Adli Bilişim

AnasayfaAdli Bilişim

Adli Bilişim, sektörü günümüzde teknolojik cihaz kullanımından artarak hızla gelişmiş, hayatımızda önemli yer kaplamıştır. Hayatımızda birçok veri barındırdığı için adli konuların aydınlatılmasında adli bilimler kategorisinde yerini almıştır. Bilişim suçlarıyla mücadelenin dalı olup işlenen suçların tespiti üzerine delillerin toplanıp incelenmesidir.

Elektronik ortamlarda muhafaza edilen veya iletilen her türlü verinin (ses, görüntü, metin vb.) adli makamlarca dijital delil niteliği taşıyacak şekilde tanımlanması, elde edilmesi, saklanması, incelenmesi ve adli mercilere sunulması sürecini kapsayan çalışmaların bütünüdür.

Adli bilişim incelemesi muhakkak ki bir adli olay için olmak zorunda değildir. Adli bir olayla alakası olmayan, günlük hayattaki bir ihtiyaçtan dolayı bir bilişim cihazının incelenmesi gereken durumda olabilir.
Olayların aydınlatılması amacıyla, olay yerinden, dijital veri saklama ve iletme özelliğine sahip cihazların toplanması, cihazların içerisindeki dijital delillerin tespit edilmesi ve adli otoritelere dijital delillerin raporlanması süreci içerisinde yapılan çalışmalardır.

Teknik İfadeyle: Adli Bilişim; elektromanyetik-elektro optik ortamlarda muhafaza edilen veya bu ortamlarca iletilen; ses, görüntü, veri/bilgi veya bunların birleşiminden oluşan her türlü bilişim nesnesinin, mahkemede sayısal (elektronik-dijital) delil niteliği taşıyacak şekilde: Tanımlanması, elde edilmesi, saklanması, incelenmesi ve mahkemeye sunulmasıdır.

Adli Bilişim İnceleme Süreci ve Yöntemler
Adli Bilişim İnceleme ve yöntemleri iyi bilinmeli. Çünkü artık her suçun mutlaka bilişim ayağı olmaktadır. İnsanların basit sebeplerden dolayı suçlanması ya da basit bilgisizliklerden dolayı suçtan kaçmalarına sebep olabilir.

Sanal ortamlarda delil bırakma veya delilleri silme daha kolaydır. Sadece suç açısından değil bir ağ ortamında güvenlikle ilgili problemlerin çözümünde de yardımcı bir konudur.

Adli Bilişim İncelemesi, bir süreçtir ve 4 ana yöntemi;

Tanımlama

İnceleme

Analiz

Raporlama

Tanımlama
Adli Bilişim İnceleme Tanımlama süreci incelemeye alınacak potansiyel veri depolama özelliği olan kaynakların (sayısal delil) belirlenmesiyle ve toplanmasıyla başlar. Tipik veri kaynakları olarak bilgisayarlara takılı sabit diskler, CD, DVD, usb diskler, flash diskler, hafıza kartları, disket, gps, cep telefonunu sayabiliriz. Bir manyetik kart kopyalayıcı, bir veritabanı uygulaması, bir web sitesi logları, bir telefon görüşmesi trafiği gibi veriler de kaynak olabilir.

İnceleme
Toplanan veri kaynaklarının birebir kopyalarının alınması ve konu ile ilgili araştırmanın bu kopyalar üzerinde yapılması inceleme sürecidir. Burada incelenen delilin veri bütünlüğünün korunması esastır. Yani delile ilk el konduğu andan itibaren delil muhafaza edilmelidir. Çalışan bir bilgisayar ile kapalı bir bilgisayardan veri toplanması işlemleri farklıdır. Bu anlatımda varsayılan kapalı bir bilgisayara müdahaledir.

Analiz
Bu süreçte artık incelenen delilin birebir kopyasından konuyla ilgili veriler çıkarılır.

Raporlama
Analiz sürecinde elde edilen bilgilerin sunumunun yapıldığı süreç raporlama sürecidir. Raporlama, anlaşılabilir netlik ve açıklıkta olmalıdır, iddialardan ziyade değerlendirmeler içermelidir.

Elbette ki yukarıda sayılan bu 4 süreç yaygın olarak uygulanan süreçtir. Süreç tanımlanan kaynaklara göre esneklik gösterebilir. Örneğin 2000-3000 adet istemcinin olduğu bir sistemde bütün bilgisayarların birebir kopyalarını almak pratik bir çözüm değildir. Ya da yine binlerce istemcinin kullandığı bir veritabanı uygulamasını incelemek için bütün sistemi kapatmak da mantıklı değildir. Dolayısıyla sistemlerin özelliğine göre müdahale yöntemi de değişecektir. Bazı kaynakların belki de hiç birebir kopyası alınmayacak, inceleme sistem çalışır durumda iken yapılacaktır.

Adli Bilişim İnceleme Yöntemler

Çapraz sürücü analizi
Birden çok sabit diskte bulunan bilgileri ilişkilendiren bir adli teknik yöntemidir. Araştırılan süreç, sosyal ağları tanımlamak ve anomali tespiti ( aykırı değer tespiti ) yapmak için kullanılabilir.

Canlı analiz
Özel adli veya var olan sistem yönetici araçlarını kullanarak işletim sistemi içinde bilgisayarların incelenerek kanıt ayıklamak için uygulanır. Örneğin şifreleme anahtarlarının toplanabileceği ve bazı durumlarda bilgisayarın kapatılmasından önce mantıksal sabit sürücü biriminin görüntülenebileceği dosya sistemlerini şifrelemeyle uğraşırken etkin kullanılır.

Silinen dosyalar
Bilgisayar adli tıplarında kullanılan yaygın bir teknik, silinen dosyaların kurtarılmasıdır. Çoğu işletim sistemi ve dosya sistemi, fiziksel dosya verilerini her zaman silmez. Araştırmacıların fiziksel disk sektörlerinden yeniden yapılandırmasına izin vererek, Dosya disk görüntüsü içinde bilinen dosya başlıkları için arama ve silinen verileri inceleme olanağı sağlar.

Stokastik
Dijital eserlerin eksik faaliyetlerini araştırmak için bilgisayar sisteminin stokastik özelliklerini kullanan bir yöntem. Başlıca kullanım alanı veri hırsızlığını araştırmaktır.

Steganografi
Verileri gizlemek için kullanılan tekniklerden biri, bir resmin veya dijital görüntünün içindeki verileri gizleme işlemi steganografi ile yapılır. Bir suçlunun amacı keşfedilmesini istemediği görüntüleri veya diğer bilgileri gizlemek olacaktır. Bilgisayar adli uzmanları, dosyanın karmasına bakarak ve varsa orijinal görüntüyle karşılaştırarak sonuca ulaşabilir. Görüntü tam olarak aynı görünürken, veri değiştikçe karma değişir.

Dijital delil, bilişim sistemlerinin veya veri kaydetme özelliğine sahip elektronik cihazların içerisinde yer alan ve suçun aydınlatılmasında önemli rol oynayacak verilerin genel ismidir.

Dijital Delil ve Elde Edilme Yöntemleri
Dijital delil elde etme yöntemleri belirli aşamaları kapsamakta olup bu çerçeve dışında yapılan tüm işlemler verinin delil niteliğini bozabilmektedir.

Dijital Delillerin Değerlendirilmesi

  • Veriler delil niteliği taşımalıdır.
  • Deliller yapılan suç olayını destekleyici nitelikte olmalıdır.
  • Deliller kanun çerçevesinde belirtilen hususlara uygun yollarla elde edilmelidir.

Dijital Delillerin Toplanması

  • Her dijital delilin yedeklemesi yapılmalıdır.
  • Dijital delil yerel bir ağa bağlı halde bulunuyorsa bulunduğu ağ içerisinden ayrılmalı ve güvenli olarak belirlenen yerde saklanmalıdır.
  • Delili taşıma ve koruma işlemleri kanunlar çerçevesinde yapılmalı ve kimler tarafından, nasıl yapıldığı tutanak çerçevesinde belirtilmelidir.
  • Dijital delilin kapalı halde ise delil niteliğinin bozulmaması için açılmaması gerekmektedir.
  • Delilin açık olması durumunda RAM imajının alınması ve sonrasında kapatılması gerekmektedir.
  • Dijital delil üzerinde yer alan tüm veriler teknik koşullar çerçevesinde yeterli boyuttaki disk üzerine imajı alınmalıdır.
  • Kopyalanan verilerin de hash değerleri ( dosyanın parmak izi ) alınmalıdır.
  • Delili inceleyecek kişi dışındaki kimsenin delile erişmemesi gerekmektedir.