Sichere Nutzung der Thunderbolt-Schnittstelle

(von Gero Treuner 2018-09-08)

Thunderbolt (siehe auch [Wikipedia-Artikel]) ist eine Peripherie-Schnittstelle mit hohem Durchsatzvermögen, so dass sie sich für schnelle Ethernet-Adapter und Monitoranschluss eignet. Viele moderne Notebooks sind daher damit ausgestattet, und Hersteller bieten Docking-Stations auf Basis dieser Schnittstelle an.

Aber: Eine der Datenaustauschmethoden basiert auf PCI Express, was ein Bus-Protokoll mit direkten Zugriffsmöglichkeiten auf den Hauptspeicher (RAM) ist, somit vergleichbar mit dem früher verbreiteten FireWire.

Das hat zur Konsequenz, dass die externe Hardware Zugang zu praktisch allen Daten im System hat, was vor Emails und Passwörtern nicht halt macht.

Von den Herstellern wurde das vorhergesehen, daher kann man den Zugriff über die Konfiguration im BIOS mittels abgestufte Sicherheitsebenen (security level) beschränken. Dies wird in der [Linux-Kernel-Dokumentation] so erläutert:

• none: Alles offen → unsicher
• user: Prompt mit Freigabemöglichkeit, worauf die ID des Geräts im System dauerhaft vermerkt wird → einigermaßen sicher (schützt nicht vor Duplikaten mit gleicher Id)
• secure: Prompt mit Freigabemöglichkeit, worauf das Geräts mittels Challenge-Response eindeutig im System dauerhaft vermerkt wird → sicher
• dponly: Nur Videoausgabe zugelassen (Displayport) → sicher (da kein direkter RAM-Zugriff möglich)

Was macht man also, wenn bei einer Docking-Station nicht alle Geräte aktiviert sind? Der Monitor zeigt z. B. ein Bild, aber externe Tastatur und Maus zeigen keine Wirkung?

Tips im Internet sagen: Sicherheit auf "none" – läuft – fertig.

Ja klar ;-) Richtig geht es natürlich so, auch mit Linux:

BIOS-Einstellung auf "secure"

Dies ist entweder selbsterklärend oder im Handbuch oder der Hersteller-Dokumentation beschrieben. Typische Tasten, um beim Booten in die BIOS-Konfiguration einzusteigen sind F2 oder Löschen.

Als nächstes sollte man testen, ob beim Anschluss aller gewünschten Hardware diese direkt nutzbar ist (weil sie keine sicherheitsrelevanten Protokolle nutzt), oder ob das System einen Prompt anzeigt mit der Abfrage, ob der Zugriff genehmigt ist.

Falls ja: Gratulation, dank guter Softwareunterstützung für Thunderbolt ist man bereits am Ziel.

Installation der Software

Benötigt

• Nicht zu alter Kernel (vermutlich ab Version 4.13)
• Thunderbolt(TM) user-space components [Source Code] bzw. Paket thunderbolt-tools (Name bezogen auf Debian)

Für das zur Zeit der Verfassung aktuelle Debian Stretch bedeutet das, Pakete aus neueren Debian-Versionen zu verwenden:

• Kernel "backported": Der normale Kernel 4.9 ist vermutlich zu alt. Über diesen [Link] unter versions/stable-bpo lässt sich eine passende auf Stretch zurückportierte Version finden.
• Paket aus Sid/Buster: Siehe [hier] unter versions/testing: Dies lässt sich auch unter Stretch installieren (keine besonderen Abhängigkeiten zu anderen Paketen)

Hinweis zu Debian Backports: Ggf. muss ein Signaturschlüssel installiert werden und eine Anpassung der Konfiguration in /etc/apt wäre zweckmäßig. Mehr dazu [hier]

Autorisierung des Zugriff

Hier ist man nach Anschluss der fraglichen Hardware wieder an dem Punkt, wo sie schlicht ignoriert wird. Doch nun ist man in der Lage, den Zugriff zu autorisieren.

Das Kommando (in einer Shell oder Terminal-Fenster) tbtadmin devices listet die angeschlossenen Geräte auf.

Das Komando tbtadmin approve <device> genehmigt den Zugriff für das angegebene Gerät über den Anzeigenamen der ersten Spalte aus der vorherigen Ausgabe.

Beispiel

  > tbtadm approve 0-1
  Authorizing "/sys/bus/thunderbolt/devices/0-1"
  > tbtadm approve 0-301
  Authorizing "/sys/bus/thunderbolt/devices/0-301"
  > tbtadm devices
  0-1	Dell	Dell Thunderbolt Cable	authorized	in ACL
  0-301	Dell	Dell Thunderbolt Dock	authorized	in ACL

Jetzt: läuft – fertig und sicher.