Slijede razlike između dviju inačica stranice.
| Starije izmjene na obje strane Starija izmjena Novija izmjena | Starija izmjena | ||
|
racfor_wiki:seminari2024:forenzika_sustava_zasticenih_bitlockerom [2025/01/26 15:25] Jakovina Filip [Forenzička analiza] |
racfor_wiki:seminari2024:forenzika_sustava_zasticenih_bitlockerom [2025/01/26 21:37] (trenutno) Jakovina Filip [Forenzika sustava zaštićenih Bitlockerom] |
||
|---|---|---|---|
| Redak 1: | Redak 1: | ||
| - | ===== Forenzika sustava zaštićenih Bitlockerom ===== | + | ====== Forenzika sustava zaštićenih Bitlockerom |
| Seminarski rad iz kolegija Računalna forenzika, akademske godine 2024./25. | Seminarski rad iz kolegija Računalna forenzika, akademske godine 2024./25. | ||
| + | [[https:// | ||
| - | ==== Sažetak ==== | ||
| + | ===== Sažetak ===== | ||
| - | ==== Uvod ==== | + | Ovaj rad istražuje BitLocker tehnologiju, |
| + | |||
| + | ===== Uvod ===== | ||
| BitLocker je sigurnosna značajka sustava Windows koja omogućuje šifriranje cijelih particija, štiteći podatke od neovlaštenog pristupa u slučaju gubitka, krađe ili nepropisnog povlačenja uređaja iz upotrebe. | BitLocker je sigurnosna značajka sustava Windows koja omogućuje šifriranje cijelih particija, štiteći podatke od neovlaštenog pristupa u slučaju gubitka, krađe ili nepropisnog povlačenja uređaja iz upotrebe. | ||
| Redak 14: | Redak 17: | ||
| Forenzička analiza sustava zaštićenih BitLockerom uključuje metode za pristup i analizu šifriranih podataka u svrhu prikupljanja digitalnih dokaza. Ova analiza može obuhvaćati prikupljanje ključeva za dešifriranje, | Forenzička analiza sustava zaštićenih BitLockerom uključuje metode za pristup i analizu šifriranih podataka u svrhu prikupljanja digitalnih dokaza. Ova analiza može obuhvaćati prikupljanje ključeva za dešifriranje, | ||
| - | ==== Tehnologija Bitlockera ==== | + | ===== Tehnologija Bitlockera |
| BitLocker je sigurnosna tehnologija ugrađena u operativni sustav Windows, namijenjena zaštiti podataka putem enkripcije cijelih particija. Ova značajka dizajnirana je kako bi spriječila neovlašteni pristup osjetljivim informacijama u slučaju gubitka, krađe ili kompromitacije uređaja. | BitLocker je sigurnosna tehnologija ugrađena u operativni sustav Windows, namijenjena zaštiti podataka putem enkripcije cijelih particija. Ova značajka dizajnirana je kako bi spriječila neovlašteni pristup osjetljivim informacijama u slučaju gubitka, krađe ili kompromitacije uređaja. | ||
| Redak 22: | Redak 25: | ||
| Kako bi omogućio pristup šifriranim podacima, BitLocker koristi različite metode autentifikacije: | Kako bi omogućio pristup šifriranim podacima, BitLocker koristi različite metode autentifikacije: | ||
| - | * TPM modul: Hardverski | + | |
| - | * PIN ili lozinka: Korisnik unosi PIN ili lozinku prilikom pokretanja uređaja kako bi otključao šifrirane podatke | + | |
| - | * USB ključ: Fizički medij koji sadrži ključ za autentifikaciju | + | |
| - | * Ključ za oporavak: Rezervni ključ koji omogućava pristup u slučaju gubitka primarnih metoda autentifikacije | + | |
| - | Kombinacija TPM-a s PIN-om ili lozinkom značajno povećava sigurnost, dok USB ključevi pružaju dodatnu fleksibilnost za korisnike. | + | Kombinacija TPM-a s PIN-om ili lozinkom značajno povećava sigurnost, dok USB ključevi pružaju dodatnu fleksibilnost za korisnike. |
| - | ==== Forenzička analiza ==== | + | ===== Forenzička analiza |
| Forenzička analiza sustava zaštićenih BitLocker tehnologijom predstavlja izazov zbog visoke razine sigurnosti koju ovaj sustav nudi putem napredne enkripcije. Istraživači se moraju osloniti na specijalizirane alate i precizne metodologije kako bi pristupili podacima na zaštićenim diskovima. U ovom dokumentu su objašnjeni alati koji se koriste, kao i metodologije analize koje omogućuju uspješnu obradu podataka. [1] | Forenzička analiza sustava zaštićenih BitLocker tehnologijom predstavlja izazov zbog visoke razine sigurnosti koju ovaj sustav nudi putem napredne enkripcije. Istraživači se moraju osloniti na specijalizirane alate i precizne metodologije kako bi pristupili podacima na zaštićenim diskovima. U ovom dokumentu su objašnjeni alati koji se koriste, kao i metodologije analize koje omogućuju uspješnu obradu podataka. [1] | ||
| - | === Tehnički izazovi u analizi === | + | |
| + | ==== Tehnički izazovi u analizi | ||
| \\ | \\ | ||
| BitLocker koristi AES algoritam za šifriranje podataka u kombinaciji s TPM modulima koji pohranjuju ključeve za autentifikaciju. Bez ključa za šifriranje, | BitLocker koristi AES algoritam za šifriranje podataka u kombinaciji s TPM modulima koji pohranjuju ključeve za autentifikaciju. Bez ključa za šifriranje, | ||
| Redak 42: | Redak 46: | ||
| - **Osiguranje integriteta podataka:** Sprječavanje oštećenja ili izmjene dokaza tijekom analize [1] | - **Osiguranje integriteta podataka:** Sprječavanje oštećenja ili izmjene dokaza tijekom analize [1] | ||
| - | === Metodologija analize === | + | |
| + | ==== Metodologija analize | ||
| \\ | \\ | ||
| Forenzička analiza sustava zaštićenih BitLocker tehnologijom uključuje niz jasno definiranih koraka koji osiguravaju pouzdane rezultate. U nastavku su detaljno opisane ključne faze analize.\\ | Forenzička analiza sustava zaštićenih BitLocker tehnologijom uključuje niz jasno definiranih koraka koji osiguravaju pouzdane rezultate. U nastavku su detaljno opisane ključne faze analize.\\ | ||
| - | == Prikupljanje podataka == | + | === Prikupljanje podataka |
| \\ | \\ | ||
| Prvi korak analize je prikupljanje relevantnih podataka uz očuvanje integriteta dokaza. | Prvi korak analize je prikupljanje relevantnih podataka uz očuvanje integriteta dokaza. | ||
| Redak 54: | Redak 59: | ||
| * **Sigurnosne kopije:** Ključevi za oporavak često su pohranjeni u mrežnim sustavima poput Active Directoryja, | * **Sigurnosne kopije:** Ključevi za oporavak često su pohranjeni u mrežnim sustavima poput Active Directoryja, | ||
| - | == Identifikacija metode autentifikacije == | + | === Identifikacija metode autentifikacije |
| \\ | \\ | ||
| BitLocker omogućuje različite metode autentifikacije, | BitLocker omogućuje različite metode autentifikacije, | ||
| Redak 66: | Redak 71: | ||
| Analiza konfiguracijskih datoteka, korisničkih bilješki ili e-mailova može otkriti zapisane PIN-ove ili lozinke. Osim toga, alati poput Passware Kit Forensic mogu pomoći u oporavku PIN-ova ili lozinki putem brute-force ili napada rječnikom. [2]\\ | Analiza konfiguracijskih datoteka, korisničkih bilješki ili e-mailova može otkriti zapisane PIN-ove ili lozinke. Osim toga, alati poput Passware Kit Forensic mogu pomoći u oporavku PIN-ova ili lozinki putem brute-force ili napada rječnikom. [2]\\ | ||
| - | == Dešifriranje podataka == | + | |
| + | === Dešifriranje podataka | ||
| \\ | \\ | ||
| Kada su ključevi za dešifriranje dostupni, proces je relativno jednostavan. Koriste se alati poput Elcomsoft Forensic Disk Decryptora ili AccessData FTK-a za dešifriranje cijelih volumena uz pomoć pronađenih ključeva iz memorije (RAM-a), sigurnosnih kopija ili mrežnih direktorija poput Active Directoryja. [2, 4] Na primjer, ako se u RAM analizi pronađe FVEK, taj ključ se može iskoristiti za dešifriranje uz minimalan gubitak podataka. [2] | Kada su ključevi za dešifriranje dostupni, proces je relativno jednostavan. Koriste se alati poput Elcomsoft Forensic Disk Decryptora ili AccessData FTK-a za dešifriranje cijelih volumena uz pomoć pronađenih ključeva iz memorije (RAM-a), sigurnosnih kopija ili mrežnih direktorija poput Active Directoryja. [2, 4] Na primjer, ako se u RAM analizi pronađe FVEK, taj ključ se može iskoristiti za dešifriranje uz minimalan gubitak podataka. [2] | ||
| Redak 77: | Redak 83: | ||
| * **Brute-force i napadi rječnikom: | * **Brute-force i napadi rječnikom: | ||
| - | === Korišteni alati === | + | |
| + | ==== Korišteni alati ==== | ||
| \\ | \\ | ||
| Forenzičari se oslanjaju na različite alate prilagođene analizi šifriranih sustava. U nastavku su opisani najčešće korišteni alati i njihove mogućnosti. | Forenzičari se oslanjaju na različite alate prilagođene analizi šifriranih sustava. U nastavku su opisani najčešće korišteni alati i njihove mogućnosti. | ||
| - | **1. Elcomsoft Forensic Disk Decryptor** | + | == 1. Elcomsoft Forensic Disk Decryptor |
| + | \\ | ||
| Ovaj alat koristi slike memorije ili sigurnosne kopije za pronalaženje ključeva za dešifriranje. | Ovaj alat koristi slike memorije ili sigurnosne kopije za pronalaženje ključeva za dešifriranje. | ||
| - | Prednosti: Brza obrada i podrška za više formata [4]. | + | **Prednosti:** Brza obrada i podrška za više formata [4]. |
| - | | + | **Primjena:** |
| - | | + | |
| * Korištenje sigurnosnih kopija iz Active Directoryja [2]. | * Korištenje sigurnosnih kopija iz Active Directoryja [2]. | ||
| - | **2. AccessData FTK (Forensic Toolkit)** | + | == 2. AccessData FTK (Forensic Toolkit) |
| + | \\ | ||
| FTK je višenamjenski alat za digitalnu forenziku koji uključuje mogućnosti prepoznavanja šifriranih particija i analize korisničkih aktivnosti. | FTK je višenamjenski alat za digitalnu forenziku koji uključuje mogućnosti prepoznavanja šifriranih particija i analize korisničkih aktivnosti. | ||
| - | | + | **Prednosti:** Intuitivno korisničko sučelje i široka kompatibilnost [5]. |
| - | * Automatska detekcija šifriranih diskova. | + | **Primjena: |
| - | * Stvaranje forenzičkih slika diskova | + | |
| - | * Prednosti: Intuitivno korisničko sučelje i široka kompatibilnost | + | * Stvaranje forenzičkih slika diskova |
| - | **3. Magnet AXIOM** | ||
| + | == 3. Magnet AXIOM == | ||
| + | \\ | ||
| Magnet AXIOM omogućuje istraživanje digitalnih artefakata povezanih s BitLockerom. | Magnet AXIOM omogućuje istraživanje digitalnih artefakata povezanih s BitLockerom. | ||
| - | Primjena: | + | **Prednosti:** Napredni alati za pretraživanje i filtriranje podataka [5]. |
| - | Identifikacija mrežnih zapisa vezanih za ključeve. | + | **Primjena: |
| - | Analiza korisničkih aktivnosti na šifriranim sustavima [3]. | + | * Identifikacija mrežnih zapisa vezanih za ključeve. |
| - | Prednosti: Napredni alati za pretraživanje i filtriranje podataka | + | * Analiza korisničkih aktivnosti na šifriranim sustavima |
| - | **4. Oxygen Forensic Detective** | ||
| + | |||
| + | == 4. Oxygen Forensic Detective == | ||
| + | \\ | ||
| Ovaj alat omogućuje analizu šifriranih particija i povezivanje s drugim forenzičkim podacima. | Ovaj alat omogućuje analizu šifriranih particija i povezivanje s drugim forenzičkim podacima. | ||
| - | Primjena: | + | **Prednosti: |
| + | |||
| + | **Primjena:** | ||
| - | Pregled konfiguracijskih datoteka povezanih s BitLockerom. | + | * Pregled konfiguracijskih datoteka povezanih s BitLockerom. |
| - | Dešifriranje s pomoću dostupnih ključeva [2, 5]. | + | * Dešifriranje s pomoću dostupnih ključeva [2, 5]. |
| - | Prednosti: Podrška za mobilne i stacionarne uređaje [3]. | ||
| - | ==== Zaključak ==== | ||
| + | ===== Zaključak ===== | ||
| + | Forenzička analiza sustava zaštićenih BitLocker tehnologijom zahtijeva napredno tehničko znanje i upotrebu specijaliziranih alata. Iako je enkripcija dizajnirana da osigura maksimalnu zaštitu podataka, istražitelji mogu pronaći načine za pristup informacijama koristeći odgovarajuće metode i alate. Ključ uspješne analize leži u preciznoj pripremi i stručnosti forenzičkog tima. | ||
| - | ==== Popis literature ==== | + | ===== Popis literature |
| [1] Microsoft Learn. " | [1] Microsoft Learn. " | ||