En av de saker du kan göra för att skydda dina data är att använda kryptering. Du kan antingen kryptera enskilda filer, skapa en behållare för att flytta filer till eller kryptera en partition eller disk. Den största fördelen med kryptering är att en nyckel, vanligtvis ett lösenord, behövs för att få åtkomst till data. En grundform för kryptering är om du lösenordsskyddar en zip-fil kan mer avancerad kryptering skydda hela systemet inklusive operativsystempartitionen från obehöriga användare.
Även om det är viktigt att välja ett säkert lösenord under installationen för att förhindra att tredje part lyckas gissa eller brute tvinga lösenordet, är det viktigt att notera att det kan finnas andra sätt att få tillgång till data.
Elcomsoft har just släppt sitt Forensic Disk Decryptor-verktyg. Företaget uppger att det kan dekryptera informationen som lagras i PGP-, Bitlocker- och TrueCrypt-diskar och containrar. Det måste noteras att lokal åtkomst till systemet krävs för att en av metoderna som används av programmet ska fungera. Krypteringsnycklar kan förvärvas på tre sätt:
- Genom att analysera viloläge
- Genom att analysera en minnesdump-fil
- Genom att utföra en FireWire-attack
Krypteringsnyckeln kan bara extraheras från viloläge eller minnesdump om behållaren eller disken har monterats av användaren. Om du har en minnesdumpfil eller vilolägesfil kan du starta nyckelsökningen enkelt och när som helst. Observera att du måste välja rätt partition eller krypterad behållare i processen.
Om du inte har tillgång till en viloläge kan du enkelt skapa en minnesdump med Windows Memory Toolkit. Ladda bara ner den kostnadsfria communityutgåvan och kör följande kommandon:
- Öppna en upphöjd kommandotolk. Gör det genom att trycka på Windows-tangenten, skriva cmd, högerklicka på resultatet och välja att köra som administratör.
- Navigera till katalogen du har extraherat minnesdumpverktyget till.
- Kör kommandot win64dd / m 0 / r /fx:\dump\mem.bin
- Om ditt operativsystem är 32-bitars, byt ut win64dd med win32dd. Du kan också behöva ändra sökvägen i slutet. Kom ihåg att filen kommer att vara lika stor som minnet installerat i datorn.
Kör det kriminaltekniska verktyget efteråt och välj alternativet för extraktion av nycklar. Peka den på den skapade minnesdumpfilen och vänta tills den har bearbetats. Du bör se tangenterna som visas för dig av programmet efteråt.
Dom
Elcomsofts Forensic Disk Decryptor fungerar bra om du kan få tag på en minnesdump eller viloläge. Alla attackformer kräver lokal åtkomst till systemet. Det kan vara ett användbart verktyg om du har glömt huvudnyckeln och desperat behöver tillgång till dina data. Även om det är ganska dyrt kostar det 299 €, det kan vara ditt bästa hopp att hämta nyckeln, förutsatt att du använder viloläge eller har en minnesdump-fil som du har skapat medan behållaren eller disken var monterad på systemet. Innan du gör ett köp kör du provversionen för att se om den kan upptäcka nycklarna.
Du kan inaktivera skapandet av en viloläge för att skydda ditt system från den här typen av attack. Även om du fortfarande måste se till att ingen kan skapa en minnesdump-fil eller attackera systemet med en Firewire-attack, ser det till att ingen kan extrahera informationen när datorn inte startas.
