Ergebnis 1 bis 2 von 2
  1. 30.07.2009, 12:54 #1
    Zer0Flag
    Zer0Flag ist offline
    NoClose Wurm Avatar von Zer0Flag
    Registriert seit
    27.06.2009
    Beiträge
    198

    Standard BootKit hebelt Festplattenverschlüsslung aus

    Der österreichische IT-Sicherheitsspezialist Peter Kleissner hat auf der Sicherheitskonferenz Black Hat ein Bootkit namens Stoned demonstriert, das in der Lage ist TrueCrypts vollständige Partitions- und Systemverschlüsselung auszuhebeln. Bootkits sind eine Kombination aus einem Rootkit und der Fähigkeit des Schädlings, den Master Boot Record des PC zu modifizieren und so bereits vor dem Start des Betriebssystems aktiv zu werden.
    Anzeige

    Kleissners im Sourcecode verfügbares Bootkit kann alle gängigen 32Bit-Windows-Varianten von Windows 2000 bis hin zu Windows Vista und dem Release Candidate von Windows 7 infizieren. Stoned schreibt sich in den Master Boot Record (MBR), der auch bei einer vollständig kodierten Festplatte stets unverschlüsselt ist. Beim Start wird das Bootkit zuerst vom Bios aufgerufen. Das Bootkit startet dann den TrueCrypt-Bootloader. Um die TrueCrypt-Verschlüsselung auszuhebeln, biegt Kleissner nach eigenen Angaben keine Hooks um und modifiziert den Bootloader auch nicht. Vielmehr leitet er den I/O-Interrupt 13h per "Double Forward" um und kann sich so zwischen die Windows-Aufrufe und TrueCrypt hängen. Kleissner hat Bootkit speziell auf TrueCrypt angepasst, wobei ihm der frei verfügbare Quellcode diente.

    Ist das Betriebssystem geladen, kann Stoned beispielsweise einen Banking-Trojaner im System installieren. Der erst 18-jährige Peter Kleissner gibt Stoned verschiedene Plug-Ins mit, wie einen Boot-Passwort-Cracker oder eine Routine zum Infizieren des Bios. Da Stoned als Framework konzipiert ist, können andere Programmierer eigene Plug-Ins dafür entwickeln. Aus seiner Sicht könnte Stoned auch für Ermittlungsbehörden interessant sein, etwa zur Entwicklung eines Bundestrojaners.

    Einmal installiert, soll Stoned Kleissner zufolge von herkömmlicher Antiviren-Software nicht mehr entdeckt werden können, da keinerlei Modifikationen der Windows-Komponenten im Speicher stattfinden. Stoned läuft neben dem eigentlichen Windows-Kernel. Auch eine Antiviren-Funktion des Bios stoppt Stoned nicht, da moderne Windows-Versionen den MBR ohne Zutun des Bios modifizieren.

    Für eine Infektion sind aber Administratorrechte oder physischer Zugang erforderlich. Momentan funktioniert die Infektion nur auf Maschinen mit herkömmlichem Bios. Arbeitet auf dem Mainbord der Bios-Nachfolger EFI, scheitert die Infektion. Der wohl wirksamste Schutz ist eine vollständige Verschlüsselung der Festplatte durch eine Software, die auf dem Trusted Platform Module (TPM) basiert.

    So soll der Einsatz der Windows-eigenen Verschlüsselung BitLocker ein sicheres Gegenmittel sein, da der Hashwert des MBR nach der Infektion nicht mehr mit dem im TPM gespeicherten übereinstimmt und das TPM so den Bootvorgang stoppt. Ob eine in Hardware verschlüsselnde Festplatte ebenfalls schützt, vermochte Kleissner auf Nachfrage nicht zu beantworten. (Uli Ries) / (dab/c't)
    Zitieren Zitieren
  2. 30.07.2009, 13:00 #2
    gf0x
    gf0x ist offline
    Gesperrt
    Registriert seit
    13.03.2009
    Beiträge
    1.041

    Standard

    Also auf ans EFI Mainboard kaufen
    Zitieren Zitieren
« Vorheriges Thema | Nächstes Thema »

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  

Foren-Regeln