[axion1979]

Zitat:

Passware Kit Forensic 9.7 richtet sich an Strafverfolgungsbehörden

Das US-Unternehmen Passware will mit Passware Kit Forensic 9.7 innerhalb weniger Minuten Truecrypt- und Bitlocker-geschützte Festplatten knacken können. Allerdings klappt das nur, wenn von dem noch laufenden Rechner ein Speicherabbild erstellt werden kann.
"Unsere Kunden aus dem Gebiet der Strafverfolgung haben nach einer Möglichkeit zur Entschlüsselung von Truecrypt-Laufwerken verlangt - und wir haben eine praktische und effiziente Methode entwickelt, um schnell an verschlüsselte Daten heranzukommen", wirbt Passware-Chef Dmitry Sumin.

Die in den USA und Russland entwickelte Software soll Polizei, Kriminalbeamten und Privatdetektiven die Möglichkeit bieten, Bitlocker- und Truecrypt-Verschlüsselung ohne zeitaufwendige Brute-Force-Attacken zu knacken. Allerdings muss der beschlagnahmte Windows-Rechner dafür noch eingeschaltet sein und eine Firewire-Schnittstelle besitzen - über Firewire ist es möglich, Speicherabbilder zu erstellen, auch wenn der Rechner gesperrt ist.Dazu liefert Passware die Software Fire Wire Memory Imager mit, die vom USB-Stick des eigenen Rechners gestartet wird und dann über Firewire vom Truecrypt- oder Bitlocker-verschlüsselten PC ein Speicherabbild erstellt. Aus diesem kann dann im nächsten Schritt das Passwort für die Festplatte - oder auch von Webseiten oder beliebigen Dateien - ausgelesen werden. Das Windows-Betriebssystem des Zielrechners bleibt dabei unangetastet - wer allerdings ein vollständiges Speicherabbild macht, kann einen Systemabsturz provozieren.

Passware Kit Forensic 9.7 ist kompatibel zu Windows 7, Vista, 2003, XP und 2008 Server. Die Software soll 180 verschiedene Dateiformate entschlüsseln - dazu zählen Office-Dokumente, Finanzsoftware-Datenbanken, PDFs und verschlüsselte Dateien von Instant Messengern.

Die Entschlüsselung der Daten erfolgt entweder über das Auslesen des Hauptspeichers oder über Brute-Force-Attacken. Dieser Vorgang kann durch Krypto-Spezial-Hardware oder Grafikkarten beschleunigt werden - ähnlich wie bei den Passwort-Wiederherstellungslösungen von Elcomsoft.

Das Kit Forensic 9.7 ist ab sofort von Passware für 795 US-Dollar erhältlich. Im Preis inbegriffen sind kostenlose Softwareupdates für ein Jahr. Kostenlose Probelizenzen bietet das Unternehmen ebenfalls an.

Quelle: Golem
Link: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[FraegEr]

Allerdings muss der beschlagnahmte Windows-Rechner dafür noch eingeschaltet sein


hmm ich sag mal bei leppies mag das ja gehen aber einen Desktop Rechner im laufenden zustand bis aufs Polizei Revier mitzunehmen wird schwer

aber mal nur angenommen der Rechner wäre an was muss man da bitte noch knacken wenn doch eh alles entschlüsselt ist??? oder denke ich hier grade bissel falsch :P

[Arouk]

kling zwar scheiße für die leute die ihre Festplatte mit truecrypt oder bitlocker verschlüsselt haben, aber die polizei soll bei ner hausdurchsuchung nach erfahrungsberichten gegen 5oder 6 uhr morgens kommen und da ist der rechner meist aus. Außerdem wird man auch wenn die Polizei kommt gerade noch den rechner ausschalten können oder?

[Fleisch]

bessere frage wie wollen die den rechner mitnehmen und dabei anlassen?
Zauber Strom?
Müssen die den nicht ausstecken?

[Changes]

Zitat:

und wir haben eine praktische und effiziente Methode entwickelt, um schnell an verschlüsselte Daten heranzukommen", wirbt Passware-Chef Dmitry Sumin.

Es sei denn die Polizei nehmen sich das Recht das ganze vor Ort zu machen um anschließend die Kopie als Beweismaterial mitzunehmen, wenn das so schnell gehen würde wie es oben steht.

[DarkDoozer]

Wie gut dass mein Hauptsicherungskasten direkt an der Haustür ist

[dagobertduck01]

Hier ist die Vollversion vom Passsware Kit Enterprise 9.7

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]


und hier die portable Vollversion vom Passware Kit Forensic 9.7

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[Sara_Bitch]

Also mal ehrlich:
Wenn ich die Polizei vor meinem Haus sehe, dann gehe ich halt noch zu meinem PC, schalte ihn aus, nehme meine externen Festplatten, verstecke diese sehr sehr sehr sehr gut und mache dann erst die Tür auf ...
Wenn sie mich fragen warum ich erst jetzt aufgemacht habe, sage ich, dass ich auf der Toilette war ...

[dagobertduck01]

Was passwortgeschützte Archive wie .rar, .zip, .7z, usw. anbelangt ist das Passware Kit 9.7 aber relativ ungenau. Ändert man die Dateiendung oder packt man das passwortgeschützte Archiv nochmal in ein normales Archiv erkennt es die Software überhaupt nicht! Passworter die im Browser gespeichert sind erkennt es nur von Firefox und IE. Ich benutze den Opera (v10.50) und da erkennt es gar nichts. Nichteinmal das Masterpasswort.

Truecrypt lässt sich übrigens mit dem Stoned-Bootkit ([ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]) schon länger hacken. Die Methode (verschlüsselte Systempartition) funktioniert indem das Bootkit in freie Sektoren des unverschlüsselten MBRs einen eigenen Bootloader installiert. Dafür muss der Zielcomputer bzw. Festpltte nicht mal laufen!
Leider besteht diese Lücke im MBR bei Truecrypt schon länger und so wie es derzeit ausschaut wird sich das in absehbahrer Zeit nicht ändern.

Zitat:

Zitat von dagobertduck01

Truecrypt lässt sich übrigens mit dem Stoned-Bootkit ([ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]) schon länger hacken. Die Methode (verschlüsselte Systempartition) funktioniert indem das Bootkit in freie Sektoren des unverschlüsselten MBRs einen eigenen Bootloader installiert. Dafür muss der Zielcomputer bzw. Festpltte nicht mal laufen!
Leider besteht diese Lücke im MBR bei Truecrypt schon länger und so wie es derzeit ausschaut wird sich das in absehbahrer Zeit nicht ändern.

Bootloader stimmt nicht ganz. Im eigentlichen Sinn ist es eine Art Keylogger der die Truecrypt Keyfiles bei der nächsten Eingabe des Passwortes unbemerkt aufzeichnet. Das gilt nur für verschlüsselte Systempartitionen.

[energy107]

Super.

Da haben Die ja was tolles "erfunden"

Wenn der PC an ist muss das passwort natürlich im Arbeitsspeicher sein, ansonnsten würde man ja jedes Mal wenn Daten gelesen werden immer wieder das PW eingeben.

Letztendlich nichts neues.


Interessant ist nur die Tatsache das Daten teilweise bis zu 10 Minuten im RAM bleiben, wenn der PC schon ausgeschaltet wurde.

[Firefox64]

gut aber nach der PW eingabe dürfte die Adresse im RAM recht fix von ihrgentwelchen programmen wieder überschrieben sein... Sprich du fähst hoch zockst ne runde CS:S und dann kommen die bullen...
Da is nix mit ram auslesen...


Außerdem was die Bullen in den USA können, können die deutschen noch lange nicht.
Ich bezweifle das die normale Bundespolizei in der lage ist ne Platte zu Entschlüssen geschweige den nen Keylogger oder ähnliches zu instalieren.

und nur mal so zu info.
Wenn im Durchsuchungsbeschluss nicht näher beschrieben könnt ihr versuchen mit den Bullen zu reden das nur die HDD und nicht der Ganze Rechner mitgenommen wird.

Sagt ihr z.B. "OK. Nehmt die Festplatte aber last den Rechner hier ich brauch den für die schule werden die schon drauf eingehen."

[Vargur]

Die Bullen, wie ich sie kenne, werden auch noch deinen Drucker und deine Unterbuchse mit LED-Unterbeleuchtung mitnehmen, weil du darin vlt. auch noch Daten "versteckt" hast.
Das ist quasi die Realität. Da ist nix mit Reden

Fakt ist aber, dass sie dich mit heruntergelassenen Hosen erwischen müssen.
Und das ist nicht neu. Hier gabs, glaub ich, schon mal ne Diskussion, wo der RAM dann mit Eisspray oder so konserviert werden sollte usw.

Wenn man also seine Kiste samt verschlüsselter Festplatten nicht 24/7 am Laufen und offen hat, ist das kein allzu großes Drama.


Grüße

[Vargur]

Zitat:

Zitat von FalconII

also, truecrypt is ne feine sache nutze das auch, ich habs so gemacht das ich eine steckdose mit notausschalter habe und wenn sie mir die bude einrennen ists nur ein KLICK und alles ist aus dann sollen se mal versuchen meine fessi zu entschlüsseln.... (einfach aber wirkungsvoll)

Zitat:

Interessant ist nur die Tatsache das Daten teilweise bis zu 10 Minuten im RAM bleiben, wenn der PC schon ausgeschaltet wurde.

Wenn die also wissen, was sie tun, würden sie an die Daten kommen.



Grüße

[KoiKeks]

Zitat:

Zitat von Vargur

Wenn die also wissen, was sie tun, würden sie an die Daten kommen.



Grüße

Falsch. Es gibt ne Methode wie der RAM bei jedem runterfahren oder ausschalten des Rechners entleert wird.

[Lagos]

habe ich das richtig verstanden das an dem gerät ein firewire anschluss sein muss um das abbild zu erstellen???

[CoconutKiss]

naja, man darf während der Durchsuchung auch noch alles mögliche Unternhemen, unter anderem auch beweißmaterial vernichten (?) . Selbst wenn der PC über Nacht alle Staffeln Lost saugt, dann einfach einmal kräftig dagegentreten und fertig ist?

[Lord Schaf]

Zitat:

Zitat von CoconutKiss

naja, man darf während der Durchsuchung auch noch alles mögliche Unternhemen, unter anderem auch beweißmaterial vernichten (?) . Selbst wenn der PC über Nacht alle Staffeln Lost saugt, dann einfach einmal kräftig dagegentreten und fertig ist?

Sobald die Herren von der Polizei den Verdacht haben, dass du versuchst Beweismaterial zu vernichten, können sie dich natürlich davon abhalten.

[Firefox64]

wer auf nummer sicher gehen will scheibt sich halt nen programm das den Ram überschreibt^^

Oder mann setzt nen Ramtest in die Autostart.
Dann ist da auch nix mehr mit auslesen^^

Achja ich sachs nochmal:
Kein deutscher Bulle ist in der Lage ne 256-Bit-Verschlüsselung zu knacken.
Mag sein das en möglich ist... Aber wisst ihr was das kosten würde.
Da stellen die das Verfahren eher ein^^

Können die einen eigentlich zu PW rausgabe zwingen?

[vTx]

Soweit ich weiss nicht, wie sollen Sie das auch machen, wenn du dein Passwort "vergessen" hast können Sie dich schlecht dazu zwingen dich zu erinnern

[Mandala1]

Das Passwörter in Arbeitsspeicher zu finden sind ist klar auch nachdem der Rechner ohne Strom ist können im RAM abgelegte Inhalte dennoch ausgelesen werden.

Allerdings müsste dazu zumindest in TrueCrypt das Feld " Cache Passwort and Keyfiles " angehakt werden. Wenn das nicht der Fall ist sollte es nicht möglich sein das PW aus den Speicher zu lesen!

Weiters mit mehr als 20 Stellen eines guten PW dh. wo auch keine Wörterbuchattacken möglich sind sollte selbst die stärksten Geräte zulange brauchen.

Derzeit verwendet man dazu FPGA's im Cluster finde den Link nicht mehr aber da können rund 1 Milliarde Passwörter in der Sekunde drauf geknallt werden. GPU's schaffen ungefähr 640 Mio. in der Sekunde alla Cuda

[cooki3monst3r]

Zitat:

Zitat von Mandala1

Das Passwörter in Arbeitsspeicher zu finden sind ist klar auch nachdem der Rechner ohne Strom ist können im RAM abgelegte Inhalte dennoch ausgelesen werden.

Und das auch noch einige Zeit, nachdem der PC ausgeschaltet wurde:

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Zitat:

Allerdings müsste dazu zumindest in TrueCrypt das Feld " Cache Passwort and Keyfiles " angehakt werden. Wenn das nicht der Fall ist sollte es nicht möglich sein das PW aus den Speicher zu lesen!

Eben.. Müsste, sollte.

Zitat:

Weiters mit mehr als 20 Stellen eines guten PW dh. wo auch keine Wörterbuchattacken möglich sind sollte selbst die stärksten Geräte zulange brauchen.

Derzeit verwendet man dazu FPGA's im Cluster finde den Link nicht mehr aber da können rund 1 Milliarde Passwörter in der Sekunde drauf geknallt werden. GPU's schaffen ungefähr 640 Mio. in der Sekunde alla Cuda

Also bei 1*10^6 Passwörtern pro Sekunde hält auch ein 20-Stelliges PW nicht allzulange. Ist aber dann halt trotzdem die Frage, was man so für Material auf dem Rechner haben muss, dass einen solchen Aufwand rechtfertigt. Raubkopien tun das mit Sicherheit nicht..

[Lord_Wellington]

Zitat:

Zitat von cooki3monst3r

Also bei 1*10^6 Passwörtern pro Sekunde hält auch ein 20-Stelliges PW nicht allzulange. Ist aber dann halt trotzdem die Frage, was man so für Material auf dem Rechner haben muss, dass einen solchen Aufwand rechtfertigt. Raubkopien tun das mit Sicherheit nicht..

Selbst wenn du nur Ziffern, Groß- und Kleinbuchstaben verwendest (also keine Sonderzeichen), dauert für ein 20-stelliges Passwort ein kompletter Durchlauf bei einem Brute Force-Angriff mit 10^6 Versuchen pro Sekunde ca. 10^22 Jahre. "Nicht allzulange" ist für mich was anderes

[Schnullermaske]

Betrifft Bruteforcing vs. Passwortlänge: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]!

[NeX#]

lol das teil ist grad raus und schon die crackversion da XD

[P@nic]

Resume:
Ich darf keinen Linux-Rechner haben
Ich muss Firewire haben
Der PC muss an sein

*hust*

Was auch helfen würde, wäre eine Stromsteckleiste mit Powerknopf in Reichweite, bei dem auf Knopfdruck gleich alle PCs ausgehen.

[Chefkch]

Zitat:

nach einem kurzen Zeitraum von wenigen Sekunden bis hin zu einer Minute

Naja so lange kann man die schon aufhalten, bzw. so schnell kommen die vll. auch garnicht ran.

[Sâilence]

Sagt mal... ihr schaut doch schon aufs Datum wenn ihr irgendwo reinpostet oder?

Zitat:

30.04.10, 12:25

Kopf ---> Tisch...

[cooki3monst3r]

Und was ändert das bitteschön an der Problematik?

[michi304]

Passwort ist zum Glück 39 Zeiche lang mit Sonderzeichen Klein- und Großbuchstaben.
Nurnoch Firewire anschluss kaputt machen und ich bin Sicher^^.

EDIT1: Jetzt bin ich auch auf die "Datum Falle" reingefallen, wie peinlich^^