image

FireWire poort lekt wachtwoorden, advies is uitschakelen

vrijdag 10 november 2006, 11:50 door Redactie, 11 reacties

Het Nederlandse beveiligingsbedrijf Fox-IT waarschuwt dat het via een reeds lang bekende exploit in FireWire mogelijk is om wachtwoorden te achterhalen die in het RAM-geheugen van een PC opgeslagen staan. Tijdens de RuxCon 2006 conferentie werden een aantal nieuwe methodes gedemonstreerd om toegang te krijgen tot het geheugen van een PC.

Voorwaarde is dat er fysiek toegang is tot het systeem, en dat het systeem opgestart is. Uit dit onderzoek is tevens gebleken dat opstartwachtwoorden te achterhalen zijn van systemen die voorzien zijn van harddisk-encryptie producten. Onbevoegden kunnen met het achterhaalde wachtwoord toegang krijgen tot de PC en alle gegevens daarop.

Voorlopig is de enige oplossing het uitschakelen van de FireWire interface in het BIOS of in het besturingssysteem, waardoor het geheugen van een eenmaal opgestart systeem niet meer via de FireWire poort te benaderen is. Alhoewel tenminste één leverancier inmiddels bezig is met het ontwikkelen van een patch om het probleem op te lossen, wordt toch geadviseerd om de FireWire interface permanent uitgeschakeld te houden.

Reacties (11)
10-11-2006, 11:57 door Preddie
zeer netjes van het nederlandse bedrijf, nu maar hopen dat
er zo snel mogelijke een oplossing verschijnt voor het lek ...
10-11-2006, 13:12 door SirDice
Door Predjuh
zeer netjes van het nederlandse bedrijf, nu maar hopen dat er zo snel mogelijke een oplossing verschijnt voor het lek ...
Probleem is dat er niet zo snel een oplossing komt.. Het is een beetje inherent aan hoe firewire aan je systeem is gekoppeld. De oplossingen zullen vooral van de diverse softwaremakers moeten komen wiens programma's de wachtwoorden in het geheugen opslaan.
10-11-2006, 14:27 door Ed Dekker
Duh! Je hebt al toegang tot de PC, lekker makkelijk.
Je kunt hem ook stelen of openschroeven of keyloggen of ...
Weer typisch Fox-IT. Beetje overdrijven, goed voor de
(media) aandacht.
Bah! Als beveiliger zou je daar boven moeten staan.
10-11-2006, 14:31 door Anoniem
Door Ed Dekker
Duh! Je hebt al toegang tot de PC, lekker makkelijk.
Je kunt hem ook stelen of openschroeven of keyloggen of ...
Weer typisch Fox-IT. Beetje overdrijven, goed voor de
(media) aandacht.
Bah! Als beveiliger zou je daar boven moeten staan.

Zo simpel is het helaas niet. Stelen valt nogal op he, met
een pc voorbij de bewaker. En een keylogger moet je toch
installeren, en daarna weer uitlezen. Nee, dit is wel
degelijk een groot risico, met name op het vlak van
bedrijfsspionage, en de moeite van het overdenken waard.
Gelukkig is firewire onder MS via loginscripts te disablen.

Het is inderdaad wel makkelijke aandacht voor Fox. Maar dan
had iemand anders er maar mee moeten komen, op de wijze
zoals zij doen.
10-11-2006, 14:31 door Anoniem
Passwords zo kort mogelijk in het geheugen houden, zo laat
als mogelijk decrypten en zo snel mogelijk het gebruikte
geheugen secure wipen.
10-11-2006, 14:48 door Anoniem
Door Predjuh
zeer netjes van het nederlandse bedrijf, nu maar hopen dat
er zo snel mogelijke een oplossing verschijnt voor het lek
...


Nogal makkelijk aangezien zij leverancier zijn van Safeboot
in Nederland wat nou één van die harddisk-encryptie software
is waarvan de wachtwoorden via firewire te achterhalen zijn.
10-11-2006, 14:53 door Anoniem
Door Ed Dekker
Duh! Je hebt al toegang tot de PC, lekker makkelijk.
Je kunt hem ook stelen of openschroeven of keyloggen of ...
Weer typisch Fox-IT. Beetje overdrijven, goed voor de
(media) aandacht.
Bah! Als beveiliger zou je daar boven moeten staan.


Is niet helemaal waar. Wat als je een laptop hebt die aan
staat gelocked met full disk encryption. Dan moet je een
wachtwoord hebben wil je bij de data komen. Als je die via
firewire kan krijgen heb je dus toegang tot alle data op de
laptop. Weg is je full disk versleuteling.
10-11-2006, 15:29 door koekblik
Door Ed Dekker
Duh! Je hebt al toegang tot de PC, lekker makkelijk.
Je kunt hem ook stelen of openschroeven of keyloggen of ...
Weer typisch Fox-IT. Beetje overdrijven, goed voor de
(media) aandacht.
Bah! Als beveiliger zou je daar boven moeten staan.

Als je het artikel hebt gelezen, snap je het punt. Het gaat
er om dat deze manier heel onopvallend kan gebeuren. Het
aansluiten van een iPod in een internet-cafe is even wat
anders dan het openschroeven van een computer aldaar.

Als beveiliger zou je beter moeten lezen.
12-11-2006, 00:02 door sjonniev
Voor SafeGuard Easy is in ieder geval geen patch nodig...
12-11-2006, 15:01 door SirDice
Door sjonniev
Voor SafeGuard Easy is in ieder geval geen patch
nodig...
Want?
14-11-2006, 15:03 door sjonniev
want die laat het PBA wachtwoord niet plain ergens in het
werkgeheugen of in een buffer achter.

Wat niet wil zeggen dat je dan je fire-wire poort niet hoeft
af te sluiten, dat blijft nog steeds nodig om te voorkomen
dat je (windows)wachtwoorden en/of sleutels uit je geheugen
gekopiëerd worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.