8 најбољих форензичких алата за дешифровање за помоћ у истрагама

by
Tweet
Share
Share
Pin

Напредак технологије и његов утицај на форензику

У последњим годинама, технолошки развој је изузетно брз, узрокујући велике промене у различитим индустријама и областима. Једна од области која је значајно профитирала од технолошког напретка је форензика.

Форензика је научна дисциплина која се користи за истраживање злочина како би се утврдили узроци и начин на који су се догодили. На терену се прикупљају и анализирају докази који се могу користити на суду за решавање кривичних дела.

Примена технологије у форензици довела је до развоја дигиталне форензике. Дигитална форензика се бави истрагом и прикупљањем доказа који се чувају на дигиталним уређајима као што су мобилни телефони и рачунари, са циљем решавања кривичних дела која укључују рачунаре.

Међутим, дигитални форензичари се суочавају са значајном препреком: шифровањем. Шифровање је метод кодирања података у тајни код како би се спречио неовлашћен приступ. Са алатима за шифровање попут AxCrypt и NordLocker, и оперативним системима као што су Windows и macOS који омогућавају шифровање података, дигиталној форензици постаје теже да поврати податке са дигиталних уређаја.

Широка доступност алата за шифровање захтева употребу форензичких алата за дешифровање. То су специјализовани програми који претварају шифроване податке у читљив облик. Ови алати помажу форензичарима да прикупе податке из шифрованих датотека на дигиталним уређајима како би помогли у истрази злочина.

Предности употребе форензичких алата за дешифровање

У наставку су наведене неке од предности коришћења форензичких алата за дешифровање:

  • Брзина – Форензички алати за дешифровање омогућавају брзу дешифровање великих количина података, без обзира на њихову сложеност.
  • Једноставност коришћења – За дешифровање шифрованих података обично је потребно напредно знање програмирања, математике и криптографије. Међутим, са алатима за дешифровање, није потребно бити стручњак у тим областима, јер алати обављају сложене задатке.
  • Разноврсност алата – Форензички алати за дешифровање пружају широк спектар функција, укључујући анализу регистра рачунара, опоравак лозинки и враћање избрисаних датотека, поред дешифровања.
  • Тачност – Форензички докази се користе на суду, стога је њихова тачност од кључног значаја. Форензички алати за дешифровање пролазе кроз ригорозно тестирање и оспособљени су за рад са различитим алгоритмима за дешифровање, обезбеђујући врло прецизне резултате.

Фактори које треба узети у обзир при одабиру форензичког алата за дешифровање

Немају сви форензички алати за дешифровање исте карактеристике. При избору алата, треба размотрити следеће факторе:

  • ГПУ акцелерација – Укључује коришћење графичке процесорске јединице (ГПУ) за убрзање сложених процеса. Ово значајно смањује време потребно за форензичко дешифровање великих количина података.
  • ФДЕ дешифровање – Full Disk Encryption (ФДЕ) је безбедносни механизам у којем су сви подаци на чврстом диску шифровани по дифолту. Важно је изабрати алат који може дешифровати хард дискове који користе ФДЕ.
  • Подржани типови датотека – Различити типови датотека могу бити шифровани, а форензички алати за дешифровање подржавају дешифровање само за одређене типове. Зато је важно проверити да ли алат подржава тип датотека које желите дешифровати.
  • Откривање шифрованих датотека – Приликом анализе великог система, може бити тешко пронаћи све шифроване датотеке које садрже потребне информације. Алат који може открити и приказати све шифроване датотеке у систему штеди много времена.
  • Немогућност праћења – Идеалан форензички алат за дешифровање не би требало да оставља трагове. Датотеке не смеју бити измењене, а никакви трагови процеса дешифровања не смеју бити видљиви. Ово је важно како би се избегле сумње и контрамерe.

Тренутно је доступан велики број алата за дешифровање, али не пружају сви исте могућности.

У наставку су неки од најбољих форензичких алата за дешифровање који ће вам помоћи у истрагама.

Passware Kit Ultimate

Passware Kit Ultimate је водећи производ компаније Passware, која се бави производњом алата за опоравак и дешифровање лозинки. Према њиховој веб страници, Passware производе користе врхунске агенције за спровођење закона у решавању случајева који захтевају дешифровање.

Овај алат за дешифровање има неколико карактеристика које га чине једним од најбољих:

  • Опоравак лозинки за преко 340 типова датотека – Passware Kit Ultimate вам омогућава да опоравите лозинке из широког спектра датотека, укључујући архивиране датотеке, крипто новчанике, текстуалне документе и QuickBooks. Такође, можете опоравити лозинке шифроване помоћу AxCrypt и VeraCrypt.
  • Могућност издвајања података и опоравка лозинки са преко 250 мобилних уређаја, укључујући iPhone и популарне Android уређаје попут Samsung, Nokia, Huawei и LG. Чак можете издвојити податке са шифрованих мобилних уређаја.
  • Потпуно дешифровање диска – Passware Kit Ultimate може дешифровати или опоравити лозинке са дискова са потпуним шифровањем диска.
  • Хардверско убрзање – Passware Kit Ultimate омогућава коришћење NVIDIA и AMD ГПУ-а за убрзање процеса опоравака и дешифровања лозинки, што вам омогућава да радите са великим бројем датотека за краће време.
  • Дешифровање Mac рачунара са Apple T2 безбедносним чипом – Passware Kit Ultimate нуди додатак који се може користити за дешифровање Mac рачунара који користе Apple T2 чип.

Passware Kit Ultimate нема бесплатну пробну верзију, али нуди 30-дневну гаранцију поврата новца.

Elcomsoft Forensic Disk Decryptor

Elcomsoft Forensic Disk Decryptor је алат за дешифровање који омогућава тренутни приступ подацима шифрованим помоћу BitLocker, FileVault 2, TrueCrypt, VeraCrypt и PGP диска.

Неке карактеристике Elcomsoft Forensic Disk Decryptor укључују:

  • Операција без трага – Коришћење овог алата не оставља трагове операције дешифровања. Цела операција је неоткрива.
  • Омогућава приступ метаподацима за шифровање – Ова функција је корисна ако требате да приступите оригиналној лозинки у чистом тексту за приступ шифрованим подацима.
  • Приступ шифрованим информацијама у реалном времену – Elcomsoft Forensic Disk Decryptor врши дешифровање у ходу, омогућавајући кориснику да монтира шифровани волумен као диск и приступи шифрованим подацима у реалном времену.

Поред тога, нуди потпуно дешифровање диска, аутоматски тражи и приказује шифроване волумене и детаље о подешавањима шифровања волумена. Elcomsoft нуди бесплатну пробну верзију форензичког дешифратора.

Paladin

Paladin форензички пакет је Linux дистрибуција за покретање, заснована на Ubuntu, и доступна је за 32-битне и 64-битне рачунаре. Развио га је SUMURI, који се бави развојем софтвера и хардвера за дигиталне доказе, компјутерску форензику и е-Откриће.

Када корисник покрене Paladin форензички пакет, има приступ преко 100 унапред компајлираних форензичких алата отвореног кода за обављање широког спектра задатака, укључујући дешифровање, анализу хардвера, форензику порука, проналажење лозинки и анализу друштвених медија.

Неке од његових карактеристика укључују:

  • Могућност клонирања уређаја. Ово је корисно ако не можете уклонити медиј за складиштење уређаја.
  • Има менаџер дискова који олакшава визуализацију и идентификацију повезаних дискова и њихових партиција.
  • Аутоматско евидентирање, које се може сачувати на било ком уређају.
  • Садржи Autopsy Digital Forensics Platform, технологију за испитивање хард дискова коју је развила Basis Technology.

Различите верзије софтвера су доступне по принципу „понуди своју цену“.

Са њихове GitHub странице, Mobile Verification Toolkit (MVT) је скуп алата за поједностављење и аутоматизацију процеса прикупљања форензичких трагова који могу помоћи у откривању потенцијалног компромитовања Android и iOS уређаја. MVT је развио и објавио Amnesty International Security Lab 2021.

Овај алат је развијен специјално за Android и iOS уређаје како би им омогућио откривање шпијунског софтвера као што је Pegasus, који се продаје владама за шпијунирање телефона људи.

MVT је ефикасан у утврђивању да ли је злонамерни софтвер инсталиран на Android или iOS уређај без знања корисника.

Windows Media форензички алат се састоји од три дела: анализе слике, видео анализе и радњи корисника. Користи се за анализу фотографија и видео записа сачуваних у апликацији Windows Photos. С обзиром на то да рачунари могу складиштити велике количине фотографија и видео записа, може бити тешко прегледати их све, и ту форензика Windows медија постаје корисна.

Алат може анализирати слике и видео записе и идентификовати лица, људе, ознаке, карактере и локације. Такође може утврдити када су снимљени, који је модел камере коришћен и произвођача камере.

Осим тога, истражитељ може сазнати када је корисник приступио сачуваним фотографијама и видео записима и које су промене направљене на њима. Све ове информације се приказују у читљивом формату, а подаци се могу сачувати за будућу анализу.

CredentialsFileView

CredentialsFileView је алат за Windows оперативни систем који дешифрује и приказује податке који се чувају у датотекама акредитива оперативног система.

Датотеке акредитива за Windows чувају лозинке за пријављивање на рачунар и удаљене рачунаре на локалној мрежи. Такође чува лозинке Windows Messenger налога, налога е-поште и лозинке заштићених веб локација којима се приступа преко Internet Explorer-а.

Алат ради на верзијама Windows-а до Windows 10 и подржава 32-битне и 64-битне системе.

Hashcat

Hashcat је популаран алат за разбијање лозинки који користе професионалци за тестирање пенетрације, системски администратори, криминалци и шпијуни.

Ради безбедног складиштења, лозинке се претварају у неразумљиве низове бројева и слова проласком кроз алгоритам хеширања. Hashcat погађа лозинке, хешира их и пореди са сачуваним хешом, понављајући процес док се не пронађе права лозинка. Hashcat подржава све постојеће хеш формате и може користити ГПУ система за убрзање процеса разбијања лозинки.

Hashcat може извршити различите нападе за разбијање лозинки. То су напади речником, комбиновани напади, напади маском и његов најефикаснији напад, напад заснован на правилима.

Ако вам је потребно разбијање лозинки, ово је прави алат.

John the Ripper – алат за разбијање лозинки

John the Ripper је бесплатан алат отвореног кода за ревизију безбедности лозинки и опоравак лозинки. Може се користити за проналажење и разбијање слабих лозинки у систему.

Овај алат подржава стотине хешова и шифара, укључујући хешове који се користе у лозинкама на UNIX, Windows и macOS системима, веб апликацијама попут WordPress-а, серверима база података као што је SQL, и шифроване приватне кључеве на крипто новчаницима.

За разлику од Hashcat-а, John the Ripper не може користити ГПУ за убрзање процеса разбијања лозинки.

Закључак

Форензичко дешифровање користи различите алате, од којих сваки има јединствену примену. Неки алати су погоднији за одређене задатке, као што је разбијање лозинки за тестирање пенетрације у случају Hashcat-а.

Да бисте одабрали прави алат за вашу истрагу, прво треба утврдити природу истраге и циљеве које желите постићи. Затим можете одабрати алат са листе наведене у овом чланку.