VuLBa - bitlocker

BitLocker, güçlü bir tam disk şifreleme (FDE) teknolojisidir. Ancak hiçbir güvenlik sistemi tamamen kırılmaz değildir — özellikle hedefli ve fiziksel erişimli saldırılar karşısında.

Aşağıda BitLocker’ın saldırı yüzeylerini 6 başlıkta detaylı olarak inceliyoruz:

1. 🧊 Cold Boot Attack (Soğuk Başlatma Saldırısı)

Tanım:

RAM (bellek) geçici bir hafızadır, ancak kısa süreliğine veriyi tutmaya devam edebilir.
BitLocker açıldığında şifreleme anahtarları RAM’e yüklenir.
Bir saldırgan bu RAM verisine erişip anahtarı çıkartabilir.

Saldırı Süreci:

  1. Hedef bilgisayar açık ya da "uyku modunda"yken saldırgan sisteme fiziksel erişim sağlar.

  2. Bilgisayar hızlıca yeniden başlatılır veya kapanır.

  3. Bir USB/SD kart üzerinden özel yazılım (örneğin: msramdump, coldboot tools) yüklenir.

  4. RAM'deki şifreleme anahtarları okunur ve diskin şifresi çözülür.

Teknik Not:

  • RAM, elektrik kesilse bile birkaç saniye boyunca veri tutar (soğuk hâlde daha uzun).

  • Bu saldırı, TPM'nin tek başına kullanıldığı sistemlerde daha etkilidir.

Önlem:

  • Açılışta PIN veya parola gerektiren TPM+PIN yapılandırmasını kullan.

  • Uyku veya hazırda beklet modları yerine bilgisayarı tamamen kapat.

  • Memory Lockdown özelliği olan sistemler tercih et.

2. 🔌 DMA (Direct Memory Access) Saldırıları

Tanım:

PCIe, Thunderbolt gibi arabirimler, RAM'e doğrudan erişim sağlar.
Bir saldırgan bu bağlantılardan veri okuyarak RAM'deki şifreleme anahtarını çekebilir.

Saldırı Süreci:

  1. Bilgisayara bir DMA erişimi olan cihaz (örneğin kötü amaçlı bir Thunderbolt cihazı) takılır.

  2. Cihaz doğrudan RAM'e erişerek şifreleme anahtarını alır.

  3. Elde edilen anahtarla şifre çözülür.

Örnek Araçlar:

  • Inception (DMA üzerinden RAM dump)

  • PCILeech (FPGA ile RAM erişimi)

Önlem:

  • IOMMU/VT-d özelliğini BIOS/UEFI üzerinden aktif et.

  • Thunderbolt gibi portları devre dışı bırak.

  • DMA portlarını UEFI politikalarıyla sınırla.

  • Pre-boot PIN etkinleştir.

3. 👤 Evil Maid Attack (Kötü Hizmetli Saldırısı)

Tanım:

Kötü niyetli biri bilgisayarınıza siz yokken fiziksel olarak erişir ve sistemin açılışında çalışan kodu değiştirir.

Saldırı Süreci:

  1. Saldırgan, hedefe ait bilgisayarı kısa süreliğine ele geçirir (örneğin otel odasında bırakılan laptop).

  2. Açılış (bootloader) ya da UEFI yazılımı üzerine keylogger ya da bootkit yüklenir.

  3. Kullanıcı bir sonraki açılışta şifresini girdiğinde, bu parola saldırgana kaydedilir.

Sonuç:

  • BitLocker doğrudan kırılmaz.

  • Ama şifre dolaylı olarak çalınır ve sonrasında sistem açılır.

Önlem:

  • BIOS/UEFI’ye parola koy.

  • Secure Boot açık olsun.

  • Açılışta USB doğrulaması veya PIN iste.

  • Bilgisayarı yanından ayırma.

4. 🔑 Recovery Key Sızıntısı (Kurtarma Anahtarının Ele Geçirilmesi)

Tanım:

BitLocker etkinleştirildiğinde bir kurtarma anahtarı (48 haneli) oluşturulur.
Bu anahtar:

  • Microsoft hesabına yüklenebilir,

  • USB’ye kaydedilebilir,

  • Kurumsal ağda otomatik olarak yedeklenebilir.

Tehditler:

  • Microsoft hesabı ele geçirilirse (örneğin phishing ile), kurtarma anahtarı da çalınabilir.

  • Anahtar açıkta USB’de veya e-postada saklanıyorsa erişilebilir.

  • Kurumsal ağdaki yönetici anahtarları çalınabilir.

Önlem:

  • Kurtarma anahtarını şifreli USB veya güvenli parola yöneticilerinde tut.

  • Microsoft hesabını MFA (çok faktörlü kimlik doğrulama) ile koru.

  • Kurumsal cihazlarda anahtar erişim politikalarını kısıtla.

5. 🧠 Sosyal Mühendislik ve Keylogger Saldırıları

Tanım:

Şifreyi çözmeye çalışmak yerine, kullanıcının kendisinden almak hedeflenir.

Yöntemler:

  • Phishing saldırıları ile kullanıcıdan PIN/parola istenebilir.

  • Sisteme keylogger bulaştırılarak giriş bilgileri kaydedilir.

  • Kullanıcı, sosyal mühendislik ile kandırılarak recovery key’i verir.

Önlem:

  • Güvenlik bilinci eğitimi al.

  • Antivirüs ve anti-keylogger yazılımlar kullan.

  • Güçlü, tahmin edilemez PIN'ler/parolalar belirle.

6. 🧱 TPM'nin Tek Başına Kullanılması (Pre-Boot Auth Eksikliği)

Tanım:

Varsayılan BitLocker kurulumu, sadece TPM ile çalışır. Açılışta kullanıcıdan hiçbir giriş istenmez.

Risk:

  • Bilgisayar açıldığında TPM otomatik olarak diski çözer.

  • Yani biri laptop’u çalarsa, şifre sormadan sistem açılabilir.

  • Bootkit, rootkit veya disk klonlama saldırılarına açık kalır.

Önlem:

  • BitLocker'ı PIN veya USB anahtar ile yapılandır.

  • Açılışta kullanıcıdan manuel doğrulama istenmesini sağla.

  • “Group Policy” üzerinden Require additional authentication at startup politikasını uygula.

🔐 Sonuç: BitLocker Güvenli mi?

Evet, güvenli — ama sadece doğru yapılandırılırsa.

BitLocker’ın AES-256 şifrelemesi çok güçlüdür. Ancak güvenlik sadece algoritmada değil, uygulamada gizlidir. BitLocker’ın zayıflıkları genelde:

  • Kötü yapılandırma

  • Fiziksel erişim

  • Şifre sızıntısı

  • Kullanıcı dikkatsizliği gibi insan hatalarından doğar.

✅ En Güçlü BitLocker Yapılandırması Önerisi:

  • TPM + PIN yapılandırmasını kullan.

  • Pre-boot authentication zorunlu olsun.

  • Recovery key’i şifreli bir parola yöneticisinde sakla.

  • Secure Boot ve BIOS parolasını aktif et.

  • Uyku modu yerine kapatma tercih et.

  • USB/Thunderbolt portlarını kilitle.

Labels: , |