TrueCrypt , açık kaynak kodlu dosya/disk şifreleme yazılımıdır. Desteklediği algoritmalar ve esnek kullanımı sayesinde bilişim dünyasının de fakto disk/veri şifreleme yazılımı olarak anılmaktadır. Truecrypt ile dosya/disk şifrelemede bu konudaki tüm yazılımların sağladığı parola koruması ve parola saldırılarına karşı önlem amaçlı anahtar tabanlı şifreleme işlemi de gerçekleştirilebilmektedir.
Bu blog girdisi TrueCrypt kullanılarak şifrelenmiş bir disk alanının belirlenmesi ve şifreleme amaçlı kullanılan anahtarın – parola- bulunmasına yönelik pratik bilgiler içermektedir.
TruCrypt ile Şifrelenmiş Disk Alanlarının Bulunması
Disk üzerinde TrueCrypt kullanılarak şifrelenmiş alanları bulma konusunda kesin sonuç vermede birden fazla yazılım bulunmaktadır. Bunlardan ikisi Tchunt ve File Investigator File Find dır.
TrueCypt Disk/Dosya Şifreleme
Klasik dosya/disk şifreleme yazılımlarından farklı olarak TruCrypt once boş bir veri alanının oluşturulmasını, bunun sisteme bağlanmasını (Linux kullananlara oldukça tanıdık gelecek bir yöntem) ve ardından sisteme bağlanan alana (artık sistemde bir partition olarak gözükecektir) istenilen verilerin kopyalanması şeklinde çalışmaktadır.
TrueCrypt Parolalarına Yönelik Kırma Saldırıları
TrueCrypt disk şifreleme için hem parola tabanlı hem de sertifika tabanlı koruma özelliği sunmaktadır. Parola tabanlı koruma özelliği doğası gereği parola saldırılar karşı açıktır. Seçilen parola güçlü değilse kısa sürede belirlenebilir ve şifreli disk alanları çözülebilir. Truecrypt şifreli alanların parolasının bulunması için farklı yazılımlar geliştirilmiştir.
Bunlardan biri de TCBrute adlı Windows arabirimine sahip yazılımdır. Bu yazılım kullanılarak TrueCrypt korumalı alanlara sözlük listesi saldırısı düzenlenerek parola bulma işlemi gerçekleştirilebilir.
Sözlük listesi kullanımı
Burada dikkat edilmesi gereken en önemli husus sözlük listesi saldırılarında eğer şifreleme amaçlı kullanılan anahtar sözlük listesinde yoksa sonuç başarısız olacaktır. Yine kullanılan algoritmaların tipine bağlı olarak parola kırma hızı oldukça düşüktür. 10-15 karekter aralığında seçilecek güçlü bir parolanın kırılma ihtimali yok denecek kadar azdır. TcBrute yazılımına alternatif GPU destekli yazılımlar bulunsa da bunların da hızı saniyede 1000-5000 arasında değişmektedir.
Parola saldırılarına karşı bir koruma da anahtar tabanlı şifreleme özelliğini kullanmaktır. Aşağıda bu özelliğin nasıl kullanıldığını gösteren ekran görüntüleri yer almaktadır.
Keyfile kullanılarak gerçekleştirilen şifrelenmiş disk alanının sisteme bağlanması (mount) ve kullanımı
3 Yorum
Hatta İstanbul Polisi
20 adet Z800 32 GB +20 Tableu HA + 1 peta byte blade server ile DNA+PRTK indexlemesi ve sağlam bir wordlist ile müthiş sonuçlar elde ediyor olabilirler…
Merhabalar,
değerli paylaşımlarınız için teşekkürler.
Türkiye'deki polislerin yaptığı işlerin de çok aşağı kalır olmadığını düşünüyorum. Sadece dışarıyla bilgi paylaşılmıyor:)
Enes YARDIM @BGA
Güzel Bir yazı. Bir Eklemede daha bulunmak istiyorum müsadenizle.
Başka bir Adli Bilişim yöntemi daha;
Encase vd FTK gibi yazilimlarda encrypted bir alanı rahatlıkla bulabilmektedirler.
Eee bulduk, Bruteforce mu??? Dictionary mi ??? Vs vs ne yapacağız.
Unutulmamalı ki bir şekide;(Alternatiflerimiz)
a.kriptolanan verinin kriptosuz hali sistem üzerinden geçmekte ve bulunabilmesi muhtemel 🙂
b.Encryption icin kullanılan token/pass yada cert o sistem üzerinde mevcut olabilir ki bu cok karşılaşılan bir durum :)))) :%90 diyebilirim.
c.EnCase veya FTK nin decryption modulleri eğer sistem'in index'lenmesi yapıldıysa (unallocated space ve ram slack ri de dahil) bu konuda duruma göre 10-15 gün içerisinde ilaç olabiliyor. Tabiiii sistem üzerinde Tableau Hardware Accelerator varsa. (Ama sistem çaktı yaaa diye reset etmesseniz :)))
d.FTK'nin PRTK si ile tüm diskin indexlenmesi yapılıp dictionary oluşturuduysa ve DNA+PRTK ile Tableau HA'li 15-20 makine ile süre oldukça aza indirilebiliyor.
Tarafımdan gerçekleştirilmiş bir incelemede Tableu HA'li 12 makine (makineler çift işlemcili xeon en az 8gb max 32gb ram) gigabit network üzerinde; 19 karakterli sıkı bir container şifresi diskten elde edilen patternlerden sözlükde kullanılarak FTK ile 8 Saatte Encase Enterprise+Modules ile 9 saatte elde edilmiş sonucunda ohaaaaaa filan olmuşuzdur. (Bu inceleme EU Polisleriyle birlikte yurt disinda yapildi)
Türkiyedekilere duyrulur))
Selamlar.
A.Hakan Ekizer
Eulex Kosovo