Nieuws
image

"Harde schijf versleuteling TrueCrypt gekraakt"

vrijdag 2 april 2010, 12:13 door Redactie, 28 reacties

Een Amerikaans bedrijf beweert dat het de volledige harde schijf versleuteling van TrueCrypt kan omzeilen, zonder het gebruik van brute-force aanvallen. De Passware Kit Forensic haalde eerder al het nieuws met een aanval op Microsoft's BitLocker. Ondanks de sensationele kop van het persbericht, waarin staat dat met TrueCrypt versleutelde schijven binnen minuten zijn te kraken, is de 'aanval' niet zo eenvoudig uit te voeren.

Trots
Passware, dat de software aanbiedt, zou op verzoek van opsporingsdiensten de forensische toolkit hebben aangepast. Die is nu in staat om het geheugen van in beslag genomen computers via FireWire uit te lezen. De software geeft gebruikers zo toegang tot in het geheugen opgeslagen encryptiesleutels. De machine moet in dit geval wel aan staan op het moment van inbeslagname.

"Opsporingsdiensten vroegen om het ontsleutelen van TrueCrypt schijven en we hebben een praktische en effectieve methode ontwikkeld om snel versleutelde gegevens te verkrijgen", aldus Passware president Dmitry Sumin. "We zijn trots om als eerste met een commerciële oplossing te komen die justitie de mogelijkheid geeft om BitLocker en TrueCrypt encryptie van in beslag genomen computers te omzeilen." Al in 2008 demonstreerden onderzoekers dat het mogelijk is om encryptiesleutels uit het geheugen te halen.

Reacties (28)
02-04-2010, 12:26 door Anoniem
dus als je pc in beslag genomen wordt, moet je hem altijd eerst uitzetten :P
02-04-2010, 12:29 door Preddie
omfg, deze techniek is jarenoud en wordt door verschillende inlichtingendiensten gebruikt. Doordat mogelijkheden al jaren bekend zijn is er een advies uitgegeven om je laptop altijd uit te schakelen wanneer je bijv. gaat reizen. Zo is het niet mogelijk om de encryptie sleutel uit te lezen......

Gewoon een nieuwe bedrijf dat met oud nieuws aandacht probeert te trekken ......
02-04-2010, 12:35 door Anoniem
Batterij /accu eruit , lijkt mij nog beter.
geen idee hoelang restspanning aanwezig blijft, en ik heb ook geen lap/ note/ net book , dus geen ervaring of systeem onder spanning blijft staan, na afgesloten te zijn,
Dus lijkt mij accu eruit , tijdens transport , het beste.


Groet Hot Burmees
02-04-2010, 12:53 door Anoniem
Bovendien heeft echt niet elke PC een Firewire-aansluiting en moet een PC niet alleen aanstaan tijdens de inbeslagname, maar ook moet in dezelfde boot-sessie dus Truecrypt gebruikt zijn.
02-04-2010, 13:12 door Anoniem
Hmm... Ik heb firewire uitgeschakeld op mijn Truecrypt laptop dus is het niet zo 1-2-3 mogelijk een dump te maken van het geheugen en deze vervolgens uit te lezen om het Truecrypt pwd eruit te vissen. Bovendien is het niet mogelijk een PC die UIT staat te hacken op deze manier...

Martijn Wismeijer
Amsterdam

P.S. Irritant die Tele2 reclame op deze pagina....
02-04-2010, 13:20 door eMilt
De machine moet in dit geval wel aan staan op het moment van inbeslagname.
Als de machine aan staat dan is het wachtwoord al ingevoerd en is de schijf dus benaderbaar. Waarom dan moeilijk doen ?
02-04-2010, 13:20 door Anoniem
en dus ook niet standby laten staan vermoed ik. iets wat veel laptopgebruikers toch wel doen.
02-04-2010, 13:22 door Anoniem
Al lang bekend, je kan als ie aanstaat ook een cold-boot attack doen.
02-04-2010, 13:27 door Anoniem
Als je echt iets te verbergen hebt op je server die in een datacenter hangt, maak je gewoon een script wat op het moment van ontkoppelen van de eth* interface, een reboot geeft.

Justitie prikt je server namelijk over op een batterij op het moment van inbeslagname dus hij gaat niet uit.. dat doen ze om de sleutels uit te kunnen lezen uit het geheugen.

de netwerk connectie kunnen ze zo 1 2 3 niet faken. Dus dan blijf je ze altijd een stap voor als je niet wil dat ze de data op je colo machine uitlezen

-Mystic^
02-04-2010, 13:32 door spatieman
eMilt..
Dat is een hele goede vraag.
mischien om een hash te maken?
ik wens ze veel plezier met het decrypten, als het ding weer aangezet wordt.
02-04-2010, 13:34 door Didier Stevens
Door Anoniem: Hmm... Ik heb firewire uitgeschakeld op mijn Truecrypt laptop dus is het niet zo 1-2-3 mogelijk een dump te maken van het geheugen en deze vervolgens uit te lezen om het Truecrypt pwd eruit te vissen.

Softwarematig uitschakelen van Firewire helpt niet. Het Firewire protocol ondersteunt een DMA opdracht om het geheugen uit te lezen/naar toe te schrijven. Het protocol is geïmplementeerd in de Firewire chip op je laptop. Dus niet zo gemakkelijk uit te schakelen.

En bij een aantal laptops zonder Firewire, kan je een PCMCIA Firewire kaart hotpluggen en wordt de software automatisch geïnstalleerd (Windows). Ook als Windows gelocked is.
02-04-2010, 14:04 door cryptomannetje
Door Didier Stevens:
Door Anoniem: Hmm... Ik heb firewire uitgeschakeld op mijn Truecrypt laptop dus is het niet zo 1-2-3 mogelijk een dump te maken van het geheugen en deze vervolgens uit te lezen om het Truecrypt pwd eruit te vissen.

Softwarematig uitschakelen van Firewire helpt niet. Het Firewire protocol ondersteunt een DMA opdracht om het geheugen uit te lezen/naar toe te schrijven. Het protocol is geïmplementeerd in de Firewire chip op je laptop. Dus niet zo gemakkelijk uit te schakelen.

En bij een aantal laptops zonder Firewire, kan je een PCMCIA Firewire kaart hotpluggen en wordt de software automatisch geïnstalleerd (Windows). Ook als Windows gelocked is.

Moet je wel een PCMCIA interface hebben.......
02-04-2010, 14:46 door Anoniem
dus als je pc in beslag genomen wordt, moet je hem altijd eerst uitzetten :P
Precies de reden waarom ik een kill-switch op mijn PC heb zitten :).
02-04-2010, 15:24 door KwukDuck
Behoorlijk misleidende kop, er is helemaal geen versleuteling gekraakt.

Er is een commercieel bedrijf dat de 'cold-boot attack' in hun software pakketje verwerkt, thats all.

Nothing more to see here, move along...
02-04-2010, 15:47 door Anoniem
Firewire kan natuurlijk ook gewoon in het BIOS worden uitgezet: is toch een verder weinig gebruikte interface.
02-04-2010, 17:01 door Anoniem
Peter Kleissner kon toch ook al om TrueCrypt heen komen?
02-04-2010, 19:50 door sjonniev
Firewire... dma... duh...
02-04-2010, 20:32 door Anoniem
Truecrypt versleuteling is dus niet gekraakt. Als een aanvaller afhankelijk is van een staat waarin hij toegang moet hebben tot het systeem en het slachtoffer zover moet krijgen dat een deel van de beveiliging uit staat dan is het geen kraak van de versleuteling maar misbruik van een van de benodigde componenten tijdens normaal gebruik. Wanneer je al toegang hebt tot een systeem en dat ook nog voor elkaar moet hebben is het in de wereld van beveiliging al geen veilige situatie meer te noemen. Kom maar terug als het echt gekraakt is.
02-04-2010, 21:01 door Ivanhoe
Door Anoniem: Batterij /accu eruit , lijkt mij nog beter.
geen idee hoelang restspanning aanwezig blijft, en ik heb ook geen lap/ note/ net book , dus geen ervaring of systeem onder spanning blijft staan, na afgesloten te zijn,
Gewoon, net als bij vervangen van hardware, alle spanning er af - bij desktop de voeding, bij laptop voeding en accu (zoals je al voorsteld) - en daarna de aan/uit-knop 10 tellen ingedrukt houden.
Ik denk dat dat voldoende is om de restspanningen, en dus de spanning over de geheugenmodules, weg te laten vloeien.
02-04-2010, 22:07 door Anoniem
Door Anoniem: Bovendien heeft echt niet elke PC een Firewire-aansluiting en moet een PC niet alleen aanstaan tijdens de inbeslagname, maar ook moet in dezelfde boot-sessie dus Truecrypt gebruikt zijn.

Het lijkt me lastig om te booten zonder truecrypt te gebruiken als je Full Disk Encryptie gebruikt :)

Door emilt:
Als de machine aan staat dan is het wachtwoord al ingevoerd en is de schijf dus benaderbaar. Waarom dan moeilijk doen ?

Uhmm als hij gelockt staat is het toch lastig....Probeer dan maar eens een DD van de schijf te maken......
02-04-2010, 22:18 door [Account Verwijderd]
[Verwijderd]
02-04-2010, 22:54 door Anoniem
Wat als je memtest86 laat lopen tijdens het afsluiten, of een herstart?
Binnen enkele seconden is het ram geheugen dan al enkele keren overschreven laat staan na een succesvolle pass.
05-04-2010, 03:48 door Anoniem
Door Anoniem: Hmm... Ik heb firewire uitgeschakeld op mijn Truecrypt laptop dus is het niet zo 1-2-3 mogelijk een dump te maken van het geheugen en deze vervolgens uit te lezen om het Truecrypt pwd eruit te vissen. Bovendien is het niet mogelijk een PC die UIT staat te hacken op deze manier...

Martijn Wismeijer
Amsterdam

P.S. Irritant die Tele2 reclame op deze pagina....


Welke Reclame ?
Nee gebruik geen FF met no NoNameScript (ofzo) maar gewoon Maxthon...
05-04-2010, 22:51 door Anoniem
Ook met IE geen reclame. InPrivate filtering aan. Geen plug-in nodig :P
06-04-2010, 00:22 door Anoniem
Door Anoniem: Truecrypt versleuteling is dus niet gekraakt. Als een aanvaller afhankelijk is van een staat waarin hij toegang moet hebben tot het systeem en het slachtoffer zover moet krijgen dat een deel van de beveiliging uit staat dan is het geen kraak van de versleuteling maar misbruik van een van de benodigde componenten tijdens normaal gebruik. Wanneer je al toegang hebt tot een systeem en dat ook nog voor elkaar moet hebben is het in de wereld van beveiliging al geen veilige situatie meer te noemen. Kom maar terug als het echt gekraakt is.

Het gaat niet om een "kraak" die schoften willen gewoon dat als ze een hacker oppakken die net miljoenen creditcards gejat heeft en de wouten voor lul gezet heeft, door ze die sleutel niet te geven toch kunnen pakken.
06-04-2010, 12:13 door Anoniem
Er is natuurlijk ook een leuke hardware oplossing mogelijk. Stop je firewire connector vol met epoxy en het is ook niet meer mogelijk om erbij te komen.
06-04-2010, 16:06 door Anoniem
Nog beter, een emmer water naast je laptop, bij twijfel de laptop in de emmer... ;-)
04-05-2010, 12:14 door Anoniem
Wat te denken van een externe harde schijf, losgekoppeld van de pc?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search