Truecrypt (Stoned Bootkit)

#1 Sicherlich haben einige von euch gestern Galileo gekuckt. Da wurde ja unter anderem gesprochen von einem Hacker (Peter K.), welcher das Boot Kit namens "Stoned Bootkit" entwickelt hat welches im Stande sein soll z.B. mit Truecrypt verschlüsselte Festplatten zu knacken. Jetzt meine Frage: Wie lange könnte es noch dauern bis von Truecrypt ein Patch rauskommt bzw. eine andere Lösung gegen dieses "Problem" gefunden wird. Ich selbst bin ein begeisteter Benutzer von Truecrypt und habe auch eine meiner Platten damit verschlüsselt.

Bin über jede Antwort dankbar!

#2

Zitat

Wie lange könnte es noch dauern bis von Truecrypt ein Patch rauskommt bzw. eine andere Lösung gegen dieses "Problem" gefunden wird.

Sehr lange. Truecrypt sieht dieses "Problem" nicht als solches (Stand Herbst 2009) und verweist sowohl in ihren Foren als
auch in ihrem Schriftverkehr mit besagtem Peter K. auf die Tatsache, dass jedes OS und jede Verschlüsselung genau dann
als kompromittierbar anzusehen ist, sobald ein "Angreifer" physisch Zugriff darauf hat. In diesem Fall könnte besagter "Attacker"
Manipulationen im laufenden Betrieb vornehmen. Im Falle von Stoned: Eben dieses Bootkit installieren.Truecrypt vertrat also
zumindest im Herbst 2009, kurz nach Erscheinen von "Stoned" die Meinung, dass dies kein Fehler von Truecrypt sei und kein
Handlungsbedarf bestünde.

Gruß,

Sepia

#3 Oh... Galileo... wurde das Rootkit auch von einer leicht bekleideten Dame präsentiert?
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#4 Na ja... Laut einem Bericht aus dem Internet soll es ja auch möglich sein, den Virus mit Administratorrechten zu installieren. Da ich auf meinem Laptop ja mit XP eh immer als Admin unterwegs bin, könnte es also theorethisch auch passieren, dass ich mir den Bootvirus beim starten i-einer infizierten Datei hole, oder nicht? Könnte ich meinen Bootsektor vielleicht auch anderseitig schützen, z.B. vom Bios aus?

#5 Wenn ich das richtig verstanden habe ist mit Stoned Bootkit die Evil Maid Attacke in diesem Thema gemeint, oder?
http://board.protecus.de/t38087.htm

In der Tat ist es wie Sepia sagt nicht möglich gegen so etwas Vorkehrungen zu treffen bzw.
genauso wenig als wie jemand einen Kamera über deiner Tastatur installiert. (<- verrückter Typ, aber da fängt's an!)

#6

Zitat

[...]könnte es also theorethisch auch passieren, dass ich mir den Bootvirus beim starten i-einer infizierten Datei hole, oder nicht?

Ja, wäre theoretisch möglich. Jedoch ist die Wahrscheinlichkeit sehr hoch, dass ein gängiger Virenscanner vorab anschlägt.

Zitat

Könnte ich meinen Bootsektor vielleicht auch anderseitig schützen, z.B. vom Bios aus?

Unter Win XP nicht. Ab Vista mit entsprechender TPM Hardware und simultaner Nutzung von Bitlocker ginge es. Die in manchen
BIOSen noch vorhandenen Schutzmöglichkeiten betreffend des MBR greifen nur bei den alten Windows Versionen 95/98/ME.
Sollte es durch Fremdsoftware möglich sein, unter NT4, 2000 & XP das Schreiben oder Modifizieren des MBR zu verhindern,
bin ich mir sicher, dass "Stoned" in der Lage ist, diesen Schutz auszuhebeln.

Ich würde mir aber letztendlich nicht so viele Gedanken über "Stoned" machen. Zum einen finde ich, dass dadurch das Rad
nicht neu erfunden wurde, zum anderen hat sich zum Thema "Stoned" seit Herbst 2009 eigentlich nicht mehr viel getan. Damit
meine ich, dass z.B. Neuigkeiten in Bezug auf modifizierte Versionen oder gar das Auftreten in freier Wildbahn soweit ich weiss nicht
auftraten. Ich stimme Truecrypt übrigens
zu. Ich sehe da ebenfalls nicht zwingend Handlungsbedarf. Für "Stoned" gilt halt auch: "If a bad guy can alter the operating
system on your computer, it's not your computer anymore" (http://technet.microsoft.com/en-us/library/cc722487.aspx).

Etwas verwunderlich ist es für mich schon, dass die Reportage über "Stoned" durch Galileo mit einem halben Jahr Ver-
spätung gesendet wird. "Nichts ist so alt wie die Zeitung von gestern."

Gruß,

Sepia

#7 Ok. Ich bedanke mich dann erstmal bei allen für die Antworten.

Zitat

Etwas verwunderlich ist es für mich schon, dass die Reportage über "Stoned" durch Galileo mit einem halben Jahr Ver-
spätung gesendet wird. "Nichts ist so alt wie die Zeitung von gestern."

Um darauf nochmal zurückzukommen. Galileo hat nicht direkt über "Stoned" berichtet sondern mehr über den besagten Hacker.

Dann werde ich hier wohl einen Schlussstrich ziehen und einfach damit leben müssen, dass "Stoned" meine Verschlüsselung ausheben kann. Allerdings habe ich auf meinem Fest-PC 64-bit...
Da geht "Stoned" noch nicht, oder?

Ps: Ich habe gerade gelesen das auf meinem PC die Datenausführungs-Verhinderung (DEP) aktiviert ist. Bringt mir das bei Stoned etwas?

#8 [64-Bit OS]

Zitat

Da geht "Stoned" noch nicht, oder?

Die Ur-Version von "Stoned" war 32-bittig und erreichte somit unter 64-Bit OSe naturgemäß nicht den gewünschten
Effekt. Allerdings hatte Peter K. damals schon angekündigt, "Stoned" auch auf 64-Bit zu portieren. Sollte es eine 64-Bit
Variante geben, wären dann natürlich auch 64-Bit Betriebssysteme angreifbar.

Zitat

Ich habe gerade gelesen das auf meinem PC die Datenausführungs-Verhinderung (DEP) aktiviert ist. Bringt mir das bei Stoned etwas?

Das bezweifele ich stark. Diese Art Manipulation wird durch DEP nicht abgedeckt. Zumal ab XP SP2 DEP in Verbindung mit
einer geeigneten (sprich einigermaßen aktuellen) CPU voll unterstützt wird (und nicht nur durch das OS, also soft-
wareseitig). Trotz DEP gelang es "Stoned" seinerzeit, Systeme mit Win 2000 bis hin zu Win 7 zu kompromittieren.

Gruß,

Sepia