22.02.2008 11:25
Passwortklau durch gekühlten Speicher
Festplatten- und Datei-Verschlüsselung mit Bitlocker unter Vista, dm-crypt in Linux, mit TrueCrypt oder auch Apples FileVault galt bislang als sicher. Forscher der Princeton University haben nun demonstriert, wie man mit physischem Zugriff auf angeschaltete Rechner oder Rechner im Standby-Modus mit einfachen Mitteln an die Schlüssel zur Entschlüsselung gelangen kann.
Die Forscher nutzen den Effekt aus, dass Daten im DRAM nicht sofort nach der Kappung der Stromzufuhr verloren gehen, sondern erst nach einem kurzen Zeitraum von wenigen Sekunden bis hin zu einer Minute. Die Daten lassen sich durch Kühlung noch länger haltbar machen: Durch Kühlung der Speicherchips mit Druckluft aus Druckluftflaschen auf -50 °C blieben Speicherinhalte mit nur sehr geringer Fehlerrate mehrere Minuten erhalten. Bei der Kühlung mit flüssigem Stickstoff erreichten die Forscher eine Haltbarkeit der Daten im Stundenbereich.
Um die Daten auszulesen, haben die Princeton-Forscher kleine Programme geschrieben, die über USB-Stick, Intels Preboot Execution Environment (PXE) oder den BIOS-Nachfolger Extensible Firmware Interface (EFI) geladen werden und das Erstellen von Speicherabbildern ermöglichen. Dabei überschreiben jedoch das BIOS und das Image-Programm kleine Bereiche des Speichers, was dem Forschungsbericht zufolge aber kein Problem darstellen soll.
In den Speicherabbildern kann man nach den Schlüsseln für die Festplattenverschlüsselung suchen. Da nach dem Ausschalten schon Informationen in den Speicherzellen verloren gegangen sein können, haben die Forscher einige Algorithmen entwickelt, mit denen sie Passwörter auch bei geringen Fehlern aufspüren und in kurzer Zeit wiederherstellen können.
Die Forscher haben die Entwickler von Microsoft, Apple, TrueCrypt und die Linux-Kernel-Entwickler über die DRAM-Schwachstelle informiert, sehen aber kaum Möglichkeiten, sie abzudichten. Bei Notebooks mit kritischen Daten auf verschlüsselten Festplatten hilft beispielsweise das Ausschalten, wobei die Daten nach kurzer Zeit vollständig gelöscht werden, anstatt sie in den Standby-Modus zu versetzen.
Der neue Angriff erinnert an das spezielle Forensik-System HotPlug, das ebenfalls physikalischen Zugang zum Gerät erfordert. Mit ihm ist es möglich, einen netzgebundenen Rechner im laufenden Betrieb auf eine mobile USV-Stromversorgung umzustellen, damit die Zugriffsschlüssel für die nachfolgende Untersuchung im Arbeitsspeicher verbleiben.
Siehe dazu auch:
- Lest We Remember: Cold Boot Attacks on Encryption Keys (PDF), Forschungsbericht von J.Alex Halderman, Seth D. Schoen, Nadia Heninger, William Clarkson, William Paul, Joseph A. Calandrino, Ariel J. Feldman, Jacob Appelbaum, Edward W. Felten
(dmk)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
