Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Forensic Disk Decryptor: Elcomsoft…

Ach was, ist total unglaublich!!!!!!

Anzeige
  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Ach was, ist total unglaublich!!!!!!

    Autor: abdul el alamein 20.12.12 - 19:35

    Habe ein Programm laufen auf dem Rechner wo der Container gemountet ist, kopiere ich einfach alles ausm Container raus, ist viel einfacher...

    Manche Meldungen, wie diese, klingen nach Sensationsjournalismus a la "TRUECRYPT GEHACKERT!!!!!!!".

  2. Re: Ach was, ist total unglaublich!!!!!!

    Autor: Trollster 20.12.12 - 19:38

    Man könnte auch einfach nen KeyLogger installieren, .. viel einfacher und gibt es an jeder Ecke im Internet umsonst.


    Wenn ich physikalischen Zugriff auf einen PC hab, wo sich das gemountete Image befindet oder es gerade gemountet wird, ... dazu brauch man genau 0 Software.

  3. Re: Ach was, ist total unglaublich!!!!!!

    Autor: nie (Golem.de) 20.12.12 - 19:39

    Stimmt, das wäre die bessere Überschrift gewesen, Danke für den Hinweis ;)

    Im Übrigen geht es nicht darum, dass der Rechner laufen muss: Wenn die Container gemountet sind, und der PC in den Ruhezustand gesetzt wird, reicht ein Abbild der Festplatte. Oder Ausbau derselben.

    Nico Ernst
    Redaktion Golem.de

  4. Re: Ach was, ist total unglaublich!!!!!!

    Autor: nie (Golem.de) 20.12.12 - 19:49

    Also, nochmal erklärt: Es geht auch um Behörden, die zB einen PC beschlagnahmen. Ich halte es für nicht so unwahrscheinlich, dass es dabei auch gemountete Container gibt auf Rechnern, die nur in den Ruhezustand versetzt wurden.

  5. Re: Ach was, ist total unglaublich!!!!!!

    Autor: Fanti4ever 20.12.12 - 20:00

    Hier geht es um Computer Forensik. Ich gehe mal schwer davon aus, das davon die wenigsten Leute was verstehen. Ich bin da sicher auch kein Experte, kann aber folgendes aufklären:

    Klar kann man auf ein gemounteten Container auf einem laufenden Rechner zugreifen. Dummerweise ist alles, was sich darin befindet dann aber nicht mehr ohne weiteres vor Gericht verwendbar. Jeder Anwalt würde sofort argumentieren, dass eine Manipulation des Datenbestandes nicht ausgeschlossen werden kann und das Gegenteil kann niemand beweisen. Wie im Bericht angemerkt, wird für gerichtsfeste Beweisführung ausschließlich mit 1 zu 1 Kopien gearbeitet und niemals mit dem Original.

    Abgesehen davon stimmt auch die Aussage, man benötige keine Software um auf den Container zuzugreifen, wenn er gemountet ist, nicht. Oder habt ihr alle Betriebssysteme inklusive der mitgelieferten Tools als Chips vorliegen?

  6. Re: Ach was, ist total unglaublich!!!!!!

    Autor: robinx999 20.12.12 - 20:20

    Ich würde ja spontan sagen der Fall verschlüßelte Festplatte, der Rechner ist angeschaltet, der rechner befindet sich im gesperten zustand.
    Da wird es dann interessant mit einem Laptop über Firewire den Arbeitsspeicher des gesperrten Computers auszulesen und dann so die möglichkeit zu haben später an die verschlüsselte Festplatte zu zugreifen.
    Weil sonst wird es natürlich schwer an die daten zu kommen software installieren geht aufgrund der Sperre nicht. Bei einem Reboot kommt man nicht mehr an die Daten, da dann die verschlüsselung wieder greift. Klar man könnte es noch mit einer Cold Boot Atacke probieren.
    Wobei natürlich die Frage ist wieviele ermitlungsbehörden so vorgehen und nicht einfach die Computer ausschalten und später analysieren lassen. Und natürlich haben auch immer mehr Laptops überhaupt kein Firewire mehr.



    1 mal bearbeitet, zuletzt am 20.12.12 20:20 durch robinx999.

  7. Re: Ach was, ist total unglaublich!!!!!!

    Autor: Casandro 20.12.12 - 20:35

    Naja, der aktuelle Stand der Technik ist, dass man das 10 Minuten nach dem Ausschalten macht mit den verbleibenden Bits im Speicher verarbeitet. Da hat man zwar viele Bitfehler, aber das reicht um den Schlüssel zu finden, und die fehlenden Bits zu erraten. (Natürlich weiß man nicht welche Bits kaputt sind)

    Ach ja, Stand der Technik bei der Verschlüsselung ist es spezielle Register in der CPU zu nutzen um den Schlüssel zu speichern. Diese Register kann man dann extern nicht auslesen. Da gab es auf einem der Chaos Communication Congressen einen Vortrag dazu.

  8. Re: Ach was, ist total unglaublich!!!!!!

    Autor: Anonymer Nutzer 20.12.12 - 20:47

    Nichts Neues, jeder halbwes begabte ITler weiß doch das im Ruhezustand ein Speicherabbild des Rams auf die Festplatte geschrieben wird, deshalb ausschalten -> Problem gelöst.

  9. Re: Ach was, ist total unglaublich!!!!!!

    Autor: Bonita.M 20.12.12 - 20:58

    "System encryption provides the highest level of security and privacy, because all files, including any temporary files that Windows and applications create on the system partition (typically, without your knowledge or consent), hibernation files, swap files, etc., are always permanently encrypted (even when power supply is suddenly interrupted)."

    Also: System-Encryption stellt sicher, dass auch das Hibernate-File verschlüsselt ist.

  10. Re: Ach was, ist total unglaublich!!!!!!

    Autor: __destruct() 20.12.12 - 21:08

    Wer derartig dumm ist, einen PC mit einem gemounteten TC-Volume in den Ruhezustand zu versetzen, dem ist sowieso nicht mehr zu helfen.

  11. Re: Ach was, ist total unglaublich!!!!!!

    Autor: __destruct() 20.12.12 - 21:11

    "Wenn der PC mit entschlüsselten Volumes der Polizei übergeben und am besten davor noch konserviert wird, ist ein Auslesen der Daten möglich." You don't say?

  12. Re: Ach was, ist total unglaublich!!!!!!

    Autor: __destruct() 20.12.12 - 21:16

    Born2win schrieb:
    --------------------------------------------------------------------------------
    > Nichts Neues, jeder halbwes begabte ITler weiß doch das im Ruhezustand ein
    > Speicherabbild des Rams auf die Festplatte geschrieben wird, deshalb
    > ausschalten -> Problem gelöst.

    Das kommt schon fast der Aussage "Jeder halbwegs behabte IT-ler weiß, dass ein Computer einen Prozessor hat." gleich.

  13. Re: Ach was, ist total unglaublich!!!!!!

    Autor: abdul el alamein 21.12.12 - 09:39

    Ich finde die Art des wie der Artikel geschrieben ist trotzdem nicht gut. Das was das Tool macht ist, es parst den Memory-Dump und extrahiert den Schlüssel, mit dem es dann den Container entschlüsselt. Das konnte man auch vor dem Tool, nur eben manuell und mit viel Wissen um die Memory-Dumps und die Binärstruktur der Container-Files. Das Tool ist nichts neues an sich, das neue ist der Grad an Automatisierung. Im Übrigen warnt die Anleitung von TrueCrypt z.B. seit _Jahren_ davor, Ruhezustand zu benutzen (und auch Pagefile), wenn man keine Systemplattenverschlüsselung nutzt.

    "Memory-Dump Parser" klingt aber eben nicht so sensationalistisch wie "Verschlüsselung geknackt". Geknackt wurde da rein gar nichts, _nichts_.

    Edit: Typos



    1 mal bearbeitet, zuletzt am 21.12.12 09:48 durch abdul el alamein.

  14. Re: Ach was, ist total unglaublich!!!!!!

    Autor: erma 21.12.12 - 10:23

    Mal ne andere Frage: Ist es nicht so dass wenn ein Rechner sichergelstellt wurde mit einem verschlüsselten Container/ Partition, dass der Staatsanwalt dann argumentiert dass du schuldig bist, bzw. das Pwd. aushändigen musst um dies zu wiederlegen.

    Ich meine mal etwas gelesen zu haben dass die ganzen Musik/ Filmmedienklagen in diese Richtung gehen.

    Kann es mir zwar nicht vorstellen, da man die Aussage ja im Fall einer Eigenbelastung verweigern kann, aber klar ist auch dass wenn ich das Pwd, nicht herausrücke schon der Eindruck entstehen könnte.

    Gabs da auch nicht irgendwas mit; du bist so lange unschuldig bis die Schuld bewiesen ist?

    Hat jemand Infos zur genauen Rechtslage? Artikel, Links etc. ...?



    1 mal bearbeitet, zuletzt am 21.12.12 10:28 durch erma.

  15. Re: Ach was, ist total unglaublich!!!!!!

    Autor: abdul el alamein 21.12.12 - 10:33

    In Deutschland ist das immer noch so, dass man sich selbst nicht belasten muss. In UK gibt es ein Gesetzt, dass wenn du dein PW nicht rausrückst (oder z.B. vergessen hast) du im Knast landest.

  16. Viel einfacher

    Autor: dabbes 21.12.12 - 11:12

    das Passwort ist auf einem Zettel unter dem Mauspad ;-)

  17. Re: Viel einfacher

    Autor: robinx999 21.12.12 - 11:42

    dabbes schrieb:
    --------------------------------------------------------------------------------
    > das Passwort ist auf einem Zettel unter dem Mauspad ;-)

    Ne dass machen nur anfänger. Bei Profis ist das Passwort die Seriennummer der Maus ;-)

  18. Re: Viel einfacher

    Autor: posix 23.12.12 - 09:34

    Geht noch besser: Das PW ist eine Anordnung auf der Tastatur, ein Muster in einer gewissen Form.

    Vorteil: sehr einfach zu merken ,sicher und praktikabel. Da man nur das Muster nutzt merkt man sich nie wirklich das PW, und weiss es somit auch nicht xD

    Nachteil: Problematisch bei andersartigen Tastaturen^^

  19. Re: Viel einfacher

    Autor: __destruct() 23.12.12 - 10:32

    Noch viel problematischer: Wer das macht, ist ein Idiot.

    Nein, so wollte ich das nicht sagen. Nochmal: Wer das macht, ist ein Idiot und ihm ist nicht mehr zu helfen.

    Nein, so wollte ich das nicht sagen. Nochm.. ach, lassen wir das: Er ist auf jeden Fall ein Idiot.

    Begründung: Ich habe schon viele Listen über die beliebtesten Passwörter von irgendwas oder irgendwo gesehen und eigentlich immer war eine Anordnung auf der Tastatur unter den Top 5. Besonders beliebt sind 12456, qaywsx, qwerty und qwertz. Das hat natürlich zur Folge, dass in Passworttabellen haufenweise Anordnungen auf irgendwelchen Tastaturlayouts zu finden sind und derartige Passwörter deswegen binnen kurzer Zeit geknackt sind. Das gilt natürlich nicht nur für die 4 ganz billigen Varianten, sondern auch für andere. Diese 4 sind nur die häufigsten.

  20. Re: Viel einfacher

    Autor: paradigmshift 23.12.12 - 10:39

    __destruct() schrieb:
    --------------------------------------------------------------------------------
    > text

    Aber du bist hoffentlich schon mal auf die Idee gekommen, dass viele einfach ihrem, sagen wir mal Foren accs wenig Relevanz bemessen? Ich habe zwischen 6-16 stellige Passwörter. E-Mail und alles mit Klarnamenpflicht hat die höchste Sicherheit. Meine low security pws können ruhig kompromittiert werden. Ist so eine Art Zwiebelschalenmodell. Stört es mich wenn jemand meine Golem acc benutzt? Ist ja nicht meine IP über die dann gepostet wird.



    1 mal bearbeitet, zuletzt am 23.12.12 10:40 durch paradigmshift.

  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Feuerbach
  2. hmmh multimediahaus AG, Berlin
  3. über Robert Half Technology, München
  4. TUI InfoTec GmbH, Hannover

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 4,99€
  2. 299,90€ (UVP 649,90€)
  3. und bis zu 40 Euro Sofortrabatt erhalten


Haben wir etwas übersehen?

E-Mail an news@golem.de


Canon vs. Nikon: Superzoomer für unter 250 Euro
Canon vs. Nikon
Superzoomer für unter 250 Euro
  1. Snap Spectacles Snapchat stellt Sonnenbrille mit Kamera vor
  2. MacOS 10.12 Fujitsu warnt vor der Nutzung von Scansnap unter Sierra
  3. Bildbearbeitungs-App Prisma offiziell für Android erhältlich

DDoS: Das Internet of Things gefährdet das freie Netz
DDoS
Das Internet of Things gefährdet das freie Netz
  1. Hilfe von Google Brian Krebs' Blog ist nach DDoS-Angriff wieder erreichbar
  2. Picobrew Pico angesehen Ein Bierchen in Ehren ...
  3. Peak Smarte Lampe soll Nutzer zum Erfolg quatschen

MacOS 10.12 im Test: Sierra - Schreck mit System
MacOS 10.12 im Test
Sierra - Schreck mit System
  1. MacOS 10.12 Sierra fungiert als alleiniges Sicherheitsupdate für OS X
  2. MacOS Sierra und iOS 10 Apple schmeißt unsichere Krypto raus
  3. Kaspersky Neue Malware installiert Hintertüren auf Macs

  1. Altiscale: SAP kauft US-Startup für 125 Millionen US-Dollar
    Altiscale
    SAP kauft US-Startup für 125 Millionen US-Dollar

    SAP hat Altiscale gekauft, um bei Big Data mehr Möglichkeiten zu haben. Das Startup könnte in dem deutschen Konzern auch eine neue Strategie in dem Bereich schaffen.

  2. Stiftung Warentest: Mailbox und Posteo gewinnen Mailprovidertest
    Stiftung Warentest
    Mailbox und Posteo gewinnen Mailprovidertest

    Mailbox und Posteo top, Gmail flop - so lässt sich der Mailprovidertest der Stiftung Warentest zusammenfassen. Nachdem der letzte Test zurückgezogen worden war, sollte dieses Mal alles besser laufen. Kritik gibt es trotzdem.

  3. Ausrüster: Kein 5G-Supermobilfunk ohne Glasfasernetz
    Ausrüster
    Kein 5G-Supermobilfunk ohne Glasfasernetz

    Die Ausrüster sehen ein gutes Glasfasernetz als Grundvoraussetzung, damit Deutschland das Ziel erreichen kann, als erstes Land ein 5G-Netz aufzuspannen. Das ist noch nicht ausreichend ausgebaut.


  1. 19:10

  2. 18:10

  3. 16:36

  4. 15:04

  5. 14:38

  6. 14:31

  7. 14:14

  8. 13:38