Windows-Generalschlüssel

#1 Windows-Generalschlüssel
Microsoft hat Vertretern von Polizeibehörden aus über 35 Ländern den Computer Online Forensic Evidence Extractor, kurz COFEE, vorgestellt.

Dieser USB-Stick erlaubt es, innerhalb von wenigen Minuten alle Passwörter zu entschlüsseln und sensible Daten zu sichern. Microsoft stellt dieses Tool zur Bekämpfung von Internetkriminalität zur Verfügung. Jegliche gewerblichen Anwender, die sensible Daten auf Systemen speichern sollten jedoch spätestens jetzt ausdrücklich gewarnt sein, dass die windowseigenen Verschlüsselungsmechanismen nicht vertrauenswürdig sind.

Mehr als 15 Länder einschließlich Deutschland verwenden dieses Tool angeblich bereits, welches kostenlos zur Verfügung gestellt wird.

Quellen: tech.slashdot.org und seattletimes.nwsource.com

#2

Zitat

Microsoft hat Vertretern von Polizeibehörden aus über 35 Ländern den Computer Online Forensic Evidence Extractor, kurz COFEE, vorgestellt.

Ja.

Zitat

Dieser USB-Stick erlaubt es, innerhalb von wenigen Minuten alle Passwörter zu entschlüsseln[..]

Nein.

Zitat

[..]und sensible Daten zu sichern.

Ja.

Zitat

Microsoft stellt dieses Tool zur Bekämpfung von Internetkriminalität zur Verfügung.

Ja.

Zitat

Jegliche gewerblichen Anwender, die sensible Daten auf Systemen speichern sollten jedoch spätestens jetzt ausdrücklich gewarnt sein, dass die windowseigenen Verschlüsselungsmechanismen nicht vertrauenswürdig sind.

Nein. Ist das deine persönliche Interpretation oder ein Auszug irgendeiner News im Netz?

Zitat

Mehr als 15 Länder einschließlich Deutschland verwenden dieses Tool angeblich bereits, welches kostenlos zur Verfügung gestellt wird.

Ja.


Gruß,

Sepia

#3

Zitat

Zitat:
Jegliche gewerblichen Anwender, die sensible Daten auf Systemen speichern sollten jedoch spätestens jetzt ausdrücklich gewarnt sein, dass die windowseigenen Verschlüsselungsmechanismen nicht vertrauenswürdig sind.

Nein. Ist das deine persönliche Interpretation oder ein Auszug irgendeiner News im Netz?

Ich würde auch keiner MS-verschlüsselungen trauen. Z.B. Kennwortgeschütze Office-Dokumente sind in wenigen Min geknackt -gibt genügent tools- .

ZIP-Verschlüsselung ist auch (meines Wissens) relativ einfach durch Bruteforce-Attacken zu knacken.

Oder Vista's Bitlocker . Mag sein das es ein vermeintlich sicherer Versch.-Mechanismus ist, aber die Gerüchte um Hintertüren für das NSA oder andere amerikanische geheimdienste sind ja auch nicht neu.. und wenns es für die eine gibt, ist es nur eine frage der zeit bis ein hacker die gefunden hat.

und ms sicherheit, denken wir mal an benutzerkonten und kennwörter ;-)

ist meine meinung, belehrt mich eines besseren

gruß NW

#4

Zitat

nightwalker88 postete

Zitat

Zitat:
Jegliche gewerblichen Anwender, die sensible Daten auf Systemen speichern sollten jedoch spätestens jetzt ausdrücklich gewarnt sein, dass die windowseigenen Verschlüsselungsmechanismen nicht vertrauenswürdig sind.

Nein. Ist das deine persönliche Interpretation oder ein Auszug irgendeiner News im Netz?

Ich würde auch keiner MS-verschlüsselungen trauen. Z.B. Kennwortgeschütze Office-Dokumente sind in wenigen Min geknackt -gibt genügent tools- .

ZIP-Verschlüsselung ist auch (meines Wissens) relativ einfach durch Bruteforce-Attacken zu knacken.

Oder Vista's Bitlocker . Mag sein das es ein vermeintlich sicherer Versch.-Mechanismus ist, aber die Gerüchte um Hintertüren für das NSA oder andere amerikanische geheimdienste sind ja auch nicht neu.. und wenns es für die eine gibt, ist es nur eine frage der zeit bis ein hacker die gefunden hat.

und ms sicherheit, denken wir mal an benutzerkonten und kennwörter ;-)

ist meine meinung, belehrt mich eines besseren

gruß NW

Das heisst also das wir Verchluesselung gleich vergessen koennen oder?
Wenn eh alles irgendwie geknackt werden kann?

#5 nein so habe ich das nicht gemeint,

klar jede verschlüsselung kann man theoretisch knacken, aber bei sicheren
Verfahren kann das ein paar jahrzehnte oder jahrhunderte dauern (je nach dem,
wieviele vernetzte rechner/cpus sich daran versuchen)

ich meine das meines wissens nach, mit MS-Progis/Tools verschlüsselte dateien auch von nicht-experten mit den richtigen tools ohne größeren aufwand geknackt werden können (außnahme vll der BitLocker)

Möchtest du z.B. dateien sicher schützen, werden viele dir das open source prog TrueCrypt empfehlen.. das gilt als sicher

#6 nw88 tippte:

Zitat

[..]Z.B. Kennwortgeschütze Office-Dokumente sind in wenigen Min geknackt -gibt genügent tools- .

Kurze Antwort: Jein.
Längere Version: Die per default eingestellte Standardverschlüssellung bei Office Dokumenten (soweit ich weiss bis Office 2003)
gilt als unzureichend und gebrochen. Dienste wie decryptum.com bedienen sich der geringen Schlüssellänge von RC4
und decodieren ein so "geschütztes" Dokument binnen weniger Minuten. Das ist unabhängig von der Komplexität und Länge des Passwortes.

Der Anwender hat jedoch die Möglichkeit, in den Einstellungen von Word, Excel etc. auszuwählen, welche
Verschlüsselung er nutzen möchte. U.a. ist dort auch "AES" mit beliebiger Schlüssellänge existent.
Ein so gesichertes und verschlüsseltes Dokument mit hinreichender Passwortkomplexität ist nicht
on the fly decodierbar. Decryptum.com z.B. erkennt diesen Schutz und weigert sich, das Dokument zwecks
Decodierung zu bearbeiten.

Für "normal" schützenswerte Dokumente ist diese Hürde definitiv ausreichend. Wem das immer noch zu unsicher ist, benutzt Fremdprogramme zum En-/Decoden.

Zitat

und ms sicherheit, denken wir mal an benutzerkonten und kennwörter ;-)

Wer LM-Passwörter nutzt und diese auch noch per Hash in die SAM schreiben lässt, ist selber Schuld!
John der Ripper, LC5 und Konsorten werden sich dann freuen! Nicht zu vergessen sind die bereits vorliegenden
Rainbow-Tables für LM-Hashes!

NTLM ist problemlos nutzbar und zusammen mit der Option, keine LM-Hashes zu speichern, seit Windows 2000 im
OS integriert. Allerdings bedarf es dafür einer kleinen Änderung der Konfiguration.
soweit ich weiss nutzt Vista standardmäßig keine LM-Hashes mehr.
Mir ist immer noch keine Rainbow-Table untergekommen, die NTLM-Hashes decodiert, bei der das Kennwort >12 Stellen
lang ist und sich aus sämtlichen Kombinationen der Tastatur zusammen setzt.
Von Brute-Force & Dictionary Attacken brauchen wir im Home-Bereich erst gar nicht zu reden.

Ein "starkes" Benutzerkennwort in Verbindung mit der richtigen Authentifizierung macht aber nur
Sinn, wenn zusätzlich die relevanten Dateien auf dem Datenträger encrypted worden sind. Knoppix und Derivate
kümmern sich nicht um den Windows-Login...


Gruß,

Sepia

#7

Zitat

Ein "starkes" Benutzerkennwort in Verbindung mit der richtigen Authentifizierung macht aber nur
Sinn, wenn zusätzlich die relevanten Dateien auf dem Datenträger encrypted worden sind. Knoppix und Derivate
kümmern sich nicht um den Windows-Login...

w2k hat ja noch die möglichkeit, NTFS-Partitionen oder ordner auf ensprechenden laufwerken zu verschlüsseln. War das gemeint? also:

Also Datei/Ordner: Eigenschaften ->Reiter Allgemein -> Button Erweitert, -> Hacken setzen "Inhalt verschlüseln um Daten zu schützen.

Also damit diese Verschlüsselung auch "was taugt", muss man jetzt ein PW mit mehr als 12 Zeichen wählen und die Option, keine LM-Hashes zu speichern aktivieren?

greetz nw88

#8

Zitat

w2k hat ja noch die möglichkeit, NTFS-Partitionen oder ordner auf ensprechenden laufwerken zu verschlüsseln. War das gemeint?

Im Prinzip schon. Nur ist "EFS" -und das meintest du- unter W2K für Arbeitsplatzrechner nicht empfehlenswert
sofern sie keiner Domäne angehören.
EFS unter W2K verschlüsselt zwar die Daten, jedoch ist durch simples Ändern des Benutzerkennwortes mittels einer ent-
sprechenden Software voller Zugriff auf selbige möglich! Ab Win XP ist EFS uneingeschränkt empfehlenswert wenn
die Spielregeln mit NTLM, Passwort-Komplexität und Nichtspeichern eines LM-Hashes eingehalten werden.

Solltest du also W2K User sein, nehme besser ein 3'rd Party-Tool für die Verschlüsselung und nicht EFS!
Ab XP/Vista gibt's keine Probleme (siehe Spielregeln).

Für beide (und andere) OS gilt pauschal jedoch auch, dass es nicht zwingend EFS sein muß.

Zitat

Also damit diese Verschlüsselung auch "was taugt", muss man jetzt ein PW mit mehr als 12 Zeichen wählen und die Option, keine LM-Hashes zu speichern aktivieren?

Ja. Ausnahme: EFS und W2K (wie oben beschrieben). EFS (auch unter XP und Vista) steht und fällt mit dem Login-Kenn-
wort!
Aber selbst wenn du W2K Nutzer bist, spricht nichts gegen die Verwendung von NTLM in Verbindung mit dem
Nichtspeichern von LM-Hashes.

NTLM:
Die "12 Zeichen" waren nur ein Beispiel. Die Kennwortlänge muß nicht zwingend 12 Zeichen oder mehr betragen.
Je nach Komplexität des Passwortes mögen auch 8 oder 10 Stellen ausreichen. Je kürzer jedoch die Passwort-
länge ist, desto häufiger mußt du ein Auge auf die bekannten Seiten haben, die Rainbow-Tables für NTLM-Hashes an-
bieten. Und nur die sind relevant! Ein Brute-Force Angriff ist inakzeptabel bei einem komplexen Passwort verbunden mit
einer gewissen Länge. Ein Versuch, mittels Wörterbuch-Attacke erfolgreich zu sein, sollte logischerweise dann scheitern,
wenn das Kennwort "wirr" erscheint und keinerlei semantische Bedeutung hat.

Im Umkehrschluss läßt dich ein Kennwort (NTLM) mit >12 oder >16 (or whatever) Stellen verdammt lang sehr ruhig
schlafen.

Gruß,

Sepia