hallo forum,
ich versuche gerade im zuge forensischer analyse den swapspeicher unveraendert auszulesen, bzw diesen dann auch zu durchsuchen.
auslesen mit dd funkt, aber wie mounte ich es zum durchsuchen?
irgendwelche ideen?
wie ist der swap-speicher aufgebaut und ist er aus forensischer sicht brauchbar?

Als normales Dateisystem kann man das garantiert nicht mounten.
Ist ja im Prinzip nix anderes wie der normale Arbeitsspeicher Inhalt, nur das noch die swap space Signatur und UUID gespeichert wird.
Dir bleibt nix anderes übrig als ein hexdump o.ä. anzuschauen.

z.B ein
od -a
oder
strings
auf das image.

Als normales Dateisystem kann man das garantiert nicht mounten.
Ist ja im Prinzip nix anderes wie der normale Arbeitsspeicher Inhalt, nur das noch die swap space Signatur und UUID gespeichert wird.
Dir bleibt nix anderes übrig als ein hexdump o.ä. anzuschauen.

hm dachte ich mir schon fast....
hexdump is iwi schief gegangen da war nix brauchbares dabei - oder mein hexeditor baute mist :confused:

eig. is less auch ganz brauchbar
less -f /dev/sdb2

@jasihasi
wie meinst das?

hat wer links bzw. ideen wie der swap struckturiert bzw. aufgebaut ist?


EDIT: WTF?!?!?! da steht eins meiner passwörter in hex drin!!!1111

mit z.b. strings kann man nach druckbaren zeichen in dateien suchen (also strings /dev/sdb2 bei dir)

aber warum sollte mounten nicht gehen? schon mount -o loop -t swap /kompletter/pfad/zu/DD-Image /mount/ordner versucht
aber zu durchsuchen nach z.b. strings (siehe oben) musst das afaik garnicht

naja -t swap wird halt nicht als FS angesehen - oder braucht man da extrige FS tools für swap?
aber ich find das komisch dass ich da psw find in swap
hät da eher nen hash anstatt ein psw in hex erwartet

kommt auch daran wie lang das ist vl ists nur ne zufällige zeichenfolge. aber nein im swap sollte soetwas nicht landen.

kommt auch daran wie lang das ist vl ists nur ne zufällige zeichenfolge. aber nein im swap sollte soetwas nicht landen.
zufälltig geht sicher nicht - das isn wort mit ner zahlen kombi
die chancen sind so arg minimal dafür

EDIT: WTF?!?!?! da steht eins meiner passwörter in hex drin!!!1111

Reicht doch schon, wenn man seinen e-mail client unverschlüsselt eine Verbindung aufbauen lässt... Schwupps haste dein passwort in Klartext in einem Ethernetframe, welcher vor dem senden natürlich - wo auch immer - zwischengespeichert wird.

Und sobald ein Passwort schon mehr als 6-7 zeichen hat, ist ein Zufall quasi ausgeschlossen :)

Reicht doch schon, wenn man seinen e-mail client unverschlüsselt eine Verbindung aufbauen lässt... Schwupps haste dein passwort in Klartext in einem Ethernetframe, welcher vor dem senden natürlich - wo auch immer - zwischengespeichert wird.

Und sobald ein Passwort schon mehr als 6-7 zeichen hat, ist ein Zufall quasi ausgeschlossen :)

denke ich mir auch das es mit über 7 zeichen kein zufall mehr sein kann

ok das ist altbekannt :rolleyes:
und sobald man wieder die email selbst verschlüsselt, bzw auch die verbindung, macht man sich verdächtig (man hat ja was zu verbergen :freak:)

aber zurück zum thema - werd nun in einer vm ein sys ohne smb aufsetzen und mal überprüfen wie das psw da rein kommt.
root-psw hab ich im swap-speicher nicht gefunden, aber mal sehn

aber warum sollte mounten nicht gehen?

Warum sollte es gehen seinen Arbeitsspeicher mounten zu können? Kann man übrigens über /dev/mem ansprechen.
Aber wie sollte bitte schön sowas als normales Dateisystem dargestellt werden?
Eine Datei pro Prozessname von dem irgendwelche nicht zusammen hängenden Teile im Swap liegen oder wie?

nur weils kein dateisystem hat auf das man so mir nichts dir nichts zugreifen kann bedeutet nicht dass mans nicht mounten kann. ;)
irgendwann vor langer zeit hab ich nähmlich das schomal gemacht

Seit wann kann man unter Linux etwas mounten was oberflächlich betrachtet nicht wie ein Dateisystem aussieht?
nfs sshfs etc. basieren ja alle auf ein darunterliegendes echtes Dateisystem.
proc sysfs und tmpfs sind halt virtuelle Dateisysteme, können aber so dargestellt werden.

Aber ich kann mir echt nicht recht vorstellen was für Verzeichnisse und Dateien man beim Arbeitsspeicher darstellen soll.

ok das ist altbekannt :rolleyes:
und sobald man wieder die email selbst verschlüsselt, bzw auch die verbindung, macht man sich verdächtig (man hat ja was zu verbergen :freak:)Warum in aller Welt sollte man sich verdächtig machen, wenn man die Verbindung zu seinem Email-Anbieter über eine SSL-gesicherte Verbindung aufbaut? Und: Warum sollte einen das überhaupt kümmern?

Um zu verhindern, dass Passwörter und andere vertrauliche Informationen im Swap landen, hilft es perfekt, wenn man diesen verschlüsselt. Den Rest der Platte (ausgenommen eine kleine /boot-Partition) natürlich gleich mit. Am besten ein verschlüsseltes LVM aufsetzen, dann entschlüsselt man alles mit einer Passphrase beim Systemstart. Viele Installer (Debian, Anaconda für Fedora/Redhat) können das bereits von Haus aus.

Warum in aller Welt sollte man sich verdächtig machen, wenn man die Verbindung zu seinem Email-Anbieter über eine SSL-gesicherte Verbindung aufbaut? Und: Warum sollte einen das überhaupt kümmern?

Um zu verhindern, dass Passwörter und andere vertrauliche Informationen im Swap landen, hilft es perfekt, wenn man diesen verschlüsselt. Den Rest der Platte (ausgenommen eine kleine /boot-Partition) natürlich gleich mit. Am besten ein verschlüsseltes LVM aufsetzen, dann entschlüsselt man alles mit einer Passphrase beim Systemstart. Viele Installer (Debian, Anaconda für Fedora/Redhat) können das bereits von Haus aus.

ja es gab da mal nen vorfall, da is es nicht um die ssl verschlüsselung gegangen sondern darum das die mails selber verschlüsselt waren.... egal

mag sein das es im ausgeschalteten zustand hilft - nicht jedoch wenn das sys läuft und jemand durch nen exploit reinkommt.

hab gerade ein anderes problem - ich kann von den vms das ram auslesen doch von meinem VM-host nicht? warum? hat amd64 ne andere verwaltung als i386?

ja es gab da mal nen vorfall, da is es nicht um die ssl verschlüsselung gegangen sondern darum das die mails selber verschlüsselt waren.... egalAuch das ist doch nicht dein Problem. Selbst wenn die verschlüsselten Mails das Interesse von irgendwem wecken sollten, wird er sich daran die Zähne ausbeißen. Gefoltert wirst du deswegen noch lange nicht, also warum sollte es dich kümmern? Funktionerende Kryptographie ist legal. Vor über 10 Jahren (http://www.heise.de/tp/r4/artikel/1/1338/1.html) hat man sich zwar noch Gedanken darum gemacht, dies zu ändern, die Vernunft hat sich aber letztendlich durchgesetzt.

EDIT: WTF?!?!?! da steht eins meiner passwörter in hex drin!!!1111
Ja, klar, deshalb sollte man auch seinen Swap-Speicher verschüsseln, nicht nur die Partitionen, wo man seine Daten drauf hat.

und sobald man wieder die email selbst verschlüsselt, bzw auch die verbindung, macht man sich verdächtig (man hat ja was zu verbergen :freak:)
Quatsch. Natürlich könnte man das so sehen, aber Privatsphäre ist Privatsphäre und du hast ein Recht darauf, damit darfst du auch verschlüsseln. Wenn du im Falle einer Ermittlung oder so das Passwort nicht herausrückst, können sie auch nichts machen – ausser dich evtl. wegen Behinderung der Ermittlungen vor Gericht zu zerren … unwahrscheinlich, das. :)

Wenn ich mich weigere meine eigenen Daten zu entschlüsseln dann kann mir prinzipiell keiner was. Niemand muss sich selbst belasten, niemand muss bei Ermittlungen gegen ihn selbst helfen. Da gibts keine Behinderung bei den Ermittlungen. Du hast das Recht zu schweigen.
Zumindest bei uns. Noch. Bei den Briten sieht es ja schon anders aus.

ok das thema swap verschlüsseln - ist klar --> check
das psw sollte dennoch nicht im klartext darin enthalten sein.

ich quote mich mal selber da ich bei diesem problem grad richtig
gegen ne wand laufe

hab gerade ein anderes problem - ich kann von den vms das ram auslesen doch von meinem VM-host nicht? warum? hat amd64 ne andere verwaltung als i386?
kleines update: memdump verreckt ca. nach dem auslesen vom halben ram

gibts dazu ideen?

kleines update: memdump verreckt ca. nach dem auslesen vom halben ram

gibts dazu ideen?

Versuch es mal mit biew, der versagt definitiv nicht, da er für das Editieren von Dateisystemen und übergroßen Dateien geeignet ist.
Um aber zu verhindern, daß du die Daten im SWAP manipulierst, solltest du dir mit dd eine Kopie vom SWAP speicher in eine Datei machen.
http://en.wikipedia.org/wiki/BIEW

hallo forum,

Hallo Forenmitglied.

Grüße,
Das Forum

Hallo Forenmitglied.

Grüße,
Das Forum

naja heißt doch forum-3dcenter.org :freak:

ne spaß beiseite - eure linux unterstützung is top

thx @ all

das psw sollte dennoch nicht im klartext darin enthalten sein.
Hängt entscheidend von der Anwendung ab. Die Pidgin-Leute z. B. haben eine recht interessante Begründung dafür geliefert, weshalb sie die Passwörter als Clear-Text speichern (und es nach erfolgter Anmeldung halt auch lesbar im Swap liegt): http://developer.pidgin.im/wiki/PlainTextPasswords

Instant messaging is not very secure, and it's kind of pointless to spend a lot of time adding protections onto the fairly strong file protections of UNIX (our native platform) when the protocols themselves aren't all that secure. The way to truly know who you are talking to is to use an encryption plugin on both ends (such as OTR or pidgin-encryption), and use verified GPG keys. Secondly, you shouldn't be using your instant messaging password for anything else. While some protocols have decent password security, others are insufficient and some (like IRC) don't have any at all.

[…]

If you really wanted to, you could write a script to wrap Pidgin or Finch that would decrypt accounts.xml and re-encrypt it when the application exits. You wouldn't be able to encrypt it while they are running, because libpurple clients write to accounts.xml for things like info change. This would minimize your exposure time unless (like me) you run Pidgin nearly 24/7. Personally, I feel that on any decent operating system, if someone can get to your files you should either be able to trust the person to not touch them, or you shouldn't be storing sensitive information there at all.

[…]

"But surely something is better than nothing, right?"

No. When a Pidgin user looks at her accounts.xml file, she can tell immediately that it's a sensitive file and should be treated as such. When an application attempts to 'trick' the user into thinking its passwords are secure by obfuscating it in some way, the user assumes it's safe.


Also: Swap verschlüsseln und auf sensitive Dateien achten (insbesondere in Sachen Hardware-Zugriff durch Dritte) und jut is.

Cheers, und sorry fürs OT,

-Sascha