Adli Bilişim Delili nedir? Bilişim suçları delilleri nasıl bulunur ve toplanır?

Adli Bilişim Delili, Bilişim Suçunu oluşturan olayın, geride bıraktığı izdir. Adli Bilişim Delili suçlu yada suçsuzluğu ispatlayacak çok önemli bir bulgudur.

Bir bilişim suçu ile ilgili, elektronik veya manyetik bir ortam üzerinden iletilen veya bu ortamlara kaydedilen bilgilere kısaca dijital delil diyebiliriz. Örneğin;

• Veri dosyaları,
• Kurtarılmış silinmiş dosyalar,
• Kayıp alanlardan kurtarılmış veriler,
• Dijital fotoğraf ve videolar,
• Sunucu kayıt dosyaları,
• E-posta,
• Chat Kayıtları,
• İnternet Geçmişi,
• Web Sayfaları,
• Kayıt Logları,
• Abone Kayıtları.

Adli Bilişim Delili nedir? Bilişim suçları delilleri nasıl bulunur ve toplanır? | Hassas kaybolacak bilgilere ulaşılmalı

Adli Bilişim Çerçevesinde Delil Toplama Süreci Nasıl Başlamalı?

1. Delilin saklandığı yerin bulunması.
2. Delilin olay ile ilgili kısmı içinde konu ile ilgili verilerin bulunması. Açıkça gereksiz olan hiçbir seyin boşyere kalabalık etmemesi için toplanmaması gerekir.
3. Bir uçuculuk sıralaması oluşturun. Delil toplarken iyi bir değer sıralaması yapın.
4. Orjinal verilerin değiştirilmesinden kaçınmak için gereklidir. Bu uzaktan ya da şüpheli sistem üzerinde  birilerinin delile zarar vermesini engellemeyi de kapsar.
5. Delil toplarken uygun ve genel kabul görmüş teknikleri kullanın.
6. Herşeyi belgeleyin. Delil toplama yöntemleriniz daha sonraki bir zamanda sorgulanabilir.

Adli Bilişim Delili nedir? Bilişim suçları delilleri nasıl bulunur ve toplanır? | Deliller sıraya sokulmalı

Adli Bilişim Delili İnceleme – Analiz – Raporlama Nasıl Yapılır?

1. İmaj almak dışında asla orjinal delile dokunmayın, böylece delili bozma olasılığını en aza indirmiş olursunuz. Orjinal delilin üzerindeki herhangi bir değişiklik, daha sonra alınacak imajlar üzerinde yapılacak incelemelerin sonuçlarını da etkileyecektir. Delil toplanıp, birebir kopyası, imajı alınmadan asla delili analiz etmeye çalışmayın.
2. Orjinal delil üstünde yapılan tüm değişikliklerin hesabını daha sonradan verebilmek için yapılan tüm işlemlerin ve değişikliklerin olabildiğine detaylı bir kaydını tutun. Bazı durumlarda delilin değiştirilmesi kaçınılmaz olur. Bu tür durumlarda var olan durumu, kapsamı ve değişiklik sebeplerini belgelendirmek kesinlikle gereklidir.
3. Bilginizi aşmayın. Ne yaptığınızı bilmiyorsanız, delil üzerinde yaptığınız işlemlerden ötürü gerçekleşecek değişikliklerin ya da yaptığınız işlemlerin doğru bir şekilde hesabını veremeyebilirsiniz. Bu alan bir anda kendinizi kafanız patlamış olarak bulabileceğiniz bir alandır. Bu nedenle araştırmanızı her an size yardın edebilecek biri ile ya da bilgiye kolay erişebilecek bir ortamda yapın.
4. Kurumunuzun kurallarına ve soruşturma rehberlerine uygun hareket edin.
   Kuralların ihlali mahkemede delilinizi geçersiz bile kılabilir.
5. Mümkün olan en kısa sürede sistemin eksiksiz tam bir imajını alın. Orjinal ve imajı alınmış kopya arasındaki farklar açıklanmalıdır. Yoksa delil bozuk, hasar görmüş olarak yorumlanacaktır.
6. Doğrulamak için tanıklığa hazır olun. Eğer delillleri siz topladıysanız, delil toplama sürecinde ürettiğiniz belgelerin doğruluğunu tasdik etmek ve gerçekliğini anlatmaya hazır olmalısınız. Bu nedenle her aşamada kayıt tutmak gereklidir.
7. Yaptığınız işlemlerin tekrar edilebilir olmasına dikkat edin. İşlemleriniz ve analizlerinizin tekrarlanabilir olması gerekir. Hareketlerinizin denemeye yanılmaya ya da hatalara dayanmaması gerekmektedir.
8. Hızlı ama doğru çalışın. Özellikle çalışan bir sistem üzerinde, ne kadar hızlı çalışırsanız o kadar az uçucu delil kaybedersiniz.
9. En uçucu delilleri ilk olarak toplayın.
10. Uçucu delilleri toplamadan sistemi kapatmayın. Uçucu deliller kaybolacaktır ama ek olarak başlangıç ve kapanış betikleri verileri de silebilir. Bilgisayarı normal olarak kapatmak delile zarar verip değiştirebilir, geçici dosya sistemleri ve sistem yapılandırma dosyaları değişebilir. Kapalı bir bilgisayarı açmak da daha fazla potansiyel delili de yok edebilir.
11. Asla şüpheli bilgisayarda çalışmayın ve o bilgisayara ve ekli donanımlara güvenmeyin. Truva atı programları tahrip edici bir düzeneği başlatabilir. Bilmeden Delili değiştirebilirsiniz.

Adli Bilişim Delili nedir? Bilişim suçları delilleri nasıl bulunur ve toplanır? | Yakalanan kredi kartı çetesinde tüm bulunan deliller

Adli Bilişim Delilleri Bulunacağı Ortamlar Nelerdir?

1. Dizüstü yada Masaüstü Bilgisayarlar | Tabletler

• Olay yerindeki bütün bilgisayarlar, çalışır durumda olan/olmayan inceleme kapsamına alınmalıdır.
• Çalışır durumdaki bilgisayarların ekranları açıksa ekranlarının fotoğrafları çekilmelidir.
• Bilgisayarların enerjisi kesilmeden, yapılabiliyorsa canlı inceleme yapılmalıdır.Eğer enerji kesilecekse bunu direk power kablosunu çekerek yapınız. Çünkü resetlenmiş bir pc yi başka bir ortamda açarken en son yapılandırılmış ayarla açabilirsiniz.
• Tablet PC’ler toplanmalı.

2. Harici Sabit Diskler

• İhtiyaç duyulan saklama alanını karşılamak üzere günümüzde oldukça fazla kullanılan bilgi depolama cihazlarıdır.2 türlüsü vardır.2,5 ve 3.5 lik  hdd kutuları vardır.
• Sahip oldukları büyük kapasiteler sayesinde üzerlerinde bir çok dijital veri saklanabilir.
• Olay yerinde görülen bütün harici sabit disklerinde  inceleme amaçlı image’leri alınmalıdır.
• Fiziksel olarak görünen bu cihazların, birde Ağ Depolama olan Nas modelleri vardır.Kontrol yapılıp , ortamda network storage hdd varmı ? yokmu araştırması yapılmalıdır.

3. CD/DVD/HD DVD/Blu-ray Media’lar

• Yedekleme amaçlı kullanılan bu ortamlar delil olarak kullanılabilecek veya olayın çözümüne etki edebilecek döküman/veri içerebilirler.
• Tek yazımlık çeşitlerinde ortam üzerine tekrar yazmak imkansızdır.
• Gün geçtikçe daha fazla veri saklayabilmeye imkan tanıyan yüksek kapasiteli çeşitleri çıkmaktadır.

4. USB Flash Memory’ler

• Boyutlarının ufak olması, cepte taşınabilir olması ve ciddi miktarda veri saklama kapasitesine sahip olmalarından dolayı oldukça çok kullanılırlar.
• Bazı modellerinde MP3 player, radyo vb gibi ekstra özellikler bulunur.
• Çok çeşitli şekillerde karşımıza çıkabilirler.
• Olay yerinde görülen bütün USB memory stick’lerin de inceleme amaçlı image’leri alınmalıdır.

5. Fotokopi Cihazları | Faks | Printer’lar

• Üzerlerinde yada çevrelerinde delil olarak kullanılabilecek çıktılar olabilir.
• Bazı yazıcı modelleri dahili sabit disk barındırırlar ve bu disklerde daha önce yazılması için yollanan belgelere ait bilgiler bulunabilir
• Dahili sabit diskler veri saklamak amaçlı da kullanılabilir.
• Öğütülmüş kağıt cihazlarındaki hiç bir şey atılmaz.

6. Taşınabilir Player’lar (Ipod/Zune/MP3 Player)

• Barındırdıkları yüksek saklama kapasitesi sayesinde sadece müzik/video değil, aynı zamanda döküman/veri saklamak için de kullanılabilirler.
• Olay yerinde bulunan bu tarz player’ların da mutlaka image’leri alınmalı ve içeriği incelenmelidir.

7. Cep Telefonları, Çağrı Cihazları ve PDA’lar

• Telefon üzerinde bulunan adres defteri, gönderilen ve alınan kısa mesajlar, en son yapılan görüşmelere ait bilgiler, telefonun dahili hafızası ve telefona sonradan takılan hafıza kartlarında yer alan ses ve görüntü kayıtları digital delil olarak kullanılabilirler.
• PDA ve bazı cep telefonlarının üzerinde e-mail mesajlarına da rastlanabilir ve bu e-postalar da delil olarak kullanılabilir.

8. Hafıza Kartları

• Bir çok elektronik cihaz, hafıza gereksinimlerini hafıza kartlarını kullanarak aşarlar.
• Digital kameralar, fotograf makinaları, cep telefonları, PDA’ler bu hafıza kartları üzerinde veri saklayabilirler.
• Bu kartlar üzerinde saklanan veriler (örneğin ses ve video kayıtları, dökümanlar vb) digital delil olarak kullanılabilir.

9. Telesekreter’ler

• Bırakılan mesajların kaydedildiği kasetler delil niteliği taşıyabilir.
• Davanın seyrini etkileyecek bilgilere, mesajlara ulaşılabilir.
• Gelen çağrılara eğer belirli bir süre cevap verilmezse devreye girerler ve arayan kişinin mesaj bırakmasına imkan tanırlar.

10. Diğer Elektronik Cihazlar

Yukarıda sayılan elektronik cihazların yanında, kredi kartı basma, çoğaltma, kopyalama cihazları (card skimmer), cep telefonu klonlama cihazları, GPS’ler gibi suç ile ilişkili olabilecek bütün cihazlarda hem delil içerebilirler hem de kendilere delil olabilirler.

Adli Bilişim Delili nedir? Bilişim suçları delilleri nasıl bulunur ve toplanır? | Adli güne kadar deliller korunmalı

Adli Bilişim Delili nasıl saklanmalı ve korunmalı?

Adli Bilişim Delili eğer fiziksel cihazlarsa aşağıdaki uygulamalar yapılmalıdır.

• Saydam Statik Kutular gereklidir.
• Köpük korumalı delil kutuları en iyi koruma yöntemlerinden biridir.
• Büyük cihazlar için pat pat koruma ambalajlara sarılıp, saklanmalıdır.
• Cihazların güvenliği taşınırken sağlamak için Uyarı etiketleri konulmalıdır.

Kaynaklar

• Halil ÖZTÜRKCİ, MVP,CISSP, CISA,CEH,CHFI BT Güvenlik Hizmetleri Direktörü