Definition "Blackbox"
 

Guten Tag,

Hier in der Firma haben wir ein Problem: Wir würden gerne ein Stück Hardware ausliefern, welches bisher über RS232 von unserer Windows Software gesteuert wird. Die meisten Endkunden würden sich wünschen, dass wir auch den dazugehörigen PCs liefern.
Das wiederum ist jedoch nicht möglich, da ein Verband es verbietet einen "fremden PC" ins Netzwerk einzubinden, weil dieser ja eine Sicherheitslücke bedeuten würde. Durchaus verständlich bei einen Standard WinXP.

Es gibt jedoch das Schlupfloch "Blackbox". Dieses erlaubt es uns "Geräte" ins Netzwerk zu bringen.
Nun kamen wir auf die Idee einen kleinen ARM SBC mit einem Linux System zu verwenden.

Der Verband könnte uns das jedoch auch verbieten, da es ja "so ähnlich wie ein PC" ist.
Nun kam die Frage auf wo eigentlich "Blackbox" anfängt bzw. aufhört.

Wie denkt ihr darüber, ist ein vernünftig eingerichteter Embedded Linux Rechner mit MySQL wirklich so ein Sicherheitsproblem? Was wären die Alternativen?

AW: Definition "Blackbox"
 

Wenn ich mir mal die Definition anseh, dann würde ich eine Black-Box für ein größeres Sicherheitsrisiko erachten, als einen "normalen" PC. :gruebel:

Flugzeuge: So'nen Teil, dem man alles sagt, das sich alles mögliche merkt und selbst den Weltuntergang grade noch so überleben würde.

Computer: Ein Gerät, wo man nur weiß was es äußerlich macht, von dem aber keiner eine Ahnung davon hat, was drinnen wirklich passiert.

> Etwas im Netz, von dem keiner weiß was es macht, soll also sicherer sein, als ein PC, wo man wenigstens ein bills was weiß?



Im Prinzip dürfte die garnicht direkt am Netz hängen, um garnicht erst die Möglichkeit zu bekommen, um irgendwas "böses" zu machen.
Wenn die an einem anderem Gerät hängt, das eine definierte Schnittstelle besitzt (sowas besitzt auch eine Black-Box), um mit dem Netz zu interagieren, wo aber nichts gemacht werden kann, was die Schnittstelle nicht hergibt, dann wäre es schon sicher.
Aber dafür braucht man wieder keine Black-Box, denn wer mit dieser Schnittstelle redet, ist ja egal, Hauptsache es kommt über die Schnittstelle die Funktion an, welche benötigt wird.

AW: Definition "Blackbox"
 

Das Problem ist hauptsächlich die Überlegung, dass ein Angreifer theoretisch eine eigene Schnittstelle einpflanzen könnte. Dass dann ein klassischer Windows PC nicht das Mittel der Wahl ist, ist klar. Dass es schwierig ist in einem Embedded Linux System, auf dem nur MySQL und unsere Software läuft (die nicht mit dem LAN kommuniziert) ist auch klar.

Aber wie mache ich das einem Bürokraten klar?
Wie erkläre ich den Unterschied zwischen einem Embedded Linux System, das laut Tabelle dasselbe ist wie ein PC, und einem Rechner mit Windows XP ohne SP und IE5/6?

AW: Definition "Blackbox"
 

Das dürfte ganz einfach sein. Wenn man nur auf die Bezeichnung schaut.

PC steht für Personal Computer. Genau genommen basiert dieser Name von IBM geprägten Namen IBM-PC.
Also schauen wir auf die Architektur.
IBM-PC basieren auf Intel CPUs und haben einen interen Bus.
Ergebnis du nimmst eine andere Architektur z.B. ARM und das Geräte würde nicht mehr PC heißen.
Alternativ ist ein PC ein persönlich zu benutzendes Gerät.
Ein Embedded-Geräte ohne Monitor, Tastatur und Maus kann nicht persönlich genutzt werden.
Somit tragen diese auch normal nicht den Namen "PC".

Im Zweifelsfall, nimm einen Router/Handy und mach da eure Software drauf.

AW: Definition "Blackbox"
 

Danke erstmal für eure Antworten.

Wir wissen bereits, dass andere Firmen mit Headless IPC-Lösingen abgewiesen wurden.

In letzter Zeit hat sich auf ARM-Seite so viel getan, dass es nicht mehr lange dauern wird, bis sich das PC-Verbot (eigentlich nur die Erlaubnis für "Blackbox") auch explizit auf ARM-Systeme ausdehnt.

Daher kam der Gedanke auf, dass das Ganze auf Lange Sicht nicht tragbar sei.
Die Idee mit dem Router ist natürlich genial, wenn es nur nicht im professionellem Umfeld wäre...
Wie würde es wohl aussehen in dem Raum eine Fritzbox zu sehen aus der ein Sub-D Kabel hängt?

Eine Möglichkeit wäre es ein propertiäres OS zu programmieren. Das wäre natürlich ein riesiger Aufwand.
Daher werden wir unseren Kunden wohl vorerst raten sich eigene Hardware zu besorgen... schade.

AW: Definition "Blackbox"
 

Vorallem wenn dann mal Win8 und in 20 Jahren sogar Delphi darauf laufen wird.

Mit diesem "Verband" habt ihr auch mal geredet?

AW: Definition "Blackbox"
 

Untersteht dieser Verband dem Betrieb des Kunden, oder ist das eine öffentliche Aufsichtsbehörde? Weil im ersten Fall ließe sich der Kunde zumindest eindringlich darauf hinweisen, dass seine Praxis bzgl. der Abschottung die Realisierung seiner Wünsche a) teuer oder gar b) unmöglich macht.

AW: Definition "Blackbox"
 

Ich versteh das Problem nicht.
Macht doch Eure PC(mitgeliefert) Lösung, wer will kauft den dazu, wer nicht, kauft nur die Box.

Jeder TCP/IP Drucker und jede Kaffeemachine ist ein Gerät.
Blackbox ist als Begriff hier völlig fehl am Platz.

Wenn es ein Firmware Update für den TCPIP Drucker gibt, kann hierüber auch Schadsoftware ins Netz gebracht werden. Ebenso wie über die Kaffeemaschine oder den Kühlschrank, der am Internet hängt.

AW: Definition "Blackbox"
 

Also per Definition ist eine BlackBox ein System, wo nur das äußere Verhalten sicher bekannt ist, das innere Verhalten muss nicht bekannt sein.

Somit gibt es für solch eine BlackBox auch keine Vorgabe über den inneren Aufbau, wohl aber über die Wirkunsweise nach außen.

Da sollte man sich auf jeden Fall die Definition der "Geräte" nochmals geben lassen

AW: Definition "Blackbox"
 

Hinter der Firewall -> Intranet ,"demilitarisierte Zone"
Vor der Firewall -> Internet, "das Böse", "der rechtsfreie Raum"

Man kann nun die Blackbox einfach VOR die Firewall setzen.
Das Problem ist dann zunächst, dass man die Blackbox innerhalb der Firewall nicht ansprechen kann.
Lösung: es wird ganz gezielt ein kleines "Loch" in die Firewall gebohrt, um den Zugriff zu erlauben.

Beispiel:
der Blackbox habe die IP: 195.99.88.77
Im Intranet wird der IP-Bereich 192.168.1.255/24 verwendet.
Die Firewall kann nun den Zugriff auf 195.99.88.77:4500 per TCP/IP erlauben. (4500=Portadresse)
Sicherheitsparanoiker können den Zugriff auf wenige Rechner im Intranet beschränken.
An Stelle von festen IPs kann auch mit Rechnernamen gearbeitet werden.
Die Blackbox kann mit Viren verseucht werden, aber sie hat keine Chance ins Intranet vorzudringen.

AW: Definition "Blackbox"
 

Der Verband ist eine Vereinigungen mehrerer unserer Kunden, die die Vorgaben auch verbindlich umsetzen müssen.
Also so ähnlich wie die Berufsgenossenschaft.

Nach Rücksprache darf das innere Verhalten scheinbar nicht bekannt sein. Aus diesem Grund wird auch ausschließlich propertiäre Software eingesetzt. :stupid: Kein Witz.
Das heißt: Was der Verband nicht weiß macht in nicht heiß.<-Zitat des Mitarbeiters
Dafür gibt es Riesenärger wenn doch was schiefläuft.:pale:

Verwirend ist, dass wir vor ein paar Jahren noch PCs ausgeliefert haben und das hat keinen gestört, da er ja auch effektiv nicht mehr macht als unsere Software.

Dazu müsste ich ein Seminar besuchen und das geht ins mittlere fünfstellige...

AW: Definition "Blackbox"
 

Es kann doch wohl nicht wahr sein, das jemand ernsthaft Security by Obscurity als tragfähiges Sicherheitskonzept definiert.

Teeren und Federn sollte man die.

AW: Definition "Blackbox"
 

Vermutlich sollten nur genormte Rechner verwendet werden, aber normale Netzwerk-fähige Geräte (Drucker, usw...) nicht ausgeschlossen werden. Und nun nutzt das jeder um die Richtlinie zu umgehen, die sie selbst beschlossen haben :mrgreen:

Vielleicht solltest du deinem ARM ein schwarzes Geräte-Gehäuse kaufen und das dann verplomben, damit niemand unbemerkt reingucken kann -> "Blackbox" im doppelten Wortsinn. Wenn du es geschickt anstellst und das Ergebnis nicht zu sehr PC-Gehäuse aussieht, könnte das vielleicht Eindruck bei den Bürokraten machen.

shmia's Ansatz mit DMZ klingt sehr vernünftig, aber wie du das beschreibst, wäre dass der wohl größte Sicherheitsaufwand, der da je betrieben wurde. Vor einer erste Firewall sollte ein Rechner mit einer Datenbanksoftware vielleicht auch nicht eingebunden sein.


Bei der Konstellation würde ich vielleicht trotzdem vermeiden, dem Kunden zuzusichern, dass das Gerät den "Blackbox-Anforderungen" genügt.

AW: Definition "Blackbox"
 

Ich weiß zwar nicht ob die Definition noch interessiert oder wie der Verband es definiert oder was man im Flugzeugbau unter BlackBox versteht, aber als ich Elektroniker gelernt habe, war der Begriff allgegenwärtig. Unter BlackBox verstanden wir ein Etwas dem man ein Input zugefügte und aus dem ein Output nach definierten Regeln raus kam. Es blieb der BlackBox überlassen wie sie den Input verarbeitete, Hauptsache das Ergebnis war korrekt. Das brauchte uns nicht zu interessieren, eben eine Blackbox. Wie also mein Taschenrechner 2 und 3 zusammen addiert ist sein Problem, ob 2 + 3 oder 1 + 1 + 1 + 1 + 1, Hauptsache es kommt ein 5 raus. In dem Fall ist der Taschenrechner eine BlackBox.

AW: Definition "Blackbox"
 

Ich glaube, ohne die genaue schriftliche Definition dessen, was dort erlaubt/verboten ist kommt man einfach keinen Meter weiter hier. "Blackbox" alleine ist einfach ein viel zu unscharfer Begriff, der grad in diesem Zusammenhang ausgiebiger Definitions-Prosa bedarf. Dass die Idee dahinter vermutlich höchst fragwürdig ist denke ich auch, aber Kunde ist Kunde. Und bei sowas zu versuchen mit besten Absichten etwas wirklich zu verbessern, führt wahrscheinlich am Ende nur zu weniger Aufträgen und sonst nix. Scheiss Spiel, aber dann musst du es eben Spielen. Nur ohne die ganz genauen Regeln rauszugeben wäre es recht unfair.

Wenn man dir kein ordentliches Schriftstück an die Hand geben kann, was diese Definition zu leisten vermag, würde ich es aber tatsächlich auch einfach mal mit einem entsprechend bestückten schwarzen Gehäuse versuchen :mrgreen:. (Sollte aber leitfähiges Metall sein, sonst genügen PC-Innereien nicht irgendwelchen Anforderungen an Strahlung, Funk und Blub. Genaues weiss ich da nicht, aber Computer ohne Schirmung bekommen diverse Siegel nicht, und stören tatsächlich andere Geräte teils massiv.)

AW: Definition "Blackbox"
 

Ich kann hier nur ein bischen aus meiner eigenen Erfahrung berichten: Wie liefern in erster Linie für medizinische Forschung auf der ganzen Welt. Das Thema, was wir denn wo aufstellen dürfen ist daher für uns immer interessant - die Uni X in Nordamerika hat ganz andere Vorgaben wie die Uni Y in Japan oder die Klinik Z in Südafrika.

Daher ist eine generelle Aussage (auch dazu, was denn eine Blackbox ist) einfach nicht möglich - da gibts keine verbindlichen Normen, nicht EU-Weit und schon gar nicht Weltweit.

Wir gehen daher eigentlich fast immer den Weg, das Kastl wenig wie möglich zu beschreiben. Ob da ein ARM, ein PIC oder gar eine SPS drin ist geht den Kunden nur bedingt was an - wir liefern ein Kastl mit diesen Anschlüssen und jenen Anforderungen und solchen Abmessungen. Wir haben die Erfahrung gemacht, daß dann am wenigsten nachgefragt wird.

Hilfreich ist auch, wenn wir bei einem Netzwerkanschluss genau spezifizieren, welches Protokoll über welchen Port mit welcher Gegenstelle reden muss. Dann können die Netzwerkleute vor Ort das zur Not auch in einen eingenen Sicherheitsbereich hängen.

Gruß
Luggi

AW: Definition "Blackbox"
 

Ein sicheres LAN hat auch einen HARDWARE-PROXI.

Das wäre dann die BLACKBOX.