Tool zum Austricksen von Truecrypt veröffentlicht

Der Trick, den die Sicherheitsexpertin Joanna Rutkowska umgesetzt hat, ist denkbar einfach und prinzipiell längst bekannt. Sie schrieb einen Keyboard-Logger, der die Eingabe des zur Entschlüsselung benötigten Passworts belauscht. Um das besonders komfortabel zu gestalten, hat sie ein Image gebastelt, das man auf einen USB-Stick laden kann. Wenn man den in ein verschlüsseltes Laptop steckt und davon bootet, infiziert es den Boot-Loader der Festplatte und klinkt sich in die Passwortabfrage ein.

Beim nächsten Mal, wenn der Eigentümer sein Notebook startet, protokolliert der Sniffer das Passwort mit und speichert es. Der Dieb muss sich zu einem späteren Zeitpunkt erneut Zugang zum Laptop verschaffen und vom USB-Stick booten. Dieser erkennt, dass das System bereits infiziert ist und liest das mitprotokollierte Passwort aus. Mit dem kann der Dieb dann das Laptop regulär booten oder auch die Festplatte kopieren und entschlüsseln.

Rutkowska deckt damit keineswegs eine neue Schwachstelle der Open Source Software Truecrypt auf. Das Angriffsszenario ist bekannt und dokumentiert. Es lässt sich analog auch gegen andere Festplatten-Verschlüsselungen wie das kommerzielle PGP Whole Disk Encryption einsetzen. Die umtriebige Sicherheitsexpertin legt lediglich einen Finger in die Wunde, dass man die Sicherheit solcher Systeme eigentlich nur dann gewährleisten kann, wenn eine gegen Manipulation geschützte Instanz bereits beim Booten die Integrität aller Komponenten testet, wie es die Trusted Platform Module tun soll.

Zumindest erschweren kann man solche Angriffe, indem man das BIOS mit einem Passwort schützt und dort als einziges Boot-Medium die eingebaute Festplatte zulässt. Der Angreifer kann die Festplatte jedoch immer noch manipulieren, indem er sie beispielsweise ausbaut und an einen anderen Rechner anschließt und dann wieder einbaut.

Siehe dazu auch:

• Evil Maid goes after TrueCrypt! Blog-Eintrag von Joanna Rutkowska