Neues Tool kann verschlüsselte Festplatten auslesen

Badly

[color="#FF0000"]Ich würd sagen ...auf zu EBAY und schauen wos gelockte HDDs gibt. Und dann schauen was man so findet..Gemein, ich weiss![/color]

Das russische Software-Unternehmen ElcomSoft hat ein neues Tool auf den Markt gebracht, mit dem sich nach Angaben des Herstellers in der Regel auch verschlüsselte Festplatten komplett auslesen lassen.

Der Elcomsoft Forensic Disk Decryptor (EFDD) kann den Angaben zufolge g[color="#FF0000"]egen die Kryptographie-Systeme von BitLocker, PGP und TrueCrypt eingesetzt werden[/color], womit im Grunde also alle Verfahren abgedeckt sind, die im größeren Umfang zum Einsatz kommen. Die Software selbst läuft unter verschiedenen Windows-Versionen und eine Lizenz kostet 299 Dollar.

Wie der Hersteller mitteilte kann der Anwender[color="#FF0000"] wahlweise ein komplettes Laufwerk entschlüsseln lassen oder dieses mounten und in Echtzeit auf die kodierten Informationen zugreifen[/color], während diese On-the-fly entschlüsselt werden. Dabei verspricht ElcomSoft, dass EFDD [color="#FFFF00"]keine Spuren zurücklässt[/color], die den eigentlichen Besitzer der Daten darauf aufmerksam machen könnten, dass jemand auf seine Daten zugegriffen hat. Dies macht die Software so beispielsweise auch für Strafverfolgungsbehörden oder Spione interessant.

Bisher gibt es noch keine Berichte darüber, wie groß die Erfolgschancen bei einer versuchten Entschlüsselung sind. Immerhin wird das jeweilige Passwort nicht direkt benötigt und auch nicht mit einem Brut-Force-Angriff ermittelt. Statt dessen versucht EFDD den Zugangsschlüssel herauszufinden, indem beim fraglichen Rechner der Arbeitsspeicher ausgelesen und in bestimmten Speicherbereichen nach verbliebenen Spuren des Passwortes gesucht wird. Der Zugriff auf den RAM eines anderen Computers kann dabei mit gebräuchlichen forensischen Tools oder einen FireWire-Angriff erfolgen.

Standardmäßig wird aber auch nach Informationen gesucht, die Rechner unverschlüsselt auf Festplatten ablegen, wenn sie in den Ruhezustand gehen. Auch hier können sich Hinweise auf das Passwort finden. Weiterhin soll laut ElcomSoft-Chef Vladimir Katalov eine Analyse der internen Struktur eines verschlüsselten Laufwerkes Hinweise darauf liefern, wie sich ein unbekannter Schlüssel restaurieren lässt.

quelle winfuture.de

**BurnStar**

Das glaub ich eher weniger das dieses Ding meine System Part entschlüsseln kann...

Badly

Bei dem Werbeversprechen, wird es wohl nicht lange dauern, bis die ersten Cracks die Software genauer unter die Lupe nehmen.
Aber irgendwas wird schon dran sein.

xxxxunknown

Zitat von Badly;485198

Statt dessen versucht EFDD den Zugangsschlüssel herauszufinden, indem beim fraglichen Rechner der Arbeitsspeicher ausgelesen und in bestimmten Speicherbereichen nach verbliebenen Spuren des Passwortes gesucht wird. Der Zugriff auf den RAM eines anderen Computers kann dabei mit gebräuchlichen forensischen Tools oder einen FireWire-Angriff erfolgen.

Der Ram wird aber nicht bei gebrauchten Festplatten dazuverkauft..... Und schon gar nicht an einer Batterie, damit die Daten nicht hops gehen...

Das Tool crackt gar keine Verschlüsselung, es versucht nur den Key zu finden, wenn die Verschlüsselungsprogramme arbeiten.
Ist das System aber bereits so kompromittiert, kann ich mir die Daten direkt schicken lassen......
Dann brauche ich nicht die Verschlüsselung knacken.

Badly

Ich habe bei ebay letztens einen laptop erstanden der genau dieses problem hatte. leider kannte ich bis dato das tool nicht.
sonst wäre es spannend geworden

Außerdem

[color="#FF0000"]Standardmäßig wird aber auch nach Informationen gesucht, die Rechner unverschlüsselt auf Festplatten ablegen, wenn sie in den Ruhezustand gehen. Auch hier können sich Hinweise auf das Passwort finden. [/color]

xxxxunknown

Und wer bitte verkauft Laptops im Standby / Ruhemodus?
Alle Laptops, die ich bisher kaufte, verkaufte waren zumindest komplett ausgeschaltet! Damit ist der RAM leer.
Und Leute die Truecrypt o.ä. einsetzen, werden sicher ihre FP entweder selber zerstören oder zumind. lowlevel formatieren und nach VSITR Standard zigfach überschreiben. Dann ist Essig.

Gast

Also für mich ist das nur ein Luftballon. Viel Volumen und nichts dahinter.

Zitat

indem beim fraglichen Rechner der Arbeitsspeicher ausgelesen und in bestimmten Speicherbereichen nach verbliebenen Spuren des Passwortes gesucht wird. Der Zugriff auf den RAM eines anderen Computers kann dabei mit gebräuchlichen forensischen Tools oder einen FireWire-Angriff erfolgen.

Dazu bedarf es schon physischen Zugang zum Rechner und wie schon xxxxunknown geschrieben hat, kann ich mir die gewünschten Daten dann auch selbst schicken.

Und das aus dem Ram der Schlüssel ausgelesen werden kann, ist schon ein sehr alter Hut.

Forscher knacken Festplatten-Verschlüsselung - onlinekosten.de

Arbeitsspeicher vereist, Festplatte geknackt

Vereist: Bei Temeparaturen unter Null funktioniert der Trick besser.

Studenten der Universität Princeton haben mit Hilfe eines Arbeitsspeicherriegels (RAM), etwas Eisspray und eines kleinen Programms eine Festplatte geknackt, die mit Vistas Verschlüsselungsprogramm BitLocker geschützt war.

Die Studenten fanden heraus, dass der Arbeitsspeicher nicht sofort geleert wird, wenn der Computer ausgeschaltet wird. Da Dateien im RAM in der Regel unverschlüsselt sind, konnten die Hacker zunächste den BitLocker-Schlüssel und anschließend den Inhalt der Festplatte auslesen. Das funktionierte noch besser, wenn der Riegel vorher auf Gefriertemperatur gekühlt wurde.

Details zu diesem Trick und ein Video der Studenten gibt es im Security-Weblog von CHIP Online. (cla)

Arbeitsspeicher vereist, Festplatte geknackt - News - CHIP Handy Welt

Freitag, 22.02.2008 19:46
Forscher knacken Festplatten-Verschlüsselung

Wie die Electronic Frontier Foundation (EFF) jetzt bekannt gab, hat ein Forscherteam ein schwerwiegendes Sicherheitsleck bei verschlüsselten Datenträgern entdeckt. Betroffen sind fast alle bekannten Encryption-Systeme.

Kleine Ursache, große Wirkung

Durch ein Video wurde der Fehler bereits bei Windows Vistas BitLocker, Apples FileVault, Linux´ dm-crypt sowie die kostenlose und weit verbreitete Software TrueCrypt (alle Systeme) bestätigt. Da es sich nicht um einen spezifischen Bug handelt, sind wahrscheinlich auch alle Anwendungen betroffen, die nach dem gleichen Prinzip arbeiten. Das Problem liegt darin, dass der entsprechende Key nach dem Aktivieren des Standby-Betriebs noch bis zu einer Minute im RAM gehalten wird. Startet man den Rechner anschließend wieder, ist es mit bestimmten Programmen möglich, den Schlüssel aus dem Arbeitsspeicher auszulesen. Nötig sind dafür laut EFF neben der Software nur ein Laptop mit Ethernetkabel oder ein USB-Flash-Laufwerk und wenige Minuten Zeit. Wird das Notebook gestohlen oder der PC für einige Zeit aus den Augen gelassen, können Angreifer so ohne großen Aufwand an sensible Daten kommen, vorausgesetzt, das System befindet sich im Ruhezustand. Die Passwortabfrage für Benutzer bietet bei dieser Art von Attacke keinen Schutz.

Rechner mit TPM besonders gefährdet

EFF gibt auch bekannt, dass selbst ein vollständiges Ausschalten bei manchen Rechnern keine 100-prozentige Sicherheit bringt. Besonders betroffen sind Systeme mit TPM (Trusted Platform Module) in Kombination mit BitLocker: Hier kann der Key selbst nach dem Ausschalten noch zuverlässig ermittelt werden. Darüber hinaus weisen die physikalischen Eigenschaften des Speichers noch die Besonderheit auf, dass niedrige Temperaturen für ein noch längeres Verbleiben der Daten im RAM sorgen. Das Forscherteam hat herausgefunden, dass schon einfache Druckluft aus Dosen zur Kühlung ausreicht. In Verbindung mit der Tatsache, dass die Informationen auch dann noch vorhanden sind, wenn der RAM aus dem Mainboard entfernt wird, ergeben sich zahlreiche neue Möglichkeiten für Datendiebe.

Noch keine Abhilfe in Sicht

EFF hat die betroffenen Unternehmen bereits informiert. Die einzige gute Nachricht ist, dass die Programme von EFF selbst stammen und somit vorläufig nicht in die falschen Hände geraten. Finstere Gesellen werden jedoch wahrscheinlich in nur wenigen Tagen oder Wochen einen adäquaten Ersatz entwickelt haben. Bis die Hersteller eine Lösung anbieten, sollte man also noch ein bisschen besser auf seinen Rechner aufpassen.

Marcel Petritz

Quelle: onlinekosten.de Newsmeldung "Forscher knacken Festplatten-Verschlüsselung"

https://citp.princeton.edu/research/memory/

Externer Inhalt www.youtube.com

Inhalte von externen Seiten werden ohne deine Zustimmung nicht automatisch geladen und angezeigt.

Durch die Aktivierung der externen Inhalte erklärst du dich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.

Cu
Verbogener

Neues Tool kann verschlüsselte Festplatten auslesen

Jetzt mitmachen!

Elektronische Patientenakte: Sicherheitsbedenken durch den CCC

Festnahmen von Online-Drogenhändlern in Deutschland

KJM kritisiert öffentliche Sperrlisten

Plex Live TV / LG Channels / Wedo TV

Samsung TV Plus/Rakuten TV

Deutsche Bank Sicherheitsvorfall: Romantische Eskapaden im Rechenzentrum

Social-Media-Verbot für Kinder: Ein Blick auf Deutschlands Herausforderungen

Die Pornhub-Sperre in Deutschland: Ein kurzes Fazit

Pluto TV

IPTV-Piraterie 2025: Ein Blick auf das illegale Streaming

externe Festplatte zu früh rausgezogen beim formatieren.. :-(

Formatierter USB Stick Daten Wiederherstellen

Neues Tool kann verschlüsselte Festplatten auslesen

Formatierte festplatte

Virtuelles Raid aufbauen!

SD Karte auslesen

Boot USB-Festplatte erstellen?

Bilder retten

Ausgesperrt? Verlorene Passwörter einfach auslesen!

Gelöschte Memos

Benutzer online in diesem Thema