Naar Orwell vernoemde opensource-computer in productie
Een mini-computer die naar George Orwell is vernoemd en ongekende veiligheid belooft is in productie gegaan. De ORWL, zoals het apparaatje wordt genoemd, is zowel qua hardware als software volledig open source en is met veiligheid in het achterhoofd ontwikkeld. Het gaat dan ook om fysieke veiligheid.
Zo is het apparaat volgens de ontwikkelaars bestand tegen het manipuleren van de technische onderdelen. In het geval er toch met de hardware wordt geknoeid zal de ORWL direct alle gegevens wissen, ook als die niet op het stopcontact is aangesloten. Daarnaast is er een fysieke sleutel vereist om het apparaatje te kunnen starten.
Een in het moederbord geïntegreerde beveiligde microcontroller controleert de integriteit van de firmware, wat een andere aanvalsvector moet voorkomen. De harde schijf, een Intel ssd 540, is versleuteld en de cryptografische sleutel wordt in de beveiligde microcontroller opgeslagen. Zodra er met het systeem wordt geknoeid zal de microcontroller de encryptiesleutel wissen, waardoor de gegevens op de computer niet meer toegankelijk zijn. In dit geval moet er een nieuwe encryptiesleutel worden gegenereerd en het systeem opnieuw worden geïnstalleerd.
Verder willen de ontwikkelaars dat ORWL aan de Federal Information Processing Standard (FIPS) 140-2 Security Level 4 van de Amerikaanse overheid voldoet. De standaard omschrijft waaraan een product moet voldoen om vertrouwelijke informatie te beschermen en kent vier niveaus. De ORWL wil voor het hoogste niveau worden gecertificeerd. Verder hebben de ontwikkelaars een beveiligingsbedrijf ingeschakeld dat de veiligheid van de computer via penetratietests aan de tand voelt. De eerste bevindingen zouden al tot verbeteringen van de ORWL hebben geleid.
Een ander aspect waar de ORWL prat op gaat is open source. Alle schema's, software en firmware zijn open source en de ontwikkelaars zullen de bijbehorende documentatie daarnaast openbaar maken. Gebruikers kunnen verder voor verschillende besturingssystemen kiezen, waaronder het veilige besturingssysteem Qubes OS, maar ook Ubuntu en Windows 10 zijn mogelijk.
Crowdfunding
Om de computer te kunnen produceren werd een crowdfundingactie gestart, waarbij er 25.000 dollar moest worden opgehaald. Met nog 20 dagen te gaan is er inmiddels ruim 29.000 dollar binnen. Naar verwachting zal de eerste levering van de ORWL in januari volgend jaar plaatsvinden.De goedkoopste configuratie van de ORWL zonder behuizing kost 699 dollar. De versie met een snellere processor, grotere harde schijf en een glazen behuizing komt op 1249 dollar uit. Onderstaande video demonstreert de ORWL.
Die NFC chip lijkt me zeker niet veilig omdat er geen additionele authenticatie op zit. Met andere woorden: een smartcard is veiliger voor de toepassing van locken/unlocken computer.
Goed, er zit een FIPS achtige mechaniek in om bij openen alle keys weg te gooien, maar kun je daar echt op vertrouwen? Een FIPS compliancy test kan nooit van een schamele $ 25000 betaald worden. Sowieso vind ik dat een relatief laag bedrag voor zo'n geavanceerd project (computer ontwerpen in custom pcb formaat + fysieke beveiliging + de crypto functies).
Eigenlijk is het lost het geen probleem op:
Als je achter je ORWL zit wil je ermee werken dus leg je de NFC sleutel erop om hem te unlocken.
Als je niet achter je ORWL zit kun je hem 'eenvoudig' locken door de NFC sleutel weg te halen. Maar je zit dan toch met een restrisico wat makkelijker te mitigeren is door het systeem gewoon uit te zetten.
De FIPS mechaniek is dan wel weer leuk, echter is dat eigenlijk alleen relevant als je zelf geen controle meer hebt over het systeem (oftewel je loopt er van weg terwijl het ding iets aan het doen is, bijvoorbeeld server spelen), echter moet je dan weer je NFC key achterlaten omdat ie anders uitgaat. Met andere woorden, het ding zit eigenlijk zichzelf in weg c.q. het creëert een nieuw probleem bij het tackelen van een andere.
Of heb ik soms iets niet goed begrepen over de werking van dit apparaat?
Het aantal mensen dat een multilayer print kan maken, een fpga programmeren, en SMD chips op die print solderen is vast wat kleiner dan het aantal mensen dat het resultaat wil hebben.
Kortom, een business model om de hardware te maken en in dat mooie tamperproof doosje stoppen lijkt me best reëel.
(Als je de link bekijkt zie je dat de hardware nieuw is, het is niet slechts 'qubes op een bestaand mini bordje' )
Pas als het een enorm succes blijkt zal de maker misschien bezorgd moeten worden dat Dell/Asus/Gigabyte/MSI het ding ook gaan maken. En dan nog, als een concept werkt kun je als 'the original' heel lang varen op je merk(/soort) naam ook al is het product van concurrenten gewoon erg hetzelfde .
...(knip)...
Ik zat meer te denken aan een keurmerk dat het echt uit handen van ongewenste micro-logic (huwai) en conform de specificatie in elkaar zit. Daarmee bedoel ik geen Nederlandse aanpak met eigen verklaringen en zelfregulering maar iets wat echt betekenis heeft. Neem nu al die fabrikanten (je bent lenovo vergeten) die met eigen opties de boel slechter maken dan wat er standaard was.
Tegen de overheid met een IOT apparaatje thuis.. Denk eens wat er over het netwerkverkeer heen gebeurt. AMS-IX heel leuk om af te tappen net zoals de metadata bij de telco's (locatie device - bestemming) . Het is een heel andere orde onderwerp..
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
