Perşembe , 3 Aralık 2020
USB Bellek ile Tüm Disk Şifrelemesini Kırma
USB Bellek ile Tüm Disk Şifrelemesini Kırma

USB Bellek ile Tüm Disk Şifrelemesini Kırma

USB Bellek ile Tüm Disk Şifrelemesini Kırma; tam disk şifreleme, bilişim uzmanlarının karşısına ciddi bir engel olarak çıkıyor. Şifrelenmiş sistem birimlerine sahip bilgisayarlar ele geçirildiği zaman, şifreleme kırılmadan araştırmayı ilerletmek mümkün olmuyor. Geleneksel olarak, uzmanlar öncelikle sabit diskleri çıkarır ve disk imajlarını alıp bunun üzerinde çalışır. Ancak tüm disk şifrelemesini kırmak için bir USB bellek aracılığıyla bilgisayarı boot etmek de yeterli. Elcomsoft tarafından üretilen araçlar sayesinde şifreleme için kullanılan anahtarları elde etmek ve hatta sistem yüklü olmayan bölümler için sistem dosyalarını kullanarak bu anahtarları kolaylıkla elde etmek mümkün.

Sistem dizini şifrelendiği zaman şifrelemeyi kırmak dışında yapılacak bir şey bulunmuyor. Elcomsoft System Recovery, başlangıç parolasını kurtarmak için çeşitli yöntemler deniyor ve şifrelenmiş dizinleri koruyan şifreleme anahtarlarını sistemin hazırda beklet dosyasını kullanarak dakikalar içinde elde edebiliyor.

Özellikle ultrabook’lar, laptoplar, Windows tabletler gibi çıkarılamayan, lehimlenmiş ya da standart olmayan depolama alanları kullanan cihazlarda bu yöntem oldukça faydalı. Uzmanlar şifrelenmiş birimlere yapacakları saldırı için gerekli bilgiyi birkaç tıklama ile elde edebiliyor.

Elcomsoft System Recovery, tüm bu işlemler için üst düzey bir uyumluluk ve güvenlik sunuyor. Lisanslı Windows PE ortamı kullanarak tam donanım uyumluluğunu ve güvenli başlatma özelliği ile korunan sistemler için boot desteğini sağlıyor. Üstelik işlemler sırasında disklere ve depolama birimlerine sadece okuma modu ile bağlanarak adli açıdan mantıklı bir veri elde etme imkanı sunuyor.

Orijinal parolaları kırmak amacıyla kullanılacak bilgileri elde etmek için şifrelenmiş birimin küçük bir parçasına ihtiyaç duyuyorsunuz. Sistemi Windows PE USB belleği üzerinden boot edip Elcomsoft System Recovery aracını kullanarak Windows hesaplarının kilidini açabilir ve şifrelenmiş birimlere erişebilirsiniz. Üstelik araç USB belleği kolaylıkla oluşturabilmeniz için size kolaylık da sağlıyor.

Gerekli bilgiye erişmek için kullanabileceğiniz iki farklı yöntem bulunuyor.

Şifrelenmiş birimler, parolaları üzerine yapılacak saldırılara dayanacak şekilde tasarlanmıştır. Fakat sıklıkla tercih edilen BitLocker cihaz şifrelemesi ise tam disk şifreleme sunmasına rağmen bir parola da kullanmaz. Parolaları kaba kuvvet yoluyla elde etmek zaman tüketici olduğu için farklı yöntemler ortaya çıkarılmıştır.

Tüm şifrelenmiş birimler aynı zamanda güvenlik açığı oluşturan bir özelliğe sahiptir. OTFE (on-the-fly encryption) anahtarları, normal işlemler sırasında sistem tarafından verileri şifreleyip şifresini çözmek için kullanılan ikili anahtarlardır. Şifrelenmiş veriye okuma yazma işlemi gerçekleştirildiği sırada anahtarlar sistemin kısa süreli belleğinde depolanır. Bu anahtarları Elcomsoft Forensic Disk Decryptor aracını kullanarak elde etmek de mümkündür.

Kullanıcı bilgisayarını uykuya aldığında (kapatmak yerine) Windows hibrit uyku olarak adlandırılan bir moda geçer. Bu uyku sırasında Windows, kısa süreli belleği bilgisayarın sabit diskine kaydeder. Böylelikle kaydedilen durum güç kesintisinden kurtulabilir. Ayı zamanda bilgisayarın RAM çipleri veriyi tutmak için güç çekmeye devam eder. Eğer uyku boyunca güç kesilmezse bilgisayar neredeyse anında çalışmaya devam eder. Ancak batarya tükendiğinde ya da güç kesintisi olduğunda Windows, sabit disk üzerine kaydedilmiş RAM içeriğini yükler. Yüklenilen bu dosyaya da hazırda bekletme dosyası adı verilir. Windows bu dosyayı “hiberfil.sys” adıyla depolar. Bu dosya şifrelidir ancak bu şifrelemeyi kırmak mümkündür.

Eğer bilgisayar şifrelenmiş bölüm bağlanmış halde uykuya alınırsa OTFE anahtarları da sistemin hazırda bekletme dosyası içinde depolanıyor olabilir. Bir USB bellek aracılığıyla bilgisayar başlatıldığında hazırda bekletme dosyası elde edilebilir ve bilgisayar uyku moduna alındığında bağlı olan şifrelenmiş bölümlerin OTFE anahtarları elde edilebilir. Elcomsoft Forensic Disk Decryptor aracı, OTFE anahtarlarını çıkartmanızı ve şifrelenmiş bölümleri bağlanmanızı ya da bölümlerin şifresini çözmenizi sağlar.

Sistemin hazırda bekletme dosyasını elde etmek için aşağıdaki adımları uygulayın:

Eğer şifreleme anahtarları hazırda bekletme dosyasında bulunmuyorsa (Şifrelenmiş birim uyku ya da hazırda bekletme sırasında otomatik olarak çıkarılacak şekilde ayarlandıysa) şifreli bölümün parolasına saldırı düzenlenmesi gerekir. Bunun için de şifrelenmiş bölümün birkaç kilobaytlık şifreleme üstverisini elde etmek gerekiyor.

Geleneksel yaklaşım, bilgisayarın ve daha sonra da depolama cihazlarının sökülüp imajının alınması şeklinde gerçekleştirilir. Ancak saldırı için gereken yalnızca birkaç kilobayt değerindeki şifreleme üstverisidir. Bu üstveriyi elde etmek tüm sabit diskleri sökmeden hızlıca elde edilebilir.

Elcomsoft System Recovery, USB bellek ile boot edilerek bilgisayarın depolama cihazlarına sadece okuma modlu erişim sağlamaya olanak tanıyor. Araç otomatik olarak, tüm dahili ve çıkarılabilir sürücüler için tüm disk şifrelemeyi tespit ediyor. Daha sonra şifrelenmiş disk birimlerinin orijinal parolasına kaba kuvvet saldırısı gerçekleştirmek için gerekli şifreleme üstverisini elde ediyor. Şifrelenmiş birimler, parolalara yapılacak saldırıların çok yavaş gerçekleşmesini sağlayacak şekilde tasarlandığı için sözlük temelli saldırıları Elcomsoft Distributed Password Recovery aracıyla gerçekleştirmek de işinizi hızlandırabilir.

TrueCrypt ve VeraCrypt benzer formatları kullandığı için bu araçları birbirinden ayırmak çok mümkün değil. Ne yazık ki iki araç şifre kırmaya geldiğinde oldukça farklı bir yol izliyor ve bu yüzden parolaya saldırı düzenlemeden önce doğru aracı belirtmek gerekiyor.

Ek olarak TrueCrypt ve VeraCrypt kullanıcılara birçok şifreleme algoritması arasında seçim yapma imkanı sunuyor. Her algoritma opsiyonel olarak istenilen sayıda tekrarlama ile düzenlenebiliyor. Eğer kullanıcı standart olmayan bir tekrarlama sayısı belirttiyse bu sayıyı bilmeden parolayı elde etmeniz mümkün olmayacaktır. Tüm olası kombinasyonları denemek de saldırı süresini çok uzatacaktır.

Şifreleme üstverisini elde etmek için aşağıdaki adımları izleyin:

Eğer parolayı başarıyla bulursanız Elcomsoft Forensic Disk Decryptor aracını kullanarak şifreli bölümleri bağlayabilir ya da çevrımdışı analiz için şifresini çözebilirsiniz.

Aktif bir sistemi analiz ediyorsanız ve kullanıcı sisteme giriş yapmışsa OTFE anahtarlarını kısa süreli RAM yedeği alarak elde edilebilirsiniz. RAM imajını elde etmek için Elcomsoft Forensic Disk Decryptor aracını kullanıcının aktif sisteminde çalıştırmanız gerekir. Kullanıcı hesabına giriş yapılmış ve hesabın yönetici haklarına sahip olması gerekmektedir.

Ancak aktif sistemlerin analizi tehlikelidir. Elcomsoft System Recovery, güvenli ve sadece okuma modunda işlem yaparken aktif sistem analizi tam tersi yönde çalışır.

RAM imajını elde etmek için Elcomsoft Forensic Disk Decryptor aracını USB belleğe yükleyin ve hedef sisteme USB belleği bağlayarak “Dump physical memory” seçeneğini işaretleyin.

USB Bellek ile Tüm Disk Şifrelemesini Kırma 1 – EFDD MEMDUMP 1 1

Daha sonra RAM imajının kaydedileceği konumu belirtin ve aktarma işlemini başlatın. Elcomsoft Forensic Disk Decryptor aracını OTFE anahtarlarını elde etmek için kullanabilirsiniz.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir