Für viele Truecrypt Benutzer (und natürlich auch andere Nutzer) ist wohl nach wie vor das sog. Bootkit ein Dorn im Auge. Wer es nicht mitbekommen hat: Auf der Black Hat 2009 wurde von Peter Kleissner (TV Total Auftritt) ein neues Bootkit vorgestellt (Stoned Bootkit). Das Besondere daran ist, dass es selbst noch funktioniert wenn die Systemfestplatte mit Truecrypt verschlüsselt wurde. Alter RR Thread
Ein Bootkit schreibt sich in den Master Boot Record (MBR) und wird noch vor dem eigentlichen Betriebssystem geladen. Wenn man jetzt mal von anderen möglichen Malware-Schadfunktionen absieht (z.B. Bankdaten abgreifen, Passwörter klauen, Daten zerstören, usw.) bietet das Bootkit für Truecrypt Nutzer noch einmal eine besondere Gefahr, denn das Bootkit kann einfach das/die Truecrypt Passwort/-wörter aufzeichnen. Bei einem guten Bootkit haben selbst Virenscanner keine Chance es zu erkennen.
Es ist auch durchaus realistisch, dass die Strafverfolgungsbehörden so ein ähnliches Bootkit einsetzen um an die Truecrypt Passwörter von Verdächtigen zu kommen. Die Online-Durchsuchung ist schon längst in Deutschland erlaubt und so ein Bootkit zu installieren wäre damit sicher auch legitim. Es gibt also viele Gründe warum man sich vor einem Bootkit schützen sollte. Die Frage ist nur wie?
Die einzig sichere Möglichkeit eine Bootkit-Infektion zu erkennen ist, wenn man bei jedem Bootvorgang den MBR auf Veränderungen überprüft. Das hört sich umständlich an, aber wenn man eine passende Software dazu hat, die das automatisch macht, ist es kein Aufwand mehr und der Nutzen kann sehr groß sein.
Lange Rede kurzer Sinn
EBFE, wie der Name schon vermuten lässt, ist ein Spezialist im Bereich Low-Level Programmierung und hat eine einfache und gute Lösung entwickelt um eine Bootkit-Infektion erkennen zu können. Die Open-Source Software „Anti B00TKIT“ ist schon sehr ausgereift und funktioniert bei mir schon eine Weile tadellos. Eine sehr gute Anleitung und noch mal eine genaue Erklärung über die Funktionsweise und den Zweck findet ihr in dem ZIP-Archiv, das ihr auf seinem Blog downloaden könnt.
Blog Link
Die neuste Version habe ich auch mal auf XUP hochgeladen, weil er zurzeit paar Hosting Probleme hat und man findet nur einen mail.ru Downloadlink.
Anti B00TKIT v0.8.5
Hi, also zum Thema File-Container mit Truecrypt ist zu sagen, dass das Risiko dabei natürlich sowieso viel höher ist, da man ja praktisch problemlos an den Rechner kommt und einen Keylogger installieren kann. Nichts anderes macht ja das Bootkit, nur auf unterstem Niveau.
Ja klar das das für alle sinnvoll ist allerdings wollte ich wissen ob durch dieses Anti Bootkit auch die File Container geknackt werden können
Ist für alle Leute sinnvoll…
Ehm also an alle ma die sich damit auskennen, ich würde gerne wissen ob das nur für die Nutzer gilt, die bei Truecrypt noch vor dem Boot ein Passwort eingeben müssen oder auch für die Nutzer die NAch dem Booten irgend einen Filecontainer mounten wollen ?