Soziales Netzwerk
von ToJo | 24. Oktober 2009
"Du musst dich anmelden, um [xxxxxxxxx] mit deinen Freunden teilen zu können."
Preisfragen:- Mit wem habe ich offensichtlich mal Schweine gehütet ?
- Wie viele Fehler stecken in der Aussage ?
Bundesjustizministerin Brigitte Zypries
von ToJo | 22. Oktober 2009
Apple Flame
von ToJo | 22. Oktober 2009
Sobald in einem NewsBlog irgend etwas über Windows 7 geschrieben wird, melden sich direkt MAC User und fangen an zu flamen. Erinnert mich schwer an die Zeit als die Windows-Fraktion einsehen musste das Linux kein Müll ist und eben nicht morgen aussterben wird. Aber egal...
TrueCrypt
von ToJo | 21. Oktober 2009
Weil ich wohl ständig für Verschlüsselung Werbung laufe und dabei immer wieder TrueCrypt ans Herz lege, haben mich einige besorgte Emails erreicht. In den letzten Tagen meldeten verschiedene Internetdienste wie z.B. heise.de, dass ein neues Tool zum Aushebeln von TrueCrypt veröffentlicht wurde.
Muss man jetzt um seine verschlüsselten Daten fürchten?
Dieses Tool stammt von Joanna Rutkowska und wird bei einem "Evil Maid" Angriff eingesetzt. Zunächst ist dafür direkter (physischer) Zugriff auf den Computer oder die Festplatte nötig. In dem beispielhaften Szenario ist es ein böses Zimmermädchen (daher der Name) das den ungeschützten Laptop von einem USB Stick bootet. Der Computer startet nun nicht das Betriebssystem von der Festplatte sondern installiert ein Programm, das beim nächsten Computerstart noch vor Windows ausgeführt wird und die Eingaben der Tastatur und damit das Passwort für TrueCrypt mit liest (Keylogger) . Nun ist der zweite Zugriff auf den Computer bzw. Festplatte notwendig um die Daten mit dem erschnüffelten Passwort zu entschlüsseln.
Betroffen sind zunächst Nutzer die ihre Systempartition mitsamt dem Betriebssystem verschlüsselt haben. Alle die ihr TrueCrypt Passwort erst nach der Windowsanmeldung eingeben, sind nicht Ziel dieser Attacke. Diese Gruppe kann oder besser muss sich weiterhin mit aktueller Antivirussoftware vor Keyloggern und Trojanern schützen. Diese erreichen einen in Form eines Emailanhanges a la "Rechnung.exe" und in neuster Zeit auch als PDF Dokument, dass eine Schwachstelle im Adobe Acrobat Reader nutzt.
Die TrueCrypt Entwickler erwidern nun, und das ist absolut richtig, dass es sich um keine Schwachstelle von TrueCrypt handelt. Das Ausspähen eines Kennwortes ist via Keylogger immer möglich. Hat der Angreifer physischen Zugriff auf den Computer, gäbe es auch Hardwarelogger bzw. Tastaturwanzen gegen die jeder Softwareschutz auf dem Rechner absolut machtlos ist. Sowas kommt nicht von der NSA. Solche Dinger gibt es für ein Taschengeld, quasi zum Spaß, für jeden zu kaufen.
Allerdings wurde die Methode bereits im Juli von einem jungen Österreicher vorgestellt und die TrueCrypt Entwickler von ihm mitsamt Lösungsvorschlägen informiert. Die rüde Reaktion* ist mir insgesamt unverständlich. Obwohl das Problem durch TrueCrypt gelöst werden könnte, weigern sich die Entwickler darauf ein zu gehen. Die Zauberwörter, natürlich sind es Abkürzungen, heißen TPM und MBR-Validierung. Damit ist der Angriff zwar nicht sicher zu verhindern, kann aber festgestellt und vom System gemeldet werden bevor der zweite Zugriff des Angreifers erfolgt. Erstellt man nun mit den Bordmitteln des Betriebssystems einen neuen MBR und Verschlüsselt die Partition erneut, ist das ausgespähte Kennwort unbrauchbar und der Keylogger entfernt.
BitLocker von Microsoft z.B. beherrscht das, ist aber erst ab Vista Enterprise und Ultimate enthalten und leider kann hier niemand überprüfen, ob nicht Hintertüren verbaut wurden (closed source) . Aber genau hier setzt auch ein weiters Manko von TrueCrypt ein. Ich finde bislang keine Validierungen von TrueCrypt. Selbst bin ich nicht in der Lage den Quellcode zu prüfen. Insofern ist das für mich auch nicht besser. Letztlich ist der Quellcode aber veröffentlicht und einsehbar.
Dorn im Auge ist mir auch der Umgang mit den Nutzern des Apple Betriebssystems (MAC OS). Seit der neusten Version "MAC OS 10.06 >Snow Leopard<" läuft TrueCrypt nicht mehr und ein Fix ist erst für zukünftige TrueCrypt-Versionen geplant. Seit Ende August warten MAC User nun, um wieder auf ihre Daten zugreifen zu können. Daten müssen verfügbar sein... Da kommt man doch ins Grübeln, denn so etwas darf bei einer Sicherheitssoftware nicht passieren. Entweder supportet man eine Plattform oder nicht.
Wie kann man sich denn nun vor der Bedrohung schützen?
- Den Computer unbefugten nicht zugänglich machen.
Also mitnehmen oder wegschließen. - Im BIOS einstellen, dass nur von der Systemfestplatte gestartet werden kann
- BIOS Passwort zum Starten des Computers einstellen
- Das Gehäuse versiegeln
- Verwendete Software ausnahmslos auf dem aktuellsten Stand halten
(Antivirus, Browser, Officeanwendungen, PDF Reader usw.) - Nicht mit Administrator Rechten arbeiten
Sowohl der Ausbau der Festplatte als auch ein Rücksetzen des BIOS oder TPM kann nun zumindest durch den Siegelbruch erkannt werden. Allerdings sollte man sich auf BIOS Passwörter nicht unbedingt verlassen. Auch nicht auf die eigene Zuverlässigkeit was die Kontrolle der Siegel anbelangt.
Dem bösen Zimmermädchen wird die Attacke aber damit zumindest erschwert.
- Einsatz von zusätzlicher Software (MBR Überwachung)
Einige Ansätze sind bereits im Netz zu finden aber auch hier kann letztlich nur der Einbruch festgestellt werden.
- Den Computer nur mit dem TrueCrypt Rettungsdatenträger starten
Sicher - aber unpraktisch.
Fazit:
Für TrueCrypt Nutzer die nur mit Containern arbeiten und nicht ihre Systempartition (inkl. Betriebssystem) verschlüsselt haben, ändert sich erst einmal überhaupt nichts.
Wer so wie ich einfach nur verhindern möchte, dass im Falle eines Diebstahls oder Verlustes die Daten unbefugt eingesehen werden können, braucht sich auch nicht weiter zu fürchten. Der Dieb oder Finder müsste das Gerät ja wenigstens zurück bringen bevor er an die Daten kommt.
Für Firmen mit sensiblen Daten sieht das schon wieder ganz anders aus. Wer Daten vor gezielter Spionage schützen muss, sollte auf Lösungen mit TMP und MBR Validierung nicht verzichten. Einfach weil es mehr Sicherheit gibt. Eigentlich egal wieviel. Es muss geprüft werden ob TrueCrypt in der jetzigen Form den Sicherheitsansprüchen genügt oder ergänzt/ersetzt werden muss. Zumindest solange bis das TrueCrypt Team den Kopf aus dem Sand zieht und endlich konstruktiv reagiert.
Aber:
Alle diese Methoden benötigen physischen Zugriff auf den Computer oder Zugriff mit Administratorrechten auf das laufende System. Ein solcher Computer muss grundsätzlich als kompromittiert betrachtet werden. Das ist nichts neues und auch keine Windowsschwäche. Beschlagnahmte Computerhardware (z.B. an amerikanischen Flughäfen) hat sicherheitstechnisch nur noch Schrottwert. Selbst eine komplette Neuinstallation brächte keinerlei Sicherheit.
Streicht man nun also mal das ganze Sensationsgehabe weg, bleiben ein Bootkit, ein Trojaner und ein Keylogger - also eigentlich zwei alte Bekannte und die jüngeren Bootkits. Aber alles Bedrohungen die nicht neu sind und einen Aufschrei sicher nicht rechtfertigen.
Kleissner trägt ganz schön dick auf und agiert sensationslüstern. Obwohl er sicher weiss, dass er keine TrueCrypt Schwäche aufgedeckt hat, zieht er das Team in Verantwortung. Das sollte der Sicherheitsexperte und (selbsternannte) Dev. Guru in Wien eigentlich besser wissen. Sein Framework Greift viel mehr Windows an und "kapert" die cmd.exe. Das Konzept kommt aber nicht von ihm und somit kann er sich schlecht an Microsoft wenden. Nachvollziehbar das die Jungs/Mädels (?) von TC evtl. eine gewisse Voreingenommenheit mitbringen. Trotzdem ist nicht zu verstehen warum das TC Team auf die Vorschläge nicht eingeht. Auch die Tonart finde ich recht unangebracht. Jemanden der mir gerade einen Gefallen getan hat, kann ich respektvoller behandeln. Ich muss ihn ja nicht lieb haben.
Spinne
von ToJo | 6. Juli 2009
