Open Source im professionellen Einsatz

Thunderbolt-Security ist "ziemlich schrecklich"

04.07.2017

Die Linux-Unterstützung für die Thunderbolt-Security ist zwar noch nicht fertig, ein Red-Hat-Angestellter hält aber schon jetzt wenig von der Technik. Denn ein sinnvolles UI-Design, das Nutzer wirklich schützt, ist damit kaum umsetzbar.

310

Der Red-Hat-Angestellte Jiří Eischmann arbeitet in dem Desktop-Team des Linux-Distributors und schildert in seinem Blog seine Erfahrungen mit einem Thunderbolt-3-Dock - und die sind nicht besonders gut. Zum einen fehlt in Linux derzeit noch die Unterstützung für die Sicherheitsfunktionen dafür, zum anderen ist das Nutzererlebnis der Sicherheitsfunktionen derzeit "ziemlich schrecklich".

Eischmann beschreibt die theoretische UI-Gestaltung der Sicherheitsfunktionen mit folgendem Szenario aus Sicht eines Nutzers: "Vertraue ich diesem Beamer? Ich bin mir zwar nicht wirklich sicher, aber da ich ihn anstecke, glaub ich schon". Bei der Verwendung des Docks unter Windows 10 wird laut Eischmann auch für jedes angeschlossene Gerät ein einzelner Dialog angezeigt. "Ich bin mir nicht sicher, wie das die Sicherheit verbessern sollte", schreibt Eischmann dazu.

Schwierige Umsetzung der Security

Wie zu erwarten, stellt sich der Entwickler aber natürlich nicht gänzlich gegen die Idee, den Thunderbolt-Port abzusichern. So hält er es etwa für keine gute Idee, die Sicherheitsfunktionen nicht zu nutzen. Schon allein deshalb, weil PCI-E-Geräte Zugriff auf den Systemspeicher haben könnten.

Darüber hinaus gebe aus auch ein sehr relevantes Fallbeispiel, bei dem die Sicherheitsfunktionen tatsächlich helfen. Wenn etwa der Arbeitsplatz verlassen wird und der Bildschirm nur gesperrt ist, könnten Angreifer ohne die Sicherheitsfunktionen das System über den Thunderbolt-Port übernehmen.

Gelöst werden könnte dies dadurch, dass in diesem Fall sämtliche neuen Geräte einfach abgewiesen werden. Sobald der Bildschirm wieder entsperrt ist, liegt es dann in der Verantwortung der Nutzer, welchen Geräten sie vertrauen oder eben nicht.

Bis das Desktop-Team von Eischmann seine oder andere Überlegungen umsetzen kann, müssen die Sicherheitsfunktionen aber noch im Linux-Kernel implementiert werden. Daran arbeitet seit einigen Wochen ein Team von Intel, das nun auch endlich offiziell die Pflege für die Thunderbolt-Treiber übernommen hat. (Sebastian Grüner/Golem.de)

Ähnliche Artikel

  • Neu bei Dropbox: Enterprise-Version

    Auf dem ersten Kunden und- Partner Event von Dropbox hat CEO Drew Houston die neue Kollaborations-Lösung für Großunternehmen und Konzerne "Dropbox Enterprise" vorgestellt.

  • Red Hat Enterprise Linux 6.8 verfügbar

    Red Hat hat ein Update seines Enterprise Linux veröffentlicht. Red Hat Enterprise Linux (RHEL) 6.8 soll mehr Sicherheitsfunktionen und verbessertes Management bieten.

  • Erste USB-3.1-Benchmarks

    Für den neuen Standard USB 3.1, der mit kleineren Steckern, mehr Leistung beim Laden von Geräten und mehr Performance den Konkurrenten Thunderbolt angreifen will, wurden kürzlich auf der CES neue Motherboards vorgestellt. Nun gibt es damit erste Benchmarks.

  • Docker 1.10 bringt Seccomp-Profile und mehr

    Mit der neuen Version 1.10 der Containerplattform Docker sind Secure-Computing-Profile Bestandteil der Sicherheitsfunktionen. Die Entwickler berichten von rund 100 weiteren Neuerungen.

  • Dell Sputnik

    Dells All-gegenwärtiges Projekt "Sputnik" ist eine Anspielung auf den Weltraumtouristen Mark Shuttleworth und gibt dem Willen innerhalb des US-Konzerns einen Rahmen, gut an Linux angepasste Geräte auszuliefern. Das Linux-Magazin hat zwei der Pioniere befragt, ob sie Sterne vom Himmel holen wollen.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.