Стрімкий розвиток технологій в останні роки кардинально трансформує різні сектори, і криміналістика не є винятком. Ця сфера, що займається науковим дослідженням злочинів, значно виграла від інновацій. Фахівці використовують наукові методи для розслідування обставин та причин правопорушень, аналізуючи докази для їх представлення в суді.
З появою цифрових технологій виникла нова галузь – цифрова криміналістика. Вона зосереджена на виявленні та дослідженні доказів, що зберігаються на цифрових пристроях, як-от смартфони та комп’ютери, для розслідування кіберзлочинів. Однак, у цій роботі виникає серйозна перешкода – шифрування.
Шифрування, як метод кодування даних для захисту від несанкціонованого доступу, ускладнює роботу цифрових криміналістів. Засоби шифрування, такі як AxCrypt, NordLocker, а також вбудовані функції в операційних системах Windows і macOS, ускладнюють відновлення даних із цифрових пристроїв.
Саме тому зростає потреба в інструментах криміналістичного дешифрування. Це спеціалізоване програмне забезпечення, здатне повертати зашифровані дані до їхнього оригінального, читабельного вигляду. Такі інструменти допомагають криміналістам збирати дані з зашифрованих файлів, необхідні для розслідування злочинів.
Переваги застосування інструментів криміналістичного дешифрування
Переваги використання таких інструментів:
- Швидкість: Інструменти дешифрування дозволяють криміналістам швидко розшифровувати великі обсяги даних будь-якої складності.
- Простота використання: Хоча дешифрування зазвичай вимагає глибоких знань програмування, математики та криптографії, ці інструменти спрощують процес, автоматизуючи складні завдання.
- Багатофункціональність: Інструменти дешифрування надають широкий спектр функцій, таких як аналіз реєстру комп’ютера, відновлення паролів та видалених файлів, крім дешифрування.
- Точність: Оскільки судові докази повинні бути дуже точними, ці інструменти проходять ретельне тестування та здатні працювати з різними алгоритмами дешифрування, забезпечуючи високу точність збору даних.
Критерії вибору інструменту криміналістичного дешифрування
При виборі інструменту криміналістичного дешифрування, варто звернути увагу на такі фактори:
- Прискорення GPU: Використання графічного процесора для прискорення обробки даних значно скорочує час дешифрування великих обсягів інформації.
- Розшифровка FDE: Підтримка повного шифрування диска (FDE), яке часто використовується компаніями, є важливим критерієм. Інструмент повинен розшифровувати диски, зашифровані таким методом.
- Підтримка типів файлів: Різні інструменти можуть підтримувати дешифрування лише певних типів файлів (архіви, документи Word, PDF тощо). Потрібно переконатися, що інструмент підтримує потрібні вам формати.
- Виявлення зашифрованих файлів: Здатність інструменту виявляти всі зашифровані файли в системі значно економить час під час розслідування.
- Невідстежуваність: Ідеальний інструмент не повинен залишати слідів дешифрування, щоб не ускладнити розслідування.
На ринку представлено багато інструментів дешифрування, але їхні можливості можуть відрізнятися. Розглянемо кілька найкращих з них.
Passware Kit Ultimate
Passware Kit Ultimate є флагманським продуктом компанії Passware, яка розробляє інструменти для відновлення та дешифрування паролів. Продукти Passware використовуються правоохоронними органами по всьому світу для вирішення складних справ.
Основні особливості:
- Відновлення паролів для понад 340 типів файлів, включаючи архіви, біткойн-гаманці, документи Word, QuickBooks і навіть файли, зашифровані AxCrypt та VeraCrypt.
- Видобуток даних та відновлення паролів з понад 250 моделей мобільних пристроїв, зокрема iPhone та Android-смартфони Samsung, Nokia, Huawei та LG.
- Повне дешифрування диска, включаючи диски з повним шифруванням.
- Апаратне прискорення за допомогою графічних процесорів NVIDIA та AMD.
- Розшифровка комп’ютерів Mac з чіпом безпеки Apple T2.
Passware Kit Ultimate не має безкоштовної пробної версії, але надає 30-денну гарантію повернення коштів.
Elcomsoft Forensic Disk Decryptor
Elcomsoft Forensic Disk Decryptor забезпечує миттєвий доступ до даних, зашифрованих BitLocker, FileVault 2, TrueCrypt, Veracrypt і PGP Disk.
Особливості:
- Операція без слідів – дешифрування не залишає слідів.
- Доступ до метаданих шифрування, корисних для отримання вихідних паролів.
- Дешифрування в реальному часі, дозволяючи працювати із зашифрованими томами як зі звичайними дисками.
Програма підтримує повне розшифрування диска, автоматичний пошук та ідентифікацію зашифрованих томів. Elcomsoft пропонує безкоштовну пробну версію.
Paladin
Paladin – це завантажувальний криміналістичний дистрибутив Linux на основі Ubuntu. Розроблений компанією SUMURI, він включає понад 100 попередньо скомпільованих криміналістичних інструментів з відкритим вихідним кодом для різноманітних завдань, включаючи дешифрування, аналіз апаратного забезпечення, месенджерів, виявлення паролів та аналіз соціальних мереж.
Переваги:
- Можливість клонування пристроїв.
- Вбудований диспетчер дисків.
- Автоматичне ведення журналу.
- Інтеграція з платформою Autopsy Digital Forensics Platform.
Програмне забезпечення доступне за принципом “назвіть свою ціну”.
Mobile Verification Toolkit (MVT) – набір утиліт для збору криміналістичних слідів на Android та iOS пристроях. Розроблений Amnesty International Security Lab, MVT дозволяє виявляти шпигунське програмне забезпечення, таке як Pegasus.
Інструмент Windows Media forensics призначений для аналізу фотографій та відео, що зберігаються в програмі Windows Photos. Він ідентифікує обличчя, людей, місця, час зйомки та інші метадані, допомагаючи дослідникам відстежувати зміни та взаємодії з файлами.
CredentialsFileView
CredentialsFileView — інструмент для Windows, що розшифровує та відображає дані, що зберігаються у файлах облікових даних операційної системи. Ці файли містять паролі для входу до комп’ютера, віддалених комп’ютерів, Windows Messenger, поштових акаунтів та веб-сайтів.
Hashcat
Hashcat — популярний інструмент для злому паролів, який використовується для тестування проникнення, системними адміністраторами та іншими фахівцями. Він вгадує паролі, хешує їх та порівнює з оригінальними хешами. Hashcat підтримує різні хеш-формати та може використовувати GPU для прискорення злому паролів.
John the Ripper
John the Ripper — безкоштовний інструмент з відкритим вихідним кодом для перевірки безпеки та відновлення паролів. Він підтримує сотні хешів і шифрів, які використовуються в різних операційних системах, веб-додатках і базах даних.
На відміну від Hashcat, John the Ripper не використовує GPU Acceleration.
Висновок
Криміналістичне дешифрування використовує різноманітні інструменти, кожен з яких має унікальне застосування. Вибір інструменту залежить від характеру розслідування та поставлених цілей. Наприклад, Hashcat чудово підходить для злому паролів під час тестування на проникнення. Визначивши цілі вашого розслідування, ви зможете обрати правильний інструмент з розглянутих у цій статті.