Bu yazımda amacım birazda olsa şu Computer Forensic yada Türkçe söylenişiyle; Adli Analiz & Adli Bilişim konusuna ufak bir giriş yapmak...
Bu bağlamda bloğumda takip ettiğim ve tabi henüz eklemediğim ama bu konudaki üstad'ların şimdiden hoş görüsüne sığınıyorum...
Buradaki yazımda aslında neleri bilerek veya bilmeyerek yaparsak adli delillere zarar verebiliriz ,yada bu delillere ulaşmak imkansızlaşabilir.!
Tabiki öncelike kısa bir tanımını yapalım;
Elektronik ortamlardan elde edilen bulguların, çeşitli teknik donanım ve yazılımlar kullanılarak hukuki delillere dönüştürülme süreci olarak tanımlanabilir.
Konumuz bir çoğumuz için yeni gibi gelebilir ama bu kavram farklı işler için çok önceden beri hep vardı.
Mesela bazı alt türleri/bölümleri şunlardır;
Adli hava fotoğrafçılığı,
Sanat eserlerin adli incelemesi,
Adli muhasebe,
Adli antropoloji,
Adli arkeoloji,
Adli astronomi,
Adli dactyloscopy (parmak izi),
Adli DNA analizi,
Adli video analizi,
Adli Mobil cihaz incelemeleri,
Adli TIP,
...
...
...
Tabi bunların içinde herkesin muhtemel duymuş olabileceği TIP alannındaki adli incelemelerdir.
Bir insanın, ölüm sonrası incelenen bedeninden alınan bulgular o kişinin doğal yollardanmı öldüğünü, yoksa biri tarafındanmı öldürüldüğünü ve hatta öldürenin kim olduğunu ortaya çıkarmaktadır.
İlk analiz tekniklerine ait kanıtların kesin bir tarihi olmamasına rağmen bazı dökümanlarda konunun antik çağlara kadar dayandığı yolundadır.
Tarihte bilinen ilk adli inceleme Arşimet tarafından kral Hiero'ya yapılan tacın incelenmesi olayıdır. Tacın yapılması için o dönemin kuyumcusuna verilen altına çok miktarda gümüş karıştıran kuyumcu saf altının büyük kısmını çalmıştır. Arşimet yaptığı kimyasal analiz sonucunda tacın içinde bulunan, altının çok az olduğunu büyük bir kısmının gümüş ile yapıldığını kral Hiero'ya ispatlamıştır.
Günümüzde ise ilk bilgisayar analiz süreçleri 1980'lerde oluşmaya başlamış ve 1984 yılında FBI Bilgisayar Analizi ve Müdahale Ekibini kurmuştur.
Adli bilişimin artan çalışma alanlarından bazıları şöyle sıralanabilir.
Veri kurtarma
Veri saklama
Veri imha etme
Veri dönüştürme
Gizlenmiş dosya bulma
Şifreleme
Şifre çözme
Adli Bilişim Safhaları ise aşağıdaki gibi sıralanır.
Toplama (Collection)
İnceleme (Examination)
Çözümleme (Analysis)
Raporlama (Reporting)
Hızla gelişen teknoloji sonucunda ortaya milyonlarca yeni elektronik cihaz çıkmakta,
bu cihazların bir kısmı ise kişisel kullanıma uygun olarak üretilmekte ve hemen hemen her cihaz diğer başka bir cihaz ile haberleşebilmektedir.
Durum böyle olunca bilginin adedi ve bulunduğu cihazlar çoğalmakta ve doğru bilgiye ulaşım zorlaşabilmektir.
Çünki her elektronik cihaz üzerinde bilgiler aynı yöntem ve standartta tutulmamaktadır.
Bu nedenle her farklı cihazlar için adli inceleme süreç ve tekniği değişebilmektedir.Burada en önemli noktalardan biri zaman birimidir.
Olayların bir çoğunda, özellikle canlı incelemelerde olayın olma anı ile olaya müdahale zamanı arasında geçen süre nekadar uzarsa delillere ulaşmak okadar zor hatta kimi zaman imkansız olmaktadır.
Zaman damgası bir incelemede delilin en büyük göstergesidir.
İnceleme yapılırken olayın aydınlatılması için elde edilen tüm deliller bir zaman çizelgesi (time line) üzerine yerleştirilmelidir.
Ortaya konan bulgulara ait zaman bilgisi olayın olmasından sonra ise buradaki net cevap; İncelemeyi yapan ya zaman bilgisini yanlış yazmış (ki bu çok küçük bir ihtimal) yada ilgili delil olay olduktan sonra oraya konmuştur.!
Son dönemdeki Çağdaş Yaşamı Destekleme Derneği'nin hard diskine dosyaların sonradan yüklendiğini gösteren adli bilişim raporunu aşağıda görebilirsiniz.
* https://drive.google.com/file/d/0B_mjsPB8uKOAOTRJdlN1ZVRYM1E/preview?pli=1
Bu nedenle adli incelemenin sıfırıncı adımı zamanın doğru tesbiti ve doğru zaman birimi üzerinden adli delillerin toplandığının belgelenmesiyle başlamaktadır.
Bunun için kullanılan zaman doğrulayıcısı atomic clock olarak adlandırılan atomik saatir.
Atomların rezonans (tınlaşım) frekanslarını sayarak zamanı ölçen bir saat çeşididir. 3 milyon yılda 1 saniye hata yapmalarının ihtimali sadece % 22,522 olduğu hesaplanmıştır.
Bu saatlerin zaman ayarı yoktur. Bulunduğu yerden uydular aracılığıyla merkezdeki atom saatine bağlanarak çalışır. * http://www.atomic-clocks.com
Delillerin toplanması aşamasında cihazların saat, tarih damgası ile atom saati birlikte delil teşkil edecek şekilde fotoğraflanır yada video'ya çekilir. Mümkün ise her ikisini birden yapmak daha doğrudur. Delillerin toplanması aşamasında fotoğraflamayı yapan ile delilleri toplayan kişinin farklı kişiler olması sürecin daha ilk başında iken sağlıklı başlamasında önemli rol oynar.
Eğer ortamda meraklı tipler mevcut ve sorular soruyorlarsa bunlarla ilgilenecek üçüncü bir kişinin olmasıda çok önemlidir. Çünki daha olayın başında eksik yada yanlış deliller toplanırsa sonuçlar hiç sağlıklı olmayacaktır.
Adli bilişimde kimin yada kimlerin bilgisayar, elektronik cihazını incelediğimizi bilmemizde çok önemlidir. Sıradan bir vatandaşmı? Meraklı bir acemi bilgisayar kullanıcısımı? Yoksa bu konularda uzman birimi? Her bir profil için ayrı inceleme süreçleri oluşturulabilir.
Ancak burada bizim için en önemlisi bilgisayar konusunda bilgili, deneyimli hatta uzman olan kişidir. Delillerin toplanmasından incelenme sürecinin tamamlanmasına kadarki geçen süreçte normalden çok daha fazla efor sarfetmemiz gerekebilir.
Kullanılan işletim sisteminden o bilgisayara bağlı tüm ağ bileşenleri dikkatlice incelenmeli ve delil olarak saklanabilecek tüm veriler alınmalıdır.
Bu aşamada delil karartma olalarak adlandırılan işlemlerin neler olabileceği konusunda şunları söyleyebiliriz. Yada yukarıda bahsettiğimiz olaya müdahil olan kişinin bu konuda uzman olduğunu var sayarak delilleri karartma anlamında neler yapabileceğine kısaca değinelim ve azda olsa açıklamaya çalışalım.
* Sistem en son nezaman kapandı/açıldı?
* Diskin tamamı yada bazı dosyalar şifrelenmişmi?
* İncelenen sistem üzerinde anti virüs yazılmı en son nezaman tarama gerçekleştirdi?
* İşletim sistemi üzerindeki Disk Defragmenter/Disk Birleştirme uygulaması en son nezaman çalıştı?
* Olaydan sonra sistem üzerine başka dosya yada dosyalar kopyalandımı?
* Sistem üzerinde ayrıca çalışan sanal makineler mevcutmu?
* Sistem üzerinde gerekli tüm audit/denetim ayarları set edilmişmi?
* Sisteme ait günlük olay kayıt sistem servisi çalışıyormu?
* Sisteme ait günlük olay kayıtları eksiksiz bir şekilde duruyormu?
* Sisteme ait page file (swapping memory:pagefile.sys) dosyası varmı?
Şimdi yukarıdaki delil karartma maddelerini kısa bir şekilde açıklamaya çalışalım;
* Sistem en son nezaman kapandı/açıldı? Olay ile ilgili uçucu verilerin elde edilebilmesi için çok önemli bir sorudur. Eğer olay olduktan sonra ilgili sisten kapanmadıysa işlemi yapan ile ilgili çok önemli bilgiler halen uçucu hafıza üzerinde durduğundan (özel bir uygulama ile uçucu hafıza temizlenmediyse) inceleme sırasında bir çok kanıta buradan ulaşabiliriz.
* Diskin tamamı yada bazı dosyalar şifrelenmişmi? Olayı gerçekleştiren kişi diskin tamamına yada dosyalara erişimi/okumayı zrlaştırmak adına şifrelemiş olabilir. Bu durumda şifreyi kırmak gerektiğinden ve şifrenin kırılması nekadar zaman alacağını bilemediğimizden olay bu aşamada çıkmaza sürüklenip kapanabilir.
* İncelenen sistem üzerinde anti virüs yazılmı en son nezaman tarama gerçekleştirdi? Olaya delil teşkil edecek olan dosyalara son erişim zaman damgası çok önemli demiştik.Bu aşamada olayın olmasından sonra anti virüs yazılımı tüm disk üzerinde yada belirli dosyalar üzerinde otomatik tarama gerçekleştirdiyse, ilgili dosyalara son erişen bilgiside otomatik olarak değişeceğinden bu delilde bizim için hiç bir anlam ifade etmeyecektir.
* İşletim sistemi üzerindeki Disk Defragmenter/Disk Birleştirme uygulaması en son nezaman çalıştı? Olay sonrasında delil karartma işlemlerinden biride Windows7 ve sonrasındaki işletim sistemlerinde performans artışı sağlanması amacıyla disk birleştirme özelliğinin standart olarak set edilmesi yada delil karartma amaçlı bu uygulamanın bilerek çalıştırılmasıdır. Bu işlem olaya konu olan delillerin silinmesinden sonra yapılır ise silinen dosyalardan açığa çıkan boş alanlar diğer dosyalar tarafından işgal edilerek var olan izlerin tamamen kaybolmasına yol açabilmektedir.
* Olaydan sonra sistem üzerine başka dosya yada dosyalar kopyalandımı? Delile konu oluşturacak olan dosyaların silinmesinden sonra, sistem üzerine bilerek çok sayıda ve gelişi güzel dosya kopyalama işlemi mevcut ise buda silinen dosyalardan boşalan yerlere yeni dosyaların yazılması ile önceki izlerin silinmesine neden olabilir.
* Sistem üzerinde ayrıca çalışan sanal makineler mevcutmu? İncelenen sitem üzerinde halen yada silinmiş başka bir sanal makine olup olmadığının kontrol edilmesi inceleme sürecinin gidişatını tamamen değiştirebilir. Asıl makine Windows iken sanalda çalışan makine bir Linux olabilir ve tüm aktiviteler bu sanal makine üzerinden gerçekleştirilmiş olabilir.
* Sistem üzerinde gerekli tüm audit/denetim ayarları set edilmişmi? İşletim sistemine ait tüm kullanıcı ve sisteme ait tutulması istenilen denetim izleri politikasının ayarlanıp ayarlanmadığı mutlaka incelenmeli ve araştırmaya ondan sonra devam edilmelidir.
* Sisteme ait günlük olay kayıt sistem servisi çalışıyormu? İşletim sistemine ait günlük olay kayıt servisinin çalışılırlığı kontrol edilerek gerekli tüm olay günlüklerinin varlığı kontrol edilmelidir.
* Sisteme ait günlük olay kayıtları eksiksiz bir şekilde duruyormu? İşletim sistemine ait günlük olay kayıtlarının ilgili tarih ler için kayıt bilgilerine ulaşılıp ulaşılamadığı kontrol edilmelidir.
* Sisteme ait page file (swapping memory:pagefile.sys) dosyası varmı? İşletim sistemi yapısı gereği 521KB'den büyük olmayan tüm dosyalar pagefile.sys dosyası içine kaydedilmektedir. Burada bir çok dosya barındığından bu dosya delil inceleme aşamasında önemli rol oynamaktadır.
Evet, gördüğünüz gibi delil toplama aşamaları ve bundan sonraki inceleme sahfasında yapılan yada yapılacak olan her bir adım olayın seyrini tamamen değiştirebilmekte. Aslında bunların kısa ama can alıcı anabaşlıklarının olduğu ve Halil Öztürkçi arafından hazırlanmış olan "OlayMudahalesindeYapilanYanlislarveDikkatEdilmesiGerekenNoktalar.pdf" dökümanından faydalanabilirsiniz.
Umarım bu yazımda adli analizin nekadar önemli ve ciddi bir iş olduğunu, analizin süreçlerinin belirlenmesinde nelerin önemli olduğunu azda olsa anlatabilmişimdir...
Saygılarımla,
@ziz BİLGİLİ - 27/01/2014