Sicherheitslücke im Arbeitsspeicher verschärft sich

[SilentCry]

sowas sollte geheim gehalten werden. gewiss stellt es eine sicherheitslücke dar,
dennoch sollte sowas verschwiegen und von apple so schnell wie möglich behoben werden.

Security by Obscurity? Wäre fatal. Die staatlichen und nichtstaatlichen Verbrecher würden es wissen aber die Masse der Opfer hätte keine Ahnung. Hersteller würden es verschlafen, lange zumindest, denn wo kein Treiber da auch kein Vorwärtskommen und mit Sicherheit hat das nächste Gimmick mehr Priorität als eine Absicherung des Systems.

Nein, nein. Es muss so idiotensicher wie möglich dokumentiert werden, am besten so, dass jeder Affe es nachmachen kann, dann MUSS die IT-Landschaft reagieren.

 

[SilentCry]

Wir reden hier von einem Programm auf dem USB-Stick, nicht von diesem DRA-Stick...
Um das Programm ausführen zu können, muss ein Angreifer den User-Account benutzen könnnen, was er nach einem Reboot definitiv nicht kann, weil er dann wie beim Screensaver vor dem Anmeldefernster sitzt und keinen Schimmer hat, was er da eintippen soll.

Sorry aber das System funktioniert so:

Der Apple läuft. Der Angreifer kommt. Der Angreifer kann den Rechner in S3 fahren oder nicht, ist egal, sagen wir mal, er fährt ihn in S3. Dann steckt er den USB-Stick an, dieser ist bootable. Er dreht die Maschine HART ab, also Akku raus, Stromstecker raus. Und dann dreht er sie wieder auf.
Er bringt das System dazu, von USB-Stick zu booten und fertig. Die SW macht einen Memory Dump auf den Stick. Dann hat er alle Zeit, etwaige Schlüssel (wie zB. für FileVault) rauszulesen. Gibt es andwendertauglich für die gängigsten Systeme (FileVault, TrueCrypt, Bitlocker, dm-crypt).

Es ist eben die Eigenschaft des RAM, bei Stromaus die Daten weiter zu halten. Bis zu 2 Minuten ohne Kälte, 10 Minuten und mehr mit Abkühlung auf -50 Grad mit einem Druckluftspray.

Eigentlich müsste man den Mac nicht rebooten, man könnte das RAM kühlen und ausbauen, dann in einer anderen Maschine lesen. Das mit dem Rechnerreboot ist ja nur eine Facette, mit der es eleganter geht weil ohne Schraubenzieher.
Ich würde nie den Zielrechner rebooten, weil viell. initialisiert das BIOS beim Start das RAM. PC BIOSe gibt es, die das machen, offenbar scheint das EFI des Macs das nicht zu tun. Traurig. Aber wie gesagt nicht besonders relevant, denn ein echter Angreifer wird das RAM ausbauen.

 

[Ikezu Sennin]

Es kann doch nicht sein, dass das System automatisch von externen Geräten bootet, ohne dass man es wie beim BIOS einstellen kann, ob man derartige Aktionen zulässt oder nicht.

Man muss ja auch für den Start von der Installations-DVD oder einer anderen Partition durch Drücken der "ALT"-Taste aktiv in den Bootvorgang eingreifen, was durch ein Firmwarepasswort einfach zu unterbinden ist (Ja, ich weiß, dass man das FWPW durch Ein-und Ausbau des RAMs umgehen kann), aber das muss der Angreifer ja nicht wissen, bzw wenn er keinen Schraubenzieher hat, wird das auch schwierig.

 

[SilentCry]

Es kann doch nicht sein, dass das System automatisch von externen Geräten bootet, ohne dass man es wie beim BIOS einstellen kann, ob man derartige Aktionen zulässt oder nicht.

rastafari hat das in einem anderen Thread behauptet. Ich glaube es auch nicht, aber er ist eigentlich jemand, den man ernst nehmen muss. Nicht unfehlbar, aber wer ist das schon. :.)

Man muss ja auch für den Start von der Installations-DVD oder einer anderen Partition durch Drücken der "ALT"-Taste aktiv in den Bootvorgang eingreifen, was durch ein Firmwarepasswort einfach zu unterbinden ist (Ja, ich weiß, dass man das FWPW durch Ein-und Ausbau des RAMs umgehen kann), aber das muss der Angreifer ja nicht wissen, bzw wenn er keinen Schraubenzieher hat, wird das auch schwierig.

Eben. Wie gesagt, es ist weder nötig noch ungefährlich für den Angreifer, das Zielsystem zu booten. Jeder der mehr als 50 IQ hat wird das RAM gekühlt ausbauen und woanders einlesen.

 

[SilentCry]

Eben gelesen: http://www.heise.de/newsticker/meldung/104529

sämtliche Daten auf der Platte mit AES-256. Außerdem werden die Dateien signiert, um ihre Integrität zu gewährleisten. Nach dem Anschließen der 122g wiegenden Platte gibt der Benutzer auf einem Mini-Keypad sein Passwort ein, um sie zu entschlüsseln

Leider aber auch:

Obwohl sie unabhängig vom Betriebssystem funktionieren könnte, arbeitete das Demo-Gerät auf der Messe zwar mit Windows, aber nicht mit Mac OS X zusammen

Sonst wäre das eine mögliche Lösung. Natürlich ein Horror, immer eine externe USB-Platte rumschleppen zu müssen und von der zu booten, die interne Platte wäre vollkommen nutzlos, d.h. den ganzen Verkehr über USB abzuwickeln, aber besser als mein freudloses Mac-Leben jetzt.

 

[Ikezu Sennin]

Nachdem ich gerade meinen RAM mehrmals ein-und ausgebaut habe, um das mit dem Firmwarepasswort zu prüfen (stimmt leider), konnte ich feststellen, dass dem Ausbau eines Riegels sehr leicht entgegengewirkt werden kann, indem man die Klammern, die ihn festhalten, fixiert. Zwischen Gehäuse und Klammern sind ca. 2mm Platz (zuminest bei meinem Schatz), da könnte man auf jeder Seite ein Metallplättchen einkleben/-schrauben, je nach dem, was da so in der Nähe an empfindlichen Sachen rumkrebst. Sicher wird das Ganze dadurch, dass die Plättchen etwas länger sind als der RAM-Slot, wodurch sie zwar übelst schwer reinzukriegen sind (man muss evtl. sogar das Gehäuse zerlegen), aber was schwer rein geht, geht noch schwerer raus, wenn Haltemittel im Spiel sind.
Somit kann einen die ColdRAM-Attacke mal da lecken, wo die Sonne niemals scheint.

Ich werd mir diesbezüglich nochmal genaueres Überlegen...

 

[Ikezu Sennin]

BTW:
Wie sicher ist eigentlich ein AES256 geschützes sparseimage auf einer externen HDD?
Das sollte doch eigentlich nicht (so einfach) zu knacken sein?

(Ich weiß, Doubleposts sind böse...)

 

[Katagia]

S
Es ist eben die Eigenschaft des RAM, bei Stromaus die Daten weiter zu halten. Bis zu 2 Minuten ohne Kälte, 10 Minuten und mehr mit Abkühlung auf -50 Grad mit einem Druckluftspray.

Hast du für die 2min eine Quelle? Das kann ich nicht so ganz glauben. DRam braucht normalerweise
alle paar ms (laut Wikipedia 32ms oder 64ms) einen Refresh, sonst sind die Daten futsch.

2 Minuten überschreiten diesen Wert um mehr als Faktor 1000, desshalb kommt mir die Zahl
unrealistisch vor.

 

[chris_mcmlxxiv]

leute, um das nochmal klarzustellen: die ganze läuft nur bei PHYSISCHEM zugriff? oder kann dies hier auch übers netz z.b. im sleep/deepsleep-mode passieren (via bundestrojaner)? schäubles kleines spielzeug is doch im moment noch in der diskussion, oder müssen wir die sache jetzt schon im hintergrund vermuten? (hoffe mal, verfassungsbruch dürfte nicht in seinem interesse sein...)
denkt nicht, ich wär naiv - die antworten auf meine letzte frage werd ich schon kennen.... bin nur demnächst auch stolzer mac-besitzer und somit quasi newbee... seht's mir nach

greetz, chris

 

[Ikezu Sennin]

@fisw11
Verfassungsbruch kann man denke ich ausschließen. Kein hoher BKA-Beamter oder gar der Innenminister wird sein Amt und ein paar Jahre Moabit riskieren, sollte der Fehltritt an die Öffentlichkeit geraten.

Was Programmzugriffe im DeepSleep angeht, gehe ich ebenfalls davon aus, dass sie nicht möglich sind, da das System ja schläft und somit auch der Trojaner, aber dazu kann uns SilentCry sicher mehr sagen, der scheint von den Schlafzuständen eines Mac Ahnung zu haben.

@Katagia:
Die deutsche Wikipedia nennt gar keine Zeitangaben für die Datenflüchtigkeit und die englische spricht von Sekunden bzw. von Minuten in gekühltem Zustand, somit sind deine Daten zwar etwas wenig, SilentCrys Angaben aber auch stark überhöht.

 

[Rastafari]

Somit kann einen die ColdRAM-Attacke mal da lecken, wo die Sonne niemals scheint.

Das ganze hält so lange vor, bis sich ein findiger Bastler eine kleine Kontaktklammer anfertigt, die er auf handelsübliche Moduln nur noch drauf zu clippsen braucht. Dann braucht er's nicht mal mehr rauszuziehen... ...und zieht damit die Daten vier-, acht- oder gar sechzehnfach schneller, als dein Computer selbst das schaffen könnte... ...und das gleich aus 32 Computern simultan... sswooooosch!

Huch, solche Klammern gibt es schon, zusammen mit industriell am Fliessband eingesetzten Prüfrobotern, wie sie von grossen Computerherstellern eingesetzt werden?
Oh! Bin weg! Muss mal kurz eben was löten gehen...

Leutz, tut euch doch keinen ab. Es gibt einfach keinen endgültig wirksamen Schutz.
Auch mitten im laufenden Betrieb kann man RAM-Inhalte absaugen. Man kann sie auch beliebig manipulieren und von aussen in jeden Programmablauf des Rechners nach Belieben eingreifen. Ist alles nur eine Frage vom Equipment, Engagement und Knoff-Hoff.
Wetten dass es da immer jemanden gibt, der das eine Spur besser drauf hat als ihr?
Wenn ihr wissen wollt was alles geht, fragt doch einfach mal die Leute die eure Hardware herstellen. Da wird euch das Wasser in den Augen zusammenlaufen.

 

[Rastafari]

@fisw11
Verfassungsbruch kann man denke ich ausschließen. Kein hoher BKA-Beamter oder gar der Innenminister wird sein Amt und ein paar Jahre Moabit riskieren, sollte der Fehltritt an die Öffentlichkeit geraten.

Kein Bundeskanzler wird sein Amt, seine Reputation und seine gesamte Partei riskieren nur für ein paar lausige Millionen Märker?
Alles ist relativ.

 

[Ikezu Sennin]

@Rastafari

Wir reden hier aber nicht von Schwarzgeldaffären, sondern von Verfassungsbruch, das wird um einiges härter bestraft und man kann die Schuld nicht auf die Institution „Partei“ abwälzen sondern muss sie persönlich tragen, deshalb werden die Betreffenden sich das gründlich überlegen.

 

[chris_mcmlxxiv]

leute, jetzt wisst ihr, warum ich vorher betont hab, nicht naiv zu sein:-D! genau die selben gedanken hätte ich jedem anderen auch geantwortet. aber das wird jetzt langsam off-topic.
denke, ich weiß trotzdem etwas mehr als vorher - vielen dank allerseits!
jetzt muss mein "kleiner" liebling nur noch bei mir ankommen...

vg, chris

 

[dikay]

also da hätte ich ne idee, wie wäre es mit einem MBA ohne USB und so, baut einfach keine schnittstellen in das notebook und schon sind die probleme weg, wenn der hacker da nun dran rumfummelt brauch er stunden um was abzubauen. Abgesehen vom kompletten Diebstahl bleiben ihm da nicht mehr viel möglichkeiten^^

noch eine verbesserung:
bei einem versuch das notebook zu öffnen um an die hardware zu kommen sollte sich ein selbstzerstörungsmechanismus aktivieren

 

[Rastafari]

Wir reden hier aber nicht von Schwarzgeldaffären, sondern von Verfassungsbruch, das wird um einiges härter bestraft

Bist du sicher? Welches Gesetz genau verbietet denn "Verfassungsbruch"?

 

[Ikezu Sennin]

@Rastafari

Das Grundgesetz (d.h. die Verfassung)????

 

[Rastafari]

Das Grundgesetz (d.h. die Verfassung)????

Welchen der 146 Artikel meinst du denn?
Lies das doch mal, dann wird dir vielleicht klar, dass das GG direkt gar keine strafbaren Handlungen und damit auch keine Strafen bestimmt.

 

[Ikezu Sennin]

Es stellt ein unumstößliches Regelwerk dar, das für den Gesetzgeber verpflichtend ist.
Du hast Recht, es bestimmt keine Strafen, aber es definiert Regeln, deren Bruch als strafbare Handlungen anzusehen sind. Was im Endeffekt strafbare Handlungen sind und wie sie geahndet werden, auch in wie weit der Staat diese Regeln unterlaufen darf, so das nicht vom GG verboten, bestimmen die Gesetzbücher.

Das Bundesverfassungsgericht hat beschlossen, dass Online-Überwachung nur in Fällen von Terrorismus und Bedrohung der Bevölkerung eingesetzt werden darf, sie muss richterlich angeordnet und begründet werden.
Wenn also ein BKA-Beamter dieses Werkzeug einsetzen würde, um beispielsweise einen Raubkopiererring auszuhebeln, dann würde er sich selbst sehr schnell auf der Anklagebank wiederfinden, da er gegen geltendes Recht verstoßen hat. Das ist in etwa das Gleiche wie ein Polizist, der einen Flüchtigen erschießt... der wandert auch wegen Totschlags in den Bau, auch wenn er unter bestimmten Voraussetzungen befugt ist, einen tödlichen Schuss abzufeuern, allerdings nur zum Schutz von Leib und Leben seinerselbst und Dritter, die unmittelbar bedroht sind (finaler Rettungsschuß). Liegen diese Voraussetzungen nicht vor, macht sich der Polizist wie gesagt strafbar.

 

[Rastafari]

dann würde er sich selbst sehr schnell auf der Anklagebank wiederfinden

Oh ja.
Geldbusse, mangelndes öffentliches Interesse, bla... that's it.
So sieht die Realität aus.