Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2025:tp52607 [2026/02/03 03:00]
Timoteja Piveta 		racfor_wiki:seminari2025:tp52607 [2026/02/03 03:28] (trenutno)
Timoteja Piveta [Izvori forenzičkih dokaza u Bluetooth okruženju]
Redak 22: Redak 22:
  
  
-Forenzički dokazi u Bluetooth sustavima mogu se podijeliti u tri glavne skupine.+Forenzički dokazi u Bluetooth sustavima nastaju na više razina komunikacije i mogu se klasificirati prema načinu prikupljanja i izvoru podataka. 
 + 
 +==== Over-the-air radio promet ====
  
-**Over-the-air radio promet** 
 BLE advertising paketi mogu se pasivno snimati pomoću specijaliziranog hardvera ili kompatibilnih razvojnih pločica. Iz ovih paketa moguće je izvući MAC adrese (ili njihove randomizirane varijante), identifikatore servisa, proizvođačke podatke te vremenske uzorke emitiranja. Iako sadržaj komunikacije često nije dostupan bez ključeva, sama prisutnost i ponašanje uređaja imaju dokaznu vrijednost. BLE advertising paketi mogu se pasivno snimati pomoću specijaliziranog hardvera ili kompatibilnih razvojnih pločica. Iz ovih paketa moguće je izvući MAC adrese (ili njihove randomizirane varijante), identifikatore servisa, proizvođačke podatke te vremenske uzorke emitiranja. Iako sadržaj komunikacije često nije dostupan bez ključeva, sama prisutnost i ponašanje uređaja imaju dokaznu vrijednost.
  
-**Sistemski artefakti krajnjih uređaja**+==== Sistemski artefakti krajnjih uređaja ==== 
 Mobilni operativni sustavi pohranjuju različite Bluetooth artefakte, uključujući zapise o pairingu, cache popise uređaja i sistemske logove. Na Android platformi osobito je vrijedan Bluetooth HCI snoop log, koji omogućuje detaljnu analizu Bluetooth komunikacije unutar alata poput Wiresharka. Ovi zapisi često pružaju najkompletniji uvid u stvarni tijek komunikacije. Mobilni operativni sustavi pohranjuju različite Bluetooth artefakte, uključujući zapise o pairingu, cache popise uređaja i sistemske logove. Na Android platformi osobito je vrijedan Bluetooth HCI snoop log, koji omogućuje detaljnu analizu Bluetooth komunikacije unutar alata poput Wiresharka. Ovi zapisi često pružaju najkompletniji uvid u stvarni tijek komunikacije.
  
-**Aplikacijski i IoT podaci**+==== Aplikacijski i IoT podaci ==== 
 IoT uređaji i pripadajuće mobilne aplikacije često implementiraju vlastitu logiku iznad BLE protokola. Analizom GATT servisa i karakteristika moguće je rekonstruirati radnje poput otključavanja pametne brave, sinkronizacije senzorskih podataka ili slanja naredbi uređaju. IoT uređaji i pripadajuće mobilne aplikacije često implementiraju vlastitu logiku iznad BLE protokola. Analizom GATT servisa i karakteristika moguće je rekonstruirati radnje poput otključavanja pametne brave, sinkronizacije senzorskih podataka ili slanja naredbi uređaju.
  
-**Metodologija Bluetooth forenzičke analize**+===== Metodologija Bluetooth forenzičke analize ===== 
 Bluetooth forenzička analiza kreće od identifikacije potencijalnih dokaza (računalo, mobitel, mrežni promet) s ciljem akvizicije, to jest sakupljanja podataka bez promjene izvornog stanja. Razlikujemo tri vrste akvizicije: pasivna, logička i aktivna. Pasivna se bazira na snimanju BLE oglašavanja i RF sniffinga. Logička koristi Android HCI snoop logove, sistemske Bluetooth logove i aplikacijske zapise, dok aktivna koristi samo spajanje na uređaj, čitanje GATT karakteristika i slanje upita. Sakupljene podatke, kao što su struktura BLE paketa, vremesnki slijed oglašavanja i uparivanje, analiziramo kroz dekodiranje podataka, filtriranje šuma i traženja obrazaca. Analiza mora biti ponovljiva. Korelacija je cilj analize, to jest povezivanje više izvora u smislenu cjelinu, na primjer korelacija Bluetooth oglašavanja skupa sa GPS lokacijom. Korelacijom dokazujemo ponašanje ne identitet. NAvedeno interpretiramo i pišemo izvještaj. Bluetooth forenzička analiza kreće od identifikacije potencijalnih dokaza (računalo, mobitel, mrežni promet) s ciljem akvizicije, to jest sakupljanja podataka bez promjene izvornog stanja. Razlikujemo tri vrste akvizicije: pasivna, logička i aktivna. Pasivna se bazira na snimanju BLE oglašavanja i RF sniffinga. Logička koristi Android HCI snoop logove, sistemske Bluetooth logove i aplikacijske zapise, dok aktivna koristi samo spajanje na uređaj, čitanje GATT karakteristika i slanje upita. Sakupljene podatke, kao što su struktura BLE paketa, vremesnki slijed oglašavanja i uparivanje, analiziramo kroz dekodiranje podataka, filtriranje šuma i traženja obrazaca. Analiza mora biti ponovljiva. Korelacija je cilj analize, to jest povezivanje više izvora u smislenu cjelinu, na primjer korelacija Bluetooth oglašavanja skupa sa GPS lokacijom. Korelacijom dokazujemo ponašanje ne identitet. NAvedeno interpretiramo i pišemo izvještaj.
  
Redak 62: Redak 66:
 ===== Literatura ===== ===== Literatura =====
  
-Bluetooth Core Specification, Bluetooth SIG +[1] [[https://www.bluetooth.com/specifications/specs/Bluetooth Core Specification, Bluetooth SIG]] 
-NIST SP 800-121 Rev. 2 – Guide to Bluetooth Security + 
-Becker et al., Tracking Anonymized Bluetooth Devices, PoPETS +[2] [[https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-121r2.pdf | NIST SP 800-121 Rev. 2 – Guide to Bluetooth Security]] 
-Wu et al., BLESA: Spoofing Attacks against Reconnections in BLE, USENIX + 
-Garbelini et al., SweynTooth: Unleashing Mayhem over BLE, USENIX ATC +[3] [[https://petsymposium.org/popets/2019/popets-2019-0036.pdf | Becker et al., Tracking Anonymized Bluetooth Devices, PoPETS]] 
-SWGDE – Best Practices for Mobile Device Forensic Analysis + 
-SWGDE – Test Method for Bluetooth Module Extraction and Analysis +[4] [[https://www.usenix.org/system/files/woot20-paper-wu-updated.pdf | Wu et al., BLESA: Spoofing Attacks against Reconnections in BLE, USENIX]] 
-Wireshark Bluetooth Documentation + 
-Android Open Source Project – Bluetooth HCI Snoop Log +[5] [[https://www.usenix.org/conference/atc20/presentation/garbelini | Garbelini et al., SweynTooth: Unleashing Mayhem over BLE, USENIX ATC]] 
-Nordic Semiconductor – BLE Sniffer Documentation + 
-Great Scott Gadgets – Ubertooth One Documentation+[6] [[https://www.swgde.org/documents/published-complete-listing/20-f-005-swgde-best-practices-for-mobile-device-forensic-analysis | SWGDE – Best Practices for Mobile Device Forensic Analysis]] 
 + 
 +[7] [[https://www.swgde.org/documents/published-complete-listing/20-f-003-swgde-test-method-for-bluetooth-module-extraction-and-analysis/SWGDE – Test Method for Bluetooth Module Extraction and Analysis]] 
 + 
 +[8] [[https://wiki.wireshark.org/Bluetooth | Wireshark Bluetooth Documentation]] 
 + 
 +[9] [[https://android.googlesource.com/Android Open Source Project – Bluetooth HCI Snoop Log]] 
 + 
 +[10] [[https://www.nordicsemi.com/Products/Development-tools/nRF-Sniffer-for-Bluetooth-LE | Nordic Semiconductor – BLE Sniffer Documentation]] 
 + 
 +[11] [[https://greatscottgadgets.com/ubertoothone/Great Scott Gadgets – Ubertooth One Documentation]]
racfor_wiki/seminari2025/tp52607.1770087646.txt.gz · Zadnja izmjena: 2026/02/03 03:00 od Timoteja Piveta
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0