c't Projekte - Festplattensicherheit
ATA Security
Der Artikel Bärendienst in c't
8/05 beschreibt eine Sicherheitslücke: Über ein eigentlich als
Sicherheitsfunktion gedachtes Feature, das in allen aktuellen
ATA-Platten (IDE und Serial ATA) eingebaut ist, könnte ein Angreifer
die Festplatte mit einem Passwort sperren und so den rechtmäßigen
Besitzer aussperren. Es ist die Aufgabe des BIOS, diese Funktion gegen
Missbrauch zu verriegeln. Mit Erscheinen des Artikels gab es eine erschreckend hohe
Anzahl gefährdeter Rechner, bei denen das BIOS dies nicht
ordnungsgemäß tat. Zur Vorbeugung haben wir diverse Software
entwickelt, die wir auf dieser Seite zur Verfügung stellen und bei
Bedarf weiter entwickeln wollen.
Bootfähige Diskette oder CD-ROM
Einen vollständig sicheren Schutz gegen Passwortsetz-Attacken kann
nur das BIOS bieten, indem es die Sicherheitsfunktionen der
Festplatten vor dem Start des Betriebssystems verriegelt. Den
zweitbesten Schutz bietet der Start unserer Software ATASecurity von
einem schreibgeschützten Medium wie einer CD-ROM oder einer
schreibgeschützten Diskette.
Windows
Weniger sicher, aber komfortabler als das Booten von CD ist die
Installation von ATA Security als Windows-Dienst. Unsere Software
sollte unter allen NT-basierten Windows-Versionen funktionieren (NT4,
2000, XP, Server 2003).
Linux
Für Linux gilt dasselbe wie für Windows: Sicherer ist das Booten
von CD, aber das Verriegeln der Security-Funktionen in einem
Init-Skript ist besser als nichts. Wir haben hdparm dazu um die Option
-F zum Einfrieren der Sicherheitsfunktion erweitert. Die Zip-Datei
enthält die Patches und eine vorläufige Version; der Maintainer ist
kontaktiert und will neue Optionen für das Security Feature Set in
hdparm integrieren.
Mac OS X
Für Mac OS X steht unsere Kernel Extension
ATASecurity.kext zum Download bereit. Eine Beschreibung der
Installation finden Sie im Artikel.
Aprilscherz?
Haha, selten so gelacht! Der Artikel ist doch bestimmt ein
Aprilscherz!?
Obwohl wir den Artikel am 1.4.2005 vorab online veröffentlicht
haben, müssen wir aus gegebenem Anlass darauf hinweisen, dass es sich
nicht um einen Aprilscherz handelt.
IDE auch betroffen
Im Artikel war nur die Rede von (Serial-)ATA-Festplatten. Ich habe
aber eine IDE-Platte, ist die auch betroffen?
IDE ist eine ältere Bezeichnung für eine Festplattenschnittstelle,
die schon vor vielen Jahren in ATA umbenannt und standardisiert wurde.
Die Antwort lautet also ja, denn IDE ist dasselbe wie ATA.
Dienst oder Boot-CD?
Das Booten von CD ist lästig. Kann ich darauf nicht verzichten,
wenn ich den ATA Security Service unter Windows installiert
habe?
Am sichersten ist beides zusammen. Der Windows-Dienst schützt die
Festplatten erst in einem relativ fortgeschrittenen Stadium des
Systemstarts. Es ist theoretisch nicht auszuschließen, dass es einem
Schädling gelingt, vor dem Sicherheitsdienst zum Zuge zu kommen, etwa
indem er als Treiber vorher geladen wird oder indem er sich im Master
Boot Record, Bootsektor oder sonstwo einnistet. Dem kann man nur
vorbeugen, indem man die Sicherheitssoftware von einem
schreibgeschützten Medium bootet. Den Windows-Dienst braucht man aber
trotzdem: Wenn das System in den Standby-Modus geht (Suspend-to-RAM,
ACPI S3), dann werden die Festplatten dabei komplett abgeschaltet und
sind nach dem Aufwachen ungeschützt. Unser Windows-Dienst sowie unsere
Kernel-Erweiterung für Mac OS X schickt ihnen daher bei
jedem Aufwachen erneut das Freeze-Kommando.
Freeze schlägt fehl
Meine Festplatte ist von dem Problem betroffen. Wenn ich versuche,
sie mit dem Freeze-Kommando zu schützen, erhalte ich aber eine
Fehlermeldung.
Anscheinend gibt es einige wenige Festplatten, die zwar von sich
behaupten, das Security Feature Set zu beherrschen, dies aber in
Wirklichkeit nicht tun. Bisher haben wir das bei zwei älteren Modellen
von Western Digital beobachtet: Die quittieren alle Security-Kommandos
mit einem Fehler – die guten wie die bösen – und sind somit
sicher.
Sichere Festplatten
Gibt es auch aktuelle Festplatten ohne den
Passwortschutz-Mechanismus?
Einige Festplattenhersteller bauen auf OEM-Wunsch Laufwerke ohne
Security Feature Set. Die zurzeit im freien Handel befindlichen ATA-
und Serial-ATA-Festplatten haben es jedoch mehrheitlich an Bord. Bei
SCSI-Platten gibt es diesen Mechanismus nicht.
Master-Passwort setzen
Würde es als Schutz nicht einfach genügen, selbst ein Passwort zu
setzen? Oder ein Master-Passwort zu vergeben, dann kann man die Platte
notfalls damit entsperren?
Das Setzen eines Passworts allein schützt nicht; wichtig ist das
Einfrieren der Sicherheitseinstellungen mit dem ATA-Kommando
Security Freeze Lock, wie es unsere bootfähige Software
ATASecurity tut. Was Sie beim Setzen eines Passworts beachten müssen,
ist im Artikel unter der
Zwischenüberschrift "Flucht nach vorn" beschrieben. Aber Achtung: Wenn
Ihr BIOS nichts von ATA Security weiß und Sie ein Passwort für Ihre
Systemplatte vergeben haben, stürzt Windows nach dem Aufwachen aus dem
Suspend-Modus ab!
Ein Master-Passwort zu vergeben, um im Fall der Fälle einen
Zweitschlüssel zu haben, klingt nur auf den ersten Blick wie eine gute
Idee. Ein gewiefter Schädlingsprogrammierer würde natürlich User-
und Master-Passwort setzen.
Lästige Abfrage
Das bootfähige ATASecurity funktioniert bei mir prima, aber es
nervt, dass ich beim Start immer eine Taste drücken muss. Kann man das
irgendwie automatisieren?
Die Software setzt bewusst nicht ohne Rückfrage Kommandos an die
Festplatten ab, da diese unter Umständen Nebenwirkungen haben. Wir
bieten aber auch eine alternative Version von ATASecurity zum Download an, die die Platten ohne Rückfrage
verriegelt. Achtung: Benutzen Sie diese Version nur auf Systemen, auf
denen Sie sich zuvor vergewissert haben, dass die normale Version
störungsfrei funktioniert.
Freeze Lock im Bootmanager
Das Booten von CD ist lästig. Könnte man das Absetzen des
Freeze-Kommandos nicht in einen Bootmanager wie Grub oder Xosl
integrieren?
Ja, darüber haben wir auch schon nachgedacht. Wenn das
Sicherheitsprogramm im Master Boot Record oder einem Bootmanager
stünde, dann hätte das allerdings zwei Nachteile:
- Es könnte von
einem Schädling überschrieben werden, der dann beim nächsten Booten
zum Zuge kommt (dagegen hilft nur das Booten von CD, s.o.).
- Es würde das Aufwachen aus dem S3-Zustand nicht mitbekommen und
das System danach ungeschützt lassen (dagegen hilft nur die Lösung als
Dienst, s.o.).
Wir haben uns die Mühe daher bis auf weiteres gespart.
Externe Festplatten
Was ist eigentlich mit externen Festplatten mit USB oder
FireWire, sind die auch gefährdet?
Nach bisherigem Kenntnisstand sind USB- und FireWire-Festplatten
vermutlich nicht gefährdet, jedenfalls kennen wir keine Möglichkeit,
die Security-Kommandos an solche Laufwerke abzuschicken. Wir haben das
aber noch nicht abschließend erforscht und können daher nicht
ausschließen, dass es doch einen Weg gibt.
|