8 nejlepších forenzních dešifrovacích nástrojů na pomoc při vyšetřování

autor:
Tweet
Share
Share
Pin

Technologický pokrok v posledních letech neustále a rapidně postupuje, a to s dopadem na celá průmyslová odvětví a obory. Jednou z oblastí, která z technologického rozvoje významně profituje, je forenzní věda.

Forenzní věda představuje disciplínu, která se zaměřuje na uplatňování vědeckých metod při vyšetřování trestných činů. Jejím hlavním cílem je zjistit, proč a jak se určitá událost stala. Obor shromažďuje a analyzuje důkazy, které mohou být následně předloženy u soudu a pomoci tak při objasňování trestných činů.

S rozvojem digitálních technologií vznikl v rámci forenzní vědy nový obor, tzv. digitální forenzika. Digitální forenzní vyšetřování se soustředí na shromažďování a analýzu důkazů, které jsou uloženy v digitálních zařízeních, jako jsou mobilní telefony a počítače. Tento obor se primárně zabývá vyšetřováním počítačové kriminality.

Odborníci v oblasti digitální forenzní techniky se však při své práci setkávají s jednou zásadní překážkou, kterou je šifrování. Šifrování je metoda kódování dat do tajné formy, aby se zamezilo neoprávněnému přístupu. Rostoucí dostupnost šifrovacích nástrojů, jako jsou AxCrypt a NordLocker, a implementace šifrování dat přímo do operačních systémů Windows a macOS, komplikuje forenzním expertům získávání dat z digitálních zařízení.

Z těchto důvodů se vyvinula potřeba forenzních dešifrovacích nástrojů. Jedná se o specializovaný software, který dokáže transformovat šifrovaná data zpět do jejich původní, čitelné podoby. Tyto nástroje usnadňují forenznímu vyšetřování shromažďování dat z zašifrovaných souborů uložených v digitálních zařízeních, a tím napomáhají při objasňování trestných činů.

Výhody používání forenzních dešifrovacích nástrojů

Níže jsou uvedeny některé z klíčových výhod, které přináší používání forenzních dešifrovacích nástrojů:

  • Rychlost: Forenzní dešifrovací nástroje umožňují odborníkům dešifrovat i velké objemy složitých dat v podstatně kratším čase.
  • Jednoduché použití: Dešifrování dat standardními postupy vyžaduje hluboké znalosti z oborů programování, matematiky a kryptografie. Dešifrovací nástroje však tuto komplexní práci automatizují, takže uživatel nemusí být odborníkem v daných oblastech.
  • Více funkcí: Kromě samotného dešifrování poskytují forenzní nástroje také další funkce, jako je například analýza registrů počítače, obnova hesel a obnova smazaných souborů.
  • Přesnost: Forenzní důkazy musí být naprosto přesné a spolehlivé, jelikož mohou být zpochybněny u soudu. Forenzní dešifrovací nástroje procházejí náročným testováním a jsou schopné pracovat s různými dešifrovacími algoritmy, což zajišťuje vysokou přesnost získaných dat.

Faktory pro výběr forenzního dešifrovacího nástroje

Ne všechny forenzní dešifrovací nástroje nabízejí stejné funkce a kvalitu. Při výběru vhodného nástroje je třeba zvážit následující parametry:

  • Akcelerace GPU: Vybraný nástroj by měl umožňovat využití grafického procesoru (GPU) k urychlení náročných operací. To vede k výraznému zkrácení času potřebného k dešifrování velkého množství dat.
  • Dešifrování FDE: Full Disk Encryption (FDE) je bezpečnostní mechanismus, který šifruje všechna data na pevném disku automaticky. Nástroj by měl být schopen dešifrovat disky šifrované pomocí FDE.
  • Podporované typy souborů: Šifrovat lze mnoho typů souborů, jako jsou archivy, dokumenty Word, PDF a další. Nástroj by měl podporovat dešifrování všech relevantních typů souborů, které se mohou v daném případě objevit.
  • Detekce šifrovaných souborů: Při práci s velkými systémy může být obtížné identifikovat všechny zašifrované soubory. Ideální nástroj by měl být schopen automaticky detekovat a zobrazit všechny zašifrované soubory v systému.
  • Nezjistitelnost: Použití forenzního dešifrovacího nástroje by nemělo zanechat žádné stopy. Cílové soubory by měly zůstat nezměněny a neměly by po dešifrování zůstat žádné stopy. Důvodem je, aby se zabránilo podezření, a možnému zmaření vyšetřování.

V současnosti existuje na trhu mnoho dešifrovacích nástrojů. Nicméně ne všechny nabízejí stejné schopnosti a efektivitu.

V následujícím textu se podíváme na nejlepší dostupné nástroje pro forenzní dešifrování, které vám mohou pomoci při vašem vyšetřování.

Passware Kit Ultimate

Passware Kit Ultimate je vlajkový produkt společnosti Passware, která se specializuje na vývoj nástrojů pro obnovu hesel a dešifrování. Produkty Passware jsou používány orgány činnými v trestním řízení po celém světě.

Tento dešifrovací nástroj se vyznačuje širokou škálou funkcí, díky kterým patří mezi špičku:

  • Obnova hesel pro více než 340 typů souborů: Passware Kit Ultimate dokáže obnovit hesla ze široké škály souborů, včetně archivů, bitcoinových peněženek, dokumentů Word a QuickBooks. Dále zvládá obnovu hesel zašifrovaných pomocí nástrojů jako AxCrypt a VeraCrypt.
  • Extrakce dat z mobilních zařízení: Nástroj umožňuje extrahovat data a obnovovat hesla z více než 250 typů mobilních zařízení, od iPhonů až po oblíbené značky Android, jako jsou Samsung, Nokia, Huawei a LG. Dokáže také získávat data z šifrovaných mobilních zařízení.
  • Úplné dešifrování disku: Passware Kit Ultimate dokáže dešifrovat nebo obnovit hesla z jednotek s úplným šifrováním disku.
  • Hardwarová akcelerace: Umožňuje využití GPU NVIDIA a AMD k urychlení procesu obnovy hesla a dešifrování.
  • Dešifrování počítačů Mac: Passware Kit Ultimate nabízí doplněk pro dešifrování počítačů Mac s bezpečnostním čipem Apple T2.

Passware Kit Ultimate nenabízí bezplatnou zkušební verzi, ale poskytuje 30denní záruku vrácení peněz.

Elcomsoft Forensic Disk Decryptor

Elcomsoft Forensic Disk Decryptor je specializovaný nástroj, který umožňuje rychlý přístup k datům zašifrovaným pomocí technologií BitLocker, FileVault 2, TrueCrypt, VeraCrypt a PGP Disk.

Mezi jeho jedinečné funkce patří:

  • Operace s nulovou stopou: Použití Elcomsoft Forensic Disk Decryptor nezanechává žádné stopy po provedené operaci dešifrování.
  • Přístup k šifrovacím metadatům: Tato funkce je užitečná pro získání původního hesla v čitelné textové podobě.
  • Přístup k zašifrovaným informacím v reálném čase: Elcomsoft Forensic Disk Decryptor provádí dešifrování za běhu, což umožňuje uživateli připojit zašifrovaný svazek jako písmeno jednotky a okamžitě k němu přistupovat.

Navíc nabízí úplné dešifrování disku a automaticky vyhledává, identifikuje a zobrazuje zašifrované svazky a podrobnosti o jejich nastavení. Společnost Elcomsoft nabízí bezplatnou zkušební verzi tohoto nástroje.

Paladin

Paladin je bootovatelná forenzní linuxová distribuce založená na Ubuntu. Je k dispozici pro 32bitové i 64bitové systémy a vyvíjí ji společnost SUMURI, která se specializuje na software a hardware pro digitální důkazy a počítačovou forenziku.

Po spuštění sady Paladin získá uživatel přístup k více než 100 předkompilovaným forenzním nástrojům s otevřeným zdrojovým kódem. Tyto nástroje umožňují provádět širokou škálu úkolů, včetně dešifrování, analýzy hardwaru, forenzní analýzy messengerů, zjišťování hesel a analýzy sociálních sítí.

Mezi jeho jedinečné vlastnosti patří:

  • Schopnost klonovat zařízení: Tato funkce se hodí, když nelze odebrat paměťové médium ze zařízení.
  • Správce disků: Umožňuje snadnou vizualizaci a identifikaci připojených disků a jejich oddílů.
  • Automatické protokolování: Umožňuje automatické ukládání protokolů na libovolné zařízení.
  • Platforma Autopsy: Součástí je platforma Autopsy Digital Forensics Platform, vytvořená společností Basis Technology.

Různé verze tohoto softwaru jsou k dispozici v rámci nabídky „name your price“.

Na jejich stránce GitHub je k dispozici také Mobile Verification Toolkit (MVT). Jedná se o kolekci nástrojů pro zjednodušení procesu sběru forenzních stop, které jsou užitečné pro identifikaci potenciálního ohrožení zařízení Android a iOS. MVT byla vytvořena a vydána organizací Amnesty International Security Lab v roce 2021.

Tento nástroj byl speciálně vyvinut pro zařízení se systémy Android a iOS a umožňuje detekovat spyware, jako je Pegasus Spyware.

MVT je velmi efektivní při identifikaci škodlivého softwaru, který mohl být nainstalován do zařízení bez vědomí uživatele.

Forenzní nástroj Windows Media se skládá ze tří částí: analýzy obrázků, analýzy videí a akcí uživatele. Používá se k analýze fotografií a videí uložených v aplikaci Windows Photos. Vzhledem k tomu, že počítače mohou ukládat velké množství fotografií a videí, může být jejich manuální prohledávání obtížné. Zde přichází na řadu forenzní analýza Windows Media.

Tento nástroj dokáže analyzovat obrázky a videa a identifikovat tváře, lidi, značky, postavy a místa v uložených souborech. Dokáže také identifikovat, kdy byly soubory zachyceny, jaký model fotoaparátu a výrobce byl použit.

Kromě toho umožňuje vyšetřovateli zjistit, kdy uživatel přistoupil k uloženým fotografiím a videím a jaké změny na nich byly provedeny. Veškeré tyto informace jsou poskytovány v čitelné formě a shromážděná data lze zálohovat pro budoucí analýzu.

CredentialsFileView

CredentialsFileView je nástroj pro operační systém Windows, který dešifruje a zobrazuje data uložená v souborech pověření operačního systému.

Soubory pověření operačního systému Windows ukládají přihlašovací hesla pro počítač a pro vzdálené počítače v síti LAN. Uchovávají také hesla účtů Windows Messenger, e-mailových účtů a hesla k chráněným webovým stránkám přístupných přes Internet Explorer.

Tento nástroj funguje na verzích Windows až po Windows 10 a podporuje 32bitové i 64bitové systémy.

Hashcat

Hashcat je oblíbený nástroj pro prolomení hesel, který se hojně využívá při penetračním testování, administraci systémů, ale i kriminální činnosti.

Pro bezpečné ukládání hesel jsou hesla převedena na nesrozumitelný řetězec čísel a písmen pomocí hashovacího algoritmu. Hashcat hádá hesla, hash-uje je a porovnává s uloženými hashi. Tento proces opakuje, dokud nenajde správné heslo. Hashcat podporuje všechny existující formáty hash a je schopen využít GPU pro urychlení procesu prolomení hesla.

Hashcat může provádět různé typy útoků, včetně slovníkového útoku, kombinačního útoku, útoku maskou a útoku založeného na pravidlech.

Pokud potřebujete prolomit hesla, Hashcat je pro vás ideální nástroj.

John the Ripper Password Cracker

John the Ripper Password Cracker je bezplatný nástroj s otevřeným zdrojovým kódem pro audit zabezpečení hesel a jejich obnovu. Používá se k nalezení a prolomení slabých hesel v systému.

Tento nástroj podporuje stovky hashů a šifer, včetně těch používaných v systémech UNIX, Windows, macOS, webových aplikacích (např. WordPress), databázových serverech (např. SQL) a šifrovaných soukromých klíčích v kryptoměnových peněženkách.

Na rozdíl od nástroje Hashcat však John the Ripper nemůže využít akceleraci pomocí GPU.

Závěr

Forenzní dešifrování využívá širokou škálu nástrojů, z nichž každý má své specifické uplatnění. Některé nástroje jsou vhodné pro specifické úkoly, jako například prolomení hesel při penetračním testování, kde dominuje Hashcat.

Pro výběr správného nástroje pro konkrétní vyšetřování je klíčové nejprve definovat povahu vyšetřování a cíle, kterých má být dosaženo. Na základě toho se lze rozhodnout, který z uvedených nástrojů je nejvhodnější pro daný účel.