2009. augusztus 2., vasárnap

TrueCrypt hack.

Íme egy kis TrueCrypt hacking.

A 4.3a verziót használjuk hozzá (Még letölthető a honlapjukról) Telepítsük fel és hozzunk létre egy 64 kb-os standard FAT disk-et.(lehetőleg minél egyszerűbb módszert használjunk csak jelszó,semmi trükközés a kulcsokkal) Mountoljuk fel és tegyük rá a fontos információkat. (Mik ezek ? A random generált jó hosszú jelszavak a különböző kulcsokhoz, web helyekhez, fórumokhoz, stb) Meg message box azonosítók, mindenféle rövid, tömör csak szöveges adatok.

Ha ez megvan akkor nincs más dolgunk, mint a 64 kb-os data állományt átkonvertálni base64 formátumba. (pl itt : http://www.motobit.com/util/base64-decoder-encoder.asp, de írhatunk rá egy kis konvert-dekonvert progit is vbs-ben)

Most már nem kell mást tenni, mint az átkonvertált base64 szöveget ellátni valami "fake" fejléccel és lábléccel :

Pl :

-----BEGIN PGP MESSAGE-----
Version: GnuPG v1.4.9 (MingW32) - WinPT 1.4.0
Charset: UTF-8

--> ide kerül a base64 szöveg.

-----END PGP MESSAGE-----

Ide betehetünk bármilyen fejlécet, ahol a base64 tartalom értelmesnek tűnik
Nem baj, ha nem működik a fake-ként megadott funkció, mivel senki nem fogja tudni, hogy valójában ez a kódolt szöveg mi :-)

A TrueCryptet letöröljük a gépről - mivel többé nem lesz rá szükség :-)
Letöltjük a TCExplorert, Átnevezzük TurboCExplorer-re.
(De ha akarjuk, bin editorral átírkálunk benne ezt-azt és a készítője se fogja felismerni, hogy mi ez a program. :-)(Módosítjuk a nevét a készítőjét, meg amit csak akarunk)
(Ezért kellett különben a 4.3a TrueCrypt verzió, mivel az újabbakkal a TCExplorer nem megy)

Használat : Mikor használni akarjuk az állományt nem kell mást tennünk, mint a base64 szöveget visszakonvertáljuk binárisba és a TCExplorerrel megnyitjuk. Használat után az ideiglenes bináris-t töröljük. (Wipe-al, vagy előtte átírjuk véletlenszerűen pár helyen bin editorral és utána töröljük (visszaállítás után is használhatatlan lesz))

El is lophatják a cuccot, akkor se valószínű, hogy rájönnek, hogy mit kell csinálni.
A Forensic elemzők (mivel az eredeti bináris data nincs ott) nem fogják tudni detektálni a TruCrypt-et, a base64 fájlt meg annak fogják nézni aminek mi hazudjuk :-) (Amit beleírunk a fejlécbe)

Itt van egy jó kis leírás, hogy hogy tudunk készíteni egy ilyen konvertálót :
http://www.motobit.com/tips/detpg_Base64Encode/
Sima vbscript akármelyik windowson le lehet futtatni. Rejtegetni se kell, mert rajtunk kívül nem tudja senki, hogy mire jó. Ráadásul, ha átnevezzük test22.vbs-re és szándékosan beleteszünk egy hibát, akkor másoknak nem is fog működni. Kipróbálják, látják,hogy nem megy, meg amúgy is ez csak valami teszt és nem fognak tovább foglalkozni vele :-D

Ezzel a kis sufni tuninggal elértük, hogy nem csak titkosítva vannak a valóban fontos adataink, de kellőképpen el is vannak rejtve. A 64k-s méret lehet még kisebb is Ha tényleg csak a fontos jelszavak és címek, egyebek vannak benne az elfér kisebb helyen is.

TCExplorerrel gyakorlatilag mindent tudunk csinálni a titkosított diszkkel: kiolvasni róla az információt, kimásolni fájlokat vagy rátölteni. Ennél több nem is kell. Így a TrueCrypt-re tovább nincs szükség.
És nem kell hozzá semmilyen amdin jog. :-)

PortablePerl és a decode/encode :
b64enc.pl :

use strict;
use MIME::Base64 qw( encode_base64 );

# provide 2 filenames as args on the commandline
# first the binary, second the encoded file

#encode
open INFILE, '<', $ARGV[0];
binmode INFILE;
open OUTFILE, '>', $ARGV[1];
my $buf;
while ( read( INFILE, $buf, 4096 ) ) {
print OUTFILE encode_base64($buf);
}

close OUTFILE;
close INFILE;


b64dec.pl:

use strict;
use MIME::Base64 qw( decode_base64 );

open INFILE, '<', $ARGV[0];
open OUTFILE, '>', $ARGV[1];
binmode OUTFILE;
my $buf;
while ( $buf = ) {
print OUTFILE decode_base64($buf);
}

close OUTFILE;
close INFILE;


Ezért használok Perl-t és nem ezt a vacak VBScriptet...

3 megjegyzés:

  1. Firefox AddOns :
    HackBar, Base64 Converter, Base64 Encoder.
    És nem kell semmi plusz program. Beinstallálni egyiket a PortableFirefox-ba és kész ;-)

    Thunderbirdhez is van valami ilyesmi LeetKey Addon a neve. (Fel lehet tenni azt is a Firefox-hoz (is).

    VálaszTörlés
  2. openssl
    encode :
    openssl base64 -in infile -out outfile
    decode :
    openssl base64 -d -in infile -out outfile

    VálaszTörlés
  3. http://josefsson.org/base-encoding/

    windows XP-n msys+Mingw.vel hibátlanul lefordul.

    VálaszTörlés

Megjegyzés: Megjegyzéseket csak a blog tagjai írhatnak a blogba.