O departamento Tableau da Guidance Software recentemente lançou Tableau™ Password Recovery, uma solução de hardware e software para acelerar os ataques a senhas de arquivos protegidos, discos e outros contêineres.
Sempre é legal brincar com novos “brinquedos”. Quando o novo brinquedo é um gigante construído especialmente para quebrar senhas e é escalável linearmente, ¿como poderíamos brincar sem compartilhá-lo? Investiguei um pouco durante a execução de uma configuração do Tableau Password Recovery com dois servidores para testes nos nossos laboratórios em Pasadena, Califórnia, e apesar que tenho encontrado muitas ferramentas boas e tutoriais para o decifrado de senhas, achei difícil diferenciar o que é teoricamente possível do que realmente é prático. Aqui, apresento algumas ideias formuladas durante este processo.
A proteção de dados existe desde a antiguidade
Cada passo dado na tecnologia da comunicação tem ido acompanhado de uma tecnologia correspondente para proteger a ideia transmitida. Os antigos gregos usaram a cítala, uma vara de madeira envolta com uma tira de pergaminho, para proteger as mensagens no campo de batalha. Aparentemente, os criptoanalistas dessa era tiveram que ser moderadamente talentosos na carpintaria.
Na prática, o problema se divide em poucas partes:
1. Como detectar dados protegidos?
2. Como expor conteúdos protegidos para a revisão humana?
3. Como escalar e gerenciar com efetividade?
Cifrado de discos e arquivos
O cifrado completo de discos é muito comum, e em muitas organizações são a regra, e não a exceção. Sabemos que detectar o cifrado completo de disco é útil para os investigadores, porque um dos artigos mais populares dos blogs da Guidance Software é o artigo Spotting Full Disk Encryption de Graham Jenkins. Graham mostra como EnCase proporciona visibilidade dos dados cifrados em si, o que pode informar aos investigadores dos próximos passos apropriados. EnCase também determina o fornecedor do cifrado e pede as credenciais necessárias. A fotografia de abaixo se mostra quando tento pré-visualizar a unidade cifrada do meu próprio disco.
Com que estamos lidando? Detectando arquivos protegidos
Obter acesso ao volume em si só é o primeiro passo. Em EnCase, usamos a análise de assinaturas de arquivos para examinar as extensões de arquivo, cabeçalhos e pés de arquivo para determinar se seu aparecimento no sistema de arquivos é consistente com os dados que realmente representam.
Digamos que temos uma folha de cálculo de Excel 2010 protegida por senha. A folha de cálculo continua sendo reconhecida pela análise de assinaturas como uma folha de cálculo de Excel, mas se tentamos abrir o arquivo, ele pedirá a sua senha. Se examinamos o conteúdo da folha de cálculo na visualização hexadecimal ou textual de EnCase, veríamos dados aparentemente sem sentido.
Contudo, estará este arquivo realmente protegido? Se assim for, como ele está protegido? Podemos responder a isto executando a Análise de Arquivos Protegidos (Protected File Analysis) no EnCase Processor. EnCase utiliza o Passware Encryption Analyzer para identificar os arquivos cifrados e protegidos por senha. A análise de arquivos protegidos está disponível em todas as edições do EnCase, incluindo EnCase® eDiscovery, onde os arquivos protegidos são identificados automaticamente como exceções durante o processamento.
Após a análise de arquivos protegidos, podemos ver quais arquivos estão protegidos e também ver que método de recuperação de senhas é requerido para desbloquear seus conteúdos.
Inclusive, só estes dois dados são suficientes para informar-nos dos próximos passos do nosso caso.
Olhando ao interior: usando Passware com EnCase
Agora que temos identificado ao arquivo como protegido e sabemos especificamente como está protegido, a única coisa que temos que fazer é tentar abri-lo! Infelizmente, aqui é onde aparece o tema de que requer “uma maior quantidade de cálculos do que a maioria dos computadores podem examinar eficazmente.” Felizmente, temos algumas opções ao alcance das nossas mãos.
Podemos decifrar o arquivo diretamente com Passware Kit Forensic. Passware Kit Forensic é uma das ferramentas de recuperação de senhas mais completa, melhor mantida e com maior apoio disponíveis comercialmente. Se você tem Passware Kit Forensic instalado na sua estação de trabalho, você pode exportar o arquivo desde EnCase ou adicionar ao Passware como um visor de arquivos para acessá-lo eficazmente simplesmente com um clique direito.
Passware Kit Forensic fornece capacidades de decifrado para mais de 200 tipos de arquivos e implementa uma ampla gama de ataques, desde o decifrado instantâneo até a força bruta. Não vou dar uma apresentação completa sobre Passware Kit Forensic, então deem uma olhada no site do Passware para obter maiores informações.
Um enfoque que vale a pena mencionar é o ataque de dicionário. Os ataques de dicionário são uma solução relativamente inteligente para um problema vasto: Se estamos tentando todas as permutações potenciais de uma senha, ¿onde começamos? Convenientemente, os humanos pensamos e nos comunicamos mediante palavras, tornando às palavras em um ponto de início sensato na hora de buscar as chaves de decifrado ou as senhas usadas pelos seres humanos. Os ataques de dicionário usam listas de palavras como insumos para determinar uma chave de decifrado.
Após processar e indexar a evidência de um caso, EnCase permite a exportação das palavras descobertas no caso para usá-las nos ataques de dicionário de Passware Kit Forensic. É aconselhável começar com um bom dicionário sempre que seja possível, e o Passware Kit Forensic assegura que o dicionário informe o plano de execução do ataque.
Adicionando tudo: eficiente, gerenciável, escalável
Evidentemente, o problema principal da recuperação de senhas não cai em determinar o que é que se pode recuperar, nem no uso da técnica correta. Inevitavelmente, qualquer capacidade situada para a recuperação de senhas precisa fazer que as tarefas com alto custo computacional sejam eficientes e gerenciáveis.
Tenho dois servidores Tableau Password Recovery no laboratório. Trabalhando juntos, eles aceleram os ataques de recuperação de senhas por ordens de magnitude em comparação à utilização de uma só CPU. Cada servidor vem equipado com quatro placas PCI de Tableau Accelerator Gen2 (TACC2). Os arquivos protegidos, como contêineres de arquivos PGP autodecifráveis, podem ser atacados a taças superiores a 1,5 milhões de senhas/segundo. Múltiplos servidores Tableau Password Recovery podem funcionar em paralelo com uma escalabilidade de performance lineal. Se precisamos maior aceleração, só temos que adicionar outro servidor.
Tableau Password Recovery tem sido integrado diretamente no EnCase, fazendo que a recuperação de arquivos protegidos com senhas esteja a somente um par de cliques de distância. Selecione os arquivos que serão recuperados, mande-os ao servidor Tableau Password Recovery e monitore o estado.
Quando se tem completado o trabalho, o arquivo recuperado pode ser obtido e automaticamente adicionado ao caso, incluindo a senha recuperada e o log da sua execução para uma revisão maior. O arquivo decifrado se vincula automaticamente ao arquivo protegido original. É algo menor, mas uma coisa a menos que você precisa rastrear.
Qualquer discussão de recuperação prática de senhas não estaria completa sem mencionar a aceleração baseada na GPU. As GPUs aceleram efetivamente muitos algoritmos de recuperação de senhas. Contudo, esta performance traz custos. As soluções atuais com placas individuais consomem 300W sob carga e as configurações com múltiplas GPUs requerem fontes de alimentação superiores aos 1000W. Um maior consumo de energia incrementa os custos operacionais pelo aumento dos requerimentos de refrigeração e pelo maior risco de falhas em algum componente. Conseguir peças compatíveis de forma confiável pode ser difícil, criando custos de manutenção contínua, de teste ou outros custos escondidos. As GPUs se destacam quando funcionam com grandes volumes de dados, mas esta velocidade máxima não pode ser o único fator de uma recuperação de senhas prática.
A tabela de acima compara senhas por segundo Vs. senhas por segundo por watt para três soluções diferentes de recuperação de senhas. As senhas por watt são uma boa maneira de descrever não só a velocidade máxima, senão que também a habilidade inerente e a viabilidade do sistema. Tableau Password Recovery alcança uma aceleração ao nível das soluções com múltiplas GPUs, enquanto consome muito menos energia.
Finalmente, Tableau Password Recovery é integramente um produto forense Tableau. A tecnologia de aceleração baseada em FPGA não só permite que o sistema se execute a uma menor temperatura, senão que também permite flexibilidade no futuro. Como todos os produtos Tableau, Tableau Password Recovery receberá atualizações de software grátis e sem requerer mudanças de hardware. Estas atualizações adicionarão novos algoritmos aceleradores e aumentarão a eficiência dos aceleradores existentes.
Se você quiser maiores informações sobre Tableau Password Recovery ou qualquer outro produto da Guidance Software, não duvide em nos contatar mediante o email sales-latam@guidancesoftware.com
Este artigo foi traduzido do original "Password Recovery Can be Practical" por Ken Mizota, Gerente de Gestão de Produtos na Guidance Software.
TEMAS RELACIONADOS
Que atingiu à OPM? O que sabemos até agora
Faça parte do nosso Grupo de Usuários do EnCase em Português no LinkedIn
Guidance Software anuncia o lançamento de EnCase Endpoint Security
Curta a Nossa Página em Português no Facebook
Guidance Software reconhecida pela Gartner como líder do mercado de ferramentas de detecção e resposta em dispositivos
No comments :
Post a Comment