Thema: Angriff auf Windows-Bitlocker

[SiLæncer]

Fraunhofer SIT hat einen Weg vorgestellt, wie ein Angreifer die PIN für die BitLocker-Laufwerkverschlüsselung unter Windows ausspähen kann – und das trotz TPM-geschütztem Boot-Vorgang. Der Trick: Ein Angreifer mit Zugriff auf den Zielrechner bootet einfach von einem USB-Stick und tauscht den BitLocker-Bootloader gegen einen eigenen Bootloader aus, der dem Anwender die Original-PIN-Abfrage von BitLocker vorgaukelt, eingegebene PINs aber im Klartext auf der Platte ablegt.

Während der Bootprozess bei BitLocker zwar eine Integritätsprüfung des Systems und damit auch der Windows-Software durchführt, gilt dies nicht für den Bootloader selbst – aber bis zum Windows-Bootvorgang kommt es bei dem eigentlichen Angriff ohnehin gar nicht erst. Daher schütze auch ein eventuell eingebautes Trusted Computing Module (TPM) nicht vor derartigen Manipulationen, erklärt das Fraunhofer SIT in seinem Bericht.

Hat der ausgetauschte Bootloader die vom Opfer eingegebene PIN auf der Platte gespeichert, schreibt er den Original-Bootloader wieder in den MBR zurück und startet neu. Der Anwender mag sich zwar wundern, dass der Rechner neu startet, aber wer hat nicht schon mal einen Abbruch des Boot-Vorgangs mit einem anschließendem Neustart erlebt?

Um an die gespeicherte PIN zu gelangen, muss der Angreifer ein zweites Mal Zugriff auf den Zielrechner haben, abermals von einem USB-Sticks starten und dann auf die Platte zugreifen. Mit der ausgelesenen PIN kann er dann in einem weiteren Bootvorgang BitLocker freischalten und auf das geschützte Windows-System zugreifen.

Industriespione könnten mit dem Angriffsszenario in Unternehmen gezielt auf Datenfang gehen. "Trotz der Sicherheitslücke ist BitLocker eine gute Lösung zur Festplattenverschlüsselung", betont das SIT, "denn vor der häufigsten Bedrohung für sensible Daten auf Festplatten – dem Verlust oder Diebstahl von Computern – schützt BitLocker gut."

Die SIT-Mitarbeiter Jan Steffan und Jan Trukenmüller haben ein Video auf den Seiten des Instituts veröffentlicht, das den Angriff praktisch vorstellt.

Ein ähnlicher Angriff auf die Systemverschlüsselung von TrueCrypt wurde im Juli dieses Jahres auf der Black Hat vorgestellt. Der österreichische Sicherheitsspezialist Peter Kleissner manipulierte mit seinem Bootkit Stoned den Bootprozess, um ein Spionageprogramm in das System zu schleusen und Daten mitzulesen. Allerdings bemerken TPM-geschützte solche Manipulation, da der Hash des MBRs nicht mehr mit dem gespeicherten übereinstimmt. Der Vorteil der Kleissner-Methode: Man muss nur einmal Zugang zum Zielrechner haben.

Quelle : http://www.heise.de/newsticker/meldung/Angriff-auf-Windows-Bitlocker-877647.html

[SiLæncer]

Nach Auffassung von Microsoft stellen die kürzlich entdeckten Schwachstellen in der Verschlüsselungstechnologie BitLocker keine wirkliche Gefahr da. Die entsprechenden Meldungen würden das Problem übertrieben wiedergeben.

Der Erfolg einer Software habe seinen Preis, so Microsoft Senior Director Paul Cooke in einem Blog-Eintrag. So werde erfolgreiche Software oft genauer unter die Lupe genommen, wobei einige der integrierten Technologien möglicherweise missinterpretiert werden könnten. Auch BitLocker sei von diesem Phänomen betroffen.

BitLocker ist Microsofts Laufwerksverschlüsselung, die im Jahr 2007 mit Windows Vista eingeführt wurde. Auch in Windows 7 wird BitLocker bei einigen Versionen angeboten. Kürzlich hatte das Fraunhofer Institut nun verlauten lassen, dass die Sicherheitsmaßnahmen der Verschlüsselung unter bestimmten Umständen umgangen werden können.

Für Cooke ist die Ausnutzung der beschriebenen Szenarien aber in der Praxis sehr unwahrscheinlich. So müsste ein Angreifer sich direkten Zugang zu dem laufenden System beschaffen, etwa wenn der Nutzer seinen Computer in einem Hotelzimmer unbeaufsichtigt lässt. Dennoch warnte Cooke davor, sich voll auf die Verschlüsselung als Sicherheitsmaßnahme zu verlassen.

Die Kunden müssten BitLocker als Teil eines mehrschichtigen Systems von Sicherheitsvorkehrungen betrachten. Wahre IT-Sicherheit könne nicht nur auf Technologie basieren, sondern müsse auch durch Information der Anwender und "physische" Sicherheit gefördert werden.

Quelle : http://winfuture.de