Tool 'kraakt' PGP- en Office 2010-versleuteling
Een nieuwe tool voor forensisch onderzoekers maakt het mogelijk om met PGP versleutelde harde schijven en versleutelde Office 2010-documenten te 'kraken'. Passware Kit 11.7 gebruikt geen brute force-aanval, maar weet de encryptiesleutels te achterhalen door het geheugen van de computer te analyseren. Het proces zou zo snel verlopen, dat de versleuteling meteen ontsleuteld is.
Tevens kan de nieuwste versie wachtwoorden van Apple Disk Images (DMG) achterhalen en is de integratie met Guidance EnCase verbeterd.
Office
Om versleutelde Office-documenten, zowel van Office 2007 als 2010, te kunnen ontsleutelen, zijn er verschillende vereisten. Zo moet het document op het moment dat er een geheugen image wordt gemaakt zijn geopend, of moet de computer zich in slaapstand bevinden. De encryptiesleutels worden dan in het geheugen of slaapbestand opgeslagen, waardoor Passware Kit die kan uitlezen.
Je mag hopen dat dit geheugen niet te lezen is door een user process. Ook de swapfile of slaapstand kan een probleem zijn. Ik geloof dat PGP vroeger veel zijn wachtwoord verplaatste in het geheugen zodat die niet geswapt zou worden. Bij fulldisk encryptie onder Windows is de swapfile mee encrypted.
Als de betreffende computer op het internet zit, is dat nog een interessante aanvalsvector. Met alle lekken die wekelijks gepatcht worden op haast elke computer. Wetend dat veel mensen (en bedrijven) het nut van patchen niet in zien...
Dit geld trouwens ook allemaal voor Truecrypt...
Voor zover mij bekend geldt dit niet voor Truecrypt. Kun je mij wijzen waar beschreven staat dat een Truecrypt-wachtwoord uit het geheugen van een computer gehaald kan worden terwijl een Truecrypt drive of file actief is op die computer?
Voor zover mij bekend geldt dit niet voor Truecrypt. Kun je mij wijzen waar beschreven staat dat een Truecrypt-wachtwoord uit het geheugen van een computer gehaald kan worden terwijl een Truecrypt drive of file actief is op die computer?
TrueCrypt cannot prevent cached passwords, encryption keys, and the contents of sensitive files opened in RAM from being saved unencrypted to memory dump files. Note that when you open a file stored on a TrueCrypt volume, for example, in a text editor, then the content of the file is stored unencrypted in RAM (and it may remain unencrypted in RAM until the computer is turned off). Also note that when a TrueCrypt volume is mounted, its master key is stored unencrypted in RAM.
Zie ook http://www.truecrypt.org/docs/?s=unencrypted-data-in-ram
Voor zover mij bekend geldt dit niet voor Truecrypt. Kun je mij wijzen waar beschreven staat dat een Truecrypt-wachtwoord uit het geheugen van een computer gehaald kan worden terwijl een Truecrypt drive of file actief is op die computer?
TrueCrypt cannot prevent cached passwords, encryption keys, and the contents of sensitive files opened in RAM from being saved unencrypted to memory dump files. Note that when you open a file stored on a TrueCrypt volume, for example, in a text editor, then the content of the file is stored unencrypted in RAM (and it may remain unencrypted in RAM until the computer is turned off). Also note that when a TrueCrypt volume is mounted, its master key is stored unencrypted in RAM.
Zie ook http://www.truecrypt.org/docs/?s=unencrypted-data-in-ram
- Acquire a memory image of or take the hiberfil.sys file from the target computer.
- Create an encrypted disk image (not required for TrueCrypt).
- Run Passware Kit to recover the encryption keys and decrypt the hard disk.
If the target computer is turned off, but the encrypted volume was mounted during the last hibernation, skip this step. Take the hibefil.sys file from the target computer or its hard drive image and use this file as a memory image for decryption.
Belangrijk is dus om geen Hibernation te gebruiken als je Truecrypt of andere disk encrypters gebruikt.
Een 'dode mans knop' op je computer is dan ook wel handig. Op het moment van inval gaat de stroom er subiet af.
Voor zover mij bekend geldt dit niet voor Truecrypt. Kun je mij wijzen waar beschreven staat dat een Truecrypt-wachtwoord uit het geheugen van een computer gehaald kan worden terwijl een Truecrypt drive of file actief is op die computer?
Dus auto-dismount bij geen activiteit.
En password wipe uit cache bij auto dismount
Dismount staat hier @1minuut.
En als dat niet volstaat is Tails OS your best friend.
Artikel is een beetje FUD, cryptografie beschermt helaas niet tegen laksheid, luiheid of human error in general.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.