Abo
  • IT-Karriere:

Inception: System-Login auf verschlüsselten Festplatten

Die kostenlose Anwendung Inception setzt Systempasswörter in Speicherabbildern zurück und ermöglicht so den Zugang zu Windows, Mac OS X oder Linux. Der Angriff erfolgt über DMA-fähige Schnittstellen, etwa Firewire oder Thunderbolt.

Artikel veröffentlicht am ,
Inception kann Passwörter in Speicherabbildern zurücksetzen.
Inception kann Passwörter in Speicherabbildern zurücksetzen. (Bild: Inception)

Mit Inception lassen sich Systempasswörter in Speicherabbildern zurücksetzen. Sie ermöglichen so den Zugriff auf das Betriebssystem, selbst wenn die gesamte Festplatte verschlüsselt ist. Inception setzt dabei sämtliche Passwörter zurück, so dass sich ein Angreifer dann mit einem beliebigen Kennwort einloggen kann und zusätzlich Adminstratorrechte erhält. Das Opfer muss den Angriff nicht bemerken, denn nach einem Neustart werden wieder die ursprünglichen Passwörter verwendet.

Stellenmarkt
  1. NETPERFORMERS Marketing- & IT-Services GmbH, Kriftel
  2. MorphoSys AG, Planegg Raum München

Ähnlich wie bei den kostenpflichtigen Lösungen wie Forensic Disk Decryptor von Elcomsoft oder Kit Forensic 9.7 von Passware verschafft sich Inception beispielsweise über die Firewire- oder Thunderbolt-Schnittstelle Zugriff auf den Hauptspeicher. Schnittstellen nutzen direkten Zugriff auf den Arbeitsspeicher (DMA), um die Datenrate beim Transfer zu erhöhen.

Auslesen über DMA

Ein Angriff mit Inception lässt sich auch dann ausführen, wenn ein Nutzer ausgeloggt ist oder wenn sich der Rechner im Schlafmodus befindet, da die Treiber vom Betriebssystem selbst dann automatisch geladen werden. Das Werkzeug funktioniert über jede Schnittstelle, die Datenübertragungen mit DMA zulässt.

Betroffen sind sämtliche Windows-Versionen ab XP mit Service Pack 2, Mac OS X Snow Leopard, Lion und Mountain Lion sowie Ubuntu ab Version 11.04 und Linux Mint ab Version 11. Inception funktioniert sowohl auf 32- als auch auf 64-Bit-Systemen.

Speicherabbild kopieren

Inception benötigt Python 3 und die Bibliothek Libforensic1394 unter Linux. Ein Angriff von einem System mit Mac OS X über I/O Kit ist zwar möglich, aber nicht zu empfehlen, denn das Framework sei gegenwärtig zu instabil, schreiben die Entwickler.

Mit Inception lässt sich auch ein Speicherabbild kopieren. Das kann dann später in Ruhe nach weiteren Passwörtern durchsucht werden, etwa denen für die verschlüsselten Festplatten.

Mit Einschränkungen

Einige Einschränkungen hat Inception jedoch. Speicherabbilder lassen sich nur bis zu einer Obergrenze von 4 GByte auslesen. Unter Mac OS X Lion wird DMA dann deaktiviert, wenn Filevault genutzt und ein Benutzer abgemeldet wird. In Mac-OS-X-Versionen vor 10.7.2 funktioniert Inception noch bei aktiviertem Benutzerwechsel oder bei einem angemeldeten Benutzer. In späteren Versionen hat Apple den Fehler bereits behoben.

Inception wird aktiv weiterentwickelt. Gegenwärtig suchen die Entwickler einen Tester mit einem aktuellen Mac Book Pro Retina. Der Code ist auf den Github-Servern des Projekts erhältlich.



Anzeige
Top-Angebote
  1. (u. a. HP 34f Curved Monitor für 389,00€, Acer 32 Zoll Curved Monitor für 222,00€, Seasonic...
  2. (u. a. Star Wars Battlefront 2 für 9,49€, PSN Card 20 Euro für 18,99€)
  3. 769,00€
  4. 239,90€ (Bestpreis!)

Ben Dover 11. Jan 2013

Wenn man eine PCI Karte mit Firewire nachträglich hinzufügt als Angreifer, lassen sich...

andreas12 11. Jan 2013

Dann sind es: - Firewire (kann nur 4GB zugreifen) - PCI und Ableger davon...

Der braune Lurch 11. Jan 2013

Bei Kernelmodulen muss man mehrere Dinge beachten: erstens kann ein "geblacklistetes...

Vanger 10. Jan 2013

Man sollte anmerken, dass konzeptbedingt eine Verschlüsselung *niemals* absolut sicher...

pythoneer 10. Jan 2013

meinst du es reicht dann in der /etc/modprobe.d/blacklist options firewire_ohci phys_dma...


Folgen Sie uns
       


Golem.de probiert 5G in Berlin aus - Bericht

Wir probieren 5G in Berlin-Adlershof aus.

Golem.de probiert 5G in Berlin aus - Bericht Video aufrufen
Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

Mädchen und IT: Fehler im System
Mädchen und IT
Fehler im System

Bis zu einem gewissen Alter sind Jungen und Mädchen gleichermaßen an Technik interessiert. Wenn es dann aber um die Berufswahl geht, entscheiden sich immer noch viel mehr junge Männer als Frauen für die IT. Ein wichtiger Grund dafür ist in der Schule zu suchen.
Von Valerie Lux

  1. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  2. 5G Milliardenlücke beim Digitalpakt Schule droht
  3. Medienkompetenz Was, Ihr Kind kann nicht programmieren?

Rohstoffe: Lithium aus dem heißen Untergrund
Rohstoffe
Lithium aus dem heißen Untergrund

Liefern Geothermiekraftwerke in Südwestdeutschland bald nicht nur Strom und Wärme, sondern auch einen wichtigen Rohstoff für die Akkus von Smartphones, Tablets und Elektroautos? Das Thermalwasser hat einen so hohen Gehalt an Lithium, dass sich ein Abbau lohnen könnte. Doch es gibt auch Gegner.
Ein Bericht von Werner Pluta

  1. Wasserkraft Strom aus dem Strom
  2. Energie Wie Mikroben Methan mit Windstrom produzieren
  3. Erneuerbare Energien Die Energiewende braucht Wasserstoff

    •  /