Die Festplatte von McAfee.

Die Festplatten der Amtsausstattung im Landtag Nordrhein-Westfalen sind zur Zeit und waren schon immer allesamt unverschlüsselt. Für die vertraulichen Daten des Untersuchungsausschusses zu den BLB sind an die beteiligten Abgeordneten auf Anfrage jetzt vollverschlüsselte externe Festplatten verteilt worden.

Zum Einsatz kommen dort SED¹ der Firma McAfee. Das ist nicht verwunderlich, will der Landtag doch in Zukunft für die Festplatten der Amtsausstattung auch auf ein Produkt dieses Herstellers setzen.

Natürlich funktioniert die Lösung von McAfee nur mit spezieller Software, die die Festplatte mit dem richtigen Schlüssel füttern muss. Natürlich gibt es diese Software nur für Windows. D’oh.

Moment! Da war doch was auf dem 29C3 (Video). Der Angriff in Kurzform:

1. Lege Versorgungsspannung und Datenleitung über 2 verschiedene Kabel/Adapter an.
2. Schalte die Verschlüsselung mit dem richtigen Kennwort frei.
3. Kappe die Datenverbindung.
4. Schließe die Datenleitung an einen anderen Rechner an.
5. Die Festplatte ist weiterhin entsperrt.
6. Profit.

Nett von McAfee, oder?

Netterweise liefert McAfee ein USB-Y-Kabel mit getrennten Steckern für Strom und Daten direkt mit. Solange die Festplatte noch Strom hat, lassen sich beliebig andere Rechner anschließen. Zum Zeitpunkt des Talks waren meines Wissens nach alle auf dem Markt befindlichen SED von diesem Problem betroffen. Entweder hat McAfee das noch nicht gelöst (das wäre ganz einfach: bei Abriss der Datenverbindung sperren) oder der Landtag hat veraltete Hardware gekauft. Einmal mit Profis …

Anyway: Zum einen kann man jetzt – über Umwege – die Daten auf der Platte auch unter Linux verwenden, das ist die Hauptsache. Zum anderen haben wir „unseren“ Abgeordneten dann mal geraten, die Festplatten nur vom Strom abgekoppelt aus den Augen zu lassen.

Fun Fact am Rande: in der Landtags-Arbeitsgruppe IT & Kommunikation haben die PIRATEN schon letztes Jahr vorgeschlagen, doch einfach TrueCrypt auszurollen. Das wäre sofort verfügbar gewesen, ist frei, vielfach getestet und wäre nebenbei von solch einem Angriff nicht betroffen. Der Ablehnungsgrund? Das wäre ja nicht zertifiziert und man bekäme keinen Support. Na dann.