Forensic entschlüsselt TrueCrypt-Festplatten innerhalb von Minuten !?

HelloSpencer

Ensign
Registriert
März 2011
Beiträge
137
Passware Kit Forensic entschlüsselt TrueCrypt-Festplatten innerhalb von Minuten
Mountain View, Kalifornien, March 30, 2010 (ots/PRNewswire) - Passware Inc. (http://www.lostpassword.com),

ein Anbieter von Verfahren zur Passwort-Wiedererlangung,
Entschlüsselungen und Beweissicherungssoftware für Computer-Forensik,
gab heute bekannt, dass die neueste Version seines Flagschiff-Produktes,
Passware Kit Forensic, die erste käuflich erwerbliche Software zur
Entschlüsselung von TrueCrypt-Festplatten-Kodierungen ist, die ohne
zeitintensive Brute-Force-Angriffe auskommt. Es handelt sich auch um das
erste Produkt mit der Fähigkeit, BitLocker-Laufwerke zu entschlüsseln.
TrueCrypt
ist eine kostenlose Open-Source-Software zur Verschlüsselung ganzer
Festplatten für Windows 7/Vista/XP, Mac OS X und Linux, die virtuelle
Festplatten mit Echtzeit-Verschlüsselung erstellt und lange Zeit als
unentschlüsselbar galt.
Auf Nachfrage von Kunden, insbesondere
Strafverfolgungsbehörden, hat Passware sein Passware Kit Forensic
erweitert, um den Zugang zu Speicherdaten von beschlagnahmten Computern
über FireWire-Ports zu ermöglichen, sogar wenn der Computer gesperrt
ist. Wenn ein verdächtiger Computer beschlagnahmt und mit dem
angeschlossenen Verschlüsselungslaufwerk eingeschaltet wird, scannt die
Software das Speicherabbild und extrahiert die Verschlüsselungscodes,
sodass Kriminalbeamte Zugriff auf die gespeicherten Daten haben.
"Unsere
Kunden aus dem Gebiet der Strafverfolgung haben nach einer Möglichkeit
zur Entschlüsselung von TrueCrypt-Laufwerken verlangt - und wir haben
eine praktische und effiziente Methode entwickelt, um schnell an
verschlüsselte Daten heranzukommen", erklärte Dmitry Sumin, Präsident
von Passware, Inc. "Wir sind stolz darauf, als erstes Unternehmen eine
Lösung auf den Markt zu bringen, die der Polizei, Kriminalbeamten und
Privatdetektiven die Möglichkeit bietet, sowohl BitLocker- und nun auch
TrueCrypt-Verschlüsselung auf beschlagnahmten Computern zu umgehen", so
Sumin weiter.
Eine praktische Methode, verschlüsselte Daten zu extrahieren
Passware
Kit Forensic 9.7 ist eine umfassende Lösung zur Beweissicherung, die
alle passwortgeschützten Einheiten auf dem Computer erkennt und durch
die fortschrittlichen Algorithmen zur Entschlüsselung und
Passwort-Wiedererlangung Zugang zu diesen verschafft. Die Software, die
auch mobil über ein USB-Laufwerk angewendet werden kann, ist in der
Lage, verschlüsselte Daten auszumachen sowie Dateien und Passwörter für
Websites wiederherzustellen, ohne am Zielcomputer irgendwelche
Änderungen vorzunehmen.
Passware Kit Forensic 9.7 unterstützt
über 180 unterschiedliche Dateiformate und ist fähig, Passwörter für
PGP-Archive und virtuelle Festplatten wiederherzustellen. Die Software
unterstützt Windows 7, Vista, 2003, XP und 2008 Server und ist
kompatibel mit Guidance EnCase E01-Disk-Image-Dateien -- dem de-facto
Standard in der Computer-Forensik.
Preis und Verfügbarkeit
Passware
Kit Forensic 9.7 ist ab sofort von Passware und einem erweiterten
Einzelhandelsnetz in den USA, Europa, einschliesslich Deutschland, und
Asien, einschliesslich Russland, Japan und China, erhältlich. Die
unverbindliche Preisempfehlung des Herstellers liegt bei 795 USD. Im
Preis inbegriffen sind kostenlose Software-Updates für ein Jahr.
Kostenlose Probelizenzen sind ebenso erhältlich. Weitere Informationen
erhalten Sie unter: http://www.lostpassword.com/kit-forensic.htm.
Informationen zu Passware Inc.
Passware
Inc. wurde 1998 gegründet uns ist der weltweit führende Hersteller für
Software zur Passwort-Wiedererlangung und Verschlüsselung für
Unternehmen, Strafverfolgungsbehörden und forensische Organisationen,
Helpdesk-personal sowie geschäftliche und private Nutzer. Zahlreiche
Regierungsbehörden auf Bundes-, Staats- und Landesebene, Fortune
500-Unternehmen und Tausende privater Verbraucher verlassen sich auf
Software-Produkte von Passware, um die Verfügbarkeit von Daten bei
Passwortverlusten zu gewährleisten.
Passware ist ein Unternehmen
in privater Hand mit Hauptsitz in Mountain View, im US-Bundesstaat
Kalifornien, und einer Niederlassung für Software und technische
Entwicklung in Moskau (Russland).

Glaubt Ihr das ? Es geht mir nicht um die "Knackbarkeit" . Erschreckend finde ich eher die kurze Zeit...
 
Die eigentliche Lücke ist Firewire und schon seit Beginn an bekannt. Das gleiche Problem gibt es jetzt übrigens mit Thunderbolt - die Schnittstelle und dessen Komponenten haben kompletten Zugriff auf den RAM, wodurch dieser (natürlich) einfach nach dem Passwort oder Key durchsucht werden kann.

Nichts Neues, hier wurde nur kalter Kaffee wieder aufgewärmt.
 
Wenn ein verdächtiger Computer beschlagnahmt und mit dem
angeschlossenen Verschlüsselungslaufwerk eingeschaltet wird, scannt die
Software das Speicherabbild und extrahiert die Verschlüsselungscodes

D.h. es liest wohl den Schlüssel aus dem RAM aus. Problem dabei ist nur, dass der da auch mal rein muss. Die Passwörter von Truecrypt werden meines Wissens nicht mit in den Container gepackt.


Letztendlich schenke ich dem Werbetext keinen Glauben. TrueCrypt ist OpenSource. Wären da Fehler drin würde die sofort jemand entdecken.
 
Ich denke das die wenigsten Firewire Festplatten nutzen auf denen Ihre TrueCrypt Container lagern. Die meisten werden wohl doch eine externe USB Festplatte oder eine SATA Festplatte nutzen.
 
Jep, wenn das Passwort nicht im RAM steht ---> Keine Chance. Und das Passwort steht logischerweise erst im RAM sobald man es einmal eingegeben hat. Macht man den PC dann wieder aus bzw. gibt kein Passwort nach dem Neustart ein steht es auch nicht im RAM.
 
Wenn man das genau liest merkt man das nicht Truecrypt an sich geknackt wird sondern aus einem laufenden Rechner mit gemounteten TC Laufwerk wird das aktuelle PW ausgelesen. Das heisst ein abgeschalteter PC oder eine reine HD mit TC ist weiterhin sicher!
 
jow.... sobald jemand/etwas zugriff auf den ram bekommt ist eine verschlüsselung wirkungslos...

Firewire hat direkten zugriff, das gleiche wie bei thunderbold.

Aber auch solche lustigen sachen wie WebGL hat zugriff.

Denn webgl muss auf den shader der gpu zugreifen, und diese haben zugriff auf den ram.

also nur das bloße ansurfen einer lsutigen seite die einen winzigen webgl inhalt läd kann schon den ram nach dem key durchsuchen....

es gibt alternativen dazu, welche aber noch in der netwicklung sind.

so nutze eine lsöung niht den RAM sondern den cpu cache als keyspeicher.... das wurde vor kurzem aber aufgegeben.
Aktuell wird an einer software names "TRESOR" gearbeitet, welches den key in den debugging register der cpu speichert.

Hier der beitrag vom letzten CCC Congress (28C3):
http://www.youtube.com/watch?v=cRtFpFuCjWg
 
Dazu muss aber doch dennoch der Code eingegeben werden irgendwann.

Wenn mein TC verschlüsselter PC ausgeschaltet ist und die TC verschlüsselte USB Platte ebenfalls können die doch nix machen.

Die Ermittler müssten doch dann schon vor Ort das Glück haben dass der PC läuft und das Passwort sich im RAM befindet.

Renn ich dann eben in den Keller und leg die Sicherung um fürs ganze Haus sind meine Daten für die doch unerreichbar.

Wie gut dass ich FIrewire im Bios ausgeschaltet habe. Brauch das eh nicht.
 
Das ganze ist eher für Server wichtig die ja ständig laufen. Allerdings müssten die Firewire haben.
 
200 Zugriffe in ~10 Minuten - und das nachts um 2Uhr...

Nunja , wer lagert auf seinen Servern schon TrueCrypt Container...
 
Nur welcher krimineller benutzt schon Windows?

Sorry, habe das ersteinmal falsch verstanden.
 
Zuletzt bearbeitet:
Im Fall der Fälle und als gesetzestreuer Bürger schaltet man doch seinen Rechner aus damit die Beamten diesen dann schneller mitnehmen können? Also so habe ich das mal gelesen. Das Passwort braucht man denen nicht zu sagen, aber die werden schon wissen was sie tun. ;)
 
Yuuri schrieb:
@ kkh: Die "Lücke" betrifft Firewire und nicht Windows. :freak:

nja, unter linux wurde das treiberseitig deaktiviert, also firewire funktioniert weiterhin, kann nur nicht mehr mittels dma auf den ram zugreifen ;)

aber natürlich hast du recht, dass es eine software unabhängige sicherheitslücke ist.
ich wollte jetzt nur etwas klugscheißern ^^ - und ich hoffe du nimmst es mir nicht böse, dass ich es noch etwas verfeiner habe :)
 
Ich kann mich 1337 g33k nur anschließen. Wahrscheinlich wird die Software nichtmal in jedem Fall funktionieren. Wer sagt überhaupt das bei jeder beschlagnahmten Festplatte der RAM existent ist? Falls auf der Festplatte wirklich hochsensible Daten gespeichert sein sollten wird man wahrscheinlich auch nicht TrueCrypt benutzen, sondern dafür sorgen das physischer Zugriff möglichst erschwert wird. Und wie auch schon erwähnt: TrueCrypt gibts schon relativ lange. Wieso sollten jetzt ausgerechnet diese Typen eine Software entwickeln die alles kann woran bisher sicherlich , aufgrund der Verbreitung von TrueCrypt, schon einige gescheitert sind.
 
Aus dem Text kann ich lesen, das auch USB möglich ist. Damit ist Firewire nur eine möglichkeit. Offensichtlich setzt die Software die Schwachstelle an die im Video oben beschrieben ist, das Passwörter im RAM abgelegt auffindbar und sogar nach abschalten des PC's einige Sekunden überleben.
 
Zhalom schrieb:
Aus dem Text kann ich lesen, das auch USB möglich ist.
Welche Stelle im Text meinst du da genau?
Falls es diese sein sollte:
Die Software, die
auch mobil über ein USB-Laufwerk angewendet werden kann,
Das besagt nur, das die Software portabel ist, also vom USB Stick aus ausgeführt werden kann.


@Topic:
Der Text besteht aus viel Marketing Gelaber.
Fakt ist, die Sicherheitslücke in Firewire (DMA) ist schon seit der Einführung von Firewire bekannt, was wohl auch mit ein Grund dafür ist dass Firewire eher ein Nischendasein fristet (was auch Thunderbolt drohen könnte, da gibts ja das selbe Problem).

Es hat sich eben nur noch niemand die Mühe gemacht, ne Software zu schreiben, die genau diese Lücke ausnutzt um ein mit Truecrypt verschlüsseltes Laufwerk zu knacken.
Wahrscheinlich, weil diese Methode nur funktioniert, wenn der Computer an ist und das Passwort auch im RAM liegt.
 
Rach78 schrieb:
Wenn mein TC verschlüsselter PC ausgeschaltet ist und die TC verschlüsselte USB Platte ebenfalls können die doch nix machen.

Die Ermittler müssten doch dann schon vor Ort das Glück haben dass der PC läuft und das Passwort sich im RAM befindet.

Ausschalten alleine reicht nicht ganz, solange sich das PW im Ram befunden hat. Siehe:

http://de.wikipedia.org/wiki/Kaltstartattacke

Natürlich ist das ganze recht hypothetischer Natur und relativ unwahrscheinlich, aber falls du vielleicht vor hast, die nationale, internationale oder gar die intergalaktische Sicherheit zu gefährden, KÖNNTE man dir so auf die Schliche kommen :D.
 
ja aber mal ehrlich dass so ein gut ausgestattetes Ermittlerteam von Experten vor der Tür steht ist recht unwarscheinlich.

In 99,99% der Fälle wird der Rechner und Festplatten doch einfach so mitgenommen. Höchstwarscheinlich werden die Leute die bei dir aufkreuzen selber noch den Stecker vom PC ziehen und den abtransportieren.

Und wenn ich SIcherung im Keller umlege müssen die auch erstmal wieder die einschalten bevor se den PC starten können.

ISt in meinen Augen eher nen Risiko bei Notebook, lasse meines nämlich auch sehr oft immer im Standby Modus.

Und wenn das Teil im Urlaub geklaut wird geht es den Dieben in erster Linie doch eh nur um den Rechner an sich und weniger um die Daten
 
Zuletzt bearbeitet:
Deadmanshand schrieb:
Ich denke das die wenigsten Firewire Festplatten nutzen auf denen Ihre TrueCrypt Container lagern. Die meisten werden wohl doch eine externe USB Festplatte oder eine SATA Festplatte nutzen.
Darum geht es nicht, sondern dass der angeschaltete PC einen aktivierten Firewire-Anschluss hat.
 
Zurück
Oben