Abo
  • Services:

Bugs in Encase: Mit dem Forensik-Tool die Polizei hacken

Strafverfolgungsbehörden weltweit nutzen die Forensiksoftware Encase. Doch einige Sicherheitslücken in der Software können zu einem Absturz der Software führen - oder sogar zur Codeausführung missbraucht werden.

Artikel von veröffentlicht am
Mit einem Bug in der Forensiksoftware die Polizei ärgern.
Mit einem Bug in der Forensiksoftware die Polizei ärgern. (Bild: Simon Yeo/CC-BY 2.0)

Eine von zahlreichen Polizeidienststellen, Unternehmen und Sicherheitsbehörden eingesetzte Forensiksoftware weist laut einer Analyse der Sicherheitsfirma SEC Consult aus Wien mehrere Schwachstellen auf, mit denen ein Crash des Programms oder sogar die Ausführung von Code provoziert werden können soll. Der Hersteller reagierte auf die Offenlegung der Sicherheitsforscher nur zögerlich - nicht das erste Mal.

Inhalt:
  1. Bugs in Encase: Mit dem Forensik-Tool die Polizei hacken
  2. Mit ReiserFS in den Heap-Speicher schreiben

Mit der Software Encase können Ermittlungsbehörden genaue forensische Analysen von Festplatten erstellen. Die gefundenen Fehler sind sowohl in der kostenfreien Version Encase 7 als auch in der kostenpflichtigen Pro-Version zu finden. Encase soll nicht nur bei der Analyse von Daten helfen, die Macher werben auch mit einer Entschlüsselungsfunktion für Lösungen wie Dell Data Protection und McAfee. Und mit Tableau Password Recovery soll es auch möglich sein, Passwörter von den Datenträgern auszulesen.

Die verschiedenen Sicherheitslücken gefunden hat der Sicherheitsforscher Wolfgang Ettlinger. Einerseits lässt sich die Software mit speziell präparierten Partitionen gezielt zum Absturz bringen, andererseits soll es nach Angaben des Security Reports sogar möglich sein, mit einer manipulierten Partition im Linux-Dateisystemformat ReiserFS einen Buffer Overflow zu nutzen, um vom Angreifer kontrollierten Code zur Ausführung zu bringen.

Programm kann gezielt zum Absturz gebracht werden

Mit der ersten gefundenen Sicherheitslücke kann das Forensikwerkzeug durch Nutzung bestimmter Parameter gezielt zum Absturz gebracht werden. Das ist mit Partitionen in verschiedenen Formaten möglich, etwa Ext3, Iso9660, ReiserFS und durch eine manipulierte Partitionstabelle (GPT). Die Partitionen sind nach Angaben von Johannes Greil, der bei SEC Consult die interne Recherche-Abteilung Vulnerability Lab leitet, komplett funktionsfähig. Kriminelle, die eine Analyse ihrer Daten durch das Tool verhindern wollen, könnten also eine entsprechende Partition auf ihrem Laptop einrichten oder USB-Sticks präparieren. Um die Daten auszuwerten, müsste dann eine andere Forensiksoftware eingesetzt werden.

Stellenmarkt
  1. Bosch Gruppe, Weilimdorf
  2. Deutsche Nationalbibliothek, Frankfurt am Main

Der Fehler geht aber offenbar über einen reinen Crash der Applikation hinaus: Wird bei einer Ext-3-Partition der Wert für die Inode-Struktur des Dateisystems auf 0xFFFF gesetzt, kann Encase Forensic Imager über den eigentlich reservierten Speicherbereich (VirtualAlloc) hinaus schreiben. Möglicherweise ließe sich hieraus ein Exploit bauen, der die Ausführung von Code ermöglicht.

Auch bei CD- oder DVD-Images im ISO9660-Format können Dateinamen mit einer bestimmten Länge dazu führen, dass die Applikation abstürzt, aber noch Speicher über den eigentlich zugewiesenen Bereich ausliest.

Mit ReiserFS in den Heap-Speicher schreiben 
  1. 1
  2. 2
  3.  


Anzeige
Blu-ray-Angebote
  1. 34,99€

x2k 07. Dez 2016

Es lässt sich vermutlich prima nutzen um seine daten vor neugirigen forensikern zu...

EWCH 06. Dez 2016

Nein, normalerweise wird nur ein Dump der Festplatte mit Encase untersucht. Die...


Folgen Sie uns
       


So stellt sich Transdev den Einsatz autonomer Busse vor

Das französische Nahverkehrsbetrieb Transdev will künftig Fahrgäste mit autonomen Bussen befördern. Das Video stellt das Konzept vor.

So stellt sich Transdev den Einsatz autonomer Busse vor Video aufrufen
Retrogaming: Maximal unnötige Minis
Retrogaming
Maximal unnötige Minis

Nanu, die haben wir doch schon mal weggeschmissen - und jetzt sollen wir 100 Euro dafür ausgeben? Mit Minikonsolen fahren Anbieter wie Sony und Nintendo vermutlich hohe Gewinne ein, dabei gäbe es eine für alle bessere Alternative: Software statt Hardware.
Ein IMHO von Peter Steinlechner

  1. Streaming Heilloses Durcheinander bei Netflix und Amazon Prime
  2. Sicherheit Ein Lob für Twitter und Github
  3. Linux Mit Ignoranz gegen die GPL

iOS 12 im Test: Auch Apple will es Nutzern leichter machen
iOS 12 im Test
Auch Apple will es Nutzern leichter machen

Apple setzt mit iOS 12 weniger auf aufsehenerregende Funktionen als auf viele kleine Verbesserungen für den Alltag. Das erinnert an Google und Android 9, was nicht zwingend schlecht ist.
Ein Test von Tobias Költzsch

  1. Apple iOS 12.1 verrät neues iPad Pro
  2. Apple Siri-Kurzbefehle-App für iOS 12 verfügbar

Zukunft der Arbeit: Was Automatisierung mit dem Grundeinkommen zu tun hat
Zukunft der Arbeit
Was Automatisierung mit dem Grundeinkommen zu tun hat

Millionen verlieren ihren Job, aber die Gesellschaft gewinnt dabei trotzdem: So stellen sich die Verfechter des bedingungslosen Grundeinkommens die Zukunft vor. Wie soll das gehen?
Eine Analyse von Daniel Hautmann

  1. Verbraucherschutzminister Kritik an eingeschränktem Widerspruchsrecht im Online-Handel
  2. Bundesfinanzminister Scholz warnt vor Schnellschüssen bei Digitalsteuer
  3. Sommerzeit EU-Kommission will die Zeitumstellung abschaffen

    •  /