En af de ting, du kan gøre for at beskytte dine data, er at bruge kryptering. Du kan enten kryptere individuelle filer, oprette en container til at flytte filer til eller kryptere en partition eller disk. Den største fordel ved kryptering er, at der er brug for en nøgle, som regel et kodeord, for at få adgang til dataene. En grundlæggende form for kryptering er, hvis du kodeordbeskytter en zip-fil, mere avanceret kryptering kan beskytte hele systemet inklusive operativsystempartitionen fra uautoriserede brugere.
Selvom det er vigtigt at vælge en sikker adgangskode under opsætningen for at forhindre tredjepart i at gætte eller brute tvinge adgangskoden, er det vigtigt at bemærke, at der kan være andre midler til at få adgang til dataene.
Elcomsoft har netop frigivet sit Forensic Disk Decryptor-værktøj. Virksomheden oplyser, at det kan dekryptere de oplysninger, der er gemt i PGP, Bitlocker og TrueCrypt diske og containere. Det skal bemærkes, at lokal adgang til systemet er påkrævet for, at en af metoderne, der bruges af programmet, fungerer. Krypteringsnøgler kan erhverves på tre måder:
- Ved at analysere dvalefilen
- Ved at analysere en hukommelsesdump-fil
- Ved at udføre et FireWire-angreb
Krypteringsnøglen kan kun udvindes fra dvalefilen eller hukommelsesdumpen, hvis beholderen eller disken er monteret af brugeren. Hvis du har hukommelsesdump-filen eller dvaletilstand, kan du nemt og når som helst starte nøglesøgningen. Bemærk, at du skal vælge den rigtige partition eller den krypterede container i processen.
Hvis du ikke har adgang til en dvalefil, kan du nemt oprette en hukommelsesdump med Windows Memory Toolkit. Download bare den gratis community-udgave og kør følgende kommandoer:
- Åbn en forhøjet kommandoprompt. Gør det med et tryk på Windows-tasten, skriv cmd, højreklik på resultatet og vælg at køre som administrator.
- Naviger til det bibliotek, som du har udpakket hukommelsesdump-værktøjet til.
- Kør kommandoen win64dd / m 0 / r /fx:\dump\mem.bin
- Hvis dit operativsystem er 32-bit, skal du udskifte win64dd med win32dd. Det kan også være nødvendigt, at du ændrer stien i slutningen. Husk, at filen vil være så stor som hukommelsen, der er installeret på computeren.
Kør det retsmedicinske værktøj bagefter og vælg valgmuligheden for ekstraktion af nøgler. Peg den til den oprettede hukommelsesdump-fil, og vent, indtil den er behandlet. Du skal se de taster, der vises for dig af programmet bagefter.
Dom
Elcomsofts Forensic Disk Decryptor fungerer godt, hvis du kan få hænderne på en hukommelsesdump eller dvaletilstand. Alle angrebsformularer kræver lokal adgang til systemet. Det kan være et nyttigt værktøj, hvis du har glemt hovednøglen og desperat har brug for adgang til dine data. Selvom det er ganske dyrt, koster det € 299, kan det være dit bedste håb om at hente nøglen, forudsat at du bruger dvaletilstand eller har en hukommelsesdump-fil, som du har oprettet, mens containeren eller disken var monteret på systemet. Før du foretager et køb, skal du køre prøveversionen for at se, om den kan registrere nøglerne.
Du kan deaktivere oprettelsen af en dvalefil for at beskytte dit system mod denne form for angreb. Mens du stadig skal sikre dig, at ingen kan oprette en hukommelsesdump-fil eller angribe systemet ved hjælp af et Firewire-angreb, sikrer det, at ingen kan udtrække oplysningerne, når pc'en ikke er startet.
