Deprecated: wp_make_content_images_responsive ist seit Version 5.5.0 veraltet! Benutze stattdessen wp_filter_content_tags(). in /home/customer/www/winmagic.com/public_html/blog-de/wp-includes/functions.php on line 4778

Der Kaltstartangriff ist zurück

Der Kaltstartangriff wurde letzte Woche von Forschern von F-Secure wiederbelebt: https://press.f-secure.com/2018/09/13/firmware-weakness-in-modern-laptops-exposes-encryption-keys/. Ich möchte Ihnen nun ein paar Hintergrundinformationen zu diesem Angriff und zu Gegenmaßnahmen an die Hand geben, denn der Kaltstartangriff ist nur die Spitze des Eisbergs. Wenn Sie an den Details nicht interessiert sind, gibt es Maßnahmen, die Unternehmen ergreifen können, um ihre PCs und Macs mithilfe von SecureDoc for Kaltstartangriffen zu schützen:

  1. Stellen Sie sicher, dass die Pre-Boot-Authentifizierung (PBA) aktiviert ist. (Verwenden Sie keinen statischen Auto-Boot).
  2. Deaktivieren Sie den Standby-Modus, und erzwingen Sie das Herunterfahren von PCs oder das Einschalten des Ruhemodus, bevor Sie ein Gerät unbeaufsichtigt lassen.

Nun zum Kontext. Im Wikipedia-Artikel https://de.wikipedia.org/wiki/Kaltstartattacke steht sinngemäß Folgendes: Ein Kaltstartangriff „(…) bezeichnet in der Kryptologie einen Seitenkanalangriff (oder in geringerem Umfang einen Angriff zum Zurücksetzen der Plattform), bei dem ein Angreifer mit physischem Zugang zum Zielrechner Verschlüsselungs-Keys aus einem laufenden Betriebssystem abgreifen kann, nachdem das Gerät durch einen Kaltstart neu gestartet wurde. Der Angriff basiert auf der Datenremanenz im DRAM und SRAM, um Speicherinhalte abzugreifen, die in den Minuten oder Sekunden nach dem Ausschalten noch lesbar sind.“

Der Kaltstartangriff ist bereits seit über einem Jahrzehnt bekannt. Bereits bei der Veröffentlichung unseres Artikels zum Schutz einer Variante der Kaltstartattacke (Angriff auf gekühlten RAM) im Jahr 2008 war diese Art Angriff in aller Munde. Laut Microsoft sind die Angriffe auf gekühlten RAM nicht mehr relevant, da es schwierig ist, die Speicherchips moderner Rechner zu entfernen, um auf ihre Inhalte zuzugreifen, die länger abgreifbar bleiben, wenn sie gekühlt werden. Nach Aufforderung von Microsoft wurde das BIOS des Computers an Kaltstartangriffe angepasst, um die Lücke von BitLocker zu schließen. Bei einem modernen Rechner, der BitLocker nutzt und für den ein TPM-Autostart konfiguriert wurde (wie es Microsoft zur Steigerung der Benutzerfreundlichkeit empfiehlt), werden die Keys automatisch ohne Benutzerauthentifizierung in den Speicher geladen, wenn ein Angreifer ihn findet und einfach eingeschaltet. Der seit langem bekannte Kaltstartangriff funktioniert so. Der Angreifer startet das Gerät von einem USB-Stick neu und greift dann die BitLocker-Keys aus dem Speicher ab. Die Keys sind aufgrund der Datenremanenz des DRAM und SRAM noch im Speicher vorhanden und daher noch für mehrere Sekunden oder Minuten nach dem Trennen vom Strom lesbar. Zum Schutz vor böswilligen Neustartangriffen nutzt BitLocker die sogenannte TCG Reset Attack Mitigation, die auch als MORbit (Memory Overwrite Request) bekannt ist. Mit dieser aktivierten BIOS-Funktion werden die Schlüssel überschrieben, bevor ein Neustart per USB stattfinden kann, falls Windows abstürzt, nicht ordnungsgemäß heruntergefahren wird oder die Plattform mit den noch im Speicher befindlichen BitLocker-Keys zurückgesetzt wird. Auf diese Weise befinden sich die Keys nicht mehr im Speicher und können somit auch nicht von der Software des Angreifers abgegriffen werden.

Das Problem: Der F-Secure-Exploit deaktiviert diesen Schutz: „Der Exploit macht sich die Tatsache zunutze, dass die Firmware-Einstellungen, die das Verhalten des Boot-Vorgangs regeln, nicht vor einer Manipulation durch einen Angreifer geschützt sind, der physischen Zugang zum Gerät hat. Mithilfe eines simplen Hardware-Tools kann ein Angreifer den nichtflüchtigen Speicherchip, der diese Einstellungen enthält, neu beschreiben, das Überschreiben des Speichers deaktivieren und das Starten über ein externes Gerät wie z. B. einen USB-Stick aktivieren. Der Kaltstartangriff kann dann ausgeführt werden, indem ein spezielles Programm über einen USB-Stick gestartet wird.“

Kurz gesagt: Der Kaltstartangriff ist zurück.

Meiner Ansicht nach ist nicht die Implementierung der TCG Reset Attack Mitigation in der Firmware oder der Hardware-Plattform das Problem, sondern die Tatsache, dass Keys ohne Authentifizierung automatisch in den Speicher geladen werden. Dieser neue Angriff beweist einmal mehr, dass die Aussage von Microsoft, man könne bei modernen Rechnern auf eine Pre-Boot-Authentifizierung verzichten, da alle Sicherheitslücken geschlossen worden, schlichtweg falsch ist. Sobald sich der Key im Speicher befindet, hängt die Systemsicherheit von der Betriebsumgebung ab. Dazu gehören das Betriebssystem selbst, aber auch die Betriebssystemsoftware, Firmware und Hardware. Zusammengenommen ist das eine ziemlich große Angriffsfläche. Das gilt insbesondere dann, wenn Systeme nicht verschlüsselt und durch Pre-Boot-Authentifizierung geschützt sind.

Bei SecureDoc ist die benutzerbasierte Pre-Boot-Authentifizierung von Anfang an integriert. Bei BitLocker ist das nicht der Fall. Es gibt keine Beeinträchtigung der Benutzerfreundlichkeit, und die Betriebskosten steigen nicht – ganz im Gegensatz zur Aktivierung der gerätebasierten PIN-Authentifizierung mit BitLocker. Durch die Verwaltung der BitLocker-Verschlüsselung mit SecureDoc sind Unternehmen in der Lage, BitLocker weiter zu verwenden und gleichzeitig die Compliance und bessere Sicherheit der benutzerbasierten Pre-Boot-Authentifizierung zu nutzen.

Comments

comments

Vorheriger Beitrag
Geldautomaten und die Sicherheit des IoT – aktiv für Schutz sorgen
Nächster Beitrag
Pre-Boot-Authentifizierung: die Weisheit der Sicherheit – Teil 2

Related Posts

Es wurden keine Ergebnisse gefunden, die deinen Suchkriterien entsprechen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü