Özet
Modern dijital soruşturmalarda, BitLocker ile tam disk şifrelemesi uygulanmış sistemler adli bilişim uzmanları için ciddi teknik zorluklar barındırmaktadır. Bu blog yazısında; BitLocker şifreli disklerin adli bilişim standartlarına uygun şekilde imajlanması, kullanıcı parolası durumuna göre izlenecek yöntemler, kurtarma anahtarının elde edilmesi ve Magnet AXIOM ile şifre çözümleme süreçleri uçtan uca ele alınmaktadır.
Paylaşılan metodoloji, sahada uygulanmış, kanıt bütünlüğü korunarak yürütülen ve hukuki geçerliliği olan bir yaklaşımı temel almaktadır.
1. Giriş
Windows işletim sistemlerinde yaygın olarak kullanılan BitLocker Drive Encryption, TPM, kullanıcı parolası ve kurtarma anahtarı gibi çok katmanlı koruma mekanizmalarıyla verileri güvence altına alır. Ancak bu güvenlik katmanları, adli bilişim incelemelerinde:
Fiziksel erişimin yeterli olmaması
Klasik disk analiz araçlarının şifreli veriye erişememesi
Yanlış müdahalelerde delil bütünlüğünün bozulması
gibi riskleri beraberinde getirir.
Bu yazı, teorik bilgi ile pratik uygulama arasında köprü kuran, adli bilişim laboratuvarlarında kullanılabilecek standartlaştırılmış bir inceleme metodolojisini sunmaktadır.
2. BitLocker Adli İnceleme Metodolojisi – Akış Şeması
İnceleme süreci aşağıdaki temel aşamalardan oluşur:
3. Aşama 1: Fiziksel Disk Çıkarma ve Ön Hazırlık
3.1 Kanıt Toplama Protokolü
Adli bilişim süreçlerinde ilk temas, tüm incelemenin hukuki geçerliliğini belirler.
Gerekli ekipmanlar:
Anti-statik bileklik
Cihaza uygun tornavida seti
Kanıt torbası ve etiketleri
Fotoğraf makinesi
Chain of Custody (Delil Zinciri) formları
Temel adımlar:
Cihazın marka, model ve seri numarasının kaydedilmesi
Fiziksel durumun tüm açılardan fotoğraflanması
Güç bağlantılarının kesilmesi ve bataryanın çıkarılması
Diskin (HDD / SSD / NVMe) bağlantı türünün tespiti
Diskin zarar görmeden çıkarılması
Etiketleme, mühürleme ve delil zinciri kaydı
3.2 Teknik Bilgilerin Kaydedilmesi
Disk üzerinde hiçbir yazma işlemi yapılmadan, teknik bilgiler alınmalıdır:
sudo hdparm -I /dev/sdX > disk_technical_info.txt
sudo smartctl -a /dev/sdX > disk_smart_info.txt
4. Aşama 2: Şifreli Disk İmajı Alma
4.1 Write Blocker Kullanımı
Disk imajı alma sürecinde donanımsal write blocker kullanımı zorunludur.
Bağlantı şeması:
[Orijinal Disk] → [Write Blocker] → [Forensic Workstation]
↓
[Hedef Depolama]
Yazma koruması doğrulaması:
blockdev --getro /dev/sdX # Çıktı: 1 → Write protected
4.2 İmaj Alma İşlemi
FTK Imager veya dcfldd gibi araçlarla şifreli disk olduğu gibi imajlanır.
sudo dcfldd if=/dev/sdX hash=md5,sha256
hashwindow=1G
hashlog=hash_log.txt
of=evidence_bitlocker.raw
bs=64K
conv=noerror,sync
Hash değerleri mutlaka alınmalı ve raporlanmalıdır.
5. Aşama 3: Kullanıcı Parolası Senaryoları
Senaryo A – Kullanıcı Parolası Biliniyorsa
- Sistem normal şekilde açılır
- Yönetici yetkileri doğrulanır
- BitLocker kurtarma anahtarı doğrudan elde edilir
Senaryo B – Kullanıcı Parolası Bilinmiyorsa
Bu durumda orijinal disk veya imaj asla değiştirilmez. Tüm işlemler sanal makine üzerinde imaj canlandırılarak gerçekleştirilir.
Kullanılan yöntemler:
- Utilman.exe (Sticky Keys) tekniği
- Kon-Boot
- Offline NT Password & Registry Editor
⚠️ Adli Not:
Bu işlemler yalnızca yetkili soruşturmalar kapsamında, hukuki izinler dahilinde uygulanmalıdır.
6. Aşama 4: BitLocker Kurtarma Anahtarı Elde Etme
Sisteme erişim sağlandıktan sonra:
manage-bde -status manage-bde -protectors -get C:
Bu komut ile:
- Numerical Password (48 haneli kurtarma anahtarı)
- TPM bilgileri
- Şifreleme algoritması
elde edilir ve adli rapora eklenir.
7. Aşama 5: Magnet AXIOM ile Şifreli İmaj Analizi
Magnet AXIOM Process:
- Şifreli imaj (E01 / RAW) eklenir
- BitLocker algılandığında kurtarma anahtarı girilir
- Şifre çözme doğrulanır
- Dosya sistemi, artefaktlar ve kullanıcı verileri analiz edilir
Bu aşamadan sonra inceleme, standart dijital adli analiz süreçleri ile devam eder.
Sonuç ve Değerlendirme
BitLocker şifrelemesi, veri güvenliği açısından güçlü bir mekanizma sunarken; adli bilişim incelemelerinde doğru metodoloji uygulanmadığında aşılması zor bir engel haline gelebilir.
Bu yazıda paylaşılan yaklaşım:
- Delil bütünlüğünü korur
- Uluslararası adli bilişim standartlarıyla uyumludur
- Pratikte uygulanabilir ve raporlanabilir bir model sunar
Doğru araçlar, doğru sıralama ve doğru dokümantasyon ile BitLocker şifreli diskler dahi adli bilişim açısından erişilebilir hale gelebilir.
