Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus

@zivilist: Da musst du gar nicht groß patchen. Es reicht doch einfach nach installieren von Truecrypt den MBR Schutz im Bios zu aktivieren und schon kann kein Programm mehr reinschreiben. Mich wundert es, dass dieser einfache Tipp bei den diversen News rund um den Bootkit nicht gegeben wird.

@[U]nixchecker: Und dieser Schutz kann bei physikalischem Zugriff nicht deaktiviert werden... *zwinker*

@bluewater: Wenn du physikalischen Zugriff hast, kannst du auch einen FunkKeyLogger zwischen PC und Tastatur hängen. Drum ist eine reine passwortbasierte Lösung immer Scheiße.

@zivilist: Wie naiv bist du, anzunehmen, dass es sich auf anderen System nicht auch realisieren ließe? Gut, auf Macs wird's dank EFI schwer.

@fluid: Warum? Nur weil TrueCrypt sonst unfehlbar wäre? Das Produkt sollte man verbessern, nicht die Ideen junger Menschen einschränken.

@fluid: Augenzu-Mentalität :)

@tavoc: ich wäre da nicht so voreilig , MBR Rootkits gibts schon lange und der hat hier nur eine Keyloggervariante hinzugefügt um Daten mitzulesen... Ich bezweifle das Sicherheitsfirmen auf Baukasten Kids scharf sind.

@tavoc: "Peter Kleissner is employed at Ikarus Security Software as a core developer in Vienna, Austria. "

@drhook: "berühmt" werden ist wohl das was ihm wichtig ist. er hätte mich vielleicht beeindruckt, wenn er aufgezeigt hätte wie man diese schwachstelle beseitigt. statt dessen ein gelaber von wegen hilfe für ermittlungsbehörden. einfach lächerlich.

@drhook: Welchen Du dir dann in Alicante klauen lässt.

@drhook: Bootkit from the Blocks... scnr

@drhook: Was willst di mit einem gepanzerten Dienstwagen ??? Dir den in Italien im Urlaub klauen lassen ??? Das können andere Politiker besser.

@DennisMoore: Da würde ich mich an deine Stelle nicht in all zu große Sicherheit wiegen. Gerade ClosedSource ist bekannt für Backdoors.

@DennisMoore: Dafür weißt du nicht ob der Staat mal velrangt das bei Closed Software eine Hintertür eingebaut werden muss von der der User nix weiß. Das kann ja niemand nachschauen...

Und glaubst du nicht das die von trueCrypt darauf reagieren? Das wird bestimmt bald gefixt und dann beginnt das Spiel wieder von vorne. Nur eine Frage der Zeit :)

@EvilMoe: Wär es so einfach den MBR mitzuverschlüsseln wäre dies schon längst geschehen. Außerdem ist es wie schon im Text erwähnt viel einfacher einen Keylogger anzubringen anstatt Code auf den MBR zu bringen.

@DennisMoore: Wieso muss man diesen Text bitteschön als tif ablegen?

@F98: Weiß ich nicht. Ich habe das nicht gemacht. Das stammt aus dem TrueCrypt-Forum. kannst dir von www.stoned-vienna.com aber das Stoned-Framework runterladen. Da ist neben dem Source-Code auch die komplette E-Mail als .msg-Datei drin.

@EvilMoe: Beispiel SecurStar: Sie schreiben auf Ihrer Homepage, dass es ohne Passwort nicht mehr möglich ist, die Daten zu entschlüsseln und dass es keine Hintertür gibt. Gibt es nun trotzdem eine Hintertür, von der der Kunde nichts weiß, ist das eine Täuschung des Verbrauchers, gegen du dann im Fall der Fälle vor Gericht klagen könntest, wenn du z.B. dadurch entlarvt wurdest, Raubkopien auf einem verschlüsselten Laufwerk gespeichert zu haben und der "Staat" dies durch die Hintertür dir auch nachweisen konnte.

@fanboy: Genau und jeder Richter würde natürlich den "Staat" ganz doll rügen, dass er diese spekulierte Hintertür genutzt hat und außerdem dem Kunden Schadenersatz zusprechen. Wie naiv kann man sein.^^ Sry, nix Persönliches aber hier scheinen ja schon wieder die Ober-Profis mit voll der fetten Ahnung und IQ von 200 zu diskutieren. xD

@sideChain: Du klagst nicht gegen den Staat, sondern gegen Securstar in diesem Fall, da sie dich getäuscht haben.

@ckahle: Nunja, bei jemandem unbemerkt einzubrechen, um einen HW-Keylogger zu deponieren, ohne dass irgendwer dabei was mitbekommt, halte ich auch nicht gerade für eine sehr einfache Aktion.

@root_tux_linux: Gut, dass der Linux-Kernel auch Open Source ist, und man daher nicht nur sehen kann wie er funktioniert, sondern ihn auch manipulieren und ihn dir unterschieben kann.

@root_tux_linux: Schön für dich. Aber ein Bootkit ist eh viel zu kompliziert für Ermittler, ein Keylogger ist viel leichter und zuverlässiger anzubringen und der ist auch nicht nur auf einige Windows-Versionen beschränkt, sondern loggt auch bei Linux mit.

@DennisMoore: Klar, ist total easy. Kernel manipulieren und einem User unterschieben. Was hast du sonst noch so für Ideen?

@DennisMoore: Ich will mal wiesen wie du per remote einen Linux-Kernel ersetzt ohne das der Anwender Probleme bekommt mit nicht ladbaren Kernelmodulen und so weiter...

@Dennis_Moore: Die größte Gefahr ist doch dabei, dass diese Schadsoftware in Dau verwendbare Form gebracht wird und das passiert bei Windows meist sehr viel schneller, als es bei exotischeren Betriebssystemen gewöhnlich passiert. Soll heißen: da rüsten sich das Böse, die Einbrecher usw. einfach zum Beispiel mit handlichen fix und fertig Cracker-USB-Sticks aus, brechen in Firmen und Wohnungen ein, stöpseln ihren fix und fertig Cracker-USB-Stick kurz ein und fertig. So wird das wohl mit den STASI 2.0 Spitzel und Einbecher-Brigaden von Schäuble, Zierke und Konsorten laufen. Ist aber ein exotischeres System im Einsatz, fliegt der Angriff des Bösen auf. Master Boot Records lassen sich übrigens mittels "dd" vollständig *hust* "säubern", oder ordinär ausgedrückt "plattmachen". Mittels "dd" lassen sich auch zuvor gesicherte und an einem sicheren Ort vor dem Bösen geschützt aufbewahrte MBR Backups wieder zurück kopieren. So würde man den MBR sichern: dd if=/dev/BOOTPLATTE of=MBR-BACKUP-DATEI bs=512 count=1 Zurück kopieren dann einfach umgekehrt. Für BOOTPLATTE einfach das entsprechende Device einsetzen. Schätze aber mal, dass die Signatur von dieser Schadsoftware auch bald bekannt ist, was dann dem Bösen wieder das Genick bricht. *sfg*

@Fusselbär: Naja, das Sichern des MBR funktioniert unter Windows auch, nur macht es keiner. P.Kleissner empfiehlt TrueCrypt selbst den MBR per Prüfsumme zu checken, ob er infiziert wurde oder nicht. Aber das wollen die wohl nicht, weils angeblich redundant ist. Sie sagen, dass wenn ein Hacker bereits als Administrator am PC sitzt und den MBR umschreibt, es eh schon zu spät ist. Stimmt auf der einen Seite, aber auf der anderen könnte man trotzdem prüfen und den User warnen das etwas verändert wurde. So ein Check "frißt kein Brot" (sagt man bei uns) und viele Verschlüsselungsprogramme haben solch einen Check auch eingebaut.

@Dennis_Moore: Also ich mache Checksummenprüfungen und das wäre wohl auch für Truecrypt die einfachste Möglichkeit bei solchen Angriffen Alarm zu melden, einfach zum Beispiel eine md5 Checksumme für den MBR bilden und Alarm schlagen, wenn die nicht mehr übereinstimmen sollte. Es gibt da nur mit Windows ein Problem: Windows fummelt selbst immer wieder daran herum, dem fsck von FreeBSD fällt das zum Beispiel bei msdosfs immer wieder auf, wenn Windows an einer Partition rumgefummelt hatte. Windows kann nämlich einfach nicht anders, als seine veräterischen Spuren überall zu hinterlassen: "Invalid signature in fsinfo" ist dann die typische Meldung das Windows an der Platte rumfummelte. Das Linux fsck erkennt das aber nicht.

@DennisMoore: Na so leicht ist das ned. Es kann nicht jeder Depp sogut C und kryptographie das er einfach mal den Quelltext von DM-Crypt, Crypt API etc lesen und "patchen" kann. Wie willste den Kernel austauschen? Also in meinem Fall kompilier ich den Kernel selbst alles was ich brauche ist als Built In. Wenn beim boot nun plötzlich Module geladen werden die ich garnie genutzt habe würde das doch auffallen. Was ist wenn ich überhaupt kein Boot auf der Platte habe sondern bei mir trage auf nem USB Stick, microSD oder CD-Rom? Aber machen wir uns mal nix vor... ALLES IST ANGREIFFBAR DENN SICHERHEIT IST EINE ILLUSSION! PS. Du glaubst aber ned wirklich das du mit deinem Closed Source Produkt besser geschützt bist? ^^

@root_tux_linux+Fusselbär: Bei meinem Closed Source-Produkt ist immerhin nicht die Attacke so wie bei TrueCrypt möglich. Und den Kernel kann man auch austauschen ohne das verräterische Module geladen werden, indem man einfach alle Module in den Kernel reinkompiliert. Und natürlich gibts Leute die den Kernel selber kompilieren und auch die ganzen Meldungen vonwegen "Checksumme falsch" verstehen, aber das gilt halt nicht für jeden. Ich würde auch bemerken wenn mein Command-Prompt neuerdings im SYSTEM-Kontext läuft, aber Normaluser eben nicht.

@cmaus: In dem Alter ist nun mal der Höhepunkt der Leistungsfähigkeit, danach geht es bergab.

@cmaus: hmm bist du nicht selbst in dem alter?

@Fusselbär: du darfst das nicht mit sex. Leistungsfähigkeit verwechseln, hier gehts um was anderes :D

@~LN~: Hast Du das mit der Altersdemenz schon wieder vergessen? Aber mach Dir nichts draus, Vergesslichkeit hat auch Vorzüge, dann man kann jeden Tag Menschen neu kennenlernen !11

@cmaus: Das sind doch eh meistens Kinder die mit 5 oder 6 Jahren vor dem Rechner hocken und Programmieren lernen weil Papa oder Onkel oder sonst wer in der Familie Infromatiker o.ä. ist und es ihnen bebringt.

@cmaus: wie du siehst gibt es auch jugendliche die den computer nicht nur zum spielen verwenden, er hat eben solche interessen, andere wiederum knacken lieber windows oder sonstwas.

@[U]nixchecker: Von einem MBR Schutz im Bios habe ich noch nichts gesehen.

@ephemunch: Das heit auch nie MBR Schutz, sondern in der Regel was mit Virus Warning, Virus Protect, guckst du z.B. hier: http://www.buildeasypc.com/pics/bios_advance.jpg Lies mal was da rechts steht (IDE Disk boot sector->MBR). Wird Zeit, dass du dich mal mit den Grundlagen eines PCs beschäftigst:-)

@[U]nixchecker: In dem Artikel auf Heise steht, dass der "BIOS Schutz" bei diesem Kit wirkungslos ist.

@karstenschilder: Das ist Unsinn und das steht auch nicht bei Heise. Wenn im Bios der Schutz an ist, kann sich das Bootkit gar nicht in den MBR kopieren und ist somit wirkungslos. Woher soll das bei Heise stehen?

@[U]nixchecker: Die letzte Bemerkung hättest du dir sparen können.

@JaM: Dann würde aber die Checksumme nicht mehr stimmen, wenn der MBR verändert würde. Die Checksumme muss ja nicht im MBR gespeichert werden, die Checksumme kann im verschlüsseltem Bereich einer Festplatte gespeichert werden und bei Veränderungen gibt es Alarm.

@Fusselbär: Das ist richtig, überprüft würde diese ja aber durch den TrueCrypt Bootloader, welcher ja in seiner Gesamtheit ausgetauscht werden könnte. Es spielt ja keine große Rolle, ob nun dieses Bootkit noch vor dem TC-Loader agiert, oder ob einfach eine "eigene" TC-Loader Variante eingebaut wird (welche dann eben nen Keylogger drin hat, und um ihre Schutzmechanismen bereinigt wurde.). Was aber funktionieren könnte, ist ein Check durch ein extra Programm, welches mit im verschlüsselten Teil liegt, und sinnvollerweise durch das verschlüsselte OS gestartet wird, nicht durch den TC-Bootloader. Das könnte gehen. Man würde praktisch erst nachträglich, also nach dem Mounten gewarnt, dass was mit dem MBR nicht stimmt. Allerdings: Das verbesserte Bootkit stellt nach seinem Start den Original MBR wiederher, und schon funktionierts wieder nich. XD

@Bobbie25: Welche Lücke? oO

@fanboy: selten so gelacht! drivecrypt ist nur die komerzelle variante von truecrypt. alle trucrypt schawachstellen sind also auch in drivecrypt.
nuja, hashwerte solte truecrypt erstellen um das zu unterbinden..hashwert des mbr falsch, kann man pen pass, key benutzen...fertig. is ganz einfach oder? auch denkabr wäre das mbr bei verschlüsselung kopiert wird und verglichen wird bei jeder öffnung und ggf zurückgeschrieben wird.

@MxH: a) kann sich der MBR auch durchaus ohne irgendwelche Angreifer ändern - passiert nicht oft, aber ist nicht unmöglich. b) wo willst du den alten MBR speichern? Wer verhindert Manipulationen an dem angeblich sicheren MBR? c) Der MBR ist nur ein Weg... als ob es keine anderen gäbe...

@Sesamstrassentier: Muss ich dir Zustimmen, ich finds auch ein bisschen albern. Allerdings steht in der Überschrift auch "hebelt aus" und nicht "geknackt".