ComputerBase Menü
Aktuelles

Win10 Laptop mit veracrypt verschlüsselt - auslesen möglich im standby?

U

unkundig

Ensign
Registriert
Juni 2017
Beiträge
194
Einen schönen guten Tag ihr lieben, folgende Frage hätte ich:

Ist es möglich, einen Windows 10 Laptop der mit veracrypt verschlüsselt ist (ohne BitLocker) extern auszulesen wenn er sich in Standby befindet und beim Hochklappen des Bildschirms der normale Windows anmelde Bildschirm mit Benutzername und Passwort angezeigt wird?

Wenn der Computer ausgeschaltet ist wäre es natürlich nicht möglich, wie verhält es sich aber eben im Standby Modus?

( ich frage, weil nur dieses Windows Passwort zu haben ja überhaupt nichts nützt wenn jemand anderes den Laptop hat, da er einfach die Festplatte nur irgendwo extern anschließen muss und alle Daten normal auslesen kann. Und nun überlege ich, ob es da eine ähnliche sagen wir Lücke oder Möglichkeit gelbe wenn er im Standby Modus ist der Laptop)
 
Zuletzt bearbeitet:
Wenn du keinen menschlichen Faktor (z.B. Passworteingabe vor Windows bootet) hast, hast du mit Zugriff auf die physikalische Hardware immer die Möglichkeit die Daten zu klauen. Unabhängig wie das Verschlüsselungstool heisst. Unabhängig ob er im Standby oder aus ist.

Erst wenn du z.B. beim Booten einen PIN oder Passwort vor Windows eingeben musst, dann sind deine Daten vor einem Angreiffer ohne diesen Faktor sicher(er).

Edit: Ergänzung: Wenn der Rechner einen zweiten Faktor hat und im Standby ist, kannst du theoretisch auch mit Zugriff auf den Rechner alle Daten auslesen. Ist dann halt etwas komplizierter an einen Memory-Dump zu kommen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: BeBur
Deeen schrieb:
Das ist wohl noch aktuell: https://www.computerbase.de/forum/threads/truecrypt-veracrypt-frage-zwecks-ruhezustand.1428763/
Der Schlüssel liegt im RAM. Also könnte man mit einem "Angriff" darauf den Schlüssel theoretisch bekommen.
Zum Vergrößern anklicken....
Danke für den Link. Daraus geht ja vor, dass es sicher ist, wenn alles auf der verschlüsselten Systempartition liegt. Dies ist hier der Fall, also nur eine Festplatte im Laptop und die ist komplett im Bootloader eben ganz normal per veracrypt verschlüsselt so dass man beim Starten des Computers noch vor dem Booten das Passwort eingeben muss. Die Frage ist jetzt also, ob eben bei diesem Windows Anmeldebildschirm wo man das Passwort eingeben muss nach dem Standby irgendwie trotzdem an die Festplatte gelangen kann? So wie ich das jetzt verstehe als Laie geht es nicht weil die ganze Partition als System verschlüsselt ist richtig?
 
Deeen schrieb:
Der Schlüssel liegt im RAM.
Zum Vergrößern anklicken....
Schon. Aber wie genau möchtest du da dran kommen?

Man müsste den RAM wahrscheinlich schockgefrieren, damit er die Daten hält und dann verdammt schnell woanders einbauen, um ihn auszulesen. Denn dort wo er eigentlich verbaut ist, ist ja in dem Moment gesperrt.
 
RAM kühlen, schnell ausbauen und woanders auslesen wäre ein möglicher Angriff. Eine andere Möglichkeit wäre über eine Thunderbolt-Lücke falls der Rechner sowas hat. Darüber konnte man direkt den RAM auslesen. Aber alles sehr aufwendig, also für eine private Person sicher genug.
 
Die Frage ist, wie sicher dein Windows konfiguriert ist. Wenn du ein schwaches Windows-Passwort wählst und das System auch nicht regelmäßig mit Sicherheitspatches versorgst, bringt dir bei der Rückkehr aus dem Stand-By auch die VeraCrypt-Verschlüsselung nichts. Denn in dem Moment ist die OS-Partition (und ggf. noch weitere) gemountet. Und auch der Encryption Key liegt dann, wie bereits erwähnt wurde, im RAM.

Also könnte jemand z.B. folgende Angriffsvektoren versuchen:

  • Er sitzt vor dem Laptop und gibt einfach dein (zu schwaches) Windows-Passwort ein.
  • Er versucht über das Netzwerk via SMB-Share bzw. die administrative Freigabe (\\hostname\c$) auf das System zuzugreifen. Das erfordert wiederum dein persönliches Passwort. Wenn der Rechner Mitglied einer AD-Domäne ist (z.B. Firmen-Laptop), geht das allerdings auch über den Domain Admin Account.
  • Er nutzt eine (öffentlich bekannte oder unbekannte) Sicherheitslücke im Windows aus, um sich Zugang zu verschaffen.

Um die Angriffsmöglichkeiten zu reduzieren, solltest du also min. folgende Maßnahmen ergreifen:

  • Nutze ein starkes Windows-Passwort, ggf. ergänzt durch zusätzliche Faktoren wie Smartcards.
  • Halte das System immer auf dem aktuellen Patchstand.
  • Lass die Windows-Firewall eingeschaltet.

Das alles garantiert dir zwar immer noch nicht, dass der Angreifer sich keinen unbefugten Zugang übers Netz verschaffen kann, aber es macht diesen Angriffsvektor zumindest schwieriger. Wenn du auf der ganz sicheren Seite sein willst, wirst du auf den Stand-By Modus verzichten müssen (also Rechner runterfahren, sodass der RAM gecleared wird und beim nächsten Einschalten wieder nach dem Pre-Boot-Passwort gefragt wird.)
 
  • Gefällt mir
Reaktionen: unkundig
Die Frage ist auch was für ein Key verwendet wird.

Bei einem TPM-Modul das ohne menschliches Zuwirken beim Boot-Vorgang die HDD entsperrt, müsste man den alten Trick mit Erstellen eines neuen User über CMD nutzen können um sich einen eigenen lokalen Administrator mit bekanntem Passwort zu erstellen. Danach gehört das System dir.
(CMD als utilman ausgeben, sollte mWn auch bei TPM-geschützten systemen über Boot in die Reparaturoptionen erreichbar sein)

Falls beim Bootvorgang nach dem Passwort gefragt wird bevor Windows bootet und auch das BIOS passwortgeschützt ist, wird solch ein Angriff erheblich schwieriger.
 
Zusammengefasst: Wenn das Windows Passwort ausreichend sicher ist, dann passt das so! :D
 
  • Gefällt mir
Reaktionen: unkundig
el.com schrieb:
Die Frage ist, wie sicher dein Windows konfiguriert ist. Wenn du ein schwaches Windows-Passwort wählst und das System auch nicht regelmäßig mit Sicherheitspatches versorgst, bringt dir bei der Rückkehr aus dem Stand-By auch die VeraCrypt-Verschlüsselung nichts. Denn in dem Moment ist die OS-Partition (und ggf. noch weitere) gemountet. Und auch der Encryption Key liegt dann, wie bereits erwähnt wurde, im RAM.

Also könnte jemand z.B. folgende Angriffsvektoren versuchen:

  • Er sitzt vor dem Laptop und gibt einfach dein (zu schwaches) Windows-Passwort ein.
  • Er versucht über das Netzwerk via SMB-Share bzw. die administrative Freigabe (\\hostname\c$) auf das System zuzugreifen. Das erfordert wiederum dein persönliches Passwort. Wenn der Rechner Mitglied einer AD-Domäne ist (z.B. Firmen-Laptop), geht das allerdings auch über den Domain Admin Account.
  • Er nutzt eine (öffentlich bekannte oder unbekannte) Sicherheitslücke im Windows aus, um sich Zugang zu verschaffen.

Um die Angriffsmöglichkeiten zu reduzieren, solltest du also min. folgende Maßnahmen ergreifen:

  • Nutze ein starkes Windows-Passwort, ggf. ergänzt durch zusätzliche Faktoren wie Smartcards.
  • Halte das System immer auf dem aktuellen Patchstand.
  • Lass die Windows-Firewall eingeschaltet.

Das alles garantiert dir zwar immer noch nicht, dass der Angreifer sich keinen unbefugten Zugang übers Netz verschaffen kann, aber es macht diesen Angriffsvektor zumindest schwieriger. Wenn du auf der ganz sicheren Seite sein willst, wirst du auf den Stand-By Modus verzichten müssen (also Rechner runterfahren, sodass der RAM gecleared wird und beim nächsten Einschalten wieder nach dem Pre-Boot-Passwort gefragt wird.)
Zum Vergrößern anklicken....
Sehr geil, danke für die detaillierten Ausführungen und deine damit verbundene Zeit die du reingesteckt hast! Ich weiß dass du schätzen bedanke mich sehr. Ab wann kann denn ein Windows Passwort als sicher gelten? Also gibt es da irgendwelche Blutwurst Möglichkeiten oder vielleicht kann man auch einstellen dass man das Passwort eben nur alle paar Sekunden eingeben kann um Bruteforce zu erschweren? Gibt es da irgendwie Modellrechnungen zu ab wie viel Zeichen es wie lange dauern würde etc? Danke schön
 
Über die Frage ab wann ein Kennwort als sicher gilt, kann man sich streiten. Ich denke min. 16 Zeichen sollte es schon haben, und dann noch die üblichen Regeln wie Ziffern, Sonderzeichen, keine Begriffe aus dem Wörterbuch verwenden, etc.
Letztlich muss es für dich einfach zu merken, aber für einen Angreifer schwer zu erraten sein. Ich schätze dein Windows-Passwort übers Netz zu bruteforcen wird sich nicht rentieren, da Windows nach zu vielen fehlgeschlagenen Versuchen den Account zeitweise sperrt oder ggf. auch die Adresse, von der die Angriffe kommen. Wichtiger sehe ich den Faktor der Systemverschlüsselung. Wenn dir jemand den Laptop klaut, könnte er die Platte ausbauen und an eine Maschine anklemmen, die dann versucht das VC-Passwort zu bruteforcen. Wie effizient das ist, ist dabei maßgeblich von der Leistungsfähigkeit der verwendeten Hardware und der Komplexität deines Kennworts abhängig. Beispiel: Ein sechsstelliges Passwort bekommt jeder moderne, handelsübliche Rechner binnen Sekunden geknackt. Zehn Stellen sind binnen Wochen bis Monaten machbar. Mit jedem weiteren Zeichen wachsen die in Frage kommenden Kombinationsmöglichkeiten exponentiell an. Bei einer Länge von 16 Zeichen (inkl. Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen) bist du da theoretisch schon bei einer Dauer von Milliarden von Jahren.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

C
Laptop mit Veracrypt verschlüsselt neu installieren
Antworten
16
Aufrufe
1.736
cartridge_case
cartridge_case
P
Systempartion (Veracrypt) extern kann nur gemountet, aber nicht entschlüsselt werden
Antworten
6
Aufrufe
1.583
PeterTit
P
H
SSD Win10 in Win11 PC eingebaut, dann zurückgebaut, jetzt in keinem PC mehr lesbar? (Datenträgerstruktur beschädigt)
2
Antworten
25
Aufrufe
1.530
Evil E-Lex
Evil E-Lex
M
  • Geschlossen
Hacker hat Laptop verschlüsselt.
2 3
Antworten
45
Aufrufe
6.291
burnout150
burnout150
antitwist
Office-Laptop mit hohen Anforderungen
2
Antworten
24
Aufrufe
894
antitwist
antitwist
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz