Uzyskanie dostępu do szyfrowanych dowodów elektronicznych. Passware Kit Forensic

forensictools.pl 8 lat temu

Dowody elektroniczne odgrywają istotną rolę w wielu dochodzeniach ale zdarza się, iż ich istotna część jest zaszyfrowana. W wielu przypadkach szyfrowanie może uniemożliwić prowadzone śledztwo oraz pozyskanie i analizę dowodów. Co zrobić w takie sytuacji? Czy rozwiązaniem jest Passware Kit Forensic .

Obecnie są setki aplikacji wspierających szyfrowanie. Działają zarówno na urządzeniach mobilnych, jak i komputerach stacjonarnych. To pozostawia informatyka śledczego z wieloma typami plików zaszyfrowanych: dokumentów biurowych i archiwów. Hasła i loginy do stron internetowych mogą znajdować się w pamięci komputera lub plikach hibernacji. Full Disc Encryption jest dostępny dla wszystkich głównych systemów operacyjnych na rynku.

Metody deszyfrowania są bardzo zróżnicowane dla różnych typów plików. Choć słabe szyfrowanie pozwala znaleźć hasło lub klucz szyfrujący pliki niemal natychmiast, najbardziej nowoczesne formaty szyfrowania są naprawdę solidne. Atak brute-force (sprawdzanie wszystkich haseł), atak słownikowy lub kombinacje tych metod to w niektórych przypadkach jedyna opcja.

Informatykom śledczym zapewniamy bezpłatne narzędzie, które skanuje system plików i wykrywa te zaszyfrowane. Narzędzie wykorzystuje tę samą technologię wykrywania szyfrowania, która jest używana przez Passware Kit Forensic i EnCase Forensic . Raportuje typy szyfrowania i określa jak trudny może być atak na dany plik.

Szyfrowanie jest coraz bardziej popularne wśród użytkowników.

Zarówno system Windows 10, jak i Mac OS X Yosemite mają pełne szyfrowanie dysków (odpowiednio BitLocker i FileVault2) włączoną domyślnie. Użytkownicy są też coraz bardziej świadomi w zakresie tworzenia silnych haseł. Większość najnowszych aplikacji używa standardowych, bezpiecznych algorytmów szyfrujących. To sprawia, iż uzyskanie dostępu do zaszyfrowanych dowodów elektronicznych staje się dużym wyzwaniem. Ataki brute-force są czasochłonne, mogą trwać od kilku tygodni do ponad roku, zanim hasło zostanie znalezione lub atak zostaje po prostu przerwany.

Zalecane jest stosowanie dedykowanych urządzeń w celu przyspieszenia odzyskiwania haseł. Zamiast opierać się o GPU stosuje się akceleratory. Niezwykle trudny do przewidzenia jest wskaźnik sukcesu ataków typu brute-force. Jednym ze sposobów przezwyciężenia tych wyzwań to analiza „live” pamięci. Passware Kit Forensic jest zdolny do skanowania obrazów pamięci, tworzenia listy wykrytych kluczy szyfrowania wraz z tekstową prezentacją hasła oraz haseł do kont użytkowników i tokenów uwierzytelniania umożliwiających dostęp do danych w chmurze.

Istnieje wiele rodzajów obrazów zawierających, z punktu widzenia informatyków śledczych, bezcenne informacje: zrzut pamięci fizycznej RAM, dumpy, hiberfil.sys (plik hibernacji Windows) czy pagefile. Wykonanie obrazu z pamięci zablokowanego komputera z pewnością nie należy do trywialnych. „Warm boot attack” to praktyczny sposób prowadzenia akwizycji pamięci „live” w takich przypadkach. Bootowalny pendrive lub nośnik CD-ROM jest używany do uruchamiana badanego komputera poprzez użycie bardzo małej wersji systemu operacyjnego Linux, która wykonuje zrzut pamięci RAM na zewnętrzny dysk twardy lub pendrive. W ten sposób można wykonać akwizycję większości zawartości pamięci, z wyjątkiem obszarów, które zostały użyte w celu załadowania pamięci samego narzędzia.

Technika ta jest bardzo skuteczna w poszukiwaniu kluczy szyfrowania dla systemu pełnego szyfrowania dysku, takiego jak BitLocker, FileVault2 lub TrueCrypt. Obrazy „live” pamięci mogą wskazać hasła używane przez przeglądarki komputerowe pracujące w trybach „Incognito” lub „InPrivate”. Główną korzyścią wynikającą z analizy pamięci „live” jest wysoki wskaźnik sukcesu i przewidywalny czas potrzebny do zbadania obrazów. Przetwarzanie obrazu pamięci 16GB jest zwykle wykonywane w niecałe 30 minut, w porównaniu do dni, tygodni lub miesięcy poświęconych na ataki brute-force. Wykonywanie tego typu akwizycji ma znaczenie krytyczne. W wielu sprawach ważne jest by uchwycić jak najwięcej dowodów, jak to możliwe, w tym obrazy „live” pamięci.

Więcej informacji o Passware Kit Forensics i metodach dekrypcji danych jest dostępnych na stronie internetowej www.passware.com

Idź do oryginalnego materiału