Ähh momentmal, wenn der PC noch an ist - warum nicht Daten kopieren per USB Festplatte

Was ist der tiefere Sinn etwas zu entschlüsseln, das bereits entschlüsselt ist?!

Späterer Zugriff auf die Informationen?
Ich gebe zu,so ganz einleuchtend ist dieses Stück Software wirklich nicht...

Wenn einer Zugriff zum laufenden System kriegt,hat man ja eh schon verloren und das ohne irgendwelche Zusatzsoftware :D

Aehhhhhhhh schrieb:
--------------------------------------------------------------------------------
> Was ist der tiefere Sinn etwas zu entschlüsseln, das bereits entschlüsselt
> ist?!

Weil das auch funktioniert wenn der Rechner gelocked ist. Dh man kommt so nicht an die Daten ran, kann aber Firewire anstecken, Abbild ziehen und damit die Keys fuer Truecrypt extrahieren.

Man könnte auch Bitlocker einfach ausschalten.

Ich kenne selbstverständlich gaaaaanz viele Desktops mit Firewire Anschluss...

ich dachte der Key wird nicht im Hauptspeicher gespeichert. Wird da nicht immer was von Treiberspeicher oder so genannt.

Keine Ahnung welcher Ring vom OS das ist.

In Deutschland gibt es ja Gott sei Dank keine "brutalen" Zugriffe ohne vorab zu klingeln ob der nette Herr Verdächtig anwesend ist.

Ich möchte wetten, dass ich schneller einen Stecker vom Rechner ziehe als das die Beamten dies schnallen.

Genau, die Sprengfallen und Stolperdrähte tun ihr übriges.. :)

> Weil das auch funktioniert wenn der Rechner gelocked ist. Dh man kommt so
> nicht an die Daten ran, kann aber Firewire anstecken, Abbild ziehen und
> damit die Keys fuer Truecrypt extrahieren.

Du meinst also wenn der Rechner gesperrt ist, startet die Software wie von Geisterhand?

Syph schrieb:
--------------------------------------------------------------------------------
> In Deutschland gibt es ja Gott sei Dank keine "brutalen" Zugriffe ohne
> vorab zu klingeln ob der nette Herr Verdächtig anwesend ist.
>
> Ich möchte wetten, dass ich schneller einen Stecker vom Rechner ziehe als
> das die Beamten dies schnallen.


Korrekt, wenn die Grünen bei mir vor der Tür stünden, einfach die Sicherung raus und gut ist - mal nebenbei: Firewire ist bei mir eh deaktiviert, weil ich diesen Anschluss ohnehin nicht benötige.

Aehhhhhhhh schrieb:
--------------------------------------------------------------------------------
> Was ist der tiefere Sinn etwas zu entschlüsseln, das bereits entschlüsselt
> ist?!

Das ist wohl vor allem dann interessant, wenn der PC noch gesperrt ist - er ist eingeschaltet, aber man hat das Zugangspasswort nicht. Es gibt eine Möglichkeit, auch dann über Firewire das Speicherabbild zu erstellen. Auf dem auszulesenden Rechner muss entsprechend nichts installiert werden, nur auf dem Rechner der Ermittler. Wird per USB-Stick damit gebootet, was auf den Screenshots im Artikel zu sehen ist.

Gruß
Christian Klaß
Golem.de

Ein neuer schrieb:
--------------------------------------------------------------------------------
> > Weil das auch funktioniert wenn der Rechner gelocked ist. Dh man kommt
> so
> > nicht an die Daten ran, kann aber Firewire anstecken, Abbild ziehen und
> > damit die Keys fuer Truecrypt extrahieren.
>
> Du meinst also wenn der Rechner gesperrt ist, startet die Software wie von
> Geisterhand?

JA, so in etwa. Denn sobald du ein Firewire-Gerät anschließt handeln die beiden "Punkte" z.B. die Adressierung aus. Und genau dort greift die Software, die auf einem anderen Rechner installiert ist, ein. Die Software muß also nicht auf dem gesperrten Rechner gestartet werden.

Daher FW im BIOS deaktivieren, ums es zu aktivieren bräuchte es einen Neustart. So zumindest meine Theorie.

Vermutlich lässt Firewire Zugriff auf das Speicherabbild des Rechners zu. Dann musste nichts installieren auf dem Ziel.

Man könnte natürlich auch einfach mal nachlesen wie es geht. Aber dann müsste man ja aufhören mit dem spekulieren :D

> Du meinst also wenn der Rechner gesperrt ist, startet die Software wie von
> Geisterhand?
Nö die schließen einen laptop per firewire an deinen rechner an und dann kann man weil es die spezifikationen von firewire so vorsehen einfach den hauptspeicher auslesen wenn der rechner angeschaltet ist

wobei natürlich auch cold boot atacken eine möglichkeit währen. RAM runterkühlen und rechner knallhart ausschalten und dann entweder mit einem linux starten dass ein memory dump erstellt (geht allerding etwas an informationen verloren da dass linux auch ram benötigt) oder ram ausbauen und in speziellen systemen auslesen (gab da wohl auch schon tests mit openbios so dass der ram inhalt nicht verändert wird)

Bei früheren Windows-Versionen war noch eine automatische Reboot-Option integriert, die dem hier geschilderten Ansinnen in die Parade gefahren wäre. Hieß "BlueScreen" oder so ähnlich ...

:)

Ein neuer schrieb:
--------------------------------------------------------------------------------
> > Weil das auch funktioniert wenn der Rechner gelocked ist. Dh man kommt
> so
> > nicht an die Daten ran, kann aber Firewire anstecken, Abbild ziehen und
> > damit die Keys fuer Truecrypt extrahieren.
>
> Du meinst also wenn der Rechner gesperrt ist, startet die Software wie von
> Geisterhand?
http://www.lostpassword.com/hdd-decryption.htm
Auf dem Zielrechner scheint man keine Software ausführen zu müssen. Das wiederum scheint mir entweder unglaubwürdig oder ein sicherheitsrelevanter Fehler zu sein.
Wie auch immer: Ich bin ratlos.

R2k schrieb:
--------------------------------------------------------------------------------
> Ein neuer schrieb:
> ---------------------------------------------------------------------------
> -----
> > > Weil das auch funktioniert wenn der Rechner gelocked ist. Dh man kommt
> > so
> > > nicht an die Daten ran, kann aber Firewire anstecken, Abbild ziehen
> und
> > > damit die Keys fuer Truecrypt extrahieren.
> >
> > Du meinst also wenn der Rechner gesperrt ist, startet die Software wie
> von
> > Geisterhand?
>
> JA, so in etwa. Denn sobald du ein Firewire-Gerät anschließt handeln die
> beiden "Punkte" z.B. die Adressierung aus. Und genau dort greift die
> Software, die auf einem anderen Rechner installiert ist, ein. Die Software
> muß also nicht auf dem gesperrten Rechner gestartet werden.

/me fragt sich gerade dann ob das abschalten der Firewire Treiben helfen würde.

Das wäre ja sonnst auch ein potentielles Sicherheitsrisiko für Firmendaten. Es gibt ja nicht nur Polizei sondern auch Industriespionagisten die an Daten wollen. Kurz mal an die Workstation eine Firewirewunderbox und schon hab ich alles was ich brauch.

Man braucht für diese Anwendung nur den Inhalt des Arbeitsspeichers.
Das System selber muss dabei nicht verändert werde, was forensisch sehr wichtig ist!

Bisher hat das mit drücken von Reset und minimalen Livesystem (~1MB) welches den Arbeitsspeicher auf USB-Platten kopiert auch funktioniert. Pech hatte man, wenn der KEY genau auf dem genutzen 1MB vom Livesystem lag (sehr unwahrscheinlich)...

Sofern das System vorher die Platte eingebunden hatte gilt:
Festplattenimage + Speicherimage = Dateizugriff

Automatisches auswerfen bei Inakivität ist da was feines ...

Syph schrieb:
--------------------------------------------------------------------------------
> In Deutschland gibt es ja Gott sei Dank keine "brutalen" Zugriffe ohne
> vorab zu klingeln ob der nette Herr Verdächtig anwesend ist.
>
> Ich möchte wetten, dass ich schneller einen Stecker vom Rechner ziehe als
> das die Beamten dies schnallen.


ohne dich enttäuschen zu wollen... Letzten Mittwoch, 4:37 klingelte es bei uns an der Haustür - die Grünen... wäre der rechner an gewesen, wäre so etwas möglich gewesen... obwohl ich glaube ich die Firewire Schnittstelle so oder so deaktiviert habe.

naja, wenigstens hatte ich keine raubkopien, finden werden die **** also nix - es ist schon erstaunlich, was in deutschland so alles für ne hausdurchsuchung reicht - Der besitz von rohlingen im masstab > 1000 scheint zu reichen, wenn die Streife das beim vorbeifahren sieht.



1 mal bearbeitet, zuletzt am 30.03.10 18:14 durch sh (golem.de).