Abo
  • IT-Karriere:

Bugs in Encase: Mit dem Forensik-Tool die Polizei hacken

Strafverfolgungsbehörden weltweit nutzen die Forensiksoftware Encase. Doch einige Sicherheitslücken in der Software können zu einem Absturz der Software führen - oder sogar zur Codeausführung missbraucht werden.

Artikel von veröffentlicht am
Mit einem Bug in der Forensiksoftware die Polizei ärgern.
Mit einem Bug in der Forensiksoftware die Polizei ärgern. (Bild: Simon Yeo/CC-BY 2.0)

Eine von zahlreichen Polizeidienststellen, Unternehmen und Sicherheitsbehörden eingesetzte Forensiksoftware weist laut einer Analyse der Sicherheitsfirma SEC Consult aus Wien mehrere Schwachstellen auf, mit denen ein Crash des Programms oder sogar die Ausführung von Code provoziert werden können soll. Der Hersteller reagierte auf die Offenlegung der Sicherheitsforscher nur zögerlich - nicht das erste Mal.

Inhalt:
  1. Bugs in Encase: Mit dem Forensik-Tool die Polizei hacken
  2. Mit ReiserFS in den Heap-Speicher schreiben

Mit der Software Encase können Ermittlungsbehörden genaue forensische Analysen von Festplatten erstellen. Die gefundenen Fehler sind sowohl in der kostenfreien Version Encase 7 als auch in der kostenpflichtigen Pro-Version zu finden. Encase soll nicht nur bei der Analyse von Daten helfen, die Macher werben auch mit einer Entschlüsselungsfunktion für Lösungen wie Dell Data Protection und McAfee. Und mit Tableau Password Recovery soll es auch möglich sein, Passwörter von den Datenträgern auszulesen.

Die verschiedenen Sicherheitslücken gefunden hat der Sicherheitsforscher Wolfgang Ettlinger. Einerseits lässt sich die Software mit speziell präparierten Partitionen gezielt zum Absturz bringen, andererseits soll es nach Angaben des Security Reports sogar möglich sein, mit einer manipulierten Partition im Linux-Dateisystemformat ReiserFS einen Buffer Overflow zu nutzen, um vom Angreifer kontrollierten Code zur Ausführung zu bringen.

Programm kann gezielt zum Absturz gebracht werden

Mit der ersten gefundenen Sicherheitslücke kann das Forensikwerkzeug durch Nutzung bestimmter Parameter gezielt zum Absturz gebracht werden. Das ist mit Partitionen in verschiedenen Formaten möglich, etwa Ext3, Iso9660, ReiserFS und durch eine manipulierte Partitionstabelle (GPT). Die Partitionen sind nach Angaben von Johannes Greil, der bei SEC Consult die interne Recherche-Abteilung Vulnerability Lab leitet, komplett funktionsfähig. Kriminelle, die eine Analyse ihrer Daten durch das Tool verhindern wollen, könnten also eine entsprechende Partition auf ihrem Laptop einrichten oder USB-Sticks präparieren. Um die Daten auszuwerten, müsste dann eine andere Forensiksoftware eingesetzt werden.

Stellenmarkt
  1. PUREN Pharma GmbH & Co. KG, München
  2. Jobware GmbH, Paderborn

Der Fehler geht aber offenbar über einen reinen Crash der Applikation hinaus: Wird bei einer Ext-3-Partition der Wert für die Inode-Struktur des Dateisystems auf 0xFFFF gesetzt, kann Encase Forensic Imager über den eigentlich reservierten Speicherbereich (VirtualAlloc) hinaus schreiben. Möglicherweise ließe sich hieraus ein Exploit bauen, der die Ausführung von Code ermöglicht.

Auch bei CD- oder DVD-Images im ISO9660-Format können Dateinamen mit einer bestimmten Länge dazu führen, dass die Applikation abstürzt, aber noch Speicher über den eigentlich zugewiesenen Bereich ausliest.

Mit ReiserFS in den Heap-Speicher schreiben 
  1. 1
  2. 2
  3.  


Anzeige
Spiele-Angebote
  1. (-20%) 23,99€
  2. (-91%) 5,25€
  3. 3,99€
  4. 4,99€

x2k 07. Dez 2016

Es lässt sich vermutlich prima nutzen um seine daten vor neugirigen forensikern zu...

EWCH 06. Dez 2016

Nein, normalerweise wird nur ein Dump der Festplatte mit Encase untersucht. Die...


Folgen Sie uns
       


Vaio SX 14 - Test

Das Vaio SX14 ist wie schon die Vorgänger ein optisch hochwertiges Notebook mit vielen Anschlüssen und einer sehr guten Tastatur. Im Golem.de-Test zeigen sich allerdings Schwächen beim Display, dem Touchpad und der Akkulaufzeit, was das Comeback der Marke etwas abschwächt.

Vaio SX 14 - Test Video aufrufen
Physik: Den Quanten beim Sprung zusehen
Physik
Den Quanten beim Sprung zusehen

Quantensprünge sind niemals groß und nicht vorhersehbar. Forschern ist es dennoch gelungen, den Vorgang zuverlässig zu beobachten, wenn er einmal angefangen hatte - und sie konnten ihn sogar umkehren. Die Fehlerkorrektur in Quantencomputern soll in Zukunft genau so funktionieren.
Von Frank Wunderlich-Pfeiffer


    Wolfenstein Youngblood angespielt: Warum wurden diese dämlichen Mädchen nicht aufgehalten!?
    Wolfenstein Youngblood angespielt
    "Warum wurden diese dämlichen Mädchen nicht aufgehalten!?"

    E3 2019 Der erste Kill ist der schwerste: In Wolfenstein Youngblood kämpfen die beiden Töchter von B.J. Blazkowicz gegen Nazis. Golem.de hat sich mit Jess und Soph durch einen Zeppelin über dem belagerten Paris gekämpft.
    Von Peter Steinlechner


      Webbrowser: Das Tracking ist tot, es lebe das Tracking
      Webbrowser
      Das Tracking ist tot, es lebe das Tracking

      Die großen Browserhersteller Apple, Google und Mozilla versprechen ihren Nutzern Techniken, die das Tracking im Netz erschweren sollen. Doch das stärkt Werbemonopole im Netz und die Methoden verhindern das Tracking nicht.
      Eine Analyse von Sebastian Grüner

      1. Europawahlen Bundeszentrale will Wahl-O-Mat nachbessern
      2. Werbenetzwerke Weitere DSGVO-Untersuchung gegen Google gestartet
      3. WLAN-Tracking Ab Juli 2019 will Londons U-Bahn Smartphones verfolgen

        •  /