image

Column: Koud Onderzoek

donderdag 27 maart 2008, 11:18 door Redactie, 20 reacties

De bekende Amerikaanse onderzoeker Edward Felten heeft onlangs aangetoond dat de versleuteling van harde schijven minder veilig is dan algemeen verondersteld wordt. De sleutels worden tijdelijk in RAM opgeslagen en zijn daaruit op te halen met een zogenaamde Cold Boot encryption Hack. Het punt is dat de sleutels niet gelijk weg zijn na het uitschakelen van de machine, maar tot een halve minuut of meer nog in het geheugen achterblijven. Dus als je de stekker uit een machine trekt en deze weer gelijk aanzet, heb je een kans om de cryptografische sleutels uit het geheugen te vissen. Als je snel genoeg bent dan. Maar volgens de onderzoeker zijn de zoekmiddelen hiervoor de laatste tijd sterk verbeterd.

De Cold Boot Hack is natuurlijk geen wereldschokkende aanval, die dan ook weinig aandacht heeft gekregen. De meeste machines die gestolen worden, staan immers uit, of gaan uit terwijl de dief door het verbrijzelde raam stapt en naar de vluchtauto loopt. Dit geldt echter niet voor laptops: die staan vaak in hibernation. Als het goed is zal software met het inschakelen van de hibernation mode de sleutels uit het geheugen verwijderen, maar helaas, het is niet altijd goed. Dat cryptografische sleutels eenvoudig gevonden kunnen worden op een systeem is al een aantal jaren bekend. Hebben we dan het detail met hibernation gemist met z'n allen, of zo?

Het is dus tijd voor een nieuwe policy, nieuwe software en nieuwe images. Voor de meeste organisaties hoeft er buiten de beveiliging van PC's en laptops niet veel te veranderen. Of toch? Het onderzoek beschrijft namelijk aspecten die juist in andere scenario's erg nuttig kunnen zijn. In het bijzonder geldt dit voor de ontdekking dat het gebruik van kou het verval van de data in RAM tegen gaat. En dat werkgeheugen in vloeibare stikstof vrijwel eindeloos de informatie vasthoudt. Dit is goed nieuws voor forensisch onderzoekers, die een manier krijgen om het werkgeheugen van een verdachte machine te bevriezen. Letterlijk. Machines moeten onder de huidige protocollen uitgezet worden, gedetailleerd beschreven en dan vervoerd naar een veilige plek voor nader onderzoek (zoals bijvoorbeeld het NTI voorschrijft en Fox impliceert. Het nadeel hiervan is dat het werkgeheugen leeg is voordat de data op een onweerlegbare manier is veiliggesteld. Dus alles wat alleen in het geheugen zit, is weg. Iemand die een beetje handig is met computers, kan het de gemiddelde forensische onderzoeker dan ook knap moeilijk maken. Maar dat wordt een stuk minder als de onderzoeker gewapend wordt met een busje kou en nieuwe protocollen. Bovendien is sinds een tijdje duidelijk dat je met een aanval via de Firewire-poort ook het geheugen van een systeem kunt leeglepelen. Daar zou een forensisch onderzoeker ook heel gelukkig van kunnen worden. Laten we eens aanzien hoe snel de formele forensische protocollen deze nieuwe inzichten absorberen.

Een heterdaadje is bij digitaal forensisch onderzoek op dit moment onmogelijk te bewijzen. Een daad kan hooguit in meer of mindere mate aannemelijk worden gemaakt. Hierbij wordt veel gebruik gemaakt van de minder bekende features van het besturingssysteem. Daarbij zijn de meeste computer seizure guidelines volledig op Windows geënt. Helaas weten de meeste rechters en openbare aanklagers erg weinig van digitale bewijsvoering, zodat nogal wat zaken struikelen tijdens de behandeling. Zeker als de verdediging zich enigszins verdiept heeft in de materie.

Mijn tip van de week voor de bad guys: gebruik exotische besturingssystemen als NeXTstep, Warp 4 of HELIOS. En de tip voor forensische onderzoekers: werk alleen voor de verdediging.

De nieuwe manier om cryptografisch materiaal uit het RAM te halen is goed nieuws. Zeker voor de rechtstaat: de kans dat juridische dwang nodig is om de verdachte de sleutels te laten afgeven - en daarmee mee te laten werken aan de eigen veroordeling - wordt een stuk kleiner. Dit is wel weer een tegenvaller voor de protagonisten van deze omgekeerde bewijslast - het feit dat forensische onderzoekers iets zouden kunnen, maakt het niet toepassen van de nieuwe inzichten tot falen.

De onderzoeker Felten signaleert dat in het verleden wel vaker mensen op het trage dataverval in RAM gestuit waren, maar dat de beveiligingsimplicaties niet eerder onderzocht waren omdat er geen publicaties over te vinden waren - behalve een Duits artikel uit de jaren '70. Het is te hopen dat het met dit onderzoek anders loopt. Door de relatie met één specifiek beveiligingsaspect te leggen is Felten helaas wel in dezelfde valkuil getrapt. Na tien minuten was het al oud nieuws en verdwenen zijn conclusies in de vergetelheid. Of had iemand hier het bericht wel gezien?

Laten we de omissie rechtzetten: de welopgeleide en uitermate kundige lezers van dit platform kunnen vast nog meer Security implicaties van de Cold Boot Hack deze bedenken. Die overigens evenmin zullen doordringen tot de officiële handboeken, zelfs als we er een prijsvraag van maken. Ach, als we onze plaats maar kennen, nietwaar?

We kunnen er in ieder geval in onze directe omgeving ons voordeel mee doen. Nou heb ik thuis een laptop die van nature beveiligd is: je bent al gauw een kwartier aan het hannesen voordat je bij de geheugenmodules kunt en dan is het geheugen echt wel leeg. Die is af fabriek beveiligd tegen de koude aanval. Er zit alleen wel een PC-card slot in en daar kun je wel een firewire in prikken. Dan maar géén laptop meer. Ik ga bovendien mijn desktops beveiligen door de dimms met druiplijm in te pakken en de systeemkasten met superlijm dicht te kitten. Die firewire kaarten moeten er uit, helaas. Hoewel, zo lang forensisch specialisten nog in de problemen komen met iets anders dan Windows en inzichten van ná 1998, hoef ik mij helemaal niet druk te maken. CSI bestaat namelijk alleen op TV, niet in onze wondere wereld van ICT beveiliging.

Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Vorige columns van Peter

Reacties (20)
27-03-2008, 12:16 door sjonniev
Na hibernation is, net als na een reguliere shutdown, na een
paar minuten het RAM leeg. Of de hard drive encryptie de
sleutels nu wist of niet.
Aangezien de hibernation file ook het liefst versleuteld
wordt weggeschreven, moet er met het verwijderen hiervan
zowiezo tot het laatste moment gewacht worden.
27-03-2008, 13:30 door Anoniem
het liefst versleuteld weggeschreven? Mmm, en waar staan die sleutels dan?
Zou je die dan ook niet kunnen vinden?

Overigens - wat betekend 'het liefst', gebeurd het of gebeurd het niet?
27-03-2008, 15:14 door Anoniem
als je het encrypty programma al start voor je os dan kan het gehele os met
alle temp bestanden gewoon gencrypt worden.

Alleen moet je encrypty tool wel slim genoeg zijn om een hibernatie te
herkennen en dan te zeggen ik maak het geheugen leeg en bij het
opstarten moet je weer je key invoeren.

Truecrypt 5 komt al een heel eind daarmee en dan zou je ook dit koud
onderzoek gedeeltelijk kunnen voorkomen.

Of zoals de schrijver aangeeft fysiek toegang tot het geheugen vertragen of
saboteren.
28-03-2008, 15:12 door SirDice
Er zit alleen wel een PC-card slot in en daar kun je wel een firewire in prikken.
Het is zijdelings genoemd in de Ruxcon presentatie van Adam Boileau maar met een custom FPGA kun je direct op Cardbus hetzelfde doen.. Misschien niet haalbaar voor de "gewone man" maar zeker mogelijk..

Ik kan er jammer genoeg online niet meer over vinden dan dit:
H1kari and “cardbus bus-mastering: owning the laptop”:

This was interesting and informational, though unfortunately the demo part was eighty-six’d at the last minute. Instead David [someone?] spoke about weaknesses in USB, and the bottom line was that you could write directly into memory and own a system simply by plugging in a USB device. I’m still interested in H1kari’s company’s FPGA “on a stick” though, hopefully they’re not too expensive when they come out.
30-03-2008, 20:55 door Anoniem
Ik vraag me al een tijdje de volgende situatie af: dus ik
heb een truecrypt container met hidden volume waar alle
bestanden in staan waar de politie niet aan mag.Als de
politie komt en mij dwingt de outer container key te geven
moet ik dat doen maar dan zien ze de hidden files
niet.Kunnen ze dan via cold boot aantonen dat er
een hidden volume is?
Alvast bedankt
31-03-2008, 10:21 door SirDice
.Als de politie komt en mij dwingt de outer container key te geven moet ik dat doen
Nee, je hoeft niet mee te werken aan je eigen veroordeling. Geef geen valse informatie (belemmering van de rechtsgang) en hou gewoon je lippen op elkaar.
31-03-2008, 12:09 door Anoniem
Door SirDice
.Als de politie komt en mij dwingt de outer container
key te geven moet ik dat doen
Nee, je hoeft niet mee te werken aan je eigen veroordeling.
Geef geen valse informatie (belemmering van de rechtsgang)
en hou gewoon je lippen op elkaar.
ok bedankt
31-03-2008, 14:03 door Anoniem
Dus als ik het goed begrijpt komt de politie toch aan je truecrypt sleutels ook al
geef je ze niet :(
02-04-2008, 11:54 door Anoniem
Door Anoniem
Ik vraag me al een tijdje de volgende situatie af: dus ik
heb een truecrypt container met hidden volume waar alle
bestanden in staan waar de politie niet aan mag. Als de
politie komt en mij dwingt de outer container key te geven
moet ik dat doen maar dan zien ze de hidden files
niet.Kunnen ze dan via cold boot aantonen dat er
een hidden volume is?
Alvast bedankt
Als je willens en wetens bestanden
voor politie probeert af te schermen, rekening houdend met
een eventueel onderzoek, dan zou je je beter eens na moeten
laten kijken en te stoppen met de activiteiten die je vrees
oproepen.
Door SirDice
Nee, je hoeft niet mee te werken aan je eigen veroordeling.
Geef geen valse informatie (belemmering van de rechtsgang)
en hou gewoon je lippen op elkaar.
Ik had je hoger
ingeschat, maar blijk je helaas vrij kwetsbaar voor
criminelen en dito denkwijzen.
02-04-2008, 12:02 door Anoniem
Door Anoniem
Dus als ik het goed begrijpt komt de politie toch aan je
truecrypt sleutels ook al geef je ze niet :(
Inderdaad, dat heb je heel goed. Dus kun je beter
andere activiteiten ontplooien, die niet strafbaar zijn. Zo
simpel is de oplossing voor je probleem.
06-04-2008, 20:51 door generaldeejee
Door Anoniem
Door Anoniem
Dus als ik het goed begrijpt komt de politie toch aan je
truecrypt sleutels ook al geef je ze niet :(
Inderdaad, dat heb je heel goed. Dus kun je beter
andere activiteiten ontplooien, die niet strafbaar zijn. Zo
simpel is de oplossing voor je probleem.
wel je kan je bios natuurlijk ook beveiligen met een w8woord
en je pc verbieden via firewire te booten ( http://www.redhat.com/docs/manuals/linux/RHL-9-Manual/security-guide/s1-wstation-boot-sec.html ) maar het simpelste
is zorgen dat je pc al 5 minuten uitstaat als de politie er is
06-04-2008, 23:06 door Anoniem
Door generaldeejee
maar het simpelste is zorgen dat je pc al 5 minuten uitstaat
als de politie er is
Kwartjes vallen in dit forum
niet zo lekker, is het niet?
Het simpelste is geen strafbare dingen te doen.
07-04-2008, 17:46 door Anoniem
Paging en/of swap geheugen ...!
07-04-2008, 20:07 door generaldeejee
Door Anoniem
Door generaldeejee
maar het simpelste is zorgen dat je pc al 5 minuten uitstaat
als de politie er is
Kwartjes vallen in dit forum
niet zo lekker, is het niet?
Het simpelste is geen strafbare dingen te doen.

Tjah geen strafbare dingen doen...in China is er een
internetcensuur en is het strafbaar die te omzeilen...
07-04-2008, 20:30 door Anoniem
Door generaldeejee
Door Anoniem
Door generaldeejee
maar het simpelste is zorgen dat je pc al 5 minuten uitstaat
als de politie er is
Kwartjes vallen in dit forum
niet zo lekker, is het niet?
Het simpelste is geen strafbare dingen te doen.

Tjah geen strafbare dingen doen...in China is er een
internetcensuur en is het strafbaar die te omzeilen...
Ja, en wat wil je daarmee zeggen?
08-04-2008, 08:47 door SirDice
Door generaldeejee
Door Anoniem
Door Anoniem
Dus als ik het goed begrijpt komt de politie toch aan je
truecrypt sleutels ook al geef je ze niet :(
Inderdaad, dat heb je heel goed. Dus kun je beter
andere activiteiten ontplooien, die niet strafbaar zijn. Zo
simpel is de oplossing voor je probleem.
wel je kan je bios natuurlijk ook beveiligen met een w8woord
en je pc verbieden via firewire te booten
Het gaat er, bij het firewire truukje, niet om het kunnen
booten via firewire. Je kan via firewire het geheugen
uitlezen van een werkende, draaiende machine.
maar het simpelste is zorgen dat je pc al 5 minuten
uitstaat als de politie er is
Dat helpt maar dan moet je dat wel van te voren weten
natuurlijk ;)
08-04-2008, 20:27 door generaldeejee
Door Anoniem
Door generaldeejee
Door Anoniem
Door generaldeejee
maar het simpelste is zorgen dat je pc al 5 minuten uitstaat
als de politie er is
Kwartjes vallen in dit forum
niet zo lekker, is het niet?
Het simpelste is geen strafbare dingen te doen.

Tjah geen strafbare dingen doen...in China is er een
internetcensuur en is het strafbaar die te omzeilen...
Ja, en wat wil je daarmee zeggen?
Wel ik bedoel dat als je regering corrupt is en bijv vrije
meningsuiting strafbaar is, zullen er ook wel enkele mensen
zijn die hun mening willen verkondigen. is dat dan strafbaar
te noemen?Zijn zij criminelen?
08-04-2008, 21:31 door Anoniem
Door generaldeejee
Wel ik bedoel dat als je regering corrupt is en bijv vrije
meningsuiting strafbaar is, zullen er ook wel enkele mensen
zijn die hun mening willen verkondigen. is dat dan strafbaar
te noemen?Zijn zij criminelen?
Die vraag is in dit
deel van de wereld niet aan de orde.
09-04-2008, 10:06 door SirDice
Door Anoniem
Door generaldeejee
Wel ik bedoel dat als je regering corrupt is en bijv vrije meningsuiting strafbaar is, zullen er ook wel enkele mensen zijn die hun mening willen verkondigen. is dat dan strafbaar te noemen?Zijn zij criminelen?
Die vraag is in dit deel van de wereld niet aan de orde.
Nog niet..
10-04-2008, 14:24 door Anoniem
Geen strafbare dingen doen? Hebben we geen MP3's, illegale software en
films meer op onze PC's? Is dat nieuw of zo? De laatste keren dat ik keek
waren we vrijwel allemaal criminelen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.