GLF

[Mitleser]

Kurz gesagt: Man kann ein TrueCrypt- oder BitLocker-Passwort per FireWire-Anschluss auslesen, auch wenn der Rechner im Standby-Modus ist. Fährt man seinen Rechner nicht richtig herunter, ist das ggf. eine Sicherheitslücke.

[Dorian]

Der Container muss geöffnet sein. Geschlossene Container sind theoretisch unknackbar.
Nicht das Passwort wird ausgelesen, sondern der Schlüssel, der aus dem Passwort erzeugt wird.

[Ovid]

@Mitleser:
Es reicht unter Windows beim Gerätemanager den IEEE 1394 Bus Host-Controller zu deaktivieren.

[Dorian]

Ob es wohl eine FW-Karte für den Expresscardslot eines Laptops gibt, die per Plug an Play verfügt....

Bezüglich lolizei:
Bild gelöscht. GLF-Moderation

[Security]

Wie sieht das mit der Praxis aus?

In der Praxis empfiehlt sich eher den Firewire-Port zu deaktivieren. Die Deaktivierung im Geräte-Manager von Windows reicht aus.

RAM braucht Strom, um Daten zu speichern.
Nach Abschalten Netzstecker des Desktop-PC ziehen!
Bei Notebook usw Batterie rausnehmen.

TOR und andere Proxy-Methoden nutzen!
Oft IP-Nummer wechseln.

[gelöscht_17]

@Mitleser:
Es reicht unter Windows beim Gerätemanager den IEEE 1394 Bus Host-Controller zu deaktivieren.

Und wenn die Cops mitsamt Laptop die Bude okkupiert haben, sind sie zu dumm, den Bus (vorausgesetzt, der Rechner läuft noch) mal eben im Gerätemanager wieder zu aktivieren? Ich denke, diese Minimallösung dürfte ihnen durchaus bekannt sein.

Sicherer ist es da, erst gar keine Firewire-Schnittstelle zu haben, die man aktivieren kann.

Nosfi

PS: Und am allersichersten ist es, erst gar keine KiPo zu saugen oder so dumm zu sein, sich dabei auch noch erwischen zu lassen...

[Ovid]

Und wenn die Cops mitsamt Laptop die Bude okkupiert haben, sind sie zu dumm, den Bus (vorausgesetzt, der Rechner läuft noch) mal eben im Gerätemanager wieder zu aktivieren?

Wenn sie Zugriff zu einer aktiven Windows-Session bekommen, wozu dann noch FireWire reaktivieren?
Dann kann man gleich drauf lossuchen.

Ich gehe also selbstverständlich von einer gesperrten Arbeitsstation aus. Auch nur aus diesem Grund ist die FireWire-Methode erst gefährlich, da solch eine Sperrung dann kein Hindernis mehr ist.

Bei einer gesperrten Arbeitsstation gibt es dann nur noch die zerstörerische Methode den RAM mit Flüssigstickstoff zu erhalten, um dann im Forensik-Labor den präservierten Inhalt auszulesen.

Da man jedoch im Normalfall nicht von einer Komplettverschlüsselung ausgeht, wird der PC bei einer HD einfach nur beschlagnahmt - ergo vom Stromnetz getrennt - und erst im Labor nach zig Monaten Einlagerung stellt man fest, dass man doch lieber hätte den Speicherinhalt aufheben sollen.

Fazit: Zu einer HD kommt die Bullerei möglicherweise mit einer FireWire-Schnittstelle um gegen gesperrte Arbeitsstationen vorzugehen, weil es einfach ist. Mit Flüssigstickstoff wohl eher nicht. Weswegen eine gesperrte Arbeitsstation bei Vollverschlüsselung sicher sein dürfte. (vorrausgesetzt man deaktiviert FireWire)
Wer auf Nummer sicher gehen will, der geht eben einfach nicht aus dem Haus ohne den PC abzuschalten.

PS: Und am allersichersten ist es, erst gar keine KiPo zu saugen oder so dumm zu sein, sich dabei auch noch erwischen zu lassen...

Noch sicherer ist es keine KiPo zu saugen (Selbstverständlichkeit) und seinen PC wie hier beschrieben zu sichern.