Laptop-Diebe können Festplatten knacken

Eine verschlüsselte Festplatte galt bisher als sehr gute Sicherung der Daten. IT-Forscher konnten nun diesen Schutz aushebeln.

Seinen Laptop sollte man nie unbeaufsichtigt herumliegen lassen. Nach den neuesten Erkenntnissen der IT-Sicherheitsforschung noch weniger.

Seinen Laptop sollte man nie unbeaufsichtigt herumliegen lassen. Nach den neuesten Erkenntnissen der IT-Sicherheitsforschung noch weniger. Bild: Tim Gouw (Pexels)

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Fünf Minuten dauert es, bis Olle Segerdahl einen der wichtigsten Schutzmechanismen in fast allen modernen Macs und Windows-PCs ausgehebelt hat. Der IT-Sicherheitsforscher der Firma F-Secure hat einen Weg gefunden, Daten aus der Festplatte auszulesen, auch wenn diese verschlüsselt ist.

Alle modernen Betriebssysteme bieten Nutzern die Möglichkeit, die Festplatte zu verschlüsseln. Wird der Rechner heruntergefahren oder in den Ruhezustand versetzt, bleiben die Daten geschützt, auch wenn jemand die Festplatte aus- und in einen anderen Rechner einbaut.

Gelangen die digitalen Schlüssel, die die Daten auf der Festplatte schützen, in die Hände von Hackern, haben diese Zugriff. Das heisst: Gehen Rechner verloren oder werden geklaut, könnten Unbefugte mit diesem Trick am Rechner mitunter alle Informationen auslesen, die sich im Arbeitsspeicher befinden. Das können auch Passwörter sein, mit denen sich der ganze Rechner entsperren lässt.


Machen Sie mit bei «Die Schweiz spricht»: Die Aktion bringt Menschen ins Gespräch, die nahe beieinander wohnen, aber politisch unterschiedlich denken.


Und auch staatliche Ermittler dürfte diese Nachricht freuen. Sie beschweren sich seit Jahren darüber, dass moderne Rechner immer besser gesichert sind.

Den Angriff haben Segerdahl und sein Kollege Pasi Saarinen auf einer Fachkonferenz in Schweden vorgestellt. Der «Süddeutschen Zeitung» schickte er den Vortrag vorab und schilderte das Vorgehen am Telefon. Zuerst hatte Techcrunch.com über die Angriffstechnik berichtet.

Nicht aus der Ferne hackbar

Um mit ihrem Trick Zugriff auf die Festplatte zu bekommen, müssen Hacker allerdings den Rechner in ihre Händen bekommen. Es bleibt unmöglich, eine verschlüsselte Festplatte aus der Ferne auszulesen. Wird ein Rechner heruntergefahren, befinden sich die Schlüssel für einen kurzen Zeitraum im Arbeitsspeicher, bevor sie endgültig gelöscht werden. Diese Zeit kann in die Länge gedehnt werden, wenn der Hacker den Arbeitsspeicher kühlt.

Bereits 2008 zeigten Forscher, wie die Gesetze der Physik genutzt werden können, um Daten auf diesem Weg auszulesen. Um gegen solche Szenarien geschützt zu sein, wird der Arbeitsspeicher beim erneuten Hochfahren überschrieben. Auch weitere Schutzmechanismen wurden seitdem eingeführt.

Das hat Segerdahl nicht aufhalten können. Auch der neue Angriff basiert auf Kühlung, um die Daten länger im Arbeitsspeicher zu halten. Segerdahl sprühte dafür Eisspray direkt auf das Innenleben des Laptops. Noch bevor der Rechner das Betriebssystem in Gang setzt, startet eine Mini-Software namens UEFI. Sie regelt unter anderem, welche Prozesse wann gestartet werden sollen. Die Hacker können UEFI manipulieren und die Reihenfolge der Prozesse ändern.

Wird ein Rechner in den Ruhezustand versetzt, bleiben die Schlüssel im Arbeitsspeicher.

Noch bevor der Speicher überschrieben wird, können sie so ein eigenes Programm zum Laufen bringen, zum Beispiel von einem USB-Stick aus. Dieses Programm liest die Schlüssel für die Festplatte und andere Informationen aus, die sich im Arbeitsspeicher befinden, zum Beispiel Passwörter. Im folgenden Kurzvideo zeigen die Forscher, wie so ein Angriff ablaufen kann.

Segerdahl weist darauf hin, dass es einen Unterschied gebe zwischen einem Computer im Ruhezustand und einem, der ausgeschaltet ist. Wird ein Rechner in den Ruhezustand versetzt, befinden sich die Schlüssel weiterhin im Arbeitsspeicher – und können abgegriffen werden. Wird der Rechner dagegen ausgeschaltet, werden sie gelöscht.

Apple teilte auf Anfrage von Techcrunch mit, dass jene Rechner geschützt seien, die auf dem T2-Chip basieren. Sie sind im iMac Pro verbaut und in Macbook-Pro-Modellen ab 2018. Microsoft veröffentlichte Anfang September einen Blogbeitrag mit Tipps, die auch gegen Angriffe wie den von F-Secure vorgestellten schützen sollen.

Auch Linux teilweise betroffen

Die Forscher haben nicht alle Rechner aller Herstellern geprüft. Es gebe aber keinen Grund, warum der Angriff nicht auf allen Maschinen funktionieren sollte, sagt Segerdahl. Generell gelten die Angriffe, wie sie die Forscher nun präsentieren, als effektiver Weg, um besonders wertvolle Rechner auszulesen. Firmenchefs wären zum Beispiel ein solches Ziel.

Segerdahl gibt einen Tipp, mit dem sich Nutzer schützen können: Sie sollten ein Firmware-Passwort festlegen. Wird der Rechner dann mit einer anderen Festplatte oder über einen USB-Stick gestartet, wird ein Passwort angefordert. Linux-Systeme sind eben aus diesem Grund in deutlich geringerem Umfang betroffen. Da der Boot-Prozess, also das Hochfahren des Rechners, passwortgeschützt ist, haben Hacker nur einen Angriffsversuch.

Die Forscher werden keine detaillierte Analyse veröffentlichen, die es erlauben würde, den Angriff Schritt für Schritt nachzuahmen. Olle Segerdahl glaubt, dass auch kompetente Hacker ein paar Wochen Arbeit investieren müssen, um eine Festplatte auszulesen. Machbar sei es aber in jedem Fall: «Wir gehen davon aus, dass andere fähige Personen, die ein Interesse daran haben, die Festplattenverschlüsselung zu umgehen, diesen Angriff bereits kennen.» (Redaktion Tamedia)

Erstellt: 14.09.2018, 18:52 Uhr

Artikel zum Thema

Der Macbook-Konkurrent von Huawei im Test

Das Matebook X Pro ist ein fast perfekter High-End-Laptop. Die eingebaute Webcam ist allerdings ungünstig platziert. Mehr...

Apples letzter grosser Laptop-Coup war vor zehn Jahren

Digital kompakt Das Macbook Air feiert Geburtstag – und zeigt auf, dass Apple in dieser Kategorie seither keine Pflöcke eingeschlagen hat. Plus: KI mit besserem Leseverständnis als der Mensch. Mehr...

Cloud ja – aber mit Netz und doppeltem Boden

Video Wie sicher Daten in der Cloud waren, weiss man erst, wenn man sie verloren hat. Darum unsere Empfehlung: Ziehen Sie sich von wichtigen Dingen eine Kopie auf die eigene Festplatte. Mehr...

Weiterbildung

Gamen in der Schule

Die Schule bereitet Kinder auf die Arbeitswelt vor. Das Rüstzeug soll auch spielerisch vermittelt werden.

Blogs

Sweet Home 10 Wohnideen, die glücklich machen

Tingler Verschwunden

Weiterbildung

Lohncheck in Pflegeberufen

Qualifiziertes Pflegepersonal ist rar. Eine Pflegeinitiative setzt sich darum für höhere Löhne ein.

Die Welt in Bildern

Und die Haare fliegen hoch: Besucher des Münchner Oktoberfests vergnügen sich auf einem der Fahrgeschäfte. (22. September 2018)
(Bild: Michael Dalder ) Mehr...