Elcomsoft ha rilasiato Forensic Disk Decryptor
(FDD), un software apparentemente capace di abbattere i muri protettivi
di BitLocker, PGP e TrueCrypt sui sistemi operativi Windows moderni
(XP-7) a 32 e 64 bit. In realtà, più che crackare i file e i volumi
cifrati, la nuova utility scava nella memoria di sistema alla ricerca
della fatidica password che fa scattare la serratura dei
cripto-contenitori.
D'altronde, concede Elcomsoft sul blog corporate, "la principale e unica debolezza dei contenitori crittografici è il fattore umano". Per accedere a file e a dischi/partizioni cifrati è necessario avere accesso al file system o ai dischi suddetti e, visto che a nessuno piace scrivere lunghe e astruse password a ogni lettura/scrittura dei dati, tali password vanno necessariamente tenute "pronte" nella memoria RAM del computer.
FDD non fa dunque altro che recuperare tale parola (o frase) chiave "quasi istantaneamente" cercando nella memoria volatile del sistema, o anche - nel caso in cui l'utente avesse mandato il PC in ibernazione - scandagliando il gigantesco file usato da Windows per salvare lo stato del sistema in seguito alla suddetta ibernazione.
La vera capacità aggiunta dello strumento di Elcomsft, a quanto pare, sta tutta negli "algoritmi" usati per analizzare i "dump" della RAM, cercando la parola (o frase) chiave tramite l'analisi della sequenza di byte o esaminando le strutture interne dei contenitori crittografici.
Elcomsoft dice che FDD risponde a una richiesta di uno strumento specifico da tempo fatta dai suoi clienti, ma chi traffica con il recupero di file e dati in formato digitale non sembra particolarmente impressionato dalle capacità della nuova utility: la presenza in memoria della parola chiave è un fatto "noto da tempo", dice Simon Steggles di Disklabs, e il software Elcomsoft non fa altro che automatizzare (al costo di 300 e passa dollari) un lavoro di recupero già ampiamente familiare ai team forensi e persino alla più generale community dell'IT.
D'altronde, concede Elcomsoft sul blog corporate, "la principale e unica debolezza dei contenitori crittografici è il fattore umano". Per accedere a file e a dischi/partizioni cifrati è necessario avere accesso al file system o ai dischi suddetti e, visto che a nessuno piace scrivere lunghe e astruse password a ogni lettura/scrittura dei dati, tali password vanno necessariamente tenute "pronte" nella memoria RAM del computer.
FDD non fa dunque altro che recuperare tale parola (o frase) chiave "quasi istantaneamente" cercando nella memoria volatile del sistema, o anche - nel caso in cui l'utente avesse mandato il PC in ibernazione - scandagliando il gigantesco file usato da Windows per salvare lo stato del sistema in seguito alla suddetta ibernazione.
La vera capacità aggiunta dello strumento di Elcomsft, a quanto pare, sta tutta negli "algoritmi" usati per analizzare i "dump" della RAM, cercando la parola (o frase) chiave tramite l'analisi della sequenza di byte o esaminando le strutture interne dei contenitori crittografici.
Elcomsoft dice che FDD risponde a una richiesta di uno strumento specifico da tempo fatta dai suoi clienti, ma chi traffica con il recupero di file e dati in formato digitale non sembra particolarmente impressionato dalle capacità della nuova utility: la presenza in memoria della parola chiave è un fatto "noto da tempo", dice Simon Steggles di Disklabs, e il software Elcomsoft non fa altro che automatizzare (al costo di 300 e passa dollari) un lavoro di recupero già ampiamente familiare ai team forensi e persino alla più generale community dell'IT.
Alfonso Maruccia
Articolo distribuito con licenza cc-by-nc-sa
Nessun commento:
Posta un commento