Basis des neuen Angriffs ist eine altbekannte Technik namens Cold Boot. Dabei wird der Rechner abrupt abgeschaltet, beispielsweise indem man den Stecker zieht. Beim Neustart wird dann ein USB-Stick mit Schadcode genutzt, um die Daten im Arbeitsspeicher des Rechners auszulesen. Daraus wiederum lassen sich die kryptografischen Codes für den Rest der Festplatte ableiten. Vor zehn Jahren haben die Hersteller dem jedoch einen Riegel vorgeschoben und den Arbeitsspeicher besser abgesichert. Dabei setzt das Betriebssystem einen Marker, dass im Arbeitsspeicher noch Daten vorliegen. Wird der Rechner normal heruntergefahren, wird dieser Marker zusammen mit den Daten im Arbeitsspeicher gelöscht. Falls nicht, bleibt er bestehen und signalisiert dem System, dass es erst die Daten löschen muss, bevor weitere Aktionen durchgeführt werden.
Dementsprechend ist die Attacke auch nicht mehr ganz so einfach durchzuführen wie damals und erfordert etwas größere Eingriffe in die Hardware. Zuallererst mussten die Forscher den Marker umgehen. Dabei fiel ihnen ein Problem auf: Wenn sie sich direkt mit dem Chip verbanden, der die Firmware des Computers und damit auch den Marker beherbergt, konnten sie diesen unbemerkt löschen. Dadurch nahm der Computer beim nächsten Neustart an, dass er zuvor korrekt heruntergefahren wurde und dass keine weiteren Daten mehr im Arbeitsspeicher gelöscht werden müssen. Und egal welche Daten der Arbeitsspeicher enthält, die Verschlüsselungscodes für den Rest der Festplatte sind immer darunter. Nachdem die Forscher ihre Angriffsmethode entwickelt hatten, testeten sie sie erfolgreich an den verschiedensten Computermodellen.
Genau da liegt auch die Gefahr: Der neue, erweiterte Cold-Boot-Angriff funktioniert, wie bereits erwähnt, eigentlich bei jedem Computer – und stellt damit eine potenzielle Gefahrenquelle für jeden Besitzer dar! Zwar braucht man direkten physischen Zugriff auf die Hardware, gerade bei Industriespionage kann das Ergebnis den Aufwand jedoch durchaus wert sein. Ebenfalls kritisch: Nutzen viele Computer in einem Netzwerk die gleichen Verschlüsselungsalgorithmen, können über einen einzigen Rechner das ganze Netzwerk und der Server kompromittiert werden. Es gibt jedoch auch Möglichkeiten, um sich zu schützen, beispielsweise indem man ein zusätzliches Verschlüsselungstool nutzt, das ein Kennwort abfragt, bevor auch nur das Betriebssystem hochfährt. So wird verhindert, dass im Arbeitsspeicher etwas Stehlenswertes zurückbleibt.
Mit ihrem Cyber Security Center schützt die 8com die digitalen Infrastrukturen ihrer Kunden effektiv vor Cyber-Angriffen. Es beinhaltet nicht nur ein Security Information and Event Management (SIEM), ein Vulnerability Management sowie professionelle Penetrationstests, sondern auch den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management gehören ebenfalls zum Angebot.
Die 8com GmbH & Co. KG zählt zu den führenden Anbietern von Awareness-Leistungen und Informationssicherheit in Europa. Seit 14 Jahren ist es das Ziel der 8com, ihren Kunden die bestmögliche Leistung zu bieten und gemeinsam ein ökonomisch sinnvolles, aber trotzdem möglichst hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyber-Kriminellen können die Experten der 8com bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Projekt – SpardaSurfSafe
Telefon: +49 (6321) 48446-0
E-Mail: redaktion@8com.de