image

Forensische tool 'kraakt' TrueCrypt, PGP en BitLocker

vrijdag 21 december 2012, 11:41 door Redactie, 15 reacties

Een Russisch softwarebedrijf heeft een nieuwe tool gepresenteerd om versleutelde harde schijven toch te kunnen uitlezen. De Elcomsoft Forensic Disk Decryptor biedt toegang tot informatie op schijven die met BitLocker, PGP en TrueCrypt versleuteld zijn. Naast het uitvoeren van allerlei brute-force aanvallen is de voornaamste methode voor het achterhalen van de encryptiesleutels het uitlezen van geheugendumps.

"De voornaamste en enige zwakte van versleutelde containers is de menselijke factor. Naast zwakke wachtwoorden, moeten versleutelde volumes worden aangekoppeld voor de gebruiker om toegang tot de versleutelde gegevens te hebben. Niemand wil elke keer zijn lange, complexe wachtwoorden intikken als ze een bestand willen lezen of schrijven", zegt Vladimir Katalov op het Elcomsoft-blog.

Dump
Volgens het softwarebedrijf zijn de sleutels via geheugendumps te achterhalen. Voor het maken van deze dumps zijn verschillende forensische tools beschikbaar, maar zou ook een FireWire-aanval zijn te gebruiken in het geval de computer is uitgeschakeld. De Disk Decryptor kan namelijk de encryptiesleutels ook uit het hibernation-bestand halen.

"Het is belangrijk dat versleutelde volumes zijn aangekoppeld op het moment de geheugendump wordt verkregen of de computer in slaapstand gaat, anders worden de encryptiesleutels vernietigd en kan de inhoud van de versleutelde volumes niet zonder het originele wachtwoord worden ontsleuteld.

Snelheid
Is de geheugendump succesvol, dan kan de Disk Decryptor de versleutelde schijf als een schijfletter op het systeem van de onderzoeker aankoppelen. Daardoor kunnen allerlei andere forensische tools er snel en eenvoudig toegang toe krijgen.

"Dit lijkt misschien niet veilig, en mag door bepaald beleid niet worden toegestaan, maar soms is snelheid en gemak alles", stelt Katalov. De Disk Decryptor kost omgerekend 225 euro.

Reacties (15)
21-12-2012, 12:18 door Anoniem
[admin] Dank! fixed [/admin]

Verder is het volgens mij allemaal niet reuze revolutionair.
21-12-2012, 12:20 door Anoniem
Tijd voor betaalbare hardwarematige encryptie... ik zeg programmeerbare harde schijven met een eigen opensource OS
21-12-2012, 12:21 door Frankie.XL
"Niemand wil elke keer zijn lange, complexe wachtwoorden intikken als ze een bestand willen lezen of schrijven..."

Euhm.. niemand?
Ik typ namelijk wél elke keer dat enorme lange wachtwoord!
Dus succes met de z.g. 'Disk Decryptor'.
21-12-2012, 12:45 door Erik van Straten
Een gratis tool om memory dumps te maken is DumpIt van Matthieu Suiche (Moonsols), je kunt het hier vinden: http://www.moonsols.com/2011/07/18/moonsols-dumpit-goes-mainstream/. Je hebt echter wel Admin rechten nodig om DumpIt te kunnen draaien.

Mijn bron voor DumpIt: https://isc.sans.edu/diary/MoonSols+Dumpit+released+for+free+/11362.

DumpIt maakt geen onderdeel uit van de Community Edition van de "MoonSols Windows Memory Toolkit" (wel van de professional/commerciële versie). Die toolkit bevat wellicht interessante tools voor forensisch onderzoekers, zie http://www.moonsols.com/windows-memory-toolkit/.

Zonder admin rechten kun je overigens het geheugen in gebruik door een proces (waar jij eigenaar van bent) eenvoudig bekijken met de freeware hexeditor HxD (zie http://mh-nexus.de/en/hxd/).
21-12-2012, 12:54 door Anoniem
"Tijd voor betaalbare hardwarematige encryptie.."

Schijven hebben allang ingebouwde encryptie.
Het probleem met encryptie is niet de encryptie zelf maar het sleutelbeheer.
21-12-2012, 12:57 door Anoniem
Door [F]rankie.XL: "Niemand wil elke keer zijn lange, complexe wachtwoorden intikken als ze een bestand willen lezen of schrijven..."

Euhm.. niemand?
Ik typ namelijk wél elke keer dat enorme lange wachtwoord!
Dus succes met de z.g. 'Disk Decryptor'.
Idem. En een auto-dismount na 15 minuten. Hibernation? Doen we niet aan.

Ook hier: succes.
21-12-2012, 13:14 door dnmvisser
Dus niet je laptop laten slapen als je hem meeneemt, maar uitzetten.
21-12-2012, 13:20 door Anoniem
Dus even een hibernate bestand doorzoeken op een passphrase welke je niet weet? De passphrase zou kunnen bestaan uit een rij willekeurige characters.....en daar staat het hybernate bestand vol mee ;-) Good luck.

Door [F]rankie.XL: "Niemand wil elke keer zijn lange, complexe wachtwoorden intikken als ze een bestand willen lezen of schrijven..."

Euhm.. niemand?
Ik typ namelijk wél elke keer dat enorme lange wachtwoord!
Dus succes met de z.g. 'Disk Decryptor'.

Ik typ ook elke keer mijn passphrase probleemloos in. No problem!
21-12-2012, 13:39 door Anoniem
@ anoniem 13:20

Ik ben zeker geen expert maar het lijkt me dat er vast meerdere manieren zijn om te bepalen wat de passphrase is.
Staat deze niet op een vooraf en bekende line ? Of wordt er padding / encoding gebruikt die te onderscheiden is van de rest ?
21-12-2012, 14:05 door Sokolum
Ik maak gebruik van Bitlocker voor mijn fulldisk encrypted laptop. Elke keer als hij uit zijn Hinernate/Sleep komt, dan vraagt de bootloader eerst om een wachtwoord, die vanaf een USB moet worden gelezen.

Maar heeft men hier wel over fulldisk encryption of alleen encrypted containers?
21-12-2012, 14:27 door Anoniem
Door Anoniem: @ anoniem 13:20

Ik ben zeker geen expert maar het lijkt me dat er vast meerdere manieren zijn om te bepalen wat de passphrase is.
Staat deze niet op een vooraf en bekende line ? Of wordt er padding / encoding gebruikt die te onderscheiden is van de rest ?

Meerdere manier om te bepalen wat de passphrase is??? Of bedoel je meerdere manieren om te bepalen waar deze staat?
Ook als zou je 4GB ram hebben waarvan maar 1GB user space is, dan nog moet je 1GB doorspitten.
En er staat echt niet: HIER STAAT IE -->>> ;-)
21-12-2012, 14:43 door Anoniem
Dit bericht klinkt me als oud nieuws. Er zijn manieren om Truecrypts wachtwoord te achterhalen, zoals dat firewire-lek, de 'evil maid' methode of een rootkit.
Ook kunnen geheugen chips bevroren worden en dan dumps van het geheugen gemaakt en zo zijn er wel meer manieren een beveiligd systeem te 'hacken'.

Maar dat Truecrypt, PGP enzovoorts gekraakt zijn is dus loos geblaat.
21-12-2012, 15:54 door Vorkbaard
Dit valt niet onder "kraken". Op de site van TrueCrypt staat dit al sinds jaar en dag, gewoon openbaar. TrueCrypt raadt af om hibernation te gebruiken. Als je de aanbevelingen van TrueCrypt gebruikt, is deze tool waardeloos.

En ook in typ inderdaad elke keer mijn lange key in.

Mensen die niet om encryptie geven, installeren geen TrueCrypt en mensen die dat wel doen, nemen ook de moeite om het goed te implementeren, me dunkt.

Desalniettemin is het goed dat deze tool er is: nu is er nog meer noodzaak om ook de *implementatie* van encryptie goed uit te voeren, dwz de menselijke factor.
21-12-2012, 16:22 door sjonniev
Door Vorkbaard: Dit valt niet onder "kraken". Op de site van TrueCrypt staat dit al sinds jaar en dag, gewoon openbaar. TrueCrypt raadt af om hibernation te gebruiken. Als je de aanbevelingen van TrueCrypt gebruikt, is deze tool waardeloos.

Dat met die hibernation file is dan een gebrekje van TrueCrypt. Ik ken FDE waarbij ook het hibernation bestand versleuteld wordt, en bij het wakker maken pas na geslaagde aanmelding ontsleuteld wordt. Maar dit kon inderdaad altijd al. Ze hebben het alleen wat makkelijker gemaakt.
03-01-2013, 09:41 door Anoniem
In het verhaal wordt ook verkondigd dat er allerlei brute-force aanvallen bekend zijn. Kan iemand mij vertellen welke deze zijn en wat ze kunnen realiseren. Andere bitlocker kraak methode is reeds bekend en dus achterhaald.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.