Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Forensic Disk Decryptor: Elcomsoft…

Ach was, ist total unglaublich!!!!!!

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Ach was, ist total unglaublich!!!!!!

    Autor: abdul el alamein 20.12.12 - 19:35

    Habe ein Programm laufen auf dem Rechner wo der Container gemountet ist, kopiere ich einfach alles ausm Container raus, ist viel einfacher...

    Manche Meldungen, wie diese, klingen nach Sensationsjournalismus a la "TRUECRYPT GEHACKERT!!!!!!!".

  2. Re: Ach was, ist total unglaublich!!!!!!

    Autor: Trollster 20.12.12 - 19:38

    Man könnte auch einfach nen KeyLogger installieren, .. viel einfacher und gibt es an jeder Ecke im Internet umsonst.


    Wenn ich physikalischen Zugriff auf einen PC hab, wo sich das gemountete Image befindet oder es gerade gemountet wird, ... dazu brauch man genau 0 Software.

  3. Re: Ach was, ist total unglaublich!!!!!!

    Autor: nie (Golem.de) 20.12.12 - 19:39

    Stimmt, das wäre die bessere Überschrift gewesen, Danke für den Hinweis ;)

    Im Übrigen geht es nicht darum, dass der Rechner laufen muss: Wenn die Container gemountet sind, und der PC in den Ruhezustand gesetzt wird, reicht ein Abbild der Festplatte. Oder Ausbau derselben.

    Nico Ernst
    Redaktion Golem.de

  4. Re: Ach was, ist total unglaublich!!!!!!

    Autor: nie (Golem.de) 20.12.12 - 19:49

    Also, nochmal erklärt: Es geht auch um Behörden, die zB einen PC beschlagnahmen. Ich halte es für nicht so unwahrscheinlich, dass es dabei auch gemountete Container gibt auf Rechnern, die nur in den Ruhezustand versetzt wurden.

  5. Re: Ach was, ist total unglaublich!!!!!!

    Autor: Fanti4ever 20.12.12 - 20:00

    Hier geht es um Computer Forensik. Ich gehe mal schwer davon aus, das davon die wenigsten Leute was verstehen. Ich bin da sicher auch kein Experte, kann aber folgendes aufklären:

    Klar kann man auf ein gemounteten Container auf einem laufenden Rechner zugreifen. Dummerweise ist alles, was sich darin befindet dann aber nicht mehr ohne weiteres vor Gericht verwendbar. Jeder Anwalt würde sofort argumentieren, dass eine Manipulation des Datenbestandes nicht ausgeschlossen werden kann und das Gegenteil kann niemand beweisen. Wie im Bericht angemerkt, wird für gerichtsfeste Beweisführung ausschließlich mit 1 zu 1 Kopien gearbeitet und niemals mit dem Original.

    Abgesehen davon stimmt auch die Aussage, man benötige keine Software um auf den Container zuzugreifen, wenn er gemountet ist, nicht. Oder habt ihr alle Betriebssysteme inklusive der mitgelieferten Tools als Chips vorliegen?

  6. Re: Ach was, ist total unglaublich!!!!!!

    Autor: robinx999 20.12.12 - 20:20

    Ich würde ja spontan sagen der Fall verschlüßelte Festplatte, der Rechner ist angeschaltet, der rechner befindet sich im gesperten zustand.
    Da wird es dann interessant mit einem Laptop über Firewire den Arbeitsspeicher des gesperrten Computers auszulesen und dann so die möglichkeit zu haben später an die verschlüsselte Festplatte zu zugreifen.
    Weil sonst wird es natürlich schwer an die daten zu kommen software installieren geht aufgrund der Sperre nicht. Bei einem Reboot kommt man nicht mehr an die Daten, da dann die verschlüsselung wieder greift. Klar man könnte es noch mit einer Cold Boot Atacke probieren.
    Wobei natürlich die Frage ist wieviele ermitlungsbehörden so vorgehen und nicht einfach die Computer ausschalten und später analysieren lassen. Und natürlich haben auch immer mehr Laptops überhaupt kein Firewire mehr.



    1 mal bearbeitet, zuletzt am 20.12.12 20:20 durch robinx999.

  7. Re: Ach was, ist total unglaublich!!!!!!

    Autor: Casandro 20.12.12 - 20:35

    Naja, der aktuelle Stand der Technik ist, dass man das 10 Minuten nach dem Ausschalten macht mit den verbleibenden Bits im Speicher verarbeitet. Da hat man zwar viele Bitfehler, aber das reicht um den Schlüssel zu finden, und die fehlenden Bits zu erraten. (Natürlich weiß man nicht welche Bits kaputt sind)

    Ach ja, Stand der Technik bei der Verschlüsselung ist es spezielle Register in der CPU zu nutzen um den Schlüssel zu speichern. Diese Register kann man dann extern nicht auslesen. Da gab es auf einem der Chaos Communication Congressen einen Vortrag dazu.

  8. Re: Ach was, ist total unglaublich!!!!!!

    Autor: Anonymer Nutzer 20.12.12 - 20:47

    Nichts Neues, jeder halbwes begabte ITler weiß doch das im Ruhezustand ein Speicherabbild des Rams auf die Festplatte geschrieben wird, deshalb ausschalten -> Problem gelöst.

  9. Re: Ach was, ist total unglaublich!!!!!!

    Autor: Bonita.M 20.12.12 - 20:58

    "System encryption provides the highest level of security and privacy, because all files, including any temporary files that Windows and applications create on the system partition (typically, without your knowledge or consent), hibernation files, swap files, etc., are always permanently encrypted (even when power supply is suddenly interrupted)."

    Also: System-Encryption stellt sicher, dass auch das Hibernate-File verschlüsselt ist.

  10. Re: Ach was, ist total unglaublich!!!!!!

    Autor: __destruct() 20.12.12 - 21:08

    Wer derartig dumm ist, einen PC mit einem gemounteten TC-Volume in den Ruhezustand zu versetzen, dem ist sowieso nicht mehr zu helfen.

  11. Re: Ach was, ist total unglaublich!!!!!!

    Autor: __destruct() 20.12.12 - 21:11

    "Wenn der PC mit entschlüsselten Volumes der Polizei übergeben und am besten davor noch konserviert wird, ist ein Auslesen der Daten möglich." You don't say?

  12. Re: Ach was, ist total unglaublich!!!!!!

    Autor: __destruct() 20.12.12 - 21:16

    Born2win schrieb:
    --------------------------------------------------------------------------------
    > Nichts Neues, jeder halbwes begabte ITler weiß doch das im Ruhezustand ein
    > Speicherabbild des Rams auf die Festplatte geschrieben wird, deshalb
    > ausschalten -> Problem gelöst.

    Das kommt schon fast der Aussage "Jeder halbwegs behabte IT-ler weiß, dass ein Computer einen Prozessor hat." gleich.

  13. Re: Ach was, ist total unglaublich!!!!!!

    Autor: abdul el alamein 21.12.12 - 09:39

    Ich finde die Art des wie der Artikel geschrieben ist trotzdem nicht gut. Das was das Tool macht ist, es parst den Memory-Dump und extrahiert den Schlüssel, mit dem es dann den Container entschlüsselt. Das konnte man auch vor dem Tool, nur eben manuell und mit viel Wissen um die Memory-Dumps und die Binärstruktur der Container-Files. Das Tool ist nichts neues an sich, das neue ist der Grad an Automatisierung. Im Übrigen warnt die Anleitung von TrueCrypt z.B. seit _Jahren_ davor, Ruhezustand zu benutzen (und auch Pagefile), wenn man keine Systemplattenverschlüsselung nutzt.

    "Memory-Dump Parser" klingt aber eben nicht so sensationalistisch wie "Verschlüsselung geknackt". Geknackt wurde da rein gar nichts, _nichts_.

    Edit: Typos



    1 mal bearbeitet, zuletzt am 21.12.12 09:48 durch abdul el alamein.

  14. Re: Ach was, ist total unglaublich!!!!!!

    Autor: erma 21.12.12 - 10:23

    Mal ne andere Frage: Ist es nicht so dass wenn ein Rechner sichergelstellt wurde mit einem verschlüsselten Container/ Partition, dass der Staatsanwalt dann argumentiert dass du schuldig bist, bzw. das Pwd. aushändigen musst um dies zu wiederlegen.

    Ich meine mal etwas gelesen zu haben dass die ganzen Musik/ Filmmedienklagen in diese Richtung gehen.

    Kann es mir zwar nicht vorstellen, da man die Aussage ja im Fall einer Eigenbelastung verweigern kann, aber klar ist auch dass wenn ich das Pwd, nicht herausrücke schon der Eindruck entstehen könnte.

    Gabs da auch nicht irgendwas mit; du bist so lange unschuldig bis die Schuld bewiesen ist?

    Hat jemand Infos zur genauen Rechtslage? Artikel, Links etc. ...?



    1 mal bearbeitet, zuletzt am 21.12.12 10:28 durch erma.

  15. Re: Ach was, ist total unglaublich!!!!!!

    Autor: abdul el alamein 21.12.12 - 10:33

    In Deutschland ist das immer noch so, dass man sich selbst nicht belasten muss. In UK gibt es ein Gesetzt, dass wenn du dein PW nicht rausrückst (oder z.B. vergessen hast) du im Knast landest.

  16. Viel einfacher

    Autor: dabbes 21.12.12 - 11:12

    das Passwort ist auf einem Zettel unter dem Mauspad ;-)

  17. Re: Viel einfacher

    Autor: robinx999 21.12.12 - 11:42

    dabbes schrieb:
    --------------------------------------------------------------------------------
    > das Passwort ist auf einem Zettel unter dem Mauspad ;-)

    Ne dass machen nur anfänger. Bei Profis ist das Passwort die Seriennummer der Maus ;-)

  18. Re: Viel einfacher

    Autor: posix 23.12.12 - 09:34

    Geht noch besser: Das PW ist eine Anordnung auf der Tastatur, ein Muster in einer gewissen Form.

    Vorteil: sehr einfach zu merken ,sicher und praktikabel. Da man nur das Muster nutzt merkt man sich nie wirklich das PW, und weiss es somit auch nicht xD

    Nachteil: Problematisch bei andersartigen Tastaturen^^

  19. Re: Viel einfacher

    Autor: __destruct() 23.12.12 - 10:32

    Noch viel problematischer: Wer das macht, ist ein Idiot.

    Nein, so wollte ich das nicht sagen. Nochmal: Wer das macht, ist ein Idiot und ihm ist nicht mehr zu helfen.

    Nein, so wollte ich das nicht sagen. Nochm.. ach, lassen wir das: Er ist auf jeden Fall ein Idiot.

    Begründung: Ich habe schon viele Listen über die beliebtesten Passwörter von irgendwas oder irgendwo gesehen und eigentlich immer war eine Anordnung auf der Tastatur unter den Top 5. Besonders beliebt sind 12456, qaywsx, qwerty und qwertz. Das hat natürlich zur Folge, dass in Passworttabellen haufenweise Anordnungen auf irgendwelchen Tastaturlayouts zu finden sind und derartige Passwörter deswegen binnen kurzer Zeit geknackt sind. Das gilt natürlich nicht nur für die 4 ganz billigen Varianten, sondern auch für andere. Diese 4 sind nur die häufigsten.

  20. Re: Viel einfacher

    Autor: paradigmshift 23.12.12 - 10:39

    __destruct() schrieb:
    --------------------------------------------------------------------------------
    > text

    Aber du bist hoffentlich schon mal auf die Idee gekommen, dass viele einfach ihrem, sagen wir mal Foren accs wenig Relevanz bemessen? Ich habe zwischen 6-16 stellige Passwörter. E-Mail und alles mit Klarnamenpflicht hat die höchste Sicherheit. Meine low security pws können ruhig kompromittiert werden. Ist so eine Art Zwiebelschalenmodell. Stört es mich wenn jemand meine Golem acc benutzt? Ist ja nicht meine IP über die dann gepostet wird.



    1 mal bearbeitet, zuletzt am 23.12.12 10:40 durch paradigmshift.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. BG-Phoenics GmbH, München
  2. Amprion GmbH, Pulheim-Brauweiler
  3. BG-Phoenics GmbH, Hannover
  4. Erwin Hymer Group SE, Bad Waldsee

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 99,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

Rabbids Coding angespielt: Hasenprogrammierung für Einsteiger
Rabbids Coding angespielt
Hasenprogrammierung für Einsteiger

Erst ein paar einfache Anweisungen, dann folgen Optimierungen: Mit dem kostenlos erhältlichen PC-Lernspiel Rabbids Coding von Ubisoft können Jugendliche und Erwachsene ein bisschen über Programmierung lernen und viel Spaß haben.
Von Peter Steinlechner

  1. Transport Fever 2 angespielt Wachstum ist doch nicht alles
  2. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  3. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle

IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

  1. Proteste in Hongkong: Hochrangige US-Politiker schreiben an Activision und Apple
    Proteste in Hongkong
    Hochrangige US-Politiker schreiben an Activision und Apple

    Alexandria Ocasio-Cortez, Marco Rubio und weitere Politiker der großen US-Parteien haben offene Briefe an die Chefs von Activision Blizzard und Apple geschrieben. Sie fordern darin, dass die Firmen nicht mehr die chinesische Regierung in deren Kampf gegen die Proteste in Hongkong unterstützen.

  2. Wing Aviation: Kommerzielle Warenlieferung per Drohne in USA gestartet
    Wing Aviation
    Kommerzielle Warenlieferung per Drohne in USA gestartet

    In den USA hat das zu Alphabet gehörende Unternehmen Wing Aviation die ersten Bestellungen per Drohne an Kunden ausgeliefert - unter anderem Schnupfenmittelchen.

  3. Office und Windows: Microsoft klagt gegen Software-Billiganbieter Lizengo
    Office und Windows
    Microsoft klagt gegen Software-Billiganbieter Lizengo

    Auffallend günstige Keys für Office 365 und Windows 10 bei Anbietern wie Edeka sind möglicherweise nicht legal. Nun geht Microsoft gegen Lizengo vor, einen der größten Anbieter solcher Software.


  1. 14:43

  2. 13:45

  3. 12:49

  4. 11:35

  5. 18:18

  6. 18:00

  7. 17:26

  8. 17:07