Inception kann Passwörter in Speicherabbildern zurücksetzen.
Inception kann Passwörter in Speicherabbildern zurücksetzen. (Bild: Inception)

Inception System-Login auf verschlüsselten Festplatten

Die kostenlose Anwendung Inception setzt Systempasswörter in Speicherabbildern zurück und ermöglicht so den Zugang zu Windows, Mac OS X oder Linux. Der Angriff erfolgt über DMA-fähige Schnittstellen, etwa Firewire oder Thunderbolt.

Anzeige

Mit Inception lassen sich Systempasswörter in Speicherabbildern zurücksetzen. Sie ermöglichen so den Zugriff auf das Betriebssystem, selbst wenn die gesamte Festplatte verschlüsselt ist. Inception setzt dabei sämtliche Passwörter zurück, so dass sich ein Angreifer dann mit einem beliebigen Kennwort einloggen kann und zusätzlich Adminstratorrechte erhält. Das Opfer muss den Angriff nicht bemerken, denn nach einem Neustart werden wieder die ursprünglichen Passwörter verwendet.

Ähnlich wie bei den kostenpflichtigen Lösungen wie Forensic Disk Decryptor von Elcomsoft oder Kit Forensic 9.7 von Passware verschafft sich Inception beispielsweise über die Firewire- oder Thunderbolt-Schnittstelle Zugriff auf den Hauptspeicher. Schnittstellen nutzen direkten Zugriff auf den Arbeitsspeicher (DMA), um die Datenrate beim Transfer zu erhöhen.

Auslesen über DMA

Ein Angriff mit Inception lässt sich auch dann ausführen, wenn ein Nutzer ausgeloggt ist oder wenn sich der Rechner im Schlafmodus befindet, da die Treiber vom Betriebssystem selbst dann automatisch geladen werden. Das Werkzeug funktioniert über jede Schnittstelle, die Datenübertragungen mit DMA zulässt.

Betroffen sind sämtliche Windows-Versionen ab XP mit Service Pack 2, Mac OS X Snow Leopard, Lion und Mountain Lion sowie Ubuntu ab Version 11.04 und Linux Mint ab Version 11. Inception funktioniert sowohl auf 32- als auch auf 64-Bit-Systemen.

Speicherabbild kopieren

Inception benötigt Python 3 und die Bibliothek Libforensic1394 unter Linux. Ein Angriff von einem System mit Mac OS X über I/O Kit ist zwar möglich, aber nicht zu empfehlen, denn das Framework sei gegenwärtig zu instabil, schreiben die Entwickler.

Mit Inception lässt sich auch ein Speicherabbild kopieren. Das kann dann später in Ruhe nach weiteren Passwörtern durchsucht werden, etwa denen für die verschlüsselten Festplatten.

Mit Einschränkungen

Einige Einschränkungen hat Inception jedoch. Speicherabbilder lassen sich nur bis zu einer Obergrenze von 4 GByte auslesen. Unter Mac OS X Lion wird DMA dann deaktiviert, wenn Filevault genutzt und ein Benutzer abgemeldet wird. In Mac-OS-X-Versionen vor 10.7.2 funktioniert Inception noch bei aktiviertem Benutzerwechsel oder bei einem angemeldeten Benutzer. In späteren Versionen hat Apple den Fehler bereits behoben.

Inception wird aktiv weiterentwickelt. Gegenwärtig suchen die Entwickler einen Tester mit einem aktuellen Mac Book Pro Retina. Der Code ist auf den Github-Servern des Projekts erhältlich.


Ben Dover 11. Jan 2013

Wenn man eine PCI Karte mit Firewire nachträglich hinzufügt als Angreifer, lassen sich...

andreas12 11. Jan 2013

Dann sind es: - Firewire (kann nur 4GB zugreifen) - PCI und Ableger davon...

Der braune Lurch 11. Jan 2013

Bei Kernelmodulen muss man mehrere Dinge beachten: erstens kann ein "geblacklistetes...

Vanger 10. Jan 2013

Man sollte anmerken, dass konzeptbedingt eine Verschlüsselung *niemals* absolut sicher...

pythoneer 10. Jan 2013

meinst du es reicht dann in der /etc/modprobe.d/blacklist options firewire_ohci phys_dma...

Kommentieren



Anzeige

  1. Junior Consultant Finance Processes & Applications (m/w)
    Fresenius Netcare GmbH, Bad Homburg
  2. Senior Softwareentwickler für ERP-System (C/C++) (m/w)
    Einkaufsallianz Nord GmbH, Berlin
  3. IT-Support-Spezialisten (m/w)
    Thinking Objects GmbH, Korntal-Münchingen (bei Stuttgart)
  4. Software Engineer (m/w)
    con terra GmbH, Münster

 

Detailsuche


Folgen Sie uns
       


  1. Teardown

    Nexus 6 kommt mit wenig Kleber aus

  2. Pinc VR

    Virtuelle Realität mit Gestensteuerung für das iPhone 6

  3. Linux-Distribution

    Less ist ein mögliches Einfallstor

  4. Mobilfunktarif

    Spotify Family ist bei der Telekom nicht nutzbar

  5. Test Escape Dead Island

    Urlaub auf der Zombieinsel

  6. Compute Stick

    Intels HDMI-Stick kommt noch 2014

  7. Lifetab S10346

    Medion-Tablet kommt doch in alle Aldi-Filialen

  8. Snapdragon 810

    Erstes Smartphone mit 4 GByte RAM und USB 3.0

  9. Cross-Site-Scripting

    Kritische Wordpress-Lücke betrifft 86 Prozent der Seiten

  10. NSA-Ausschuss

    Meisterschule für Geheimniskrämer



Haben wir etwas übersehen?

E-Mail an news@golem.de



Lichtfeldkamera Lytro Illum: Das Spiel mit der Tiefenschärfe
Lichtfeldkamera Lytro Illum
Das Spiel mit der Tiefenschärfe
  1. Lichtfeldkamera Lytro will in neue Märkte einsteigen
  2. Augmented Reality Google investiert 542 Millionen US-Dollar in Magic Leap
  3. Lytro Lichtfeldfotografie bildet die Tiefe der Welt ab

Yoga Tablet 2 Pro im Test: Das Tablet mit dem eingebauten Kino
Yoga Tablet 2 Pro im Test
Das Tablet mit dem eingebauten Kino
  1. Lenovos Yoga Tablet 2 im Test Das Tablet mit dem Aufhänger
  2. Motorola Lenovo übernimmt Googles Smartphone-Sparte
  3. Yoga Tablet 2 Pro Lenovos 13-Zoll-Tablet mit Projektor und Subwoofer

IMHO zum Jugendmedienschutz: Altersschranke nützt nicht Kindern, sondern Erotikseiten
IMHO zum Jugendmedienschutz
Altersschranke nützt nicht Kindern, sondern Erotikseiten
  1. Pornofilter Internet Provider gegen britische Zensurkultur
  2. Internetzensur Tor und die große chinesische Firewall
  3. Kein britisches Modell Medienrat will Pornofilter ohne Voraktivierung

    •  / 
    Zum Artikel