CTankred
Anmeldungsdatum: 31. März 2008
Beiträge: 7
|
Hallo Ubuntu-User & Userinnen, Ubuntu bietet ja seit 7.10 mit der Alternate-Install-CD eine Option für "create encrypted LVM", sprich Festplattenverschlüsselung. Mich interessiert hier der Vergleich zu Windows Vistas Gegenstück "Bitlocker" bzw. der Truecrypt-Plattenverschlüsselung, die nur unter Windows angeboten wird. Bitlocker verschlüsselt die komplette Systempartition inklusive Betriebssystem, also ist eine Manipulation von Windows oder Kernel nicht möglich, weil dem Angreifer nur eine vollständig verschlüsselte Partition angezeigt wird, der Bootloader öffnet diese dann und startet davon Windows. Unter Ubuntu wird anscheinend eine unverschlüsselte Partition angelegt (/boot) auf der nicht nur der Bootloader, sondern der gesamte Kernel unverschlüsselt und damit manipulierbar abgelegt wird. Der Angreifer kann nun ein Festplattenimage vom Gerät machen, sieht den Kernel und schließt auf ein LUKS-Linux und kann nun die Kernel-Sourcen der gefundenen Version laden, eine Backdoor oder Trojaner hinzufügen und kompilieren und vom Benutzer unbemerkt (weil ausserhalb der Arbeitszeit etc.) auf das System spielen. Beim nächsten Start ist das System somit kompromittiert, da eine Backdoor auf Kernelebene läuft und damit alle anderen Sicherheitsmaßnahmen (AppArmor etc.) aushebelt. Meine Fragen: Ist das so richtig? Kann ein LUKS-System auf diese Weise ausgehebelt werden? Wenn ja, was gibt es für Workarounds? Kann man den Kernel mitverschlüsseln oder auf USB-Stick auslagern und somit unangreifbar machen? Vielen Dank für die Antworten!
|
somebody74
Anmeldungsdatum: 26. Februar 2008
Beiträge: 135
|
Ich denke mal, dass das kein LUKS-spezifisches Problem ist, denn auch beim Windowsrechner mit Komplettverschlüsselung muss ja zunächst ein Programm gestartet werden, was in der Lage ist, den verschlüsselten Bereich zu entschlüsseln. Auch dieses Programm wird dann in einem nicht verschlüsselten Bereich der Festplatte liegen und kann somit manipuliert werden, und das dann auch soweit, dass es nach dem Entschlüsseln auf die Daten zugreift und zum Beispiel das Windowssystem verändert. Genauso kann auch einfach "außerhalb der Arbeitszeit" jemand mit physikalischem Zugang zum Rechner einen Hardwarekeylogger in die Tastatur einbauen und somit beim nächsten Start den Key mitloggen, oder eine versteckte Kamera installieren, die die Keyeingabe beobachtet, oder .... Helfen tut da nichts wirklich, weil solche Szenarien so aufwendig, unrealistisch und spekulativ sind, dass man wenn man schon so weit ist dann auch annehmen kann, dass jede Gegenmaßnahme wieder hintergangen wird.
|
CTankred
(Themenstarter)
Anmeldungsdatum: 31. März 2008
Beiträge: 7
|
Hallo, Windows Vista überprüft (zumindest mit TPM-Chip) die Integrität des Boot-"Programms":
Also, when enabled TPM/Bitlocker also ensures the integrity of the trusted boot path (e.g. BIOS, boot sector, etc.), in order to prevent offline physical attacks
Die Idee mit der Arbeitszeit bitte nicht allzu genau nehmen, es geht nur um die Integrität des Betriebssystems, nicht um die Hardware. Mit einem frei "herumliegenden" Kernel dürfte es da ein Problem geben, wenn dieser nicht mittels Checksum o.ä. überprüft wird. Weiß jemand genaueres? Grüße
|
adun
Anmeldungsdatum: 29. März 2005
Beiträge: 8606
|
Du hast schon genau erfasst warum ein Verschlüsseln über die Daten hinaus mit der dargelegten Methode nicht viel Sicherheit bringt. Wenn du ein höheres Sicherheitsniveau erreichen willst, musst du das TPM Modul (Linux Secure Modul) bzw. SELinux bemühen. Das kann die AlternateCD nicht automatisch. Einfach mal nach "Trusted Linux Client" suchen. Dazu kommt dann natürlich die Hardwareseite, z.B. gegen einen Keylogger, und Schutz vor social engineering.
|
mr_matze
Anmeldungsdatum: 2. Februar 2007
Beiträge: 275
|
wie wärs mit ner prüfsumme im verschlüsselten bereich gegen die der laufende Kernel gecheckt wird?
|
CTankred
(Themenstarter)
Anmeldungsdatum: 31. März 2008
Beiträge: 7
|
Hallo adun, inwieweit hilft SELinux gegen diese Problematik? Meines Wissens nach ist es eine Alternative zu Apparmor, die Zugriffsrechte von Programmen einschränkt.
wie wärs mit ner prüfsumme im verschlüsselten bereich gegen die der laufende Kernel gecheckt wird?
Das wäre eine zufriedenstellende Lösung, nach dem Boot kann das System bei unterschiedlichen Checksummen eine Warnung ausgeben und das System anhalten, da anscheinend was am System gedreht wurde. Bei Kernelupdates kann die Checksumme dann automatisch aktualisiert werden. Vielleicht etwas für 8.04 Brainstorm? Grüße
|
mr_matze
Anmeldungsdatum: 2. Februar 2007
Beiträge: 275
|
vermutlich müsste man die gesamte /boot-partition prüfen... ich weiß nich obs da schon was gibt, dass checksummen für ne ganze partition erstellt. Und wie lang das dann dauert um die zu prüfen... nicht das man nach dem einschalten erst mal n kaffee trinken gehen kann.... 🙄 aber is schon ne nette idee. hab aber keine zeit das irgendwo zu veröffentlichen oder so... darfst du gern übernehmen ☺
|
otzenpunk
Anmeldungsdatum: 17. Oktober 2005
Beiträge: 8691
Wohnort: Hamburg-Altona
|
mr_matze hat geschrieben: wie wärs mit ner prüfsumme im verschlüsselten bereich gegen die der laufende Kernel gecheckt wird?
Ein trojanisierter Kernel würde selbstverständlich dafür sorgen, dass der Prüfsummencheck erfolgreich verläuft. 😉 Man muss immer beachten, gegen welche Bedrohungsszenarien eine Schutzmaßnahme wirksam ist. Gegen das Szenarion "Rechner wird geklaut oder anderweitig entwendet - sind die Daten sicher?" hilft die Verschlüsselung, egal ob /boot auch verschlüsselt wird oder nicht. Gegen das Szenario "Rechner wird unbemerkt trojanisiert" bietet die Verschlüsselung offensichtlich keinen perfekten Schutz. Wie das Beispiel Hardware-Keylogger zeigt, wird es dagegen wohl auch keinen reinen Software-Schutz geben können. Da hilft dann wohl nur 24/7-Kontrolle über den Rechner.
|
mr_matze
Anmeldungsdatum: 2. Februar 2007
Beiträge: 275
|
kernel auf usb-stick, usb-stick in die hosentasche. wär noch ne Idee.
|
adun
Anmeldungsdatum: 29. März 2005
Beiträge: 8606
|
Dazu aber bitte auch die Kaffeeflat, der Schlaf ist dann dein Feind. 😬 Aber hast schon Recht, die physische Trennung hilft dir in Verbindung mit read only schonmal weiter, das von otzenpunk genannte Problem der Hardware bleibt aber. Wer in der Lage wäre einen angepassten Kernel zu erstellen und einzuspielen, hat überhaupt keine Probleme die Tastatur zu überwachen. Man muss bei den ganzen Überlegungen aufpassen nicht irgendwo zu übertreiben, denn das Schwächste Glied ist natürlich ausschlaggebend. Was in 99% der Fälle eh 30 cm vor dem Bildschirm lokalisiert ist.
|
mr_matze
Anmeldungsdatum: 2. Februar 2007
Beiträge: 275
|
natürlich. aber ich denke, der thread ist eher wissenschaftlich als praktisch orientiert.
|
adun
Anmeldungsdatum: 29. März 2005
Beiträge: 8606
|
Na, dann kann man auch gleich ein Livesystem (bzw. LTSP & Co) verwenden.
|
adun
Anmeldungsdatum: 29. März 2005
Beiträge: 8606
|
Gerade aus anderem Anlass gefunden, passt zum Thema: TrustedGrub
|
sunsideguy
Anmeldungsdatum: 25. Juni 2007
Beiträge: 319
|
@ adun Danke für dein Post; obwohl ich mich sehr für Sicherheitsfragen interessiere, kannte ich das Projekt Trusted Grub noch nicht. Nach kurzem drüberlesen und googlen hört sich das für mich vielversprechend an. Wenn ich etwas mehr Zeit habe, werde ich mir das mal genauer ansehen. Viele Grüße sunsideguy
|
Blattlaus
Anmeldungsdatum: 29. März 2006
Beiträge: 1399
|
Security Gesetz Nr Drölf: Ein Gerät kann nicht mehr als vertrauenswürdig gelten, sobald dritte unbeobachteten physischen Zugang zum Gerät hatten.
|