Narzędzie Forensic do odszyfrowywania kontenerów i dysków TrueCrypt, Bitlocker i PGP

Jedną z rzeczy, które możesz zrobić, aby chronić swoje dane, jest użycie szyfrowania. Możesz albo zaszyfrować pojedyncze pliki, utworzyć kontener do przenoszenia plików lub zaszyfrować partycję lub dysk. Główną zaletą szyfrowania jest to, że do uzyskania dostępu do danych potrzebny jest klucz, zwykle hasło. Podstawowa forma szyfrowania polega na tym, że jeśli zabezpieczasz plik zip hasłem, bardziej zaawansowane szyfrowanie może chronić cały system, w tym partycję systemu operacyjnego, przed nieautoryzowanymi użytkownikami.

Chociaż podczas konfiguracji ważne jest wybranie bezpiecznego hasła, aby uniemożliwić osobom trzecim odgadnięcie hasła lub brutalne wymuszenie hasła, należy pamiętać, że mogą istnieć inne sposoby uzyskania dostępu do danych.

Elcomsoft właśnie wydał narzędzie Forensic Disk Decryptor. Firma twierdzi, że może odszyfrować informacje przechowywane na dyskach i kontenerach PGP, Bitlocker i TrueCrypt. Należy zauważyć, że do działania jednej z metod używanych przez program wymagany jest lokalny dostęp do systemu. Klucze szyfrujące można uzyskać na trzy sposoby:

  • Analizując plik hibernacji
  • Analizując plik zrzutu pamięci
  • Wykonując atak FireWire

Klucz szyfrowania można wyodrębnić z pliku hibernacji lub zrzutu pamięci tylko wtedy, gdy użytkownik zamontował kontener lub dysk. Jeśli masz plik zrzutu pamięci lub plik hibernacji, możesz łatwo i w dowolnym momencie rozpocząć wyszukiwanie klucza. Pamiętaj, że w tym procesie musisz wybrać odpowiednią partycję lub zaszyfrowany kontener.

Jeśli nie masz dostępu do pliku hibernacji, możesz łatwo utworzyć zrzut pamięci za pomocą zestawu narzędzi pamięci systemu Windows. Wystarczy pobrać bezpłatną wersję społecznościową i uruchomić następujące polecenia:

  • Otwórz wiersz polecenia z podwyższonym poziomem uprawnień. Zrób to, stukając klawisz Windows, wpisując cmd, klikając wynik prawym przyciskiem myszy i wybierając opcję uruchomienia jako administrator.
  • Przejdź do katalogu, do którego rozpakowałeś narzędzie zrzutu pamięci.
  • Uruchom polecenie win64dd / m 0 / r /fx:\dump\mem.bin
  • Jeśli twój system operacyjny jest 32-bitowy, zamień win64dd na win32dd. Może być również konieczna zmiana ścieżki na końcu. Należy pamiętać, że plik będzie tak duży, jak pamięć zainstalowana w komputerze.

Następnie uruchom narzędzie kryminalistyczne i wybierz opcję wyodrębnienia klucza. Wskaż utworzony plik zrzutu pamięci i poczekaj, aż zostanie przetworzony. Powinieneś zobaczyć klucze wyświetlane przez program później.

Werdykt

Elcomsoft Forensic Disk Decryptor działa dobrze, jeśli możesz dostać zrzut pamięci lub plik hibernacji. Wszystkie formy ataku wymagają lokalnego dostępu do systemu. Może to być przydatne narzędzie, jeśli zapomniałeś klucza głównego i rozpaczliwie potrzebujesz dostępu do swoich danych. Chociaż jest dość drogi, kosztuje 299 EUR, może być najlepszą nadzieją na odzyskanie klucza, pod warunkiem, że używasz hibernacji lub masz plik zrzutu pamięci utworzony podczas montowania kontenera lub dysku w systemie. Przed dokonaniem zakupu uruchom wersję próbną, aby sprawdzić, czy może wykryć klucze.

Możesz wyłączyć tworzenie pliku hibernacji, aby chronić swój system przed tego rodzaju atakiem. Chociaż nadal musisz upewnić się, że nikt nie może utworzyć pliku zrzutu pamięci ani zaatakować systemu za pomocą ataku Firewire, zapewnia to, że nikt nie będzie mógł wyodrębnić informacji, gdy komputer nie zostanie uruchomiony.