Elcomsoft Forensic Disk Decryptor (EFDD) yazılımı ile şifreli disklere anında erişebilirsiniz.
Şifreli disklere erişebilmek, en az diskleri şifrelemek kadar önemli bir güvenlik konusudur. Bu alanda kullanıcılara yardımcı olan pek çok ücretli yazılım mevcut, Elcomsoft Forensic Decryptor (EFDD) de bunlardan biri. Elcomsoft’un Ocak ayında yayınladığı yeni bir güncelleme ile EFDD’ye daha önceden sahip olmadığı pek çok özellik kazandırıldı.
Eski EFDD sürümleri; FileVault 2, PGP, BitLocker veya TrueCrypt ile şifrelenen diskleri, RAM’de depolanan ikili şifreleme anahtarını kullanarak çözebiliyordu. Yeni güncelleme ile EFDD artık düz metinden oluşan parolaları kullanıp şifreli diskleri açabiliyor, escrow kurtarma anahtarlarını destekliyor ve Microsoft imzalı kernel seviyesi RAM görüntüleme aracı sunuyor.
Yeni EFDD sürümü ayrıca kullanıcı kolaylığı konusunda da birkaç önemli adım atıyor. Uzun süredir talep edilen taşınabilir sürüm, yeni güncelleme ile birlikte kullanıcılara sunulmuş. Endüstri çevrelerinde yaygın olarak kullanılan EnCase .E01 ve şifreli DMG disk görüntüleri de EFDD tarafından artık destekleniyor. Ek olarak EFDD artık sisteminizde yer alan şifreli bölümleri otomatik olarak tespit ediyor ve her bölümün şifreleme yöntemi ile ilgili detaylı bilgileri gösteriyor.
Kullanım
Bu özellikler kulağa ilgi çekici geliyor. Bu yazımızda EFDD’nin sunduğu yeni özellikleri nasıl kullanabileceğinizi göstereceğiz.
Öncelikle EFDD 2.0 yazılımını çalıştırın ve ardından bir fiziksel diski veya disk görüntüsünü seçin. EFDD seçtiğiniz diski tarayacak ve tespit ettiği tüm şifreli bölümleri listeleyecektir. Bu listede şifrelenmiş bölümleri, bu bölümlerin depolama alanını ve şifreleme yöntemini görebilirsiniz.
Şifre Çözme Yöntemleri
Önceki EFDD sürümlerinde yazılım sadece bellekte veya hazırda bekletme dosyasında yer alan ikili anahtarı kullanarak şifreli disklere erişebiliyordu. Kullanımı kolaylaştıran metin parola ve escrow anahtarları kullanma desteğinin eksikliği hissediliyordu.
EFDD 2.0 ile birlikte bu eksikler giderilmiş. Artık şifreli bölümlere erişmenin birden fazla yolu mevcut. Dilerseniz ikili anahtarları kullanmaya devam edebilirsiniz. Ancak erişmek istediğiniz bölümün parolasını biliyorsanız, bu parolayı doğrudan yazılıma girerek ilgili bölüme hızla erişebilirsiniz.
Bir diğer şifre çözme yöntemi ise escrow anahtarlarını kullanmayı içeriyor. Kurtarma anahtarı olarak da bilinen bu anahtarları bir nevi yedek anahtar olarak düşünebilirsiniz. Bu anahtarlar sayesinde kullanıcılar şifresini unuttukları bölümlere kolaylıkla erişebilir.
BitLocker kullanan şifreli bölümlerde kurtarma anahtarı genellikle Aktif Dizin içerisinde yer alır. Kişisel hesaplar için kurtarma anahtarı da kullanıcının Microsoft hesabından elde edilebilir. FileVault 2 kullanan bölümlerin kurtarma anahtarı ise Elcomsoft Phone Breaker kullanılarak kullanıcının Apple iCloud hesabından elde edilebilir.
Kernel Seviyesi RAM Görüntüleme Aracı
EFDD ilk piyasaya sürüldüğünde sadece sistemin geçici bellek görüntüsünü tarıyordu. Eğer bu görüntü içerisinde kriptografik bir anahtar bulunursa, yazılım bu anahtarı kullanıp şifrelenen bölümün kilidini açabiliyordu. Ancak yeni güncellemeden önce EFDD taranacak bellek görüntüsünü kendi başına elde edemiyordu.
Yeni güncelleme ile birlikte bu düzen de değişiyor. EFDD 2.0 artık kendine ait, kernel seviyesinde çalışan bir bellek görüntüleme aracına sahip. Bu araç, bünyesinde Microsoft dijital imzalı bir kernel modu sürücüsü içeriyor ve bu sayede Windows 7 ve üstü tüm Windows işletim sistemlerinin 32 ve 64-bit sürümlerinde sorunsuz bir şekilde çalışıyor.
Kernel seviyesi sürücüsü sayesinde bu araç, belleğin ihtiyacı olan her alanına erişebiliyor. Normal koşullarda Windows veya üçüncü parti güvenlik yazılımları tarafından aktif bir şekilde korunan bellek kısımlarına da bu sürücü sayesinde erişmek mümkün.
Taşınabilir Sürüm
EFDD 2.0 sürümü, EnCase görüntü dosyalarını artık tamamen endüstri standardı .E01 formatında destekliyor. Ancak bu araç sadece taşınabilir bir taşınabilir USB sürücüsü ile canlı sistemlerde kullanılabiliyor.
Operation mode menüsü altında Create portable version seçeneğini kullanarak USB belleğinize gerekli araçları yükleyebilir ve bu sayede başka sistemlerin geçici belleklerini kriptografik anahtarlar için tarayabilirsiniz.
