image

Forensische scanner vindt TrueCrypt-containers

dinsdag 21 mei 2013, 14:29 door Redactie, 12 reacties

Een nieuw programma dat opsporingsdiensten en forensisch onderzoekers kunnen gebruiken bij het analyseren van harde schijven is nu ook in staat om versleutelde bestanden en harde schijf images weer te geven, waardoor geen enkel bewijs meer gemist wordt. Voorheen was er volgens ontwikkelaar Passware geen snelle manier om dit soort bestanden te detecteren.

De Passware Kit kan systemen binnen een uur scannen en containers van TrueCrypt, BitLocker, PGP en andere software herkennen. "Eén van de grootste obstakels bij elk digitaal onderzoek is de mogelijkheid om de inhoud van met wachtwoord beveiligde bestanden en harde schijven te onderzoeken", zegt Passware CEO Dmitry Sumin.

Slaapstand
Volgens het softwarebedrijf zou de nieuwste versie van Passmark garanderen dat geen enkel bewijs verborgen blijft. De software is nu ook in staat om op Windows 8 computers hibernation bestanden (hiberfil.sys) te analyseren en encryptiesleutels van BitLocker, TrueCrypt, PGP alsmede wachtwoorden van websites, Windows-gebruikers en MS Office-bestanden te achterhalen.

Daarnaast worden nu ook AMD ATI videokaarten ondersteund voor het achterhalen van MS Office 2013, Zip en Apple iTunes wachtwoorden.

Reacties (12)
21-05-2013, 14:46 door Studentje
Hoe kan dit programma een onderscheid maken tussen een bestand met random data of een TrueCrypt-container? Ik kan me voorstellen dat er een signaal afgaat met "dit bestand bevat mogelijk een encrypted volume" maar dat er van de data kan worden afgeleid wat voor soort container het is lijkt me niet mogelijk.
21-05-2013, 14:51 door Anoniem
Door Studentje: Ik kan me voorstellen dat er een signaal afgaat met "dit bestand bevat mogelijk een encrypted volume" maar dat er van de data kan worden afgeleid wat voor soort container het is lijkt me niet mogelijk.
Het onderzoeksprogramma achterhaalt met een slinkse truc het wachtwoord (of de sleutel) van de versleutelde volumes. Microsoft is zo vriendelijk om sleutels en wachtwoorden op schijf op te slaan.
21-05-2013, 14:57 door Anoniem
Weer een extra reden om met key-files en smartcards te werken ipv alleen maar username/password voor Truecrypt!
21-05-2013, 15:01 door DanielG
Door Studentje: Hoe kan dit programma een onderscheid maken tussen een bestand met random data of een TrueCrypt-container? Ik kan me voorstellen dat er een signaal afgaat met "dit bestand bevat mogelijk een encrypted volume" maar dat er van de data kan worden afgeleid wat voor soort container het is lijkt me niet mogelijk.
er staat 'en encryptiesleutels van BitLocker, TrueCrypt, PGP alsmede wachtwoorden van websites', dus dat haalt dat uit het geheugen. Geen analyse over de containers. Het klinkt bijna of jij alleen op de titel reageert en niet het stukje hebt gelezen.
Door Anoniem: Het onderzoeksprogramma achterhaalt met een slinkse truc het wachtwoord (of de sleutel) van de versleutelde volumes. Microsoft is zo vriendelijk om sleutels en wachtwoorden op schijf op te slaan.
Deze staan in het geheugen en zowel linux als microsoft kunnen deze op de schijf opslaan indien nodig voor een hibernate bijv.
21-05-2013, 15:10 door Studentje
Door DanielG: er staat 'en encryptiesleutels van BitLocker, TrueCrypt, PGP alsmede wachtwoorden van websites', dus dat haalt dat uit het geheugen. Geen analyse over de containers. Het klinkt bijna of jij alleen op de titel reageert en niet het stukje hebt gelezen.
Bedankt voor je reactie. Het eerste deel van het bericht gaat over het analyseren van schrijven, het tweede deel over het uitlezen van hiberfil.sys om wachtwoorden te achterhalen. Dat laatste begrijp ik, maar het eerste deel is mij onduidelijk.
21-05-2013, 15:18 door Anoniem
Alleen als je disk niet is encrypt lijkt me.
Ik heb hardware encryptie (Intel SSD)... success met het lezen van de hiberfil.sys.
21-05-2013, 16:52 door Anoniem
Door Studentje: ..maar het eerste deel is mij onduidelijk.

Inderdaad voor mij ook onduidelijk. Op basis waarvan kan de Passware kit concluderen dat het bv. een TrueCrypt formaat betreft?

Anyone?
21-05-2013, 17:22 door [Account Verwijderd]
[Verwijderd]
21-05-2013, 20:02 door Dick99999
"NOTE: If the target computer is turned off and the encrypted volume was dismounted during the last hibernation, neither the memory image nor the hiberfil.sys file will contain the encryption keys. Therefore, instant decryption of the volume is impossible. In this case, Passware Kit assignsbrute-force attacks to recover the original password for the volume."

Trek je conclusions. In ieder geval uit, geen hibernate met open volumes en sterke wachtwoorden of beter een wachtzin van 6 random woorden.
21-05-2013, 22:21 door Anoniem
Problemen van Truecrypt:

- containers zijn al jaren te vinden via TChunt (opensource) maar ook professionele software (niet op de gewone markt te vinden). Er zijn een aantal (4) simpele checks waaraan alle TC containers voldoen en zelfs het amateuristische TChunt doet het aardig. Ze dagen je uit om een randomfile op te sturen die geen TC container is maar wel als zodanig wordt opgemerkt. (False positive) Dat zegt op zich al genoeg.

- Hidden volumes vinden is ook mogelijk, forensische software heeft niet bij de tijd stilgestaan

- Als je computer draait en de politie komt langs, sluiten ze een accu aan op je tafelcontactdoos en nemen je computer al draaiend mee (in een kooi van Faraday zoals dat ze ook met GSM's doen). Je PC blijft gewoon aan als hij naar het lab wordt gebracht. Daar openen ze eerst de kast en bevriezen ze je geheugenchips, die meteen worden uitgeleden. Zeer frequent zitten hier systeemwachtwoorden in, en ook eventuele kopieen van Truecrypt wachtwoordstrings die in het werkgeheugen achterblijven. Daarnaast is de kans groot dat ze gewoon je kant-en-klaar gemountte volumes eerst uitlezen als je PC eenmaal aanstaat.

- Staat je PC uit, is de Evil Maid attack een optie om eenvoudig je Truecrypt wachtwoord te achterhalen. Kwestie van USB stick booten die de bootsector wijzigt en je password opslaat de eerstvolgende keer.

- Een andere (vergezochte) mogelijkheid is dat men je BIOS flashed met een malware firmware. Daarvoor heeft men in de regel geen login op je systeem nodig.

- Ten slotte wil ik nog zeggen dat niemand weet wie Truecrypt gemaakt heeft en propageert. Het is opensource maar 99.9% van de gebruikers gebruikt de gecompileerde versie. TC compileren is wat omslachtiger maar te doen. Wie zegt dat daar niet aan geklooid is? Denk aan key-escrow of een randompool die in de statische versies (door 99.9% van de mensen gebruikt) niet eens random is.


Als je vertrouwt op Truecrypt alleen, dream on. Cascaded AES ciphers en RIPE/SHA hashes zijn leuk, net zoals open source, maar het heeft weinig zin als niemand in de source kijkt of gewoon domweg de binaries gebruikt die zijn gecompileerd door een totaal anonieme persoon.
22-05-2013, 08:45 door Rasalom
Ten slotte wil ik nog zeggen...
Hier haak ik definitief af. Hat Alu hoedjes gehalte wordt echt te hoog. Je noemt het problemen van Truecrypt, maar dit geldt voor elk encryptie pakket natuurlijk.

En ik controleer Truecrypt misschien niet persoonlijk, maar ik weet wel dat er mensen zijn die dat wel doen. Daarna is het een eenvoudige vergelijking van de checksums en je weet of je de goede versie hebt. Altijd dat nonsense argument dat je zelf de code moet controleren. :P
22-05-2013, 16:39 door Dick99999
@Gisteren, 22:21 door Anoniem
Dat is een uitstekende zet van de politie, maar tussen de regels door lees ik een(jouw?) andere mening!
Evil Maid? Nog nooit gehoord van het afzetten van boot via de USB en van een Boot (BIOS) wachtwoord?
Maar droom maar lekker door over een alternatief voor iets dat al goed is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.