TrueCrypt、Bitlocker、およびPGPコンテナーとディスクを解読するためのフォレンジックツールがリリースされました

データを保護するためにできることの1つは、暗号化を使用することです。 個々のファイルを暗号化するか、コンテナを作成してファイルを移動するか、パーティションまたはディスクを暗号化できます。 暗号化の主な利点は、データにアクセスするにはキー(通常はパスワード)が必要なことです。 暗号化の基本的な形式は、zipファイルをパスワードで保護する場合、より高度な暗号化により、オペレーティングシステムパーティションを含むシステム全体を不正ユーザーから保護できます。

セットアップ中に安全なパスワードを選択して、第三者がパスワードを推測またはブルートフォースするのを防ぐことが重要ですが、データにアクセスする他の手段があることに注意することが重要です。

Elcomsoftは、Forensic Disk Decryptorツールをリリースしました。 同社は、PGP、Bitlocker、TrueCryptのディスクとコンテナに保存されている情報を解読できると述べています。 プログラムが使用する方法の1つが機能するには、システムへのローカルアクセスが必要であることに注意する必要があります。 暗号化キーは、次の3つの方法で取得できます。

  • 休止状態ファイルを分析することにより
  • メモリダンプファイルを分析する
  • FireWire攻撃を実行することにより

暗号化キーは、コンテナまたはディスクがユーザーによってマウントされている場合にのみ、休止状態ファイルまたはメモリダンプから抽出できます。 メモリダンプファイルまたは休止状態ファイルを取得した場合は、いつでも簡単にキー検索を開始できます。 プロセスで正しいパーティションまたは暗号化されたコンテナを選択する必要があることに注意してください。

休止状態ファイルにアクセスできない場合は、Windows Memory Toolkitを使用してメモリダンプを簡単に作成できます。 無料のコミュニティエディションをダウンロードして、次のコマンドを実行するだけです。

  • 管理者特権でコマンドプロンプトを開きます。 Windowsキーをタップしてcmdと入力し、結果を右クリックして、管理者として実行することを選択します。
  • メモリダンプツールを抽出したディレクトリに移動します。
  • コマンドwin64dd / m 0 / r /fx:\dump\mem.binを実行します
  • OSが32ビットの場合、win64ddをwin32ddに置き換えます。 最後にパスを変更する必要がある場合もあります。 ファイルはコンピューターにインストールされているメモリと同じ大きさになることに注意してください。

その後、フォレンジックツールを実行し、キー抽出オプションを選択します。 作成されたメモリダンプファイルをポイントし、処理されるまで待ちます。 その後、プログラムによってキーが表示されます。

評決

ElcomsoftのForensic Disk Decryptorは、メモリダンプまたはハイバネーションファイルを手に入れることができればうまく機能します。 すべての攻撃フォームには、システムへのローカルアクセスが必要です。 マスターキーを忘れて、データに必死にアクセスする必要がある場合に便利なツールになります。 それは非常に高価ですが、299ユーロかかります。休止状態を使用している場合、またはコンテナまたはディスクがシステムにマウントされている間に作成したメモリダンプファイルがある場合は、キーを取得することをお勧めします。 購入する前に、試用版を実行して、キーを検出できるかどうかを確認してください。

この種の攻撃からシステムを保護するために、休止状態ファイルの作成を無効にすることができます。 誰もメモリダンプファイルを作成したり、Firewire攻撃を使用してシステムを攻撃したりできないようにする必要がありますが、PCが起動していないときに誰も情報を抽出できないようにします。