Truecrypt bootloader sichern

D

Donar

0
Hallo

Ich war mir nicht sicher ob dieses Thema hier rein oder doch zu IT-Sicherheit gehört. Sry, fals ich hier falsch bin.

Wie der Titel schon andeutet möchte ich den Bootloader von Truecrypt sichern.
Ich möchte mein WinXP auf meinem Laptop komplett mit Truecrypt verschlüseln(Systempartition und 1 Datenpartition).
Nun macht mir dieser Artikel sorgen: http://www.heise.de/newsticker/meldung/Bootkit-hebelt-Festplattenverschluesselung-aus-748859.html

So wie ich das und einigen Diskusionen in anderen Foren verstehe wird
eigentlich nur ne art Keylogger im MBR installiert der das PW bei Eingabe mit
snifft, oder?

Davor sollte man sich doch eig recht einfach schützen können. Beispielsweiße mit einem Programm, dass wärend des Bootens, bevor der Keylogger die Möglichkeit hat das PW zu Speichern bzw. zu Senden den MBR(indem ja der Truecryptloader ist) überprüft(checksume o.ä.) und ggf.
wiederherstellt.

Meine erste Frage ist erstmal: Sind meine Gedankengänge bis hier hin korrekt?
Und meine zweite ist: Wie macht man sowas?

Hab leider nicht viel gefunden was mir da weiterhelfen konnte.
 
Ich denke das Sicherste ist, wenn du den Bootloader auf einem externen Datenträger immer bei dir trägst. Es bleiben zwar die Möglichkeiten, dass beschreibbare Speicher deines Rechners manipuliert werden, aber dieser Fall tritt heute meist nur in PoC auf.

Hier noch zwei Artikel, die dich interessierende könnten:
http://theinvisiblethings.blogspot.com/2009/10/evil-maid-goes-after-truecrypt.html
http://theinvisiblethings.blogspot.com/2009/01/why-do-i-miss-microsoft-bitlocker.html
 
Wenn man die Möglichkeit hat, kann man sich auch ein Coreboot - http://www.coreboot.org/ - auf's MB basteln (zum Booten von Windows in Verbindung mit SeaBIOS), das die MD5-Summe des Bootloaders prüft. Die einfachere Lösung dürfte aber die von xrayn sein. Einfach von einem externen Datenträger booten, den man immer bei sich trägt.
 
mh, von externem Datenträger booten hört sich gut an.
Nur wie mache ich truecrypt klar es den Bootloader auf den Datenträger
packen soll?
 
also zu google. auf die Idee wäre ich niee gekommen :wink:

ich hab jetzt nach längerer suche ein Programm gefunden, dass recht simpel ist und den MBR kopiert und wiederherstellt.

Denke da bei einem externen Datenträger immer die gefahr des Verlierens
gegeben ist und ich nicht wirklich etwas dazu gefunden habe(wahrscheinlich bin ich zu blöd fürs googlen :wink:) werde ich erstmal das Tool testen, obs so funzt wie ich das will.

Das Tool heißt übrigens "MBRWizard 2.0". Hat damit schon jemand Erfahrungen gemacht?
 
das was dieses problem ohne externes medium für den bootloader noch am ehesten lösen könnte, wäre ein TPM, dass nur signierte bootloader zur ausführung bringt ...

allerdings bleibt auch so ein elementares problem ungelößt:

alle sicherheits kritischen dinge befinden sich für einen lokalen angreifer problemlos in zugriffsreichweite ... ob tpm geschützt oder nicht, der angreifer kann den bootloader austauschen ... falls er merkt, dass gegenmaßnahmen getroffen wurden, kann er sich mit diesen befassen, und beispielsweise den MBR den dein tool wiederherstellen will manipulieren ... auf der anderen seite muss dein tool auch irgendwo gestartet werden ... es ist also auch möglich das tool selbst zu manipulieren

im falle eines tpm chips müsste der angreifer den chip mit einem neuen key versehen(oder ihn gleich komplett austauschen), und alle benötigten programme neu signieren ...

einen angreifer, der lokalen zugang zur maschine hat, hälst du nicht auf, ohne dass du ihm den zugriff auf den bootloader durch ein externes medium entziehst ...
 
Was ist denn eigentlich mit der TC eigenen Rescue-CD:
http://www.truecrypt.org/docs/?s=rescue-disk ?
abgesehen davon gab es mal auch ein Anti-Bootkit Projekt (gerade bei google nachschlag: http://ebfes.wordpress.com/
die "de.vu" Adresse mit der Beschreibung/Anleitung scheint nicht mehr erreichbar zu sein, diese sind aber in der ZIP enthalten).
Das sollte imho eher in Richtung "Sicherheitsprüfung" gehen, als die Rumkopiererei mit den MBRs.
 
so, ich hab jetzt die rescue disk auf einem bootfähigen USB-Stick.
Ich kann auch davon Booten und der Truecryptloader(vom Stick) erscheint.
Allerdings nimmt er mein PW nicht an. Hab die Repair-funktion "Restore Volume Key Data" ausgeführt und die wurde erfolgreich beendet.
Brenne ich Rescue disk auf eine cd und boot von der funzt alles wunderbar.


Die Anleitung für den Bootfähigen usb-Stick hab ich von hier: http://www.winfuture-forum.de/index.php?showtopic=165391
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben