Forenzika sustava zaštićenih Bitlockerom

Seminarski rad iz kolegija Računalna forenzika, akademske godine 2024./25.

Video prezentacija

Ovaj rad istražuje BitLocker tehnologiju, njezinu ulogu u šifriranju podataka i metode forenzičke analize sustava zaštićenih ovom tehnologijom. Opisuje ključne značajke BitLockera, izazove u pristupu šifriranim podacima, korake forenzičke analize te alate i tehnike koji omogućuju uspješno dešifriranje i obradu podataka.

BitLocker je sigurnosna značajka sustava Windows koja omogućuje šifriranje cijelih particija, štiteći podatke od neovlaštenog pristupa u slučaju gubitka, krađe ili nepropisnog povlačenja uređaja iz upotrebe.

Forenzička analiza sustava zaštićenih BitLockerom uključuje metode za pristup i analizu šifriranih podataka u svrhu prikupljanja digitalnih dokaza. Ova analiza može obuhvaćati prikupljanje ključeva za dešifriranje, analizu memorije te korištenje specijaliziranih alata za dešifriranje i ispitivanje podataka. Razumijevanje načina na koji BitLocker upravlja ključevima i šifriranjem ključno je za uspješnu forenzičku analizu ovakvih sustava.

BitLocker je sigurnosna tehnologija ugrađena u operativni sustav Windows, namijenjena zaštiti podataka putem enkripcije cijelih particija. Ova značajka dizajnirana je kako bi spriječila neovlašteni pristup osjetljivim informacijama u slučaju gubitka, krađe ili kompromitacije uređaja.

BitLocker koristi algoritam AES (Advanced Encryption Standard) za šifriranje podataka, što osigurava visoku razinu zaštite. Šifriranjem su obuhvaćeni svi podaci na particiji, uključujući slobodan prostor, čime se štite i prethodno izbrisani podaci.

Kako bi omogućio pristup šifriranim podacima, BitLocker koristi različite metode autentifikacije:

• TPM modul: Hardverski modul koji sigurno pohranjuje ključeve za šifriranje i osigurava autentifikaciju platforme
• PIN ili lozinka: Korisnik unosi PIN ili lozinku prilikom pokretanja uređaja kako bi otključao šifrirane podatke
• USB ključ: Fizički medij koji sadrži ključ za autentifikaciju
• Ključ za oporavak: Rezervni ključ koji omogućava pristup u slučaju gubitka primarnih metoda autentifikacije

Kombinacija TPM-a s PIN-om ili lozinkom značajno povećava sigurnost, dok USB ključevi pružaju dodatnu fleksibilnost za korisnike. [1]

Forenzička analiza sustava zaštićenih BitLocker tehnologijom predstavlja izazov zbog visoke razine sigurnosti koju ovaj sustav nudi putem napredne enkripcije. Istraživači se moraju osloniti na specijalizirane alate i precizne metodologije kako bi pristupili podacima na zaštićenim diskovima. U ovom dokumentu su objašnjeni alati koji se koriste, kao i metodologije analize koje omogućuju uspješnu obradu podataka. [1]

BitLocker koristi AES algoritam za šifriranje podataka u kombinaciji s TPM modulima koji pohranjuju ključeve za autentifikaciju. Bez ključa za šifriranje, podaci ostaju nečitljivi, čak i ako su fizički dostupni na disku. Ovo otežava pristup često kritičnim informacijama koje mogu biti ključne u forenzičkoj istrazi. [1]

Dva osnovna izazova su:

1. Prikupljanje ključeva za dešifriranje: Pronalaženje ključeva u memoriji ili sigurnosnim spremištima poput Active Directoryja [2]
2. Osiguranje integriteta podataka: Sprječavanje oštećenja ili izmjene dokaza tijekom analize [1]

Forenzička analiza sustava zaštićenih BitLocker tehnologijom uključuje niz jasno definiranih koraka koji osiguravaju pouzdane rezultate. U nastavku su detaljno opisane ključne faze analize.

Prvi korak analize je prikupljanje relevantnih podataka uz očuvanje integriteta dokaza.

• RAM analiza: Privremeni ključevi za dešifriranje često se nalaze u memoriji dok je sustav aktivan. Alati poput Volatility Frameworka koriste se za ekstrakciju ključnih podataka iz RAM slika. Na primjer, uspješna analiza RAM-a može otkriti FVEK (Full Volume Encryption Key), ključan za dešifriranje. [2]

• Sigurnosne kopije: Ključevi za oporavak često su pohranjeni u mrežnim sustavima poput Active Directoryja, Azure AD-a ili čak u Microsoftovom računu korisnika. Prikupljanje ovih podataka zahtijeva odgovarajuće dozvole i pažljivo praćenje dokumentacije. [3]

BitLocker omogućuje različite metode autentifikacije, uključujući:

• PIN kodove ili lozinke.

• USB ključeve s posebnim certifikatima.

• Automatsko otključavanje s pomoću TPM modula. [1]

Analiza konfiguracijskih datoteka, korisničkih bilješki ili e-mailova može otkriti zapisane PIN-ove ili lozinke. Osim toga, alati poput Passware Kit Forensic mogu pomoći u oporavku PIN-ova ili lozinki putem brute-force ili napada rječnikom. [2]

Kada su ključevi za dešifriranje dostupni, proces je relativno jednostavan. Koriste se alati poput Elcomsoft Forensic Disk Decryptora ili AccessData FTK-a za dešifriranje cijelih volumena uz pomoć pronađenih ključeva iz memorije (RAM-a), sigurnosnih kopija ili mrežnih direktorija poput Active Directoryja. [2, 4] Na primjer, ako se u RAM analizi pronađe FVEK, taj ključ se može iskoristiti za dešifriranje uz minimalan gubitak podataka. [2]

U slučajevima kada ključevi nisu dostupni, istražitelji se oslanjaju na kombinaciju tehničkih i analitičkih metoda:

• Analiza ostataka podataka: Poznata kao “data remnants analysis,” ova metoda koristi činjenicu da neki tragovi ključeva mogu ostati u neiskorištenim dijelovima diska ili u starim backupovima. [5]

• Brute-force i napadi rječnikom: Iako su vremenski intenzivni, ovi napadi mogu biti učinkoviti ako korisnik koristi jednostavne ili predvidljive lozinke. Alati poput Passware Kit Forensic mogu automatizirati ove procese i ubrzati rezultate korištenjem GPU-a za paralelnu obradu. [4]

Forenzičari se oslanjaju na različite alate prilagođene analizi šifriranih sustava. U nastavku su opisani najčešće korišteni alati i njihove mogućnosti.

Ovaj alat koristi slike memorije ili sigurnosne kopije za pronalaženje ključeva za dešifriranje.

Prednosti: Brza obrada i podrška za više formata [4].

Primjena:

• Analiza RAM slika za ekstrakciju FVEK-a.

• Korištenje sigurnosnih kopija iz Active Directoryja [2].

FTK je višenamjenski alat za digitalnu forenziku koji uključuje mogućnosti prepoznavanja šifriranih particija i analize korisničkih aktivnosti.

Prednosti: Intuitivno korisničko sučelje i široka kompatibilnost [5].

Primjena:

• Automatska detekcija šifriranih diskova.

• Stvaranje forenzičkih slika diskova [4].

Magnet AXIOM omogućuje istraživanje digitalnih artefakata povezanih s BitLockerom.

Prednosti: Napredni alati za pretraživanje i filtriranje podataka [5].

Primjena:

• Identifikacija mrežnih zapisa vezanih za ključeve.

• Analiza korisničkih aktivnosti na šifriranim sustavima [3].

Ovaj alat omogućuje analizu šifriranih particija i povezivanje s drugim forenzičkim podacima.

Prednosti: Podrška za mobilne i stacionarne uređaje [3].

Primjena:

• Pregled konfiguracijskih datoteka povezanih s BitLockerom.

• Dešifriranje s pomoću dostupnih ključeva [2, 5].

Forenzička analiza sustava zaštićenih BitLocker tehnologijom zahtijeva napredno tehničko znanje i upotrebu specijaliziranih alata. Iako je enkripcija dizajnirana da osigura maksimalnu zaštitu podataka, istražitelji mogu pronaći načine za pristup informacijama koristeći odgovarajuće metode i alate. Ključ uspješne analize leži u preciznoj pripremi i stručnosti forenzičkog tima.

[1] Microsoft Learn. “BitLocker Overview.” Dostupno na: https://learn.microsoft.com/en-us/windows/security/operating-system-security/data-protection/bitlocker/ Pristupljeno: 26.1.2025.

[2] Oxygen Forensics. “Analysis of BitLocker Protected Images.” Dostupno na: https://www.oxygenforensics.com/en/resources/analysis-of-bitlocker-protected-images/ Pristupljeno: 26.1.2025.

[3] ScienceDirect. “Digital Forensics and Encryption.” Dostupno na: https://www.sciencedirect.com/science/article/pii/S266628172300015X Pristupljeno: 26.1.2025.

[4] ManageEngine. “How to Disable BitLocker Encryption.” Dostupno na: https://www.manageengine.com/products/os-deployer/help/how-to-disable-bitlocker-encryption.html Pristupljeno: 26.1.2025.

[5] Forensic Focus. “BitLocker Decryption Explained.” Dostupno na: https://www.forensicfocus.com/news/bitlocker-decryption-explained/ Pristupljeno: 26.1.2025.