We kennen allemaal de verhalen van spionnen die inbreken in hotelkamers en de harde schijf van een persoon klonen terwijl deze beneden in de lobby een drankje aan het drinken is. Dit verhaal zou afgedaan kunnen worden als een broodje aap of het plot van een gemiddelde Jason Bourne-film. Maar deze aanvalstechniek laat wel de grootste zwakheid zien van hedendaagse pc's. De data op deze computers is extreem kwetsbaar als een aanvaller fysieke toegang heeft tot de machine. Cold Boot-aanvallen, USB-exploits of DMA-aanvallen via FireWire zijn allemaal mogelijk als kwaadwillenden fysieke toegang tot het apparaat kunnen krijgen.

Design Shift's ORWL computer (vernoemd naar de schrijver George Orwell) heeft meer dan 25000 dollar opgehaald tijdens een crowd sourcing campagne en heeft daarmee het, door de ontwikkelaars gestelde, doel behaald en is nu in productie.

Deze computer is op zo'n manier gebouwd dat het moet voorkomen dat mensen makkelijk toegang hebben tot de data. Op een normale pc is het bijvoorbeeld gebruikelijk een BIOS wachtwoord in te stellen om te voorkomen dat mensen met de computer gaan rommelen. Dit kan echter makkelijk worden omzeild door de batterij van de Bios te verwijderen. Sommige pc's hebben dat afgevangen door een extra trigger aan de behuizing te bevestigen zodat er een alarm gaat en/of data gewist wordt als deze wordt geopend. Dat heeft echter weinig zin als de aanvaller een gaatje boort in de kast en de switch uitschakelt.

De volledige behuizing van de ORWL (beschikbaar in glas of plastic) heeft meerdere drukpunten aan boord en een MESH-netwerk van kabels. Als er iemand loopt te rommelen aan de computer gaat er een alarm af en wordt de encryptiesleutel van de computer gewist waardoor de data onbruikbaar is; De ORWL gebruikt een intel 540-series SSD en AES-256 encryptie. De encryptiesleutel is opgeslagen op een beveiligings-microcontroller en niet op de drive.

Het MESH-netwerk wordt ook constant gemonitord. De beveiligings-microcontroller genereert willekeurige data om het netwerk in de gaten te houden. Alle pogingen om het netwerk te wijzigen, omzeilen of kort te sluiten resulteert in het wissen van de sleutel. De beveiligingsprocessor monitort ook beweging en gebruikers kunnen het apparaat zo instellen dat de boel gewist of geblokkeerd wordt als de computer wordt verplaatst.

Het bedrijf achter de ORWL zegt dat de gebruikte technologie gelijk is met die van Pin-apparaten,

Bevriezen helpt ook niet

Je zou eventueel de computer nog kunnen bevriezen om de elektronen in de beveiligingscontroller te kunnen vertragen, maar ook dat zal niet werken aangezien deze controller ook een temperatuurmonitor aan boord heeft. Als er te grote temperatuurschommelingen optreden wordt de sleutel ook verwijderd.

Ook RAM-geheugen houdt z'n informatie nog enkele seconden vast nadat een computer is uitgeschakeld. Dat is al jaren bekend. Kwaadwillenden zouden het geheugen kunnen bevriezen met koude lucht of vloeibaar stikstof en daardoor de boel zodanig vertragen dat er genoeg tijd is om een encryptiesleutel te kunnen achterhalen. De ORWL heeft dit afgevangen door het geheugen vast te solderen aan het moederbord.

Daarnaast is ook de opstartmethode gewijzigd. Het RAM geheugen wordt gewist voor de POST om te voorkomen dat aanvallers op een of andere manier code kunnen injecteren in het geheugen tijdens het starten van de computer.

Beveiligde sleutelhanger

De OWL kan worden ontgrendeld door gebruik te maken van beveiligde NFC en Bluetooth LE sleutelhanger. De sleutelhanger moet tegen de ORWL aan worden gehouden en vervolgens een wachtwoord worden opgegeven. Bluetooth LE controleert vervolgens of de gebruiker in de buurt is. Als deze wegloopt, vergrendelt de ORWL zich automatisch.

De sleutelhanger is ook beveiligd. Niet alleen is de communicatie versleuteld ook is er een on-die beveiligings-MESH aanwezig welke knoeien/sabotage moet voorkomen.

USB en PCIe-aanvallen worden ook geblokkeerd

Ook de poorten zijn onder handen genomen. Het apparaat heeft twee USB C poorten (en een HDMI-poort) en het syteem kan niet gestart worden vanaf externe apparaten tenzij de gebruiker dat zelf expliciet zo instelt. Daarnaast worden de USB-poorten automatisch uitgeschakeld als de sleutelhanger niet in de buurt is.

Aardige hardware

De ORWL heeft nog best aardige hardware voor zo'n klein computertje. De computer heeft een Skylake CPU en gebruikers kunnen kiezen uit een Core m3 of Core m7. Beide configuraties hebben 8 GB RAM en een SSD van minimaal 120GB en maximaal 480GB aan boord. De goedkoopste versie kost 749 dollar en de duurste versie 1099 dollar. De computers kunnen via Crowdsupply worden besteld en kunnen worden uitgerust met Windows 10, Ubuntu LTS of Qubes.

Waarom geen laptop?

De mensen achter de ORWL hebben gekozen voor deze oplossing omdat het lastiger is een laptop op dezelfde manier te beveiligen.

Dit is natuurlijk allemaal mooi en wel, maar hoe werkt het in de praktijk? De ORWL belooft niet je data op alle mogelijke manieren te beveiligen maar het maakt 't kwaadwillenden wel een stuk lastiger om zomaar bij je data te komen. En zelfs als er een computer gebouwd wordt die echt 100% veilig is verwijzen wij nog even naar deze geweldige strip van XKCD.