Jednou z věcí, které můžete udělat pro ochranu svých dat, je použití šifrování. Můžete buď zašifrovat jednotlivé soubory, vytvořit kontejner pro přesun souborů do nebo zašifrovat oddíl nebo disk. Hlavní výhodou šifrování je to, že pro přístup k datům je potřebný klíč, obvykle heslo. Základní forma šifrování je, pokud heslem chráníte soubor ZIP, pokročilejší šifrování může chránit celý systém včetně oddílu operačního systému před neoprávněnými uživateli.
I když je důležité zvolit bezpečné heslo během instalace, aby se zabránilo třetím stranám v úspěšném uhodnutí nebo hrubém vynucení hesla, je důležité si uvědomit, že mohou existovat i jiné prostředky, jak získat přístup k datům.
Elcomsoft právě vydal svůj nástroj Forensic Disk Decryptor. Společnost uvádí, že může dešifrovat informace uložené na discích a kontejnerech PGP, Bitlocker a TrueCrypt. Je třeba poznamenat, že místní přístup k systému je vyžadován, aby jedna z metod používaných programem fungovala. Šifrovací klíče lze získat třemi způsoby:
- Analýzou souboru hibernace
- Analyzováním souboru výpisu paměti
- Provedením útoku FireWire
Šifrovací klíč lze extrahovat ze souboru hibernace nebo z výpisu paměti, pouze pokud uživatel připojil kontejner nebo disk. Pokud máte soubor výpisu paměti nebo soubor hibernace, můžete snadno a kdykoli spustit vyhledávání klíčů. V tomto procesu musíte vybrat správný oddíl nebo šifrovaný kontejner.
Pokud nemáte přístup k souboru hibernace, můžete pomocí nástroje Windows Memory Toolkit snadno vytvořit výpis paměti. Stačí si stáhnout bezplatnou komunitní edici a spustit následující příkazy:
- Otevřete zvýšený příkazový řádek. To provedete klepnutím na klávesu Windows, zadáním cmd, klepnutím pravým tlačítkem myši na výsledek a výběrem spuštění jako správce.
- Přejděte do adresáře, do kterého jste extrahovali nástroj výpisu paměti.
- Spusťte příkaz win64dd / m 0 / r /fx:\dump\mem.bin
- Pokud je váš operační systém 32bitový, vyměňte win64dd za win32dd. Možná budete muset na konci změnit cestu. Mějte na paměti, že soubor bude stejně velký jako paměť nainstalovaná v počítači.
Poté spusťte forenzní nástroj a vyberte možnost extrakce klíče. Přejděte na vytvořený soubor výpisu paměti a počkejte, až bude zpracován. Poté byste měli vidět, jak vám program zobrazuje klíče.
Výrok
Forenzní disk Decryptor Elcomsoft funguje dobře, pokud můžete dostat ruce na soubor výpisu paměti nebo hibernace. Všechny formy útoku vyžadují místní přístup do systému. Může to být užitečný nástroj, pokud jste zapomněli hlavní klíč a zoufale potřebujete přístup k vašim datům. I když je to docela drahé, stojí to 299 EUR, může to být vaše nejlepší naděje na načtení klíče za předpokladu, že používáte režim hibernace nebo máte soubor výpisu stavu paměti, který jste vytvořili, zatímco byl kontejner nebo disk připojen k systému. Před nákupem spusťte zkušební verzi, abyste zjistili, zda dokáže detekovat klíče.
Chcete-li systém chránit před tímto druhem útoku, můžete zakázat vytváření souboru hibernace. I když stále musíte zajistit, aby nikdo nemohl vytvořit soubor výpisu paměti nebo zaútočit na systém pomocí útoku Firewire, zajišťuje, že nikdo nemůže extrahovat informace, když není počítač spuštěn.
