[Software] Neues Tool kann verschlüsselte Festplatten auslesen

Prince · 21.12.12, 12:35

Zitat:

Das russische Software-Unternehmen ElcomSoft hat ein neues Tool auf den Markt gebracht, mit dem sich nach Angaben des Herstellers in der Regel auch verschlüsselte Festplatten komplett auslesen lassen.

Der Elcomsoft Forensic Disk Decryptor (EFDD) kann den Angaben zufolge gegen die Kryptographie-Systeme von BitLocker, PGP und TrueCrypt eingesetzt werden, womit im Grunde also alle Verfahren abgedeckt sind, die im größeren Umfang zum Einsatz kommen. Die Software selbst läuft unter verschiedenen Windows-Versionen und eine Lizenz kostet 299 Dollar.

Wie der Hersteller mitteilte kann der Anwender wahlweise ein komplettes Laufwerk entschlüsseln lassen oder dieses mounten und in Echtzeit auf die kodierten Informationen zugreifen, während diese On-the-fly entschlüsselt werden. Dabei verspricht ElcomSoft, dass EFDD keine Spuren zurücklässt, die den eigentlichen Besitzer der Daten darauf aufmerksam machen könnten, dass jemand auf seine Daten zugegriffen hat. Dies macht die Software so beispielsweise auch für Strafverfolgungsbehörden oder Spione interessant.

Bisher gibt es noch keine Berichte darüber, wie groß die Erfolgschancen bei einer versuchten Entschlüsselung sind. Immerhin wird das jeweilige Passwort nicht direkt benötigt und auch nicht mit einem Brut-Force-Angriff ermittelt. Statt dessen versucht EFDD den Zugangsschlüssel herauszufinden, indem beim fraglichen Rechner der Arbeitsspeicher ausgelesen und in bestimmten Speicherbereichen nach verbliebenen Spuren des Passwortes gesucht wird. Der Zugriff auf den RAM eines anderen Computers kann dabei mit gebräuchlichen forensischen Tools oder einen FireWire-Angriff erfolgen.

Standardmäßig wird aber auch nach Informationen gesucht, die Rechner unverschlüsselt auf Festplatten ablegen, wenn sie in den Ruhezustand gehen. Auch hier können sich Hinweise auf das Passwort finden. Weiterhin soll laut ElcomSoft-Chef Vladimir Katalov eine Analyse der internen Struktur eines verschlüsselten Laufwerkes Hinweise darauf liefern, wie sich ein unbekannter Schlüssel restaurieren lässt.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

EazyRick · 21.12.12, 13:41

Gibts angeblich schon lange dieses tool habe leider Quelle für die Aussage

Ausser der Tod m3Zz

Listener · 21.12.12, 13:48

Die Theorie über FireWire (etc) auf den Ram zuzugreifen gibt es schon länger. Wenn da allerdings nichts mehr drin ist, geht das einfach nicht

LG

thyriel · 21.12.12, 15:37

Also ein paar der "Methoden" sind sicherlich schon länger bekannt und teilweise sogar fast unsinnig...
Auf den RAM zuzugreifen um das Passwort herauszufinden funktioniert erstens nur wenn nicht das komplette System verschlüsselt ist (wie zb meistens bei Linux), und ich wage doch zu behaupten das jemand der sich in den RAM eines anderen Rechners hacken kann auch gleich nen Keylogger installieren kann um an das PW zu kommen...

Wer Ruhezustand + verschlüsselung unter Windows benutzt ist selber schuld wenn er damit die Verschlüsselung aushebelt, steht in jeder guten Anleitung dazu das man das nicht machen sollte.

Einzig das mit der Struktur klingt wirklich interessant. Die Theorie dazu gibt es afaik schon länger das man zb ausgehend von den "üblichen" Partitionsstrukturen innerhalb der Verschlüsselung rückrechnen könnte auf das verwendete Passwort. Oder wenn man weiß dass das Betriebssystem auf der Festplatte installiert ist (und welche Version) weiß man quasi auch sehr wahrscheinlich was die erste Datei die auf die Festplatte geschrieben wurde genau beinhaltet usw...

hardware_freak · 21.12.12, 17:42

Die News ist nix neues. True Crypt ist und bleibt sicher, solange der Anwender kein DAU ist. Wenn der PC läuft und man schaltet sich drauf (wie auch immer, durch Trojaner, Exploits...) dann hat man eh Vollzugriff, weil er ja entschlüsselt ist. Wenn der PC aber aus ist, ist das ganze schlichtweg unmöglich. Via FireWire ist auch sinnlos, da man dafür physikalischen Zugriff zum Rechner haben muss und das Passwort eingeben sein muss.

Wenn due Polizei bei mir jetzt die Tür eintritt, drücke ich auf den Knopf an meiner Steckerleiste, empfange sie ganz herzlich und das vorhaben ist gescheitert.

Prince · 21.12.12, 17:50

Zitat:

Zitat von hardware_freak

Wenn due Polizei bei mir jetzt die Tür eintritt, drücke ich auf den Knopf an meiner Steckerleiste, empfange sie ganz herzlich und das vorhaben ist gescheitert.

Und man kann dir dennoch eines reinwürgen. Alleine weil du hier Moderator bist. Hört endlich auf so naiv zu sein, und zu denken, dass wenn man seinen Rechner verschlüsselt man dann auf der sicheren Seite ist.

Wenn man nicht gerade Geheimagent (ich übertreibe jetzt absichtlich) ist, dann ist es total unnötig und sinnfrei seine Festplatte in irgendeiner Form zu verschlüsseln!

thyriel · 21.12.12, 17:51

Zitat:

Zitat von hardware_freak

Wenn der PC läuft und man schaltet sich drauf (wie auch immer, durch Trojaner, Exploits...) dann hat man eh Vollzugriff, weil er ja entschlüsselt ist.

Hat mich auch zuerst auch gewundert, aber ich vermute eher das damit verschlüsselte Containerdateien gemeint sind, wo man jedesmal ein passwort eingibt wenn man sie öffnen möchte.

hardware_freak · 21.12.12, 19:53

Zitat:

Zitat von Prince Porn

Und man kann dir dennoch eines reinwürgen. Alleine weil du hier Moderator bist. Hört endlich auf so naiv zu sein, und zu denken, dass wenn man seinen Rechner verschlüsselt man dann auf der sicheren Seite ist.

Wenn man nicht gerade Geheimagent (ich übertreibe jetzt absichtlich) ist, dann ist es total unnötig und sinnfrei seine Festplatte in irgendeiner Form zu verschlüsseln!

Es ist nicht naiv zu denen das TrueCrypt sicher ist. Ein System, welches Open Source ist und schon eine Hand voll Leute den Arsch gerettet hat, wo Leute mit extrem viel Geld und großes Interesse wissen wollten, was auf den Verschlüsselten Datenträgern war.

Sinnfrei ist es nicht, bei den Methode der deutschen Justiz, will ich dem ganzen vorbeugen, indem ich gar nicht erst die Chance gebe mein System zu entschlüsseln. Zudem macht es deutlich mehr Sinn TrueCrpt zu nehmen und kein Windows Passwort, denn ein WIndows Passwort ist nicht einmal annähernd ein Schutz. Mein Prozessor bietet Hardwareseitige Verschlüsslung, also gehen nicht einmal Ressourcen dabei drauf. Ich sehe absolut keine Contra-Argumente!

Prince · 21.12.12, 20:03

Liest du auch mal was ich schreibe? Was hast du denn bitte für vertrauliche Daten auf deinem Rechner, die du vor der Justiz schützen musst?

Bist du ein KiFi der seine KiPo schützen muss? Anderenfalls ... weiterhin sinnfrei!

Du bist weniger als ein kleiner Fisch. Ich meine, wir reden hier von hardware_freak und nicht von einem Kim Doctom!

hardware_freak · 21.12.12, 21:22

Ich wäre etwas dämlich, wenn ich jetzt hier schreibe würde was auf meinem PC liegt. KiPo ist es aber definitiv nicht.

Prince · 22.12.12, 04:28

Schön wie du mir ausweichst. *lach* Du bist doch hier "anonym"!

Also "Hacker", der irgendwelche sensiblen Daten entwendet hat, die ihm zum Verhängnis werden könnten bist du schon einmal nicht, denn dafür bist du nicht "fit" genug.

Unser Chef myGully bist du auch nicht, wo es mit Sicherheit von Vorteil wäre, seine Daten zu verschlüsseln.

Ich bleibe dabei, bis man mich vom Gegenteil überzeugt, welchen Sinn eine Festplattenverschlüsselung für Otto-Normal-Verbraucher haben soll.

Zudem ... je Auffälliger, desto Unauffälliger. Wenn jemand etwas zu verbergen hat, dann wird man erst Recht neugierig.

Nitre · 22.12.12, 05:07

habe vor 7 jahren mal ne partition verschlüsselt und seitdem nicht mehr und mir sind solche news gleichgültig. wenn ich was zu verbergen hätte wäre der pc der letzte ort wo ich es verstecken würde

und wenn dann kommts auf meine externe platte die 99% der zeit nicht angeschlossen ist ..

pauli8 · 22.12.12, 05:17

PP...heute biste aber wieder mal gut drauf !

Mann Leute...Kipo und T6 gibst bei myGully eh nicht. MyGully sei gedankt !

Was soll der Scheiß immer mit der Polizei, denen geht myGully am Arsch vorbei...sorry...wollte sagen, es interessiert sie nicht.

Die werden schon rund um die Uhr mit anderen Sachen beschäftigt !

Was bitte habe ich zu verbergen...vielleicht meine Krankheiten als Rentner, wenn die meine Online-Einreichungen bei der Krankenkasse mitllesen ? Bekäme vielleicht höchstens Beileidsbekunddigungen !

oder · 22.12.12, 05:53

Zitat:

je Auffälliger, desto Unauffälliger.

So schauts aus,genau diese Taktik wende ich seit Jahren im Echten Leben regelmäsig und bis jetzt auch immer erfolgreich an

Aber wie siehts bei dem Tool aus ,wenn er ein Verstecktes Volumen zum öffnen kriegt. Würde er das erkennen,daß es ein Verstecktes Volumen ist und er gerade nur das Äußere Passwort geknackt hat ?

Dann wär es besser nur noch Versteckte Volumen zu machen,und wenn die cops die Passwörter verlangen,gibt man ihnen nur das Passwort vom Äußeren Volumen freiwillig und fertig,die kuken rein,sehen nur paar Pornopix oder sowas und ihre Neugier is befriedigt .

pauli8 · 22.12.12, 06:19

@oder:
Wenn ich als Ex-Bulle Porno Pics oder Clips "Like" muss ich mir nicht die Mühe machen, Passwords zu knacken....da gibt es "hunderttausende" ? Seiten für.

sirfes · 22.12.12, 12:32

Mhhh dann mal abwarten wann es auf den Boards zu finden sein wird .
Ich habe da noch etwas zu erledigen .

Und was noch besser ist meine Kumpel zusagen das seine Verschlüsselung totaler Müll ist

Tommy Hilfaker · 22.12.12, 13:29

Täusch ich mich oder habe ich von dieser "Technik" des encrypten schon vor ein paar Monaten gelesen? Hier wird doch wirklich nur von PC's geredet, die in irgendeiner Art und Weise (sei es durch Ruhezustand oder erst garnicht ausschaltens) die Codierung aus den RAM lesen.

-> Alter Hut! Das ganze kann man knicken sobald der Rechner komplett ausgeschaltet wurde.

spartan-b292 · 22.12.12, 14:04

Zitat:

Zitat von Prince Porn

Ich bleibe dabei, bis man mich vom Gegenteil überzeugt, welchen Sinn eine Festplattenverschlüsselung für Otto-Normal-Verbraucher haben soll.

Ein Grund wäre, wenn man ein mobiles Gerät verwendet und oft unterwegs ist. Damit besteht eine gewisse Gefahr, dass das Gerät geklaut wird. Mit einer Verschlüsselung kommt keiner an Meine Daten wie zum Beispiel Bankunterlagen, Passwörter, persönliche Dokumente etc.

Ontopic:
Das ist gefühlt die 9000ste Software die Schlüssel auslesen kann wenn bestimmte Bedingungen erfüllt sind. Das Schlüssel sich im RAM befinden ist seit anbeginn der modernen Kryptographie bekannt und nichts neues. Damit ändert sich auch nicht die Tatsache, dass die verwendeten Algorithmen als sicher gelten.

Prince · 25.12.12, 08:22

Zitat:

Zitat von spartan-b292

Mit einer Verschlüsselung kommt keiner an Meine Daten wie zum Beispiel Bankunterlagen, Passwörter, persönliche Dokumente etc.

Bankunterlagen und Passwörter gehören nicht darauf!

Und ob wer meine Bewerbungen und Lebensläufe hat, ist mir so etwas von egal!

Tommy Hilfaker · 25.12.12, 12:05

@m3Zz
Du hast schon mitbekommen das die Verschlüsselung an sich nicht geknackt wurde? Lediglich das Auslesen des Arbeitsspeichers, welches vorher in nem Ruhezustand war oder gar der ganze PC noch am Laufen sein muss, führen zum decrypt des Schlüssels. Also selbst wenn du deinen Rechner in den Ruhezustand gehabt haben solltest MUSS zwangsläufig vorher deine verschlüsselte Festplatte gemountet gewesen sein. Eine andere Möglichkeit besteht nicht um an die Daten zu kommen.

digi · 03.02.13, 15:28

Ich sags mal so, die Gefahr seine Daten an Chinesische oder Russische Hacker zu verlieren ist 90% grösser als das die vom Staat abgegriffen werden.
Die haben auch eine ganz andere Motivation dahinter.

Die Polizei kommt bei Verschlüsselung nicht an die Daten, ausser man gibt denen ein Passwort und den Hinweis das da etwas ist. Da man sich nicht selber belastet ist die Sache damit gegessen. Die Hardware bekommt man eh im seltesten Falle wieder - und wenn direkt gelöscht.

Wer glaubt das seine Daten sicher sind, an einem vernetzten Gerät (mitunter auch abgekapselte) liegt da mehr als daneben.
Verschlüsselungen sind gut und haben Ihre Berechtigung, aber das ist der letzte Angriffsvektor der genutzt wird.

Mal ehrlich, als der CCC diese Staatstrojanerversion (angeblich) in den Händen hielt, kam raus das das Ding schon 2 JAHRE funktionierte. Das ist im IT Bereich schon fast ein Jahrhundert.
Wer Daten will, bekommt die auch - bloss wohl eher erwähnte Benutzergruppe als die Polizei oder der Staat.

Edit:
Ausser man hat Zugang zu Nuklearen oder Biologischen Kampfstoffen. Da werden bestimmt andere Geschütze aufgefahren.
Aber nicht bei der heimischen Pr0n-Sammlung.

digi · 03.02.13, 18:11

Ich guck weniger auf das Datum..

Aber wenn sowas so wichtig ist, dann kann man auch eine Löschung nach X Monaten inaktivität einstellen.
Eigentlich ist sowas auch nicht vereinbar mit den Forenregeln. Denn da steht man soll erst suchen ob es so ein Thema gibt. Ob das jetzt 1 oder 2 Jahre alt ist und man nicht antworten darf, steht da nicht.

Also erklärt mir mal den Sinn und Unsinn von sowas. Entweder man kann darauf antworten oder eben nicht. Das Gehabe um sowas ist mir etwas unverständlich.

Zitat:

§2.1
Generell solltet ihr, bevor ihr neue Themen erstellt, anhand der Suchfunktion überprüfen, ob es nicht schon dieses oder ein ähnliches Thema gibt.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Vom Rest steht da nichts, also wär ich für eine Löschung oder Automatische Schliessung nach X Tagen/Wochen/Monaten Inaktivität, sonst ist der Sinn eines Forums (auch auf ältere Beiträge zu antworten) relativ sinnfrei.

Harvey der Hase · 03.02.13, 19:30

Ich dachte jetzt kommt die Info wo man nen Crack laden kann, damit man es testen kann.