Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 20 von 27
  1. #1
    Mitglied Avatar von Annika_Kremer
    Registriert seit
    Aug 2008
    Beiträge
    4.840
    NewsPresso
    166 (Virtuose)
    Danksagungen
    2

    Standard Passware: Per FireWire gegen FileVault und TrueCrypt

    Der in Moskau ansässige IT-Forensik-Spezialist Passware behauptet, eine Software entwickelt zu haben, die mit FileVault oder TrueCrypt verschlüsselte Festplatten innerhalb von 40 Minuten entschlüsseln kann. Der Angriff funktioniert allerdings nur, wenn der betreffende Rechner über eine FireWire-Schnittstelle verfügt und nicht heruntergefahren, sondern nur in den Sleep-Mode geschaltet wurde.

    zur News

  2. #2
    Mitglied Avatar von TalkToFrank
    Registriert seit
    Feb 2009
    Beiträge
    1.393
    Danksagungen
    1

    Standard Re: Passware: Per FireWire gegen FileVault und TrueCrypt

    Weiß jemand wie es mit "Hibernate" ist? (kp ob das mit Truecrypt geht..)
    Aber wer fährt denn den Pc nicht ganz runter (außer eben bei Apple-Computern..)?

  3. #3
    deaktivierter Nutzer
    deaktiviertes Benutzerkonto

    Standard Re: Passware: Per FireWire gegen FileVault und TrueCrypt

    derartige angriffe werden in diesem video gut beschrieben. wenn ich das noch richtig zusammen bekomme kann man via firewire dma zugriff den speicher auslesen in dem sich der/die haschwert des verschlüsselungs passworts befindet.

    http://www.youtube.com/watch?v=cRtFpFuCjWg

  4. #4
    Mitglied Avatar von nixeinfallenname
    Registriert seit
    Aug 2007
    Ort
    Nordhessen
    Beiträge
    870
    Danksagungen
    35
    Silbermedaille
    1

    Standard Re: Passware: Per FireWire gegen FileVault und TrueCrypt

    800$ dafür zu verlangen finde ich aber heftig. Schließlich ist diese Sicherheitslücke nichts neues und jeder Hobby-Programmierer ist in der Lage den RAM auszulesen.
    Weiß jemand wie es mit "Hibernate" ist?
    Keine Ahnung ob ich mir der Vermutung richtig liege:
    Da der RAM-Inhalt 1:1 auf die Festplatte geschrieben wird, könnte man Diese einfach ausbauen und dort den Dump ansehen. Da der RAM leer ist, kann man ihn nur nicht mehr per Firewire auslesen.

  5. #5
    Mitglied Avatar von NacktImAufZug
    Registriert seit
    Sep 2011
    Beiträge
    68
    Danksagungen
    0

    Standard Re: Passware: Per FireWire gegen FileVault und TrueCrypt

    Zitat Zitat von TalkToFrank Beitrag anzeigen
    Weiß jemand wie es mit "Hibernate" ist? (kp ob das mit Truecrypt geht..)
    Aber wer fährt denn den Pc nicht ganz runter (außer eben bei Apple-Computern..)?
    Solange der Arbeitsspeicher nicht gelöscht ist, ist es kein Problem, aber das ist doch schon seit langem bekannt. Habe auch mal irgendwo ein OpenSource Programm für eine Linux LiveCD gefunden, die das selbe kann (jedoch kann es dabei passieren, dass wichtige Teile des Rams von der Live CD überschrieben werden).
    Wenn man Kälte Spray dabei hat, bringt auch der Versuch des kurzzeitigen Runterfahrens nichts.
    Gibt ja auch noch viele andere Wege System Verschlüsselungen zu knacken (Hardware-Keylogger, gefakter Bootloader....)

    Was mich mal interessieren würde, wie es mit TC Containern, bzw. Verschlüsselten Partitionen aussieht. Die kann man ja in Sekundenschnelle per Tastenkombination trennen und wenn man dann noch den System-verschlüsselten Rechner Herunterfährt bzw. direkt ausschaltet, dürfte der Container/die extra Partition ja ziemlich sicher gegen Angriffe sein. Oder bleiben von den Keys noch irgendwelche Abbiler im Ram??

  6. #6
    Mitglied Avatar von Shadow27374
    Registriert seit
    Jun 2005
    Beiträge
    2.857
    NewsPresso
    1 (Talent)
    Danksagungen
    2

    Standard Re: Passware: Per FireWire gegen FileVault und TrueCrypt

    Zitat Zitat von NacktImAufZug Beitrag anzeigen
    Oder bleiben von den Keys noch irgendwelche Abbiler im Ram??
    Selbst ohne Kältespray behält der RAM einige Minuten lang seine Daten. Erst nach ca. fünf Minuten sinkt der Gehalt rapide.

    Jeder kennt ja beim POST, dass der RAM getestet (hochgezählt) wird. Hierbei müsste eigentlich alles im RAM überschrieben werden.
    Dieses "hochzählen" ist bei modernen Rechnern deaktiviert, lässt sich aber im BIOS wieder aktivieren. Durch unsere aktuellen schnellen RAM-Modulen ist auch der Boot praktisch nicht verlängert.
    Demnach wäre es klug den Rechner nicht herunterzufahren sondern neuzustarten, den RAM-Test zu durchlaufen und ihn dann auszuschalten.

  7. #7
    Mitglied
    Registriert seit
    Dec 2007
    Beiträge
    1.158
    NewsPresso
    1 (Talent)
    Danksagungen
    7

    Standard Re: Passware: Per FireWire gegen FileVault und TrueCrypt

    Unter Mac OS X, kann man den Angriff relativ einfach unterbinden, indem man das "Fast User Switching" deaktiviert sowie die folgenden Einstellungen mittels pmset setzt.

    pmset -a destroyfvkeyonstandby 1 hibernatemode 25

    Damit wird das Schreiben des Volume-Key in den RAM unterbunden, wenn der Rechner in den Sleep Mode versetzt wird, und erzwingen, dass der Arbeitsspeicher auf die Platte geschrieben wird.

    Zudem besteht natürlich die Option, den Kernel Treiber für Fireware, Thunderbolt, ... nicht zu laden.

    Siehe:



    Gruss
    Patrick

  8. #8
    Mitglied Avatar von C-H-T
    Registriert seit
    Dec 2007
    Ort
    zuhause
    Beiträge
    1.039
    Danksagungen
    0

    Standard Re: Passware: Per FireWire gegen FileVault und TrueCrypt

    Uh ich dacht schon sonst was.. aber wieder nur eine tolle News über nen Speicher-Dump..

    Ist ja nun nichts neues mehr das man die geknackt bekommt wenn das und jenes und sonst was eintrifft..
    ne Knarre an Kopf der Person und das passwort ist schneller drin als man den Dump auslesen kann ^^ und kostet weniger...

  9. #9
    Mitglied Avatar von CommodoX
    Registriert seit
    Feb 2008
    Beiträge
    3.091
    Danksagungen
    13

    Standard Re: Passware: Per FireWire gegen FileVault und TrueCrypt

    Das RAM-Auslesen mittels Firewire-Port kann man auch nicht abschalten, sondern nur mit physischer Zerstörung des Ports umghen.

    "It's a feature, not a bug" sagte doch einst mal Windows? dazu.

    PS: Das Thema gabs vor 1-2 Jahren schonmal hier mit ziemlich genau der gleichen Newsmeldung, ist also nicht grade neu .

  10. #10
    Mitglied

    (Threadstarter)

    Avatar von Annika_Kremer
    Registriert seit
    Aug 2008
    Beiträge
    4.840
    NewsPresso
    166 (Virtuose)
    Danksagungen
    2

    Standard Re: Passware: Per FireWire gegen FileVault und TrueCrypt

    Zitat Zitat von PerfectPrivacy Beitrag anzeigen
    Unter Mac OS X, kann man den Angriff relativ einfach unterbinden, indem man das "Fast User Switching" deaktiviert sowie die folgenden Einstellungen mittels pmset setzt.

    pmset -a destroyfvkeyonstandby 1 hibernatemode 25

    Damit wird das Schreiben des Volume-Key in den RAM unterbunden, wenn der Rechner in den Sleep Mode versetzt wird, und erzwingen, dass der Arbeitsspeicher auf die Platte geschrieben wird.
    Ich wollte das auf meinem MacBook testen und anschließend als Update in den Artikel übernehmen, aber das scheint nicht zu funktionieren:

    annika-kremers-macbook:~ annika$ sudo pmset -a destroyfvkeyonstandby 1 hibernatemode 25
    Password:
    Usage: pmset <options>
    See pmset(1) for details: 'man pmset'

  11. #11
    Mitglied Avatar von Wurstlude
    Registriert seit
    Dec 2011
    Beiträge
    187
    Danksagungen
    0

    Standard Re: Passware: Per FireWire gegen FileVault und TrueCrypt

    Windows: Gibt's eigtl. kein Tool, dass bei Ausführung den RAM komplett leert? Wäre die Frage, was dann mit dem Windows passiert und da die Verschlüsselung nicht mehr funktionieren würde, sich das System einfach aufhängt, aber so als absolute Notfall-Verknüpfung auf'm Desktop als Not-Aus wäre doch nicht schlecht, falls die Bullen rein rockern...

  12. #12
    Mitglied Avatar von Necromonger
    Registriert seit
    Dec 2006
    Beiträge
    123
    Danksagungen
    0

    Standard Re: Passware: Per FireWire gegen FileVault und TrueCrypt

    Zitat Zitat von Wurstlude Beitrag anzeigen
    Windows: Gibt's eigtl. kein Tool, dass bei Ausführung den RAM komplett leert? Wäre die Frage, was dann mit dem Windows passiert und da die Verschlüsselung nicht mehr funktionieren würde, sich das System einfach aufhängt, aber so als absolute Notfall-Verknüpfung auf'm Desktop als Not-Aus wäre doch nicht schlecht, falls die Bullen rein rockern...
    programm: ccleaner
    stelle unter einstellungen ein, dass min. 3 mal überschrieben wird
    mit ccleaner kannst du die logdateien vernichten, die auch eine gefahr darstellen.
    außerdem wäre es sowieso ratsam programme wie truecrypt eher an rechnern ohne internetverbindung zu nutzen, da irgendjemand auch mittels eines keylogger-programms das passwort bequem ablesen könnte und da wäre die verschlüsselung sowie die passwortstärke egal.

  13. #13
    Mitglied Avatar von DrDuke
    Registriert seit
    Apr 2006
    Ort
    \\Schweiz\c$
    Beiträge
    2.511
    Danksagungen
    73

    Standard Re: Passware: Per FireWire gegen FileVault und TrueCrypt

    Tut eigentlich gar nichts zur Sache, wenn die Kiste bei einer Haus Durchsuchung mitgenommen wird, schalten sie ihn sowieso erst mal ab..

    Also Wayne...

  14. #14
    ^^proTüRkIyE°°° Avatar von salim_aliya
    Registriert seit
    Jul 2010
    Ort
    Berlin
    Beiträge
    789
    NewsPresso
    2 (Talent)
    Danksagungen
    1

    Standard Re: Passware: Per FireWire gegen FileVault und TrueCrypt

    Zitat Zitat von TalkToFrank Beitrag anzeigen
    Weiß jemand wie es mit "Hibernate" ist? (kp ob das mit Truecrypt geht..)
    Ja, das geht mit TrueCrypt. Vorausgesetzt, dass auch die Systemplatte verschlüsselt ist, wird der Arbeitsspeicher beim Ruhezustand auch verschlüsselt abgespeichert. Wenn der Rechner wieder eingeschaltet wird, muss man dann erneut sein TrueCrypt-Passwort für die Systemverschlüsselung eingeben, damit die Daten für den Arbeitsspeicher entschlüsselt und kopiert werden können.

    Ich denke nicht, dass Truecrypt die Daten für den Ruhezustand einfach unverschlüsselt abspeichert. Und wenn, dann sicher ohne passwort!

  15. #15
    Mitglied Avatar von McSnoop
    Registriert seit
    Sep 2005
    Beiträge
    157
    Danksagungen
    0

    Standard Re: Passware: Per FireWire gegen FileVault und TrueCrypt

    Ich habe zwar an meinem R61 eine Firewire Schnittstelle allerdings ist mir noch nie ein Gerät über den Weg gelaufen das mich überzeugt hat diese Schnittstelle zu benutzen.

    Liegt vielleicht auch daran das ich mich primär mit der Entwicklung von USB Derivaten beschäftige. =)

    Somit ist Firewire von Hause aus deaktiviert.

    Womit die Lücke des RAM auslesens über Firewire ja schonmal ein Riegel vorgeschoben ist.

  16. #16
    ^^proTüRkIyE°°° Avatar von salim_aliya
    Registriert seit
    Jul 2010
    Ort
    Berlin
    Beiträge
    789
    NewsPresso
    2 (Talent)
    Danksagungen
    1

    Standard Re: Passware: Per FireWire gegen FileVault und TrueCrypt

    Ich habe beim Kauf meines Rechners vergangenes Jahr gänzlich auf Firewire verzichtet, sieht mir auch mehr danach aus, dass eine solche Ausstattung zunehmend die Ausnahme wird.

  17. #17
    Mitglied Avatar von NacktImAufZug
    Registriert seit
    Sep 2011
    Beiträge
    68
    Danksagungen
    0

    Standard Re: Passware: Per FireWire gegen FileVault und TrueCrypt

    Zitat Zitat von Shadow27374 Beitrag anzeigen
    Selbst ohne Kältespray behält der RAM einige Minuten lang seine Daten. Erst nach ca. fünf Minuten sinkt der Gehalt rapide.
    Ja aber diese Frage bezog sich auf TC Container sowie weitere Partitionen, die mit der Systemverschlüsselung nichts zu tun haben. Dass der Key der Systempartition solange im Ram bleiben muss bis er aus ist ist klar, da der PC ansonsten ja nicht runter fahren kann. Aber wenn man ein verschlüsselten Container/Partition trennt, werden, so wie ich es gehört habe alle Keys im RAM gelöscht.
    Also nochmal zu meiner Frage, müssten Container/Partitionen, die von einem Verschlüsseltem System aus aufgerufen werden nicht ziemlich sicher sein? Besonders wenn man diese z.B auf Linux laufen lässt, was (wenn es gut konfiguriert ist) gegen Keylocker usw. gewappnet ist.
    Meine Frage, ob Abbilder des Keys vorhanden bleiben bezog sich auf die überschriebenen Keys. Auf z.B Festplatten kann man ja auch einmal überschriebene Daten wiederherstellen, wie sieht es bei dem RAM Speicher aus?

  18. #18
    Mitglied
    Registriert seit
    Jun 2011
    Beiträge
    661
    Danksagungen
    0

    Standard Re: Passware: Per FireWire gegen FileVault und TrueCrypt

    Zitat Zitat von salim_aliya Beitrag anzeigen
    Ich habe beim Kauf meines Rechners vergangenes Jahr gänzlich auf Firewire verzichtet, sieht mir auch mehr danach aus, dass eine solche Ausstattung zunehmend die Ausnahme wird.
    Eigendlich ist der angriff mit jedem Bus möglich, der es angeschlossenen Geräten erlaubt, DMA zu nutzen. Also geht das auch per PCMCIA, Expresscard oder hotplugfähigem PCIe. Also obacht, wenn man sowas hat - manchmal ist Hotplugsupport auch ein Sicherheitsrisiko...

    Weiß eigendlich wer, ob man im Prinzip auch ein böses Sata-Gerät anhängen und damit DMA machen könnte?

  19. #19
    Boardexe a. D.

    ex-Moderator

    Avatar von mathmos
    Registriert seit
    Jan 2003
    Beiträge
    11.513
    Danksagungen
    23

    Standard Re: Passware: Per FireWire gegen FileVault und TrueCrypt


  20. #20
    Mitglied Avatar von nh1
    Registriert seit
    Feb 2012
    Beiträge
    1
    Danksagungen
    0

    Standard Re: Passware: Per FireWire gegen FileVault und TrueCrypt

    Ab Mac OS X 10.7.2 gibt es das Problem mit dem FileVault- (2) und Login-Passwort nicht mehr!

    Informationen zum Sicherheitsinhalt von Mac OS X Lion 10.7.2 und Sicherheitsupdate 2011-006
    Auswirkung: Eine Person mit physischem Zugang kann auf das Kennwort des Benutzers zugreifen.

    Beschreibung: Ein Logikfehler im DMA-Schutz des Kernel erlaubte einen Firewire-DMA am Anmeldefenster, beim Starten und Herunterfahren, jedoch nicht an der Bildschirmsperre. Diese Aktualisierung behebt das Problem, indem ein Firewire-DMA in allen Zuständen verhindert wird, in denen der Benutzer nicht angemeldet ist.

    CVE-2011-3215: Passware, Inc.
    Test: ilostmynotes.blogspot.com

    Quelle: OSX – Snow Leopard / Lion – Passwort per Firewire über Direct Memory Access auslesen

  21.  
     
     
Seite 1 von 2 12 LetzteLetzte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •