image

Encryptie BitLocker, TrueCrypt en FileVault "gekraakt"

vrijdag 22 februari 2008, 10:25 door Redactie, 29 reacties

Onderzoekers van de universiteit van Princeton zijn erin geslaagd om de schijfversleuteling van populaire programma's zoals Microsoft's BitLocker, Apple's FileVault, TrueCrypt en dm-crypt te kraken. Een ernstig beveiligingslek in de programma's zorgt ervoor dat versleutelde informatie toch te achterhalen is. De encryptie sleutels en wachtwoorden die in het RAM geheugen zijn opgeslagen, verdwijnen niet meteen als de computer wordt uitgeschakeld. Via een busje perslucht kan deze "bevroren" status van het geheugen zelfs tot uren worden verlengd.

Het geheugen kan daarna uit de laptop worden gehaald en in een andere computer worden geplaatst met een besturingssysteem dat speciaal voor RAM onderzoek is ontwikkeld. De software dumpt de inhoud van het geheugen, waarna de sleutel in handen van de aanvaller is.

Met name laptops zijn volgens de onderzoekers kwetsbaar voor dit soort aanvallen, omdat die zich vaak in de sleep of hibernation stand bevinden. Ook al vereist de computer een wachtwoord om toegang te krijgen, de encryptie sleutels bevinden zich in het computergeheugen. Een aanvaller zou hier misbruik van kunnen maken. Niet alleen de eerder genoemde disk encryptie oplossingen zijn kwetsbaar, maar ook veel andere systemen.

"We hebben disk encryptie producten gekraakt op het moment dat ze heel belangrijk zijn. Laptops bevatten vertrouwelijke bedrijfsgegevens of persoonlijke informatie. In tegenstelling tot veel beveiligingsproblemen is dit geen klein probleem, het is een fundamentele beperking in de manier waarop deze systemen zijn ontworpen," zegt onderzoeker Alex Halderman. De onderzoekers maakten de onderstaande uitleg, meer informatie is op deze pagina te vinden. De betrokken ontwikkelaars zouden inmiddels zijn gewaarschuwd.

Reacties (29)
22-02-2008, 10:30 door Anoniem
Flauw ... die titel.

Hoewel de methodiek interessant is en er oplossing voor
gezocht dient te worden, is dit niet een probleem dat door
genoemde produkten veroorzaakt wordt.
22-02-2008, 10:38 door Anoniem
Niet alleen deze programma's zijn via deze manier kwetsbaar.
Eigenlijk alle programma's waarbij RAM geheugen wordt gebruikt om
encryptie keys, wachtwoorden en zelfs normale data zijn op deze manier
kwetsbaar.
22-02-2008, 10:53 door sjonniev
In de Hibernation stand staat de laptop gewoon uit, en is
het RAM (ok, na enige tijd) leeg.
22-02-2008, 10:56 door DeFix
Door Anoniem
Flauw ... die titel.

Hoewel de methodiek interessant is en er oplossing voor
gezocht dient te worden, is dit niet een probleem dat door
genoemde produkten veroorzaakt wordt.

De titel is inderdaad erg misleidend, alsof de bovengenoemde
programma's helemaal niks meer waard zijn, zo klinkt het
althans.
22-02-2008, 11:01 door sjonniev
Een beetje als het DMA / FireWire gat. Maar dan nog leuker.
Ook fijn voor forensische organisaties.

Dus: na een inval bij een verzamelaar/verspreider van
kinderporno zsm zijn RAM bevriezen en de inhoud ervan
veiligstellen. Ervan uitgaand dat de PC waar die RAM inzit
aanstond op het moment van de inval, uiteraard.
22-02-2008, 11:19 door Anoniem
Truecrypt geeft in de manual zelf ook al aan dat er een kwetsbaarheid zit in
de sleutels en decrypted data die zijn opgeslagen in RAM of Swap
gebieden...
22-02-2008, 11:32 door Anoniem
Wie zouden dit in de praktijk gaan uitvoeren?
Het lijkt meer op een natuurkundig verschijnsel dan dat dit op grote schaal
in de toekomst zal worden toegepast. Hooguit bij forensisch onderzoek.
22-02-2008, 11:42 door Anoniem
Scary shit!
22-02-2008, 11:45 door Anoniem
Daarom zijn er ook assurance levels. Bij een te lage assurance blijft crypto
info in het geheugen achter. Bij hogere assurance levels wordt crypto info
overschreven. Dat heeft natuurlijk wel weer invloed op de performance.

Frans.
22-02-2008, 11:56 door Anoniem
1. Je kan geen hibernation gebruiken als je je
systeempartitie hebt ge-encrypt, met truecrypt in ieder
geval niet
2. Sowieso gaat je RAM leeg in hibernation stand, standby is
een ander verhaal.

En dan nog... je RAM bevroren in een andere PC gaan lopen
uitlezen...
22-02-2008, 12:22 door Anoniem
Door Anoniem
1. Je kan geen hibernation gebruiken als je je
systeempartitie hebt ge-encrypt, met truecrypt in ieder
geval niet

Met andere producten, zoals Pointsec, kan dit wel. In de
volgende versie van Truecrypt zal het ook kunnen.
22-02-2008, 12:59 door Anoniem
Toen ik laatst aangaf dat Encryptie te 'passeren' was, was
ik opeens gekke gerrit..... en nu ? ;)
22-02-2008, 13:04 door sjonniev
Door Anoniem
Je kan geen hibernation gebruiken als je je
systeempartitie hebt ge-encrypt, met truecrypt in ieder
geval niet

Met SafeGuard Easy kan dit al sinds jaar en dag, en SafeBoot
en Pointsec hebben (of tegenwoordig McAfee en CheckPoint)
hebben de truuk ondertussen ook onder de knie.
22-02-2008, 13:07 door Anoniem
Door Anoniem
2. Sowieso gaat je RAM leeg in hibernation stand, standby is
een ander verhaal.
Als je de notebook weer aanzet, wordt je RAM weer heel mooi
volgepompt hoor! ;-)
22-02-2008, 13:30 door Anoniem
Prachtig..je moet er maar opkomen ..lol
22-02-2008, 13:48 door Anoniem
Blijven de gevens in het RAM wanneer in de bios wordt
gekozen voor extended memory test tijdens boot?
22-02-2008, 13:51 door Anoniem
eigenlijk natuurlijk nix nieuws...
de boel zit nu eenmaal in ram.. en als je ram te lezen is op
wat voor manier dan ook..

echter wist ik niet dat ram geheugen zo lang er over doet om
'leeg te lopen'

hoe dan ook, weet iemand of dit probleem ook van toepassing
is op HSM's?
22-02-2008, 14:35 door Arno Nimus
Door Anoniem
Wie zouden dit in de praktijk gaan uitvoeren?
Het lijkt meer op een natuurkundig verschijnsel dan dat dit
op grote schaal
in de toekomst zal worden toegepast. Hooguit bij forensisch
onderzoek.
Je noemt zelf hét voorbeeld al. Vergeet ook
inlichtingendiensten niet, voor het geval je die niet onder
'forensisch onderzoek' mocht scharen.

Ik ben niet bang voor 'ongeautoriseerde' toegang door m'n
buurman. Maar wel voor 'ongeautoriseerde' toegang door
inlichtingendiensten, ook al heb ik "niks" te verbergen.
22-02-2008, 14:59 door Anoniem
Ik ga meteen patent vragen op het overschrijven van het stuk
geheugen met wachtwoorden vlak voor het uitschakelen van de
applicatie.

Dan ben je alleen nog het bolje als je computer hard uit
gezet wordt, dan wel aan het winterslapen is.
22-02-2008, 15:20 door Anoniem
Was allang bekend dat je met het koelen van electronica
invloed kunt uitoefenen op het functioneren. Is ook bij de
EOD een bekende methode.

Oud nieuws in een nieuw jasje :)
22-02-2008, 16:15 door Anoniem
Gebruik nooit hybernation stand voor menne laptop, is gewoon
veel beter.
22-02-2008, 18:40 door Anoniem
Dat wordt straks dus een tsunami aan bios updates (als de moederbord
makers daar zin in hebben)
22-02-2008, 20:04 door Anoniem
Ik gebruik een keyfile is die dan ook te kraken, zonder die
keyfile?
23-02-2008, 19:10 door K800i
Door Anoniem
Ik gebruik een keyfile is die dan ook te kraken, zonder die
keyfile?
waarschijnlijk wel dat word ook in het werkgeheugen geladen
lijkt mij.
03-03-2008, 10:03 door Anoniem
Door sjonniev
In de Hibernation stand staat de laptop gewoon uit, en is
het RAM (ok, na enige tijd) leeg.
Niet helemaal. In Vista (BitLocker) is er een hibryde 'Sleep' stand waarbij
het geheugen wel onder spanning blijft. De hibernate stand is default niet
meer beschikbaar (maar kan je nog wel aanzetten)
05-03-2008, 11:50 door Lobker
De harde schijf zet bij het uitzetten de kop altijd in slaapstand. Dit zelfs als je
plotseling de stekker eruit haalt. Zoiets kun je ook in RAM verwerken, dat bij
stroomuitval met een klein beetje restspanning het geheugen snel wordt
gewist.

Een druppel lijm doet trouwens ook wonderen ;)
20-07-2009, 13:24 door Anoniem
Zo'n hibernation file blijft toch ook na het uit de slaapstand komen op je HD ?
Dus kwaadwillenden kunnen als je PC ooit in slaap is gevallen wellicht allerlei informatie uit dat bestand halen.
02-04-2010, 22:15 door Anoniem
Ik zie regelmatig hacking technieken voorbij komen waarbij de computer moet herstarten vanaf bijvoorbeeld een externe HD. Ook in dit geval gebeurt dit. Echter wanneer de bios is ingesteld op booten van de eigen HD en de bios met een wachtwoord is voorzien zie ik niet veel risico. Booten van de externe HD met hackers software zal dan niet gaan.
Security incidenten zijn nooit op zichzelf staand, maar een keten van maatregelen.
16-07-2011, 16:17 door Anoniem
Door Anoniem: Wie zouden dit in de praktijk gaan uitvoeren?
Het lijkt meer op een natuurkundig verschijnsel dan dat dit op grote schaal
in de toekomst zal worden toegepast. Hooguit bij forensisch onderzoek.


Bijna alle hackers gebruiken Truecrypt.

Dus als er een hacker word opgepakt zouden ze dit kunnen toepassen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.