Adli bilişimin çalışma alanları


Elektromanyetik ve elektro optik ortamlarda muhafaza edilen veya bu ortamlarca iletilen ses, görüntü, veri, bilgi veya bunların birleşiminden oluşan her türlü bilişim nesnesinin, mahkemede sayısal delil niteliği taşıyacak şekilde tanımlanması, elde edilmesi, saklanması, incelenmesi ve mahkemeye sunulması çalışmaları bütününe adli bilişim denmektedir. [1]

Dört temel adımdan oluşan bir yöntem izlemektedir. [2]

Adli bilişim bir suç dolayısı ile suçta kullanılan veya bizzat suçun hedefi olan bilişim sisteminin incelenmesi ve raporlanmasıdır. [3]

Adli Bilişim Yöntemlerinin kullanımı ile aşağıdaki faydalar sağlanabilir [4]


Adli bilişimin çalışma alanları, günümüz teknolojileri ve ihtiyaçlar doğrultusunda kapsamı genişlemiştir. Adli bilişim analiz yöntemleri ceza davalarına delil sağlamaktan ziyade hukuk uyuşmazlıklarında da kullanılır durumdadır. [5], [6]

Adli bilişim, bilgi sistemleri üzerinde yapılmış işlemlere yönelik dijital verilerin incelenmesi ve raporlanması faaliyetleridir. Delil olabilecek bilişim cihazlarının hafıza birimlerinin önce adli kopyası (imajı) alınıp incelemeler alınan imajın da kopyası üzerinden yapılmaktadır.

Veri depolama üniteleri belirli bir kullanım ömrü olan ve sıklıkla arızalanabilen cihazlardır. Arızalı olan cihazlara veri bütünlüğünü bozmadan müdahale ederek imajı alınması mümkün olabilmektedir. Adli bilişim raporunun delil niteliği taşıyabilmesi için bazı özellikler taşıması gerekmektedir. İncelemenin bu imaj üzerinden lisanslı sistem ve yazılımlar ile yapılması, değerlendirmenin uygun nitelikte uzman tarafından yapılarak raporlandırılması gerekmektedir.

Adli bilişime konu olan dijital aygıtlar üzerinde (Bilgisayar, tablet, Cep telefonu gibi, teknik inceleme yaparak lisanslı adli bilişim yazılımları ile raporlar sunulmaktadır.
  • Harddisk, USB, CD/DVD, Video Kamera, Tablet ve Cep telefonu gibi aygıtlarda bulunan;(Dokümanlar, Kelime işlemci dosyaları, Resimler, Ses ve Video dosyaları, Veri tabanı dosyaları, Veri tabanı erişim kayıtları, E-Mail veya Chat kayıtları, İnternet Geçmişi, Erişim şifreleri ve kullanıcı adları.
  • Silinmiş dosyalar ve silinmiş disk alanları, Şifrelenmiş veya Kriptolanmış dosyalar, Dosya yetkileri ve tarihleri (oluşturma, erişim, silme)
  • Sistem Kayıt bilgileri (Registry, Event Log)
  • Virüs, Trojan, SpyWare, Ransomware gibi zararlı yazılımlar.
  • Sistem Üzerinde yüklü yazılımlar, Sanal Disk alanları ve RAM bilgileri üzerinde inceleme yapılmaktadır.
  • Cep telefonlarında; Adres ve Telefon bilgileri, Kişisel bilgiler, Notlar Ajanda kayıtları, Mesaj bilgileri, Silinmiş Mesajlar, Son arama listesi (Cevapsız, arayan, aranan)
  • Mobil internet geçmişi, İnternet Erişim kaydı, Resim-Video ve Ses kayıtları, Yüklü ve silinmiş uygulamalar üzerinden kullanıcı aktiviteleri ortaya çıkarılmaktadır. [7],[8]

” 6698 sayılı Kişisel Verilerin Korunması Kanununun 7. Maddesinde de belirtilmiş ve ilgili yönetmelik ile kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine ilişkin usul ve esasları belirlenmiştir. Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak; kişisel verilerin yok edilmesi ise kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak tanımlanmıştır.

Verilerin güvenli ve kalıcı olarak silinmesi ve yok edilmesi için gerekli araçlar kullanılmadığında, kurumlar için çok önemli verilerin istenmeyen kişilerin eline geçmesi riski oluşmaktadır. Telafisi mümkün olmayan zaman, para ve en önemlisi itibar kayıpları meydana gelebilmektedir. Güvenli veri imha etmek için standartlara uygun olarak doğrulama yapabilecek güvenli veri imha donanımlarını kullanmak, risk almadan güvenli biçimde veri imha etmek için en iyi yöntemdir. [9],[10]

Yazılımsal veri imha:
Sürücü sektörlerin her birinin üzerine anlamsız veri desenleri yazarak uygulanan bir yöntemdir. 
İmha süreci 1 ve 0 kombinasyonu ile veri üzerine çalışır.

Sayısal Verileri Güvenli Olarak İmha Etme Yöntemleri
* Wipe (Güvenli Veri Silme - Üzerine Yazma Yöntemi):
Bilgisayardan bir dosya silindiğinde, sabit disk üzerinde silinen dosya için ayrılan alan yeni bir veri ile doldurulmadığı sürece değişmez. Silindiği sanılan veriye haftalar sonra bile basit yazılımlar kullanılarak erişilebilir. Bir sabit diskin formatlanması durumunda da verilere her zaman ulaşılabilir.

Güvenli veri silme işlemi yaptığı sanılan birçok program vardır; fakat bu programlar diskin tüm alanlarını güvenli bir şekilde silemez. HPA (host protected area), DCO (device configuration overlay), yeniden eşlenmiş sektörler, sonradan bozulan sektörler (bad sectors), işletim sistemi yedekleri, RAM kalıntıları gibi gizlenmiş veya kilitlenmiş diskin tümüne erişemeyen bu disk silme programları, erişemediği verileri olduğu gibi bırakarak kullanıcıları yanıltır.

* Degauss İşlemi (Manyetik İzleri Bozma / De-Manyetize Etme Yöntemi):
Degauss işlemi, (Degaussing) manyetik depolama yapan medyaların üzerindeki verilerin yüksek bir manyetik alan ile bozularak ulaşılmaz hale getirilmesidir. Bir manyetik medya üzerine veri yazılır iken okuma-yazma kafası her bir noktayı polarizasyon yöntemi ile 0 ya da 1 olarak yönlendirir. Degauss işlemi sonrasında çoğu medya tekrar kullanılamaz hale gelmektedir.


Fiziksel imha metodu:
Yakma, öğütme, eritme, ve kimyasal arıtma da dahil olmak üzere çeşitli yöntemler kullanılarak yapılabilir. Bu yöntem sürücüyü çalışamaz duruma getirmek ve verilerin üzerinde olduğu medyaya hasar vermek amaçlı yapılır. 

Suçla ve şüphelilerle ilişkili olduğu değerlendirilen bilgilerin derlenip toparlanarak, rapor halinde ilgili adli makamlara gönderilmek üzere belgelendirildiği aşamadır. Bu safhada asıl amaç bulunan delillerin diğer makamlarca anlaşılabilir bir halde göz önüne serilmesini sağlamaktır. [11]

Veri tabanı adli analizi veri tabanları üzerinde data içeriği ve meta verilerine araştırılma sürecidir. Veri tabanının adli analizi veri tabanı kullanıcısının eylemlerini araştırmak, doğrulamak ve geçerlilik için test edilen bir ilişkisel tablodaki bir satırın güncelleme süresi için geçerli olan zaman damgalarının araştırılmasıdır. Uçucu verilerin bulunduğu ram incelemesi veri tabanı adli analizinde önemli yer tutmaktadır. [12]

Dosya tabanlı şifreleme özellikle, suçlular arasında yaygın olarak kullanılmaktadır. Bu nedenle, dijital delillerin incelenmesi sırasında tespit edilen şifreli dosyalar, adli inceleme ve raporlama süresinin artmasına neden olabilmektedir.

İnceleme sırasında şifreli cihaz veya dosya tespit edildiğinde, araştırmacı ileri safha çalışma için gerekli tespitleri yaptıktan sonra, geri kalan dosyaların incelemesini bitirmelidir.
Rapor tanzim sırasında ise, tespit edilen şifreli cihaz/dosyaların özellikleri (cihaz özellikleri ile dosya metadata bilgileri) ve bunlara yönelik yapılacak işlemler (Ne yapıldı veya yapılması gerekli işlemler gibi) rapor içerisinde belirtilmelidir.

Şifre çözme işlemlerinde kullanılacak kriterler;
(Donanımsal hızlandırıcılar, Şifre çözme programları, Personelin eğitimi, Personelin tecrübesi, Sözlük arşividir.)

Özellikle kullanıcılar tarafından ofis belgelerine verilen kısa şifreler (123, 12345, Ahmet gibi) sistem bilgisayarı ve şifre çözme programı ile tespit edilebilirken, profesyonel anlamda şifrelenmiş bir dosya için mutlaka donanımsal hızlandırıcı sistemler ve sözlük arşivinden istifade edilmelidir.

Sistem Bilgisayarı Vasıtasıyla Şifre Kırma;
Günümüzde adli inceleme amacıyla tedarik edilen sistem bilgisayarları, işlemci, ekran kartı ve diğer donanımlar açısından son teknolojiye sahip sistemlerdir.

İnceleme sırasında tespit edilen herhangi bir şifreli dosyanın şifresinin kırılması için (eğer profesyonel şifreleme yapılmamışsa) bu sistem bilgisayarı kullanılabilecektir.


Ekran Kartları Kullanılarak Şifre Kırma;
Özel olarak üretilen bir ana kart üzerine paralel şekilde montaj edilen ekran kartları vasıtasıyla şifre kırma programının yapacağı atak sayısı hızlandırılabilmektedir. Bu sistemin en büyük dezavantajı, anakartın desteklediği miktar kadar ekran kartı kullanılabilmekte, ilerleyen dönemlerde güç artırımı yapılamayacaktır.

Örneğin Intel Core 2 Quad Q6600 işlemci bir bilgisayar ile saniyede 1100 şifre denemek mümkün iken, Radeon HD 4870 kullanılması durumunda şifre çözme programı saniyede 16.000 şifre deneyebilmektedir. Eğer bilgisayar ekran kartı NVIDIA Tesla S1070 gibi daha gelişmiş ise, program saniyede 52.000 şifreyi denemesi mümkündür.


Özel Donanım Kullanılarak Şifre Kırma;
Profesyonel olarak şifre kırma işlemi üzerinde çalışan kurum/şirketler yukarıda sayılan çözümler yerine şifre kırma hızlandırıcısı olarak özel üretim çeşitli hızlandırıcı donanımları kullanmaları gerekmektedir.
Guidence Software firması tarafından üretilen TPR (Tableau Password Recovery) isimli şifre kırma hızlandırıcı donanımı, bu alanda kullanıcıların ihtiyaçlarını fazlasıyla karşılayacak özelliktedir.

Kullanıcıların bu cihazı talep etmelerinin en büyük nedeni, ihtiyaç sayısı kadar cihaz tedarik edilebilmekte, cihazlar paralel şekilde birbirlerine bağlanarak tek bir cihaz gibi kullanılabilmektedir. Yine ihtiyaç durumunda birkaç cihaz başka birimlerin kullanımı için gönderilebilmektedir.

TPR’ın LCD ekranı FPGA’ların sıcaklığını, aktif işi ve TPR ana bilgisayar adı ile IP adresini gösterir.

TPR, mevcut CPU veya GPU tabanlı parola kurtarma çözümleriyle entegre olabilmektedir.
CPU tabanlı çözümlerden ise 175 kat daha hızlı parola kurtarabilmektedir.

Ek hesaplama algoritmaları, maliyetli donanım yükseltmelerine ihtiyaç olmaksızın ücretsiz TPR güncellemeleri olarak sağlanır. [13]


Steganografi bilimi, bir mesajı başka bir mesaj içinde gizleme sanatıdır.
Şifrelemeye ufakta olsa bir alternatiftir. Ancak şifreleme mesajın anlamını gizli tutarken, steganografi mesajın kendisini gizler ve terörizm çatısı altında yer alan kişilerce yapılan iletişimde daha çok kullanıldığı bilinmektedir.

Bu tür şifreleme hazırlamanın birçok yöntemi vardır. En yaygın olanı bir görselin içerisine mesajı gömme tekniğidir ve bu yöntem mesajı görsel içerisine gizleyerek, bitsel yöntemlerle saklamaktır. Bu yöntem ile hazırlanan mesaj göz ile ayırt edilemeyecek küçük değişikliklerdir.

Modern steganografi dijital veriler üzerinde yapılan işlemler olup bunlar
1.Veri şifreleme, 
2.Daha sonra dosyanın içeriğini ekleyebilecek ve / veya değiştirebilecek özel bir algoritma kullanmak olup bu teknik ile veriler dosyaya eklenebilir veya dosyaya içerisine dağıtılabilir. [14]


1. X-Ways:
Bir Alman şirketi tarafından geliştirilen X-Ways yazılımının geçmişi, çok yönlü bir hex editörü, disk editörü, RAM editörü, veri kurtarma ve bir bilgisayar adli bilişim uygulaması olan Win-Hex programına dayanıyor. Yazılım, şüpheli cihazı görüntülemenizi veya kopyalamanızı sağlar. Disk imajlarının içinden FAT, NTFS, EXT, HSE, vb. gibi dosya sistemlerini okumanıza yardımcı olur.

2. SANS SIFT:
SANS Adli Bilişim Araç Seti, tüm adli bilişim araçlarını UBUNTU ortamında bir araya getiren tek bir pakettir. Karmaşık incelemelerde olması gereken tüm ilgili araçları önceden yapılandırılmış şekilde içinde barındırır: Ağ araçları, geçici bellek incelemeleri vb. RAW DD, E01 ve AFF gibi adli imaj formatlarını destekler. Yazılımın en önemli özelliği, Windows, Mac ve Solaris gibi birden fazla işletim sistemini desteklemesi ve bu sayede en iyi bilgisayar adli analiz araçlarındaki yerini sağlamlaştırmasıdır. Volatility, Autopsy, Sleuth Kit gibi diğer ücretsiz araçlar ile birleştirilmiştir.
En iyi siber adli araçların listesine eklenmesinin bir başka nedeni de, RAM’deki uçucu bellek dökümlerini almanıza ve analiz yapmanıza olanak sağlamasıdır.
Yazılım, üstün ve hızlı dijital görüntüleme ve işleme gücü nedeniyle genellikle aynı alandaki diğer araçlara göre tercih edilmektedir. Aynı zamanda, gelişmiş filtreleme ve raporlama mekanizmasıyla en güvenilir adli soruşturma yardımcı programlarından biridir.

3. MailXaminer:
Etkili bir e-posta adli inceleme aracı olan SysTools Software tarafından geliştirilen başarılı bir üründür. Yazılım Windows platformunda çalışır ve Web Tabanlı, Masaüstü Tabanlı ve Bulut Tabanlı E-postaların incelenmesini destekler. Adli bilişim uzmanına e-posta kanıtlarını taramak ve gelişmiş seçeneklerle (Fuzzy, Wildcard, Regex vb.) arama yapma imkanı tanır. Ayrıca MailXaminer şüpheli e-postalarda (özellikle çocuk pornografisinde kullanılan müstehcen Görüntülerin tespit edilmesi) önemli bir özellik olan Cilt tonu analizi kabiliyeti sunar. Yazılım, SaaS tabanlı inceleme, Ekip İşbirliği ve e-posta veya paylaşılan konum aracılığıyla kanıtları gözden geçirme dahil olmak üzere birden fazla inceleme platformu desteği sağlar. Ayrıca, e-postaları PDF, CSV vb. formatlara aktararak delillerin raporlanmasını da içerir. Tüm bu özellikler, bu yazılımı en iyi dijital adli araçlardan biri haline getirmektedir.

4. Encase:
Guidance Software tarafından geliştirilen bilgisayar adli inceleme araçlarının başında gelmektedir. Yazılım esas olarak bilgisayardan sayısal delil toplanması, görüntüleme, analiz ve kanıtların raporlanması için kullanılmaktadır. Genellikle harddisk, taşınabilir medya, akıllı telefonlar, tabletler vb. aygıtlar için inceleme çözümleri sunar. Yazılım, kanıtlarla etkileşimde bulunmak için çeşitli API’ler ile betik sorguları yazmayı kolaylaştıran EnScript aracını içermektedir. Ayrıca modüllerini kullanarak Tableau gibi adli delil toplama ürünlerine entegre olur. Bulguları araştırmacılara sunmak için biraz karmaşık bir arayüze sahip olsa da şifre çözme süitleri, şifre kurtarma araçları, imaj emülatörleri gibi fonksiyonların hepsi program içine dahil edilmiştir.

5. Volatility:
Volatility, uçucu bellek (RAM) adli analizi için geliştirilen özel araçlar arasında yer alır. RAM bellek dökümlerini almanıza, dijital bulguları analiz etmenize yardımcı olur. İşlem listelerini, ağ bağlantılarını, açık portları, önbelleğe alınmış anahtarları ve RAM’de tutulan daha birçok şeyi listeler. Windows 7, 8, 10 ve diğer tüm önemli 32 ve 64 bit sürümlerinin Ram dökümlerini destekler.
Yazılım aynı zamanda hazırda bekletme dosyasını (hyberfile.sys), sanal makine anlık görüntüsünü, çökme dökümlerini vb. analiz etmeye yardımcı olur. Psscan, DllList, Kpcrscan gibi eklentiler ile sistem profillerini doğru bir şekilde tanımlamaya, sistem belleğinde bulunan kötü amaçlı yazılımları, rootkitleri analiz etmeye yardımcı olur.

6. FTK Imager
Access Data Forensic Toolkit’in altında yer alan FTK Imager, dijital adli kopya almak, imajı bilgisayara bağlamak (mount etmek) ve analiz yapabilmek için özel olarak geliştirilen ücretsiz bir programdır. Kurulum olmadan çalışır ve Raw (dd), SMART veya E01 gibi ortak dosya formatları kullanarak imaj oluşturur. Grafiksel kullanıcı ara biriminin yanı sıra, komut satırından programı çalıştırmak için farklı bir sürümü de mevcuttur. Kanıt öğeleri eklemek, okuma / yazma engelleme modunu kullanarak elde edilen adli kopyaları mount etmek gibi özellikler, kullanıcının delili bozmadan araştırma yapma yeteneğini artırır. Ayrıca bir HEX görüntüleyici / yorumlayıcı olarak hizmet vermektedir.

7. Bulk Extractor
Genellikle, imajı alınan bir diski taramak ve aynı zamanda geçerli bilgileri ayıklamak için ihtiyaç duyulan bir adli bilişim programıdır. Dosya sistemini veya yapıları ayrıştırmaz. Ancak elde edilen sonuçlar, diğer araçlarla kolayca ayrıştırılabilir ve işlenebilir. Yazılım genellikle hızlı olması ve ayrıntılara karşı titizliğiyle bilinir.

8. Oxygen Forensics
Mobil cihazların, cep telefonlarının, PDA’ların ve diğer mobil aygıtların mantıksal analizlerini gerçekleştirmek için özel olarak geliştirilmiştir. Bu program mesajlar, çağrı kayıtları, olaylar, takvim bilgileri, olay günlükleri gibi önemli bilgileri çıkarmaya yardımcı olur. Zaman çizelgesi analizi ve sosyal etkileşim haritası oluşturur. Kullanıcı şifrelerini tespit eder ve sırasıyla şifreleri çözer.

9. Xplico
Paket Koklayıcılar (Sniffers) kullanılarak toplanan verileri yeniden yapılandırmaya çalışan bir Açık kaynak network siber adli analiz aracıdır. Yazılım POP, SMTP, IMAP, HTTP, VoIP, MSN, IRC gibi protokolleri tanır. Xplicio’nun en iyi özelliklerinden biri, verileri büyük ölçekli PCAP verilerinden yeniden yapılandırabilmesidir.

10. Mandiant Red Line
İnceleme yapılacak bilgisayar üzerinde çalışmayı gerektiren bu program, bellek ve dosya analizi kullanarak kötü amaçlı etkinliklerin varlığını analiz etmeye ve raporlamaya yardımcı olur. Ayrıca, çalışma sürecini, ağ bilgilerini, kullanıcı etkinliğini, görevleri, web geçmişini vb. denetleyerek bir tehdit değerlendirme profilinin geliştirilmesine yardımcı olur.


Kaynaklar:
[1] https://www.gelgez.net/adli-bilisim-nedir-adli-bilisim-inceleme-sureci-ve-yontemleri-nelerdir
[2] https://sites.google.com/site/ekesiff/adli-bilisim-bilimi/adli-bilisimin-calisma-yoentemi
[3] http://www.tide.org.tr/uploads/MUSTAFA%20SANSAR.pdf (Sayfa 10)
[4] https://sites.google.com/site/ekesiff/adli-bilisim-bilimi/adli-bilisimin-sagladigi-faydalar
[5] https://hukuksokagi.com/kaynak/adli-bilisim-computer-forensic
[6] http://www.yargitaydergisi.gov.tr/dergiler/yd/temmuz2010.pdf
[7] https://www.adlibilisimuzmani.com/adli-veri-kurtarma
[8] https://www.bestverikurtarma.com/adli-bilisim
[9] https://www.emt.com.tr/tr/cozumler/guvenli-veri-imha-cozumleri-15
[10] http://www.veri-kurtarma.org/guvenli-veri-imha
[11] http://adlibilisim.blogspot.com/p/adli-bilisim.html
[12] https://www.lidercloud.com/adli-bilisim-veri-tabani-inceleme
[13] https://www.adlibilisimvehukuk.com/password-kirma-sistemi
[14] https://www.adlinceleme.com/steganografi-bilimi
[15] https://www.bestverikurtarma.com/en-iyi-adli-bilisim-programlari