ElcomSoft Co. Ltd., proveedor de soluciones forenses y de recuperación de contraseñas, anunció el lanzamiento de Elcomsoft Forensic Disk Decryptor, una herramienta forense que proporciona el acceso completo en tiempo real a la información almacenada en los discos y volúmenes cifrados con BitLocker, PGP y TrueCrypt, las tres soluciones de cifrado más populares en el mercado.
La nueva herramienta puede desencriptar todos los archivos y carpetas almacenados en un contenedor cifrado o montar el volumen cifrado como nueva letra de unidad para el acceso instantáneo. En modo de tiempo real, la información leída de contenedores cifrados es desencriptada al momento. Además ofrece un verdadero funcionamiento cero-huella sin alteraciones o modificaciones en el contenido original. Todo esto hace que Elcomsoft Forensic Disk Decryptor se convierta en una herramienta muy valiosa para los investigadores y especialistas forenses y de la seguridad de TI.
Antes de Elcomsoft Forensic Disk Decryptor, el manejo de discos cifrados se podía hacer a través de la herramienta Elcomsoft Distributed Password Recovery, que usaba fuerza bruta para romper las contraseñas, dijo Yuri Konenkov, analista de seguridad de Elcomsoft. Agregó que la nueva herramienta “utiliza un enfoque completamente diferente para desencriptar los discos protegidos con PGP, True Crypt, BitLocker y BitLocker To Go”. También se ha agregado a Elcomsoft Distributed Password Recovery la posibilidad de romper contraseñas por fuerza bruta para contenedores TrueCrypt y BitLocker To Go.
Elcomsoft Forensic Disk Decryptor adquiere todas las llaves de descifrado necesarias mediante el análisis de los volcados de memoria o archivos de hibernación obtenidos de la PC objetivo. Un volcado de memoria se puede obtener de una PC, bloqueada o desbloqueada, con volúmenes cifrados montados. Los volcados de memoria producidos con cualquier producto forense u obtenidos a través de un ataque FireWire son compatibles. Un ataque FireWire requiere una herramienta libre de terceros, un cable FireWire (IEEE 1394) y otra PC para lanzar el ataque. Las llaves de descifrado también se pueden derivar de archivos de hibernación si una PC objetivo es apagada.
Yonenkov indicó que para discos PGP, la velocidad para encontrar la llave se puede agilizar si se conoce el algorigmo de encripción. Si no se conoce la llave, el programa tardará más en localizarla pero la encontrará.
En cualquiera de los casos, los volúmenes cifrados deben estar montados en el momento de la adquisición o antes de que la PC ha hibernado. Si un volumen cifrado es desmontado antes de la adquisición, ni los volcados de memoria ni los archivos de hibernación contendrán las llaves de descifrado adecuadas y los contenedores cifrados no pueden ser desencriptados sin conocer la contraseña original en texto sin formato. Si dicha contraseña no es conocida, se puede recuperar con Elcomsoft Distributed Password Recovery.
ElcomSoft añade también a la herramienta Elcomsoft Distributed Password Recovery, los complementos TrueCrypt y BitLocker To Go para atacar contraseñas de texto sin formato que protegen a los contenedores cifrados. Además de la fuerza bruta, esta herramienta puede realizar ataques de diccionario, de máscara y de permutación.
Elcomsoft Forensic Disk Decryptor trabaja en todas las ediciones de 32-bit y 64-bit de Windows XP, Vista, y Windows 7, así como en Windows 2003 y 2008 Server. Es compatible con BitLocker, BitLocker To Go, PGP Whole Disk Encryption y TrueCrypt. Ya está disponible a la venta desde $299USD. Más información de las soluciones de Elcomsoft.