Passwortklau durch gekühlten Speicher

eFighter · 22. Februar 2008

Festplatten- und Datei-Verschlüsselung mit Bitlocker unter Vista, dm-crypt in Linux, mit TrueCrypt oder auch Apples FileVault galt bislang als sicher. Forscher der Princeton University haben nun demonstriert, wie man mit physischem Zugriff auf angeschaltete Rechner oder Rechner im Standby-Modus mit einfachen Mitteln an die Schlüssel zur Entschlüsselung gelangen kann.

Die Forscher nutzen den Effekt aus, dass Daten im DRAM nicht sofort nach der Kappung der Stromzufuhr verloren gehen, sondern erst nach einem kurzen Zeitraum von wenigen Sekunden bis hin zu einer Minute. Die Daten lassen sich durch Kühlung noch länger haltbar machen: Durch Kühlung der Speicherchips mit Druckluft aus Druckluftflaschen auf -50 °C blieben Speicherinhalte mit nur sehr geringer Fehlerrate mehrere Minuten erhalten. Bei der Kühlung mit flüssigem Stickstoff erreichten die Forscher eine Haltbarkeit der Daten im Stundenbereich.

Um die Daten auszulesen, haben die Princeton-Forscher kleine Programme geschrieben, die über USB-Stick, Intels Preboot Execution Environment (PXE) oder den BIOS-Nachfolger Extensible Firmware Interface (EFI) geladen werden und das Erstellen von Speicherabbildern ermöglichen. Dabei überschreiben jedoch das BIOS und das Image-Programm kleine Bereiche des Speichers, was dem Forschungsbericht zufolge aber kein Problem darstellen soll.

In den Speicherabbildern kann man nach den Schlüsseln für die Festplattenverschlüsselung suchen. Da nach dem Ausschalten schon Informationen in den Speicherzellen verloren gegangen sein können, haben die Forscher einige Algorithmen entwickelt, mit denen sie Passwörter auch bei geringen Fehlern aufspüren und in kurzer Zeit wiederherstellen können.

Die Forscher haben die Entwickler von Microsoft, Apple, TrueCrypt und die Linux-Kernel-Entwickler über die DRAM-Schwachstelle informiert, sehen aber kaum Möglichkeiten, sie abzudichten. Bei Notebooks mit kritischen Daten auf verschlüsselten Festplatten hilft beispielsweise das Ausschalten, wobei die Daten nach kurzer Zeit vollständig gelöscht werden, anstatt sie in den Standby-Modus zu versetzen.

Der neue Angriff erinnert an das spezielle Forensik-System HotPlug, das ebenfalls physikalischen Zugang zum Gerät erfordert. Mit ihm ist es möglich, einen netzgebundenen Rechner im laufenden Betrieb auf eine mobile USV-Stromversorgung umzustellen, damit die Zugriffsschlüssel für die nachfolgende Untersuchung im Arbeitsspeicher verbleiben.

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Quelle: Heise News

Kommentar: Auch wenns mir persönlich nicht gefällt. Respekt. Ziemlich gute Idee, und Hochachtung vor der Umsetzung. Als Gegenzug würde mir persönlich jetzt nur die Kombination zwischen Schlüssel + Schlüsseldatei einfallen. Wobei Schlüsseldatei nur einmal auf Korrektheit geprüft wird, und dann nicht weiter im Speicher verweilt.

Anzeige

niD · 24. Februar 2008

AW: Passwortklau durch gekühlten Speicher

Ist es aber nicht ziemlich schwer innerhalb einer Minute, nachdem ins Standby gehen eines Rechners, die Speicher auf -50° zu bringen? Weil der einzige Sinn, von einer Entschlüsselung von Passwörtern, ist das unbemerkte auslesen von Daten oder sehe ich da was falsch?

dernick · 24. Februar 2008

AW: Passwortklau durch gekühlten Speicher

das habe ich mich auch grad gefragt
wie bringst du nen RAM auf -50°C in einer Minute runter?
und wie siehts aus wenn der rechner schon ne std aus is

Richie · 24. Februar 2008

AW: Passwortklau durch gekühlten Speicher

mit trockeneis vielleicht,
also kommen nun die polizisten mit ner flex, schneiden den pc auf und tuen den speicher direkt in trockeneis.

also muss man mit denen erst noch 5 minuten diskutiern und dann ist auch wieder alles weg oder ?

wobei trocken eis wesentlich kälter wird als -50 grad. ob da der speicher kaputt geht....

fragen über fragen

saw · 24. Februar 2008

AW: Passwortklau durch gekühlten Speicher

man versteckt sich im schrank mit seiner flasche flüssigem stickstoff und sobald das opfer den pc abschalted und hoffentlich innerhalb von wenigen sekunden sofort den raum verlässt stürzt man aus dem schrank und begiest den ganzen pc mit flüssigem stickstoff
is doch ganz einfach
perfekte methode um an die passwörter zu kommen , einfacher gehts nun echt nichmehr

eFighter · 24. Februar 2008

AW: Passwortklau durch gekühlten Speicher

Auch wenn ich das für eher unwarscheinlich halte, so könnte ein Szenario so oder so ähnlich aussehen.

Bei einer Hausdurchsuchung ist der Betroffene nicht zuhause, und die Beamten haben physikalischen Zugriff auf den Rechner. Dieser ist jedoch durch den Bildschirmschoner geschützt (oder andere Maßnahmen), und weiterere Versuche Zugriff zu erhalten scheitern.
Der Computer wird ausgeschaltet - üblicherweise Strom aus weil shutdown ja nicht möglich - und die RAM Bausteine werden sofort nach dem Ausschalten entfernt und auf entsprechende Temperaturen gebracht (wie auch immer). Dieser Speicher könnte dann in einem kleinen mobilen Labor ausgelesen werden.

So eine Prozedur ist ohne Probleme in 2-3, auf jeden Fall unter 5min durchführbar. Also technisch sicherlich kein Problem.
(Noch) wird das Problem die finanzielle Unterstützung für solche Sachen sein.
Aber wenn man andere Nachrichten mal verfolgt und sieht, dass die RIAA, Schwarzkopierer (in)direkt mit Terror und dessen Finanzierung in Verbindung bringt, ist es sicherlich nur noch eine Frage der Zeit bis auch hier nach solchen drastischen Mittel laut geschrien wird.

romestylez · 24. Februar 2008

AW: Passwortklau durch gekühlten Speicher

Wenn er ne Stunde aus ist bringt es nix muss wahrscheinlich direkt nachm ausscahlten erfolgen

Hammer echt respekt was die Leute an den Unis etc pp immer wieder für Experimente starten und dadurch ans Tageslicht bringen...

niD · 24. Februar 2008

AW: Passwortklau durch gekühlten Speicher

Aber man kann sich gegen solch eine Maßnahme doch rellativ einfach schützen das man den PC ausmacht und dann noch sich so verhält als das man mitbekommt das sich nicht innerhalb einer Minute eine Person dem Rechner nähert und den RAM einfriert. Ich finde nur die Idee dahinter gut... Kann man durch den Zugriff auf die Hardware dann auch alle anderen geräte auslesen wie zum Beispiel Festplatte oder so?

enel · 24. Februar 2008

AW: Passwortklau durch gekühlten Speicher

z.b. mit ner gecrypteten system platte von laptop siehts relativ schlecht aus. wer schaltet schon sein lappi immer aus und nie in standby?

oder anders: die polizei kommt mit ihrer 'kühlbox' in dein raum, stecken den pc darein und tragen den runter zur mobilen daten lese station

im übrigen hat das thema 0,0000 mit ram (bausteinen) zu tun oO

Docean · 25. Februar 2008

AW: Passwortklau durch gekühlten Speicher

Wort !
Unbemerktes Auslesen von Passwörtern....
Wenn ich meine EXE etc. mit Truecrypt öffne, mein PC dann Ausschalte schalte und dann wer in mein Zimmer rennt und mit flüssigem Stickstoff mein Rechner kühlt dann werde ich mir doch schon Gedanken machen.
So entscheident ist nun diese Entdeckung nicht.

Neightality · 25. Februar 2008

AW: Passwortklau durch gekühlten Speicher

hab den artikel auf winfuture gelesen und da stand das ein bisschen anders, zudem war da auch ein video zu sehen. dort hat es gereicht den riegel mit eisspray zu besprühen um an den schlüssel zu kommen. Das hielt bis zu 10 Minuten.

zwa3hnn · 25. Februar 2008

"Eine lange Liste falscher Annahmen"

"Eine lange Liste falscher Annahmen"
Wer die Daten auf seinem Laptop auch im Falle eines Diebstahls schützen möchte, lässt das Betriebssystem die Festplatte vollständig verschlüsseln – moderne Rechnerumgebungen wie Mac OS X, Linux oder Windows Vista enthalten entsprechende Technologien standardmäßig, die dabei auf als unknackbar geltende Chiffrierungsalgorithmen setzen.

Edward W. Felten, Professor für Informatik an der Princeton University, stellte nun in einer aufsehenerregenden Studie fest, dass sich diese Technologie mit einem Trick aushebeln lässt. Dazu reicht es schon aus, dass sich der Rechner im geschützten Schlafmodus befindet. Stopfen lässt sich die Sicherheitslücke hingegen nur mit einer erheblichen Aufgabe von Nutzungskomfort.

Im Gespräch mit Technology Review erläutert Felten seine Methode – und die für viele Nutzer überraschenden Eigenschaften aktueller Rechentechnik, die das Forscherteam ausnutzte.

Das Interview: Technology Review

zwa3hnn · 26. Februar 2008

Folgen des Princeton-Hauptspeicher-Hacks eingrenzbar

Folgen des Princeton-Hauptspeicher-Hacks eingrenzbar
Rechner nicht unbeaufsichtigt anlassen
Vor wenigen Tagen berichteten Forscher der Universität Princeton, wie man die Daten aus dem Hauptspeicher des Rechners sowie den geheimen Schlüssel auslesen kann. Nun hat der Sicherheitsanbieter Utimaco darauf reagiert und zeigt Möglichkeiten auf, wie der Hack des Speicherinhalts im RAM vermieden werden kann.

Das Unternehmen hält die Risiken durch die beschriebenen 'Cold-Boot-Attacken' für eingrenzbar, während die Princeton-Forscher in ihrem Bericht "Cold Boot Attacks on Encryption Keys" keine einfache Möglichkeit sehen, diesen Zugang zu verschließen.

Die Forscher hatten die Flüchtigkeit der Speicherinhalte, die den unverschlüsselten Zugang zu den Informationen von eigentlich abgesicherten Dateisystemen preisgeben, durch den Einsatz von Kältespray deutlich verlangsamt.

Utimaco betonte, dass der Datendiebstahl nur dann möglich sei, wenn der angegriffene Rechner unbeaufsichtigt zurückgelassen wird. Deshalb sollte der Rechner sinnvollerweise ausgeschaltet werden, wenn er verlassen wird, oder in einen verschlüsselten Ruhezustand versetzt werden. Noch eine höhere Sicherheit würde der Einsatz von mehreren Authentifizierungsmethoden bieten, so das Unternehmen.

Der Einsatz von Smartcards, Tokens und biometrischen Anmeldeverfahren bietet weiteren Schutz, doch ist damit auch immer ein gewisser Komfortverlust verbunden. Außerdem ist der Benutzer fast nie gezwungen, sie zu benutzen und kann den Rechner auch verlassen, ohne ihn vorher abzusichern. Darüber hinaus gibt es Hardware-Sicherheitsmodule (HSM), die über eine Manipulationssicherheit durch physikalischen Schutz verfügen.

quelle: Golem.de

eFighter · 26. Februar 2008

AW: Passwortklau durch gekühlten Speicher

Hab nicht viel Ahnung von der Technik die hinter TrueCrypt steht. Mag sein, dass die Frage doof ist, aber...

wieso muss denn das Passwort im Speicher residieren. reicht nicht quasi ein Session Cookie, was nach einem Neustart des PCs seine Gültigkeit verliert?

6000Loader · 27. Februar 2008

AW: Passwortklau durch gekühlten Speicher

Solange die Polizei nicht mit einer Druckluftflasche mit -50°C Luft auftaucht, sind die Speicher sicher

bloodyphoenix · 27. Februar 2008

AW: Passwortklau durch gekühlten Speicher

naja, das problem ist ja, dass du nonstop auf daten zugreifst, die ja verschlüsselt sind - und deswegen muss truecrypt ja irgendwo diesen entschlüsselungs-key gespeichert haben, damit es drauf zugreifen kann, weils sonst von jetzt auf sofort aus dem verschlüsselten kram garnix mehr rausholen könnte - die platte wird ja nicht wirklich entschlüsselt, sondern nur die aktuellen daten

dein pw werden sie dadurch zwar nicht rauskriegen, aber halt den gehashten encryption-key

desweiteren glaub ich, dass die oben genannte methode mit der keyfile genauso schlecht ist, weil ja denn aus der datei und dem pw der encryption-hash gebildet wird, welcher dann ja genauso im ram vorhanden ist =(

eFighter · 27. Februar 2008

AW: Passwortklau durch gekühlten Speicher

ja das obere klingt einleuchtend. aber das mit dem keyfile mein ich anders. das keyfile wird nicht zur erstellung des hash genutzt, sondern es wird genau einmal zu beginn geprüft ob es passt, und dann erst gelangt man zur passworteingabe woraus sich der hash resultiert.

wobei mir da auffällt, will ich eine 1:1 überprüfung des keyfiles zu beginn haben, müsste sich die entsprechende prüfsumme bereits irgendwo befinden. was sinnfrei ist, da hack-, crack-, sniff- sonstwas bar.
Ergo: blöde Idee!

Aber dieser tolle Trick zu sagen, man solle den PC ausmachen wenn man das Haus verlässt. Ja super. Bin ich zuhause hab ich locker ne halbe Stunde Zeit mich um die Platte zu kümmern und die zu zerstören. Bau ich Stolperfallen vor meinem Zimmer auf, dass dann der Strom gekappt wird -.- ^^

zwa3hnn · 27. Februar 2008

AW: Passwortklau durch gekühlten Speicher

Das stimmt so leider nicht.
In dem von mir weiter oben geposteten Interview erklärt der Professor auch, wie das ganze ohne Kälte funktioniert:

Felten: Nun, die Dechiffrierungsschlüssel bei einer Festplattenverschlüsselung sitzen immer irgendwo im DRAM-Speicher. Um an sie heranzukommen, schaltet der Angreifer zunächst den Strom des Rechners aus und stellt die Energieversorgung dann gleich wieder her. Dann bootet er die Maschine in ein spezielles, böswilliges Betriebssystem hinein. Zu diesem Zeitpunkt enthält der Speicher noch immer die Originalinformationen, die verfügbar waren, als der Rechner noch nicht abgeschaltet wurde – die gewünschten Schlüssel natürlich auch. Das kurze Abschalten des Stroms hat daran rein gar nichts geändert. Der Angreifer kann dann die gewünschten Dechiffrierungsschlüssel aus dem Speicher auslesen und damit die geschützten Informationen auf der Festplatte jederzeit entschlüsseln.

TR: Das Video, in dem Sie diesen Ansatz demonstrieren, wirkt wie ein Science-fiction-Film – der Speicherchip wird entnommen und Sie verwenden flüssigen Stickstoff, um ihn zu kühlen.

Felten: Eigentlich sind solche Tricks in der Praxis gar nicht notwendig. Normalerweise kann der Angreifer den Strom so schnell ab- und wieder andrehen, dass man die Chips gar nicht kühlen muss.

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Eine lange Liste falscher Annahmen | Technology Review

rockenderzwerg8 · 27. Februar 2008

AW: Passwortklau durch gekühlten Speicher

Dann kommt halt ein Update für Truecrypt wo den Ram mit "Müll" füllt sobald man den Rechner runter fahrt oder einfach ausschaltet. Oder das immer wenn der Rechner mal nicht benüzt wird und auch Truecrypt nicht, dass dann der Speicher überschrieben wird.

eFighter · 27. Februar 2008

AW: Passwortklau durch gekühlten Speicher

Wie muss ich mir das vorstellen? In ein bösartiges Betriebssystem?
Vom USB-Stick? von CD?

Weil wenn lediglich die Festplatte als 1st Boot Device angegeben ist, würde man warscheinlich zuviel Zeit verlieren, wenn man das im BIOS auch noch umstellt.

SuN oF a BeAcH · 27. Februar 2008

AW: Passwortklau durch gekühlten Speicher

Ich habe genau am gleichen Tag eine weiteres Video zu diesem Thema im Truecrypt 5 Thread gepostet. Nun muss man halt schauen wie man sich weiterhin verhält und was man ändert um trotzdem sicher zu sein.

Truecrypt v6.x/v7.x- Erfahrung/Anleitung - Seite 2 - RR:Board

6000Loader · 27. Februar 2008

AW: Passwortklau durch gekühlten Speicher

Der Speicher braucht ca 1-2 Minuten um seine Daten zu verlieren, das ist zwar eine menge zeit,
aber die Beamten sind sicherlich nicht so schnell!

Lord_Roke · 27. Februar 2008

AW: Passwortklau durch gekühlten Speicher

was lernen wir von dem ganze scheiß?
-> rechner nich 24/7 laufen lassen, und wenn man länger weg geht oder ausm haus geht rechner ausschalten.

mein pc is sowieso um 6-8 uhr aus wenn normalerweise hausdurchsuchungen sind, dann ist TrueCrypt ja immer noch unknackbar.
Nur die Geeks die ihre PC 24/7 anlassen ham dann halt leider gelitten.

oder wenn man merkt das die bullen vor der tür stehen schnell zum rechner rennen, strom ausschalten und die dann in ein gespräch verwickeln...

so schwer ist es net 2-3 minuten totzuschlagen

Semper · 27. Februar 2008

AW: Passwortklau durch gekühlten Speicher

es geht glaub cih mehr darum, das sowas möglich ist ....nicht wie schnell man sein müsste um an den rechner zu kommen ;-)

denke dadrauf baut dann alles auf ^^

zwa3hnn · 5. März 2008

msramdmp - Princeton-Hauptspeicher-Hack via USB-Stick nutzen

msramdmp - Princeton-Hauptspeicher-Hack via USB-Stick nutzen
Kleines Programm schreibt den Hauptspeicherinhalt auf USB-Sticks
Wesley McGrew hat ein Tool entwickelt, das die Idee der Cold-Boot-Attacke nutzt, um Passwörter im Arbeitsspeicher zu erspähen. Die Cold-Boot-Attacke macht sich zunutze, dass der Inhalt vom Arbeitsspeicher nicht sofort verschwindet. Wird ein Rechner schnell genug neu gestartet, ist so ein Zugriff auf die Daten möglich. Der McGrew Security RAM Dumper - kurz msramdmp - kann für diesen Zweck von einem USB-Stick gestartet werden und schreibt anschließend den Inhalt des Arbeitsspeichers auf den Stick.

Der IT-Sicherheitsexperte Robert Wesley McGrew hat das Programm msramdmp geschrieben, da die Forscher der Princeton-Universität ihr eigenes Tool, um Speicher auszulesen, bisher noch nicht veröffentlicht haben. Um eine Cold-Boot-Attacke durchzuführen, braucht es neben dem Programm msramdmp nur einen ausreichend dimensionierten USB-Stick und ein kleines Linux. Das sollte beim Neustart des Rechners nicht zu viele Daten im Arbeitsspeicher überschreiben, denn auch das Angriffssystem muss Arbeitsspeicher nutzen, um lauffähig zu sein.

Wesley McGrew nutzt hierfür ein SysLinux, auf dem msramdmp lauffähig ist. Dazu muss der Zielrechner jedoch in der Lage sein, von USB-Geräten zu starten. Kommt der Angreifer etwa nicht in ein passwortgeschütztes BIOS, kann dieser dort auch nicht die Boot-Reihenfolge entsprechend anpassen.

Das Programm msramdmp ist inklusive Quellcode beim Autor verfügbar. Derzeit soll das Programm noch sehr langsam arbeiten; um herauszufinden, welche Programme eventuell Schlüssel leicht erkennbar im Arbeitsspeicher hinterlassen, genügt das jedoch.

Um einem möglichen Angriff zu entgehen, sollte der Nutzer Rechner mit kritischen Daten möglichst nicht unbeaufsichtigt lassen.

quelle: Golem.de

Nützliche Suchen

Passwortklau durch gekühlten Speicher

Videos zum Themenbereich