Elektromanyetik ve elektro optik
ortamlarda muhafaza edilen veya bu ortamlarca iletilen ses, görüntü, veri,
bilgi veya bunların birleşiminden oluşan her türlü bilişim nesnesinin,
mahkemede sayısal delil niteliği taşıyacak şekilde tanımlanması, elde edilmesi,
saklanması, incelenmesi ve mahkemeye sunulması çalışmaları bütününe adli
bilişim denmektedir. [1]
Dört temel adımdan oluşan bir yöntem
izlemektedir. [2]
Adli bilişim bir suç dolayısı ile
suçta kullanılan veya bizzat suçun hedefi olan bilişim sisteminin incelenmesi ve
raporlanmasıdır. [3]
Adli Bilişim Yöntemlerinin kullanımı ile aşağıdaki faydalar sağlanabilir [4]
Adli bilişimin çalışma alanları,
günümüz teknolojileri ve ihtiyaçlar doğrultusunda kapsamı genişlemiştir. Adli
bilişim analiz yöntemleri ceza davalarına delil sağlamaktan ziyade hukuk uyuşmazlıklarında
da kullanılır durumdadır. [5], [6]
Adli bilişim,
bilgi sistemleri üzerinde yapılmış işlemlere yönelik dijital verilerin
incelenmesi ve raporlanması faaliyetleridir. Delil olabilecek bilişim
cihazlarının hafıza birimlerinin önce adli kopyası (imajı) alınıp incelemeler
alınan imajın da kopyası üzerinden yapılmaktadır.
Veri
depolama üniteleri belirli bir kullanım ömrü olan ve sıklıkla arızalanabilen
cihazlardır. Arızalı olan cihazlara veri bütünlüğünü bozmadan müdahale ederek imajı
alınması mümkün olabilmektedir. Adli bilişim raporunun delil niteliği
taşıyabilmesi için bazı özellikler taşıması gerekmektedir. İncelemenin bu imaj
üzerinden lisanslı sistem ve yazılımlar ile yapılması, değerlendirmenin uygun
nitelikte uzman tarafından yapılarak raporlandırılması gerekmektedir.
Adli
bilişime konu olan dijital aygıtlar üzerinde (Bilgisayar, tablet, Cep telefonu
gibi, teknik inceleme yaparak lisanslı adli bilişim yazılımları ile raporlar
sunulmaktadır.
- Harddisk, USB, CD/DVD, Video Kamera, Tablet ve Cep telefonu gibi aygıtlarda bulunan;(Dokümanlar, Kelime işlemci dosyaları, Resimler, Ses ve Video dosyaları, Veri tabanı dosyaları, Veri tabanı erişim kayıtları, E-Mail veya Chat kayıtları, İnternet Geçmişi, Erişim şifreleri ve kullanıcı adları.
- Silinmiş dosyalar ve silinmiş disk alanları, Şifrelenmiş veya Kriptolanmış dosyalar, Dosya yetkileri ve tarihleri (oluşturma, erişim, silme)
- Sistem Kayıt bilgileri (Registry, Event Log)
- Virüs, Trojan, SpyWare, Ransomware gibi zararlı yazılımlar.
- Sistem Üzerinde yüklü yazılımlar, Sanal Disk alanları ve RAM bilgileri üzerinde inceleme yapılmaktadır.
- Cep telefonlarında; Adres ve Telefon bilgileri, Kişisel bilgiler, Notlar Ajanda kayıtları, Mesaj bilgileri, Silinmiş Mesajlar, Son arama listesi (Cevapsız, arayan, aranan)
- Mobil internet geçmişi, İnternet Erişim kaydı, Resim-Video ve Ses kayıtları, Yüklü ve silinmiş uygulamalar üzerinden kullanıcı aktiviteleri ortaya çıkarılmaktadır. [7],[8]
” 6698 sayılı Kişisel Verilerin
Korunması Kanununun 7. Maddesinde de belirtilmiş ve ilgili yönetmelik ile
kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesine
ilişkin usul ve esasları belirlenmiştir. Kişisel verilerin silinmesi, kişisel
verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar
kullanılamaz hale getirilmesi işlemi olarak; kişisel verilerin yok edilmesi ise
kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri
getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi olarak
tanımlanmıştır.
Verilerin güvenli ve kalıcı olarak
silinmesi ve yok edilmesi için gerekli araçlar kullanılmadığında, kurumlar için
çok önemli verilerin istenmeyen kişilerin eline geçmesi riski oluşmaktadır.
Telafisi mümkün olmayan zaman, para ve en önemlisi itibar kayıpları meydana
gelebilmektedir. Güvenli veri imha etmek için standartlara uygun olarak
doğrulama yapabilecek güvenli veri imha donanımlarını kullanmak, risk almadan
güvenli biçimde veri imha etmek için en iyi yöntemdir. [9],[10]
Yazılımsal veri imha:
Sürücü sektörlerin her birinin üzerine
anlamsız veri desenleri yazarak uygulanan bir yöntemdir.
İmha süreci 1 ve 0
kombinasyonu ile veri üzerine çalışır.
Sayısal Verileri Güvenli Olarak İmha
Etme Yöntemleri
* Wipe (Güvenli Veri Silme - Üzerine Yazma
Yöntemi):
Bilgisayardan bir dosya silindiğinde,
sabit disk üzerinde silinen dosya için ayrılan alan yeni bir veri ile
doldurulmadığı sürece değişmez. Silindiği sanılan veriye haftalar sonra bile
basit yazılımlar kullanılarak erişilebilir. Bir sabit diskin formatlanması
durumunda da verilere her zaman ulaşılabilir.
Güvenli veri silme işlemi yaptığı
sanılan birçok program vardır; fakat bu programlar diskin tüm alanlarını
güvenli bir şekilde silemez. HPA (host protected area), DCO (device
configuration overlay), yeniden eşlenmiş sektörler, sonradan bozulan sektörler
(bad sectors), işletim sistemi yedekleri, RAM kalıntıları gibi gizlenmiş veya
kilitlenmiş diskin tümüne erişemeyen bu disk silme programları, erişemediği
verileri olduğu gibi bırakarak kullanıcıları yanıltır.
* Degauss İşlemi (Manyetik İzleri Bozma /
De-Manyetize Etme Yöntemi):
Degauss işlemi, (Degaussing) manyetik
depolama yapan medyaların üzerindeki verilerin yüksek bir manyetik alan ile
bozularak ulaşılmaz hale getirilmesidir. Bir manyetik medya üzerine veri
yazılır iken okuma-yazma kafası her bir noktayı polarizasyon yöntemi ile 0 ya
da 1 olarak yönlendirir. Degauss işlemi sonrasında çoğu medya tekrar
kullanılamaz hale gelmektedir.
Fiziksel imha metodu:
Yakma, öğütme, eritme, ve kimyasal arıtma da dahil
olmak üzere çeşitli yöntemler kullanılarak yapılabilir. Bu yöntem sürücüyü
çalışamaz duruma getirmek ve verilerin üzerinde olduğu medyaya hasar vermek
amaçlı yapılır.
Suçla ve
şüphelilerle ilişkili olduğu değerlendirilen bilgilerin derlenip toparlanarak,
rapor halinde ilgili adli makamlara gönderilmek üzere belgelendirildiği aşamadır.
Bu safhada asıl amaç bulunan delillerin diğer makamlarca anlaşılabilir bir
halde göz önüne serilmesini sağlamaktır. [11]
Veri
tabanı adli analizi veri tabanları üzerinde data içeriği ve meta verilerine
araştırılma sürecidir. Veri tabanının adli analizi veri tabanı kullanıcısının
eylemlerini araştırmak, doğrulamak ve geçerlilik için test edilen bir ilişkisel
tablodaki bir satırın güncelleme süresi için geçerli olan zaman damgalarının
araştırılmasıdır. Uçucu verilerin bulunduğu ram incelemesi veri tabanı adli
analizinde önemli yer tutmaktadır. [12]
Dosya
tabanlı şifreleme özellikle, suçlular arasında yaygın olarak kullanılmaktadır.
Bu nedenle, dijital delillerin incelenmesi sırasında tespit edilen şifreli
dosyalar, adli inceleme ve raporlama süresinin artmasına neden olabilmektedir.
İnceleme
sırasında şifreli cihaz veya dosya tespit edildiğinde, araştırmacı ileri safha
çalışma için gerekli tespitleri yaptıktan sonra, geri kalan dosyaların
incelemesini bitirmelidir.
Rapor
tanzim sırasında ise, tespit edilen şifreli cihaz/dosyaların özellikleri (cihaz
özellikleri ile dosya metadata bilgileri) ve bunlara yönelik yapılacak işlemler
(Ne yapıldı veya yapılması gerekli işlemler gibi) rapor içerisinde
belirtilmelidir.
Şifre
çözme işlemlerinde kullanılacak kriterler;
(Donanımsal
hızlandırıcılar, Şifre çözme programları, Personelin eğitimi, Personelin
tecrübesi, Sözlük arşividir.)
Özellikle
kullanıcılar tarafından ofis belgelerine verilen kısa şifreler (123, 12345,
Ahmet gibi) sistem bilgisayarı ve şifre çözme programı ile tespit
edilebilirken, profesyonel anlamda şifrelenmiş bir dosya için mutlaka
donanımsal hızlandırıcı sistemler ve sözlük arşivinden istifade edilmelidir.
Sistem
Bilgisayarı Vasıtasıyla Şifre Kırma;
Günümüzde
adli inceleme amacıyla tedarik edilen sistem bilgisayarları, işlemci, ekran
kartı ve diğer donanımlar açısından son teknolojiye sahip sistemlerdir.
İnceleme sırasında tespit edilen herhangi bir şifreli
dosyanın şifresinin kırılması için (eğer profesyonel şifreleme yapılmamışsa) bu
sistem bilgisayarı kullanılabilecektir.
Ekran
Kartları Kullanılarak Şifre Kırma;
Özel olarak
üretilen bir ana kart üzerine paralel şekilde montaj edilen ekran kartları
vasıtasıyla şifre kırma programının yapacağı atak sayısı
hızlandırılabilmektedir. Bu sistemin en büyük dezavantajı, anakartın
desteklediği miktar kadar ekran kartı kullanılabilmekte, ilerleyen dönemlerde
güç artırımı yapılamayacaktır.
Örneğin
Intel Core 2 Quad Q6600 işlemci bir bilgisayar ile saniyede 1100 şifre denemek
mümkün iken, Radeon HD 4870 kullanılması durumunda şifre çözme programı
saniyede 16.000 şifre deneyebilmektedir. Eğer bilgisayar ekran kartı NVIDIA
Tesla S1070 gibi daha gelişmiş ise, program saniyede 52.000 şifreyi denemesi
mümkündür.
Özel
Donanım Kullanılarak Şifre Kırma;
Profesyonel
olarak şifre kırma işlemi üzerinde çalışan kurum/şirketler yukarıda sayılan
çözümler yerine şifre kırma hızlandırıcısı olarak özel üretim çeşitli
hızlandırıcı donanımları kullanmaları gerekmektedir.
Guidence
Software firması tarafından üretilen TPR (Tableau Password Recovery) isimli
şifre kırma hızlandırıcı donanımı, bu alanda kullanıcıların ihtiyaçlarını
fazlasıyla karşılayacak özelliktedir.
Kullanıcıların
bu cihazı talep etmelerinin en büyük nedeni, ihtiyaç sayısı kadar cihaz tedarik
edilebilmekte, cihazlar paralel şekilde birbirlerine bağlanarak tek bir cihaz
gibi kullanılabilmektedir. Yine ihtiyaç durumunda birkaç cihaz başka birimlerin
kullanımı için gönderilebilmektedir.
TPR’ın LCD
ekranı FPGA’ların sıcaklığını, aktif işi ve TPR ana bilgisayar adı ile IP adresini
gösterir.
TPR, mevcut
CPU veya GPU tabanlı parola kurtarma çözümleriyle entegre olabilmektedir.
CPU tabanlı
çözümlerden ise 175 kat daha hızlı parola kurtarabilmektedir.
Ek
hesaplama algoritmaları, maliyetli donanım yükseltmelerine ihtiyaç olmaksızın
ücretsiz TPR güncellemeleri olarak sağlanır. [13]
1) Gizlenmiş dosya bulma (Steganografi);
Steganografi
bilimi, bir mesajı başka bir mesaj içinde gizleme sanatıdır.
Şifrelemeye
ufakta olsa bir alternatiftir. Ancak şifreleme mesajın anlamını gizli tutarken,
steganografi mesajın kendisini gizler ve terörizm çatısı altında yer alan
kişilerce yapılan iletişimde daha çok kullanıldığı bilinmektedir.
Bu tür
şifreleme hazırlamanın birçok yöntemi vardır. En yaygın olanı bir görselin
içerisine mesajı gömme tekniğidir ve bu yöntem mesajı görsel içerisine
gizleyerek, bitsel yöntemlerle saklamaktır. Bu yöntem ile hazırlanan mesaj göz
ile ayırt edilemeyecek küçük değişikliklerdir.
Modern
steganografi dijital veriler üzerinde yapılan işlemler olup bunlar
1.Veri
şifreleme,
2.Daha sonra dosyanın içeriğini ekleyebilecek ve /
veya değiştirebilecek özel bir algoritma kullanmak olup bu teknik ile veriler
dosyaya eklenebilir veya dosyaya içerisine dağıtılabilir. [14]
1.
X-Ways:
Bir Alman şirketi tarafından
geliştirilen X-Ways yazılımının geçmişi, çok yönlü bir hex editörü, disk
editörü, RAM editörü, veri kurtarma ve bir bilgisayar adli bilişim uygulaması
olan Win-Hex programına dayanıyor. Yazılım, şüpheli cihazı görüntülemenizi veya
kopyalamanızı sağlar. Disk imajlarının içinden FAT, NTFS, EXT, HSE, vb. gibi
dosya sistemlerini okumanıza yardımcı olur.
2.
SANS SIFT:
SANS Adli Bilişim Araç Seti, tüm adli
bilişim araçlarını UBUNTU ortamında bir araya getiren tek bir pakettir.
Karmaşık incelemelerde olması gereken tüm ilgili araçları önceden
yapılandırılmış şekilde içinde barındırır: Ağ araçları, geçici bellek
incelemeleri vb. RAW DD, E01 ve AFF gibi adli imaj formatlarını destekler. Yazılımın
en önemli özelliği, Windows, Mac ve Solaris gibi birden fazla işletim sistemini
desteklemesi ve bu sayede en iyi bilgisayar adli analiz araçlarındaki yerini
sağlamlaştırmasıdır. Volatility, Autopsy, Sleuth Kit gibi diğer ücretsiz
araçlar ile birleştirilmiştir.
En iyi siber adli araçların listesine
eklenmesinin bir başka nedeni de, RAM’deki uçucu bellek dökümlerini almanıza ve
analiz yapmanıza olanak sağlamasıdır.
Yazılım, üstün ve hızlı dijital
görüntüleme ve işleme gücü nedeniyle genellikle aynı alandaki diğer araçlara
göre tercih edilmektedir. Aynı zamanda, gelişmiş filtreleme ve raporlama
mekanizmasıyla en güvenilir adli soruşturma yardımcı programlarından biridir.
3.
MailXaminer:
Etkili bir e-posta adli inceleme aracı
olan SysTools Software tarafından geliştirilen başarılı bir üründür. Yazılım
Windows platformunda çalışır ve Web Tabanlı, Masaüstü Tabanlı ve Bulut Tabanlı
E-postaların incelenmesini destekler. Adli bilişim uzmanına e-posta kanıtlarını
taramak ve gelişmiş seçeneklerle (Fuzzy, Wildcard, Regex vb.) arama yapma
imkanı tanır. Ayrıca MailXaminer şüpheli e-postalarda (özellikle çocuk
pornografisinde kullanılan müstehcen Görüntülerin tespit edilmesi) önemli bir
özellik olan Cilt tonu analizi kabiliyeti sunar. Yazılım, SaaS tabanlı
inceleme, Ekip İşbirliği ve e-posta veya paylaşılan konum aracılığıyla
kanıtları gözden geçirme dahil olmak üzere birden fazla inceleme platformu
desteği sağlar. Ayrıca, e-postaları PDF, CSV vb. formatlara aktararak
delillerin raporlanmasını da içerir. Tüm bu özellikler, bu yazılımı en iyi
dijital adli araçlardan biri haline getirmektedir.
4.
Encase:
Guidance Software tarafından
geliştirilen bilgisayar adli inceleme araçlarının başında gelmektedir. Yazılım
esas olarak bilgisayardan sayısal delil toplanması, görüntüleme, analiz ve
kanıtların raporlanması için kullanılmaktadır. Genellikle harddisk, taşınabilir
medya, akıllı telefonlar, tabletler vb. aygıtlar için inceleme çözümleri sunar.
Yazılım, kanıtlarla etkileşimde bulunmak için çeşitli API’ler ile betik
sorguları yazmayı kolaylaştıran EnScript aracını içermektedir. Ayrıca
modüllerini kullanarak Tableau gibi adli delil toplama ürünlerine entegre olur.
Bulguları araştırmacılara sunmak için biraz karmaşık bir arayüze sahip olsa da
şifre çözme süitleri, şifre kurtarma araçları, imaj emülatörleri gibi
fonksiyonların hepsi program içine dahil edilmiştir.
5.
Volatility:
Volatility, uçucu bellek (RAM) adli
analizi için geliştirilen özel araçlar arasında yer alır. RAM bellek
dökümlerini almanıza, dijital bulguları analiz etmenize yardımcı olur. İşlem
listelerini, ağ bağlantılarını, açık portları, önbelleğe alınmış anahtarları ve
RAM’de tutulan daha birçok şeyi listeler. Windows 7, 8, 10 ve diğer tüm önemli
32 ve 64 bit sürümlerinin Ram dökümlerini destekler.
Yazılım aynı zamanda hazırda bekletme
dosyasını (hyberfile.sys), sanal makine anlık görüntüsünü, çökme dökümlerini
vb. analiz etmeye yardımcı olur. Psscan, DllList, Kpcrscan gibi eklentiler ile
sistem profillerini doğru bir şekilde tanımlamaya, sistem belleğinde bulunan
kötü amaçlı yazılımları, rootkitleri analiz etmeye yardımcı olur.
6.
FTK Imager
Access Data Forensic Toolkit’in
altında yer alan FTK Imager, dijital adli kopya almak, imajı bilgisayara
bağlamak (mount etmek) ve analiz yapabilmek için özel olarak geliştirilen
ücretsiz bir programdır. Kurulum olmadan çalışır ve Raw (dd), SMART veya E01 gibi
ortak dosya formatları kullanarak imaj oluşturur. Grafiksel kullanıcı ara
biriminin yanı sıra, komut satırından programı çalıştırmak için farklı bir
sürümü de mevcuttur. Kanıt öğeleri eklemek, okuma / yazma engelleme modunu kullanarak
elde edilen adli kopyaları mount etmek gibi özellikler, kullanıcının delili
bozmadan araştırma yapma yeteneğini artırır. Ayrıca bir HEX görüntüleyici /
yorumlayıcı olarak hizmet vermektedir.
7.
Bulk Extractor
Genellikle, imajı alınan bir diski
taramak ve aynı zamanda geçerli bilgileri ayıklamak için ihtiyaç duyulan bir
adli bilişim programıdır. Dosya sistemini veya yapıları ayrıştırmaz. Ancak elde
edilen sonuçlar, diğer araçlarla kolayca ayrıştırılabilir ve işlenebilir.
Yazılım genellikle hızlı olması ve ayrıntılara karşı titizliğiyle bilinir.
8.
Oxygen Forensics
Mobil cihazların, cep telefonlarının,
PDA’ların ve diğer mobil aygıtların mantıksal analizlerini gerçekleştirmek için
özel olarak geliştirilmiştir. Bu program mesajlar, çağrı kayıtları, olaylar,
takvim bilgileri, olay günlükleri gibi önemli bilgileri çıkarmaya yardımcı
olur. Zaman çizelgesi analizi ve sosyal etkileşim haritası oluşturur. Kullanıcı
şifrelerini tespit eder ve sırasıyla şifreleri çözer.
9.
Xplico
Paket Koklayıcılar (Sniffers)
kullanılarak toplanan verileri yeniden yapılandırmaya çalışan bir Açık kaynak
network siber adli analiz aracıdır. Yazılım POP, SMTP, IMAP, HTTP, VoIP, MSN,
IRC gibi protokolleri tanır. Xplicio’nun en iyi özelliklerinden biri, verileri
büyük ölçekli PCAP verilerinden yeniden yapılandırabilmesidir.
10.
Mandiant Red Line
İnceleme yapılacak bilgisayar üzerinde çalışmayı
gerektiren bu program, bellek ve dosya analizi kullanarak kötü amaçlı
etkinliklerin varlığını analiz etmeye ve raporlamaya yardımcı olur. Ayrıca,
çalışma sürecini, ağ bilgilerini, kullanıcı etkinliğini, görevleri, web
geçmişini vb. denetleyerek bir tehdit değerlendirme profilinin geliştirilmesine
yardımcı olur.
Kaynaklar:
[1] https://www.gelgez.net/adli-bilisim-nedir-adli-bilisim-inceleme-sureci-ve-yontemleri-nelerdir
[2] https://sites.google.com/site/ekesiff/adli-bilisim-bilimi/adli-bilisimin-calisma-yoentemi
[3] http://www.tide.org.tr/uploads/MUSTAFA%20SANSAR.pdf (Sayfa 10)
[4] https://sites.google.com/site/ekesiff/adli-bilisim-bilimi/adli-bilisimin-sagladigi-faydalar
[5] https://hukuksokagi.com/kaynak/adli-bilisim-computer-forensic
[6] http://www.yargitaydergisi.gov.tr/dergiler/yd/temmuz2010.pdf
[7] https://www.adlibilisimuzmani.com/adli-veri-kurtarma
[8] https://www.bestverikurtarma.com/adli-bilisim
[9] https://www.emt.com.tr/tr/cozumler/guvenli-veri-imha-cozumleri-15
[10] http://www.veri-kurtarma.org/guvenli-veri-imha
[11] http://adlibilisim.blogspot.com/p/adli-bilisim.html
[12] https://www.lidercloud.com/adli-bilisim-veri-tabani-inceleme
[13] https://www.adlibilisimvehukuk.com/password-kirma-sistemi
[14] https://www.adlinceleme.com/steganografi-bilimi
[15] https://www.bestverikurtarma.com/en-iyi-adli-bilisim-programlari