Taggat med: FileVault

Nu är PCILeech 2.0 släppt

Svensken Ulf Frisk slog igenom stort på den internationella it-säkerhetsscenen förra sommaren med sitt verktyg PCILeech som underlättar Direct Memory Access (DMA)-attacker. Verktyget släpptes och förevisades i samband med DEF CON 24 samt Sec-T.

D.v.s. attacker som utnyttjar DMA över fysiska anslutningar till datorn såsom FireWire, CardBus, ExpressCard, Thunderbolt, PCI, eller PCI Express. Av dessa stödjer PCILeech ExpressCard, Thunderbolt och PCIe.

Jag tog ett snack med Ulf och passade på att ställa några frågor:

Vad har hänt sedan förra året?

Jag har uppdaterat PCILeech kontinuerligt sedan det släpptes på DEF CON för snart ett år sedan. Det gäller att hålla både signaturer och attacktekniker uppdaterade.

Apple har dessutom patchat EFI för att PCILeech inte längre ska kunna läsa ut lösenordet till diskkryptot FileVault2 från låsta macar (CVE-2016-7585).

Vad är nytt i PCILeech 2.0?

Den största nyheten i PCILeech 2.0 är att det möjligt att mappa både målsystemets filsystem och dess minne som fil. Klicka runt i filsystemet och kopiera intressanta filer, eller använd din favoriteditor till att ändra direkt i både minne och filer på filsystemet. Det är t.ex. möjligt att köra volatility direkt mot minnet.

PCILeech behöver åtkomst till målsystemets kernel, just nu Windows, macOS och Linux, för att det ska fungera. PCILeech även fått stöd för hårdvara som klarar 64-bitars DMA – något som tidigare inte varit möjligt. Hårdvaran är tyvärr inte publikt tillgänglig riktigt ännu.

Planen är att utöka hårdvarustödet ytterligare framöver.

Här kan du tanka hem pcileech 2.0:

Demo hur Apple FileVault2-lösenordet från en Mac kan hämtas ut via DMA:

OS X Yosemite krypterar hårddisken

Den som väljer att genomföra en nyinstallation av Apples senaste operativsystem OS X Yosemite får ett standardval som väljer att hårddisken kommer att krypteras.

Ända sedan OS X Lion har Apples haft stöd för hårddisk-kryptering och väljer nu att ta detta standardval (innan Lion så fanns ej stöd för att kryptera hela hårddisken).

För den som är intresserad av de mer tekniska detaljerna så använder Apple nyckelgenereringsfunktionen PBKDF2-HMAC-SHA-1 med 250000 iterationer. Så om du vill testa att forcera lösenord så klarar en dator cirka 100 försök i sekunden. Och krypteringen sker med hjälp av XTS AES 128 samt nyckel på 256 bitar.

Och vill du använda John the Ripper för lösenordsknäckning så hittar du dmg2john här.

Skärdump på hur det ser ut när du installerar:

Apple FileVault 2Den som är paranoid bör även kryssa ur den nedre rutan. Du kan även läsa en guide om FileVault från Apple här:

 

10 alternativ till Truecrypt

Som vi skrev så har Truecrypt försvunnit från jordens yta och ingen vet direkt varför men många spekulerar. Vi antar att den mest logiska orsaken också den troligaste: Utvecklaren eller utvecklarna bakom orkar inte underhålla kodbasen längre.

Det har dykt upp en uppsjö forkar av Truecrypt eftersom koden är öppen källkod. Eller som Thomas P. Ptacek skriver skämtsamt på Twitter:

Och under truecrypt.ch så kan du hitta en av avknoppningarna.

Alternativ till Truecrypt

Här följer 10 stycken alternativ till Truecrypt utan inbördes ordning. Vi blandar högt och lågt samt kommersiella samt öppen källkod. Vissa mjukvaror är ej för hårddiskkryptering (fde).

  1. Symantec Drive Encryption (tidigare PGP Disk Encryption) länk >
  2. Microsoft Bitlocker (man behöver ej TPM)
  3. Mac OS X Filevault 2
  4. Truecrypt.ch länk >
  5. Luks/cryptsetup/dm-crypt. Ubuntu fde howto
  6. DiskCryptor
  7. AxCrypt – Av Svante Seleborg (ej fde)
  8. Tomb (ej fde)
  9. Checkpoint Full Disk Encryption
  10. McAfee Complete Data Protection

Har du tips på fler? Lämna gärna en kommentar.

Ikon från http://icons8.com/

Lär dig kryptering

.SE ger sedan några år ut publikationer vid namn Internetguider. Dessa guider behandlar olika ämnen såsom hur du kommer igång med IPv6 eller om hur Creative Commons fungerar.

 

Lär dig kryptering

 

En guide som är lite extra bra för oss som är intresserade av kryptering är den om Digitalt källskydd samt det extramaterial som publicerats vid namn ”Lär dig kryptering” med följande innehåll:

  • Lär dig kryptering 2
  • Kryptering och nycklar – vad är det? 3
  • Kryptera meddelanden 3
  • pc: hämta hem och installera gnupg 4
  • Skapa nycklar 6
  • Testa nycklarna 9
  • Ta emot en krypterad fil 13
  • kryptera ett meddelande till någon annan 14
  • Mac: hämta hem och installera gnupg 15
  • Skapa nycklar 18
  • Testa nycklarna 21
  • Ta emot en krypterad fil 22
  • Kryptera ett meddelande till någon annan 23
  • Dags för thunderbird 24
  • Ställ in pop3 26
  • Men när skulle vi börja kryptera…? 26
  • Stäng av html 28
  • skriv ett meddelande 29
  • ta emot ett krypterat meddelande 30
  • signera ett meddelande 30
  • att kontrollera ett signerat meddelande 30
  • stäng av förhandsgranskning 32
  • signerade dokument 32
  • kryptera datorn 32
  • truecrypt 33
  • bitlocker 37
  • filevault 38

Här kan du läsa publikationen:

Apples kryptobugg i Lion

När Apple nyligen släppte sin senaste uppdatering till dess operativsystem Mac OS (10.7.3) så glömdes en debug-utskrift kvar där lösenordet till användare förekommer i klartext.

Detta är extra känsligt eftersom FileValut, den kryptering som används för användares hemkataloger då kan återskapas. Använder du FileVault 2 så (full-disk) så berörs du ej av denna bugg.

Buggen identifierades av David Emery och beskrivs på följande sätt:

Det är värre än vad det verkar som, eftersom loggen i fråga kan läsas genom att starta upp maskinen i firewire disk-läge och läsa den genom att öppna enheten som en skiva eller genom att starta upp nya medföljande-LION återställningspartitionen och med hjälp av tillgänglig superanvändare montera filsystemet och läsa debugfilen. Detta skulle göra det möjligt att bryta sig in i krypteradepartitioner på maskiner som de inte har en aning om eventuella inloggninglösenord för.

Skärmdump från loggfilen:

Mac OS X Lion hårddiskryptering

Uppdatering: Om du vill se prestanda bör du kolla här  (PGP WDE) eller här.

Nu när Apple har släppt en ny version av dess operativsystem som går under namnet Mac OS X Lion så finns det stöd för full hårddiskryptering. Med detta menas att hela hårddisken kan krypteras och fungera mer eller mindre transparent mot program, filsystem (HFS+) och användaren.

Apple kallar denna funktion för FileVault och tidigare har denna typ av kryptering enbart fungerat för hemkataloger. Lion ser ut att använda AES-XTS.

Skärmdump: