Entwickler Peter Kleissner über sein Bootkit "Stoned"
Vortragende auf der Hackerkonferenz Black Hat lösen oft Wirbel aus, wenn sie bis dato nicht bekannte Sicherheitslücken veröffentlichen oder demonstrieren wie vermeintlich sichere Systeme ausgetrickst werden können. Der junge österreichische Entwickler Peter Kleissner hat mit seinem Bootkit namens "Stoned" für Aufsehen gesorgt. Im E-Mail-Interview mit Birgit Riegler erzählt er von seiner Arbeit und den Problemen, die sie mit sich bringt.
+++
derStandardat.at: Das von Ihnen entwickelte Bootkit "Stoned" hat nach der Präsentation auf der Black Hat Konferenz für einiges Aufsehen gesorgt. Können Sie unseren Lesern nochmals erklären, wie es funktioniert?
Peter Kleissner: Das Bootkit wird in den Master Boot Record installiert und wird daher direkt vom BIOS noch vor dem Betriebssystem geladen. Es ist speicherresistent und patcht und hookt Windows Startdateien um weiterhin im Speicher aktiv und unerkannt zu bleiben. Einmal im Kernel angelangt, hat es unbeschränkten Zugriff auf das kompromittierte System. Anders als bei bisherigen Bootkits funktioniert es mit allen Windows Versionen von 2000 bis 7.
derStandardat.at: Sie schreiben selbst, dass Stoned neben TrueCrypt auch die Verschlüsselung von DiskCryptor 0.8 "umgehen" kann. Was meinen Sie damit genau?
Kleissner: Man kann mithilfe von Stoned eine vollständig verschlüsselte Festplatte infizieren. Und wenn der Benutzer sein System startet und sein Passwort eingegeben hat wird Stoned aktiv und bekommt Zugriff auf sämtlichen Daten. Es ist ein Angriff auf das Design von System Encryption, bei der nämlich der MBR ungeschützt bleibt.
derStandardat.at: Welche Entwicklungen haben Sie für Stoned noch geplant?
Kleissner: Im Moment programmiere ich an 64-bit Windows Support, Linux Support, TPM-Umgehung und AntiWPA. Diese Dinge werden im Laufe der nächsten Zeit hinzukommen und das Framework wird dem entsprechend geupdated. Außerdem bin ich gerade am Starten meiner eigenen Startup Firma, deswegen werden sich die Prioritäten davor noch verschieben.
derStandard.at: Worum geht es bei der Firma?
Kleissner: Die Startup Firma Insecurity Systems soll dort anschließen wo ich vor einem Jahr aufgehört habe. Sie soll sich mit der Sicherheit und Unsicherheit von Betriebssystemen befassen. Dazu soll unter anderem auch proof-of-concept Software und Software zu forensischen Zwecken veröffentlicht werden und Software-Entwicklung als Service angeboten werden.
derStandardat.at: Sie haben davon gesprochen, dass Stoned z.b. für den Bundestrojaner interessant wäre (berichtete heise). Bundestrojaner und Online-Überwachung sind stark umstrittene Themen, wie stehen dazu?
Kleissner: Ich stelle mich klar gegen jegliche Bundestrojaner oder Online-Überwachungsmöglichkeiten oder Zensur. Ich bin ein Verfechter des freien Internets und der Rechtsstaatlichkeit, d.h. Überwachung nur auf richterliche Anordnung, Kontrolle der Überwachung etc. Jegliches Statement, dass ich das Bootkit für einen möglichen Bundestrojaner zur Verfügung stellen würde, ist falsch. Zudem ist es wichtig politische und technische Aspekte zu trennen. Technisch gesehen könnte mein Bootkit für einen Bundestrojaner interessant sein, ja, aber ich würde es nicht zur Verfügung stellen. Außerdem ist die Diskussion über Bundestrojaner und Hacker ja/nein eine Frage der Professionalität. Ich bin Programmierer und bleibe bei meiner grundsätzlichen Neutralität zur Software. Ich versuche jegliche politischen Statements in meinen Blogs, Papers und Artikeln zu vermeiden, auch um etwaige Interessenskonflikte im Vorhinein zu verhindern.
derStandardat.at: Würden Sie denn mit der Polizei zusammenarbeiten, falls man auf Sie zukäme bzw. ist das eventuell schon passiert?
Kleissner: Nein, in den letzten Tagen ist eher das Gegenteil davon passiert.
derStandard.at: Das klingt als hätten Sie Probleme gehabt?
Kleissner: Unglücklicherweise haben in Österreich einige Institutionen darunter auch das BMLV meine Arbeit und die Intuition dahinter nicht verstanden bzw.
falsch verstanden, wodurch ich letztendlich meinen Job bei Ikarus Security Software in Wien verloren habe. Außerdem habe ich Stimmen gehört, dass meine Arbeit in Deutschland und den USA für illegal gehalten wird, was aber natürlich diskutabel ist. Aufgrund der österreichischen Rechtslage mache ich mir jedoch keine weiteren Sorgen darüber.
derStandardat.at: In den Medien wurde stark hervorgehoben, dass Sie erst 19 Jahre alt sind. Stört Sie das oder schmeichelt es Ihnen?
Kleissner: Nun ich muss erst mal mein Alter klarstellen, ich bin nämlich erst 18. Auf meiner Website habe ich - zeitweise - etwas anderes behauptet - bei 40 Stunden Schule und 30 Stunden Arbeit braucht man seinen Spaß, siehe der Website "Curious" Section ;-). Außerdem - leider ist es in Österreich so - nehmen die Leute einen mehr ernst wenn man etwa angibt von der Universität zu kommen und älter sei. Ich versuche meine Arbeit, d.h. publizierte Artikel, Analysen, Papers, etc. in den Vordergrund zu heben und meine Person dabei wegzulassen. Auch auf der Black Hat habe ich bei der Präsentation bewusst mein Alter nicht bekannt gegeben - die Leute sollen objektiv und unbeeinflusst über meine Arbeit denken und nicht etwa über mein Alter erstaunt sein. Zudem denke ich, ist das auch eine Frage der Professionalität.
derStandardat.at: Dan Kaminsky und Kevin Mitnick wurden ja offenbar Opfer von Hackern, die persönliche Informationen und Passwörter im Web verbreiteten. Ist das nun eine riesige Blamage oder einfach etwas, das passieren kann?
Kleissner: Selbstverständlicherweise bleiben die Angriffsvektoren auch bei Sicherheitsexperten bestehen, obwohl ich zugeben muss, dass der Hack gegen Kaminsky in Person - die Motivation dahinter - kurios ist. Dan wurde jedoch Opfer eines einfachen Web-Server Hacks, vermutlich eine Brute-Force Attacke - aufgrund seines kurzen Passworts. Nun, Sie wären überrascht, aber ich selbst habe kein Antivirenprogramm.
derStandard.at: Und wie schützen Sie Ihre Daten?
Kleissner: Ich schütze alle meine Datenträger mit TrueCrypt - und einem Passwort das man sich nicht merken kann, selbst wenn ich es weitergeben würde - 50 Zeichen lang. Daneben habe ich zwar kein Anti-Viren Programm, bekomme aber alle Systemänderungen sofort mitgeteilt. Angst gehackt zu werden habe ich keine, in den bisherigen Fällen konnte ich den Angreifer immer identifizieren und die Attacken ordnungsgemäß behandeln. (Birgit Riegler/ derStandard.at 9. August 2009)
