29C3: Erfolgreicher Angriff auf verschlüsselnde Festplatten

Auch bei automatisch verschlüsselnden Festplatten (Self-Encrypting Drives, SED) können Angreifer die Daten mit wenigen Handgriffen auslesen: Der Informatiker Tilo Müller demonstrierte am Freitag auf dem 29. Hacker-Kongress des Chaos Computer Clubs (29C3) in Hamburg, wie sich die Hardware-Verschlüsselung von Desktop-Computern oder Laptops angreifen lässt. Die PC-Hersteller werben damit, dass die integrierte Festplattenverschlüsselung insbesondere nach Verlust oder Diebstahl eines Laptops private Daten oder interne Informationen von Unternehmen vor fremdem Zugriff bewahrt.

In verschiedenen Szenarien zeigte der an der Universität Erlangen forschende Müller, wie sich eine verschlüsselte Festplatte im Standby-Betrieb mit dem Computer eines Angreifers verbinden und auslesen lässt. Diese Form des Angriffs nennt der Forscher "Warm-Replug Angriffe" - die SATA-Verbindung der Festplatte wird im laufenden Betrieb umgesteckt, ohne dass die Stromversorgung unterbrochen wird. Da dabei die Festplatte dann auch nicht gesperrt wird, kann die Verschlüsselung umgangen werden. Nur drei von zwölf getesteten Rechnern hätten erkannt, dass die Festplatte im Standby-Betrieb abgesteckt worden sei, sagte Müller. Diese Art von Angriffen erfordert es jedoch, dass der Angreifer Zugang zu einem laufenden oder zumindest im Standby befindlichen System erlangt.

Neben dem Warm-Replug Angriffen testeten der Informatiker und zwei weitere Forscher die Festplattensicherheit mit bekannten Angriffen gegen Festplattenverschlüsselung wie Cold-Boot Attacken, DMA/FireWire- und Evil-Maid-Angriffen, die "in vielen praktischen Szenarien auch gegen SEDs erfolgreich sind". Demnach schätzen die Forscher die Sicherheit verschlüsselnder Festplatten als vergleichbar mit der von Software-basierenden Systemen wie Truecrypt und Bitlocker ein. Nur wenige SED boten mehr Schutz, einige seien sogar leichter zu attackieren. (kbe)