Pro Hardware-Schreibschutz

Vorteile eines Hardware-Schreibschutzes

 

Der wesentliche Vorteil eines fest verdrahteten Schreibschutzes ist, dass die Inhalte auf den so gesicherten Speichermedien nicht mehr durch Sicherheitslücken einer Software manipulierbar sind. Der Anwender bekommt die vollständige Kontrolle, wann Daten im Computer verändert werden dürfen.

Ein HW-Schreibschutz zwingt einen Angreifer entweder am System physisch aktiv zu werden, oder der Angreifer muss ein Computersystem sehr aufwendig überwachen, um es nach jedem Neustart durch mögliche Sicherheitslücken oder während der Kommunikation wieder neu übernehmen zu können. Für Systeme mit einem HW-Schreibschutz müssen Angreifer daher komplexere/kostspieligere Angriffe entwickeln. Die Entwicklung von Schadsoftware verschiebt sich zu wenigen, leistungsfähigen „Firmen“ mit entsprechendem Know-how. Dadurch dürfte sich die Zahl der lohnenden Ziele verringern. Geheimnis- und Entscheidungsträger, aber auch allzu kritische Journalisten profitieren vermutlich weniger davon, dafür aber Tante Erna, weil ihr PC nun weniger Gefahr läuft, mit Malware infiziert oder Teil eines Botnetzes zu werden.

 

Beispiele für einen HW-Schreibschutz :

-Write-Protection Anschlüsse (WP-Pins) an den FLASH-Speicherbausteinen

-WP- bzw. Vprog- Jumper am WP-Pin vom BIOS-FLASH-Speicher

Nur die Verwendung der WP-Pins der FLASH-Bausteine bietet einen 100% sicheren HW-Schreibschutz. Das Blocken der Schreibkommandos an die FLASH-Bausteine ist „fest verdrahtet“ im Silizium des Speichers implementiert und kann duch den logischen Zustand an diesem WP-Pin freigegeben werden. Eine Ansteuerung der WP-Pins wird in „No BadBIOS - Retro Hack“ gezeigt.  

Security by Design fängt mit der Anwendung der Write-Protect Pins von den Speicherbausteinen an, also bereits mit der Hardware.

 

Beispiele für einen passablen HW-Schreibschutz:

-Schreibschutzschalter am USB-Stick oder an einer SATA- DOM SSD

-Die Auswertung der Position vom Plastik-Lock-Schieber vom SD-Kartenleser

-WP-Jumper an den 2,5" SSDs (sehr selten, MIL-Bereich)

Bei diesen Speichermedien wird die Schalterposition oft durch eine aktualisierbare (manipulierbare)  und nicht offene(open- souce) Firmware in den Speicherkontrollern ausgewertet. Die Schreibkommandos an die FLASH-Speicher werden dann von der Firmware analysiert und geblockt. Eine genaue Blacklist bzw. Whitelist der Kommandos ist nicht bekannt. Die Firmware in den Speichermodulen arbeitet unabhängig und physisch getrennt von den anderen Computerkomponenten und ist daher vor (trivialen) Angriffen weitestgehend geschützt. Der erforderliche Aufwand und die Komplexität eine Firmware erfolgreich zu verändern ist sehr groß. Sogenannte BadFirmware ist daher möglich, aber sehr selten. Viele (die meisten) Exploits und Schadsoftware greifen daher nicht die Firmware an.

Die eingeschaltete Schreibsperre einer Firmware, die vor dem FLASH-Speicher wirkt, verhindert viele, vor allem auch unbekannte Manipulationsangriffe auf der darüber liegenden Ebene der Systemsoftware (MBR und höher). Ein Sicherheitsgewinn, der gegen triviale Angriffe eingesetzt werden kann.


Hinweise:

- In Schreibschutzschalter am USB-Stick nachrüsten wird ein 100% sicherer HW-Schreibschutz ergänzt. 

- Selbst Live-Systeme auf CDs bieten keinen vollständigen HW-Schreibschutz, denn in den optischen Laufwerken arbeiten auch wieder Mikrocontroller mit manipulierbarer Software.  

- Kein HW-Schreibschutz sind z. B. die Write-Protection-Flags der Dateien oder die Verwaltung der Schreibrechte. Eine Dateiverschlüsselung ist ebenfalls kein Schreibschutz, denn die Datei bzw. der Datenträger kann immer noch gelöscht oder die Datei über Ransomware nochmals verschlüsselt werden.

 

Motivation

1. Die Schadsoftware, die ich als durchschnittlicher Nutzer erlebe, sind Viren und Trojaner, die sich in der Betriebssystemsoftware und in Programmen eingenistet haben, oder auch ein manipulierter MBR (Master Boot Record). Eine BIOS- bzw. Firmware-Schadsoftware ist zwar möglich, aber sie verursachte bei mir noch nicht die Kosten und den Schutzaufwand, den einfachere Schadsoftware duch Risikoabschätzung erforderlich macht.

 

Phishing-Mails sind immer schwieriger zu erkennen. Wenn dennoch versehentlich ein schädlicher E-Mail-Link geöffnet wurde, dann soll sich zumindest nichts im Betriebssystem festsetzen können . Der Computer muss fehlertoleranter gegenüber solchen Fehlbedienungen werden.


2. Ein Virenscanner bremst mein Computer-System. Er „nervt“(False-Positive) und ist nie aktuell.

3. Ich weiß nie, ob meine Firewall und Sicherheitssoftware richtig konfiguriert sind und auch wirken.

4. Wenn ich doch einen Trojaner oder Schädling im System hatte, installiere ich das Betriebssystem und die Programme neu. Das kostet viel Zeit. (Schneller geht es mit einem vollständigen Festplatten-Image als Backup, aber es kostet auch wieder Zeit.) 

5. Die Cleaner- und Optimier-Tools räumen ein Betriebssystem nur ineffizient auf. Irgendetwas bleibt immer zurück und die stärker optimierenden Programme können Einstellungen zerstören.

6. Für privat genutzte Computer, auf denen einfache Aufgaben wie Internet, E-Mail, Musik und etwas Textverarbeitung (LibreOffice) ausgeführt werden, sind keine speziellen proprietären Betriebssysteme (Windows) erforderlich.

Ein mit Hardware schreibgeschütztes Linux bzw. Live-Systeme sind für die Aufgeführten Punkte die beste Lösung.


Linux (auf dem Desktop, nicht Android) ist ein Betriebssystem, mit dem man derzeit deutlich sicherer unterwegs ist. Es ist vermutlich aufgrund der noch geringen Verbreitung als Office-Betriebssystem und auf privaten Rechnern kein bevorzugtes Ziel von Schadsoftware. Und das allein erhöht bereits die Sicherheit im Alltag. Ich tendiere sogar noch zu der Aussage von Kaspersky, dass es gegenüber Android und Windows sogar noch weniger gute Programmierer gibt. Das würde das Mehr an Schadsoftware auf Android gegenüber Linux erklären. Gutes Personal zu finden betrifft halt auch die dunklen Bereiche der SW-Industrie ;-).

Argumente, die eine vergleichbare Angreifbarkeit von Linux und Windows suggerieren, wenn es nur genügend Linux-Desktopsysteme gäbe, vermischen einen gegenwärtigen Zustand (Windows) mit einer zukünftigen Möglichkeit (Linux).

Zudem sollte man doch gerade diesen Zeitvorteil und Lernkurve nutzen bis Linux aufgeholt hat, um die (Anwender-)Fehler mit anderen Systemen nicht zu wiederholen.

Warum verwende ich dann überhaupt einen Hardware-Schreibschutz für Linux- Systeme? Ganz einfach. Ich muss mich nicht mehr auf die Argumente verlassen, dass Linux gegenüber Windows sicherer konfigurierbar oder aufgrund des Marktanteils für Malware uninteressant ist. Vertrauen in ein Betriebssystem ist gut, aber eine aktive Kontrolle mit Hardware-Schreibschutz finde ich, ist noch besser. 

Die Auswahl eines Betriebssystems ist für mich nicht dogmatisch. In ein paar Jahren ist möglicherweise ein anderes System besser zu bedienen, welches noch weniger zum Ziel von Angegriffen wird. Dann wird eben dieses gewählt. Microsoft verdeutlicht sehr wohl mit seinen wechselnden Windowsoberflächen, dass ein Anwender sich auch schnell auf neue Bedienkonzepte anpassen soll und zwangsläufig auch muss. (Insofern wundert es mich immer wieder, dass ein Umschulungsaufwand von Windows auf Linux als Aufwand genannt wird, aber die ständig notwendige Nachschulung für neue Windows-Versionen und -Oberflächen nicht berücksichtigt wird).


Eine Live-System bzw. eine Read-Only Systemsoftware bietet die Vorteile, dass sich viele triviale* Viren nicht einnisten können oder dass offene Sicherheitslücken nicht als Brückenkopf für weitere Manipulationen an der Systemsoftware missbraucht werden. Ich muss kein Betriebssysteme mehr neu installieren, um eine Schadsoftware loszuwerden. Auch die nun saubere Zwangstrennung (physisch voneinander getrennte Datenträger) zwischen der nur lesbaren Systemsoftware (Betriebssystem, Programme, Konfiguration etc.) und den variablen Daten (Arbeitsdateien mit den variablen Parametern), ermöglicht zusätzlich ein gezieltes Aufräumen und Entschlacken der Dateisysteme. Der Datenträger mit der Systemsoftware bleibt so optimiert, weil schreibgeschützt, wie ich ihn zu Beginn oder nach einem Update konfiguriert habe.

Ein schnelles und über Hardware schreibgehärtetes Linux bzw. ein Live-System und beide mit komfortablen Update und abschaltbarem Hardware-Schreibschutz habe ich mit SATA-DOM SSDs (SATA- Disk On Module) realisiert.

*(Unter „trivialer“ oder „einfacher“ Schadsoftware gehe ich von Computerviren, Exploits und Root-Kits, aus, die weder BIOS/UEFI oder eine Kontrollerfirmware verändern.)

Ein Windows-System kann ich mit einem HW-Schreibschutz nicht sichern, denn es ist für den Betrieb als Read-Only-System nicht ausgelegt. Das stimmt so generell nicht, denn mit einem Enhanced Write Filter Treiber (EWF) werden alle Schreibzugriffe abgeblockt. Dann kann sozusagen als doppelter Boden auch eine Hardware mit Schreibschutzfunktion eingesetzt werden. Nähere Infos sind in meinem Blog vom 29.03.2017 zu finden.

Ich verwende als Basis Linux (Mint). Viele Angriffe von Schadsoftware auf Windows-Systeme könnten mit einem HW-Schreibschutz abgewehrt werden, aber leider wurden Windows-Systeme nicht für eine HW-Write-Protection entwickelt (vermutlich). Oder warum wird immer ein Linux-Live System zum Internet-Surfen, Internet-Banking oder als Desinfec't zum Beseitigen von Viren empfohlen? Sind es Lizenzgründe mit denen sich Microsoft selbst blockiert?

Wird eine Sicherheitslücke veröffentlicht, ist es umso wichtiger, einen Schreibschutz einzurichten. Denn nun werden viel mehr Angreifer versuchen, bis zum nächsten Sicherheitsupdate die ungeschützten Speicherbereiche über die bekannte Lücke anzugreifen.- Wenn überhaupt ein Update geliefert wird (Bsp. Android Sicherheitslücken). Die Basissicherheit eines Hardware-Schreibschutzes vermisse ich besonders bei IoT-Systemen (s. Neues Botnetz über IoT-Geräte), bei denen Hersteller keine Software-Updates mehr liefern.

Eine fehlerhafte BIOS- oder Systemsoftware wird ohne HW-Schreibschutz dann erst recht zum Sprungbrett für weitere Schadsoftware (BIOS-Rootkit, UEFI-Rootkit).

HW-Schreibschutz allein ist kein Allheilmittel. Ich sehe aber erhebliche Sicherheitsvorteile und Schadensbegrenzung durch Verringerung der Angriffsfläche. Er muss nur in ein Systemkonzept mit eingeplant werden und ein PC-Nutzer muss die Möglichkeit erhalten ihn zu verwenden. Kein Anwender ist in der Lage sämtliche Sicherheitshinweise für sein Computersystem zu kennen und zu berücksichtigen. Daher sehe ich einen HW-Schreibschutz, selbst wenn er nur für den Bereich der Systemsoftware vorgesehen ist, schon als sehr effizient an. Viele Exploits und Angriffe nutzen SW-Lücken zu weiteren Manipulationen in diesem Systembereich aus, um sich dort im Computer dauerhaft festzusetzen. Mit einem HW-Schreibschutz, nur an der Systemsoftware, werden viele dieser Angriffe verhindert.

Eine weitere Optimierung der Sicherheit betrifft die Anwendung von HW-Schreibschutz am BIOS/UEFI-Speicher und auch an der Kontrollerfirmware der anderen PC-Komponenten. Mit HW-Schreibschutz sollen die bisher noch seltenen BIOS-Rootkits und BadFirmware blockiert werden (s. a. Mac FirmWorm).

 

Werden Betriebssystem, Programme und BIOS (hoffentlich bald auch die Kontrollerfirmware der Systemkomponenten) mit einem HW-Schreibschutz gesichert, ergeben sich folgende Eigenschaften:

 

1. Die so gesicherten Systemkomponenten stehen für den Ausbau eines Angriffs nicht mehr zur Verfügung.

2. Der Einfluss und die Ausführung von Schadsoftware wird zeitlich sehr stark begrenzt und beschränkt sich nur noch auf RAM und die beschreibbaren Speichermedien mit den nicht flüchtigen Arbeitsbereichen und den (wenigen) dort ausführbaren Programmkomponenten. Eine Sicherheitssoftware kann dann fokussierter diese Bereiche überwachen.

3. Eine schreibgeschützte Sicherheitssoftware kann nicht mehr persistent manipuliert werden. Beispielsweise werden gerne Virenscanner als Ziel für Schadsoftware ausgesucht, da ihre Grundfunktion einen administrativen Zugriff auf die ganze System-Software verlangt (s. a. „Vom Jäger zum Gejagten: Kaspersky-Virenscanner ...“). Eine AV-Software kann sogar den Kommunikationskanal gefährden (s. a. Eset NOD32 Antivirus 9 gefährdet https-Verschlüsselung) Diese Angriffsmöglichkeit würde dann entfallen. 

4. Im Schadensfall sind nur die beschreibbaren Arbeitsbereiche betroffen.

     4.1 Das Betriebssystem und die anderen geschützten Bereiche bleiben vertrauenswürdig.

     4.2 Die Beseitigung bzw. Reparatur über ein Backup wird einfacher und zuverlässiger, denn es ist

           nur der Arbeitsbereich betroffen.

5. Wird eine (unbekannte) Schadsoftware im System mit HW-Schreibschutz quasi aus Versehen konserviert, kann sich diese weder selbst ändern, aktualisieren oder sogar löschen. Mit den immer mit Zeitverzug aktualisierten Virenscannern besteht dann sogar die Möglichkeit, einen Angriff im Nachhinein zu erkennen und zu analysieren.

 

Mein Ansatz für eine Systemkonfiguration ist daher:

Jedes Byte, dass zur Laufzeit nicht geändert werden muss, muss bis zu einem erforderlichen Update durch Hardware schreibgeschützt werden.

 

Argumente

Ich habe folgende Argumente gegen einen Hardware-Schreibschutz gesammelt und möchte sie aus meiner Sicht kommentieren:

 

I. „Damit kann der Nutzer nicht umgehen.“

Es werden gerne die Nutzer zitiert, die mit einem HW-Schreibschutz gar nicht umgehen können.

Aber mit den kryptischen Meldungen einer Firewall oder eines Virenscanners sollen diese Nutzer dann umgehen können? Und sie sind in der Lage auch einen Virus wieder zu entfernen, ein Betriebssystem wieder zu reparieren oder neu zu installieren? Eine zuverlässige Konfiguration der Sicherheitssoftware wird sogar auch noch erwartet. Was ein BIOS ist und wann und wie ein Update ausgeführt wird, wird dann auch als bekannt angenommen. (s. a.  XV. Updates sollen aus Sicherheitsgründen kontinuierlich möglich sein)

(Mein Herd hat ca. 20 Knöpfe zum Bedienen und ich bin bisher weder verhungert noch abgebrannt.)

Wenn ich durch die PC-Märkte gehe, sehe ich Speichererweiterungen, Grafikkarten und viel Hardware, die in einen Computer eingebaut werden kann. Wenn die Kunden damit nicht umgehen könnten, würden diese Produkte wegen zu hoher Retourenquoten und Servicefälle aus den Regalen verschwinden.

Von durchschnittlichen Anwendern wird also weit mehr als nur das Setzen eines Jumpers abverlangt, und sie scheinen dies auch erfolgreich zu meistern.

Ich sehe Hardware-Schreibschutz als eine Technik an, die das geringste Anwenderwissen über Hard- und Software erfordert, um sich wirkungsvoll gegen Schadsoftware zu schützen. Er liefert einen Basisschutz und ist wartungsfrei.


Nutzerfreundliche Hardware ist vorhanden

Jumper“ (Kurzschlussbrücke) steht für den technisch umständlichsten Fall. Dieser Begriff wird gerne verwendet, um eine weitere Diskussion über den HW-Schreibschutz zu beenden, da ein Jumperwechsel bei jedem Update das Öffnen des Computers und die Suche nach einer 2-poligen Stiftleiste auf der Hauptplatine erfordert.
Es wird eine abschreckende Anforderung an Technologiewissen, manuellen Fähigkeiten und Arbeitsaufwand aufgebaut, bei der viele Anwender das geistige Handtuch werfen sollen. Es gibt allerdings sehr viele Anwender mit solidem Halbwissen, die bestimmt mit einem einfachen (Schreibschutz-)Schalter direkt am PC-Gehäuse umgehen können. Der bisherige verantwortungsvolle Umgang mit dem Reset-Taster und dem AN/AUS-Schalter, gerade von technischen Laien, zeigt mir das ebenfalls;-).


Der Begriff 'Jumper' soll in den kommenden Texten als Synonym für die technischen Varianten verstanden werden, die zwei Kontakte kurzschließen und die physische Anwesenheit zum Umschalten eines Hardware-Schreibschutzes erfordern.

- Jumper gibt es in vielen Bauformen, die ein Wiederauffinden der richtigen Steckbrücke auf einemMainboard erleichtern könnnen.
Eine besondere Farbe und Bauform mit Grifflasche und Beschriftung vermeidet vor jedem BIOS-Update ein Nachschlagen im Mainboard-Handbuch und eine längere Suche nach der richtigen Steckbrücke.

- Ein kleiner Schalter am Gehäuse (bspw. in der Slotblende)  ist nutzerfreundlicher und lässt sich, wie bspw. der Reset-Taster, von vornherein einbauen. Das Öffnen des Gehäuses (Garantieverlust?) und die fehleranfällige, zeitraubende Suche nach dem Jumper auf der Hauptplatine entfällt so vor jedem SW-Update.

 

Slotblende WP-Schalter BIOS Festplatte

Abb. 1: Slotblende mit WP-Schalter für BIOS u. Festplatte

                             CC-BY-NC 2.0 Volker Kleipa


- Etwas dezenter am Gehäuse sind Stiftschalter mit einer Verlängerung zur Steckbrücke. Als technische Alternative kann auch eine 3,5mm Klinken-Einbaubuchse (s. Kopfhörerbuchse) mit Schaltkontakt verwendet werden. Ein Klinkenstecker schließt dann die Kontakte.

- Ein Neigungsschalter erfordert nur eine neue Positionierung vom PC-Gehäuse...

- Wer die archaische Mechanik eines Schalters nicht mehr gewöhnt ist, der liegt mit einem Touch-Sensor am PC-Gehäuse im Trend der Zeit. ;-)

- Eine Schraube wird  zum Kurzschließen von zwei Kontakten verwendet (hier intern s. Acer Chromebook C720) sie dient als "Firmware-Update-Schraube" (Write-Protect Screw), s. a. "Google erklärt Chromebook-Sicherheits-Chip H1" unter "Freundliche Übernahme" . Google hat das Problem erkannt und möchte eine "Physical Presence" beim Firmwareupdate sicherstellen.

" .. . Dieser Hardware-Schreibschutz für die Firmware des Embedded Controller (EC) soll vor böswilligen Attacken auf die Firmware aus der Ferne per Netzwerk schützen ..“. 

Warum machen das die anderen Hersteller nicht?

- Reedschalter können so im Gehäuse angebracht werden, dass ein von außen angelegter Magnet den Kontakt schließt (dito SD-Kartenleser). Eine Markierung der Position des Schalters kann auch entfallen, wenn diese von außen nicht ersichtlich sein soll. Außerdem sind Reedschalter gut für Laptops geeignet, da das Gehäuse nicht beschädigt (gebohrt) werden muss.

- Sollbruchstelle-Platine:  Es bietet sich auch an, die Schreibschutz-Funktionalität direkt mit der Platine zu realisieren. Wie hier im Bild zu sehen ist (Lock , gelber  Pfeil), wurde die Platine so gefräst, dass ein kleines Stück mit Kurzschluss-Leiterbahn herausgebrochen werden kann. Dieses Prinzip bietet sich besonders für OTP-Produkte, wie USB-Sticks an. Die Programmierung der Firmware erfolgt dann bereits während der Leiterplattenproduktion. Beim Herausschneiden der Leiterplatte aus dem Produktionsrahmen (Nutzen) wird der Hardware-Schreibschutz automatisch aktiviert.

PCB-Stücke herauszubrechen dürfte die billigste Methode sein, einen Schreibschutz dauerhaft zu implementieren und zu aktivieren.

- Ein kleiner Schlitz in der Platine mit gegenüberliegenden Kontakten. Zur Freigabe des Schreibschutzes wird ein Schraubenzieher in den Schlitz gesteckt. - Das Erscheint mir etwas unzuverlässig -> Gefahr von Bricks.


Diese Ergänzungen an der Hardware müssen dann nur noch bei den Herstellern eingefordert werden oder können von technisch versierten Anwendern selbst nachgerüstet werden.


II. „HW-Schreibschutz ist teuer.“

Bitte genauer begründen und was haben Kosten mit prinzipieller Wirksamkeit zu tun?

1. Produktionskosten der Hardware:

Ein WP-Jumper an den FLASH-Bausteinen kostet in der Herstellung und Bestückung nur wenige Cent.

Im Vergleich dazu ist ein Virenscanner in Anschaffung und Wartung 100x teurer. Warum wird der Kostenaufwand von Virenscannern nicht als primärer Kostentreiber für Sicherheitsmechanismen aufgeführt? Zu spät erkannte und im Betriebssystem eingenistete Schadsoftware ist in der Beseitigung noch wesentlich kostspieliger, da die Systemsoftware nach einem Befall immer neu installiert werden muss. Microsoft legt eine Neuinstallation für Windows sogar ausdrücklich nahe (s. Help: I Got Hacked. Now What Do I Do? ). Daher halte ich eine Empfehlung nur Löschen der betroffenen Dateien oder Reparaturprogramme für sehr unprofessionell, da der Hersteller des Betriebssystems es am besten wissen sollte.

Auch wenn der FLASH-Speicher mit WP-Pins ein paar Euro mehr im Endpreis einer SSD ausmacht, bin ich immer noch günstiger als ein Virenscanner.

Ein HW-Schreibschutz benötigt keine Aktualisierung  und ist wartungsfrei.

Auf einem Mainboard werden viele teure Komponenten auf Vorrat verbaut. Beispielsweise sind die SATA-Schnittstellen, PCI-Steckplätze und USB-Ports selten vollständig belegt. Ich möchte diese Komponenten nicht wegdiskutieren. Sie sind vorhanden, wenn ich sie benötige.

Betrachte ich dann sogar den fertig aufgebauten PC, bleiben meistens Kaltgerätestecker, HDMI/DVI Kabel und irgendwelche Bleche und Montagematerial übrig. Gerade die Verbindungskabel von älteren PCs können weiter verwendet werden. Sie werden aber immer noch vorsichtshalber mit ausgeliefert. Tatsächlich besteht die Tendenz, diese redundanten Komponenten wegzuoptimieren oder als Zukaufmaterial anzubieten. Den Grundpreis erhöhen merklich auch die Urheberrechtsabgaben/Pauschalabgaben je PC zusätzlich von mind. 13 €. Selbstverständlich muss den Verkäufern und Herstellern auch ihre Gewinnmarge zugesprochen werden.

Mit der Auflistung dieser Komponenten und Zusatzkosten möchte ich nur zeigen, dass ein weiterer Jumper am BIOS mit ca. 0,04 € (Stiftleiste Conrad), in der gesamten Kalkulation so gesehen nicht mehr ins Gewicht fällt.

Ein serielles SPI-FLASH MX25L4005 mit 4 MBit kostet beispielsweise 0,46 € bei DigiKey, wenn Stückzahlen in tausend vom Hersteller abgenommen werden. Diese zusätzlichen Centbeträge würden mich nicht vom Kauf eines Mainboards abhalten, wenn dafür neben den HW-geschützten BIOS ein weiteres und immer beschreibbares FLASH für ECC und variable Systemdaten ergänzt wird. (Ist das BIOS-CMOSRAM für solche Daten nicht ausreichend?) 

Zum Vergleich: Ein Schuko-Kaltgerätekabel kostet über 3 € (pro 100 Stück) und landet dann meist im Müll, weil ein älteres Kabel weiter verwendet wird.

 

2. Folgekosten -Abschätzung:

Ich gehe davon aus, dass pro Rechner (Lebensdauer ca. 3 Jahre) das Betriebssystem aufgrund eines Trojaners mindestens 1x neu installiert werden muss. Ab diesem Punkt übersteigt der Stundenlohn/Zeitaufwand bereits die zusätzlichen Hardwarekosten für einen Schreibschutz. Die Zeit, die ein Mitarbeiter dann nicht an seinem Computer arbeiten kann (und dann auch andere Mitarbeiter von der Arbeit abhält;-), betrachte ich mal nicht. Die Probleme und Folgekosten eines persistenten Trojaner-Befalls (Industriespionage, Sabotage etc.) werden nicht gerne veröffentlicht, müssen aber berücksichtigt werden.

Eine DOM-SSD/16 GB mit HW-Schreibschutz kostet ca. 30 €/Stück/CASEKING.

Verhindere ich nur einen Trojaner (bspw. Linux) durch den Einsatz eines WP-DOMs, habe ich bereits Geld gespart.

->Ein HW-Schreibschutz verringert die Folgekosten von Schadsoftware.

 

Das bedeutet für mich, wenn mit Kosten argumentiert wird, sollte dies auch belegt werden.

BIOS-Update-Kosten (Stundensatz) für das Öffnen eines PC-Gehäuses zu nennen, kommt für mich entweder berechtigt von technischen Laien oder als Totschlagargument von einer unflexiblen Administration. Es sind genug technische Möglichkeiten vorhanden (s.o.), bei (Reed-)Schaltern am PC-Gehäuse angefangen, die eine Freigabe für ein Update zeitsparend und daher kostengünstig machen. Natürlich wird nur dann über eine Optimierung nachgedacht, wenn Kosten- oder Zeitdruck besteht. Mit Interesse erwarte ich neue Lösungswege aus der Administration, wenn es Vorgaben für die Anwendung einer HW-Write Protection gibt.

Wie hoch ist im Vergleich dazu der Aufwand, um ein immer beschreibbares BIOS-Zertifizierungssystem halbwegs sicher zu erhalten?

Ein HW-Schreibschutz sollte daher nicht pauschal abgelehnt werden, wenn andere bereit sind, dafür Geld auszugeben (0,04 € /Jumper, 0,46 €/SPI-FLASH oder 30 €/DOM-SSD, - Werte von MRZ. 2015). HW-Schreibschutz könnte sogar als Verkaufsargument (s. BadBIOS) eine Verwendung finden.

Es bestimmt der Anwendungsfall und die Risikobereitschaft, die Schmerzgrenze für Aufwand und Kosten.

 

3. Was brauche ich wirklich?

Ein System sollte nur so sicher wie notwendig und nicht so sicher wie möglich gemacht werden. Die Grundsatzfrage, die sich jeder zuerst stellen sollte, lautet daher, was ihm seine IT und seine Daten wert sind und was er bereit ist, für deren Schutz an Zeit und Geld zu investieren.

Gerade für Anwender aus der Gruppe „Ich habe nichts zu verbergen“ wird die notwendige Sicherheit bereits mit einem HW-Schreibschutz erreicht. ;-)

Er gewährleistet die noch erforderliche Manipulations- und Sabotagesicherheit vom Betriebssystem. Teure, wartungsintensive (und nutzlose) Virenscanner können entfallen und es kann weiter im bevorzugten Admin-Modus gearbeitet werden. Bei SW-Neuinstallationen und -Aktualisierung  ist dann nur noch zuvor und danach ein Schalter zu betätigen. Es ist dann auch nicht mehr erforderlich, sich ein Login- bzw. Admin-Passwort zu merken. (Die Ernsthaftigkeit dieses Absatzes darf jeder Leser für sich selbst beurteilen.)


Ein Verkäufer von IT-Sicherheitsprodukten versucht natürlich den Punkt der „möglichen“ Sicherheit bei seinen Kunden zu ermitteln, den sie noch bereit sind zu bezahlen. Mit einem HW-Schreibschutz (und Linux) könnte man z. B. überlegen, ob die unzuverlässige Wirkung und das Sicherheitsrisiko eines permanent aktiven Virenscanners überhaupt erforderlich sind. Für mich ist ein HW-Schreibschutz die kostengünstigere Variante und ein gelegentlicher Virus-Scan von einem USB-Stick (Desinfec't) gestartet, stellt für mich die notwendige Sicherheit her.

Beispielsweise bei einen PC, der nur zum Internet-Surfen (nicht Banking) verwendet wird, ist das Risiko vom Kosten/Nutzen-Aufwand für mich vertretbar, dass sich eine Schadsoftware zeitweise im Computer (RAM, Browser-Cache) aufhalten darf. Kreditkartendaten (wenn überhaupt) oder Logins werden erst nach einem erneuten Kaltstart und dem direkten Aufruf der Internetseite eingegeben. Die vorhergehende Internet-Sitzung ist dann inklusive der Schadsoftware im Browser-Cache gelöscht. D. h. auch mit kleinen Anpassungen im Nutzerverhalten, können günstigere Konzepte für eine bessere Basissicherheit ermöglicht werden.

Ein gekaufter Virenscanner mit Update-Abo ist demgegenüber dann die kostspieligere und unzuverlässigere Variante.

Gibt es überhaupt einen Virenscanner/Heuristik etc., der nur einen Knopf für AN/AUS hat und ein „Einnisten“ von sogar noch unbekannter Schadsoftware in BIOS/UEFI und Systemsoftware verhindert?

→ Ein HW-Schreibschutz bietet die Möglichkeit, die individuelle erforderliche Sicherheit kostengünstiger und einfacher zu erreichen. (Bspw. NSA und BND dürfen nachsehen- Ich habe ja nichts zu verbergen ;-) aber triviale Schadsoftware aus E-Mails soll geblockt werden.)

Das Einsparpotential aller HW-Schreibschutzmöglichkeiten (BIOS-Jumper, DOM-SSDs mit WP-Schalter) können meiner Ansicht nach nur Linux-Anwender mit Live-Systemen ausnutzen.

 

 

III. „Ein Administrator kann doch nicht jeden PC im Unternehmen mehrmals öffnen, um ein BIOS-FLASH für ein Update freizugeben.“

Das Eingangsargument ist ein Kosten und Aufwands-Argument gegen HW-Schreibschutz und kein Sicherheitsargument und gehört daher nicht eine Diskussion, wenn es um die Wirksamkeit von HW-Schreibschutz gehört.

1. Das ist nur viel Arbeit, wenn viele PCs zu administrieren sind, denn nach meinen Erfahrungen musste ein PC-BIOS (PC-Lebensdauer) bisher nur ca. 4x ohne Schreibschutz auskommen.

1x wenn Win8 installiert wird (Win8 Key) und ca. 3x für ein BIOS-Update zur Lebenszeit eines PCs (ca. 3 Jahre). Eine normales Systemupdate kann auch über einen Schalter am PC-Gehäuse komfortabel freigegeben werden. (s. Benutzerfreundliche Live-Systeme mit SATA-DOM SSDs). Erfordert es eine als „notwendig“ definierte Sicherheit, einen PC zu öffnen, dann muss der PC geöffnet und die Kosten für den Aufwand vom Unternehmen getragen werden. („So isses!“ und nicht „Wünsch Dir was!“)

Für mich ist ein PC in erster Linie für den Anwender und nicht für den Administrator da. Für einen Admin gehört dann halt auch mal das unbequeme Öffnen eines PC-Gehäuses vor einem BIOS-Update dazu (ca. 4-mal ... s. o.) - wenigstens beim Chef. Die anderen Computer im Unternehmen können ja digitales Kanonenfutter bleiben. Oder?

Anscheinend ist der Leidensdruck bisher nicht hoch genug, um technische und systemspezifische Lösungen für einen HW-Schreibschutz in Rechnerfarmen zu suchen.

Ein kleiner Schalter an der Rückseite, beispielsweise wie die versteckten Reset-Knöpfe , kommt einem BIOS-Update bestimmt entgegen. (Wir lassen unseren Airbag im Auto ja auch nicht weg, nur weil ihn der Wartungs-Mechaniker schlecht erreichen kann. Und so ein Rundgang durch das Unternehmen dient auch der betriebsinternen Kommunikation ;-)

 

2. Ja, ein HW-Schreibschutz kann wie bisher inaktiv bleiben. Es ist aus einer Option doch kein Zwang abzuleiten, einen Schreibschutz einzusetzen. Ein aktiver HW-Schreibschutz stellt eine Verbesserung der Sicherheit dar. Ohne HW-Schreibschutz bleibt die Sicherheit halt beim bisherigen hingenommenen Status quo. Das gilt natürlich auch für den aus Versehen nicht wieder aktivierten HW-Schreibschutz nach einem Update.

Warum werden eigentlich immer die wenigen Administratoren als Argument gegen einen HW-Schreibschutz aufgeführt? Im Vergleich zu den vielen privaten Anwendern können sie aufgrund ihrer Ausbildung und finanziellen Ausstattung wesentlich umfangreichere Sicherheitsmechanismen etablieren. Es kann der Top-Support für die Firma eingekauft werden. Ein HW-Schreibschutz spielt dann in einer Sicherheitsbewertung möglicherweise wirklich nur eine Nebenrolle und stellt oberflächlich gesehen ein Arbeitshindernis dar. Die Firewalls eines Unternehmens können aufgrund der vorhandenen Spezialisten wesentlich effektiver konfiguriert werden. Die besser aktualisierten Profi-Pakete der Virenscanner werden eher eingesetzt (hoffe ich). Auch sollte dort eine Passwortvergabe und Rechteverwaltung restriktiver gehandhabt werden.

Das ist ganz im Gegensatz zu einem privaten Nutzer ohne IT-Ausbildung, der ohnehin meistens direkt an seinem PC sitzt, einen günstigeren und daher funktional eingeschränkten (Home Version) Virenscanner erst gar nicht kaufen möchte, die neuen Sicherheitshinweise aus der Tageszeitung erfährt (wenn überhaupt) und mit einfachen Passwörtern und aus Bequemlichkeit ohnehin immer im Admin-Modus arbeitet.

Was für einen Administrator gilt muss daher noch lange nicht für Tante Erna gelten und umgekehrt. Alle Anwendergruppen in einen Topf zu werfen, ohne deren Individuellen Sicherheitsanforderungen und Möglichkeiten zu berücksichtigen halte ich für sehr unqualifiziert.

Nur weil ein HW-Schreibschutz für bestimmte Gruppen, z.B. Administration oder DAU, ein „no go“ ist, er aber z.B. für den Heimanwender oder auch in einem kleinen Unternehmen eine praktikable, kostengünstige und effektive Option darstellt, würde ich diese Hardwarefunktion nicht pauschal aus einem Design verbannen.

Für einen technischen Laien wie Tante Erna sehe ich den Hardwareschreibschutz als unbedingt erforderlich an. Sie ist weder in der Lage die Top-SW Sicherheitsprodukte zu kaufen, zu konfigurieren und zu warten,  noch kann man ihr zumuten jede EMail und den Anhang genau zu überprüfen. Ein permanenter Befall von PCs dieser Nutzergruppe mit Schadsoftware wird m.M.n. hier am besten durch Hardware-Schreibschutz verhindert.

Je nach technischen Verständnis und Bereitschaft sind viele Varianten möglich, einen Hardwareschreibschutz zu implementieren und zu bedienen. Die Anwender bekommen eine weitere Möglichkeit ihre Systemsicherheit je nach Anforderung und Wissensstand zu verbessern.

3.  SATA-DOMs mit WP-Schalter (s. Bild) werden als sicheres Bootmedium für Server beworben und eingesetzt. Server-Administratoren sind also durchaus in der Lage und bereit, die Vorteile eine HW-Schreibschutzes zu erkennen und bei vielen Computern sogar "in the box" anzuwenden. Selbst der kleine Frickel-Schalter an den SATA-DOMs stellt anscheinend kein Hindernis dar. Hier verlassen sich Profis nicht auf ein angeblich sicheres Betriebssystem, sondern machen Nägel mit Köpfen, wenn sie zusätzlich das Bootmedium mit einem Hardware-Schreibschutz absichern.
Ist das vielleicht mit ein Grund, warum Server so wenig angegriffen werden und die reduzierte Angriffsfläche wird fälschlicherweise auf die Auswahl des Betriebssystems geschoben?

 


IV. „Das kann alles mit Signaturen und Zertifikaten gelöst werden.“

(Vorab; Unterschiede zwischen digitalen Zertifikaten und digitalen Signaturen)

Zertifizierungen sollen zeigen, dass eine Software standardisierte Tests bestanden hat. Diese Tests sollten Anfängerfehler in der Implementierung aufdecken (allerdings s. "BSI Zertifiziert RSA BUG", "DUHK Angriff -Vermurkster Zufallszahlengenerator mit FIPS-Zertifizierung").


1.  Ein Computeranwendung besteht nicht nur aus Software. Sie benötigt auch physische Schichten, die sogenannte Hardware ;-) (OSI Schicht 1- physical layer).
Eine Analyse und Diskussion zur Computersicherheit, die Anwendungsschichten von vornherein nicht berücksichtigt, halte ich für sehr unprofessionell.
Mängel in den Softwarelayern werden interessanterweise gerne dem Layer 8, also dem Anwender, als Verantwortung zugeschoben. (Bspw. Der Anwender soll auf Executables in den E-Mail Anhänge achten.), obwohl es Mechanismen in der Hardware gibt, die den Anwender in den Folgen einer Fehlbedienung entlasten könnten. (Crypto-Trojaner und andere Schadsoftware mit Timer/Delay-Funktion könnten sich nicht im Betriebssystem festsetzen.) Das Problem, ein Betriebssystem bei Fehlbedienung (EXE im EMail-Anhang...) neu installieren zu müssen, bleibt ohne Hardware-Schreibschutz weiterhin am Anwender hängen. Eine wirksame Schadensbegrenzung erfolgt mit Software letztendlich nicht.
Die Technik des Hardwareschreibschutzes schützt den Anwender besonders vor sich selbst. Der Computer wird fehlertoleranter gegenüber dem Benutzerverhalten.

Oft habe ich den Eindruck, dass diese weitere effizienten Maßnahmen dem technisch nicht versiertem Anwender/Käufer/Angebotsersteller erst gar nicht mitgeteilt werden, um die Grenzen des angepriesenen Sicherheitsproduktes und Betriebssystems nicht eingestehen zu müssen. Nach weiteren Mechanismen außerhalb von Software wird dann nicht gesucht, die den Anwender in seiner Verantwortung und Aufwand entlasten könnten.


2. Das ist für mich die Argumentation eines Windows-Nutzers.

Es gibt keine Live-Systeme unter Windows. Das sogenannte Win-PE ist nur ein Hilfsmittel.

Ein zuschaltbarer Hardware-Schreibschutz wird vom standard Windows-Betriebssystem nicht unterstützt und er ist für dieses Betriebssystem sehr hinderlich (bspw. permanent notwendige Schreibzugriffe in die Registry). Windows-Software kann daher nur wieder mit Software sicherer gemacht werden. Aus diesen Gründen werden selbstverständlich auch nur auf Software basierende Lösungen favorisiert. Die Argumentation läuft daher immer in Richtung „überflüssig“ und „ineffizient“, wenn es um einen Hardware-Schreibschutz geht.

Mit der Fokussierung auf Software verschwindet letztendlich auch die Anforderung eines HW-Schreib-schutzes in den Hardwaredesigns. Eine Windowsentwicklung (Win10?) müsste ganz von vorne anfangen, um ein System nach Harvard-Architektur zu unterstützen (das quasi ROM der Systemsoftware ist in dieser Rechnerarchitektur physisch getrennt von Arbeitsspeicher und den variablen Anwenderdaten).

Windows-Nutzer benötigen Gottvertrauen in ihre proprietäre Software (stichel;-).

 

3. Digitale-Zertifikate und Signaturen sind eine Ergänzung zu HW-WP und eine Basis gegen triviale Angriffe.

Ein HW-Schreibschutz hat keinen Einfluss auf eine SW-Qualität und kann auch keine Aussage über die Vertrauenswürdigkeit machen. Ebenso sagt eine erfolgreiche Zertifizierung einer Software auch nichts über deren Eigenschaften aus, die mit den Tests nicht berücksichtigt wurden (s. Dieselskandal). Eine erfolgreiches Update mit signierter Software zeigt mir nur an, dass die Quelle meines SW-Updates ein exklusiveres Wissen (Privat-Key) über das Zielsystem hat. Vertraue ich Signaturen, dann vertraue ich Herstellern, Geheimdiensten und Hackern mit diesem Exklusivwissen.

Mit Zertifikaten und Signaturen reduziere den Kreis, der einen Schaden verursachen kann. Skriptkiddies bleiben außen vor.

Die Berichte über Lenovo-BIOS-Rootkit, Win10 sammelt Nutzerdaten und z. B. Smart TVs sind Datenschleudern, zeigen am besten, dass auch bereits vom Hersteller zertifizierte Systeme und signierte Software, Hintertüren für unerwünschte Systemmanipulation und zum Ausspionieren des Anwenders mitbringen.

 

4. „Halte es einfach.“ - Keep it Simple Stupid (KISS)

Signaturmechanismen machen das System kompliziert - mit den üblichen Folgeerscheinungen.

Wenn der komplizierte Signatur-Mechanismus nicht einheitlich und richtig implementiert wurde (bspw. Extreme Privilege Escalation), ist das BIOS- oder die Systemsoftware vor Schreibzugriffen nur ungenügend geschützt. Dann habe ich wieder mit der Problematik von den unzuverlässigen proprietären Updates zu tun (Freak Attack: Hotfix legt Windows Update lahm - betrifft nicht UEFI, ist aber typisches Bsp.). Wenn ein Fehler sogar in der (zertifizierten!) Hardware selbst vorliegt (s. DUHK Angriff), oder der fest eingebrannte CPU-Mikrocode Schlüssel wird bekannt, dann gibt es keine Möglichkeit mehr, mit diesem System die angestrebte Sicherheit zu erreichen. Das gilt natürlich auch für ein schlechtes Design bei einem HW-Schreibschutz (s. Kap 1.5 "Schreibschutzschalter am USB-Stick nachrüsten").

Sind weitere SW-Mechanismen, z. B. Widerrufslisten/Revocation, die auch wieder nur mit SW abgesichert werden, eine Lösung? Also eine auf Software basierte Rüstungsspirale, die sehr aufwendig und fehler-anfällig wird. Es müssen dann Updates gemacht werden, wieder mit neuen (absichtlichen) Sicherheitslecks, nur um Sicherheitslecks aus alten Updates zu stopfen.

Was passiert, wenn der Hersteller insolvent wird, von einer weniger vertrauenswürdigen Firma übernommen wird oder wichtige Komponenten eines SW-Verifikationssystems „verloren“ gehen? (s. NSA-Spionage bei SIM-Karten-Herstellern) oder die Master-Keys sogar an staatliche Stellen weitergeben werden (müssen). Ein Anwender hat keine Möglichkeit eine Datenmigration beim Hersteller zu überwachen. Schlüsselsysteme und Verschlüsselung haben die Tendenz, mit der Zeit unwirksam zu werden.


5. Welche Möglichkeiten könnten noch helfen, wenn ein Zertifikat- bzw. Signatur-Mechanismus versagt?
(s. a. Auch OS-X-Installer von Zertifikateproblem betroffen")

Ein HW-Schreibschutz sorgt für Redundanz in der Sicherheit, da er auf einem ganz anderen Prinzip beruht. Auch er verhindert ein unbemerktes, ferngesteuertes Aufspielen von Schadsoftware auf die schreibge-schützten Datenträger. Mit einem HW-Schreibschutz am BIOS-FLASH können vorhandene UEFI-BIOS Lücken daher nur noch zum Updatezeitpunkt (HW-Schreibschutz abgeschaltet) ausgenutzt werden, um ein BIOS weiter zu manipulieren.

Der WP-Jumper am BIOS-FLASH ist eine (noch) vorhandene Absicherung. Zertifikate und andere Kontrollmechanismen für Firmware müssen teilweise erst noch entwickelt und fehlerfrei etabliert werden.


6. Ein HW-Schreibschutz kann auch eine übereifrige Sicherheitssoftware in ihre Schranken weisen.

(s. Achtung: Panda-Virenscanner zerschießt Windows, nicht Neustarten!). Mit einer schreibgesicherten Systemsoftware könnte die Funktion eines (neuen Updates) Viren-Scanners erst gesichert überprüft werden, ohne dass eine Software beschädigt wird. (Ergänzung zu Punkt II. „teuer“: Gerade das Beispiel mit dem Panda-Virenscanner hätte mit einem HW-Schreibschutz an der Systemsoftware und ohne aktiven Virenscanner, nicht zur Katastrophe geführt.)

 

7. Etwas überheblich formuliert würde ich auch sagen, dass der durchschnittliche Anwender bei den Begriffen „Zertifizierung“ und Signatur schon nicht mehr zuhört, bevor die Worte zu Ende ausgesprochen wurden.

Mit dem Mechanismus eines (HW-)Schreibschutzes ist der Anwender vertraut (bspw. Schiebeschalter am USB-Stick, SD-Lock Plastikschieber, Diskettenfenster etc.). Er kann die Wirksamkeit jederzeit selbst überprüfen und nachvollziehen. Es ist für ihn ein bekanntes Prinzip.

Dieses Anwendungswissen auf einen weiteren Schalter zu übertragen, sollte ohne Schwierigkeiten möglich sein.


8. Digitale-Zertifikate bzw. Signaturmechanismen sind für mich nur zum Zeitpunkt eines Updates erforderlich, wenn eine neue SW in den PC geholt wird. Eine so bestätigte Integrität wird dann am zuverlässigsten mit einem Hardwareschreibschutz konserviert. Die Notwendigkeit, nach einem erfolgtem Update, einen immer beschreibbaren und daher manipulierbaren Datenträger bereitzuhalten, kann ich dann nicht mehr erkennen. Einen permanent beschreibbarer Datenträger der Systemsoftware stellt daher für mich ein überflüssiges Sicherheitsrisiko dar.

Sind diese Verifikationsmechanismen so komplex geworden, gerade weil ein immer schreiboffener und daher manipulierbarer Programmspeicher vorliegt? Bei schreiboffenen Systemen kann sich beispielsweise der Boot-Prozess nie sicher sein, ob nicht doch etwas seit dem letzten Start verändert wurde und muss daher die Verifikationskette immer neu ausführen. Selbst dieser Startup-Test erfordert meines Wissens nach keine permanente Schreiberlaubnis. Verifikationsmechanismen nutzen auch Schreibschutz, in dem sie (nur über Software) schreibgeschützte Bereiche als Schlüsselablage und sogar für Unterprogramme verwenden. Warum wird das nicht von vornherein auf die vollständige Boot-SW im BIOS/UEFI-FLASH, nun aber mit einem HW-Schreibschutz angewendet?


Zu dem Thema Zertifikate und Mikrocode empfehle ich folgenden Link:

NSA nutzt Backdoor in Prozessor Mikrocode.

Das impliziert sogar eine Forderung nach HW-WP an der CPU.


9. Digitale Zertifikate bzw. Signaturmechanismen helfen nicht bei direkter Sabotage.

   Das Thema habe ich unter  Sabotage  etwas ausführlicher beschrieben.


V. „Es wird immer eine Lücke gefunden. – Es gibt keine 100%tige Sicherheit.“

Für dieses Totschlagargument als Vorlage muss man sich eigentlich bedanken, denn auch die bisher angepriesene Sicherheits-Software muss dann ebenfalls unter diesem Gesichtspunkt betrachtet werden.

Warum werden dann überhaupt Virenscanner und Firewalls eingesetzt? Für beide gilt diese Aussage doch auch.

Die folgenden Abschnitte von VI. bis X. führen diese Argumentationsweise noch etwas differenzierter aus. Im Wesentlichen werden immer vorhandene Sicherheitslücken herangezogen, die mit einem HW-Schreibschutz nicht abgesichert werden können (bspw. „Evil Maid Attack“). Allerdings wird bei diesem Argument gerne vergessen zu erwähnen, dass auch andere Sicherheitsmechanismen in diesen Fällen unwirksam sind und auch nicht alles schützen können.

Besonders Argumentationen gegen eine HW-WP mit Evil-Maid-Attack, CPU-Mikrocode oder erfolgreiche Angriffe unter Laborbedingungen, also Angriffe bei denen eine persönliche Präsenz, großer Aufwand und hohes Spezialwissen erforderlich sind, um eine HW-WP auszuhebeln, bestätigen doch damit indirekt eine sehr gute Wirksamkeit von Hardwareschreibschutz.

Es werden gerne Argumente gegen einen Hardwareschreibschutz aufgeführt, die immer die aktuelle Anwendungssituation aushebeln. Allerdings haben diese dann angenommenen Gegenargumente oft gar nichts mit der Betriebsumgebung eines typischen Anwenders zu tun. Oder wird tatsächlich erwartet, dass jetzt bei tausenden von Firmen und Heimanwendern eingebrochen wird, um beispielsweise den FLASH WP-Schalter am BIOS umzusetzen oder sogar, um den Baustein vor Ort cryogen zu knacken? Die Unterschiede in den Anforderungen und der Handhabung von Sicherheitsmaßnahmen, wird am Austausch der Argumente zu Hardwareschreibschutz zwischen der Systemadministration von Serverfarmen und den privaten Anwendern deutlich.

Eine Rückendeckung, die sich die unterschiedlichen Sicherheitsmechanismen gegenseitig geben können, wird auch gerne ausgeklammert. 

So Binsenweisheiten wie Eine 100% Sicherheit gibt es nicht helfen im übrigen nicht weiter. Sie sollen nur die Ansicht des Vortragenden zementieren und halten die Leichtgläubigen nur von der Suche nach Verbesserungen und Problemlösungen, also einer Verringerung der Angriffsfläche ab. Eine 100%tige Sicherheit gibt es im übrigen auch nicht mit den anderen Sicherheitsmechanismen.

Was ist unter „Sicherheit“ zu verstehen? Ohne eine genaue Definition - manipulationsfest, Datenbackup, Informationslücke? Oder alles zusammen?
Da dichtet jeder (ich selbstverständlich auch) für sich etwas zurecht. Meist geht es darum, die „Angriffsfläche“ bzw. die „Angriffsmöglichkeiten“ auf ein System so weit zu reduzieren, dass es für einen Angreifer zu aufwändig (teuer auch im Sinne von kenntnisreich) wird. Es reicht daher aus, dass die Umgehung von Sicherheitsmaßnahmen immer nur etwas „teurer" ist als der erhoffte Gewinn, damit die Sicherheitsmaßnahmen wirksam werden.


Nochmals zu 100%:

Ich habe einen USB-Stick so umgebaut, dass der FLASH-Speicher nicht mehr umgeschrieben werden kann.  - Wenn ich Sicherheit auf manipulationsfest in einer anwenderüblichen Situation beziehe, werden hier 100% erreicht.

(Ist der WP-Pin am FLASH-Baustein aktiviert, werden über die Festverdrahtung im Silizium die Schreibkommandos an den Speicherbaustein blockiert. Eine Umgehung des Schreibschutzes durch reine Softwaremethoden ist mir bisher nicht bekannt. - daher die o. g. ~100%)

Es gibt also Ausnahmen von der Regel, wenn man den Kopf nicht in den Sand steckt. Es liegt dann an den Anwendern,  dass dies keine Ausnahme bleibt.  Diese Designmöglichkeiten von Hardware müssen nur bekannt sein und eingefordert werden.  


VI. „Mit einem HW-Schreibschutz kann ich ja nicht überprüfen, ob die Software sicher ist.“

(Was ist unter „sicher“ zu verstehen? - fehlerfrei, keine Hintertüren, kein Datenspion?)

Stimmt, das konnte man ohne HW-Schreibschutz bisher auch nicht. Ein durchschnittlicher Anwender konnte/kann das auch nicht bei Open-Source(*).

Ein Schreibschutz hat hier weder eine positive noch eine negative Wirkung auf die Eigenschaften einer Software zum Update-Zeitpunkt. Er gewährleistet während der alltäglichen Arbeit am PC eine Manipulations- und Sabotagesicherheit vom Betriebssystem. Wie Pand(or)a und Win-Updates uns zeigen, bieten auch Signatur- bzw. Zertifikat nicht einmal mehr Sicherheit vor herstellerseitiger Systemsabotage zum Update-Zeitpunkt.

Kleine Fehler (Bugdoors) führen nicht zu größeren Manipulationen des schreibgeschützten Betriebssystems oder des Programmcodse.

*Das sollte nicht als Argument gegen Open-Source verstanden werden, denn bei proprietärer Software ist die Sicherheits-Problematik noch viel größer. Bei Open-Source sollen viele Augen eine Kompromittierung von vornherein verhindern. So die Annahme.  In sicherheitsrelevanten Bereichen wird eine SW-Zertifizierung/Durchsicht gefordert. Das ist nur mit Open-Source möglich. Hintertüren können daher nicht so einfach einem OS-Hersteller verordnet werden, da die Gefahr, dass diese entdeckt werden wesentlich größer ist. Die Unschuldsvermutung gilt daher eher für offene Software als für proprietäre Betriebssysteme.  Wenn sogar die interne Bug Tracking Liste (s. Hacker knackten 2013 Microsofts Bug-Tracking-Datenbank) abhanden kommt, mit der dann Exploits entwickelt werden können ...

Auch die Fehlerbehebung bei Open Source halte ich für effizienter. Der Anwender ist nicht an die Updatezyklen der Hersteller gebunden, falls überhaupt ein Update kommt oder der Hersteller nicht mehr existiert. Bei O.S. besteht immer die Möglichkeit, dass Fehler von anderen SW-Entwicklern und Firmen behoben werden können und das noch weit über den Servicezeitraum des Herstellers hinaus. (-> Wirtschaftlichkeit, geringerer Migrationszwang)


VII. „Es wird sich physisch Zugang zum PC verschafft und der Schreibschutz wird deaktiviert. Ein System kann dann doch manipuliert werden.

Mit diesem Argument soll gezeigt werden, dass der Aufwand um einen Schreibschutz im Fall einer „Evil Maid Attack“ nutzlos und er damit suggeriert generell überflüssig ist. Es wird allerdings übersehen, dass der Aufwand für vorhandene Virenscanner, Firewalls und sogar Verschlüsselungsmechanismen dann natürlich auch wirkungslos ist. Wird mit einer Evil-Maid-Attack gegen HW-WP argumentiert, dann gibt es aus der Sicht des Argumentierenden keinen einfacheren Mechanismus, um die Wirksamkeit von HW-WP aufzuheben. Also erst dann, wenn alles andere auch schon längst wirkungslos geworden ist. Ein HW-Schreibschutz wirkt bis zu einer Evil-Maid-Attack. Das sehe ich als Qualitätsmerkmal und das kann bestimmt nicht von digitalen Zertifikaten (Geheimdienst- Hintertüren?) oder von Virenscannern behauptet werden.

Malware/Ransomware ist so erfolgreich, weil eine physische Anwesenheit nicht erforderlich ist. 

Wer seinen Rechner noch etwas besser gegen physische Eingriffe absichern möchte, der findet hier eine Diskussion.

 

Es gibt allerdings auch Risiken:

Ein HW-Schreibschutz, bzw. ein zu gut gesichertes System, kann sogar erst der Auslöser für einen „Besuch“ werden.

Ein Schreibschutz ist dann tatsächlich nicht nur nutzlos, er verursacht auch unerwartete Störungen.

Einen kleinen Vorteil bei HW-Schreibschutz gibt es in diesem Fall doch noch, denn ein PC muss dann tatsächlich geöffnet werden, wenn die Schreibschutzmechanismen nur per Hardware im Computer abgeschaltet werden können. Eine schnelle Infektion mit einem Boot-USB-Stick (BadUSB) ist vorher nicht möglich.

Der Aufwand für einen Angreifer und sein Risiko entdeckt zu werden halte ich für sehr hoch. Ich vermute, dass von diesen Brachialaktionen nur ein sehr kleiner Anteil der Anwender (Geheimnis- und Entscheidungsträger und allzu kritische Journalisten) heimgesucht werden. Wer eine „Evil Maid Attack“ als Gefahr für sich ansieht (sich also für sehr wichtig hält;-) und diese Gefahr einschränken möchte, könnte sich eine analoge Zugangsbehinderung vom Typ „Zerberus“ zulegen. Ein quasi anonymer Kauf im PC-Shop verhindert eine persönliche Bearbeitung in der Lieferkette (s. NSA manipuliert per Post versandte US-Netzwerktechnik). Live-Systeme auf USB-Sticks oder auf DOM-SSDs sind auch selbst schnell aus externen PC-Ports entfernt und so einem Angriff entzogen.



VIII. „Ein schreiboffenes BIOS oder eine SSD-Firmware können doch heimlich manipuliert werden. Ein HW-Schreibschutz an anderen Medien ist daher nutzlos.

1. Das Argument stimmt insofern, dass wenn eine als notwendig erachtete Sicherheit nicht herstellbar ist, alle weiteren Maßnahmen überflüssig sind. D. h. Nutzerrechte, Virenscanner, Firewalls, Zugangsberechtigungen usw. müssten dann auch als überflüssig betrachtet werden und könnten von vornherein weggelassen werden. Oder?

Kann etwas heimlich manipuliert werden, hat in diesem Fall die (teure) Sicherheitssoftware versagt, bzw. sie stößt an ihre Grenzen. Kann sie daher auch generell entfallen?

->Nur ein aktiver HW-Schreibschutz hilft am BIOS und Firmware, um eine Basis für notwendige Sicherheit herzustellen.


 2. Ja, ein schreibgeschütztes BIOS oder eine Firmware kann manipuliert werden, aber wie wahrscheinlich ist das und wie oft kommt das vor? Momentan sehe ich, dass die meisten Viren, Botnetze und Exploits, das Betriebssystem mit Programmen und Nutzer-Berechtigungen persistent verändern. Das ist für mich derzeit das Haupt-Einfallstor für die meisten Probleme und das sollte zuerst geschlossen werden (notwendige Sicherheit). Nur weil es eine noch nicht etablierte Möglichkeit für Schadsoftware gibt, wird das zusätzliche Sicherheitskonzept mit HW-Write Protection gegen 99% der anderen, einfacheren und schon längst aktiven und möglichen Angriffe doch nicht überflüssig.

Je einfacher ein Sicherheitsmechanismus umgangen werden kann, so weit er überhaupt vorhanden ist, umso eher wird diese Lücke ausgenutzt werden.

Mögliche BIOS-Manipulationen, die auf vielen Main-Boards mangels HW-Schreibschutz nicht zu verhindern sind, sind daher kein Ausschlusskriterium für eine notwendige und wirksame HW-Write Protection von anderen Speichermedien und Systembereichen.


3. Ein immer beschreibbares (keine HW-Write Protection) BIOS oder Firmware ist für mich ein Designfehler.

Mit dem oben genannten Argument wird oft unterstellt, dass BIOS- oder Firmware-Speicher nicht über HW abzusichern sind. Dem ist nicht so, bzw. die noch vorhandenen „Jumper“ sollen angewendet werden. Die entsprechend verbesserten HW-Designs, nun mit Jumper, müssen vom Kunden nachgefragt und eingefordert werden.

 

4. Die Tatsache, dass eine Komponente nicht vollständig abgesichert wurde (z.B. BIOS ist immer programmierbar), bedeutet noch lange nicht, dass man die Schutz anderer Komponenten ebenfalls vernachlässigen kann. Das „schwächste Glied in der Kette“ befindet sich an anderer Stelle.

s. Punkt IX. unter 2 + 3. 


IX. „Ein HW-Schreibschutz am BIOS oder an der Systemsoftware ist überflüssig, denn es gibt andere Komponenten im Computer, wie SSD-Firmware oder CPU-Mikrocode, mit denen die Sicherheit eines HW-Schreibschutzes umgangen werden kann.“

1. Ein HW-Design, das den /WP-Pin an den FLASH-Speichermedien (z. B. BIOS) selbst verwendet, kann nicht „umgangen“ im Sinne von „umprogrammiert“ werden. Nur der Inhalt des FLASH-Speichers kann zwar noch ignoriert, aber nicht mehr persistent manipuliert werden. (Ein Mechanismus, der den Schreibschutz bei aktiven WP-Pin und programmierten Status-Register im FLASH umgeht, ist mir nicht bekannt. Bspw. im Datenblatt vom BIOS-FLASH Typ Maconix MX25L4005 s. S. 15 ..„it is impossible to write the Status Register..“. Natürlich ist die Unterbrechung der Programmierspannung an alten FLASH-Speichern ebenfalls eine sichere WP-Variante.)

2. Wenn noch Sicherheitslücken über andere Komponenten bestehen, ist es gerade wichtig, nicht manipulierbare Speicherbereiche im Rechner zu erhalten. Diese stehen dann für die Ausweitung eines Angriffs nicht mehr zur Verfügung. Sicherheit ist immer die Reduzierung von Angriffsmöglichkeiten.

3. Ein Virenscanner oder eine Firewall helfen auch nicht bei Problemen mit SSD-Firmware oder CPU-Mikrocode. Sicherheitssoftware wie z. B. Virenscanner, Firewall oder aufwendige Zertifizierungs-mechanismen sind daher auch überflüssig. Oder?

Mit einem Verweis auf andere, auch unsichere Systemkomponenten, werden im Prinzip Äpfel mit Birnen verglichen. Jeder Sicherheitsmechanismus kann nur innerhalb seiner Möglichkeiten wirken. Beispielsweise wird die Wahl eines schwachen Passworts nicht durch einen HW-Schreibschutz, einen Virenscanner oder eine Firewall verhindert. Sind diese Sicherheitsmechanismen dann von vornherein überflüssig? Virenscanner oder Firewalls decken nur jeweils einen Teil des Gesamtschutzes ab und sind selbst in ihrem Bereich nicht zu 100% zuverlässig. Sie erzeugen sogar zusätzliche Sicherheitslücken (Mac-AV-Software ermöglichte Einschleusen von Schadcode). Gerade Microsoft zeigt die Gefahr die auch von Virenscannern ausgehen kann. "Microsofts Antivirensoftware gefährdet Windows-Nutzer“ o. „Kritische Lücke in Microsofts Malware Protection Engine". Diese Sicherheitslücken existieren, obwohl Microsoft seinen proprietären Code für Betriebssystem und Virenscanner am besten kennen und testen sollte und im Vergleich zu den Herstellern von Sicherheitssoftware wahrscheinlich auch die meisten Sicherheitsexperten beschäftigt.



X. „Ein Schreibschutz verhindert keine „Man in the Middle“ Angriffe aus dem Internet beim Surfen oder dass Passwörter im Netz ausspioniert werden, ...“

Es werden mit diesem Argument unterschiedliche technische Konzepte in einen Topf geworfen, also Äpfel mit Birnen, verglichen. Nur weil ein Schreibschutz an einer Stelle keine Lösung bietet, also bspw. den Kommunikationskanal oder die Daten in der "Klaut" direkt sichert, ist er doch wirkungsvoll an anderer Stelle, also eben nicht überflüssig. Diese Argument könnte ebenso auf andere Schutzvefahren bezogen werden.

Generell ist davon auszugehen, dass Daten, die die Netzwerkschnittstelle des Rechners verlassen, auch frei verfügbar sind. Ein HW-Schreibschutz blockiert eine dauerhafte Manipulation der Sicherheitssoftware, einschließlich einer dauerhaften Manipulation und Schwächung der Kommunikations- und Verschlüsselungssoftware auf dem PC.



XI. „Es können doch auch mit einem Update, über „Man in the Middle“ Angriffe, eine Schadsoftware überspielt werden.

Das gehört wieder zur Kategorie von Argumenten nach dem Motto: „Irgendetwas muss es doch geben, mit dem ein HW-Schreibschutz nicht fertig wird und deshalb braucht man ihn nicht.“


Ein HW-Schreibschutz hat zum Zeitpunkt eines Updates weder eine positive noch eine negative Wirkung. Mit Zertifizierung/Signaturen erreicht man ein höheres Vertrauen in ein Update. Allerdings können auch bereits beim Download, zertifizierte Hintertüren in einem Betriebssystem vorhanden sein (s. Kap. IV.). Gegen sogenannte "Supply Chain Attacks" wirkt ein Hardware-Schreibschutz zum Updatezeitpunkt nicht.

Ein Schreibschutz wirkt allerdings nachgelagert und zwar können nach einem Update keine weiteren Manipulationen ferngesteuert und unerkannt an der Systemsoftware vorgenommen werden (s. Lenovo-Rootkit). Noch nicht bekannte oder absichtlich herbeigeführte "Bugdoors" in einem Update bieten keine Möglichkeit, ein schreibgeschütztes BIOS oder das so geschützte Betriebssystem weiter zu verändern.

Nur weil Zeitweise eine Systemsoftware oder ein BIOS für ein Update überschreibbar sein muss, muss doch nicht die überwiegenden Zeit eine (heimliche) Manipulationsmöglchkeit als Sicherheitsrisiko zugelassen werden? Mit einem Hardware-Schreibschutz wird der Update-Mechanismus auf den Zielsystem abgesichert, so dass die bis zu einem Update die hinterlegten Internetadressen, Passwörter, Schlüssel, Verifizierungssoftware etc. nicht manipuliert werden können. Ein „Man in the Middle“ Angriff wird dann wesentlich schwieriger.



XII. „Es kann der HW-Schreibschutz doch mit geheimen Kommandos an die FLASH-Bausteine oder an die Speicherkontroller ausgehebelt werden.“

1. Es ist anzunehmen, dass beim Schreiben von nicht spezifizierten Datensequenzen auf einen FLASH-Speicher (Fuzzy Pentesting) auch Control-Bits geändert werden können, obwohl die sogenannte Software Write-Protection aktiviert wurde. Mir ist allerdings kein Verfahren bekannt, dass den im Silizium fest verdrahteten aktiven/aktivierten /WriteProtect-Pin eines FLASH-Bausteines umgehen kann.

(Eine besondere Angriffsmethode über BIOS WE-Bits betrifft die Bausteine, die den BIOS-Chip steuern und nicht den BIOS-Chip und seine HW-Write Protection selbst. Ein aktivierter HW-Schreibschutz-Pin eines BIOS-FLASH-Speichers könnte damit nicht umgangen werden.)


2. Die nicht öffentlichen Update- und Test-Kommandos für die Kontrollerbausteine der FLASH-Speicher sorgen für eine zusätzliche Sicherheitslücke. Mann sollte allerdings davon ausgehen, dass diese Hintertüren momentan nur wenige Personen kennen und einsetzen. 

- Die Komplexität eines Angriffs ist hoch. Schadsoftware auf einen Rechner einzuschleusen, indem man die Kontrollerfirmware manipuliert, ist sehr aufwendig.

- Ein Austausch der Hardware aus der Ferne, um neue Hintertüren zu installieren, ist sehr schwierig.

- Eine massenhafte Anwendung erhöht die Gefahr, dass diese Lücken entdeckt werden.

Die durch diese Schwachstellen entstandenen Sicherheitslücken sind sehr wertvoll und werden vermutlich nur sehr selten ausgenutzt. Daher müssen sich nur wenige Anwender um diese Art von Angriffen sorgen.

Für kommerziell orientierte Angreifer (Ransomware) ist es derzeit immer noch einfacher, auf ein neues Betriebssystem-Update mit neuen Bugs und Sicherheitslücken zu warten.

Ich möchte die alltäglichen, also technisch einfacheren Angriffe auf Daten und Systemsoftware abfangen, die mir die meisten Kopfschmerzen machen.

Ein mit Jumper gesichertes BIOS wird dann nicht zum Brückenkopf für den Ausbau eines Angriffs.

Der Effekt, dass  BIOS-Rootkits, BadBIOS, BIOS/UEFI-Ransomware, Staatstrojaner und BadFirmware, Kill-Switch auch mit HW-Schreibschutz verhindert werden können, sollte selbstverständlich sein. Aufgrund der zunehmenden Anzahl von Berichten über BIOS-Rootkits, sehe ich einen HW-Schreibschutz am BIOS-Speicher sogar als zwingend erforderlich an.

Selbst wenn die Firmware eines Controller-Chips über BadUSB angegriffen wird, bleibt andere Firmware oder ein BIOS mit aktiviertem Hardware-Schreibschutz abgesichert.



XIII. „Schadsoftware kann sich immer noch im System umsehen.“

Ja, dagegen hilft kein HW-Schreibschutz. (Ich habe ja auch nichts zu verbergen, oder?)

Mit der bisher üblichen und löchrigen Sicherheitssoftware kann sich ein erfolgreicher Angreifer nicht nur umsehen und Daten extrahieren, sondern auch Veränderungen an der Systemsoftware vornehmen. (s. Bootkits etc.). Eine Schadsoftware kann sich fest im System einnisten und ein permanente Überwachung  (bspw. SW-Keylogger, Pegasus) des Anwenders ermöglichen.

Ein Computer mit einem HW-Schreibschutz ist demgegenüber eindeutig von Vorteil.

Wird vor dem Öffnen einer auffälligen E-Mail sogar der beschreibbar Datenträger mit den persönlichen Arbeitsdaten (Wechseldatenträger, Festplatte im Wechselschacht), dann sieht eine Schadsoftware nur das „langweilige“ Betriebssystem. Sie kann aber keine Änderungen daran persistent vornehmen. Das gilt auch für Schadsoftware, die von kompromittierten Webseiten verteilt wird. Nach einem System-Kaltstart ist die Schadsoftware aus dem RAM/Arbeisspeicher wieder verschwunden. Keylogger, BKA-Virus (Windows SW) etc. konnten nicht dauerhaft installiert werden. Erpressungs-Trojaner wie Locky haben weder die Möglichkeit Schaden an der Systemsoftware noch an den Arbeitsdaten anzurichten.

Selbst mit nicht so gut implementiertem HW-Schreibschutz (Der WP-Pin am FLASH-Speicher wird nicht direkt verwendet, sondern eine Kontrollerfirmware dient quasi als Firewall für die Steuerkommandos) erfordert es erheblich mehr Aufwand, Systemkenntnis (s. BadFirmware) und Glück(Social Engineering) von einem Angreifer, eine Schadsoftware nach jedem Kaltstart im Computer neu zu reaktivieren.

Exploits (Dropper, Erstinfektion) bauen oft auf einer Manipulation weiterer Systemkomponenten auf (bspw. neuer Account als Administrator-> Nachladen von Schadsoftware), um eine permanente Infektion zu ermöglichen. Ein Hardware-Schreibschutz verhindert zwar nicht die zeitweise Erlangung von Administrationsrechten, denn es kann wie bisher immer noch Schadcode aus dem RAM heraus ausgeführt werden, aber er verhindert persistente Änderungen an der Systemsoftware. Dieses Prinzip, die Ausführung temporär nur auf das RAM zu beschränken, sehe ich als besonders geeignet für private PCs an oder kleine Betrieb an. Private Computer sollten ohnehin nur bei Nutzerbedarf eingeschaltet werden(kein Standby!). Mit jedem Kaltstart ist der vorherige Inhalt im RAM dann sicher gelöscht (Ausnahme - Cold Boot).

Ein bequemer Schnellstart aus dem Hibernate-Modus ist dann natürlich nicht zulässig. Die reinen Kaltstart-Zeiten haben sich jedoch wesentlich verbessert, so dass man auf die Bequemlichkeit des Hibernate verzichten kann. Nebeneffekt: Beim Starten des Computers liegt das Dateisystem immer aufgeräumt vor und es wird sogar Strom gespart.


XIV. „Der Nutzer wird in falscher Sicherheit gewogen. Das macht ihn leichtsinnig. Ein HW-Schreibschutz sollte deshalb entfallen.

1. Bevormundung - Ich lasse mir nur ungern vorschreiben, wann ich etwas nutzen darf und wann nicht, besonders wenn ich einen Vorteil erkennen kann und in der Lage bin diesen auch anzuwenden.

2. Dieses Argument könnte genau so gut für den gerade aktualisierten Virenscanner oder für ein als besonders sicher angenommenes Betriebssystem gelten. Darf ich diese dann auch nicht nutzen, nur um nicht leichtsinnig zu werden?

3. Viele Anwender sind auch ohne HW-Schreibschutz aus Gefahrenblindheit und Unwissen leichtsinnig unterwegs. Ein HW-Schreibschutz kann dann zumindest einen Teil der trivialen Unfälle verhindern.

4. Es ist leichtsinnig, sich nur auf die Sicherheitssoftware und ein vermeintlich sicheres Betriebssystem zu verlassen.

Ohne Hardware-Schreibschutz darf sich vom Systemhersteller bis zum Anwender niemand einen Fehler erlauben. Der Computer wird fehlertoleranter gegenüber dem Benutzerverhalten und Herstellerfehlern. (Bspw. eine zweifelhafte E-Mail kann vom Anwender dann sogar mehrmals geöffnet werden, ohne dass sich etwas persistent einnisten kann.)

Die Begriffe Unwissen und Leichtsinn weichen mit Hardware-Schreibschutz dann den Begriffen absichtlich und mutwillig.



XV. „Der (dumme) Anwender ist besser dran, wenn aktuelle Updates aus Sicherheitsgründen kontinuierlich eingespielt werden können.“

Der Anwender ist sogar noch dümmer dran, wenn ihm die fehlgeschlagenen Updates nicht einmal mitgeteilt werden s. Apple patcht EFI-Firmware unzureichend“, o.  "Verschwundene Dateien: Microsoft zieht Windows-10-Update vorerst zurück"


Ein Anwender ist mit dieser Aussage nur unwesentlich besser dran, denn genau hier können die Sätze verwendet werden: „Es wird immer eine Lücke gefunden!“, „Es ist immer noch eine Lücke vorhanden, die gerade ausgenutzt wird!“ und „Nach einem Sicherheitsupdate ist vor einem Sicherheitsupdate“.

Und besonders eine Studie: Zero-Day-Sicherheitslücken im Schnitt 7 Jahre ausnutzbar

Wenn eine Software kontinuierlich für Sicherheitsupdates beschreibbar bleiben soll, dann werden doch immer noch neue, also noch nicht erkannte Sicherheitslücken erwartet? Das System bleibt selbst mit Sicherheitsupdates im Wesentlichen unsicher (offen), da Sicherheitssoftware und Betriebssystem-Hersteller (selbst, wenn sind nicht dazu gezwungen werden), immer einen Schritt hinter den Angreifern bleiben. Der vorhandene Exploit-Schwarzmarkt, mit den den SW-Herstellern nicht (offiziell) bekannten Lücken, zeigt dies.

Das Argument unterstellt zudem, dass jeder Softwarehersteller sofort nach Bekanntwerden einer Sicherheitslücke ein Update zur Verfügung stellt. Das ist ein Wunschdenken, die Realität sieht auch bei Herstellern proprietärer SW anders aus. Mir ist bisher kein Betriebssystem-Hersteller bekannt, der dies leistet. Meistens ist es so, dass erst wenn ein Hersteller sich genötigt fühlt eine Sicherheitslücke zu stopfen, dass dann auch ein Patch bereitgestellt wird (z.B.. Android). Oder sie zeigen sich sogar beratungsresistent.

Bis zum Update muss der Anwender dann auf sein Glück vertrauen, nicht zum Opfer eines Angriffs zu werden. Die effizient wirksame Maßnahme einer HW-WP wird bisher durch das Prinzip „Hoffnung“ ersetzt.

Das Argument suggeriert dem Anwender, dass damit nun alle Probleme vorerst behoben sind und alle Sicherheitslücken beseitigt sind, bis wieder eine Lücke gefunden und vom Hersteller behoben wurde (bekannte wie auch unbekannte). Die Berichte über Sicherheitsprobleme (insbes. Adobe Flash-Player) zeigen aber, dass immer nur bestimmte Sicherheitslücken geschlossen werden, es werden wieder neue Sicherheitslücken in der Systemsoftware gefunden und auch bekannte Sicherheitslücken vom SW-Hersteller werden nicht oder nur sehr spät behoben ("Acht Jahre alte kritische Lücke in Exchange"). Selbst zeitnah bereitgestellte Sicherheitsupdates haben letzten Endes nur eine kosmetische Wirkung. Es werden weiterhin Sicherheitslücken ausgenutzt, die dem SW-Hersteller (offiziell) noch nicht bekannt sind und daher nicht behoben werden.

Für den durchschnittlichen Anwender ist es irrelevant, welche Sicherheitslücke gerade mit einem aktuellen Patch automatisiert behoben wurde, da es weiterhin noch andere Sicherheitslücken in der Software gibt. Das System bleibt weiterhin offen, angreifbar und ohne HW-Schreibschutz dann auch weiterhin maximal manipulierbar.

Oder anders formuliert: Wenn ich diese Lücken automatisiert schließen kann, ich aber mit Sicherheit noch weitere Lücken habe, die eine Systemmanipulation ermöglichen, welchen Vorteil habe ich dann mit diesem Automatismus gegenüber einem System, das ohne diesen Automatismus auch mit Sicherheitslücken ausgestattet ist, nun aber nicht mehr weiter manipulierbar ist?


Wenn Updates kontinuierlich eingespielt werden sollen, erfordert dies einen permanenten administrativen Zugang von der Update-SW. Diese SW-Komponenten werden als bevorzugtes Ziel von Schadsoftware ausgesucht. Etwas vergleichbares Vorgehen erfolgt bereits mit Virenscannern, da sie ebenfalls einen administrativen Zugang zum System benötigen (s. a. „Vom Jäger zum Gejagten: Kaspersky-Virenscanner ...).


Was kann ein Anwender tun, bis ein Update bereitgestellt wird, um mögliche Schäden zu minimieren?

Dann gibt es so Ratschläge wie, dass er seine Email-Anhänge besser überwachen soll, seine Virenscanner immer aktualisiert halten muss (das generiert Umsätze), auf ungewöhnliche Prozesse im Computer achten soll (wie auch immer die aussehen mögen) und bestimmte Software nicht anwendet (Er geht nach Hause/ hört mit seiner Arbeit auf) oder sogar deaktiviert (Darf er überhaupt Adminrechte haben?). Diese Antworten fordern vom Anwender Tätigkeiten und Anwendungswissen, die man ihm allerdings genau mit dem Eingangsargument abnehmen wollte und bei ihm nicht vorausgesetzt hat.

Diesen Widerspruch konnte ich bisher nicht auflösen.

D. h. ist ein Angriff vor einem Sicherheitsupdate erfolgreich, ist ohne Schreibschutz mit persistenter Schadsoftware im Betriebssystem oder im BIOS-FLASH zu rechnen. Unbefugte Administrationsrechte zu erlangen, sind auch bei einem schreibgeschützten System möglich, allerdings eingeschränkt, weil Schreibzugriffe auf die Systemsoftware nich möglich bzw. nicht permanent sind. Daten auf einem noch vorhandenem und beschreibbarem Arbeitsmedium können dann immer noch eingesehen, manipuliert, verschlüsselt (Erpressungs-Trojaner) und extrahiert werden. Allerding gilt hier generell zur Schandensminderung: "Kein Backup-Kein Mitleid".

Z. B. ein Passwortdiebstahl/Keylogger wäre mit HW-Schreibschutz wesentlich schwieriger dauerhaft im RAM für das Betriebssystem zu platzieren, da nach jedem Systemstart die Schadsoftware wieder neu in das System-RAM gelangen muss. Es ist ein permanenter Angriff z. B. auf eine Lücke in der Firewall, ein sich wiederholender Bedienfehler (öffnen des E-Mail Anhangs) oder eine Ausführung eines zuvor hinterlegten Scriptes im Arbeitsbereich dann erforderlich.

Besonders weil sich eine Schadsoftware tarnen, umprogrammieren, nachladen und auch wieder selbst löschen kann, lässt sehr viel Handlungsspielraum für einen Angreifer bis zu einem Sicherheitsupdate zu. Ein HW-Schreibschutz, selbst wenn er nur die Systemsoftware absichert, würde diesen Handlungsspielraum stark einschränken oder erst gar nicht ermöglichen.

 

Ein verantwortungsbewusster Administrator ist über notwendige Updates informiert und wird niemals ein Update ohne vorherige Tests sofort in eine produktive Umgebung einspielen. Es gibt also weder Informationslücken oder ein Zeitvorteil, die ein automatisches Update rechtfertigen.

Im Rahmen der Qualitätssicherung muss eine IT-Administration prüfen, ob ein Patch nicht anderweitig einen Schaden anrichtet. Was ist, wenn zu viele Patches hintereinander erfolgen (müssen)?
Das entspannte Prüfen zwischen den festgelegten Patchdays wird dann zu einem Hase-Igel Wettlauf der IT-Administration mit den Sicherheitsupdates, um die Produktionststabilität zu erhalten. Was ist, wenn das Patchen aus Qualitäts-Management-Resourcegründen nicht mehr eingeholt werden kann, bzw. wie wird das System bis zum nächsten Patchday abgesichert?
Dann ist ein Hardwareschreibschutz die einzige Möglichkeit, wenigstens eine permanente Manipulation an den Computern zu verhindern.
 

Unter anderem unterstützt ein immer aktualisierbares System die Tendenz zur Entwicklung von Banane-Produkten - Es reift beim Kunden. Es verleitet dazu, Software mit schlechter (Sicherheits-)Qualität auszuliefern, da ein Patch schnell und unbemerkt eingespielt werden kann. Der unbedarfte Anwender wird dann ungewollt zum Beta-Tester von Panik-Sicherheitsupdates, die dann auch sein Computer lahmlegen können. (s. Stilles Apple-Update kappt Ethernet-Verbindungen,Ethernet-Update-Problem kann auch Mac-App-Store-Anwendungen tangieren)


Wären Update-Verweigerer, egal ob hersteller- oder nutzerseitig, nicht besser mit einem Hardware-Schreibschutz und einem zyklischen Kaltstart bedient? (Bspw. Ein automatisiertes Malware-Flush/Spülung für WebCams gegen IoT-Botnetze)?


Das Laden eines vollständigen und getesteten Betriebssystems über das Netzwerk von einer sicheren Quelle wäre die logische Fortsetzung dieses Ansatzes (siehe auch PXE-Boot). Dies erfordert jedoch andere Computersysteme und gute Kenntnisse, um dies zu implementieren.

 

 

XVI. „Es gibt keinen weiteren Nutzen für einen HW-Schreibschutz.“

Neben einer verbesserten Sicherheit, gibt es für den alltäglichen Gebrauch noch weitere Vorteile.

Es ist sehr schnell passiert, dass ein Copy/Sync/Backup in die falsche Richtung ausgeführt wird, ooder dass bei einer Neupartitionierung eines anderen Datenträgers unglücklicherweise der Datenträger mit dem Betriebssystem als Ziel verwendet wird. Dann hilft nur eine möglichst aktuelle Sicherung oder Neuinstallation.

Ich kann die Daten auf einem Datenträger vor eigenen Bedienungsfehlern, bspw. vor dem Partitionieren und Sychronisieren, mit einem Handgriff schützen. (Besonders um 2 Uhr nachts ;-). 

und schnell aktiviert. 

Ich muss nicht umständlich irgendwelche Schreibschutzflags von Dateien und Verzeichnissen im Explorer- Menue suchen und aktivieren. Diese softwarebasierten 'Empfehlungen' an das Betriebssystem werden beim Partitionieren und Formatieren derart geschützter Datenträger ohnehin ignoriert.

Ein Hardwareschreibschutz ist unabhängig vom Betriebssystem und kann ich die Datenintegrität auf dem Datenträger schnell und zuverlässig absichern.

Oft ist keine Zeit und Möglichkeit vorhanden, nach einstellbaren SW-Flags zu suchen um seinen Datenträger abzusichern. Jeder, der schon einmal seine Powerpoint-Datei vor einem Plenum oder sein Fotoalbum im Drogeriemarkt vom USB-Stick auf einen fremden Rechner kopieren musste, kennt diese Situation. Dann will ich auch die gut gemeinten Aktionen vom dortigen Betriebssystem, wie beispielsweise die Überprüfung und Reparatur des Dateisystems, zuverlässig blockieren können.

Ein „Totschreiben“ der FLASH-Bausteine wird verhindert. Häufig schreibende, aber nicht notwendige  Systemzugriffe, können zuverlässig geblockt werden (s. „Firefox is eating your SSD“- Das sollte mit neueren FF-Versionen nun nicht mehr der Fall sein).

Ein zufälliger Stromausfall kann nur in den beschreibbaren Arbeitsmedien inkonsistente Daten erzeugen. D.h. zumindest die Systemsoftware bleibt auch ohne besondere readonly Konfiguration oder ohne USV-Pufferung erhalten. Basterechner wie der Rasperry-Pi sind berüchtigt dafür, dass ihre Dateisysteme bei Spannungsausfall verloren gehen. (Raspberry Pi mit schreibgeschütztem Linux betreiben)


 

XVII. „Das kann mit einer Virtual Machine (VM) auch gelöst werden“

Mit einer VM oder Sandbox soll sich nichts im Wirtssystem einnisten bzw. ändern können. Das Ziel ist eine Systemsoftware unverändert zu erhalten. Das erreiche ich auch mit einem Hardware-Schreibschutz und das sogar wesentlich zuverlässiger und mit weniger Wartungsaufwand und Installationsaufwand.

Eine VM sehe ich mit meinem Konzept daher als überflüssig und auch sicherheitstechnisch schwächer an, wenn es darum geht mit dem Internet zu arbeiten. Unbekannte Sicherheitslücken in Hypervisor und Wirtssystem, die eine permanente Manipulation der Systemsoftware ermöglichen (Keylogger etc.), stellen dann keine Gefahr mehr dar. (s. Sicherheit von Hypervisoren u. Hacker brechen aus virtueller Maschine aus)
Mit einer VM erhöhe ich immer den Wartungsaufwand und den Anspruch an das erforderliche Anwenderwissen, denn ich muss mich nicht nur um das Wirtssystem selbst, sondern auch um die Software der VM und der SW des Gastsystems kümmern. VMs bieten eine wesentlich bessere Sicherheit, aber sie ermöglichen meiner Ansicht nach kein simples Produktivsystem. VMs sind eine gute Zwischenlösung, wenn mal mal etwas ausprobieren möchte.

Mit einem HW-schreibgehärteten Linux ist ein Systemupdate gegenüber einer VM nutzerfreundlicher.

Der Updatevorgang sieht dann ungefähr so aus: 

System herunterfahren -> Schreibschutzschalter umlegen/Sytstem wird beschreibbar -> System starten und nun nur das Update (wie bisher) einspielen -> Neustart des Systems wieder mit aktiviertem HW-Schreibschutz. Das war's.
Keine ISOs oder sogenannte Images sind zusätzlich neu zu erstellen und in die VM zu übertragen. Es gibt noch VMs, die auch das Update der ausgeführten Systemsoftware differentiell mit abspeichern, Dennoch bleibt es bei doppeltem Aufwand für Updates.


Ein Linux (Mint) wurde bei mir wie üblich installiert und für eine SSD Anwendung optimiert. Bspw. keine swap, die temp Verzeichnisse werden beim Start ins RAM ausgelagert etc.
Sind die beschreibbaren Datenträger ausgehängt bzw. vom Netz entfernt, dann sollte ich mit so einem über Hardware schreibgeschützten System jede E-Mail aufmachen können ohne Gefahr zu laufen persistente Schadsoftware einzufangen. Selbst Linux- Crypto Mail- Trojanern (gibt es die überhaupt schon?) sind dann harmlos.
Diese und andere nachgeladene Schadsoftware sind nach dem nächsten Kaltstart, da sie nur im RAM vorhanden sind (dito VM, USB-Live-System), wieder verschwunden und das wird ohne eine zwischengeschaltete VM erreicht.