Quote des Tages

den hier sollte man allen “Kinder”porno-Moraltalibans auf die Stirn tackern:

The Mother of Jesus was 12 When she had him, and Joseph was 45 put that in your child porn bullshit pipe and smoke it.

Firewire: Scheunentor für Ermittler (und andere Gangster)?

Diese unscheinbare Meldung auf Heise lässt einen schon ins Grübeln kommen:

Konkret werde dabei beim Besuch von Experten des Landeskriminalamts zunächst bei einem laufenden Rechner der Arbeitsspeicher gesichert, dann ohne Herunterfahren der Stecker gezogen, die Platte ausgebaut und ein Image gezogen. Erst danach starte der Prozess der eigentlichen Sichtung, die oft von externen Dienstleistern durchgeführt werde

Wenn das tatsächlich stimmt, dann kann man sich Verschlüsselung & Co. wohl ganz gepflegt in den Hintern stecken, denn in der Regel findet man im Hauptspeicher dummerweise exakt die passenden Schlüssel zu den Daten, die man doch eigentlich geheimhalten wollte. Jedenfalls solange die betreffende Partition gerade aufgeschlossen ist, aber genau das ist bei der an und für sich sehr empfehlenswerten full disk encryption ja der Fall.

Ein wenig Forenlektüre beweist, dass das beschriebene Verfahren in vielen Fällen tatsächlich problemlos durchführbar ist. Denn aufgrund eines fatalen Designfehlers in der Spezifikation erlaubt der bei den meisten moderneren Mainboards und Notebooks vorhandene Firewire-Port das Auslesen des kompletten Hauptspeichers ohne Zutun des Betriebssystems:

For many years now, attacks via Firewire / i.LINK / IEEE 1394 have been a known security issue. Basically, if you gain physical access to a PC or laptop which has Firewire ports (or PCMCIA/Cardbus/ExpressCard, more on that later) you can

• read arbitrary RAM contents from the victim’s system,
• overwrite arbitrary RAM contents with whatever you want,
• and perform many, many severe attacks based on the two issues above. Examples include grabbing a full RAM dump via Firewire (takes only a few minutes), grabbing ssh-agent keys, grabbing screen contents, modifying screen contents, bypassing login/password screens, and many, many more…

All of this is done by exploiting a “feature” of the Firewire spec (OHCI-1394) (PDF), namely that it allows read/write access to physical memory (via DMA) for external Firewire devices. Worse, as this is DMA, the CPU/OS will not even know what’s going on. Even worse, this works regardless of whether you have locked your screen with a password-protected screensaver, or xlock, or vlock, or whatever. As long as the system is running, you’re vulnerable.

Auch wenn der Artikel das nicht so direkt erwähnt, ist es nicht schwer vorstellbar dass interessierten Kreisen längst fertige Geräte zur Verfügung stehen, mit denen man ganz gemütlich einen kompletten Speicherdump machen und später in aller Ruhe Passwörter, private Keys und was sonst noch alles interessant sein könnte herauslesen kann. Oder gleich einen Keylogger oder sonstige Schnüffelsoftware installieren, wie z.B. den heiss diskutierten Bundestrojaner oder eine ordinäre Phishingsoftware.

Wer sich dagegen schützen möchte, kann entweder den Firewire-Port physikalisch unbrauchbar machen (was aber nicht so gut kommt, wenn man den doch mal irgendwann benutzen oder die Hardware weiterverkaufen möchte), oder zumindest DMA für Firewire deaktivieren. Unter Debian/Ubuntu geht das recht einfach:

echo "options ohci1394 phys_dma=0" | sudo tee -a /etc/modprobe.d/options; sudo update-initramfs -u -k all

Nach dem nächsten Reboot sollte DMA für den Firewire-OHCI-Treiber deaktiviert sein, was allerdings auch eine gewisse Performanceminderung bei externen Firewire-Platten zur Folge hat. Wer nur wegen ein paar doofen Beamten nicht gleich rebooten möchte, kann den Schutz zusätzlich(!) auch direkt mit

sudo modprobe -r ohci1394; sudo modprobe ohci1394 phys_dma=0

aktivieren. Mit

cat /sys/module/ohci1394/parameters/phys_dma

lässt sich anschließend überprüfen ob das auch geklappt hat.

Glaubenssache

Hier mal was Lustiges zum Jahresende: If programming languages were religions. Mir persönlich gefällt der Teil mit Perl am besten…

(via Slashdot)