Una de las cosas que puede hacer para proteger sus datos es utilizar el cifrado. Puede encriptar archivos individuales, crear un contenedor para mover archivos o encriptar una partición o disco. El principal beneficio del cifrado es que se necesita una clave, generalmente una contraseña, para acceder a los datos. Una forma básica de cifrado es que si protege con contraseña un archivo zip, un cifrado más avanzado puede proteger todo el sistema, incluida la partición del sistema operativo, de usuarios no autorizados.
Si bien es importante elegir una contraseña segura durante la configuración para evitar que terceros adivinen o forcen la contraseña con éxito, es importante tener en cuenta que puede haber otros medios para obtener acceso a los datos.
Elcomsoft acaba de lanzar su herramienta Forensic Disk Decryptor. La compañía afirma que puede descifrar la información almacenada en los discos y contenedores PGP, Bitlocker y TrueCrypt. Debe notarse que se requiere acceso local al sistema para que uno de los métodos utilizados por el programa funcione. Las claves de cifrado se pueden adquirir de tres maneras:
- Al analizar el archivo de hibernación
- Al analizar un archivo de volcado de memoria
- Al realizar un ataque FireWire
La clave de cifrado solo se puede extraer del archivo de hibernación o volcado de memoria si el usuario ha montado el contenedor o el disco. Si obtuvo el archivo de volcado de memoria o el archivo de hibernación, puede iniciar la búsqueda de claves fácilmente y en cualquier momento. Tenga en cuenta que debe seleccionar la partición correcta o el contenedor cifrado en el proceso.
Si no tiene acceso a un archivo de hibernación, puede crear un volcado de memoria fácilmente con Windows Memory Toolkit. Simplemente descargue la edición gratuita de la comunidad y ejecute los siguientes comandos:
- Abra un símbolo del sistema elevado. Hágalo tocando la tecla de Windows, escribiendo cmd, haciendo clic con el botón derecho en el resultado y seleccionando ejecutar como administrador.
- Navegue hasta el directorio donde extrajo la herramienta de volcado de memoria.
- Ejecute el comando win64dd / m 0 / r /fx:\dump\mem.bin
- Si su sistema operativo es de 32 bits, reemplace win64dd con win32dd. También es posible que deba cambiar la ruta al final. Tenga en cuenta que el archivo será tan grande como la memoria instalada en la computadora.
Ejecute la herramienta forense luego y seleccione la opción de extracción de clave. Apúntelo al archivo de volcado de memoria creado y espere hasta que se haya procesado. Debería ver las teclas que le muestra el programa después.
Veredicto
El descifrador de disco forense de Elcomsoft funciona bien si puede tener en sus manos un volcado de memoria o un archivo de hibernación. Todos los formularios de ataque requieren acceso local al sistema. Puede ser una herramienta útil si olvidó la clave maestra y necesita desesperadamente acceso a sus datos. Si bien es bastante costoso, cuesta 299 €, puede ser su mejor esperanza de recuperar la clave, siempre que esté utilizando la hibernación o tenga un archivo de volcado de memoria que haya creado mientras el contenedor o el disco estaban montados en el sistema. Antes de realizar una compra, ejecute la versión de prueba para ver si puede detectar las claves.
Puede deshabilitar la creación de un archivo de hibernación para proteger su sistema de este tipo de ataque. Si bien aún debe asegurarse de que nadie pueda crear un archivo de volcado de memoria o atacar el sistema mediante un ataque Firewire, garantiza que nadie pueda extraer la información cuando la PC no se inicia.
