Neuer Verschlüsselungs- Trojaner geht um

Gast

Zitat

[h=1]Neuer Verschlüsselungs- Trojaner geht um[/h][h=6]31. Juli 2012, 15:45[/h]
foto: ap
[h=2]Kriminelle versuchen damit, Geld von PC-Besitzern zu erpressen[/h]Ein Verschlüsselungstrojaner sorgt für Aufregung und Schlagzeilen. So warnen das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die polizeiliche Kiminalprävention der Länder und des Bundes vor einer besonders dreisten Variante von Schadsoftware. Kriminelle versuchen damit, Geld von PC-Besitzern zu erpressen. Bei den Attacken werden die PCs von Betroffenen so verschlüsselt, dass eine vollständige Wiederherstellung aller Daten oft nicht möglich ist.
100 Euro per Paysefecard oder 50 Euro per Ukash
Die neueste Variante der Schadsoftware, der so genannte Windows-Verschlüsselungs-Trojaner, wird über Spam-Mails verbreitet. Die angeschriebenen Personen werden beispielsweise im Namen einer Staatsanwaltschaft dazu verleitet, die beigefügten Anhänge zu öffnen. Doch schon beim Öffnen des Anhangs wird der PC verschlüsselt und Geld gefordert. Auch nach Bezahlen der Forderung, in der Regel 100 Euro per Paysefecard oder 50 Euro per Ukash, wird die Sperrung nicht aufgehoben. Vielmehr sind sämtliche Dateien auf dem PC so verschlüsselt, dass auch die Wiederherstellung mit einer Rettungs-CD ("Rescue Disk") nur teilweise erfolgreich ist.
Immer wieder tauchen neue Varianten dieser bereits seit 2011 bekannten Schadsoftware auf.
Nicht zahlen
BSI und ProPK raten, "die geforderte Gebühr unter keinen Umständen zu bezahlen", da "eine Zahlung des geforderten Betrags nicht zu einer Entschlüsselung des Rechners" führt. Für die Wiederherstellung der Daten sollen Betroffene sich an IT-Experten wenden. Darüber hinaus bietet das Anti-Botnetz-Beratungszentrum auf seinem Internet-Angebot unter https://www.botfrei.de/ eine Schritt-für-Schritt-Anleitung, mit der Betroffene ihren Rechner reinigen können. (red, 31.07. 2012)
Link
Bundesamt für Sicherheit in der Informationstechnik (BSI)

Alles anzeigen

Neuer Verschlüsselungs- Trojaner geht um - IT-Security - derStandard.at

Cu
Verbogener

Encounter

Naja, neu.....
Die ersten Varianten gab es vor drei oder vier Monaten und es gibt Tools, die helfen bei so gut wie allen AV Produktherstellern.

Interessant ist eine recht neue Variante, die wohl nicht so einfach zu knacken ist, da der Key an einen Server gesendet wird und einzigartig für jede Maschine ist Zu erkennen an wilden Buchstabenkombis ohne Dateiendung, also ohne .xxx

Gast

Hier mal ein recht interessanter Artikel was mit der ganzen Platte passieren könnte.

Zitat

Harald Bögeholz
Bärendienst
Wie ATA-Sicherheitsfunktionen Ihre Daten gefährden
Bei den meisten Notebooks kann man die Festplatte mit einem Passwort gegen unberechtigte Zugriffe schützen. Ohne dieses gibt sie dann keine Daten mehr preis, selbst wenn man sie in einen anderen Rechner einbaut. Diese Schutzfunktion ist mittlerweile auch in allen 3,5"-ATA-Festplatten enthalten und lässt sich mithin auch im Desktop-PC nutzen - oder missbrauchen!
Eines Morgens bleibt der Bildschirm schwarz - disk boot failure, insert system disk and press Enter. Sollte die Festplatte über Nacht den Geist aufgegeben haben? Ungewöhnliche Geräusche macht sie nicht, und sie meldet sich auch brav beim BIOS an. Ein von Diskette gebootetes DOS startet verdächtig langsam und kann nicht auf die Platte zugreifen - das sieht aber gar nicht gut aus. Flugs mit dem Zweit-PC ins Internet und Diagnosesoftware gesucht. Der Hitachi Drive Fitness Test kommt in solchen Fällen wie gerufen und diagnostiziert: „Device is password protected and can not be tested.“ Die Platte ist also mit einem Passwort geschützt. Aber wer hat es gesetzt? Und noch viel wichtiger: Wie lautet es und wie bekommt man es wieder weg?
In der letzten c't haben wir in mehreren Artikeln gezeigt, wie man vertrauliche Daten durch Verschlüsselung vor fremden Blicken schützt [1]. Dort hätte eigentlich auch ein weiterer Artikel erscheinen sollen, der beschreibt, dass man stattdessen einfach die Festplatte mit einem Passwort sperren kann. Das ist mit wenigen Handgriffen erledigt, kostet überhaupt keine Performance und gilt als sehr sicher. Notebooks bieten diese Funktion schon seit langem, einige Desktop-PCs auch und bei den anderen lässt sie sich leicht mit Hausmitteln nachrüsten.
Doch im Zuge der Recherche kam uns das eingangs geschilderte Horror-Szenario in den Sinn: Was, wenn jemand unberechtigterweise eine Festplatte mit einem Passwort sperrt? Oder gar ein Virus dies tut? Dann ist es mit Hausmitteln nicht mehr möglich, an die Daten heranzukommen. Man kann seine Festplatte also wegwerfen - oder in die Hände eines spezialisierten Datenretters geben. Der kann dann zwar wahrscheinlich den Passwortschutz entfernen (siehe Kasten), kassiert dafür aber je nach Aufwand einige hundert Euro oder mehr, sodass die Festplatte wirtschaftlich ein Totalschaden ist.
Wenn das in einem kleinen Unternehmen passiert, wo man es mit der Datensicherung nicht so genau nimmt und vielleicht nur einmal die Woche ein Backup macht, ist der Datenverlust groß oder zumindest die Ausfallzeit ein Riesenproblem, bis der Datenretter die Platte wieder entsperrt hat. Und der Rechnerverwalter eines Großunternehmens würde mächtig ins Schwitzen kommen, wenn es einem Wurm gelänge, hunderte von Festplatten gleichzeitig „abzuschießen“. Es handelt sich also um eine ausgewachsene Sicherheitslücke, die unabhängig vom Betriebssystem alle Rechner mit ATA-Festplatten betrifft.
Bisher ist zum Glück kein Schädling bekannt, der Festplattenpasswörter setzt. Es gibt aber Indizien dafür, dass es ihn schon geben könnte. So erreichte uns Anfang März der Hilferuf eines Lesers, dessen Festplatte plötzlich mit einem ihm unbekannten Passwort verriegelt war. Höchste Zeit also, sich mit dem Mechanismus zu beschäftigen, denn seit einigen Jahren ist er in so gut wie allen ATA-Platten (IDE und Serial ATA) implementiert. In vielen Rechnern liegt er brach, sodass man ihn mit eigener Software nutzen - oder eben missbrauchen - kann.
Schließzylinder
Das so genannte Security Feature Set ist Bestandteil der ATA-Spezifikation [2]. Es sieht zwei 32 Byte lange Kennwörter vor, das „User Password“ und das „Master Password“. Letzteres ist als Zweitschlüssel gedacht, damit der Rechnerverwalter in einer Firma die Platte noch retten kann, wenn der Anwender sein Kennwort vergessen hat. Beide Passwörter lassen sich unabhängig voneinander auf beliebige Bytefolgen setzen.
Der Schutz wird aktiviert, indem man mit dem ATA-Kommando Security Set Password ein User-Passwort setzt (das Setzen des Master-Passworts aktiviert ihn nicht). Die Platte bleibt daraufhin zunächst normal benutzbar. Beim nächsten Einschalten oder nach einem Hardware-Reset ist sie jedoch gesperrt. In diesem Zustand erlaubt sie keinen Zugriff auf die Daten und akzeptiert nur einige wenige Kommandos, beispielsweise Identify Device, mit dem man sie nach Typenbezeichnung, Seriennummer und so weiter fragt.
Das Kommando Security Unlock, zusammen mit dem korrekten Passwort, entsperrt die Platte vorübergehend und man kann dann normal damit arbeiten. Die Sicherheitsfunktion bleibt jedoch aktiviert: Nach dem nächsten Kaltstart ist die Platte automatisch wieder verriegelt. Erst das Kommando Security Disable, zusammen mit dem korrekten Passwort, schaltet die Sperre dauerhaft ab. Die Platte akzeptiert es nur im entsperrten Zustand.
Der Anwender kann beim Setzen des User-Passworts zwischen den beiden Sicherheitsstufen „High“ und „Maximum“ wählen. In der Einstellung „High“ akzeptiert die Platte zum Entsperren und zum Abschalten des Passwortschutzes wahlweise User- oder Master-Passwort. Bei „Maximum“ kommt man nur noch mit dem User-Passwort an die Daten heran. Wenn es verloren geht, kann der Administrator mit dem Master-Passwort die Platte nur noch unter Verlust aller Daten entsperren. Dazu dient das Kommando Security Erase: Es überschreibt alle Sektoren mit Nullen und gibt erst dann die Platte frei.
Vorsorge
Gegen den Missbrauch des Security Feature Set haben die Entwickler das Kommando Security Freeze Lock vorgesehen. Es friert die Sicherheitseinstellungen bis zum nächsten Kaltstart ein, die Platte akzeptiert also insbesondere keine Passwortänderungen mehr. Das Ganze ist dafür gedacht, im BIOS eines Notebooks implementiert zu werden: Hier kann man im Setup ein Festplattenpasswort vergeben, welches das BIOS dann bei jedem Einschalten abfragt. Nachdem es die Platte entsperrt hat, friert es vor dem Start des Betriebssystems die Sicherheitseinstellungen ein, damit der Passwortschutz sicher unter seiner Kontrolle bleibt.
Ob daran aber auch die BIOS-Programmierer der Desktop-PC-Hersteller gedacht haben? Ein Kontrollgang durch den Rechnerzoo der c't-Redaktion offenbarte Schockierendes: Bei zwei Dritteln aller PCs waren die Sicherheitsfunktionen nicht eingefroren, darunter nicht nur selbst zusammengeschraubte Rechner, sondern auch aktuelle Markengeräte von Dell, HP und Apple. Ausgerechnet das am weitesten verbreitete Award BIOS weiß noch nichts von ATA Security. Geschützt waren dagegen die Rechner von Fujitsu-Siemens (Phoenix BIOS 4.06), ein Compaq-PC sowie einige mit AMI BIOS. Unter 16 untersuchten aktuellen Notebooks fanden sich vier mit nicht eingefrorener Festplattensicherheit: Acer TravelMate 4050LMi, Asus V6V, Benq Joybook 5100e und Gericom Overdose 1440e. Das Asus-Modell verriegelt die Sicherheitsfunktionen immerhin, wenn man ein Festplattenpasswort setzt.
Dass die Fehlerquote bei den Notebooks geringer ausfällt, ist nicht wirklich überraschend, wurden die Sicherheitsfunktionen doch speziell für Notebooks erfunden. Bei 2,5"-Platten gehören sie daher seit zehn Jahren zum Standard - mehr als genug Zeit für die Notebookhersteller, sie in ihren BIOSsen ordentlich zu unterstützen.

In den rot hinterlegten Zuständen ist die Festplatte anfällig für Passwortsetz-Attacken. Sicherheit bietet nur das Einfrieren der Funktion.
IBM implementiert den Passwortschutz seit 1998 auch in 3,5"-Platten. Als Microsoft den Festplatteninhalt ihrer Spielkonsole Xbox geheim halten wollte, baute Seagate eine 3,5"-Platte mit ATA Security, Western Digital folgte auf dem Fuße, und eh man sichs versah, war das Feature in allen ATA-Festplatten präsent. Die PC-Hersteller haben es jedoch nicht bemerkt beziehungsweise das Gefahrenpotenzial bis heute - Jahre später - nicht erkannt, von einzelnen Ausnahmen abgesehen.

Gefahrenpotenzial
Wie schwierig ist es nun in der Praxis, eine Festplatte mit einem Passwort zu sperren, wenn das BIOS das nicht verhindert? Für einen Menschen, der physischen Zugang zum PC hat, kinderleicht: Er bootet einfach ein DOS von Diskette oder CD und benutzt beispielsweise das im Internet frei zugängliche Programm Atapwd (Download über Soft-Link). Ein potenzieller Virus, der unter einem aktuellen Betriebssystem wie Windows XP, Linux oder Mac OS X läuft, hat es da schon schwerer. Er muss erst einmal unerkannt am (hoffentlich aktiven) Virenscanner vorbeikommen und braucht sodann Administratorrechte, um direkt mit der Festplatte sprechen zu dürfen. Das ist oft kein großes Hindernis, denn noch immer arbeiten viele Windows-Anwender als Administrator, und unter Mac OS X hat man sich so daran gewöhnt, dass man zur Installation einer x-beliebigen Shareware sein Administratorkennwort eingeben muss, dass man da leicht in eine Falle tappen kann.
Unter Windows gibt es für Programme verschiedene mehr oder weniger gut dokumentierte Mechanismen, um direkt ATA-Kommandos abzusetzen. Das in [3] beschriebene Verfahren für Windows 2000 funktioniert (zum Glück) nur mit Kommandos, die Daten von der Platte lesen beziehungsweise keine Daten übertragen, aber nicht mit solchen, die wie Security Set Password etwas zur Platte schicken. Auch mit der neuen Methode, die Microsoft in Windows Server 2003 und XP mit SP2 implementiert hat (IOCTL_ATA_PASS_THROUGH), haben wir es bisher nicht geschafft, das Kommando erfolgreich abzusetzen. Es ist also mehr als eine einfache Fingerübung für Programmierer, ein Festplattenpasswort zu setzen. Wie man an den immer neuen Würmern und Root-Kits sehen kann, ist das nötige Know-how in der Szene der Bösewichte aber vorhanden. Mit Administratorrechten ist es jedenfalls möglich, denn dann darf man im laufenden Betrieb einen Treiber laden und der wiederum darf dann alles. Und ein Schädling muss ja nicht schön programmiert sein ...

Gegenmittel
Wir haben darauf verzichtet, einen solchen Treiber zu schreiben. Stattdessen haben wir unser für die Einstellung des Akustik-Managements vorgesehenes Programm WinAAM etwas aufgebohrt. Es zeigt jetzt die Sicherheitseinstellungen aller ATA-Festplatten an und schickt ihnen auf Wunsch das Kommando Security Freeze Lock. Das ist natürlich eher als Technologiedemo denn als Sicherheitstool zu verstehen, denn es wirkt nur bis zum nächsten Kaltstart. Wir haben die Freeze-Funktion daher auch als Dienst implementiert, der die Platten bei jedem Systemstart und schon vor der Benutzeranmeldung sichert.
Unter Linux bietet hdparm die nötige Infrastruktur. Mit root-Rechten ausgeführt, zeigt die aktuelle Version mit der Option -I unter anderem die Sicherheitseinstellungen von (momentan nur Parallel-) ATA-Platten an. Wenn es „not frozen“ ausgibt, ist Ihre Platte in Gefahr. Wir haben hdparm um die Option -F erweitert, um das Freeze-Kommando etwa aus einem Init-Skript heraus an Festplatten abschicken zu können. Über den Soft-Link erhalten Sie die Patches sowie eine lauffähige Version; wir haben uns auch mit dem Entwickler in Verbindung gesetzt und gehen davon aus, dass er die Option in eine zukünftige Version integrieren wird. Im Prinzip lässt sich hdparm auch so umstricken, dass es Festplattenpasswörter setzt.
Mac OS X verhält sich ähnlich wie Windows: Mit root-Rechten darf man Kernel-Erweiterungen laden, die dann ATA-Kommandos absetzen können. Wir haben eine solche Erweiterung programmiert, die allen erreichbaren ATA-Platten das Freeze-Kommando schickt (siehe Kasten).
Ganz gleich, ob unter Windows, Linux oder Mac OS: Bei laufendem Betriebssystem die Platte zu schützen, ist zwar besser als nichts, kann aber zu spät sein, denn ein Schädling könnte sich ja unbemerkt irgendwo einnisten, wo er beim nächsten Systemstart ausgeführt wird, beispielsweise im Master Boot Record, im Bootsektor oder noch weiter hinten im Loader des Betriebssystems. Um auch dagegen gefeit zu sein, hilft es nur, von einem schreibgeschützten Medium wie einer CD-ROM ein Programm zu booten, das die Platte sichert und erst dann das Betriebssystem startet. Zu diesem Zwecke ist die CD zu diesem Heft auf x86-PCs bootfähig (siehe Kasten).

Flucht nach vorn
Die Wirkung des Freeze-Kommandos hält nur an, bis die Platte abgeschaltet wird oder ein Reset-Signal erhält. Viele Boards erzeugen diesen Reset auch bei einem Warmstart, sodass man im Prinzip immer von CD booten muss. Auch der Standby-Modus S3 (Suspend-to-RAM) ist tabu, denn nach dem Aufwachen ist die Festplatte im Grundzustand.
Um sich selbst zur Nutzung der CD zu zwingen, können Sie die Flucht nach vorne antreten, indem Sie mit dem oben erwähnten DOS-Programm Atapwd selbst ein Passwort setzen. Dann lässt die Festplatte sich nur noch ansprechen, wenn sie mit Atapwd oder einem anderen geeigneten Tool entsperrt wurde. Unsere Heft-CD erledigt das und schickt gleich das Freeze-Kommando hinterher; wenn sie mal nicht im Laufwerk liegt, können Sie Ihren Rechner nicht versehentlich schutzlos starten. Der S3-Standby-Modus ist dann allerdings erst recht tabu, denn nach dem Aufwachen wäre die Platte gesperrt und Windows würde abstürzen.
Es versteht sich von selbst, dass Sie vor dem Setzen eines Passworts ausprobieren müssen, ob Ihr Rechner einwandfrei von der CD durchstartet (das kann bei manchen BIOSsen oder ungewöhnlichen Boot-Konfigurationen unter Umständen fehlschlagen). Beachten Sie auch, dass beim späteren Eingeben des Passworts auf BIOS-Ebene die amerikanische Tastaturbelegung gilt. Am besten starten Sie daher zum Setzen des Passworts Atapwd von einer DOS-Diskette ohne deutschen Tastaturtreiber, um keine Überraschungen mit Y, Z und Sonderzeichen zu erleben. Achtung: Wenn Sie User- und Master-Passwort vergessen, gibt es mit Hausmitteln keine Möglichkeit, die Platte zu entsperren! Dann können nur noch teure Datenrettungsdienste helfen. Für die korrekte Funktion von Atapwd können wir keine Gewähr übernehmen, sondern lediglich attestieren, dass es in unseren Tests bisher klaglos seinen Dienst verrichtet hat.
Natürlich ist es lästig, das CD-Laufwerk dauerhaft mit einer Boot-CD zu blockieren und bei jedem Systemstart ein Passwort einzugeben. Auf die Dauer ist ein BIOS-Update daher die einzig saubere Lösung, wenn Ihr Rechner von der Sicherheitslücke betroffen ist. Angesichts dessen haben wir diesen Artikel nicht wie ursprünglich geplant in Ausgabe 7 veröffentlicht, um die großen Rechnerhersteller vorzuwarnen und ihnen Gelegenheit zu geben, ihre BIOS-Programmierer auf das Problem anzusetzen. Eine offizielle Stellungnahme haben wir trotzdem bis zum Redaktionsschluss nur von wenigen erhalten.

Stellungnahmen
Nach bisherigem Kenntnisstand sind alle Desktop-PCs der Firma Dell betroffen, die Notebooks nicht. Dell nimmt unseren Hinweis „außerordentlich ernst und untersucht das geschilderte Problem derzeit sehr genau“, so Sprecher Christoph Kaub. Man arbeite an einem verbesserten BIOS für neue PCs und wolle für ältere Zug um Zug Updates anbieten.
Hewlett-Packard gibt an, dass alle HP-BIOS-Versionen die Security-Funktionen der Festplatte verriegeln. Wir haben allerdings bei einem Media-Center-PC aus der M200-Serie (M260N) festgestellt, dass der Schutz nur die primäre Master-Platte abdeckt. Eine zweite Platte am sekundären IDE-Kanal war nicht geschützt. Ein rund zwei Jahre altes Pavilion-System verriegelte nicht einmal die erste Festplatte.
Die Firma Medion, die unter anderem die Aldi-PCs herstellt, sah sich nicht in der Lage, unsere Anfrage zu beantworten, man habe dafür nicht die personellen Mittel. Auch nachdem wir darauf hinwiesen, dass unter anderem der Aldi-PC vom November (Titanium MD8383XL) betroffen ist, änderte sich daran nichts. Mit BIOS-Updates darf man angesichts dieser Haltung wohl nicht so schnell rechnen.
Apple sieht ebenfalls keinen Handlungsbedarf - schließlich müsse man ja für das Laden einer Kernel Extension das Administratorkennwort eingeben. Wir haben uns mit Apple darauf geeinigt, eine Demonstration der Schadfunktion zu programmieren und Apple zur Verfügung zu stellen. Vielleicht ändert in den USA ja jemand seine Meinung, wenn er nur noch nach korrekter Eingabe von „c't Magazin für Computertechnik“ (mit Umlaut!) an seine Festplatte herankommt.

Fazit
Eigentlich war es eine viel versprechende Idee, Festplatten mit einem Passwortschutz auszustatten. Gerade für Notebooks ist das praktisch, damit bei einem Diebstahl wenigstens keine vertraulichen Daten in falsche Hände gelangen. Leider ist der Schutz nicht gut genug - Spezialisten können ihn aushebeln. Wenn Geheimnisse also mehr als ein paar hundert Euro wert sind, sollte man sie tunlichst nicht nur mit einem Festplattenpasswort schützen, sondern verschlüsseln [1].
Desktop-Festplatten mit dem Schutzmechanismus auszustatten, bevor alle BIOSse korrekt damit umgehen, war überhaupt keine gute Idee, denn damit ist dem Missbrauch Tür und Tor geöffnet. Dass noch kein größerer Schaden entstanden ist, liegt vermutlich nur daran, dass die einschlägig spezialisierten Kriminellen heutzutage Rechner lieber ausspionieren und ferngesteuert übers Internet für ihre eigenen Zwecke benutzen, statt sie kaputtzumachen.
Beim aktuellen Stand der Dinge ist das ATA Security Feature Set also kein Sicherheitsgewinn, sondern eine weit offen stehende Sicherheitslücke, die schnellstens durch BIOS-Updates geschlossen werden muss. (&quot;[email protected]&quot;)

Literatur
[1] Benjamin Benz, Datentresor, Verschlüsselte Festplatten schützen vor Datenklau
[2] Aktuelle Entwürfe der ATA-Spezifikation
[3] Matthias Withopf, Plattendressur, Festplatten unter Windows direkt ansprechen, c't 7/02, S. 218
Soft-Link
[HR][/HR] Wie sicher sind Festplattenpasswörter?
Bei dem in diesem Artikel beschriebenen ATA Security Feature Set handelt es sich um eine in der Festplattenfirmware realisierte Passwortsperre. Sie kostet im Betrieb keine Performance, bietet aber weniger Sicherheit als eine starke Verschlüsselung. Wenn es irgendwie gelingt, die Firmware auszutricksen, liegen alle Daten offen.
Die Festplattenhersteller versichern, dass sie keine Hintertüren in Form geheimer Generalschlüssel eingebaut haben und selbst nicht in der Lage sind, passwortgeschützte Platten zu entsperren. Auch ein Tausch der Laufwerkselektronik mit der einer ungeschützten Platte hebelt den Schutz nicht aus, denn große Teile der Firmware und das Passwort werden auf der Platte selbst gespeichert und nicht etwa in einem Flash-Speicher auf der Platine.
Findige Köpfe bei den Datenrettungsunternehmen haben dennoch Wege gefunden, das Passwort zu umgehen. Die Firma Ibas war so freundlich, uns eine Probe ihres Könnens zu geben. Wir haben eine WD1000JB mit einem 32 Byte langen Passwort gesperrt und eingesandt und postwendend die „geheime“ Datei zurückerhalten, die auf der Platte gespeichert war. „Da war ein bisschen Glück dabei“, so Ibas-Geschäftsführer Karl Flammersfeld. „Wenn wir das Festplattenmodell bereits kennen, geht das recht schnell. Bei unbekannten Modellen kann es schon mal eine Weile dauern, aber meistens bekommen wir es hin.“ Wie der Trick funktioniert, möchte er nicht verraten - Geschäftsgeheimnis. Es ist jedenfalls nicht nötig, die Festplatte dazu zu öffnen.
So lautet das ernüchternde Fazit zum Thema ATA Security: Für wirklich sensible Daten ist der Mechanismus zu unsicher, weil ihn die Datenretter umgehen können. Man kann damit aber großen Schaden anrichten, weil nur die Datenretter ihn umgehen können.
[HR][/HR] Schutzimpfung für Mac OS X
Unter Mac OS X schützt unsere Kernel-Erweiterung ATASecurity.kext die Festplatte vor bösartigen Passwortsetzern (Download über Soft-Link). Das funktioniert sowohl bei Festplatten mit parallelem ATA-Interface, etwa in Macs mit G3- und G4-CPU, als auch den Serial-ATA-Platten in den Power Macs G5. Die Installation übernimmt ein in AppleScript geschriebenes Programm, dessen Paket die Erweiterung enthält.
Für die Installation müssen Sie als Administrator angemeldet sein. Der Installer führt erst einen Funktionstest durch, ehe er die Kernel-Erweiterung in das Verzeichnis /System/Library/Extensions kopiert. Ein Neustart ist nicht nötig, ATASecurity verrichtet sofort seine Arbeit.
Wer die Installation lieber manuell im Terminal erledigen möchte, erreicht die Erweiterung im Finder über die Funktion „Paketinhalt zeigen“ aus dem Kontextmenü der Installer-Datei (Ctrl-Klick). Dort liegt sie im Verzeichnis „Resources“.
ATASecurity lässt sich im aktivierten Zustand nicht entladen. Wir haben bewusst auf diese Fähigkeit verzichtet, um einem Angreifer keine Möglichkeit zu geben, den Schutz auszuhebeln. Möchten Sie die Erweiterung aus irgendeinem Grund löschen, müssen Sie den Mac zunächst mit gedrückter Shift-Taste starten. Dann lädt das System die Erweiterung nicht und das Installationsprogramm kann sie anschließend rückstandslos entfernen.
Einen perfekten Schutz kann die Kernel-Erweiterung ATASecurity leider nicht bieten. Ist sie erst einmal aktiv, kann ein Angreifer zwar kein Festplattenpasswort mehr setzen, es gibt aber keine Gewähr, dass eine böse Software nicht bereits vor dem Aktivieren von ATASecurity Schaden angerichtet hat. Es scheint unter Mac OS X für Entwickler nämlich keinen Weg zu geben, die Startreihenfolge von Kernel-Erweiterungen festzulegen.
[HR][/HR] PC-Schutzimpfung mit der Heft-CD
Mit der CD aus diesem Heft können Sie leicht feststellen, ob Ihr PC anfällig für Passwortsetz-Attacken ist. Wenn Sie davon booten, startet das Programm ATASecurity. Es überprüft alle am System angeschlossenen ATA-Festplatten daraufhin, ob sie über Sicherheitsfunktionen verfügen und ob diese ordnungsgemäß „eingefroren“ sind. Wenn alles in Ordnung ist, startet die Software nach einer kurzen Verzögerung direkt das Betriebssystem von der Festplatte, und Sie brauchen sich auch zukünftig keine Sorgen um Festplattenpasswörter zu machen.
Findet ATASecurity eine gefährdete Festplatte, so schickt es ihr nach Rückfrage das ATA-Kommando Security Freeze Lock, das den Schutzmechanismus einfriert und so das missbräuchliche Setzen des Passworts verhindert. Achtung: Der Schutz wirkt nur bis zum nächsten Kaltstart. Dauerhafte Sicherheit kann nur ein BIOS-Update bieten, wenn der Hersteller des PC oder des Mainboards das Problem erkannt und behoben hat. Bis dahin ist es am sichersten, den Rechner nur noch über die Heft-CD zu booten.
Wir haben ATASecurity für die gängigsten (Serial-)ATA-Hostadapter entwickelt und getestet. Es sollte alle am System angeschlossenen Festplatten auflisten. Falls es Ihre Hardware nicht vollständig erkennt, schauen Sie bitte zunächst über den Soft-Link nach einer aktualisierten Version. Wir entwickeln ATASecurity weiter und werden voraussichtlich bereits mit Erscheinen dieses Hefts weitere Hostadapter unterstützen. Wenn Ihre Hardware auch von der neuen Version nicht erkannt wird, wären wir für einen kurzen Hinweis per E-Mail an [email protected] dankbar.

Alles anzeigen

Wie ATA-Sicherheitsfunktionen Ihre Daten gefährden | c't

Cu
Verbogener

Gast

Zitat

Einleitung:
Der Inhalt kann nicht angezeigt werden, da er nicht mehr verfügbar ist.

Die meisten modernen ATA- aber auch SATA Festplatten (IDE=ATA) unterstuetzen das "ATA Security Mode Feature Set".
Es beinhaltet spezielle Funktionen, um:
mit einem Passwort die Festplatte vor unbefugtem Zugriff zu schuetzen und
das unbefugte Setzen eines neuen Passwortes (eventuell durch Viren) zu verhindern.

Entwickelt wurden diese "ATA Security Mode Feature Set"-Funktionen eigentlich fuer Laptops / Notebooks. Seit Microsoft diese Funktionen auch fuer die XBOX verwendet hat, werden diese heutzutage auch von fast allen 3.5" Festplatten unterstuetzt.
Die in den meisten PCs verwendeten BIOS Versionen bieten keine oder nur beschraenkte Unterstuetzung
der "ATA Security Mode Feature Set"-Funktionen.
Hierdurch entsteht eine Sicherheitsluecke, die Schadprogramme nutzen koennen.
Es koennten zum Beispiel boeswillige Personen gefaehrliche Viren erschaffen, die waehrend des Rechnerbetriebs unbemerkt und im Hintergrund ein Festplattenpasswort setzen und somit beim naechsten Neustart den Festplattenzugriff und das Booten eines Betriebssystems verweigern bzw. den Benutzer "aussperren".
Der Heise Verlag hat die Thematik der Festplattensicherheit in der c't 8/2005 - Artikel Baerendienst beschrieben. Es wird empfohlen, die Anfaelligkeit der Rechner zu pruefen und wenn noetig das BIOS zu aktualisieren.

Da viele Mainboardhersteller ihre BIOS Versionen nur fuer kurze Zeit erneuern, habe ich eine BIOS-Erweiterung geschrieben, die
beim Systemstart aufgerufen wird
die Festplattenpasswortfunktionen unterstuetzt und
das ungewollte Setzten eines Festplattenpasswortes durch Schadprogramme verhindert.

Somit entstand das ATASX (ATA Security eXtension) BIOS.
Diese BIOS-Erweiterung kann mit zwei verschiedenen Methoden in ein PC/Notebook eingebunden und somit genutzt werden.

Alles anzeigen

http://www.fitzenreiter.de/ata/ata.htm

ATA Security eXtension BIOS

UNGETESTET - Anwendung auf eigenes Risiko. Bios Operationen sind immer Operationen am offenen Herzen. Also aufpassen!!

Cu
Verbogener

Neuer Verschlüsselungs- Trojaner geht um

Jetzt mitmachen!

Samsung TV Plus/Rakuten TV

Pluto TV

Elektronische Patientenakte: Sicherheitsbedenken durch den CCC

Festnahmen von Online-Drogenhändlern in Deutschland

KJM kritisiert öffentliche Sperrlisten

Plex Live TV / LG Channels / Wedo TV

Deutsche Bank Sicherheitsvorfall: Romantische Eskapaden im Rechenzentrum

Social-Media-Verbot für Kinder: Ein Blick auf Deutschlands Herausforderungen

Die Pornhub-Sperre in Deutschland: Ein kurzes Fazit

IPTV-Piraterie 2025: Ein Blick auf das illegale Streaming

Viren und Trojaner News

HILFE: BKA Trojaner

Welche Anti Viren Software ist zu empfehlen?

Neuer Lösegeld Trojaner im Umlauf

Warnung vor kritischer Java-Lücke - es sollte sofort deaktiviert werden!

BSI rät zur System-Überprüfung vor dem 8. März

Virenscanner empfehlungen zur Virenbeseitigung

WORM/Kido.IH.54' gefunden brauche Hilfe

Abzock-Schutz im ULC

Warnung eingehende Mails (Verschlüsselungstrojaner)