Hardwareangriff auf ausgeshalteten Laptop mit Bitlocker Full Disk Encrypotion

Mitglied: Lochkartenstanzer
article-picture
Moin,


Wer bisher der Meinung war, daß Bitlocker Full-Disk Encryption mit TPM "sicher" ist, sollte sich mal diesen Twitter-Thread durchlesen, um aus dieser Illusion gerissen zu werden:

https://twitter.com/SecurityJon/status/1445020890555691012

Digest: Da wird vorgeführt, wie man vorgehen würde, um einem CEO die Geheimnisse zu entreißen und einen Trojaner unterzujubeln, während er an der Hotelbar "abgelenkt" ist.

lks

Content-Key: 1346636422

Url: https://administrator.de/contentid/1346636422

Ausgedruckt am: 26.10.2021 um 15:10 Uhr

Mitglied: DerWoWusste
DerWoWusste 05.10.2021 aktualisiert um 12:25:47 Uhr
Goto Top
Ja, ohne Preboot authentication ist das halbwegs einfach, das ist lange bekannt.
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 05.10.2021 um 12:45:56 Uhr
Goto Top
Ich fürchte fast, egal wie es um die Sicherheit bestellt ist, dass die Schwachstelle der Bediener sein wird.

Würde man den CEO irgendwo abpassen, ihm ne Knarre an den Schädel...

...und schon geht sie dahin, die Verschlüsselung.
Mitglied: maretz
maretz 05.10.2021 um 15:05:29 Uhr
Goto Top
Uff - ganz ehrlich, um bei nem Hotel in den Rechner zu kommen den Aufwand? Zumal es wohl auch keinen wundern würde wenn man einfach mal beim HM im Office rumtobt, da am Laptop rumlötet,... Ja ne, is klar... Da würde man einfach direkt dem am Front-Office die Kohle geben und SEINEN Account dafür bekommen, ohne Löten, ohne alles.. Und da natürlich die Rezi an die Gast-Daten kommen muss (sonst wäre z.B. Zahlen mit Kreditkarte schwer) wäre das Ding damit durch...

Mal ernsthaft - heute so nen Angriff? Der muss schon sehr speziell sein. Denn für gewöhnlich geht man einfach über die Mitarbeiter (z.B. "können Sie mir das Flugticket mal ausdrucken" mit ner präperierten PDF...) und macht sich nich den Aufwand um da lange im Office rumzutoben....
Mitglied: NixVerstehen
NixVerstehen 05.10.2021 um 15:36:38 Uhr
Goto Top
Viel zu aufwendig und zeitraubend. Das geht schneller mit einer einfachen Zeichenfolge, z.B. Heckler&Koch oder Smith&Wesson ;-) face-wink
Mitglied: NetzwerkDude
NetzwerkDude 05.10.2021 um 15:52:18 Uhr
Goto Top
Zitat von @beidermachtvongreyscull:

Ich fürchte fast, egal wie es um die Sicherheit bestellt ist, dass die Schwachstelle der Bediener sein wird.

Würde man den CEO irgendwo abpassen, ihm ne Knarre an den Schädel...

...und schon geht sie dahin, die Verschlüsselung.

Für sowas gibts Verschlüsselungen mit Plausible Deniability :) face-smile
Mitglied: Lochkartenstanzer
Lochkartenstanzer 05.10.2021 um 16:01:33 Uhr
Goto Top
Zitat von @NetzwerkDude:

Zitat von @beidermachtvongreyscull:

Ich fürchte fast, egal wie es um die Sicherheit bestellt ist, dass die Schwachstelle der Bediener sein wird.

Würde man den CEO irgendwo abpassen, ihm ne Knarre an den Schädel...

...und schon geht sie dahin, die Verschlüsselung.

Für sowas gibts Verschlüsselungen mit Plausible Deniability :) face-smile

Oder "die Firma" ist schlimmer als alles, was Dir die Ganoven antun können. :-) face-smile

lks
Mitglied: Lochkartenstanzer
Lochkartenstanzer 05.10.2021 um 16:23:02 Uhr
Goto Top
Zitat von @DerWoWusste:

Ja, ohne Preboot authentication ist das halbwegs einfach, das ist lange bekannt.

Natürlich ist das bekannt, aber ich wollte nur den "Frischlingen" eine Hinweios geben, wie sowas funktioniert, bevor sie zu sehr auf Ihren Biltocker vertrauen.

lks
Mitglied: MysticFoxDE
MysticFoxDE 06.10.2021 um 08:05:37 Uhr
Goto Top
Alles eine Frage der richtigen Datenverschliessung.

Folgend ein kleiner Lösungsvorschlag. 🤪
datenverschliessung

Wünsche allen einen schönen und erfolgreichen Mittwoch.

Alex
Mitglied: HansDampf06
HansDampf06 07.10.2021 um 16:54:02 Uhr
Goto Top
Es zeigt sich ein weiteres Mal, dass alles, was sich auf Hardwaree (TPM & Co.) stützt, letztlich einer scheinbaren Sicherheit anheimfällt. Sobald der CEO diesen Komfort bekommt, wird das Scheunentor weit geöffnet.

Zwar ist auch die Alternative VeraCrypt nicht vor einem bestimmten physischen Angriffsmuster gefeit: Der Herrscher der Hardware ist letztlich auch der Herrscher der Software! Aber die PBA verzichtet auf die Einbeziehung von irgendwelchen (zweifelhaften) Chips, die von US-Unternehmen hergestellt und von BitLocker (von einem kooperierenden US-Unternehmen) genutzt werden. Und was "US-Unternehmen" in diesem Zusammenhang bedeutet, kann sich jeder selbst ausmalen ...
Wegen der Verfügbarkeit solcher Anleitungen im Netz, sind zum Knacken nicht nur Geheimdienste in der Lage. Eigentlich kann es dadurch selbst der größte DAU.

Für sowas gibts Verschlüsselungen mit Plausible Deniability
Erfordert aber eine doppelte Verschlüsselung: Container im Container. Außerdem darf dann im Desktop des CEO kein automatisches "Sesam öffne dich!" herumlungern.

Viele Grüße
HansDampf06
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 07.10.2021 aktualisiert um 20:43:25 Uhr
Goto Top
Zitat von @HansDampf06:
Für sowas gibts Verschlüsselungen mit Plausible Deniability
Erfordert aber eine doppelte Verschlüsselung: Container im Container.

Nicht zwingend. Es kommt meiner Meinung darauf an, ob man verborgene Daten auf einem Datenträger vermutet. Es gab mal ein sehr interessantes Steganografie-Tool namens DeepSound 2.0.

Damit war es möglich, Daten in Audiodateien zu verstecken. Die konnte man dann zu Audio-CDs brennen und die Daten auch später wieder rückkonvertieren.

Wenn Du auf einer als Audio-CD gebrannten Scheibe sowas nicht vermutest, suchst Du nicht danach. Und in den Dateien selbst fielen die Daten nicht auf, wenn man nicht wusste, wie man danach sucht.
Mitglied: HansDampf06
HansDampf06 07.10.2021 um 20:59:34 Uhr
Goto Top
Daten in Audiodateien zu verstecken
O.k. Diese Variante kannte ich noch nicht.

Aber wie sieht das mit der Nutzbarkeit im laufenden Betrieb aus? Auf einen verschlüsselten Container greife ich nach seiner Entsperrung ganz normal wie auf ein Laufwerk zu - gleichsam einem USB-Stick, Netzlaufwerk etc. Ist das Verstecken in Audiodateien demgegenüber nicht eher statisch?
Mitglied: beidermachtvongreyscull
beidermachtvongreyscull 07.10.2021 um 21:21:48 Uhr
Goto Top
Die Handhabbarkeit ist schwieriger, der Transport wäre meiner Ansicht nach sicherer.

Aber nach meinem Dafürhalten ist es mit Sicherheit noch immer so gewesen, dass wenn sie einfach ausgelegt ist, sie meistens nichts taugt. Wenn man für Sicherheit aber "etwas tun muss" (Mehr Aufwand betreiben), ist die Wahrscheinlichkeit größer, dass sie schwieriger auszuhebeln ist.
Mitglied: HansDampf06
HansDampf06 07.10.2021 um 22:32:27 Uhr
Goto Top
Da hast die wahrlich Recht und bei einem CEO wird mehr Aufwand schwieriger vermittelbar sein, weil er doch so emsig arbeitet und schwer beschäftigt ist.

Gleichwohl denke ich, dass sich - um bei dem Beispiel VeraCrypt zu bleiben - ein erhöhtes Maß an Sicherheit und eine relativ leichte Handhabbarkeit nicht zwingend ausschließen müssen. Den Mehraufwand sehe ich in diesem Fall beispielsweise darin, keine Schlüsseldateien, automatischen Scripts oder dergleichen zu verwenden, sondern immer schön per Hand ... :-) face-smile Aber wahrscheinlich ist das dem Großteil der User zu mühsam.
Mitglied: MysticFoxDE
MysticFoxDE 08.10.2021 um 06:56:08 Uhr
Goto Top
Moin HansDampf06,

O.k. Diese Variante kannte ich noch nicht.

Mit TrueCrypt kannst du die Daten auch in einem Videocontainer verstecken.
Da fallen vor allem grössere verschlüsselte Daten nicht gleich so auf wie bei einer Audio Datei.

Details siehe
https://stadt-bremerhaven.de/fur-paranoide-truecrypt-container-in-einem- ...

Aber wie sieht das mit der Nutzbarkeit im laufenden Betrieb aus? Auf einen verschlüsselten Container greife ich nach seiner Entsperrung ganz normal wie auf ein Laufwerk zu - gleichsam einem USB-Stick, Netzlaufwerk etc. Ist das Verstecken in Audiodateien demgegenüber nicht eher statisch?

Das entsprechende Video kannst du mit TrueCrypt dann ganz normal als Laufwerk mounten. 🤪

Beste Grüsse aus BaWü

Alex
Heiß diskutierte Beiträge
question
Suche guten Virenscanner für Windows Server 2019 bzw Exchange 2019Nummer-5Vor 1 TagFrageExchange Server16 Kommentare

Hallo, ich habe leider das Problem, das von unserem Exchange Server 2019 Spam Mails versendet werden. Ich habe jetzt den Relais-Server erst einmal stillgelegt, es ...

question
Mail-Relay für interne AnwendungenredhorseVor 1 TagFrageExchange Server10 Kommentare

Hallo, wir verwenden einen Exchange 2016 mit einer Sophos UTM als Smarthost. Der Exchange wird u.a. als SMTP-Relay von internen Anwendungen benutzt, für den anonymen ...

question
Firewall Hardware (VM)v4rrimka-sanVor 1 TagFrageNetzwerkmanagement10 Kommentare

Hey, Ich habe eine Frage, die wahrscheinlich schon öfter gestellt wurde, zum Thema Hardware Anforderung für eine Firewall in einer VM. Zur Auswahl stehen OPNsense ...

question
Teamviewer stürzt ab unter Win 11ben1300Vor 1 TagFrageWindows 118 Kommentare

Hallo zusammen, habe mein Notebook auf Windows 11 umgestellt. Seitdem kann ich den Teamviewer (aktuellste Version) nicht mehr nutzen. Programm startet, aber sobald ich z.B. ...

question
Speicherkarten (SD) im Netzwerk verfügbar machen (NAS) gelöst mathuVor 1 TagFrageSpeicherkarten7 Kommentare

Guten Morgen liebe Gemeinde :-) Ich habe eine Frage zu NAS Speichersystemen mit Speicherkartenkunktion. Bisher haben wir die folgenden Geräte von Synology (EDS14) genutzt. Diese ...

question
Intune Geräte DESKTOP vs. LAPTOPmarkaurelVor 1 TagFrageMicrosoft2 Kommentare

Hallo zusammen und bitte um eure Hilfe! Ich hab zwei Geräte: 1x Dell Inspiron 5301 1x Lenovo 20VD Beide Geräte eindeutig Kategorie Laptop/Notebook. Wenn ich ...

question
Datenreplikation unabhängige Domänensupport-itVor 1 TagFrageWindows Server8 Kommentare

Hallo zusammen, kann mir jemand ein Programm empfehlen, das sich so ähnlich verhält wie die DFS-Replikation von Windows, blos zwischen verschiedenen Domänen? Ich habe die ...

question
Linux End-to-Site VPN mit Sophos SGukulele-7Vor 1 TagFrageLinux Netzwerk12 Kommentare

Hallo und Hilfe. Ich habe eine Sophos SG, die unterstützt laut Menü "Remote Access" SSL PPTP L2TP over IPsec IPsec Cisco™ VPN Client Dabei ist ...