Laut Fraunhofer SIT sei das Vorgehen vergleichbar mit Skimming-Angriffen an Geldautomaten

[datensicherheit.de, 04.12.2009] Mitarbeiter des Fraunhofer-Instituts für Sichere Informationstechnologie (Fraunhofer SIT) haben eine Sicherheitslücke in BitLocker, der Festplattenverschlüsselung von Windows, gefunden:
Habe ein Angreifer die Möglichkeit, unbemerkt den Computerstart zu manipulieren, könne er an die geheime PIN der Festplattenverschlüsselung gelangen und die verschlüsselten Daten stehlen, so das Fraunhofer SIT. Der Angriff verdeutliche, dass die Verwendung von Trusted Computing nicht in allen Situationen vor Manipulationen schütze.
Wie der Angriff konkret funktioniert, zeigt ein Video des “Security Test Lab” der Fraunhofer-Wissenschaftler im Internet unter http://testlab.sit.fraunhofer.de/bitlocker-skimming/.
Vor kurzem erst sei ein Angriff auf den Boot-Vorgang des Festplattenverschlüsselungsprogramm TrueCrypt bekannt geworden. Die windowseigene “BitLocker”-Verschlüsselung habe jedoch noch als sicher gegolten, weil die Software zur Überprüfung des Boot-Vorgangs einen Hardware-Chip, das Trusted Computing Module (TPM) nutze. Das Angriffsszenario des Fraunhofer SIT zeige jedoch, dass auch bei TPM-basierter Festplattenverschlüsselung Angreifer die Passwörter ausspähen könnten.

© Fraunhofer SIT

Der von den Forschern des Fraunhofer SIT entwickelte Angriff umgeht die Sicherheitsfunktionen von “BitLocker” vollständig.

Das Testlabor des Fraunhofer SIT habe den Angriff gegen die “BitLocker”-Festplattenverschlüsselung in Windows 7, Windows 2008 Server und Windows Vista praktisch durchgeführt. Der von den Forschern entwickelte Angriff umgehe die Sicherheitsfunktionen von “BitLocker” vollständig.
Das Vorgehen sei vergleichbar mit Skimming-Angriffen an Geldautomaten, so Fraunhofer-Mitarbeiter Jan Steffan. Erhalte ein Angreifer kurz Zugang zum geschützten Computer, könne er die Startroutine von “BitLocker” durch ein eigenes Programm ersetzen, welches eine PIN-Abfrage vortäusche. Wenn der Besitzer seinen Computer daraufhin starte, scheine dieser wie gewohnt nach der “BitLocker”-PIN zu fragen. Dann sei jedoch das Programm des Angreifers aktiv, das die geheime PIN im Klartext auf der Festplatte hinterlege. Nach der PIN-Eingabe entferne sich das Programm automatisch, stelle die “BitLocker”-Startroutine wieder her und starte den Rechner neu. “BitLocker” funktioniere jetzt wieder wie gewohnt – der Benutzer könne den Angriff, abgesehen vom Neustart des Computers, kaum erkennen. Der Angreifer verschaffe sich jetzt ein zweites Mal Zugang zum Computer, lese die PIN von der Festplatte und entschlüssele damit die geschützten Daten.
Im Gegensatz zu vielen anderen Festplattenverschlüsselungen nutze “BitLocker” ein auf der Hauptplatine des Computers vorhandenes TPM. Damit prüfe er die Unversehrtheit der zum “Windows”-Start notwendigen Software. “Wir haben einfach die Tatsache ausgenutzt, dass sich BitLocker dabei selbst mit Hilfe des TPM überprüft”, sagt Jan Trukenmüller. “Ersetzt man BitLocker durch ein eigenes Programm, überprüft niemand mehr, ob die PIN-Eingabeaufforderung tatsächlich echt ist.” Im Gegensatz zu den kürzlich auf der “Blackhat”-Konferenz veröffentlichen Angriff gegen die “TrueCrypt”-Festplattenverschlüsselung, benötige der Angreifer jedoch zweimal Zugang zum verschlüsselten Computer.
Industriespione könnten mit dem Angriffsszenario in Unternehmen gezielt auf Datenfang gehen. Trotz der Sicherheitslücke sei “BitLocker” eine gute Lösung zur Festplattenverschlüsselung, so Trukenmüller, denn vor der häufigsten Bedrohung für sensible Daten auf Festplatten – dem Verlust oder Diebstahl von Computern – schütze “BitLocker” gut.

Weiter Informationen zum Thema:

Fraunhofer SIT
Attacking the BitLocker Boot Process