Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Forensic Disk Decryptor: Elcomsoft…

Ach was, ist total unglaublich!!!!!!

Anzeige
  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Ach was, ist total unglaublich!!!!!!

    Autor: abdul el alamein 20.12.12 - 19:35

    Habe ein Programm laufen auf dem Rechner wo der Container gemountet ist, kopiere ich einfach alles ausm Container raus, ist viel einfacher...

    Manche Meldungen, wie diese, klingen nach Sensationsjournalismus a la "TRUECRYPT GEHACKERT!!!!!!!".

  2. Re: Ach was, ist total unglaublich!!!!!!

    Autor: Trollster 20.12.12 - 19:38

    Man könnte auch einfach nen KeyLogger installieren, .. viel einfacher und gibt es an jeder Ecke im Internet umsonst.


    Wenn ich physikalischen Zugriff auf einen PC hab, wo sich das gemountete Image befindet oder es gerade gemountet wird, ... dazu brauch man genau 0 Software.

  3. Re: Ach was, ist total unglaublich!!!!!!

    Autor: nie (Golem.de) 20.12.12 - 19:39

    Stimmt, das wäre die bessere Überschrift gewesen, Danke für den Hinweis ;)

    Im Übrigen geht es nicht darum, dass der Rechner laufen muss: Wenn die Container gemountet sind, und der PC in den Ruhezustand gesetzt wird, reicht ein Abbild der Festplatte. Oder Ausbau derselben.

    Nico Ernst
    Redaktion Golem.de

  4. Re: Ach was, ist total unglaublich!!!!!!

    Autor: nie (Golem.de) 20.12.12 - 19:49

    Also, nochmal erklärt: Es geht auch um Behörden, die zB einen PC beschlagnahmen. Ich halte es für nicht so unwahrscheinlich, dass es dabei auch gemountete Container gibt auf Rechnern, die nur in den Ruhezustand versetzt wurden.

  5. Re: Ach was, ist total unglaublich!!!!!!

    Autor: Fanti4ever 20.12.12 - 20:00

    Hier geht es um Computer Forensik. Ich gehe mal schwer davon aus, das davon die wenigsten Leute was verstehen. Ich bin da sicher auch kein Experte, kann aber folgendes aufklären:

    Klar kann man auf ein gemounteten Container auf einem laufenden Rechner zugreifen. Dummerweise ist alles, was sich darin befindet dann aber nicht mehr ohne weiteres vor Gericht verwendbar. Jeder Anwalt würde sofort argumentieren, dass eine Manipulation des Datenbestandes nicht ausgeschlossen werden kann und das Gegenteil kann niemand beweisen. Wie im Bericht angemerkt, wird für gerichtsfeste Beweisführung ausschließlich mit 1 zu 1 Kopien gearbeitet und niemals mit dem Original.

    Abgesehen davon stimmt auch die Aussage, man benötige keine Software um auf den Container zuzugreifen, wenn er gemountet ist, nicht. Oder habt ihr alle Betriebssysteme inklusive der mitgelieferten Tools als Chips vorliegen?

  6. Re: Ach was, ist total unglaublich!!!!!!

    Autor: robinx999 20.12.12 - 20:20

    Ich würde ja spontan sagen der Fall verschlüßelte Festplatte, der Rechner ist angeschaltet, der rechner befindet sich im gesperten zustand.
    Da wird es dann interessant mit einem Laptop über Firewire den Arbeitsspeicher des gesperrten Computers auszulesen und dann so die möglichkeit zu haben später an die verschlüsselte Festplatte zu zugreifen.
    Weil sonst wird es natürlich schwer an die daten zu kommen software installieren geht aufgrund der Sperre nicht. Bei einem Reboot kommt man nicht mehr an die Daten, da dann die verschlüsselung wieder greift. Klar man könnte es noch mit einer Cold Boot Atacke probieren.
    Wobei natürlich die Frage ist wieviele ermitlungsbehörden so vorgehen und nicht einfach die Computer ausschalten und später analysieren lassen. Und natürlich haben auch immer mehr Laptops überhaupt kein Firewire mehr.



    1 mal bearbeitet, zuletzt am 20.12.12 20:20 durch robinx999.

  7. Re: Ach was, ist total unglaublich!!!!!!

    Autor: Casandro 20.12.12 - 20:35

    Naja, der aktuelle Stand der Technik ist, dass man das 10 Minuten nach dem Ausschalten macht mit den verbleibenden Bits im Speicher verarbeitet. Da hat man zwar viele Bitfehler, aber das reicht um den Schlüssel zu finden, und die fehlenden Bits zu erraten. (Natürlich weiß man nicht welche Bits kaputt sind)

    Ach ja, Stand der Technik bei der Verschlüsselung ist es spezielle Register in der CPU zu nutzen um den Schlüssel zu speichern. Diese Register kann man dann extern nicht auslesen. Da gab es auf einem der Chaos Communication Congressen einen Vortrag dazu.

  8. Re: Ach was, ist total unglaublich!!!!!!

    Autor: Anonymer Nutzer 20.12.12 - 20:47

    Nichts Neues, jeder halbwes begabte ITler weiß doch das im Ruhezustand ein Speicherabbild des Rams auf die Festplatte geschrieben wird, deshalb ausschalten -> Problem gelöst.

  9. Re: Ach was, ist total unglaublich!!!!!!

    Autor: Bonita.M 20.12.12 - 20:58

    "System encryption provides the highest level of security and privacy, because all files, including any temporary files that Windows and applications create on the system partition (typically, without your knowledge or consent), hibernation files, swap files, etc., are always permanently encrypted (even when power supply is suddenly interrupted)."

    Also: System-Encryption stellt sicher, dass auch das Hibernate-File verschlüsselt ist.

  10. Re: Ach was, ist total unglaublich!!!!!!

    Autor: __destruct() 20.12.12 - 21:08

    Wer derartig dumm ist, einen PC mit einem gemounteten TC-Volume in den Ruhezustand zu versetzen, dem ist sowieso nicht mehr zu helfen.

  11. Re: Ach was, ist total unglaublich!!!!!!

    Autor: __destruct() 20.12.12 - 21:11

    "Wenn der PC mit entschlüsselten Volumes der Polizei übergeben und am besten davor noch konserviert wird, ist ein Auslesen der Daten möglich." You don't say?

  12. Re: Ach was, ist total unglaublich!!!!!!

    Autor: __destruct() 20.12.12 - 21:16

    Born2win schrieb:
    --------------------------------------------------------------------------------
    > Nichts Neues, jeder halbwes begabte ITler weiß doch das im Ruhezustand ein
    > Speicherabbild des Rams auf die Festplatte geschrieben wird, deshalb
    > ausschalten -> Problem gelöst.

    Das kommt schon fast der Aussage "Jeder halbwegs behabte IT-ler weiß, dass ein Computer einen Prozessor hat." gleich.

  13. Re: Ach was, ist total unglaublich!!!!!!

    Autor: abdul el alamein 21.12.12 - 09:39

    Ich finde die Art des wie der Artikel geschrieben ist trotzdem nicht gut. Das was das Tool macht ist, es parst den Memory-Dump und extrahiert den Schlüssel, mit dem es dann den Container entschlüsselt. Das konnte man auch vor dem Tool, nur eben manuell und mit viel Wissen um die Memory-Dumps und die Binärstruktur der Container-Files. Das Tool ist nichts neues an sich, das neue ist der Grad an Automatisierung. Im Übrigen warnt die Anleitung von TrueCrypt z.B. seit _Jahren_ davor, Ruhezustand zu benutzen (und auch Pagefile), wenn man keine Systemplattenverschlüsselung nutzt.

    "Memory-Dump Parser" klingt aber eben nicht so sensationalistisch wie "Verschlüsselung geknackt". Geknackt wurde da rein gar nichts, _nichts_.

    Edit: Typos



    1 mal bearbeitet, zuletzt am 21.12.12 09:48 durch abdul el alamein.

  14. Re: Ach was, ist total unglaublich!!!!!!

    Autor: erma 21.12.12 - 10:23

    Mal ne andere Frage: Ist es nicht so dass wenn ein Rechner sichergelstellt wurde mit einem verschlüsselten Container/ Partition, dass der Staatsanwalt dann argumentiert dass du schuldig bist, bzw. das Pwd. aushändigen musst um dies zu wiederlegen.

    Ich meine mal etwas gelesen zu haben dass die ganzen Musik/ Filmmedienklagen in diese Richtung gehen.

    Kann es mir zwar nicht vorstellen, da man die Aussage ja im Fall einer Eigenbelastung verweigern kann, aber klar ist auch dass wenn ich das Pwd, nicht herausrücke schon der Eindruck entstehen könnte.

    Gabs da auch nicht irgendwas mit; du bist so lange unschuldig bis die Schuld bewiesen ist?

    Hat jemand Infos zur genauen Rechtslage? Artikel, Links etc. ...?



    1 mal bearbeitet, zuletzt am 21.12.12 10:28 durch erma.

  15. Re: Ach was, ist total unglaublich!!!!!!

    Autor: abdul el alamein 21.12.12 - 10:33

    In Deutschland ist das immer noch so, dass man sich selbst nicht belasten muss. In UK gibt es ein Gesetzt, dass wenn du dein PW nicht rausrückst (oder z.B. vergessen hast) du im Knast landest.

  16. Viel einfacher

    Autor: dabbes 21.12.12 - 11:12

    das Passwort ist auf einem Zettel unter dem Mauspad ;-)

  17. Re: Viel einfacher

    Autor: robinx999 21.12.12 - 11:42

    dabbes schrieb:
    --------------------------------------------------------------------------------
    > das Passwort ist auf einem Zettel unter dem Mauspad ;-)

    Ne dass machen nur anfänger. Bei Profis ist das Passwort die Seriennummer der Maus ;-)

  18. Re: Viel einfacher

    Autor: posix 23.12.12 - 09:34

    Geht noch besser: Das PW ist eine Anordnung auf der Tastatur, ein Muster in einer gewissen Form.

    Vorteil: sehr einfach zu merken ,sicher und praktikabel. Da man nur das Muster nutzt merkt man sich nie wirklich das PW, und weiss es somit auch nicht xD

    Nachteil: Problematisch bei andersartigen Tastaturen^^

  19. Re: Viel einfacher

    Autor: __destruct() 23.12.12 - 10:32

    Noch viel problematischer: Wer das macht, ist ein Idiot.

    Nein, so wollte ich das nicht sagen. Nochmal: Wer das macht, ist ein Idiot und ihm ist nicht mehr zu helfen.

    Nein, so wollte ich das nicht sagen. Nochm.. ach, lassen wir das: Er ist auf jeden Fall ein Idiot.

    Begründung: Ich habe schon viele Listen über die beliebtesten Passwörter von irgendwas oder irgendwo gesehen und eigentlich immer war eine Anordnung auf der Tastatur unter den Top 5. Besonders beliebt sind 12456, qaywsx, qwerty und qwertz. Das hat natürlich zur Folge, dass in Passworttabellen haufenweise Anordnungen auf irgendwelchen Tastaturlayouts zu finden sind und derartige Passwörter deswegen binnen kurzer Zeit geknackt sind. Das gilt natürlich nicht nur für die 4 ganz billigen Varianten, sondern auch für andere. Diese 4 sind nur die häufigsten.

  20. Re: Viel einfacher

    Autor: paradigmshift 23.12.12 - 10:39

    __destruct() schrieb:
    --------------------------------------------------------------------------------
    > text

    Aber du bist hoffentlich schon mal auf die Idee gekommen, dass viele einfach ihrem, sagen wir mal Foren accs wenig Relevanz bemessen? Ich habe zwischen 6-16 stellige Passwörter. E-Mail und alles mit Klarnamenpflicht hat die höchste Sicherheit. Meine low security pws können ruhig kompromittiert werden. Ist so eine Art Zwiebelschalenmodell. Stört es mich wenn jemand meine Golem acc benutzt? Ist ja nicht meine IP über die dann gepostet wird.



    1 mal bearbeitet, zuletzt am 23.12.12 10:40 durch paradigmshift.

  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. Diehl Comfort Modules, Hamburg
  2. Kassenzahnärztliche Vereinigung Bayerns, München
  3. Zweckverband Kommunale Informationsverarbeitung Baden-Franken, Karlsruhe, Freiburg
  4. Fraunhofer-Institut für Intelligente Analyse- und Informationssysteme, Sankt Augustin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Blu-ray-Angebote
  1. (u. a. Die große Bud Spencer-Box Blu-ray 16,97€, Club der roten Bänder 1. Staffel Blu-ray 14...
  2. (u. a. Apollo 13, Insidious, Horns, King Kong, E.T. The Untouchables, Der Sternwanderer)
  3. (u. a. London Has Fallen, The Imitation Game, Lone Survivor, Olympus Has Fallen)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Steep im Test: Frei und einsam beim Bergsport
Steep im Test
Frei und einsam beim Bergsport
  1. PES 2017 Update mit Stadion und Hymnen von Borussia Dortmund
  2. Motorsport Manager im Kurztest Neustart für Sportmanager
  3. NBA 2K17 10.000 Schritte für Ingame-Boost

Gigaset Mobile Dock im Test: Das Smartphone wird DECT-fähig
Gigaset Mobile Dock im Test
Das Smartphone wird DECT-fähig

Civilization: Das Spiel mit der Geschichte
Civilization
Das Spiel mit der Geschichte
  1. Civilization 6 Globale Strategie mit DirectX 12
  2. Take 2 GTA 5 saust über die 70-Millionen-Marke
  3. Civilization 6 im Test Nachhilfestunde(n) beim Städtebau

  1. Nintendo: Super Mario Run für iOS läuft nur mit Onlineverbindung
    Nintendo
    Super Mario Run für iOS läuft nur mit Onlineverbindung

    Bei langen Flugzeugreisen oder im Ausland läuft Super Mario Run nur mit Hindernissen: Nintendo hat wenige Tage vor der Veröffentlichung des Games für iOS bekanntgegeben, dass das Spiel immer eine aktive Onlineverbindung zu den Servern des Herstellers benötigt.

  2. USA: Samsung will Note 7 in Backsteine verwandeln
    USA
    Samsung will Note 7 in Backsteine verwandeln

    Wer sein Galaxy Note 7 immer noch nicht zurückgegeben hat, soll in den USA mit einer drastischen Maßnahme dazu gewungen werden: Samsung will das Laden des Akkus komplett unterbinden. Ein Netzbetreiber will dabei aber nicht mitmachen.

  3. Hackerangriffe: Obama will Einfluss Russlands auf US-Wahl untersuchen lassen
    Hackerangriffe
    Obama will Einfluss Russlands auf US-Wahl untersuchen lassen

    Hat Russland die US-Präsidentschaftswahl gehackt? Präsident Obama will untersuchen, ob fremde Nachrichtendienste zur Wahl von Donald Trump beigetragen haben. Der kommuniziert derweil weiter unverschlüsselt.


  1. 17:27

  2. 12:53

  3. 12:14

  4. 11:07

  5. 09:01

  6. 18:40

  7. 17:30

  8. 17:13