Evil maid attack - Ein Angriff auf die Festplattenverschlüsselung

Wenn Sie ein verschlüsseltes Gerät in einem Raum unbeaufsichtigt abstellen und die physische Sicherheit des Geräts nicht garantieren können, könnte man auch Sie mit einem "evil maid"-Angriff ausspionieren. Mithilfe der Überwachungssoftware FinFisher, die das BKA einsetzt, ist die Infektion eines verschlüsselten Systems ohne Kenntnis des Passworts, durch Manipulation des Bootloaders, möglich. Die Installation eines solchen Trojaners fand in einem Fall während der Zollkontrolle am Flughafen statt, aber auch mit einem Einbruch verschafften sich Ermittlungsbehörden in der Vergangenheit Zugang zu Computern (Heiser S.: Heimlicher Einbruch bei Dieben - https://www.taz.de/!79701/ - Zugriffsdatum: 25.05.2015, 15:01 Uhr).

Nur durch das regelmäßige Kontrollieren des Bootloaders (vor der Eingabe des Passworts) auf Authentizität würde Ihnen eine solche Manipulation auffallen. VeraCrypt und TrueCrypt ermöglichen eine Wiederherstellung des Bootloaders mithilfe der "Rescue Disk" , die Sie während der Verschlüsselung erstellt haben. Eine solche Wiederherstellung würde den infizierten Bootloader überschreiben und so den Angriff vereiteln. Wenn Sie die Festplattenverschlüsselung unter Linux nutzen, gibt es hier Tipps wie man eine Manipulation entdecken bzw. verhindern kann. Das Einrichten eines BIOS-Passworts und das Deaktivieren von Boot-Medien wie USB-Sticks oder CDs können einen Angriff erschweren und zeitaufwendiger machen.

Dennoch müssen Sie Ihr Gerät vor physischem Zugriff schützen um BIOS/UEFI/Firmware-Manipulationen oder Hardware-Manipulationen zu verhindern. Wichtig ist, dass Sie einen Manipulationsversuch entdecken können. Wenn die Angreifer Koffer, Tresore oder Schlösser beschädigen müssen um Zugriff auf Ihr Gerät zu erlangen, haben Sie die Chance den Angriff frühzeitig zu entdecken und das System als kompromittiert anzusehen. Sie sollten das System in einem solchen Fall nicht weiter benutzen.

Tags: