Merhaba sevgili kernelblog takipçileri. Bu yazımda sizlere Dijital Delillerin Elde Edilmesinden bahsedeceğim.
Dijital delillerin elde edilmesi olay yerinde ve ya laboratuvar ortamında olmak üzere ikiye ayrılabilir. Olay yerinde kolluk kuvvetleri tarafından ve ya sonrasında bilirkişiler ve ya adli bilişim uzmanları tarafından yapılır. Genellikle olay yerinde yapılan işlemlere “delillerin toplanması”, laboratuvar ortamında yapılan işlemlere “delilleri açığa çıkarma” ve ya “delillerin analizi” denmektedir.
Dijital delilleri içerebileceği düşünülen depolama ünitelerinin kopyalanması ve ya üzerinde veri bulunma olasılığı yüksek olan bilişim sistemlerini incelemek üzere el konulması ile doğrudan ilgisi bulunan ve suçu açığa çıkartan dijital delillerin bulunması farklı kavramlarladır. Dijital delillerin elde edildiği kaynakları en basit haliyle 3 grupta toplucak olursak;
- Şüpheli deliller üzerinde inceleme kurtarma işlemleri
- Şüphelinin kullandığı ve ya kullanılan sistemin bağlı olduğu cihazlar
- Şüphelinin kullandığı e-postalar, veritabanları, internet kayıtları vb.
Uygulamada dijital delillerin elde edilmesi ve analiz işlemlerinin yapıldığı süreçler, birbirini düz çizgi halinde takip etmek zorunda değildir. Bazen analiz aşamasında elde edilen bulgular, gözden kaçan bazı delilleri elde etmek üzere yeniden olay yerinde gidilmesini gerektirebilir. Örneğin, inceleme/analiz esnasında, olay yerinden elde edilen depolama ünitelerinin haricinde başka bir depolama ünitesinin de kullanıldığı ve aranan belgenin onun üzerinde bulunduğu tespit edilebilir.
Dijital delillerin elde edilmesi süreci olay yerinde başlar ve sonrasında devam edecek olan inceleme/analiz, raporlandırma ve delillerin sunulması aşamalarının tümünün geçerliliğini etkileyecek öneme sahiptir. Dijital delillerin elde edilmesi veya başka bir ifade ile toplanması safhasında, olay yerinde bulunan delil toplama ekiplerinin dikkat etmeleri gereken hususlar da şunlardır:
- Delillere mümkün olduğunca elle dokunmamaya özen gösterilmelidir. Elektronik cihaz ve veri depolama üniteleri üzerindeki parmak izi araştırması gibi kriminal işlemler de ilk aşamada dijital delillerin toplanması işlemi ile birlikte yürütülmelidir.
- Delillerin elde edilmesi ve arama işlemleri esnasında bir denetleme zinciri oluşturulmalı, tüm yapılan işlemler kamera kayıtları altında yapılmalı ve grup halinde hareket edilerek kameranın görme alanı dışında işlem yapılmamalıdır.
Olay yeri incelemesinde uyulması gereken kuralar çerçevesinde, öncelikle çalışan sistemler tespit edilmeli ve uçucu delillerin analizi ile ilgili nasıl bir yöntem izleneceğine karar verilmelidir. Uzaktan erişim ile ilgili bir problem tespit edilmemiş, delili bozacak bir program çalıştırılmamış ve çevre güvenliği de alınmış ise, çalışan programları gösteren bir ekran görüntüsü alınmalı ve ilk olarak şifre sorma ihtimali olan ekran koruyucu vb. programların çalışmasına son verilmelidir. Laboratuvar ve bilirkişi incelemesinde büyük zorluklar yaşatabilecek programların varlığı araştırılmalı ve bu tür programların kurulu olması halinde durumu açıklayan bir tutanak yazılmalı ve kamera kaydı altında canlı inceleme yapılmalıdır. Olay yerindeki açık bilgisayarların kapatılması işletim sisteminin durumu göz önünde bulundurularak yapılmalıdır.
İmaj alınırken, adli bilişim standartlarına uygun programlar kullanılmalı ve orijinal delilin birebir kopyası alınmalıdır. İmaj alınması amacıyla kullanılan donanım araçları ya da yazılımların, birebir kopya alma, imajı istenen büyüklükte parçalara bölebilme, arızalı disklerin imajını alabilme ve karşılaşılan tüm hataları kaydedebilme, “olayın adı, imaj alan kişiye ait bilgiler, tarih/saat bilgileri ve disk etiket bilgileri” gibi bilgileri kaydetme yeteneklerine mutlaka sahip olması gerekir.
Dijital delillerin çok iyi korunması ve hiçbir şekilde değişikliğe uğratılmaması, uyulması gereken zorunlulukların en başında gelmektedir.
- Toplanan her delil paketlenmeden önce mutlaka etiketlendirilmeli ve dokümanlara kaydedilmelidir. Bu işlemler mümkün olduğunca kamera kayıtları ile desteklenmelidir.
- Elde edilen delillerin yerleştirildiği kutu ve paketler ayrıca etiketlendirilmeli ve ihtiyaç duyulması halinde açıklayıcı notlar alınmalıdır.
- Birden fazla bilgisayar için her bilgisayarın yardımcı donanımı etiketlendirilmelidir.
Veri depolama ünitelerine ait alınan imajların MD5 ve SHA hash değerleri alınmalı ve bu değerler tutanak kayıtlarında belirtilmek suretiyle daha sonra meydana gelebilecek itirazların önüne geçilmelidir. CD/DVD ve yedekleme ünitelerinde kullanılan kasetlerin hassas veri depolama birimleri oldukları unutulmamalı ve çizilmemesi, bükülmemesi, kırılmaması ve manyetik ortamlara girmemesi için özen gösterilmelidir.
Delillerin taşınma işlemleri fiziksel yapılarına uygun şekillerde yapılmalıdır. Delillerin yerleştirildiği paketler aşırı ısı ve sıvı temasından uzak tutulmalıdır. Delillerin araç içerisindeki yerleşimi, fiziksel darbelerden korunacak şekilde yapılmalıdır. Daha sonra laboratuvarda incelenmek üzere el konulan bilgisayar ve üzerindeki veri depolama ünitelerinin orijinali üzerinde çalışılmamalıdır. Üzerinde dijital delillerin yer aldığı bazı elektronik aygıtlar, bataryasının tamamen boşalması durumunda tüm program ve tarih/zaman bilgilerini unutarak fabrika ayarlarına dönmektedir. Bu tür batarya ile çalışan aygıtlara ve cep telefonlarına el konulması halinde, bataryasının tamamen boşalmadan şarj edilmesi, olası delil kaybını önlemek açısından önemlidir.
Emanete ya da incelenmek üzere laboratuvara götürülen her delilin mutlaka envanter kaydının yapılması sağlanmalıdır. Emanete ya da incelenmek üzere laboratuvara götürülen her bilgisayarın, toz, nem, rutubet, aşırı ısı ve manyetik alanlar gibi zararlı olabilecek etkilerden uzak tutulması sağlanmalıdır.
Bilgisayar ekranının fotoğrafı çekilir ve çalışan programlar kaydedilir. Uçucu delillerin elde edilmesi esnasında uygulanan tüm yöntem ve işlemlerin en başından itibaren yazılı ve görsel olarak kayda geçirilmelidir. Bilgisayarın gösterdiği tarih/zaman bilgileri kaydedilir ve gerçek tarih/zaman bilgileri ile birlikte not edilir. İncelenen her bilgisayar için ayrı bir işlem kayıt dosyası açılır ve yapılan her işlem kaydedilir. Bilgilerin uçuculuk sırası belirlenerek verilerin elde edilmesi işlemine başlanmalıdır. Toplanan verilerle ilgili bir tutanak oluşturulur.
Canlı analiz işlemlerinde kullanılabilecek birçok yazılım bulunmaktadır. Bu tür yazılımlarda aranan ve bu işlem için onay almış olması beklenen en büyük özellik, incelenen disk üzerinde herhangi bir ekleme yapmaması ve delili bozabilecek herhangi bir değişikliğe imkan tanımamasıdır.
Helix, F.I.R.E. ve DEFT Linux gibi bazı Linux tabanlı ücretsiz yazılımlar, sistemin yüklemesi esnasında dosya sistemi ve takas alanı il bağlantı kurmaksızın canlı inceleme yapabilmek için ideal çözümler sunmaktadır.
Unutmayalımki insanın olduğu her sistemde bir açık mutlaka vardır. Bir sonraki yazımda görüşmek dileğiyle. İyi Okumalar..