News TrueCrypt am Ende?

User-News

Von Allfred

Hinweis: Diese "User-News" wurde nicht von der Planet 3DNow! Redaktion veröffentlicht, sondern vom oben genannten Leser, der persönlich für den hier veröffentlichten Inhalt haftet.
Heise: http://www.heise.de/newsticker/Bootkit-hebelt-Festplattenverschluesselung-aus--/meldung/142780

Bootkit hebelt TrueCrypt aus.
"...Aus seiner Sicht könnte Stoned auch für Ermittlungsbehörden interessant sein, etwa zur Entwicklung eines Bundestrojaners."
WELCH EIN GESCHENK
a050.gif
 
Für eine Infektion sind aber Administratorrechte oder physischer Zugang erforderlich. Momentan funktioniert die Infektion nur auf Maschinen mit herkömmlichem Bios. Arbeitet auf dem Mainbord der Bios-Nachfolger EFI, scheitert die Infektion.

Und zu dem scheinbar nur auf Windows ausgelegt ;).

Da von einem Ende zu sprechen, ist ein wenig zu früh.
 
Außerdem benötigt das Rootkit Administratorrechte zur Installation. Damit beißt es sich schon unter Windows Vista die Zähne aus.

Und wer die UAC Warnung einfach so wegklickt, ist in dem Fall selber Schuld und hat das Sicherheitskonzept von TrueCrypt nicht verstanden.
 
... hat das Sicherheitskonzept von TrueCrypt nicht verstanden.
Sehe es mal anders: "Der erst 18-jährige Peter Kleissner gibt Stoned verschiedene Plug-Ins mit, wie einen Boot-Passwort-Cracker oder eine Routine zum Infizieren des Bios." Mit sowas und einem Festplattenimage liegt selbst Mittelkasse-Ermittlern alles im Klartext vor, ganz zu schweigen der von den US-Terrorwächtern gescannten Notebooks bei der Einreise. Es geht nicht um die feindliche Übernahme eines Systems!
 
Um das "Tool" zu installieren benötigt man schon direkten Zugriff zum Rechner und der mUser muss sich mind. einmal am Infizierten Rechner in truecrypt einloggen.

Das konnte man schon vorher einfach...nannte sich Keylogger.
Und war das nicht auch der Typ/das Programm was meinte Windows Sicherheitsfunktionen alle umgehen zu können? und UAC? ....

Das ist nicht! realistisch. Nur ein ich bin der Beste Proll mehr nicht.
 
Es geht nicht um die feindliche Übernahme eines Systems!

Eigendlich sollte man froh sein, daß damit so eine Schwachstelle publik wird. Die Folge wird sein, daß das TrueCrypt-Team aktiv wird (und auch den MBR verschlüsselt oder dergleichen Lösungen entwickelt).
 
Wirklich neu ist doch eigentlich nur, daß Code zum Ausspähen bereits im Bootsektor untergebracht werden kann. Das hat nichts mit TrueCrypt an sich zu tun, das ist allenfalls ein Beispiel, was herangezogen wurde. Theoretisch läßt sich das auch für alle anderen Betriebssysteme und Verschlüsselungsprogramme nutzen.
Der eigentliche Schwachpunkt ist immer noch 50cm vor dem Bildschirm: Der User, der mit Admin-Rechten surft oder alle Meldungen mit OK bestätigt, ohne sie zu lesen/verstehen.
 
Der User, der mit Admin-Rechten surft oder alle Meldungen mit OK bestätigt, ohne sie zu lesen/verstehen.
Du weißt doch selbst, daß richtige Spys sowas nicht brauchen; die richten sich behaglich selbst auf durchgepatchten Systemen ein - spätestens seit Sonys Rootkit sollte jedem die digitale Realität bewußt sein.
 
@Allfred

Wenn du so an die Sache rangehst->nichts ist sicher.

Aber wenn du die UAC Meldungen immer mit Fortsetzen bestätigst ist das nat. möglich.
Nur sollte man dann doch schon genau gucken was die Meldung ausspuckt.

Das Sony Rootkit kam zu einer Zeit wo Vista noch nicht auf dem Markt war und so auch UAC nicht.
 
Sehe es mal anders: "Der erst 18-jährige Peter Kleissner gibt Stoned verschiedene Plug-Ins mit, wie einen Boot-Passwort-Cracker oder eine Routine zum Infizieren des Bios." Mit sowas und einem Festplattenimage liegt selbst Mittelkasse-Ermittlern alles im Klartext vor, ganz zu schweigen der von den US-Terrorwächtern gescannten Notebooks bei der Einreise. Es geht nicht um die feindliche Übernahme eines Systems!
TrueCrypt arbeitet transparent, also wenn sich einmal ein Schädling unter Windows eingerichtet hat, dann hatte der auch bisher Zugriff auf deine Daten. Damit ist der Kommentar mit den Admin-Rechten hinfällig.

Auch kommen weiterhin nicht alle Diebe / Ermittler an deine Daten ran wenn sie nur die Festplatte haben. Mindestens einmal musst du das Passwort dann noch eingeben. Da die US Homeland Security dieses bei der Einreise verlangen kann also auch nix Neues.

Ein neuer Angriffsweg wird hierdurch jedoch eröffnet: Jemand kann sich physischen Zugriff zu deinem System verschaffen, den Schädling im Bootsektor installieren, sich dann aus dem Staub machen und hoffen dass du nix bemerkst. Erst wenn du jetzt noch dein Passwort eingibst, und der Schädling so modifiziert wurde dass er sich dieses merkt oder irgendwohin sendet, ist das System kompromittiert.
Das ging aber auch schon bisher mit einem Hardware-Keylogger, z.B. im USB-Stecker der Tastatur...

btw: So wie der Angriff beschrieben wird, dürfte das unter Linux mit LUKS prinzipiell auch funktionieren.

Gruß, Chris
 
Aus genau solchen Gründen bietet TrueCrypt ja auch die Möglichkeit ein Keyfile zu bestimmen und dieses mit einem Passwort zu kombinieren.

Meiner Meinung nach ist es völlig sinnfrei, C:\ direkt zu verschlüsseln. Lieber installiere ich mir auf C:\ nur das OS und alles was persönlich ist und niemanden was angeht liegt auf der voll verschlüsselten D:\ Partition. Dazu ein persönliches Passwort + Keyfile und ein einfacher Keylogger hat es schon mal schwerer, denn er hat ja das Keyfile nicht.

Und wenn meine Daten sind nicht so interessant, das ich hier noch mit TPM arbeiten müsste.

Gruß,

Sysfried
 
Meiner Meinung nach ist es völlig sinnfrei, C:\ direkt zu verschlüsseln. Lieber installiere ich mir auf C:\ nur das OS und alles was persönlich ist und niemanden was angeht liegt auf der voll verschlüsselten D:\ Partition.
Das ist unter Windows leider ein Problem. Die Auslagerungsdatei liegt standardmäßig auf C:\, ebenso wie die Datei für den Ruhezustand (was sich hier auch nicht ändern lässt, soweit ich weiß). Damit landen unkontrollierbar Informationen aus dem Arbeitsspeicher auf C:\ (es sei denn du hast Auslagerungsdatei und Ruhezustand abgeschalten).

Auch hat Windows die dumme Angewohnheit alles mögliche in der Registry und deinem Profil-Ordner mitzuloggen. Die diversen Temp-Verzeichnisse dürften auch recht interessant sein ;)

Mit dem Keyfile hast du Recht. Pack das Ding auf einen USB-Stick den du immer bei dir hast (eine bestimmte MP3 auf dem iPod macht sich auch gut) und nur mit dem Passwort kann keiner mehr etwas anfangen. Onsite- und Offsite-Backup natürlich nicht vergessen, falls der Stick kaputt geht.

Muss natürlich sichergestellt sein dass genügend Dateien als Schlüssel in Frage kommen. Wenn man das Passwort hat, und dann nur noch 100 MP3s ausprobieren muss hilft das Keyfile auch nix...

Gruß, Chris
 
Die Verschlüsselung der Systempartiton ist meines Erachtens auch eher für Notebooks gedacht und da macht sie durchaus Sinn.

So sind dann zum Beispiel die privaten Emails in Outlook bei einem Verlust oder Diebstahl vor einem Zugriff durch Dritte geschützt.
 
Zurück
Oben Unten