Recabamos en diferentes foros para regalarte la solución a tu dilema, en caso de alguna duda puedes dejarnos la duda y responderemos porque estamos para servirte.
Solución:
Aquí tenemos dos tipos de cifrado, “cifrado basado en archivos” y “cifrado de disco completo”. Existen métodos y software forenses documentados (p. ej., EnCase) que nos ayudan a detectar los esquemas y programas utilizados para cifrar el disco.
Voy a tomar una lista de herramientas y estándares populares y ver si dejan algún rastro con el que podamos determinar que se han utilizado:
- bloqueador de bits
Bitlocker es un estándar de cifrado de disco completo disponible en el sistema operativo Windows desde Windows 7 en adelante; esta herramienta utiliza AES256 para cifrar el disco. Un disco encriptado por bitlocker es diferente a un disco NTFS normal. La firma de “-FVE-FS-” se puede encontrar al principio de los volúmenes cifrados con bitlocker.
Estos volúmenes también se pueden identificar mediante un GUID:- para BitLocker: 4967d63b-2e29-4ad8-8399-f6a339e3d00
- para BitLocker ToGo: 4967d63b-2e29-4ad8-8399-f6a339e3d01
- DiscoCryptor/TrueCrypt/VeraCrypt
DiskCryptor se basa en TrueCrypt. Tanto para DiskCryptor como para TrueCrypt podemos detectar su presencia con los siguientes criterios:
- el tamaño del archivo o la colección de objetos de clústeres es un múltiplo de 512,
- el tamaño mínimo del objeto es de 19 KB, aunque por defecto es de 5 MB como mínimo,
- no contiene una firma de archivo específica en todo el objeto, y
- tiene una entropía de Shannon alta o pasa la prueba de distribución de Chi-cuadrado. Tenga en cuenta que, dado que no queda una firma o un encabezado específicos, no podemos saber con seguridad si se utilizó TrueCrypt (o sus hermanos), mediante la combinación de varios métodos podemos intentar adivinar mejor su presencia.
- Bóveda de archivos
Filevault es el equivalente de Bitlocker en Mac y ofrece cifrado de disco completo. La firma de “encrdsa” o valor hexadecimal de “65 6E 63 72 63 64 73 61” se puede encontrar al principio de los volúmenes cifrados de FileVault.
- configuración de criptas con LUKS
La configuración de clave unificada de Linux es una especificación de cifrado de disco y se puede usar en cryptsetup en Linux, que es una herramienta común para el cifrado de volúmenes de medios de almacenamiento. Es opcional y los usuarios pueden optar por no utilizar este formato pero si se utiliza podemos detectar su presencia con “LUKSxbaxbe” firma al comienzo de los volúmenes.
- Cifrado de disco completo de Check Point
En el desplazamiento del sector 90 de la VBR, el identificador del producto “Proteger” se puede encontrar. Valor hexadecimal “50 72 6F 74 65 63 74”
- GuardianEdge Encryption Plus/Anywhere/Hard Disk Encryption y Symantec Endpoint Encryption
En el desplazamiento del sector 6 MBR, el identificador del producto “PCGM” se puede encontrar. Valor hexadecimal “50 43 47 4D”
- McAfee Safeboot/Endpoint Encryption
En el desplazamiento del sector 3 MBR, el identificador del producto “Arranque seguro” se puede encontrar. Valor hexadecimal “53 61 66 65 42 6F 6F 74”
- Sophos Safeguard Enterprise y Safeguard Easy
Para Safeguard Enterprise, en el sector compensado 119 del MBR, el identificador del producto “SGM400” se puede encontrar. Valor hexadecimal “53 47 4D 34 30 30 3A“
- Cifrado de disco completo Symantec PGP
En el desplazamiento del sector 3 MBR, el identificador del producto “ëH|PGPGUARD” se puede encontrar. Valor hexadecimal “EB 48 90 50 47 50 47 55 41 52 44”
Medición de la aleatoriedad de los archivos para detectar el cifrado
Los métodos discutidos anteriormente pueden no ser factibles para todos los esquemas de cifrado de disco/archivo, ya que no todos tienen propiedades específicas que podamos explotar para detectarlos. Otro método es medir la aleatoriedad de los archivos y cuanto más cerca estén de la aleatoriedad, más seguros estaremos de que se utiliza el cifrado.
Para hacer esto, podemos usar un script de Python llamado file_entropy.py. Cuanto más cerca esté el valor de la entropía de 8,0, mayor será la entropía.
Podemos ampliar esto aún más y dibujar gráficos para visualizar la distribución de bytes. (calcular-archivo-entropía)
Otro indicador para detectar el cifrado es que no se detectará ninguna firma de archivo conocida en el volumen. (Sin jpg, sin documentos de oficina, sin tipos de archivos conocidos) Y dado que los métodos de compresión (por ejemplo, gzip, rar y zip) tienen firmas conocidas, podemos diferenciarlos del cifrado en su mayor parte.
Resumir
- Use firmas conocidas para detectar el cifrado (si es posible)
- Use características especiales (tamaño mínimo de archivo, alta entropía, ausencia de una firma de archivo especial, etc.) para detectar el cifrado
- Descartar archivos comprimidos usando su firma
Volviendo a la pregunta principal, “¿Es tan fácil de decir?“, esto se incluye en los métodos forenses, es posible que estemos tratando con técnicas de esteganografía. En un caso normal en el que el usuario no está tratando de engañarnos, de alguna manera es fácil saber que el cifrado está en su lugar, pero en escenarios del mundo real donde el usuario puede intentar ocultar cosas y engañarnos, ¡pueden canalizar /dev/urandom a un archivo! No será fácil.
Si bien no puedes decir por ciertose puede decir dentro de un cierto rango de confianza.
Los datos cifrados parecen ruido blanco: cada bit tiene exactamente un 50% de probabilidad de ser activado, independientemente del resto de bits; no hay correlación entre ningún bit dado y ninguno de los demás. Es puramente aleatorio.
Resulta que esta alta calidad de aleatoriedad no es particularmente común en el ciclo de vida normal de un disco duro. En general hay algunos patrón u otro. Ya sea un patrón residual del proceso de fabricación, o un patrón de la configuración del sistema de archivos, o un patrón de archivos actuales o eliminados anteriormente. Entonces, si un disco contiene ruido blanco puro, entonces la explicación más probable es que alguien hizo un “borrado seguro” en el disco o que contiene información cifrada.
Como excepción, una forma común de datos no cifrados que a menudo se parece mucho al ruido son los datos comprimidos. Cuanto mayor sea la relación de compresión, más se parecerá a los datos cifrados. Aún así, los datos comprimidos generalmente tienen marcadores reveladores, por lo que un examen más cuidadoso generalmente puede descartarlo.
Si los datos están llenos de aleatoriedad, eso significa que están encriptados. ¿Es tan fácil de decir?
No. Si voy a tirar o regalar un disco duro, eliminaría los datos personales ejecutando un programa como desgarrar que reemplaza los contenidos con datos aleatorios. Así, la presencia de datos aleatorios no prueba nada.
Luego, puede reformatear ese disco con algún sistema de archivos u otro, lo que haría que la primera parte del disco pareciera normal y el resto aleatorio. Eso todavía no prueba si la parte aleatoria está encriptada, o simplemente sobra de la operación de limpieza.
Estoy un poco sorprendido de que la mayoría de los productos de encriptación dejen firmas por ahí, tal como lo describe Silverfox. Eso parece dejar al usuario abierto al descifrado de fuerza bruta como se describe aquí:
Nos encantaría que puedieras dar visibilidad a este escrito si te ayudó.