11 may. 2013

Extraer passwords de TrueCrypt en memoria

Truecrypt actua como software de cifrado "al vuelo" (en inglés “on the fly” encryption, en adelante OTFE). Esto quiere decir que de una forma transparente se descifran los datos cuando se requieren del disco y se cifran antes de escribirse en el disco. Para ello y a grandes rasgos, una vez que se monta un volumen con Truecrypt, la clave simétrica (contraseña o keyfile) se transfiere al filtro criptográfico que la almacena en memoria y genera claves derivadas (header key y master key) para automatizar este proceso de cifrado/descifrado. Si no lo hiciera, el usuario tendría que escribir manualmente la contraseña cada vez que accediera al volumen cifrado y por lo tanto su uso no sería demasiado versátil.

Sin embargo y dada su naturaleza se dice que el OTFE (incluido Truecrypt) sólo protege los datos cifrados "en descanso". Es decir, una vez que un volumen cifrado se monta permanecerá accesible a los usuarios del sistema como si de texto plano se tratara hasta que se desmonte dicho volumen o se apague el sistema. El por qué está claro: en definitiva la contraseña para acceder al volumen cifrado se encuentra en la información volátil de la memoria física (RAM) y, si la obtenemos (un técnica forense muy común), nuestro único problema será sólo identificarla.


Contenido completo en fuente original HackPlayers

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!