Koalicja na rzecz łamania haseł – Tableau Password Recovery

forensictools.pl 8 lat temu

Szyfrowanie, kiedyś dostępne tylko dla specjalistów i najbardziej zaawansowanych użytkowników, w ostatnich latach stało się technologią dostępną dla wszystkich. Zmiany te spowodowały znaczny wzrost zabezpieczonych danych. Oczywiście, należy cieszyć się z rosnącej świadomości oraz możliwości użytkowników, ale fakt ten nie pozostał obojętny dla osób zajmujących się analizą cyfrowego materiału dowodowego. Opisana sytuacja spowodowała, iż Tableau Password Recovery stał się podstawowym narzędziem w laboratorium.

Zabezpieczanie

Szyfrowaniem można zabezpieczyć pojedynczy plik, wolumen danych, a choćby cały dysk twardy z pracującym na nim systemem operacyjnym (tzw. FDE – Full Disk Encryption). Zwłaszcza FDE ma wpływ na pracę informatyków śledczych, ponieważ technologia ta wymusiła zmiany w podejściu do zabezpieczenia nośników danych, gdzie przed wyłączeniem komputera należy upewnić się, iż nie jest on zaszyfrowany. W takiej sytuacji, możemy później nie otrzymać informacji potrzebnych do deszyfracji co poskutkuje brakiem możliwości dalszej analizy. Warto w tym miejscu wspomnieć o potrzebie wykonywania zrzutów pamięci RAM (tzw. memory dump) w przypadku zabezpieczania uruchomionego komputera. W zrzucie możemy znaleźć bardzo przydatne dane, m.in. potrzebne do późniejszej deszyfracji nośnika. Informacje te przepadną wraz z wyłączeniem komputera (pomijając możliwość wykonania ataku typu cold boot).

Deszyfracja

Na rynku informatyki śledczej w ostatnim czasie powstają interesujące sojusze, mające na celu przyniesienie korzyści nam, użytkownikom. Mowa tu o następujących rozwiązaniach:

  • EnCase Forensic
  • Tableau Password Recovery
  • Passware Kit Forensic

EnCase Forensic to czołowy program dla informatyków śledczych, dzięki którego można zabezpieczyć oraz poddać analizie szerokie spektrum danych. Program rozpoznaje i pozwala na deszyfrację najbardziej popularnych formatów szyfrowania FDE, jak również rozpoznaje zaszyfrowane pliki na badanym nośniku. Sama detekcja to dopiero pierwszy krok. Następnie pliki trzeba poddać próbom mającym na celu deszyfrację/uzyskanie hasła dostępowego do danych. Bezpośrednio z poziomu interfejsu EnCase Forensic użytkownik może zabezpieczone pliki wysłać do programu Passware, dzięki którego można deszyfrować wskazane dane.

Obliczenia

Deszyfracja deszyfracji nierówna o czym warto pamiętać wyposażając laboratorium w rozwiązania do tego typu działań. Najważniejszym elementem, na który należy zwrócić uwagę to moc obliczeniowa dostępna dla rozwiązań deszyfrujących nasze dane. Od dawna już wiadomo, iż znacznie więcej osiągniemy, opierając nasze działania o procesory graficzne (GPU) niż tylko o procesor z płyty głównej (CPU).

Passware Kit Forensic pozwala na korzystanie z procesorów graficznych, choćby kilku kart w jednym komputerze co umożliwia znaczne przyspieszenie deszyfracji. Należy pamiętać, iż prędkość obliczeń zależy nie tylko od wykorzystanego sprzętu ale także od algorytmu, który został wykorzystany przy szyfrowaniu danych. Inna prędkość będzie przy próbie odblokowania archiwum ZIP a inna przy zahasłowanym dokumencie *.docx programu Microsoft Word.

Tableau Password Recovery

W osiągnięciu najlepszych wyników, przychodzi z pomocą najnowszy produkt lidera hardware dla informatyków śledczych – Tableau – rozwiązanie Tableau Password Recovery.

Tableau Password Recovery jest ekonomicznym, skalowalnym rozwiązaniem zaprojektowanym w celu uproszczenia i przyspieszenia procesu identyfikacji, odblokowania i odkrywania dodatkowych informacji w plikach chronionych hasłem.

Oparty na podstawie akceleratora pierwszej generacji popularnego TACC, Tableau Password Recovery jest zasilany przez cztery karty z akceleratorem sprzętowym Tableau Field-Programmable Gate Array (FPGA) w wersji 2 (TACC2). Karty TACC2 zostały zaprojektowane specjalnie w celu przyspieszenia ataków słownikowych i brute-force dzięki rozwiązania firmy Passware.

Integracja Tableau Password Recovery z EnCase Forensic, EnCase eDiscovery i EnCase Endpoint Security.

Tableau Password Recovery integruje się bezpośrednio z EnCase Forensic, EnCase eDiscovery i EnCase Endpoint Security. EnCase plugin o nazwie Password Recovery Assistant, dzięki zaledwie kilku kliknięć upraszcza proces wskazywania chronionych plików, ich odblokowania i aktualizację aktywnej sprawy o nowo odblokowane dane.

Wspomniane oprogramowanie Passware jest skalowalne dzięki liczby agentów w dystrybuowanych atakach, a rozwiązanie sprzętowe Tableau Password Recovery w postaci liczby urządzeń pracujących razem, co pozwala na dopasowanie do potrzeb choćby najbardziej wymagających użytkowników.

Taka kompilacja rozwiązań wskazuje, iż ich producenci rozumieją rynek i poprzez współpracę przy obecnych produktach oraz tworzenie nowych, pozwalają użytkownikom na lepszą i bardziej wydajną pracę.

Obecne możliwości deszyfracji dla poszczególnych użytkowników oraz instytucji umożliwiają wydajne próby uzyskiwania dostępu do zaszyfrowanych danych bez potrzeby wysyłania ich poza sieć wewnętrzną, np. do klastrów obliczeniowych w chmurze co zawsze rodziło wątpliwości pod kątem bezpieczeństwa badanych danych.

Idź do oryginalnego materiału