Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Hoe ontsleutel ik de versleutelde bestanden (EFS) van mijn externe harde schijf?

26-06-2016, 15:56 door Anoniem, 35 reacties
Ik heb een externe harde schijf en op de een of andere manier zijn ooit een deel van de mappen en bestanden daarop versleuteld geraakt door Windows (Encrypting File System).

Ik heb geen backup van het beveiligingscertificaat en ook geen toegang tot die oude pc waar dat dan ooit op zou zijn gebeurd.

Ik wil nu heel graag deze bestanden ontsleutelen zodat ik ze kan kopiëren naar mijn laptop. Op die laptop heb ik Windows 7 Ultimate editie.

Help alsjeblieft, hoe los ik dit probleem op?
Reacties (35)
26-06-2016, 22:04 door Anoniem
NIET.
Het zou natuurlijk niet best zijn als daar een manier voor was.
27-06-2016, 10:22 door Anoniem
Door Anoniem: NIET.
Het zou natuurlijk niet best zijn als daar een manier voor was.

Inderdaad. En het is eventjes vervelend als je bestanden kwijt bent maar uiteindelijk wen je eraan. Eigenlijk ruimt het ook wel lekker op, net of inbrekers snachts je garage vol oude meuk hebben leeggehaald.
27-06-2016, 14:24 door Anoniem
jongens jongens wat een constructieve comments tot nu toe.


Door Anoniem:
Door Anoniem: NIET.
Het zou natuurlijk niet best zijn als daar een manier voor was.

Inderdaad. En het is eventjes vervelend als je bestanden kwijt bent maar uiteindelijk wen je eraan. Eigenlijk ruimt het ook wel lekker op, net of inbrekers snachts je garage vol oude meuk hebben leeggehaald.


Beetje snel om het met oude meuk te vergelijken en te zeggen dat hij het maar moet vergeten als je niet weet wat voor bestanden het zijn. OP is blijkbaar gemotiveerd genoeg om het hier te vragen.

En het zou niet best zijn als een vreemdeling het kon. Ik neem alleen aan dat het windows wachtwoord nog wel bekend is, dan vormt dit niet persé een probleem.

Ik neem aan dat je geen herstelcertificaat hebt gemaakt, anders zou je de vraag niet stellen.

Met tooling zoals EaseUS Data Recovery valt dit te doen:
http://www.easeus.com/datarecoverywizard/recover-encrypted-data.htm
"the predication is that encryption password must be known or SAM database must be present (Windows 2000, XP, 2003, Vista, 2008, Windows 7, 8)"

Er is mij doen vertellen dat deze software ook gratis te downloaden is, ik kan dit alleen niet bevestigen of ontkennen en lever geen commentaar over de legaliteit hiervan ;)
27-06-2016, 17:12 door Spiff has left the building
Door Anoniem, 14:24 uur:
Met tooling zoals EaseUS Data Recovery valt dit te doen:
http://www.easeus.com/datarecoverywizard/recover-encrypted-data.htm
"the predication is that encryption password must be known or SAM database must be present (Windows 2000, XP, 2003, Vista, 2008, Windows 7, 8)"

Er is mij doen vertellen dat deze software ook gratis te downloaden is, ik kan dit alleen niet bevestigen of ontkennen en lever geen commentaar over de legaliteit hiervan ;)
Er wordt een Trial-versie geboden.
Ik hoop dat die gewoon werkzaam is. En dat zou je toch aannemen, want anders valt er weinig uit te proberen.

Of EaseUS Data Recovery Wizard een oplossing biedt voor de topicstarter, dat kan ik niet beoordelen.
Is het encryptie password niet bekend, dan zal het niet kunnen werken neem ik aan.
(Het alternatief, de aanwezigheid van de Security Account Manager (SAM) database file, dat zal niet beschikbaar zijn, gezien de vermelding door topicstarter dat er geen toegang is tot de oude pc waarop de encryptie heeft plaatsgevonden.)
27-06-2016, 17:41 door [Account Verwijderd]
[Verwijderd]
27-06-2016, 18:00 door Anoniem
Dat wordt dan wel erg heel lastig. Voorbeeldje:

Als ik van mijn harde schijf mijn inlogcode vergeet EN mijn herstelcode, kan zelfs de fabrikant mij niet helpen (dat is al jaren zo). Dus het wordt een heel vervelend verhaal voor u geachte topic-starter (als u de rechtmatige eigenaar bent van die harde schijf). Dan kan niemand u verder helpen en dus ook ik niet.
27-06-2016, 21:30 door Anoniem
Het kan met Encase van guidance software. De software is helaas prijzig. Je kunt het beste navraag doen bij data recovery bedrijven die er mee werken. Misschien dat de prijs mee valt:

http://www.forensicfocus.com/Forums/viewtopic/t=9987/
27-06-2016, 22:06 door Rolfieo - Bijgewerkt: 27-06-2016, 22:07
Ik hoop dat het je lukt, maar ik ben niet hoop vol voor je....

Maar dit is wel een belangrijke herinnering / wakeup call voor vele.... Zorg voor een goede recovery, encryptie is heel mooi, maar bij problemen, levert je dit nog grotere problemen op.
Je kunt encryptie aanzetten met een vinkje, maar dat is eigenlijk heel gevaarlijk, als je niet weet wat je doet. Nadeel ... Je komt er pas achter, als je al shit hebt.
27-06-2016, 22:08 door Anoniem
https://www.elcomsoft.com/aefsdr.html

Kost wel knaken.
28-06-2016, 11:20 door SecOff - Bijgewerkt: 28-06-2016, 11:20
Kijk goed naar de requirements voordat je geld uitgeeft aan recovery tools. Als je geen toegang meer hebt tot de PC waarop de EFS encryptie is uitgevoerd zal het in de praktijk onmogelijk zijn de bestanden te decrypten met de hier aangeprezen recovery tools!
28-06-2016, 11:48 door [Account Verwijderd] - Bijgewerkt: 28-06-2016, 11:51
[Verwijderd]
28-06-2016, 12:08 door Rolfieo - Bijgewerkt: 28-06-2016, 12:20
Door Muria:De godvergeten %&*@#&!@! kutbagger die Windows (Encrypted File System) heet heeft voor jou bedacht dat zonder een exported certificate de bestanden niet meer toegankelijk hoeven zijn...
Is dat juist niet een eigenschap van encryptie? Als je de recovery sleutel kwijt bent, dan kun je eigenlijk niet meer bij de data.
Of dat een een Truecrypt recovery, EFS certificaat, Sophos recover of wat dan ook.

Ben je de sleutel or recovery sleutel kwijt, dan ben je je data kwijt.

Daarom moet je niet zomaar iets activeren, als je niet weet wat de consequenties. Welke applicatie of OS maakt hierin niet uit. Tenzij je met oogkleppen kijkt.
28-06-2016, 13:16 door [Account Verwijderd] - Bijgewerkt: 28-06-2016, 13:27
[Verwijderd]
28-06-2016, 20:21 door Anoniem
Door Muria:


Daar heb je op zich gelijk in natuurlijk. Als je de sleutel weggooit dan kan je de kluis niet meer in. Ik weet ook niet hoe duidelijk wordt vermeld bij het instellen (en gebruik!) van EFS dat je de sleutel moet exporteren en bewaren (op een onafhankelijk medium). Als er helemaal niets wordt vermeld en je blind in deze valkuil kan lopen dan is dat heel, heel erg slecht.

En als je nog allerlei backdoors blijkt te hebben vind ik dat ook heel, heel erg slecht. En anderen ook. Vandaar sommige botte reacties.
Als ik iets naar mijn idee hermetisch gesloten heb en er komt een of ander goofy voorrijden met een herstelsleutel dan word ik daar toch niet helemaal blij van. Die sleutel kan een ander dus ook hebben, en gebruiken. Als mijn laptop met data gestolen wordt dan is het juist een troost dat er nooit iemand bij kan, en heb ik geen backups gemaakt dan baal ik maar dat is dan een goede leer voor de volgende keer.

Zou iemand dan ineens op komen dagen met "oh, maar je internetprovider maakt een kopie van alles hoor, gewoon even bellen en ze zetten het terug" of zo, dan zou ik dat ook niet erg fijn vinden. Kortom, wees blij dat de vertrouwelijkheid zo goed gewaarborgd is dat de beschkbaarheid in het geding komt. Daar is encryptie voor.

Herstelsleutels, allemaal mooi, maar die zouden veiliger moeten zijn dan de eerste sleutel, niet makkelijker (denk eens aan de controlevragen voor wachtwoordherstel... sta je met je 20 karakter lange wachtwoord, en de controlevraag "wat is je kleur ogen").
28-06-2016, 22:24 door remco8264 - Bijgewerkt: 28-06-2016, 22:24
Door Muria: Daar heb je op zich gelijk in natuurlijk. Als je de sleutel weggooit dan kan je de kluis niet meer in. Ik weet ook niet hoe duidelijk wordt vermeld bij het instellen (en gebruik!) van EFS dat je de sleutel moet exporteren en bewaren (op een onafhankelijk medium). Als er helemaal niets wordt vermeld en je blind in deze valkuil kan lopen dan is dat heel, heel erg slecht.

Zodra je iets hebt versleuteld, krijg je deze pop-up: http://oi68.tinypic.com/29qntvq.jpg
29-06-2016, 01:06 door Port Zero - Bijgewerkt: 29-06-2016, 01:06
Door Muria:De godvergeten %&*@#&!@! kutbagger die Windows (Encrypted File System) heet heeft voor jou bedacht dat zonder een exported certificate de bestanden niet meer toegankelijk hoeven zijn...

De tranen rollen van mijn wangen. :')
29-06-2016, 11:42 door Anoniem
Beste mensen, dit zijn gewoon MIJN eigen bestanden. Die belangrijk voor me zijn! Het zijn persoonlijke gegevens.

En ze staan op MIJN eigen externe harde schijf. Een deel van de bestanden en de mappen op deze externe harde schijf zijn versleuteld (dit is waarschijnlijk ooit onbedoeld gebeurd). De bestandsnamen zijn groen.

Er zit geen wachtwoord op deze versleutelde mappen of bestanden. En ik heb geen toegang meer tot het O.S./pc waarop deze ooit versleuteld zijn geraakt.

Ik hoor tegenstrijdige reacties of het op te lossen is. Kan iemand mij (goed onderbouwd) uitleggen of ze nog te ontsleutelen zijn zodat ik de bestanden kan kopiëren van de externe harde schijf naar mijn laptop?

Bij voorbaat dank
29-06-2016, 12:30 door Rolfieo
Door Anoniem: Beste mensen, dit zijn gewoon MIJN eigen bestanden. Die belangrijk voor me zijn! Het zijn persoonlijke gegevens.

En ze staan op MIJN eigen externe harde schijf. Een deel van de bestanden en de mappen op deze externe harde schijf zijn versleuteld (dit is waarschijnlijk ooit onbedoeld gebeurd). De bestandsnamen zijn groen.

Er zit geen wachtwoord op deze versleutelde mappen of bestanden. En ik heb geen toegang meer tot het O.S./pc waarop deze ooit versleuteld zijn geraakt.

Ik hoor tegenstrijdige reacties of het op te lossen is. Kan iemand mij (goed onderbouwd) uitleggen of ze nog te ontsleutelen zijn zodat ik de bestanden kan kopiëren van de externe harde schijf naar mijn laptop?

Bij voorbaat dank

Er staat diverse Links in het topic. Of het er mee lukt is erg de vraag. Heb je daar zelf al eens naar gekeken? Er zulken bij die producten ook vast wel een help, faq of videofilm zijn
Een belangrijke vraag is..... hoeveel geld heb je er voor over? Ik denk dat je zeker dat je minimaal op 1000 euro moet rekenen. En ik denk zelfs wel meer.

Maar ik zou er vanuit gaan dat je je data kwijt bent.
29-06-2016, 12:37 door [Account Verwijderd]
[Verwijderd]
29-06-2016, 12:43 door [Account Verwijderd] - Bijgewerkt: 29-06-2016, 12:53
[Verwijderd]
29-06-2016, 12:55 door Anoniem
Door Anoniem: Beste mensen, dit zijn gewoon MIJN eigen bestanden. Die belangrijk voor me zijn! Het zijn persoonlijke gegevens.

Ik hoor tegenstrijdige reacties of het op te lossen is. Kan iemand mij (goed onderbouwd) uitleggen of ze nog te ontsleutelen zijn zodat ik de bestanden kan kopiëren van de externe harde schijf naar mijn laptop?

Het antwoord is gewoon NEE. Heel vervelend voor je natuurlijk, maar als je goed nadenkt, dan begrijp je ook wel waarom het antwoord 'nee' MOET zijn. Encryptie doe je namelijk niet voor de lol, maar om te voorkomen dat anderen bij je privé data komen. Als je dat level van paranoia binnengaat, dan neem je ook aan dat die anderen best wel bereid zijn daar wat tijd en moeite in te steken. )

Praktisch voorbeeld: je heet Rihanna en wil niet dat als je laptop gestolen/gehacked wordt, de privé naaktfoto's terecht komen bij TMF, dus beveilig je ze met EFS. Dan zou het toch niet best zijn als iemand via een postje op security.nl het EFS kon kraken en daarna de rest van het jaar niet meer hoefde te werken?

Of het misschien te gemakkelijk is om bestanden te encrypten, zodat je, zoals jij nu, later een probleem hebt, dat is een andere discussie. En misschien is er met peperdure hard- en software wel een brute force mogelijk. Maar dat is alleen interessant als je het Pentagon heet en je recept voor een atoombom kwijt bent. (oid)

Ga er maar gewoon vanuit dat je alles kwijt bent, en trek deze deur achter je dicht. Rot voor je, Sterkte!
29-06-2016, 13:03 door Rolfieo
Door Muria:

https://www.elcomsoft.com/aefsdr.html

(Maar het is niet goedkoop...)
Wat is duur, wat is goedkoop. 149 of 300 euro zou ik geen geld vinden om mijn data terug ter krijgen. Ik dacht al eerder aan meer dan 1000 euro. Dan begin ik het duur te vinden
29-06-2016, 13:38 door Anoniem
Gelul in de ruimte, als je maar geld hebt kun je alles laten ontsleutelen.
Er zijn al bedrijven de quantum computers gebruiken om dat te doen tegen schandalige betalingen dat wel!
(de NSA doet het al jaren trouwens)
29-06-2016, 14:12 door SecOff - Bijgewerkt: 29-06-2016, 14:29
Door Anoniem:Er zijn al bedrijven de quantum computers gebruiken om dat te doen tegen schandalige betalingen dat wel!
Geef hier eens een voorbeeld van, volgens mij zijn er nog geen quantum computers die voor dit soort praktische toepassingen gebruikt kunnen worden. En daarnaast heeft een kwantum computer in theorie alleen echt een voordeel bij het kraken van asymetrische crypto. Daarom wordt er nu al bijna exclusief gebruik gemaakt van symetrische crypto voor top secret omgevingen.
29-06-2016, 17:48 door Rolfieo
Door Anoniem: Gelul in de ruimte, als je maar geld hebt kun je alles laten ontsleutelen.
Als jij inderdaad een supercomputer ter beschikking hebt, met waarschijnlijk GPU's er in, en hiervoor een geoptimaliseerde code hebt, dan is het waarschijnlijk wel een keer terug te halen.
Geld en tijd zijn hierin de factoren......

Maar realistisch gezien, TS is gewoon zijn data kwijt.
Er zijn al bedrijven de quantum computers gebruiken om dat te doen tegen schandalige betalingen dat wel!
Heb je hier ook een bron voor? Want volgens mij is de quantum computer nog theorie... En of quantum computer techniek ook gebruikt kan worden voor deze taak durf ik niet te zeggen.
(de NSA doet het al jaren trouwens)
Ik neem aan dat je hier ook een bron voor hebt?
Misschien is dit trouwens ook wel de oplossing voor TS, gewoon even de NSA bellen, voor een copie van je data.

Maar om jouw eigenlijk worden even te gebruiken, je post is een hoop "gelul in de ruimte"....
29-06-2016, 22:36 door Anoniem
Vergelijk het met het ´vergeten´ van je sleutel en je trekt de voordeur dicht.
Die voordeur zit op slot om inbrekers buiten te houden.
Wanneer er dus voor jou alsnog een eenvoudige weg naar binnen zou zijn zou die weg ook beschikbaar zijn voor inbrekers. Dat willen we dus niet.

Je hebt twee opties:
- een slotenmaker (professional) bellen die voor jou tegen betaling de deur weer openmaakt (en dan gaan we ervan uit dat het slot in die deur van een dusdanige kwaliteit is dat dit kan)
- je verdiept je zelf in inbrekers-skillz en opent zelf de deur (en dan gaan we er wederom vanuit dat dit mogelijk is)

De analogie met jouw probleem is dus dat je moet hopen dat de kwaliteit van die versleuteling van een dusdanige (slechte) kwaliteit is dat deze uberhaubt te ´kraken´ is.
Als je dat dan vervolgens zelf niet kunt zul je (tegen betaling) een professional moeten inhuren.

Hou er in dat geval wel rekening mee dat die persoon jou eerst vraagt aan te tonen dat die schijf idd van jou is en dat jij eigenaar bent van de data die er op staat. We willen immers ook niet dat een inbreker het slot van jouw deur laat openmaken door een slotenmaker en er vervolgens met jouw spullen van door gaat........

Bovenstaande analogie is wellicht een beetje flauw, maar ik hoop dat je snap wat voor een vraag je hier stelt.
30-06-2016, 11:33 door svenvandewege
Volgens mij is efs gebaseerd op het NTFS bestandssysteem. Je zou eens kunnen proberen om de data te kopieeren naar een fat32 volume. Volgens mij hef je dan de encryptie op namelijk.
30-06-2016, 11:49 door SecOff
Door svenvandewege: Volgens mij is efs gebaseerd op het NTFS bestandssysteem. Je zou eens kunnen proberen om de data te kopieeren naar een fat32 volume. Volgens mij hef je dan de encryptie op namelijk.
Dat klopt, maar alleen als je al toegang hebt tot de sleutels.
30-06-2016, 12:22 door Anoniem
Wat is duur, wat is goedkoop. 149 of 300 euro zou ik geen geld vinden om mijn data terug ter krijgen. Ik dacht al eerder aan meer dan 1000 euro. Dan begin ik het duur te vinden

Speelt de [financiele/emotionele] waarde van de te redden data geen rol ? Gaat het om onbelangrijke zooi, dan is 149 euro wellicht al duur. Gaat het om een bedrijfsadministratie, waarbij anders sprake is van tonnen schade, dan is 1000 euro een koopje.
30-06-2016, 12:24 door Anoniem
Door Muria:De godvergeten %&*@#&!@! kutbagger die Windows (Encrypted File System) heet heeft voor jou bedacht dat zonder een exported certificate de bestanden niet meer toegankelijk hoeven zijn...

Want ? Bestanden op een encrypted file system behoren ten alle tijde, zonder key/certificate, toegankelijk te zijn ? Het zou slechts getuigen van een brakke opzet indien ze *wel* toegankelijk zijn. Encryptie gebruikt men niet voor niets.

Is het ook schandelig dat je je het slot van je huisdeur (hopelijk) niet zomaar kunt openen, wanneer je de sleutel niet meer hebt ? Zou je een slot dat je wel, zonder de sleutel, zonder probleem kunt openen niet juist omschrijven als ''bagger'' ? ;)
30-06-2016, 12:56 door Anoniem
Dit hangt ook erg af van hoe die data encrypted is geraakt.

Al eens geprobeerd om toegang te krijgen als administrator? Ik heb in het verleden ook wel dingen van oude schijven afgehaald die niet toegankelijk waren maar die bescherming van windows zelf bleek alleen ontworpen om users uit elkaars data te houden, de admin kon overal bij.

Werkt dat niet en heb je daadwerkelijk een keer dingen encrypt dan zou ik de data opgeven. Tools gaan geld kosten en hoewel ze allemaal beloven dat ze je data terughalen is dat voor 80% marketing. Goede encryptie met een redelijk wachtwoord decrypt je niet even (ook niet met een quantumcomputer, als die al zou bestaan).
30-06-2016, 13:29 door Anoniem
Neen, zonder de pc waar de harde schijf uit kwam gaat je dat niet lukken.
Je hebt nu een gewichtige presse papier en als je toch via een omweg je bestanden weet te ontrcrypten ga ik Miscrosoft voor miljoenen Euros aanklagen want ze garanderen mij dat hun cryptografie zonder certificaat/password absoluut niet te kraken valt.
Sorry, je kan maar beter accepteren dat je die bestanden niet meer in gaat komen.
30-06-2016, 15:46 door [Account Verwijderd] - Bijgewerkt: 30-06-2016, 15:48
[Verwijderd]
30-06-2016, 17:39 door Rolfieo
Door Anoniem:
Al eens geprobeerd om toegang te krijgen als administrator? Ik heb in het verleden ook wel dingen van oude schijven afgehaald die niet toegankelijk waren maar die bescherming van windows zelf bleek alleen ontworpen om users uit elkaars data te houden, de admin kon overal bij.
Je moet niet een ACL en EFS door elkaar halen. Dit zijn 2 totaal verschillende dingen.

Door Muria:
De keuze voor een certificaat i.p.v. een wachtwoord in combinatie met voor de gebruiker transparante versleuteling is vragen om moeilijkheden. Natuurlijk beseft een normale gebruiker het belang van zo'n sleutel niet. En natuurlijk gaat zo'n backup van de sleutel (als die al gemaakt wordt) vaak verloren. Met een versleuteling waarbij je telkens wanneer je de schijf verbindt met de computer een wachtwoord moet ingeven worden dit soort problemen voorkomen.
EFS is als eerste een waardeloos iets. Het is eigenlijk het heerste wat je uit moet zetten. Zeker omdat het exporteren van een certificaat, niet iets is wat je aan een normale gebruiker wilt laten doen. Maar dit staat los van alles. Als je encryptie gaat gebruiken, moet je heel goed nadenken wat je aan het doen bent.
Als je je papiertje van van Truecrypt, bitlocker recovery of welke tool dan ook kwijt bent, dan ben je gewoon verschrikkelijk de lul.

Daarom je je eerst heel goed nadenk over Encryptie, en niet zomaar even aanzetten. Recovery is eigenlijk veel belangrijker dan de Encryptie. Want dat heb je nodig, als de boel niet meer werkt.
Je moet gewoon weten wat de gevolgen zijn van Encrypie, en dat kan betekenen dat je mogelijk al je data kwijt bent, als je zelf je zaakjes niet in orde hebt.
Daarom is veel veel personen eigenlijk encryptie helemaal iets niet goeds.
01-07-2016, 11:44 door [Account Verwijderd] - Bijgewerkt: 01-07-2016, 12:03
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.