Bootkit hebelt Festplattenverschlüsselung aus

JMD · **Verfasst:** 30.07.2009 18:30

Der österreichische IT-Sicherheitsspezialist Peter Kleissner hat auf der Sicherheitskonferenz Black Hat ein Bootkit namens Stoned demonstriert, das in der Lage ist TrueCrypts vollständige Partitions- und Systemverschlüsselung auszuhebeln. Bootkits sind eine Kombination aus einem Rootkit und der Fähigkeit des Schädlings, den Master Boot Record des PC zu modifizieren und so bereits vor dem Start des Betriebssystems aktiv zu werden.

Kleissners im Sourcecode verfügbares Bootkit kann alle gängigen 32Bit-Windows-Varianten von Windows 2000 bis hin zu Windows Vista und dem Release Candidate von Windows 7 infizieren. Stoned schreibt sich in den Master Boot Record (MBR), der auch bei einer vollständig kodierten Festplatte stets unverschlüsselt ist. Beim Start wird das Bootkit zuerst vom Bios aufgerufen. Das Bootkit startet dann den TrueCrypt-Bootloader. Um die TrueCrypt-Verschlüsselung auszuhebeln, biegt Kleissner nach eigenen Angaben keine Hooks um und modifiziert den Bootloader auch nicht. Vielmehr leitet er den I/O-Interrupt 13h per "Double Forward" um und kann sich so zwischen die Windows-Aufrufe und TrueCrypt hängen. Kleissner hat Bootkit speziell auf TrueCrypt angepasst, wobei ihm der frei verfügbare Quellcode diente.

[Mehr bei heise.de ...]

Da es sehr schwer wird, das Bootkit zu installieren, wird im weiteren Verlauf des Artikels klar, was Peter Kleissner anstrebt: Die Übergabe seiner Software an die Behörden, damit diese sie zum Knacken beschlagnahmter Rechner einsetzen können. Zum Glück beschränkt sich dieses Bootkit (derzeit) auf eine Verschlüsselungssoftware und nochmal zum Glück benutze ich eine andere

Snukey · **Verfasst:** 31.07.2009 14:44

Ist auch nur gut für direkt verschlüsselte Platten und nicht für Container Dateien so wie ich das lese. Oder irre ich da?

JMD · **Verfasst:** 31.07.2009 14:52

Genau darum gehts und betrifft auch nur TrueCrypt. Allerdings nehme ich nicht an, das dies lange so sein wird. Demnächst wird TrueCrypt sicherlich dahingehend erweitert, dass der MBR überprüft wird und wenn er verändert wurde, schreibt sich einfach die reguläre Verschlüsselung wieder rein. So wie bei div. anderen kommerziellen Tools.

Snukey · **Verfasst:** 03.08.2009 13:38

Wobei ich mich nun immernoch frage, wie das geht.
Die Daten sind mit Passwort X verschlüsselt. Anhand von Passwort X kann ein Algorithmus sie wieder zurück rechnen.
Wenn man Passwort X nicht hat, dann dürfte da doch eigentlich garnichts zu machen sein, oder?

Habe nun zugegeben noch nie mit TrueCrypt ganze Platten verschlüsselt. Ich nutze nur Container Dateien. Das Prinzip sollte aber eigentlich das gleiche sein. Man gibt beim Start ein Passwort ein, ohne das geht es nicht.

visitor · **Beiträge:** 33 Registriert: 18.06.2009 00:06

Soweit ich das verstehe, wird vom Bootkit nichts entschlüsselt, es ist allerdings möglich, trotz verschlüsselter Partition (womit man auch nichts von "außen" auf die Platte schreiben kann), ungestraft den MBR beschreiben zu können und Anfragen an den Windowskernel umzuleiten.
Wenn Windows (win32) nun gestartet wird, kann Stoned (je nach Plugin) nun allesmögliche mit Systemrechten machen (auch vorgaukeln, dass der MBR noch so ist wie zuvor, wenn genug Platz ist). Es agiert also als Trojaner.

visitor