Wir empfehlen unseren Kunden, Festplatten von Laptops auf jeden Fall zu verschlüsseln. Dafür steht unseren Kunden das OpenSource Produkt TrueCrypt und das kommerzielle Produkt SafeGuardEasy zur Verfügung.

Nun wird in den Medien eine Passwort Attacke auf solche verschlüsselte Laptop Festplatten genannt. Wir haben das im Sinne unserer Kunden, wie folgt, untersucht:

Ausgangsunkt ist der Blog Eintrag von Joanna Rutkowska, in welchem Sie einen Proof-of-Concept vorstellt, wie man an das Bootkennwort des Anwenders für TrueCrypt rankommt und somit die Festplatte entschlüsselt bekommt:

• Der Laptop muß mit der TrueCrypt Full Disk Encryption verschlüsselt sein.
• Dann fordert er ein Passwort beim Booten an, welches die Encryption freischaltet und das Betriebssystem des Laptop booten läßt.
• Dieser Laptop steht heruntergefahren und ausgeschaltet in einem Hotelzimmer, der Anwender ist unterwegs.
• Das Zimmermädchen (daher der Name “Evil Maid”) kommt ins Zimmer mit einem präparierten USB Stick, steckt diesen in den Laptop und schaltet ihn ein.
• Der Laptop booted vom USB Stick, installiert den dort gespeicherten Keylooger und wird dann wieder ausgeschaltet.
• Nun kommt der Anwender zurück, schaltet den Laptop ein, gibt das Kennwort ein (das wird vom installierten Keylooger in einen Speicherbereich auf dem Laptop geschrieben) und der Anwender arbeitet ganz normal. Am Ende schaltet er den Laptop wieder aus.
• Das Zimmermädchen kommt am nächsten Tag, steckt den USB Stick wieder rein, booted und liest dann das gespeicherte Passwort aus.

Soweit die Theorie. Daß das ganze funktioniert, kann man selbst ausprobieren, indem man das USB Image aus dem Blogeintrag von Joanna Rutkowska herunterlädt, auf einem USB Stick installiert:

und dann von diesem Booted:

Nun teilt sich die Lösungswelt, während die Attacke bei einem Laptop mit TrueCrypt genau so funktioniert, wie von Frau Rutkowska gezeigt, so baut das kommerzielle Produkt “SafeGuard Easy” durch seinen Schutz des Master Boot Record eine Hürde ein (abgesehen davon, daß der Exploit von Frau Rutkowska ein SafeGuard Easy System zurückweist, würde er doch im Prinzip funktionieren).

Wird nun auf einem SafeGuard Easy System die MBR Protection aktiviert (was standardmäßig der Fall ist):

dann erhält der Anwender eines so gehackten Notebooks beim nächsten Start, allerdings erst nachdem er das Kennwort eingegeben hat, eine Meldung:

Hier wäre es nun Zeit, das Notebook nicht mehr aus den Augen zu lassen und sofort der IT Abteilung zur Analyse zu übergeben. Somit könnte zumindest der Diebstahl des Passwortes verhindert werden.

Ungeachtet dieser eindrucksvollen Demonstration der Möglichkeit, sich das Kennwort für eine Festplattenverschlüsselung via Software zu beschaffen, ist der Schutz gegen diese Attacke recht einfach und von allen unseren Kunden realisiert:

• Im BIOS das booten von anderen Medien, als der eingebauten Festplatte verbieten
• Ein Passwort für den Zugang zur BIOS Konfiguration vergeben

Das war’s schon. Ist ein Notebook so geschützt, muß das hier im Beispiel verwendete Zimmermädchen schon genau wissen, wie man bei diesem speziellen Notebook das BIOS Kennwort zurücksetzt oder die Festplatte ausbaut. In beiden Fällen muß die Festplatte ausgebaut werden – dann kann aber auch ein Hardware Keylogger installiert werden, der im Gegensatz zur hier gezeigten Softwarevariante absolut zuverlässig funktioniert.

Artikel, die Sie auch interessieren könnten:

• Erstellung von DTAUS Dateien oder Ein Softwarehaus das man sich wünscht
• Aztekenofen
• Apothekensuche
• Fernwartung der Fritz!Box
• Photoshop Mobile kann jetzt twittern
• Umstellung unserer Videos zu Vimeo
• Atomzeit auf dem Schreibtisch
• Live Kamera Überwachung go1984 nun auch fürs iPad
• SBSettings
• VMWare ESXi 4.0