Festplattenverschlüsselung ganz und gar nicht sicher

22. Februar 2008, 14:34
  • security
  • verschlüsselung
  • cyberangriff
image

Der Verräter ist das RAM.

Der Verräter ist das RAM.
US-Computerwissenschaftler sind auf ein beunruhigendes Phänomen gestossen: Viele Verschlüsselungslösungen für Festplatten können anscheinend unter gewissen Umständen sehr einfach geknackt werden.
Wie die Wissenschafler zeigen konnten, können Angreifer die Festplatten dann entschlüsseln, wenn sie ein laufendes oder erst vor wenigen Augenblicken abgestelltes Notebook in die Finger kriegen. Das ist vor allem dann eine Gefahr, wenn PCs und Notebooks aus Firmenräumlichkeiten oder an Flughäfen usw. gestohlen werden. Wenn sich das Notebook im Stromsparmodus befindet oder ein passwortgeschützer Screensaver aktiviert wurde, stellt das kein Hindernis dar. Sogar gewisse Systeme, die schon längere Zeit ausgeschaltet wurden, könnten angreifbar sein.
Den Wissenschaftlern gelang es, Notebooks mit den Verschlüsselungslösungen "BitLocker" (Ein Feature von Windows Vista), "FileVault" (Ein Feature von Mac OS X), "dm-crypt" (Ein Feature von Linux) und "TrueCrypt", einer Verschlüsselungssoftware für Windows, Linux und Mac OS X zu knacken. Da das Sicherheitsloch grundlegend ist, glauben sie, dass auch viele andere Software-Lösungen betroffen sein dürften.
Das Team verwendet für das Knacken des Verschlüsselungsschutzes keine aufwendige Hardware, sondern lediglich eine externe Harddisk und einfache Software-Tools und kann damit in wenigen Minuten zum Erfolg kommen. Die neun an der Entdeckung der Sicherheitslücke beteiligten Wissenschaftler haben ihre Erkenntnisse in einem frei zugänglichen Aufsatz veröffentlicht.
Das Problem, das sie schildern, liegt im RAM-Speicher der Computer. Damit der Umgang mit einer verschlüsselten Festplatte bequem bleibt und ein User beim Gebrauch nicht dauernd Passwörter eintippen muss, werden die Chiffrierschlüssel beim Start des Programms oder eines Systems im RAM-Speicher abgelegt. Der RAM-Speicher wird aber, entgegen der allgemein verbreiteten Vorstellung, nach dem Abschalten des Stroms nicht sofort gelöscht. Darin enthaltene Daten bleiben einige Sekunden erhalten - oder, wenn das RAM gekühlt wird, sogar viele Minuten.
Auch die wenigen Sekunden, während deren die Daten bei Normaltemperatur erhalten werden, reichen aber für den Angriff aus. Der Trick des Teams: Das noch laufende Notebook wird abgeschaltet, dann wird schnell eine externe Harddisk angeschlossen, von dieser aus wieder gebootet und sofort danach der RAM-Speicher über ein "Memory-Dump"-Tool ausgelesen - et voilà, schon haben sie den Chiffrierschlüssel. Ihr Vorgehen beschreiben die Security-Experten in diesem äusserst anschaulichen und informativen Video. (hjm)

Loading

Mehr zum Thema

image

Cyberangriff auf Infopro trifft auch Gemeinde Messen

Die Solothurner Gemeinde musste ihre Services nach einem Angriff herunterfahren. Derzeit kommuniziert sie über eine provisorische GMX-E-Mail-Adresse.

publiziert am 25.11.2022
image

Whatsapp-Leck: Millionen Schweizer Handynummern landen im Netz

Durch einen Hack haben Unbekannte fast 500 Millionen Whatsapp-Telefonnummern ergaunert und verkaufen diese nun im Web. Auch Schweizer Userinnen und User sind davon betroffen.

publiziert am 25.11.2022 1
image

Cyberkriminelle attackieren EU-Parlament

Die Website des EU-Parlaments wurde Ziel eines DDoS-Angriffes. Dahinter steckte angeblich eine kremlnahe Cyberbande.

publiziert am 24.11.2022
image

Studie: Jugendliche werden nachlässiger beim Datenschutz

Die Sorge, dass persönliche Informationen im Netz landen, hat bei Jugendlichen abgenommen. Aber erstens haben junge Menschen grössere Probleme im Netz und zweitens sind Erwachsene nicht besser.

publiziert am 24.11.2022 1