image

"Criminelen te lui voor encryptie"

vrijdag 4 december 2009, 15:12 door Redactie, 14 reacties

De angst van inlichtingen- en opsporingsdiensten dat criminelen massaal op encryptie zullen overstappen om hun sporen te verbergen, is vooralsnog ongegrond, aldus Mark Stokes, hoofd van de grootste forensische onderzoekseenheid in Groot-Brittannië. Letterlijk een "handvol" van de tienduizenden apparaten die de forensische afdeling van de Metropolitan Police te verwerken krijgt, is versleuteld. "We zien nog steeds geen wijdverbreid gebruik van encryptie", zo laat Stokes weten. Ondanks de beschikbaarheid van producten als TrueCrypt, PGP en Microsoft's BitLocker, maken criminelen het leven voor forensische onderzoekers niet echt lastig. "Je zou denken dat pedofielen het gebruiken, maar dat doen ze niet. Het is de menselijke aard om te denken dat je nooit gepakt wordt." Zelf gebruikt Stokes TrueCrypt om zijn informatie te beschermen.

Supercomputer
"Ik denk dat het gewoon niet eenvoudig te gebruiken is. Je moet het wachtwoord onthouden, mensen vergeten hun wachtwoorden, en over het algemeen zijn mensen lui en kan het ze niet zoveel schelen." Toch kan het een probleem worden als computers in de toekomst sneller en eenvoudiger te gebruiken worden. "Dat is iets wat we in de gaten moeten blijven houden." Tijdens onderzoeken zien de onderzoekers vaak sporen van encryptie, maar blijken de criminelen het niet op hun systeem te hebben toegepast.

Loopt men toch tegen een versleutelde partitie of schijf aan, dan gebruikt men eenvoudige woordenboekaanvallen om de wachtwoorden en passphrases te raden. Is er meer rekenkracht vereist, dan kan men de hulp van een supercomputer inschakelen. De angst dat terroristen encryptie zouden gebruiken, zorgde ervoor dat de Britse overheid in 2007 een wet instelde die verdachten verplicht om hun passphrase af te staan, of anders kunnen ze een maximale gevangenisstraf van vijf jaar krijgen.

Reacties (14)
04-12-2009, 15:18 door Preddie
De angst dat terroristen encryptie zouden gebruiken, zorgde ervoor dat de Britse overheid in 2007 een wet instelde die verdachten verplicht om hun passphrase af te staan, of anders kunnen ze een maximale gevangenisstraf van vijf jaar krijgen.

En als het menselijk brein nu een keer faalt en je het wachtwoord dus vergeet? Wat dagelijks bij een boel mensen gebeurt. Krijg je dan automatisch de maximale gevangenisstraf van 5 jaar?

Voor de autoriteiten valt niet te controlleren of jij de passphrase niet wil geven of gewoon kort weg vergeten bent. Teminste ik ga er vanuit dat ze dat niet kunnen, als iemand mij kan verbeteren hoor ik dat graag
04-12-2009, 15:40 door SirDice
"Criminelen te lui voor encryptie"
Goh, het zijn net echte mensen....
04-12-2009, 16:14 door Necrowizard
"Is er meer rekenkracht vereist, dan kan men de hulp van een supercomputer inschakelen"

Tja, tenzij de gewoon een willekeurig bestandje (mede) als wachtwoord gebruikt. Dan pakt 512 bits van, en gebruikt dat als wachtwoord... veel plezier met je super computer (2^512=) 1.34078079 × 10^154 combinaties te proberen

En, als een goede cybercrimineel gevoelige informatie heeft, of een pedofiel 10000en plaatjes/filmpies, krijgt hij waarschijnlijk veel meer dan 5 jaar als hij zijn wachtwoord wel geeft. Dus opzich is het een vrij lage straf...
04-12-2009, 19:49 door spatieman
die britten zijn kompleet gestoort met hun zinloze wetten.
de enige die ze pakken zijn de burgers.

en dat kriminelen lui zijn voor encryptie.
denk ik niet.....
04-12-2009, 21:26 door Anoniem
"De angst dat terroristen encryptie zouden gebruiken, zorgde ervoor dat de Britse overheid in 2007 een wet instelde die verdachten verplicht om hun passphrase af te staan, of anders kunnen ze een maximale gevangenisstraf van vijf jaar krijgen."

Was het daadwerkelijk de angst voor terroristen waardoor de regering dit deed ? Of was het meer het gemakkelijkste excuus ? Tot nog toe wordt deze wet immers vooral gebruikt in zaken die niets van doen hebben met terrorisme ?
04-12-2009, 21:42 door martijno
"We zien nog steeds geen wijdverbreid gebruik van encryptie",
TrueCrypt heeft toch een plausible deniability modus?
05-12-2009, 00:28 door Omanyte
Door martijno:
"We zien nog steeds geen wijdverbreid gebruik van encryptie",
TrueCrypt heeft toch een plausible deniability modus?
Nou en of. Check out http://www.truecrypt.org/docs/?s=plausible-deniability: afwachten wat voor wet de Engelsen hiervoor gaan verzinnen.
05-12-2009, 10:18 door Syzygy
Stop alles in een RAR
Password van pak weg 8 + karakters, vooral ook de leestekens en zo en is het "Prettige Wedstrijd" Politie
05-12-2009, 15:11 door Anoniem
Door Syzygy: Stop alles in een RAR
Password van pak weg 8 + karakters, vooral ook de leestekens en zo en is het "Prettige Wedstrijd" Politie


Eeh volgens mij snap jij het niet helemaal. Als je denkt dat je dan veilig bent, dan zul je bedrogen uit komen.
06-12-2009, 19:48 door Syzygy
Door Anoniem:
Door Syzygy: Stop alles in een RAR
Password van pak weg 8 + karakters, vooral ook de leestekens en zo en is het "Prettige Wedstrijd" Politie


Eeh volgens mij snap jij het niet helemaal. Als je denkt dat je dan veilig bent, dan zul je bedrogen uit komen.

Want ???

Als ik alles in een RAR stop met Encryptie en Password dan kun alleen nog Brute Force Cracken om inzicht in de RAR te krijgen en met een PW van 8 + karakters ben je gemiddeld 400 jaar bezig (mits dan nog over redelijk snelle apparatuur kunt beschikken)

WinRAR gebruikt AES 128 bit Encryptie onder de huidige omstandigheden (processor kracht voor BF Cracking) ruim voldoende.
07-12-2009, 08:26 door idennek
Door Syzygy:

Want ???

Als ik alles in een RAR stop met Encryptie en Password dan kun alleen nog Brute Force Cracken om inzicht in de RAR te krijgen en met een PW van 8 + karakters ben je gemiddeld 400 jaar bezig (mits dan nog over redelijk snelle apparatuur kunt beschikken)

WinRAR gebruikt AES 128 bit Encryptie onder de huidige omstandigheden (processor kracht voor BF Cracking) ruim voldoende.
Niet vergeten dat de overheid altijd betere aparatuur zal hebben..

Voor schijfencryptie gebruik ik altijd 31 karakters met verschillende cijfer/letter/hoofdletter/leesteken combinaties :-)
Dit overigens in een AES-256 versleuteling.
Kan ze veel succes wensen om dit te kraken :)
07-12-2009, 08:41 door Syzygy
Door idennek:
Door Syzygy:

Want ???

Als ik alles in een RAR stop met Encryptie en Password dan kun alleen nog Brute Force Cracken om inzicht in de RAR te krijgen en met een PW van 8 + karakters ben je gemiddeld 400 jaar bezig (mits dan nog over redelijk snelle apparatuur kunt beschikken)

WinRAR gebruikt AES 128 bit Encryptie onder de huidige omstandigheden (processor kracht voor BF Cracking) ruim voldoende.
Niet vergeten dat de overheid altijd betere aparatuur zal hebben..

Voor schijfencryptie gebruik ik altijd 31 karakters met verschillende cijfer/letter/hoofdletter/leesteken combinaties :-)
Dit overigens in een AES-256 versleuteling.
Kan ze veel succes wensen om dit te kraken :)


Er bestaat geen RAR crack .
Alle applicaties die op het net als zodanig worden aangeboden zijn scripts die een BF crack uitvoeren.

Tevens dicht je de overheid teveel kennis en macht toe.
Die overheid waar jij op doelt daar heb ik als Consultant mee te maken gehad en geloof me DAAR ZIT HET INTELLECT NIET !!
Deze mensen doen natuurlijk wat ze kunnen maar zowel werkdruk als kennis zijn daar de beperkende factor.

Het volgende: Als ik framework maak voor het Ethical Hacken van een netwerk of site dan kan iedereen dat toepassen en zal de uitkomst voor een iedereen hetzelfde zijn. Het gaat er echter om dat iemand tijdens het toepassen van dat framework getriggerd door de uitkomst verder gaat denken en mogelijkheden gaat zien. Daar is echter geen tijd, geen geld, en zijn er geen resources voor bij deze instanties.
07-12-2009, 21:23 door Anoniem
Om dictionary attacks te voorkomen gebruik je toch simpel salted passwords. Met een lang password en AES of SHA2 encryptie is het vrijwel onmogelijk om BF te gebruiken.
08-12-2009, 13:03 door Anoniem
Niet alleen criminelen gebruiken geen encryptie, (straf)-advocaten gebruiken het ook niet. Die laten zich rustig tappen door het OM.
Terwijl een VoiP gesprek over een VPN met AES-128/DH-2/SHA-1/RSA-sig isakmp tunneltje gewoon het gehele OM buitenspel zet.
Om nog maar te zwijgen over de mogelijkheden binnen de IPSec tunnel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.