ComputerBase Menü
Aktuelles

18 jähriger erstellt Bootkit mit dem TrueCrypt ausgeheblt wird

  • Ersteller Ersteller impressive
  • Erstellt am Erstellt am
sehr interesant. danke für den link.

kennt jemand ein tool wo man nen hash vom mbr ausrechnen lassen kann. ein befehl wie dd und ein kommandozeilen hashprogramm würdens auch schon tun. dann könnte man nen batch datei machen.
 
Nur 32bit Varianten, ein weiterer Punkt für 64bit ;)
 
Naja, da ich Vista habe und nichtmal als Admin unterwegs bin, kann mir so ja nichts passieren ;). Aber ich hoffe, dass es ein Ansporn fuer die TC-Entwickler ist und sie es beheben koennen. Die andere Frage ist dann, wenns geaendert wurde und im Quelltext ersichtlich ist, ob der Herr Kleissner es nicht wieder einfach umgehen kann. Wenn dem so ist, waere das ein Grund, closed source zu gehen. Wobei ich aber hoffe, dass nach der Behebung nicht so leicht wieder ein "Loch" gefunden wird und TC weiterhin open source sein koennte.
 
@BrollyLSSJ:
So viel Fehlinformiertheit kann ich hier einfach nicht unkommentiert stehen lassen, also...

Nur weil du nicht als Admin unterwegs bist, heißt das noch lange nicht, dass du davor automatisch geschützt bist. Es reicht, wenn jemand physischen Zugriff auf den Rechner hat und das Rootkit auf den Datenträger befördern kann, genau für diesen Weg ist es wohl auch konzipiert.

Die TrueCrypt-Entwickler werden gar nichts beheben, weil das keine Schwachstelle in TrueCrypt ist, sondern dabei Eigenschaften des Boot-Vorgangs an sich ausgenutzt werden. Dieses Konzept ist keineswegs neu, erinnert mich ein wenig an das Blue Pill-Rootkit. Da das Rootkit vor dem Betriebssystem geladen wird, läuft es im Gegensatz zu Viren/Trojanern usw. nicht in dessen Umgebung und kann von außen her manipulieren (Vergleich mit Virtualisierung?).

Deswegen haben sich die TC-Entwickler auch schon dazu geäußert:
http://www.stoned-vienna.com/downloads/TrueCrypt Foundation Mail 18. Juli 2009.tif

Der Weg ist also keineswegs revolutionär oder neu, aber natürlich trotzdem eine beachtliche Leistung für einen 18-jährigen.

Hier ein anderer Bericht über BIOS-Rootkits: http://winfuture.de/news,23966.html

Und bzgl. Closed Source: Das kann nie, aber wirklich niemals die Lösung für ein solches Problem sein. Sicherheit darf/kann man nicht durch Geheimhaltung des Mechanismus erhalten!

Siehe auch hier: Security through obscurity

@64 Bit:
Ich vermute mal, dass nur die Software noch nicht angepasst wurde, um auch auf 64-Bit-Systeme zugreifen zu können, aber prinzipiell müsste die Attacke unabhängig vom eingesetzten Betriebssystem funktionieren.

Genau so bzgl. Verschlüsselungssoftware. Es wurde halt nur speziell auf TrueCrypt angepasst, geknackt ist es deswegen keineswegs.

Wer physischen Zugriff zum System ermöglicht, kann den durch die eingesetzte Software gebotenen Schutz auch durch viele andere mögliche Gefahren-Quellen aufs Spiel setzen (Bsp.: Kameras, die Passwörter mitfilmen, Hardware-Keylogger, etc.).
 
So gesehen hat aber BrollyLSSJ nicht ganz unrecht. ;)
Damit dieses aktiv werden kann, muss jemand erst mal physischen Zugriff haben. Es müsste also erst mal ein Fremde Person an deine Rechner kommen, bzw. er musst zur Installation Admin Rechte bekommen. Das jemand bei einem daheim einbricht und den Rechner manipuliert, ist äußerst unwahrscheinlich. Gefährdeter sind eher die User, wo ein Infektion via Internet möglich ist und diese default mit Admin Rechten surfen.
Für eine Infektion sind aber Administratorrechte oder physischer Zugang erforderlich.
Zum Vergrößern anklicken....
http://www.heise.de/newsticker/Bootkit-hebelt-Festplattenverschluesselung-aus--/meldung/142780

Kannst mich aber gerne berichtigen, wenn ich das falsch verstanden habe. ;)
 
Nein nein, du hast schon Recht. Ich habe mich nur ein bisschen unklar ausgedrückt - was ich damit sagen wollte ist, dass man durch das eingeschränkte Konto alleine nicht gleich auch geschützt ist.

Das mit der Fehlinformiertheit bezog sich vor allem auf den Open/Closed Source-Teil.

Ich hoffe trotzdem, dass ich selbst nicht zu viel Mist dabei verzapft habe. So bodenfest bin ich bei Rootkits noch nicht. ;)
 
Bootkits sind eine Kombination aus einem Rootkit und der Fähigkeit des Schädlings, den Master Boot Record des PC zu modifizieren und so bereits vor dem Start des Betriebssystems aktiv zu werden.
Zum Vergrößern anklicken....

Das ist dann kein Thema mehr.
Theoretisch kann man mit dieser Art von Maleware auch einen externen Keylogger entwickeln.
Bei der nächsten Eingabe des Passworts kann dieses dann abgefangen werden.

Das ist weder eine Lücke in Truecrypt - noch eine Lücke in der Verschlüsselung.
Es ist einfach nur eine generelle Möglichkeit einen Mechanismus zu umgehen.

Modernere Bios-Versionen stellen allerdings ihre Originalkonfiguration bei einer unerlaubten Änderungen (z.B. bei fehlgeschlagenem Übertakten o.a.) automatisch wieder her.

Um diese Mechanismen zu umgehen, müssten man theoretisch das Bios extern modifizieren und neu Flashen.

Aber selbstverständlich kann man das auch auf andere Geräte übertragen, z.B. auf das Festplattenbios.
Dann sieht die Sache wieder schwerer aus, auch da man durch Formatieren nichts daran ändern kann.

mfg,
Markus
 
Kamikatze schrieb:
@64 Bit:
Ich vermute mal, dass nur die Software noch nicht angepasst wurde, um auch auf 64-Bit-Systeme zugreifen zu können, aber prinzipiell müsste die Attacke unabhängig vom eingesetzten Betriebssystem funktionieren.
Zum Vergrößern anklicken....

Naja 64bit hat mehr Vorteile als nur mehr als 3GB Ram ;)
 
Das bestreitet ja auch keiner, aber ich wage mal zu behaupten, dass das hier keiner ist.

Wenn du ein 64-Bit-Betriebssystem virtualisierst kannst du es genau so von außen (in diesem Fall von der Virtualisierungs-Software aus) steuern, viel anders wird auch dieses Bootkit nicht funktionieren.
 
naja nette idee aber leider nicht neu
sehen wir es mal so
vor wem schützen wir uns mit bootkit? im seltensten fallen vor spionen die einbrechen und ein rootkit direkt auf die hardware spielen
bei den meisten dürften es schnüffler des staates seien denen hier der einblick verwehrt werden soll
diese können ohne legal zu bleiben und somit das vermeintliche beweismaterial als gültig zu erhalten, sich keinen zugang zu unseren daten mit diesem bootkit verschaffen ohne dass wir nicht ohnehin gewarnt wären
wer allerdings nach beschlagnahmung der hardware zb bei einer hausdurchsuchung und anschließender rückgabe durch die staatsanwaltschaft nicht die möglichkeit prüft ob hier ein bootkit installiert sein könnte ist enweder nicht ganz so paranoid, würde aber auch kaum dann in diesem thread hier posten ;)
 
Zuletzt bearbeitet:
´...und mit 18 Jahren ist dieser Schnösel ja nicht mal voll zur Rechenschaft zu ziehen...
 
Das bedeutet daß wir uns daran gewöhnen müssen daß herkömmliche Sicherungsmaßnahmen nicht mehr ausreichen und es keinen absoluten Schutz gibt. Und wenn einem mal wieder das System abgestürzt ist fragt man sich ob solche Leute nicht ihr Talent vergeuden und die Seiten wechseln sollten.
 
Ok, wies aussieht haben ich, und jede menge andere Truecrypht user jetzt ein problem,
gehen wir mal davon aus, wir leben in einen inzwischen Korrupten land, und die Cops würden auf das
gesetz in diesem fall scheissen, bzw. es wurde umgeschrieben (B-Trojaner), oder mein PC würde beschlagnahmt werden.
Wie könnte ich meine daten trotzdem sicher aufbewahren? mit Externer boot disk? oder währe das
auch wirkungslos, sobald mein pc beschagnahmt wurde? Und wenn es doch funktioniert, was könnte ich dann tuen?

Hoffe ihr könnt mir/allen tipps geben

gruß
Lukas
 
Du bist sicher Top Terrorist, damit du dir über solches Gedanken machen musst. ;)
Wie viele gleich immer die Hose voll bekommen, weil der Staatsanwalt ja ihre Pornos, Warez finden würde.
Ich muss immer gleich lachen, wenn diverse Leute ihre Warez damit verstecken wollen, irgendwie ist das Zeug ja auf die Platte gekommen. Sollte also der Rechner beschlagnahmt werden, weil im großen Stil Raub-kopiert wurde, liegen schon diverse andere Beweise vor. (IP Logs usw.)
Da hilft dir auch eine verschlüsselte Festplatte Null Komma Null.
Bitte verstehe meine Aussagen hier nicht als persönlichen Angriff, bzw. ich würde dir unterstellen Warez zu besitzen.
 
Zuletzt bearbeitet:
naja ich kann leute verstehen die ihren privaten dokumente oder firmaunterlagen verstecken wollen. auch kann ich leute verstehen die private "bilder" verstecken wollen. das ist ja alles auch nicht illegal. wenn jemand den pc voller gecrackter software hat wird er verständlicherweise dies aber auch geheim halten wollen und ip logs hin oder her. wenn die jemanden wegen nen mp3 erwischen (iplogs) und dann noch terabyteweise anderes zeug finden glaube ich nicht das das strafmildernd ist. das wird wohl der grund sein. hauptproblem ist nachwievor wie das ding auf den pc kommen soll.
also wenn jemand ab sofort nen pc beschlagnahmt kriegt und die polizei nach 2 tagen sagt "ok ihr system war verschlüsselt wir können das nicht knacken" und den zurückbringt naja dann kann man wohl davon ausgehen das das ding installiert ist.
ich mache mir um meine provaten daten (da denke ich vorallem an diebstahl) keine sorgen. notfalls prüft man halt 1x am tag den mbr hash wenn man als paranoider ganz sicher gehen will.
 
Also wegen meinen XXX zeugs mach ich mir keine gedanken, das kann von mir aus im fernsehen mit meinnen namen ausgestrahlt werden, (Pornos sind ja fasst schon gesellschaftsfähig ;-) )
und wegen IP logs, leckt mich (im übertragenen Sinne) Proxy im ausland und ssl.
aber wie gesagt, was kann man tuen um sich dafor zu schützen?
oder wie erstelle ich mir eine boot disk damit der Trojaner dann prinzipiell wirkungslow währe?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz