De Duitse onderzoeker Bern Röllgen heeft aangetoond dat zulke on-the-fly-encryption programma’s hun wachtwoorden en de locatie van de file doorgeven via een Windows programmeerfunctie die ‘DeviceIOControl’ heet. Het is onmogelijk om die informatie direct te verkrijgen, omdat een goed geschreven encryptie-programma de locaties waar deze informatie wordt gecached overschrijft. Maar een aanvaller kan het wachtwoord en de locatie wel te pakken krijgen als hij zich toegang heeft verschaft tot de kernel van Windows zelf.

Als de aanvaller toegang heeft tot de kernel, dan kan hij een aangepaste versie van de DeviceIOControl functie in de kernel opnemen, die in staat is om de I/O control codes te loggen. Daardoor kan hij dan ook de code achterhalen die wordt gebruikt door de enryptie-driver. En dat zou weer het wachtwoord in gevaar kunnen brengen dat wordt gebruikt voor het versleutelen.

Zo gezegd klinkt het heel simpel, maar om zo’n aanval uit te kunnen voeren moet een aanvaller natuurlijk wel eerst doordringen tot de kernel, zonder opgemerkt te worden. Dat is niet gemakkelijk, maar theoretisch is het mogelijk. Het ligt er dus maar aan hoe paranoïde je bent of je de dreiging serieus neemt.

Bern Röllgen zal in ieder geval geen software meer vertrouwen die zijn sleutel zo makkelijk afgeeft aan het besturingssyteem. De oplossing die hij voorstelt is een Diffie-Helman key exchange tussen de driver en het encryptie-programma. Bron: Techworld