Das IT-Sicherheitsunternehmen Passware hat vergangenen Freitag per Pressemitteilung (Link direkt auf PDF-Datei) bekannt gegeben, dass ein Softwaretool (Passware Kit Forensic 10.3) die zum Entschlüsseln von Festplattencodierungen wie BitLocker oder TrueCrypt notwendigen Keys (nicht das Passwort) auslesen kann. Die hierzu notwendigen Informationen soll die Anwendung aus der Datei hiberfil.sys automatisch auslesen und die Codierung so nach Angabe des Herstellers binnen Minuten aushebeln.

 

Microsoft kennt das erwähnte Tool. Nicht zuletzt deshalb, weil es während einer Präsentation im Rahmen der diesjährigen TechEd Europe in Berlin demonstriert wurde. Ein Mitschnitt des Vortrags findet sich online, der BitLocker betreffende Teil beginnt zirka bei Minute 49. Der Vortragende liefert nicht nur eine Demonstration des Tools, sondern auch Erklärungen, wie leicht sich ein Angriff auskontern lässt.

 

Einen der erwähnten Tipps haben meine US-Kollegen schon vor beinahe drei Jahren in einem Blogbeitrag erklärt: Die durch das Passware-Tool mögliche Attacke läuft ins Leere, wenn BitLocker eine PIN verwendet und auf einem PC oder Notebook eingesetzt wird, in dem ein TPM (Trusted Platform Module) steckt. Letzteres ist ohnehin Grundvoraussetzung für BitLocker. Ohne TPM lässt sich die Verschlüsselungstechnik nur nach Eingriff in die Registry nutzen – ein Eingriff, der von Microsoft natürlich nicht empfohlen wird.

 

Zwar beschreibt der Blogeintrag nur den Teil des Angriffs, der sich mit dem Auslesen des Hauptspeichers beschäftigt. Nachdem dies aber – wie im Video gezeigt – eine Voraussetzung für den Angriff durch Passware Kit Forensic ist, gilt das im Blog Erläuterte nach wie vor.

 

Ein anderer Weg ist das Abschalten des Energiesparmodus (Windows Systemsteuerung / [....] / Erweiterte Energieeinstellungen ändern). In diesem Fall wird die Datei hiberfil.sys gar nicht erst erzeugt und die BitLocker-Keys landen nicht auf der Festplatte. Insbesondere Notebook-Besitzer sollten die Einstellung überprüfen.

 

Aus meiner Sicht ist die Kommunikation von Passware insgeamt nicht ganz klar: In der Pressemitteilung von Passware zur Version 10.3 des Tools wird der TechEd-Vortragende Andy Malone zitiert und es wird ausdrücklich auf seine Präsentation und das gezeigte Aushebeln von BitLocker verwiesen. Malone präsentierte jedoch die Vorgängerversion 10.1 von Passware Kit Forensic und zeigte risikominimierende Gegenmaßnahmen auf. Inwieweit die aktuelle Variante der Software andere Angriffstechniken beherrscht, ist mir nicht bekannt.