Skip to content

Drucksache: Entwickler Magazin 6.16 - Festplattenverschlüsselung im Visier

Im Entwickler Magazin 6.16 ist ein Artikel über Angriffe auf Festplattenverschlüsselungen erschienen.

"Schlimmer geht immer" trifft in der IT-Sicherheit ja leider sehr oft zu, so auch in diesem Artikel. An welche Festplattenverschlüsselung haben Sie gedacht, als Sie den Titel gelesen haben? An die Festplattenverschlüsselung im Rechner, oder an externe, selbst verschlüsselnde Festplatten? Es geht leider um beide.

Fangen wir mit dem einzigen positiven Punkt (wenn auch einem winzig kleinen) an der ganzen Geschichte an: Aus der Ferne lässt sich die Festplattenverschlüsselung i.A. nicht aushebeln. Aber aus der Ferne wird normalerweise sowieso immer Code auf dem laufenden Rechner eingeschleust. Die Festplattenverschlüsselung stört die Cyberkriminellen dabei überhaupt nicht. Denn so lange der Rechner läuft, ist der Zugriff auf die Festplatte ja möglich. Beim Einschleusen wird der Schadcode sowieso von irgend einem auf dem Rechner laufenden Programm oder dem Betriebssystem auf die Platte geschrieben, und die dürfen das selbstverständlich. Und wenn der Schadcode dann später selbst läuft, wurde die Festplatte ebenfalls bereits freigegeben und der Schadcode kann ungestört auf alle Daten zugreifen.

Vor solchen Angriffen kann und soll die Festplattenverschlüsselung aber auch gar nicht schützen. Sie schützt die Daten nur, wenn der ausgeschaltete Rechner verloren geht oder gestohlen wurde. Oder sich jemand Unbefugtes daran zu schaffen macht, z.B. die bekannte "Evil Maid". Dann verhindert die Festplattenverschlüsselung, dass Finder, Dieb oder Angreifer auf die gespeicherten Daten zugreifen können. Oder besser: Sie sollte es tun. Denn alle vorgestellten Angriffe führen zum gleichen Fazit: Sie können sich nicht darauf verlassen, dass die Festplattenverschlüsselung einem Angreifer widersteht, der physikalischen Zugriff auf das Gerät hat.

Und was anfangs schon zu lesen war, gilt auch hier noch einmal: "Schlimmer geht immer". Tal Be'ery und Chaim Hoch haben auf der Black Hat USA 2016 gezeigt, wie sich der Angriff von Ian Haken aus der Ferne ausnutzen lässt. Und der Angreifer kann dann nicht nur die Festplattenverschlüsselung aufheben, sondern auch den Rechner kompromittieren. Was ein Angreifer meist auch tun wird, denn danach stört ihn die Festplattenverschlüsselung ja sowieso nicht mehr.

Falls Sie den Patch für die von Ian Haken entdeckte Schwachstelle also noch nicht installiert haben, weil die ja nur lokal ausgenutzt werden kann: Jetzt kann sie auch aus der Ferne ausgenutzt werden, und es wird höchste Zeit, den Patch zu installieren.

Und hier noch die Links und Literaturverweise aus dem Artikel:

Carsten Eilers

Trackbacks

Keine Trackbacks