Abo
  • Services:
Anzeige
Mit einem Bug in der Forensiksoftware die Polizei ärgern.
Mit einem Bug in der Forensiksoftware die Polizei ärgern. (Bild: Simon Yeo/CC-BY 2.0)

Bugs in Encase: Mit dem Forensik-Tool die Polizei hacken

Mit einem Bug in der Forensiksoftware die Polizei ärgern.
Mit einem Bug in der Forensiksoftware die Polizei ärgern. (Bild: Simon Yeo/CC-BY 2.0)

Strafverfolgungsbehörden weltweit nutzen die Forensiksoftware Encase. Doch einige Sicherheitslücken in der Software können zu einem Absturz der Software führen - oder sogar zur Codeausführung missbraucht werden.
Von Hauke Gierow

Eine von zahlreichen Polizeidienststellen, Unternehmen und Sicherheitsbehörden eingesetzte Forensiksoftware weist laut einer Analyse der Sicherheitsfirma SEC Consult aus Wien mehrere Schwachstellen auf, mit denen ein Crash des Programms oder sogar die Ausführung von Code provoziert werden können soll. Der Hersteller reagierte auf die Offenlegung der Sicherheitsforscher nur zögerlich - nicht das erste Mal.

Anzeige

Mit der Software Encase können Ermittlungsbehörden genaue forensische Analysen von Festplatten erstellen. Die gefundenen Fehler sind sowohl in der kostenfreien Version Encase 7 als auch in der kostenpflichtigen Pro-Version zu finden. Encase soll nicht nur bei der Analyse von Daten helfen, die Macher werben auch mit einer Entschlüsselungsfunktion für Lösungen wie Dell Data Protection und McAfee. Und mit Tableau Password Recovery soll es auch möglich sein, Passwörter von den Datenträgern auszulesen.

Die verschiedenen Sicherheitslücken gefunden hat der Sicherheitsforscher Wolfgang Ettlinger. Einerseits lässt sich die Software mit speziell präparierten Partitionen gezielt zum Absturz bringen, andererseits soll es nach Angaben des Security Reports sogar möglich sein, mit einer manipulierten Partition im Linux-Dateisystemformat ReiserFS einen Buffer Overflow zu nutzen, um vom Angreifer kontrollierten Code zur Ausführung zu bringen.

Programm kann gezielt zum Absturz gebracht werden

Mit der ersten gefundenen Sicherheitslücke kann das Forensikwerkzeug durch Nutzung bestimmter Parameter gezielt zum Absturz gebracht werden. Das ist mit Partitionen in verschiedenen Formaten möglich, etwa Ext3, Iso9660, ReiserFS und durch eine manipulierte Partitionstabelle (GPT). Die Partitionen sind nach Angaben von Johannes Greil, der bei SEC Consult die interne Recherche-Abteilung Vulnerability Lab leitet, komplett funktionsfähig. Kriminelle, die eine Analyse ihrer Daten durch das Tool verhindern wollen, könnten also eine entsprechende Partition auf ihrem Laptop einrichten oder USB-Sticks präparieren. Um die Daten auszuwerten, müsste dann eine andere Forensiksoftware eingesetzt werden.

Der Fehler geht aber offenbar über einen reinen Crash der Applikation hinaus: Wird bei einer Ext-3-Partition der Wert für die Inode-Struktur des Dateisystems auf 0xFFFF gesetzt, kann Encase Forensic Imager über den eigentlich reservierten Speicherbereich (VirtualAlloc) hinaus schreiben. Möglicherweise ließe sich hieraus ein Exploit bauen, der die Ausführung von Code ermöglicht.

Auch bei CD- oder DVD-Images im ISO9660-Format können Dateinamen mit einer bestimmten Länge dazu führen, dass die Applikation abstürzt, aber noch Speicher über den eigentlich zugewiesenen Bereich ausliest.

Mit ReiserFS in den Heap-Speicher schreiben 

eye home zur Startseite
x2k 07. Dez 2016

Es lässt sich vermutlich prima nutzen um seine daten vor neugirigen forensikern zu...

EWCH 06. Dez 2016

Nein, normalerweise wird nur ein Dump der Festplatte mit Encase untersucht. Die...



Anzeige

Stellenmarkt
  1. Präsidium Technik, Logistik, Service der Polizei, Stuttgart
  2. BG-Phoenics GmbH, München
  3. über Mentis International Human Resources GmbH, Nordbayern
  4. SICK AG, Reute bei Freiburg im Breisgau


Anzeige
Top-Angebote
  1. 299,00€
  2. 69,00€
  3. 222,00€

Folgen Sie uns
       


  1. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"

  2. Virtual Reality

    Oculus Rift unterstützt offiziell Roomscale-VR

  3. FTP-Client

    Filezilla bekommt ein Master Password

  4. Künstliche Intelligenz

    Apple arbeitet offenbar an eigenem AI-Prozessor

  5. Die Woche im Video

    Verbogen, abgehoben und tiefergelegt

  6. ZTE

    Chinas großes 5G-Testprojekt läuft weiter

  7. Ubisoft

    Far Cry 5 bietet Kampf gegen Sekte in und über Montana

  8. Rockstar Games

    Waffenschiebereien in GTA 5

  9. Browser-Games

    Unreal Engine 4.16 unterstützt Wasm und WebGL 2.0

  10. Hasskommentare

    Bundesrat fordert zahlreiche Änderungen an Maas-Gesetz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Debatte nach Wanna Cry: Sicherheitslücken veröffentlichen oder zurückhacken?
Debatte nach Wanna Cry
Sicherheitslücken veröffentlichen oder zurückhacken?
  1. Sicherheitslücke Fehlerhaft konfiguriertes Git-Verzeichnis bei Redcoon
  2. Hotelketten Buchungssystem Sabre kompromittiert Zahlungsdaten
  3. Onlinebanking Betrüger tricksen das mTAN-Verfahren aus

Sphero Lightning McQueen: Erst macht es Brummbrumm, dann verdreht es die Augen
Sphero Lightning McQueen
Erst macht es Brummbrumm, dann verdreht es die Augen

Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

  1. Re: Schwachsinn: 2x 4K-Monitore nur mit extra...

    Kletty | 23:39

  2. Re: Siri und diktieren

    Iomegan | 23:33

  3. Re: Es ist übrigens das erste Far Cry, das in den...

    wasabi | 23:29

  4. Re: Machen wir doch mal die Probe aufs Exempel

    itza | 23:29

  5. Re: Horizon zero dawn

    genussge | 23:28


  1. 12:54

  2. 12:41

  3. 11:44

  4. 11:10

  5. 09:01

  6. 17:40

  7. 16:40

  8. 16:29


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel