Adli Bilişim Açısından, Tam Disk Şifrelemesine (FDE) Sahip Bilgisayarlardan Ağ Trafiğinin Koklanması (Sniffing) Yoluyla Delil Elde Edilmesi

Bu çalışmada tam disk şifrelemesine (FDE: Full Disk Encryption) sahip olay yeri bilgisayarlarından delil elde etmede kullanılan teorik ve pratik yöntemler araştırılarak, şifreli disklerden adli delil elde etmede karşılaşılabilecek engellerin nasıl aşılabileceği incelenmiş ve uygulamalı olarak örneklendirilmiştir.

Adli bilişim ve olay yeri incelemeleri açısından ülkelerin mevzuatlarına ve adli bilişim uzmanlarının eğitimlerine göre değişen çeşitli delil elde etme pratikleri uygulanır. Bilgisayar çalışıyorsa ve oturum kilitli değilse ilk yapılması gerekenlerden biri bilgisayarın sürücülerinde bir disk şifreleme yazılımının çalışıp çalışmadığının araştırılmasıdır. Eğer varsa RAM’in kopyası alınarak şifreleme anahtarının elde edilmesi yoluna gidilir. Ancak bundan sonra disk imajı üzerinde bir adli inceleme gerçekleştirilmesi mümkün olabilir. Şifreleme anahtarı olmayan disk imajlarının şifrelerinin çözülmesi, kullanılan şifreleme türüne ve anahtarın uzunluğuna bağlı olarak çoğu zaman imkansız olmaktadır.

Olay yeri bilgisayarlarına ait disklerin TrueCrypt, PGP, BitLocker, eCryptfs ve EFS1 gibi disk şifreleme yazılımları ile şifrelenmiş olduğu durumlarda, eğer bilgisayar oturumu kilitli ise, olay yeri inceleyicisinin şifreleme anahtarını elde etmeye yönelik uygulayacağı olağan senaryo büyük oranda sekteye uğrar.

Ancak böyle durumlara karşı kilitli ve çalışan sistemlerden şifreleme anahtarının elde edilmesi için uygulanabilecek birçok yöntem bulunmaktadır.

Bu çalışmada kilitli oturuma sahip FDE korumalı olay yeri bilgisayarlarından şifreleme anahtarını elde etmeye yönelik çok geniş bir literatür araştırması yapılmış, teorik ve pratik karşılığı olan ve uygulanan bir çok tekniğe yer verilmiş, yeni sayılabilecek bir teknik olan ağ trafiğinden delil elde edilmesi konusu örneklendirilerek gösterilmiştir.

Adli Bilişim Açısından, Tam Disk Şifrelemesine (FDE) Sahip Bilgisayarlardan Ağ Trafiğinin Koklanması (Sniffing) Yoluyla Delil Elde Edilmesi

Dosyayı İndir Adli-Bilişim-Açısından-Tam-Disk-Şifrelemesine-FDE-Sahip-Bilgisayarlardan-Ağın-Trafiğinin-Koklanması-Sniffing-Yoluyla-Delil-Elde-Edilmesi.pdf – 2 MB

Diğer makalelerim için tıklayın.

BadUSB: USB’den bağlanan cihazların hepsi bir tehdit kaynağı olabilir

badusb-threats-risks-and-how-to-protect-yourself

Bad USB” Almanya merkezli SR Labs güvenlik şirketinin ortaya çıkardığı yeni bir güvenlik açığı tipi. Şimdilik pratik ve yaygın uygulanabilir bir çözümü yok gibi gözüken yöntem her bilgisayarda bulunan USB kapılarına (port) takılan cihazları aracı olarak kullanıyor.

ABD’nin Las Vegas kentinde geçtiğimiz hafta gerçekleştirilen Black Hat USA 2014 konferansında mercek altına yatırılan “Bad USB” tekniği, en az 10 yıldır donanım alanında gözden kaçırılan önemli bir detaydan yararlanıyor.

Bad USB tekniği her gün USB ile bilgisayarınıza bağladığınız klavye, fare, USB bellek, yazıcı, harici disk gibi birçok cihazın donanım yazılımını (firmware) değiştirilmesine dayanıyor, böylece bu araçlar doğrudan saldırıları aracı haline dönüşüyor.

Okumaya devam et “BadUSB: USB’den bağlanan cihazların hepsi bir tehdit kaynağı olabilir”