Nieuws
image

Hackers kraken ingebouwde Windows-encryptie

dinsdag 9 augustus 2011, 10:39 door Redactie, 4 reacties

De in Windows XP ingebouwde encryptie om opgeslagen Google, Facebook en andere wachtwoorden te beschermen, is eenvoudig te kraken, zo hebben onderzoekers aangetoond. "Het gaat niet alleen om de data op de computer, maar alles wat je in de cloud hebt staan, waaronder je Facebook-account, Gmail-account, etc.", aldus onderzoeker Elie Bursztein, die hulp van verschillende andere onderzoekers kreeg.

Het onderzoeksteam heeft een open source programma OWADE (Offline Windows Analyzer and Data Extractor) uitgebracht, dat op Ubuntu draait. Het is ontworpen om door Internet Explorer, Firefox, Google Chrome en Safari opgeslagen informatie op Windows XP te ontsleutelen. Ook instant messaging software zoals Skype, MSN live en Gtalk zijn niet veilig.

Het probleem bevindt zich in de ingebouwde encryptie-feature genaamd DPAPI, dat onderdeel van de Crypto API is. Daarmee kunnen applicatieontwikkelaars gevoelige gegevens versleutelen. Er zitten echter verschillende beveiligingsproblemen in de manier waarop DPAPI is ontwikkeld. Zo is de lijst van mogelijk wachtwoorden op veel Windows-versies beperkt tot maximaal 7 triljoen mogelijkheden, die allemaal zijn te berekenen.

Encryptie
OWADE kan historische WiFi-gegevens die Windows opslaat, door een lijst van benaderde access points te bieden, ontsleutelen en aantonen wanneer elk access point benaderd is. Ook kan het alle inloggegevens van verschillende applicaties achterhalen en aan de hand van de browser, Windows register en Windows certificaat store het surfgedrag reconstrueren. In sommige gevallen is OWADE zelfs in staat om gegevens terug te halen die de gebruiker in de browser's private mode gebruikte.

Met name Firefox-gebruikers moeten oppassen. "Het spijt me om te zeggen, maar Firefox is de slechtst voor offline security", aldus Bursztein. Internet Explorer biedt de meeste bescherming. Voor Instant Messaging clients zijn gebruikers het beste af bij Skype en Google Talk. Microsoft Messenger krijgt een "medium" beoordeling, terwijl Trillian en Pidgin slecht scoren.

"Het mechanisme in Windows dat je gegevens moet beschermen is eenvoudig te omzeilen. Het enige alternatief is dat je je schijf versleutelt als je niet wilt dat je account wordt gehackt", aldus de onderzoeker. Ook Microsoft adviseert in een reactie dat gebruikers als oplossing encryptie kunnen gebruiken.

Reacties (4)
09-08-2011, 11:15 door wizzkizz
Blijkbaar voldeed de encryptie voor Windows XP prima: het is nu pas (publiekelijk) gekraakt. Qua Windows versies zijn we er inmiddels al twee verder, Windows XP is inmiddels al 10 jaar oud! Dus ik vind het niet eens zo slecht, tenzij de nieuwste versies natuurlijk op dezelfde manier werken. Maar dat lijkt me stug.
09-08-2011, 11:18 door Marius
Wat een beetje vreemd in bovenstaand artikel is de paragraaf mbt de browsers waarin Mozilla dit keer er als de slechts uitkomt. Ik kan beide browsers niet goed plaatsten in het encryptie verhaal. Als de browsers de ingeboude beveiliging van Windows gebruiken kun je dat de browsers in feite toch niet aanrekenen (of bedoeld Bursztein nu iets anders?)
09-08-2011, 11:59 door Didier Stevens
Door wizzkizz: Blijkbaar voldeed de encryptie voor Windows XP prima: het is nu pas (publiekelijk) gekraakt.

Ter info: DPAPI werd geïntroduceerd met Windows 2000.
09-08-2011, 12:48 door RichieB
Over Firefox wordt er gezegd:
As recommended by the FIPS 140-2 specification, the key3.db file includes a test vector that consists of a known password (check-password) stored in clear and in encrypted form, making it easy to test if the derived key is correct. This test vector is used by OWADE to brute-force the user’s master password if needed.
Oh oh, wat onveilig, want het kan gebruteforced worden. Veel succes met het vinden van mijn 20+ character passphrase.

Over Internet Explorer staat er:
What makes the recovery difficult is that each of these registry keys is encrypted with DPAPI, and the website URL is used as the DPAPI entropy. As a result, we can only recover user credentials for URLs that we know/guess the user has visited.
Juist, en de login URLs voor populaire sites zijn geheim ofzo? Kijk even op nirsoft.net hoe makkelijk het is om die wachtwoorden te stelen.

Het lijkt erop dat het paper uitgaat van een offline aanval: dus de versleutelde bestanden zijn gejat, hoe kom je nu aan de wachtwoorden? Terwijl een beetje malware die wachtwoorden zal proberen te stelen terwijl je bent ingelogd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure