(c) by Carsten Maartmann / Inception Inception ist ein Tool zur physikalischen Speichermanipulation unter Verwendung des IEE 1394 SBP2 DMA Expoits mittels der libforensic1394 Library. Ähnliche Ansätze finden sich bereits in einigen Forensik-Tools des kommerziellen Anbieters Elcomsoft. Inception ist jedoch Freeware, bzw. Donationware und ist kostenlos erhältlich. Das Tool Inception ist in der Lage bei einem physikalischem Rechnerzugriff sämtliche Passwörter zurückzusetzen, um u.a. hierdurch auch auf vollverschlüsselte Festplatten (TrueCrypt, Bitlocker, FileVault) zuzugreifen zu können.

Hierzu greift Inception über die FireWire Schnittstelle, Thunderbolt, den ExpressCard / PC-Card Slot oder die PCI/PCIe Schnittstellen zur Abbilderstellung auf den Arbeitsspeicher der jeweiligen Maschine zu um im Anschluß in das erstellte Abbild des Arbeitsspeichers Codeveränderungen durchzuführen um die darin Signaturen zur Passwortabfrage von TrueCrypt, Bitlocker, FileVault und Co. außer Kraft zu setzen. Sobald diese Programmcode-Injizierung abgeschlossen worden ist, wird das veränderte Abbild des Arbeitsspeichers wieder auf die zu kompromittierende Maschine zurückgeschrieben. Hiernach akzeptiert z.B. TrueCrypt jedes beliebige Passwort. Auch Admin und Rootrechte lassen sich auf den jeweiligen Maschinen mittels "Inception" erlangen.


Der Haupteinsatzzweck von "Inception" stellt sich wie folgt dar:

Dem verschlüsseltem System wird durch Anschluss eines Gerätes an der Firewire-Schnittstelle, das Serial Bus Protocol-2 (SBP-2) zur Verfügung gestellt. Das verschlüsselte System denkt in diesem Falle dass ein SBP-2 Gerät an den Firewireport angeschlossen wurde. SBP-2 verwendet für den Datentransfer DMA (Direct Memory Access) welcher für den Transport großer Datenmengen verwendet wird (Festplatten, Camcorder) und die zu kompromittierende Maschine gibt hierfür den Zugriff auf den Arbeitsspeicher frei. Hierdurch erhält das Tool "Inception" einen Vollzugriff, lesend und schreibend, auf den kompletten Arbeitsspeicher (RAM) unterhalb von 4 GB. Sobald der DMA-Zugriff erfolgt ist, erstellt das Programm ein Speicherabbild des Arbeitsspeichers und untersucht verfügbare Speicherbereiche nach Signaturen der Passwort Authentifizierungs Module der jeweiligen Verschlüsselungen. Sobald diese Signaturen gefunden wurden, injiziert es entsprechenden Programmcode, wird dieser auf den zu kompromittierenden Rechner in das RAM zurückgeschrieben löst das Tool sozusagen einen Kurzschluß im Programmcode des Arbeitsspeichers aus wenn ein falsches Passwort eingegeben wurde und es wird ein beliebiges Passwort zur Entschlüsselung der Daten akzeptiert.

Das "patchen" von Speicherinhalten ist hierbei immer nur für den jeweiligen Moment gültig. Ein Reboot des Systems erzeugt sofort wieder eine zuverlässige und ordnungsgemäße Passwort-Funktionalität.

Auch lassen sich mit "Inception" Privilegien übernehmen und dies auf nahezu jede Rechner auf die man einen pysikalischen Zugriff hat. Nachdem das Tool den inneren Mechanismus zur Betriebssystem-Authentifizierung patcht kann man auch Privilegien als Lokaler Administrator oder Root vergeben. Erzielt wird dies unter Windows unter "Ausführen als..." und bei Linux und MacOs X unter dem Kommando: "sudo su -s ".

Die Version 0.2.2 von "Inception" ist fähig die Privilegien nachfolgender Betriebssysteme zu übernehmen: Windows 8 SP0, Windows 7 SP0-1, Vista SP0 und SP2, Windows XP SP2-3, Mac OS X Snow Leopard, Lion und Mountain Lion, Ubuntu 11.04, 11.10, 12.04, 12.10, Linux Mint 11, 12 und 13. Sowohl bei x86 als auch bei x64-Bit Rechnern. Signaturen lassen sich auf Nachfrage zufügen.

 

Inception (c) by Carsten Maartmann

Für den IT-forensischen und späteren gerichtsverwertbaren Einsatz in Deutschland eignet sich das Tool nur bedingt, hier ist etwas Kreativität gefragt um die spätere gerichtliche Verwertbarkeit der Maßnahme aufrecht erhalten zu können.

 

Weiteregehende Informationen und Quellen zu Inception:

http://www.breaknenter.org/projects/inception/

https://github.com/carmaa/inception