image

Tool 'kraakt' PGP- en Office 2010-versleuteling

dinsdag 22 mei 2012, 11:24 door Redactie, 9 reacties

Een nieuwe tool voor forensisch onderzoekers maakt het mogelijk om met PGP versleutelde harde schijven en versleutelde Office 2010-documenten te 'kraken'. Passware Kit 11.7 gebruikt geen brute force-aanval, maar weet de encryptiesleutels te achterhalen door het geheugen van de computer te analyseren. Het proces zou zo snel verlopen, dat de versleuteling meteen ontsleuteld is.

Tevens kan de nieuwste versie wachtwoorden van Apple Disk Images (DMG) achterhalen en is de integratie met Guidance EnCase verbeterd.

Office
Om versleutelde Office-documenten, zowel van Office 2007 als 2010, te kunnen ontsleutelen, zijn er verschillende vereisten. Zo moet het document op het moment dat er een geheugen image wordt gemaakt zijn geopend, of moet de computer zich in slaapstand bevinden. De encryptiesleutels worden dan in het geheugen of slaapbestand opgeslagen, waardoor Passware Kit die kan uitlezen.

Reacties (9)
22-05-2012, 12:15 door Fwiffo
Is niet te vermijden met PGPDisk. Als je de sleutel uit het geheugen wist, is het net of je de hele schijf eruit trekt en loopt alles vast. De enige veilige manier om te 'unmounten' bij fulldisk encryptie is om de computer uit te schakelen. En dan werkt deze forensische software weer niet.

Je mag hopen dat dit geheugen niet te lezen is door een user process. Ook de swapfile of slaapstand kan een probleem zijn. Ik geloof dat PGP vroeger veel zijn wachtwoord verplaatste in het geheugen zodat die niet geswapt zou worden. Bij fulldisk encryptie onder Windows is de swapfile mee encrypted.

Als de betreffende computer op het internet zit, is dat nog een interessante aanvalsvector. Met alle lekken die wekelijks gepatcht worden op haast elke computer. Wetend dat veel mensen (en bedrijven) het nut van patchen niet in zien...

Dit geld trouwens ook allemaal voor Truecrypt...
22-05-2012, 12:39 door spatieman
US regering: Stoute cracker, foei !! snel uitleveren aan ons..
22-05-2012, 12:59 door Anoniem
@Fwiffo
Voor zover mij bekend geldt dit niet voor Truecrypt. Kun je mij wijzen waar beschreven staat dat een Truecrypt-wachtwoord uit het geheugen van een computer gehaald kan worden terwijl een Truecrypt drive of file actief is op die computer?
22-05-2012, 13:16 door Anoniem
Wat is daar nu weer kraken aan ?
22-05-2012, 13:35 door RichieB
Door Anoniem: @Fwiffo
Voor zover mij bekend geldt dit niet voor Truecrypt. Kun je mij wijzen waar beschreven staat dat een Truecrypt-wachtwoord uit het geheugen van een computer gehaald kan worden terwijl een Truecrypt drive of file actief is op die computer?
Van http://www.truecrypt.org/docs/?s=memory-dump-files:
TrueCrypt cannot prevent cached passwords, encryption keys, and the contents of sensitive files opened in RAM from being saved unencrypted to memory dump files. Note that when you open a file stored on a TrueCrypt volume, for example, in a text editor, then the content of the file is stored unencrypted in RAM (and it may remain unencrypted in RAM until the computer is turned off). Also note that when a TrueCrypt volume is mounted, its master key is stored unencrypted in RAM.

Zie ook http://www.truecrypt.org/docs/?s=unencrypted-data-in-ram
22-05-2012, 14:37 door Anoniem
Door RichieB:
Door Anoniem: @Fwiffo
Voor zover mij bekend geldt dit niet voor Truecrypt. Kun je mij wijzen waar beschreven staat dat een Truecrypt-wachtwoord uit het geheugen van een computer gehaald kan worden terwijl een Truecrypt drive of file actief is op die computer?
Van http://www.truecrypt.org/docs/?s=memory-dump-files:
TrueCrypt cannot prevent cached passwords, encryption keys, and the contents of sensitive files opened in RAM from being saved unencrypted to memory dump files. Note that when you open a file stored on a TrueCrypt volume, for example, in a text editor, then the content of the file is stored unencrypted in RAM (and it may remain unencrypted in RAM until the computer is turned off). Also note that when a TrueCrypt volume is mounted, its master key is stored unencrypted in RAM.

Zie ook http://www.truecrypt.org/docs/?s=unencrypted-data-in-ram
Bij de uitleg van de tool staat:

- Acquire a memory image of or take the hiberfil.sys file from the target computer.
- Create an encrypted disk image (not required for TrueCrypt).
- Run Passware Kit to recover the encryption keys and decrypt the hard disk.
If the target computer is turned off, but the encrypted volume was mounted during the last hibernation, skip this step. Take the hibefil.sys file from the target computer or its hard drive image and use this file as a memory image for decryption.
Belangrijk is dus om geen Hibernation te gebruiken als je Truecrypt of andere disk encrypters gebruikt.
Een 'dode mans knop' op je computer is dan ook wel handig. Op het moment van inval gaat de stroom er subiet af.
22-05-2012, 18:06 door Fwiffo
Door Anoniem: @Fwiffo
Voor zover mij bekend geldt dit niet voor Truecrypt. Kun je mij wijzen waar beschreven staat dat een Truecrypt-wachtwoord uit het geheugen van een computer gehaald kan worden terwijl een Truecrypt drive of file actief is op die computer?
Op hun site staat dit: "Passware Kit Enterprise and Passware Kit Forensic decrypt hard disks encrypted with BitLocker, TrueCrypt, FileVault2, or PGP.". Ik las wel dat de te 'kraken' computer Firewire moet hebben, wat op Apple computers altijd standaard is zover ik weet. Bij PCs zie je dit volgens mij veel minder.
22-05-2012, 18:12 door Anoniem
Als je met cryptografie speelt moet je daar ook goed mee spelen.

Dus auto-dismount bij geen activiteit.
En password wipe uit cache bij auto dismount

Dismount staat hier @1minuut.

En als dat niet volstaat is Tails OS your best friend.

Artikel is een beetje FUD, cryptografie beschermt helaas niet tegen laksheid, luiheid of human error in general.
22-05-2012, 18:50 door Anoniem
Firewire? gaat dan om dma.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.