Elcomsoft ouvre des machines virtuelles cryptées pour les experts judiciaires des forces de l'ordre. La nouvelle version 4.30 du produit Elcomsoft Distributed Password Recovery prend en charge l'accès à des machines virtuelles cryptées supplémentaires. En conséquence, les chercheurs en criminalistique ont désormais accès aux données stockées dans des machines virtuelles chiffrées VMware, Parallels et VirtualBox.
De plus, un nouvel éditeur de règles a été ajouté à l'interface utilisateur, permettant aux utilisateurs de modifier les règles d'attaque hybride directement dans l'interface utilisateur. "Les machines virtuelles sont très courantes dans le monde criminel", explique Andy Malyshev, PDG d'ElcomSoft. « En utilisant une machine virtuelle cryptée, les criminels peuvent cacher leurs activités sous un toit virtuel, pour ainsi dire, réduisant ainsi le risque de fuite accidentelle de preuves. Nous avons développé un outil qui permet aux médecins légistes d'accéder à toutes ces preuves en cassant le mot de passe de cryptage d'origine."
Ouverture de machines virtuelles VMware, Parallels et VirtualBox chiffrées pour l'investigation
Les machines virtuelles utilisent un environnement portable et indépendant du matériel pour jouer essentiellement le même rôle qu'un véritable ordinateur. Les activités des utilisateurs effectuées dans la machine virtuelle laissent des traces. Cependant, ceux-ci se trouvent principalement dans les fichiers image de la machine virtuelle et non sur l'ordinateur hôte. L'analyse des machines virtuelles devient un facteur important dans la conduite d'enquêtes médico-légales numériques, que le produit d'Elcomsoft ne viole pas non plus le paragraphe hacker.
De nombreux types de machines virtuelles utilisées dans le monde criminel peuvent être cryptées en toute sécurité. Les preuves stockées dans ces images VM ne sont accessibles que si l'enquêteur peut fournir le mot de passe de cryptage d'origine. Elcomsoft Distributed Password Recovery fournit une solution qui permet aux professionnels d'exécuter des attaques distribuées et accélérées par le matériel sur les mots de passe protégeant VMware, Parallels et VirtualBox.
technologie et performances
Les machines virtuelles les plus courantes capables de chiffrer l'intégralité de l'image VM sont Parallels, VMware et VirtualBox. La force de chiffrement et les vitesses de récupération de mot de passe qui en résultent diffèrent considérablement entre ces trois machines virtuelles.
Parallels a la protection la plus faible. Avec seulement deux itérations de hachage MD5 utilisées pour dériver la clé de chiffrement, Parallels est le plus rapide à attaquer. Elcomsoft Distributed Password Recovery 4.30 atteint une vitesse de récupération très élevée de 19 millions de mots de passe par seconde sur un seul processeur Intel i7 et permet de récupérer rapidement des mots de passe relativement complexes, même sans accélération GPU.
Déchiffrement rapide assisté par GPU
VMware utilise environ 10.000 1 tours de hachage tout en utilisant une fonction de hachage PBKDF-SHA10.000 plus puissante. Une attaque uniquement CPU génère environ 2070 1,6 mots de passe par seconde, donc la récupération assistée par GPU est fortement recommandée. L'utilisation d'une seule carte NVIDIA GeForce XNUMX RTX augmente la vitesse de récupération à XNUMX million de mots de passe par seconde.
Enfin, Oracle VirtualBox offre la protection la plus solide avec le cryptage le plus sécurisé. Avec jusqu'à 1,2 million d'itérations de hachage et une clé de chiffrement de longueur variable, une attaque non accélérée, uniquement CPU, augmenterait la vitesse de récupération à seulement 15 mots de passe par seconde. L'attaque assistée par GPU disponible est une option nettement plus rapide et fortement recommandée, ainsi qu'un dictionnaire ciblé et des paramètres de mutation, permettant des vitesses allant jusqu'à 2700 mots de passe par seconde sur une seule carte NVIDIA GeForce 2070 RTX.
Nouvelles fonctionnalités et éditeur
L'éditeur de règles nouvellement ajouté permet l'utilisation d'attaques hybrides basées sur la syntaxe standard de John the Ripper directement à partir de l'interface utilisateur. L'éditeur de règles remplace le mode précédent basé sur l'édition manuelle de fichiers texte.
En savoir plus sur ElcomSoft.de
À propos d'Elcom Soft
La société de développement de logiciels ElcomSoft Co. Ltd. a été fondée en 1990 par Alexander Katalov et lui appartient depuis. L'entreprise basée à Moscou est spécialisée dans les logiciels proactifs de sécurité par mot de passe pour les entreprises et les utilisateurs privés et vend ses produits dans le monde entier. ElcomSoft vise à donner aux utilisateurs un accès à leurs données avec des solutions de récupération de mot de passe faciles à utiliser. En outre, l'éditeur de logiciels fournit aux administrateurs des solutions de sécurité avec lesquelles ils peuvent localiser et éliminer les identifiants non sécurisés dans les réseaux d'entreprise sous Windows ou récupérer des fichiers cryptés EFS.