherbausteine können auf den Trägerplatinen alle parallel angeschlossen und auf einen Jumper/Schalter zusammengeführt werden. Ist der Jumper gegen GND gesetzt, kann selbst eine Schadsoftware im Kontrollerbaustein den Schreibschutz für die FLASH-Bausteine nicht mehr deaktivieren/überschreiben. Der Kontrollerbaustein muss ohnehin einen logischen Zustand einlesen und entsprechend berücksichtigen, der nun auch an den /WP-Anschlüssen der Speicherbausteine liegt und von außen über den Jumper erzwungen wird. Nicht nur, um auch ein Update seiner Firmware zu blocken (s. 1.4 Punkt II.), sondern notwendigerweise auch, um z. B. TRIM oder automatische ECC-Korrekturen bei aktiviertem Schreibschutz abzufangen. 

Mit folgender Schaltung wird der Schreibschutz am FLASH-Speicher bei gesetztem Jumper immer erzwungen und kann vom Kontroller mit der Steuer- bzw. Leseleitung dann auch nicht mehr überschrieben werden:

Abb. 3: Schaltung für steuerbaren und detektierbaren /WP-Pin Zustand

 

(Der Unterschied zu meinem USB-Stick Umbau ist, dass hier der Jumper für einen Schreibschutz gesteckt werden muss und das der Kontroller den Zustand am /WP-Pin immer erkennen kann.)

 

1.5.1 Aufwand und Kosten für einen USB-Stick Schreibschutz

Das besondere Feature des hardwareseitigen Schreibschutzes ist, wie zuvor gezeigt, ganz einfach mit dem Verbinden des /WP-Pins eines FLASH-Speicherbausteins mit GND (LOW-Pegel) zu erreichen. Eine entsprechende Lötbrücke könnte auf jeder Platine mit FLASH-Bausteinen ohne Probleme integriert werden.

Ich schätze die Produktionskosten in der Größenordnung von Cents. Die Möglichkeit eines schaltbaren Schreibschutzes ist dann vorhanden. Sie ist sogar manchmal schon als Anschlusspin am Kontrollerbaustein vorgesehen, wie ich bei dem umgebauten USB-Stick herausfinden konnte [Kontrollertyp SK6211, Pin 40]. Hier übernimmt dann (leider) eine Firmware im Kontrollerbaustein die Blockade der Schreibkommandos an den FLASH-Speicher.

Dieser Pin war allerdings nicht im dem mir vorliegenden USB-Stick funktional. Versuchsweise habe ich diesen Pin an GND (LOW) und alternativ dazu an die Betriebsspannung (HIGH) gelegt, um zu überprüfen, ob die Firmware schon auf diesen Signaleingang mit einem Schreibschutz reagiert. An GND angeschlossen, war der USB-Stick les- und beschreibbar. Mit einem HIGH-Pegel konnte der USB-Stick weder gelesen noch beschrieben werden und wurde auch nicht vom Betriebssystem eingebunden. Vermutlich muss der Kontroller doch erst mit der passenden Software programmiert werden.

Mein Fazit ist, dass die Schreibschutz-Eigenschaft in der Hardware schon vorgesehen wird, aber die Funktion dem Nutzer nicht zur Verfügung steht. Der Käufer bezahlt eigentlich schon diese vorbereitete Eigenschaft, aber er kann sie nicht anwenden.

D. h., die Möglichkeit vom Hersteller einen HW-Schreibschutz zu ergänzen, ist vom Aufwand her kostengünstig und sehr einfach in ein Schaltungsdesign zu implementieren und wurde teilweise sogar schon vorbereitet. Das gilt nicht nur für USB-Sticks, sondern für alle FLASH-Speichermedien.

Der Kostenaufwand in der Herstellung ist minimal. An diesem Feature, wenn es vorhanden ist, wird sehr gut verdient (s. u. teure USB-Sticks mit Schreibschutzschalter).  

 

 

1.5.2 Optimieren von USB-Sticks mit Schreibschutzschalter

Ist sogar schon ein Schreibschutzschalter am USB-Stick vorhanden, aber nur mit dem Kontrollerbaustein verbunden, bietet sich eine zusätzliche Brücke zum #WP-Pin am Flashspeicher an. Dieser effektive Schreibschutz-Hack vom cccfr ist unter "Projekt readonly" sehr gut beschrieben.

 

 

1.6 Kauf von USB-Sticks mit Schreibschutzschalter

Im Anhang befindet sich eine Tabelle mit USB-Sticks, die noch mit Schreibschutzschalter erhältlich sind.

Teilweise werden auch USB-Sticks mit besonders geschützter Firmware (No BadUSB) angeboten. Die Behauptung, dass die Firmware nun digital signiert ist (RSA2048 Bit) und damit geschützt vor BadFirmware, halte ich für nicht zutreffend. Ein Schreibschutz mit RSA abgesichert, selbst wenn dieser fehlerfrei implementiert ist, ist im Vergleich zu einer Firmware in einem OTP-ROM immer noch veränderbar, also unsicher. (s. o. Kap. 1.4) Ist der Aufwand für eine RSA2048-Firmware, besonders bei dem Wegwerfprodukt USB-Stick, überhaupt gerechtfertigt?

Schlüssel können weitergegeben werden (Firmenübernahme) oder verloren gehen. Wie sieht es im Produktionsland dieser USB-Sticks aus? Müssen diese Schlüssel sogar an staatliche Stellen übermittelt werden? Gibt es nur einen Zentralschlüssel oder je (Groß-) Kunde einen individuellen Schlüssel für individuell angepasste Firmware?

Der Kunde bezahlt sozusagen eine zertifizierte Hintertür, die er vermutlich auch immer mit Updates aktualisiert halten soll;-) 

Der Nachweis (Ist der vorhanden?) einer korrekten Implementierung eines RSA-Algorithmus ist sehr teuer und aufwendig. Diese Kosten müssen auf den Kunden wieder umgelegt werden. Ich vermute ein einfaches OTP-ROM (auch ein serielles EEPROM mit /WP Pin -s. BIOS) für Firmware und Konfigurationsdaten, ist wesentlich günstiger zu implementieren (wenige Cent) und letztendlich in der Wirksamkeit gegen einen Versuch, nachträglich eine BadUSB-Firmware aufzuspielen, auch zuverlässiger.

Eine Signatur sagt nichts über die Funktion der signierten Software aus. BadFirmware kann daher auch auch signiert sein.

Gerade Anwender, die gerne etwas mehr bezahlen möchten, um Ihre Systeme beispielsweise gegen Industriespionage und Sabotage abzusichern, sollten die oben gestellten Fragen klären.

Sind überhaupt FIPS zertifizierte Produkte für den durchschnittlichen Anwender erforderlich? Bzw. wie sicher sind überhaupt FIPS-zertifizierte Geräte?

(s. a. "Sicherheit für FIPS-zertifizierte Geräte" und "NIST-zertifizierte USB-Sticks mit Hardware-Verschlüsselung geknackt"

Dazu noch Beispiele aus der Praxis von USB-Festplatten:

Selbstverschlüsselnde Festplatten leicht knackbar

oder auch

Externe Festplatten mit Verschlüsselung knackbar

Besonders der darin enthaltenen Hinweis:

"Firmware-Schlüssel nicht individuell -
Zwar ist die Firmware des Fujitsu MB86C311A durch einen Schlüssel geschützt, doch nach Angaben der Sicherheitsforscher ist dieser Schlüssel bei jedem Chip gleich.  
Das bedeutet, dass jeder Hersteller, der solche Platten fertigt, die eigene Firmware und die von Konkurrenzprodukten patchen kann,  
... Externe Festplatten mit dieser lückenhaften Umsetzung einer Hardware-Verschlüsselung schützen Daten somit nur vor dem Zugriff unbedarfter Dritter. " 

Mit einem OTP-ROM ...


Einen verschlüsselten Datei-Container mit Veracrypt, auf einen einfachen Datenträger angelegt, erscheint mir da doch wesentlich zuverlässiger und preiswerter. Neben Windows, MacOS und Linux wurde Veracrypt auch auf den RaspberryPi portiert.


Eine Übersicht zu USB-Sticks mit Schreibschutzschalter ist Hier zu finden.

Bei Heise-Projekt gab es eine ältere Zusammenstellung aus dem Jahre 2010 über die Verfügbarkeit von USB-Sticks mit Schreibschutzschalter. (Leider ist der Link von Heise-Projekt nicht mehr erreichbar. )

Ich habe einen Vertreter für Speichermedien gefragt, warum es so wenige USB-Sticks mit Schreibschutzfunktion zu kaufen gibt. Er hatte darauf geantwortet, dass es bei diesen USB-Sticks zu viele Rückläufe gegeben hat und daher die Schreibschutzoption nicht mehr mit ausgeliefert wird. „Die Kunden hätten den USB-Stick als fehlerhaft zurückgegeben, weil er nicht mehr beschreibbar war. Allerdings war nur der Schalter auf Schreibschutz gestellt.“ Er hatte eine Aussage wiederholt, die ich auch so ähnlich im Internet gefunden hatte.

An den SD-Karten gibt es aber (immer noch) einen Lock-Schieber (Das ist kein elektrischer Schalter -nur Plastik- Die Auswertung der Position erfolgt vom Lesegerät). Damit können die Kunden anscheinend besser umgehen. Das die Nutzer mit dem Schreibschutzschalter eines USB-Sticks überfordert sind, lasse ich daher nicht gelten und suche nach anderen Ursachen.

 

 

1.6 mSATA-Modul mit Write-Protection nachrüsten

mSATA-Module sollten sich nach dem gleichen Verfahren umrüsten lassen.

Wie bei den USB-Sticks gibt es dann allerdings auch wieder die Fragen zur zuverlässigen Funktionalität, wenn ein HW-Schreibschutz erzwungen wird. [s. o. Kap. 1.2.1].

 

1.7 Anmerkungen

Wünschenswert wäre es, wenn die Hersteller wenigstens für ihre Highend-USB-Sticks einen Schreibschutzschalter spendieren würden. Ein OTP-ROM für die Firmware würde das BadFirmware Problem zuverlässig lösen.

In Testberichten und Zertifizierungen von USB-Sticks sollte der hardwareseitige Schreibschutz in die Wertung mit eingehen. Bedauerlicherweise wurde diese Eigenschaft auch nicht im letzten Test der c't 11/2014 aufgelistet. Für Live-Systeme ist dieser Schreibschutz ein wichtiger Sicherheitsfaktor.

Auch den praktischen Nutzen eines Schreibschutzschalters am USB-Stick sehe ich weiterhin als gegeben. Er dient als Absicherung gegen eigene Bedienfehler. Beispielsweise wird damit ein Überschreiben von Dateien verhindert, wenn ein Backup/Sync aus Versehen in die falsche Richtung ausgeführt wird.


1.8 Meine Empfehlung

Eine Alternative zu den USB-Sticks mit Schreibschutzschalter, ist der Einsatz von Schnittstellenkonvertern mit zuschaltbarem Hardwareschreibschutz. In Live-Systeme mit SD-Karten und Write-Blocker Adapter sind hierzu Beispiele zu finden.


 

  Volker

 

 

Quellen:


BadUSB:

http://www.heise.de/newsticker/meldung/BadUSB-Wenn-USB-Geraete-boese-werden-2281098.html


BadUSB, aktuelle USB Exploits und Schutzmechanismen
von [Ramon Mörl 1 , Andreas Koke ] http://itwatch.de/content/download/1475/8588/file/BadUSB_aktuelle%20USB%20Exploits%20und%20Schutzmechanismen.pdf


Liste mit angreifbaren USB-Geräten:

https://opensource.srlabs.de/projects/badusb


USB-Sticks mit Schreibschutzschalter:

Modell

Typ

Besonderheiten

Hersteller

GB / ca. Preise [Mai 2017]

Netac U208S

USB 2.0


NETAC

Nur Ausland ??

Netac U235

USB 2.0


NETAC

32GB / 24 EUR

Netac U335

USB 3.0


NETAC

Nur Ausland ??

Kanguru FlashBlu30

USB 3.0


Kanguru

8GB / 32 EUR

Kanguru SS3

USB 3.0


Kanguru

16GB / 51 EUR

Kanguru FlashTrust

USB 3.0

Secure Firmware

Kanguru

16GB / 54 EUR

Kanguru Defender Elite


Secure Firmware

+ Kryptofunktion

Kanguru

32GB / 120 EUR

TrekStor USB-Stick CS

USB 2.0


TrekStor

32GB / 15EUR






PQI Nano

USB 3.0


PQI

Nicht zu kaufen

Transcend

USB 2.0


Transcend

Nicht zu kaufen












NETAC bietet USB3.0 und USB2.0 Sticks (Netac U208S, Netac U235, Netac U335)  mit Schreibschutzschalter an. Diese USB-Sticks werden ohne Krypto-Features angeboten und wären eigentlich erste Wahl, wenn sie nicht etwas überteuert wären (Netac U235, 32GB ca. 24 EUR Amazon, Mai 2017)

Die Marke Kanguru mit USB 3.0 Sticks ist in Deutschland fast nicht vertreten. Amazon und Sicherheitsunternehmen bieten diese USB-Sticks zu hohen Preisen an. s.  http://www.ganec-shop.de/

Transcend hatte USB2.0-Sticks mit Schreibschutz. zudem langsam- ca. 10 MB/Sek Lesen, 5 MB/Sek Schreiben.

Bei PQI (Modell Nano) habe ich einen USB3.0-Stick mit Schreibschutz gefunden. Das wäre eine Option, wenn er nicht vergriffen ist.


Ältere Listen aus dem Internet:

http://www.fencepost.net/2010/03/usb-flash-drives-with-hardware-write-protection/

c't Heise - Übersicht USB-Sticks mit Schreibschutzhttp://www.heise.de/ct/projekte/FAQ-406390.html#sticks (Leider 404)

http://www.heise.de/preisvergleich/?cat=sm_usb&sor... 



Externe USB3.0 Laufwerke bzw. SSDs mit WP-Schalter:

- TrekStor DataStation picco SSD 3.0 WP

- Verbatim GT Superspeed USB 3.0 Blue

Achtung, einige Modelle haben keinen WP-Schalter. Vor dem Kauf bitte das Produktdatenblatt genau lesen.

Diese Firmen setzen vermutlich eine Kombination aus WP-Adapter und SSD ein.