[HaBo]

Donar · 15.12.10, 11:27

Hallo

Ich war mir nicht sicher ob dieses Thema hier rein oder doch zu IT-Sicherheit gehört. Sry, fals ich hier falsch bin.

Wie der Titel schon andeutet möchte ich den Bootloader von Truecrypt sichern.
Ich möchte mein WinXP auf meinem Laptop komplett mit Truecrypt verschlüseln(Systempartition und 1 Datenpartition).
Nun macht mir dieser Artikel sorgen: http://www.heise.de/newsticker/meldu...us-748859.html

So wie ich das und einigen Diskusionen in anderen Foren verstehe wird
eigentlich nur ne art Keylogger im MBR installiert der das PW bei Eingabe mit
snifft, oder?

Davor sollte man sich doch eig recht einfach schützen können. Beispielsweiße mit einem Programm, dass wärend des Bootens, bevor der Keylogger die Möglichkeit hat das PW zu Speichern bzw. zu Senden den MBR(indem ja der Truecryptloader ist) überprüft(checksume o.ä.) und ggf.
wiederherstellt.

Meine erste Frage ist erstmal: Sind meine Gedankengänge bis hier hin korrekt?
Und meine zweite ist: Wie macht man sowas?

Hab leider nicht viel gefunden was mir da weiterhelfen konnte.

xrayn · 15.12.10, 11:59

Ich denke das Sicherste ist, wenn du den Bootloader auf einem externen Datenträger immer bei dir trägst. Es bleiben zwar die Möglichkeiten, dass beschreibbare Speicher deines Rechners manipuliert werden, aber dieser Fall tritt heute meist nur in PoC auf.

Hier noch zwei Artikel, die dich interessierende könnten:
http://theinvisiblethings.blogspot.c...truecrypt.html
http://theinvisiblethings.blogspot.c...bitlocker.html

Anzeige

- Anzeige -

**bitmuncher** · 15.12.10, 12:33

Wenn man die Möglichkeit hat, kann man sich auch ein Coreboot - http://www.coreboot.org/ - auf's MB basteln (zum Booten von Windows in Verbindung mit SeaBIOS), das die MD5-Summe des Bootloaders prüft. Die einfachere Lösung dürfte aber die von xrayn sein. Einfach von einem externen Datenträger booten, den man immer bei sich trägt.

Donar · 15.12.10, 14:10

mh, von externem Datenträger booten hört sich gut an.
Nur wie mache ich truecrypt klar es den Bootloader auf den Datenträger
packen soll?

xrayn · 15.12.10, 14:18

https://encrypted.google.com/search?...usb+b&gs_rfai=

Donar · 16.12.10, 10:33

also zu google. auf die Idee wäre ich niee gekommen

ich hab jetzt nach längerer suche ein Programm gefunden, dass recht simpel ist und den MBR kopiert und wiederherstellt.

Denke da bei einem externen Datenträger immer die gefahr des Verlierens
gegeben ist und ich nicht wirklich etwas dazu gefunden habe(wahrscheinlich bin ich zu blöd fürs googlen

) werde ich erstmal das Tool testen, obs so funzt wie ich das will.

Das Tool heißt übrigens "MBRWizard 2.0". Hat damit schon jemand Erfahrungen gemacht?

GrafZahl · 16.12.10, 10:49

das was dieses problem ohne externes medium für den bootloader noch am ehesten lösen könnte, wäre ein TPM, dass nur signierte bootloader zur ausführung bringt ...

allerdings bleibt auch so ein elementares problem ungelößt:

alle sicherheits kritischen dinge befinden sich für einen lokalen angreifer problemlos in zugriffsreichweite ... ob tpm geschützt oder nicht, der angreifer kann den bootloader austauschen ... falls er merkt, dass gegenmaßnahmen getroffen wurden, kann er sich mit diesen befassen, und beispielsweise den MBR den dein tool wiederherstellen will manipulieren ... auf der anderen seite muss dein tool auch irgendwo gestartet werden ... es ist also auch möglich das tool selbst zu manipulieren

im falle eines tpm chips müsste der angreifer den chip mit einem neuen key versehen(oder ihn gleich komplett austauschen), und alle benötigten programme neu signieren ...

einen angreifer, der lokalen zugang zur maschine hat, hälst du nicht auf, ohne dass du ihm den zugriff auf den bootloader durch ein externes medium entziehst ...

xrayn · 16.12.10, 11:30

@GrafZahl: Du kannst eine Manipulation durch TPM/TXT nicht gänzlich verhindern, aber du kannst dafür sorgen, dass du diese Anmessen kannst. Trusted Boot (tboot), welches von Intel implementiert wurde und TXT nutzt, sollte an dieser Stelle noch erwähnt werden, hier ein Whitepaper zu TXT: http://www.intel.com/Assets/en_US/PD...per/323586.pdf

**CDW** · 16.12.10, 16:56

Was ist denn eigentlich mit der TC eigenen Rescue-CD:
http://www.truecrypt.org/docs/?s=rescue-disk ?
abgesehen davon gab es mal auch ein Anti-Bootkit Projekt (gerade bei google nachschlag: http://ebfes.wordpress.com/
die "de.vu" Adresse mit der Beschreibung/Anleitung scheint nicht mehr erreichbar zu sein, diese sind aber in der ZIP enthalten).
Das sollte imho eher in Richtung "Sicherheitsprüfung" gehen, als die Rumkopiererei mit den MBRs.

Donar · 18.12.10, 10:48

so, ich hab jetzt die rescue disk auf einem bootfähigen USB-Stick.
Ich kann auch davon Booten und der Truecryptloader(vom Stick) erscheint.
Allerdings nimmt er mein PW nicht an. Hab die Repair-funktion "Restore Volume Key Data" ausgeführt und die wurde erfolgreich beendet.
Brenne ich Rescue disk auf eine cd und boot von der funzt alles wunderbar.

Die Anleitung für den Bootfähigen usb-Stick hab ich von hier: http://www.winfuture-forum.de/index....owtopic=165391

Anzeige

- Anzeige -

15.12.10, 11:27	#1 (permalink)
Donar Registriert seit: 29.11.08 Likes: 0	Truecrypt bootloader sichern Anzeige Hallo Ich war mir nicht sicher ob dieses Thema hier rein oder doch zu IT-Sicherheit gehört. Sry, fals ich hier falsch bin. Wie der Titel schon andeutet möchte ich den Bootloader von Truecrypt sichern. Ich möchte mein WinXP auf meinem Laptop komplett mit Truecrypt verschlüseln(Systempartition und 1 Datenpartition). Nun macht mir dieser Artikel sorgen: http://www.heise.de/newsticker/meldu...us-748859.html So wie ich das und einigen Diskusionen in anderen Foren verstehe wird eigentlich nur ne art Keylogger im MBR installiert der das PW bei Eingabe mit snifft, oder? Davor sollte man sich doch eig recht einfach schützen können. Beispielsweiße mit einem Programm, dass wärend des Bootens, bevor der Keylogger die Möglichkeit hat das PW zu Speichern bzw. zu Senden den MBR(indem ja der Truecryptloader ist) überprüft(checksume o.ä.) und ggf. wiederherstellt. Meine erste Frage ist erstmal: Sind meine Gedankengänge bis hier hin korrekt? Und meine zweite ist: Wie macht man sowas? Hab leider nicht viel gefunden was mir da weiterhelfen konnte.

15.12.10, 12:33	#3 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 441	Wenn man die Möglichkeit hat, kann man sich auch ein Coreboot - http://www.coreboot.org/ - auf's MB basteln (zum Booten von Windows in Verbindung mit SeaBIOS), das die MD5-Summe des Bootloaders prüft. Die einfachere Lösung dürfte aber die von xrayn sein. Einfach von einem externen Datenträger booten, den man immer bei sich trägt. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

16.12.10, 10:49	#7 (permalink)
GrafZahl Member of Honour Registriert seit: 28.05.10 Likes: 210	das was dieses problem ohne externes medium für den bootloader noch am ehesten lösen könnte, wäre ein TPM, dass nur signierte bootloader zur ausführung bringt ... allerdings bleibt auch so ein elementares problem ungelößt: alle sicherheits kritischen dinge befinden sich für einen lokalen angreifer problemlos in zugriffsreichweite ... ob tpm geschützt oder nicht, der angreifer kann den bootloader austauschen ... falls er merkt, dass gegenmaßnahmen getroffen wurden, kann er sich mit diesen befassen, und beispielsweise den MBR den dein tool wiederherstellen will manipulieren ... auf der anderen seite muss dein tool auch irgendwo gestartet werden ... es ist also auch möglich das tool selbst zu manipulieren im falle eines tpm chips müsste der angreifer den chip mit einem neuen key versehen(oder ihn gleich komplett austauschen), und alle benötigten programme neu signieren ... einen angreifer, der lokalen zugang zur maschine hat, hälst du nicht auf, ohne dass du ihm den zugriff auf den bootloader durch ein externes medium entziehst ... __________________ Code: :(){ :\|:& };: Veritas Aequitas

16.12.10, 16:56	#9 (permalink)
CDW Moderator Registriert seit: 20.07.05 Likes: 202	Was ist denn eigentlich mit der TC eigenen Rescue-CD: http://www.truecrypt.org/docs/?s=rescue-disk ? abgesehen davon gab es mal auch ein Anti-Bootkit Projekt (gerade bei google nachschlag: http://ebfes.wordpress.com/ die "de.vu" Adresse mit der Beschreibung/Anleitung scheint nicht mehr erreichbar zu sein, diese sind aber in der ZIP enthalten). Das sollte imho eher in Richtung "Sicherheitsprüfung" gehen, als die Rumkopiererei mit den MBRs. __________________ Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf! Selig, wer nichts zu sagen hat und trotzdem schweigt.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

15.12.10, 11:59	#2 (permalink)
xrayn Member of Honour Registriert seit: 05.03.08 Likes: 246	Ich denke das Sicherste ist, wenn du den Bootloader auf einem externen Datenträger immer bei dir trägst. Es bleiben zwar die Möglichkeiten, dass beschreibbare Speicher deines Rechners manipuliert werden, aber dieser Fall tritt heute meist nur in PoC auf. Hier noch zwei Artikel, die dich interessierende könnten: http://theinvisiblethings.blogspot.c...truecrypt.html http://theinvisiblethings.blogspot.c...bitlocker.html

15.12.10, 14:10	#4 (permalink)
Donar Themenstarter Registriert seit: 29.11.08 Likes: 0	mh, von externem Datenträger booten hört sich gut an. Nur wie mache ich truecrypt klar es den Bootloader auf den Datenträger packen soll?

15.12.10, 14:18	#5 (permalink)
xrayn Member of Honour Registriert seit: 05.03.08 Likes: 246	https://encrypted.google.com/search?...usb+b&gs_rfai=

16.12.10, 10:33	#6 (permalink)
Donar Themenstarter Registriert seit: 29.11.08 Likes: 0	also zu google. auf die Idee wäre ich niee gekommen ich hab jetzt nach längerer suche ein Programm gefunden, dass recht simpel ist und den MBR kopiert und wiederherstellt. Denke da bei einem externen Datenträger immer die gefahr des Verlierens gegeben ist und ich nicht wirklich etwas dazu gefunden habe(wahrscheinlich bin ich zu blöd fürs googlen ) werde ich erstmal das Tool testen, obs so funzt wie ich das will. Das Tool heißt übrigens "MBRWizard 2.0". Hat damit schon jemand Erfahrungen gemacht?

16.12.10, 11:30	#8 (permalink)
xrayn Member of Honour Registriert seit: 05.03.08 Likes: 246	@GrafZahl: Du kannst eine Manipulation durch TPM/TXT nicht gänzlich verhindern, aber du kannst dafür sorgen, dass du diese Anmessen kannst. Trusted Boot (tboot), welches von Intel implementiert wurde und TXT nutzt, sollte an dieser Stelle noch erwähnt werden, hier ein Whitepaper zu TXT: http://www.intel.com/Assets/en_US/PD...per/323586.pdf

18.12.10, 10:48	#10 (permalink)
Donar Themenstarter Registriert seit: 29.11.08 Likes: 0	so, ich hab jetzt die rescue disk auf einem bootfähigen USB-Stick. Ich kann auch davon Booten und der Truecryptloader(vom Stick) erscheint. Allerdings nimmt er mein PW nicht an. Hab die Repair-funktion "Restore Volume Key Data" ausgeführt und die wurde erfolgreich beendet. Brenne ich Rescue disk auf eine cd und boot von der funzt alles wunderbar. Die Anleitung für den Bootfähigen usb-Stick hab ich von hier: http://www.winfuture-forum.de/index....owtopic=165391

[HaBo]

Truecrypt bootloader sichern