Tool soll BitLocker-Verschlüsselung aushebeln

  • Article

Das IT-Sicherheitsunternehmen Passware hat vergangenen
Freitag per Pressemitteilung (Link direkt auf PDF-Datei) bekannt gegeben, dass ein Softwaretool (Passware
Kit Forensic 10.3) die zum Entschlüsseln von Festplattencodierungen wie
BitLocker
oder TrueCrypt notwendigen
Keys (nicht das Passwort) auslesen kann. Die hierzu notwendigen Informationen
soll die Anwendung aus der Datei hiberfil.sys automatisch auslesen und die
Codierung so nach Angabe des Herstellers binnen Minuten aushebeln.

 

Microsoft kennt das erwähnte Tool. Nicht zuletzt deshalb,
weil es während einer Präsentation im Rahmen der diesjährigen TechEd Europe in
Berlin demonstriert wurde. Ein Mitschnitt des Vortrags findet sich online,
der BitLocker betreffende Teil beginnt zirka bei Minute 49. Der Vortragende
liefert nicht nur eine Demonstration des Tools, sondern auch Erklärungen, wie
leicht sich ein Angriff auskontern lässt.

 

Einen der erwähnten Tipps haben meine US-Kollegen schon vor beinahe
drei Jahren in einem Blogbeitrag
erklärt: Die durch das Passware-Tool mögliche Attacke läuft ins Leere, wenn
BitLocker eine PIN verwendet und auf einem PC oder Notebook eingesetzt wird, in
dem ein TPM (Trusted Platform Module) steckt. Letzteres ist ohnehin
Grundvoraussetzung für BitLocker. Ohne TPM lässt sich die
Verschlüsselungstechnik nur nach Eingriff in die Registry nutzen – ein Eingriff,
der von Microsoft natürlich nicht empfohlen wird.

 

Zwar beschreibt der Blogeintrag nur den Teil des Angriffs,
der sich mit dem Auslesen des Hauptspeichers beschäftigt. Nachdem dies aber –
wie im Video gezeigt – eine Voraussetzung für den Angriff durch Passware Kit
Forensic ist, gilt das im Blog Erläuterte nach wie vor.

 

Ein anderer Weg ist das Abschalten des Energiesparmodus
(Windows Systemsteuerung / [....] / Erweiterte Energieeinstellungen ändern).
In diesem Fall wird die Datei hiberfil.sys gar nicht erst erzeugt und die
BitLocker-Keys landen nicht auf der Festplatte. Insbesondere Notebook-Besitzer
sollten die Einstellung überprüfen.

 

Aus meiner Sicht ist die Kommunikation von Passware insgeamt nicht ganz klar: In der Pressemitteilung von Passware zur Version 10.3 des Tools wird der TechEd-Vortragende Andy Malone zitiert und es wird ausdrücklich auf seine Präsentation und das gezeigte Aushebeln von BitLocker verwiesen. Malone präsentierte jedoch die Vorgängerversion 10.1 von Passware Kit Forensic und zeigte risikominimierende Gegenmaßnahmen auf. Inwieweit die aktuelle Variante der Software andere Angriffstechniken beherrscht, ist mir nicht bekannt.