Per i miei studi, sono tenuto a condurre un'indagine su un'immagine di VMWare criminale fittizia. L'immagine è sospettata di partecipare agli attacchi DDoS e ad altre attività illegali. Su questo PC è installato TrueCrypt. Insieme a TrueCrypt, l'immagine ha Mozilla Thunderbird installato con un modulo di sicurezza OpenPGP.
Ho creato una memoria raw.dmp della memoria RAM nell'immagine per eseguire l'analisi. Usando aeskeyfind ho ottenuto diversi risultati.
michael@cf15:~/Documents/Volatility$ aeskeyfind memory.dmp b4ce75c857163e668818d0d76c46bad2 ccf865429e42144a9dce839b036c3f7c 51c35f7f0b79e7d1e6d5345d2a291ac8 Keyfind progress: 100%
Questo comando mi mostra che ci sono 3 chiavi AES presenti nella RAM. Usando -v (modalità dettagliata) posso vedere che sono tutti a 128 bit.
Che cosa può fare esattamente qualcuno quando trova queste chiavi private non cifrate sul disco? Poiché OpenPGP richiede una chiave RSA 2048, penso che le chiavi siano connesse ai volumi TrueCrypt nascosti.
Un utente malintenzionato può utilizzare questi tasti per accedere ai volumi senza avere la passphrase appropriata?