WhiteBoxDev - Laptops mit dem Schwerpunkt auf IT-Sicherheit und Datenschutz

Online-Shop besuchen
Lenovo X220
WhiteBoxDev Logo

Laptops mit dem Schwerpunkt auf IT-Sicherheit und Datenschutz


Unsere Laptops sind auf IT-Sicherheit und den Schutz der Privatsphäre (Datenschutz) unserer Kunden ausgerichtet. Von der Firmware über das Betriebssystem bis zur Anwendungssoftware setzen wir auf quellcodeoffene Programme, deren Funktionsweise nachvollzogen und überprüft werden kann. Dabei bieten wir unseren Kunden individuelle Konfigurationsmöglichkeiten für die Balance zwischen Benutzerfreundlichkeit und IT-Sicherheit. Je nach Anforderungen können die verschiedensten Betriebssysteme betrieben werden ohne dabei Abstriche bei der Sicherheit machen zu müssen. Auch die Hardware kann nach den Wünschen des Kunden so konfiguriert werden, dass sie optimal den Anforderungen des Benutzers entspricht.


Die Hardware

Als Modelle bieten wir zwei verschiedene ThinkPads von Lenovo an. Diese besitzen ein besonders gutes Preis-Leistungs-Verhältnis und sind bekannt für ihre gute Qualität und Stabilität. Außerdem lassen sich Komponenten bei ThinkPads besonders einfach austauschen und erweitern. In Online-Foren wie forums.lenovo.com oder auf der Plattform Think Wiki gibt es viele hilfreiche Informationen und kompetente Unterstützung. Die technischen Details finden Sie weiter unten auf dieser Seite.


Das Betriebssystem

Als Betriebssystem verwenden wir Qubes OS, das auf Sicherheit durch Virtualisierung setzt. Es gilt als das akutell beste Betriebssystem in Sachen IT-Sicherheit und wird von Experten wie Edward Snowden, Daniel J. Bernstein und weiteren empfohlen. Qubes OS basiert auf dem Open-Source Hypervisor Xen, der die Hardware und Administration von den virtuellen Maschinen entkoppelt. In den virtuellen Maschinen können dabei verschiedene Betriebssysteme und deren Anwendungssoftware laufen. Der Hypervisor Xen wird vor allem in der Servervirtualisierung, im Bereich des Cloud Computering eingesetzt, unter anderem befinden sich namhaften Unternehmen auf der Pre-Disclosure-List von Xen. Qubes OS bietet eine flexible Architektur, die verschiedene aufgabenbezogene VMs kombiniert und einige Features, die das parallele Betreiben von mehreren VMs erleichtern.
Erfahren Sie mehr über Qubes OS


Die Firmware

Die Firmware gilt als Bindeglied zwischen Hard- und Software. Wir verwenden bei unseren Laptops coreboot als quellcodeoffen und stabilen UEFI/BIOS-Ersatz. Coreboot ist im Vergleich zu modernen UEFIs sehr minimalistisch und deswegen performanter und weniger fehleranfällig. Es initialisiert nur die nötigste Hardware, um möglichst schnell das Betriebssystem zu starten.
Erfahren Sie mehr über coreboot


Beliebte Open-Source Software

Hier eine Übersicht über beliebte Open-Source Software.


Technische Daten der Hardware

Hier eine Übersicht der technischen Daten von den ThinkPads die wir verwenden.


Lenovo X220

Lenovo X220

Lenovo T420

Lenovo T420



Technische Daten

MarkeLenovo
ModellX220
Bildschirmgröße12.50 Zoll
ProzessormarkeIntel
ProzessortypCore i5
Prozessorgeschwindigkeit2.50 GHz
Prozessorkerne2
Größe des Arbeitsspeichers4 GB / 8 GB
Speicher-ArtDDR3 SDRAM
Größe der Festplatte128 GB / 256 GB
FestplatteninterfaceSerial ATA
BetriebssystemQubes OS
Besonderheitencoreboot Firmware

Ergänzung zu den technischen Daten und Konfigurations-Möglichkeiten


Prozessor

Bei dem Prozessor handelt es sich um einen Intel Core i5, der die für Qubes OS benötigten Virtualisierungs-Technologien Vx-t und Vx-d unterstützt.


Festplatte

Aus Performancegründen bieten wir ausschließlich SSD-Festplatte an. Je nach Konfiguration stehen SSD-Festplatten in den Größen 128 GB und 256 GB zur Verfügung.


Arbeitsspeicher

Bei der Konfiguration können Sie zwischen 4 GB und 8 GB RAM wählen. Wenn Sie viele VMs parallel betreiben oder Windows in einer VM verwenden möchten, dann empfehlen wir 8 GB Arbeitsspeicher.


Zusätzliche virtuelle Maschinen

In der Standardausführung von Qubes OS sind bereits Templates für die Betriebssysteme Fedora, Debian und Whonix vorinstalliert. Je nach Benutzerwünschen besteht die Möglichkeit Templates für weitere Betriebssysteme zu installieren. Folgende Betriebssysteme können von uns bei Bedarf zusätzlich installiert werden.



Windows 7 oder Windows 10

Aufgrund seiner Marktstellung hat Microsoft über viele Jahre die IT-Branche gestaltet und beeinflusst. Die meisten PCs und Laptops werden immer noch mit vorinstalliertem Windows ausgeliefert und verkauft. Aus diesem Grund ist eine gewisse Abhängigkeit von Microsoft entstanden, die es den meisten Benutzern sehr erschwert, komplett auf Windows zu verzichten. Sei es aufgrund von inkompatiblen Datei-Formaten oder durch das Fehlen von adäquater Ersatzsoftware im Linux-Bereich. Hauptsächlich kommerzielle Software ist immer noch stark an das Windows-Betreibssystem gebunden. Aus diesem Grund ist es praktisch, auch auf einem Open-Source Laptop nicht ganz auf Windows verzichten zu müssen.


Qubes unterstützt seit der Version R2 auch HVMs (hardware-virtualisierte Domänen mittels Intels Vx-t), die eine Windows-Installation in einer virtuellen Maschinen ermöglichen. Der Vorgang unterscheidet sich jedoch von der Installation unterstützter Open-Source Templates, die direkt in dom0 installiert werden. Zur Installation wird ein .iso-Abbild einer Windows-Installations-CD benötigt. Für Windows 7 existierten sogar quellcodeoffene Qubes-Windows-Tools, die die Qubes VM Features, wie seamless Mode, copy & paste über VMs hinweg, sicheren VM-übergreifenden Datentransfer und das Erstellen von Windows-TemplateVMs und darauf basierenden Windows-AppVMs, ermöglichen.


Möchte man eine neuere Version als Windows 7 installieren, dann muss man auf die VM Features verzichten, kann die Installation aber im Desktop-Modus benutzen.



Hacking Lab mit Kali Linux & Metasploitable

Kali Linux ist eine auf Debian basierende Linux-Distribution, mit der Angriffe auf IT-Systeme durchgeführt werden können. Metasploitable ist eine virtuelle Maschine, bei der absichtlich eine große Anzahl an Schwachstellen und Sicherheitslücken vorhanden ist, um Angriffsszenarien auszuprobieren.


Das Hacking Lab ist ein von außen abgeschirmtes Netzwerk mit einer eigenen ProxyVM, die den Zugang in das Internet blockiert. In dem Netzwerk befinden sich ausschließlich die Kali Linux VM und die Metasploitable VM. Da sich beide VMs im gleichen Netzwerk befinden sind Angriffe von der Kali Linux VM auf die Metasploitable VM möglich, vom Internet sind jedoch beide abgeschottet.


Wir weisen darauf hin, dass unautorisierte Angriffe auf fremde IT-Systeme nach dem § 202 a StGB (Ausspähen von Daten) und § 202 b StGB (Abfangen von Daten) nach deutschem Strafrecht rechtswidrig sind. Sowohl der Besitz als auch der Vertrieb von Softwaretools, die Sicherheitsvorkehrungen umgehen können (§ 202 c StGB) ist strafbar, sofern die Absicht zu einer strafbaren Nutzung besteht.




Unsere Coreboot Payloads

Die Firmware coreboot initialisiert nur das Nötigste an Hardware um den Systemstart vorzubereiten. Für den Systemstart selbst sind sogenannte Payloads verantwortlich. Es gibt verschiedene Kombinationen aus Payloads, Bootloadern und Kerneln, die zu einem Systemstart führen. Wir bieten verschiedene Payloads für die coreboot Firmware an.

(Hinweis: Im Moment nur SeaBIOS, weitere folgen)


SeaBIOS

SeaBIOS ist ein Payload der sich im Großen und Ganzen so verhält wie das proprietäre BIOS des Herstellers. Es liest den Master Boot Record im ersten Sektor der Festplatte. Dort befindet sich eine Partitions-Tabelle, die die Einteilung der Festplatte in verschiedene Bereiche (Partitionen) festlegt und angibt auf welcher Partition sich der Bootloader befindet. Außerdem enthält der MBR ein minimales Programm, das den Bootloader startet. Der Bootloader lädt daraufhin den Kernel des Betreibssystems in den Arbeitsspeicher und führt diesen aus. Dadurch wird das Betriebssystem gestartet.


Hardware Hardening / IT-Sicherheit

Das Entfernen von überflüssiger Hardware, die nicht benötigt wird, aber zusätzliche Angriffsfläche bietet wird als Hardware Hardening bezeichnet. „Härten“ beschreibt das Bundesamt für Sicherheit in der Informationstechnik als „ ... die Entfernung aller [...] Bestandteile und Funktionen, die zur Erfüllung der vorgesehenen Aufgabe durch das Pro­gramm nicht zwingend notwendig sind.“


Verschlüsselte Festplatte

Für die Verschlüsselung von Geräten, wie Festplatten und Partitionen, wird das Kryptographie-Modul dm-crypt des Linux-Kernels verwendet. Die Festplatte wird mittels Linux Unified Key Setup verschlüsselt und kann nur mit dem richtigen Passwort wieder entschlüsselt werden. Bei ausreichender Länge des Passworts bzw. der Passphrase ist es nach heutigem Stand der Technik nicht möglich die Daten ohne Passwort wieder zu entschlüsseln. Das bedeutet zum einen, dass die Daten auf Ihrem Laptop auch z. B. nach einem Diebstahl des Laptops nicht entschlüsselt werden können. Zum anderen ist der Verlust des Kennworts mit dem Verlust der Daten verbunden.


Der Möglichkeiten der Verschlüsselung sind außerdem vom coreboot Payload abhängig. Wenn dieser in der Lage ist Partitionen zu entschlüsseln, dann kann die gesamte Festplatte inklusive der /boot-Partition verschlüsselt werden. Im anderen Fall muss die /boot-Partition unverschlüsselt bleiben um das System zu starten.



Entfernen des WP-Pins

Bei vielen Mainboards von PCs ist der Flash-Chip auf dem sich die BIOS-Firmware befindet durch einen Jumper gesichert. Um ein BIOS-Update einzuspielen, muss der Jumper zuerst entfernt werden. Solange er sich in der Ausgangsposition befindet ist ein Beschreiben des Chips nicht möglich. Die Chromebooks von Google besitzen als Laptops ebenfalls eine solche Schreibschutzvorrichtung. Bei fast allen anderen Laptops hingegen fehlt ein Schreibschutz in Form eines Jumpers komplett, was ein potenzielles Risiko mit sich bringt, da die Firmware zu jeder Zeit beschrieben werden kann.


Der WP-Pin (write protection) ist einer der acht Pins des Flash-Chips auf dem Mainboard. Wird dieser Kontakt nicht mit Strom versorgt, dann entspricht das einem Jumper in Ausgangsposition. Um das Beschreiben des Flash-Chips durch schadhafte Update-Software zu verhindern, kann der WP-Pin entfernt werden. Das hat aber zur Folge, dass auch Updates des Herstellers nicht mehr per Software eingespielt werden können. Durch die Verwendung von coreboot ist das in den meisten Fällen sowieso nicht relevant. Nur wenn die coreboot Firmware später wieder durch das Hersteller-BIOS ersetzt werden sollte, würde ein fehlender Pin dann zu Problemen bei Updates führen.



Hilfe bei Fragen zum Umgang mit dem Betriebssystem

Da die meisten unserer Neukunden mit dem Betriebssystem Qubes OS noch nicht vertraut sind, bieten wir ein Ticketsystem in dem Fragen zur individuellen Konfiguration gestellt werden können.


Ticketsystem für unsere Kunden

Um den Umstieg auf das neue Betriebssystem zu erleichtern, bekommen Sie mit dem Kauf eines unserer Laptops 30 Tage Zugang zu unserem Ticketsystem. Dort versuchen wir Ihre Fragen zum Betriebssystem Qubes OS schnellstmöglich zu beantworten. Um das Kundenportal nutzen zu können, ist es erforderlich, dass Sie beim Kauf ein Konto in unserem Online Shop erstellen. Mit diesen Logindaten können Sie sich dann bei unserem Ticketsystem einloggen.



Weitere Informationen

Klicken Sie auf das jeweilige Logo um auf die entsprechende Informationsseite zu gelangen.


Qubes OS Icon
Betriebssystem
Qubes OS

Betriebssystem mit Xen Hypervisor als sichere Plattform für VMs

coreboot Icon
Firmware
coreboot BIOS

Open-Source Firmware als UEFI/BIOS-Ersatz

Open-Source Icon
Alles
Open-Source

Sowohl Betriebssystem als auch Firmware quellcodeoffen

Fedora Icon
Template für VM
Fedora

steht für aktuellste Software für Entwickler und Technikbegeisterte

Debian Icon
Template für VM
Debian

steht für Stabilität und strikte Open-Source Auslegung

Whonix Icon
Template für VM
Whonix

steht für Sicherheit und Privatsphäre im Internet