Truecrypt, Bitlocker, PGP knackbar!

[Ernst@at]

Neueste Schreckensmeldung für Paranoiker:

Die Fa. Elcomsoft bietet einen "Forensic Disk Decryptor" an, mit welchem derart verschlüsselten Daten zugänglich gemacht werden können, und die Rekonstruktion des User Keys ermöglicht wird.

Allerdings nur unter ganz bestimmten Voraussetzungen .

Bei ausgeschaltetem PC

• aus den Daten des Hibernatefiles, wenn zum Zeitpunkt des letzten Hibernate die Container geöffnet waren

Bei eingeschaltetem PC

• durch Installation des Tools am laufenden System(wenn der angemeldete Benutzer über Admin-Rechte verfügt) bei geöffneten Containern aus den Speicherinhalten
• bei ungenügenden Rechten mit Hilfe eines weiteren Tools(das bereits installiert sein muss) über eine Firewire-Schnittstelle, soferne der PC überhaupt über eine solche verfügt

 

[SubNatural]

Super... das ist nicht geknackt. Denn ich muss den Container erst öffnen

 

[javameister]

Überhaupt nichts wurde geknackt. Der Kern der Meldung ist, dass Leute die nicht wissen wie man TrueCrypt benutzt Spuren hinterlassen.

Im Grunde können so Leute auch gleich einen Zettel mit ihrem PW unter das keyboard kleben.

 

[Masamune2]

Die Überschrift hätte so in der Computerbild stehen können aber die Info ansich ist ganz interessant.

 

[han123]

So ein Unsinn. Das ist bei jedem System eine Gefahr. Total reißerisch...

 

[Ernst@at]

Super... das ist nicht geknackt. Denn ich muss den Container erst öffnen

Eben doch. Im ersten Fall.
Annahme: PC oder Laptop wird geklaut, dann könnte aus einem früherer erfolgten Wechsel in den Hibernate Mode (Hibernate File bleibt auch bei Runterfahren des Systemes erhalten) der Zugriff auf die geschützten Container erlangt werden, wenn die beim Hibernate offen waren.

 

[javameister]

dann könnte / wenn / waren

Jo, wenn man nicht versteht wie TrueCrypt arbeitet, dann könnte man seine Daten kompromittieren. Doch bei mündigen Usern, waren Funktionen wie Hibernate aus Prinzip deaktiviert.

 

[Ernst@at]

Mündige User hab ich noch selten gesehen, ist eine aussterbende Gattung.
Die würden aber, statt das Hibernate abzustellen, eher
TrueCrypt: Settings > Preferences > Dismount all when: Entering power saving mode
einstellen...

 

[SubNatural]

Man hat aber nicht TrueCrypt gehackt sondern nur die Daten, die natürlich vorliegen, da im Hibernate der RAM-Inhalt auf die Festplatte geschrieben wird, um danach wieder den Urzustand herzustellen ausgelesen. Für mich ist das nicht gehackt/geknackt, sondern eine Ausnutzung von einer sehr seltenen Situation, die eigentlich eher ein Problem von MS ist.
Vorallem muss man erstmal an den Rechner kommen. Wenn ich die Festplatte habe, kann ich auch per Bruteforce das Passwort knacken. Geht heute auch sehr schnell

 

[Big Ray]

kann ich auch per Bruteforce das Passwort knacken. Geht heute auch sehr schnell

Wenn ich ein Passwort wähle aus Groß-/kleinbuchstaben, Zahlen und Sonderzeichen aus mind. 10 Stellen oder mehr, dann solltest Du schon das Methusalem Gen haben, denn ansonsten wirst Du das Öffnen des Containers nicht mehr mit erleben

 

[Daaron]

Vorallem muss man erstmal an den Rechner kommen. Wenn ich die Festplatte habe, kann ich auch per Bruteforce das Passwort knacken. Geht heute auch sehr schnell

Nicht so schnell, wie du denkst. Selbst ein Supercomputer braucht für eine ordentliche, lange Passphrase ein paar Jahrtausende. Denkt immer daran, dass viele Passwort-Systeme auch Leerzeichen akzeptieren. Langer Satz (oder Wortgruppe) > kurzes kryptisches Passwort

Aber ich würde wegen dieser Meldung echt keine Gäule scheu machen. Ein Risiko ist wirklich nur die Hybernation File. In allen anderen Fällen wird die "Mitarbeit" des Opfers benötigt. Da könnte man auch gleich n guten Trojaner einschleusen und fertig.

 

[Ernst@at]

Es ging hier nicht darum, Gäule scheu zu machen, sondern den Sinn für eventuelle Sicherheitslöcher zu schärfen.
Jeder hält sich ja schon für einen Experten, bloss weil er geschafft hat, seine Daten in zB Truecrypt einzubinden.
Ob er dann auch ein sicheres Passwort verwendet, welches nicht innerhalb einiger Stunden geknackt werden kann, oder solch Stolpersteine wie den Hibernate File nicht beachtet, bleibt ihm selbst überlassen.

Wie sich in der Datenrettung des Öfteren zeigt, sind die lieben Leutchen ja oft nicht einmal in der Lage
- die TC-Volumes vor unbeabsichtigtem löschen/partitionieren zu schützen
- den Unterschied zwischen "Sicherheit vor fremden Zugriff" und "Sicherheit vor Datenverlust" auseinanderzuhalten und haben daher auch kein Backup
- eine Rescue-CD mit einer Sicherung der TC-Header anzulegen
womit man dann Kopfstände unternehmen muss, damit sie wieder an ihre Daten kommen...

Wenn man schon nicht ein Passwort wie "Dumpfbacke" verwendet, welches per Brute-Force in Minuten geknackt werden kann, sollte man sich auch der Gefahr bewusst sein, wenn man mit seinem TC-Container auf seiner Ext.HDD mit TC Portable an einem fremden System arbeitet.
Nachdem derartige Software(wie im Erstpost beschrieben) frei verfügbar ist, könnte damit ganz einfach Passwort oder Keyfile ausgespäht werden.

 

[Big Ray]

Wie sich in der Datenrettung des Öfteren zeigt, sind die lieben Leutchen ja oft nicht einmal in der Lage
- die TC-Volumes vor unbeabsichtigtem löschen/partitionieren zu schützen
- den Unterschied zwischen "Sicherheit vor fremden Zugriff" und "Sicherheit vor Datenverlust" auseinanderzuhalten und haben daher auch kein Backup
- eine Rescue-CD mit einer Sicherung der TC-Header anzulegen
womit man dann Kopfstände unternehmen muss, damit sie wieder an ihre Daten kommen...

Darüber hatte ich mir auch schon des öfteren Gedanken gemacht. Ein versehentlicher Klick und das TC-Volumen ist futsch. Das was Du da beschreibst, hört sich interessant an. Wie setze ich das um ?

 

[Daaron]

"frei verfügbar"... hmhm
- kostet 300$ aufwärts
- genauere Infos gibts nur auf Kundenanfrage

 

[pravum]

Die Auslagerungsdatei dürfte kein Problem sein, aktiviert beim Herunterfahren des System das Überschreiben der HF, dann wird der Inhalt genullt. Das Tool von Elcomsoft ist dann nicht mehr in der Lage aus der HF brauchbare Daten zu gewinnen. Zumal die Bezeichnung "knacken" Unsinn ist. Keines der Tools ist geknackt. Höchstens ist die Nachricht "beknackt". Und lediglich eine Promoaktion der "Knack" Russen.

 

[Ernst@at]

Darüber hatte ich mir auch schon des öfteren Gedanken gemacht. Ein versehentlicher Klick und das TC-Volumen ist futsch. Das was Du da beschreibst, hört sich interessant an. Wie setze ich das um ?

Etwa so wie hier: Externe TrueCrypt-Festplatte vor dem Formatieren schützen