Register Now

Login

Lost Password

Lost your password? Please enter your email address. You will receive a link and will create a new password via email.

Login

Register Now

Canyoupwn.me ~

TR | Adli Bilişimde İnceleme Ve Analiz

Bilişim nedir? Bilişim suçları nelerdir?

İnsanların teknik, ekonomik ve toplumsal iletişimde kullandığı ve bilimin dayanağı olan bilginin, düzenli ve akla uygun bir biçimde, özellikle bilgisayarlar ve benzeri elektronik aygıtlar aracılığıyla işlenmesi bilimine bilişim denir.

Günümüz Türkiye’sinde “bilişim” kelimesine yerine modaya uyularak her ne kadar “siber” kelimesi kullanılsa da, sunumumuz da siber suçlar, siber analiz vs. değil bilişim suçları, bilişim analizi olarak bahsedeceğiz.
Bilişim suçları kavramı ülkeden ülkeye değişiklik gösterse de Batı’da çoğunlukla bilgisayar suçları (Computer Crimes), internet suçları (Internet Crimes), ileri teknoloji suçları (Hi-Tech Crimes), siber suçlar (Cybercrimes) ve bilgi teknolojileri suçları (IT Crimes) olmak isimleri ile anılmaktadır.

Türkiye’de en çok işlenen bilişim suçlarına;
* Sosyal Medya/e-posta hesabı çalma, ele geçirme, İletişimin yasal olmayan yollarla dinlenmesi, kaydedilmesi,
* İnternet bankacılığı dolandırıcılığı,
* Hacking,
* Kişisel verileri ele geçirme,  kopyalama ve yayınlanma-özel hayatın gizliliğini ihlali,
* Kredi kartı dolandırıcılığı/sahteciliği,
* Hakaret, tehdit, sövme, şantaj,
* Zararlı yazılım bulaştırma,
* Sistemi engelleme, bozma, verileri yok etme veya değiştirme,
örnekleri verilebilir.

Unutmamak gerekir ki eğer bir yerde suça konu bir olaydan bahsediyorsak kesinlikle olayla ilgili bir “insan” ve “para” faktörü vardır. Çünkü bu iki kavram suçun işlenmesinde insanlık tarihi boyunca en önemli faktörler olmuştur.

                                                   “ Ortam sanal olsa da işlenen suç gerçektir…”

Adli Bilişim: Bilişim sistemleri ve üzerinde bulunan depolama ünitelerinin, herhangi bir suçu işlemede veya yasaklanmış bir faaliyette kullanılıp kullanılmadığını tespit etmek amacıyla yapılan çalışmaların tümüdür.

resim

Adli bilişim temelde olaya müdahale ve laboratuvar incelemesi şeklinde iki bölümden oluşur. Olaya müdahalede en hassas konu dijital delilin usulüne uygun, hukuki geçerliği olacak şekilde şüphe götürmeden elde edilmesidir. Daha sonra usulüne uygun elde edilen dijital deliller laboratuvar ortamında incelenerek raporlanır ve elde edilen sonuçlar ilgili mercilerle paylaşılır.

Adli bilişimin amacı; olay yerinde delillerin zarar görmeden tam, sağlam ve eksiksiz toplanmasını sağlayıp, daha sonra bu delilleri yazılım ve donanımları kullanarak inleme, analiz ve raporlama yaparak adli makamlara sunmaktır.

Adli Bilişimde analiz veya inceleme yapabilmek için öz olan donanım bilgilerine sahip olunması gerekmektedir.

BİOS ve BİOS’un Önemi

Bilgisayar donanımlarından anakart üstünde bulunan ve konum itibariyle çok küçük olmasına rağmen işlevsel yönden bilgisayarın en temel parçası olan bu aygıt ile bilgisayarın açılış sırasında yapması gereken tüm komutlar ve donanımsal olarak yapılması gereken tüm işlemleri denetleyen ve ayarlamalar bu parça üzerinden yapılır.
Bios pili bitince hafıza silinir ya da kayıtlar tutulmamaya başlanır.Örneğin, adli bilişim olayının ilk müdahale aşamasında olay yerindeki bilgisayar çalışır vaziyetteyse bilgisayar yeniden başlatılmamalı ve herhangi bir uygulama programı çalıştırılmamalıdır.  Bilgisayarın uygunsuz bir şekilde yeniden başlatılması Bios, tarih/zaman gibi birçok parametrede değişikliğe yol açabilir. HDD çıkarılıp imajı alındıktan sonra Bios’a girmek delil kaybına yol açmayacaktır. Bios’a girdikten sonra Bios saati ile gerçek saat karşılaştırılmalıdır. Bu karşılaştırma olayın çözülmesi için gerçekleşmesi gereken bir adımdır. Bunun için Bios bilgisi bir adli bilişim uzmanı için gereklidir.

CMOS ve CMOS’un Önemi

Günümüzde bütünleşmiş devreler de karşımıza çıksa da, bunun ile kısıtlı kalmayıp mikroişlemci, mikrodenetleyici, statik-RAM ve birçok dijital lojik devrede de kullanılmaktadır. Teknolojik aletler de uzun pil ömrü sağlanması isteği CMOS tarafından karşılanır. Bilgisayar gibi donanımlardan çok dijital fotoğraf makinelerinde kullanılan CMOS, dijital video çekimlerinde az ısınma özelliğinden dolayı çok tercih edilen uygun teknolojidir.
Sadece dijital devreler de değil analog devrelerde de kullanılan CMOS kamera sensörleri, data çeviriciler ve telsizlerde de kullanılmaktadır.

 Analiz İşlemleri

Bilgisayarlar dijital depolama ortamlarıdır. Bilgisayar analizi, bilişim veya başka bir suç için delil oluşturabilecek veriler ve donanımların korunması, incelenmesi ve inceleme sonuçlarını adli makamlara sunulacak şekle getirilmesi işlemlerine denilmektedir.

Adli Bilişim olaylarında dijital delillere ilk müdahale ve laboratuvar çalışması safları temel olarak:

 

sıralama

Delilleri elde etme / bilgi toplama sırasında, olayın hikayesi, yeri zamanı, görgü tanıkları, çevre, zararın boyutu ve olayın sürekliliği büyük önem taşır.

Delillere müdahalede ise imaj işlemleri için plan yapılması,kullanılacak donanım ve yazılımların hazırlanması, personel ve olay yeri güvenliği, imaj alınacak ortam sağlanması, yapılan her işlemin fotoğraf ve video kayıt ile görüntü kaydının yapılması ve tüm işlemlerin detaylı bir şekilde tutanak tutulması sırası ile yapılacak müdahale öncelikleridir.

Dijital delile müdahalede kopya almak çok önemlidir asla orijinal veri ile çalışılmamalıdır.Adli bilişim olaylarında imaj ile çalışmak, delillerin kaybolmaması için vazgeçilmez bir husustur.

ADLİ KOPYA ALMA İŞLEMİ NEDİR?

Adli kopya herhangi bir dijital verinin özel bir yöntemle (çoğunlukla okuma izinli-read only) özel bir algoritma (MD5, SHA1 gibi) kullanılarak “bit bit” ya da “sektör sektör” kopyalanması ve doğrulanmasıdır.


NEDEN ADLİ KOPYA ALIRIZ?

Genelde bir işletim sisteminin bilgisayara yüklenmesi fazla zaman almaz. Ancak işletim sistemi kurulduktan sonra tanınmayan aygıtların sürücülerinin yüklenmesi, işletim sisteminin güncellemelerinin yapılması, kişisel ayarların yapılması ve gerekli yazılımların yüklenmesi büyük zamanlar alabilmektedir. Bu işler için her defasında zaman harcamamak için daha önceden hazırlanmış bir imaj kullanılabilirİmaj alınırken aygıtın içeriği ve yapısı kopyalanır.
Oldukça uzun süren bu işlem yapılırken, bilgisayar da başka işlem yapılamaz. Aynı zaman da olay yerinde ya da herhangi bir anda imaj alınıyor ise elektrik kesintisine karşı önlemler alınmalıdır. Aksi takdir de imaj alma işlemi yarıda kalır.

Adli kopya alınmadan önce yapılması gerekenler:

  1. Kopyalamada kullanılacak bilgisayara temiz bir işletim sistemi kurulmalıdır.
  2. Kopyalamada kullanılacak bilgisayara uygun adli kopya yazılımı seçilmelidir.
  3. İşletim sisteminin son güncellemeleri kurulmalıdır.
  4. Bilgisayara ait donanım  sürücüleri güncelleştirilmelidir.
  5. Bilgisayarda yeterli güvenlik tedbirleri alınmalıdır.
  6. Elektrik kesilmesini riskine karşın kesintisiz güç kaynağı bulundurulmalıdır.
  7. Adli kopyanın alınacağı bir ya da iki adet disk hazırda bulundurulmalıdır.

Adli kopya almada en çok kullanılan araçlar;

  • Access Data FTK Imager  ile çeşitli formatlarda (EnCase, SMART, Raw, Sparce) imaj alma işlemi yapıldığı gibi, alınan imaja sonradan erişebilme, farklı bir formata dönüştürebilme ve imaj dosyasını disk sürücüsü gibi göstermeyi de sağlamaktadır.
  • Guidance Software  EnCase Imager  ile EnCase delil dosyaları ve EnCase logical delil dosyaları oluşturulabiliyor fakat delil işleme, ön izleme ve analiz özellikler mevcut değil. Lisans gerektirmeyen ücretsiz bir yazılımdır.
  • Forensic Imager farklı olaylara ait adli kopyaları gruplar halinde belirleyip bu gruplara ait tüm adli kopyaları aynı anda vakaya ekleyip birbiri üzerinde karşılaştırma ya da toplu inceleme yapmaktadır ve ücretli bir yazılımdır.
  • TechPathways Prodiscover sabit disklerin Volume Shadow kopyalarını tespit edip bu kopyaların inceleme ve analizini yapmaktadır. Ücretli bir yazılımdır ve diğer yazılımlardan çok daha pahalıdır.
  • Open Source GUYMAGER Linux üzerinden medya elde etmek için kullanılan ücretsiz bir yazılımdır.
    şeklinde örneklendirilebilir.

Adli kopya için kullanılacak diskin hiç kullanılmamış olması veya Wipe edilmiş olması, şüpheliye ait diske veri yazılmasının engellenmesi, bütün işlemlerin kayıt altına alınması, sistem saatinin kaydedilmesi, uçucu verileri kaybetmemek, ağ bağlantılarının tespit edilmesi vs. dijital delillerin analizinde dikkat edilmesi gerek hususlardandır.

Çevrede farklı dijital veri depolama aygıtları bulunabilir. Bu yüzden bir Adli Bilişim Uzmanı/Mühendisi her zaman açıkgözlü olmalıdır.
Dijital delillerde analiz için biri olay yerinde biri laboratuvar da olmak üzere daima çift kopya alınmalıdır.

Adli Kopya almasa sırasında, bilgisayar(sistem) açıksa veya kapalıysa;

Bilgisayar/Sistem Açıksa

Kesinlikle kapatılmamalıdır.

  • Sistem saati kaydedilir.
    Sabit disk ve RAM imajı alınır.
  • Durum raporu çıkarılır.
  • Çalışan prosesler kontrol edilir.
  • Çalışan uygulamalar not edilir.
  • Ağ trafiği kontrol edilir.
  • Açık portlar kontrol edilir ve listesi alınır.
  • Ekran görüntüsü alınır ve ekran koruyucu iptal edilir.
Bilgisayar/Sistem Kapalıysa

Kesinlikle açılmamalıdır.

  • Belirtilen cihaza ait her şey belirlenip fotoğraflanır ve kayıt altına alınır.
  • En kısa zamanda zarar vermeden sabit disk çıkartılıp daha sonra adli kopyası(imajı) alınmalıdır.
  • Sabit diskin imajı alındıktan sonra “Sistem Açıksa” da yapılan işlemler uygulanır.
  • Durum raporu çıkarılır.
  • Bilgisayar açılır.
  • Bilgisayar açıldığı zaman bilgisayarın imajı, değişiklik olup olmadığını kontrol amaçlı, sistem açıkken bir kez daha adli kopya alınır.

Adli bilişim olaylarında bir şeyin delil sayılabilmesi için tutarlı, akla uygun, gerçek ve hakiki, tam, eksiksiz, güvenilirlik ve inanılabilirlik gibi hususları barındırması gerekmektedir.

Hash Değerinin Önemi

MD5 Nedir?

Message Digest 5 (MD5) algoritması, verilen dosyanın veya mesajın (şifre vb.) kendine has “parmak izi” nin oluşturulmasını “hash” fonksiyonlarına dayalı olarak sağlayan bir algoritmadır. Girdi verinin boyutundan bağımsız olarak 128 bitlik hexadecimal karakterde özetler üretir. Herhangi bir uzunlukta verilen mesajı (veya dosyayı) alıp fazla uzun olmayan bir harf ve sayı dizisine çevirir.

SHA1 Nedir?

Secure Hashing Algorithm olarak adlandırılan, şifreleme algoritmaları içerisinde en yaygın olarak kullanılan algoritma olduğu kabul gören SHA1, United States National Security Agency tarafından tasarlanmıştır.
SHA1 algoritması ile sadece şifreleme işlemi yapılır, şifre çözümleme işlemi yapılamaz.

Dijital delillerin analizinde Hash değeri önemli bir yere sahiptir. Çünkü verinin imzası niteliğindedir. Hash değeri verinin değişikliğe uğrayıp uğramadığını kontrol amaçlı kullanılır.

Fırat Üniversitesi canyoupwn.me ekibi olarak, katkılarından dolayı sayın Şükrü DURMAZ’a teşekkürler.

 

About CypmUni FÜ

Ekibimiz Fırat Üniversitesi Adli Bilişim Mühendisiliği öğrencilerinden Erva Nur Bozduman, Yunus Emre Demirbaş, Muhammet Kurtluk, Çağdaş Öz ve Betül Turan'dan oluşmaktadır. Kısaca mini bir siber güvenlik ve adli bilişim araştırma grubudur.

Follow Me