Drucksache: Entwickler Magazin 6.16 - Festplattenverschlüsselung im Visier
Im Entwickler Magazin 6.16 ist ein Artikel über Angriffe auf Festplattenverschlüsselungen erschienen.
"Schlimmer geht immer" trifft in der IT-Sicherheit ja leider sehr oft zu, so auch in diesem Artikel. An welche Festplattenverschlüsselung haben Sie gedacht, als Sie den Titel gelesen haben? An die Festplattenverschlüsselung im Rechner, oder an externe, selbst verschlüsselnde Festplatten? Es geht leider um beide.
Fangen wir mit dem einzigen positiven Punkt (wenn auch einem winzig kleinen) an der ganzen Geschichte an: Aus der Ferne lässt sich die Festplattenverschlüsselung i.A. nicht aushebeln. Aber aus der Ferne wird normalerweise sowieso immer Code auf dem laufenden Rechner eingeschleust. Die Festplattenverschlüsselung stört die Cyberkriminellen dabei überhaupt nicht. Denn so lange der Rechner läuft, ist der Zugriff auf die Festplatte ja möglich. Beim Einschleusen wird der Schadcode sowieso von irgend einem auf dem Rechner laufenden Programm oder dem Betriebssystem auf die Platte geschrieben, und die dürfen das selbstverständlich. Und wenn der Schadcode dann später selbst läuft, wurde die Festplatte ebenfalls bereits freigegeben und der Schadcode kann ungestört auf alle Daten zugreifen.
Vor solchen Angriffen kann und soll die Festplattenverschlüsselung aber auch gar nicht schützen. Sie schützt die Daten nur, wenn der ausgeschaltete Rechner verloren geht oder gestohlen wurde. Oder sich jemand Unbefugtes daran zu schaffen macht, z.B. die bekannte "Evil Maid". Dann verhindert die Festplattenverschlüsselung, dass Finder, Dieb oder Angreifer auf die gespeicherten Daten zugreifen können. Oder besser: Sie sollte es tun. Denn alle vorgestellten Angriffe führen zum gleichen Fazit: Sie können sich nicht darauf verlassen, dass die Festplattenverschlüsselung einem Angreifer widersteht, der physikalischen Zugriff auf das Gerät hat.
Und was anfangs schon zu lesen war, gilt auch hier noch einmal: "Schlimmer geht immer". Tal Be'ery und Chaim Hoch haben auf der Black Hat USA 2016 gezeigt, wie sich der Angriff von Ian Haken aus der Ferne ausnutzen lässt. Und der Angreifer kann dann nicht nur die Festplattenverschlüsselung aufheben, sondern auch den Rechner kompromittieren. Was ein Angreifer meist auch tun wird, denn danach stört ihn die Festplattenverschlüsselung ja sowieso nicht mehr.
Falls Sie den Patch für die von Ian Haken entdeckte Schwachstelle also noch nicht installiert haben, weil die ja nur lokal ausgenutzt werden kann: Jetzt kann sie auch aus der Ferne ausgenutzt werden, und es wird höchste Zeit, den Patch zu installieren.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Open Crypto Audit Project
- [2] TrueCrypt
- [3] Tom Ritter, iSECpartners: "iSEC Completes TrueCrypt Audit"
Bericht als PDF - [4] Matthew Green; A Few Thoughts on Cryptographic Engineering: "Truecrypt report"
Bericht als PDF - [5] BSI; Presseinformationen des BSI: "BSI veröffentlicht Sicherheitsstudie zu TrueCrypt"
- [6] Chris Williams; The Register: "Upset Microsoft stashes hard drive encryption keys in OneDrive cloud?"
- [7] Micah Lee; The Intercept: "Recently Bought a Windows Computer? Microsoft Probably Has Your Encryption Key"
- [8] Ian Haken; Black Hat Europe 2015: "Bypassing Local Windows Authentication to Defeat Full Disk Encryption"
Video auf YouTube - [9] CVE-2015-6095
- [10] Microsoft Security Bulletin MS15-122 - Important: "Security Update for Kerberos to Address Security Feature Bypass (3105256)"
- [11] Colin O'Flynn; Black Hat USA 2016: "Brute-Forcing Lockdown Harddrive PIN Codes"
- [12] Colin O'Flynn: "Black Hat Slides – PIN-Protected HD Enclosure / MB86C311A Research"
- [13] Raphaël Rigo, Joffrey Czarny; hardwear.io: "Attacking hardware for software reversers: Analysis of an encrypted HDD"
Präsentation als PDF - [14] Raphaël Rigo, Joffrey Czarny; SSTIC 2015: "Rétro-ingénierie matérielle pour les reversers logiciels : cas d'un DD externe chiffré"
Whitepaper (englisch) als PDF - [15] colinoflynn/hddkeyboard-spoof-demo auf GitHub
- [16] Daniel Boteanu, Kevvie Fowler; Black Hat Europe 2015: "Bypassing Self-Encrypting Drives (SED) in Enterprise Environments"
Video auf YouTube - [17] Christian Kison, Gunnar Alendal; hardwear.io: "got HW crypto? On the (in)security of a Self-Encrypting Drive series"
Whitepaper
Präsentation als PDF - [18] Tal Be'ery, Chaim Hoch; Black Hat USA 2016: "The Remote Malicious Butler Did It!"
Trackbacks