Sicherheits GAU: Der Spion der mit der Kälte kam.

[drunkenpanda]

Habe vorhin ein wenig mit TrueCrypt rumgespielt und bei der Verschlüsselung dann ein Häcken gefunden mit welchem man einstellen kann ob der Key in den Ram gespeichert werden soll. Zumindest wenn ich das richtig verstanden habe...

Was ich nebenbei noch fragen wollte: Wie ist es eigentlich wenn ich mit TimeMachine meine Daten auf einer externen HD absichere, da kann doch mit Sicherheit von einem Drittcomputer auf die Daten zugreifen wenn man die HD in die Finger bekommt?

 

[WDZaphod]

Was ich nebenbei noch fragen wollte: Wie ist es eigentlich wenn ich mit TimeMachine meine Daten auf einer externen HD absichere, da kann doch mit Sicherheit von einem Drittcomputer auf die Daten zugreifen wenn man die HD in die Finger bekommt?

Die Daten liegen da in verschiedenen Ordner im Klartext - komplett unversteckt und unverschlüsselt...

 

[WDZaphod]

Wir stehen erst am Anfang. Die VDS hat den Überwachungsstaat geboren, er liegt nun in der Kinderkrippe und wird schon mal gesäugt von einem Verfassungsgerichtsurteil, das die heimliche Onlinebespitzelung als in ihrem Kern zulässig erklärt hat. Wächst schön heran, der Bursche, man kann das Blitzen seiner braunen Augen schon sehen. Bald wird er das Laufen lernen und anfangs unbeholfen in die Wohnzimmer der Bürger stapfen...

Hervorragender Beitrag, super geschieben! Besser und bildlicher kann man die aktuelle Situation kaum ausdrücken

 

[Bienchen]

Moin,
wenn ich paranoid wäre würde ich jetzt sagen: ein totalitärer Überwachungs- und Präventionsstaat kommt auf uns zu. Nichts ist mehr sicher. George Orwell's Roman 1984 wird Wirklichkeit?

Nee, ich lass mal die Kirche im Dorf. Nee, ich renne nicht mit einem Panik-Zeichen in den Augen um meinen Wohnzimmertisch. Und nein, mir sind meine Daten nicht wurscht, aber sie sind nicht wirklich wichtig für die Gesellschaft/Politik/Mossad/KGB/BND/Schäuble & Co. - oh doch... ich hab selbst geschriebene Erotikgeschichten auf meinem Mac. *denk* Ich werd mal doch panisch um den Tisch rennen. OMG! OMG! Was soll ich tun!!! *ironie aus macht*

Bienschen

 

[Homersektor7g]

Passend zum Ursprungsthema....
http://www.apfeltalk.de/forum/apple-best-tigt-t130421.html

 

[SilentCry]

Antwort von Seagate

Leider nichts zum Jubeln:

02/28/2008 21:34
Hello *******,
There drives will not work on Mac currently. The drive require a software interface that is not provided by Seagate and currently none of these softwares work on Macs.
Beau, Seagate Product Support

Mich verwirrt das jetzt - meint der die SW zum Setzen des PWD? DAS könnte man ja zur Not mit einer WinKiste machen, die man nicht am Netz hat und die man danach sofort ausnullt, mehrfach. Killdisk.
Ich frag ihn mal - stay tuned ;.)

 

[Bier]

Irgendwie lese ich das nicht so - im Gegenteil, die Ü-Staat-Fetischisten jubeln,(*) Bayern glaubt sowieso im Recht zu sein und ich lese nicht im Urteil, dass es ein absolutes Verbot für eine Onlinedurchsuchung gab. Aber richtig, das ist ein anderes Thema.

http://www.bundesverfassungsgericht.de/entscheidungen/rs20080227_1bvr037007.html

Absatz 1 und 2 des Gesetzes.
Bayern kann von mir aus gerne, wie NRW das auch gemacht hat, ein eigenes Gesetz fassen. Dazu benötigt der Staat jedoch Rechtsmittel auf Bundesebene, die er nicht hat. Verfassung überwiegt lokales Recht. Der Bundesgerichtshof als Jurisdiktion bestimmt hier, nicht der Freistaat Bayern, so gern er das auch will. Es ist verboten.

Wiewohl ich derzeit keine besondere Tendenz sehe, in normalen Laptops EFI zu verwenden.

?

Spätestens in 3 Jahren. Allein die HD Kapazität.

 

[WDZaphod]

Mich verwirrt das jetzt - meint der die SW zum Setzen des PWD? DAS könnte man ja zur Not mit einer WinKiste machen, die man nicht am Netz hat und die man danach sofort ausnullt, mehrfach. Killdisk.
Ich frag ihn mal - stay tuned ;.)

Ich schätze mal, daß die Schnittstelle - Platte sagt BIOS, daß sie gerne ein Passwort hätte - einfach mit EFI noch nicht implementiert ist...

 

[SilentCry]

Weitere Antwort vom Seagte Support:
Response (Beau TS63) 02/29/2008 21:07

Hello ****,
It encrypts data on the drive, but the drive itself needs software to interface with. To access the drive. There is no software like that for a Mac currently that I'm aware of. I have not seen the drive work so I am not perfectly clear on when you log into the drive or even how that process works.
Beau, Seagate Product Support

Das klingt für mich danach als bräuchte man einen speziellen Treiber...? Ich beginne immer weniger zu verstehen, wie das laufen soll. Wie soll Windows starten, wenn erst ein Treiber für Windows geladen werden muss, der den Inhalt der Platte entschlüsselt, auf dem Windows liegt?
Die Antworten des Seagate Supports verwirren mich.

Edit, so, das habe ich ihm jetzt als Frage geschrieben:

Hello again.
I really appreciate your fast responses. I feel ashamed to have to bug you again with my questions of understanding.
Up to what I read is this drive intended to be built into a Laptop. Windows is required to boot from it. I simply can not imagine how the drive would need a special Software for its operation because if this were the case, it can simply not load a windowsdriver in a windows that lays encrypted on the drive itself.
You see what I mean.
If I did not completely miss the purpose of a _hardwaresolution_ for en- and decryption of a bootdrive, it has to run OS-independently once set up correctly.
I assume that the setup-SW, i.e. the SW you define the Passphrase to be hashed into the drive and the generation of the recovery-file as well as the management SW for usercontrol are windows based. This is not excellent but as said one could circumvent this by installing the drive to a Windows machine and set it up there initially.
Then the drive should be able to operate in a separate PC running Linux. Or in a MacBook -if it supports EFI and the initial load process.

If the drive truly needs a SW-part _during usual operation_ it is not understandable to me where the advantage of the hardwarebased solution would be. Full HDD encryption with preboot-authentication can be done by SW-solutions that use a specific boot loader ahead of the true windwows boot (see truecrypt, PGP.com or DriveCryptPlusPack from SecurStar, ...) These SW-solutions of course rely on having a follow-up part in the OS to keep working after their own bootloader gave control to the Windows kernel.
The only true advantage of a HW-solution is especially the elimination of the need of having a SW-portion running in the OS (i.e. no attack vector through that).

thanks in advance. ****​

Ich schreibe das hier her, vielleicht hat ja jemand eine Ergänzung dazu oder viell. sehe ich was falsch?

 

[rostblock]

[*]- Mühselige Aufdrüselung der Daten in grüne, gelbe und rote Bereiche und ein zigtausendmaliges Mount/Unmount von Cryptopartitions/Container inkl. einem disziplinierten Arbeitsverbot an kritischen Daten ausserhalb einer geschützten Umgebung.

hab ich seit langem so und ist nicht so wild wie man denkt:
mit -mountpoint sagen wo das image rankommt (.gnupg etc) und mit -force rauswerfen

Interessant wäre möglicherweise noch abzufragen welche files
durch welches Programm geöffnet wurde um "sauber" zu unmounten.
PGP ist beispielsweise sehr zickig, das will erst pgp-agent beendet werden.

Via DosomethingWhen (oder so ähnlich) dafür sorgen das alle Files
mit .dmg oder .sparseimage mit srm gelöscht werden
wenn das Skript nicht in XX Sekunden abgebrochen wird.
Alternativ das Lösch-Skript gleich via LoginHook aufrufen.

Jetzt wäre es nur noch interessant das ein paar Terminal-Helden
(Wo ist Rastafari eigentlich? Urlaub?)
netterweise das Skript zum unmounten zusammenkleben (so mit if/else und Kram),
und irgendjemand weiß wie man es bei Anspringen Screensaver bzw. Eintreten S3
anwirft.

Alternativ werd ich mal in der gpg-Doku gucken ob die Phrase überhaupt im RAM
landet bzw. man einstellen kann das sie das nicht tut.

Ach ja.. relevante Files in AES-Images sind natürlich noch gpg-verschlüsselt,
gearbeitet wird mit ungespeicherten, entschlüsselten Files,
womit wir bei Van-Eck-Phreaking, (schreibt man das so?) wären.

 

[AgentSmith]

Na, ein bisschen Öl für's Feuer gefällig?

 

[Bier]

Aber das macht ja keiner... und wir haben auch alle nichts zu verbergen.

 

[SilentCry]

Na, ein bisschen Öl für's Feuer gefällig?

Wesley McGrew nutzt hierfür ein SysLinux, auf dem msramdmp lauffähig ist. Dazu muss der Zielrechner jedoch in der Lage sein, von USB-Geräten zu starten. Kommt der Angreifer etwa nicht in ein passwortgeschütztes BIOS, kann dieser dort auch nicht die Boot-Reihenfolge entsprechend anpassen​

Ja, die Ablenkungsmanöver haben begonnen. Nun stürzen sich alle darauf "aber man ist ja sicher, wenn man den Rechner nicht vom USB booten lässt" und lehnen sich in falscher Sicherheit zurück.
Der wahre Angriff wird eben dann am ausgebauten und gekühlten RAM ausgeführt. Der Rechner wird im S3 gehijacked und dann langsam sezziert. Jeder Depp kann seine Bootreihenfolge schützen, selbst am Mac geht das mit dem OF-Passwort (das man wegen der Attack with Fire, also der Firewire-Angriffsvektor via DMA, sowieso unbedingt und ohne wenn und aber setzen sollte), am PC mit einem simplen BIOS-Passwort.

Nochmal: Die Gefahr ist, dass das RAM _minutenlang_ gekühlt auslesbar ist, nicht, dass man einen Rechner über USB booten kann.

 

[Rastafari]

Jeder Depp kann seine Bootreihenfolge schützen, selbst am Mac geht das...

Da muss dieser kleine freche Kobold mit den grossen Ohren mal wieder frech dazwischenquatschen:

a) Am Mac geht das nicht. Dort kannst du nur *ein einziges* voreingestelltes Startvolume schützen. Kann das nicht lokalisiert werden, wird eine Standardsuchprozedur mit immer gleichem Ablauf benutzt. Ist nicht besonders schwer, das auszuhebeln. Wenn ich auf die Gesundheit deiner Hardware keine Rücksicht zu nehmen brauche, ist es ein Idiotenjob, einen "NetBoot" zu erzwingen, auch ohne dein Gerät zu öffnen bzw das Kennwort zu löschen. Dazu genügt ein etwa 2-3 cm langes Stückchen feiner Draht. In die richtigen Stiftbuchsen einer deiner externen Schnittstellen gesteckt wird dieser simple Kurzschluss die Stromversorgung deiner HD vorübergehend zusammenbrechen lassen, das hindert sie wirkungsvoll am anlaufen und dein Gerät startet wie gewünscht via USB, FW oder Ethernet. Voila.

b) An den meisten PCs geht das auch nicht, auch wenn das BIOS-Setup einen das glauben macht.
Von drei PCs besitzen im Schnitt etwa zwei ein sog. "EasyBoot" Feature, das es möglich macht das gewünschte Startup-Device aus einem PopUp-Menü auszuwählen - unter eleganter Umgehung des dort auf noch lächerlichere Weise implementierten Kennwortschutzes. Nutzt man dieses Feature, findet eine Kennwortabfrage gar nicht erst statt und die im BIOS eingestellten Werte werden völlig bedeutungslos. Dafür genügt es schon, einfach beim Startup eine bestimmte Taste zu drücken. Bei etwa zwei Drittel aller PCs (mit Award-BIOS) ist das zynischerweise die "Escape"-Taste. Suuupersicher implementiert... no comment.

BTW
Warum sind eigentlich beim Elektroniktrödler meines Vertrauens neuerdings die Flaschen mit dem Kältespray ständig ausverkauft?

 

[SilentCry]

a) Am Mac geht das nicht. Dort kannst du nur *ein einziges* voreingestelltes Startvolume schützen. Kann das nicht lokalisiert werden, wird eine Standardsuchprozedur mit immer gleichem Ablauf benutzt.

Nun, dann hat Apple eine weitere, katastrophale Sicherheitslücke.
Es sei denn, der Mac würde bei dieser Form von Booten das RAM löschen. Das könnte gut sein, weisst Du es?

Von drei PCs besitzen im Schnitt etwa zwei ein sog. "EasyBoot" Feature, das es möglich macht das gewünschte Startup-Device aus einem PopUp-Menü auszuwählen - unter eleganter Umgehung des dort auf noch lächerlichere Weise implementierten Kennwortschutzes.

Also, an den IBM TP der Firma geht das nicht. An meinem Toshiba damals auch nicht. Am HP eines Kollegen auch nicht, an dem Asus eines Freundes von mir geht es ebensowenig.
Es wird, wenn man diese Liste von Bootdevices haben will, immer vorher das BIOS PWD abgefragt.
Ist die Conclusio also, dass der Mac noch unsicherer ist als ein PC weil das OF-PWD nur die Reihenfolge schützt und man das Booten von USB/FW oder Net nicht abstellen kann wie in normalen PC-BIOSen sehr wohl?

 

[Rastafari]

Nun, dann hat Apple eine weitere, katastrophale Sicherheitslücke.

Ach je, was du immer witterst... (Hinter dir, das Krokodil!)

Es sei denn, der Mac würde bei dieser Form von Booten das RAM löschen. Das könnte gut sein, weisst Du es?

KEIN Computer tut das. Wozu denn auch, bringt doch gar nichts und dauert nur ewig.

Also, an den IBM TP der Firma geht das nicht. An meinem Toshiba damals auch nicht. Am HP eines Kollegen auch nicht, an dem Asus eines Freundes von mir geht es ebensowenig.

Alle auf einem "Award Modular BIOS" aufgesetzten Rechner haben dieses Feature an Bord, aber nicht unbedingt auf die Escape-Taste gelegt, das ist frei wählbar. F2, F4 oder F11 werden auch gerne dafür benutzt. Meist ist sowas zu finden in den Systemen mit AMD-kompatiblen Prozessorsockeln. Die komplette Deaktivierung dieses Features findet man nur relativ selten vor. Wer den Boardhersteller kennt, kennt also grundsätzlich auch die richtige Taste bzw Tastenkombination. (Irgendwie nicht weiter verwunderlich, dass das so selten im Rechner- bzw Mainboardhandbuch überhaupt dokumentiert ist...)

...nicht abstellen kann wie in normalen PC-BIOSen sehr wohl?

Nein. PC-BIOSe sind ebenfalls durch die Bank sehr einfach zu knacken.
Spätestens nach einem kurzen Griff ins Gehäuse vergessen sie alles an Parametern, was du ihnen beigebracht hast und fallen vollständig in den Auslieferungszustand zurück.
Sprich: alle verfügbaren Boot-Devices sind greifbar, ein gesetztes Kennwort wird einfach gelöscht. Das mit der Standardreihenfolge gilt auch hier, nur ist sie nicht so klar definiert und kann von Hersteller zu Hersteller anders sein. Meistens ist es: Floppy, ATAPI, ATA, SATA, USB/SCSI/RAID, LAN/andere.
Hängt halt auch davon ab, was genau an Hardware überhaupt verbaut ist.
Wenn die Konfiguration es zulässt, genügt ein extern provozierter Kurzschluss auch hier. Gefährlich für die Hardware ist sowas in jedem Fall. Dürfte klar sein.
Bei Notebooks findet sich auch oft das berühmte kleine Löchlein im Gehäuse für die aufgebogene Büroklammer, das die Öffnung des Gehäuses überflüssig macht...genau dafür ist es ja da.

Und ausserdem ist das sowieso ziemlich schnuppe, denn einen RAM-Riegel kann man jederzeit rausnehmen, an beliebigem anderen Rechner auslesen, wieder einsetzen und das wars dann.
Und an die RAM-Module ist ja fast immer sehr einfach ranzukommen.

Du wirst es irgendwann ja doch akzeptieren müssen:
Physischer Zugriff auf den Rechner ist der Exitus der Sicherheit.
Ende, keine Ausnahmen, für Nix und Niemand.
Da kannst du tun und lassen was immer du willst - es kann einfach nichts helfen.

 

[SilentCry]

Und ausserdem ist das sowieso ziemlich schnuppe, denn einen RAM-Riegel kann man jederzeit rausnehmen, an beliebigem anderen Rechner auslesen, wieder einsetzen und das wars dann.
Und an die RAM-Module ist ja fast immer sehr einfach ranzukommen.

Genau das sage ich. Die Vereinfachung, den Rechner in dem das RAM steckt zu booten, ist nicht notwendig. Dagegen kann man sich schützen, aber es nutzt nix, wenn man das RAM ausbaut hat man die Hürde umschifft.

KEIN Computer tut das. Wozu denn auch, bringt doch gar nichts und dauert nur ewig.

Naja, ich habe das als zumindest hinweisgebende Möglichkeit in http://citp.princeton.edu.nyud.net/pub/coldboot.pdf
gelesen, Seite 2:

This attack additionally deprives the original BIOS and PC hardware of any chance to clear the memory on boot.

Das legt doch zumindest nahe, dass es solches BIOS gibt, nicht?

Du wirst es irgendwann ja doch akzeptieren müssen:
Physischer Zugriff auf den Rechner ist der Exitus der Sicherheit.
Ende, keine Ausnahmen, für Nix und Niemand.
Da kannst du tun und lassen was immer du willst - es kann einfach nichts helfen.

Wenn das so sein sollte werde ich für immer so agieren wie jetzt, mit der * im Anschlag, immer bereit, den Computer zu zerstören, nur im Bunker.

Wenn das so ist kann jeder jedwege Sicherheit vergessen. Die Faschisten in Europa haben gesiegt, die Computer sind nur Schäubles Datensammelstellen.

Aber so weit (oder abgeschlagen) bin ich noch nicht. Dieses Paradigma, dass mobiles Computing TOT ist und man zuhause nur noch mit einer Sprengfalle unterm Rechner arbeiten kann, unterschreibe ich nicht.

 

[Rastafari]

unterschreibe ich nicht.

Pfff. Dann nimmt dir der Schäuble halt einfach den genetischen Fingerabdruck ab.

 

[Squirryl]

http://de.wikipedia.org/wiki/Generalisierte_Angststörung

 

[SilentCry]

Zum Thema ob ein MB(Air) das RAM initialisiert (also löscht)

Pfff. Dann nimmt dir der Schäuble halt einfach den genetischen Fingerabdruck ab.

finde ich ein humoristisch wertvolles Kommentar.

DAS hingegen:

http://de.wikipedia.org/wiki/Generalisierte_Angststörung

ist eine Frechheit.