Unul dintre lucrurile pe care le puteți face pentru a vă proteja datele este să utilizați criptarea. Puteți fie cripta fișiere individuale, crea un container pentru a muta fișierele în sau cripta o partiție sau un disc. Principalul beneficiu al criptării este faptul că este necesară o cheie, de obicei o parolă, pentru a accesa datele. O formă de bază de criptare este dacă protejați parola cu fișierul zip, criptarea mai avansată poate proteja întregul sistem, inclusiv partiția sistemului de operare împotriva utilizatorilor neautorizați.
Deși este important să alegeți o parolă sigură în timpul configurării pentru a împiedica terții să ghiceze sau să forțeze bruta parola, este important să rețineți că pot exista și alte mijloace pentru a avea acces la date.
Elcomsoft tocmai a lansat instrumentul de decryptor Forensic Disk. Compania afirmă că poate decripta informațiile stocate în discurile PGP, Bitlocker și discurile TrueCrypt. Trebuie menționat că accesul local la sistem este necesar pentru una dintre metodele utilizate de program. Cheile de criptare pot fi achiziționate prin trei mijloace:
- Analizând fișierul de hibernare
- Analizând un fișier de descărcare de memorie
- Prin efectuarea unui atac FireWire
Cheia de criptare poate fi extrasă numai din fișierul de hibernare sau din memoria de depozitare dacă memoria sau discul au fost montate de utilizator. Dacă aveți fișierul de descărcare de memorie sau fișier de hibernare, puteți începe căutarea cheilor cu ușurință și în orice moment. Rețineți că trebuie să selectați partiția potrivită sau containerul criptat în acest proces.
Dacă nu aveți acces la un fișier de hibernare, puteți crea o descărcare de memorie cu ușurință cu Windows Memory Toolkit. Descărcați ediția gratuită a comunității și executați următoarele comenzi:
- Deschideți un prompt de comandă ridicat. Faceți acest lucru cu o apăsare pe tasta Windows, tastând cmd, faceți clic dreapta pe rezultat și selectați pentru a rula ca administrator.
- Navigați la directorul la care ați extras instrumentul de descărcare de memorie.
- Rulați comanda win64dd / m 0 / r /fx:\dump\mem.bin
- Dacă sistemul de operare este pe 32 de biți, înlocuiți win64dd cu win32dd. De asemenea, poate fi necesar să schimbați calea la sfârșit. Rețineți că fișierul va fi la fel de mare ca memoria instalată în computer.
Rulați ulterior instrumentul criminalistic și selectați opțiunea de extragere a cheilor. Indicați-l către fișierul de descărcare de memorie creat și așteptați până când a fost procesat. Ar trebui să vedeți după aceea cheile care vă sunt afișate de program.
Verdict
Decryptorul Forensic Disk de la Elcomsoft funcționează bine dacă puteți pune mâna pe un dosar de memorie sau fișier de hibernare. Toate formele de atac necesită acces local la sistem. Poate fi un instrument util dacă ai uitat cheia principală și ai nevoie disperată de acces la datele tale. Deși este destul de scump, costă 299 de euro, este posibil să fie cea mai bună speranță de a prelua cheia, cu condiția să utilizați hibernare sau să aveți un fișier de descărcare de memorie pe care l-ați creat în timp ce containerul sau discul au fost montate pe sistem. Înainte de a face o achiziție, executați versiunea de încercare pentru a vedea dacă poate detecta cheile.
Puteți dezactiva crearea unui fișier de hibernare pentru a vă proteja sistemul împotriva acestui tip de atac. În timp ce mai trebuie să vă asigurați că nimeni nu poate crea un fișier de descărcare de memorie sau să atace sistemul folosind un atac Firewire, acesta vă asigură că nimeni nu poate extrage informația atunci când computerul nu este pornit.
