image

TrueCrypt boodschap moet laptop inspectie misleiden

maandag 13 juli 2009, 09:28 door Redactie, 11 reacties

De Belgische beveiligingsonderzoeker Didier Stevens gebruikt het opstartscherm van encryptiesoftware TrueCrypt om personen die zijn laptop willen inspecteren te misleiden. Bijvoorbeeld de tekst "NTLDR is missing", lijkt erg op de boodschap die Windows geeft als de New Technology Loader ontbreekt. Ook willekeurige tekens en karakters zijn mogelijk, waardoor het lijkt alsof het systeem beschadigd of geïnfecteerd is geraakt. "Als ze eraan twijfelen, kun je zeggen dat je laptop door een virus van het Wifi-netwerk in het hotel is besmet." De TrueCrypt Boot Loader reageert verder nergens op, ook bij het invoeren van het wachtwoord worden de sterretjes niet weergegeven.

Reacties (11)
13-07-2009, 09:31 door Anoniem
Dit kon al heel lang in TrueCrypt hoor, maar wel handig.
13-07-2009, 10:15 door [Account Verwijderd]
[Verwijderd]
13-07-2009, 10:54 door [Account Verwijderd]
[Verwijderd]
13-07-2009, 11:51 door Didier Stevens
Door Anoniem: Dit kon al heel lang in TrueCrypt hoor, maar wel handig.
Ik gebruik de system disk encryptie al sinds begin 2008:

TryeCrypt 5.0

February 5, 2008

New features:

Ability to encrypt a system partition/drive (i.e. a partition/drive where Windows is installed) with pre-boot authentication (anyone who wants to gain access and use the system, read and write files, etc., needs to enter the correct password each time before the system starts). For more information, see the chapter System Encryption. (Windows Vista/XP/2003)
13-07-2009, 11:59 door MarkII
mooie feature.... Erg goed gedaan van hun.
13-07-2009, 17:21 door Anoniem
Pfffff... hahahahaha, wat een bericht! Ik doe zoiets al sinds TrueCrypt deze functionaliteit heeft toegevoegd aan deze top tool.

Overigens kun je van alles neerzetten... ook helemaal "niks" ... dus gewoon leeg laten en dan zeggen dat het scherm kapot is. Je kan natuurlijk ook gewoon "password: " neerzetten, want als je een beetje handig met computers bent, kun je namelijk met TrueCrypt een "geheim" systeem op je lap zetten. Ik kan met alle zekerheid mijn laptop aan het beste technisch forensisch team ter wereld geven met de boodschap "Good luck, losers: " en rustig gaan slapen. En als ze dreigen met het confisqueren van mijn apparatuur, open in gewoon de "decoy". En sinds ik meewerk, hebben ze totaal geen enkele juridisch basis mij nog verder lastig te vallen. Helaas kun je dat niet zeggen van dat kinderlijk eenvoudige trucje van Didier Stevens waar ze zo doorheen prikken als ze weten dat je een top-niveau "beveiligingsonderzoeker" bent.

Tuurlijk kan je met tranige ogen, volhouden dat je mooie laptop net kapot is gegaan, maar dat neemt niet het gevaar weg dat ze toch je apparatuur voor verder onderzoek even opsturen naar dat top technisch forensisch team ter wereld, waar ik niet van wakker lig. Ik zou bijna zeggen dat Didier zich iets verder moet verdiepen in TrueCrypt en vooral het WAAROM zij, de mensen van TrueCrypt, hun software de functies hebben gegeven die TrueCrypt heeft.

Een typisch voorbeeld van een "beveiligingsonderzoeker" die nog niet geheel klaar was met zijn onderzoek! Maar goed, blijven proberen, knul.. en succes!

The Shy Spy
13-07-2009, 18:45 door KwukDuck
Doorgaans denk ik dat de personen die laptops 'inspecteren' wel wat slimmer zijn, en zich niet door zo'n berichtje om de tuin laten leiden.
Bij analyse van de bootloader komt de aap als snel uit de spreekwoordelijke mouw.
13-07-2009, 18:51 door Didier Stevens
Door KwukDuck: Doorgaans denk ik dat de personen die laptops 'inspecteren' wel wat slimmer zijn, en zich niet door zo'n berichtje om de tuin laten leiden.
Bij analyse van de bootloader komt de aap als snel uit de spreekwoordelijke mouw.

Inderdaad:

Didier Stevens:
It’s probably enough to be misleading during a casual inspection of your laptop

En dan heb je nog de encryptie zelf.
14-07-2009, 01:28 door Anoniem
En sinds ik meewerk, hebben ze totaal geen enkele juridisch basis mij nog verder lastig te vallen.

Dat hangt natuurlijk van het land af. In schurkenstaten als Noord-Korea, de USA of Iran hebben ze daar geen boodschap aan en wordt gewoon rubber hose decryptie toegepast om aan de sleutels te komen. En nog wat extra's om achter de hidden containers te komen. Jammer voor jou als je die niet hebt...
14-07-2009, 10:28 door Didier Stevens
Door Anoniem:
Een typisch voorbeeld van een "beveiligingsonderzoeker" die nog niet geheel klaar was met zijn onderzoek! Maar goed, blijven proberen, knul.. en succes!

The Shy Spy
Dank je voor de aanmoediging manneke!
14-07-2009, 19:26 door Anoniem
Door Anoniem: Dat hangt natuurlijk van het land af. In schurkenstaten als Noord-Korea, de USA of Iran hebben ze daar geen boodschap aan en wordt gewoon rubber hose decryptie toegepast om aan de sleutels te komen. En nog wat extra's om achter de hidden containers te komen. Jammer voor jou als je die niet hebt...

Je hebt helemaal gelijk, maar dan moeten ze natuurlijk wel iets meer van je weten om hun acties, zoals de "rubber hose" decryptie (lol) te rechtvaardigen of wil jij beweren dat ze gewoon elke buitenlandse toerist met een laptop effe martelen om zeker te zijn dat je niets te verbergen hebt? Mochten ze je aanhouden, dan is er een redelijke verdenking en dus is het in hun ogen gerechtvaardigd jou verder te onderzoeken. Zo is een tijd terug een Amerikaan zijn laptop onderzocht en werd kinderporno ontdekt door de Canadese douane. Dit was niet zo maar geluk hebben, maar een gericht onderzoek omdat deze man eerder was veroordeelt in zijn thuisland voor het hebben van zulk materiaal. Hiermee wordt duidelijk dat als je eenmaal iets op je kerfstok hebt, je kan verwachten dat verschillende instanties je graag even apart nemen voor een onderzoekje.

Maar met TrueCrypt kun je gewoon meewerken aan zo'n onderzoekje, want je hebt immers twee wachtwoorden en één daar van kun je zonder problemen geven aan de dienstdoende ambtenaar. En wat ze ook doen met je gereedschap, ze kunnen martelpraktijken niet rechtvaardigen, omdat ze gewoonweg niets verder kunnen vinden. De decoy en de hidden systeem zijn namelijk met dezelfde encryptie algoritme versleuteld en daardoor onmogelijk van elkander te onderscheiden. Het is als of je een glas water in een emmer water gooit... alleen met behulp van magie kun het glas weer vullen met het water wat er eerst in zat. TrueCrypt zorgt voor deze magie.

Als je toch gemarteld wordt, zonder dat ze iets substantieels hebben gevonden, want daar ben je met TrueCrypt zeker van, en dus geen elke rechtvaardigheid bestaat tot fysiek geweld, troost je dan met het feit dat je die dag gewoonweg totaal niet jou dag is. Vergeet niet dat we het hier hebben over een "leven of dood" situatie........ dus welke optie kies jij:

a) Je geeft je wachtwoord en wordt niet meer gemarteld, maar morgen knopen ze je letterlijk op aan de hoogste boom.
b) Je geeft je wachtwoord niet en wordt gemarteld, maar 5 jaar later wordt je op Schiphol warm onthaalt door je familie.

The Shy Spy

ps. De inbeslagname van je apparatuur is de makkelijkste, doeltreffendste en goedkoopste manier voor overheidsinstanties je dwars te zitten als ze je na een onderzoek nog steeds zeer verdacht vinden. Erg klote als je onschuldig bent, maar voor een boef simpel "the cost of doing business"... het leven is onrechtvaardig. (zucht)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.