Strumento forense per decrittografare i contenitori e i dischi TrueCrypt, Bitlocker e PGP rilasciati
- Categoria: Sicurezza
Una delle cose che puoi fare per proteggere i tuoi dati è usare la crittografia. Puoi crittografare singoli file, creare un contenitore in cui spostare i file o crittografare una partizione o un disco . Il vantaggio principale della crittografia è che per accedere ai dati è necessaria una chiave, solitamente una password. Una forma base di crittografia è che se proteggi con password un file zip, una crittografia più avanzata può proteggere l'intero sistema inclusa la partizione del sistema operativo da utenti non autorizzati.
Sebbene sia importante scegliere una password sicura durante la configurazione per impedire a terze parti di indovinare con successo o forzare la password, è importante notare che potrebbero esserci altri mezzi per ottenere l'accesso ai dati.
Elcomsoft ha appena rilasciato il suo strumento Forensic Disk Decryptor. L'azienda afferma di poter decrittografare le informazioni archiviate in dischi e contenitori PGP, Bitlocker e TrueCrypt. È necessario notare che è necessario l'accesso locale al sistema affinché uno dei metodi utilizzati dal programma funzioni. Le chiavi di crittografia possono essere acquisite in tre modi:
- Analizzando il file di ibernazione
- Analizzando un file di immagine della memoria
- Eseguendo un attacco FireWire
La chiave di crittografia può essere estratta dal file di ibernazione o dal dump della memoria solo se il contenitore o il disco è stato montato dall'utente. Se hai il file di dump della memoria o il file di ibernazione, puoi avviare la ricerca della chiave facilmente e in qualsiasi momento. Si noti che è necessario selezionare la partizione corretta o il contenitore crittografato nel processo.
Se non si ha accesso a un file di ibernazione, è possibile creare facilmente un dump della memoria con l'estensione Windows Memory Toolkit . Basta scaricare l'edizione community gratuita ed eseguire i seguenti comandi:
- Apri un prompt dei comandi con privilegi elevati. Fallo con un tocco sul tasto Windows, digitando cmd, facendo clic con il pulsante destro del mouse sul risultato e selezionando di eseguire come amministratore.
- Vai alla directory in cui hai estratto lo strumento di dump della memoria.
- Esegui il comando win64dd / m 0 / r / f x: dump mem.bin
- Se il tuo sistema operativo è a 32 bit, sostituisci win64dd con win32dd. Potrebbe anche essere necessario modificare il percorso alla fine. Tieni presente che il file sarà grande quanto la memoria installata nel computer.
Successivamente, esegui lo strumento forense e seleziona l'opzione di estrazione della chiave. Puntalo al file di dump della memoria creato e attendi fino a quando non è stato elaborato. Dovresti vedere i tasti che ti vengono visualizzati dal programma in seguito.
Verdetto
Forensic Disk Decryptor di Elcomsoft funziona bene se riesci a mettere le mani su un dump della memoria o su un file di ibernazione. Tutte le forme di attacco richiedono l'accesso locale al sistema. Può essere uno strumento utile se hai dimenticato la chiave principale e hai un disperato bisogno di accedere ai tuoi dati. Sebbene sia piuttosto costoso, costa € 299, potrebbe essere la tua migliore speranza di recuperare la chiave, a condizione che tu stia usando l'ibernazione o abbia un file di dump della memoria che hai creato mentre il contenitore o il disco erano montati sul sistema. Prima di effettuare un acquisto, esegui la versione di prova per vedere se è in grado di rilevare le chiavi.
È possibile disabilitare la creazione di un file di ibernazione per proteggere il sistema da questo tipo di attacco. Sebbene sia comunque necessario assicurarsi che nessuno possa creare un file di dump della memoria o attaccare il sistema utilizzando un attacco Firewire, garantisce che nessuno possa estrarre le informazioni quando il PC non è avviato.