Elcomsoft Password Digger entschlüsselt Mac OS Schlüsselbunde

 

Moskau, 17. September 2015

Mit 'Elcomsoft Password Digger' präsentiert das russische IT-Forensik-Unternehmen ein Tool zum Entschlüsseln von Passwörtern des Mac OS X Schlüsselbunds. Hiermit kann der gesamte Inhalt aller Schlüsselbunde von Mac OS-Geräten entschlüsselt und exportiert werden. Die Informationen stehen anschließend als unverschlüsselte XML-Datei zur Verfügung. Der Export als "Passwort-Wörterbuch" dient anderen Password Recovery Tools als Datenbasis, um Hinweise auf Syntax und Aufbau der Passwörter zu erhalten.

Über den Mac OS X Schlüsselbund

Der Schlüsselbund wurde mit Mac OS 8.6 eingeführt, um sensible Daten sicher speichern zu können. Mac OS X benutzt das Prinzip Schlüsselbund, um sowohl System-Passwörter als auch benutzerspezifische Passwörter zu speichern und zu verwalten. System-Passwörter wie beispielsweise Passwörter für WLAN sind im System-Schlüsselbund gespeichert, während nutzerspezifische Passwörter von Mac OS X entsprechend im Benutzer-Schlüsselbund abgelegt werden.

Infolge dessen enthält der Benutzer-Schlüsselbund für gewöhnlich hochsensible Authentifizierungs-Informationen wie etwa Passwörter für Webseiten und Accounts (inklusive Apple ID Passwort), Passwörter für VPN, RDP, FTP und SSH, Passwörter für Mail-Konten wie Gmail oder Microsoft Exchange und auch Passwörter für Netzwerk-Freigaben und iWork-Dokumente.

Auch Anwendungen von Drittanbietern können sensible Daten im Schlüsselbund ablegen. So enthält der Schlüsselbund neben den wissentlich hinterlegten Daten oftmals auch Zertifikate, Authentifizierungs-Token und Informationen von anderen Anwendungen, ohne dass dies dem Nutzer bewusst wäre. Wichtig ist für Ermittler in diesem Zusammenhang vor allem, die Apple-ID in Erfahrung zu bringen. Sie ermöglicht es, vollständige Backups von iOS-Geräten aus der Apple iCloud zu ziehen. In den so gewonnen Backups sind wiederum iOS-Schlüsselbunde in verschlüsselter Form enthalten.

Zwar sind die im Schlüsselbund gespeicherten Daten sicher verschlüsselt, der hierzu verwendete Key unterscheidet sich jedoch je nach Schlüsselbund. Für den System-Schlüsselbund wird eine Datei verwendet, die den benötigten Key enthält. Für die Benutzer-Schlüsselbunde werden in der Regel Keys verwendet, die sich aus den Mac OS-Benutzerpasswörtern ableiten lassen.

Um die aus dem Schlüsselbund gewonnenen Daten aufbereitet anzeigen zu lassen, dient Apples eigenes Dienstprogramm 'Keychain Access'. Jedoch ist Keychain Access sehr langsam und unkomfortabel, wenn es für forensische Zwecke benutzt werden soll. Wenn also nicht das Auslesen eines einzelnen Passworts im Vordergrund steht, sondern das systematische Auslesen ganzer Passwort-Datenbanken, ist Keychain Access kaum die erste Wahl. Auch muss bei Keychain Access für jeden Datensatz das Passwort manuell wieder eingegeben werden. Eine entschlüsselte XML-Datei erleichtert in diesem Fall die Arbeit erheblich.

Extrahieren des Mac OS X Schlüsselbundes mit Elcomsoft Password Digger

Elcomsoft Password Digger ist geeignet, um alle Daten aus dem System- und dem Benutzer-Schlüsselbund von Mac OS X zu extrahieren. Die gewonnenen Daten werden in einer entschlüsselten XML-Datei ausgegeben. In der entschlüsselten Datei sind danach sämtliche Daten des Schlüsselbundes enthalten, wie beispielsweise die Passwörter im Klartext nebst zugehöriger Website sowie einer Protokollierung von Erstelldaten und Zugriffszeiten dieser Passwörter.

Einmal gewonnen, kann diese XML-Datei wiederum in vielen anderen forensischen Tools genutzt werden. Aber auch die manuelle Aufbereitung der Daten durch beispielsweise Microsoft Excel ist problemlos möglich.

Voraussetzungen für den Elcomsoft Password Digger sind ein Windows-PC und die aus Mac OS extrahierten verschlüsselten Rohdaten des Schlüsselbunds. Um Zugriff auf die im Schlüsselbund gespeicherten Daten zu erhalten, werden zudem Authentifizierungs-Informationen benötigt. Im Regelfall ist dies der Mac OS Login oder, falls abweichend, das entsprechende Schlüsselbund-Passwort. Der System-Schlüsselbund wird mittels einer Datei verschlüsselt. Die in der Datei enthaltenen Informationen müssen zunächst vom Gerät extrahiert werden. Bei einem laufenden System sind hierzu Administratorrechte erforderlich.

Erstellung benutzerdefinierter Passwort-Wörterbücher

Brute-Force-Angriffe auf Passwörter sind ohne ein gut recherchiertes Passwort-Wörterbuch wenig Erfolg versprechend. Lässt sich die schiere Zahl möglicher Passwörter nicht drastisch reduzieren, sind auch mit Grafikkarten-Beschleunigung viele Brute-Force-Angriffe viel zu langsam um erfolgreich zu sein. Möchte man beispielsweise Passwörter von neueren MS Office-Dokumenten knacken, so ist eine Passwort-Datenbank unabdingbar. Mit ihr lassen sich bestimmte syntaktische, morphologische oder semantische Gemeinsamkeiten der aus dem Schlüsselbund entwendeten Passwörter ausfindig machen, wodurch die Zahl zu testender Passwörter drastisch gesenkt werden kann.

Genau diese Passwort-Wörterbücher können mit Elcomsoft Password Digger in einem einzigen Klick erstellt werden. Extrahiert wird eine Plain-Text-Passwort-Datei, die ausschließlich Passwörter enthält und es entsprechenden forensischen Tools ermöglicht, die strukturellen Ähnlichkeiten der Passwörter zu nutzen, um intelligente Brute-Force-Attacken zu starten.

Preise und Verfügbarkeit

Elcomsoft Password Digger ist ab sofort verfügbar. Der Preis liegt bei 199 EUR zzgl. MwSt.

Elcomsoft Password Digger läuft mit Windows Vista, Windows 7, 8, 8.1 und Windows 10 oder Windows 2003, 2008 oder 2012 Server und unterstützt allen Versionen des Mac OS Schlüsselbunds, inklusive Mac OS X 'El Capitan'.