Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus

Dieses Thema im Forum "Netzwelt" wurde erstellt von TheFrozen, 30. Juli 2009 .

Schlagworte:
  1. 31. Juli 2009
    AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus

    Hier wird das Bootkit dann später mal zum Download angeboten...
     
  2. 31. Juli 2009
    AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus

    Oh mann, du hast doch absolut keine Ahnung von der Security-Scene. Es ist ganz normal, dass Schwachstellen offen diskutiert werden, sodass der Hersteller die Möglichkeit besitzt, diese zu beheben.

    Wärs dir lieber, wenn nur das BKA/FBIA/sonstige-Institutionen-mit-3-Buchstaben davon wüssten und davon gebrauch machen? Und die Leute nichtmal wüssen, wo die Lücke vorhanden wäre?

    Am besten erstmal nachdenken, bevor man gleich mit vorpubertären Schimpfwörtern um sich schmeisst.
     
  3. 31. Juli 2009
    AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus

    Oh man das gefährliche an dem Ding ist, dass es ein Open-Source Rootkit ist, das in jedem Betriebssystem funktioniert:
    Ich hoffe euch ist klar, dass da ein Antivirenscanner gar nichts mehr bringt! Das Ding kann alles beliebig manipulieren -> AV wird nutzlos. Ihr könnt euch also auf neue Super Trojaner/Viren/Würmer in Verbindung mit dieser Rootkit Technik freuen. Da hilft dann nur neu formatieren, wenn ihr die Infektion überhaupt erst bemerkt.
    Und als netter Nebeneffekt funktioniert es auch wenn Truecrypt installiert ist, aber das ist doch nur eine unwichtige Tatsache. Ermittlungsbehörden könnten es zwar einsetzen, aber als ob die darauf angewiesen sind. Die haben ihre eigenen Informatik Spezialisten, die sicher auch in der Lage sind was ähnliches zu entwerfen....

    Ich weiss nicht ob es ein scherz sein soll, aber da liegt auch ne Preisliste im Packet:
     
  4. 31. Juli 2009
    AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus

    Aber eigentlich müsste es doch möglich sein sich total easy zu schützen:


    -Nach dem Formatieren schmeißt man direkt TrueCrypt drauf.
    -TrueCrypt müsste einen Hash-Wert vom MBR speichern
    -Vor dem starten des Pre-Boot Auth müsste dieser Hash mit dem jetztigen Hash des MBR abgeglichen werden
    -Wenn der jetzige und der damalige Hash nicht übereinstimmt dann kein PreBootAuth = Keine Passworteingabe = Keylogger im MBR zwecklos

    Würde sowas nicht davor schützen? Dazu noch einen MBR-Recovery auf der TrueCrypt Recovery Disk und alles wäre gut.


    Dürfte programmiertechnisch ja auch nicht grade so schwer sein.

    Oder?
     
  5. 31. Juli 2009
    AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus

    tzz einfach den gespeicherten truecrypt mbr hash ersetzen mit dem neuen:thumbsdown:
     
  6. 31. Juli 2009
    AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus

    Das heißt doch im Prinzip ,das die Bullen bevor sie meinen PC knacken , mich erstmal infizieren müssen ,stimmts?
    Wie wollen sie das denn bitte anstellen? Mich per ICQ anschreiben ,mit nem OllenNickname , und sagen :Hey guck ma hier , das sind neue Nacktbilder von mir ?

    Check das nicht so ganz.Im Prinzip isses doch noch "ungeknackt".
     
  7. 31. Juli 2009
    AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus

    ja genau zum Beispiel oder per E-Mail.
    Viel wahrscheinlicher ist aber: Wohnung einbrechen, wenn du nicht da bist, und heimlich den PC infizieren. Aber sowas machen die eigentlich erst wenn du verdächtigt wirst ein Terrorist zu sein...
     
  8. 31. Juli 2009
    AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus

    blablabla ... genau!

    wäre es nicht zum beispiel viel schlauer von dem superbrain, dass er mögliche verbesserungen entiwckelt als dass er quasi jedem die möglichkeit gibt tc zu cracken? hmm.
     
  9. 31. Juli 2009
    AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus

    Naja, um Lösungen zu entwickeln muss man erstmal das Problem genau kennen und beschreiben können.
     
  10. 31. Juli 2009
    AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus

    Decryption routine mit AES (oder sonstwas, am besten wohl doch nen algo, mit dem man die encrypted hdd NICHT verschlüsseln kann :>) verschlüsseln, md5 hash des bootloaders als pwd.

    Richtiger bootloader -> decrypt
    Falscher bootloader -> fail

    Beim neu-schreiben des bootloaders, muss natürlich auch die decryption-routine erneut decrypted werden.

    Das ganze ist programmiertechnisch eigentlich nicht so sehr anspruchsvoll.
     
  11. 31. Juli 2009
    AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus

    Ja und dann brechen se ein.
    Machen mein PC an und sehen :

    Passwortabfrage von TrueCrypt.
    Und nu? Also sind die User mit Brain.exe sicher ?

    Ich öffne niemals Emails von fremden vorallem nicht welche mit Anhang.Auch nicht welche von Bekannten.Und ICQ , mal ernsthaft wer nimmt sowas an ?^^
     
  12. 31. Juli 2009
    AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus

    Eben - Genau so habe ich mir das ja gedacht.
    Der Hash muss gecrypted abgelegt sein - Sollte für TrueCrypt - Mitarbeiter ja kein Problem sein oder ?
    Also ich könnte mir vorstellen das genau da eine möglichkeit besteht das ganze zu stoppen, ich wüsste nicht wo sonst.
    PreBootAuth muss erkennen wenn was egändert wurde und dann abbrechen - dann ist der MBR Keylogger zwecklos
     
  13. 31. Juli 2009
    AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus

    Dann mach das mal, die von TrueCrypt freuen sich bestimmt über deine Hilfe.

    Dann manipuliert das Bootkit den TC-Bootloader eben so, dass es nicht gefunden wird
     
  14. 31. Juli 2009
    AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus

    Dann manipuliert man halt die Abfrage des MD5 hashes vom mbr und hardcoded den hash rein, dann wird es immer richtig entschlüsselt.
    Außerdem ist Truecrypt open-source, egal was sie sich ausdenken kann man leicht nachvollziehen und aushebeln.
    Wenn der MBR erst mal manipuliert ist, ist es doch schon zu spät, man muss also schauen das er erst gar nicht installiert wird.

    BIOS Passwort setzen, nur von HDD booten lassen und PC immer schön ausschalten, wenn man nicht daheim ist bietet schon mal einen kleinen Schutz, falls sich einer Zugriff zum PC verschafft. Wer sich dann noch bisschen mit Windows/Software/Sicherheit auskennt wird auch eine normale Infektion verhindern können. Wer sich noch nie einen Trojaner/Virus eingefangen hat, braucht auch keine große Angst vor sowas haben
     
  15. 31. Juli 2009
    AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus

    Würde ich gerne, nur hab ich dafür definitiv keine zeit, um mich ins lowlevel coding einzuarbeiten (mit lowlevel mein ich kein asm, das kann ich, ich meine auf hardware-basis...) - aber rein die ver/entschlüsselung der decrypt funktion ist ohne weiteres machbar.

    Das ding lädt sich VOR truecrypt, und das ding interessiert sich nicht dafür, dass deine hdd crypted ist. deine brain.exe sieht das garnicht.

    @NOS
    Stimmt ,das hab ich nicht bedacht (bzw bedacht ja (deswegen ja sich selbst encrypten) - aber nicht weitergedacht)

    Man könnte den tc-bootloader auch nach byte-sequenzen suchen lassen, welche für das bootkit eindeutig sind, und dies dann löschen - nur wäre das zu allgemein und nur eine lösung gege ndas bootkit, aber nicht das generelle problem.

    Bios pwd: Standard passwörter, KillCMOS, ... ist nur begrenzt sicher. Wenn man mal im bios ist, was kein problem darstellen sollte (wenn man sich dafür mal 2-3h zeit nimmt) ist dieser schutz komplett ausgehebelt. Bevor du denkst, dass ich überlesen hab, dass du sagtest, dass es einen kleinen schutz liefert - ich weiß - ich hab deine these nur bekräftigt
     
  16. 31. Juli 2009
    AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus

    Du klingst wie ein verzweifelter Spiele Hersteller, der einfach nicht glauben kann, dass es keinen perfekten Kopierschutz für ein Spiel gibt^^ Und wenn du den Truecrypt Loader noch so vollstopfst mit Checks und allem wird es trotzdem eine Möglichkeit geben den Schutz zu umgehen, wie gesagt Truecrypt ist open-source, das macht das ganze noch viel einfacher.

    Wie gesagt man muss schauen, dass man den MBR nicht manipulieren kann. Eine Lösung wäre vielleicht, dass Truecrypt selbst den MBR zur Laufzeit überwacht und schützt, das man ihn nicht einfach überschreiben/ersetzen kann. Dann muss man aber auch wieder an das Truecrypt Programm selber denken, damit man das nicht einfach manipulieren kann und die checks ausschalten. Natürlich schützt das auch nicht vor PC-ist-aus Angriffen.

    Gibt es den überhaupt noch solche Standard Passwörter in der heutigen Zeit? Das man das BIOS PW reseten kann ist klar, aber das würde man ja als normaler Nutzer sofort merken, wenn plötzlich das Passwort nicht mehr abgefragt wird. Man müsste einen Weg finden durch das Passwort zu kommen ohne es zu reseten. Von BIOS PW Backupen, dann reseten und wieder aufspielen habe ich auch noch nichts gehört, naja kann möglich sein...
     
  17. 31. Juli 2009
    AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus

    Hmm irgendwie finde ich das seltsam.

    Grund:

    Dieser Hook muss mit physikalischem Zugriff bzw Admin-Rechten aufgespielt werden oder?
    So - Jetzt bricht jemand bei mir ein und will den Hook aufspielen - aber er kommt doch garnicht an die Admin-Rechte via Windows da er schon bei TrueCrypt PreBootAuth gestoppt wird und kann den Hook doch garnicht aufspielen oder sehe ich das falsch?

    Dann müssten die doch einbrechen wenn der Computer schon läuft oder nicht?
     
  18. 31. Juli 2009
    AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus

    Ich denke das Problem bei der Sache ist, dass das ding eben VOR der laufzeit von truecrypt auch geschrieben wird (ich denke da richtung bootcd/disk - weil die beschreibung sagt, dass man physischen zugriff braucht - nicht remote zugriff)

    Eine möglichkeit wäre, das ganze "hardware"-seitig zu machen - ergo truecrypt nur noch via cd, oder schreibgeschützte diskette zu booten, dort könnten dann keine veränderungen gemacht werden ( - bei einem usb-stick trifft dies natürlich nicht zu, es sei denn, er hat einen hardware-schreibschutz - ) - man müsste den pc halt nur jedesmal von cd/diskette booten. Ich denke das wäre die einzige WIRKLICH wirkungsvolle möglichkeit - aber auch sehr nervig - meine software ansätze waren eher zur erschwerung, bzw zur verhinderung des jetztigen - eine generelle lösung bekommt man softwareseitig definitiv nicht hin - as long as it runs its ******ble.

    An den Perfekten schutz, softwareseitig, glaube ich schon lange nicht mehr


    edit:

    Um den MBR zu schreiben braucht man keine adminrechte, man muss den pc einfach mit einer bootdisc booten, und hat dann ring0 zugriff, und kann in den mbr schreiben was man will.
     
  19. 31. Juli 2009
    AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus

    Die zwei Alternativen die es gäbe wäre jedes Mal von einer Boot-Disk starten oder den MBR von einer (sauberen) Boot-Disk häufiger mal neu schreiben lassen.
    Die erste Möglichkeit wäre eine dauerhafte (nervige) Problemlösung, die zweite nur eine temporäre...
    Bei der zweiten Möglichkeit könnte man sich nämlich immer noch neu infizieren...

    Mfg
    TuXiFiED
     
  20. 31. Juli 2009
    AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus

    Hatte ich das nicht geschrieben ?
     
  21. 31. Juli 2009
    AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus

    gab es nicht schon in der vergangenheit mehrere viren/würmer, die diese "technik" ausgenutzt haben und somit für AV-Programme schwer bis garnicht zu erkennen waren?

    mit den neuen gesetztes der regierung ist alles möglich, auch heimliche computerdurchsuchung/manipulation ohne gesetzliche grundlage (siehe bayern => piratenpartei, etc.).

    naja, die news ist meiner meinung nach eher uninteressant und wird duch diese angebliche "aushebelung" der TC verschlüsselung unnötig aufgepusht!
     
  22. 31. Juli 2009
    AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus

    Teilweise... das mit dem neu schreiben nicht.
    Bin mal gespannt ob in absehbarer Zeit ne Lösung (und welche Lösung) kommt...
     
  23. 31. Juli 2009
    AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus

    Quelle: heise.de

    und es gibt bereits die möglichkeit EFI selber zu testen.
    MSI hat für bestimmte Mainboards ein EFI zum testen herausgebracht.
     
  24. 1. August 2009
    AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus

    Jetzt hat immer noch keiner gesagt wie man bitte des Teil installieren kann wenn TC schon aufm PC drauf ist und die Boot Partition verschlüsselt ist. Wie schleußt man sowas in den MBR rein ohne Windows oder DOS oder BooT CD.
     
  25. 1. August 2009
    AW: Bootkit Stoned hebelt Truecrypt-Verschlüsselung aus

    Ich glaub des Sicherste ist ,wenn man die TC Volumen nur auf Externe Festplatte erstellt,wo netmal ein Windows drauf ist,die Passwörter und Schlüsseldateien auf ne MicroSD Karte speichert und so Klein wie sie ist irgenwo rafiniert im Zimmer abbunkert,dann könn die des bestimmt knicken
    Man tippt ja auch nix ein sondern macht nur mit copypaste rum,oder kann das auch so n Keylogger lesen ?
     
  26. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.