Suchen

Forscher halten Festplattenverschlüsselung Architektur-bedingt für unsicher Hacking von Microsoft Bitlocker, Apple Filevault und Linux dm-crypt

| Autor / Redakteur: Dirk Srocke / Florian Karlstetter

Software-verschlüsselte Festplatten schützen nur bedingt vor Datendieben. Mit einem Minibetriebssystem konnten Forscher der Princeton University den Arbeitsspeicher von Laptops im Standby-Modus hacken, auch nach dem Ausschalten sind Daten rekonstruierbar. Über Preboot Execution Environment (PXE) lassen sich auch Netzwerkrechner diskreditieren.

Firma zum Thema

Anhand eines abgelegten Bildes zeigen Forscher wie der Arbeitsspeicher schrittweise Daten verliert.
Anhand eines abgelegten Bildes zeigen Forscher wie der Arbeitsspeicher schrittweise Daten verliert.
( Archiv: Vogel Business Media )

Damit Betriebssystem und verschlüsselte Datenträger miteinander kommunizieren können, wird das entsprechende Passwort im Arbeitsspeicher (RAM) abgelegt. Um den Schlüssel auszulesen, müssen Angreifer Zugang zum Arbeitsspeicher haben.

Diesen können Cyberkriminelle auch erlangen wenn der betreffende Rechner per Login geschützt ist, erläutern Forscher der Princeton University. Ihr Ansatz: Der laufende Rechner wird kurz von der Stromspeisung getrennt und gleich darauf per externem USB-Speicher mit einem speziellen Tool neu gestartet.

Inhalt des RAM bleibt erhalten

Obwohl RAM als flüchtiger Speicher gilt, bleibt bei diesem Vorgehen ein Großteil der gespeicherten Informationen erhalten. Das eingesetzte Werkzeug ist klein genug, keine wichtigen Informationen zu überschreiben und behebt Datenfehler. Somit lässt sich ein Speicherdump rekonstruieren und später nach Passwörtern durchsuchen.

Voraussetzung für einen Angriff ist, dass das System während des Diebstahls eingeschaltet ist. Das beinhaltet Hibernation- und Sleep-Modi. In Einzelfällen soll es allerdings auch gelungen sein, Vistas Bitlocker auf einem komplett ausgeschalteten System auszuhebeln.

Die beschriebene Attacke beschränkt sich außerdem nicht auf unbeaufsichtigte Laptops: Per PXE lassen sich Speicher-Images auch über das Netzwerk stehlen.

Herstellerübergreifende Schwachstelle

Die Wissenschaftler sehen in der Schwachstelle ein grundsätzliches Problem. Damit ist die Sicherheitslücke nicht auf bestimmte Anwendungen beschränkt. Als verwundbare Produkte nennen die Forscher neben Microsofts Bitlocker auch Apple Filevault und Linux dm-crypt.

Die Hersteller seien bereits informiert wurden, Hoffnungen auf eine rasche Lösung gäbe es aber kaum. „Es gibt nicht viel was [die Hersteller] jetzt tun können“, sagt J. Alex Haldermann, ein Verfasser der Studie. Kurzfristig könne man Kunden lediglich auf das Problem aufmerksam machen und dazu ermuntern, ihre Rechner auf Reisen komplett auszuschalten.

Mittelfristig könnten neue Techniken die Gefahr bannen. Diese dürften den Schlüssel für den Festplattenzugriff nicht mehr im RAM ablegen.

RAM wird per Tiefkühlung konserviert

Rechner alternativ gegen externe Bootmedien zu schützen ist kein Allheilmittel. Die Akademiker haben demonstriert, wie man RAM ohne Datenverlust komplett aus dem Rechner entfernen kann. Dabei werden die Chips zusätzlich mit Kältespray gekühlt.

Auch ohne Stromzufuhr sollen so fast alle gespeicherte Daten noch zehn Minuten erhalten bleiben. Die Wissenschaftler konnten den Speicherchip sogar zwischen verschieden Rechnern verpflanzen und auf Fremdcomputern analysieren.

Neben Akademikern der Princeton University gehörten zum Team Forscher der Electronic Frontier Foundation und von Wind River Systems sowie ein unabhängiger Sicherheitsexperte. Detaillierte Informationen sind auf der Projektseite Lest We Remember: Cold Boot Attacks on Encryption Keys zu finden.

(ID:2011057)