image

"TrueCrypt keylogger prooi voor scriptkiddies"

maandag 26 oktober 2009, 14:00 door Redactie, 14 reacties

Scriptkiddies zullen ongetwijfeld de USB-keylogger voor met TrueCrypt versleutelde systemen gaan gebruiken, zo waarschuwt anti-virusbedrijf McAfee, die de proof-of-concept demonstratie nu als malware beschouwt en kan detecteren. Vorige week demonstreerde de Poolse rootkit-expert Joanna Rutkowska hoe ze met een USB-stick TrueCrypt wachtwoorden en passphrases kan stelen. Daarbij publiceerde ze ook de tool die hiervoor nodig is. "Nu de proof-of-concept gepubliceerd is, verwachten we dat scriptkiddies de kans zullen aangrijpen en de code voor hun eigen doelen zullen aanpassen", zegt Aditya Kapoor van McAfee.

Om gebruikers te beschermen zocht het naar een manier om gebruikers in het geval van een "Evil Maid" infectie te waarschuwen. "Het is duidelijk dat een virusscanner een Evil Maid aanval niet kan voorkomen, maar het waarschuwen van de gebruiker na de eerste herstart sinds de infectie kan veel helpen om dataverlies te voorkomen." Naast detectie van de wachtwoordsteler, houdt de virusbestrijder ook andere ontwikkelingen op dit gebied in de gaten.

Reacties (14)
26-10-2009, 15:17 door Bitwiper
Dit is een FUD-bericht van McAfee.

Voor Evil-Maid is fysieke toegang nodig tot de beveiligde computer, tenzij de defintitie van script-kiddies (http://en.wikipedia.org/wiki/Script_kiddie) is gewijzigd gaan zij geen kamermeisje spelen.

TrueCrypt beschermt jouw data uitstekend tegen de dief die jouw computer wil hebben.

Zoals Evil Maid aantoont is het voor een aanvaller die jouw data wil hebben in principe mogelijk om die via een fysieke aanval in handen te krijgen. De kans dat een aanvaller dat doet hangt af van de waarde van jouw data (voor die aanvaller). Het ligt voor de hand dat deze eerst zal proberen om middels een spear phishing attack (zie bijv. https://www.microsoft.com/australia/athome/security/email/spear_phishing.mspx) aan jouw data te komen. Als je die ooit hebt ontvangen moet je je afvragen of het verstandig is om je computer onbeheerd in een niet-vertrouwde ruimte achter te laten.

Eerlijk gezegd maak ik me meer zorgen over "ordinaire" trojans of drive-by exploits dan dat iemand fysiek mijn computer manipuleert. Hopelijk laat McAfee zich niet te veel afleiden van die laatste categrorie malware...
26-10-2009, 15:35 door Anoniem
Ik denk niet dat het FUD is - het verhaal op de Blog klinkt redelijk aannemelijk en haalbaar. Wel valt me op dat de "maid" iets meer skills nodig heeft van een reguliere schoonmaakster en eigenlijk meer een professionele IT-ster moet zijn.
26-10-2009, 16:03 door Syzygy
Het zou me niets verbazen als McAfee eerdaags met een passende oplossing komt ;-)
26-10-2009, 17:08 door spatieman
ik verwacht binnenkort dan ook mallware die TC rippers bevatten..
26-10-2009, 19:02 door Rene V
En wat nu als je een programma als KeyScrambler gebruikt die toestaanslagen op kernel level encrypt? Wordt het toch een stuk moeilijker om wachtwoorden te stelen lijkt me.
26-10-2009, 20:07 door Anoniem
@Rene V
Omdat dit draait voordat KeyScrambler actief wordt. Nl. preboot.
Dit is alleen omzeilbaar als TrueCrypt kan garanderen dat het als eerste draait, quod non, op de meeste systemen.
26-10-2009, 20:08 door spatieman
als je echt gestoort bent.
zoals ik bijvoorbeeld.
Dan maak je een encrypted container in een encrypted container...
en daar maak je dan weer een enctypted container in, die, juist, je data bevat..
26-10-2009, 21:38 door Anoniem
Alsof hele volksstammen Truecrypt gebruiken. Vraag 10 willekeurige mensen op straat wat het is en zeer waarschijnlijk zal niemand het antwoord weten. Dat gaat ook nog op voor 20 mensen en misschien ook nog wel voor 50 mensen.

Afgezien daarvan kon een truecrypt-password altijd al gestolen worden: keylogger, camera, aftappen van usb toetsenbord of wireless toetsenbord. Een Truecrypt-aanval is meer persoonsgericht lijkt me en ook dan is het nog niet zo eenvoudig als wordt gesteld, je moet wel degelijk kennis van zaken hebben.
27-10-2009, 00:32 door Anoniem
Door spatieman: als je echt gestoort bent.
zoals ik bijvoorbeeld.
Dan maak je een encrypted container in een encrypted container...
en daar maak je dan weer een enctypted container in, die, juist, je data bevat..

Wat dan weer niks uitmaakt want elk ww dat jij intikt wordt gelogged.....
27-10-2009, 02:37 door Bitwiper
Door René V: En wat nu als je een programma als KeyScrambler gebruikt die toestaanslagen op kernel level encrypt? Wordt het toch een stuk moeilijker om wachtwoorden te stelen lijkt me.
KeyScrambler (ik neem aan dat je deze bedoelt: http://www.qfxsoftware.com/) is Windows software.

Evil Maid is een tool die TrueCrypt's FDE (Full Disc Encryption) mode aanvalt (zie http://theinvisiblethings.blogspot.com/2009/10/evil-maid-goes-after-truecrypt.html). Bij FDE mode is de "system" partitie (met daarop Windows of een ander OS) versleuteld. Daarom heeft TrueCrypt een speciale bootloader die start voordat er ook maar iets van Windows aktief wordt. TrueCrypt in FDE mode vraagt bijna onmiddellijk na de BIOS "POST" meldingen van de PC om het wachtwoord om de system partitie te kunnen lezen (en WIndows te starten). Daarbij maakt TrueCrypt (neem ik aan) gebruik van BIOS routines om het toetsenbord uit te lezen en tekens (in tekstmode) naar het schermgeheugen te sturen.

Oftewel TrueCrypt is de eerste software die van de schijf gestart wordt (de eerste 63 sectors van elk 512 bytes zijn voor dit doel gereserveerd, en als enigen van de schijf niet versleuteld). Oftewel KeyScrambler kan nog absoluut niet draaien op het moment dat je je TrueCrypt FDE wachtwoord invoert.

E.e.a. nog even los van hoe betrouwbaar KeyScrambler is (persoonlijk heb ik niet veel vertrouwen in dit soort producten). Zodra malwaremakers zich in de werking van KeyScrambler verdiepen kunnen ze het natuurlijk omzeilen (kat en muisspel).
27-10-2009, 13:00 door Rene V
Dank je voor het uitgebreide antwoord bitwiper. Duidelijk zo. Maar goed, ik ben het met je stelling over KeyScrambler wel eens, maar het is toch een extra vorm van protectie. Beter iets als niets lijkt mij. ^^
27-10-2009, 16:24 door bernd
... als je hier bang voor bent:
1: bios opstartvolgorde = alleen HD
2: wachtwoord op bios
3: truecript encryptie op disk

gevolg: de evil-maid keylogger kan alleen geïnstalleerd worden door de disk uit de laptop te halen. verzegel de opening (a la pinautomaat) van de harddisk en de behuizing en je kunt zien dat er geknoeid is.
28-10-2009, 10:07 door Anoniem
@ Bitwiper :

"Dit is een FUD-bericht van McAfee. Voor Evil-Maid is fysieke toegang nodig tot de beveiligde computer, tenzij de defintitie van script-kiddies (http://en.wikipedia.org/wiki/Script_kiddie) is gewijzigd gaan zij geen kamermeisje spelen."

Kan een script kiddie dan geen collega van je zijn, of bijvoorbeeld bij studenten een huisgenoot, die m.b.v. een USB stick toegang wil krijgen, om maar een voorbeeld te noemen. Een script kiddie is iemand die door anderen ontwikkelde tools gebruikt om te hacken, aangezien hij niet de kennis heeft om deze tools zelf te maken, en dat lijkt mij hier volledig van toepassing.
28-10-2009, 17:00 door Bitwiper
Door Anoniem: Kan een script kiddie dan geen collega van je zijn, of bijvoorbeeld bij studenten een huisgenoot, die m.b.v. een USB stick toegang wil krijgen, om maar een voorbeeld te noemen. Een script kiddie is iemand die door anderen ontwikkelde tools gebruikt om te hacken, aangezien hij niet de kennis heeft om deze tools zelf te maken, en dat lijkt mij hier volledig van toepassing.
Ik heb de McAfee blog (http://www.avertlabs.com/research/blog/index.php/2009/10/26/mcafee-labs-goes-after-evilmaid/) nog eens goed gelezen, de vertaling van de redactie is niet helemaal juist. Als ik het vertaal staat er in de derde zin:
Echter, omdat de POC nu is gepubliceerd, verwachten wij dat script kiddies hier bovenop zullen duiken en de code naar hun wens zullen aanpassen.
Oftewel, nog een variatie op de definitie van script-kiddies (er staat in elk geval niet dat McAfee verwacht dat scriptkiddies "ongetwijfeld de USB-keylogger voor met TrueCrypt versleutelde systemen zullen gaan gebruiken").

Hoe dan ook, je hebt gelijk dat collega's of huisgenoten deze aanval kunnen uitvoeren. Zo iemand associeer ik echter niet meteen met de term "scriptkiddie", maar je hebt ook gelijk dat de tool van Joanna door relatieve "leken" kan worden ingezet. Overigens hebben collega's en huisgenoten vaak wel meer mogelijkheden om in jouw systeem in te breken, een trojan lijkt me eenvoudiger (en laat bovendien geen vingerafdrukken achter).

Hoewel een collega me op deze manier te kakken zou kunnen zetten, blijf ik erbij dat ik TrueCrypt in eerste instantie inzet om te voorkomen dat een ordinaire dief, die uit is op mijn notebook, niet meteen ook mijn data in handen krijgt. TrueCrypt voldoet uitstekend voor dat doel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.