Een Russisch softwarebedrijf heeft een nieuwe tool gepresenteerd om versleutelde harde schijven toch te kunnen uitlezen. De Elcomsoft Forensic Disk Decryptorbiedt toegang tot informatie op schijven die met BitLocker, PGP en TrueCrypt versleuteld zijn. Naast het uitvoeren van allerlei brute-force aanvallen is de voornaamste methode voor het achterhalen van de encryptiesleutels het uitlezen van geheugendumps.
"De voornaamste en enige zwakte van versleutelde containers is de menselijke factor. Naast zwakke wachtwoorden, moeten versleutelde volumes worden aangekoppeld voor de gebruiker om toegang tot de versleutelde gegevens te hebben. Niemand wil elke keer zijn lange, complexe wachtwoorden intikken als ze een bestand willen lezen of schrijven", zegt Vladimir Katalov op het Elcomsoft-blog.
Dump
Volgens het softwarebedrijf zijn de sleutels via geheugendumps te achterhalen. Voor het maken van deze dumps zijn verschillende forensische tools beschikbaar, maar zou ook een FireWire-aanval zijn te gebruiken in het geval de computer is uitgeschakeld. De Disk Decryptor kan namelijk de encryptiesleutels ook uit het hibernation-bestand halen.
"Het is belangrijk dat versleutelde volumes zijn aangekoppeld op het moment de geheugendump wordt verkregen of de computer in slaapstand gaat, anders worden de encryptiesleutels vernietigd en kan de inhoud van de versleutelde volumes niet zonder het originele wachtwoord worden ontsleuteld.
Snelheid
Is de geheugendump succesvol, dan kan de Disk Decryptor de versleutelde schijf als een schijfletter op het systeem van de onderzoeker aankoppelen. Daardoor kunnen allerlei andere forensische tools er snel en eenvoudig toegang toe krijgen.
"Dit lijkt misschien niet veilig, en mag door bepaald beleid niet worden toegestaan, maar soms is snelheid en gemak alles", stelt Katalov. De Disk Decryptor kost omgerekend 225 euro.
Bron: security.nl