Firewire: Scheunentor für Ermittler (und andere Gangster)?
Diese unscheinbare Meldung auf Heise lässt einen schon ins Grübeln kommen:
Konkret werde dabei beim Besuch von Experten des Landeskriminalamts zunächst bei einem laufenden Rechner der Arbeitsspeicher gesichert, dann ohne Herunterfahren der Stecker gezogen, die Platte ausgebaut und ein Image gezogen. Erst danach starte der Prozess der eigentlichen Sichtung, die oft von externen Dienstleistern durchgeführt werde
Wenn das tatsächlich stimmt, dann kann man sich Verschlüsselung & Co. wohl ganz gepflegt in den Hintern stecken, denn in der Regel findet man im Hauptspeicher dummerweise exakt die passenden Schlüssel zu den Daten, die man doch eigentlich geheimhalten wollte. Jedenfalls solange die betreffende Partition gerade aufgeschlossen ist, aber genau das ist bei der an und für sich sehr empfehlenswerten full disk encryption ja der Fall.
Ein wenig Forenlektüre beweist, dass das beschriebene Verfahren in vielen Fällen tatsächlich problemlos durchführbar ist. Denn aufgrund eines fatalen Designfehlers in der Spezifikation erlaubt der bei den meisten moderneren Mainboards und Notebooks vorhandene Firewire-Port das Auslesen des kompletten Hauptspeichers ohne Zutun des Betriebssystems:
For many years now, attacks via Firewire / i.LINK / IEEE 1394 have been a known security issue. Basically, if you gain physical access to a PC or laptop which has Firewire ports (or PCMCIA/Cardbus/ExpressCard, more on that later) you can
- read arbitrary RAM contents from the victim’s system,
- overwrite arbitrary RAM contents with whatever you want,
- and perform many, many severe attacks based on the two issues above. Examples include grabbing a full RAM dump via Firewire (takes only a few minutes), grabbing ssh-agent keys, grabbing screen contents, modifying screen contents, bypassing login/password screens, and many, many more…
All of this is done by exploiting a “feature” of the Firewire spec (OHCI-1394) (PDF), namely that it allows read/write access to physical memory (via DMA) for external Firewire devices. Worse, as this is DMA, the CPU/OS will not even know what’s going on. Even worse, this works regardless of whether you have locked your screen with a password-protected screensaver, or xlock, or vlock, or whatever. As long as the system is running, you’re vulnerable.
Auch wenn der Artikel das nicht so direkt erwähnt, ist es nicht schwer vorstellbar dass interessierten Kreisen längst fertige Geräte zur Verfügung stehen, mit denen man ganz gemütlich einen kompletten Speicherdump machen und später in aller Ruhe Passwörter, private Keys und was sonst noch alles interessant sein könnte herauslesen kann. Oder gleich einen Keylogger oder sonstige Schnüffelsoftware installieren, wie z.B. den heiss diskutierten Bundestrojaner oder eine ordinäre Phishingsoftware.
Wer sich dagegen schützen möchte, kann entweder den Firewire-Port physikalisch unbrauchbar machen (was aber nicht so gut kommt, wenn man den doch mal irgendwann benutzen oder die Hardware weiterverkaufen möchte), oder zumindest DMA für Firewire deaktivieren. Unter Debian/Ubuntu geht das recht einfach:
echo "options ohci1394 phys_dma=0" | sudo tee -a /etc/modprobe.d/options; sudo update-initramfs -u -k all
Nach dem nächsten Reboot sollte DMA für den Firewire-OHCI-Treiber deaktiviert sein, was allerdings auch eine gewisse Performanceminderung bei externen Firewire-Platten zur Folge hat. Wer nur wegen ein paar doofen Beamten nicht gleich rebooten möchte, kann den Schutz zusätzlich(!) auch direkt mit
sudo modprobe -r ohci1394; sudo modprobe ohci1394 phys_dma=0
aktivieren. Mit
cat /sys/module/ohci1394/parameters/phys_dma
lässt sich anschließend überprüfen ob das auch geklappt hat.
-
Danke für den Hinweis. Da ich ja selbst verschlüssele (wie du ja weißt) bin ich der Sache gleich mal nachgegangen – interessanterweise mit großer positiver Überraschung. Ich war nämlich nicht verwundbar.
Meine beiden stationären Rechner haben gar kein Firewire, da ich dafür überhaupt keine Partner habe. (besitze keine dig. Videokamera o.a. Geräte mit FW-Anschluss.Nur mein Laptop hat einen Firewire-Anschluss. Da ich ja wie gesagt keine passende Gegenstelle habe, habe ich die Firewire-Schnittstelle (läuft im XP als Netzwerkkarte) einfach deaktiviert bei der letzten Installation des Laptops.
Intuitiv wohl das richtige gemacht!Merke: Es war schon immer sinnvoll, Türen die man nicht braucht, immer feste zu verrammeln! ;-)
Ein interessantes Thema, über das du sprechen könntest, ist das der Flash-Cookies. Nicht dass es völlig neu wäre, es hat es aber – wie die Firewire-Sache – nicht so recht in die Köpfe der Benutzer geschafft.
Gruß
Frank
// Frank // 2009-01-03 13:19 // -
kann mir mal jemand erklären warum man diesen Abschaum überhaupt in die Wohnung lassen sollte? Ignorieren klappt bei der GEZ auch prima.
// SHSH // 2009-01-04 23:05 // -
> kann mir mal jemand erklären warum man diesen Abschaum überhaupt
> in die Wohnung lassen sollte? Ignorieren klappt bei der GEZ auch prima.Die Antwort auf deine Frage ist äußerst trivial. Du hast gar keine andere Möglichkeit als die Herren, die in einer Anzahl von mindestens 6 Mann auftauchen, nach Vorzeigen des Durchsuchungsbefehls herein zu lassen. Kleinere Scharmützel wie “fehlender ziviler Zeuge” u.ä. zeitaufschiebende Zwischenspiele mal beiseite gelassen.
Denn diese Herren können Verstärkung in fast beliebiger Menge und mit überzeugendenWaffenArgumenten herbeirufen, wenn du Ihnen den Zutritt verweigerst oder du ihnen gar drohst.
Solltest du nicht zufällig Anführer einer militärisch ausgerüsteten 1000 Mann-Widerstandsbewegung sein, dann wird deine Auseinandersetzung mit den Staatsbediensteten vor deiner Türe höchstwahrscheinlich in äußerst kurzer Zeit und sehr nachhaltig entschieden sein.Viel Erfolg!
// Frank // 2009-01-05 13:12 // -
na und? Wenn ich durch den Türspion Leute erblicke, die nicht unbedingt wie Paketdienst aussehen, lass ich sie einfach nicht rein. Die können sich mit ihrem Durchsuchungsbefehl duschen gehen. Und selbst wenn, Platte raus, fake-Platte rein. Fertig.
// SHSH // 2009-01-05 13:16 // -
Da hat unser Kollege “SHSH” nicht ganz unrecht: In vielen Fällen kann man durch geschicktes Taktieren durchaus einige Zeit herausschinden – die einem allerdings nur dann etwas nützt, wenn man sich vorher Gedanken gemacht und ggf. erforderliche Vorbereitungen getroffen hat. Kommt natürlich auch darauf an, ob die Herren in Grün (oder modernerweise blau) gerade auf der Suche nach einem vor zwei Jahren im Esel gesharedten Office XP sind oder eher den aufgrund todsicherer Geheimdienstinformationen im eigenen Keller vermuteten Nuklearsprengkopf finden wollen.
Sauber herunterfahren ist jedenfalls immer eine gute Idee, nicht zuletzt auch wegen denkbaren Cold-Boot-Attacken. Und wenn das nicht mehr geht, kann man notfalls immer noch am Sicherungskasten vorbeigehen, bevor man die Tür aufmacht.
// drchaos // 2009-01-06 00:04 // -
@Frank:
Merke: Es war schon immer sinnvoll, Türen die man nicht braucht, immer feste zu verrammeln! ;-)
Feste rammeln ist eigentlich nie verkehrt. Aber danke für den Hinweis zu Flash-Cookies, die sind sicher noch mal einen eigenen Hinweis wert, alter Hut hin oder her, benutzt wird das Zeug jedenfalls wie wild.
// drchaos // 2009-01-06 00:07 // -
> Da hat unser Kollege “SHSH” nicht ganz unrecht: In vielen Fällen
> kann man durch geschicktes Taktieren durchaus einige Zeit herausschinden -
Das sehe ich völlig anders. Wenn die Herren an der Tür stehen, und du dann Zeit schinden musst um irgendwelche Aktionen durchzuführen, dann hast du im Vorfeld deine Hausaufgaben nicht gemacht.
Die einzige Sache, wo das Schinden von ein paar Minuten ausnahmsweise Sinn machen könnte, ist dann, wenn du lediglich eine Hand voll CDs noch schnell verstecken musst oder andere 30 Sekunden Tätigkeiten.
Aber in der Mehrheit der Fälle, ist doch in ein paar Minuten überhaupt nichts mehr zu erreichen. Und Gegenstände, die größer sind als die genannten paar CDs sind jetzt doch eh nicht mehr aus dem Haus zu schaffen o.ä.Es ist daher weitaus klüger, bestens vorbereitet zu sein, die Herren freundlich herein zu bitten und Ihnen das Gefühl zu geben, dass Sie gerade den gesetzestreuesten Bürger aufsuchen. Die müssen ein richtig schlechtes Gewissen haben, bei dir in der Bude zu stehen und so werden sie sich dann auch verhalten.
Wenn du Ihnen jedoch zuerst einen auf “Toten Mann” machst, die dann sowieso nach 10-15 Minuten die Tür öffnen lassen, dich dann beim Vernichten von Beweismaterial antreffen, dann hast du alles nur erdenkliche gemacht, dass der Rest der Durchsuchung für dich möglicht negativ ausgeht. (Riesenunordnung, Aufbrechen der Böden, Aufbrechen der Wandisolierungen…..)
Nicht alles, was die dann machen können ist gesetzeskonform, aber DU wirst sie deswegen nicht belangen können!Jede Minute, die du nach dem Klingeln an der Haustür, noch zu schinden versuchst, wird eine sehr teuer erkaufte Minute sein. Sie haben jede Menge Möglichkeiten dich an diesem Tag zu ärgern – du hingegen hast gerade verdammt wenig Asse im Ärmel! Daher würde ich absolut vermeiden, auf Konfrontationskurs zu gehen.
Ein jeder hat im Leben seine eigene Vorgehensweisen! Sollten die Herren bei dir einmal vor der Türe stehen (was ich dir nicht wünsche), darfst du uns gerne berichten, wie deine Geschichte nach “Ich spiel mal einen auf toter Mann und die sollen duschen gehen” weiter ging. Wenn es bei dir was zu finden gab, dann bestimmt nicht allzu gut. Und wenn es bei dir nichts zu finden gibt, dann hättest du doch einfach öffnen können und lächeln.
// Frank // 2009-01-07 09:29 // -
(Riesenunordnung, Aufbrechen der Böden, Aufbrechen der Wandisolierungen…..)
Nicht alles, was die dann machen können ist gesetzeskonform, aber DU wirst sie deswegen nicht belangen können!Stört mich nicht. Nicht meine Wohnung. Der Vermieter wird sich beim Staat erkenntlich zeigen. Und so 2,5″ HDs krieg ich locker binnen Sekunden unauffindbar versteckt, keine Sorge. Außerdem hatte ich grad die Kopfhörer auf, als sie geklingelt haben. Pech, nicht wahr.
// SHSH // 2009-01-07 13:16 //
