Noe av det du kan gjøre for å beskytte dataene dine er å bruke kryptering. Du kan enten kryptere individuelle filer, opprette en beholder for å flytte filer til eller kryptere en partisjon eller disk. Den viktigste fordelen med kryptering er at en nøkkel, vanligvis et passord, er nødvendig for å få tilgang til dataene. En grunnleggende form for kryptering er at hvis du passordbeskytter en zip-fil, kan mer avansert kryptering beskytte hele systemet inkludert operativsystempartisjonen fra uautoriserte brukere.
Selv om det er viktig å velge et sikkert passord under konfigurasjonen for å forhindre at tredjeparter kan gjette eller brute å tvinge passordet, er det viktig å merke seg at det kan være andre måter å få tilgang til dataene på.
Elcomsoft har nettopp gitt ut sitt rettsmedisinske diskdekrypteringsverktøy. Selskapet opplyser at det kan dekryptere informasjonen som er lagret på PGP, Bitlocker og TrueCrypt disker og containere. Det må bemerkes at lokal tilgang til systemet er nødvendig for at en av metodene som brukes av programmet, skal fungere. Krypteringsnøkler kan anskaffes på tre måter:
- Ved å analysere dvalefilen
- Ved å analysere en minnedump-fil
- Ved å utføre et FireWire-angrep
Krypteringsnøkkelen kan bare trekkes ut fra dvalefilen eller minnedumpen hvis beholderen eller disken er montert av brukeren. Hvis du har minnedump-filen eller dvalemodusfilen, kan du starte nøkkelsøket enkelt og når som helst. Merk at du må velge riktig partisjon eller kryptert beholder i prosessen.
Hvis du ikke har tilgang til en dvalefil, kan du enkelt lage en minnedump med Windows Memory Toolkit. Bare last ned den gratis samfunnsutgaven og kjør følgende kommandoer:
- Åpne en forhøyet ledetekst. Gjør det med et trykk på Windows-tasten, skriv inn cmd, høyreklikk på resultatet og velg å kjøre som administrator.
- Naviger til katalogen du har trukket ut minnedumpverktøyet til.
- Kjør kommandoen win64dd / m 0 / r /fx:\dump\mem.bin
- Hvis operativsystemet ditt er 32-bit, bytter du win64dd med win32dd. Det kan også hende du må endre banen på slutten. Husk at filen vil være like stor som minnet som er installert på datamaskinen.
Kjør det rettsmedisinske verktøyet etterpå og velg alternativet for ekstraksjon av nøkkel. Pek den til den opprettede minnedump-filen og vent til den er behandlet. Du skal se tastene vises av programmet etterpå.
Kjennelse
Elcomsofts Forensic Disk Decryptor fungerer bra hvis du kan få hendene på en minnedump eller dvalemodus. Alle angrepsformer krever lokal tilgang til systemet. Det kan være et nyttig verktøy hvis du har glemt hovednøkkelen og desperat trenger tilgang til dataene dine. Selv om det er ganske dyrt, koster det € 299, det kan være ditt beste håp om å hente nøkkelen, forutsatt at du bruker dvalemodus eller har en minnedump-fil som du har opprettet mens beholderen eller disken var montert på systemet. Før du kjøper, kjører du prøveversjonen for å se om den kan oppdage nøklene.
Du kan deaktivere opprettelsen av en dvalefil for å beskytte systemet ditt mot denne typen angrep. Selv om du fortsatt må sørge for at ingen kan opprette en minnedump-fil eller angripe systemet ved hjelp av et Firewire-angrep, sikrer det at ingen kan trekke ut informasjonen når PCen ikke er oppstart.
