Narzędzie do łamania BitLockera, PGP i TrueCrypta. No, prawie…

dodał 24 grudnia 2012 o 00:02 w kategorii HowTo  z tagami:
Narzędzie do łamania BitLockera, PGP i TrueCrypta. No, prawie…

Czasem nagłówki w serwisach technologicznych przypominają swojski Onet. Kiedy więc przeczytacie, że na rynku pojawiło się narzędzie, które łamie w czasie rzeczywistym zabezpieczenia BitLockera, PGP i TrueCrypta, nie formatujcie dysku. Nie trzeba.

Bardzo sensowny artykuł, ogłaszający wprowadzenie na rynek nowego produktu firmy Elcomsoft, został w typowy dla dziennikarzy sposób przerobiony na małą sensację. Czy zatem Elcomsoft Forensic Disk Decryptor potrafi złamać zabezpieczenia najlepszych programów, służących do szyfrowania dysków?

Odpowiedź brzmi „tak, ale…”. Produkt Elcomsoftu, firmy bardzo zasłużonej na rynku łamania haseł, potrafi jedynie odnaleźć w pamięci komputera klucze, służące do szyfrowania dysku. Potrafi je odnaleźć jedynie wtedy, gdy się tam znajdują – czyli gdy albo dysk jest podmontowany, albo gdy komputer z podmontowanym dyskiem przeszedł w stan hibernacji i cała zawartość pamięci została zapisana na dysku (oczywiście przechwycenie kluczy z pliku hibernacji dotyczy tylko dysków w formie plików, a nie dysków zaszyfrowanych w całości). Taka sytuacja oznacza, że aby program zadziałał, komputer, który jest poddawany analizie, musi zostać przechwycony w trakcie, gdy zaszyfrowany dysk znajduje się w użyciu lub zostać zahibernowany bez wcześniejszego odłączenia zaszyfrowanego dysku.

Ekran wyboru źródła danych (źródło: Elcomsoft)

Dodatkowo, dla ułatwienia pracy osób zajmujących się analizą dysków, program potrafi podmontować dyski, których hasła udało mu się przechwycić. Gdyby przechwycenie haseł się nie powiodło, Elcomsoft posiada także moduł Distributed Password Recovery, umożliwiający przeprowadzenie tradycyjnych ataków na hasło wolumenów BitLockera i TrueCrypta.

Elcomsoft Forensic Disk Decryptor nie jest nowością na rynku. Już w lutym tego roku opisywaliśmy Passware Kit Forensics,  podobny produkt firmy Passware, który w identyczny sposób radzi sobie z dyskami FileVaulta, BitLockera oraz TrueCrypta a od czasu naszego artykułu dodał również obsługę PGP (klucze BitLockera potrafił wyciągać z pamięci komputera już w 2009 roku).

Opisywany powyżej atak nie wykorzystuje żadnego błędu oprogramowania służącego do szyfrowania danych, a jedynie jego niezbędną funkcjonalność, czyli dostępność. Jedyna opcją, zabezpieczającą przed tego typu zagrożeniem, jest skonstruowanie programu, który dla każdej pojedynczej operacji zapisu lub odczytu wymagałby od użytkownika podawania całego hasła. Jak łatwo się domyśleć, program nie miałby zbyt wielu użytkowników…