Wie ATA-Sicherheitsfunktionen Ihre Daten gefährden

[hja]

Wie ATA-Sicherheitsfunktionen Ihre Daten gefährden

Bei den meisten Notebooks kann man die Festplatte mit einem Passwort gegen unberechtigte Zugriffe schützen. Ohne dieses gibt sie dann keine Daten mehr preis, selbst wenn man sie in einen anderen Rechner einbaut.

http://www.heise.de/ct/05/08/172/

Bericht ist zwar nicht mehr taufrisch.... - helfen wird er allemal...

 

[trixter]

^^ würde mich interessieren, ob es funktioniert, wenn ich es in einen mac einbaue

 

[hja]

Original von trixter
^^ würde mich interessieren, ob es funktioniert, wenn ich es in einen mac einbaue

guten morgen...

>>>>>>schnipp

Apple sieht ebenfalls keinen Handlungsbedarf - schließlich müsse man ja für das Laden einer Kernel Extension das Administratorkennwort eingeben. Wir haben uns mit Apple darauf geeinigt, eine Demonstration der Schadfunktion zu programmieren und Apple zur Verfügung zu stellen. Vielleicht ändert in den USA ja jemand seine Meinung, wenn er nur noch nach korrekter Eingabe von ?c't Magazin für Computertechnik? (mit Umlaut!) an seine Festplatte herankommt.

<<<<<<schnapp

 

[Heckler]

Original von trixter
würde mich interessieren, ob es funktioniert, wenn ich es in einen mac einbaue

Der Rechner ist völlig unerheblich, sowohl hinsichtlich der Verwundbarkeit als auch des potenziellen Datenverlustes. Die Passwort-Funktionalität sitzt in der Platte und wird über den ATA-Befehlssatz angesteuert.

 

[meshua06]

Hi,

ist eigentlich schon ein alter Hut, da in zig Dikussionen durchgekaut. Nur soviel: das T60 fuehrt das "Security Freeze Lock" aus. Habe ich erst kuerzlich ueberprueft.

Gruesse, Torsten.

 

[hja]

Original von meshua06
Hi,

ist eigentlich schon ein alter Hut, da in zig Dikussionen durchgekaut. Nur soviel: das T60 fuehrt das "Security Freeze Lock" aus. Habe ich erst kuerzlich ueberprueft.

Gruesse, Torsten.

das dies alt war, wußte ich (wie wohl viele andere auch...) aber Deine Aussage mit bdem T60 ist neu für mich.... und bin froh dies erfahren zu haben....

Danke... (Link?)

 

[meshua]

Original von hja

Original von meshua06
Hi,

ist eigentlich schon ein alter Hut, da in zig Dikussionen durchgekaut. Nur soviel: das T60 fuehrt das "Security Freeze Lock" aus. Habe ich erst kuerzlich ueberprueft.

Gruesse, Torsten.

das dies alt war, wußte ich (wie wohl viele andere auch...) aber Deine Aussage mit bdem T60 ist neu für mich.... und bin froh dies erfahren zu haben....

Danke...

You're welcome ;-)

Ich nutzte DTemp. Ist zwar alt, aber funktioniert zumindest bis XP problemlos (man benoetigt Adminrechte). Alternativ wurde in dem von dir genannten heise-Link auch Tools angeboten, mit deren Hilfe man das checken kann. Waere viellicht auch einen extra Thread wert, wo User allen mitteilen koennen, ob Modell X mit Bios Y das "Security Freeze Lock" auch anwendet.

Bei mir T60 2007-FRGE mit BIOS V2.09: security frozen: yes

Gruesse, Torsten.

 

[rudolfka]

hallo,
fand den Hinweis von hja sehr nützlich. Auch wenn mein T20 frozen ist, so können vielleicht viele meiner älteren Thinkis trotzdem betroffen sein, zumindest soweit ich neuere Platten eingebaut habe. Da ich standardmäßig eigentlich bei allen unverschlossenen Computern Passworte setze werd ich das nun auch bei allen anderen tun, denn dann muß so eine Schadsoftware erstmal noch das Masterpasswort knacken! und bei meinen Desktops hat ich mir ehrlich gesagt noch nie den Kopf drüber zerbrochen, auch wenn das Filesystem verschlüsselt war,- auch hier werden jetzt Passworte gesetzt. Soviel steht fest!
mfG
rudolfka

 

[meshua]

Ich glaube nicht, dass man nun alle HDDs mit Passwoertern schuetzen muss. Es ist lediglich zu beachten, das nach dem Booten keine Veraenderungen (Passwort setzen/loeschen/aendern) durchgefuehrt werden koennen. Dafuer ist die freeze-Funktion verantwortlich.

Gruesse, Torsten.

 

[rudolfka]

hallo,
wenn ich die Artikel (bin kein Programmierer) richtig verstanden habe, gäbe es aber schon die Möglichkeit sone routine schon im MBR zu verewigen und da ich gerade son paar meiner Computer entwanzt habe, von denen ich vorher dachte, sie seien sicher bin ich jetzt lieber paranoid. Da ich allen Datenverkehr nun mitprotokolliere und auch Zeitabschnitte zum Vergleich archiviere bin ich was das angeht ziemlich paranoid geworden. Vor allem habe ich festgestellt das son Schadcode ganz schön agressiv werden kann, wenn er eigentlich nur spitzelt und man ihn dann entfernen will.
mfG
rudolfka

 

[Heckler]

Original von rudolfka
wenn ich die Artikel (bin kein Programmierer) richtig verstanden habe, gäbe es aber schon die Möglichkeit sone routine schon im MBR zu verewigen

Richtig, deswegen ist die einzig sichere Variante ja auch, dass bereits das BIOS die Passwortfunktion einfriert, das findet dann nämlich statt, bevor irgendwas von der Festplatte zum Zug kommt.

 

[meshua]

Original von rudolfka
hallo,
wenn ich die Artikel (bin kein Programmierer) richtig verstanden habe, gäbe es aber schon die Möglichkeit sone routine schon im MBR zu verewigen

Das BIOS kann die Passwortfunktion einfrieren befor auf den MBR zugegriffen wird.

und da ich gerade son paar meiner Computer entwanzt habe, von

Wie konnte denn das passieren ;-)?

Da ich allen Datenverkehr nun mitprotokolliere und auch Zeitabschnitte zum Vergleich archiviere bin ich was das angeht ziemlich paranoid geworden.

Hast Du soviel Kapazitaeten zum Mitschneiden und auswerten - 24/7?

Vor allem habe ich festgestellt das son Schadcode ganz schön agressiv werden kann, wenn er eigentlich nur spitzelt und man ihn dann entfernen will.

Sicher entfernen kann man eh nur durch formatieren der Festplatte (einschliesslich MBR) von einem sicheren System aus. Ich finde da nichts agressives.

Gruesse, Torsten.

 

[rudolfka]

hallo,

Original von meshua
Das BIOS kann die Passwortfunktion einfrieren befor auf den MBR zugegriffen wird.

Darum gehts mir doch gerade, um die alten Geräte mit neueren Festplatten, die eben keine freeze-Funktion im Bios haben.?(

Original von meshua
Wie konnte denn das passieren ;-)?

Da ich mich auf Personal-Firewalls verlassen habe.:baby:

Original von meshua

Hast Du soviel Kapazitaeten zum Mitschneiden und auswerten - 24/7?

ja.

Original von meshua

Sicher entfernen kann man eh nur durch formatieren der Festplatte (einschliesslich MBR) von einem sicheren System aus. Ich finde da nichts agressives.

Das ist wohl so , aber wenn man sich auf sone trügerische Sicherheit eingelassen hat oder eben (wie wohl die meisten) gar nicht daran denkt, was fürn Sicherheitsrisiko man eingegangen ist, wenn man in ein altes System eine neue Festplatte eingebaut hat, dann befinden sih auf sonem System vielleicht auch noch Daten (Links etc.), die man ganz gerne wiederhätte. Und wenn man dann z.B. den MBR ersetzt, einen erkannten Trojaner entfernt und aschließend das dann ganz schön lebendig wird auf dem Rechner, würd ich schon sagen, das dieser Schadcode auch agressiv ist..
Ich für meinen Teil trenne jedenfalls jetzt mein Netz so, das das was ich wirklich brauche und will hinter einer echten Firewall liegt und zum surfen befindet sich ein Rechner noch vor der Firewall, ziemlich ungesichert, aus Bequemlichkeit, just for fun. Und alles, was hinter die Firewall darf, kommt erstmal in Quarantäne.Redundanz ist die beste Sicherheit und das man weiß, wie und von wem man angegriffen wird. Vertrauen in irgendeinen Anderen ist immer unsicher.
mfG
rudolfka

 

[meshua]

Original von rudolfka
hallo,

Original von meshua
Das BIOS kann die Passwortfunktion einfrieren befor auf den MBR zugegriffen wird.

Darum gehts mir doch gerade, um die alten Geräte mit neueren Festplatten, die eben keine freeze-Funktion im Bios haben.?(

OK, jetzt hab' ich's

Original von meshua
Wie konnte denn das passieren ;-)?

Da ich mich auf Personal-Firewalls verlassen habe.:baby:[/quote]

Deinen Fall nehme ich gleich in mein persoenliches Archiv auf =)

Original von meshua

Hast Du soviel Kapazitaeten zum Mitschneiden und auswerten - 24/7?

ja.

Und auch die Zeit? - Wow

Original von meshua

Sicher entfernen kann man eh nur durch formatieren der Festplatte (einschliesslich MBR) von einem sicheren System aus. Ich finde da nichts agressives.

Das ist wohl so , aber wenn man sich auf sone trügerische Sicherheit eingelassen hat oder eben (wie wohl die meisten) gar nicht daran denkt, was fürn Sicherheitsrisiko man eingegangen ist, wenn man in ein altes System eine neue Festplatte eingebaut hat, dann befinden sih auf sonem System vielleicht auch noch Daten (Links etc.), die man ganz gerne wiederhätte. Und wenn man dann z.B. den MBR ersetzt, einen erkannten Trojaner entfernt und aschließend das dann ganz schön lebendig wird auf dem Rechner, würd ich schon sagen, das dieser Schadcode auch agressiv ist..[/quote]

Das hoert sich ja alles sehr verworren an, was dir da so passierte.

Ich für meinen Teil trenne jedenfalls jetzt mein Netz so, das das was ich wirklich brauche und will hinter einer echten Firewall liegt und zum surfen befindet sich ein Rechner noch vor der Firewall, ziemlich ungesichert, aus Bequemlichkeit, just for fun.

Leichtsinnig. Was, wenn dieser Rechner kompromittiert wird und als BOT fuer WaReZ oder PrOn fungiert. Das moechte ich dann nicht den Herren in den schwarzen Maenteln oder dem Richter erklaeren muessen. Wenn Du schon eine Firewall (Router mit Paketfilter/IPtables o.ae.) besitzt, wuerde ich diese auch fuer alle Workstations nutzen.

Und alles, was hinter die Firewall darf, kommt erstmal in Quarantäne.

Du hast eine DMZ eingerichtet?

Redundanz ist die beste Sicherheit und das man weiß, wie und von wem man angegriffen wird.

Nicht Redundanz sondern die geringstmoegliche Angriffsflaeche bieten ist der beste Schutz vor Kompromittierung. Bei Redundanz denken viele sicherlich gleich daran 4 Personal Firewalls und 5 AV-Scanner zu installieren - in dem Glauben x-fach haelt besser. Wenn Daten wirklich wichtig und sensitiv sind, hat man diese auf einer Workstation/Laptop/Speichermedium ohne Verbindung zum Internet.

Gruesse, Torsten.

 

[rudolfka]

hallo,

Und auch die Zeit? - Wow

wenn ich einen Angreifer suche, alle Zeit dieser Welt, dann weiß ich ja wonach ich suche.

Das hoert sich ja alles sehr verworren an, was dir da so passierte

da hast du recht, so ganz im letzten ist mir das bis jetzt nicht klar. Zuerst ein Haufen ausgehender Verkehr, durch den ich stutzig wurde. Dann habe ich den Rechner abgehängt und das System wurde erst richtig langsam. Drei Virenscanner haben mir nichts verdächtiges angezeigt. Dann habe ich nacheinander alles an laufenden Prozessen beendet, was ich nicht brauchte, das gelang bei einigen aber nicht, bzw. sie tauchten einfach wieder auf. Dann habe ich von allen Dateien Checksummen angefertigt und alles was nicht wirklich wichtig war aus den verschiedenen Autostartabschnitten entfernt und zusätzlich einen neuen MBR auf die Platte geschrieben. Danach habe ich erneut drei Virenscanner installiert und wow ein Haufen Getier wurde angezeigt: mehrere Viren, ein Trojaner und noch Würmer. Hab das dann in mehrern Durchläufen in Quarantäne geschickt und nachgesehen (Checksummen), wo sich was getan hatte.Befallen wurden insbesondere ein paar HP-Utilities und Tapeware, aber auch ein paar nicht so erklärliche ausführbare Dateien in anderen Verzeichnissen. Nach dem Löschen auch dieser Dateien und erneutem Tausch des MBR hörte dieses ständige nach Hause-telefonieren sofort auf. Es wurden auch keine Dateien mehr befallen.
Was ich nur gelernt habe, gefährlich sind immer die Sachen, an die man nicht denkt und "geringe" Angriffsfläche" reicht völlig aus für solche Gefahren. Andererseits: Surfen ohne Active-X, den ganzen Spielkram und dauernde Bestätigungsdrückerei bringt auch nicht wirklich Spaß und darum in Zukunft das eine tun, ohne das andere zu lassen. Wenn die schwarzen Herren kommen: klasse! Dann hilft mir einer mit Ahnung dabei, die Protokolle auszuwerten. . Ich denke, das auch ein Richter den Unterschied zwischen Vorsatz und nicht kennt und auch bedingter Vorsatz scheidet aus, wenn du mehr machst als 95% der User, denn sone PFW läuft natürlich auch auf diesem Internetrechner. Und sollten doch mal ein paar Stricke reißen, z.B. weil ein Virus auf seine große Zeit wartet, dann rettet mich Redundanz, weil mindestens eine Kopie gesichert ist auf einem Rechner, der sogar eine andere Zeit hat (und selbstverständlich keine Verbindung zum Netz).
mfG
rudolfka

 

[meshua]

Original von rudolfka
[...]
da hast du recht, so ganz im letzten ist mir das bis jetzt nicht klar. Zuerst ein Haufen ausgehender Verkehr, durch den ich stutzig wurde. Dann habe ich den Rechner abgehängt und das System wurde erst richtig langsam. Drei Virenscanner haben mir nichts verdächtiges angezeigt. Dann habe ich nacheinander alles an laufenden Prozessen beendet, was ich nicht brauchte, das gelang bei einigen aber nicht, bzw. sie tauchten einfach wieder auf. Dann habe ich von allen Dateien Checksummen angefertigt und alles was nicht wirklich wichtig war aus den verschiedenen Autostartabschnitten entfernt und zusätzlich einen neuen MBR auf die Platte geschrieben. Danach habe ich erneut drei Virenscanner installiert und wow ein Haufen Getier wurde angezeigt: mehrere Viren, ein Trojaner und noch Würmer.

Ich hoffe, das lesen auch die Leute, die auf AV-Scanner schwoeren und philsophieren, ob Hersteller A, B oder C die meisten Schaedlinge findet oder die wenigsten schaedlinge durchlaesst. *sticky*

[...]
Was ich nur gelernt habe, gefährlich sind immer die Sachen, an die man nicht denkt und "geringe" Angriffsfläche" reicht völlig aus für solche Gefahren.

Geringe angriffsflaeche ist schon der richtige weg: Kein IE/ActiveX, kein Outlook Express, unnoetige Ports schliessen, zeitnah MS Security Patches installieren, Backups anfertigen und....Gehirn einschalten =)

Andererseits: Surfen ohne Active-X, den ganzen Spielkram und dauernde Bestätigungsdrückerei bringt auch nicht wirklich Spaß

ActiveX braucht man nicht wirklich - ausser vielleicht fuer MicrosoftUpdate. Ich bestaetige auch nichts und es poppen keine Dialoge auf. Firefox bietet alles fuer entspanntes Surfen und Erweiterungen wie AdBlock filtern gleich alles Unnuetze an kommerziellen Informationen sicher weg. Noch mehr Komfort gibts mit solchen netten Sachen wie SpellChecker (der in dem Moment in Echtzeit dieses Posting auf Rechtschreibfehler prueft). Ich hab beim Surfen Spaß...mit Sicherheit :]

Wenn die schwarzen Herren kommen: klasse! Dann hilft mir einer mit Ahnung dabei, die Protokolle auszuwerten. . Ich denke, das auch ein Richter den Unterschied zwischen Vorsatz und nicht kennt und auch bedingter Vorsatz scheidet aus, wenn du mehr machst als 95% der User, denn sone PFW läuft natürlich auch auf diesem Internetrechner...

Auch wenn jemand 200% unschuldig bist, hat er dennoch unmittelbar eine Straftat beguenstigt - den Strick kann man drehen, wenn man nur will. Wenn Nachbarn zusehen, wie 20 Beamte Datentraeger, Rechner etc. aus der Wohnung tragen und es durchsickert, das es z.B. um Schmuddelkram mit Minderjaehrigen geht, bekommt man dieses Stigma kaum so schnell wieder los. Sowas ist nicht schoen und Fahrlaessigkeit kann auch bestraft werden. Den Stress muss man nicht haben denn letztendlich ist jeder fuer das Verantwortlich, was er tut.

Gruesse, Torsten

 

[rudolfka]

hallo,
naja, wenn ich mein Auto abgeschlossen irgendwo hinstelle und jemand da einbricht und einen totfährt muß meine Haftpflicht zwar zahlen (erstmal) aber ein Totschläger bin ich dadurch noch lange nicht. Und das gute am Rechtsstaat ist ja, das wenn da etwas durchsickert, was nicht so ist, ganz schnell ein paar andere schwarze Herren dem Nachbarn das Maul stopfen und die Karriere eines Staatsanwaltes dahin ist. Hab vor sowas grundsätzlich keine Angst, weil das kannst du letztlich nie verhindern, es sei denn als Robinson Crusoe auf deiner eigenen Insel.
Aber soweit liegen wir garnicht auseinander. Ich nehm jetzt auch Firefox und Thunderbird und werd´ nicht mehr soviel belästigt. Nur bin ich der Meinung, das man so schlau sein kann wie man will, irgendeiner ist immer schlauer (siehe sog. anonyme Proxys, die direkt vom CIA betrieben wurden etc.). Darum werden wirklich (für mich) wichtige Sachen auf ganz unterschiedliche Weise bei mir gesichert. Dann kanns mir auch nicht passieren, das es sone unkaputtbare CD von 1990 in einem modernen DVD-rom plötzlich in Stücke reißt und keine weitere Sicherung mehr da ist. Das unerwartete kann ich leider nicht mit Intelligenz bekämpfen, nur mit Redundanz die Warscheinlichkeit für mich nutzen.
Ich glaub nicht so recht an die alleinseeligmachende Lehre, ich weiß nur das 10 unbenutzbare Festplatten ein gutes Essen wert sind, das ich dann hätte einsparen müssen und dafür danke ich hja.
OT: Die Rechtschreibung ist ein weites Feld. Jahrhunderte haben die Leute auch ohne sie ganz gut gelebt, heute ist sie imo ein Selbstzweck. Da das schleswig-holsteinische Volk in einer Abstimmung eh eine andere Rechtschreibung beschlossen hatte und ich damals daran beteiligt war, akzeptiere ich nachfolgende undemokratische Änderungen der Exekutive sowieso nur sehr bedingt.
mfG
rudolfka