Re: Fwd: CVE-2016-4484: - Cryptsetup Initrd root Shell

To: debian-user-german@lists.debian.org
Subject: Re: Fwd: CVE-2016-4484: - Cryptsetup Initrd root Shell
From: Christian Knoke <chrisk@cknoke.de>
Date: Thu, 17 Nov 2016 20:56:32 +0100
Message-id: <[🔎] 20161117195632.GA1532@leo.home.cknoke.de>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <[🔎] 1479388489.21119.26.camel@novaplan.at>
References: <[🔎] 20161115110858.GA1635@leo.home.cknoke.de> <[🔎] 1479388489.21119.26.camel@novaplan.at>

Sascha Reißner schrieb am 17. Nov um 14:14 Uhr:
> Am Dienstag, den 15.11.2016, 12:08 +0100 schrieb Christian Knoke:
> > Moin,
> > 
> > aus persönlichem Interesse, und weils Debian im besonderen betrifft, eine Bugtraq
> > Meldung über cryptsetup:
> > 
> > http://hmarco.org/bugs/CVE-2016-4484/CVE-2016-4484_cryptsetup_initrd_shell.html
> > 
> > -->-->--
> > If you use Debian or Ubuntu/ (probably many derived distributions are also
> > vulnerable, but we have not tested), and you have encrypted the system   
> > partition, then your systems is vulnerable.
> > --<--<--
> 
> Das wusste ich schon vor einem Jahr als ich meinen Computer
> verschlüsselt habe und mir über Angriffsvektoren Gedanken machte.
> Wenn man einzelne Patitionen verschlüsselt kann ein Angreifer die
> Patitionstabelle lesen und erhält so Hinweise (Größe, Lage , Format)
> über die Aufteilung. Er kann sich dann auf den Teil konzentrieren der
> Ihm interessiert.
> 
> Deshalb ist bei mir nicht die root-Partition, sondern die ganze
> Festplatte verschlüsselt. Auf der Platte gibt es keinen MBR, keine
> EFI-Partition und keine Partitionstabelle die jemand lesen könnte.
> Zum Boot benötigt man einen USB-Stick auf dem eine Kopie der
> boot-Partition und das Key-File für den LUKS-Container liegt.
> Nach dem aufsperren des LUKS-Container wird ein PV (LVM) sichtbar indem
> die LV's liegen (die normalerweise als Partitionen im MBR stehen).

Das ist sehr interessant. So (so ähnlich) wollte ich dass auch einrichten,
habe es aber nicht hinbekommen.

Ich nehme an, das key file auf dem usb Stick ersetzt bei dir die passphrase?

> Sobald der LUKS-Container aufgesperrt ist, kann man den Stick bereits
> abziehen, da alle nötigen Sachen in der initramfs liegen die ja schon im
> RAM ist.
> Da ein LUKS-Container einen Header hat, ist dies die einzige Information
> die ein Angreifer bekommt und wieviele aktive Key-Slots vorhanden sind.

Dieser Header ist auch ein Schwachpunkt, weil man allein auf den header,
ohne den Rest der Platte, einen brut force angriff machen kann.

Der angreifer klaut erst den header, und bei seinem zweiten Besuch kann er
das System modifizieren.  Er muss nicht mehr die ganze Platte kopieren,
sondern kann gezielt nach Informationen suchen.

Gruß
Christian

-- 
Christian Knoke            * * *            http://cknoke.de
* * * * * * * * *  Ceterum censeo Microsoft esse dividendum.

Reply to:

Follow-Ups:
- Re: Fwd: CVE-2016-4484: - Cryptsetup Initrd root Shell
  - From: Sascha Reißner <reiszner@novaplan.at>

References:
- Fwd: CVE-2016-4484: - Cryptsetup Initrd root Shell
  - From: Christian Knoke <chrisk@cknoke.de>
- Re: Fwd: CVE-2016-4484: - Cryptsetup Initrd root Shell
  - From: Sascha Reißner <reiszner@novaplan.at>

Prev by Date: Re: Fwd: CVE-2016-4484: - Cryptsetup Initrd root Shell
Next by Date: Re: Re: md-raid5 erweitern mit Festplatte die größer ist
Previous by thread: Re: Fwd: CVE-2016-4484: - Cryptsetup Initrd root Shell
Next by thread: Re: Fwd: CVE-2016-4484: - Cryptsetup Initrd root Shell
Index(es):
- Date
- Thread