Видео

Absolut nachvollziehbar 😄 Fühlt sich für mich auch nicht richtig an, eine Release Candidate Version produktiv zu verwenden

Das stimmt :)

Sehe ich anders: Ohne gut funktionierende AV Software würden diese Zahlen ganz anders aussehen

Freut mich ☺️

Das löst zumindest einige der Windows-Probleme:)

Das war ja auch nicht plakativ sondern schlicht falsch. Ihr nennt das zwar Clickbait, ändert aber nichts daran. Und jetzt warte ich auch noch die Erklärung für das "Versagen" von Bitlocker ab. Ich gebe dir einen Tipp. Verändert die Verschlüsselung die Position der Datei auf der Festplatte? Nur wer schon so weit ist, dass er Zeit und Zugriff auf den Rechner hat, der kann auch Dinge tun, die weniger auffällig sind.

In Ordnung

Also Secure Boot ist tatsächlich auf dem HP Laptop eingeschaltet gewesen. Und ich habe da zumindest nicht bewusst irgendwelche zusätzlichen Keys dafür enrolled. Ich bin mir nicht sicher, ob du das Video bis zum Ende geschaut hast - aber gegen Ende hin erkläre ich ja die möglichen Schutzmaßnahmen. UEFI/BIOS Passwort gehört mit dazu, sollte Teil des Schutzkonzepts sein, *falls* man sich gegen derartige Angriffsmethoden verteidigen möchte/muss.

Normalerweise sollte Bitlocker ein System auch *vor allem dann* schützen, wenn jemand Unbefugtes den Computer bzw. den Datenträger in der Hand hält. Finde deinen Vergleich mit PC auf den Boden schmeißen deshalb nicht wirklich passend - gezieltes Ausschalten des Sicherheitssystem VS. den kompletten Computer zerstören. Aber den Punkt mit dem Videotitel habe ich zur Kenntnis genommen, fand den ganz gut plakativ. Aber ist vielleicht ein Stück zu vereinfacht formuliert von mir. Ich überlege mir gerade wie ich das Video stattdessen nennen kann.

Das habe ich nicht verstanden, sorry. Was meinst du damit?

@@diecknet Na wenn man deine 4er Regel anwendet, gibt es keinen ungewollten Zugriff mehr auf die Daten. - Oder hab ich etwas übersehen?

Achso! Ja, klar. Wenn das Gerät ordentlich abgedichtet ist, dann kommen vermutlich auch Strafverfolgungsbehörden nicht mehr an die Daten. Wenn dann aber der Bitlocker-Recovery-Key oder ähnliches in der Schreibtischschublade liegt, ist der Weg ins System eventuell schon wieder geebnet :P

Sauber!

Stimmt, wäre denkbar 😰

Ich rate davon ab, das bei fremden PCs ohne Erlaubnis machen. Und Schul-PCs mutwillig kaputt zu machen ist nicht cool 🤨 (Es sieht übrigens so aus, als würdest du auf eine bestimmte Stelle im Video verweisen, aber ich glaube der Timestamp 564s ist nicht das was du gemeint hast)

Moin! Stimmt, ich meinte 9:06. Ich frage mich halt, ob nicht auch unbeaufsichtigte Schul-PCs anfällig sind. Das Laufwerk mit 'nem PW versehen, funktioniert in diesem Umfeld eben nicht😅 Damit wäre genau 1 der 4 notwendigen Maßnahmen nicht umsetzbar. 🫣

Das stimmt wohl. Wenn die anderen 3 aber umgesetzt sind, dann ist es schon mal ganz gut. Um dann die Festplatte zu manipulieren müsste sie ausgebaut werden und an einen anderen Computer angeschlossen werden. Das ist zwar nicht ausgeschlossen, aber zumindest ein meiner Meinung nach unwahrscheinliches Szenario für eine Schule. Wenn hier wirklich sehr stark motivierte Schüler zugange sind, hilft vielleicht eine Art Read-Only System, welches sich nach jedem Boot zurück setzt. Oder Thin Clients.

Die Info wo die Datei liegt, wird bei NIFO über die Defragmentierungs-API ausgelesen. Vielleicht kann MS das patchen, sodass die Schnittstelle nur für Admins Daten liefert. Ich kann natürlich nicht beurteilen was da noch für Abhängigkeiten dran hängen, vermutlich lässt es sich nicht so einfach fixen 😵‍💫

Ich denke, das wird man auch im Privatbereich nicht so einfach ändern können. Manchen Leuten ist ja schon die normale UAC Abfrage zuviel und sie schalten das Feature komplett ab :( Die andere Richtung wäre eigentlich besser: UAC auf Maximum stellen - dann muss man sich immer authentifizieren um administrative Sachen zu machen. Der Vorteil eines separaten Admin-Kontos ist dann glaube ich nur noch gering (falls überhaupt vorhanden?).

Also ich benutze hier ja ein Linux um die tatsächliche Änderung der Defender Dateien durchzuführen. Ohne den Bitlocker-Key kann ein Angreifer aber *eigentlich* nicht gezielt Dateien löschen/verändern/zerstören. Das ist das Bemerkenswerte an NIFO.

Nein, so würde ich es nicht sagen. Ein Payload bezeichnet den Teil eines Schadprogramms oder einer Malware, der die eigentliche schädliche Aktion ausführt, nachdem das System eines Opfers infiltriert wurde. Es handelt sich also um die "Nutzlast" oder den "aktiven Teil" der Schadsoftware.

Nichts ist perfekt - das stimmt :)

Ich weiß das Szenario ist vereinfacht. Aber ich kann mir verschiedene Möglichkeiten vorstellen, wie jemand unberechtigterweise einen entsperrten Computer in die Finger bekommt. So habe ich es ja auch im Video gesagt: z.B. hat der User den Rechner nicht gesperrt und ist einfach weggegangen. Dass ich jetzt kein Passwort drin hatte für meinen normalen (nicht-Admin) User hat auch nur der Vereinfachung gedient. Aber wer als Angreifer schon physischen Zugang hat, könnte auch auf verschiedenen Wegen das Passwort dieser normalen Users herausfinden (Keylogger, Zettel unter der Tastatur).

Ups! 😅

XD

Moin und danke :) Habe es auch zusätzlich in die Videobeschreibung reingeschrieben, dass physischer Zugriff nötig ist.

Danke, ich hab mich selbst auch schlapp gelacht 😂

Jo klar geht mit einem Live-Linux viel. Wenn die Festplatte verschlüsselt ist (z.B. per Bitlocker), dann ist der Angriffsvektor schon stark reduziert. Deshalb finde ich NIFO sehr interessant: Trotz Verschlüsselung kann das installierte OS beziehungsweise dort installierte Software beeinträchtigt werden.

@@diecknet Dann ist die Platte (bzw. SSD) nicht verschlüsselt, das fand ich ehrlich gesagt auch verwirrend. Ich kenne mich aber mit Bitlocker auch nicht aus, eigentlich sollte es so sein, dass beim Systemstart ein Passwort abgefragt wird, damit der Datenträger überhaupt erst entschlüsselt werden kann. Wenn das nicht der Fall ist, ist es entweder dumm implementiert oder der Datenträger ist eben nicht vollverschlüsselt. Denkbar wäre es natürlich auch, dass der AES-Schlüssel im ersten Schritt, als das Skript erstellt wurde, extrahiert wurde, aber auch dass wäre dann eine mindestens fragwürdige Implementierung einer Verschlüsselung, wenn das ein normaler Nutzer ohne Rückfrage einfach so machen kann. Aber da ja als Voraussetzung für diesen "Hack" extra angegeben war, dass Bitlocker nicht verwendet werden darf, damit es funktioniert, sieht es so aus, als ob eben keine Vollverschlüsselung gegeben war.

NIFO funktioniert trotz korrekt aktiviertem Bitlocker, ohne dass der Angreifer den Bitlocker Key benötigt. Vielleicht solltest du das Video noch einmal schauen - das ist ja genau das was ich demonstriere 🤔

@@diecknet Unten auf der Github -Seite steht aber direkt auch: "Protecting yourself from this (...)Secure harddrive/SSD data with BitLocker (otherwise you could just scan the drive for the sectors)". Das scheint mir doch ein Widerspruch zu sein. Ich habe da nun auch mal näher reingesehen, anscheinend ist das ein Angriff über die Defrag-API (FSCTL_GET_RETRIEVAL_POINTERS) um an die Positionen der Defender-Dateien zu kommen. Die werden dann in dem Shell-Skript hinterlegt. Somit schützt Bitlocker in der Tat genau nicht davor. Daher demonstriert der Exploit eigentlich eine Bitlocker--Schwachstelle, denn das man sich sein System mit einem Live-Linux nach herzenlust manipulieren kann, dürfte klar sein.

Ich sehe den Widerspruch irgendwie nicht. Bei den Schutzmaßnahmen steht drunter: "Fail either of those, and you can get nifo'ed". Also die müssen alle umgesetzt werden. Bitlocker alleine reicht nicht.

In Tests in den letzten Jahren hat der MS Defender immer gut abgeschnitten, als Schrott würde ich den nicht pauschal bezeichnen. Und wie gesagt: Das eigentliche Probleme besteht auch bei anderen Sicherheitsprogrammen.

MS Defender ist schrott das in allen Test als Mittelmäßig und auf letzen Platz. Auf Platz 1 ist Bitdefender.

Achso, würdest du die Kaufversion vom Bitdefender empfehlen, oder reicht die Gratisversion? Habe beide noch nicht ausprobiert

@@diecknet Die Gratisversion hat halt keinen Echtzeitschutz.

Ich denke hier vorallem an Laptops die auch unterwegs oder im Homeoffice verwendet werden. Der Angriffspunkt ist zumindest möglich - ob man ihn im Schutzkonzept berücksichtigen möchte ist ja eine andere Sache.

@diecknet Zumal das Sicherheitskozept mit Bitlocker aber ohne Passwort auch nicht wirklich aufgeht. 😆 Mit Passwort und Bitlocker hat man schon ein recht sicheres System. Da kommt der Skriptkiddy schon nicht mehr einfach rein...

Das stimmt. Bitlocker ohne Passwort/PIN ist nicht wirklich sicher. Gibt da ein empfehlenswertes Video von @stacksmashing: ruclips.net/video/wTl4vEednkQ/видео.html

Richtig! 👍

Für die allermeisten Privatpersonen wird Defender weiterhin ausreichen. Das Ziel der gezeigten Attacke sind eher Organisationen.

Nice!

Und was ist wenn ich einen Cmos-Restet auf deinem System mache. Ein Satz mit x das war wohl nix. Und der Angriffsvektor der hier gezeigt wird ist so schwachsinnig das es schon wider weh tut. Und übrigens wenn ich Physischen zugriff auf eine Maschine habe kann man auch Easy per Chroot Linux manipulieren. Wenn der Dude das OS mit Bitlocker verschlüsselt hätte wäre das hier im gezeigten auch nur Dung.

@MrRuffythemonkey Das OS im Video ist per Bitlocker verschlüsselt

Passt schon - ist nicht für alle gleich schlimm. Für die allermeisten Privatpersonen wird Defender weiterhin ausreichen.

@@diecknetdefiniere Privatperson

@@Alvaro_61_ ich meine damit eine Person die mit ihrem Computer für private Zwecke interagiert - also beispielsweise nicht im Rahmen einer beruflichen Tätigkeit

Passt schon - ist nicht für alle gleich schlimm. Für die allermeisten Privatpersonen wird Defender weiterhin ausreichen. Aber nicht mal ein Passwort für den Computer finde ich krass. Würde ich persönlich nicht machen 🥲

Wieso..? ​@@diecknetwenn hier einer ungebetenen in meine Wohnung kommt, hab ich ganz andere Probleme als meinen ollen computer. Da hat er schon recht, oder..? 😉

@tubical71 Man könnte sich auch fragen: Wenn jemand ungebetenes in meine Wohnung kommt - will ich mich dann auch noch um meinen Computer, die dort abgelegten Daten und Zugänge sorgen? Aber ich schmeiß das hier nur so in den Raum. Wenn ihr da kein Risiko seht, ist das auch völlig okay. Mir geht es nicht darum euch von meiner Sicht der Dinge zu überzeugen :)

Was genau meinst du mit Umgehen der Benutzerkontensperre? Meinst du z.B. das Ersetzen der Bildschirmtastatur durch eine Shell, und dann das Ding im Windows Logon aufrufen? Das wird zumindest erschwert durch Bitlocker. Und ich habe gehört, dass das bei neueren Windows 11 Builds auch *gar nicht mehr* geht. Habe das aber noch nicht ausprobiert :)

​@@diecknet gemeint war, wenn von externen Medien gebootet werden kann. Es gibt diverse Softwarelösungen auf dem Markt (u.a. Kon-Boot), die sich im RAM einnisten und im richtigen Moment dazwischen grätschen oder in dem gesetzte Passwörter einfach gelöscht werden. Ich hatte vor ~2 Monaten ein mit BitLocker verschlüsseltes Windows 11 auf einem Notebook vor mir. Es hat keine 5 Minuten gedauert und die meiste Zeit ging fürs Austesten der Bootmenü-Taste drauf. Ich war selber etwas darüber erstaunt!

Woah! Das sieht ja höchstinteressant aus, dieses Kon-Boot. Das muss ich mir mal genauer ansehen. Danke dir! EDIT: Kon-Boot scheint nicht mit Bitlocker zu funktionieren :( Was hattest du verwendet um in das W11 Laptop reinzukommen?

@@diecknet Wenn ich mit richtig erinnere, habe ich dafür (meine ich) „PCUnlocker Enterprise“ verwendet. Ich kann es dir aber nicht mit Gewissheit sagen, da ich solche Informationen schnell wieder verwerfe und eher intuitiv meine „Medizin“ herauskrame. Ich meine jedoch Anfang des Jahres auch einen englischen Artikel gelesen zu haben, in dem es auch schon darum ging, wie sich BitLocker aushebeln lässt. Da schaue ich nochmal mal nach und wenn ich es wiederfinden sollte, dir gerne zukommen lasse. EDIT: Ich habe den Artikel zwar nicht wiedergefunden, mir sind dafür ein paar andere Dinge wieder eingefallen. Es ging um die Verschlüsselung als solche und unter anderem auch um die Länge der Passwörter. Ebenso Hardware-seitige Schwachstellen, die ebenfalls dazu führen (führen können), dass man um BitLocker herumkommt. Umso wichtiger sind auch die von dir im Videobeitrag erwähnten Schritte, vor allem das UEFI- und Bootmenü zu sperren. Alleine damit hält man einiges ab, falls jemand physischen Zugang zum Computer hat.

danke!

Passt schon - ist nicht für alle gleich schlimm. Für die allermeisten Privatpersonen wird Defender weiterhin ausreichen.

Das ist schon mal ein guter Anfang!

😎✨

Zu deiner ersten Frage: Bitlocker sollte ein Teil des Schutzkonzepts sein, aber das alleine reicht nicht aus, solange die Festplatte noch irgendwie anders eingebunden werden kann. Und zu 2. Ich greife nicht auf den (per Bitlocker) verschlüsselten Inhalt der Festplatte zu, sondern schreibe nur an genau die Sektoren wo die MS Defender Programmdateien liegen sinnlose Null-Daten hin. Dafür wird der Bitlocker Key nicht benötigt.

​ @diecknet Bitlocker hilft nicht, weil der DD Befehl einfach Bytes auf die platte schreibt. DIe Platte ist ja "nur" verschlüsselt und nicht read only. Daher haben andere EPS-Tools auch USB-Port blocking.

@@zer001 Check ich nicht. Wenn die Platte per BItlocker verschlüsselt ist und unter linux nicht entsperrt wurde wie kann dann zielgerichtet per dd ein paar bytes geschrieben werden??

@@DerPille Das ist eine gute Frage. Ist ja wahrscheinlich so ähnlich wie bei einem Buffer-overflow. Da weiss man ja auch nicht im vornherein wo im speicher die exakte rücksprungadresse ist. Wenn Du es herausgefunden hast, bin ich dir dankbar für die lösung.

Bitlocker verhindert nicht das grundsätzliche Schreiben auf die Festplatte. Da man aber eigentlich nicht weiß, wo welche Daten liegen, bringt es **normalerweise* nichts. Die genauen Stellen wo hin geschrieben werden muss, werden zuvor noch unter Windows mit NIFO ermittelt. Dafür wird die Defragmentierungs-API verwendet - *das* hätte ich im Video mit erwähnen sollen, hab's aber verchecked :\ @zer001 @DerPille

Danke schön :)

Ich habe nie gesagt, dass ich gedacht habe, mein Rechner sei bei Verwendung einer Fernsteuerungssoftware *völlig safe* . Ich habe gesagt, dass ich *ein bisschen* dachte, dass mein Rechner (Client) bei Verwendung von RDP sicher sei. Im Video habe ich das nicht noch weiter ausgeführt, aber das war meine frühere unreflektierte Sichtweise zu RDP. Ich habe mir da einfach nicht aktiv Gedanken zu gemacht, weil ich RDP vorallem für Fernsteuerungen verwendet habe und die Zusatzfunktionen wie Laufwerksumleitungen nicht genutzt habe. Und auch .rdp Dateien habe ich quasi nie benutzt, weil ich mich normalerweise direkt mit Systemen verbunden habe (kein RD-Gateway). Bei anderen Fernwartungstools wie z.B. Teamviewer habe ich auch schon zuvor ein erhöhtes Risiko gesehen, insbesondere wegen den Funktionen für Dateiaustausch und Richtungswechsel. Und: Mittlerweile sehe ich das natürlich kritischer :)

Oha! Cool, dass du für das Chaos eine gute Lösung gefunden hast. Und danke für's Teilen 👍

Uiuiui 😰

Ekelhaft! An das Unterschieben von inkriminierenden Daten habe ich nicht mal gedacht :(

Grundsätzlich in Ordnung und empfehlenswert. Aber die restlichen Hinweise müssen trotzdem beachtet werden

Ich brauche das auch eher selten...

Jo, das Problem wurde schon vor Jahren erkannt. Aber es ist gerade mal wieder aktuell geworden. Weißt du zufällig wann es das erste Mal öffentlich gemacht wurde? Ich hatte Infos von vor 5-7 Jahren gefunden, aber eigentlich müsste es noch älteres geben 🤔

1-3 hilft glaube ich eher bei IT-Pros. Aber besser als nichts :) Und wo du den 4. Tipp erwähnt hast: diese Angriffsmethode könnte ja auch schnell wurmartig sein, wenn das Angriffstool sich wirklich auf die RDP Clients kopiert. Uff! Wobei der Angriff natürlich auch problemlos mit Batch oder einem .exe Programm möglich wäre. PowerShell ist nur mein Mittel der Wahl 😁

@@diecknet Stimmt auch wieder. Dann müsste man ja alles verbieten :D

Tut mir leid, aber Tipp 4 bringt gar nix, weil das läuft ja auf dem Server. Tipp 2 ist auch nur in dem fall wirksam, weil jedes System hat eigene Möglichkeiten zum Angriff ;)... Gleiches gilt für Tipp 3, auch die andere Fernsteuerungsprogramme haben ihre Fehler ;)... TIpp 1 kann ich aber unterstreichen und erweitern: generell keine fremden Dateien ohne Hirn anzuschalten öffnen :)

Wenn so eine bekannte Schadsoftware auf das eigene System kopiert wird, sollte etwas anschlagen. Nur gewiefte Angreifer wurden da eher nichts bekanntes verwenden, was sowieso erkannt wird 😰 Man muss also selbst überlegen, ob man dem Herausgeber der Verbindung vertraut

@@diecknet rdp nur mit whitelist nutzen...

Ein wenig komisch, ja. Aber wenn die Leute durch Social Engineering beeinflusst werden, ist vieles möglich :/

Interessant, danke fürs Teilen!

Gerne :)

Das schützt leider nicht vor bösartigen RDP *Servern* :/