Vorschlag für "sichere" Computer

Könnte man eigentlich auf folgenden Wege Computer gut gegen Online-Angriffe schützen? Ich würde vorschlagen, dass alle Chipsätze derart gestaltet sind, dass für kritische Operationen (Formatieren der Festplatte, automatische Updates, Brute-Force Attacken, Zugriff auf Festplatten oder Festplattenpartitionen mit persönlichen Daten, usw.) am Gerät ein Schalter umgelegt werden muss, wenn man derartige Zugriffe durchführen will. Wenn besagter Schalter nicht umgelegt ist, dann sollte der jeweilige Zugriff entweder nicht oder nur über die lokale Tastatur möglich sein bzw. über einen anderen speziellen Hardwareanschluss. Wäre so etwas wirklich so schwer zu verwirklichen? Wenn ja, warum?

Marfrank schrieb:Wäre so etwas wirklich so schwer zu verwirklichen? Wenn ja, warum?

Weil ein physisch vorhandener Schalter keine "Hardwaresperre" darstellt. Durch das umlegen des Schalters wird dem Betriebssystem lediglich mitgeteilt das der Schalter umgelegt wurde, er hätte keine andere physische Funktion um etwas ein- oder auszuschalten, um einen Teil der Hardware mit Strom zu versorgen der sonst nicht über die Software adressierbar wäre. Dafür kannst du genauso gut ein flag im BIOS setzen. Und wie das so mit Softwarelösungen funktioniert kannst du ja sehen, sie werden ausgehebelt.

@Marfrank
Neben technischen Details die dagegen sprechen ist es doch auch der Mensch der leichter manipulierbar ist als die Maschine. Also wenn es so einen Hebel gäbe wäre das ein Segen für Kriminelle.

behind_eyes schrieb:Also wenn es so einen Hebel gäbe wäre das ein Segen für Kriminelle.

Aber hierzu müßte er erst einmal physikalischen Zugang zum Computer haben und das hat ein Hacker im Regelfall nicht. Im Übrigen gibt es ja durchaus so etwas und zwar den Schreibschutzschalter bei Disketten: wenn der aktiviert ist, kann niemand was auf den Datenträger schreiben! Genau das könnte man als Vorbild nehmen!

Marfrank schrieb:Genau das könnte man als Vorbild nehmen!

Und genau das kannst du nicht als Vorbild nehmen. Auch wenn du es nicht verstehen möchtest. Wenn dieser Schreibschutzschalter lediglich die Information an das Betriebssystem weitergibt das der Schalter betätigt wurde, kannst du diese Information auch faken, denn es wäre lediglich ein Bit das irgendwo auf 0 oder 1 gesetzt wird.
Eine Schadsoftware die Hardwareprozesse steuert, ohne die Routinen des Betriebssystems zu nutzen, kann in einem Computer tun und lassen was sie will.

So wie ich weiß kann man den Schreibschutzschalter nicht austricksen. Warum könnte man keine festverdrahteten, von Software nicht austricksbaren Funktionen in Computer einbauen?

Marfrank schrieb:Warum könnte man keine festverdrahteten, von Software nicht austricksbaren Funktionen in Computer einbauen?

Standards, Funktionalität und Kompatibilität.

Es ist für mich gar nicht möglich das verständlich zu formulieren :D

Also gebe ich mich besser geschlagen und erkenne an das du einer super Idee hast die bisher noch von niemandem ersonnen wurde und es deine Gelegenheit ist diese Idee einem der zahlreichen Betriebssystemherstellern zu pitchen.

@Marfrank
Wenn alle "kritischen Operationen" hardwaretechnisch so verdrahtet wären, dass ein Schalter diese "abkapseln" würde, wäre der Computer nur funktionstüchtig, wenn der Schalter eingeschaltet ist. In diesem Moment wäre der Zugriff durch einen Hacker allerdings genau so einfach/schwer, wie ohne Schalter.
In dem Moment, wo ich den Computer benutze, müssen nunmal eben diese kritischen Operationen funktionieren und mit "dem Rest" zusammenspielen und sind eben auch angreifbar.
Trennen kann man diese Systeme nicht einfach. Da bist du also leider auf dem Holzweg

JoschiX schrieb:Standards, Funktionalität und Kompatibilität.

Das Problem hätte man vielleicht doch lösen können, wenn man die Standards durch irgendwelche Gremien hätte festgesetzt (und nicht direkt von einer Industrie außerhalb des Befugnisbereiches unseres Gesetzgebers) und man so etwas hätte berücksichtigen können.

cybo93 schrieb:Wenn alle "kritischen Operationen" hardwaretechnisch so verdrahtet wären, dass ein Schalter diese "abkapseln" würde, wäre der Computer nur funktionstüchtig, wenn der Schalter eingeschaltet ist.

Hier könnte ich mir vorstellen, dass man hardwaretechnische Resourcen bei deren Zugriff man viel "Unfug" machen kann, durch Schalter sicher abkapseln kann. Ich könnte mir vorstellen, Daten je nach Wichtigkeit auf verschiedenen Festplatten zu speichern, die entsprechend abgesichert sind. So kann ein Hacker höchstens unwichtige Bereiche löschen oder Daten lesen, die sowieso öffentlich sind,

Im Übrigen: müssen über einen Netzwerkanschluss wirklich ALLE Zugriffe möglich sein, die auch über den Tastaturanschluss möglich sind? Warum muss mein PC standardmässig die technische Möglichkeit zur Fernwartung besitzen?

Marfrank schrieb:So kann ein Hacker höchstens unwichtige Bereiche löschen oder Daten lesen, die sowieso öffentlich sind

Nein, eine Festplatte weiss nicht welcher Bereich unwichtig ist und welcher nicht. Das regelt jedes Betriebssystem selbst mit dem Dateisystem. Einer Festplatte ist es egal ob sie mit dem FAT 32, NTFS oder APFS Dateisystem oder Commodore64 Basic DOS partitioniert oder formatiert wird.
Wenn du ein Programm (in dem Fall eine Schadsoftware) auf deinem Computer ausführst das ausserhalb des Betriebssystems dem I/O Controller der Festplatte mitteilt er soll jedes fucking Bit auf der Platte mit einer 1 füllen, macht er das.

Das wäre ein 10 zehnzeiliger Assembler code von gerade mal 30 Bytes, wenn du als Programm die Hardware direkt ansprichst gibt es kein Betriebssystem auf der Welt das etwas dagegen tun könnte.

JoschiX schrieb:Nein, eine Festplatte weiss nicht welcher Bereich unwichtig ist und welcher nicht

Die Festplatte nicht, aber ein Programm könnte es durchaus.

JoschiX schrieb:Wenn du ein Programm (in dem Fall eine Schadsoftware) auf deinem Computer ausführst das ausserhalb des Betriebssystems dem I/O Controller der Festplatte mitteilt er soll jedes fucking Bit auf der Platte mit einer 1 füllen, macht er das

Warum soll der I/O-Controller auf die gesamte Festplatte den Zugriff gestatten? Ich könnte mir eine Architektur mit mehreren I/O-Controllern und mehreren Festplatten vorstellen. Wenn ich nur einen kleinen Teil der Ressourcen brauche, dann schalte ich nicht benötigte Komponenten ab.

@Marfrank
Wenn du so überzeugt von deiner Idee bist, dann solltest du sie lieber direkt einem Hersteller präsentieren.

JoschiX schrieb:Weil ein physisch vorhandener Schalter keine "Hardwaresperre" darstellt.

Doch, Stromversorgung der Festplatte. Schon ist das Problem gelöst :-)

Praktischer und käuflich erwerbbar wäre das also ne ganz banale USB-Festplatte oder Wechselplatterahmen.
Ohne physische Interaktion (einstöpseln) geht nix.

Ist also "state of the art" und gibts schon länger als sowas wie einen "PC".

Marfrank schrieb:Warum soll der I/O-Controller auf die gesamte Festplatte den Zugriff gestatten?

Weil ein I/O Controller auf eins ausgelegt ist: Geschwindigkeit.
Was das Dateisystem des Betriebssystems damit macht ist dem Controller egal. Wenn du dem Controller dort eine Kontrollfunktion übergibst und er nach jedem Transferzyklus eine Überprüfung auf Legitimität des nächsten Zugriffs durchführen soll werden sich die Benutzer für den Geschwindigkeitsverlust bedanken.

@Marfrank

Man installiert das OS einfach auf DVD oder BR und aus die Maus, nur einmal beschreibbare Rohlinge nehmen und dann bootet man immer von dem Laufwerk. Für alles andere muss man dann einen anderen Datenträger nehmen, aber nach dem Einschalten ist die Kiste immer so clean, wie man das OS aufgespielt hat.

Und ja, man kann sich auch da noch einen UEFI-Rootkit einfangen, also noch vor dem Booten hat sich da was im Bios eingenistet und das System kompromittiert. Nicht sehr wahrscheinlich, aber dennoch möglich.

Im Grunde ist es recht einfach, was man gebaut hat, kann auch kaputt gehen, was wurde muss vergehen, will sagen, es gibt keinen 100 prozentigen sicheren Weg.

Es gibt aber sehr gehärtete Linux-Systeme, man kann da schon einiges machen und auch mit virtuellen Maschinen arbeiten, da ist dann auch das Bios virtuell und sicher.

Und mal so ganz allgemein, keine Ahnung was sich hier so einige immer denken, alle anderen sind geistig nicht so auf der Höhe und noch nie hat sich wer mit echter Ahnung mit der Sicherheit für Computer beschäftigt.

Ach was ...

Eben, natürlich wurden darüber viele 100 Bücher geschrieben, es gibt so viel dazu und so viele Menschen beschäftigen sich tagtäglich nur mit diesem Thema, denn nur das ist ihr Job.

Zu glauben, ohne echte Ahnung von Rechnern und deren Architektur man könne mal eben in einem Forum wie hier wirklich was für den "sicheren" Computer bewegen, ist doch etwas nativ und infantil. Ist wie im Bereich Physik, wenn wer meint er habe nun eine neue Gravitationstheorie entwickelt.

Ganz deutlich, der Thread ist hier echt für die Katz, bringt nichts und braucht man nicht. Ist nun mal eben so.


Habe die Ehre ...

JoschiX schrieb:Eine Schadsoftware die Hardwareprozesse steuert, ohne die Routinen des Betriebssystems zu nutzen, kann in einem Computer tun und lassen was sie will.

Das war in DOS-Zeiten sicher so.

Moderne Betriebssysteme erlauben User-Prozessen keinen direkten Zugriff auf die Hardware mehr.

Es mag hier und dort irgendwelche Hintertürchen geben, aber aus einem 10-Zeiler Assemblerprogramm direkt den HD-Controller ansprechen ist unter modernen Betriebssystemen so nicht mehr ohne Weiteres möglich.

GSD ;)