| Starije izmjene na obje strane
Starija izmjena
Novija izmjena
|
Starija izmjena
|
racfor_wiki:seminari2025:tp52607 [2026/02/20 09:27]
Timoteja Piveta [Sigurnosne ranjivosti i forenzički značaj] |
racfor_wiki:seminari2025:tp52607 [2026/02/20 09:30] (trenutno)
Timoteja Piveta [Sažetak] |
| |
| |
| | Bluetooth tehnologija danas je sastavni dio velikog broja svakodnevnih uređaja, uključujući mobilne telefone, nosive uređaje i razne IoT sustave. Posebno je značajan Bluetooth Low Energy (BLE), koji zbog niske potrošnje energije i stalnog oglašavanja generira digitalne tragove, čak i bez izravne korisničke interakcije. Zbog toga Bluetooth komunikacija predstavlja vrijedan izvor dokaza u kriminalističkim i sigurnosnim istragama. |
| | Ovaj rad daje pregled Bluetooth forenzike kao specijalizirane grane digitalne forenzike. Opisane su osnovne značajke Bluetooth tehnologije, s naglaskom na razlike između klasičnog Bluetootha i BLE-a, te su analizirani glavni izvori forenzičkih dokaza, uključujući over-the-air radio promet, sistemske artefakte krajnjih uređaja i aplikacijske podatke. Posebna pozornost posvećena je metodologiji Bluetooth forenzičke analize, koja obuhvaća identifikaciju, akviziciju, analizu, korelaciju i interpretaciju dokaza. |
| | Zaključno, seminar razmatra sigurnosne ranjivosti Bluetooth sustava i njihov forenzički značaj, naglašavajući potrebu za opreznom i kritičkom interpretacijom prikupljenih podataka. |
| |
| ===== Uvod ===== | ===== Uvod ===== |
| |
| |
| Razvoj bežične tehnologije doveo je do masovne primjene Bluetootha, kao oblika komunikacije svakodnevnih uređaja kao što su mobiteli, pametnih satova, IoT, pametnih brava i drugih. Posljedično, Bluetooth komunikacija postaje vrijedan izvor digitalnih tragova u kriminalističkim, sigurnosnim i privatnosnim istragama. | Razvoj bežičnih komunikacijskih tehnologija doveo je do široke integracije Bluetooth protokola u suvremene digitalne sustave. Bluetooth je danas temelj komunikacije brojnih svakodnevnih uređaja, uključujući mobilne telefone, nosive uređaje i IoT sustave. Posebno važnu ulogu ima Bluetooth Low Energy (BLE), koji zbog niske potrošnje energije i stalne dostupnosti omogućuje kontinuiranu razmjenu podataka u pozadini rada uređaja. Posljedica takve sveprisutnosti je stvaranje velikog broja digitalnih tragova koji mogu imati značajnu forenzičku vrijednost. |
| Bluetooth forenzika predstavlja specijaliziranu granu digitalne forenzike koja se bavi prikupljanjem, analizom i interpretacijom Bluetooth komunikacije i pripadnih artefakata s ciljem rekonstrukcije događaja, dokazivanja prisutnosti uređaja te utvrđivanja njihove međusobne interakcije. Za razliku od sigurnosnih analiza, forenzički pristup nije usmjeren na sprječavanje napada, već na retroaktivno utvrđivanje činjenica na temelju dokaza. | U kontekstu digitalne forenzike, Bluetooth komunikacija predstavlja specifičan i tehnički zahtjevan izvor dokaza. Bluetooth podaci mogu se koristiti za dokazivanje prisutnosti uređaja, analizu njihovog ponašanja i rekonstrukciju međusobnih interakcija u određenom vremenskom i prostornom kontekstu. Za razliku od klasičnih mrežnih tehnologija, Bluetooth generira forenzičke artefakte koji su često kratkotrajni, distribuirani i djelomično anonimni, što zahtijeva poseban metodološki pristup analizi. |
| | Bluetooth forenzika definirana je kao specijalizirana grana digitalne forenzike koja se bavi prikupljanjem, analizom i interpretacijom Bluetooth komunikacije i pripadnih artefakata. Njezin cilj nije aktivno sprječavanje sigurnosnih incidenata, već retroaktivna rekonstrukcija događaja na temelju tehničkih dokaza. Takav pristup zahtijeva detaljno razumijevanje Bluetooth arhitekture, sigurnosnih mehanizama i ograničenja protokola, kao i dosljednu primjenu forenzičke metodologije. |
| |
| ===== Osnove Bluetootha ===== | ===== Osnove Bluetootha ===== |
| ==== Over-the-air radio promet ==== | ==== Over-the-air radio promet ==== |
| |
| BLE advertising paketi mogu se pasivno snimati pomoću specijaliziranog hardvera ili kompatibilnih razvojnih pločica. Iz ovih paketa moguće je izvući MAC adrese (ili njihove randomizirane varijante), identifikatore servisa, proizvođačke podatke te vremenske uzorke emitiranja. Iako sadržaj komunikacije često nije dostupan bez ključeva, sama prisutnost i ponašanje uređaja imaju dokaznu vrijednost. | Over-the-air (OTA) radio promet odnosi se na sve Bluetooth pakete koji se prenose bežičnim putem između uređaja i mogu se detektirati izravno iz radio spektra, bez potrebe za pristupom samim uređajima. U kontekstu Bluetooth forenzike, OTA promet predstavlja najneposredniji i često jedini dostupni izvor dokaza, osobito u situacijama kada krajnji uređaji nisu fizički dostupni ili su podaci na njima izgubljeni. |
| | Za razliku od sistemskih logova, OTA promet ne ovisi o operacijskom sustavu, aplikaciji ili konfiguraciji uređaja, već isključivo o stvarnom ponašanju Bluetooth protokola u eteru. Upravo zbog toga OTA analiza ima visoku dokaznu vrijednost u pogledu prisutnosti i ponašanja uređaja, iako rijetko omogućuje izravnu identifikaciju korisnika. |
| | BLE oglašivački paketi mogu se pasivno snimati pomoću specijaliziranog hardvera ili kompatibilnih razvojnih pločica. Iz ovih paketa moguće je izvući MAC adrese (ili njihove randomizirane varijante), identifikatore servisa, proizvođačke podatke te vremenske uzorke emitiranja. Iako sadržaj komunikacije često nije dostupan bez ključeva, sama prisutnost i ponašanje uređaja imaju dokaznu vrijednost. |
| |
| ==== Sistemski artefakti krajnjih uređaja ==== | ==== Sistemski artefakti krajnjih uređaja ==== |
| |
| Mobilni operativni sustavi pohranjuju različite Bluetooth artefakte, uključujući zapise o pairingu, cache popise uređaja i sistemske logove. Na Android platformi osobito je vrijedan Bluetooth HCI snoop log, koji omogućuje detaljnu analizu Bluetooth komunikacije unutar alata poput Wiresharka. Ovi zapisi često pružaju najkompletniji uvid u stvarni tijek komunikacije. | Mobilni operativni sustavi pohranjuju niz sistemskih artefakata povezanih s Bluetooth komunikacijom koji imaju visoku forenzičku vrijednost. Ti artefakti nastaju kao posljedica normalnog rada Bluetooth stacka i često uključuju zapise o uparivanju (pairing), cache popise prethodno detektiranih uređaja, sigurnosne ključeve te detaljne sistemske logove. Za razliku od OTA radio prometa, koji pruža uvid u ponašanje uređaja izvana, sistemski artefakti omogućuju rekonstrukciju komunikacije iz perspektive samog uređaja. |
| | Na Android platformama se često koristi Bluetooth HCI snoop log, koji bilježi komunikaciju na razini Host Controller Interface (HCI), odnosno sučelja između operativnog sustava i Bluetooth kontrolera. Ovaj zapis sadrži detaljne informacije o svim Bluetooth događajima, uključujući skeniranje, oglašavanje, uspostavu veze, uparivanje, razmjenu podataka i prekid komunikacije. Obzirom da se HCI snoop logovi mogu analizirati pomoću Wiresharkom, moguće je dekodirati pakete do niske razine protokola i precizno rekonstruirati tijek komunikacije. |
| | Forenzička prednost sistemskih artefakata leži u činjenici da oni često zaobilaze ograničenja pasivnog sniffinga, poput gubitka paketa, problema s praćenjem kanala ili enkripcije. Budući da se promet bilježi na samom uređaju prije ili nakon enkripcije, HCI snoop log pruža više informacija o Bluetooth interakcijama nego over-the-air snimke. |
| |
| ==== Aplikacijski i IoT podaci ==== | ==== Aplikacijski i IoT podaci ==== |
| |
| IoT uređaji i pripadajuće mobilne aplikacije često implementiraju vlastitu logiku iznad BLE protokola. Analizom GATT servisa i karakteristika moguće je rekonstruirati radnje poput otključavanja pametne brave, sinkronizacije senzorskih podataka ili slanja naredbi uređaju. | Iznad osnovne BLE komunikacije često se nalazi aplikacijska logika specifična za pojedinog proizvođača, koja predstavlja ključni izvor forenzičkih dokaza. IoT uređaji i pripadajuće mobilne aplikacije koriste BLE protokol kao transportni sloj, dok stvarno značenje razmijenjenih podataka ovisi o implementaciji GATT servisa i karakteristika. Svaki servis predstavlja određenu funkcionalnost uređaja, dok karakteristike sadrže konkretne podatke ili naredbe. |
| | Forenzičkom analizom GATT strukture moguće je rekonstruirati konkretne radnje koje su se dogodile u stvarnom svijetu, poput otključavanja pametne brave, promjene konfiguracije uređaja, sinkronizacije senzorskih mjerenja ili aktivacije određenih funkcija. Za razliku od samog radio prometa, koji uglavnom pruža informacije o prisutnosti i ponašanju, aplikacijski podaci omogućuju izravnu poveznicu između Bluetooth komunikacije i fizičkih događaja. |
| | Međutim, značajan izazov u ovom području predstavlja činjenica da aplikacijski protokoli često nisu standardizirani. Proizvođači implementiraju vlastite, tzv. vendor-specific servise, čija semantika nije javno dokumentirana. To zahtijeva dodatne forenzičke tehnike poput reverznog inženjeringa mobilnih aplikacija ili dinamičke analize GATT komunikacije. Upravo zbog toga aplikacijski i IoT podaci imaju visoku dokaznu vrijednost, ali zahtijevaju duboko tehničko razumijevanje BLE protokola i specifične implementacije uređaja. |
| | U kontekstu Bluetooth forenzike, ovi podaci često predstavljaju završni sloj analize, jer omogućuju povezivanje tehničkih tragova s konkretnim radnjama korisnika ili sustava. Kada se kombiniraju sa sistemskim artefaktima i OTA prometom, aplikacijski podaci značajno povećavaju pouzdanost forenzičkih zaključaka. |
| |
| ===== Metodologija Bluetooth forenzičke analize ===== | ===== Metodologija Bluetooth forenzičke analize ===== |
| |
| Bluetooth forenzička analiza kreće od identifikacije potencijalnih dokaza (računalo, mobitel, mrežni promet) s ciljem akvizicije, to jest sakupljanja podataka bez promjene izvornog stanja. Razlikujemo tri vrste akvizicije: pasivna, logička i aktivna. Pasivna se bazira na snimanju BLE oglašavanja i RF sniffinga. Logička koristi Android HCI snoop logove, sistemske Bluetooth logove i aplikacijske zapise, dok aktivna koristi samo spajanje na uređaj, čitanje GATT karakteristika i slanje upita. Sakupljene podatke, kao što su struktura BLE paketa, vremesnki slijed oglašavanja i uparivanje, analiziramo kroz dekodiranje podataka, filtriranje šuma i traženja obrazaca. Analiza mora biti ponovljiva. Korelacija je cilj analize, to jest povezivanje više izvora u smislenu cjelinu, na primjer korelacija Bluetooth oglašavanja skupa sa GPS lokacijom. Korelacijom dokazujemo ponašanje ne identitet. NAvedeno interpretiramo i pišemo izvještaj. | |
| | Bluetooth forenzička analiza započinje identifikacijom potencijalnih izvora dokaza, pri čemu se utvrđuje koji su uređaji, sustavi i komunikacijski kanali relevantni za istragu. U toj fazi identificiraju se krajnji uređaji poput računala i mobilnih telefona, dostupni IoT uređaji te potencijalni izvori mrežnog i radio prometa. Posebna se pažnja posvećuje volatilnosti Bluetooth podataka, budući da se mnogi artefakti mogu brzo izgubiti ili prepisati tijekom normalnog rada sustava. |
| | Nakon identifikacije slijedi akvizicija podataka, čiji je osnovni cilj prikupljanje dokaza bez promjene izvornog stanja. U Bluetooth forenzici razlikuju se tri osnovna tipa akvizicije: pasivna, logička i aktivna. Pasivna akvizicija temelji se na snimanju BLE oglašavanja i RF sniffingu te se smatra forenzički najčišćom metodom jer ne uključuje nikakvu interakciju s ciljnim uređajem. Logička akvizicija obuhvaća prikupljanje sistemskih Bluetooth zapisa, kao što su Android HCI snoop logovi, sistemski logovi Bluetooth stacka i aplikacijski zapisi, koji omogućuju detaljan uvid u tijek komunikacije iz perspektive samog uređaja. Aktivna akvizicija uključuje izravno spajanje na Bluetooth uređaj, čitanje GATT karakteristika i slanje upita, pri čemu postoji rizik promjene stanja sustava, zbog čega ova metoda zahtijeva strogu dokumentaciju i jasno opravdanje. |
| | Sakupljeni podaci zatim se podvrgavaju forenzičkoj analizi, koja uključuje dekodiranje Bluetooth paketa, filtriranje šuma i izdvajanje relevantnih događaja. Analiza obuhvaća proučavanje strukture BLE paketa, vremenskog slijeda oglašavanja, uspostave veze i procesa uparivanja. Ključno je da analiza bude ponovljiva, odnosno da drugi forenzičar, koristeći iste podatke i metodologiju, može doći do istih zaključaka. |
| | Središnji dio forenzičke obrade predstavlja korelacija podataka, čiji je cilj povezivanje više izvora dokaza u smislenu i konzistentnu cjelinu. U Bluetooth forenzici rijetko je moguće dokazati apsolutni identitet uređaja zbog randomizacije adresa i mehanizama privatnosti, stoga se korelacijom prvenstveno dokazuje ponašanje uređaja. Primjeri korelacije uključuju povezivanje Bluetooth oglašavanja s GPS lokacijom, usporedbu vremenskih oznaka iz HCI logova s aplikacijskim zapisima ili korelaciju jačine signala s kretanjem uređaja kroz prostor. |
| | Završna faza metodologije uključuje interpretaciju rezultata i izradu forenzičkog izvještaja. U ovoj fazi tehnički nalazi prevode se u jasno i neutralno objašnjenje događaja, uz navođenje ograničenja analize i mogućih alternativnih tumačenja. Forenzički izvještaj mora jasno razlikovati činjenice od pretpostavki te dokumentirati korištene metode i alate, čime se osigurava pravna održivost i stručna vjerodostojnost rezultata. |
| |
| ===== Sigurnosne ranjivosti i forenzički značaj ===== | ===== Sigurnosne ranjivosti i forenzički značaj ===== |
