Uma das coisas que você pode fazer para proteger seus dados é usar criptografia. Você pode criptografar arquivos individuais, criar um contêiner para mover arquivos ou criptografar uma partição ou disco. O principal benefício da criptografia é que uma chave, geralmente uma senha, é necessária para acessar os dados. Uma forma básica de criptografia é se você proteger com senha um arquivo zip, uma criptografia mais avançada poderá proteger todo o sistema, incluindo a partição do sistema operacional, de usuários não autorizados.
Embora seja importante escolher uma senha segura durante a instalação para impedir que terceiros adivinhem ou forçam a senha com êxito, é importante observar que pode haver outros meios para obter acesso aos dados.
A Elcomsoft acaba de lançar sua ferramenta Forensic Disk Decryptor. A empresa afirma que pode descriptografar as informações armazenadas em discos e contêineres PGP, Bitlocker e TrueCrypt. É preciso observar que o acesso local ao sistema é necessário para que um dos métodos usados pelo programa funcione. As chaves de criptografia podem ser adquiridas de três maneiras:
- Analisando o arquivo de hibernação
- Analisando um arquivo de despejo de memória
- Executando um ataque FireWire
A chave de criptografia só pode ser extraída do arquivo de hibernação ou do despejo de memória se o contêiner ou o disco tiver sido montado pelo usuário. Se você tiver o arquivo de despejo de memória ou de hibernação, poderá iniciar a pesquisa de chaves com facilidade e a qualquer momento. Observe que você precisa selecionar a partição correta ou o contêiner criptografado no processo.
Se você não tiver acesso a um arquivo de hibernação, poderá criar um despejo de memória facilmente com o Windows Memory Toolkit. Basta baixar a edição gratuita da comunidade e executar os seguintes comandos:
- Abra um prompt de comando elevado. Faça isso com um toque na tecla Windows, digitando cmd, clicando com o botão direito do mouse no resultado e selecionando para executar como administrador.
- Navegue para o diretório para o qual você extraiu a ferramenta de despejo de memória.
- Execute o comando win64dd / m 0 / r /fx:\dump\mem.bin
- Se o seu sistema operacional for de 32 bits, substitua win64dd por win32dd. Você também pode precisar alterar o caminho no final. Lembre-se de que o arquivo será do tamanho da memória instalada no computador.
Execute a ferramenta forense posteriormente e selecione a opção de extração de chave. Aponte para o arquivo de despejo de memória criado e aguarde até que ele tenha sido processado. Você deve ver as teclas sendo exibidas para você pelo programa posteriormente.
Veredito
O Forensic Disk Decryptor da Elcomsoft funciona bem se você conseguir colocar um arquivo de despejo de memória ou hibernação em suas mãos. Todas as formas de ataque requerem acesso local ao sistema. Pode ser uma ferramenta útil se você esqueceu a chave mestra e precisa desesperadamente de acesso aos seus dados. Embora seja bastante caro, custa 299 €, pode ser sua melhor esperança de recuperar a chave, desde que você esteja usando a hibernação ou tenha um arquivo de despejo de memória que você criou enquanto o contêiner ou o disco estava montado no sistema. Antes de fazer uma compra, execute a versão de avaliação para verificar se ela pode detectar as chaves.
Você pode desativar a criação de um arquivo de hibernação para proteger seu sistema contra esse tipo de ataque. Embora você ainda precise garantir que ninguém possa criar um arquivo de despejo de memória ou atacar o sistema usando um ataque do Firewire, isso garante que ninguém possa extrair as informações quando o PC não for inicializado.
