Herramienta forense para descifrar contenedores y discos TrueCrypt, Bitlocker y PGP lanzados

Una de las cosas que puede hacer para proteger sus datos es utilizar el cifrado. Puede cifrar archivos individuales, crear un contenedor para mover archivos a o cifrar una partición o un disco. El principal beneficio del cifrado es que se necesita una clave, generalmente una contraseña, para acceder a los datos. Una forma básica de cifrado es que si protege con contraseña un archivo zip, un cifrado más avanzado puede proteger todo el sistema. incluida la partición del sistema operativo de usuarios no autorizados.

Si bien es importante elegir una contraseña segura durante la configuración para evitar que terceros adivinen con éxito o forcen la contraseña, es importante tener en cuenta que puede haber otros medios para obtener acceso a los datos.



Elcomsoft acaba de lanzar su herramienta Forensic Disk Decryptor. La compañía afirma que puede descifrar la información almacenada en discos y contenedores PGP, Bitlocker y TrueCrypt. Debe tenerse en cuenta que se requiere acceso local al sistema para que uno de los métodos utilizados por el programa funcione. Las claves de cifrado se pueden adquirir por tres medios:

  • Analizando el archivo de hibernación
  • Analizando un archivo de volcado de memoria
  • Realizando un ataque FireWire

La clave de cifrado solo se puede extraer del archivo de hibernación o del volcado de memoria si el usuario ha montado el contenedor o el disco. Si obtuvo el archivo de volcado de memoria o el archivo de hibernación, puede iniciar la búsqueda de claves fácilmente y en cualquier momento. Tenga en cuenta que debe seleccionar la partición correcta o el contenedor cifrado en el proceso.

truecrypt bitlocker pgp password screenshot

Si no tiene acceso a un archivo de hibernación, puede crear un volcado de memoria fácilmente con el Kit de herramientas de memoria de Windows. Simplemente descargue la edición comunitaria gratuita y ejecute los siguientes comandos:



  • Abra un símbolo del sistema elevado. Hazlo con un toque en la tecla de Windows, escribiendo cmd, haciendo clic derecho en el resultado y seleccionando ejecutar como administrador.
  • Navegue hasta el directorio en el que extrajo la herramienta de volcado de memoria.
  • Ejecute el comando win64dd / m 0 / r / f x: dump mem.bin
  • Si su sistema operativo es de 32 bits, reemplace win64dd por win32dd. También es posible que deba cambiar la ruta al final. Tenga en cuenta que el archivo será tan grande como la memoria instalada en la computadora.

Ejecute la herramienta forense luego y seleccione la opción de extracción de claves. Apunte al archivo de volcado de memoria creado y espere hasta que se haya procesado. Debería ver las teclas mostradas por el programa posteriormente.

Veredicto

Forensic Disk Decryptor de Elcomsoft funciona bien si puede conseguir un volcado de memoria o un archivo de hibernación. Todas las formas de ataque requieren acceso local al sistema. Puede ser una herramienta útil si olvidó la clave maestra y necesita desesperadamente acceder a sus datos. Si bien es bastante caro, cuesta € 299, puede ser su mejor opción para recuperar la clave, siempre que esté usando hibernación o tenga un archivo de volcado de memoria que haya creado mientras el contenedor o el disco estaban montados en el sistema. Antes de realizar una compra, ejecute la versión de prueba para ver si puede detectar las claves.

Puede desactivar la creación de un archivo de hibernación para proteger su sistema de este tipo de ataque. Si bien aún debe asegurarse de que nadie pueda crear un archivo de volcado de memoria o atacar el sistema mediante un ataque Firewire, garantiza que nadie pueda extraer la información cuando la PC no está iniciada.