Die Überschrift klingt so dramatisch, als würde der Defender keinen schutz mehr bieten.... Mein PC zu Hause, hat kein PWD, falls wer in die Wohnung einbricht und mein PC klaut ... tja dann is das so. Wie realistisch is das Szenario? Extrem unwahrscheinlich. Schade da bin ich auf einen Klickbait Titel reingefallen.
Ich verwende Bitlocker wenn nur mit einem Passwort was bei jedem booten eingegeben werden muss, und nicht automatisch per Geräte ID oder so entsperrt wird. Somit kann auch keiner mal eben einfach drauf booten und Sektoren für die Dateien auslesen, geschweige einloggen. Und einfach F8 und abgesicherter Modus oder so geht auch nicht, da man dann erstmal den bitlocker Widerherstellungsschlüssel eingeben müsste.
Ich nutze deswegen Fedora Siverblue. Das ist mit LVM über Luks verschlüsselt und dazu habe ich auch das BIOS verschlüsselt. Damit ist auch der Boot über die F-Taste passwortgeschützt. Und natürlich ist auch die Normale SSD übers BIOS verschlüsselt aber das geht nicht für die NVME Festplatte. Daher die Doppelte verschlüsselung über Luks.
Und was ist wenn ich einen Cmos-Restet auf deinem System mache. Ein Satz mit x das war wohl nix. Und der Angriffsvektor der hier gezeigt wird ist so schwachsinnig das es schon wider weh tut. Und übrigens wenn ich Physischen zugriff auf eine Maschine habe kann man auch Easy per Chroot Linux manipulieren. Wenn der Dude das OS mit Bitlocker verschlüsselt hätte wäre das hier im gezeigten auch nur Dung.
Es ist erschreckend, wie Microsoft "Security" definiert.Wenn man als "Standardbenutzer" (Gruppe: Benutzer) dies auslesen kann (selbst eben getestet), also wo eine Datei innerhalb einer Partition beginnt (Offset), dann sehe ich das als Sicherheitsproblem an. Unter Linux benötigt man dafür root-Rechte, auch zum lesen. Ändert allerdings nichts an der Tatsache, dass die größte Sicherheitslücke, die man weder patchen noch fixen kann, leider davor sitzt. Bequemlichkeit geht bei denen vor Sicherheit.
Die Info wo die Datei liegt, wird bei NIFO über die Defragmentierungs-API ausgelesen. Vielleicht kann MS das patchen, sodass die Schnittstelle nur für Admins Daten liefert. Ich kann natürlich nicht beurteilen was da noch für Abhängigkeiten dran hängen, vermutlich lässt es sich nicht so einfach fixen 😵💫
Verstehe ich nicht ganz. Am Anfang zeigst du das die Platte mit Bitlocker verschlüsselt ist. Dann sagst du wie kann man sich schützen? Die Platte mit Bitlocker verschlüsseln. Und wie kannst du von dem Live Linux auf die Festplatte zugreifen wenn sie mit Bitlocker verschlüsselt ist?
Zu deiner ersten Frage: Bitlocker sollte ein Teil des Schutzkonzepts sein, aber das alleine reicht nicht aus, solange die Festplatte noch irgendwie anders eingebunden werden kann. Und zu 2. Ich greife nicht auf den (per Bitlocker) verschlüsselten Inhalt der Festplatte zu, sondern schreibe nur an genau die Sektoren wo die MS Defender Programmdateien liegen sinnlose Null-Daten hin. Dafür wird der Bitlocker Key nicht benötigt.
@diecknet Bitlocker hilft nicht, weil der DD Befehl einfach Bytes auf die platte schreibt. DIe Platte ist ja "nur" verschlüsselt und nicht read only. Daher haben andere EPS-Tools auch USB-Port blocking.
@@zer001 Check ich nicht. Wenn die Platte per BItlocker verschlüsselt ist und unter linux nicht entsperrt wurde wie kann dann zielgerichtet per dd ein paar bytes geschrieben werden??
@@DerPille Das ist eine gute Frage. Ist ja wahrscheinlich so ähnlich wie bei einem Buffer-overflow. Da weiss man ja auch nicht im vornherein wo im speicher die exakte rücksprungadresse ist. Wenn Du es herausgefunden hast, bin ich dir dankbar für die lösung.
Bitlocker verhindert nicht das grundsätzliche Schreiben auf die Festplatte. Da man aber eigentlich nicht weiß, wo welche Daten liegen, bringt es **normalerweise* nichts. Die genauen Stellen wo hin geschrieben werden muss, werden zuvor noch unter Windows mit NIFO ermittelt. Dafür wird die Defragmentierungs-API verwendet - *das* hätte ich im Video mit erwähnen sollen, hab's aber verchecked :\ @zer001 @DerPille
secureboot und supervisor passwort reicht hier soweit erstmal aus. Wenn das Gerät ohnehin nicht weiter gesichert ist (auch nicht gegen Diebstahl) muss man von einem nicht Angriffspunkt ausgehen, wo sich die Demontage usw nicht lohnt. Beim Diebstahl sind fast alle Sicherheitsmaßnahmen ohnehin zu unsicher - Hier hilft nur Personal und Zugriffskontrollen
Ich denke hier vorallem an Laptops die auch unterwegs oder im Homeoffice verwendet werden. Der Angriffspunkt ist zumindest möglich - ob man ihn im Schutzkonzept berücksichtigen möchte ist ja eine andere Sache.
@diecknet Zumal das Sicherheitskozept mit Bitlocker aber ohne Passwort auch nicht wirklich aufgeht. 😆 Mit Passwort und Bitlocker hat man schon ein recht sicheres System. Da kommt der Skriptkiddy schon nicht mehr einfach rein...
Das stimmt. Bitlocker ohne Passwort/PIN ist nicht wirklich sicher. Gibt da ein empfehlenswertes Video von @stacksmashing: ruclips.net/video/wTl4vEednkQ/видео.html
Moin, Danke das du sofort und anfangs gleich klar gemacht hast, das PHYSISCHER Kontakt von Rechner nötig ist. Anstatt erst zumzu argumentieren und Leuten ohne Not Angst zu machen, allein für klickbait. Dafür den Daumen. Der Rest ist akademisch und eher zweitrangig. Trotzdem gute Erklärung. Grüße. 😊
Das, was da gemach wird, ist nur dann möglich, wenn der Häcker direkten Zugang am PC hat! Sobald ein sehr schweres Password und alle wichtigen Schutzfunktionen aktiv sind, ist es nahezu unmöglich!!
@@Alvaro_61_ ich meine damit eine Person die mit ihrem Computer für private Zwecke interagiert - also beispielsweise nicht im Rahmen einer beruflichen Tätigkeit
Der Ansatz ist ja nicht neu und von der Vorgehensweise recht ähnlich, wie wenn man Konfigurationen oder Benutzerkontenrechte überschreibt. Nichtsdestotrotz ein nettes Tool und gut über sämtliche Angriffswege aufzuklären. Ich denke bei solchen Vektoren ohnehin vorrangig an Unternehmen und weniger an private Endnutzer. Was nach wie vor ebenso ein großes Problem ist, dass sich die Login-Routine ebenso recht einfach aushebeln lässt. Sprich umgehen der Benutzerkontensperre und danach Zugang mit vollen Zugriffsrechten.
Was genau meinst du mit Umgehen der Benutzerkontensperre? Meinst du z.B. das Ersetzen der Bildschirmtastatur durch eine Shell, und dann das Ding im Windows Logon aufrufen? Das wird zumindest erschwert durch Bitlocker. Und ich habe gehört, dass das bei neueren Windows 11 Builds auch *gar nicht mehr* geht. Habe das aber noch nicht ausprobiert :)
@@diecknet gemeint war, wenn von externen Medien gebootet werden kann. Es gibt diverse Softwarelösungen auf dem Markt (u.a. Kon-Boot), die sich im RAM einnisten und im richtigen Moment dazwischen grätschen oder in dem gesetzte Passwörter einfach gelöscht werden. Ich hatte vor ~2 Monaten ein mit BitLocker verschlüsseltes Windows 11 auf einem Notebook vor mir. Es hat keine 5 Minuten gedauert und die meiste Zeit ging fürs Austesten der Bootmenü-Taste drauf. Ich war selber etwas darüber erstaunt!
Woah! Das sieht ja höchstinteressant aus, dieses Kon-Boot. Das muss ich mir mal genauer ansehen. Danke dir! EDIT: Kon-Boot scheint nicht mit Bitlocker zu funktionieren :( Was hattest du verwendet um in das W11 Laptop reinzukommen?
@@diecknet Wenn ich mit richtig erinnere, habe ich dafür (meine ich) „PCUnlocker Enterprise“ verwendet. Ich kann es dir aber nicht mit Gewissheit sagen, da ich solche Informationen schnell wieder verwerfe und eher intuitiv meine „Medizin“ herauskrame. Ich meine jedoch Anfang des Jahres auch einen englischen Artikel gelesen zu haben, in dem es auch schon darum ging, wie sich BitLocker aushebeln lässt. Da schaue ich nochmal mal nach und wenn ich es wiederfinden sollte, dir gerne zukommen lasse. EDIT: Ich habe den Artikel zwar nicht wiedergefunden, mir sind dafür ein paar andere Dinge wieder eingefallen. Es ging um die Verschlüsselung als solche und unter anderem auch um die Länge der Passwörter. Ebenso Hardware-seitige Schwachstellen, die ebenfalls dazu führen (führen können), dass man um BitLocker herumkommt. Umso wichtiger sind auch die von dir im Videobeitrag erwähnten Schritte, vor allem das UEFI- und Bootmenü zu sperren. Alleine damit hält man einiges ab, falls jemand physischen Zugang zum Computer hat.
Passt schon - ist nicht für alle gleich schlimm. Für die allermeisten Privatpersonen wird Defender weiterhin ausreichen. Aber nicht mal ein Passwort für den Computer finde ich krass. Würde ich persönlich nicht machen 🥲
Wieso..? @@diecknetwenn hier einer ungebetenen in meine Wohnung kommt, hab ich ganz andere Probleme als meinen ollen computer. Da hat er schon recht, oder..? 😉
@tubical71 Man könnte sich auch fragen: Wenn jemand ungebetenes in meine Wohnung kommt - will ich mich dann auch noch um meinen Computer, die dort abgelegten Daten und Zugänge sorgen? Aber ich schmeiß das hier nur so in den Raum. Wenn ihr da kein Risiko seht, ist das auch völlig okay. Mir geht es nicht darum euch von meiner Sicht der Dinge zu überzeugen :)
Na ja, der Defender ist dadurch nicht nutzlos geworden. Wenn alles so zusammenkommt inc. nicht mal ein Windows Passwort und direkten Zugriff zum Gerät dann kann man sicherlich noch viele andere Dinge treiben außer den Defender zu schrotten....
Ich weiß das Szenario ist vereinfacht. Aber ich kann mir verschiedene Möglichkeiten vorstellen, wie jemand unberechtigterweise einen entsperrten Computer in die Finger bekommt. So habe ich es ja auch im Video gesagt: z.B. hat der User den Rechner nicht gesperrt und ist einfach weggegangen. Dass ich jetzt kein Passwort drin hatte für meinen normalen (nicht-Admin) User hat auch nur der Vereinfachung gedient. Aber wer als Angreifer schon physischen Zugang hat, könnte auch auf verschiedenen Wegen das Passwort dieser normalen Users herausfinden (Keylogger, Zettel unter der Tastatur).
Nach meiner Erfahrung sind immer noch die meisten Windows-Nutzer unbekümmert als Admin unterwegs. Überall. Der Bequemlichkeit wegen, damit der Rechner nicht alle fünf Minuten das Passwort abfragt, das man eh schon fast wieder vergessen hat. Richtig zur Freude für alle Hersteller von Schutz-Software gegen Schadsoftware.
Ich denke, das wird man auch im Privatbereich nicht so einfach ändern können. Manchen Leuten ist ja schon die normale UAC Abfrage zuviel und sie schalten das Feature komplett ab :( Die andere Richtung wäre eigentlich besser: UAC auf Maximum stellen - dann muss man sich immer authentifizieren um administrative Sachen zu machen. Der Vorteil eines separaten Admin-Kontos ist dann glaube ich nur noch gering (falls überhaupt vorhanden?).
Achso! Ja, klar. Wenn das Gerät ordentlich abgedichtet ist, dann kommen vermutlich auch Strafverfolgungsbehörden nicht mehr an die Daten. Wenn dann aber der Bitlocker-Recovery-Key oder ähnliches in der Schreibtischschublade liegt, ist der Weg ins System eventuell schon wieder geebnet :P
Ja toll, man kann immer gut von außen dateien kaputt machen, löschen oder veränden, könnte man auch mit linux machen. 😁 Am besten das BS verschlüsseln, dann kann sowas nicht passieren.
Also ich benutze hier ja ein Linux um die tatsächliche Änderung der Defender Dateien durchzuführen. Ohne den Bitlocker-Key kann ein Angreifer aber *eigentlich* nicht gezielt Dateien löschen/verändern/zerstören. Das ist das Bemerkenswerte an NIFO.
wie schon erwähnt ist die Überschritt falsch zum Video. Schon mal wenn das ganze nur gilt, wenn man Physisch am PC oder Laptop sein muss. Denn immer kann jemand was machen an dem PC oder Laptop wenn er die Kiste in den Händen hält. Dann könnte er den PC auch am Boden schmeißen und als Überschrift schreiben wir dann "Hacker lässt jeden PC zerstören! Keine Software Hilft dagegen!" Also der Inhalt ist ok im Video, aber die Überschrift passt mal gar nicht und deformiert zu unrecht den MS Defender.
Normalerweise sollte Bitlocker ein System auch *vor allem dann* schützen, wenn jemand Unbefugtes den Computer bzw. den Datenträger in der Hand hält. Finde deinen Vergleich mit PC auf den Boden schmeißen deshalb nicht wirklich passend - gezieltes Ausschalten des Sicherheitssystem VS. den kompletten Computer zerstören. Aber den Punkt mit dem Videotitel habe ich zur Kenntnis genommen, fand den ganz gut plakativ. Aber ist vielleicht ein Stück zu vereinfacht formuliert von mir. Ich überlege mir gerade wie ich das Video stattdessen nennen kann.
Hey Leute! Ich habe den Titel des Videos gerade geändert, weil er für einige Zeitgenossen zu plakativ war. Der ursprüngliche Titel des Videos lautete "MS Defender ist gerade nutzlos geworden".
Das war ja auch nicht plakativ sondern schlicht falsch. Ihr nennt das zwar Clickbait, ändert aber nichts daran. Und jetzt warte ich auch noch die Erklärung für das "Versagen" von Bitlocker ab. Ich gebe dir einen Tipp. Verändert die Verschlüsselung die Position der Datei auf der Festplatte? Nur wer schon so weit ist, dass er Zeit und Zugriff auf den Rechner hat, der kann auch Dinge tun, die weniger auffällig sind.
Oder man installiert gleich Linux, wenn man ja eh schon von einem Stick booted. Dann kann man gleich noch viel mehr Tools laufen lassen! Neueste Erkenntnisse besagen auch, dass wenn man die Möglichkeit hat, eine Abrissbirne einzusetzen, man gar keinen Türschlüssel mehr braucht.
Jo klar geht mit einem Live-Linux viel. Wenn die Festplatte verschlüsselt ist (z.B. per Bitlocker), dann ist der Angriffsvektor schon stark reduziert. Deshalb finde ich NIFO sehr interessant: Trotz Verschlüsselung kann das installierte OS beziehungsweise dort installierte Software beeinträchtigt werden.
@@diecknet Dann ist die Platte (bzw. SSD) nicht verschlüsselt, das fand ich ehrlich gesagt auch verwirrend. Ich kenne mich aber mit Bitlocker auch nicht aus, eigentlich sollte es so sein, dass beim Systemstart ein Passwort abgefragt wird, damit der Datenträger überhaupt erst entschlüsselt werden kann. Wenn das nicht der Fall ist, ist es entweder dumm implementiert oder der Datenträger ist eben nicht vollverschlüsselt. Denkbar wäre es natürlich auch, dass der AES-Schlüssel im ersten Schritt, als das Skript erstellt wurde, extrahiert wurde, aber auch dass wäre dann eine mindestens fragwürdige Implementierung einer Verschlüsselung, wenn das ein normaler Nutzer ohne Rückfrage einfach so machen kann. Aber da ja als Voraussetzung für diesen "Hack" extra angegeben war, dass Bitlocker nicht verwendet werden darf, damit es funktioniert, sieht es so aus, als ob eben keine Vollverschlüsselung gegeben war.
NIFO funktioniert trotz korrekt aktiviertem Bitlocker, ohne dass der Angreifer den Bitlocker Key benötigt. Vielleicht solltest du das Video noch einmal schauen - das ist ja genau das was ich demonstriere 🤔
@@diecknet Unten auf der Github -Seite steht aber direkt auch: "Protecting yourself from this (...)Secure harddrive/SSD data with BitLocker (otherwise you could just scan the drive for the sectors)". Das scheint mir doch ein Widerspruch zu sein. Ich habe da nun auch mal näher reingesehen, anscheinend ist das ein Angriff über die Defrag-API (FSCTL_GET_RETRIEVAL_POINTERS) um an die Positionen der Defender-Dateien zu kommen. Die werden dann in dem Shell-Skript hinterlegt. Somit schützt Bitlocker in der Tat genau nicht davor. Daher demonstriert der Exploit eigentlich eine Bitlocker--Schwachstelle, denn das man sich sein System mit einem Live-Linux nach herzenlust manipulieren kann, dürfte klar sein.
Ich sehe den Widerspruch irgendwie nicht. Bei den Schutzmaßnahmen steht drunter: "Fail either of those, and you can get nifo'ed". Also die müssen alle umgesetzt werden. Bitlocker alleine reicht nicht.
Ich rate davon ab, das bei fremden PCs ohne Erlaubnis machen. Und Schul-PCs mutwillig kaputt zu machen ist nicht cool 🤨 (Es sieht übrigens so aus, als würdest du auf eine bestimmte Stelle im Video verweisen, aber ich glaube der Timestamp 564s ist nicht das was du gemeint hast)
Moin! Stimmt, ich meinte 9:06. Ich frage mich halt, ob nicht auch unbeaufsichtigte Schul-PCs anfällig sind. Das Laufwerk mit 'nem PW versehen, funktioniert in diesem Umfeld eben nicht😅 Damit wäre genau 1 der 4 notwendigen Maßnahmen nicht umsetzbar. 🫣
Das stimmt wohl. Wenn die anderen 3 aber umgesetzt sind, dann ist es schon mal ganz gut. Um dann die Festplatte zu manipulieren müsste sie ausgebaut werden und an einen anderen Computer angeschlossen werden. Das ist zwar nicht ausgeschlossen, aber zumindest ein meiner Meinung nach unwahrscheinliches Szenario für eine Schule. Wenn hier wirklich sehr stark motivierte Schüler zugange sind, hilft vielleicht eine Art Read-Only System, welches sich nach jedem Boot zurück setzt. Oder Thin Clients.
![Harald Lesch ... und was vom Atomausstieg bleibt | Terra X Harald Lesch [Ganze TV-Folge]](http://i.ytimg.com/vi/TezOxPnoUWc/mqdefault.jpg)
✌️English Version of the video on my second channel: ruclips.net/video/Byf38Z_F0Sc/видео.html
Die Überschrift klingt so dramatisch, als würde der Defender keinen schutz mehr bieten....
Mein PC zu Hause, hat kein PWD, falls wer in die Wohnung einbricht und mein PC klaut ... tja dann is das so.
Wie realistisch is das Szenario? Extrem unwahrscheinlich. Schade da bin ich auf einen Klickbait Titel reingefallen.
Für die allermeisten Privatpersonen wird Defender weiterhin ausreichen. Das Ziel der gezeigten Attacke sind eher Organisationen.
Joah... ich schließ dann einfach meine Wohnung ab in Zukunft. So kann ich meinen "Nutzlos gewordenen MS Defender" dann weiter benutzten.
Passt schon - ist nicht für alle gleich schlimm. Für die allermeisten Privatpersonen wird Defender weiterhin ausreichen.
Ich verwende Bitlocker wenn nur mit einem Passwort was bei jedem booten eingegeben werden muss, und nicht automatisch per Geräte ID oder so entsperrt wird. Somit kann auch keiner mal eben einfach drauf booten und Sektoren für die Dateien auslesen, geschweige einloggen. Und einfach F8 und abgesicherter Modus oder so geht auch nicht, da man dann erstmal den bitlocker Widerherstellungsschlüssel eingeben müsste.
Das ist schon mal ein guter Anfang!
Ich nutze deswegen Fedora Siverblue. Das ist mit LVM über Luks verschlüsselt und dazu habe ich auch das BIOS verschlüsselt. Damit ist auch der Boot über die F-Taste passwortgeschützt. Und natürlich ist auch die Normale SSD übers BIOS verschlüsselt aber das geht nicht für die NVME Festplatte. Daher die Doppelte verschlüsselung über Luks.
Nice!
Und was ist wenn ich einen Cmos-Restet auf deinem System mache. Ein Satz mit x das war wohl nix. Und der Angriffsvektor der hier gezeigt wird ist so schwachsinnig das es schon wider weh tut. Und übrigens wenn ich Physischen zugriff auf eine Maschine habe kann man auch Easy per Chroot Linux manipulieren. Wenn der Dude das OS mit Bitlocker verschlüsselt hätte wäre das hier im gezeigten auch nur Dung.
@MrRuffythemonkey Das OS im Video ist per Bitlocker verschlüsselt
Es ist erschreckend, wie Microsoft "Security" definiert.Wenn man als "Standardbenutzer" (Gruppe: Benutzer) dies auslesen kann (selbst eben getestet), also wo eine Datei innerhalb einer Partition beginnt (Offset), dann sehe ich das als Sicherheitsproblem an. Unter Linux benötigt man dafür root-Rechte, auch zum lesen.
Ändert allerdings nichts an der Tatsache, dass die größte Sicherheitslücke, die man weder patchen noch fixen kann, leider davor sitzt. Bequemlichkeit geht bei denen vor Sicherheit.
Die Info wo die Datei liegt, wird bei NIFO über die Defragmentierungs-API ausgelesen. Vielleicht kann MS das patchen, sodass die Schnittstelle nur für Admins Daten liefert. Ich kann natürlich nicht beurteilen was da noch für Abhängigkeiten dran hängen, vermutlich lässt es sich nicht so einfach fixen 😵💫
sehr gut erklärt, Daumen hoch
Danke schön :)
Verstehe ich nicht ganz. Am Anfang zeigst du das die Platte mit Bitlocker verschlüsselt ist. Dann sagst du wie kann man sich schützen? Die Platte mit Bitlocker verschlüsseln. Und wie kannst du von dem Live Linux auf die Festplatte zugreifen wenn sie mit Bitlocker verschlüsselt ist?
Zu deiner ersten Frage: Bitlocker sollte ein Teil des Schutzkonzepts sein, aber das alleine reicht nicht aus, solange die Festplatte noch irgendwie anders eingebunden werden kann.
Und zu 2. Ich greife nicht auf den (per Bitlocker) verschlüsselten Inhalt der Festplatte zu, sondern schreibe nur an genau die Sektoren wo die MS Defender Programmdateien liegen sinnlose Null-Daten hin. Dafür wird der Bitlocker Key nicht benötigt.
@diecknet Bitlocker hilft nicht, weil der DD Befehl einfach Bytes auf die platte schreibt. DIe Platte ist ja "nur" verschlüsselt und nicht read only. Daher haben andere EPS-Tools auch USB-Port blocking.
@@zer001 Check ich nicht. Wenn die Platte per BItlocker verschlüsselt ist und unter linux nicht entsperrt wurde wie kann dann zielgerichtet per dd ein paar bytes geschrieben werden??
@@DerPille Das ist eine gute Frage. Ist ja wahrscheinlich so ähnlich wie bei einem Buffer-overflow. Da weiss man ja auch nicht im vornherein wo im speicher die exakte rücksprungadresse ist. Wenn Du es herausgefunden hast, bin ich dir dankbar für die lösung.
Bitlocker verhindert nicht das grundsätzliche Schreiben auf die Festplatte. Da man aber eigentlich nicht weiß, wo welche Daten liegen, bringt es **normalerweise* nichts.
Die genauen Stellen wo hin geschrieben werden muss, werden zuvor noch unter Windows mit NIFO ermittelt. Dafür wird die Defragmentierungs-API verwendet - *das* hätte ich im Video mit erwähnen sollen, hab's aber verchecked :\
@zer001 @DerPille
Super video. Ich fand den Hacker man sehr witzig 😂
Danke, ich hab mich selbst auch schlapp gelacht 😂
secureboot und supervisor passwort reicht hier soweit erstmal aus. Wenn das Gerät ohnehin nicht weiter gesichert ist (auch nicht gegen Diebstahl) muss man von einem nicht Angriffspunkt ausgehen, wo sich die Demontage usw nicht lohnt. Beim Diebstahl sind fast alle Sicherheitsmaßnahmen ohnehin zu unsicher - Hier hilft nur Personal und Zugriffskontrollen
Ich denke hier vorallem an Laptops die auch unterwegs oder im Homeoffice verwendet werden. Der Angriffspunkt ist zumindest möglich - ob man ihn im Schutzkonzept berücksichtigen möchte ist ja eine andere Sache.
@diecknet Zumal das Sicherheitskozept mit Bitlocker aber ohne Passwort auch nicht wirklich aufgeht. 😆
Mit Passwort und Bitlocker hat man schon ein recht sicheres System. Da kommt der Skriptkiddy schon nicht mehr einfach rein...
Das stimmt. Bitlocker ohne Passwort/PIN ist nicht wirklich sicher. Gibt da ein empfehlenswertes Video von @stacksmashing: ruclips.net/video/wTl4vEednkQ/видео.html
Bitte mehr vom Hackerman 😎😎
😎✨
Moin,
Danke das du sofort und anfangs gleich klar gemacht hast, das PHYSISCHER Kontakt von Rechner nötig ist.
Anstatt erst zumzu argumentieren und Leuten ohne Not Angst zu machen, allein für klickbait.
Dafür den Daumen.
Der Rest ist akademisch und eher zweitrangig.
Trotzdem gute Erklärung.
Grüße. 😊
Moin und danke :) Habe es auch zusätzlich in die Videobeschreibung reingeschrieben, dass physischer Zugriff nötig ist.
Das, was da gemach wird, ist nur dann möglich, wenn der Häcker direkten Zugang am PC hat! Sobald ein sehr schweres Password und alle wichtigen Schutzfunktionen aktiv sind, ist es nahezu unmöglich!!
Richtig! 👍
Also erfüllte Defender weiterhin seinem Zweck und schützt mich vor eindringlingen aus dem Internet...
Also ist der Titel wohl nur clickbait gewesen.
Passt schon - ist nicht für alle gleich schlimm. Für die allermeisten Privatpersonen wird Defender weiterhin ausreichen.
@@diecknetdefiniere Privatperson
@@Alvaro_61_ ich meine damit eine Person die mit ihrem Computer für private Zwecke interagiert - also beispielsweise nicht im Rahmen einer beruflichen Tätigkeit
Der Ansatz ist ja nicht neu und von der Vorgehensweise recht ähnlich, wie wenn man Konfigurationen oder Benutzerkontenrechte überschreibt. Nichtsdestotrotz ein nettes Tool und gut über sämtliche Angriffswege aufzuklären. Ich denke bei solchen Vektoren ohnehin vorrangig an Unternehmen und weniger an private Endnutzer. Was nach wie vor ebenso ein großes Problem ist, dass sich die Login-Routine ebenso recht einfach aushebeln lässt. Sprich umgehen der Benutzerkontensperre und danach Zugang mit vollen Zugriffsrechten.
Was genau meinst du mit Umgehen der Benutzerkontensperre? Meinst du z.B. das Ersetzen der Bildschirmtastatur durch eine Shell, und dann das Ding im Windows Logon aufrufen? Das wird zumindest erschwert durch Bitlocker. Und ich habe gehört, dass das bei neueren Windows 11 Builds auch *gar nicht mehr* geht. Habe das aber noch nicht ausprobiert :)
@@diecknet gemeint war, wenn von externen Medien gebootet werden kann. Es gibt diverse Softwarelösungen auf dem Markt (u.a. Kon-Boot), die sich im RAM einnisten und im richtigen Moment dazwischen grätschen oder in dem gesetzte Passwörter einfach gelöscht werden. Ich hatte vor ~2 Monaten ein mit BitLocker verschlüsseltes Windows 11 auf einem Notebook vor mir. Es hat keine 5 Minuten gedauert und die meiste Zeit ging fürs Austesten der Bootmenü-Taste drauf. Ich war selber etwas darüber erstaunt!
Woah! Das sieht ja höchstinteressant aus, dieses Kon-Boot. Das muss ich mir mal genauer ansehen. Danke dir!
EDIT: Kon-Boot scheint nicht mit Bitlocker zu funktionieren :( Was hattest du verwendet um in das W11 Laptop reinzukommen?
@@diecknet Wenn ich mit richtig erinnere, habe ich dafür (meine ich) „PCUnlocker Enterprise“ verwendet. Ich kann es dir aber nicht mit Gewissheit sagen, da ich solche Informationen schnell wieder verwerfe und eher intuitiv meine „Medizin“ herauskrame. Ich meine jedoch Anfang des Jahres auch einen englischen Artikel gelesen zu haben, in dem es auch schon darum ging, wie sich BitLocker aushebeln lässt. Da schaue ich nochmal mal nach und wenn ich es wiederfinden sollte, dir gerne zukommen lasse.
EDIT: Ich habe den Artikel zwar nicht wiedergefunden, mir sind dafür ein paar andere Dinge wieder eingefallen. Es ging um die Verschlüsselung als solche und unter anderem auch um die Länge der Passwörter. Ebenso Hardware-seitige Schwachstellen, die ebenfalls dazu führen (führen können), dass man um BitLocker herumkommt. Umso wichtiger sind auch die von dir im Videobeitrag erwähnten Schritte, vor allem das UEFI- und Bootmenü zu sperren. Alleine damit hält man einiges ab, falls jemand physischen Zugang zum Computer hat.
danke!
Mich Interssieren nur Angriffe aus dem Internet.Mein Computer selber hat kein Passwort kommt eh keiner ran.
Passt schon - ist nicht für alle gleich schlimm. Für die allermeisten Privatpersonen wird Defender weiterhin ausreichen.
Aber nicht mal ein Passwort für den Computer finde ich krass. Würde ich persönlich nicht machen 🥲
Wieso..? @@diecknetwenn hier einer ungebetenen in meine Wohnung kommt, hab ich ganz andere Probleme als meinen ollen computer.
Da hat er schon recht, oder..? 😉
@tubical71 Man könnte sich auch fragen: Wenn jemand ungebetenes in meine Wohnung kommt - will ich mich dann auch noch um meinen Computer, die dort abgelegten Daten und Zugänge sorgen? Aber ich schmeiß das hier nur so in den Raum. Wenn ihr da kein Risiko seht, ist das auch völlig okay. Mir geht es nicht darum euch von meiner Sicht der Dinge zu überzeugen :)
Physischer Zugriff? Vielleicht durch das Sicherheitspersonal am Flughafen!
Stimmt, wäre denkbar 😰
Na ja, der Defender ist dadurch nicht nutzlos geworden. Wenn alles so zusammenkommt inc. nicht mal ein Windows Passwort und direkten Zugriff zum Gerät dann kann man sicherlich noch viele andere Dinge treiben außer den Defender zu schrotten....
Ich weiß das Szenario ist vereinfacht. Aber ich kann mir verschiedene Möglichkeiten vorstellen, wie jemand unberechtigterweise einen entsperrten Computer in die Finger bekommt. So habe ich es ja auch im Video gesagt: z.B. hat der User den Rechner nicht gesperrt und ist einfach weggegangen. Dass ich jetzt kein Passwort drin hatte für meinen normalen (nicht-Admin) User hat auch nur der Vereinfachung gedient. Aber wer als Angreifer schon physischen Zugang hat, könnte auch auf verschiedenen Wegen das Passwort dieser normalen Users herausfinden (Keylogger, Zettel unter der Tastatur).
Nach meiner Erfahrung sind immer noch die meisten Windows-Nutzer unbekümmert als Admin unterwegs. Überall. Der Bequemlichkeit wegen, damit der Rechner nicht alle fünf Minuten das Passwort abfragt, das man eh schon fast wieder vergessen hat. Richtig zur Freude für alle Hersteller von Schutz-Software gegen Schadsoftware.
Ich denke, das wird man auch im Privatbereich nicht so einfach ändern können. Manchen Leuten ist ja schon die normale UAC Abfrage zuviel und sie schalten das Feature komplett ab :( Die andere Richtung wäre eigentlich besser: UAC auf Maximum stellen - dann muss man sich immer authentifizieren um administrative Sachen zu machen. Der Vorteil eines separaten Admin-Kontos ist dann glaube ich nur noch gering (falls überhaupt vorhanden?).
Damit kann man dann auch die kommende Hausdurchsuchung in gewissen Maße unbrauchbar machen. - Nur so ein Gedanke.
Das habe ich nicht verstanden, sorry. Was meinst du damit?
@@diecknet Na wenn man deine 4er Regel anwendet, gibt es keinen ungewollten Zugriff mehr auf die Daten. - Oder hab ich etwas übersehen?
Achso! Ja, klar. Wenn das Gerät ordentlich abgedichtet ist, dann kommen vermutlich auch Strafverfolgungsbehörden nicht mehr an die Daten. Wenn dann aber der Bitlocker-Recovery-Key oder ähnliches in der Schreibtischschublade liegt, ist der Weg ins System eventuell schon wieder geebnet :P
gut dass ich ein master password im bios und boot from other device sowie das Boot menü deaktiviert hab 😅
Sauber!
Ja toll, man kann immer gut von außen dateien kaputt machen, löschen oder veränden, könnte man auch mit linux machen. 😁
Am besten das BS verschlüsseln, dann kann sowas nicht passieren.
Also ich benutze hier ja ein Linux um die tatsächliche Änderung der Defender Dateien durchzuführen. Ohne den Bitlocker-Key kann ein Angreifer aber *eigentlich* nicht gezielt Dateien löschen/verändern/zerstören. Das ist das Bemerkenswerte an NIFO.
Finde auch, diese "Lücke" ist absolut überbewertet.
In Ordnung
Hi in 99 Prozent der Fälle wird das Opfer genötigt die Türen selbst zu öffnen und das macht jede Viren Software überflüssig
Sehe ich anders: Ohne gut funktionierende AV Software würden diese Zahlen ganz anders aussehen
Windows ist vor 18 Jahren nutzlos geworden .. also ist das ja kein Problem.
XD
wie schon erwähnt ist die Überschritt falsch zum Video. Schon mal wenn das ganze nur gilt, wenn man Physisch am PC oder Laptop sein muss.
Denn immer kann jemand was machen an dem PC oder Laptop wenn er die Kiste in den Händen hält. Dann könnte er den PC auch am Boden schmeißen und als Überschrift schreiben wir dann "Hacker lässt jeden PC zerstören! Keine Software Hilft dagegen!"
Also der Inhalt ist ok im Video, aber die Überschrift passt mal gar nicht und deformiert zu unrecht den MS Defender.
Normalerweise sollte Bitlocker ein System auch *vor allem dann* schützen, wenn jemand Unbefugtes den Computer bzw. den Datenträger in der Hand hält. Finde deinen Vergleich mit PC auf den Boden schmeißen deshalb nicht wirklich passend - gezieltes Ausschalten des Sicherheitssystem VS. den kompletten Computer zerstören.
Aber den Punkt mit dem Videotitel habe ich zur Kenntnis genommen, fand den ganz gut plakativ. Aber ist vielleicht ein Stück zu vereinfacht formuliert von mir. Ich überlege mir gerade wie ich das Video stattdessen nennen kann.
Hey Leute! Ich habe den Titel des Videos gerade geändert, weil er für einige Zeitgenossen zu plakativ war. Der ursprüngliche Titel des Videos lautete "MS Defender ist gerade nutzlos geworden".
Das war ja auch nicht plakativ sondern schlicht falsch. Ihr nennt das zwar Clickbait, ändert aber nichts daran. Und jetzt warte ich auch noch die Erklärung für das "Versagen" von Bitlocker ab.
Ich gebe dir einen Tipp. Verändert die Verschlüsselung die Position der Datei auf der Festplatte?
Nur wer schon so weit ist, dass er Zeit und Zugriff auf den Rechner hat, der kann auch Dinge tun, die weniger auffällig sind.
Oder man installiert gleich Linux, wenn man ja eh schon von einem Stick booted. Dann kann man gleich noch viel mehr Tools laufen lassen! Neueste Erkenntnisse besagen auch, dass wenn man die Möglichkeit hat, eine Abrissbirne einzusetzen, man gar keinen Türschlüssel mehr braucht.
Jo klar geht mit einem Live-Linux viel. Wenn die Festplatte verschlüsselt ist (z.B. per Bitlocker), dann ist der Angriffsvektor schon stark reduziert. Deshalb finde ich NIFO sehr interessant: Trotz Verschlüsselung kann das installierte OS beziehungsweise dort installierte Software beeinträchtigt werden.
@@diecknet Dann ist die Platte (bzw. SSD) nicht verschlüsselt, das fand ich ehrlich gesagt auch verwirrend. Ich kenne mich aber mit Bitlocker auch nicht aus, eigentlich sollte es so sein, dass beim Systemstart ein Passwort abgefragt wird, damit der Datenträger überhaupt erst entschlüsselt werden kann. Wenn das nicht der Fall ist, ist es entweder dumm implementiert oder der Datenträger ist eben nicht vollverschlüsselt. Denkbar wäre es natürlich auch, dass der AES-Schlüssel im ersten Schritt, als das Skript erstellt wurde, extrahiert wurde, aber auch dass wäre dann eine mindestens fragwürdige Implementierung einer Verschlüsselung, wenn das ein normaler Nutzer ohne Rückfrage einfach so machen kann. Aber da ja als Voraussetzung für diesen "Hack" extra angegeben war, dass Bitlocker nicht verwendet werden darf, damit es funktioniert, sieht es so aus, als ob eben keine Vollverschlüsselung gegeben war.
NIFO funktioniert trotz korrekt aktiviertem Bitlocker, ohne dass der Angreifer den Bitlocker Key benötigt. Vielleicht solltest du das Video noch einmal schauen - das ist ja genau das was ich demonstriere 🤔
@@diecknet Unten auf der Github -Seite steht aber direkt auch: "Protecting yourself from this (...)Secure harddrive/SSD data with BitLocker (otherwise you could just scan the drive for the sectors)".
Das scheint mir doch ein Widerspruch zu sein.
Ich habe da nun auch mal näher reingesehen, anscheinend ist das ein Angriff über die Defrag-API (FSCTL_GET_RETRIEVAL_POINTERS) um an die Positionen der Defender-Dateien zu kommen. Die werden dann in dem Shell-Skript hinterlegt. Somit schützt Bitlocker in der Tat genau nicht davor. Daher demonstriert der Exploit eigentlich eine Bitlocker--Schwachstelle, denn das man sich sein System mit einem Live-Linux nach herzenlust manipulieren kann, dürfte klar sein.
Ich sehe den Widerspruch irgendwie nicht. Bei den Schutzmaßnahmen steht drunter: "Fail either of those, and you can get nifo'ed". Also die müssen alle umgesetzt werden. Bitlocker alleine reicht nicht.
Super... er hats kaputt gemacht!
Ups! 😅
UAC und Defender gut aber ja nichts ist perfekt
Nichts ist perfekt - das stimmt :)
ruclips.net/video/P1YCYt9p374/видео.html Schul-PCs also?
Ich rate davon ab, das bei fremden PCs ohne Erlaubnis machen. Und Schul-PCs mutwillig kaputt zu machen ist nicht cool 🤨
(Es sieht übrigens so aus, als würdest du auf eine bestimmte Stelle im Video verweisen, aber ich glaube der Timestamp 564s ist nicht das was du gemeint hast)
Moin!
Stimmt, ich meinte 9:06.
Ich frage mich halt, ob nicht auch unbeaufsichtigte Schul-PCs anfällig sind.
Das Laufwerk mit 'nem PW versehen, funktioniert in diesem Umfeld eben nicht😅
Damit wäre genau 1 der 4 notwendigen Maßnahmen nicht umsetzbar. 🫣
Das stimmt wohl. Wenn die anderen 3 aber umgesetzt sind, dann ist es schon mal ganz gut. Um dann die Festplatte zu manipulieren müsste sie ausgebaut werden und an einen anderen Computer angeschlossen werden. Das ist zwar nicht ausgeschlossen, aber zumindest ein meiner Meinung nach unwahrscheinliches Szenario für eine Schule. Wenn hier wirklich sehr stark motivierte Schüler zugange sind, hilft vielleicht eine Art Read-Only System, welches sich nach jedem Boot zurück setzt. Oder Thin Clients.
Für die durchschnitts Person ist dieser Aufwand nicht wert.
Das stimmt :)
... am Besten ist´s, auf Linux mint ´upzugraden´! ...
Das löst zumindest einige der Windows-Probleme:)