I de senere år er teknologien vokset med stormskridt og rystet hele industrier og felter op. Et felt, der har haft stor gavn af teknologiske fremskridt, er kriminaltekniske.
Forensics er et felt, der er involveret i at bruge videnskab til at efterforske forbrydelser for at finde ud af, hvorfor og hvordan noget skete. Feltet undersøger og kommer med beviser, der kan fremlægges i en domstol for at hjælpe med at opklare en forbrydelse.
Anvendelsen af teknologi i retsmedicin gav anledning til en gren af retsmedicin kaldet digital retsmedicin. Digital efterforskning indebærer at efterforske og finde beviser gemt i digitale enheder såsom mobiltelefoner og personlige computere med det formål at opklare computerrelaterede forbrydelser.
For effektivt at udføre deres opgaver står folk i digital retsmedicin over for en stor hindring, kryptering. Kryptering er en måde at kryptere data til hemmelig kode for at forhindre adgang til data for uautoriserede parter. Med krypteringsværktøjer som AxCrypt og NordLocker og operativsystemer som Windows og macOS, der giver brugerne mulighed for at kryptere deres data, bliver det sværere for digital efterforskning at gendanne data fra digitale enheder.
Udbredelsen af krypteringsværktøjer skaber behov for retsmedicinske dekrypteringsværktøjer. Disse er specialiseret software, der transformerer krypterede data tilbage til deres oprindelige menneskelæselige form. Sådanne værktøjer er beregnet til at hjælpe retsmedicinere med at indsamle data fra krypterede filer i digitale enheder for at hjælpe med at efterforske forbrydelser.
Fordele ved at bruge retsmedicinske dekrypteringsværktøjer
Følgende er nogle af fordelene ved at bruge retsmedicinske dekrypteringsværktøjer:
- Hastighed – Retsmedicinske dekrypteringsværktøjer gør det muligt for retsmedicinske eksperter at dekryptere store mængder data, uanset deres kompleksitet, på meget kortere tid.
- Nem at bruge – For at dekryptere krypterede data har man brug for en dyb forståelse af programmering, matematik og kryptografi. Med dekrypteringsværktøjer behøver du dog ikke at være ekspert i nogen af disse, da dekrypteringsværktøjer håndterer alle de tunge løft for dig.
- Flere værktøjer til din rådighed – Retsmedicinske dekrypteringsværktøjer giver dig en bred vifte af værktøjer til at udføre handlinger såsom at analysere en computers register, gendannelse af adgangskode og gendanne slettede filer ud over at dekryptere filer.
- Nøjagtighed – Retsmedicinske beviser kan stilles spørgsmålstegn ved en domstol; derfor er dens nøjagtighed meget vigtig. Retsmedicinske dekrypteringsværktøjer gennemgår enorme tests og kan arbejde med forskellige algoritmer i dekryptering, så du kan indsamle meget nøjagtige data.
Faktorer at overveje, når du vælger et retsmedicinsk dekrypteringsværktøj
Alle retsmedicinske dekrypteringsværktøjer er ikke ens. Følgende er overvejelser, du skal gøre, når du vælger et retsmedicinsk dekrypteringsværktøj:
- GPU-acceleration – Dette indebærer brug af en computers grafikprocessor (GPU) for at fremskynde udførelsen af intensive operationer. Dette har den effekt, at det i høj grad reducerer den tid, det tager at udføre retsmedicinsk dekryptering af store mængder data.
- FDE-dekryptering – Fuld diskkryptering (FDE) er en sikkerhedsmekanisme, hvor alle data på en harddisk krypteres som standard ved hjælp af kryptering på diskniveau uden behov for, at brugerne selv skal udføre kryptering. Da mange virksomheder gør brug af FDE, er det vigtigt at vælge et værktøj, der kan dekryptere fuld-disk krypterede harddiske.
- Understøttede filtyper – Mange filtyper, såsom arkivfiler, word-dokumenter, pdf osv., kan krypteres. Som sådan understøtter forskellige retsmedicinske dekrypteringsværktøjer kun retsmedicinsk dekryptering på visse filtyper. Som et resultat, mens du vælger et retsmedicinsk dekrypteringsværktøj, skal du finde ud af, om det understøtter den type filer, du vil dekryptere.
- Registrering af krypterede filer – Mens man laver retsmedicinske beskrivelser på et stort system, kan det til tider være svært at søge efter alle krypterede filer, som kan have de nødvendige oplysninger. Som et resultat vil det spare dig masser af tid ved at vælge et retsmedicinsk dekrypteringsværktøj, der kan registrere og vise dig alle de krypterede filer i et system.
- Usporbarhed – Det ideelle retsmedicinske dekrypteringsværktøj bør ikke efterlade spor efter dekryptering. De målrettede filer bør alle forblive uændrede, og ingen fodspor fra en dekrypteringsøvelse bør efterlades. Det skyldes, at undersøgelser ofte har gavn af at være usporbare for at undgå at rejse mistanke og modforanstaltninger til øvelsen. Som følge heraf er usporbar retsmedicinsk dekryptering ideel.
I øjeblikket er der en masse dekrypteringsværktøjer tilgængelige for retsmedicinske eksperter, der er interesseret i digital retsmedicin. Det er dog ikke alle, der har de samme muligheder.
Her er de bedste retsmedicinske dekrypteringsværktøjer til at hjælpe dig i efterforskningen.
Passware Kit Ultimate
Passware Kit Ultimate er det seneste flagskibsprodukt fra Passware, en virksomhed, der laver adgangskodegendannelse og dekrypteringsværktøjer til forskellige brugere. Ifølge deres hjemmeside bruges Passware-produkter af verdens førende retshåndhævende myndigheder til at knække sager, der kræver dekryptering.
Dette dekrypteringsværktøj har en række funktioner, der gør det øverst på denne liste.
- Adgangskodegendannelse til 340+ filtyper – Passware Kit Ultimate giver dig mulighed for at gendanne adgangskoder fra en lang række filer, inklusive arkiverede filer, bitcoin-punge, word-dokumenter og QuickBooks, blandt andre. Det giver dig endda mulighed for at gendanne adgangskoder krypteret med krypteringsværktøjer såsom AxCrypt og VeraCrypt.
- Evne til at udtrække data og gendanne adgangskoder fra over 250 mobile enheder lige fra iPhones til populære Android-mærker som Samsung, Nokia, Huawei og LG. Du kan endda udtrække data fra krypterede mobile enheder.
- Fuld diskdekryptering – Passware Kit Ultimate kan dekryptere eller gendanne adgangskoder fra drev med fuld diskkryptering.
- Hardwareacceleration – Passware Kit Ultimate giver dig mulighed for at udnytte NVIDIA og AMD GPU’er til at accelerere processen med adgangskodegendannelse og dekryptering, så du kan arbejde på et stort antal filer på meget kortere tid.
- Dekryptering af Macs med Apple T2 Security Chip – Passware Kit Ultimate giver en tilføjelse, der kan bruges til at dekryptere Macs med Apple T2 Security chip.
Passware Kit Ultimate har ingen gratis prøveperiode, men tilbyder en 30-dages pengene-tilbage-garanti på produktet.
Elcomsoft Forensic Disk Decryptor
Elcomsoft Forensic Disk Decryptor er et dekrypteringsværktøj, der giver dig øjeblikkelig adgang til data krypteret ved hjælp af BitLocker, FileVault 2, TrueCrypt, Veracrypt og PGP Disk.
Nogle unikke funktioner i Elcomsoft Forensic Disk Decryptor inkluderer:
- Zero-footprint operation – Brug af Elcomsoft Forensic Disk Decryptor efterlader ingen fodspor fra dekrypteringsoperationen. Hele dekrypteringsoperationen er uopdagelig.
- Giver adgang til krypteringsmetadata – denne funktion er nyttig, hvis du skal have adgang til den originale klartekstadgangskode for at få adgang til krypterede data.
- Realtidsadgang til krypteret information – Elcomsoft Forensic Disk Decryptor udfører dekryptering i farten, så en bruger kan montere en krypteret diskenhed som et drevbogstav og få realtidsadgang til de krypterede data.
Derudover tilbyder den fuld diskdekryptering og søger, identificerer og viser automatisk krypterede volumener og detaljer om diskens krypteringsindstillinger. Elcomsoft tilbyder en gratis prøveversion af den retsmedicinske dekryptering.
Paladin
Paladin forensics suite er en bootbar retsmedicinsk Linux-distribution baseret på Ubuntu og er tilgængelig til både 32-bit og 64-bit computere. Det er udviklet af SUMURI, som udvikler software og hardware relateret til digitalt bevismateriale, computerefterforskning og eDiscovery.
Når en bruger starter Paladins retsmedicinske suite, har de adgang til over 100 prækompilerede open source retsmedicinske værktøjer til at udføre en bred vifte af opgaver, såsom dekryptering, hardwareanalyse, messenger-efterforskning, adgangskodeopdagelse og sociale medier-analyse, bl.a. andre.
Nogle af dens unikke funktioner inkluderer:
- Evnen til at klone enheder. Dette er nyttigt, hvis du ikke kan fjerne en enheds lagermedier
- Den har en diskmanager, som er praktisk, når du nemt vil visualisere og identificere tilsluttede drev og deres respektive partitioner.
- Den foretager automatisk logning, som kan gemmes på enhver enhed
- Leveres med Autopsy Digital Forensics Platform, som er en harddiskundersøgelsesteknologi bygget af Basis-teknologi.
Forskellige versioner af softwaren er tilgængelige under et ‘navn din pris’-tilbud.
Fra deres GitHub-side er Mobile Verification Toolkit (MVT) en samling af værktøjer til at forenkle og automatisere processen med at indsamle retsmedicinske spor, der er nyttige til at identificere et potentielt kompromittering af Android- og iOS-enheder. MVT blev bygget og frigivet af Amnesty International Security Lab i 2021.
Dette værktøj blev udviklet specifikt til Android- og ios-enheder for at give dem mulighed for at opdage spyware såsom Pegasus Spyware, som blev udviklet og solgt til regeringer, så de kan spionere på folks telefoner.
MVT er meget effektiv til at identificere, om skadelig software såsom spyware er blevet installeret på en Android- eller ios-enhed uden brugerens viden.
Windows media forensics-værktøj består af tre dele: billedanalyse, videoanalyse og brugerhandlinger. Alle disse bruges til at analysere de fotos og videoer, der er gemt i Windows Photos-applikationen. Da computere kan gemme store mængder fotos og videoer, kan det være svært at gennemgå dem alle sammen, og det er her, windows media forensics kommer til nytte.
Værktøjet kan analysere billeder og videoer og identificere ansigter, personer, tags, karakterer og steder i de gemte billeder og videoer. Den kan også identificere, hvornår de blev optaget, den anvendte kameramodel og producenten af kameraet.
Derudover giver det efterforskeren mulighed for at finde ud af, hvornår brugeren fik adgang til de gemte billeder og videoer, og hvilke ændringer der blev foretaget på dem. Alle disse oplysninger leveres i et format, der kan læses af mennesker, og de registrerede data kan sikkerhedskopieres til fremtidig analyse.
CredentialsFileView
CredentialsFileView er et værktøj til Windows-operativsystemet, der dekrypterer og viser de data, der er gemt i operativsystemets legitimationsfiler.
Windows-operativsystemets legitimationsfiler gemmer filer såsom login-adgangskoder til en computer og fjerncomputere på computerens LAN. Det gemmer også adgangskoder til Windows Messenger-konti, e-mailkonti og adgangskoder til adgangskodebeskyttede websteder, som du får adgang til via Internet Explorer.
Dette værktøj fungerer på Windows-versioner op til Windows 10 og understøtter både 32-bit og 64-bit systemer.
Hashcat
Hashcat er et populært adgangskodeknækkende værktøj, der er meget brugt af penetrationstestere, systemadministratorer, kriminelle og spioner.
For at opbevare adgangskoder sikkert, konverteres adgangskoder til en uforståelig række af tal og bogstaver ved at sende dem gennem en hashing-algoritme. Hashcat gætter adgangskoder, hash dem og sammenligner dem med den gemte hash og gentager processen, indtil den rigtige adgangskode er fundet. Hashcat understøtter alle eksisterende hash-formater og er i stand til at bruge et systems GPU til at accelerere dets adgangskodeknækning.
Hashcat kan udføre forskellige angreb for at knække adgangskoder. Disse angreb inkluderer ordbogsangreb, kombinatorangreb, maskeangreb og dets mest effektive angreb, det regelbaserede angreb.
Hvis du har brug for at knække adgangskoder. Dette er dit go-to-værktøj.
John the Ripper password cracker
John the Ripper password cracker er et gratis og open source adgangskodesikkerhedsrevision og adgangskodegendannelsesværktøj. Det kan bruges til at finde og knække svage adgangskoder i et system.
Dette værktøj understøtter hundredvis af hashes og cyphers, herunder hash, der bruges i adgangskoder gemt i UNIX-baserede systemer, Windows-operativsystemer, macOS, webapps såsom WordPress, databaseservere såsom SQL og krypterede private nøgler på cryptocurrency wallets, blandt andre.
I modsætning til Hashcat kan John the ripper dog bruge GPU Acceleration til at fremskynde adgangskodeknækning.
Konklusion
Retsmedicinsk dekryptering udføres ved hjælp af en bred vifte af værktøjer, hver med en unik applikation. Visse værktøjer er bedst egnede til bestemte opgaver, såsom adgangskodeknækning til penetrationstest, i tilfælde af Hashcat.
For at finde det rigtige værktøj til at hjælpe i din undersøgelse, er det vigtigt, at du først bestemmer arten af din undersøgelse, og hvad du ønsker at opnå. Derfra kan du så tage en beslutning om, hvilket værktøj du skal bruge fra dem, der er blevet diskuteret i denne artikel.
