Forensiktool entschlüsselt FileVault 2 auf APFS-Medien

Elcomsoft hat sein Distributed-Password-Recovery-Tool aktualisiert, mit dem sich geschützte Mac-Volumes knacken lassen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 96 Beiträge

(Bild: HAKINMHAN / Shutterstock.com)

Von

Die neue Version des Distributed Password Recovery Tool (DPRT) von Elcomsoft, einem Spezialisten für Datenforensik, kann nun auch FileVault-2-Verschlüsselungen auf Apple-File-System(APFS)-Medien brechen. Das gilt ab dem Update 4.2, das seit diesem Monat vorliegt. Das Programm ist für Windows erhältlich und erlaubt Brute-Force-Angriffe auf gesicherte macOS-Volumes.

Üblicherweise erfordert ein solcher Angriff eine Kombination aus GPU-Beschleunigern und verteilten Servern in der Cloud, da hohe Rechenleistung notwendig ist. Das DPRT soll beides zusammen unterstützen. Auf Wunsch lassen sich Amazon-EC-2- und Microsoft-Azure-Instanzen zum Knacken hinzuziehen.

Um Brute-Force-Angriffe auf Systeme zu starten, ohne dass ein komplettes SSD- oder Festplatten-Image erstellt werden muss, bietet Elcomsoft ein eigenes System-Recovery-Werkzeug, dass gegebenenfalls hinzugekauft werden kann. Auch dieses läuft unter Windows und kann in der jüngsten Version mit AFPS-Volumes umgehen. Dennoch kann der Prozess Tage, Wochen oder gar Monate dauern.

Elcomsoft Distributed Password Recovery unterstützt laut Angaben des Herstellers eine Passwort-Wiederherstellung für mehr als 500 Formate, "einschließlich Microsoft Office- und Adobe PDF-Dokumente, verschlüsselte Volumes und Archive, persönliche Sicherheits-Zertifikate und Exchange Keys, MD5-Hashes sowie Oracle-Passwörter, Windows- und UNIX-Login und Domain-Passwörter". Neu ist auch der Support für Veracrypt. Das Tool ist für Forensik-Profis gedacht und kostet als Lizenz für fünf Clients 500 Euro, 100 Clients sind ab 5000 Euro erhältlich – jeweils plus Umsatzsteuer.

Elcomsoft hatte in der Vergangenheit auch auf anderen Apple-Systemen diverse Knackansätze für Forensiker entwickelt. So liefert die russische Firma seit letztem Winter ein iOS-Forensik-Tool zum Auslesen an, das nun bestimmte im Schlüsselbund des Systems hinterlegte Daten extrahieren kann, selbst wenn das iPhone gesperrt oder deaktiviert wurde. Möglich wird dies durch einen öffentlichen Boot-ROM-Exploit, mit dem sich ein Jailbreak bis hin zur aktuellen iOS-Version 13.3 auf iPhones bis hin zum Modelljahr 2017 durchführen lässt. Neuere Geräte sind allerdings nicht angreifbar. (bsc)