Nieuws

Encryptie BitLocker, TrueCrypt en FileVault "gekraakt"

vrijdag 22 februari 2008, 10:25 door Redactie, 29 reacties

Onderzoekers van de universiteit van Princeton zijn erin geslaagd om de schijfversleuteling van populaire programma's zoals Microsoft's BitLocker, Apple's FileVault, TrueCrypt en dm-crypt te kraken. Een ernstig beveiligingslek in de programma's zorgt ervoor dat versleutelde informatie toch te achterhalen is. De encryptie sleutels en wachtwoorden die in het RAM geheugen zijn opgeslagen, verdwijnen niet meteen als de computer wordt uitgeschakeld. Via een busje perslucht kan deze "bevroren" status van het geheugen zelfs tot uren worden verlengd.

Het geheugen kan daarna uit de laptop worden gehaald en in een andere computer worden geplaatst met een besturingssysteem dat speciaal voor RAM onderzoek is ontwikkeld. De software dumpt de inhoud van het geheugen, waarna de sleutel in handen van de aanvaller is.

Met name laptops zijn volgens de onderzoekers kwetsbaar voor dit soort aanvallen, omdat die zich vaak in de sleep of hibernation stand bevinden. Ook al vereist de computer een wachtwoord om toegang te krijgen, de encryptie sleutels bevinden zich in het computergeheugen. Een aanvaller zou hier misbruik van kunnen maken. Niet alleen de eerder genoemde disk encryptie oplossingen zijn kwetsbaar, maar ook veel andere systemen.

"We hebben disk encryptie producten gekraakt op het moment dat ze heel belangrijk zijn. Laptops bevatten vertrouwelijke bedrijfsgegevens of persoonlijke informatie. In tegenstelling tot veel beveiligingsproblemen is dit geen klein probleem, het is een fundamentele beperking in de manier waarop deze systemen zijn ontworpen," zegt onderzoeker Alex Halderman. De onderzoekers maakten de onderstaande uitleg, meer informatie is op deze pagina te vinden. De betrokken ontwikkelaars zouden inmiddels zijn gewaarschuwd.

Nederlandse PayPal gebruikers doelwit van phishingaanval

Opera dicht trio beveiligingslekken in browser

Reacties (29)

22-02-2008, 10:30 door Anoniem

Flauw ... die titel.

Hoewel de methodiek interessant is en er oplossing voor
gezocht dient te worden, is dit niet een probleem dat door
genoemde produkten veroorzaakt wordt.

22-02-2008, 10:38 door Anoniem

Niet alleen deze programma's zijn via deze manier kwetsbaar.
Eigenlijk alle programma's waarbij RAM geheugen wordt gebruikt om
encryptie keys, wachtwoorden en zelfs normale data zijn op deze manier
kwetsbaar.

22-02-2008, 10:53 door sjonniev

In de Hibernation stand staat de laptop gewoon uit, en is
het RAM (ok, na enige tijd) leeg.

22-02-2008, 10:56 door DeFix

Door Anoniem
Flauw ... die titel.

Hoewel de methodiek interessant is en er oplossing voor
gezocht dient te worden, is dit niet een probleem dat door
genoemde produkten veroorzaakt wordt.

De titel is inderdaad erg misleidend, alsof de bovengenoemde
programma's helemaal niks meer waard zijn, zo klinkt het
althans.

22-02-2008, 11:01 door sjonniev

Een beetje als het DMA / FireWire gat. Maar dan nog leuker.
Ook fijn voor forensische organisaties.

Dus: na een inval bij een verzamelaar/verspreider van
kinderporno zsm zijn RAM bevriezen en de inhoud ervan
veiligstellen. Ervan uitgaand dat de PC waar die RAM inzit
aanstond op het moment van de inval, uiteraard.

22-02-2008, 11:19 door Anoniem

Truecrypt geeft in de manual zelf ook al aan dat er een kwetsbaarheid zit in
de sleutels en decrypted data die zijn opgeslagen in RAM of Swap
gebieden...

22-02-2008, 11:32 door Anoniem

Wie zouden dit in de praktijk gaan uitvoeren?
Het lijkt meer op een natuurkundig verschijnsel dan dat dit op grote schaal
in de toekomst zal worden toegepast. Hooguit bij forensisch onderzoek.

22-02-2008, 11:42 door Anoniem

Scary shit!

22-02-2008, 11:45 door Anoniem

Daarom zijn er ook assurance levels. Bij een te lage assurance blijft crypto
info in het geheugen achter. Bij hogere assurance levels wordt crypto info
overschreven. Dat heeft natuurlijk wel weer invloed op de performance.

Frans.

22-02-2008, 11:56 door Anoniem

1. Je kan geen hibernation gebruiken als je je
systeempartitie hebt ge-encrypt, met truecrypt in ieder
geval niet
2. Sowieso gaat je RAM leeg in hibernation stand, standby is
een ander verhaal.

En dan nog... je RAM bevroren in een andere PC gaan lopen
uitlezen...

22-02-2008, 12:22 door Anoniem

Door Anoniem
1. Je kan geen hibernation gebruiken als je je
systeempartitie hebt ge-encrypt, met truecrypt in ieder
geval niet

Met andere producten, zoals Pointsec, kan dit wel. In de
volgende versie van Truecrypt zal het ook kunnen.

22-02-2008, 12:59 door Anoniem

Toen ik laatst aangaf dat Encryptie te 'passeren' was, was
ik opeens gekke gerrit..... en nu ? ;)

22-02-2008, 13:04 door sjonniev

Door Anoniem
Je kan geen hibernation gebruiken als je je
systeempartitie hebt ge-encrypt, met truecrypt in ieder
geval niet

Met SafeGuard Easy kan dit al sinds jaar en dag, en SafeBoot
en Pointsec hebben (of tegenwoordig McAfee en CheckPoint)
hebben de truuk ondertussen ook onder de knie.

22-02-2008, 13:07 door Anoniem

Door Anoniem
2. Sowieso gaat je RAM leeg in hibernation stand, standby is
een ander verhaal.

Als je de notebook weer aanzet, wordt je RAM weer heel mooi
volgepompt hoor! ;-)

22-02-2008, 13:30 door Anoniem

Prachtig..je moet er maar opkomen ..lol

22-02-2008, 13:48 door Anoniem

Blijven de gevens in het RAM wanneer in de bios wordt
gekozen voor extended memory test tijdens boot?

22-02-2008, 13:51 door Anoniem

eigenlijk natuurlijk nix nieuws...
de boel zit nu eenmaal in ram.. en als je ram te lezen is op
wat voor manier dan ook..

echter wist ik niet dat ram geheugen zo lang er over doet om
'leeg te lopen'

hoe dan ook, weet iemand of dit probleem ook van toepassing
is op HSM's?

22-02-2008, 14:35 door Arno Nimus

Door Anoniem
Wie zouden dit in de praktijk gaan uitvoeren?
Het lijkt meer op een natuurkundig verschijnsel dan dat dit
op grote schaal
in de toekomst zal worden toegepast. Hooguit bij forensisch
onderzoek.

Je noemt zelf hét voorbeeld al. Vergeet ook
inlichtingendiensten niet, voor het geval je die niet onder
'forensisch onderzoek' mocht scharen.

Ik ben niet bang voor 'ongeautoriseerde' toegang door m'n
buurman. Maar wel voor 'ongeautoriseerde' toegang door
inlichtingendiensten, ook al heb ik "niks" te verbergen.

22-02-2008, 14:59 door Anoniem

Ik ga meteen patent vragen op het overschrijven van het stuk
geheugen met wachtwoorden vlak voor het uitschakelen van de
applicatie.

Dan ben je alleen nog het bolje als je computer hard uit
gezet wordt, dan wel aan het winterslapen is.

22-02-2008, 15:20 door Anoniem

Was allang bekend dat je met het koelen van electronica
invloed kunt uitoefenen op het functioneren. Is ook bij de
EOD een bekende methode.

Oud nieuws in een nieuw jasje :)

22-02-2008, 16:15 door Anoniem

Gebruik nooit hybernation stand voor menne laptop, is gewoon
veel beter.

22-02-2008, 18:40 door Anoniem

Dat wordt straks dus een tsunami aan bios updates (als de moederbord
makers daar zin in hebben)

22-02-2008, 20:04 door Anoniem

Ik gebruik een keyfile is die dan ook te kraken, zonder die
keyfile?

23-02-2008, 19:10 door K800i

Door Anoniem
Ik gebruik een keyfile is die dan ook te kraken, zonder die
keyfile?

waarschijnlijk wel dat word ook in het werkgeheugen geladen
lijkt mij.

03-03-2008, 10:03 door Anoniem

Door sjonniev
In de Hibernation stand staat de laptop gewoon uit, en is
het RAM (ok, na enige tijd) leeg.

Niet helemaal. In Vista (BitLocker) is er een hibryde 'Sleep' stand waarbij
het geheugen wel onder spanning blijft. De hibernate stand is default niet
meer beschikbaar (maar kan je nog wel aanzetten)

05-03-2008, 11:50 door Lobker

De harde schijf zet bij het uitzetten de kop altijd in slaapstand. Dit zelfs als je
plotseling de stekker eruit haalt. Zoiets kun je ook in RAM verwerken, dat bij
stroomuitval met een klein beetje restspanning het geheugen snel wordt
gewist.

Een druppel lijm doet trouwens ook wonderen ;)

20-07-2009, 13:24 door Anoniem

Zo'n hibernation file blijft toch ook na het uit de slaapstand komen op je HD ?
Dus kwaadwillenden kunnen als je PC ooit in slaap is gevallen wellicht allerlei informatie uit dat bestand halen.

02-04-2010, 22:15 door Anoniem

Ik zie regelmatig hacking technieken voorbij komen waarbij de computer moet herstarten vanaf bijvoorbeeld een externe HD. Ook in dit geval gebeurt dit. Echter wanneer de bios is ingesteld op booten van de eigen HD en de bios met een wachtwoord is voorzien zie ik niet veel risico. Booten van de externe HD met hackers software zal dan niet gaan.
Security incidenten zijn nooit op zichzelf staand, maar een keten van maatregelen.

16-07-2011, 16:17 door Anoniem

Door Anoniem: Wie zouden dit in de praktijk gaan uitvoeren?
Het lijkt meer op een natuurkundig verschijnsel dan dat dit op grote schaal
in de toekomst zal worden toegepast. Hooguit bij forensisch onderzoek.

Bijna alle hackers gebruiken Truecrypt.

Dus als er een hacker word opgepakt zouden ze dit kunnen toepassen.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer