#1 30. Juli 2009 Die Festplatten-Verschlüsselung des Krypto-Programms TrueCrypt lässt sich aushebeln. Das Verfahren dafür entwickelte der 18-jährige Peter Kleissner aus Österreich. Auf der Hacker-Konferenz "Black Hat" stellte er sein Bootkit Stoned nun öffentlich vor. Die Software klinkt sich in den Master-Boot-Record (MBR) ein, der selbst nicht verschlüsselt wird. Hier startet es vor dem eigentlichen Boot-Loader. Die Software arbeitet dann parallel zum Betriebssystem und kann jederzeit auf dieses Zugreifen. Dadurch wird es letztlich möglich Daten auszuspähen, während der Anwender sein System nutzt. Allerdings muss für die Installation des Bootkits physischer Zugang zum fraglichen Rechner bestehen. Es ist also beispielsweise nicht möglich, verschlüsselte Festplatten zu knacken, die man gestohlen hat und deren Passwort nicht zumindest einmal mit installiertem Stoned-Bootkit eingegeben wird. Besteht allerdings die Möglichkeit, unbemerkt direkten Zugang zu einem PC zu bekommen, kann man dem Nutzer die Software durchaus unterschieben. Kleissner sieht seine Entwicklung demzufolge auch als mögliche Grundlage für Ermittlungsbehörden, die im Zuge strafrechtlicher Ermittlungen auch heimlich einen Rechner ausspionieren wollen. Diese hätten durchaus die Fähigkeiten, sich im Zuge einer Observation auch unbemerkt Zugriff auf einen Rechner zu verschaffen. In diesem Fall wäre aber wohl der Einbau eines Keyloggers zum Ausspionieren des Passworts die einfachere Variante. Das Stoned-Bootkit arbeitet mit allen neueren Windows-Versionen zusammen. Kleissner stellt die Software komplett als erweiterbares Framework unter einer Open Source-Lizenz zur Verfügung. Quelle: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus - WinFuture.de + Multi-Zitat Zitieren
#2 30. Juli 2009 AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus Was genau heißt das jetzt für mich als TC-User? Warten bis TrueCrypt fixt oder immer auf 64-Bit achten, auf Bitlocker umstellen oder was? Weiß nicht in wiefern das eine Bedrohung für mich als TC-User ist. Vielleicht kann das jemand mal erklären? + Multi-Zitat Zitieren
#3 30. Juli 2009 AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus haben wir heute auf der arbeit auch heiß drüber diskutiert. Also es ist eig. nicht so die bedrohung, da man erstmal das passwort eingeben muss, nachdem die software installiert wurde. Also, an alle die angst vor dem bka haben: keine panik, denn zur eingabe eines passworts ist man nicht verpflichtet + Multi-Zitat Zitieren
#4 30. Juli 2009 AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus jung, wat bist du denn fürn fogel? zuviel schnaps getrunken mr.drossel? hahaha zu geil "weil er moewen nicht mag"^^^^ ich mag möwen b2t: ich finds gut dass er die sicherheitslücke direkt public gemacht hat, so haben alle leute die möglichkeit sich darauf einzustellen. + Multi-Zitat Zitieren
#5 30. Juli 2009 AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus Das habe ich mir auch grade gedacht ! Ich denke nicht dass das TrueCrypt Team das einfach so auf sich sitzen lässt. Hoffentlich ist das Problem mit TrueCrypt 6.3 dann schon behoben. Dadurch dass es Public wird haben alle die Möglichkeit sich Gedanken zu machen. Ansonsten wird BitLocker jetzt großen Zulauf bekommen + Multi-Zitat Zitieren
#6 30. Juli 2009 AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus Ich find's eher gut, dass er es veröffentlicht. Immerhin besteht dann die Möglichkeit, dass die TrueCrypt-Autoren ein Workaround oder nen Patch (bzw ne neue Version) veröffentlichen um das Problem zu beheben... Ausserdem weiss auch niemand, was für (beabsichtigte) Backdoors Microsoft in Bitlocker eingebaut hat... Edit: Post 1000... Power 20 Mfg TuXiFiED + Multi-Zitat Zitieren
#7 30. Juli 2009 AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus quasi nur ein keylogger auf MBR-ebene.. toll.. damit ist truecrypt nicht ausgehebelt, sondern nur das pw ausgelesen, oder seh ich das falsch? + Multi-Zitat Zitieren
#8 30. Juli 2009 AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus nee genauso ist es.. man kann auch ne news rausbringen, dass nen hardwarekeylogger truecrypt knackt. + Multi-Zitat Zitieren
#9 30. Juli 2009 AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus und beide mit ner stasi 2.0 sig.. auf der einen seite ist es natürlich von vorteil, dass er es veröffentlicht hat, wäre schon peinlich, wenn truecrypt darauf nicht mit einem dementsprechenden patch antworten würde, aber der werte herr kleissner scheint ja schon ganz große pläne in richtung spionage für den staat zu haben, würd mich nicht wundern, wenn der schon bald in nem abteil von denen sitzt. + Multi-Zitat Zitieren
#10 30. Juli 2009 AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus Was soll dass den heißen? Ich tue mit TrueCrypt zumindest einen Schritt in die richtige Richtung gegen Stasi 2.0 bzw Hausdurchsuchung 2.0 und sehe die veröffentlichung seines Codes als Schritt in die richtige Richtung, da TrueCrypt und Co so ihre Schwachstelen kennen lernen. Wenn er es nicht auf der Black Hat Versammlung gezeigt hätte und der Source Code nicht Public wäre - DANN hätte man ein Problem. Solche Leute @ Blackhat haben ja auch weniger das Ziel diese Schwachstellen zu nutzen sondern viel mehr diese Public zu machen und etwas daran zu ändern - GERADE DIESE Leute haben doch ein Interesse an sicher verschlüsselten Platten ! Ausserdem ist der Typ in einer Firma die Sicherheitssoftware entwickelt - "Ikarus Security Software". Mir soll es erstmal sowieso egal sein da ich ein x64 System benutze. Wie gesagt und glaube auch dass TrueCrypt das Problem so schnell wie möglich behebt, eben dadurch dass dieser Ösi die Schwachstelle gefunden hat. + Multi-Zitat Zitieren
#11 30. Juli 2009 AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus Mal ganz davon abgesehen, dass das ein Windows-spezifisches Problem ist... So gesehen müsste da Microsoft nachbessern und _nicht_ die TrueCrypt-Devs. Nur dadurch, dass das Problem TrueCrypt direkt betrifft werden sie es tun... + Multi-Zitat Zitieren
#12 30. Juli 2009 AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus blöd wenn man Linux nutzt und dazu noch nen keyfile, was soll da so gut sein, ich kann auch ein usb oder ps2 keylogger anschließen der "knackt" auch alles omg völliger scheiss diese Meldung ^^ Wenn ich sowieso an den Rechner muss um eine Software zu installieren die vielleicht nicht funktioniert oder aufliegt, kann ich ja gleich eine manipulierte Tastatur anschließen ist doch viel einfacher und sicherer :-D Unsere "Profis" von der Polizei wissen ja teilweise nicht mal was ein Dateisystem ist geschweige denn was NTFS, FAT, EXT3 usw. bedeutet. Ich meine wenn man sich wundert das eine Festplatte "nicht Formatiert" ist und nicht kapiert dass man eine Linux oder Mac formatierte Festplatte nicht so einfach unter Windows mounten kann, dann mach ich mir da keine gedanken über meine Sicherheit ^^ + Multi-Zitat Zitieren
#13 30. Juli 2009 AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus up diese "sicherheitslücke" ist nichts weiter wie eine form des Keylogger, der neben dem eigentlichen betriebssystem her läuft, wartet bis truecrypt die passwortabfrage anzeigt und entsprechend die eingabe bzw. das keyfile speichert und für einen späteren zugriff abgreifbar macht. dagegen wird sich truecrypt nicht schützen können. muss es auch nicht, da nicht truecypt die schwachstelle ist sondern das system. + Multi-Zitat Zitieren
#14 30. Juli 2009 AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus ja schön und gut, das ändert aber nichts an der Tatsache das man auch das keyfile braucht und das "Problem" mit Linux Da steht ja das dieser Keylogger nur in Verbindung Windows funktioniert + Multi-Zitat Zitieren
#15 31. Juli 2009 AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus Angenommen die BOOT Partition ist verschlüsselt, kann das Teil doch gar nich installiert werden? Der MBR wird doch auch verschlüsselt dann? Es kommt doch zuerst Truecrypt - dann wird alles andere durch Eingabe des Passworts freigeschalten? Oder kann mich mal jemand aufklären bitte? Danke. + Multi-Zitat Zitieren
#16 31. Juli 2009 AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus wasn das fürn kack. wenn ich zugriff auf einen rechner habe kann ich auch einfach so nen billiges "chef-tool" drauf machen das mir alles aufzeichnet, da brauch ich sowas sicher nich ^^ also von einer aufhebung der tc-verschlüsselung kann hier ja wohl nich die rede sein + Multi-Zitat Zitieren
#17 31. Juli 2009 AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus Doch - man erstelle einen MD5-hash des MBR, und wenn dieser nicht zu 100% des originalen entspricht, dann kopiert man seinen originalen mbr wieder rein Das teil sitzt selbst im MBR - und dieser kann nicht verschlüsselt werden, bzw nicht zu 100%, weil irgendwo muss die entschlüsselungsroutine ja drin sitzen, wenn man diese auch verschlüsselt, dann kann man damit nix mehr anfangen Ja, und genau dort klinkt es sich ein. Zu dem Zeitpunkt bei dem TrueCrypt kommt, und speichert das passwort, bzw die user-eingaben. Hab ichs überlesen, oder warum reden hier welche davon, dass das bei 64bit windows nicht gehen soll ? Wegen signierten treibern ? Ich dachte das teil kommt VOR windows + Multi-Zitat Zitieren
#18 31. Juli 2009 AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus Garnix heißt das für dich. 1. Der greift auf den Master Boot zu, d.h er könnte lediglich die Windows verschlüsselte Platte "entschlüsseln" da nur auf dieser platte der Master Boot logischerweise arbeitet und nicht auf normalen Datenplatten. 2. Bezweifel ich kaum das jemand persönlich an deinen rechner geht und dir was installiert xD Wie gesagt, das funzt im grund nur wie nen keylogger. + Multi-Zitat Zitieren
#19 31. Juli 2009 AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus Problem dabei ist wohl eher, dass viele leute wahrscheinlich das selbe passwort für alle platten haben, oder auf C:\ nen script zum mounten inkl der passwörter haben ("C:\ is ja verschlüsselt, also ist das unbedenklich" - nach dieser devise) - wer einigermaßen intelligent ist, weiss aber, dass dies dann nur noch eine scheinsicherheit ist. Ja, kleine wahrscheinlichkeit, wenn es um warez geht. Bei größeren fischen ist das durchaus denkbar (diese werden auch jahrelang observiert, und net sofort gebustet so wie user wegen bisschen p2p) - die großen fische werden auch verwanzt, also ist das "verwanzen" des pcs dann auch nur noch ein weiterer arbeitsschritt - was vorher bei einer verschlüsselten boot-hdd nicht ging - nun aber möglich ist. + Multi-Zitat Zitieren
#20 31. Juli 2009 AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus Aaaaaber: Nur mal angenommen ich hab TC schon drauf und Boot.part is crypted - wie zur Hölle installiert man dann etwas im MBR? DAs wäre nämlich sehr interessant für mich würd ich gern mal testen wie sowas funzt. Zu der Sache mit dem automatischen Mounten von Sekundärpartitionen: Ich finde es ist keine Scheinsicherheit - denn kein Mensch kann meine Boot Partition entschlüsseln es sei denn er bekommt vorher das Passwort durch sowas wie nen Hardware Keylogger oder foltert mich. + Multi-Zitat Zitieren
#21 31. Juli 2009 AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus Nur mag es auch mal vorkommen, dass der User auch mal den MBR ändern möchte (z.B. wenn man nen 2. OS installieren will (GRUB)), somit müsste es dann auch ne Möglichkeit geben das einmalig zu erlauben und nen neuen Hash erstellen zu lassen. Ausserdem müsste sicher sein, dass der MBR sauber ist... Neu schreiben -> Hash erstellen. Genau da müsste die oben genannte Sicherungsmaßnahme VOR der Eingabe irgendwelcher Passwörter ansetzen. + Multi-Zitat Zitieren
#22 31. Juli 2009 AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus Jungs, bevor ihr euch alle aufregt, solltet ihr euch erstmal mit der Technik auseinandersetzen... Der MBR (Master Boot Record) ist NICHT verschlüsselt, nie, auch nicht bei TC. Der ist bei jeder Festplatte vorhanden, da das BIOS aus den ersten 440 Byte den Bootloader lädt. Die restlichen 66 Byte teilen sich die Partitionstabelle (64 Byte) und die s.g. Magic Number (0xAA55). Der Trick von Bootkit ist eben, sich erstmal selber zu laden und dann erst den normalen Bootloader (von TC oder Windows, egal). Das Ding schreibt sich scheinbar einfach als Ring-0 Prozess in den Speicher und kann von da aus nunmal ALLES machen. Angefangen beim Abfangen von Tastatureingaben bis hin zur kompletten Systemkontrolle ist alles möglich. Das ist kein Problem von TC, sondern vom OS... Und das wird man softwaretechnisch schwer lösen können. mfg r90 + Multi-Zitat Zitieren
#23 31. Juli 2009 AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus Wow endlich mal jemand der sich Mühe gegeben hat das ganze etwas detailierter anzugehen. BW ist raus ! Also im Prinzip kaum eine große Leistung da der Typ im Prinzip nur nen Keylogger in den MBR pflanzt der dann alle Tasteneingaben mitließt - halt auch die von TrueCrypt? Also ist nicht TrueCrypt "geknackt" wie es in den News heißt sondern es wurde nur ein Keylogger entwickelt der schon vor TrueCrypt bzw dem Pre-Boot-Auth von TrueCrypt startet. Richtig? + Multi-Zitat Zitieren
#24 31. Juli 2009 AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus selbst mit einem patch oder update... müsste man dann nicht neu verschlüsseln?? dass dauert immer so lange *rumquängel* + Multi-Zitat Zitieren
#25 31. Juli 2009 AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus So funktioniert das Teil scheinbar. Es baut einen Hook in die Windows-I/O-Abfragen ein. Das ist prinzipiell auch ohne Bootkit möglich, solange der User Adminrechte hat. Jeder der Treiber programmieren kann, kann das auch.... es hängt sich einfach zwischen Windows und TrueCrypt, ein klassischer Man-In-The-Middle-Angriff. Das einzig besondere ist, dass der eben schon vom Booten an läuft, und nicht erst nach dem Windowsstart. @erichbitch: Genau! Lösbar ist das ganze wohl nur noch durch TPM-Hardware... + Multi-Zitat Zitieren