Die 8 besten forensischen Entschlüsselungstools zur Unterstützung von Ermittlungen

von

In den vergangenen Jahren hat die Technologie einen bemerkenswerten Aufschwung erlebt, der ganze Branchen und Sektoren grundlegend verändert hat. Ein Bereich, der besonders von diesen technologischen Fortschritten profitiert hat, ist die Forensik.

Die Forensik ist ein wissenschaftlicher Bereich, der sich mit der Untersuchung von Verbrechen beschäftigt, mit dem Ziel, die Ursachen und den Hergang eines Vorfalls zu ermitteln. Die Arbeit in diesem Feld beinhaltet die Analyse und Bereitstellung von Beweismitteln, die vor Gericht verwendet werden können, um zur Aufklärung von Straftaten beizutragen.

Die Integration von Technologie in die Forensik hat zur Entstehung eines neuen Zweigs geführt, der als digitale Forensik bekannt ist. Die digitale Forensik befasst sich mit der Untersuchung und Wiederherstellung von Beweismitteln, die auf digitalen Geräten wie Smartphones und Computern gespeichert sind, mit dem Ziel, Cyberkriminalität zu untersuchen.

Eine erhebliche Herausforderung für digitale Forensiker ist die weitverbreitete Verwendung von Verschlüsselung. Verschlüsselung ist eine Methode, um Daten in einen Geheimcode umzuwandeln, um unbefugten Zugriff zu verhindern. Da Verschlüsselungstools wie AxCrypt und NordLocker immer beliebter werden und Betriebssysteme wie Windows und macOS integrierte Verschlüsselungsfunktionen bieten, wird es für die digitale Forensik immer schwieriger, Daten von digitalen Geräten wiederherzustellen.

Diese zunehmende Verbreitung von Verschlüsselungstools macht forensische Entschlüsselungswerkzeuge unerlässlich. Diese spezialisierten Softwareprogramme konvertieren verschlüsselte Daten zurück in ihr ursprüngliches, lesbares Format. Ziel ist es, forensischen Experten dabei zu helfen, Daten aus verschlüsselten Dateien auf digitalen Geräten zu extrahieren, um bei der Aufklärung von Verbrechen behilflich zu sein.

Vorteile des Einsatzes forensischer Entschlüsselungstools

Im Folgenden sind einige der wichtigsten Vorteile des Einsatzes forensischer Entschlüsselungstools aufgeführt:

  • Geschwindigkeit: Forensische Entschlüsselungstools ermöglichen es Ermittlern, große Datenmengen in kurzer Zeit zu entschlüsseln, unabhängig von der Komplexität der Daten.
  • Benutzerfreundlichkeit: Traditionell erfordert die Entschlüsselung verschlüsselter Daten ein fundiertes Wissen in Programmierung, Mathematik und Kryptografie. Mit Entschlüsselungstools entfällt diese Notwendigkeit, da sie einen Großteil der komplexen Aufgaben übernehmen.
  • Vielseitigkeit: Forensische Entschlüsselungstools bieten eine breite Palette von Funktionen, darunter die Analyse von Computerregistrierungen, die Wiederherstellung von Passwörtern, die Wiederherstellung gelöschter Dateien und natürlich die Entschlüsselung von Dateien.
  • Genauigkeit: Die Glaubwürdigkeit forensischer Beweismittel vor Gericht hängt stark von ihrer Genauigkeit ab. Forensische Entschlüsselungstools werden strengen Tests unterzogen und unterstützen verschiedene Entschlüsselungsalgorithmen, um die Genauigkeit der gewonnenen Daten zu gewährleisten.

Faktoren, die bei der Auswahl eines forensischen Entschlüsselungstools zu berücksichtigen sind

Nicht alle forensischen Entschlüsselungstools sind gleichwertig. Bei der Auswahl eines solchen Tools sollten folgende Aspekte berücksichtigt werden:

  • GPU-Beschleunigung: Die Nutzung der Grafikprozessoreinheit (GPU) eines Computers beschleunigt rechenintensive Aufgaben erheblich, was die benötigte Zeit für die Entschlüsselung großer Datenmengen deutlich reduziert.
  • FDE-Entschlüsselung: Full Disk Encryption (FDE) verschlüsselt alle Daten auf einem Datenträger standardmäßig auf Festplattenebene. Da FDE in vielen Organisationen weit verbreitet ist, ist es wichtig, ein Tool zu wählen, das vollständig verschlüsselte Festplatten entschlüsseln kann.
  • Unterstützte Dateitypen: Verschiedene Dateitypen wie Archive, Word-Dokumente oder PDFs können verschlüsselt werden. Nicht alle Entschlüsselungstools unterstützen alle Dateitypen. Es ist daher wichtig sicherzustellen, dass das gewählte Tool den relevanten Dateityp unterstützt.
  • Erkennung verschlüsselter Dateien: Bei der Untersuchung eines großen Systems kann es schwierig sein, alle verschlüsselten Dateien zu finden. Ein Tool, das alle verschlüsselten Dateien auf einem System automatisch erkennen und anzeigen kann, spart viel Zeit.
  • Unauffindbarkeit: Ein ideales forensisches Entschlüsselungstool sollte nach der Entschlüsselung keine Spuren hinterlassen. Die Originaldateien sollten unverändert bleiben, und es sollten keine Hinweise auf den Entschlüsselungsvorgang zurückbleiben, um Verdacht zu vermeiden und Gegenmaßnahmen zu verhindern.

Für digitale Forensiker stehen heute viele Entschlüsselungstools zur Verfügung. Allerdings bieten nicht alle die gleichen Funktionen und Möglichkeiten.

Im Folgenden stellen wir einige der besten forensischen Entschlüsselungstools vor, die Sie bei Ihren Untersuchungen unterstützen können.

Passware Kit Ultimate

Passware Kit Ultimate ist das fortschrittlichste Produkt von Passware, einem Unternehmen, das sich auf die Entwicklung von Tools zur Wiederherstellung und Entschlüsselung von Passwörtern spezialisiert hat. Laut der Website des Unternehmens werden Passware-Produkte von Strafverfolgungsbehörden weltweit eingesetzt, um schwierige Fälle zu lösen, die eine Entschlüsselung erfordern.

Dieses Entschlüsselungstool zeichnet sich durch seine umfassenden Funktionen aus:

  • Passwortwiederherstellung für über 340 Dateitypen: Passware Kit Ultimate kann Passwörter aus einer Vielzahl von Dateiformaten wiederherstellen, darunter Archivdateien, Bitcoin-Wallets, Word-Dokumente und QuickBooks-Dateien. Es unterstützt auch Passwörter, die mit Verschlüsselungstools wie AxCrypt und VeraCrypt verschlüsselt wurden.
  • Datenextraktion von über 250 mobilen Geräten: Es ermöglicht die Extraktion von Daten und die Wiederherstellung von Passwörtern von einer Vielzahl von Geräten, von iPhones bis hin zu Android-Geräten bekannter Marken wie Samsung, Nokia, Huawei und LG. Es ist auch möglich, Daten von verschlüsselten Mobilgeräten zu extrahieren.
  • Vollständige Festplattenentschlüsselung: Passware Kit Ultimate kann Passwörter von Laufwerken mit vollständiger Festplattenverschlüsselung entschlüsseln oder wiederherstellen.
  • Hardwarebeschleunigung: Die Software nutzt NVIDIA- und AMD-GPUs, um den Prozess der Passwortwiederherstellung und -entschlüsselung zu beschleunigen.
  • Entschlüsselung von Macs mit Apple T2 Security Chip: Passware Kit Ultimate bietet ein Add-on, um Macs mit dem Apple T2 Security Chip zu entschlüsseln.

Passware Kit Ultimate bietet keine kostenlose Testversion, aber eine 30-tägige Geld-zurück-Garantie.

Elcomsoft Forensic Disk Decryptor

Elcomsoft Forensic Disk Decryptor ist ein weiteres leistungsstarkes Entschlüsselungstool, das den sofortigen Zugriff auf Daten ermöglicht, die mit BitLocker, FileVault 2, TrueCrypt, Veracrypt und PGP Disk verschlüsselt wurden.

Zu den einzigartigen Funktionen des Elcomsoft Forensic Disk Decryptor gehören:

  • Zero-Footprint-Operation: Die Nutzung von Elcomsoft Forensic Disk Decryptor hinterlässt keine Spuren der Entschlüsselung, sodass der gesamte Vorgang nicht nachweisbar ist.
  • Zugriff auf Verschlüsselungsmetadaten: Diese Funktion ist hilfreich, wenn man auf das ursprüngliche Klartextpasswort zugreifen muss, um die verschlüsselten Daten zu verwenden.
  • Echtzeitzugriff auf verschlüsselte Informationen: Elcomsoft Forensic Disk Decryptor führt die Entschlüsselung in Echtzeit durch. Benutzer können ein verschlüsseltes Volume als Laufwerksbuchstaben mounten und direkt darauf zugreifen.

Darüber hinaus bietet es vollständige Festplattenentschlüsselung und kann automatisch verschlüsselte Volumes erkennen und Details zu deren Verschlüsselungseinstellungen anzeigen. Elcomsoft bietet eine kostenlose Testversion an.

Paladin

Paladin Forensics Suite ist eine bootfähige forensische Linux-Distribution, die auf Ubuntu basiert und sowohl für 32-Bit- als auch für 64-Bit-Computer geeignet ist. Sie wird von SUMURI entwickelt, einem Unternehmen, das sich auf Software und Hardware für digitale Beweismittel, Computerforensik und E-Discovery spezialisiert hat.

Die Paladin Forensics Suite bietet Zugriff auf über 100 vorkonfigurierte Open-Source-Forensiktools, um vielfältige Aufgaben zu erfüllen, wie Entschlüsselung, Hardwareanalyse, Messenger-Forensik, Passwortwiederherstellung, und Social-Media-Analyse.

Zu den herausragenden Merkmalen gehören:

  • Geräteklonen: Dies ist nützlich, wenn ein Speichermedium nicht aus einem Gerät entfernt werden kann.
  • Festplattenmanager: Dieser ermöglicht eine einfache Visualisierung und Identifizierung angeschlossener Laufwerke und deren Partitionen.
  • Automatische Protokollierung: Die Software speichert Protokolle auf jedem untersuchten Gerät.
  • Integration mit Autopsy: Die Suite wird mit der Autopsy Digital Forensics Platform ausgeliefert, einer Technologie zur Untersuchung von Festplatten, entwickelt von Basis Technology.

Verschiedene Versionen der Software sind im Rahmen eines „Name your price“-Angebots erhältlich.

Das Mobile Verification Toolkit (MVT) auf der GitHub-Seite von Paladin ist eine Sammlung von Dienstprogrammen, die den Prozess der forensischen Spurensicherung vereinfachen und automatisieren. Es hilft bei der Identifizierung von Kompromittierungen auf Android- und iOS-Geräten und wurde 2021 vom Amnesty International Security Lab entwickelt und veröffentlicht.

MVT wurde speziell für Android- und iOS-Geräte entwickelt, um Spyware wie Pegasus zu erkennen, die von Regierungen zum Ausspionieren von Mobiltelefonen verwendet wird.

MVT ist sehr effizient darin, zu erkennen, ob bösartige Software wie Spyware auf einem Android- oder iOS-Gerät installiert wurde, ohne das Wissen des Benutzers.

Das Forensik-Tool für Windows Media analysiert Fotos und Videos, die in der Windows Fotoanwendung gespeichert sind. Die Analyse beinhaltet die Identifizierung von Gesichtern, Personen, Tags, Charakteren und Orten in den Bildern und Videos. Das Tool erkennt zudem Aufnahmezeitpunkte, Kameramodelle und Hersteller.

Darüber hinaus kann das Tool Informationen darüber liefern, wann der Benutzer auf die Fotos und Videos zugegriffen und Änderungen vorgenommen hat. Die Daten werden in einem lesbaren Format bereitgestellt und können für spätere Analysen gespeichert werden.

CredentialsFileView

CredentialsFileView ist ein Tool für Windows, das die in den Anmeldeinformationen des Betriebssystems gespeicherten Daten entschlüsselt und anzeigt.

Die Credentials-Dateien in Windows speichern Informationen wie Anmeldepasswörter für den Computer, Remote-Computer im LAN, Passwörter von Windows Messenger-Konten, E-Mail-Konten und Passwörter von passwortgeschützten Webseiten, die über den Internet Explorer aufgerufen werden.

Dieses Tool funktioniert mit Windows-Versionen bis Windows 10 und unterstützt sowohl 32-Bit- als auch 64-Bit-Systeme.

Hashcat

Hashcat ist ein bekanntes Tool zum Knacken von Passwörtern, das von Penetrationstestern, Systemadministratoren, Kriminellen und Spionen verwendet wird.

Passwörter werden mit Hash-Algorithmen in eine unverständliche Folge von Zahlen und Buchstaben umgewandelt, um sie sicher zu speichern. Hashcat versucht, Passwörter zu erraten, zu hashen und mit dem gespeicherten Hash zu vergleichen, bis das richtige Passwort gefunden ist. Hashcat unterstützt alle vorhandenen Hash-Formate und nutzt die GPU des Systems, um den Prozess des Knackens zu beschleunigen.

Hashcat bietet verschiedene Angriffsarten, darunter Wörterbuchangriffe, Kombinationsangriffe, Maskenangriffe und regelbasierte Angriffe.

Für das Knacken von Passwörtern ist Hashcat ein unverzichtbares Werkzeug.

John the Ripper Passwort-Cracker

John the Ripper Password Cracker ist ein kostenloses Open-Source-Tool, das die Passwortsicherheit prüft und Passwörter wiederherstellt. Es kann verwendet werden, um schwache Passwörter in einem System zu identifizieren und zu knacken.

Das Tool unterstützt Hunderte von Hashes und Chiffren, darunter solche, die in Passwörtern von UNIX-basierten Systemen, Windows-Betriebssystemen, MacOS, Webanwendungen wie WordPress, Datenbankservern wie SQL und verschlüsselten privaten Schlüsseln auf Kryptowährungs-Wallets verwendet werden.

Im Gegensatz zu Hashcat bietet John the Ripper jedoch keine Unterstützung für die GPU-Beschleunigung.

Fazit

Die forensische Entschlüsselung bedient sich einer breiten Palette an Tools, die jeweils eigene Anwendungen und Vorteile haben. Die Auswahl des geeigneten Tools hängt stark von der Art der Untersuchung ab.

Um das richtige Werkzeug für Ihre Ermittlungen zu bestimmen, ist es entscheidend, dass Sie zunächst Ihre Untersuchungsziele definieren. Anschließend können Sie aus den in diesem Artikel beschriebenen Tools das passende auswählen.

Weitere Artikel:

  1. 8 vorgefertigte Antworttools zur Unterstützung von Produktivität und Kundenservice
  2. 11 Abonnement-Abrechnungssoftware zur Unterstützung und Verwaltung wiederkehrender Zahlungen
  3. Beste DNS-Tools zur Unterstützung von Netzwerkadministratoren
  4. Hinzufügen von „Ok Google“-Unterstützung zu Android-Launchern von Drittanbietern