TrueCrypt knackbar! ACHTUNG!

Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Leider habe ich nicht wirklich verstanden, was das ganze nun bewirkt. :|
 
Kleissners im Sourcecode verfügbares Bootkit kann alle gängigen 32Bit-Windows-Varianten von Windows 2000 bis hin zu Windows Vista und dem Release Candidate von Windows 7 infizieren.
Zum Vergrößern anklicken....

64bit ist halt doch besser ;)
 
Ist aber sicher nur eine Frage bis es portiert wird, oder?
 
hab bisher nur container-crypting, kann man dadurch och zugreifen wenn man ins bios was reingeschrieben hat?
 
"Der erst 18-jährige Peter Kleissner gibt Stoned verschiedene Plug-Ins mit, wie einen Boot-Passwort-Cracker oder eine Routine zum Infizieren des Bios."


Immerhin ist er schon 18. Früher waren es immer schon die 11-jährigen die sowas knacken konnten. :d
 
früher mal konnte ein bios den Zugriff auf den MBR Blocken, haben die Entwickler wohl weggespart :)
 
Da würde aber nicht die Verschlüsselung ausgehebelt sondern ein Rootkit trotz Verschlüsselung installierbar gemacht.

Die Container sind genauso sicher wie zuvor und ohne Passwort sind die Daten auch nicht lesbar.
 
Also umgangen.
Und verschlüsselte Datenplatten sind nicht betroffen?
 
Das reiht sich ein in die Geschichten wie Passwort aus dem (eingrefroreren) RAM auslesen, Passwort per Firewire auslesen etc.

Denn wie kommt das Teil denn auf die Platte? Dazu muss doch direkter Zugriff auf den Rechner bestehen (physisch oder über Sicherheitslücke). Und sobald dieser Zugriff stattfinden kann, kann eh jedes noch so billiges Tool den Key aus dem RAM auslesen, TrueCrypt muss den ja dort speichern um Daten lesen/schreiben zu können.

Sehr gut:
http://www.heise.de/security/news/f.../forum-163147/msg-17137940/read/showthread-1/

Aber wenigstens ist der Threadtitel hier auf BILD-Niveau ;)
TrueCrypt ist nicht mehr oder weniger "knackbar" als vorher.
 
DoubleJ schrieb:
Sehr gut:
http://www.heise.de/security/news/f.../forum-163147/msg-17137940/read/showthread-1/

TrueCrypt ist nicht mehr oder weniger "knackbar" als vorher.
Zum Vergrößern anklicken....

Süffisant!

Die Berichterstattung in den Medien ist jedoch Effecthascherei. Dass TrueCrypt anfällig für jegliche Art von Rootkits ist (z.B. auch wesentlich einfacher gestrickte Keylogger für's Verschlüsselungspasswort beim Booten) war bekannt u. schreibst Du auch.

Schaut' man sich jedoch die Folien u. das Paper an:
http://www.stoned-vienna.com/

So ist der eigentliche Beitrag das Bootkit. Die fallende TrueCrypt Systemverschlüsselung (mit den im Vortrag auch genannten Einschränkungen) ist lediglich ein Abfallprodukt. Durch diese Art von frei verfügbarem Bootkit inkl. SourceCode kann eigentlich jeder mit geringsten Programmierkenntnissen Keylogger, Viren, Würmer etc. schreiben. Und vor allem : Mit den üblichen Aufspürtechniken für Rootkits für's OS (Hashcodes etc.) nicht erkenntbar - so wie's ausschaut.

Der gemeine AntiVir User wiegt sich mit seiner Rootkit Detection in fälschlicher Sicherheit. Sogesehen hat Microsoft ausnahmsweise mal Recht : Ihre 64-Bit Version ist z.Z. sicherer.
 
Zuletzt bearbeitet:
Die frage ist doch am ende, wovor will man sich mit einer komplett verschlüsselten festplatte schützen? Vor diebstahl eben jener und der daten darauf? Vor dem zugriff der staatsmacht falls man was ausgefressen hat (oder auch nicht) und "die da oben" an die tür klopfen?

Da in diesen fällen ohnehin physischer zugriff auf die hardware stattfindet, und truecrypt in einem solchen fall augenscheinlich nicht sicher ist, kann man sich das ganze eigentlich sparen und mit containern arbeiten, die in einem solchen fall anscheinend die sicherere variante sind.

Oder eben auf in hardware gegossene verschlüsselung setzen.
 
Gani schrieb:
Die frage ist doch am ende, wovor will man sich mit einer komplett verschlüsselten festplatte schützen? Vor diebstahl eben jener und der daten darauf? Vor dem zugriff der staatsmacht falls man was ausgefressen hat (oder auch nicht) und "die da oben" an die tür klopfen?

Da in diesen fällen ohnehin physischer zugriff auf die hardware stattfindet, und truecrypt in einem solchen fall augenscheinlich nicht sicher ist, kann man sich das ganze eigentlich sparen und mit containern arbeiten, die in einem solchen fall anscheinend die sicherere variante sind.

Oder eben auf in hardware gegossene verschlüsselung setzen.
Zum Vergrößern anklicken....

Hardwareverschlüsselungen sind nur im oberen Preissegmet von mehreren tausend Euro sicher.

Wieso nicht die komplette Festplatte verschlüsseln, was spricht dagegen?
Ich will immerhin auch nicht immer auf der Windows partition mit extra eraser Programmen arbeiten und Dateien immer in den geschützten Container verschieben, das geht mit der Zeit auf den Geist!
 
Gani schrieb:
Da in diesen fällen ohnehin physischer zugriff auf die hardware stattfindet
Zum Vergrößern anklicken....
Wenn dein Notebook geklaut oder der PC als Beweismittel gesichert ist, sind die Daten aber auch sicher. Um dieses Bootkit zu installieren muss doch schon "irgendwie" Zugriff auf den PC vorhanden sein. Und wenn das der Fall ist, ist es dann eigentlich auch egal ob der Industriespion/das BKA/werauchimmer das Bootkit, einen Hardwarekeylogger oder eine Kamera installiert.

Die höchste Hürde, überhaupt erstmal an den Rechner "ranzukommen", wird durch Stoned auch nicht gesenkt.

Und Container sind ja nunmal sowas von unsicher, denn Windows hinterlässt an allen möglichen und unmöglichen Stellen Spuren (Dateinamen in der Registry, "zuletzt benutzte Dokumente" im Startmenü oder in den jeweiligen Programmen selbst, Thumbnails, Reste in der pagefile/hiberfil, die Liste ist nahezu unendlich).

Ja, natürlich, es gibt jetzt mit Stoned noch eine weitere wirklich tolle Möglichkeit, ein verschlüsseltes System zu untergraben, trotzdem muss es erstmal soweit kommen (s.o.). Dessen sollte man sich immer bewusst sein.

Und z.B. Notebookdiebstählen kann man nach wie vor, zumindest was persönliche- und/oder Firmendaten angeht, "gelassen" entgegen sehen.

PS: Stoned könnte natürlich jederzeit auch alle weiteren Tastatureingaben abfangen, sodass man auch mit Containern nicht mehr geschützt wäre. Eher sogar weniger, s.o.
 
firefox888 schrieb:
Hardwareverschlüsselungen sind nur im oberen Preissegmet von mehreren tausend Euro sicher.
Zum Vergrößern anklicken....

Wie kommst du denn auf diese kuriose idee? TPM module gibts auch bei office rechnern von der stange und das ist sicherlich, so wie es im heise artikel auch erwähnt wurde, in dieser hinsicht deutlich sicherer als TC.

Wieso nicht die komplette Festplatte verschlüsseln, was spricht dagegen?
Ich will immerhin auch nicht immer auf der Windows partition mit extra eraser Programmen arbeiten und Dateien immer in den geschützten Container verschieben, das geht mit der Zeit auf den Geist!
Zum Vergrößern anklicken....
Worum geht es denn hier? ;) Du kannst das gerne machen, aber dann stelle ich dir nochmal die frage: wovor genau willst du dich damit schützen? Ist das gerät erstmal weg, ist die möglichkeit da deine verschlüsselte platte lesbar zu machen. Klingt doch reichlich sinnlos.

DoubleJ schrieb:
Wenn dein Notebook geklaut oder der PC als Beweismittel gesichert ist, sind die Daten aber auch sicher. Um dieses Bootkit zu installieren muss doch schon "irgendwie" Zugriff auf den PC vorhanden sein. Und wenn das der Fall ist, ist es dann eigentlich auch egal ob der Industriespion/das BKA/werauchimmer das Bootkit, einen Hardwarekeylogger oder eine Kamera installiert.
Zum Vergrößern anklicken....

Wenn ich zugriff auf das gerät oder die platte habe, dann muss ich ja nicht von dieser platte booten um das bootkit in den MBR zu kriegen, da dieser nicht verschlüsselt ist. Ich hänge die platte einfach an meinen rechner und lade das bootkit in den MBR - und schon kann ich von dieser vermeintlich verschlüsselten platte booten wie es beschrieben wurde. Und wenn die boot partition nicht die verschlüsselte ist, dann wirds sogar noch einfacher...

Einen anderen sinn hat die vollverschlüsselung doch gar nicht. Sie soll verhindern, dass meine daten in die falschen hände fallen wenn mein rechner nicht in betrieb ist und ich nicht da bin oder gestohlen wurde.

Die höchste Hürde, überhaupt erstmal an den Rechner "ranzukommen", wird durch Stoned auch nicht gesenkt.
Zum Vergrößern anklicken....
Stimmt, aber es führt den sinn dieser verschlüsselung, wie schon gesagt, weitestgehend ad absurdum. Hardware weg, daten ebenfalls. Und wozu sollte man sonst seine ganze platte verschlüsseln? Im betrieb ist sie ja offen wie ein scheunentor und schützt dich vor gar nichts, genauso wie ein gemounteter container.

Und Container sind ja nunmal sowas von unsicher, denn Windows hinterlässt an allen möglichen und unmöglichen Stellen Spuren (Dateinamen in der Registry, "zuletzt benutzte Dokumente" im Startmenü oder in den jeweiligen Programmen selbst, Thumbnails, Reste in der pagefile/hiberfil, die Liste ist nahezu unendlich).
Zum Vergrößern anklicken....
Dateinamen alleine sind keine inhalte, ebensowenig registry einträge und zuletzt benutzte dokumente verweisen auch nur auf die quelle und nicht den inhalt. Für hibernate files gibts praktische optionen wie auto-dismount und pw-cache wipe und wenn du es richtig machen willst, lässt du windows eben die pagefile beim herunterfahren überschreiben - dauert halt.

Wenn man schon ungeziefer auf dem rechner hat der das alles zur laufzeit ausspäht, dann nützt das natürlich alles nicht, aber das wissen wir ja alle und bestreitet auch niemand.

Wenn aber alles so einfach wäre wie du es hier darstellst, dann wäre TC in jeder beziehung wertloser schund. Das ist es aber nicht. Nur die festplattenverschlüsselung erscheint mir aktuell recht sinnlos, denn den einzigen zweck den sie erfüllen soll, erfüllt sie nicht.

Einen container auf einem USB stick oder einer externen festplatte kriegst du ganz sicher nicht auf wenn du mir die datenträger entwendest. Da müssen wir hoffentlich nicht drüber diskutieren.

Ja, natürlich, es gibt jetzt mit Stoned noch eine weitere wirklich tolle Möglichkeit, ein verschlüsseltes System zu untergraben, trotzdem muss es erstmal soweit kommen (s.o.). Dessen sollte man sich immer bewusst sein.
Zum Vergrößern anklicken....
Ja aber wovon reden wir denn hier? Du willst doch deine daten gegen diebstahl sichern und nicht einfach aus selbstzweck. Wenn das gerät geklaut wird dann sind deine daten nach aktuellem kenntnisstand kompromitiert. Ende.

Und z.B. Notebookdiebstählen kann man nach wie vor, zumindest was persönliche- und/oder Firmendaten angeht, "gelassen" entgegen sehen.
Zum Vergrößern anklicken....
Eben nicht. Ich kann auch ein notebook von einer anderen platte booten. Das einzige was das verhindern kann ist ein TPM fähiges gerät, dass dieses unter anderem verunmöglicht.

PS: Stoned könnte natürlich jederzeit auch alle weiteren Tastatureingaben abfangen, sodass man auch mit Containern nicht mehr geschützt wäre. Eher sogar weniger, s.o.
Zum Vergrößern anklicken....
Theoretisch ja, aber nachdem dir das gerät geklaut wurde ist diese möglichkeit wirkungslos weil du ja dein passwort nicht mehr eingibst. Für diesen weg muss der datenklauer erstmal zugriff auf deinen rechner haben, das bootkit einschleusen, warten bis du dein passwort eintippst und dann ggf. nochmal vorbeischauen um darauf zuzugreifen. Deutlich umständlicher als einfach die kiste beim ersten mal zu klauen und die vollverschlüsselung im eigenen stübchen auszuhebeln, nicht wahr?
 
Gani schrieb:
Deutlich umständlicher als einfach die kiste beim ersten mal zu klauen und die vollverschlüsselung im eigenen stübchen auszuhebeln, nicht wahr?
Zum Vergrößern anklicken....

GERADE DAS ERMÖGLICHT DAS BOOTKIT NICHT

bitte informiere dich:d


man muss das botkit zuerst auf dem rechner einnisten (unbemerkt), dann muss der richtige benutzer sein truecrypt passwort auf dem bereits infizierten rechner eingeben, erst dann ist die verschlüsselung ausgehebelt!

also hat die Bootkit methode keine vorteile im vergleich zu einem hardware keylogger oder videoüberwachung.
 
Wie bereits erwähnt, entscheidend ist, dass die Daten ohne das Passwort nicht zu entschlüsseln sind. Und das ist nach wie vor der Fall.

Ein (Hardware)-Keylogger kann das natürlich mitlesen. Genauso wie ne Kamera oder jemand der dahinter steht wenn man es eingibt etc...

Wenn aber jemandem die Platte in die Hände fällt der das Passwort nicht kennt, sind die Daten sicher.
 
MAFRI schrieb:
bleibtdann immernoch die option die platte via bruteforce zu entschüsseln,dauert ebend nur.. notfalls jahre...
Zum Vergrößern anklicken....
Oder Jahrtausende... aber bei Bruteforce kommts auf ein paar Zehnerpotenzen mehr oder weniger sowieso nicht an, da alles weitestgehend unerreichbar ist ;)

Gani schrieb:
Wenn ich zugriff auf das gerät oder die platte habe, dann muss ich ja nicht von dieser platte booten um das bootkit in den MBR zu kriegen, da dieser nicht verschlüsselt ist. Ich hänge die platte einfach an meinen rechner und lade das bootkit in den MBR - und schon kann ich von dieser vermeintlich verschlüsselten platte booten wie es beschrieben wurde.
[...]
Ja aber wovon reden wir denn hier? Du willst doch deine daten gegen diebstahl sichern und nicht einfach aus selbstzweck. Wenn das gerät geklaut wird dann sind deine daten nach aktuellem kenntnisstand kompromitiert. Ende.
Zum Vergrößern anklicken....
Nehm es mir nicht übel, aber du hast absolut nicht verstanden, worum es bei Stoned geht. Solange niemand das Passwort eingibt, sind die Daten nicht entschlüsselbar, von niemandem. Sonst wäre TrueCrypt nämlich wirklich "geknackt".

Wenn also jemand ein Notebook mit verschlüsselter Harddisk klaut, kann er zwar das Bootkit drauf installieren. Dann müsste er es aber dem Besitzer zurückgeben, welcher dann dem Bootkit durch Eingabe des richtigen Passworts weitere Aktionen ermöglicht.
 
So soll der Einsatz der Windows-eigenen Verschlüsselung BitLocker ein sicheres Gegenmittel sein, da der Hashwert des MBR nach der Infektion nicht mehr mit dem im TPM gespeicherten übereinstimmt und das TPM so den Bootvorgang stoppt. Ob eine in Hardware verschlüsselnde Festplatte ebenfalls schützt, vermochte Kleissner auf Nachfrage nicht zu beantworten.
Zum Vergrößern anklicken....

Windows-eigen
Zum Vergrößern anklicken....

Aha.

Wenn jemand wirklich an eure Daten ranwill, dann schafft er/sie das auch: Klick
Soviel zum Stichwort Brute-Force...
 
Zuletzt bearbeitet:
Dieses bootkit geht mir langsam richtig auf den Keks.
seid vorgestern laufen ale DAUs in Panik im kreis und schreien, TC ist nicht mehr sicher, HILFE, TC ist nicht mehr sicher, HILFE
So 'n quatsch!

TC ist so sicher wie eh und Jeh.

Das man auf einem kompromittierten Rechner nicht sicher ist war auch schon letzte Woche bekant und das Jahr davor und überhaupt schon im letzten Jahrtausend.
Da ist es völlig egal obs 'n bootkit, ein BKA BIOS MOD, oder ein HW kaylogger ist (http://www.keelog.com/diy.html <- wen man den Schaltplan beachtet merkt man sofort das man das teil auch direkt aufs mobo löten könnte),
oder wen die die bude stürmen wärend der PC läuft und was gemounted ist.

wens um die sicherheit von TC geht ist diese errungenschaft hier: http://www.heise.de/newsticker/Einschlaege-bei-AES-256-kommen-naeher--/meldung/142899 viel viel bedenklicher, seltsamer weise scheit sich kaum einer dafür zu interresieren.
 
OwenBurnett schrieb:
wens um die sicherheit von TC geht ist diese errungenschaft hier: http://www.heise.de/newsticker/Einschlaege-bei-AES-256-kommen-naeher--/meldung/142899 viel viel bedenklicher, seltsamer weise scheit sich kaum einer dafür zu interresieren.
Zum Vergrößern anklicken....

Es handelt sich auch um sogenannte Related-Key-Angriffe, was bedeutet, dass der Angreifer den Klartext zu mehreren Chiffraten kennen muss
Zum Vergrößern anklicken....
...was normalerweise nicht der Fall ist und daher auch keine Panik hervorruft ;)
 
Gani schrieb:
Ist das gerät erstmal weg, ist die möglichkeit da deine verschlüsselte platte lesbar zu machen. Klingt doch reichlich sinnlos.
Zum Vergrößern anklicken....

Du hast da was falsch verstanden.
Ohne die Reihenfolge bootkit ->korrektes PW -> entschlüsseln kommt auch weiterhin keiner an die Daten.

Geknackt wurde da garnichts, das ist nur eine spezielle Form eines Keyloggers/Datenloggers. Fällt unter die Sparte mit dem RAM einfrieren.
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.

Ähnliche Themen

M
[User-Review] LG gram 17 17Z90S-G.AA78G
Antworten
7
Aufrufe
845
mz_z
M
Kabs1982
[User-Review] Lesertest mit Synology - Mein Testbericht zur DS224+
Antworten
5
Aufrufe
8K
Man-in-Black
Man-in-Black
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh