IT-Sicherheit: Laptop-Diebe können Verschlüsselung von Festplatten umgehen

Fünf Minuten dauert es, bis Olle Segerdahl einen der wichtigsten Schutzmechanismen in fast allen modernen Macs und Windows-PCs ausgehebelt hat. Der IT-Sicherheitsforscher der Firma F-Secure hat einen Weg gefunden, Daten aus der Festplatte auszulesen, auch wenn diese verschlüsselt ist.

Alle modernen Betriebssysteme bieten Nutzern die Möglichkeit, die Festplatte zu verschlüsseln. Wird der Rechner heruntergefahren oder in den Ruhezustand versetzt, bleiben die Daten geschützt, auch wenn jemand die Festplatte aus- und in einen anderen Rechner einbaut.

Gelangen die digitalen Schlüssel, die die Daten auf der Festplatte schützen, in die Hände von Hackern, haben diese Zugriff. Das heißt: Gehen Rechner verloren oder werden geklaut, könnten Unbefugte mit diesem Trick am Rechner mitunter alle Informationen auslesen, die sich im Arbeitsspeicher befinden. Das können auch Passwörter sein, mit denen sich der ganze Rechner entsperren lässt. Und auch staatliche Ermittler dürfte diese Nachricht freuen. Sie beschweren sich seit Jahren darüber, dass moderne Rechner immer besser gesichert sind.

Den Angriff haben Segerdahl und sein Kollege Pasi Saarinen auf einer Fachkonferenz in Schweden vorgestellt. Der Süddeutschen Zeitung schickte er den Vortrag vorab und schilderte das Vorgehen am Telefon. Zuerst hatte Techcrunch über die Angriffstechnik berichtet.

Nicht aus der Ferne hackbar

Um mit ihrem Trick Zugriff auf die Festplatte zu bekommen, müssen Hacker allerdings den Rechner in ihre Händen bekommen. Es bleibt unmöglich, eine verschlüsselte Festplatte aus der Ferne auszulesen. Wird ein Rechner heruntergefahren, befinden sich die Schlüssel für einen kurzen Zeitraum im Arbeitsspeicher, bevor sie endgültig gelöscht werden. Diese Zeit kann in die Länge gedehnt werden, wenn der Hacker den Arbeitsspeicher kühlt.

Bereits 2008 zeigten Forscher, wie die Gesetze der Physik genutzt werden können, um Daten auf diesem Weg auszulesen. Um gegen solche Szenarien geschützt zu sein, wird der Arbeitsspeicher beim erneuten Hochfahren überschrieben. Auch weitere Schutzmechanismen wurden seitdem eingeführt.

Das hat Segerdahl nicht aufhalten können. Auch der neue Angriff basiert auf Kühlung, um die Daten länger im Arbeitsspeicher zu halten. Segerdahl sprühte dafür Eisspray direkt auf das Innenleben des Laptops. Noch bevor der Rechner das Betriebssystem in Gang setzt, startet eine Mini-Software namens UEFI. Sie regelt unter anderem, welche Prozesse wann gestartet werden sollen. Die Hacker können UEFI manipulieren und die Reihenfolge der Prozesse ändern. Noch bevor der Speicher überschrieben wird, können sie so ein eigenes Programm zum Laufen bringen, zum Beispiel von einem USB-Stick aus. Dieses Programm liest die Schlüssel für die Festplatte und andere Informationen aus, die sich im Arbeitsspeicher befinden, zum Beispiel Passwörter. In einem Kurzvideo zeigen die Forscher, wie so ein Angriff ablaufen kann.

Segerdahl weist darauf hin, dass es einen Unterschied gebe zwischen einem Computer im Ruhezustand und einem, der ausgeschaltet ist. Wird ein Rechner in den Ruhezustand versetzt, befinden sich die Schlüssel weiterhin im Arbeitsspeicher - und können abgegriffen werden. Wird der Rechner dagegen ausgeschaltet, werden sie gelöscht.

Apple teilte auf Anfrage von Techcrunch mit, dass jene Rechner geschützt seien, die auf dem T2-Chip basieren. Sie sind im iMac Pro verbaut und in Macbook-Pro-Modellen ab 2018. Microsoft veröffentlichte Anfang September einen Blogbeitrag mit Tipps, die auch gegen Angriffe wie den von F-Secure vorgestellten schützen sollen.

Auch Linux teilweise betroffen

Die Forscher haben nicht alle Rechner aller Herstellern geprüft. Es gebe aber keinen Grund, warum der Angriff nicht auf allen Maschinen funktionieren sollte, sagt Segerdahl. Generell gelten die Angriffe, wie sie die Forscher nun präsentieren, als effektiver Weg, um besonders wertvolle Rechner auszulesen. Firmenchefs wären zum Beispiel ein solches Ziel.

Segerdahl gibt einen Tipp, mit dem sich Nutzer schützen können: Sie sollten ein Firmware-Passwort festlegen. Wird der Rechner dann mit einer anderen Festplatte oder über einen USB-Stick gestartet, wird ein Passwort angefordert. Linux-Systeme sind eben aus diesem Grund in deutlich geringerem Umfang betroffen. Da der Boot-Prozess, also das Hochfahren des Rechners, passwortgeschützt ist, haben Hacker nur einen Angriffsversuch.

Die Forscher werden keine detaillierte Analyse veröffentlichen, die es erlauben würde, den Angriff Schritt für Schritt nachzuahmen. Segerdahl geht davon aus, dass auch kompetente Hacker ein paar Wochen Arbeit investieren müssen, um eine Festplatte auszulesen. Machbar sei es aber in jedem Fall. "Wir gehen davon aus, dass andere fähige Personen, die ein Interesse daran haben, die Festplattenverschlüsselung zu umgehen, diesen Angriff bereits kennen", sagt Segerdahl.