27/05/2009
Durante l'analisi dei documenti contenuti in uno strumento digitale, può capitare di imbattersi in file protetti da password. La password viene utilizzata generalmente per impedire l'apertura, la modifica o la stampa di un file.
Tipicamente i formati di file che si possono proteggere sono:
Inoltre spesso può essere utile ricercare le password memorizzate nel sistema da parte di applicativi specifici, come browser, cliente e-mail o FTP, connessioni desktop remoto, ecc.
In commercio esistono diverse soluzioni studiate per un uso forense per il recupero di password.
Le principali sono:
PASSWORD RECOVERY KIT FORENSIC
Password Recovery Kit Forensic è un programma sviluppato da Passware per la rimozione delle protezioni presenti su file specifici, delle password di accesso degli utenti del sistema operativo e delle password memorizzate dai browser.
Appena avviato il programma si può scegliere tra 4 opzioni disponibili:
Selezionando la voce "Recover file password", si apre una finestra dove selezionare il file da analizzare. Per avviare l'analisi fare clic sul tasto "Apri". Il programma analizza il documento e salva nella stessa cartella una copia non protetta del file.
Il programma calcola automaticamente l'hash MD5 del file originale e del file sprotetto.
Selezionando la voce "Recover Internet and Network Password", si accede ad una schermata attraverso la quale si possono recuperare le password da:
Selezionando la voce "Reset Windows Administrator Password", si può creare un CD-ROM di avvio per rimuovere la password di amministratore di un sistema operativo Windows XP.
Selezionando la voce "Search for Protected Files", si può effettuare una ricerca all'interno del computer di tutti i documenti protetti.
Al termine della scansione il programma presenta un elenco di documenti e informa l'utente sulla possibilità di rimuovere la protezione.
DECRYPTION COLLECTION ENTERPRISE
Decryption Collection Enterprise è un programma sviluppato da Paraben Corporation, per l'analisi e il recupero di password da documenti protetti e applicativi.
Sul sito è possibile scaricare una versione demo del programma, che recupera tuttavia solamente i primi 3 caratteri della password.
MULTI PASSWORD RECOVERY PORTABLE
Multi Password Recovery Portable è un programma per il recupero delle password memorizzate all'interno di applicazioni sviluppato da Alexander Demchenko. Non necessita di installazione e può essere comodamente eseguito da una chiavetta USB.
L'ultima versione (1.1.5) supporta:
Una volta avviato il programma analizza automaticamente il sistema operativo e le applicazioni installate e mostra le password recuperate, suddivise per tipologia.
CAIN AND ABEL
Cain and Abel è un programma freeware, sviluppato da Massimiliano Montoro, che consente l'analisi delle password memorizzate in un sistema Microsoft Windows.
Il programma offre funzionalità di cracking della password di accesso di un utente basata su attacco a dizionario, a forza bruta o con l'utilizzo di raimbow table.
LCP
LCP è un programma freeware per il cracking delle password di accesso di un utente ad un sistema Microsoft Windows.
Una volta avviato il programma è sufficiente selezionare la voce "Import from local computer" nel menu Import per visualizzare l'elenco degli utenti configurati nel sistema.
Per recuperare la password si può scegliere tra 3 tipi di attacco:
Il tempo di esecuzione di questi algoritmi può essere molto elevato, a secondo della potenza del computer su cui sono eseguiti.
Per avviare l'attacco è necessario selezionare un utente, fare clic sulla modalità desiderata e successivamente sul tasto "Start"
