| Starije izmjene na obje strane
Starija izmjena
Novija izmjena
|
Starija izmjena
|
racfor_wiki:seminari2025:tp52607 [2026/02/03 03:01]
Timoteja Piveta [Izvori forenzičkih dokaza u Bluetooth okruženju] |
racfor_wiki:seminari2025:tp52607 [2026/02/20 09:30] (trenutno)
Timoteja Piveta [Sažetak] |
| |
| |
| | Bluetooth tehnologija danas je sastavni dio velikog broja svakodnevnih uređaja, uključujući mobilne telefone, nosive uređaje i razne IoT sustave. Posebno je značajan Bluetooth Low Energy (BLE), koji zbog niske potrošnje energije i stalnog oglašavanja generira digitalne tragove, čak i bez izravne korisničke interakcije. Zbog toga Bluetooth komunikacija predstavlja vrijedan izvor dokaza u kriminalističkim i sigurnosnim istragama. |
| | Ovaj rad daje pregled Bluetooth forenzike kao specijalizirane grane digitalne forenzike. Opisane su osnovne značajke Bluetooth tehnologije, s naglaskom na razlike između klasičnog Bluetootha i BLE-a, te su analizirani glavni izvori forenzičkih dokaza, uključujući over-the-air radio promet, sistemske artefakte krajnjih uređaja i aplikacijske podatke. Posebna pozornost posvećena je metodologiji Bluetooth forenzičke analize, koja obuhvaća identifikaciju, akviziciju, analizu, korelaciju i interpretaciju dokaza. |
| | Zaključno, seminar razmatra sigurnosne ranjivosti Bluetooth sustava i njihov forenzički značaj, naglašavajući potrebu za opreznom i kritičkom interpretacijom prikupljenih podataka. |
| |
| ===== Uvod ===== | ===== Uvod ===== |
| |
| |
| Razvoj bežične tehnologije doveo je do masovne primjene Bluetootha, kao oblika komunikacije svakodnevnih uređaja kao što su mobiteli, pametnih satova, IoT, pametnih brava i drugih. Posljedično, Bluetooth komunikacija postaje vrijedan izvor digitalnih tragova u kriminalističkim, sigurnosnim i privatnosnim istragama. | Razvoj bežičnih komunikacijskih tehnologija doveo je do široke integracije Bluetooth protokola u suvremene digitalne sustave. Bluetooth je danas temelj komunikacije brojnih svakodnevnih uređaja, uključujući mobilne telefone, nosive uređaje i IoT sustave. Posebno važnu ulogu ima Bluetooth Low Energy (BLE), koji zbog niske potrošnje energije i stalne dostupnosti omogućuje kontinuiranu razmjenu podataka u pozadini rada uređaja. Posljedica takve sveprisutnosti je stvaranje velikog broja digitalnih tragova koji mogu imati značajnu forenzičku vrijednost. |
| Bluetooth forenzika predstavlja specijaliziranu granu digitalne forenzike koja se bavi prikupljanjem, analizom i interpretacijom Bluetooth komunikacije i pripadnih artefakata s ciljem rekonstrukcije događaja, dokazivanja prisutnosti uređaja te utvrđivanja njihove međusobne interakcije. Za razliku od sigurnosnih analiza, forenzički pristup nije usmjeren na sprječavanje napada, već na retroaktivno utvrđivanje činjenica na temelju dokaza. | U kontekstu digitalne forenzike, Bluetooth komunikacija predstavlja specifičan i tehnički zahtjevan izvor dokaza. Bluetooth podaci mogu se koristiti za dokazivanje prisutnosti uređaja, analizu njihovog ponašanja i rekonstrukciju međusobnih interakcija u određenom vremenskom i prostornom kontekstu. Za razliku od klasičnih mrežnih tehnologija, Bluetooth generira forenzičke artefakte koji su često kratkotrajni, distribuirani i djelomično anonimni, što zahtijeva poseban metodološki pristup analizi. |
| | Bluetooth forenzika definirana je kao specijalizirana grana digitalne forenzike koja se bavi prikupljanjem, analizom i interpretacijom Bluetooth komunikacije i pripadnih artefakata. Njezin cilj nije aktivno sprječavanje sigurnosnih incidenata, već retroaktivna rekonstrukcija događaja na temelju tehničkih dokaza. Takav pristup zahtijeva detaljno razumijevanje Bluetooth arhitekture, sigurnosnih mehanizama i ograničenja protokola, kao i dosljednu primjenu forenzičke metodologije. |
| |
| ===== Osnove Bluetootha ===== | ===== Osnove Bluetootha ===== |
| |
| |
| Forenzički dokazi u Bluetooth sustavima mogu se podijeliti u tri glavne skupine. | Forenzički dokazi u Bluetooth sustavima nastaju na više razina komunikacije i mogu se klasificirati prema načinu prikupljanja i izvoru podataka. |
| |
| **Over-the-air radio promet** | ==== Over-the-air radio promet ==== |
| BLE advertising paketi mogu se pasivno snimati pomoću specijaliziranog hardvera ili kompatibilnih razvojnih pločica. Iz ovih paketa moguće je izvući MAC adrese (ili njihove randomizirane varijante), identifikatore servisa, proizvođačke podatke te vremenske uzorke emitiranja. Iako sadržaj komunikacije često nije dostupan bez ključeva, sama prisutnost i ponašanje uređaja imaju dokaznu vrijednost. | |
| |
| **Sistemski artefakti krajnjih uređaja** | Over-the-air (OTA) radio promet odnosi se na sve Bluetooth pakete koji se prenose bežičnim putem između uređaja i mogu se detektirati izravno iz radio spektra, bez potrebe za pristupom samim uređajima. U kontekstu Bluetooth forenzike, OTA promet predstavlja najneposredniji i često jedini dostupni izvor dokaza, osobito u situacijama kada krajnji uređaji nisu fizički dostupni ili su podaci na njima izgubljeni. |
| Mobilni operativni sustavi pohranjuju različite Bluetooth artefakte, uključujući zapise o pairingu, cache popise uređaja i sistemske logove. Na Android platformi osobito je vrijedan Bluetooth HCI snoop log, koji omogućuje detaljnu analizu Bluetooth komunikacije unutar alata poput Wiresharka. Ovi zapisi često pružaju najkompletniji uvid u stvarni tijek komunikacije. | Za razliku od sistemskih logova, OTA promet ne ovisi o operacijskom sustavu, aplikaciji ili konfiguraciji uređaja, već isključivo o stvarnom ponašanju Bluetooth protokola u eteru. Upravo zbog toga OTA analiza ima visoku dokaznu vrijednost u pogledu prisutnosti i ponašanja uređaja, iako rijetko omogućuje izravnu identifikaciju korisnika. |
| | BLE oglašivački paketi mogu se pasivno snimati pomoću specijaliziranog hardvera ili kompatibilnih razvojnih pločica. Iz ovih paketa moguće je izvući MAC adrese (ili njihove randomizirane varijante), identifikatore servisa, proizvođačke podatke te vremenske uzorke emitiranja. Iako sadržaj komunikacije često nije dostupan bez ključeva, sama prisutnost i ponašanje uređaja imaju dokaznu vrijednost. |
| |
| **Aplikacijski i IoT podaci** | ==== Sistemski artefakti krajnjih uređaja ==== |
| IoT uređaji i pripadajuće mobilne aplikacije često implementiraju vlastitu logiku iznad BLE protokola. Analizom GATT servisa i karakteristika moguće je rekonstruirati radnje poput otključavanja pametne brave, sinkronizacije senzorskih podataka ili slanja naredbi uređaju. | |
| | Mobilni operativni sustavi pohranjuju niz sistemskih artefakata povezanih s Bluetooth komunikacijom koji imaju visoku forenzičku vrijednost. Ti artefakti nastaju kao posljedica normalnog rada Bluetooth stacka i često uključuju zapise o uparivanju (pairing), cache popise prethodno detektiranih uređaja, sigurnosne ključeve te detaljne sistemske logove. Za razliku od OTA radio prometa, koji pruža uvid u ponašanje uređaja izvana, sistemski artefakti omogućuju rekonstrukciju komunikacije iz perspektive samog uređaja. |
| | Na Android platformama se često koristi Bluetooth HCI snoop log, koji bilježi komunikaciju na razini Host Controller Interface (HCI), odnosno sučelja između operativnog sustava i Bluetooth kontrolera. Ovaj zapis sadrži detaljne informacije o svim Bluetooth događajima, uključujući skeniranje, oglašavanje, uspostavu veze, uparivanje, razmjenu podataka i prekid komunikacije. Obzirom da se HCI snoop logovi mogu analizirati pomoću Wiresharkom, moguće je dekodirati pakete do niske razine protokola i precizno rekonstruirati tijek komunikacije. |
| | Forenzička prednost sistemskih artefakata leži u činjenici da oni često zaobilaze ograničenja pasivnog sniffinga, poput gubitka paketa, problema s praćenjem kanala ili enkripcije. Budući da se promet bilježi na samom uređaju prije ili nakon enkripcije, HCI snoop log pruža više informacija o Bluetooth interakcijama nego over-the-air snimke. |
| | |
| | ==== Aplikacijski i IoT podaci ==== |
| | |
| | Iznad osnovne BLE komunikacije često se nalazi aplikacijska logika specifična za pojedinog proizvođača, koja predstavlja ključni izvor forenzičkih dokaza. IoT uređaji i pripadajuće mobilne aplikacije koriste BLE protokol kao transportni sloj, dok stvarno značenje razmijenjenih podataka ovisi o implementaciji GATT servisa i karakteristika. Svaki servis predstavlja određenu funkcionalnost uređaja, dok karakteristike sadrže konkretne podatke ili naredbe. |
| | Forenzičkom analizom GATT strukture moguće je rekonstruirati konkretne radnje koje su se dogodile u stvarnom svijetu, poput otključavanja pametne brave, promjene konfiguracije uređaja, sinkronizacije senzorskih mjerenja ili aktivacije određenih funkcija. Za razliku od samog radio prometa, koji uglavnom pruža informacije o prisutnosti i ponašanju, aplikacijski podaci omogućuju izravnu poveznicu između Bluetooth komunikacije i fizičkih događaja. |
| | Međutim, značajan izazov u ovom području predstavlja činjenica da aplikacijski protokoli često nisu standardizirani. Proizvođači implementiraju vlastite, tzv. vendor-specific servise, čija semantika nije javno dokumentirana. To zahtijeva dodatne forenzičke tehnike poput reverznog inženjeringa mobilnih aplikacija ili dinamičke analize GATT komunikacije. Upravo zbog toga aplikacijski i IoT podaci imaju visoku dokaznu vrijednost, ali zahtijevaju duboko tehničko razumijevanje BLE protokola i specifične implementacije uređaja. |
| | U kontekstu Bluetooth forenzike, ovi podaci često predstavljaju završni sloj analize, jer omogućuju povezivanje tehničkih tragova s konkretnim radnjama korisnika ili sustava. Kada se kombiniraju sa sistemskim artefaktima i OTA prometom, aplikacijski podaci značajno povećavaju pouzdanost forenzičkih zaključaka. |
| |
| ===== Metodologija Bluetooth forenzičke analize ===== | ===== Metodologija Bluetooth forenzičke analize ===== |
| |
| Bluetooth forenzička analiza kreće od identifikacije potencijalnih dokaza (računalo, mobitel, mrežni promet) s ciljem akvizicije, to jest sakupljanja podataka bez promjene izvornog stanja. Razlikujemo tri vrste akvizicije: pasivna, logička i aktivna. Pasivna se bazira na snimanju BLE oglašavanja i RF sniffinga. Logička koristi Android HCI snoop logove, sistemske Bluetooth logove i aplikacijske zapise, dok aktivna koristi samo spajanje na uređaj, čitanje GATT karakteristika i slanje upita. Sakupljene podatke, kao što su struktura BLE paketa, vremesnki slijed oglašavanja i uparivanje, analiziramo kroz dekodiranje podataka, filtriranje šuma i traženja obrazaca. Analiza mora biti ponovljiva. Korelacija je cilj analize, to jest povezivanje više izvora u smislenu cjelinu, na primjer korelacija Bluetooth oglašavanja skupa sa GPS lokacijom. Korelacijom dokazujemo ponašanje ne identitet. NAvedeno interpretiramo i pišemo izvještaj. | |
| | Bluetooth forenzička analiza započinje identifikacijom potencijalnih izvora dokaza, pri čemu se utvrđuje koji su uređaji, sustavi i komunikacijski kanali relevantni za istragu. U toj fazi identificiraju se krajnji uređaji poput računala i mobilnih telefona, dostupni IoT uređaji te potencijalni izvori mrežnog i radio prometa. Posebna se pažnja posvećuje volatilnosti Bluetooth podataka, budući da se mnogi artefakti mogu brzo izgubiti ili prepisati tijekom normalnog rada sustava. |
| | Nakon identifikacije slijedi akvizicija podataka, čiji je osnovni cilj prikupljanje dokaza bez promjene izvornog stanja. U Bluetooth forenzici razlikuju se tri osnovna tipa akvizicije: pasivna, logička i aktivna. Pasivna akvizicija temelji se na snimanju BLE oglašavanja i RF sniffingu te se smatra forenzički najčišćom metodom jer ne uključuje nikakvu interakciju s ciljnim uređajem. Logička akvizicija obuhvaća prikupljanje sistemskih Bluetooth zapisa, kao što su Android HCI snoop logovi, sistemski logovi Bluetooth stacka i aplikacijski zapisi, koji omogućuju detaljan uvid u tijek komunikacije iz perspektive samog uređaja. Aktivna akvizicija uključuje izravno spajanje na Bluetooth uređaj, čitanje GATT karakteristika i slanje upita, pri čemu postoji rizik promjene stanja sustava, zbog čega ova metoda zahtijeva strogu dokumentaciju i jasno opravdanje. |
| | Sakupljeni podaci zatim se podvrgavaju forenzičkoj analizi, koja uključuje dekodiranje Bluetooth paketa, filtriranje šuma i izdvajanje relevantnih događaja. Analiza obuhvaća proučavanje strukture BLE paketa, vremenskog slijeda oglašavanja, uspostave veze i procesa uparivanja. Ključno je da analiza bude ponovljiva, odnosno da drugi forenzičar, koristeći iste podatke i metodologiju, može doći do istih zaključaka. |
| | Središnji dio forenzičke obrade predstavlja korelacija podataka, čiji je cilj povezivanje više izvora dokaza u smislenu i konzistentnu cjelinu. U Bluetooth forenzici rijetko je moguće dokazati apsolutni identitet uređaja zbog randomizacije adresa i mehanizama privatnosti, stoga se korelacijom prvenstveno dokazuje ponašanje uređaja. Primjeri korelacije uključuju povezivanje Bluetooth oglašavanja s GPS lokacijom, usporedbu vremenskih oznaka iz HCI logova s aplikacijskim zapisima ili korelaciju jačine signala s kretanjem uređaja kroz prostor. |
| | Završna faza metodologije uključuje interpretaciju rezultata i izradu forenzičkog izvještaja. U ovoj fazi tehnički nalazi prevode se u jasno i neutralno objašnjenje događaja, uz navođenje ograničenja analize i mogućih alternativnih tumačenja. Forenzički izvještaj mora jasno razlikovati činjenice od pretpostavki te dokumentirati korištene metode i alate, čime se osigurava pravna održivost i stručna vjerodostojnost rezultata. |
| |
| ===== Sigurnosne ranjivosti i forenzički značaj ===== | ===== Sigurnosne ranjivosti i forenzički značaj ===== |
| |
| Ranjivosti Bluetootha proizlaze iz nekoliko kompromisa: radio kao otvoreni medij, ograničenja uređaja i standard koji je fleksibilan. Ranjivosti radio sloja dovode do mogućnosti sniffinga, to jest pasivnog prisluškivanja gdje napadač bez interakcije može snimati pakete oglašavanja i njihovu metriku. Ranjivost faze uparivanja je najkritičnija zbog manjka sigurnosne provjere. | |
| | Sigurnosne ranjivosti Bluetooth tehnologije proizlaze iz nekoliko temeljnih kompromisa koji su nužni kako bi se osigurala široka primjena tehnologije. Prvi kompromis odnosi se na korištenje radija kao otvorenog komunikacijskog medija, drugi na ograničene hardverske resurse velikog broja Bluetooth uređaja, dok treći proizlazi iz fleksibilnosti samog Bluetooth standarda, koji dopušta različite implementacije i sigurnosne opcije. |
| | Ranjivosti na razini radio sloja rezultat su činjenice da se Bluetooth komunikacija odvija bežičnim putem u nelicenciranom frekvencijskom pojasu. Zbog toga je Bluetooth promet moguće pasivno prisluškivati bez ikakve interakcije s ciljnim uređajem. U praksi to znači da napadač može snimati BLE oglasne pakete, mjeriti jačinu signala (RSSI) te bilježiti vremenske obrasce emitiranja. Iako takav napad ne omogućuje izravan uvid u sadržaj komunikacije, prikupljeni metapodaci imaju značajnu forenzičku vrijednost jer omogućuju dokazivanje prisutnosti uređaja u određenom prostoru i vremenu te analizu njegovog ponašanja. |
| | Posebno kritična skupina ranjivosti pojavljuje se u fazi uparivanja, koja predstavlja trenutak uspostave povjerenja između uređaja. Kako bi Bluetooth bio primjenjiv na uređaje s ograničenim mogućnostima interakcije, standard dopušta metode uparivanja s minimalnom ili nikakvom autentikacijom, poput metode Just Works. Takav pristup smanjuje sigurnost jer ne osigurava zaštitu od napada posrednika (engl. man-in-the-middle), što može rezultirati neovlaštenim presretanjem ili manipulacijom komunikacije. Iz forenzičke perspektive, to znači da zapis o uspješnom uparivanju ne mora nužno implicirati da je komunikacija uspostavljena s legitimnim uređajem. |
| | Dodatni izazov predstavlja fleksibilnost Bluetooth standarda, koja proizlazi iz potrebe za kompatibilnošću različitih uređaja i generacija tehnologije. Standard definira velik broj opcionalnih sigurnosnih mehanizama i dopušta različite načine njihove implementacije. U praksi to često dovodi do korištenja najslabijih dopuštenih sigurnosnih postavki ili do neujednačenih implementacija, što povećava izloženost spoofing i downgrade napadima. Ovakve ranjivosti imaju izravan forenzički značaj jer otežavaju jednoznačnu atribuciju komunikacije i zahtijevaju opreznu interpretaciju prikupljenih dokaza. |
| |
| ===== Alati za Bluetooth forenziku ===== | ===== Alati za Bluetooth forenziku ===== |
| |
| |
| Bluetooth forenzika mora poštovati pravne okvire, osobito u pogledu privatnosti i dopuštenosti pasivnog snimanja radio prometa. Aktivna interakcija s uređajima može imati pravne posljedice, stoga se u forenzičkom kontekstu preferira pasivna akvizicija i stroga dokumentacija svakog koraka. | Bluetooth forenzika mora se provoditi u skladu s važećim pravnim okvirima, osobito u pogledu zaštite privatnosti i zakonitosti prikupljanja podataka. Budući da Bluetooth komunikacija koristi radio kao otvoreni medij, tehnički je moguće pasivno snimati OTA promet bez znanja ili pristanka vlasnika uređaja. Međutim, pravna dopuštenost takvog snimanja ovisi o nacionalnom zakonodavstvu i kontekstu u kojem se analiza provodi. U forenzičkom kontekstu posebno je važno razlikovati pasivno promatranje radio prometa od aktivne intervencije u komunikaciju. |
| |
| ===== Zaključak ===== | ===== Zaključak ===== |
| |
| |
| | Bluetooth forenzika postaje sve važnija disciplina unutar digitalne forenzike zbog sveprisutnosti Bluetooth tehnologije, a osobito Bluetooth Low Energy protokola, u suvremenim uređajima. Kontinuirano oglašavanje BLE uređaja, njihova integracija u mobilne operativne sustave i široka primjena u IoT okruženjima stvaraju velik forenzički potencijal, ali istovremeno uvode i niz tehničkih i metodoloških izazova. |
| | Analiza Bluetooth komunikacije pokazuje da, unatoč mehanizmima zaštite poput enkripcije i randomizacije adresa, sustav ostavlja mjerljive tragove koje se može analizirati. Pasivno snimanje over-the-air prometa, analiza sistemskih artefakata i interpretacija aplikacijske logike omogućuju dokazivanje prisutnosti uređaja, rekonstrukciju vremenskog slijeda događaja te utvrđivanje interakcije između uređaja. Ključnu ulogu u tome ima pravilno provedena forenzička metodologija, koja osigurava objektivnost, ponovljivost i pravnu prihvatljivost rezultata. |
| | Sigurnosne ranjivosti Bluetooth sustava, koje proizlaze iz otvorenog radio medija, ograničenja uređaja i fleksibilnosti standarda, dodatno naglašavaju potrebu za opreznom interpretacijom dokaza. Forenzički nalazi moraju se promatrati u kontekstu mogućih manipulacija, spoofing napada i implementacijskih pogrešaka kako bi se izbjegli pogrešni zaključci. |
| | Zaključno, Bluetooth forenzika zahtijeva interdisciplinarni pristup koji objedinjuje znanje o bežičnim protokolima, operacijskim sustavima i forenzičkim principima. S obzirom na daljnji rast broja Bluetooth i BLE uređaja, može se očekivati da će ova disciplina imati sve značajniju ulogu u sigurnosnim i kriminalističkim istragama, kao i u istraživanjima privatnosti i digitalnih tragova. |
| |
| ===== Literatura ===== | ===== Literatura ===== |
| |
| Bluetooth Core Specification, Bluetooth SIG | [1] [[https://www.bluetooth.com/specifications/specs/ | Bluetooth Core Specification, Bluetooth SIG]] |
| NIST SP 800-121 Rev. 2 – Guide to Bluetooth Security | |
| Becker et al., Tracking Anonymized Bluetooth Devices, PoPETS | [2] [[https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-121r2.pdf | NIST SP 800-121 Rev. 2 – Guide to Bluetooth Security]] |
| Wu et al., BLESA: Spoofing Attacks against Reconnections in BLE, USENIX | |
| Garbelini et al., SweynTooth: Unleashing Mayhem over BLE, USENIX ATC | [3] [[https://petsymposium.org/popets/2019/popets-2019-0036.pdf | Becker et al., Tracking Anonymized Bluetooth Devices, PoPETS]] |
| SWGDE – Best Practices for Mobile Device Forensic Analysis | |
| SWGDE – Test Method for Bluetooth Module Extraction and Analysis | [4] [[https://www.usenix.org/system/files/woot20-paper-wu-updated.pdf | Wu et al., BLESA: Spoofing Attacks against Reconnections in BLE, USENIX]] |
| Wireshark Bluetooth Documentation | |
| Android Open Source Project – Bluetooth HCI Snoop Log | [5] [[https://www.usenix.org/conference/atc20/presentation/garbelini | Garbelini et al., SweynTooth: Unleashing Mayhem over BLE, USENIX ATC]] |
| Nordic Semiconductor – BLE Sniffer Documentation | |
| Great Scott Gadgets – Ubertooth One Documentation | [6] [[https://www.swgde.org/documents/published-complete-listing/20-f-005-swgde-best-practices-for-mobile-device-forensic-analysis | SWGDE – Best Practices for Mobile Device Forensic Analysis]] |
| | |
| | [7] [[https://www.swgde.org/documents/published-complete-listing/20-f-003-swgde-test-method-for-bluetooth-module-extraction-and-analysis/ | SWGDE – Test Method for Bluetooth Module Extraction and Analysis]] |
| | |
| | [8] [[https://wiki.wireshark.org/Bluetooth | Wireshark Bluetooth Documentation]] |
| | |
| | [9] [[https://android.googlesource.com/ | Android Open Source Project – Bluetooth HCI Snoop Log]] |
| | |
| | [10] [[https://www.nordicsemi.com/Products/Development-tools/nRF-Sniffer-for-Bluetooth-LE | Nordic Semiconductor – BLE Sniffer Documentation]] |
| | |
| | [11] [[https://greatscottgadgets.com/ubertoothone/ | Great Scott Gadgets – Ubertooth One Documentation]] |
| | |
| | [12] [[https://source.android.com/docs/core/connect/bluetooth/verifying_debugging | Android Open Source Project – Bluetooth HCI Snoop Log]] |
