Sicherheits GAU: Der Spion der mit der Kälte kam.

[SilentCry]

Nach einer schlaflosen Nacht habe ich mich entschlossen, einen neuen Thread zu eröffnen.
Ausgehend von http://www.heise.de/newsticker/meldung/103908
"Passwortklau durch gekühlten Speicher"

Hintergrundinformationen können diesem PDF entnommen werden: http://citp.princeton.edu.nyud.net/pub/coldboot.pdf

Zusammengefasst: Ein Computer, der läuft oder der im S3-Modus (Standby) ist und eine transparente Verschlüsselung verwendet (wie FileVault) kann dem Anwender entzogen werden, der Speicher mit handelsüblichem Spray auf bis zu -50 Grad abgekühlt werden und danach kann ein Speichabbild gezogen werden auch wenn der Speicher vom Strom getrennt wurde. Minutenlang hält der gekühlte Speicher seine Daten praktisch fehlerfrei. Mit flüssigem Stickstoff lässt sich die Zeit erheblich dehnen.
Aus dem Speicherabbild kann dann in Ruhe jedweger Encryption-Key extrahiert werden.
Wichtig: Es ist irrelevant ob man den Zielrechner benutzen kann oder nicht, der Speicher kann ausgebaut und in einem Rechner, der schon unter der Kontrolle des Angreifers steht ausgelesen werden.
Mit diesem Passwort lassen sich nun verschlüsselte Laufwerke bzw. Containerfiles einfach öffnen.

Dieser Thread soll sich nun mit den Möglichkeiten beschäftigen, ein portables OS X (also MacBook/Pro) abzusichern. Ich gehe in meiner Betrachtung vom Bestehen der Standardsicherheitsmechanismen aus, also OF-Passwort, Benutzer/Admin-Trennung, FileVault (ggf. obsolet).

Welche Möglichkeiten stehen zur Verfügung?

Mir fallen ein:

(a) - Festkleben des RAM (sodass Entfernen des RAM ein Totalschaden ist)
(b) - Verwenden von Crypto-Containern, die nur immer bei Bedarf und extrem kurz gemounted werden
(c) - Verwendung von hardwareverschlüsselten Festplatten

(a) ist riskant. Erstens wird dadurch jeder RAM-Fehler zum Totalschaden am Gerät, zweitens muss man es so verkleben, dass es kaputt geht beim Versuch es auszubauen aber das Gerät nicht DURCH das Einkleben schon beschädigt wird.
Vorteil: Es ist machbar und schränkt den Anwender nicht ein.

(b) ist ausgesprochen unpraktisch. Anstatt Dateien im Verzeichnissystem dorthin zu legen, wohin sie gehören muss man jetzt trennen. Programme wie Mail, die recht starre Zielverzeichnisse haben, sind unschützbar. Die ".Spotlight-V100"-Datei, die im Rootverzeichnis des gemonteten FileVault liegt und daher Indexinformationen enthält, ist ein massives Sicherheitsrisiko (also muss man Spotlight völlig abschalten). Weiters darf man den Container so nur absolut minimalst angemeldet lassen und den Rechner dabei nie verlassen. Jedwege Freude am Gerät ist dahin.
Vorteil: Es ist machbar.

(c) - die eleganteste Lösung ist nur Windowsnutzern auf "normalen" Laptops vorbehalten aber auch da noch nicht richtig etabliert. Bislang ist mir auf Mac keine HW-verschlüsselte Festplatte untergekommen, die am Mac auch funktioniert hätte.

Ich bitte um Ideen. Themen, die sich nur über allgemeine Paranoia oder "ich habe eh nichts zu verbergen" drehen, bitte in einen eigenen Thread. Deswegen gebe ich hier auch keine Szenarien. Jeder der mitdenken will kann sich selbst vorstellen, dass ein so einfach zu erstellendes Speicherabbild der sicherheitstechnische SuperGAU ist und wenn ich hier Szenarien gebe wird wieder nur über Details der Szenarien diskutiert, das will ich hier aber nicht.

Also, meine Bitte ist Konzentration auf das Thema. Danke!

[reab]

Ich bitte um Ideen. Themen, die sich nur über allgemeine Paranoia oder...

Eher eine sehr persönliche Paranoia.

[arc]

Blabla - ich finde SilentCrys nachbohren nach wie vor durchaus angebracht.
Es gibt keinen Grund ihn dafür zu verspotten.

[reab]

Blabla - ich finde SilentCrys nachbohren nach wie vor durchaus angebracht.
Es gibt keinen Grund ihn dafür zu verspotten.

Pardon, ich wusste nicht, dass er bereits Helfer eingestellt hat die sich für ihn wehren.
Allerdings, wer nicht weiss, dass jeder physische Zugriff auf einen Computer auch in jedem denkbaren Fall Zugriff auf die Daten bedeutet, nun denn; Cobra übernehmen sie.

[arc]

Pardon, ich wusste nicht, dass er bereits Helfer eingestellt hat die sich für ihn wehren.

Karma [-]

Allerdings, wer nicht weiss, dass jeder physische Zugriff auf einen Computer auch in jedem denkbaren Fall Zugriff auf die Daten bedeutet, nun denn; Cobra übernehmen sie.

Tja, wenn Du nicht nur auf Reizworte ansprängest, dann hättest Du vermutlich sogar bemerkt, das SilentCry sich dessen durchaus bewußt ist.

[SilentCry]

Pardon, ich wusste nicht, dass er bereits Helfer eingestellt hat die sich für ihn wehren.
Allerdings, wer nicht weiss, dass jeder physische Zugriff auf einen Computer auch, in jedem denkbaren Fall, Zugriff auf die Daten heisst, nun denn; Cobra übernehmen sie.

Erstens stelle ich keine Helfer ein, es gibt offenbar aber Menschen, die nicht entweder ihr Orange nicht zerkratzt sehen wollen oder sowieso für die Stasi 2.0 arbeiten und mich daher nicht automatisch abwerten müssen und dankenswerterweise manche davon den Mut finden, das auch zu äußern.

Zweitens werde ich mich einfach gegen so primitive Anschuldigungen von Paranoia einfach nicht mehr wehren sondern ignorieren. Ich gehe davon aus, dass all die Leute einfach auch für Organisationen des Ü-Staates arbeiten und deswegen nicht wollen, dass Menschen, die sich darüber Gedanken machen und äussern auch ernst genommen werden und drittens ist Deine Aussage falsch. Schlicht und ergreifend falsch. Zugriff auf die HW ist nicht per se (!) gleichbedeutend mit Zugriff auf die Daten (es gibt solche Szenarien, vor allem JETZT ist das weit mehr so) - wäre das aber IMMER schon so (gewesen), bräuchte niemand mehr über verschlüsselte Notebooklaufwerke zu diskutieren, Transponder und Thermitpäckchen im Notebook wären dann die einzige Verteidigungsform gegen einen Rechnerverlust.

Die Szenarien die Du mit "Cobra übernehmen Sie" oder "Impossible Mission" ansprichst sind eher Geheimdienstfiction mit allgemein vernachlässigbaren Realitätscharakter. Eine Rechnerkonfiszierung im Ü-Staat wegen eines G8-Gipfels oder anderer völlig willkürlicher Pseudoverdachtsmomente oder ein Verlust/Raub/Diebstahl eines Notebooks im Sleepzustand beim Transport sind hingegen ganz reale und sich laufend häufende Szenarien für die an sich Technologien wie FileVault hinreichend schützen _würden_, aber beim eben bekannt gewordenen SuperGAU eben nicht mehr tun.

[reab]

...und drittens ist Deine Aussage falsch. Schlicht und ergreifend falsch. Zugriff auf die HW ist nicht per se (!) gleichbedeutend mit Zugriff auf die Daten...

Damit entschuldige ich mich. Das konnte ich schlicht nicht wissen.

[SilentCry]

Also, auch nach einer weiteren Nacht unruhigen Schlafes und einer fortschreitenden Dauerübelkeit: *Ich* habe noch keine Lösung für das Problem.
Sollte ich abrupt aufhören zu posten, dann habe ich das mit dem Superkleber versucht und mein MB damit ruiniert.
Denn praktikabel fällt mir nichts ein. Mein (b)-Ansatz krankt einfach an der Praxistauglichkeit: Man kann nicht sagen, was heute nicht sensibel ist wird es auch nie sein. Ausserdem kann man den Speicherort von manchen Dateien nicht sicher bestimmen. Alleine schon der Spotlight-Index, eventuelle GPG-Keyfiles die man natürlich offen halten will solange man Mail offen hat (also eigentlich dauernd) ansonsten gibt man ununterbrochen das Keyfile-PWD ein, Finanzpläne, etc. Und sind PDFs wie das "attack with fire" schon nach dem "Hackerparagraphen" verboten zu besitzen? Das A-Cookbook? Löscht die Vorschau den Speicher, wenn man sowas angesehen hat (wie ist das mit der garbage collection in OS X?) oder bleibt das bis es zufällig überschrieben wird?

Fragen über Fragen, die man sich niemals stellen bräuchte gäbe es dieses verdammte Sicherheitsloch nicht. Also mein Leben ist seitdem dunkel. Ich sehe vor meinem geistigen Auge fette, schwitzende Polizeibonzen in ihren Amststuben dreckig lachen, Champagnerkorken knallen zur Feier des Sieges des Ü-Staates gegen den Bürger. Ab nun ist eine G8-Gipfelsuche in Google tausendmal mehr wert, wenn es zu einer Hausdurchsuchung kommen soll, denn die wichtigste Verteidigung des Bürgers gegen den Allwissenheistanspruch der Behörden ist aufgelöscht und kann mit einem speicherchiplosen Aldicomputer und einer Druckluftreinigungsdose weggewischt werden.

Zugriff!

So, ich will mir einen Kaffee holen, muss also runterfahren.
Es ist zum ... Schreien...

Edit: Damit ich irgendwas tue habe ich wieder eine Supportanfrage an Presales Seagte geschrieben bzgl. ihrer FDE.2-Momentus-Drives und Apple. Vielleicht begreift endlich einer dieser Hersteller, dass da ein ganzer Bereich von Kunden ohne zuverlässige Sicherheitsprodukte dasteht und investiert mal in einen Ingeneur, der sich das EFI ansieht anstatt in hirnlose Consultants die nur Marktanteile hochrechnen können.

Edit2: Nachdem mein Wochenende nur noch aus Rebootorgien besteht: Sollte nicht auch einfaches LogOff reichen, dann geht doch der FileVault zu und das PWD muss erneut zum Mounten eingegeben werden... Ist natürlich auch Freude=0 und keinesfalls darf der Rechner die geschützte Wohnung verlassen aber besser als 50x am Tag rebooten allemal.

Comments?

[WDZaphod]

Man könnte schlicht, einfach und ergreifend einen Schalter ins Gehäuse bauen, der den Netztstrom trennt, sobald das Gehäuse geöffnet ist. Das ist Essig mit Datenklau
Gut, man könnte dann den kompletten Rechner in flüssigem Stickstoff werfen...

Es gibt keine absolute Sicherheit! Wirds NIE geben!

[SilentCry]

Man könnte schlicht, einfach und ergreifend einen Schalter ins Gehäuse bauen, der den Netztstrom trennt, sobald das Gehäuse geöffnet ist. Das ist Essig mit Datenklau

Das stimmt auch nicht. Das RAM lässt sich locker in einer Minute ausbauen, der Kältespray schon schneller zum Einsatz bringen.

Gut, man könnte dann den kompletten Rechner in flüssigem Stickstoff werfen...

Das wäre auch möglich, ist aber nicht nötig.

Es gibt keine absolute Sicherheit! Wirds NIE geben!

Ich verlange keine "absolute" Sicherheit. Aber was wir hier haben ist das absolute Gegenteil. Ich wundere mich immer, dass mit der "Absolutkeule" zugeschlagen wird, sobald ein untragbares, unerträgliches Problem nicht zu lösen ist. Ein Computersystem MUSS aber so absicherbar sein, dass nur der Befugte Zugang zu den Daten hat, das ist weder mit der Absolutkeule zu deklassieren noch eine unmögliche Forderung.
Der Cold-RAM-Exploit ist eine Katastrophe, kein leichter Kratzer an einer "Absolutsicherheitsforderung". Eine _K_a_t_a_s_t_r_o_p_h_e_!

Für mich ist 02/23 ein viel, viel schlimmeres Datum als 9/11.