Adli Bilişim Açısından, Tam Disk Şifrelemesine (FDE) Sahip Bilgisayarlardan Ağ Trafiğinin Koklanması (Sniffing) Yoluyla Delil Elde Edilmesi

Bu çalışmada tam disk şifrelemesine (FDE: Full Disk Encryption) sahip olay yeri bilgisayarlarından delil elde etmede kullanılan teorik ve pratik yöntemler araştırılarak, şifreli disklerden adli delil elde etmede karşılaşılabilecek engellerin nasıl aşılabileceği incelenmiş ve uygulamalı olarak örneklendirilmiştir.

Adli bilişim ve olay yeri incelemeleri açısından ülkelerin mevzuatlarına ve adli bilişim uzmanlarının eğitimlerine göre değişen çeşitli delil elde etme pratikleri uygulanır. Bilgisayar çalışıyorsa ve oturum kilitli değilse ilk yapılması gerekenlerden biri bilgisayarın sürücülerinde bir disk şifreleme yazılımının çalışıp çalışmadığının araştırılmasıdır. Eğer varsa RAM’in kopyası alınarak şifreleme anahtarının elde edilmesi yoluna gidilir. Ancak bundan sonra disk imajı üzerinde bir adli inceleme gerçekleştirilmesi mümkün olabilir. Şifreleme anahtarı olmayan disk imajlarının şifrelerinin çözülmesi, kullanılan şifreleme türüne ve anahtarın uzunluğuna bağlı olarak çoğu zaman imkansız olmaktadır.

Olay yeri bilgisayarlarına ait disklerin TrueCrypt, PGP, BitLocker, eCryptfs ve EFS1 gibi disk şifreleme yazılımları ile şifrelenmiş olduğu durumlarda, eğer bilgisayar oturumu kilitli ise, olay yeri inceleyicisinin şifreleme anahtarını elde etmeye yönelik uygulayacağı olağan senaryo büyük oranda sekteye uğrar.

Ancak böyle durumlara karşı kilitli ve çalışan sistemlerden şifreleme anahtarının elde edilmesi için uygulanabilecek birçok yöntem bulunmaktadır.

Bu çalışmada kilitli oturuma sahip FDE korumalı olay yeri bilgisayarlarından şifreleme anahtarını elde etmeye yönelik çok geniş bir literatür araştırması yapılmış, teorik ve pratik karşılığı olan ve uygulanan bir çok tekniğe yer verilmiş, yeni sayılabilecek bir teknik olan ağ trafiğinden delil elde edilmesi konusu örneklendirilerek gösterilmiştir.

Adli Bilişim Açısından, Tam Disk Şifrelemesine (FDE) Sahip Bilgisayarlardan Ağ Trafiğinin Koklanması (Sniffing) Yoluyla Delil Elde Edilmesi

Dosyayı İndir Adli-Bilişim-Açısından-Tam-Disk-Şifrelemesine-FDE-Sahip-Bilgisayarlardan-Ağın-Trafiğinin-Koklanması-Sniffing-Yoluyla-Delil-Elde-Edilmesi.pdf – 2 MB

Diğer makalelerim için tıklayın.

Veri sızıntısı ya da TEMPEST nedir ne değildir?

TEMPEST, yüksek lisans yaparken aldığım Bilgi Güvenliği (ISO 27001) dersinde ödev olarak sunumunu yaptığım konu. Türkçe’ye bir elektronik sistemden sızan verilerin fiziksel bağlantı olmadan toplanması, depolanması ve analiz edilerek bilgiye dönüştürülmesi olarak açıklanabilir.

Hiç bir fikri olmayanlar için biraz geyiğe vurarak, hem de kalıcı olmasını sağlamak adına, bu sunumda şunların cevaplarını bulabileceksiniz:

  • Karşı binadaki dairede, kız arkadaşı ile chatleşen adamın ne yazdığını okuyabilir miyim? Ne öğreneceksen!
  • Yan dairede babaannesi ile web cam’den hasret gideren kişinin ekranını görebilir miyim? Merak işte böyle bir şey.
  • Karşı masada laptop’a gömülmüş hacker kılıklı acaba klavyesine neler yazıyor, öğrenebilir miyim? Direkt suç ortağı.
  • Sokağın köşesinde kendinden geçmiş halde telefonla konuşan yeni ergeni dinleyebilir miyim? Anlamlı bir şeyler beklemiyorum ama merak işte!
  • Elektronik cüzdanımın private key’ini çok sağlam bir parola ile kript ettim acayip güvendeyim. Sen öyle san janım!
  • Sistemimin tüm fiziksel ağ bağlantılarını ayırdım hatta faraday kafesi içinde oturuyorum, artık güvende sayılırım sanırım. Daha neler! Duymamış olayım…

Geyik yapıyorsun hocam! Yok vallahi yapmıyorum, yeminlen… :)

Evet bunlar çoğu kişiye tamamen fantezi veya hayal ürünü gelebilir. Fakat hepsi gerçek (malesef), bu nedenle güvenli kalmak adına “Gidecek hiç bir yerimiz yok”. Sunuma ait dosyayı sayfanın sonundaki bağlantıdan indirebilirsiniz.

Veri sızıntısı ya da TEMPEST sunumu

Dosyayı İndir TEMPEST.ppt – 8 MB

Ekranlarınız Gözaltında

Kullandığımız tüm elektronik cihazlar belirli frekanslarda “elektromanyetik dalga” oluşturur. Gerekli ekipmanlara sahip kişiler, bilgisayarınızdan çevreye yayılan elektromanyetik salınımları sayısal verilere dönüştürüp ekranınızı eşzamanlı olarak görüntüleyebilir. Ev ya da işyerinizde bilgisayarınızda çalışırken haberiniz bile olmadan ekranınızın uzaktan okunabileceğini biliyor muydunuz? Şu ana kadar, sadece klavyeden yazılanların izlenebileceği en fazla e-posta mesajlarınızın takip edileceğini hayal ederdiniz. Ancak o kadar basit değil. Kullandığımız tüm elektronik cihazlar belirli frekanslarda “elektromanyetik dalga” oluşturur. Bu dalgalar çeşitli yollarla kaydedilerek yeniden bilgiye ulaşılabilir. Okumaya devam et “Ekranlarınız Gözaltında”