Bluetooth forenzika

Razvoj bežične tehnologije doveo je do masovne primjene Bluetootha, kao oblika komunikacije svakodnevnih uređaja kao što su mobiteli, pametnih satova, IoT, pametnih brava i drugih. Posljedično, Bluetooth komunikacija postaje vrijedan izvor digitalnih tragova u kriminalističkim, sigurnosnim i privatnosnim istragama. Bluetooth forenzika predstavlja specijaliziranu granu digitalne forenzike koja se bavi prikupljanjem, analizom i interpretacijom Bluetooth komunikacije i pripadnih artefakata s ciljem rekonstrukcije događaja, dokazivanja prisutnosti uređaja te utvrđivanja njihove međusobne interakcije. Za razliku od sigurnosnih analiza, forenzički pristup nije usmjeren na sprječavanje napada, već na retroaktivno utvrđivanje činjenica na temelju dokaza.

Bluetooth je bežična komunikacijska tehnologija kratkog domena koja omogućuje bežičnu razmjenu podataka dva uređaja, koristeći radio valove u frekvencijskom pojasu 2.4 GHz. Postoje dvije vrste Bluetootha: klasični (BR/EDR) i Bluetooth Low Energy (BLE). Klasični Bluetooth održava stalnu vezu i namjenjen je za veći protok podataka te se koristi za slušalice, tipkovnice i audio, dok BLE održava povremenu komunikaciju, troši male količine energije te se koristi za senzore, pametne satove, IoT i trackere. Klasični Bluetooth se povezuje na način da uređaj skenira okolinu, drugi uređaji odgovaraju te je sam proces spor, dok BLE koristi oglašavanje (engl. advertising). BLE radi na način da uređaj periodički šalje kratke radio poruke, pakete, sa sadržajem imena, tipa uređaja i usluge koju nudi, koje svi uređaji u blizini mogu primiti. Paketi se mogu pasivno snimati bez uspostave veze, što prestavlja temelj za forenzičku detekciju prisutnosti uređaja. Bluetooth forenzika primjenjuje forenzičke metode na Bluetooth, posebno BLE, komunikaciju i podatke s ciljem dokazivanja prisutnosti, interakcije ili manipulacije između uređaja.

Forenzički dokazi u Bluetooth sustavima nastaju na više razina komunikacije i mogu se klasificirati prema načinu prikupljanja i izvoru podataka.

BLE advertising paketi mogu se pasivno snimati pomoću specijaliziranog hardvera ili kompatibilnih razvojnih pločica. Iz ovih paketa moguće je izvući MAC adrese (ili njihove randomizirane varijante), identifikatore servisa, proizvođačke podatke te vremenske uzorke emitiranja. Iako sadržaj komunikacije često nije dostupan bez ključeva, sama prisutnost i ponašanje uređaja imaju dokaznu vrijednost.

Mobilni operativni sustavi pohranjuju različite Bluetooth artefakte, uključujući zapise o pairingu, cache popise uređaja i sistemske logove. Na Android platformi osobito je vrijedan Bluetooth HCI snoop log, koji omogućuje detaljnu analizu Bluetooth komunikacije unutar alata poput Wiresharka. Ovi zapisi često pružaju najkompletniji uvid u stvarni tijek komunikacije.

IoT uređaji i pripadajuće mobilne aplikacije često implementiraju vlastitu logiku iznad BLE protokola. Analizom GATT servisa i karakteristika moguće je rekonstruirati radnje poput otključavanja pametne brave, sinkronizacije senzorskih podataka ili slanja naredbi uređaju.

Bluetooth forenzička analiza kreće od identifikacije potencijalnih dokaza (računalo, mobitel, mrežni promet) s ciljem akvizicije, to jest sakupljanja podataka bez promjene izvornog stanja. Razlikujemo tri vrste akvizicije: pasivna, logička i aktivna. Pasivna se bazira na snimanju BLE oglašavanja i RF sniffinga. Logička koristi Android HCI snoop logove, sistemske Bluetooth logove i aplikacijske zapise, dok aktivna koristi samo spajanje na uređaj, čitanje GATT karakteristika i slanje upita. Sakupljene podatke, kao što su struktura BLE paketa, vremesnki slijed oglašavanja i uparivanje, analiziramo kroz dekodiranje podataka, filtriranje šuma i traženja obrazaca. Analiza mora biti ponovljiva. Korelacija je cilj analize, to jest povezivanje više izvora u smislenu cjelinu, na primjer korelacija Bluetooth oglašavanja skupa sa GPS lokacijom. Korelacijom dokazujemo ponašanje ne identitet. NAvedeno interpretiramo i pišemo izvještaj.

Ranjivosti Bluetootha proizlaze iz nekoliko kompromisa: radio kao otvoreni medij, ograničenja uređaja i standard koji je fleksibilan. Ranjivosti radio sloja dovode do mogućnosti sniffinga, to jest pasivnog prisluškivanja gdje napadač bez interakcije može snimati pakete oglašavanja i njihovu metriku. Ranjivost faze uparivanja je najkritičnija zbog manjka sigurnosne provjere.

U praksi se koriste:

• Wireshark s BLE podrškom,
• Nordic nRF Sniffer,
• Ubertooth One,
• Android HCI snoop logovi,
• komercijalni forenzički alati (Cellebrite, Magnet AXIOM).

Kombinacija pasivnog snimanja i analize sistemskih artefakata daje najpouzdanije rezultate.

Bluetooth forenzika mora poštovati pravne okvire, osobito u pogledu privatnosti i dopuštenosti pasivnog snimanja radio prometa. Aktivna interakcija s uređajima može imati pravne posljedice, stoga se u forenzičkom kontekstu preferira pasivna akvizicija i stroga dokumentacija svakog koraka.

[1] Bluetooth Core Specification, Bluetooth SIG

[2] NIST SP 800-121 Rev. 2 – Guide to Bluetooth Security

[3] Becker et al., Tracking Anonymized Bluetooth Devices, PoPETS

[4] Wu et al., BLESA: Spoofing Attacks against Reconnections in BLE, USENIX

[5] Garbelini et al., SweynTooth: Unleashing Mayhem over BLE, USENIX ATC

[6] SWGDE – Best Practices for Mobile Device Forensic Analysis

[7] SWGDE – Test Method for Bluetooth Module Extraction and Analysis

[8] Wireshark Bluetooth Documentation

[9] Android Open Source Project – Bluetooth HCI Snoop Log

[10] Nordic Semiconductor – BLE Sniffer Documentation

[11] Great Scott Gadgets – Ubertooth One Documentation