Forensik: Schlüssel für virtuelle Maschinen

Anzeige

Beitrag teilen

Elcomsoft öffnet verschlüsselte virtuelle Maschinen für Forensiker von Ermittlungsbehörden. Das Produkt Elcomsoft Distributed Password Recovery unterstützt in der neuen Version 4.30 den Zugriff auf weitere verschlüsselte virtuelle Maschinen. Somit haben Forensiker jetzt Zugriff auf Daten, die in verschlüsselten virtuellen VMware-, Parallels- und VirtualBox-Maschinen gespeichert sind.

Darüber hinaus wurde der Benutzeroberfläche ein neuer Regeleditor hinzugefügt, mit dem Benutzer Regeln für Hybridangriffe direkt in der Benutzeroberfläche bearbeiten können. „Virtuelle Maschinen sind in der kriminellen Welt sehr verbreitet“, erklärt Andy Malyshev, CEO von ElcomSoft. „Durch die Verwendung einer verschlüsselten virtuellen Maschine können Kriminelle ihre Aktivitäten sozusagen unter einem virtuellen Dach verstecken und so das Risiko eines versehentlichen Beweislecks verringern. Wir haben ein Tool entwickelt, mit dem Forensiker Zugriff auf all diese Beweise erhalten, indem sie das ursprüngliche Verschlüsselungspasswort aufbrechen können.“

Anzeige

Öffnen von verschlüsselten VMware-, Parallels- und VirtualBox-VMs für Forensiker

Elcomsoft Distributed Password Recovery virtuelle Maschinen entschlüsseln für Forensiker

Elcomsoft Distributed Password Recovery entschlüsselt für Behörden virtuelle Maschinen von Cybergangster mithilfe hoher GPU-Leistung.

Virtuelle Maschinen verwenden eine portable, Hardware-unabhängige Umgebung, um im Wesentlichen dieselbe Rolle wie ein realer Computer zu spielen. In der virtuellen Maschine ausgeführte Benutzeraktivitäten hinterlassen Spuren. Jedoch sind diese hauptsächlich in den VM-Image-Dateien zu finden und nicht auf dem Host-Computer. Die Analyse virtueller Maschinen wird zu einem wichtigen Faktor bei der Durchführung digitaler forensischer Untersuchungen, welche mit dem Produkt von Elcomsoft auch nicht gegen den Hacker-Paragraf verstößt.

Viele Arten von virtuellen Maschinen, die in der kriminellen Welt verwendet werden, können sicher verschlüsselt werden. Auf Beweismaterial, das in solchen VM-Images gespeichert ist, kann nur zugegriffen werden, wenn der Ermittler das ursprüngliche Verschlüsselungspasswort vorweisen kann. Elcomsoft Distributed Password Recovery bietet eine Lösung, mit der Experten Hardware-beschleunigte und verteilte Angriffe auf Passwörter ausführen können, die VMware, Parallels und VirtualBox schützen.

Anzeige

Technologie und Leistung

Die gängigsten virtuellen Maschinen, die das gesamte VM-Image verschlüsseln können, sind Parallels, VMware und VirtualBox. Die Verschlüsselungsstärke und die daraus resultierenden Passwort-Wiederherstellungs-Geschwindigkeiten unterscheiden sich zwischen diesen drei VMs erheblich.

Parallels hat dabei den schwächsten Schutz. Mit nur zwei MD5-Hash-Iterationen, die zum Ableiten des Verschlüsselungsschlüssels verwendet werden, ist Parallels am schnellsten anzugreifen. Elcomsoft Distributed Password Recovery 4.30 erreicht eine sehr hohe Wiederherstellungs-Geschwindigkeit von 19 Millionen Passwörtern pro Sekunde auf einer einzelnen Intel i7-CPU und ermöglicht die schnelle Wiederherstellung relativ komplexer Passwörter auch ohne GPU-Beschleunigung.

Schnelle, GPU-gestützte Entschlüsselung

VMware verwendet etwa 10.000 Hash-Runden und verwendet gleichzeitig eine stärkere PBKDF-SHA1-Hash-Funktion. Ein Nur-CPU-Angriff führt zu etwa 10.000 Kennwörtern pro Sekunde, weshalb die GPU-gestützte Wiederherstellung dringend empfohlen wird. Die Verwendung einer einzelnen NVIDIA GeForce 2070 RTX-Karte erhöht die Wiederherstellungs-Geschwindigkeit auf 1,6 Millionen Passwörter pro Sekunde.

Schließlich bietet Oracle VirtualBox den stärksten Schutz mit der sichersten Verschlüsselung. Mit bis zu 1,2 Millionen Hash-Iterationen und einem Verschlüsselungsschlüssel variabler Länge würde ein nicht beschleunigter, reiner CPU-Angriff, die Wiederherstellungs-Geschwindigkeit auf nur 15 Passwörter pro Sekunde erhöhen. Der verfügbare GPU-unterstützte Angriff ist eine erheblich schnellere und dringend empfohlene Option, zusammen mit einem gezielten Wörterbuch und Mutationseinstellungen, die eine Geschwindigkeit von bis zu 2700 Passwörtern pro Sekunde auf einer einzelnen NVIDIA GeForce 2070 RTX-Karte ermöglicht.

Neue Funktionen und Editor

Der neu hinzu gekommene Regeleditor ermöglicht die Verwendung von Hybridangriffen basierend auf der branchenüblichen Syntax von John the Ripper direkt über die Benutzeroberfläche. Der Regeleditor ersetzt den bisherigen Modus basierend auf der manuellen Bearbeitung von Textdateien.

Mehr dazu bei ElcomSoft.de

 


Über ElcomSoft

Das Software-Entwicklungshaus ElcomSoft Co. Ltd. wurde 1990 von Alexander Katalov gegründet und befindet sich seither in dessen Besitz. Das in Moskau ansässige Unternehmen hat sich auf proaktive Passwort-Sicherheits-Software für Unternehmen und Privatanwender spezialisiert und vertreibt seine Produkte weltweit. ElcomSoft hat sich zum Ziel gesetzt, mit benutzerfreundlichen Lösungen für die Wiederherstellung von Passwörtern Anwendern den Zugriff auf ihre Daten zu ermöglichen. Des Weiteren gibt die Softwareschmiede Administratoren Sicherheitslösungen an die Hand, mit denen sie unsichere Kennungen in Unternehmens-Netzwerken unter Windows lokalisieren und beseitigen oder EFS-verschlüsselte Dateien retten können.


 

Passende Artikel zum Thema

Desktop-Firewall: Entry-Level Firewall UF-60 LTE

Der deutsche Netzwerkinfrastruktur- und Security-Ausrüster LANCOM Systems rundet sein Angebot an Desktop-Firewalls ab. Die LANCOM R&S®Unified Firewall UF-60 LTE ist ➡ Weiterlesen

REvil: Bilanz einer Bande Cyber-Erpresser

REvil war eine der produktivsten Ransomware-as-a-Service-Kampagnen der jüngsten Vergangenheit. Zu ihren Opfern zählten weltweit Tausende Technologieunternehmen, Managed-Service-Provider und Betriebe aus ➡ Weiterlesen

Chronologie eines Angriffs mit Midas Ransomware

Das Problem ungenutzter und vergessener Tools – Chronologie eines Angriffs mit Midas Ransomware. Das Sophos Rapid-Response-Team beschreibt, wie Cyberkriminelle in einem ➡ Weiterlesen

Einfache E-Mail-Verschlüsselung mit QUICK

Cryptshare erhält Patent für einfache, verschlüsselte Kommunikation. In Deutschland entwickelte QUICK Technology wurde nun patentiert. Die Technologie für E-Mail-Verschlüsselung stellt ➡ Weiterlesen

ThycoticCentrify verbessert die Benutzerfreundlichkeit des Secret Server

Verbesserte Benutzerfreundlichkeit des Secret Server durch eine automatisierte und vereinfachte Verwaltung von Secrets: Mit neuen Sicherheitskontrollen, Automatisierungsfunktionen und Design-Updates bietet die ➡ Weiterlesen

Sicherer E-Mail-Versand in der Cloud gewinnt an Bedeutung

2021 ist die E-Mail 50 Jahre alt geworden. In dieser Zeit hat sie sich längst als Hauptkommunikationsmittel im Business-Alltag etabliert ➡ Weiterlesen

Tausende unsichere Webserver bei beliebten Websites

TLS Telemetry Report 2021 analysiert Verschlüsselung und Zertifikate. Mehr als die Hälfte aller Webserver erlauben immer noch den Einsatz von unsicheren ➡ Weiterlesen

Pflegedienste: Personendaten von Pflegebedürftigen und Personal rechtssicher verwalten

Pflegedienste unterliegen seit 2018 den strengen Vorschriften der Datenschutz-Grundverordnung (DSGVO). Doch viele Anbieter nehmen die damit verbundenen Auflagen beim Datenschutz ➡ Weiterlesen