lochkartenstanzer
Goto Top

Hardwareangriff auf ausgeschalteten Laptop mit Bitlocker Full Disk Encrypotion

article-picture
Moin,


Wer bisher der Meinung war, daß Bitlocker Full-Disk Encryption mit TPM "sicher" ist, sollte sich mal diesen Twitter-Thread durchlesen, um aus dieser Illusion gerissen zu werden:

https://twitter.com/SecurityJon/status/1445020890555691012

Digest: Da wird vorgeführt, wie man vorgehen würde, um einem CEO die Geheimnisse zu entreißen und einen Trojaner unterzujubeln, während er an der Hotelbar "abgelenkt" ist.

lks

Content-Key: 1346636422

Url: https://administrator.de/contentid/1346636422

Printed on: December 7, 2023 at 23:12 o'clock

Member: DerWoWusste
DerWoWusste Oct 05, 2021 updated at 10:25:47 (UTC)
Goto Top
Ja, ohne Preboot authentication ist das halbwegs einfach, das ist lange bekannt.
Member: beidermachtvongreyscull
beidermachtvongreyscull Oct 05, 2021 at 10:45:56 (UTC)
Goto Top
Ich fürchte fast, egal wie es um die Sicherheit bestellt ist, dass die Schwachstelle der Bediener sein wird.

Würde man den CEO irgendwo abpassen, ihm ne Knarre an den Schädel...

...und schon geht sie dahin, die Verschlüsselung.
Member: maretz
maretz Oct 05, 2021 at 13:05:29 (UTC)
Goto Top
Uff - ganz ehrlich, um bei nem Hotel in den Rechner zu kommen den Aufwand? Zumal es wohl auch keinen wundern würde wenn man einfach mal beim HM im Office rumtobt, da am Laptop rumlötet,... Ja ne, is klar... Da würde man einfach direkt dem am Front-Office die Kohle geben und SEINEN Account dafür bekommen, ohne Löten, ohne alles.. Und da natürlich die Rezi an die Gast-Daten kommen muss (sonst wäre z.B. Zahlen mit Kreditkarte schwer) wäre das Ding damit durch...

Mal ernsthaft - heute so nen Angriff? Der muss schon sehr speziell sein. Denn für gewöhnlich geht man einfach über die Mitarbeiter (z.B. "können Sie mir das Flugticket mal ausdrucken" mit ner präperierten PDF...) und macht sich nich den Aufwand um da lange im Office rumzutoben....
Member: NixVerstehen
NixVerstehen Oct 05, 2021 at 13:36:38 (UTC)
Goto Top
Viel zu aufwendig und zeitraubend. Das geht schneller mit einer einfachen Zeichenfolge, z.B. Heckler&Koch oder Smith&Wesson face-wink
Member: NetzwerkDude
NetzwerkDude Oct 05, 2021 at 13:52:18 (UTC)
Goto Top
Zitat von @beidermachtvongreyscull:

Ich fürchte fast, egal wie es um die Sicherheit bestellt ist, dass die Schwachstelle der Bediener sein wird.

Würde man den CEO irgendwo abpassen, ihm ne Knarre an den Schädel...

...und schon geht sie dahin, die Verschlüsselung.

Für sowas gibts Verschlüsselungen mit Plausible Deniability face-smile
Member: Lochkartenstanzer
Lochkartenstanzer Oct 05, 2021 at 14:01:33 (UTC)
Goto Top
Zitat von @NetzwerkDude:

Zitat von @beidermachtvongreyscull:

Ich fürchte fast, egal wie es um die Sicherheit bestellt ist, dass die Schwachstelle der Bediener sein wird.

Würde man den CEO irgendwo abpassen, ihm ne Knarre an den Schädel...

...und schon geht sie dahin, die Verschlüsselung.

Für sowas gibts Verschlüsselungen mit Plausible Deniability face-smile

Oder "die Firma" ist schlimmer als alles, was Dir die Ganoven antun können. face-smile

lks
Member: Lochkartenstanzer
Lochkartenstanzer Oct 05, 2021 at 14:23:02 (UTC)
Goto Top
Zitat von @DerWoWusste:

Ja, ohne Preboot authentication ist das halbwegs einfach, das ist lange bekannt.

Natürlich ist das bekannt, aber ich wollte nur den "Frischlingen" eine Hinweios geben, wie sowas funktioniert, bevor sie zu sehr auf Ihren Biltocker vertrauen.

lks
Member: MysticFoxDE
MysticFoxDE Oct 06, 2021 at 06:05:37 (UTC)
Goto Top
Alles eine Frage der richtigen Datenverschliessung.

Folgend ein kleiner Lösungsvorschlag. ­čĄ¬
datenverschliessung

Wünsche allen einen schönen und erfolgreichen Mittwoch.

Alex
Member: HansDampf06
HansDampf06 Oct 07, 2021 at 14:54:02 (UTC)
Goto Top
Es zeigt sich ein weiteres Mal, dass alles, was sich auf Hardwaree (TPM & Co.) stützt, letztlich einer scheinbaren Sicherheit anheimfällt. Sobald der CEO diesen Komfort bekommt, wird das Scheunentor weit geöffnet.

Zwar ist auch die Alternative VeraCrypt nicht vor einem bestimmten physischen Angriffsmuster gefeit: Der Herrscher der Hardware ist letztlich auch der Herrscher der Software! Aber die PBA verzichtet auf die Einbeziehung von irgendwelchen (zweifelhaften) Chips, die von US-Unternehmen hergestellt und von BitLocker (von einem kooperierenden US-Unternehmen) genutzt werden. Und was "US-Unternehmen" in diesem Zusammenhang bedeutet, kann sich jeder selbst ausmalen ...
Wegen der Verfügbarkeit solcher Anleitungen im Netz, sind zum Knacken nicht nur Geheimdienste in der Lage. Eigentlich kann es dadurch selbst der größte DAU.

Für sowas gibts Verschlüsselungen mit Plausible Deniability
Erfordert aber eine doppelte Verschlüsselung: Container im Container. Außerdem darf dann im Desktop des CEO kein automatisches "Sesam öffne dich!" herumlungern.

Viele Grüße
HansDampf06
Member: beidermachtvongreyscull
beidermachtvongreyscull Oct 07, 2021 updated at 18:43:25 (UTC)
Goto Top
Zitat von @HansDampf06:
Für sowas gibts Verschlüsselungen mit Plausible Deniability
Erfordert aber eine doppelte Verschlüsselung: Container im Container.

Nicht zwingend. Es kommt meiner Meinung darauf an, ob man verborgene Daten auf einem Datenträger vermutet. Es gab mal ein sehr interessantes Steganografie-Tool namens DeepSound 2.0.

Damit war es möglich, Daten in Audiodateien zu verstecken. Die konnte man dann zu Audio-CDs brennen und die Daten auch später wieder rückkonvertieren.

Wenn Du auf einer als Audio-CD gebrannten Scheibe sowas nicht vermutest, suchst Du nicht danach. Und in den Dateien selbst fielen die Daten nicht auf, wenn man nicht wusste, wie man danach sucht.
Member: HansDampf06
HansDampf06 Oct 07, 2021 at 18:59:34 (UTC)
Goto Top
Daten in Audiodateien zu verstecken
O.k. Diese Variante kannte ich noch nicht.

Aber wie sieht das mit der Nutzbarkeit im laufenden Betrieb aus? Auf einen verschlüsselten Container greife ich nach seiner Entsperrung ganz normal wie auf ein Laufwerk zu - gleichsam einem USB-Stick, Netzlaufwerk etc. Ist das Verstecken in Audiodateien demgegenüber nicht eher statisch?
Member: beidermachtvongreyscull
beidermachtvongreyscull Oct 07, 2021 at 19:21:48 (UTC)
Goto Top
Die Handhabbarkeit ist schwieriger, der Transport wäre meiner Ansicht nach sicherer.

Aber nach meinem Dafürhalten ist es mit Sicherheit noch immer so gewesen, dass wenn sie einfach ausgelegt ist, sie meistens nichts taugt. Wenn man für Sicherheit aber "etwas tun muss" (Mehr Aufwand betreiben), ist die Wahrscheinlichkeit größer, dass sie schwieriger auszuhebeln ist.
Member: HansDampf06
HansDampf06 Oct 07, 2021 at 20:32:27 (UTC)
Goto Top
Da hast die wahrlich Recht und bei einem CEO wird mehr Aufwand schwieriger vermittelbar sein, weil er doch so emsig arbeitet und schwer beschäftigt ist.

Gleichwohl denke ich, dass sich - um bei dem Beispiel VeraCrypt zu bleiben - ein erhöhtes Maß an Sicherheit und eine relativ leichte Handhabbarkeit nicht zwingend ausschließen müssen. Den Mehraufwand sehe ich in diesem Fall beispielsweise darin, keine Schlüsseldateien, automatischen Scripts oder dergleichen zu verwenden, sondern immer schön per Hand ... face-smile Aber wahrscheinlich ist das dem Großteil der User zu mühsam.
Member: MysticFoxDE
MysticFoxDE Oct 08, 2021 at 04:56:08 (UTC)
Goto Top
Moin HansDampf06,

O.k. Diese Variante kannte ich noch nicht.

Mit TrueCrypt kannst du die Daten auch in einem Videocontainer verstecken.
Da fallen vor allem grössere verschlüsselte Daten nicht gleich so auf wie bei einer Audio Datei.

Details siehe
https://stadt-bremerhaven.de/fur-paranoide-truecrypt-container-in-einem- ...

Aber wie sieht das mit der Nutzbarkeit im laufenden Betrieb aus? Auf einen verschlüsselten Container greife ich nach seiner Entsperrung ganz normal wie auf ein Laufwerk zu - gleichsam einem USB-Stick, Netzlaufwerk etc. Ist das Verstecken in Audiodateien demgegenüber nicht eher statisch?

Das entsprechende Video kannst du mit TrueCrypt dann ganz normal als Laufwerk mounten. ­čĄ¬

Beste Grüsse aus BaWü

Alex