Tip: Verschlüsselung von Datenträgern

30.07.2009 10:32
heise Security

Bootkit hebelt Festplattenverschlüsselung aus

Der österreichische IT-Sicherheitsspezialist Peter Kleissner hat auf der Sicherheitskonferenz Black Hat[1] ein Bootkit namens Stoned[2] demonstriert, das in der Lage ist TrueCrypts vollständige Partitionsverschlüsselung und Systemverschlüsselung auszuhebeln. Bootkits sind eine Kombination aus einem Rootkit und der Fähigkeit des Schädlings, den Master Boot Record des PCs zu modifizieren und so bereits vor dem Start des Betriebssystems aktiv zu werden.

Kleissners im Sourcecode verfügbares Bootkit kann alle gängigen 32Bit-Windows-Varianten von Windows 2000 bis hin zu Windows Vista und dem Release Candidate von Windows 7 infizieren. Stoned schreibt sich in den Master Boot Record (MBR), der auch bei einer vollständig kodierten Festplatte stets unverschlüsselt ist. Beim Start wird das Bootkit zuerst vom Bios aufgerufen. Das Bootkit startet dann den TrueCrypt-Bootloader. Um die TrueCrypt-Verschlüsselung auszuhebeln, biegt Kleissner nach eigenen Angaben keine Hooks um und modifiziert den Bootloader auch nicht. Vielmehr leitet er den I/O-Interrupt 13h per "Double Forward" um und kann sich so zwischen die Windows-Aufrufe und TrueCrypt hängen. Kleissner hat Bootkit speziell auf TrueCrypt angepasst, wobei ihm der frei verfügbare Quellcode diente.

Ist das Betriebssystem geladen, kann Stoned beispielsweise einen Banking-Trojaner im System installieren. Der erst 18-jährige Peter Kleissner[3] gibt Stoned verschiedene Plug-Ins mit, wie einen Boot-Passwort-Cracker oder eine Routine zum Infizieren des Bios. Da Stoned als Framework konzipiert ist, können andere Programmierer eigene Plug-Ins dafür entwickeln. Aus seiner Sicht könnte Stoned auch für Ermittlungsbehörden interessant sein, etwa zur Entwicklung eines Bundestrojaners.

Einmal installiert, soll Stoned Kleissner zufolge von herkömmlicher Antiviren-Software nicht mehr entdeckt werden können, da keinerlei Modifikationen der Windowskomponenten im Speicher stattfinden. Stoned läuft neben dem eigentlichen Windows-Kernel. Auch eine Antiviren-Funktion des Bios stoppt Stoned nicht, da moderne Windows-Versionen den MBR ohne Zutun des Bios modifizieren.

Für eine Infektion sind aber Administratorrechte oder physischer Zugang erforderlich. Momentan funktioniert die Infektion nur auf Maschinen mit herkömmlichem Bios. Arbeitet auf dem Mainbord der Bios-Nachfolger EFI, scheitert die Infektion. Der wohl wirksamste Schutz ist eine vollständige Verschlüsselung der Festplatte durch eine Software, die auf dem Trusted Platform Module (TPM) basiert.

So soll der Einsatz der Windows-eigenen Verschlüsselung BitLocker ein sicheres Gegenmittel sein, da der Hashwert des MBR nach der Infektion nicht mehr mit dem im TPM gespeicherten übereinstimmt und das TPM so den Bootvorgang stoppt. Ob eine in Hardware verschlüsselnde Festplatte ebenfalls schützt, vermochte Kleissner auf Nachfrage nicht zu beantworten. (Uli Ries) /
(dab[4]/c't)

URL dieses Artikels:


Links in diesem Artikel:
[1] http://www.blackhat.com
[2] http://www.stoned-vienna.com
[3] http://stoned-bootkit.blogspot.com/
[4] mailto:dab@ct.heise.de

FBI konnte verschlüsselte Festplatten nicht knacken

Die US-amerikanische Bundesbehörde FBI wollte Festplatten des brasilianischen Bankiers Daniel Dantas entschlüsseln. Diese waren unter anderem mit Truecrypt verschlüsselt. Laut einem Bericht von 'Globo' ist dies nicht gelungen.

Ein Jahr lang versuchte das FBI an die Daten auf den Festplatten zu kommen. Der gewünschte Erfolg blieb der veröffentlichten Meldung zufolge jedoch aus. Zuvor versuchten sich auch vergeblich brasilianische Behörden an der Entschlüsselung der Festplatten.

Um an die Passwörter zur Entschlüsselung zu kommen, wurde offenbar auf eine herkömmliche Wörterbuchattacke gesetzt. Dabei werden in einer schnellen Reihenfolge verschiedene Passwortkombinationen probiert. Das gewünschte Ergebnis blieb bei diesem Versuch für das FBI nach einem Jahr aus.

Verschlüsselt wurden die Daten auf den Festplatten unter anderem mit dem Open-Source-Tool Truecrypt. Die Entwickler dieser Software garantieren durch die freie Verfügbarkeit des Codes, dass keine Hintertüren zum Einsatz kommen.

Im Rahmen einer Hausdurchsuchung wurden die Festplatten des Bankiers im Jahre 2008 beschlagnahmt. Inzwischen wurde diese wieder nach Brasilien zurückgeschickt. Die Herausgabe von Passwörtern ist laut der brasilianischen Rechtslage nicht verpflichtend.

Der Einsatz von Verschlüsselungssoftware wie TrueCrypt ist in Deutschland legal.


Gruß, Hartmut