Passwortklau durch gekühlten Speicher

Dieses Thema im Forum "Netzwelt" wurde erstellt von eFighter, 22. Februar 2008 .

Schlagworte:
  1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen
  1. #1 22. Februar 2008
    Quelle: Heise News

    Kommentar: Auch wenns mir persönlich nicht gefällt. Respekt. Ziemlich gute Idee, und Hochachtung vor der Umsetzung. Als Gegenzug würde mir persönlich jetzt nur die Kombination zwischen Schlüssel + Schlüsseldatei einfallen. Wobei Schlüsseldatei nur einmal auf Korrektheit geprüft wird, und dann nicht weiter im Speicher verweilt.
     

  2. Anzeige
    Heute: Deals & Sale mit stark reduzierten Angeboten finden.
  3. #2 24. Februar 2008
    AW: Passwortklau durch gekühlten Speicher

    Ist es aber nicht ziemlich schwer innerhalb einer Minute, nachdem ins Standby gehen eines Rechners, die Speicher auf -50° zu bringen? Weil der einzige Sinn, von einer Entschlüsselung von Passwörtern, ist das unbemerkte auslesen von Daten oder sehe ich da was falsch?
     
  4. #3 24. Februar 2008
    AW: Passwortklau durch gekühlten Speicher

    das habe ich mich auch grad gefragt
    wie bringst du nen RAM auf -50°C in einer Minute runter?
    und wie siehts aus wenn der rechner schon ne std aus is:D
     
  5. #4 24. Februar 2008
    AW: Passwortklau durch gekühlten Speicher

    mit trockeneis vielleicht,
    also kommen nun die polizisten mit ner flex, schneiden den pc auf und tuen den speicher direkt in trockeneis.

    also muss man mit denen erst noch 5 minuten diskutiern und dann ist auch wieder alles weg oder ?

    wobei trocken eis wesentlich kälter wird als -50 grad. ob da der speicher kaputt geht....

    fragen über fragen
     
  6. #5 24. Februar 2008
    AW: Passwortklau durch gekühlten Speicher

    man versteckt sich im schrank mit seiner flasche flüssigem stickstoff und sobald das opfer den pc abschalted und hoffentlich innerhalb von wenigen sekunden sofort den raum verlässt stürzt man aus dem schrank und begiest den ganzen pc mit flüssigem stickstoff :p
    is doch ganz einfach
    perfekte methode um an die passwörter zu kommen , einfacher gehts nun echt nichmehr
     
  7. #6 24. Februar 2008
    AW: Passwortklau durch gekühlten Speicher

    Auch wenn ich das für eher unwarscheinlich halte, so könnte ein Szenario so oder so ähnlich aussehen.

    Bei einer Hausdurchsuchung ist der Betroffene nicht zuhause, und die Beamten haben physikalischen Zugriff auf den Rechner. Dieser ist jedoch durch den Bildschirmschoner geschützt (oder andere Maßnahmen), und weiterere Versuche Zugriff zu erhalten scheitern.
    Der Computer wird ausgeschaltet - üblicherweise Strom aus weil shutdown ja nicht möglich - und die RAM Bausteine werden sofort nach dem Ausschalten entfernt und auf entsprechende Temperaturen gebracht (wie auch immer). Dieser Speicher könnte dann in einem kleinen mobilen Labor ausgelesen werden.

    So eine Prozedur ist ohne Probleme in 2-3, auf jeden Fall unter 5min durchführbar. Also technisch sicherlich kein Problem.
    (Noch) wird das Problem die finanzielle Unterstützung für solche Sachen sein.
    Aber wenn man andere Nachrichten mal verfolgt und sieht, dass die RIAA, Schwarzkopierer (in)direkt mit Terror und dessen Finanzierung in Verbindung bringt, ist es sicherlich nur noch eine Frage der Zeit bis auch hier nach solchen drastischen Mittel laut geschrien wird.
     
  8. #7 24. Februar 2008
    AW: Passwortklau durch gekühlten Speicher

    Wenn er ne Stunde aus ist bringt es nix muss wahrscheinlich direkt nachm ausscahlten erfolgen ;)

    Hammer echt respekt was die Leute an den Unis etc pp immer wieder für Experimente starten und dadurch ans Tageslicht bringen...
     
  9. #8 24. Februar 2008
    AW: Passwortklau durch gekühlten Speicher

    Aber man kann sich gegen solch eine Maßnahme doch rellativ einfach schützen das man den PC ausmacht und dann noch sich so verhält als das man mitbekommt das sich nicht innerhalb einer Minute eine Person dem Rechner nähert und den RAM einfriert. Ich finde nur die Idee dahinter gut... Kann man durch den Zugriff auf die Hardware dann auch alle anderen geräte auslesen wie zum Beispiel Festplatte oder so?
     
  10. #9 24. Februar 2008
    AW: Passwortklau durch gekühlten Speicher

    z.b. mit ner gecrypteten system platte von laptop siehts relativ schlecht aus. wer schaltet schon sein lappi immer aus und nie in standby?

    oder anders: die polizei kommt mit ihrer 'kühlbox' in dein raum, stecken den pc darein und tragen den runter zur mobilen daten lese station ;)

    im übrigen hat das thema 0,0000 mit ram (bausteinen) zu tun oO
     
  11. #10 25. Februar 2008
    AW: Passwortklau durch gekühlten Speicher

    Wort !
    Unbemerktes Auslesen von Passwörtern....
    Wenn ich meine EXE etc. mit Truecrypt öffne, mein PC dann Ausschalte schalte und dann wer in mein Zimmer rennt und mit flüssigem Stickstoff mein Rechner kühlt dann werde ich mir doch schon Gedanken machen.
    So entscheident ist nun diese Entdeckung nicht.
     
  12. #11 25. Februar 2008
    AW: Passwortklau durch gekühlten Speicher

    hab den artikel auf winfuture gelesen und da stand das ein bisschen anders, zudem war da auch ein video zu sehen. dort hat es gereicht den riegel mit eisspray zu besprühen um an den schlüssel zu kommen. Das hielt bis zu 10 Minuten.
     
  13. #12 25. Februar 2008
    "Eine lange Liste falscher Annahmen"

    "Eine lange Liste falscher Annahmen"
    Wer die Daten auf seinem Laptop auch im Falle eines Diebstahls schützen möchte, lässt das Betriebssystem die Festplatte vollständig verschlüsseln – moderne Rechnerumgebungen wie Mac OS X, Linux oder Windows Vista enthalten entsprechende Technologien standardmäßig, die dabei auf als unknackbar geltende Chiffrierungsalgorithmen setzen.

    Edward W. Felten, Professor für Informatik an der Princeton University, stellte nun in einer aufsehenerregenden Studie fest, dass sich diese Technologie mit einem Trick aushebeln lässt. Dazu reicht es schon aus, dass sich der Rechner im geschützten Schlafmodus befindet. Stopfen lässt sich die Sicherheitslücke hingegen nur mit einer erheblichen Aufgabe von Nutzungskomfort.

    Im Gespräch mit Technology Review erläutert Felten seine Methode – und die für viele Nutzer überraschenden Eigenschaften aktueller Rechentechnik, die das Forscherteam ausnutzte.


    Das Interview: Technology Review
     
  14. #13 26. Februar 2008
    Folgen des Princeton-Hauptspeicher-Hacks eingrenzbar

    Folgen des Princeton-Hauptspeicher-Hacks eingrenzbar
    Rechner nicht unbeaufsichtigt anlassen
    Vor wenigen Tagen berichteten Forscher der Universität Princeton, wie man die Daten aus dem Hauptspeicher des Rechners sowie den geheimen Schlüssel auslesen kann. Nun hat der Sicherheitsanbieter Utimaco darauf reagiert und zeigt Möglichkeiten auf, wie der Hack des Speicherinhalts im RAM vermieden werden kann.


    Das Unternehmen hält die Risiken durch die beschriebenen 'Cold-Boot-Attacken' für eingrenzbar, während die Princeton-Forscher in ihrem Bericht "Cold Boot Attacks on Encryption Keys" keine einfache Möglichkeit sehen, diesen Zugang zu verschließen.

    Die Forscher hatten die Flüchtigkeit der Speicherinhalte, die den unverschlüsselten Zugang zu den Informationen von eigentlich abgesicherten Dateisystemen preisgeben, durch den Einsatz von Kältespray deutlich verlangsamt.

    Utimaco betonte, dass der Datendiebstahl nur dann möglich sei, wenn der angegriffene Rechner unbeaufsichtigt zurückgelassen wird. Deshalb sollte der Rechner sinnvollerweise ausgeschaltet werden, wenn er verlassen wird, oder in einen verschlüsselten Ruhezustand versetzt werden. Noch eine höhere Sicherheit würde der Einsatz von mehreren Authentifizierungsmethoden bieten, so das Unternehmen.

    Der Einsatz von Smartcards, Tokens und biometrischen Anmeldeverfahren bietet weiteren Schutz, doch ist damit auch immer ein gewisser Komfortverlust verbunden. Außerdem ist der Benutzer fast nie gezwungen, sie zu benutzen und kann den Rechner auch verlassen, ohne ihn vorher abzusichern. Darüber hinaus gibt es Hardware-Sicherheitsmodule (HSM), die über eine Manipulationssicherheit durch physikalischen Schutz verfügen.


    quelle: Golem.de
     
  15. #14 26. Februar 2008
    AW: Passwortklau durch gekühlten Speicher

    Hab nicht viel Ahnung von der Technik die hinter TrueCrypt steht. Mag sein, dass die Frage doof ist, aber...

    wieso muss denn das Passwort im Speicher residieren. reicht nicht quasi ein Session Cookie, was nach einem Neustart des PCs seine Gültigkeit verliert?
     
  16. #15 27. Februar 2008
    AW: Passwortklau durch gekühlten Speicher

    Solange die Polizei nicht mit einer Druckluftflasche mit -50°C Luft auftaucht, sind die Speicher sicher ;)
     
  17. #16 27. Februar 2008
    AW: Passwortklau durch gekühlten Speicher

    naja, das problem ist ja, dass du nonstop auf daten zugreifst, die ja verschlüsselt sind - und deswegen muss truecrypt ja irgendwo diesen entschlüsselungs-key gespeichert haben, damit es drauf zugreifen kann, weils sonst von jetzt auf sofort aus dem verschlüsselten kram garnix mehr rausholen könnte - die platte wird ja nicht wirklich entschlüsselt, sondern nur die aktuellen daten

    dein pw werden sie dadurch zwar nicht rauskriegen, aber halt den gehashten encryption-key

    desweiteren glaub ich, dass die oben genannte methode mit der keyfile genauso schlecht ist, weil ja denn aus der datei und dem pw der encryption-hash gebildet wird, welcher dann ja genauso im ram vorhanden ist =(
     
  18. #17 27. Februar 2008
    AW: Passwortklau durch gekühlten Speicher

    ja das obere klingt einleuchtend. aber das mit dem keyfile mein ich anders. das keyfile wird nicht zur erstellung des hash genutzt, sondern es wird genau einmal zu beginn geprüft ob es passt, und dann erst gelangt man zur passworteingabe woraus sich der hash resultiert.

    wobei mir da auffällt, will ich eine 1:1 überprüfung des keyfiles zu beginn haben, müsste sich die entsprechende prüfsumme bereits irgendwo befinden. was sinnfrei ist, da hack-, crack-, sniff- sonstwas bar.
    Ergo: blöde Idee!


    Aber dieser tolle Trick zu sagen, man solle den PC ausmachen wenn man das Haus verlässt. Ja super. Bin ich zuhause hab ich locker ne halbe Stunde Zeit mich um die Platte zu kümmern und die zu zerstören. Bau ich Stolperfallen vor meinem Zimmer auf, dass dann der Strom gekappt wird -.- ^^
     
  19. #18 27. Februar 2008
    AW: Passwortklau durch gekühlten Speicher

    Das stimmt so leider nicht.
    In dem von mir weiter oben geposteten Interview erklärt der Professor auch, wie das ganze ohne Kälte funktioniert:

    Eine lange Liste falscher Annahmen | Technology Review
     
  20. #19 27. Februar 2008
    AW: Passwortklau durch gekühlten Speicher

    Dann kommt halt ein Update für Truecrypt wo den Ram mit "Müll" füllt sobald man den Rechner runter fahrt oder einfach ausschaltet. Oder das immer wenn der Rechner mal nicht benüzt wird und auch Truecrypt nicht, dass dann der Speicher überschrieben wird.
     
  21. #20 27. Februar 2008
    AW: Passwortklau durch gekühlten Speicher

    Wie muss ich mir das vorstellen? In ein bösartiges Betriebssystem?
    Vom USB-Stick? von CD?

    Weil wenn lediglich die Festplatte als 1st Boot Device angegeben ist, würde man warscheinlich zuviel Zeit verlieren, wenn man das im BIOS auch noch umstellt.
     
  22. #21 27. Februar 2008
    Zuletzt von einem Moderator bearbeitet: 15. April 2017
    AW: Passwortklau durch gekühlten Speicher

    Ich habe genau am gleichen Tag eine weiteres Video zu diesem Thema im Truecrypt 5 Thread gepostet. Nun muss man halt schauen wie man sich weiterhin verhält und was man ändert um trotzdem sicher zu sein.


    Truecrypt v6.x/v7.x- Erfahrung/Anleitung - Seite 2 - RR:Board
     
  23. #22 27. Februar 2008
    AW: Passwortklau durch gekühlten Speicher

    Der Speicher braucht ca 1-2 Minuten um seine Daten zu verlieren, das ist zwar eine menge zeit,
    aber die Beamten sind sicherlich nicht so schnell!
     
  24. #23 27. Februar 2008
    AW: Passwortklau durch gekühlten Speicher

    was lernen wir von dem ganze scheiß?
    -> rechner nich 24/7 laufen lassen, und wenn man länger weg geht oder ausm haus geht rechner ausschalten.

    mein pc is sowieso um 6-8 uhr aus wenn normalerweise hausdurchsuchungen sind, dann ist TrueCrypt ja immer noch unknackbar.
    Nur die Geeks die ihre PC 24/7 anlassen ham dann halt leider gelitten.

    oder wenn man merkt das die bullen vor der tür stehen schnell zum rechner rennen, strom ausschalten und die dann in ein gespräch verwickeln...

    so schwer ist es net 2-3 minuten totzuschlagen
     
  25. #24 27. Februar 2008
    AW: Passwortklau durch gekühlten Speicher

    es geht glaub cih mehr darum, das sowas möglich ist ....nicht wie schnell man sein müsste um an den rechner zu kommen ;-)

    denke dadrauf baut dann alles auf ^^
     
  26. #25 5. März 2008
    msramdmp - Princeton-Hauptspeicher-Hack via USB-Stick nutzen

    msramdmp - Princeton-Hauptspeicher-Hack via USB-Stick nutzen
    Kleines Programm schreibt den Hauptspeicherinhalt auf USB-Sticks
    Wesley McGrew hat ein Tool entwickelt, das die Idee der Cold-Boot-Attacke nutzt, um Passwörter im Arbeitsspeicher zu erspähen. Die Cold-Boot-Attacke macht sich zunutze, dass der Inhalt vom Arbeitsspeicher nicht sofort verschwindet. Wird ein Rechner schnell genug neu gestartet, ist so ein Zugriff auf die Daten möglich. Der McGrew Security RAM Dumper - kurz msramdmp - kann für diesen Zweck von einem USB-Stick gestartet werden und schreibt anschließend den Inhalt des Arbeitsspeichers auf den Stick.


    Der IT-Sicherheitsexperte Robert Wesley McGrew hat das Programm msramdmp geschrieben, da die Forscher der Princeton-Universität ihr eigenes Tool, um Speicher auszulesen, bisher noch nicht veröffentlicht haben. Um eine Cold-Boot-Attacke durchzuführen, braucht es neben dem Programm msramdmp nur einen ausreichend dimensionierten USB-Stick und ein kleines Linux. Das sollte beim Neustart des Rechners nicht zu viele Daten im Arbeitsspeicher überschreiben, denn auch das Angriffssystem muss Arbeitsspeicher nutzen, um lauffähig zu sein.

    Wesley McGrew nutzt hierfür ein SysLinux, auf dem msramdmp lauffähig ist. Dazu muss der Zielrechner jedoch in der Lage sein, von USB-Geräten zu starten. Kommt der Angreifer etwa nicht in ein passwortgeschütztes BIOS, kann dieser dort auch nicht die Boot-Reihenfolge entsprechend anpassen.

    Das Programm msramdmp ist inklusive Quellcode beim Autor verfügbar. Derzeit soll das Programm noch sehr langsam arbeiten; um herauszufinden, welche Programme eventuell Schlüssel leicht erkennbar im Arbeitsspeicher hinterlassen, genügt das jedoch.

    Um einem möglichen Angriff zu entgehen, sollte der Nutzer Rechner mit kritischen Daten möglichst nicht unbeaufsichtigt lassen.


    quelle: Golem.de
     

  27. Videos zum Thema
Die Seite wird geladen...
  • Annonce

  • Annonce