Bootkit hebelt Festplattenverschlüsselung aus

Der österreichische IT-Sicherheitsspezialist Peter Kleissner hat auf der Sicherheitskonferenz Black Hat ein Bootkit namens Stoned demonstriert, das in der Lage ist TrueCrypts vollständige Partitions- und Systemverschlüsselung auszuhebeln. Bootkits sind eine Kombination aus einem Rootkit und der Fähigkeit des Schädlings, den Master Boot Record des PC zu modifizieren und so bereits vor dem Start des Betriebssystems aktiv zu werden.

Kleissners im Sourcecode verfügbares Bootkit kann alle gängigen 32Bit-Windows-Varianten von Windows 2000 bis hin zu Windows Vista und dem Release Candidate von Windows 7 infizieren. Stoned schreibt sich in den Master Boot Record (MBR), der auch bei einer vollständig kodierten Festplatte stets unverschlüsselt ist. Beim Start wird das Bootkit zuerst vom Bios aufgerufen. Das Bootkit startet dann den TrueCrypt-Bootloader. Um die TrueCrypt-Verschlüsselung auszuhebeln, biegt Kleissner nach eigenen Angaben keine Hooks um und modifiziert den Bootloader auch nicht. Vielmehr leitet er den I/O-Interrupt 13h per "Double Forward" um und kann sich so zwischen die Windows-Aufrufe und TrueCrypt hängen. Kleissner hat Bootkit speziell auf TrueCrypt angepasst, wobei ihm der frei verfügbare Quellcode diente.

Ist das Betriebssystem geladen, kann Stoned beispielsweise einen Banking-Trojaner im System installieren. Der erst 18-jährige Peter Kleissner gibt Stoned verschiedene Plug-Ins mit, wie einen Boot-Passwort-Cracker oder eine Routine zum Infizieren des Bios. Da Stoned als Framework konzipiert ist, können andere Programmierer eigene Plug-Ins dafür entwickeln. Aus seiner Sicht könnte Stoned auch für Ermittlungsbehörden interessant sein, etwa zur Entwicklung eines Bundestrojaners.

Einmal installiert, soll Stoned Kleissner zufolge von herkömmlicher Antiviren-Software nicht mehr entdeckt werden können. Für eine Infektion sind aber Administratorrechte oder physischer Zugang erforderlich. Momentan funktioniert die Infektion nur auf Maschinen mit herkömmlichem Bios. Arbeitet auf dem Mainbord der Bios-Nachfolger EFI, scheitert die Infektion. Der wohl wirksamste Schutz ist eine vollständige Verschlüsselung der Festplatte durch eine Software, die auf dem Trusted Platform Module (TPM) basiert.

So soll der Einsatz der Windows-eigenen Verschlüsselung BitLocker ein sicheres Gegenmittel sein, da der Hashwert des MBR nach der Infektion nicht mehr mit dem im TPM gespeicherten übereinstimmt und das TPM so den Bootvorgang stoppt. Ob eine in Hardware verschlüsselnde Festplatte ebenfalls schützt, vermochte Kleissner auf Nachfrage nicht zu beantworten. (Uli Ries) / (dab)