Elcomsoft abre máquinas virtuales encriptadas para expertos forenses encargados de hacer cumplir la ley. La nueva versión 4.30 del producto Elcomsoft Distributed Password Recovery admite el acceso a máquinas virtuales cifradas adicionales. Como resultado, los investigadores forenses ahora tienen acceso a los datos almacenados en máquinas virtuales cifradas de VMware, Parallels y VirtualBox.
Además, se agregó un nuevo editor de reglas a la interfaz de usuario, lo que permite a los usuarios editar reglas de ataques híbridos directamente en la interfaz de usuario. "Las máquinas virtuales son muy comunes en el mundo criminal", explica Andy Malyshev, CEO de ElcomSoft. “Mediante el uso de una máquina virtual cifrada, los delincuentes pueden ocultar sus actividades bajo un techo virtual, por así decirlo, lo que reduce el riesgo de una fuga accidental de pruebas. Hemos desarrollado una herramienta que permite a los científicos forenses obtener acceso a toda esta evidencia al descifrar la contraseña de cifrado original".
Apertura de máquinas virtuales cifradas de VMware, Parallels y VirtualBox para análisis forense
Las máquinas virtuales utilizan un entorno portátil e independiente del hardware para desempeñar esencialmente el mismo papel que una computadora real. Las actividades del usuario realizadas en la máquina virtual dejan rastros. Sin embargo, estos se encuentran principalmente en los archivos de imagen de VM y no en la computadora host. El análisis de máquinas virtuales se convierte en un factor importante en la realización de investigaciones forenses digitales, que el producto de Elcomsoft tampoco viola el párrafo hacker.
Muchos tipos de máquinas virtuales utilizadas en el mundo criminal se pueden cifrar de forma segura. Solo se puede acceder a la evidencia almacenada en tales imágenes de VM si el investigador puede proporcionar la contraseña de cifrado original. Elcomsoft Distributed Password Recovery proporciona una solución que permite a los profesionales ejecutar ataques distribuidos y acelerados por hardware en contraseñas que protegen VMware, Parallels y VirtualBox.
tecnología y rendimiento
Las máquinas virtuales más comunes que pueden cifrar toda la imagen de la VM son Parallels, VMware y VirtualBox. La fuerza del cifrado y las velocidades de recuperación de contraseña resultantes difieren significativamente entre estas tres máquinas virtuales.
Parallels tiene la protección más débil. Con solo dos iteraciones de hash MD5 utilizadas para derivar la clave de cifrado, Parallels es el más rápido de atacar. Elcomsoft Distributed Password Recovery 4.30 logra una velocidad de recuperación muy alta de 19 millones de contraseñas por segundo en una sola CPU Intel i7 y permite recuperar rápidamente contraseñas relativamente complejas incluso sin aceleración de GPU.
Rápido descifrado asistido por GPU
VMware utiliza alrededor de 10.000 1 rondas de hash mientras usa una función de hash PBKDF-SHA10.000 más potente. Un ataque solo a la CPU da como resultado alrededor de 2070 1,6 contraseñas por segundo, por lo que se recomienda enfáticamente la recuperación asistida por GPU. El uso de una sola tarjeta NVIDIA GeForce XNUMX RTX aumenta la velocidad de recuperación a XNUMX millones de contraseñas por segundo.
Finalmente, Oracle VirtualBox ofrece la protección más sólida con el cifrado más seguro. Con hasta 1,2 millones de iteraciones de hash y una clave de cifrado de longitud variable, un ataque no acelerado solo a la CPU aumentaría la velocidad de recuperación a solo 15 contraseñas por segundo. El ataque asistido por GPU disponible es una opción significativamente más rápida y muy recomendada, junto con un diccionario específico y configuraciones de mutación, que permiten velocidades de hasta 2700 contraseñas por segundo en una sola tarjeta NVIDIA GeForce 2070 RTX.
Nuevas funciones y editor
El editor de reglas recientemente agregado permite el uso de ataques híbridos basados en la sintaxis estándar de la industria de John the Ripper directamente desde la interfaz de usuario. El editor de reglas reemplaza el modo anterior basado en la edición manual de archivos de texto.
Más información en ElcomSoft.de
Acerca de ElcomSoft
La casa de desarrollo de software ElcomSoft Co. Ltd. fue fundada en 1990 por Alexander Katalov y ha sido propiedad de él desde entonces. La empresa con sede en Moscú se especializa en software proactivo de seguridad de contraseñas para empresas y usuarios privados y vende sus productos en todo el mundo. ElcomSoft tiene como objetivo dar a los usuarios acceso a sus datos con soluciones de recuperación de contraseña fáciles de usar. Además, la empresa de software proporciona a los administradores soluciones de seguridad con las que pueden localizar y eliminar identificadores no seguros en las redes de la empresa bajo Windows o rescatar archivos cifrados con EFS.