BitLocker haben wir als Sicherheitstechnik seit Windows Vista fest in unsere Betriebssysteme integriert. Die Technik bewährt sich immer wieder gegen Attacken. Allerdings gibt es auch hier theoretische Angriffsszenarien, wie beispielsweise die Spezialisten von Elcomsoft gezeigt haben. Elcomsoft bietet ein Tool, mit dem sich Daten theoretisch auslesen lassen. Dies funktioniert allerdings nur, wenn der Angreifer physischen Zugriff auf den Rechner erhält, um ein Speicherabbild zu erbeuten. Im Speicher-Image finden sich die notwendigen Informationen zum Entschlüsseln der Daten. Chancenlos ist diese Angriffsmethode, wenn das System im Hibernate-Modus ist, also der Inhalt des Arbeitsspeichers komplett auf die Festplatte geschrieben (und damit verschlüsselt) wurde.
Genau hier setzt das Tool You never take me alive (YoNTMA) von iSEC Partners an. Die Anwendung läuft als Dienst auf einem Windows-Rechner mit aktiviertem Bitlocker (unterstützt werden Vista, Windows 7 und Windows 8). Sobald der PC in den Stand-By schaltet, wacht YoNTMA auf. Wird nun das Stromkabel oder ein angeschlossenes Ethernet-Kabel entfernt, versetzt YoNTMA den Rechner sofort in den Hibernate-Modus, verschlüsselt so den Arbeitsspeicher und schützt die Daten gegen die von Elcomsoft gezeigte Attacke.
Um Zweifel an der Funktionstüchtigkeit seines Programms zu zerstreuen – schließlich vertrauen Anwender YoNTMA sensible Daten an – hat iSEC Partners den Quelltext auf GitHub veröffentlicht.
Wie realistisch ist nun so eine Attacke gegen verschlüsselte Daten? Um diese Frage zu beantworten muss man weiter ausholen: Das Elcomsoft-Tool ist nur erfolgreich, wenn es unverschlüsselte Daten des PCs kopieren kann – sprich, der PC oder das Notebook muss aktiv sein, sich im Standy-By-Modus befinden oder über einen Firewire-Anschluss verfügen. Letzteres ist auf Windows Systemen zwar selten, beim Thema Notebook im Stand-By sieht es allerdings anders aus. Vor allem Notebooks werden immer wieder gestohlen, selbst wenn man sie nur kurz aus den Augen lässt. BitLocker, in Kombination mit YoNTMA, schützt solche Daten vor unbefugtem Zugriff. Dann ist zwar immer noch die Hardware verloren. Die sensiblen Informationen, oftmals deutlich wertvoller als das Gerät, sind aber bestmöglich gegen Zugriffe geschützt.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.