Kaltstartattacke: Fast alle Macs und PCs angreifbar – außer Macs mit T2-Chip

Die Verschlüsselung von Festplatten und SSDs soll Kunden vor einem einfachen Angriffsszenario schützen: Selbst wenn der Mac oder PC mit einem Passwort oder Pin versehen wurde, kann ein Angreifer eine unverschlüsselte Festplatte einfach in einen anderen Computer einbauen und die Daten auslesen.

Während der Computer läuft, muss bei den meisten Geräten der Key zur Ver- und Entschlüsselung der Daten aber im Arbeitsspeicher liegen. Normalerweise ist dies kein Problem, da Betriebssysteme viele Sicherheitsvorkehrungen mitbringen, die das beliebige Auslesen des Arbeitsspeichers durch Programme unterbinden.

Die Kaltstartattacke…
Schon seit vielen Jahren ist in der Hacker-Community ein Angriffsszenario namens "Kaltstartattacke" bekannt, mit der auf älteren Geräten der gesamte Speicherinhalt ausgelesen werden kann. Hierzu wird der Computer ausgeschaltet und möglichst schnell von einer anderen Festplatte gebootet – der Speicherinhalt blieb durch die Beschaffenheit der RAM-Chips weitgehend erhalten. Auf der neuen Festplatte befindet sich ein Minimalsystem, das den Arbeitsspeicher nach dem Key zum Entschlüsseln der Daten durchsucht.

…und die Aushebelung der Gegenmaßnahmen
Moderne PCs und Macs überschreiben beim Herunterfahren und anschließenden Starten den Inhalt des Arbeitsspeichers, um Angriffe wie die Kaltstartattacke zu verhindern. Die Sicherheitsfirma F-Secure hat ein neues Angriffsszenario gefunden, mit dem sich diese Sicherheitsmaßnahmen bei den meisten Macs und PCs aushebeln lassen. F-Secure meldete den Fehler an Apple, Microsoft und Intel, bevor das Sicherheitsunternehmen weitere Details zu der möglichen Attacke veröffentlicht – so soll den Konzernen Gelegenheit gegeben werden, Gegenmaßnahmen zu ergreifen bis Hacker das Angriffsszenario ausnutzen können. Somit ist auch noch nicht klar, wie genau F-Secure die derzeitigen Vorkehrungen überwinden kann.

Macs mit T2-Chip nicht betroffen
Microsoft gab bekannt, dass PCs mit einer eingestellten BitLocker-Start-Pin nicht von diesem Angriffsszenario betroffen sind. Ebenfalls immun sind Macs mit T2-Prozessor wie das 2018er MacBook Pro und der iMac Pro: Diese speichern den SSD-Key nicht im Arbeitsspeicher, sondern im lokalen Speicher des T2-Hilfsprozessors. Dieser lokale Speicher ist nicht von außen auslesbar, so dass eine Kaltstartattacke hier wirkungslos ist.

Kommentare

Kuka.Berlin14.09.18 10:17
Ausser T2 Chip undMac's mit verlöteter SSD, oder versteht ich die Erklärung falsch?
0
Mendel Kucharzeck
Mendel Kucharzeck14.09.18 10:18
Kuka.Berlin
Hat nix mit verlöteter SSD zu tun, nur wo der Key gespeichert ist.
+3
Hannes Gnad
Hannes Gnad14.09.18 11:08
Die Frage ist, ob ein gesetztes Firmware-Passwort gegen diesen Angriff schützt.
+2
Mendel Kucharzeck
Mendel Kucharzeck14.09.18 11:46
Hannes Gnad
F-Secure sprach nur davon, dass ein BitLocker-Pin auf PCs schützt. Wir kennen den genauen Angriffsvektor noch nicht, daher bin ich unsicher ob ein EFI-Passwort auf dem Mac hilft.
0
McHep
McHep14.09.18 13:43
Wer mal den Updateprozess von Apple beobachtet, der weiß, dass es offensichtlich möglich ist einen Reboot durchzuführen ohne dass das Passwort für die Verschlüsselung abgefragt wird. Ich vermute daher, dass dort bei Apple der Hund begraben liegt.
+1
Hannes Gnad
Hannes Gnad14.09.18 13:43
Mendel: Das sollte ja verhindern, daß man fix ein anderes OS bzw. von einem anderen Medium bootet. Und wenn man zuerst das hackt, was ja nicht unmöglich ist, klappt der Angriff gegen das RAM immer noch?
0
stargator14.09.18 14:20
Beim Runterfahren (kaltstart) oder im Standby wird der Schlüssel gelöscht, wenn man das Feature "destroyfvkeyonstandby" aktiviert hat, und wer seinen Rechner während des Betriebes jemanden gibt, ist selbst Schuld bzw braucht dann auch kein Filevault. Alles uralt und Panikmache. Mit gesetztem Firmwarepasswort möchte ich sehen wie er von der externen Festplatte bootet.

pmset: destroyfvkeyonstandby - Destroy File Vault Key when going to standby
mode. By default File vault keys are retained even when system goes to
standby. If the keys are destroyed, user will be prompted to enter the
password while coming out of standby mode.(value: 1 - Destroy, 0 -
Retain)
+3
ratti14.09.18 15:34
Modern computers overwrite their memory when a device is powered down to scramble the data from being read. But Segerdahl and his colleague Pasi Saarinen found a way to disable the overwriting process, making a cold boot attack possible again.
So, wie ich das lese, wird der Speicher beim herunterfahren geleert. Da steht explizit „powered DOWN“.

Dann wäre das Szenario, dass der Rechner bootet, aber nicht das Originalsystem, sondern ein anderes, und das durchsucht dann das ungelöschte RAM.

Das heisst, dass der Zugang zum Originalsystem egal ist, das wird nicht gebraucht, die Partition braucht also schon mal nicht per Passwort entschlüsselt werden.

Die Frage, die sich nun stellt, ist, was wird alles an Code ausgeführt, bevor dieser Punkt erreicht wird. An dem Punkt fehlt mir eindeutig Fachwissen, aber zumindest war es früher ja so, dass für booten vom RAID o.ä. zumindest ein „Treiber“ gebotet werden konnte, der das Laufwerk überhaupt verfügbar macht — alternativ gab es dann nervige Workarounds von der Sorte „Bootloader auf der internen Platte, der kann dann das System vom RAID nachstarten“ und so.

Ich persönlich wundere mich grad, wie man dann Sicherheitstechnisch mit harten Shutdowns umgeht, z.B. durch Akku-ziehen, aber evtl. ist diese Situation auch überhaupt nicht abgedeckt.

Sorgen mache ich mir eigentlich nicht über solche Hardcore-Szenarien. Der 99,99%-Fall dürfte eh sein, dass ein Drogensüchtiger die Kiste klaut und sie für 199,90 EUR an jemanden vertickt, der dann doch nix damit anfangen kann oder sie einfach löschen will — in allen Fällen ist für mich das Resultat das gleiche, der Dieb hat gar kein Interesse an meinen Daten, und der teure Rechner ist weg.
0
gfhfkgfhfk14.09.18 17:22
Solange man durch einstecken eines Thunderbolt oder USB >=3.0 Devices per DMA Zugriff auf den kompletten Speicher bekommt, solange sind die hier geschilderten Szenarien relativ unbedeutend.
+2
sierkb14.09.18 20:03
Golem (14.09.2018): Cold Boot Attack rebootet: Forscher hebeln Verschlüsselung von Computern aus
Ein alter Angriff neu durchgeführt: Forschern ist es gelungen, den Schutzmechanismus gegen die zehn Jahre alte Cold-Boot-Attacke zu umgehen. Angreifbar sind eingeschaltete verschlüsselte Rechner. :
Golem, 14.09.2018
Computer aufschrauben, Kältespray auf den Arbeitsspeicher sprühen, Computer hart rebooten, ein minimales Betriebssystem starten und den kalten Arbeitsspeicher mit den Daten des vorherigen Betriebssystems auslesen: Der Schutzmechanismus gegen diese bereits 2008 vorgestellte Cold-Boot-Attacke kann umgangen werden, wie Forscher des Anti-Viren-Herstellers F-Secure herausgefunden haben. Damit können aus dem Arbeitsspeicher der Rechner Kryptoschlüssel und Passwörter ausgelesen und damit die Verschlüsselung ausgehebelt werden. Gefährdet sind verschlüsselte Geräte, die eingeschaltet sind.

Die Cold-Boot-Attacke überlistet die Funktionsweise des Arbeitsspeichers, dem DRAM (dynamischen RAM). Er speichert Informationen nur, solange er mit Strom versorgt wird, danach vergisst er die Daten. Die Speicherbereiche beziehungsweise Kondensatoren werden mehrmals in der Sekunde mit neuem Strom aufgefrischt und neu geschrieben. Das macht den DRAM dynamisch. Unter normalen Bedingungen kann der Arbeitsspeicher seine Informationen mindestens 64 Millisekunden ohne erneute Stromzufuhr speichern. Unter extremen Bedingungen kann die Zeit allerdings deutlich abweichen: Bei -50°C kann der Arbeitsspeicherinhalt bis zu mehreren Minuten erhalten bleiben. Diesen Fakt nutzt die Cold-Boot-Attacke aus. In dem kurzen Zeitraum, in dem die Daten erhalten bleiben, werden sie mit einem anderen Betriebssystem ausgelesen.

Der Schutzmechanismus der PC-Hersteller verhindert den Angriff durch das Leeren des Arbeitsspeichers während des Boot-Prozesses. Allerdings geschieht dies nur, wenn vor dem Bootvorgang ein memory overwrite request (MOR) im nichtflüchtigen Speicher der Firmware gesetzt ist. Diese Information hinterlegt die Firmware bei jedem Bootvorgang, das Betriebssystem kann den MOR jedoch zurücksetzen, sofern es eine Löschung des Arbeitsspeichers für nicht notwendig erachtet, zum Beispiel, weil es alle relevanten Informationen aus dem Arbeitsspeicher gelöscht hat. An diesem Punkt setzen die Forscher von F-Secure an. Sie überschreiben den MOR, der Arbeitsspeicher wird beim nächsten Reboot nicht gelöscht. Damit kann eine klassische Cold-Boot-Attacke wieder durchgeführt werden.


Angreifer brauchen physischen Zugriff

Angegriffen werden können eingeschaltete verschlüsselte Geräte, auch im Bereitschaftsmodus (Suspend to RAM). Um eine Cold-Boot-Attacke durchführen zu können, brauchen die Angreifer physischen Zugriff auf das Gerät. Das Geräte oder Teile davon müssen beispielsweise mit Kältespray heruntergekühlt werden. Die Daten werden binnen Sekunden oder Minuten ausgelesen. Ganz trivial ist das nicht, aber technisch möglich und umsetzbar. Möglich ist auch, den heruntergekühlten Arbeitsspeicher auszubauen und auf einem anderen System auszulesen, sofern er nicht fest verbaut ist. Hierfür muss der Schutzmechanismus gegen die Cold-Boot-Attacke nicht umgangen werden.

Die Verschlüsselung ist angreifbar, da die Kryptoschlüssel im Arbeitsspeicher vorrätig gehalten werden, um die Daten von der Festplatte oder SSD entschlüsseln zu können. Alternativ können Kryptoschlüssel auch in speziellen Sicherheitschips oder dem Prozessor hinterlegt werden. Das findet bisher jedoch im PC-Bereich kaum Anwendung. Je nach Ausgestaltung sind auch hier Angriffe möglich. Wirklich geschützt sind Geräte erst mehrere Sekunden, nachdem sie heruntergefahren wurden.
-1
Gerry
Gerry15.09.18 08:46
Den Trick mit dem Speicher kenn ich schon seit dem C64. Auf der anderen Seite, setzt das aber voraus das der Hacker vor dem laufenden Rechner sitzt. Denn um so länger der aus ist um so weniger Daten kann man wieder herstellen. Das war schon zu Zeiten des C64 so.
Allerdings wenn der Hacker eh schon vor dem Rechner sitzt?
-1
zalf
zalf17.09.18 10:33
Aber wenn jemand meinen ausgeschalteten Rechner klaut, dann funktioniert diese Methode doch nicht, oder? Nach einem Weilchen sollte der RAM doch schon leer sein.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen