İPUCU

Adli Bilişim Adli bilişim, veri kurtarma, forensic vb... adi bilişimin konusu olan birçok bilgiye buradan ulaşabilirsiniz.

Seçenekler

Adli bilişimin temelleri

14-12-2012 23:23
#1
ShaaDooM - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
02/2012
Nereden:
İstanbul
Mesajlar:
1.947
Teşekkür (Etti):
397
Teşekkür (Aldı):
245
Konular:
623
Ticaret:
(0) %
BİLİŞİM SUÇLARINA KARŞI MÜCADELE KULLANILAN BİR TEKNOLOJİ OLARAK ADLİ BİLİŞİMİN TEMELLERİ
A. Giriş

Bilgisayar ve ağ teknolojisindeki hızlı ilerleme neticesinde son on yıldır, bilgisayar tabanlı elektronik deliller mahkemelerde önemli rol oynamaya başladı. Adli tıbbın ve bilgisayar güvenliği teknolojilerinin içinde yer alan adli bilişim, bilgisayar suçlarının, ulusal güvenliğe yönelik tehditlerin ve bilgisayarın kötüye kullanımı durumlarının soruşturulmasında bilgisayar sistemlerinden deliller elde edilmesiyle ilgilenir. Daha önceleri sadece adli makamlar ve istihbarat birimleri tarafından kullanılan adli bilişim teknikleri, günümüzde özel şirketler tarafından işten atma, anlaşmazlıklar ve telif hakları gibi birçok konuda kullanılmaktadır.

Birkaç yıl önce New York Hukuk dergisinde New York’taki bir sermaye yönetimi firmasının eski avukatlık şirketine karşı yönelttiği suçlamalar yer almaktaydı. Bu suçlamalara göre avukatlık şirketi, sermaye yönetim şirketine bir davayla ilgili danışmanlık sağlamak için görevlendirilmişti. Bu dava için avukatlık şirketinden avukatlar sermaye yönetim şirketinin New York’taki ofisinde kamp kurdular. Şirket avukatlar için internet bağlantısı, telefonların olduğu bir oda tahsis etti. Avukatlık şirketi 18 ay boyunca çalıştı ve danışmanlık bedeli olarak 3 milyon dolarlık fatura çıkardı. Sermaye yönetim şirketi bu faturaya itiraz etti ve avukatların zamanının çoğunu internette sörf yaparak geçirdiğini iddia etti. Sermaye yönetim şirketi adli bilişim tekniklerini kullanarak yaptıkları incelemede, avukatların 12 aylık zaman diliminde ziyaret ettikleri 1351 internet sitesinin sadece 14 tanesinin hukukla ilgili olduğunu ve bunun da sadece %1’e tekabül ettiğini gördüler. Şirket bunun üzerine, avukatlık şirketine 13,7 milyon dolarlık tazminat davası açtı.

Bu dava adli bilişimin artan önemini ortaya koyan olaylardan biridir. Adli bilişimin hedefi delillerin elde edilmesi, tanımlanması, analizi ve muhafaza edilmesidir.

B. Adli Bilişimde Kullanılan Süreç ve Yöntemler

Bir olay olduktan ve adli bilişim sorgulaması yapılmasına karar verildikten sonra, başarılı bir soruşturma için belli bir takım süreç ve yöntemler takip edilmelidir. Delil olabilecek her şey konusunda dikkatli olunmalıdır. Zarar görmüş veya uygunsuz bir şekilde toplanmış deliller birçok davada kabul edilmemektedir.

1. Şüpheli bilgisayarını emniyet altına alma

Adli bilişim soruşturmasının ilk kuralı şüpheli bilgisayarın önemli bir delil içerebileceğini akıldan çıkarmamaktır. Şüpheli bilgisayarın bulunduğu yere varıldığında donanımla ilgili parçaları ve bunların birbiriyle bağlanma şeklini kayıt altına almak için bütün açılardan resimler çekilmelidir. Bütün kablolar daha sonradan yeniden birleştirilme ve suç mahallini yeniden oluşturmaya imkan sağlaması açısından etiketlenmelidir. Bilgisayar bir ağın parçası ise bu ağdan ayrılmalı ve güvenli bir bölgeye nakledilmelidir. Adli bilişim personeli tarafından yapılması gereken önemli bir uygulama da, delillere işlem yapan, orada bulunan herkesin ve ne işlem yapıldığının kayıt altına alınmasıdır. Bu uygulama delillerin değiştirilmediğini ve zarar görmediğini ispatlamak için gereklidir.

Diğer önemli bir husus şüpheli bilgisayarın yeniden başlatılmaması ve herhangi bir uygulama programının çalıştırılmamasıdır. Bilgisayarın uygunsuz bir şekilde yeniden başlatılması BIOS, tarih/zaman gibi birçok parametrede değişikliğe yol açabilir. Bazı deliller Windows swap dosyası veya RAM’de yer alabilir ve bilgisayarı yeniden başlatma bu bilgileri silebilir.

Ele geçirilen bir bilgisayarın nasıl kapatılması gerektiği hususunda anlaşmazlık vardır. Güç kablosu çekilerek mi yoksa normal yoldan mı bilgisayar kapatılmalı? Bazı araştırmacılar bilgisayarın güç kablosu çekilerek kapatılmasının dosya sitemi ve hard diske zarar vereceğini ve delillerin kaybına yol açacağını savunurken, diğer bir kısım araştırmacı ise bilgisayarın normal yoldan kapatılması durumunda şüpheli bilgisayarında arka planda delilleri yok edici birtakım uygulamaların çalışabileceğini savunmaktadır. Birçok durumda işletim sisteminin türü kapatma şeklini belirleyen en önemli unsur olacaktır.

2. Delillerin emniyet altına alınması

İkinci adım bilgisayarda saklanan veya bilgisayarla ilgili olan delillerin emniyet altına alınmasıdır. Soruşturmayı yürüten kimse bir delilin zarar görmesi, değiştirilmesi veya imha edilmesine karşı dikkatli olmalıdır.

Şüpheli bilgisayarındaki bütün bilgiler adli bilişim sorgulamasının yapılacağı medya ortamlarına kopyalanmalıdır. Bütün verinin sağlıklı bir şekilde alınabilmesi için kopyalamanın yapılacağı depolama ortamının kapasite olarak kopyalamanın yapıldığı ortamdan büyük olması gerekir. Şüpheli bilgisayarındaki depolama ortamlarındaki bilgilerin yedeği alınmadan hiç kimsenin bilgisayara dokunmasına veya açmasına müsaade edilmemelidir. Pratikte bir hard diskin kopyasını almak için birçok metot bulunmasına rağmen güvenli, eksiksiz bir kopyalama için “bit stream” veya “imaj alma” metotları kullanılmalıdır.

Veri ve dosyaları bir bilgisayardan yeni bir depolama aygıtına kopyalamak delil olması için yeterli olmayabilir. Elektronik delillerin kopyalanan bilgisayarınki ile birebir aynı olması, bütünlüğünün korunması ve bizzat şüpheli bilgisayarına ait olduğunun ispatlanması gerekir.

Genellikle, adli bilişim yukarıda sayılan bütünlüğün korunması ve suçlunun bilgisayarından alındığının ispat edilmesi işlemlerini “hash fonksiyonu” denilen tek taraflı oluşturulan matematik algoritma ile sağlar. Hash fonksiyonu değişken uzunluğa sahip bir mesajı girdi olarak alır ve sabit uzunluklu bir mesajı çıktı olarak üretir. Bu çıktı mesajı belirli bir girdi için tek bir sonuç üretir ve başka bir girdinin aynı sonucu üretmesi mümkün değildir. Girdi bir dosya, mesaj veya komple bir hard disk olabilir. Girdideki mesajın bir biti bile değiştirilse hash fonksiyonu sonucu üretilen yeni değer, eski değerden farklı olur. Hash fonksiyonu sayesinde adli bilişim orijinal depolama ortamındaki veri ile kopyalanan verinin birebir aynı olup olmadığına karar verebilir. En çok kullanılan hash algoritmaları MD-5 ve SHA-1’dir.

3. Delillerin toplanması

Üçüncü adım delillerin toplanması ve elde edilmesidir. Veri kopyalandıktan, doğruluğu ve bütünlüğü ispatlandıktan sonra, delilleri elde etme süreci başlar. Bu süreç silinen verilerin geri getirilmesi ve kriptolanmış dosyaların kriptolarının çözülmesi işlemini kapsar. Bütün çalışmalar kopyalanan veriler üzerinde yapılmalı, orijinal verinin zarar görmesi engellenmelidir. Orijinal veri depolama ortamı kesinlikle delil araştırması için kullanılamaz. Adli bilişim incelemesi normal dosyalar, silinen fakat kalan dosyalar, gizli dosyalar, kriptolanmış dosyalar, şifre-korumalı dosyalar, geçici dosyaların tamamını içermelidir. Eğer aranan dosya bir text dosyası ise (örneğin, Word dokümanı veya e-posta) bu iş için tasarlanmış birçok yazılım kullanılarak anahtar kelimeler vasıtasıyla arama yapılabilir. Fakat aranan şey örneğin çocuk *****grafisi ile alakalı resimler ise bu konuda geliştirilmiş hiçbir yazılım bulunmadığı için tek tek bütün resim dosyalarının incelenmesi, tasnif edilmesi ve bu iş özel personel ve vakit ayırmak gerekebilir.

4. Delillerin analiz edilmesi

Dördüncü adım delillerin analiz edilmesidir. Analiz konusunda önemli olan hususlar;

Bütün analizler şüpheli bilgisayarından ayrı olarak başka bir adli bilişim bilgisayarında yapılmalı,

Sadece delilin kopyasında analiz işlemi yapılmalı, orijinal delile dokunulmamalı,

Analizdeki her aşama, kullanılan her yazılım ve donanım kayıt altına alınmalıdır.

Hard diskte partition oluşturulmamış(unallocated) bölümlere özel önem verilmelidir. Bu bölüm kullanıcı tarafından hali hazırda kullanılmıyor olmasına rağmen geçmişle ilgili veriler içeriyor olabilir. File slack veya slack space denilen bir dosyanın sonunda kalan, o dosyaya ait olan fakat o dosya tarafından kullanılmayan bölgelere de dikkat edilmelidir. Bu bölgeler de daha önceden yaratılan dosyalarla ilgili veri içeriyor olabilir.

Windows swap dosyası incelenmesi gereken diğer bir bölümdür. Birçok programı aynı anda çalıştırmak için Windows’un sanal hafıza denilen ve hard diskteki belli bir alanı RAM gibi kullanan uygulaması vardır. Bu sayede işletim sistemi sahip olduğu fiziksel RAM’den daha fazlasını kullanır. Swap dosyası bu sanal hafızanın hard diskteki karşılığıdır ve adli bilişim incelemesinde faydalı bilgiler içerme ihtimali vardır.

5. Delillerin hazırlanması

En son adım mahkeme için delillerin hazırlanmasıdır. Bir delilin ikna edici olması için mahkeme tarafından kabul edilmesi gerekir. Mahkeme tarafından kabul edilmesi için ise bir delilin bütünlük ve doğruluğunun olması gerekir. Delil kabul edildikten sonra savunma makamı tarafından yoğun analize ve incelemeye tabi tutulabilir. Eğer delillerin elde edilmesinde yasal standartlar ve prosedürler takip edilmediyse, delil kusurlu veya güvenilmez olarak nitelendirilebilir. FBI istatistiklerine göre bilişim suçlarının %1’i tespit edilmekte ve bunların içinden %3’üne soruşturma açılmaktadır. Bu düşük oranların bir nedeni de elektronik delillerin zarar görmesi, değişime uğramasıdır.

Standart soruşturma prosedürünün en önemli hususlarından biri soruşturmanın her safhasını belgelemek ve detaylı notlar almaktır. Belgeler ve dokümanlar şunları içermelidir:

Şüpheli bilgisayarın ele geçirildiğindeki durumu; bilgisayarın çalışıp çalışmadığı, güç kablosunun çekilip çekilmediği,

Bilgisayarın teknik özellikleri; işletim sistemi, BIOS ayarları, donanım konfigürasyonu, üzerinde yüklü yazılımlar,

Bilgisayardaki dosya sayısı, verinin boyutu, dosya türleri ve kriptolanıp kriptolanmadığı,

Klonlama ve yedekleme işlemi sırasında uygulanan yöntem ve kullanılan yazılım,

Delillerin elde edilmesi, incelenmesi sırasında kullanılan yöntem, metot ve yazılımlar.

C. Sonuç

Bilgisayar ve ağ teknolojilerindeki hızlı gelişmeyle birlikte bilgisayar tabanlı elektronik deliller son on yıldır mahkemelerde önemli rol oynamaktadır. Adli bilişim geçmişte adli makamlar tarafından kullanılmış fakat şimdilerde özel şirketler tarafından da işçileri işten çıkarma esnasında, şirket politikalarının ihlal edildiğini, şirket bilgisayarlarının kötüye kullanıldığını belgelemede sıklıkla kullanılmaktadır. Her geçen gün daha çok firma ve organizasyon çalışanlarının bilgisayar tabanlı günlük aktivitelerini adli bilişim yazılımlarıyla takip etmekte ve kayıt altına almaktadır. Şirketler İşten çıkarma sebebi ne olursa olsun, personelin bilgisayarlarının kopyalarını almakta ve daha sonradan işten çıkarılan işçinin açtığı davalarda karşı delil olarak kullanmaktadırlar.

Küresel güvenliğe ve bilgi güvenliğine karşı artan tehditler neticesinde, adli makamlar, adli olaylarda delil elde etme aşamalarında adli bilişime daha fazla bağımlı hale gelmektedir. Bunun sonucunda adli bilişim daha da gelişmekte ve daha kapsamlı ve popüler hale gelmektedir. Adli bilişimin, İnternet Adli Bilişimi, Ağ Adli Bilişimi gibi alt disiplinleri oluşmaktadır.

Sonuç olarak, bilgisayar güvenliği ve adli bilişime olan ihtiyaç açıktır. Bununla birlikte adli bilişim tekniklerinin yanlış uygulanması mahkemeler için önemli olan delillerin zarar görmesine neden olabilir. Bilişim suçlarıyla mücadelede adli bilişimin ilke ve yöntemlerinin iyi anlaşılması ve doğru bir şekilde uygulanması hayati önem taşımaktadır.
cagrierarslan16 Teşekkür etti.


Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı