it-swarm-eu.dev

Wie zuverlässig ist ein Schreibschutzschalter an einem USB-Stick?

Ich verwende derzeit ein USB-Flash-Laufwerk mit einer Live-Distribution. Manchmal steckte ich es in Terminals, denen ich nicht vertrauen kann.

Mein Bedrohungsmodell hier ist ausschließlich das Risiko nicht autorisierter Änderungen am Live-Distributions-Image auf dem Flash-Laufwerk . Leider ist eine Live-CD nicht bequem genug (das Dateisystem muss Schreibvorgänge zulassen, wenn es auf einem sicheren Terminal verwendet wird, und ständiges Remastering ist zu umständlich).

Ich überlege jetzt, ob ein physischer Schreibschutzschalter (schreibgeschützt) auf dem Flash-Laufwerk zuverlässig genug ist, um vertrauenswürdig zu sein . Ich meine, wie es auf älteren Flash-Laufwerken zu sehen ist (z. B. PQI U339H ).

Nach dem, was ich bisher gefunden habe, soll der Schreibschutz vollständig auf Hardwareebene erfolgen, aber ich konnte nicht überprüfen, ob es tatsächlich keine Möglichkeit gibt, ihn zu umgehen. Bei SD-Karten gibt es dies auf jeden Fall (da es sich im Grunde genommen um Informationen auf Softwareebene handelt, die von betrügerischen Systemen nicht beachtet werden müssen).

Zum Beispiel beschreibt die SD Simplified Specification es als:

4.3.6 Schreibschutzverwaltung

Auf der SD-Speicherkarte werden drei Schreibschutzmethoden unterstützt:

  • Mechanischer Schreibschutzschalter (nur Hostverantwortung)
  • Karteninterner Schreibschutz (Verantwortung der Karte)
  • Kennwortschutzkartensperre.

Mechanischer Schreibschutzschalter

Ein mechanisches Schiebetablett an der Seite der Karte (siehe Teil 1 Mechanische Ergänzungen) wird vom Benutzer verwendet, um anzuzeigen, dass eine bestimmte Karte schreibgeschützt ist oder nicht. [...]

Ein geeigneter, übereinstimmender Schalter auf der Buchsenseite zeigt dem Host an, ob die Karte schreibgeschützt ist oder nicht. Es liegt in der Verantwortung des Hosts, die Karte zu schützen. Die Position des Schreibschutzschalters ist der internen Schaltung der Karte unbekannt.

[...]

Kennen Sie eine ähnliche technische Erklärung, wie diese Art des Schreibschutzes auf USB-Sticks funktioniert , und würden Sie sich aus Sicherheitsgründen darauf verlassen?

49
Karol J. Piczak

Der physische Schreibschutz auf einem USB-Laufwerk sollte in jedem Fall funktionieren. Der Schreibcontroller befindet sich im Laufwerk. Somit ist der physische Schreibschutzschalter mit Ausnahme einer völlig verrückten Implementierung sicher.

Physischer Schreibschutz ist immer eine halbweiche Sache, aber normalerweise bei den internen Laufwerken. Bei einem Diskettenlaufwerk, bei dem sich der Controller außerhalb des Geräts befindet, kann ein Laufwerk erstellt werden, bei dem der Schieberegler für den Schreibschutz ignoriert wird. Ich denke, SD-Karten sind in dieser Hinsicht die gleichen wie Diskettenlaufwerke, obwohl ich keine Wette darauf abschließen werde, weil ich weiß, dass diese einige Schaltkreise für Dinge wie Verschleißausgleich enthalten.

14
Jeff Ferland

Hier ist zunächst ein Link zu einer Seite mit einer Liste von USB-Sticks mit solchen Schreibschutzschaltern: http://www.fencepost.net/2010/03/usb-flash-drives-with-hardware- Schreibschutz / Dort gibt es einige Informationen, und auch diese implizieren, dass es sich um einen Hardwareschutz handelt.

Wenn Sie es wirklich ernst meinen, können Sie USB-Schreibblocker in Betracht ziehen, die üblicherweise für forensische Zwecke verwendet werden, aber auch so verwendet werden können. Hier ist ein Beispiel: http://www.salvationdata.com/data-recovery-equipment/source-data-safe-guard.htm

6
john

Obwohl viele Low-Level-Flash-Chips einen Hardware-Schreibschutz-Pin bereitstellen, ist der Betrieb völlig unbestimmt, wenn sich der Status dieses Pins während eines Schreibvorgangs ändert. Während das Ändern des Pins zu dem Zeitpunkt, zu dem eine Operation gestartet wird, kann dies entweder dazu führen, dass die Operation entweder vollständig verhindert wird (wenn sie früh genug ausgeführt wird), sodass eine letzte Schreiboperation abgeschlossen werden kann (wenn dies unmittelbar nachdem der Chip den Befehl erkannt hat), oder möglicherweise Einige Datenblätter, die Bits mit seltsamen logischen Zwischenpegeln erstellen, lehnen es ausdrücklich ab, anzugeben, dass die Konsequenzen auf diese beschränkt sind.

Der Zweck der Schreibschutzstifte besteht nicht darin, die Steuerung durch den Endbenutzer über einen externen Schalter zu ermöglichen, sondern in der Regel darin, dass der Hersteller des Produkts entweder sicherstellen kann, dass der Inhalt eines vorprogrammierten Chips nicht geändert wird, sobald er vorhanden ist in den endgültigen Anwendungskreis eingelötet oder vom Hersteller sicherstellen lassen, dass dieser nur über ein spezielles werkseitiges Programmierkabel gewechselt werden kann.

Wenn die Firmware in einem Flash-Controller ordnungsgemäß ausgelegt ist, sollte ein durch Firmware lesbarer "Schreibschutz" -Schalter im Wesentlichen so gut sein wie ein mit Hardware verriegelter. Eine Alternative, die noch besser wäre, wäre, den Switch so an eine Verriegelungsschaltung anzuschließen, dass der Schreibschutzstift nur dann Schreibvorgänge zulässt, wenn der Switch dazu aktiviert war, aber sobald der Prozessor Maßnahmen ergriffen hatte, die die Fähigkeit erforderten Zum Schreiben könnte sichergestellt werden, dass diese Fähigkeit auch dann erhalten bleibt, wenn sich der Schalter in der Zwischenzeit ändert. Eine solche Implementierung erfordert jedoch möglicherweise zusätzliche Hardware.

In Bezug auf die Beobachtung von axeoth, dass einige Laufwerke den Schalter möglicherweise nur prüfen, wenn ein Laufwerk montiert ist, würde ich vorschlagen, dass ein solches Verhalten (das mit einem oben beschriebenen Verriegelungsdesign nicht unvereinbar wäre) motiviert sein könnte durch einen Mangel in der Spezifikation des USB-Massenspeichergeräts - insbesondere durch das Fehlen eines Mittels, mit dem ein Gerät dem Betriebssystem sagen kann: "Ich möchte mich aus dem System entfernen; bitte stellen Sie sicher, dass alle ausstehenden Daten an mich geschrieben werden." und lassen Sie mich entweder wissen, wann das erledigt ist, oder lassen Sie mich und jeden Menschen in der Nähe wissen, ob es ein Problem gibt. " Wenn ein solches Verhalten unterstützt wird, kann das Umschalten des Schalters vom Schreibaktivierungs- in den Schreibschutzmodus das Gerät auffordern, ein sauberes Aufheben der Bereitstellung anzufordern und sich dann erneut als schreibgeschütztes Gerät bereitzustellen. Ohne eine solche Fähigkeit müsste ein Gerät jedoch entweder ein "unhöfliches" Aushängen durchführen, die Bestätigung des Switches verzögern oder Schreibvorgänge "unerwartete" Fehler melden lassen. Während ein unhöfliches Aushängen möglicherweise das beste Verhalten ist, können einige Benutzer verärgert sein, wenn das Umlegen des Schalters, nachdem sie glauben, dass Daten geschrieben wurden, zu Datenverlust führt.

4
supercat

Ich wollte dies als Kommentar zu @ Jeff Ferland 's Antwort posten, aber es war etwas zu lang.

Jeff, es scheint, dass Ihre Erklärung die beste ist, die ich bekommen kann. Jede Implementierung ist herstellerspezifisch, aber jede vernünftige Implementierung sollte Schreibschutz auf Hardwareebene bieten.

Ich müsste mein tatsächliches Flash-Laufwerk überprüfen, aber wenn ich mir stattdessen ein Beispiel für interne Flash-Laufwerke anschaue, wird die Schreibschutzfunktion explizit im Datenblatt für das eingebettete - angegeben. Hynix NAND Flash:

Ein Schreibschutz-Pin ist verfügbar, um einen Hardwareschutz gegen Programm- und Löschvorgänge zu bieten.

[...]

Wenn das Schreibschutzsignal niedrig ist, akzeptiert das Gerät keine Programmier- oder Löschvorgänge, sodass der Inhalt des Speicherarrays nicht geändert werden kann. Das Schreibschutzsignal wird von Write Enable nicht zwischengespeichert, um den Schutz auch beim Einschalten zu gewährleisten.

Ich denke, ich kann davon ausgehen, dass es für alle großen Hersteller gleich ist. Wenn ich also mit einer fehlerhaften Implementierung nicht sehr unglücklich bin , sollte ich mich auf physische Schreibschutzschalter verlassen können.

3
Karol J. Piczak

Haben Sie darüber nachgedacht, Ihr Image zu hashen und den Hash nach dem Booten und/oder vor dem Herunterfahren zu überprüfen? Ein Angriff, der Ihr Boot-Image ersetzen würde, scheint eine sehr geringe Wahrscheinlichkeit zu sein, aber der Hash könnte Ihnen Sicherheit geben. Ein Live-Image-Boot wird voraussichtlich von schreibgeschützten Medien ausgeführt, sodass alle Änderungen im lokalen Speicher (der bei ausgeschaltetem Gerät verloren geht) und nicht am Image vorgenommen werden. Dies ist also kein Angriffsvektor. Um Ihr Boot-Image anzugreifen, muss der Angreifer wissen, dass Sie nicht von einer CD gebootet haben und wo sich Ihr Image befindet, welche Version usw.

1
zedman9991

Wenn Sie keinen Hardware-Switch haben oder dem physischen Switch selbst nicht vertrauen, gibt es eine Hardwarelösung, die funktioniert, aber das Kopieren von Daten erfordert.

Brennen Sie Ihr Betriebssystem-Image auf eine DVD oder Festplatte und überprüfen Sie es mit einem Hash. Dies ist Ihre Unterstützung. Kopieren Sie es jetzt auf ein paar USB 3-Laufwerke, da diese heutzutage billig sind. Jedes Mal, wenn Sie mit einem booten, wird es als schmutzig angesehen. Nachdem Sie es verwendet haben, kopieren Sie es vom Backup-Image, um ein neues verwendbares sauberes Image zu erstellen.

Wenn Sie Apple oder Windows) verwenden müssen, können Sie interne Solid-State-Laufwerke anstelle von USB-Laufwerken verwenden und jedes Mal sauber und virenfrei für das Internet booten. Wenn Sie "zu Hause anrufen" müssen Mit einer App, mit der Sie mit dieser Lösung vertrauliche Daten erstellen, können Sie sich mit einer makellosen Betriebssystemkopie bei dieser App anmelden, das Internet nach dem Laden vom Netz trennen und Ihre vertraulichen Daten für die Arbeit anschließen.

0
Scripter Inc

Der USB-Hersteller Kanguru erklärt:

Insgesamt ist ein USB-basierter Schreibschutzschalter äußerst zuverlässig, solange er vollständig hardwarebasiert ist oder eine Kombination aus Hardware und Software verwendet, wie sie in unseren Laufwerken zu finden ist. Der Schreibschutz in unseren Laufwerken ist an zwei Stellen enthalten. Der erste befindet sich innerhalb des Betriebssystems, in dem sich das Gerät als schreibgeschütztes Gerät registriert. Die zweite Methode wird direkt von der Steuerung auf dem Gerät selbst bereitgestellt. Der Grund für die zweite Methode ist, dass der Controller die Schreibschutzeigenschaft weiterhin erzwingen kann, falls die Registrierung in irgendeiner Weise beschädigt ist.

Wir empfehlen, die Live-CD-Version des Betriebssystems zu verwenden, das Sie verwenden möchten. Diese Empfehlung beruht auf einer Reihe von Schreibprotokollen, die möglicherweise für andere Versionen des Betriebssystems angefordert werden. Wenn sich das Gerät im Schreibschutzmodus befindet, treten diese Protokolle möglicherweise nicht auf, was zu einem fehlgeschlagenen Start führt. Bitte beachten Sie, dass das einzige Laufwerk, das Kanguru als bootfähiges Gerät unterstützt, der Kanguru Mobile WorkSpace ist (unter https://www.kanguru.com/virtualization/windows-to-go-kanguru-mobile-workspace) .shtml ) und dies bietet keinen Schreibschutz.

0
zylstra