Ransomware: keine Gefahr wenn Medium verschlüsselt?

[Forrest Gump]

Hallo

Immer wieder liest man von erfolgreichen Ransomware-Attacken, wo, wie
bei anderen Cyberangriffen, der Mensch die grösste Sicherheitslücke ist.

Ich habe meine Festplatte mit Veracrypt verschlüsselt. Die Daten werden
erst im Moment des Zugriffs darauf entschlüsselt, verbleiben aber
verschlüsselt auf dem Speichermedium.

Ist das Risiko, einer Ransomware-Attacke zum Opfer zu fallen, auch wenn
man sich oberblöd anstellt, auf diese Art nicht viel geringer oder
vielleicht sogar bei Null?

Vielen Dank.

Grüsse
Forrest




--
"Das Gute an Vietnam war, dass man immer irgendwas vorhatte."
Forrest Gump
---

[Takvorian]

Forrest Gump schrieb:

> Ich habe meine Festplatte mit Veracrypt verschlüsselt. Die Daten werden
> erst im Moment des Zugriffs darauf entschlüsselt, verbleiben aber
> verschlüsselt auf dem Speichermedium.

Verschlüsselung ist kein Schutz vor Verschlüsseln durch Malware. Auch
verschlüsselte Daten können verschlüsselt oder gelöscht werden.

[Forrest Gump]

Also sprach Takvorian am 11.11.2021 um 20:31:

> Verschlüsselung ist kein Schutz vor Verschlüsseln durch Malware. Auch
> verschlüsselte Daten können verschlüsselt oder gelöscht werden.

Eines der Geschäftsmodelle bei Ransomware ist Erpressung durch Androhung
der Veröffentlichung der Daten. Wenn die Daten schon verschlüsselt
waren, ist auf diese Art schon mal kein Geld zu machen.

[Thomas Niering]

Hallo Forrest,

Forrest Gump <forrest.g...@gmx.net> wrote:
> Ist das Risiko, einer Ransomware-Attacke zum Opfer zu fallen, auch wenn
> man sich oberblöd anstellt, auf diese Art nicht viel geringer oder
> vielleicht sogar bei Null?

Nein, Denkfehler,
Egal wie die Ransomware es auf deinem Rechner schafft, sie wird deine
Daten verschlüsseln. Und wenn sie das im Benutzerkontext schafft, dann
trifft sie auf unverschlüsselte Daten...

Gegen Ransomware hilft vor allem ein geschulter Anwender und
ein aktuelles System.

Ciao Thomas

[Forrest Gump]

Also sprach Beate Goebel am 11.11.2021 um 22:19:

> Und? Du hast nichts gewonnen. Deine Daten sind endgültig unlesbar.

Backup?

[Arno Welzel]

Forrest Gump:

> Hallo
>
> Immer wieder liest man von erfolgreichen Ransomware-Attacken, wo, wie
> bei anderen Cyberangriffen, der Mensch die grösste Sicherheitslücke ist.
>
> Ich habe meine Festplatte mit Veracrypt verschlüsselt. Die Daten werden
> erst im Moment des Zugriffs darauf entschlüsselt, verbleiben aber
> verschlüsselt auf dem Speichermedium.
>
> Ist das Risiko, einer Ransomware-Attacke zum Opfer zu fallen, auch wenn
> man sich oberblöd anstellt, auf diese Art nicht viel geringer oder
> vielleicht sogar bei Null?

Nein. Denn solange Du im laufenden Betrieb mit regulären Anwendungen auf
die Platte Zugriff hast, hat Ransomware das logischerweise auch.

Ob Du ein Dokument mit einer Office-Anwendung öffnest, änderst und dann
speicherst oder von Dir unbewusst gestartete Ransomware diese Dateien
öffnet, ändert und speichert, macht für Veracrypt keinen Unterschied.


--
Arno Welzel
https://arnowelzel.de

[Takvorian]

Forrest Gump schrieb:

> Also sprach Takvorian am 11.11.2021 um 20:31:
>
>> Verschlüsselung ist kein Schutz vor Verschlüsseln durch Malware. Auch
>> verschlüsselte Daten können verschlüsselt oder gelöscht werden.
>
> Eines der Geschäftsmodelle bei Ransomware ist Erpressung durch Androhung
> der Veröffentlichung der Daten. Wenn die Daten schon verschlüsselt
> waren, ist auf diese Art schon mal kein Geld zu machen.

Relativ unwichtig, denn der Hauptdruck für die Opfer ist die Verschlüsselung
ihrer Daten, nicht deren Veröffentlichung. Sie verlieren also jeden Tag, an
dem der Geschäftsbetrieb ruht oder stark beeinträchigt ist, Unsummen an Geld
und es droht der Bankrott. Bei sehr großen Betrieben sind das ggf. täglich
Millionen und nach wenigen Tagen wäre Schluss.
Der Schutz liegt also nicht in der Verschlüsselung, sondern im Backup.
Verschlüsselung der Daten ist für Angreifer auch eh völlig bedeutungslos,
denn man greift dann an, wenn mit den Daten gerade gearbeitet wird, sie also
entschlüsselt sind. Das ist sehr einfach und es ist völlig egal, welche
Verschlüsselung gewählt wurde.

[Wendelin Uez]

> Wenn die Daten schon verschlüsselt waren, ist auf diese Art schon mal kein
> Geld zu machen.

Nein. Die Festplattenverschlüsselung veschlüsselt nur die auf die Festplatte
zu schreibenden Daten. Werden sie vom Betriebssystem wieder angefordert,
wird der verschlüsselte Datenbklock eingelesen, entschlüsselt und dem
anfordernden Programm zur Verfügung gestellt.

Da das Angreiferprogramm mindestens mit den Rechten des rechtmäßigen Nutzers
ausgestattet ist - das ist genau das, was man zu verhindern versucht -
bekommt es die Daten also genauso entschlüsselt wie der originale Benutzer.

Das Angreiferprogramm ist deswegen mit den Rechten des rechtmäßigen
Benutzers ausgestattet, weil es - normalerweise - unter dessen Kontrolle in
das System eingedrungen ist. Ein per Malware z.B. über verseuchten Download
eingeschleustes Programm unterscheidet sich diesbezüglich keinen Deut von
einem Download aus seriöser Quelle: Beide treten mit den Rechten des
Benutzers auf und bekommen die Festplattendaten anstandslos entschlüsselt
geliefert.

[Marc Haber]

Takvorian <tak...@gmx.de> wrote:
>Relativ unwichtig, denn der Hauptdruck für die Opfer ist die Verschlüsselung
>ihrer Daten, nicht deren Veröffentlichung.

Es gibt genug Branchen für die das in dieser Allgemeinheit nicht gilt.

Die DSGVO tut in so einem Fall ähnlich weh wie die
Betriebsunterbrechung.

--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

[Takvorian]

Marc Haber schrieb:

> Takvorian <tak...@gmx.de> wrote:
>>Relativ unwichtig, denn der Hauptdruck für die Opfer ist die Verschlüsselung
>>ihrer Daten, nicht deren Veröffentlichung.
>
> Es gibt genug Branchen für die das in dieser Allgemeinheit nicht gilt.
> Die DSGVO tut in so einem Fall ähnlich weh wie die
> Betriebsunterbrechung.

Wenn eine Veröffentlichung sensibler Kundendaten die Schließung eines
Betriebs zur Folge hat, ja. Gab es das schon mal? Ist mir bisher nicht in
Erinnerung. Wäre IMHO eine absurd hohe Strafe. Wie man sieht, kann es ja
jeden treffen. Jeden Tag ein neuer Fall und ob Kundendaten abgegriffen
wurden, bleibt meist im Unklaren.

[Wendelin Uez]

>> Und? Du hast nichts gewonnen. Deine Daten sind endgültig unlesbar.
>
> Backup?

Übrigens, wer seine Festplatte verschlüsselt, sollte tunlichst ein Backup
haben (sollte man zwar sowieso, aber hier ganz besonders). Er kann sie, wenn
z.B. das Mainboard hops geht, nicht einfach mal wie früher an den nächsten
Rechner hängen und die Daten überspielen.

[Christian Garbs]

Mahlzeit!

Wendelin Uez <wu...@online.de> wrote:

> Übrigens, wer seine Festplatte verschlüsselt, sollte tunlichst ein
> Backup haben (sollte man zwar sowieso, aber hier ganz besonders). Er
> kann sie, wenn z.B. das Mainboard hops geht, nicht einfach mal wie
> früher an den nächsten Rechner hängen und die Daten überspielen.

Das dürfte davon abhängen, wie man verschlüsselt:

"In Software" (z.B. LUKS) dürfte sich problemlos auf ein anderes
System übertragen lassen.

Bei den ATA-Security-Befehlen kenne ich mich nicht aus, aber die
müssten doch komplett im Plattencontroller laufen, sprich: Wenn der
Host den passenden Key zum Unlock schickt, könnte man das auch
umgezogen bekommen.

Probleme kriegt man vermutlich, wenn man mit TPM hantiert?
Aber kann man nicht auch die Schlüssel backuppen?

Gruß
Christian
--
....Christian.Garbs....................................https://www.cgarbs.de
It *IS* documented, look under "For Internal Use Only."