Hardwareverschlüsselung von Festplatten lässt sich oft austricksen

  • So schnell kann es gehen: Einfach die Festplatte im laufenden Betrieb umgesteckt.
    foto: tilo müller

    So schnell kann es gehen: Einfach die Festplatte im laufenden Betrieb umgesteckt.

Experte zeigt im Rahmen des 29C3 besonders simplen, neuen Angriffstyp namens "Warm Replug"

Eines steht fest: Mit der Verschlüsselung der eigenen Daten können die NutzerInnen die Sicherheit ihrer System massiv verbessern. Dass dies aber auch kein allheilbringendes Rezept ist, wurde in der Vergangenheit bereits auf unterschiedlichen Wegen gezeigt: Läuft ein Computer, gibt es gleich mehrere Methoden, um auch ohne Passwort dauerhaft an die Daten zu kommen.

Warm Replug

EIne neue fügt nun der Informatiker Tilo Müller im Rahmen des derzeit in Hamburg abgehaltenen 29C3 hinzu, wie heise.de berichtet. Die "Warm-Replug"-Methode richtet sich vor allem gegen hardwareverschlüsselte Festplatten, wie sie mittlerweile eine Fülle von Herstellern anbietet.

Simpel

Dabei wird die SATA-Verbindung der Festplatte im laufenden Betrieb einfach umgesteckt, ohne die Stromversorgung zu unterbrechen. Nur drei von zwölf getesten Festplatten haben diesen Vorgang bemerkt, bei allen anderen hätten die Daten umgehend auf einem anderen System ausgelesen werden können, so Müller.

Vergleich

Voraussetzung ist dabei natürlich, dass der betreffende Computer gerade läuft und die Festplatte entsperrt ist. Da es mittlerweile eine ganze Reihe von ähnlichen Attacken gibt, geht Müller zudem davon aus, dass die hardwarebasierte Verschlüsselung von Festplatten nicht sicherer ist als reine Softwarelösungen wie PGP Disk oder Truecrypt - in einigen Fällen sei sogar die Hardwarevariante die unsichere. (red, derStandard.at, 30.12.12)

Share if you care
Posting 26 bis 50 von 50
1 2

dass man an die laufende platte rankommt heißt ja noch nicht dass man auch zugang zum terminal hat

Naja wenn der PC rennt aber das System gesperrt ist

dann ist es woh einfacher die Festplatte einfach umzustecken.

endlich wieder dieses unsägliche Wort: EXPERTE!

Bei Dell gehts einfacher. Hab mal eingestellt, dass man nur bei Kaltstart das Passwort eingeben muss.
Was passiert? Ich drück einfach Strg-Alt-Enf wenn das Passwort verlangt wird, damit der PC neustartet. Der Gute glaubt, es war ein Warmstart, fährt ohne Passwort hoch.

Wenn das bei einem Kaltstart funktioniert heiszt das, dass das Passwort fuer diese Funktion wohl ungeschuetzt auf der Platte liegt. Da noch von Verschluesslung zu sprechen ist zwar technisch korrekt aber praktisch ziemlich verlogen.

Vielleicht sollte Sie das OP noch mal genau lesen.

?
wenn du das so eingestellt hast - und es genau das macht was du eingestellt hast, wo liegt dann nochmal genau das problem?

Off Topic

Hier geht's um Verschlüsselung und nicht um ein Boot Passwort

Das betrifft FDE-Platten (die das ATA-Passwort zum Entschlüsseln verwenden) genauso.

... und womit wurden die Daten entschlüsselt, wenn kein Passwort angeben wurde?

Natürlich wurde ein Passwort angegeben. Nämlich schon vor dem Warmstart. Ohne Anweisung vom BIOS, hat die Platte auch keinen Grund, das zu vergessen.

Na dann lies dir das Posting von mister wayne (um das es hier geht) nochmal durch:

http://derstandard.at/plink/135... id29517523

(Kaltstart - KEIN Passwort - Warmstart)

Das geht vielleicht auf seinem Dell, mit schwachem BIOS Pwd, aber sicher nicht bei FDE

Vielleicht sollten SIE mal lesen.

Kaltstart, Passwort, Warmstart, kein Passwort.

OMG, das kann doch wirklich nicht soooo schwierig sein.

Zitat mister wayne:

"Bei Dell gehts einfacher. Hab mal eingestellt, dass man nur bei Kaltstart das Passwort eingeben muss.
Was passiert? Ich drück einfach Strg-Alt-Enf wenn das Passwort verlangt wird, damit der PC neustartet. Der Gute glaubt, es war ein Warmstart, fährt ohne Passwort hoch."

Wo bitte steht hier was von Passworteingabe?!?

Das ist ein wenig peinlich für Dell... ;o)

kanns mir zwar nciht ganz vorstellen.. aber wenn dem so is fällts unter "relativ geil" :D

ÄHM?

Wenn der Rechner läuft und die Hardwareverschlüsselung deaktiviert ist wozu dann die Festplatte umstecken um die Daten zu kopieren?!

Wenn Sie Datenforensik betreiben, dürfen Sie auf dem zu untersuchenden System prinzipiell überhaupt nichts machen... deshalb verwenden Forensiker Write-Blocker, und legen eine Checksum der gesamten Festplatte an, um nach der Analyse sicherzustellen, dass sie nicht selbst irgendwelche Daten daran verändert haben...

Mal abgesehen davon, dass der laufende Computer gesperrt sein kann, oder dass der Forensiker keine Zugriffsrechte auf alle Files hat, insbesonders Betriebssystemfiles (Registry, Logs, etc.)...

Die Verschlüsselung ist nicht deaktiviert, wenn die Platte entsperrt ist, eher im Gegenteil. Die Platte weiß dann überhaupt erst den Schlüssel.

Weil man damit alle softwarebasierten Authentifizierungsmethoden umgehen kann.
Dass die Festplatte im laufenden System entsperrt ist, heißt ja noch lange nicht, dass mir das System Lese- und/oder Schreibrechte auf die Dateien gibt, die ich sehen will. Wenn ich die Platte aber am eigenen Rechner mounte....

Weil der Rechner vielleicht gelockt ist und man nicht an die HDD Daten ran kommt.

So könnte man den verschlüsselungstrojaner umgehen

kaum, der ist ja nicht nett genug ihnen vor dem umstecken schnell alles zu entschlüsseln. bei den im artikel genannten methoden geht es ja darum, dass die festplatte vom besitzer entsperrt wurde, und danach entwendet werden kann, sofern die stromversorgung nicht unterbrochen wird.

Nein, weil der Trojaner keine Hardwareverschlüsselung verwendet.

bezogrn auf meinen obigen post: das sowieso ;)

Posting 26 bis 50 von 50
1 2

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.