Hardwareverschlüsselung von Festplatten lässt sich oft austricksen

  • So schnell kann es gehen: Einfach die Festplatte im laufenden Betrieb umgesteckt.
    foto: tilo müller

    So schnell kann es gehen: Einfach die Festplatte im laufenden Betrieb umgesteckt.

Experte zeigt im Rahmen des 29C3 besonders simplen, neuen Angriffstyp namens "Warm Replug"

Eines steht fest: Mit der Verschlüsselung der eigenen Daten können die NutzerInnen die Sicherheit ihrer System massiv verbessern. Dass dies aber auch kein allheilbringendes Rezept ist, wurde in der Vergangenheit bereits auf unterschiedlichen Wegen gezeigt: Läuft ein Computer, gibt es gleich mehrere Methoden, um auch ohne Passwort dauerhaft an die Daten zu kommen.

Warm Replug

EIne neue fügt nun der Informatiker Tilo Müller im Rahmen des derzeit in Hamburg abgehaltenen 29C3 hinzu, wie heise.de berichtet. Die "Warm-Replug"-Methode richtet sich vor allem gegen hardwareverschlüsselte Festplatten, wie sie mittlerweile eine Fülle von Herstellern anbietet.

Simpel

Dabei wird die SATA-Verbindung der Festplatte im laufenden Betrieb einfach umgesteckt, ohne die Stromversorgung zu unterbrechen. Nur drei von zwölf getesten Festplatten haben diesen Vorgang bemerkt, bei allen anderen hätten die Daten umgehend auf einem anderen System ausgelesen werden können, so Müller.

Vergleich

Voraussetzung ist dabei natürlich, dass der betreffende Computer gerade läuft und die Festplatte entsperrt ist. Da es mittlerweile eine ganze Reihe von ähnlichen Attacken gibt, geht Müller zudem davon aus, dass die hardwarebasierte Verschlüsselung von Festplatten nicht sicherer ist als reine Softwarelösungen wie PGP Disk oder Truecrypt - in einigen Fällen sei sogar die Hardwarevariante die unsichere. (red, derStandard.at, 30.12.12)

Share if you care
Posting 1 bis 25 von 50
1 2

Ginge es mir nicht um Forensik sondern um Datendiebstahl und ich säße vor einem entsperrten PC, würd ich einfach ein sektorielles Backup machen und schon hab ich die entschlüsselten Daten.

was ist ein sektorielles backup?
https://www.google.at/search?q=... les+backup
sagt leider genau nichts...

Wenn Sie Sektor für Sektor der Festplatte 1:1 auf eine andere sichern.

Dann sollte man aber viel Zeit einplanen...

Warum so umständlich

Meine Daten auf dem USB-Stick, mit ext4-formatiert, in der Unterhosentasche und eine Live-Linux-CD/DVD in der Jackentasche.
Dann bleibt der PC eventuell sogar sicher im Büro.
Sogar bei Verlust des Sticks melden 90% aller PC einen leeren unformatierten Stick. Verschlüsseln sichert den Rest. Das nenne ich sicher.

Die CD können Sie sich sparen, so ein (live) Linux bootet auch von USB.

Und wenn sie als erste Partition des USB-Sticks FAT32/NTFS formatieren, dann meldet sich der Stick unter Windows auch nicht als unformatiert. (Es könnte sich jemand wundern, weshalb sie einen unformatierten Stick in der Unterhose rumtragen).
Übrigens könnten sie eine 2. Partition ebenfalls FAT32/NTFS formatieren und Windows würde die nicht anzeigen.

Windows kann auf USB-Sticks immer nur eine Partition, und zwar die erste. Warum auch immer...
Will man unter Windows einen USB-Stick mit mehrere Partitionen verwenden, dann muss man den Stick dazu bringen sich nicht als USB-Stick sondern als USB-Festplatte zu melden.

Und nein, ein EXT-FS ist keine Verschlüsselung.

kleine Ergänzung zum Verständnis

Es soll nicht von Stick gebootet werden, das wäre nur sehr begrenzt Inteligend, sozusagen blöd!
Windows betreibt Inzucht und kennt nur sich selber, das ist der Trick mit Ext(Linux)-Formaten. Eine zusätzliche Verschlüsselung erhöht die Datensicherheit.

Mit einem U3-Stick ist das durchaus erträglich blöd. Allerdings booten die auf einigen Rechnern dann nicht.

ja genau

das umstecken im betrieb funktioniert ja schonmal nur bei pcs und nicht bei notebooks.
aber die chance einen eingeschalteten und gesperrten pc grade irgendwo, z.b. am flughafen, oder im caffee zu finden sind doch mal um einige hunderttausend% geringer als die ein notebook zu finden...
und wenn ein datendieb nachts in eine firma einsteigt und nach einem pc sucht wird der meist ausgeschaltet sein, und tagsüber ein bisserl zu auffällig.
somit eine absolut unnützbare schwachstelle.

Der PC, das Notebook muss dazu nicht eingeschaltet sein

Den Key für die Platte hat ja das BIOS und das BIOS sperrt auch die Festplatte auf (sonst könnte man nicht davon booten).

Das heißt wenn ich ihr Notebook geklaut habe (oder konfisziert weil ich die Polizei bin), dann hab ich genügend Zeit ihr Notebook zu zerlegen und mein Kabel da zwischen die HD zu fummeln.

Dann mach ich das Notebook an, warte bis das BIOS die HD aufsperrt, schalte dann die Datenleitungen der Platte um kann Ihre Daten auslesen.

Das ist natürlich ein gewisser Speziallfall (Ihr System bootet nur von der Platte, sie haben die BIOS Einstellungen PW-geschützt) - aber grundsätzlich kann man daraus schon was machen.

Was ist daran neu?

Diese Methode ist schon seit 2-3 Jahren bekannt.

neuer Angriffstyp ... lol

Das machte man doch schon bei der ersten XBOX um sich Zugriff auf die Festplatte zu verschaffen.

also wenn der CCC nix anderes auf Lager hat.

Das ist ganz schön konstruiert. Wer einen PC "physikalisch" vor sich stehen hat, der hat idR noch andere Möglichkeiten als hot-PnP. Davon abgesehen ist das Szenario unwahrscheinlich: natürlich muss die Platte "bemerken" dass sie woanders angesteckt wurde, sie muss sich ja dem neuen System zu erkennen geben und meist fehlen dann erstmal die permissions. Hardwareverschl. ist ja auch nur ein Ansatz. Wer bestimmte Dateien definitiv verschlüsseln muss, der hat andere (mitunter durchaus einfache) Möglichkeiten, u.U. reicht selbst ein Programm wie WinRAR aus! Wer da behauptet: Entschlüsselung sei einfach, der solle erst das genaue Szenario aufzeigen um welches es geht. Sonst ist die Aussage so viel Wert wie "Kopf oder Zahl" ...

30.12.2012, 22:01
verschlüsseln vs. mit passwort sichern

ich glaube nicht, dass winrar oder winzip Daten verschlüsseln können - du kannst ein Passwort eingeben, aber sowas ist in weniger als einer Stunde geknackt. Bereits verschlüsselte Dateien kann man durchaus packen, dass Archiv kann man dann wieder entpacken, aber man hat keinen Zugriff auf die Daten (weil ja verschlüsselt). Der Sinn, dass hardware-verschlüsselte Platten durch umstecken auf ein anderes System nicht gesperrt sind ist imho dass man diese Platten dann klonen bzw. sichern kann, ohne das Original zu verändern.

aha

Na dann probier doch mal eine zuvor mit WinRAR verschlüsselte Datei ohne selbiges Passwort auszulesen. Mittels brute force wünsch ich dir jetzt schon mal viel Spaß dabei, da ergeben sich nämlich schon bei relativ kurzen passwörtern ganz schnell astronomisch hohe Zahlen an Kombinationen. Aus der "einen Stunde" werden dann eher ein paar Jahre ;)

doch ... WinRAR kann mit AES verschlüsseln.

Und aus dem Password wird ein Schlüssel generiert. Und ein so verschlüsseltes Archiv kann man eben nicht in 1 Stunde entschlüsseln. Bei HDDs mit Hardware-Encryption habe ich keine Ahnung, nach welchem Standard und v.a. wo eigentlich der Schlüssel generiert wird. Vielleicht ist ja dort auch eine Schwachstelle. WinRAR als Software halte ich deshalb für relativ sicher, weil man eigentlich nur garantieren muss dass beim Eingeben des Passwortes kein Keyboard sniffer o.ä. aktiv ist. Außerdem gibt's div. AES Implementierungen in vielen anderen Anwendungen ja auch.

na schau an ... wieder was gelernt ;-)

"ich glaube nicht, dass winrar oder winzip Daten verschlüsseln können"

aber sowas von...

Ach das Problem kann man einfach beheben

etwas Superkleber und fertig;-)

Dann sollte man wenigstens ein MB mit ausreichend Anschlüssen besitzen. Sonst ist's bissl mühsam jedesmal das MB zu tauschen, wenn die HD den Geist aufgibt. Denn nur an der HD festkleben bringt ned viel.

Am Besten gleich das MB vergießen, sonst baut noch wer einen Adaptersockel für die CPU ;-)

damit der datendieb picken bleibt, oder wie?

Damit der Stecker nicht mehr runter geht.

so wie "to protect against BIOS rootkits, take out the Flash chip, cut off the Write Enable pin, put it back in, and seal it off with epoxy glue so everyone trying to Flash it will have to destroy your motherboard."

oder "Cold boot attacks are hard to defend against by anything other than gluing your memory into the banks with epoxy."

Hässliche Rostflecken an Ihrem Auto verschwinden, wenn Sie es ein betonieren. (MAD-Magazin)

NSA-Backdoor vom Hersteller?

gibs sicher nicht wenn die in/von/für die USA hergestelllt wird ;-)

also wenn ich zugriff zu einem laufenden computer mit entsperrter festplatte habe, dann kann ich das zeug auch ganz normal kopieren... aber warum einfach, wenns auch kompliziert geht =)

zu festplattenverschlüsselung fällt mir auch immer wieder das ein: https://xkcd.com/538/

Posting 1 bis 25 von 50
1 2

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.