1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Sicherheitsthema. Safe Sleep

Dieses Thema im Forum "macOS & OS X" wurde erstellt von SilentCry, 21.01.08.

  1. SilentCry

    SilentCry deaktivierter Benutzer

    Dabei seit:
    03.01.08
    Beiträge:
    3.831
    Ich möchte ein Posting von mir aus einem anderen Forum hier her stellen, auf dass es die Sicherheit erhöhen möge:

    Der Safe Sleep ist das, was PC-Nutzer unter Hibernation kennen, also den kompletten RAM-Inhalt auf die Platte schreiben und den Rechner quasi ausschalten. Vorteil: Kein Stromverbrauch, beim nächsten Start ist alles so wie nach einem normalen Standby.
    Nachteil: Security.

    Daher habe ich nach einer Möglichkeit gesucht, Safe Sleep abzuschalten und hier gefunden:

    KLICK

    Selbstverständlich verliert man damit den Schutz, dass der Mac bei kritischem Batteriezustand in einen sicheren Zustand fährt - aber ich persönlich verliere lieber Daten als sie zu kompromittieren.
     
    #1 SilentCry, 21.01.08
    Zuletzt bearbeitet: 21.01.08
  2. MacAlzenau

    MacAlzenau Golden Noble

    Dabei seit:
    26.12.05
    Beiträge:
    19.398
    Not Found

    The requested URL /article.p...70302210328928 was not found on this server.
     
  3. SilentCry

    SilentCry deaktivierter Benutzer

    Dabei seit:
    03.01.08
    Beiträge:
    3.831
    Korrigiert. Danke sehr! (Typ. copy/paste-Fehler :.)
     
  4. Bier

    Bier Pomme au Mors

    Dabei seit:
    24.08.07
    Beiträge:
    867
    Du gehst also davon aus, dass wer anders Hardware Access hat?
     
  5. SilentCry

    SilentCry deaktivierter Benutzer

    Dabei seit:
    03.01.08
    Beiträge:
    3.831
    Du schliesst also aus, dass jemand HW-Access hat?
    Beispiel: Notebook kommt abhanden. Er lässt es laufen und wartet, bis es hiberniert. Dann hat er einen Angriffsvektor.
     
  6. Rastafari

    Rastafari Golden Noble

    Dabei seit:
    10.03.05
    Beiträge:
    17.896
    1) "Hibernieren" kann ich im Duden leider nicht finden, und da steht mittlerweile sogar solcher Brontalschwachsinn wie "googeln" und "downloaden" mit drin. Könntet ihr bitte mal versuchen, euch nicht auch noch den allerletzten Rest an verbliebener, eigener Gehirnmasse vom Redmonder Neuronenkrebs wegfressen zu lassen? Ich fände das echt gut.

    2) Wenn ich physischen Zugang zu deinem Notebook habe, brauche ich keinen Angriffsvektor mehr. Dann bin ich der Angriffsvektor.
    Und um bei stromführendem (sprich: eingeschaltenem) Rechner an den Inhalt des Hauptspeichers zu kommen, braucht ein gewiefter Datenklau deinen ach so heiklen Memorydump überhaupt nicht.
    Dazu genügt ein ganz simpler, manipulierter USB-Hub. Und das funktioniert bei *jedem* Rechner, unter *jedem* OS - sofern er auch nur einen einzigen korrekt nach OHCD-Specs designten USB-2 Port besitzt. Im Klartext: immer.
    Damit kann er sich deinen gesamten RAM sogar auf ein anderes System klonen, ohne dass dein OS oder du auch nur das geringste davon mitbekommen. Einen Schutz davor kann es aus Gründen des generellen Hardwaredesigns gar nicht geben, jegliche Form von Kryptografie oder Zugangsschutz auf Kennwortebene sind völlig machtlos dagegen. Da müsstest du deinem Rechner das USB-2 Interface schon komplett aus der Platine herausamputieren, alles andere ist wirkungslos gegen diese Art von Angriff.
    Willkommen in der Welt der "System Security" a la Schilda. Oooops.
     
    hbex und (gelöschter Benutzer) gefällt das.
  7. SilentCry

    SilentCry deaktivierter Benutzer

    Dabei seit:
    03.01.08
    Beiträge:
    3.831
    Lieber Rastafari.
    Erstens ist "hibernieren" in der IT ein ganz gebräuchlicher Ausdruck. Ich kenne ihn seit den 90er-Jahren, wir hatten damals nämlich massiv Probleme mit dem Hibernieren unter OS/2.
    http://de.wikipedia.org/wiki/Hibernation
    Zweitens möchte ich gerne richtige Belege (und zwar am besten eine working Demo, ja?) für Deine Behauptung, man bräuchte nur mit einem wundersamen USB-Stick an einen Rechner gehen und könnte das gesamte RAM abgreifen. Denn dann, so gebe ich Dir Recht, kann man sich gegen den NeuGeStaSiPo-Staat jedwegen Widerstand sparen. Zumindest den gewaltfreien.
    Für mich klingt das eher nach Alice im Wunderland oder nach einer Überdosis Hackerstories ala "Password Swordfish".
    Edit: Aber ich lasse mich gerne eines besseren Belehren. Einen USB-Stick habe ich schon bereit gelegt, ich warte auf den Link.
    Edit2: Ich habe übrigens "manipulierter USB-Hub" als "manipuliertem USB-Stick" interpretiert. Oder meintest Du tatsächlich einen Hub?
    Edit3: Ich habe tatsächlich etwas in der Art gefunden: Klick
    Allerdings kommt dann wieder einer Aussage...
    Vor allem die Endbehauptung ist sehr generisch. Ist das bei OS X auch so... fehlerhaft?
    Edit4: Es wird immer schlimmer, je mehr ich danach suche: http://md.hudora.de/presentations/#firewire-21c3
    _Allerdings_ ist das aus 2004.

    Also - mir stellt sich nun die Frage: Ist bei aktuellen Macs die USB-, resp. FW-Implementierung tatsächlich immer noch so angreifbar wie 2004 vom CCC beschrieben, dann darf man keinen Computer mehr laufen lassen, unter solchen Vorraussetzungen wird die Benutzung eines Rechners eigentlich völlig unmöglich.

    Ich finde nichts aktuelles und konkretes.
     
    #7 SilentCry, 21.01.08
    Zuletzt bearbeitet: 21.01.08
  8. Rastafari

    Rastafari Golden Noble

    Dabei seit:
    10.03.05
    Beiträge:
    17.896
    So wie "Brontal" in anderen Bereichen. Soll ich auch mal ein paar Worte erfinden? Wenn andere das können, bringe ich das auch. Wie wärs mit "Präpypulärisieren"?
    Ich weiss zwar noch nicht wofür ich den Begriff mal verwenden will, aber unter die Leute bringe ich den schon. Einfach oft genug bei jeder sich bietenden Gelegenheit verwenden, der Rest ergibt sich. Gefällt er dir?

    Stimmt. Unter einer solchen Atmosphäre atmen zu können ist ziemlich schwierig.

    "Hiber, Hiber..."
    [ "Scooter", Bravo-Hits CD 1999 (?) ]

    Die wirst du dir schon selber basteln müssen. Mit dem Lötkolben, ein wenig sonstiger Ausstattung wie sie für Entwickler von Hardwarekomponenten üblich ist (Oszilloskop etcetera), und guten Kenntnissen des USB Busprotokolls.
    Du kannst solch Zeug zwar auch im Internet für etwa 500-1000 Euronen fix und fertig kaufen, aber die Hersteller verlangen einen beruflichen Befähigungsnachweis, ähnlich wie die Anbieter profesioneller Werkzeuge für die klassische Sperrtechnik (Schlüsseldienst genannt).
    (Sei froh, dass du das nicht so einfach bekommst, dann bekommen es nämlich andere auch nicht leichter...)

    Interessant an diesen Angeboten finde ich übrigens, dass zumindest dieser Anbieter hier es nicht unterlässt, ein und dieselbe Hardware unter zwei verschiedenen Bezeichnungen und sogar zwei verschiedenen Firmennamen an seine solvente Kundschaft zu verticken und damit den doppelten Reibach einzufahren. Eine separate Mac- und PC-Version sind nämlich ein reiner Marketingbluff und eine reine Frage der mitgelieferten Software zur Auswertung von damit gezogenen Daten. USB ist nämlich USB, ob im Mac oder im PC ist für die Funktion so schnurz wie der aktuelle Wasserstand im Hafen von Novosibirsk.
    Dass der Anbieter ein ganz wenig über die Wirkungsweise seines Produkts flunkert und nur von "Schlüsselbunddaten" spricht, finde ich dabei aber nicht mal so verkehrt.
    (Dabei wären gerade die Schlüsselbunde für einen Angreifer eine ziemlich wertlose Sache...was solls. Weiss eh keiner, der's kauft... :cool::cool::cool::mad::cool: )

    Von einem Hub war die Rede.
    Der beinhaltet im Gegensatz zu den "Marke Super-Simpel"-Modulen, die in Speichersticks zum Einsatz kommen, einen *vollwertigen* Hostcontroller, der auch als Mastercontroller des gesamten USB-Baums dienen kann - und nicht nur als Client, wie das normalerweise für Peripherie üblich ist. So wie der PCI-Adapter in deinem Rechner auch, der ja üblicherweise die ganze Zeit über die Rolle dieses Masters innehat.

    Sherlock H.Olmes 2.0 erklärt den Tathergang wie folgt:

    Solange dein Rechner im Ruhezustand ist, ist das auch beim USB-Interface so. Die Versorgungsspannung (5V) bleibt zwar ständig angeschalten, aber der Pakettransfer wird auf ein erforderliches Minimum heruntergesetzt. Sobald das USB-2 Protokoll keine Transfers mehr abzuwickeln hat, schaltet USB-2 ab und nur das USB-1 Protokoll bleibt aktiv, der Adapter liegt quasi in einer Art "Halbschlaf", in der nur eine Gehirnhälfte wach bleibt.

    Solange sich der Hostcontroller deines Rechners in diesem Zustand befindet, verhält er sich eher als Client denn als Master und das macht es technisch möglich, ihm diese Rolle des "Herrschers" über den Bus sozusagen "vor der Nase wegzuschnappen", sobald du ihn zum Aufwachen bringst.
    Das einzige was du dazu brauchst ist ein "besonders aggressiv" vorgehender Client, der sehr viel schneller und sehr viel "lauter" im USB-Shim auf sich aufmerksam macht als das ein regulärer Bus-Master tut. Dann gibt der bisherige Master freiwillig die Kontrolle an den neuen Pascha ab.
    (So verlangen es die USB Whitepapers, das ist völlig normal. Das ist zwingend erforderlich, um zwei "dumme" Geräte oder aber auch zwei Computer erfolgreich direkt per USB-2 koppeln zu können. Im Handel gibt es dafür extra "Linkkabel" zu kaufen.)

    Und da USB-Hostcontroller schon seit langem nur noch als "busmasterfähige" PCI-Adapter mit "frei konfigurierbarer ACPI-Schnittstelle" ausgeführt werden, hat der Angreifer relativ leichtes Spiel. Diese Eigenschaften befähigen den neuen Master im USB-System nämlich, den regelrecht als "Sklaven gefangenen" eigentlichen Hostcontroller als seinen "Spion mit Zutrittskarte" einzusetzen. Der Parasit veranlasst von aussen einen sinnfreien DMA-Zugriff nach dem anderen und teilt dem internen Adapter dabei bewusst falsche Speicherfensteraddressen für die Quittungspakete mit. So saugt er in wenigen Sekunden einen 64 kB fassenden Block nach dem anderen aus dem RAM, das für übliche PCI-Adapter ja nichts anderes ist als ihre "vogelfreie Spielwiese"....und die CPU hält dazu ganz brav still, weil sie das ja auch gewohnt ist, wenn du ganz legale Datentransfers abwickelst. Nur der Chipsatz werkelt, genau so als würdest du gerade Daten auf eine Festplatte schreiben wollen. Der Controller in deinem PC weiss nämlich gar nicht wozu und warum er das tut, dazu ist er viel zu "blöde", ihm fehlt jegliche Eigenintelligenz. Der tut lediglich das was er sonst auch tut, seine gewohnten Anweisungen ausführen nämlich. Dass anstatt Nutzdaten lediglich umfunktionierte Fehlerkorrekturdaten über den Bus marschieren ist total irrelevant, denn die wandern auch mit vollem Tempo, das geht noch nicht mal langsamer als sonst auch.
    (Wenn ich mir das so durch den Kopf gehen lasse, spricht eigentlich auch nichts dagegen, auf diesem Weg auch beliebige Festplatteninhalte absaugen zu können...sogar der aktuell am Bildschirm zu sehende Framebuffer-Inhalt der GraKa sollte so abgreifbar sein. Zugriff auf die Webcam gefällig? Oder aufs Netzwerk? Alles nur eine reine Frage der richtigen Addresse im PCI-System... ...dank ACPI frei wählbar. Hooray, Plug and Play!)

    Während der ganzen Aktion macht deine CPU nicht mal einen einzigen Mucks. Das ist nun mal das Wesen des DMA, genau das meint ja "Direct Memory Access", nur eigentlich mit anderen Intentionen. Es gibt halt nichts, was man nicht auch irgendwie missbrauchen könnte. Der digitale Fluch.

    Wie da eine beliebige Software was dagegen machen könnte? Das wäre in meinen Augen pure Magie. Na? Kannst du folgen? Dürfte klar sein, dass die Verbreitung dieser "Lockpicks" in gewissen Kreisen (ohne Gewissen) nicht ganz so gering ist wie sie eigentlich sein sollte, hm?

    Ob ICH in der Lage wäre sowas zu bauen?
    Gib mir Equipment für schätzungsweise 30-50.000 Euro und ein paar Wochen Zeit.
    Schliesslich hat man ja mal einen Beruf gelernt, der in diese Richtung geht.
    Sagen wir's mal so: Ich würds mir zutrauen. Was mir eher fehlen würde, wäre die erforderliche kriminelle Energie dahinter. :)

    "The revolution will not be televised, my brothers.
    The revolution will not feel better running it with Coke.
    The revolution will happen, and it will be live.
    The revolution will not be televised."

    [Malcolm X]​
     
    ImperatoR, C64 und zeno gefällt das.
  9. Hallo

    Hallo Gast

    Ich möchte dem noch hinzufügen, dass man als User sehr wohl berücksichtigen sollte, wer eine Information liefert und für welchen Zweck! Ansonsten hat es Rastafari bestens auf den Punkt gebracht!
     
  10. James Grieve

    James Grieve Holländischer Prinz

    Dabei seit:
    15.04.07
    Beiträge:
    1.866
    Schach und Matt ;)
     
  11. Rastafari

    Rastafari Golden Noble

    Dabei seit:
    10.03.05
    Beiträge:
    17.896
    Du missverstehst: Die auf dem Rechner laufende Software spielt nicht die geringste Rolle.
    Das ist ganz alleine eine Hardwarefrage. Und da sind wirklich alle gleich. (Zumindest in dieser Hinsicht.)

    Und? Hättest du was gehört, dass seither was völlig neues verbaut würde?
    FireWire bleibt FireWire, und USB-2 bleibt USB-2.
    Das sind Standards, keine Eintagsfliegen. Da ändert sich nichts mehr dran.

    Der Baum der Erkenntnis beugt sich nicht zu dir herab.
    Da musst du schon selber raufklettern und einen auf "Adam 2.0" machen.
    Aber wenigstens scheint dir schon mal das Wasser im Mund zusammenzulaufen, jetzt wo du die süssen Kirschen da oben zumindest schon mal sehen kannst. :)
     
  12. arc

    arc Leipziger Reinette

    Dabei seit:
    18.10.05
    Beiträge:
    1.787
    The evolution will be televised.

    Rastafari, das war Kür und Pflicht in einem - ziemlich eleganten Schlenker.
    Baff! :)
     
  13. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.709
    Angreifbarkeit per DMA ist der Preis für diese schnellere Computertechnik.

    Hat der CCC nicht dazugeschrieben, daß man mit Setzen des Open Firmware-Paßwortes den direkten Hauptspeicherzugriff (DMA) per Firewire deaktiviert?

    Sie haben doch nicht etwa nur Panik gemacht und keine Lösung angeboten?
     
  14. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.709
    Ich stelle mir gerade bildlich vor, wie ein Bundesminister des Inneren eine ganze LKW-Ladung von den Dingern ordert.

    Ist der USB-Hub-DMA-Angriff ummöglich, wenn man den Ruhezustand deaktiviert (also nur an oder aus und nie schlafen lassen)?
     
  15. Rastafari

    Rastafari Golden Noble

    Dabei seit:
    10.03.05
    Beiträge:
    17.896
    Deckel zu, Affe tot.
     
  16. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.709
    Notebooks abschaffen :)
     
  17. Rastafari

    Rastafari Golden Noble

    Dabei seit:
    10.03.05
    Beiträge:
    17.896
    Den direkten, ja. Also den der am Treiber vorbeiläuft, wo er sich per Software diskret filtern liesse. Eindeutig ein grosses Plus, aber das ist mittlerweile angestaubter PPC-Stoff. Aktuelle Rechner stehen da... .....wo????

    Ausserdem... wozu den Einbruch über ein Bussystem versuchen, das auf vielen Rechnern (ich nenne die jetzt mal "PC", ganz wertfrei) noch nicht mal vorhanden ist?
    Da würde ich als Werkzeug meiner Wahl doch das wählen, das mein Opfer auch zu 100,0% hat, oder?

    Übrigens:
    Hier neben mir steht ein Athlon, also ein typischer Vertreter der Seifenkistenfraktion. (Meine kleine private Renderfarm für arme Leute, die sich keine Gasheizung mehr leisten können).
    Weisst du was mit dem passiert, wenn du dich vor solchen Attacken dadurch schützen möchtest, indem du das gesamte USB-Gerödel im BIOS komplett "deaktivierst"? (Was sogar ziemlich gut wirken würde, denn DMA ohne BIOS-Support ist ungefähr so denkbar wie ein Handballer ohne Arme...)
    Das Teil bleibt gegen Ende der BIOS-Initialisierungsphase (also unmittelbar vor dem allerersten lesenden Festplattenzugriff) einfach kommentarlos stehen. Er bootet nicht. Er stellt sich einfach kaputt. Das auf dem Board integrierte POST-Code Display deutet auf einen fehlenden IDE-Controller hin. Ziemlich genial, würde ich sagen: Schaltest du USB ab, gehen die Festplatten unweigerlich auch mit aus.
    Und das machen heute viele PCs (einfach mal ausprobieren). Ein Schelm wer sich was dazu denkt. :)
     
  18. SilentCry

    SilentCry deaktivierter Benutzer

    Dabei seit:
    03.01.08
    Beiträge:
    3.831
    @Rastafari: Danke. eine Frage noch: Konkret, was tut man dagegen? Ist "Computer immer abschalten" und eine Destonationseinheit am RAM des Apple mit Fernzünder der einzige Weg gegen Mafia und NeuGeStaSiPo? [0]

    Das Benutzen eines Computers auf bequeme Art ist damit erledigt. Ab jetzt muss ich ihn abschalten, selbt wenn ich nur auf's WC gehe, bei jedem Download daneben sitzen bleiben, bis es fertig ist, mitnehmen brauche ich den Rechner auch nicht mehr, denn ausser Haus wird man zu leicht vom Rechner getrennt.

    Traurige Welt. Verbrecher auf der einen Seite, Polizei- und Überwachungstaat auf der anderen. :mad:

    [0] Ein Lösungsansatz wäre, Passphrase-Daten nicht im RAM zu halten. Also immer nur für den Moment des Bedarfs anfordern. Wie ist denn nun die aktuelle Lage bei OS X?

    Edit:
    Ich denke, wenn das jeder kaufen könnte, gäbe es auch schon Mittel dagegen. Ein per EFI zu schaltender Switch oder dgl. der diesen Zugriff unterbindet. So aber haben nur das Organisierte Verbrechen und der legale Ableger davon: Der Polizeistaat diese Mittel.
    Ich kann gar nicht beschreiben, wie dreckig es mir jetzt geht. Eigentlich mag ich mir gar keinen neuen Rechner mehr kaufen, ist eh sinnlos. :(
     
    #18 SilentCry, 22.01.08
    Zuletzt bearbeitet: 22.01.08
  19. SilentCry

    SilentCry deaktivierter Benutzer

    Dabei seit:
    03.01.08
    Beiträge:
    3.831
    Ja, das habe ich wohl verdient. Nach meinem "Alice im Wunderland"-Vergleich gebührt mir das.
    Abgesehen davon, dass ich tief erschüttert bin, denn unter solchen Voraussetzungen hat de NeuGeStaSiPo bereits gewonnen. Mir war schon klar, dass manipulierte USB-Sticks mit der Windows-Autostart-Funktion eine Gefahr _für andere_ sind, aber dass einem der eigene Rechner eigentlich nicht gehört, weil jeder Scherge des Polizeistaates sich einen Stick kaufen kann, der alle Sicherheitsmassnahmen aushebelt, ist eine Katastrophe.
     
    C64 gefällt das.
  20. SilentCry

    SilentCry deaktivierter Benutzer

    Dabei seit:
    03.01.08
    Beiträge:
    3.831
    Ich traue mich ja schon fast nicht mehr, aber weil Du bislang so höflich und bemüht warst, mich trotz meines unverfrorenen Erstreply-Postings nicht zu zerfleischen sondern mir mein Leben durch klare Aufklärung kaputt zu machen, noch ein Auswurf von mir:

    Die Platte per DMA auslesen mag ja theoretisch gehen. Aber wenn die CPU nicht aktiv dabei ist, wird er bei verschlüsselten Daten nur Müll kriegen.
     

Diese Seite empfehlen