adli bilisim nedir

Adli bilişim, elektromanyetik ve elektro optik ortamlarda muhafaza edilen veya bu ortamlarca iletilen ses, görüntü, veri, bilgi veya bunların birleşiminden oluşan her turlu bilişim nesnesinin, mahkemede sayısal delil niteliği taşıyacak şekilde tanımlanması, elde edilmesi, saklanması, incelenmesi ve mahkemeye sunulması çalışmaları bütünüdür.

Kısaca; bilişim cihazlarından delil elde etme sürecidir. Bu süreç; genel anlamda delil toplama (collection), delillerin incelenmesi (examination), sonuçların değerlendirilmesi (analysis) ile raporlama ve sonuç (reporting) aşamalarından oluşmaktadır.

Bilişim suçları çoğunlukta sosyal medya üzerinden, bulut bilişim marifetleriyle, kötücül yazılım (malware) kullanma ve benzeri yöntemler ile işlenmektedir. Bu yöntemlerin tercih edilme sebebi bilgisayarlar in sabit diskini kullanmadan direkt olarak bellekte çalışabilmeleri ve belleklerin dinamik yap isi gereği bünyesinde bulunan veriler sürekli değişmekte olduğundan ve bilgisayarın kapatılması veya yeniden başlatılması durumunda bellekte iz bırakılmamasıdır.

Önceleri bilişim suçları için yapılan olay yeri incelemelerinde; öncelikle bilgisayarların enerjileri kesilirdi. Bu işlemin sebebi bilgisayarın kapanması veya açılması ile çalışan yazılımlar marifetiyle (Orn. wipe ve deep freze) veya uzaktan erişim yöntemi ile delillerin zarar görmesinin engellenmesiydi. Bu yöntemin kullanılması bellekte bulunan önemli olabilecek verilerin yok olmasına sebep olmaktadır.

Zira artık pek çok bilişim suçu vakasının çözümünde, sadece sabit disk adli kopyasının incelenmesi kesin sonucu bulmak için yeterli olmamaktadır. Uçucu delil olarak kabul edilen bellek analizi ve ağ aktivite analizinin yapılması bir zorunluluk halini almıştır. Bu bilgilerin analizi için çalışan sistem belleğinin kopyası oluşturulmadan sistem kapatılmamalıdır.

Ayrıca kapabilmiş işletim sistemlerinin açılırken oluşturabileceği geçici dosyalar ve geçici hafıza disk alanlar 1 (Hiberfil.sys, pagefile.sys vb.) daha önceden silinmiş olan veri alanlar inin üzerine yazılabileceği için silinmiş verilerin delil niteliğinde kurtarılabilme olasılığını ortadan kaldırmış olacak ve dolaysı ile delilin bütünlüğünü bozmuş olacaktır. Bu nedenle incelemesi yapılacak bilgisayar sistemleri kapalı durumda iseler kesinlikle açılmamalıdır.

Bellek analizi adli bilişim incelemelerinin olmazsa olmazlarının başında gelmektedir. Müdahale edilen canlı sistemler üzerinden elde edilen bellek imajı üzerinde yapılan analizler ile çok değerli sayısal deliller elde edilebilmektedir. Adli bilişim uzmanları olay müdahalelerinde mutlaka hafızanın imajını almalı ve bu imajı analiz etmeyi süreçlerinin bir parçası haline getirmelidir.

Şimdiye kadar genellikle Windows sistemlerin hafızalarına ilişkin adli analiz yöntemleri geliştirilmişti. Son zamanlarda artık Linux ve Mac OS X sistemlerin hafızalarının analizine ilişkin de çalışmaların yapıldığı görülmektedir. Özellikle “volatility” aracı ile gerçekleştirilen birçok hafıza analizi sonucunda elde edilen deliller kritik birçok olayın çözülmesine yardımcı olmaktadır.

Adli kopya (imaj) nedir?

Adli bilişim alanında yapılan incelemeler delilin orijinalinde herhangi bir değişiklik meydana getirmemesi için delilin birebir kopyası üzerinde gerçekleştirilmektedir. Delillerden kopya oluşturulurken özel yazılım ve donanımlar kullanılmaktadır.

Birebir kopya delilin üzerindeki bütün verilerin kopyasının alınması anlamına gelmektedir. Alınan birebir kopya; mevcut verileri, silinmiş verileri, gizli bölümlerini, veri depolama biriminde bulunan diğer verileri de kapsamaktadır. Kullanılan “birebir aynisi” terimi, orijinal medyanın her sektör ve byte’ının kopyalanması anlamındadır. Kopyalama işlemi sırasında yazma korumalı cihaz ve yazılımlar kullanılmakta ve bu sayede delil bütünlüğü sağlanmaktadır. Delilin birebir kopyasına imaj (image) denilmektedir.

Bir adli bilişim uzmanından herhangi bir konuda inceleme yapılması istendiğinde; adli bilişim uzmanı öncelikle orijinal delilden imaj oluşturmalı ve ardından oluşturduğu imajdan da bir kopya oluşturarak çalışmalarına başlamalıdır. Bu işlemin amacı; imaj dosyasının delil kadar kıymetli olmasıdır. Örneğin delile ait imajın CD ortamında olduğu varsayıldığında; CD’nin çizilmesi, bozuk bir CD okuyucu ile okunmaya çalışılması gibi nedenle hasar görmesi veya bozulması durumunda da inceleme yapılamayacaktır. Bu nedenle inceleme de ilk yapılacak işlem delilden imaj almak ve imajın da kopyasının oluşturulması olmalıdır.

İmaj oluşturma işlemleri farklı yazılım ve donanımlar kullanarak gerçekleştirmektedir. Yazılımlara; Forensic Explorer, X-ways Forensics, Encase Forensics, Forensic ToolKit, ProDiscover, SMART, The Sleuth Kit/Autopsy, donanımlara ise; Tableau yazma- koruma cihazları, CRU imaj oluşturma cihazları, Voom Technology cihazları örnek olarak verilebilir.

  • Donanımsal imaj

İncelemeye başlamadan önce delil toplama aşamasındayken hem olay yerinde hem de laboratuvar ortamında imaj oluşturmada kullanılabilecek birçok donanım bulunmaktadır. Bu donanımların olmazsa olmazı yazma korumalı olmalarıdır. Bu donanımlardan bazıları doğrudan analiz bilgisayarına bağlanabilmekte bazıları ise Firewire veya USB portları aracılığı ile işlem yapmaktadır. İmaj oluşturma cihazlarının bir tarafına yazma korumalı olarak delil, diğer tarafına imajın oluşturulacağı veri depolama birimi yerleştirilerek imaj oluşturma işlemi gerçekleştirilir.

  • Yazılımsan imaj

Yazılımsal imaj oluşturan yazlımlar, işletim sistemini kullanmadan, kopyası alınacak aygıt ile direkt olarak bağlantı kurmakta ve imaj oluşturulmaktadır. Bilinen adli imaj alma yazılımları ve genel özellikleri aşağıda anlatılmıştır.

Accessdata FTK Imager; Tüm dünyada en çok tanınan ve bilinen adli kopya alma Yazılımlarındandır. Çeşitli yapıda bulunan dijital delilleri yine çeşitli formatlarda en seri ve hızlı şekilde kopyalanmasına imkân sağlamaktadır. Ayrıca, alınan bir adli kopyayı mevcut işletim sistemine disk olarak bağlanmasına da imkân sağlamaktadır. Kullanımı kolay ve kullanıcı dostu bir yazılımdır.

Guidance Software EnCase Forensic Imager; Accessdata firması ile rekabet içerisinde bulunan Guidance Software tarafından üretilen ücretsiz bir yazılımdır. FTK Imager’dan farklı olarak mobil cihazların da adli imajını oluşturmaktadır. Ancak mobil cihaz adli kopyalarını incelemek için lisanslı EnCase yazılımı gerekmektedir.

GETDATA Forensic Imager; GETDATA firması tarafından geliştirilen yazılım, adli imaj alma ve farklı adli imajları birbirine çevirebilmektedir.

ProDiscover Standart; TechPathways firması tarafından geliştirilen yazılımın adli imaj alma ve farklı imajları birbirine çevirme sürümü (standart sürüm) ücretsiz olarak indirilip kullanılabilmektedir.

SANS Investigate Forensic Toolkit (SIFT): SANS tarafından geliştirilen ve eğitimi verilen çalıştırılabilir bir DVD çözümüdür.

Sleuthkit (Autopsy): Temel adli bilişim olay müdahalesi ve temel inceleme işlemleri yapabilen programların bir arada bulunduğu açık kaynak kodlu yazılımıdır.

RAPTOR: Alvarez & Marsal tarafından geliştirilen ve içerisinde pek çok özel yazlımı barındıran bir çalıştırılabilir Linux DVD’sidir.

DEFT (DART) Linux: Bir bilişim suçu vakasında delilleri toplayıp, toplanan deliller uzerinde hızlı bir şekilde incelemeye imkân sağlayan yazılımların bir arada bulunduğu güzel bir açık kaynak Linux DVD’sidir. Hem bilgisayarı Linux işletim sistemi ile boot ederek çalıştırmakta, hem de Windows işletim sistemi üzerinde çalışmaktadır.

CAINE (Computer Aided Investigative Environment) Linux: Adli bilişimde olaya müdahale için gerekli olan temel yazılımların bulunduğu bir uygulama DVD’sidir.

WinFE: Windows platformunda çalışan ücretsiz adli bilişim çözümüdür. İçeriğinde, ücretsiz olarak tek tek kullanılabilen pek çok yazılım bir araya getirilerek sunulmuştur.

SUMURI (Paladin 4) Linux: Adli bilişimde delil toplamak, canlı inceleme yapmak, analiz ve raporlama yapabilmek için temel bir program setinin sunulduğu çözümdür. Çalıştırılabilir DVD ve USB sürümleri bulunmaktadır.

Matriux: Bir grup Linux gönüllüsü tarafından geliştirilen ve adli bilişimde kullanılan pek çok açık kaynaklı yazılımın bir arada yer aldığı sürümdür.

MASTERKEY: Adli bilişimde olaya müdahale ve temel inceleme için geliştirilen, CD ve USB surumu olan bir Linux çözümüdür.

Grml Live Linux: Adli bilişimde olaylara müdahale ve temel incelemeler için geliştirilen, CD ve USB surumu olan bir Linux çözümüdür.

Forensic Hard Copy: Adli bilişimde olaylara müdahale, temel incelemeleri esas alan bir Linux çözümüdür.

  • Veri Kurtarma Yapılan Aygıtlar

hard-disk-kurtarma

  

flash-kurtarma

          

ss-veri-kurtarma

   

server-kurtarma

   

raid-kurtarma

   

dvr kayit

 

mobil

 
Hard Disk   USB Bellek   

SSD

 

Server

 

RAID

 

DVR-Kayıt Cihazı

   Mobil Cihaz