TrueCrypt Kullanılarak Şifrelenmiş Dosyaların Parolalarını Bulma

TrueCrypt , açık kaynak kodlu dosya/disk şifreleme yazılımıdır. Desteklediği algoritmalar ve esnek kullanımı sayesinde bilişim dünyasının de fakto disk/veri şifreleme yazılımı olarak anılmaktadır. Truecrypt ile dosya/disk şifrelemede bu konudaki tüm yazılımların sağladığı parola koruması ve parola saldırılarına karşı önlem  amaçlı anahtar tabanlı şifreleme işlemi de gerçekleştirilebilmektedir.

Bu blog girdisi TrueCrypt kullanılarak şifrelenmiş bir disk alanının belirlenmesi ve şifreleme amaçlı kullanılan anahtarın – parola- bulunmasına yönelik pratik bilgiler içermektedir.

TruCrypt ile Şifrelenmiş Disk Alanlarının Bulunması

Disk üzerinde TrueCrypt kullanılarak şifrelenmiş alanları bulma konusunda kesin sonuç vermede birden fazla yazılım bulunmaktadır. Bunlardan ikisi Tchunt ve File Investigator File Find dır.

 

 

TrueCypt Disk/Dosya Şifreleme

Klasik dosya/disk şifreleme yazılımlarından farklı olarak TruCrypt once boş bir veri alanının oluşturulmasını, bunun sisteme bağlanmasını (Linux kullananlara oldukça tanıdık gelecek bir yöntem) ve ardından sisteme bağlanan alana (artık sistemde bir partition olarak gözükecektir) istenilen verilerin kopyalanması  şeklinde çalışmaktadır.

 

TrueCrypt Parolalarına Yönelik Kırma Saldırıları

TrueCrypt disk şifreleme için hem parola tabanlı hem de sertifika tabanlı koruma özelliği sunmaktadır. Parola tabanlı koruma özelliği doğası gereği parola saldırılar karşı açıktır. Seçilen parola güçlü değilse kısa sürede belirlenebilir ve şifreli disk alanları çözülebilir. Truecrypt şifreli alanların parolasının bulunması için farklı yazılımlar geliştirilmiştir.

Bunlardan biri de TCBrute adlı Windows arabirimine sahip yazılımdır. Bu yazılım kullanılarak TrueCrypt korumalı alanlara sözlük listesi saldırısı düzenlenerek parola bulma işlemi gerçekleştirilebilir.

 

Sözlük listesi kullanımı

 

Burada dikkat edilmesi gereken en önemli husus sözlük listesi saldırılarında eğer şifreleme amaçlı kullanılan anahtar sözlük listesinde yoksa sonuç başarısız olacaktır.  Yine kullanılan algoritmaların tipine bağlı olarak parola kırma hızı oldukça düşüktür. 10-15 karekter aralığında seçilecek güçlü bir parolanın kırılma ihtimali yok denecek kadar azdır. TcBrute yazılımına alternatif GPU destekli yazılımlar bulunsa da bunların da hızı saniyede 1000-5000 arasında değişmektedir.

Parola saldırılarına karşı bir koruma da anahtar tabanlı şifreleme özelliğini kullanmaktır. Aşağıda bu özelliğin nasıl kullanıldığını gösteren ekran görüntüleri yer almaktadır.

 

Keyfile kullanılarak gerçekleştirilen şifrelenmiş disk alanının sisteme bağlanması (mount) ve kullanımı

3 Yorum

  1. İstanbul Polisi 5 Temmuz 2012 14:13

    Hatta İstanbul Polisi

    20 adet Z800 32 GB +20 Tableu HA + 1 peta byte blade server ile DNA+PRTK indexlemesi ve sağlam bir wordlist ile müthiş sonuçlar elde ediyor olabilirler…

  2. bga 19 Mart 2012 12:17

    Merhabalar,

    değerli paylaşımlarınız için teşekkürler.

    Türkiye'deki polislerin yaptığı işlerin de çok aşağı kalır olmadığını düşünüyorum. Sadece dışarıyla bilgi paylaşılmıyor:)

    Enes YARDIM @BGA

  3. Hakan Ekizer 19 Mart 2012 00:39

    Güzel Bir yazı. Bir Eklemede daha bulunmak istiyorum müsadenizle.
    Başka bir Adli Bilişim yöntemi daha;

    Encase vd FTK gibi yazilimlarda encrypted bir alanı rahatlıkla bulabilmektedirler.
    Eee bulduk, Bruteforce mu??? Dictionary mi ??? Vs vs ne yapacağız.

    Unutulmamalı ki bir şekide;(Alternatiflerimiz)
    a.kriptolanan verinin kriptosuz hali sistem üzerinden geçmekte ve bulunabilmesi muhtemel 🙂
    b.Encryption icin kullanılan token/pass yada cert o sistem üzerinde mevcut olabilir ki bu cok karşılaşılan bir durum :)))) :%90 diyebilirim.
    c.EnCase veya FTK nin decryption modulleri eğer sistem'in index'lenmesi yapıldıysa (unallocated space ve ram slack ri de dahil) bu konuda duruma göre 10-15 gün içerisinde ilaç olabiliyor. Tabiiii sistem üzerinde Tableau Hardware Accelerator varsa. (Ama sistem çaktı yaaa diye reset etmesseniz :)))
    d.FTK'nin PRTK si ile tüm diskin indexlenmesi yapılıp dictionary oluşturuduysa ve DNA+PRTK ile Tableau HA'li 15-20 makine ile süre oldukça aza indirilebiliyor.
    Tarafımdan gerçekleştirilmiş bir incelemede Tableu HA'li 12 makine (makineler çift işlemcili xeon en az 8gb max 32gb ram) gigabit network üzerinde; 19 karakterli sıkı bir container şifresi diskten elde edilen patternlerden sözlükde kullanılarak FTK ile 8 Saatte Encase Enterprise+Modules ile 9 saatte elde edilmiş sonucunda ohaaaaaa filan olmuşuzdur. (Bu inceleme EU Polisleriyle birlikte yurt disinda yapildi)
    Türkiyedekilere duyrulur))

    Selamlar.
    A.Hakan Ekizer
    Eulex Kosovo

Yorum Yaz

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*
*

17 − two =

Mail listemize üye olarak eğitim fırsatlarını kaçırmayın!
Eğitim ve ücretsiz etkinliklerizden haberdar olmak için e-posta listesimize üye olun!.