Nieuwe tool maakt uitlezen van versleutelde harde schijven mogelijk
Het Russische softwarebedrijf Elcomsoft lanceert de Elcomsoft Forensic Disk Decryptor, een tool waarmee harde schijven toch kunnen worden uitgelezen. De tool combineert brute force-aanvallen met het uitlezen van geheugendumps in een poging het wachtwoord van de versleutelde harde schijf te bemachtigen.
Elcomsoft stelt dat de tool in staat is de wachtwoorden van harde schijven die zijn versleuteld met BitLocker, PGP en TrueCrypt te kunnen achterhalen. De Elcomsoft Forensic Disk Decryptor gebruikt hiervoor verschillende tactieken. Zo probeert de tool wachtwoorden te achterhalen door geheugendumps uit te lezen. Het is ook mogelijk de aanval uit te voeren op computers in slaapstand.
In slaapstand of uitgeschakeld
Een belangrijke voorwaarde hierbij is echter wel dat de versleutelde volumes aangekoppeld zijn op het moment dat de geheugendump wordt verkregen of op het moment dat de computer in slaapstand gaat. Dit aangezien de geheugendumps worden geleegd zodra de computer wordt afgesloten. Is de computer wel afgesloten? Dan kan met behulp van een FireWire-aanval het hibernation-bestand van de computer worden uitgelezen in een poging het wachtwoord alsnog te bemachtigen.
Nadat Disk Decryptor via een geheugendump, het hibernation-bestand of een brute force-aanval het wachtwoord van een versleutelde harde schijf heeft bemachtigd kan de tool de schijf als schijfletters aan het systeem van de onderzoeker koppelen. De onderzoeker kan vervolgens andere forensische tools inzetten om de data te analyseren. De Elcomsoft Forensic Disk Decryptor is verkrijgbaar voor ongeveer 299 euro en is beschikbaar als download.
