Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Forensic Disk Decryptor: Elcomsoft…

„Hat der Angreifer Zugriff auf einen PC, auf dem die Containerdatei gemountet wurde ...“

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. „Hat der Angreifer Zugriff auf einen PC, auf dem die Containerdatei gemountet wurde ...“

    Autor: Spaghetticode 20.12.12 - 19:38

    ..., kann er einfach die Dateien kopieren und/oder versenden, weil er Zugriff darauf hat.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: „Hat der Angreifer Zugriff auf einen PC, auf dem die Containerdatei gemountet wurde ...“

    Autor: nie (Golem.de) 20.12.12 - 19:43

    Siehe:

    http://forum.golem.de/kommentare/security/forensic-disk-decryptor-elcomsoft-knackt-truecrypt-und-bitlocker-mit-memory-dumps/ach-was-ist-total-unglaublich/69517,3207087,3207092,read.html#msg-3207092

    Nico Ernst
    Redaktion Golem.de

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: „Hat der Angreifer Zugriff auf einen PC, auf dem die Containerdatei gemountet wurde ...“

    Autor: robinx999 20.12.12 - 20:25

    Spaghetticode schrieb:
    --------------------------------------------------------------------------------
    > ..., kann er einfach die Dateien kopieren und/oder versenden, weil er
    > Zugriff darauf hat.

    Zeig mir mal wie man daten von einem Angeschalteten Computer kopiert, wenn der Computer sich im gesperrten zustand befindet (z.B: Windows: Windowstaste+L)
    Das ist dann der moment wo ein Memorydump über firewire hilfreich währe

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: „Hat der Angreifer Zugriff auf einen PC, auf dem die Containerdatei gemountet wurde ...“

    Autor: Spaghetticode 20.12.12 - 20:35

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > Spaghetticode schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > ..., kann er einfach die Dateien kopieren und/oder versenden, weil er
    > > Zugriff darauf hat.
    >
    > Zeig mir mal wie man daten von einem Angeschalteten Computer kopiert, wenn
    > der Computer sich im gesperrten zustand befindet (z.B: Windows:
    > Windowstaste+L)

    Theoretischer Ansatz: Computer in Ruhezustand versetzen, SAM sichern, SAM ändern (Passwort raus), Computer starten, Anmelden, Dateien kopieren, Ruhezustand, SAM zurücksichern, Computer hochfahren. Ich weiß aber nicht, ob dieser Angriff in der Praxis funktioniert. Auf jeden Fall wird er ziemlich viele Spuren hinterlassen.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: „Hat der Angreifer Zugriff auf einen PC, auf dem die Containerdatei gemountet wurde ...“

    Autor: Bouncy 20.12.12 - 23:18

    Spaghetticode schrieb:
    --------------------------------------------------------------------------------
    > Theoretischer Ansatz: Computer in Ruhezustand versetzen, SAM sichern, SAM
    > ändern (Passwort raus), Computer starten, Anmelden, Dateien kopieren,
    > Ruhezustand, SAM zurücksichern, Computer hochfahren. Ich weiß aber nicht,
    > ob dieser Angriff in der Praxis funktioniert. Auf jeden Fall wird er
    > ziemlich viele Spuren hinterlassen.
    Hä? Und wo käme da das Überwinden der Verschlüsselung ins Spiel? Das würde wenn dann nur unverschlüsselt funktionieren, und in dem Fall könnte man sich den Quark mit Ruhezustand auch gleich sparen und SAM munter nach dem Runterfahren manipulieren ;)

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: „Hat der Angreifer Zugriff auf einen PC, auf dem die Containerdatei gemountet wurde ...“

    Autor: Spaghetticode 20.12.12 - 23:31

    Bouncy schrieb:
    --------------------------------------------------------------------------------
    > Spaghetticode schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Theoretischer Ansatz: Computer in Ruhezustand versetzen, SAM sichern,
    > > SAM
    > > ändern (Passwort raus), Computer starten, Anmelden, Dateien kopieren,
    > > Ruhezustand, SAM zurücksichern, Computer hochfahren. Ich weiß aber
    > > nicht,
    > > ob dieser Angriff in der Praxis funktioniert. Auf jeden Fall wird er
    > > ziemlich viele Spuren hinterlassen.
    > Hä? Und wo käme da das Überwinden der Verschlüsselung ins Spiel? Das würde
    > wenn dann nur unverschlüsselt funktionieren, und in dem Fall könnte man
    > sich den Quark mit Ruhezustand auch gleich sparen und SAM munter nach dem
    > Runterfahren manipulieren ;)
    Ich vermute mal: Wenn du den Computer runterfährst, muss das Passwort für TrueCrypt erneut eingegeben werden. Beim Ruhezustand dürfte die Entschlüsselung nach dem Hochfahren auch ohne Passworteingabe funktionieren. (Genau weiß ich das nicht, ich habe hier kein TrueCrypt.)

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Re: „Hat der Angreifer Zugriff auf einen PC, auf dem die Containerdatei gemountet wurde ...“

    Autor: robinx999 21.12.12 - 09:20

    Ne da ist eigentlich alles verschlüsselt. Außerdem bin ich mir nichtmal sicher ob man einen gesperrten Computer ohne das Passwort zu kennen überhaupt in den Ruhezustand versetzen kann. Der Angriff über Firewire ist da sicherlich schon vielversprechender (gibt wohl auch tools die Windows dazu bringen jedes passwort zu akzeptieren, da man ja auch auf den Arbeitsspeicher schreiben kann). Wobei natürlich die chance groß ist das sich leute verschätzen und einfach den Computer ausschalten und dann mit einer LiveCD booten und dann feststellen, dass alles verschlüsselt ist.

    Wobei wenn ich meinen Aktuellen Laptop so anschaue hat sich das mit Firewire sowiso erledigt ist nicht mehr vorhanden bei dem Laptop.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  8. Re: „Hat der Angreifer Zugriff auf einen PC, auf dem die Containerdatei gemountet wurde ...“

    Autor: Phreeze 21.12.12 - 09:23

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > Ne da ist eigentlich alles verschlüsselt. Außerdem bin ich mir nichtmal
    > sicher ob man einen gesperrten Computer ohne das Passwort zu kennen
    > überhaupt in den Ruhezustand versetzen kann.

    15minuten warten, Ruhezustand ;) je nachdem wie das per policy oder durch die Energieoptionen eingestellt ist

    Benutzer wird von Ihnen ignoriert. Anzeigen

  9. Re: „Hat der Angreifer Zugriff auf einen PC, auf dem die Containerdatei gemountet wurde ...“

    Autor: robinx999 21.12.12 - 09:27

    Phreeze schrieb:
    --------------------------------------------------------------------------------
    > robinx999 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ne da ist eigentlich alles verschlüsselt. Außerdem bin ich mir nichtmal
    > > sicher ob man einen gesperrten Computer ohne das Passwort zu kennen
    > > überhaupt in den Ruhezustand versetzen kann.
    >
    > 15minuten warten, Ruhezustand ;) je nachdem wie das per policy oder durch
    > die Energieoptionen eingestellt ist
    Naja das kann dann natürlich auch schief gehen, könnte ja ausgeschaltet sein. Bin sowiso nicht sicher wie es sich verhält wenn der Computer im Hintergrund noch etwas macht (Video encoden / Download) und der Computer dann einfach nur per "Windowstaste - L" gespert wurde

    Benutzer wird von Ihnen ignoriert. Anzeigen

  10. Re: „Hat der Angreifer Zugriff auf einen PC, auf dem die Containerdatei gemountet wurde ...“

    Autor: Sinnfrei 21.12.12 - 17:00

    robinx999 schrieb:
    --------------------------------------------------------------------------------
    > Spaghetticode schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > ..., kann er einfach die Dateien kopieren und/oder versenden, weil er
    > > Zugriff darauf hat.
    >
    > Zeig mir mal wie man daten von einem Angeschalteten Computer kopiert, wenn
    > der Computer sich im gesperrten zustand befindet (z.B: Windows:
    > Windowstaste+L)
    > Das ist dann der moment wo ein Memorydump über firewire hilfreich währe

    Wenn das automatische installieren neuer Hardware nicht zum Beispiel per Gruppenrichtline deaktiviert wurde (sollte dann wohl bald Pflicht für kritische Systeme sein).

    __________________
    ...

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. BENTELER-Group, Paderborn
  2. Takata AG, Berlin
  3. Deutschlandradio, Berlin
  4. IABG Industrieanlagen-Betriebsgesellschaft mbH, Ottobrunn bei München

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. 21,99€ (Vorbesteller-Preisgarantie)
  2. 5,49€
  3. 9,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Xfel: Riesenkamera nimmt Filme von Atomen auf
Xfel
Riesenkamera nimmt Filme von Atomen auf
  1. US Air Force Modifikation der Ionosphäre soll Funk verbessern
  2. Teilchenbeschleuniger Mögliches neues Boson weist auf fünfte Fundamentalkraft hin
  3. Materialforschung Glas wechselt zwischen durchsichtig und schwarz

Deus Ex Mankind Divided im Test: Der Agent aus dem Hardwarelabor
Deus Ex Mankind Divided im Test
Der Agent aus dem Hardwarelabor
  1. Summit Ridge AMDs Zen-Chip ist so schnell wie Intels 1.000-Euro-Core-i7
  2. Doom Denuvo schützt offenbar nicht mehr
  3. Deus Ex angespielt Eine Steuerung für fast jeden Agenten

Avegant Glyph aufgesetzt: Echtes Kopfkino
Avegant Glyph aufgesetzt
Echtes Kopfkino

  1. Für Werbezwecke: Whatsapp teilt alle Telefonnummern mit Facebook
    Für Werbezwecke
    Whatsapp teilt alle Telefonnummern mit Facebook

    Es war wohl nicht anders zu erwarten: Zwei Jahre nach der Übernahme durch Facebook muss Whatsapp alle Telefonnummern an den Mutterkonzern weiterreichen. Die Verknüpfung mit einem Nutzer funktioniert aber nicht immer.

  2. Domino's: Die Pizza kommt per Lieferdrohne
    Domino's
    Die Pizza kommt per Lieferdrohne

    Luftbrücke zum Kunden: Die Schnellrestaurantkette Domino's Pizza will in Neuseeland künftig Pizzas mit unbemannten Lufttransportern zum Kunden bringen. Ein Feldversuch soll in Kürze starten.

  3. IT-Support: Nasa verzichtet auf Tausende Updates durch HP Enterprise
    IT-Support
    Nasa verzichtet auf Tausende Updates durch HP Enterprise

    Eigentlich sollte HP Enterprise sämtliche Endnutzergeräte der Nasa verwalten. Der Support ist aber offenbar so schlecht, dass die IT-Chefin der US-Raumfahrtbehörde mit einer beispiellosen Verzweiflungstat reagiert.


  1. 15:54

  2. 15:34

  3. 15:08

  4. 14:26

  5. 13:31

  6. 13:22

  7. 13:00

  8. 12:45