Michael Ligh, pesquisador da Volatility, conseguiu identificar a chave mestra da encriptação de um volume do TrueCrypt.
Acontece que o software guarda essa chave em memória e o "pulo do gato" é que o padrão usual de criptografia usa o algoritmo AES no modo XTS.
Esse modo concatena duas chaves de 256-bits para formar uma chave de 512-bits, o que torna muito fácil a identificação da chave utilizando-se de ferramentas de dump de memória e captura de pacotes como se vê abaixo:
$ ./aeskeyfind Win8SP0x86.raw
f12bffe602366806d453b3b290f89429
e6f5e6511496b3db550cc4a00a4bdb1b
4d81111573a789169fce790f4f13a7bd
a2cde593dd1023d89851049b8474b9a0
269493cfc103ee4ac7cb4dea937abb9b
4d81111573a789169fce790f4f13a7bd
4d81111573a789169fce790f4f13a7bd
269493cfc103ee4ac7cb4dea937abb9b
4d81111573a789169fce790f4f13a7bd
0f2eb916e673c76b359a932ef2b81a4b
7a9df9a5589f1d85fb2dfc62471764ef47d00f35890f1884d87c3a10d9eb5bf4
e786793c9da3574f63965803a909b8ef40b140b43be062850d5bb95d75273e41
Keyfind progress: 100%
O problema é que conhecer a chave é só meio caminho andado, é preciso saber onde está o arquivo criptografado. Para isso existe o plugin truecryptsummary, que usa as mesmas funções do driver do TrueCrypt e consegue detectar quais volumes/arquivos estão criptografados e onde eles estão.
Aí vira brincadeira de padawan...
Que a Força esteja com vocês!
Nenhum comentário:
Postar um comentário