Tüm disk şifrelemesini kırmak için şifrelenmiş birim anahtarlarını elde edebileceğiniz boot edilebilir bir USB belleği nasıl hazırlayacağınızı bu yazımızda anlatıyoruz.

Tam disk şifreleme, bilişim uzmanlarının karşısına ciddi bir engel olarak çıkıyor. Şifrelenmiş sistem birimlerine sahip bilgisayarlar ele geçirildiği zaman, şifreleme kırılmadan araştırmayı ilerletmek mümkün olmuyor. Geleneksel olarak, uzmanlar öncelikle sabit diskleri çıkarır ve disk imajlarını alıp bunun üzerinde çalışır. Ancak tüm disk şifrelemesini kırmak için bir USB bellek aracılığıyla bilgisayarı boot etmek de yeterli. Elcomsoft tarafından üretilen araçlar sayesinde şifreleme için kullanılan anahtarları elde etmek ve hatta sistem yüklü olmayan bölümler için sistem dosyalarını kullanarak bu anahtarları kolaylıkla elde etmek mümkün.

Sistem dizini şifrelendiği zaman şifrelemeyi kırmak dışında yapılacak bir şey bulunmuyor. Elcomsoft System Recovery, başlangıç parolasını kurtarmak için çeşitli yöntemler deniyor ve şifrelenmiş dizinleri koruyan şifreleme anahtarlarını sistemin hazırda beklet dosyasını kullanarak dakikalar içinde elde edebiliyor.

Özellikle ultrabook’lar, laptoplar, Windows tabletler gibi çıkarılamayan, lehimlenmiş ya da standart olmayan depolama alanları kullanan cihazlarda bu yöntem oldukça faydalı. Uzmanlar şifrelenmiş birimlere yapacakları saldırı için gerekli bilgiyi birkaç tıklama ile elde edebiliyor.

Elcomsoft System Recovery, tüm bu işlemler için üst düzey bir uyumluluk ve güvenlik sunuyor. Lisanslı Windows PE ortamı kullanarak tam donanım uyumluluğunu ve güvenli başlatma özelliği ile korunan sistemler için boot desteğini sağlıyor. Üstelik işlemler sırasında disklere ve depolama birimlerine sadece okuma modu ile bağlanarak adli açıdan mantıklı bir veri elde etme imkanı sunuyor.

Elcomsoft System Recovery Aracını Kullanarak Boot Edilebilir USB Bellek Oluşturmak

Orijinal parolaları kırmak amacıyla kullanılacak bilgileri elde etmek için şifrelenmiş birimin küçük bir parçasına ihtiyaç duyuyorsunuz. Sistemi Windows PE USB belleği üzerinden boot edip Elcomsoft System Recovery aracını kullanarak Windows hesaplarının kilidini açabilir ve şifrelenmiş birimlere erişebilirsiniz. Üstelik araç USB belleği kolaylıkla oluşturabilmeniz için size kolaylık da sağlıyor.

  1. İlk olarak Elcomsoft System Recovery aracını yükleyin.
  2. Boş bir USB belleği bilgisayarınıza takın ve aracı çalıştırın.
  3. Hedef sürücüyü seçin ve dosya sistemini tanımlayın. Doğru bölümleme şemasını seçtiğinizden emin olun. FAT32 MBR, BIOS eski bilgisayarlar çalışırken; FAT32 MBR, UEFIx64 Secure Boot özelliğine sahip yeni bilgisayarlar için gereklidir. Bazı cihazlar 64-bit işlemcilerle yüklü olmasına rağmen 32-bit modu içerisinde çalışır (Lenovo ThinkPad 8 gibi) ve FAT32 MBR, UEFIx32 şemasının seçilmesini gerektirir.
  4. Format seçeneğine tıklayın. Elcomsoft System Recovery, Windows PE ortamı ve ESR aracının yüklü ve ayarlı olduğu bir boot edilebilir USB bellek oluşturacak.

Gerekli bilgiye erişmek için kullanabileceğiniz iki farklı yöntem bulunuyor.

İlk Yöntem : Şifreleme Anahtarlarına Erişmek İçin Hazırda Bekletme Dosyalarını Elde Etmek

Şifrelenmiş birimler, parolaları üzerine yapılacak saldırılara dayanacak şekilde tasarlanmıştır. Fakat sıklıkla tercih edilen BitLocker cihaz şifrelemesi ise tam disk şifreleme sunmasına rağmen bir parola da kullanmaz. Parolaları kaba kuvvet yoluyla elde etmek zaman tüketici olduğu için farklı yöntemler ortaya çıkarılmıştır.

Tüm şifrelenmiş birimler aynı zamanda güvenlik açığı oluşturan bir özelliğe sahiptir. OTFE (on-the-fly encryption) anahtarları, normal işlemler sırasında sistem tarafından verileri şifreleyip şifresini çözmek için kullanılan ikili anahtarlardır. Şifrelenmiş veriye okuma yazma işlemi gerçekleştirildiği sırada anahtarlar sistemin kısa süreli belleğinde depolanır. Bu anahtarları Elcomsoft Forensic Disk Decryptor aracını kullanarak elde etmek de mümkündür.

Kullanıcı bilgisayarını uykuya aldığında (kapatmak yerine) Windows hibrit uyku olarak adlandırılan bir moda geçer. Bu uyku sırasında Windows, kısa süreli belleği bilgisayarın sabit diskine kaydeder. Böylelikle kaydedilen durum güç kesintisinden kurtulabilir. Ayı zamanda bilgisayarın RAM çipleri veriyi tutmak için güç çekmeye devam eder. Eğer uyku boyunca güç kesilmezse bilgisayar neredeyse anında çalışmaya devam eder. Ancak batarya tükendiğinde ya da güç kesintisi olduğunda Windows, sabit disk üzerine kaydedilmiş RAM içeriğini yükler. Yüklenilen bu dosyaya da hazırda bekletme dosyası adı verilir. Windows bu dosyayı “hiberfil.sys” adıyla depolar. Bu dosya şifrelidir ancak bu şifrelemeyi kırmak mümkündür.

Eğer bilgisayar şifrelenmiş bölüm bağlanmış halde uykuya alınırsa OTFE anahtarları da sistemin hazırda bekletme dosyası içinde depolanıyor olabilir. Bir USB bellek aracılığıyla bilgisayar başlatıldığında hazırda bekletme dosyası elde edilebilir ve bilgisayar uyku moduna alındığında bağlı olan şifrelenmiş bölümlerin OTFE anahtarları elde edilebilir. Elcomsoft Forensic Disk Decryptor aracı, OTFE anahtarlarını çıkartmanızı ve şifrelenmiş bölümleri bağlanmanızı ya da bölümlerin şifresini çözmenizi sağlar.

Sistemin hazırda bekletme dosyasını elde etmek için aşağıdaki adımları uygulayın:

  1. Elcomsoft System Recovery 6.0 veya daha yeni sürümünü kendi bilgisayarınıza yükleyin.
  2. Boot edilebilir bir USB bellek oluşturun. Daha önce bahsettiğimiz gibi uygun seçenekleri kullanın. Hazırda bekletme dosyası büyük olabileceğinden en az 32 GB’lık bir bellek kullanılması tavsiye ediliyor.
  3. Oluşturduğunuz USB belleği hedef bilgisayardan boot edin.
  4. Elcomsoft System Recovery aracı boot işlemi tamamlandıktan sonra başlatılacak. Gelen pencerede “Disk tools” seçeneğini işaretleyin.
  5. Ardından “Copy hiberfil.sys” seçeneğini seçin. Tüm hazırda bekletme dosyası USB belleğinize kopyalanacak. Bu yüzden USB sürücüde yeterli alan olduğundan emin olun.
  6. Dosyanın nerede depolanacağını belirtin. Varsayılan olarak ESR, boot edilen sürücüyü kullanmanızı tavsiye edecektir. Eğer USB sürücüde yeterli alan yoksa başka bir ortam da seçebilirsiniz.
  7. Daha sonra hazırda bekletme dosyasını bilgisayarına aktarabilirsiniz. Elcomsoft Forensic Disk Decryptor aracı ile OTFE anahtarlarını elde edebilir ve şifrelenmiş birimleri bağlayabilir ya da birimlerin şifresini çözebilirsiniz. Özellikle hazırda bekletme dosyası büyükse bu işlem dakikalar sürebilir.

Eğer şifreleme anahtarları hazırda bekletme dosyasında bulunmuyorsa (Şifrelenmiş birim uyku ya da hazırda bekletme sırasında otomatik olarak çıkarılacak şekilde ayarlandıysa) şifreli bölümün parolasına saldırı düzenlenmesi gerekir. Bunun için de şifrelenmiş bölümün birkaç kilobaytlık şifreleme üstverisini elde etmek gerekiyor.

İkinci Yöntem : Şifreleme Üstverisini Elde Etmek ve Parolaya Kaba Kuvvet Saldırısı Düzenlemek

Geleneksel yaklaşım, bilgisayarın ve daha sonra da depolama cihazlarının sökülüp imajının alınması şeklinde gerçekleştirilir. Ancak saldırı için gereken yalnızca birkaç kilobayt değerindeki şifreleme üstverisidir. Bu üstveriyi elde etmek tüm sabit diskleri sökmeden hızlıca elde edilebilir.

Elcomsoft System Recovery, USB bellek ile boot edilerek bilgisayarın depolama cihazlarına sadece okuma modlu erişim sağlamaya olanak tanıyor. Araç otomatik olarak, tüm dahili ve çıkarılabilir sürücüler için tüm disk şifrelemeyi tespit ediyor. Daha sonra şifrelenmiş disk birimlerinin orijinal parolasına kaba kuvvet saldırısı gerçekleştirmek için gerekli şifreleme üstverisini elde ediyor. Şifrelenmiş birimler, parolalara yapılacak saldırıların çok yavaş gerçekleşmesini sağlayacak şekilde tasarlandığı için sözlük temelli saldırıları Elcomsoft Distributed Password Recovery aracıyla gerçekleştirmek de işinizi hızlandırabilir.

TrueCrypt ve VeraCrypt benzer formatları kullandığı için bu araçları birbirinden ayırmak çok mümkün değil. Ne yazık ki iki araç şifre kırmaya geldiğinde oldukça farklı bir yol izliyor ve bu yüzden parolaya saldırı düzenlemeden önce doğru aracı belirtmek gerekiyor.

Ek olarak TrueCrypt ve VeraCrypt kullanıcılara birçok şifreleme algoritması arasında seçim yapma imkanı sunuyor. Her algoritma opsiyonel olarak istenilen sayıda tekrarlama ile düzenlenebiliyor. Eğer kullanıcı standart olmayan bir tekrarlama sayısı belirttiyse bu sayıyı bilmeden parolayı elde etmeniz mümkün olmayacaktır. Tüm olası kombinasyonları denemek de saldırı süresini çok uzatacaktır.

Şifreleme üstverisini elde etmek için aşağıdaki adımları izleyin:

  1. Daha önce bahsettiğimiz adımları uygulayarak boot edilebilir USB belleği oluşturun ve oluşturduğunuz USB bellek ile hedef bilgisayarı boot edin.
  2. Elcomsoft System Recovery aracı boot işlemi tamamlandığında açılacaktır. Gelen pencereden “Disk tools” seçeneğini işaretleyin.
  3. Ardından “Drive encryption keys” seçeneğini işaretleyin.
  4. Elcomsoft System Recovery otomatik olarak tüm disk şifrelemeye sahip bölümleri tespit edecek.
  5. Üzerinden çalışmak istediğiniz birim veya birimleri seçin.
  6. TrueCrypt ya da VeraCrypt birimleri aynı birim formatını kullandığı için bunları otomatik olarak ayırt etmek mümkün değildir. Bu aşamada şifreleme birinin tipini elle seçmeniz gerekecektir.
  7. Hem TrueCrypt hem de VeraCrypt farklı şifreleme ve hash algoritmalarını kullanmaya olanak tanıdığı için birimin şifresini çözmek için bunları bilmeniz gerekiyor. Bu adımda bunları tanımlayacaksınız.
  8. Eğer kullanıcının şifreleme ve hash algoritması tercihi ile ilgili bir şüpheniz varsa bu değerleri “Unknown” olarak bırakın. Bu seçenek saldırıyı yavaşlatacak ve araç birden fazla kombinasyonu denemeye çalışacak ancak yine de bu yol yanlış şifreleme tipini seçmekten daha iyidir.
  9. Şifreleme üstverisi elde edildiği zaman bu dosyaları Elcomsoft Distributed Password Recovery aracına aktararak orijinal parolayı elde edebilirsiniz. Parola saldırıları güçlü donanımlarla bile ciddi miktarda zaman alır.

Eğer parolayı başarıyla bulursanız Elcomsoft Forensic Disk Decryptor aracını kullanarak şifreli bölümleri bağlayabilir ya da çevrımdışı analiz için şifresini çözebilirsiniz.

Ek : RAM İmajını Kullanmak

Aktif bir sistemi analiz ediyorsanız ve kullanıcı sisteme giriş yapmışsa OTFE anahtarlarını kısa süreli RAM yedeği alarak elde edilebilirsiniz. RAM imajını elde etmek için Elcomsoft Forensic Disk Decryptor aracını kullanıcının aktif sisteminde çalıştırmanız gerekir. Kullanıcı hesabına giriş yapılmış ve hesabın yönetici haklarına sahip olması gerekmektedir.

Ancak aktif sistemlerin analizi tehlikelidir. Elcomsoft System Recovery, güvenli ve sadece okuma modunda işlem yaparken aktif sistem analizi tam tersi yönde çalışır.

RAM imajını elde etmek için Elcomsoft Forensic Disk Decryptor aracını USB belleğe yükleyin ve hedef sisteme USB belleği bağlayarak “Dump physical memory” seçeneğini işaretleyin.

Daha sonra RAM imajının kaydedileceği konumu belirtin ve aktarma işlemini başlatın. Elcomsoft Forensic Disk Decryptor aracını OTFE anahtarlarını elde etmek için kullanabilirsiniz.

eSerdaR Hakkında

By eserdar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

error: Content is protected !!