Joanna Rutokowska ist in Sicherheitskreisen kein unbeschriebenes Blatt. Ihre neueste Arbeit heißt Evil Maid und arbeitet als Passwortschnüffler für Systeme mit TrueCrypt-Verschlüsselung.

Full Disk Encryption gehört zu den sichersten Verschlüsselungsmethoden überhaupt, aber wie in vielen Fällen steht und fällt die Verschlüsselung mit dem Passwort. Um dieses auf Systemen, die TrueCrypt benutzen, zu erhaschen haben sich Joanna Rutokowska und Alex Tereshkin von den Invisible Things Lab ein ganz besonderes Programm beziehungsweise Szenario einfallen lassen: das böse Zimmermädchen alias Evil Maid Attack.

Wie Joanna in ihrem Blog schreibt, handelt es sich dabei um ein auf einem USB-Stick installiertes Linux-System mit einem speziellen Tool, welches den TrueCrypt-Loader des gewünschten Geräts infisziert und sich von diesem Punkt an das jeweils zuletzt eingegebene Passwort merkt. Die ganze Attacke dauere keine 2 Minuten, meint Joanna, und könne typischerweise in einem Hotel von einem Zimmermädchen durchgeführt werden, daher der Name Evil Maid Attack. Bei einem erneuten Start des Systems vom USB-Stick und dem aufruf des Evil-Maid-Tools zeigt das Linux-System dann das Passwort an.

Das USB-Image von Evil Maid sowie der Quellcode stehen auf invisiblethingslab.com zum freien Download bereit. Joanna weist darauf hin, dass man das Tool nur zu Testzwecken benutzen sollte und Datenverlust nicht ausgeschlossen werden kann. Mit dem Evil Maid möchte die Sicherheitsexpertin auf diese Schwachstelle in TrueCrypt hinweisen und die Entwickler dazu auffordern, auch den Loader vor Angriffen und Modifizierungen zu schützen.

Als Workaround eignet sich zum Beispiel ein Passwort für den Bootvorgang von USB, der aber die Attacke nur um ein paar Minuten verlängern würde, da man dann einfach die Platte in einen anderen Rechner einbauen müsste. Joanna schlägt vor, die TPM-Funktionen des Rechners zu nutzen und/oder mit One-Time-Passwörtern zu arbeiten.