1. Duyuruyu Kapat

Adli Bilişim Süreçleri

'Adli Bilişim' forumunda KaliBot tarafından 8 Aralık 2016 tarihinde açılan konu

  1. KaliBot

    KaliBot Albay

    Katılım:
    30 Haziran 2015
    Mesaj:
    512
    Beğeniler:
    25
    Web Sitesi:
    Bilgisayar ortamında delil toplamak aslında şüphelinin bilgisayarının tamamen kopyalanması ve içeriğinin adli makamlara sunulmak üzere çıktı alınması olarak düşünülmemelidir. Bu başlı başlına süreçler bütünü olarak düşünülmelidir [Şekil 1].

    [​IMG]

    Şekil 1. Adli Bilişim Süreçleri

    Bu süreç çok iyi analiz edilmeli ve el konulacak bilgisayarlardan veri almaktan tutunda da bilgisayarı dondurmak, verileri kopyalamak, klonlamak bilgisayarı kapatmak ve laboratuvara götürülmesine kadar süreçler çok titiz bir biçimde yerine getirilmeli ve eldeki delillerden hiç birinin kaybolmaması sağlanmamalıdır [7]. Bunlarla beraber yapılan tüm işlemler adımı ayrıntılı bir biçimde dokümante edilmelidir. Temel süreçleri bütünü aşağıda listelenmiştir.

    • Kanıtların bulunduğu ortamın boşaltılması ve kamera ile sürecin takip edilmeye başlanması.
    • Kanıtlar plastik eldivenler vasıtası ile gerekli bilgisayarın açılması, açılış sürecinin analizi, açılmışsa o anki durumunun tayini, var olan kablosuz bağlantıların hemen tespit edilip kapatılıp kapatılmayacağına kara verilmesi gerekli delil toplama işlemlerinin üstün yetenekli programlar vasıtası ile alınması, bilgisayarın kapatılması süreçlerinin hepsi adli birimleri tarafından belirlenmiş sistematiğe göre yapılıp raporlanmalıdır.
    • Elde edilen deliller programlar vasıtası ile incelenmeli gerekiyorsa şifre çözme yöntemleri kullanılmalıdır.
    • Adli birimlere rapor anlaşılır bir biçimde gerektiğince teknik terimlerden kaçarak sunulmalıdır.
    Adli bilişimde olay yerinin incelenmesinden, elde edilen delillerin adli makamlara sunulmasına kadar birçok aşama bulunmaktadır. Bu aşamalar aşağıda detaylı olarak açıklanmışlardır.

    Ön İnceleme ve Olay Yeri Tespit

    • Tüm açılardan bilgisayarın resimleri ve bilgisayarın bağlı olduğu ağa ait bağlantıların ve ortamın resimleri çekilmedir.
    • Tüm ağlantılar etiketlenmelidir ki herhangi bir simülasyon-benzetim sürecinde ortamın aynısı oluşturulabilsin.
    • Bilgisayar eğer bir ağa bağlı ise ağdan ayrılmalı ve güvenli bir bölgeye götürülmelidir.
    • Yapılan bu süreçte tüm taşıma işlemleri kanunlara uygun olarak kimler tarafından nasıl yapıldığı dokümante edilmelidir.
    • Önemli bir nokta şüpheli bilgisayarın tekrardan başlatılması ve herhangi bir uygulamanın çalıştırılma sürecidir. Çünkü sistemin düzgün olarak yeniden başlatılamaması BIOS ve tarih/saat gibi önemli bilgilerin değişmesine neden olabilir. Yeniden başlama sürecinde bazı önemli dosyaların yeniden oluşmasını ya da kapatılmamış bir dosyanın kaydedilmeden ortadan kalkmasını yada Windows’a ait ‘swap’ dosyaların yok olmasına neden olabilir. Yani bilgisayarın yeniden başlatılması kanıt olarak sunacağımız delillerin yok olmasına neden olabilir.
    • Başka önemli bir nokta ise bilgisayarın laboratuara götürülürken nasıl kapatılacağıdır. Fiş çekilerek de kapatılabilir ya da uygun prosedürler yapılarak da kapatılabilir bu da birçok delilin yok olmasına neden olacak bir süreç olarak karışımıza çıkmaktadır.


    [​IMG]

    • Araştırmacı hiç bir delilin zarar görmediğinden ya da yok olmadığından emin olmalıdır.
    • Kanıtlar; yazıcı çıktı gibi fiziksel sunular olabileceği gibi CD, flaş bellek, zip dosyası ya da herhangi bir sayısal veri olarak ta sunulabilir.
    • Şüpheli bilgisayardaki tüm deliller uygun bir şekilde kopyalanmalı ve yeterli bir diskte yedeklenmelidir. Bu nedenle kopyalama aşamasından herhangi bir eksik veri kaydedilmemesi ya da veri kaybı olmaması için yedeklenecek diskin şüpheli bilgisayar diskinden büyük olması gerekmektedir.
    • Araştırmacı haricinde hiç kimse şüpheli bilgisayara erişememelidir.
    • Veriler düzgün bir şekilde klon edilmelidir bunun için birçok program bulunmaktadır. FBI klon işlemi için farklı yollar izlemektedir.
      • Linux için dd komutu kullanılmaktadır
      • SafeBack programı kullanılmaktadır.
      • SolitaireForensictoolkit kullanılmaktadır
    • Klon edilen verilerin ‘hash’leri alınmalıdır.
      • SHA
      • MD5


    [​IMG]

    Delil Toplama
    Bu aşama ise, kanıtların toplanması ve yeni kanıtların elde edilmesi aşamasıdır [8].

    • Öncelikli olarak klonlanmış veri, bu verilere erişim yetkileri ve bütünlüğü kontrol edilmelidir.
    • Bu aşama silinmiş verilerin yeniden kurtarılması ve şifrelenmiş verilerin şifre çözme aşamasını içermektedir.
    • Tüm analiz ve incelemeler orijinal kaynağın doğruluğunun korunması için klon edilmiş veriler üzerinden yapılmalıdır
    • Analizci doğu kanıtları bulabilmek için tüm dosyaları analiz etmelidir.
      • Normal dosyalar
      • Silinmiş dosyalar
      • Gizli dosyalar
      • Şifreli dosyalar
      • Şifre korumalı dosyalar
      • Geçici, ‘swap’ ya da uygulama ve uygulamaların kullandığı dosyalar
      • İşletim sistemi dosyaları
    • Eğer şüpheli dosyalar biliniyorsa bunlar içinde de arama yapılmalıdır. Mesela txt dosyaları içinde aramalar yapılmalıdır bunun için birçok program mevcuttur (Powergrep vb.). Pornografi amaçlı deliller aranıyorsa görüntü ya da video dosyaları aranmalıdır ki, bu sürenin kısalmasını sağlayacaktır.
    Analiz
    Bu aşama adli bilişim sürecindeki dördüncü ana aşamadır. Analiz için temel anahtar noktaları,

    • Tüm analizler kanıt elde edilmek için kullanılan bilgisayardan farklı bir bilgisayarda yapılmalıdır.
    • Sadece klonlanmış kanıtlar kullanılmalıdır.
    • Orijinal veri ile elde edilen deliller arasında bütünlük ve içerik doğrulama sağlanmalıdır.
    • Analiz sürecinde kullanılan her yazılım, donanın ve araç uygun bir şekilde ne amaçla kullandıkları dâhil olmak üzere dökümante edilmelidir.
    • Şüpheli bilgisayardan elde edilen tüm dosya, program, uygulama tarih ve saat bilgisi de yazılarak kayıt altına alınmalıdır.
    • En çok aranan nesneler için bir liste oluşturulmalıdır. Tüm hard disk ve diskler için yapılacak delil arama sürecinde bu anahtar sözcüklerle yeniden arama yapılmalıdır [9].
    • Çok dikkat edilmesi gereken bir nokta, ‘unallocated’ , ‘slack space’, ‘file slack’ ya da ‘swap space’ gibi alanlarda bilgisayarda bir önceki verilere ait detaylar bulunabilir. Bu alanlar gerekiyorsa tekrar kontrol edilmelidir.
    [​IMG]

    Raporlama
    Adli bilişim sürecindeki son aşama toplanmış kanıtların adli makamlara sunulması aşamasıdır.

    • Her şeyden önce kanıtların delil olarak kabul edilmesi için bulunan kanıtlar adlı kurallara uygun olmalı ve yasal örneklerden oluşmalıdır.
    • Mahkemece kabul edilmesi için en büyük öncelik delillerin bütünlük ve doğruluğudur[10].
    • Analizci tüm delillerin şüpheli bilgisayardan alındığını bu işlem sırasında hiçbir yasadışı sürecin yaşanmadığını raporlar halinde adli makamlara sunmalıdır.
    • Tüm deliller çok net ve açık olmalıdır.
    • Tüm araştırma sonucunda verilecek raporda en başındaki süreç de dahil olmak üzere her bir an raporlanmalı ve bu rapor da mahkemeye sunulmalıdır [11-12].
    ADLİ BİLİŞİM YAZILIMLARI
    Çalışmamızın bu bölümünde adli bilişim için kullanılan yazılım ve donanımlar hakkında genel bilgilendirmeler yapılacaktır. Adli bilişim araçları, şüpheliye ait elektronik cihazlardan yazılım ya da donanım yolu ile delillerin elde edilmesini sağlayan araçlar olarak tanımlanabilir. Adli makamlarda elektronik delillerin adli delil olarak kullanılabilmesi için standartlaşmış ve yetkilendirilmiş makamlardan alınan adli bilişim yazılım ya da donanımı sertifikasına sahip araçlar tarafından elde edilmiş olması gerekmektedir.Amerika’da herhangi bir yazılım ya da donanımın adli bilişim makamlarında yasal olarak kullanılabilmesi için National Institute of Standarts and Technology(NIST) tarafından kabul edilmesi gerekmektedir. NIST bünyesinde bulunan Computer Forensic Tool Testing (CFTT) [13] programı tarafından yapılan temel testleri geçmesi neticesinde yazılım ya da donanım adli bilişim amaçlı kullanılabilir sertifikası alabilmektedir. Adli süreçleri doğrudan etkilemesi neticesinde standartlaşma ve test süreçlerinin olması adli bilişim yazılım ve donanımları için çok önemlidir fakat ülkemizde bu konuda standartlaşma ve test makamı bulunmamaktadır. Çalışmanın bundan sonraki süreçlerinde öncelikli olarak bir adli bilişim aracının sahip olması gereken temel özelliklerden bahsedilecektir, daha sonra NIST – CFTT tarafından adli bilişim araçları için gerçekleştirilen test süreçlerinden bahsedilecektir son olarak ise bu süreçlerden geçip kendi yeterliliğini kanıtlamış adli bilişim araçları özelliklerine göre gruplandırılacaktır.

    Adli Bilişim Yazılımları Temel Özellikleri
    Yazılım ya da donanımların adli makamlarda kullanılabilmesi için şüpheli elektronik araçlar üzerinde yapmış olduğu işlemlerde tanımlama yapma, tahmin yapma, tekrarlanabilir olma, doğrulanabilir olma gibi özelliklere sahip olmak zorundadır [14].


    Kaynak:http://www.telepati.com.tr/agustos12/konu8.htm
     
    RichWarrior ve Al-Farabi bunu beğendi.
  2. RichWarrior

    RichWarrior Albay

    Katılım:
    19 Şubat 2016
    Mesaj:
    235
    Beğeniler:
    56
    Şehir:
    (34) İstanbul Avrupa
    Web Sitesi:
    Teşekkürler
     
  3. telexc55

    telexc55 Active Member

    Katılım:
    10 Kasım 2015
    Mesaj:
    27
    Beğeniler:
    1
    FIRAT ÜNİVERSİTESİ ADLİ BİLİŞİM MÜHENDİSLİĞİ BÖLÜMÜNE BEKLERİZ :)
     
    Al-Farabi bunu beğendi.
  4. KaliBot

    KaliBot Albay

    Katılım:
    30 Haziran 2015
    Mesaj:
    512
    Beğeniler:
    25
    Web Sitesi:
    ordayız be ;)
     
    Al-Farabi bunu beğendi.

Bu Sayfayı Paylaş

Share