Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus

Sicherheitslücken Die Festplatten-Verschlüsselung des Krypto-Programms TrueCrypt lässt sich aushebeln. Das Verfahren dafür entwickelte der 18-jährige Peter Kleissner aus Österreich. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Dann kann er ja nun eine Bewerbung an Schäuble und das BKA schreiben.
 
@Sehr-Gut: Deutsche kommen als Gastarbeiter nach Österreich, nicht umgekehrt ,-)
 
@Sehr-Gut: Aber nicht in Deutschland - hier geht er dafür gleich in den Knast ohne über "Los" zu kommen. Talente werden in Deutschland nicht gefördert!
 
wird ja hoffentlich bald gepatcht. Gut, dass TrueCrypt nicht nur auf Windows läuft.
Ausführliche Meldung auf heise.de:
http://www.heise.de/newsticker/meldung/142780
 
@zivilist: Da musst du gar nicht groß patchen. Es reicht doch einfach nach installieren von Truecrypt den MBR Schutz im Bios zu aktivieren und schon kann kein Programm mehr reinschreiben. Mich wundert es, dass dieser einfache Tipp bei den diversen News rund um den Bootkit nicht gegeben wird.
 
@[U]nixchecker: Und dieser Schutz kann bei physikalischem Zugriff nicht deaktiviert werden... *zwinker*
 
@bluewater: Wenn du physikalischen Zugriff hast, kannst du auch einen FunkKeyLogger zwischen PC und Tastatur hängen. Drum ist eine reine passwortbasierte Lösung immer Scheiße.
 
@zivilist: Wie naiv bist du, anzunehmen, dass es sich auf anderen System nicht auch realisieren ließe? Gut, auf Macs wird's dank EFI schwer.
 
Hm. Als erweiterbares Framework zur Verfügung. Ist ja ganz toll. Solche Software sollte man eher verbieten, anstatt sie zu verbreiten!
 
@fluid: Warum? Nur weil TrueCrypt sonst unfehlbar wäre? Das Produkt sollte man verbessern, nicht die Ideen junger Menschen einschränken.
 
@fluid: Augenzu-Mentalität :)
 
da hat er doch eine super Bewerbungsgrundlage für viele Sicherheitfirmen. Genau das richtige Alter. Und nebenbei evtl. noch ein Studium
 
@tavoc: ich wäre da nicht so voreilig , MBR Rootkits gibts schon lange und der hat hier nur eine Keyloggervariante hinzugefügt um Daten mitzulesen... Ich bezweifle das Sicherheitsfirmen auf Baukasten Kids scharf sind.
 
@tavoc: "Peter Kleissner is employed at Ikarus Security Software as a core developer in Vienna, Austria. "
 
Im Prinzip hängt sich das Stoned-Bootkit über den MBR in das System rein und "notiert" nur die Passwörter usw. die für Truecrypt eingegeben werden. Sollte aber nicht schwierig sein den MBR zu untersuchen, ob da irgendein Mist drauf ist. Dieses
Stoned-Bootkit sollte wohl sehr sehr einfach zu bekämpfen sein. So eine grosse Leistung so etwas zu programmieren ist das nun auch nicht, gehört irgendwie in die
Kategorie "Bootkit from Kids". Werde mich mal auch bei der Hackerkonferenz mit solch einem modifizierten Keylogger anmelden um "berühmt" zu werden, vielleicht stellt mich Herr Schäuble dann auch an und ich bekomme auch einen gepanzerten Dienstwagen.
 
@drhook: "berühmt" werden ist wohl das was ihm wichtig ist. er hätte mich vielleicht beeindruckt, wenn er aufgezeigt hätte wie man diese schwachstelle beseitigt. statt dessen ein gelaber von wegen hilfe für ermittlungsbehörden. einfach lächerlich.
 
@drhook: Welchen Du dir dann in Alicante klauen lässt.
 
@drhook: Bootkit from the Blocks... scnr
 
@drhook: Was willst di mit einem gepanzerten Dienstwagen ??? Dir den in Italien im Urlaub klauen lassen ??? Das können andere Politiker besser.
 
Puh, gut das ich kein TrueCrypt verwende, sondern eine ClosedSource-Lösung. Der Autor von Stoned hat ja ausdrücklich erwähnt das ihm die Tatsache das es sich bei TrueCrypt um OpenSource-Software handelt, sehr entgegen gekommen ist bei der Entwicklung seiner Schadsoftware.
 
@DennisMoore: Da würde ich mich an deine Stelle nicht in all zu große Sicherheit wiegen. Gerade ClosedSource ist bekannt für Backdoors.
 
@DennisMoore: Und du meinst, ClosedSource ändert etwas an der Tatsache, dass ein Keylogger über den MBR aktiviert wird und Passwörter für die Sicherheitslösung mitliest?
 
@DennisMoore: Dafür weißt du nicht ob der Staat mal velrangt das bei Closed Software eine Hintertür eingebaut werden muss von der der User nix weiß. Das kann ja niemand nachschauen...

Und glaubst du nicht das die von trueCrypt darauf reagieren? Das wird bestimmt bald gefixt und dann beginnt das Spiel wieder von vorne. Nur eine Frage der Zeit :)
 
@EvilMoe: Wär es so einfach den MBR mitzuverschlüsseln wäre dies schon längst geschehen. Außerdem ist es wie schon im Text erwähnt viel einfacher einen Keylogger anzubringen anstatt Code auf den MBR zu bringen.
 
@satyris: Nun ja, in diesem Fall ändert es tatsächlich etwas. Da meine Lösung Closed Source ist, kann der Hersteller auch Drittanbietermodule verwenden die Open Source nicht verwenden kann (Lizenzkram). In diesem Fall die Boottime-Unterstützung von Aladdin. Mein Passwort, welches ich über die Tastatur eingebe, startet nur eine Routine im Bootloader, die das eigentliche Passwort aus einem Sicherheitstoken zieht. Ein Keylogger nutzt in diesem Fall also absolut gar nichts, da man nicht nur das Passwort, sondern auch das Hardware-Token braucht. (Zwei-Faktor Authentifizierung) @Barnz: Man kann sich bei einem großen, angesehenen Sicherheitsunternehmen recht sicher sein, dass es keine Backdoors gibt. Ansonsten wäre es nämlich nicht so groß und angesehen.
 
@EvilMoe: Zum Thema "Das wird bestimmt bald gefixt" ... http://tinyurl.com/lwk633 ...
 
@DennisMoore: Wieso muss man diesen Text bitteschön als tif ablegen?
 
@F98: Weiß ich nicht. Ich habe das nicht gemacht. Das stammt aus dem TrueCrypt-Forum. kannst dir von www.stoned-vienna.com aber das Stoned-Framework runterladen. Da ist neben dem Source-Code auch die komplette E-Mail als .msg-Datei drin.
 
@EvilMoe: Beispiel SecurStar: Sie schreiben auf Ihrer Homepage, dass es ohne Passwort nicht mehr möglich ist, die Daten zu entschlüsseln und dass es keine Hintertür gibt. Gibt es nun trotzdem eine Hintertür, von der der Kunde nichts weiß, ist das eine Täuschung des Verbrauchers, gegen du dann im Fall der Fälle vor Gericht klagen könntest, wenn du z.B. dadurch entlarvt wurdest, Raubkopien auf einem verschlüsselten Laufwerk gespeichert zu haben und der "Staat" dies durch die Hintertür dir auch nachweisen konnte.
 
@fanboy: Genau und jeder Richter würde natürlich den "Staat" ganz doll rügen, dass er diese spekulierte Hintertür genutzt hat und außerdem dem Kunden Schadenersatz zusprechen. Wie naiv kann man sein.^^ Sry, nix Persönliches aber hier scheinen ja schon wieder die Ober-Profis mit voll der fetten Ahnung und IQ von 200 zu diskutieren. xD
 
@sideChain: Du klagst nicht gegen den Staat, sondern gegen Securstar in diesem Fall, da sie dich getäuscht haben.
 
"In diesem Fall wäre aber wohl der Einbau eines Keyloggers zum Ausspionieren des Passworts die einfachere Variante." Wie soll ein SW-Keylogger denn im Bootvorgang bitte funktionieren?
 
@Barnz: Wo war die Rede von Software?
 
@ckahle: Nunja, bei jemandem unbemerkt einzubrechen, um einen HW-Keylogger zu deponieren, ohne dass irgendwer dabei was mitbekommt, halte ich auch nicht gerade für eine sehr einfache Aktion.
 
Gut das ich DM-Crypt + Luks verwende :)
 
@root_tux_linux: "Gut, dass..."
 
@root_tux_linux: Gut, dass der Linux-Kernel auch Open Source ist, und man daher nicht nur sehen kann wie er funktioniert, sondern ihn auch manipulieren und ihn dir unterschieben kann.
 
@root_tux_linux: Schön für dich. Aber ein Bootkit ist eh viel zu kompliziert für Ermittler, ein Keylogger ist viel leichter und zuverlässiger anzubringen und der ist auch nicht nur auf einige Windows-Versionen beschränkt, sondern loggt auch bei Linux mit.
 
@DennisMoore: Klar, ist total easy. Kernel manipulieren und einem User unterschieben. Was hast du sonst noch so für Ideen?
 
@DennisMoore: Ich will mal wiesen wie du per remote einen Linux-Kernel ersetzt ohne das der Anwender Probleme bekommt mit nicht ladbaren Kernelmodulen und so weiter...
 
@MYC: Was ist daran kompliziert einen Kernel zu manipulieren, zu kompilieren, auf einen USB-Stick zu kopieren, davon zu booten und auf dem Zielsystem die Dateien zu ersetzen? Könnte höchstens kompliziert werden wenn man /boot auch verschlüsselt und nicht nur das eigentliche System.
 
@Dennis_Moore: Die größte Gefahr ist doch dabei, dass diese Schadsoftware in Dau verwendbare Form gebracht wird und das passiert bei Windows meist sehr viel schneller, als es bei exotischeren Betriebssystemen gewöhnlich passiert. Soll heißen: da rüsten sich das Böse, die Einbrecher usw. einfach zum Beispiel mit handlichen fix und fertig Cracker-USB-Sticks aus, brechen in Firmen und Wohnungen ein, stöpseln ihren fix und fertig Cracker-USB-Stick kurz ein und fertig. So wird das wohl mit den STASI 2.0 Spitzel und Einbecher-Brigaden von Schäuble, Zierke und Konsorten laufen. Ist aber ein exotischeres System im Einsatz, fliegt der Angriff des Bösen auf. Master Boot Records lassen sich übrigens mittels "dd" vollständig *hust* "säubern", oder ordinär ausgedrückt "plattmachen". Mittels "dd" lassen sich auch zuvor gesicherte und an einem sicheren Ort vor dem Bösen geschützt aufbewahrte MBR Backups wieder zurück kopieren. So würde man den MBR sichern: dd if=/dev/BOOTPLATTE of=MBR-BACKUP-DATEI bs=512 count=1 Zurück kopieren dann einfach umgekehrt. Für BOOTPLATTE einfach das entsprechende Device einsetzen. Schätze aber mal, dass die Signatur von dieser Schadsoftware auch bald bekannt ist, was dann dem Bösen wieder das Genick bricht. *sfg*
 
@Fusselbär: Naja, das Sichern des MBR funktioniert unter Windows auch, nur macht es keiner. P.Kleissner empfiehlt TrueCrypt selbst den MBR per Prüfsumme zu checken, ob er infiziert wurde oder nicht. Aber das wollen die wohl nicht, weils angeblich redundant ist. Sie sagen, dass wenn ein Hacker bereits als Administrator am PC sitzt und den MBR umschreibt, es eh schon zu spät ist. Stimmt auf der einen Seite, aber auf der anderen könnte man trotzdem prüfen und den User warnen das etwas verändert wurde. So ein Check "frißt kein Brot" (sagt man bei uns) und viele Verschlüsselungsprogramme haben solch einen Check auch eingebaut.
 
@Dennis_Moore: Also ich mache Checksummenprüfungen und das wäre wohl auch für Truecrypt die einfachste Möglichkeit bei solchen Angriffen Alarm zu melden, einfach zum Beispiel eine md5 Checksumme für den MBR bilden und Alarm schlagen, wenn die nicht mehr übereinstimmen sollte. Es gibt da nur mit Windows ein Problem: Windows fummelt selbst immer wieder daran herum, dem fsck von FreeBSD fällt das zum Beispiel bei msdosfs immer wieder auf, wenn Windows an einer Partition rumgefummelt hatte. Windows kann nämlich einfach nicht anders, als seine veräterischen Spuren überall zu hinterlassen: "Invalid signature in fsinfo" ist dann die typische Meldung das Windows an der Platte rumfummelte. Das Linux fsck erkennt das aber nicht.
 
@DennisMoore: Na so leicht ist das ned. Es kann nicht jeder Depp sogut C und kryptographie das er einfach mal den Quelltext von DM-Crypt, Crypt API etc lesen und "patchen" kann. Wie willste den Kernel austauschen? Also in meinem Fall kompilier ich den Kernel selbst alles was ich brauche ist als Built In. Wenn beim boot nun plötzlich Module geladen werden die ich garnie genutzt habe würde das doch auffallen. Was ist wenn ich überhaupt kein Boot auf der Platte habe sondern bei mir trage auf nem USB Stick, microSD oder CD-Rom? Aber machen wir uns mal nix vor... ALLES IST ANGREIFFBAR DENN SICHERHEIT IST EINE ILLUSSION! PS. Du glaubst aber ned wirklich das du mit deinem Closed Source Produkt besser geschützt bist? ^^
 
@root_tux_linux+Fusselbär: Bei meinem Closed Source-Produkt ist immerhin nicht die Attacke so wie bei TrueCrypt möglich. Und den Kernel kann man auch austauschen ohne das verräterische Module geladen werden, indem man einfach alle Module in den Kernel reinkompiliert. Und natürlich gibts Leute die den Kernel selber kompilieren und auch die ganzen Meldungen vonwegen "Checksumme falsch" verstehen, aber das gilt halt nicht für jeden. Ich würde auch bemerken wenn mein Command-Prompt neuerdings im SYSTEM-Kontext läuft, aber Normaluser eben nicht.
 
Wieso sind diese Super-Hacler immer 13-, 14-, 15-, 16-, 17-, oder 18-Jährige Knaben?
Gibt es irgendwo eine Farm auf der Kinder zum Programmieren und Hacken großgezogen werden?
Ich finde Programmieren an sich schon eine Meisterleistung. Und da haut sich mal eben so ein halbgarer Furz hin und krempelt die IT-Welt um?!?
 
@cmaus: Die haben halt viel Zeit und fummeln gerne an Computern rum. Als professioneller IT-Sicherheitsmensch sitzt man ja doch meist an Projekten um für Firmen gegen Geld Sicherheitslösungen zu entwicklen. Da bleibt kaum Zeit sich mal hinzusetzen und sowas zu versuchen.
 
@cmaus: In dem Alter ist nun mal der Höhepunkt der Leistungsfähigkeit, danach geht es bergab.
 
@cmaus: hmm bist du nicht selbst in dem alter?
 
@Fusselbär: du darfst das nicht mit sex. Leistungsfähigkeit verwechseln, hier gehts um was anderes :D
 
@~LN~: Hast Du das mit der Altersdemenz schon wieder vergessen? Aber mach Dir nichts draus, Vergesslichkeit hat auch Vorzüge, dann man kann jeden Tag Menschen neu kennenlernen !11
 
@cmaus: Das sind doch eh meistens Kinder die mit 5 oder 6 Jahren vor dem Rechner hocken und Programmieren lernen weil Papa oder Onkel oder sonst wer in der Familie Infromatiker o.ä. ist und es ihnen bebringt.
 
@cmaus: wie du siehst gibt es auch jugendliche die den computer nicht nur zum spielen verwenden, er hat eben solche interessen, andere wiederum knacken lieber windows oder sonstwas.
 
Leute einfach dem MBR Schutz im Bios aktivieren und das wars, dann muss jemand erstmal an den PC ran um den Schutz wieder rauszunehmen, dagegen hilft PC in Safe packen. Übrigends gibts für 19" Server solche Safes:-)
 
@[U]nixchecker: Von einem MBR Schutz im Bios habe ich noch nichts gesehen.
 
@ephemunch: Das heit auch nie MBR Schutz, sondern in der Regel was mit Virus Warning, Virus Protect, guckst du z.B. hier: http://www.buildeasypc.com/pics/bios_advance.jpg Lies mal was da rechts steht (IDE Disk boot sector->MBR). Wird Zeit, dass du dich mal mit den Grundlagen eines PCs beschäftigst:-)
 
@[U]nixchecker: In dem Artikel auf Heise steht, dass der "BIOS Schutz" bei diesem Kit wirkungslos ist.
 
@karstenschilder: Das ist Unsinn und das steht auch nicht bei Heise. Wenn im Bios der Schutz an ist, kann sich das Bootkit gar nicht in den MBR kopieren und ist somit wirkungslos. Woher soll das bei Heise stehen?
 
@[U]nixchecker: Die letzte Bemerkung hättest du dir sparen können.
 
Hat ein Unbefugter physischen Zugang zu deinem Rechner, ist es nicht mehr dein Rechner.
 
Naja, ist eigentlich nicht weiter schlimm. Wer physischen Zugang hat, wird _jeden_ Zugangsschutz umgehen können. Wurde ja oben schon alles gesagt, ich mein, nen Hardware-Keylogger anzubringen, dürfte noch einfacher sein, als das hier. Im Übrigen, irgendeinen MBR-Check in TrueCrypt einzubauen wäre überflüssig, da ja der Angreifer dann einfach seine eigene TrueCrypt-Version in den MBR schreiben kann... :) Also, mal wieder viel Wind um nichts.
 
@JaM: Dann würde aber die Checksumme nicht mehr stimmen, wenn der MBR verändert würde. Die Checksumme muss ja nicht im MBR gespeichert werden, die Checksumme kann im verschlüsseltem Bereich einer Festplatte gespeichert werden und bei Veränderungen gibt es Alarm.
 
@Fusselbär: Das ist richtig, überprüft würde diese ja aber durch den TrueCrypt Bootloader, welcher ja in seiner Gesamtheit ausgetauscht werden könnte. Es spielt ja keine große Rolle, ob nun dieses Bootkit noch vor dem TC-Loader agiert, oder ob einfach eine "eigene" TC-Loader Variante eingebaut wird (welche dann eben nen Keylogger drin hat, und um ihre Schutzmechanismen bereinigt wurde.). Was aber funktionieren könnte, ist ein Check durch ein extra Programm, welches mit im verschlüsselten Teil liegt, und sinnvollerweise durch das verschlüsselte OS gestartet wird, nicht durch den TC-Bootloader. Das könnte gehen. Man würde praktisch erst nachträglich, also nach dem Mounten gewarnt, dass was mit dem MBR nicht stimmt. Allerdings: Das verbesserte Bootkit stellt nach seinem Start den Original MBR wiederher, und schon funktionierts wieder nich. XD
 
Die Lücke liesse sich doch schliessen oder?
 
@Bobbie25: Welche Lücke? oO
 
Ich sehe jetzt nicht wo da groß der Unterschied zu einem Trojanischen Pferd liegt, dass ich mir während ich mit meiner verschlüsselten Festplatte arbeite aus dem Netz einfgefangen und auf der verschlüsselten Festplatte abgelegt habe. Dieses wird dann bei jedem Verschlüsselungsvorgang mitverschlüsselt und ruht während ich die Platte nicht nutze, sowie ich sie nutze, kann das trojanische Pferd wieder meine Tastatureingaben z.B. versenden.
 
I love my DriveCrypt <3 - Securstar an die Macht :-) So OpenSource-Dreck taugt eben nix
 
@fanboy: selten so gelacht! drivecrypt ist nur die komerzelle variante von truecrypt. alle trucrypt schawachstellen sind also auch in drivecrypt.
nuja, hashwerte solte truecrypt erstellen um das zu unterbinden..hashwert des mbr falsch, kann man pen pass, key benutzen...fertig. is ganz einfach oder? auch denkabr wäre das mbr bei verschlüsselung kopiert wird und verglichen wird bei jeder öffnung und ggf zurückgeschrieben wird.
 
@MxH: a) kann sich der MBR auch durchaus ohne irgendwelche Angreifer ändern - passiert nicht oft, aber ist nicht unmöglich. b) wo willst du den alten MBR speichern? Wer verhindert Manipulationen an dem angeblich sicheren MBR? c) Der MBR ist nur ein Weg... als ob es keine anderen gäbe...
 
Von "geknackt" kann ja keine Rede sein, hötte mich auch gewundert. Mit nem Passwort komm ich auch überall rein und Leylogger gibts auch nicht erst seit gestern. Aber Politkern mit null Ahnung kann man schon damit beeindrucken und das BKA hat ja ganz andere Möglichkeiten, zumal viell.eicht gerade mal 0,00001 Prozent der Rechner tatsächlich verschlüsselt sind
 
@Sesamstrassentier: Muss ich dir Zustimmen, ich finds auch ein bisschen albern. Allerdings steht in der Überschrift auch "hebelt aus" und nicht "geknackt".
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles