redknight schrieb:

salzkraftwerk schrieb:

Das Szenario von Angriffen über HDMI und andere Schnittstellen besteht immer. Somit auch nachdem du das System (oder Teile davon) gewipet und neu eingerichtet hast. Somit würde ich das aus dieser Betrachtung ausschließen -> Bei Bedarf neues Thema.

Kann es sein, dass Du da etwas verwechselst? HDMI ist ein Multimedia-Interfac

Er meint im Bezug auf das Auslesen des Hauptspeichers das Folgende über firewire unter "Angriffsmöglichkeiten" in einem verschlüsselten System, um das Passwort zu erlangen:

http://de.wikipedia.org/wiki/Festplattenverschl%C3%BCsselung

Das ist für gewisse Zeit auch noch nach dem Ausschalten des PC möglich. Wird das Passwort für das verschlüsselte System dabei erlangt, kann auf das System zugegriffen werden und nicht endgültig gelöschte Daten können wieder rekonstruiert werden.

Black Hat schrieb:

Er meint im Bezug auf das Auslesen des Hauptspeichers das Folgende über firewire unter "Angriffsmöglichkeiten" in einem verschlüsselten System, um das Passwort zu erlangen:

http://de.wikipedia.org/wiki/Festplattenverschl%C3%BCsselung

Das ist für gewisse Zeit auch noch nach dem Ausschalten des PC möglich.

Für ein paar Minuten. Und das wurde unter Laborbedingungen festgestellt. Sagen wir es mal so, wenn es jemand schafft das in der Realität in der kurzen Zeit durchzuführen, ohne das du was merkst, dann RESPEKT! Da müsste man ja sofort nachdem du den Rechner ausgeschaltet hast anfangen wieder zu booten, den RAM idealerweise kühlen (zu diesem Zweck den Rechner vorher aufschrauben) … während du vermutlich noch auf dem Weg vom Rechner zur Wonungstür bist.

Nein, ich glaube wenn man so „nah dran“ ist, um so ein Vorhaben tatsächlich umzusetzen (man müsste natürlich vorher von der Verschlüsselung wissen), da gibt es dann bessere Methoden.

Und mit Firewire oder HDMI hat das immer noch gar nichts zu tun.

~jug

jug schrieb:

Black Hat schrieb:

Er meint im Bezug auf das Auslesen des Hauptspeichers das Folgende über firewire unter "Angriffsmöglichkeiten" in einem verschlüsselten System, um das Passwort zu erlangen:

http://de.wikipedia.org/wiki/Festplattenverschl%C3%BCsselung

Das ist für gewisse Zeit auch noch nach dem Ausschalten des PC möglich.

Für ein paar Minuten. Und das wurde unter Laborbedingungen festgestellt. Sagen wir es mal so, wenn es jemand schafft das in der Realität in der kurzen Zeit durchzuführen, ohne das du was merkst, dann RESPEKT! Da müsste man ja sofort nachdem du den Rechner ausgeschaltet hast anfangen wieder zu booten, den RAM idealerweise kühlen (zu diesem Zweck den Rechner vorher aufschrauben) … während du vermutlich noch auf dem Weg vom Rechner zur Wonungstür bist.

Nein, ich glaube wenn man so „nah dran“ ist, um so ein Vorhaben tatsächlich umzusetzen (man müsste natürlich vorher von der Verschlüsselung wissen), da gibt es dann bessere Methoden.

Und mit Firewire oder HDMI hat das immer noch gar nichts zu tun.

~jug

Na dann schau mal hier:

http://www.cop2cop.de/2010/03/31/passware-kit-forensic-entschlusselt-truecrypt-festplatten-innerhalb-von-minuten/

Zwar muss dazu der PC vorher angeschaltet gewesen sein, aber diese Möglichkeit besteht beim Diebstahl ja. Du meintest sicherlich das hier:

http://computer-forensik.org/blog/2008/02/22/die-etwas-andere-art-der-ram-analyse/

Allerdings kann der RAM zwischenzeitlich über mehrer Stunden durch Kühlung erhalten bleiben und kann auch bis in alle Ewigkeit rekonstruiert werden:

http://translate.google.de/translate?hl=de&sl=en&tl=de&u=http%3A%2F%2Fen.wikipedia.org%2Fwiki%2FCold_boot_attack&anno=2

Daher bitte nicht unvorsichtig werden. Zwar hat beispielsweise Truecrypt die Möglichkeit des Dismount und auch des wipe passwort cache. Sehr sicher allein damit würde ich mir aber nicht fühlen. Wer weiß was man sich alles einfallen lässt um an die Daten zu kommen. Was heute sich ist, ist morgen noch lange nicht sicher. Für mein Linuxsystem benutze ich auch Luks. Auch der Verschlüsselung traue ich nicht allein.

Wozu Detektive und Ermittlungsbehörden sich Zugang verschaffen können, dazu können sich auch Kriminelle Zugang verschaffen.

Also ich würde auch bei der Verschlüsselung des Systems alle vertraulichen Daten endgültig zerstören.

Black Hat schrieb:

Na dann schau mal hier:

http://www.cop2cop.de/2010/03/31/passware-kit-forensic-entschlusselt-truecrypt-festplatten-innerhalb-von-minuten/

Zwar muss dazu der PC vorher angeschaltet gewesen sein, aber diese Möglichkeit besteht beim Diebstahl ja.

Wie jetzt? Du meinst, ein angeschaltetes Gerät wird aus meiner Aufsicht, möglicherweise aus meinen Händen gestohlen, danach eine Software am gesperrten Gerät gestartet (wie auch immer das vorgehen soll). Das kommt mir arg konstruiert vor. Wer allerdings weiß, dass er zum Zoll kommt, kommt da in der regel mit ausgeschaltetem Gerät hin, allein weil die Tasche geröntgt wird.

Abgesehen davon ist die Systemverschlüsselung nicht TrueCrypt sondern LUKS, was laut expose nicht genannt wird.

Du meintest sicherlich das hier:

http://computer-forensik.org/blog/2008/02/22/die-etwas-andere-art-der-ram-analyse/

Durch Kühlung mit flüssigem Stickstoff. Wenn das nicht Laborbedingungen sind, weiß ich nicht.

Allerdings kann der RAM zwischenzeitlich über mehrer Stunden durch Kühlung erhalten bleiben und kann auch bis in alle Ewigkeit rekonstruiert werden:

Zitat "ist bis zu 10 Minuten noch auslesbar" Wobei es da auch wieder auf Größe der Bausteine etcpp ankommt.

http://translate.google.de/translate?hl=de&sl=en&tl=de&u=http%3A%2F%2Fen.wikipedia.org%2Fwiki%2FCold_boot_attack&anno=2

Auch das (übrigens bitte im Original lesen, keiner weiß was da so überstezt wird) bezieht sich auf den RAM. Das hat keinerlei Auswirkungen auf die Sicherheit, wenn das System nicht lief.

Um es klarzustellen: Die "Lücke", die hier aufgetan wurde, ist dass die Passphrase für die Schlüssel aus dem RAM auslesbar ist. Keiner dieser Angriffe fruchtet bei ausgeschalteten Platten. Währenddessen das Auslesen von Dateifragmenten aus unverschlüsselten Bereichen der Platte tatsächlich so lange möglich ist, bis der entsprechende Bereich wieder überschrieben wurde. Das kannst Du aber, wie oben im Thread bereits dargelegt, nicht kontrollieren. Daher besteht deine beste Chance darin, von vorneherein zu verschlüsseln, um das Auslesen ohne Kenntnis der Schlüssel zu verhindern.

Die Angriffe über "HDMI" sind wohl eher USB und FireWire gemeint. Bevorzugt wird für dieses Angriffszenario aber FireWire (da einfacher).

Was wird gemacht? Man steckt ein spezielle präpariertes Gerät an einen dieser Ports und liest über DMA den Arbeitsspeicher des Rechners aus. In diesem findet man dann logischerweise den Key der Verschlüsselung. Abhilfe schafft hier ein Patch für den Linux Kernel welcher den Key in den CPU verlagert, dort wäre dann aber vermutlich wieder (irgendwie!!!!) eine Cold-Boot Attacke möglich.

Das Spiel kann man ewig treiben, praktisch gesehen wird dein Notebook einfach so geklaut und der Angreifer wird sich nicht damit beschäftigen und einfach schnell Geld aus deiner Hardware machen oder diese selbst nutzen wozu er es einfach neu installiert.

Angriff über DMA Zugriffe funktionieren übrigens Ausschließlich über einen angeschalteten PC, ist das Gerät aus greift der volle Schutz der Verschlüsselung. Alles weitere ist selbst für meine Paranoia zu viel des guten, man sollte immer auf dem Teppich bleiben, denn nur weil man Paranoid ist heißt es noch lange nicht das man nicht doch verfolgt wird

mfg Betz Stefan

Die Angriffmöglichkeit von HDMI habe ich zitiert nicht erstellt:

Black Hat schrieb:

salzkraftwerk schrieb:

Das Überschreiben des Homeordners mit Nullen und Zufallszahlen reicht in der Regel aus. [...]

Ich habe bereits eine Verschlüsselung. Das heißt für mich aber nicht, dass diese sicher ist. Verschlüsselung ist gut und wichtig, reicht aber nicht aus. Man kann auch an die Passwörter einer verschlüsselten Festplatte dran kommen. Z. B. über die HDMI-Schnittstelle. Auch die USB-Ports sind Schwachstellen, ebenso wie die Bootpartition für solche Angriffe. Deshalb möchte ich wichtige Daten auch unter einer Verschlüsselung gerne wirklich endgültig löschen. [...]

Ich habe einen Kommentar über die (prinzipielle) (Un-)Möglichkeiten von Angriffen an Hardwareschnittstellen unterlassen, da dies, wie bereits geschehen, in eine Diskussion führen würde, die in einem neuen Thema aufgehoben wäre.

Ich würde mich hier der Auffassung anschließen wollen, dass man Daten die man vernichten möchte auch tatsächlich vernichtet und es nicht damit getan ist, die Platte auf der sich diese Daten befinden bzw. befunden haben zu verschlüsseln.

Im laufenden Betrieb sind die gelöschten Daten dann nämlich noch rekonstruierbar und dass jemand Zugriff auf ein verschlüsseltes System ohne Wissen des Berechtigten erlangt ist ja nicht gänzlich unmöglich, sondern eine Frage des Aufwandes.

Dabei geht es mir jetzt weniger um solche Möglichkeiten, da irgendwie was aus gekühltem Speicher oder andere Hardware-Schnittstellen Zugriff zu erlangen, sondern mehr darum, dass der Schlüssel auf andere Weise, erlangt werden könnte.

Physische Akten werden ja auch vernichtet, wenn sie sensible Daten enthalten und das Ziel die Vernichtung ist und nicht einfach nur extrem sicher weggeschlossen.

Verschlüsseln ist also bestmöglich gegen Zugriff sichern, aber ungleich einer wirklichen Vernichtung und insofern dafür kein Ersatz.

Gruß, Martin

Newubunti schrieb:

Ich würde mich hier der Auffassung anschließen wollen, dass man Daten die man vernichten möchte auch tatsächlich vernichtet und es nicht damit getan ist, die Platte auf der sich diese Daten befinden bzw. befunden haben zu verschlüsseln.

Richtig. Und das hieße, die komplette Platte und nicht den vom user nutzbaren Teil der Partition überschreiben. genau das war aber Bestandteil der Diskussion hier. Bitte nicht schon wieder die Rahmenbedingungen des Problems ändern, nur um eine weitere Meinung zu den geänderten Bedinungen in den raum zu werfen.

Es ging und geht hier darum, ob "sicheres Löschen" wirklich sicher löscht. Denn bei Zugriff auf den laufenden PC kann ich genausogut den Löschvorgang abbrechen und danach die reste auslesen, das tut qwohl nichts zur Sache.

redknight schrieb:

Richtig. Und das hieße, die komplette Platte und nicht den vom user nutzbaren Teil der Partition überschreibe.

Müsste nicht das Überschreiben der gesamten Partition ausreichen?

Diese hat ja auf dem Datenträger einen fest zugewiesenen Bereich. Die Partition geht ja von Sektor x bis Sektor y. Das Dateisystem liegt ja dann fest innerhalb dieses Bereichs. Wenn ich nun von Sektor x bis Sektor y überschreibe, dann müsste ich doch damit auch das darin befindliche Dateisystem sicher überschreiben können.

Gruß, Martin

Newubunti schrieb:

Diese hat ja auf dem Datenträger einen fest zugewiesenen Bereich. Die Partition geht ja von Sektor x bis Sektor y. Das Dateisystem liegt ja dann fest innerhalb dieses Bereichs. Wenn ich nun von Sektor x bis Sektor y überschreibe, dann müsste ich doch damit auch das darin befindliche Dateisystem sicher überschreiben können.

Ja, und anschließen alle Daten dieses Dateisystems von einem Backup wieder herstellen …

Die Aufgabe, die hier gelöst werden soll, ist doch das Löschen von einzelnen Dateien oder Verzeichnissen – bei denen man nicht weiß welche Blöcke da genau belegt sind oder von älteren Versionen der Dateien belegt waren – zu überschreiben und zu löschen, ohne das gesamte Dateisystem zu plätten.

~jug

jug schrieb:

Die Aufgabe, die hier gelöst werden soll, ist doch das Löschen von einzelnen Dateien oder Verzeichnissen

Das ist mir schon klar. Ich habe hier eigentlich nur noch mal zu dem Thema gepostet, weil die Linie für den Mitleser dadurch verloren geht, dass viele Beiträge im Thread gleichzeitig wahre und dann aber zugleich auch wieder falsche bzw. unpräzise Aussagen enthalten.

Hinzu kommt, dass man im Netz zu Thema "Sicheres Löschen" auch immer wieder auf widersprüchliche Aussagen stößt.

Letztendlich fehlen die genauen Hintergründe, wie die Dateisystem funktionieren, um einige Aussagen auch nachvollziehen zu können.

Und alleine deswegen, dass es ein Journal gibt - wie umfangreich das auch jetzt konfiguriert sein mag - heißt ja noch nicht, dass man Einträge daraus nicht auch löschen kann - mag das ganze praktisch dann auch kompliziert sein.

Schließlich habe ich grundsätzlich mit dd die Möglichkeit an jeden Sektor im Dateisystem ranzukommen. Das mag komplex sein, sollte aber doch bei einem offenen Dateisystem grundsätzlich möglich sein, oder?

Gruß, Martin

Newubunti schrieb:

Schließlich habe ich grundsätzlich mit dd die Möglichkeit an jeden Sektor im Dateisystem ranzukommen. Das mag komplex sein, sollte aber doch bei einem offenen Dateisystem grundsätzlich möglich sein, oder?

Deswegen verschlüsseln wird ja, hat gleichzeitig den Vorteil das auch die Backup Sektoren der Festplatte nur Datenmüll enthalten. Und eben diese bekommt man mit dd nicht Platt.

mfg Betz Stefan

encbladexp schrieb:

Newubunti schrieb:

Schließlich habe ich grundsätzlich mit dd die Möglichkeit an jeden Sektor im Dateisystem ranzukommen. Das mag komplex sein, sollte aber doch bei einem offenen Dateisystem grundsätzlich möglich sein, oder?

Deswegen verschlüsseln wird ja,

Hm, mir geht es doch gerade erst mal darum - und dem Threadersteller ging es darum ja auch - die Daten zu überschreiben - also mindestens mal als theoretischer Ansatz. Ich muss dabei einmal die Blöcke im Dateisystem berücksichtigen, auf die der Index des Dateisystems für diese Datei tatsächlich noch zeigt und dann aber auch alle als frei ausgewiesenen Blöcke, die grundsätzlich noch eine Kopie vorhergehender Versionen etc. der Datei beinhalten könnten.

Es muss doch nun grundsätzlich herauszufinden sein, in welchen Blöcken die referenzierte Datei liegt und welche als frei ausgewiesen wurden, oder nicht? Weil das Dateisystem selbst muss es ja auch irgendwie managen.

Dateisystemblocks müssen sich doch dann wiederum auf Sektoren zurückführen lassen und die könnte ich dann mittels dd bei nicht eingehängtem Dateisystem gezielt überschreiben, oder?

Falls dieser Ansatz nicht funktionieren sollte - zunächst mal unabhängig vom Aufwand - dann würde mich interessieren, warum das so nicht funktioniert.

hat gleichzeitig den Vorteil das auch die Backup Sektoren der Festplatte nur Datenmüll enthalten.

Meinst Du die Sektoren, die von der Platte benutzt werden, falls der Plattencontroller einen regulären Sektor als beschädigt ausweist? Ich wusste nicht, dass diese Sektoren verwendet werden, solange die regulären noch in Takt sind.

Ich habe das bisher nur so verstanden, dass das Problem darin besteht, dass ich auf die eventuell beschädigten Sektoren keinen Zugriff zum Überschreiben mehr habe und dann insofern eine Verschlüsselung gegen weitere forensische Maßnahmen bezüglich dieser Sektoren hilft.

Gruß, Martin

Newubunti schrieb:

Es muss doch nun grundsätzlich herauszufinden sein, in welchen Blöcken die referenzierte Datei liegt und welche als frei ausgewiesen wurden, oder nicht?

Ja, das ist möglich. debugfs nennt sich das Tool dafür.

Dateisystemblocks müssen sich doch dann wiederum auf Sektoren zurückführen lassen und die könnte ich dann mittels dd bei nicht eingehängtem Dateisystem gezielt überschreiben, oder?

Ja.

Ich wusste nicht, dass diese Sektoren verwendet werden, solange die regulären noch in Takt sind.

Davon bekommst du nichts mit, das macht der Plattencontroller in Sekundenbruchteilen. Ob das schon mal passiert ist kann man mit den smartmontools abfragen. Löschen kann man diese Fehlerhaften Sektoren aber nicht mehr

mfg Betz Stefan