Adli Bilişim
1. Adli Bilişim nedir?
Adli Bilişimin tanımını şöyle yapalım : mahkemeye intikal etmiş bir olayla ilgili olarak, olayda ele geçirilmiş ve el konulmuş olan bilişim cihazlarının incelenmesi isteğiyle ilgili olarak bu cihazlara yönelik kriminalistik prensiplerin uygulanmasıdır. Burda söz konusu bilişim cihazlarının veri depolama özelliği olduğunu düşünerek bunlara da “sayısal delil” diyelim. Sayısal delili ise ise bilgilerin sayısal olarak saklandığı veya iletildiği, ispat kuvveti olan bilgi olarak tanımlayalım. Sayısal Delil, kısaca el konulan sabit disk,CD,DVD,disket,usb disk,flash disk,cep telefonu, dijital kamera, fotoğraf makinesi,PDA, GPS,Pocket PC vs gibi üzerinde veri depolama özelliği olan cihazlarda bulunma potansiyeli olan bilgidir.
Adli Bilişim İncelemeleri, adı üzerinde adli bir işlem olduğundan ve sonucunda bir rapor mahkemeye sunulacağından incelemeler mevzuata uygun yapılmaldır. Her ne kadar mevzuat bu konuda yetersiz olsa da rapora itiraz hakkını asgariye indirecek bir çalışma yapılmalıdır. Ülkemizde ne yazık ki bu konuya vakıf yeteri sayıda personel olduğunu düşünmemekteyim. İşin içerisinde bilişim kelimesi geçince özellikle kendisini bilişim uzmanı olarak tanımlayan kişiler de Adli Bilişim konusunda konuşmaktan geri kalmıyorlar. Bu konu sadece bilgi değil aynı zamanda tecrübe gerektiren bir konudur. Yani bir olay yerinde ilk müdahale tecrübesi olmadan, çeşitli suçlarla ilgili incelemeler yapıp mahkemelere rapor yazmadan bu konularda uzman olduğunu iddia etmek eksik olacaktır. Dolayısıyla süreç, ilk önce süreci başlatacak olan kişinin bilgi ve tecrübesine son derece bağımlıdır.
Forensic kelimesi “mahkemeyle ilgili, adli” anlamına gelmektedir. Forensic Medicine, Adli Tıp demektir. Adli Bilişim ülkemizde genellikle “Computer Forensics” kelimesinin çevirisi olarak bilinmekte. Bir cep telefonu incelemesi de “Adli Bilişim” alanında girer. İleride bu konuyu ayrıntılı olarak ele alacağız. Computer Forensics, bilgisayar adli bilişimi olarak tanımlanabilir. Yani bu ne demektir? Adli bir incelemele yapılacak demektir. Bir adli incelemenin yapılması için gereken husular bilgisayara uygulanacak demektir. “Mahkeme kararıyla” el konulan bir bilgisayarda “savcılık” nelerin araştırılcağını bildirecek ve inceleme bu husulara göre yapılacaktır. Sonuçta inceleme yapılan bilgisayar artık bir “delil“dir. Dolayısıyla burada mevzuat bilgisi ve teknik bilgi seviyesi önem arzetmektedir.
2. Adli Bilişim Süreci
Adli Bilişim İncelemesini bir süreç olarak düşünelim. Genellikle bu süreç sırasıyla 4 başlıktan oluşur.
a- Tanımlama
b- İnceleme
c- Analiz
d- Raporlama
sırayla süreçlere kısaca bir göz atalım.
a- Tanımlama
Bu süreçte incelemeye alıanacak potansiyel veri depolama özelliği olan kaynakların (sayısal delil) belirlenmesiyle ve toplanmasıyla başlar. Tipik veri kaynakları olarak bilgisayarlara takılı sabit diskler, CD,DVD, usb diskler, flash diskler,hafıza kartları(mmc, sd) ,disket, gps, cep telefonunu sayabiliriz. Kaynaklar bununla sınırlı mı? Elbette ki hayır. Bir manyetik kart kopyalayıcı, bir veritabanı uygulaması, bir web sitesi logları, bir telefon görüşmesi trafiği gibi veriler de kaynak olabilir.
b- İnceleme
Toplanan veri kaynaklarının birebir kopyalarının alınması ve konu ile ilgili araştırmanın bu kopyalar üzerinde yapılması inceleme sürecidir. Burada incelenen delilin veri bütünlüğününü korunması esastır. Yani delile ilk el konduğu andan itibaren delil muhafaza edilmelidir. Çalışan bir bilgisayar ile kapalı bir bilgisayardan veri toplanması işlemleri farklıdır. Bu anlatımda varsayılan kapalı bir bilgisayara müdahaledir. Açık olan sistemler, bilgisayarlar ve hatta uygulamalara yapılacak müdahaleyi sonra ele alacağız ve tartışacağız.
c- Analiz
Bu süreçte artık incelenen delilin birebir kopyasından konuyla ilgili veriler çıkarılır.
d- Raporlama
Analiz sürecinde elde edilen bilgilerin sunumunun yapıldığı süreç raporlama sürecidir. Raporlama, raporu okuyan kişinin anlayabileceği netlik ve açıklıkta olmalı ve iddialardan ziyade değerlendirmeler içermelidir.
Elbetteki yukarıda sayılan bu 4 süreç yaygın olarak uygulanan süreçtir. Süreç tanımlanan kaynaklara göre esneklik gösterebilir. Örneğin 2000-3000 adet istemcinin olduğu bir sistemde sistemdeki bütün bilgisayarların birebir kopyalarını almak pratik bir çözüm değildir. Ya da yine binlerce istemcininin kullandığı bir veritabanı uygulamasını incelemek içib bütün sistemi kapatmak da mantıklı değildir. Dolayısıla sistemlerin özeliiğine göre müdahale yöntemi de değişecektir. Bazı kaynakların belki de hiç birebir kopyası alınmayacak, inceleme sistem çalışır durumda iken yapılacaktır.
3. Sayısal Deliller
Sayısal deliller bilgisayarlarda 0 ve 1 ‘ lerden oluşan sayı dizileri şeklinde saklanırlar. Aslında bu değerlerde manyetik alan ya da optik verilerin yorumlanmasından oluşan değerlerdir. İşletim sistemleri ve uygulamlar bu 0 ve 1 ‘ leri bizim anlayacağımız şekilde yorumlarlar. soldaki “png” uzantılı resim dosyasının onaltılık sistemdeki görüntüsü aşağıdaki gibidir. Burada onaltılık sayı sistemi kullanılmıştır. Onaltılık sayı sisteminde sayılar 0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F karakterlerinde oluşur. A harfi 10, B 11,C 12, D 13, e 14 ve F 15 sayısına karşılık gelir. Bu on atılık sayı sisteminin hemen sağında ise bu dosyanın text görünümü vardır. Onaltılık ve text görünümü inceleyecek olursak 89 50 4E 47 karakterleri %PNG ifadesine denk düşer.
Gelelim potansiye olarak sayısal delil bulundurma kapasitesi olan veri depolama birimlerine.
a. Sabit Disk,Usb Disk,Hafıza Kartları
Sabit diskler manyetik plakalardan oluşan veri depolama birimleridir. IDE,SATA,SCSI türleri yaygın olarak kullanılmaktadır. Gerek masaüstü, gerek dizüstü ve de sunucu bilgisayarlarda sabit diskler genel olarak işletim sistemlerinin kurulması ve yedekleme amacıyla kullanılır.
İşletim sistemi kurulu olan makinalarda yapılan incelemeler dünyada neredeyse ortak işlemleri içerir. Ülkemizde ve dünyada en çok kullanılan işletim sistemi Microsoft İşletim Sistemleri olunca incelemelerde de ağırlık bu işletim sistemlerinin özellikleri referans alınmıştır.Ağırlıklı olarak Windows Forensics kitapları yazılmış, uygulamalar Windows ağırlıklı geliştirlmiştir.
Genel anlamda disklerin incelenmesi disk üzerinde bulunan dosyalama sistemine göre değişecektir. Dolayısıyla incelemede gerek dosya sistemleri gerekse işletim sistemi bilgisi ileri seviyede olmalıdır.Bir sabit diske NTFS formatlı Windows XP işletim sistemi kurulacağı gibi, ext3 formatlı bir Linux işletim sistemi de kurulabilir. Ya da disk partitionlara ayrılıp üzerine bu iki farklı dosya sistemini kullanan işletim sistemleri üzerine kurulabilir.
Bir Windows işletim sistemi yüklü bilgisayarda yapılacak incelemeler kısaca;
(1) İşletim Sistemi Verileri
* INFO2-Geri Dönüşüm Kutusu (Recycler-Recycled Bin),
* Registry,
* Lnk Dosyaları (Recent-Son Kullandıklarım),
* Prefetch Klasörü,
* Disk Bölümleri (disk partitions),
* Recover Files & Folders (Silinen Dosya ve Klasörlerin Kurtarılması),
* Kullanıcı Hesap Bilgileri,
* Event Logs (Olay Günlüğü Kayıtları),
* Zaman Çizelgesi,
* Sistem Bilgisi,
* Dosyaların MAC Bilgisi (Değiştirme,Erişim,Oluşturma tarihleri)
analizini içerir.
(2) Uygulama Verileri
* Web tarayıcı kayıtları,
* Ofis Dosyaları Metadataları,
* Sohbet Kayıtları,
* Dosya Paylaşım Programları,
* Outlook Email recovery,
* JPEG Exif Analizi,
* Hash Analizi,
* Ftp,IIS Logları
gibi uygulamala yönelik incelemer yapılır. İşletim sistemine özgü incelemelerin bir kısmı hariç diğer incelemeler usb disk,flash disk ve hafıza kartları için de yapılır.
b. CD-R,DVD-R
CD-ROM ve DVD-ROM’ lar salt okunur veri kaynaklarıdır. Yani doğrudan üzerlerinde silme ve değiştirme işlemi yapılamaz. Bu ortamlara veriler bir kez yazılır defalarca okunur. Bazan yazım için oturum kapatılmayabilir. Yani bir CD-R’ a veri yazılırken çoklu-oturum yapılacağı yani, sonradan da bu CD-R’ un veri yazmak için kullanılacağı ayarlanırsa CD-R’ un boş alanlarına yeni veriler yazılabilir. Bu kullanılan programa göre değişir. Bazan sonradan yazılan veriler veya eski veriler bilgisayarda görünmeyebilir.
Windows Gezgininde görünmeyen veya eksik görünen içerik Adli Bilişim Programları görülebilir.Bu sayede;
* CD-R ve DVD-R ‘ un kaç defa yazma işlemine tabi tutulduğu,
* Hangi program ile yazma işleminin yapıldığı,
* Yazma işleminin yapıldığı tarih ve saat bilgileri,
* İçinde yer alan tüm veriler görülebilir.
(to be continued)