Adli Bilişim ( Dijital Delillerin Elde Edilmesi ve Analizi )
Adli Bilişim ( Dijital Delillerin Elde Edilmesi ve Analizi )
Türkay HENKOĞLU
Önsöz
Adli bilişimin konusu olabilecek her türlü bilgisayar veya diğer elektronik cihazlar, günlük hayatın her noktasında herkes tarafından kullanılmaktadır. Teknolojinin gelişimine bağlı olarak hayatın akışı kolaylaşırken, maddi ve manevi kayıplara neden olan bilişim suçlarının işlenme oranında da her geçen gün artış olmaktadır. Bilişim teknolojilerinin kullanım oranı düşünüldüğünde, sadece bilişim suçlarının soruş-turulmasında değil, birçok suç türünün soruşturulmasında ve araştırılmasında adli bilişim tekniklerinden her geçen gün daha fazla faydalanılacağını söylemek yanlış olmayacaktır. Bilişim suçlarını işleyen kişilere verilecek cezalar, elde edilen dijital delillerin gücü oranında mümkün olabilmektedir. Dijital delillerin elde edilmesi, analizi ve raporlandırılması sürecinde prosedürlerin tamamının doğru olarak uygulanması, delillerin kabul edilebilirliği açısından çok önemlidir. Adli bilişim uzmanlığı, adli inceleme/analiz ve raporlandırma aşamalarında sadece teknik işlem boyutuyla değil, hukuki bilgi ve beceriye sahip olma zorunluluğunu da içinde barındıran özel bir uzmanlık alanıdır. Adli bilişim uzmanlarından faydalanılması, sadece yargı sürecine yardımcı olmakla ve adaletin yerine gelmesini sağlamakla sınırlı kalmayacak, bilişim hukuku, bilişim suçlan ile mücadele ve adli bilişim uygulamaları alanlarında daha güçlü ve bilinçli kadrolardan oluşan hukuk sisteminin oluşmasına da katkı sağlayacaktır.
Dijital delillerin kolaylıkla değiştirilebilmesi, yok edilebilmesi ve yoktan var edilebiliyor olması gibi ciddi kaygıların duyulduğu ülkemizde, adli bilişim ve dijital delillerin elde edilmesi konusundaki eksikliklerin hissedilir boyutlarda olduğu aşikârdır. Elde edilen aynı bulgular üzerinde farklı bilirkişiler tarafından farklı sonuçlara ulaşılması ve çelişkili raporların oluşmasıyla meydana gelen kaygıların sonucu gelinen nokta, bazı dijital delil analizlerinin sanık avukatları tarafından yurt dışındaki adli bilişim uzmanlarına götürülmesi ve tekrar inceletilmesine kadar ilerlemiştir. Oysa ki, adli bilişim alanında teknik ve hukuki açıdan tüm yönleriyle bilinçliliğin sağlandığı ve dijital delillerin profesyonelce değerlendirildiği ülkelerde, dijital delillerin hiçbir şekilde iz bırakmadan değiştirilmesinin, yok edilmesinin veya yoktan var edilmesinin mümkün olamayacağına inanılmakta ve ceza sorumluluğunun temel esaslarını oluşturan tüm suçlarda dijital delillerden faydalanılmaktadır. Bilişim suçlarının en fazla görüldüğü ve aynı oranda adli bilişim tekniklerinin kullanılarak dijital delillerden suçluya ulaşma konusunda başarılı bir örnek teşkil eden ülkelerden biri olan ABD'de, teknik ve hukuki açıdan tüm yönleriyle bilinçliliğin sağlanmasının yanı sıra, elektronik delillerin elde edilme sürecinde bir delili yoktan var edebilme teşebbüsünde bulunma imkânı bulunan organların denetiminin/kontrolünün sağlanması da ihmal edilmemiştir. Ülkemizde bu konuda henüz toplumsal ve hukuki bilinçliliğin sağlanması konusunda dahi atılan adımların yeterli olmadığı görülmektedir. Klasik yöntemlerle çözülmesinin mümkün olmadığı bilişim suçları ile ilgili olarak yasal mevzuatların güncellenmesi, adli bilişimle ilgili etik değerlerin belirlenmesi, siber suçlarla mücadelede politikaların belirlenmesi ve adli bilişimin uygulama aşamaları esnasında kişisel hakların korunması konuları da her geçen gün önemini hissettirerek gündemde yer alacağı zamanı beklemektedir.
Bu kitapta, adli bilişim ve delillerin elde edilmesi sürecindeki zorlukların teknik ve hukuki boyutları irdelenmiş ve adli bilişim konusundaki bilinçliliğin en üst seviyede olduğu ülkelerdeki uygulamalar örnek alınarak, teknik analiz ve bilirkişilik konusunda bir şablon oluşturulmuştur. Olay yerinde bulunan dijital delillerin tespit edilmesi, toplanması, muhafazası, laboratuvar ortamında delillerin açığa çıkartılması, incelenmesi, analizinin yapılması ve nihai olarak bilirkişilik-raporlandırma süreçlerini de içine alan tüm adli bilişim aşamaları teknik ve hukuki yönleriyle ele alınmıştır. Ayrıca, bazı meslek gruplarının (kolluk kuvvetleri, hâkim, savcı ve avukatlar gibi) adli bilişim alanının zorlukları hakkında daha bilinçli olmaları ve büyük şehirlerde dijital delillerin elde edilmesi ve analizi konusunda duyulan hassasiyetin ülke genelinde gösterilmesi, bu alanda çalışan çok az sayıdaki iyi yetişmiş/nitelikli adli bilişim uzmanından daha etkin olarak faydalanılması gerektiği ve yeterli sayıda adli bilişim laboratuvarınm zaman kaybetmeksizin kurulmasının hukuk sisteminin öncelikli ihtiyacı haline geldiği kanaati vurgulanmıştır.
İÇİNDEKİLER
1. Adli Bilimler ve Adli Bilişim 1
- Adli Bilişim Nedir? 1
- Neden Adli Bilişime İhtiyaç Vardır? 2
- Dijital Delillerin Tanımlanması 3
- Dijital Delil Nedir? 5
- Dijital Delilin Niteliği 6
- Suç Kategorilerine Bağlı Olarak Yapılan Adli İncelemeler 7
- Bilişim Sistemine Hukuka Aykırı Olarak Girmek 8
- Çocuk İstismarı 8
- Ölüm Nedeni İncelemeleri ve Cinayet 9
- İnternet Dolandırıcılığı ve Sahtecilik 9
- E-Posta Tehditleri 10
- Kimlik Hırsızlığı 10
- Kumar Oynanması İçin Yer ve İmkân Sağlamak 11
- Uyuşturucu Veya Uyarıcı Madde İmal ve Ticareti 11
- Fuhuş 12
- Yazılım Korsanlığı 12
- Terörizm 12
- Adli Olaylarda Verilecek İlk Tepki Nasıl Olmalıdır? 13
- Adli İnceleme Yapan Kişinin Nitelikleri Nelerdir? 14
- Olay Yeri İncelemesinde Uyulması Gereken Kurallar Nelerdir? 17
- Dijital Delillerin Elde Edilmesi 22
- Dijital Delillerin Taşınması ve Muhafazası Nasıl Olmalıdır? 24
- Canlı Analiz İşlemlerinin Amaç, Kapsam ve Farklılıkları Nelerdir? 26
- Canlı Analiz İşlemleri Nasıl Yapılır? 29
- Systeminfo (Windows) Komutunun Kullanımı 31
- Pslnfo (Windows) Komutunun Kullanımı 33
- Cat (Linux) Komutunun Kullanımı 34
- Uname (Linux) Komutunun Kullanımı 34
- Mevcut Sistem Zamanının Elde Edilmesi ve
Yapılan İşlemlere Eklenmesi 35
- Sistem Çalışma Zamanı Bilgisinin Elde Edilmesi 36
- Çalışan Programların Tespit Edilmesi 36
- Sisteme İzinsiz Oturum Açma İsteklerinin Tespit Edilmesi 37
- VVhoami (Windows) Komutunun Kullanımı 37
2.6 Adli Bilişim Laboratuvarının Kapsamında Neler Olmalıdır? 38
3.1 Ticari Yazılımlar 43
- EnCase 44
- Access Data Forensics Tool Kit 44
- Paraben 44
3.2 Açık Kaynak Kodlu Yazılımlar 44
- Limucdd 45
- Autopsy ve The Sleuth Kit (TSK) 45
- Helix 45
3.3 İyi Bir Adli Bilişim Yazılımında Hangi Özellikler Bulunmalıdır? 46 4. Disk İmajı Oluşturma İşlemleri 49
- Veri Elde Etmek İçin Kullanılan Sistemler 49
- Disk İmajı Alma ile Kopyalama İşlemi Arasındaki Farklılıklar 50
-
Bitstream İmaj Almak 51
4.3.1 FTK Imager ile Bitstream İmaj Almak 51 - Hash Algoritması Nedir?
Adli Bilişim Açısından Neden Önem Taşımaktadır? 56
4.5 Tahsisli Alan, Tahsis Edilmemiş Alan ve Artık Alan Nedir?
Adli Bilişim Açısından Neden Önem Taşımaktadır? 58 5. Disk İmajı Alma Araçları 63
5.1 Yazılım Tabanlı İmaj Alma Araçları 63
- Linux"dd" Komutu 63
- Norton Ghost 64
- FTK Imager 64
- EnCase 65
5.2 Donanım Tabanlı İmaj Alma Araçları 65
- SOLO 65
- HardCopy 67
- Tableau TD Serisi 67
- Logicube Forensic Quest 2 68
- RoadMASSter 3 69
6. Sabit Diskler ve Dosya Sistemleri
6.1 Disk Geometrisi ve Disk Üzerine Veri Yazma İşlemi
- Silindir (İz)
- Kafa
- Sektör
- Fat (File Allocation System) Dosya Sistemi
- NTFS (New Technology File Sytstem) Dosya Sistemi
- EXT2/EXT3 Dosya Sistemleri
- Dosya Özellikleri 83
- Dosya İmzaları 85
- Kötü Niyetli Kodlarla İlgili Dosya Analizi 86
- Steganografi ve Dosya Birleştirme Yöntemleri 88
- Steganografi, Kriptografi ve Watermarking
Arasındaki Genel Farklılıklar 90
- Steganograti Analizi 91
- Takas Dosyasının Kullanımı ve Önemi 93