it-swarm.com.de

Kann ein professioneller Hacker auf den Inhalt zugreifen, wenn ein Windows-Laptop mit einer verschlüsselten Festplatte gestohlen wird?

Mit anderen Worten, wie einfach ist es, in Windows einzudringen, ohne die Kennwörter für einen der auf dem Computer konfigurierten Benutzer zu haben?

22
user3251930

Die Antwort auf Ihre Frage lautet, dass dies von einer Reihe von Faktoren abhängt.

  • Welches Festplattenverschlüsselungsprodukt wird verwendet? Verwendet es die vollständige Festplattenverschlüsselung oder verschlüsselt es nur Teile der Festplatte (z. B. das Home-Verzeichnis des Benutzers)?
  • Gibt es bekannte Schwachstellen im verwendeten Festplattenverschlüsselungsprodukt?
  • Welche Passwortstärke hat der Benutzer des gestohlenen Computers verwendet?
  • Hat der Benutzer etwas sehr Dummes getan, wie das Passwort auf einem Stück Papier in seiner Tasche zu haben?.
  • Ermöglicht das Festplattenverschlüsselungsprodukt effektive Offline-Angriffe oder kann es eine Sperrrichtlinie erzwingen, sodass nur eine begrenzte Anzahl von Vermutungen zulässig ist, bevor die Daten zerstört werden?
  • Wie entschlossen und gut finanziert sind die Angreifer? Im Fall von Angreifern auf Regierungsebene können sie die Software umgehen/hintertüren.

Letztendlich kommt es also darauf an. Im allgemeinen Fall kann ein nicht anspruchsvoller Angreifer, der Zugriff auf ein Festplatten-verschlüsseltes Laufwerk erhält, das mit einem sicheren Kennwort geschützt ist, das er nicht hat, wahrscheinlich keine Kompromisse eingehen, aber es spielen viele Variablen eine Rolle.

Bearbeiten: Gemäß den Kommentaren unten ist die obige Liste nicht erschöpfend, bietet aber hoffentlich eine Vorstellung von einigen der möglichen Variablen, die im Spiel sind.

39
Rory McCune

Ja. Mit einem Kaltstartangriff.

Abhängig von der Software, die zum Verschlüsseln Ihrer Daten verwendet wird, und wenn der Angreifer Ihren Laptop in die Hand nimmt, besteht eine gute Chance, dass er auf alles zugreifen kann, was er will, wenn er weiß, wie.

Das Problem liegt in der Tatsache, dass viele Tools zur Festplattenverschlüsselung, einschließlich BitLocker, die Schlüssel im RAM speichern. Der Trick zum Angriff besteht darin, das RAM abzukühlen .

Dieser Angriff beruht auf der Tatsache, dass das RAM in Ihrem Laptop seine Informationen auch nach einem Stromausfall für eine bestimmte Zeitspanne beibehält. Wenn Sie das RAM abkühlen, behält es seine Informationen ohne Strom länger bei . Die Forscher sprühten dazu Druckluft oder flüssigen Stickstoff auf die RAM Module, während der Laptop lief. Dann entfernten sie die Module und luden sie in ihr eigenes spezialisiertes System.

Cooling down memory

Bei allen unseren Beispiel-DRAMs waren die Abklingraten so niedrig, dass ein Angreifer, der die Stromversorgung für 60 Sekunden abschaltete, 99,9% der Bits korrekt wiederherstellte ... Dies legt nahe, dass selbst in modernen Speichermodulen Daten können für Stunden oder Tage bei ausreichender Kühlung wiederhergestellt werden.

Von dort aus konnten sie den Inhalt des Speichers untersuchen und nach wichtigen Informationen suchen wie DES-, AES- oder RSA-Schlüssel. Mithilfe von Algorithmen zum Scannen des geladenen Speichers können Sie Kryptoschlüssel erkennen.

Wir haben vollautomatische Techniken entwickelt, um symmetrische Verschlüsselungsschlüssel in Speicherbildern zu lokalisieren, selbst wenn Bitfehler vorliegen.

Unsere Experimente (siehe Abschnitt 3) zeigen, dass es möglich ist, Speicherinhalte mit wenigen Bitfehlern wiederherzustellen, selbst nachdem das System für kurze Zeit vom Stromnetz getrennt wurde.


Referenzen:

[1] J. Halderman et al. "Damit wir uns nicht erinnern: Kaltstartangriffe auf Verschlüsselungsschlüssel" (Website enthält einen Link zum Forschungsbericht).

34
Anthony

Wenn Ihr Computer NUR ein Kennwort für Benutzerkonten hat, ist dies äußerst einfach. Sie können einfach JEDE LiveCD laden und die Dateiberechtigungen werden ignoriert, wodurch der Angreifer die vollen Dateirechte erhält.

Wenn Sie eine Verschlüsselung haben, ist die Frage zu weit gefasst. Wir müssen wissen, welche Software Sie für die Verschlüsselung verwendet haben und so weiter. Ich kann meine Antwort erweitern, wenn Sie die von Ihnen verwendete Verschlüsselungssoftware bereitstellen.

14
Paul

Sie haben hier verschiedene Fragen:

Kann ein professioneller Hacker auf den Inhalt zugreifen, wenn ein Windows-Laptop mit einer verschlüsselten Festplatte gestohlen wird?

Ja.

Mit anderen Worten, wie einfach ist es, in Windows einzudringen, ohne die Kennwörter für einen der auf dem Computer konfigurierten Benutzer zu haben?

Angenommen, es handelt sich immer noch um einen Computer, dessen Festplatte mit dem integrierten BitLocker verschlüsselt ist, dann wissen wir, soweit wir wissen: Es ist nicht einfach.

========

Aber das ist nicht wirklich das zentrale Thema.

Die große Frage ist, ob der betreffende professionelle Hacker der Meinung ist, dass die Daten auf dem Laufwerk die Zeit und das Geld wert sind, die zum Knacken erforderlich sind. Wenn es sich um NSA) handelt und Sie Daten zu einem nationalen Sicherheitsproblem mit hoher Priorität haben, auf die vermutlich auf keine andere Weise zugegriffen werden kann (z. B. ist die Person, die das Kennwort kennt, "nicht verfügbar" "), dann werfen sie die Rechenleistung, die nötig ist, um sie zu knacken.

Wenn es sich jedoch um einen Laptop handelt, der von jemandem gestohlen wurde, der sich des Inhalts überhaupt nicht bewusst ist, wird er das Ding wahrscheinlich einfach neu formatieren und bei eBay kaufen. Heck, sie können es einfach verpfänden/ebay wie es ist.

Mit anderen Worten, die zentrale Frage läuft darauf hinaus, ob Sie nur ein Ziel der Gelegenheit (geringfügiger Diebstahl) oder ein Ziel der professionellen Überwachung waren. Wenn letzteres der Fall ist, können Sie darauf wetten, dass sie den Laptop nur dann mitgenommen haben, wenn sie das Gefühl hatten, über genügend Informationen zu verfügen, um problemlos auf den Laufwerksinhalt zugreifen zu können. Mit anderen Worten, sie haben es geschafft, Ihre Passwörter zu erhalten. Es ist normalerweise einfacher (dh billiger/schneller), moderne Überwachungstechniken zu verwenden, um ein eingegebenes Passwort zu belauschen, als eine solide Verschlüsselung zu knacken. Geräte zum Abhören von Tastenanschlägen oder sogar Lochkameras in einer Decke sind eine Option ...

Eine dritte Möglichkeit besteht darin, dass der Laptop von Ihrer örtlichen Polizei abgeholt wurde, als diese Sie festnahm. Aus diesem Grund ist es wahrscheinlich viel einfacher, Sie zu zwingen, die Passwörter preiszugeben (basierend auf den Gesetzen verschiedener Länder), als sich die Mühe zu machen, den Laptop zu knacken. Einige Länder haben ziemlich einseitige Gesetze, in denen es immer noch in Ihrem besten Interesse wäre, das Passwort für belastende Beweise aufzugeben, als zu schweigen.

11
NotMe

Hoffentlich wird die Festplatte mit BitLocker verschlüsselt, was bedeutet, dass Ihre Festplatte standardmäßig das erste Gerät ist, auf dem Ihr Laptop booten würde. Wenn der Hacker versucht, die Startreihenfolge zu ändern (lokales Administratorkennwort mit dem Linux-Tool zurücksetzen), wird der BitLocker gesperrt (zum Entsperren muss ein Wiederherstellungsschlüssel mit 48 Zeichen eingegeben werden). Wenn es dem Benutzer gelingt, die Festplatte zu zerlegen, wird die Festplatte als BitLocker ToGo behandelt, sodass dieselbe Sperrrichtlinie gilt.

4
Din_Jenggo

Jetzt ist es an der Zeit, eine grundlegende Eigenschaft des Bereichs der Informationssicherheit, die sich auf die vorliegende Debatte bezieht, explizit herauszustellen:

Dies ist kein Spiel. Es gibt keine Regeln.

Lassen Sie uns sehen, was dies bedeutet, indem Sie zuerst die "technische Antwort" überprüfen (die durch andere Antworten auf diese Frage erweitert wurde). Der "professionelle Hacker" wird in Schach gehalten, wenn alle der folgenden Bedingungen erfüllt sind:

  • Das Verschlüsselungssystem für die gesamte Festplatte ist diesen Namen wert.
  • Wenn Sie ganz sagen, meinen Sie ganz. Virtueller Speicher Speicherplatz (auch "Swap-Partitionen" oder "Swap-Dateien" genannt) muss ebenfalls verschlüsselt werden.
  • Das Entsperrkennwort ist stark ( hohe Entropie ).
  • Als der Laptop gestohlen wurde, war er nicht mit Strom versorgt und ordnungsgemäß heruntergefahren (nicht in den Ruhezustand oder Ruhezustand versetzt, sondern wirklich heruntergefahren).
  • Der Dieb läuft mit dem Laptop, kommt aber nicht zurück.

Der Punkt, an dem der Laptop heruntergefahren wird, ist für Kaltstartangriffe . Nach einigen Minuten des Herunterfahrens gehen die Inhalte von RAM definitiv verloren - während "Sleeping" und "Hibernation" Techniken sind, um die Inhalte von RAM) beizubehalten irgendwo am Leben (entweder indem Sie den Akku verwenden, um das RAM) mit Strom zu versorgen, oder indem Sie den Inhalt auf der Festplatte speichern).


Der wichtige Punkt ist jedoch der letzte. Alle diese technischen Überlegungen sind nur dann bezeichnend, wenn der Dieb verpflichtet genug ist, die "Einsatzregeln" zu akzeptieren, um im angegebenen Kontext zu operieren. Der Dieb hat nämlich vorübergehend physischen Zugriff auf den Laptop und greift einfach danach. Er versucht beispielsweise nicht, einen Schlüsselprotokollierungsapparat oder ein anderes Backdoor-System in den Laptop einzufügen und ihn dann an Ort und Stelle zu lassen, damit der Benutzer, ohne die Intervention des Hackers zu ahnen, sein Passwort schuldlos erneut eingibt und alle seine tiefsten Geheimnisse aufdeckt .

Hier ist das Szenario unrealistisch. Wir sprechen von einem Profi Hacker. Per Definition lebt dieser Hacker von seinen Aktivitäten. Er ist an Ihren Informationen interessiert und wird sich nicht gezwungen fühlen, nur im Rahmen einer idealen Geschichte zu handeln. Die erfolgreichsten "Hacking" -Geschichten enthalten häufig als zentrales Element eine nichttechnische Aktion, die normalerweise als Social Engineering bezeichnet wird (wobei der Begriff "Engineering" die Tatsache widerlegt, dass es sich tatsächlich nicht um eine solche handelt Ingenieurwesen, aber Psychologie und Soziologie) oder einfacher regelrechter Einbruch. Um Chamberlains Zitat (ab) zu verwenden: Der professionelle Hacker ist kein Gentleman.

Wenn wir jetzt über einen Amateur Hacker sprechen, dann ändern sich die Dinge ziemlich stark. Die Situation wird wie folgt:

Mein Laptop wurde gestohlen. Ich habe die Verschlüsselung der gesamten Festplatte verwendet. Wird der Dieb (der hinter der Hardware her war, nicht die Informationen) in der Lage sein, auch das Google Mail-Passwort wiederherzustellen und meine Konten zu stehlen?

In diesem Fall haben wir tatsächliche Tatsachen, die in der physischen Welt geschehen sind, und somit eine feste Grundlage für den Kontext, in dem die Frage stattfindet. Der Laptop wurde gestohlen, nicht stillschweigend modifiziert. Wer auch immer die Tat getan hat, war zum Zeitpunkt des Diebstahls kein professioneller Hacker, der auf die Daten abzielte. Vielmehr war es ein opportunistischer Zuschauer, der dachte, er könne mit dem Laptop selbst ein paar Dollar verdienen. Wenn dies der Fall ist, wird eine ordnungsgemäß implementierte und angewendete Verschlüsselung der gesamten Festplatte, die mit einem sicheren Kennwort auf einem vollständig ausgeschalteten Laptop geschützt ist, den Tag retten, da die Kosten auf den Verlust und die mangelnde Verfügbarkeit der Hardware begrenzt werden.

4
Tom Leek

Dies hängt von der Codierungssoftware ab. Wenn BitLocker verwendet wird, kann nur das BitLocker-Kennwort geknackt werden, was bei einem Wörterbuchangriff nicht hoffnungslos ist. Den Bitlocker-Schlüssel zu knacken ist normalerweise hoffnungslos.