Evet, itiraf ediyorum. Biraz çarpıcı bir başlık olsun diye özellikle Facebook şifresini elde etme ifadesini kullandım ama birazdan anlatacağım yazılım ile hafıza imajı içinden elde edebileceğiniz şifreleri gördüğünüzde siz de başlığın çarpıcı olması gerektiği noktasında benimle hem fikir olacaksınız:)
Adli bilişim incelemesi gerçekleştireceğimiz bilgisayar canlı ise öncelikle incident response (olay müdahalesi) adımlarının uygulanması gerektiğini ve bu bağlamda ilgili bilgisayarın hafızasının imajının mutlaka alınması gerektiğini her fırsatta altını çizerek dile getirdik. Bunun başlıca sebebi de, sabit disk incelemesi ile elde etmemizin çok zor hatta imkansız olduğu sayısal delilleri hafıza analizi ile elde edebilmemizdir. Bu bilgilerin başında da kullanıcının işletim sistemi şifreleri ve Facebook, Gmail vb web sitelerine ilişkin şifreler gelir. Evet, yanlış duymadınız. Eğer şüpheli kişi bilgisayarından Facebook, Gmail, Youtube gibi sitelere giriş yapmışsa ve biz bu kişinin bilgisayarının hafızasının imajını almayı başarırsak çok büyük bir ihtimalle bu kullanıcının ilgili web sitelerine ilişkin şifrelerini de elde etmeyi başarabiliriz. Burada kesinlik ifadesi kullanmamamın en önemli sebebi, bu kullacının ilgili sitelere giriş yaptığı zaman ile hafıza imajının alındığı zaman arasındaki süre farkının bu işlemde oldukça önemli bir rol oynamasıdır.
Yukarıda anlattığım işlemi gerçekleştirmek için kullanacağımız yazılım Passware Password Recovery Kit Forensic yazılımıdır ve bu yazılım hafıza imajları üzerinde analiz yaparak bir çok şifreyi kolaylıkla elde edebilmemize imkan tanımaktadır. Her adli bilişim labaratuarında mutlaka olması gereken bu yazılım hakkında detaylı bilgiye http://www.lostpassword.com/kit-forensic.htm adresinden ulaşabilirsiniz. Bu yazılımı çalıştırdığınızda karşınıza çıkan ve aşağıda gösterilen ekrandan Analyze Memory and Decrypt Hard Disk seçeneğini seçmeniz gerekiyor.
Bir sonraki aşamada karşınıza hafıza imajı üzerinden elde edebileceğiniz şifrelerin listesinin yer aldığı aşağıdaki ekran çıkar. Bu ekranda Websites (Ctrl+S) seçeneğini seçerek kullanıcının internet sitelerinde kullandığı şifreleri elde etme işlemine başlatabilirsiniz.
Bu aşamadan sonra sizden ilgili kullanıcının bilgisayarından alınmış hafıza imajını soracaktır. Bu uygulamanın bir güzel özelliği de şudur. Kullanıcının bilgisayarının hafızasının imajını alamadığımız durumlar olabilir. Fakat kullanıcı eğer hibernation özelliğini kullanıyorsa bilgisayarın sabit diskindeki boot bölümünden elde edeceğimiz hiberfil.sys dosyasını da girdi olarak alabiliyor. Yani hibernation dosyası üzerinden de kullanıcının şifrelerini elde edebiliyoruz. Bu da aklınızın bir köşesinde bulunsun:) (Windows sistemlerde hafıza imajının nasıl alınacağını öğrenmek için DumpIt ile Windows Sistemlerde Hafıza İmajı Alma başlıklı makaleye bakabilirsiniz.)
Hafıza imajını seçtikten sonra yazılım ilgili imaj içinde web sitelerine ilişkin şifreleri aramaya başlayacaktır. Bu işlemin süresi hafıza imajının boyutuna ve uygulamanın çalıştığı bilgisayarın kaynaklarına göre değişiklik gösterse de yapmış olduğum testlerde 4 GB'lık bir hafıza imajı içindeki şifrelerin 4GB'lik bir hafızaya sahip Windows 7 bilgisayar ile yaklaşık olarak 5 dakika gibi bir sürede kurtardı. Aşağıdaki ekran görüntüsünde de görebileceğiniz üzere Youtube, Gmail ve Facebook hesaplarının şifrelerini 5 dakika 57 saniyede hafıza imajından elde ettik.
Yukarıdaki uygulama gerçekten başarılı sonuçlar veriyor. Bunun yanında şunu da belirtmek isterim ki, testler sırasında bazı web sitelerine ilişkin kullanıcı adı ve şifre bilgileri hafıza imajından elde edilemedi. Bunların başında da Twitter geliyor. Aynı uygulama ile hafıza imajının alındığı bilgisayarın Windows şifrelerini de açık text olarak elde edebilirsiniz. Bunun için yapmanız gereken şey ile aşamadaki seçeneklerden Windows Users seçeneğini seçip ilerlemek.
