Adli Bilişim Kavramı ve Önemi
“ Adli Bilişim; (Computer Forensics – Bilgisayar Kriminalistiği) bilimi; suçun aydınlatılabilmesi için bilimsel yöntemler kullanılarak, çeşitli varyasyonlardaki dijital medyalar üzerinde bulunan, suçla ilgili dijital delillerin bozulmadan ve zarar görmeden anlaşılabilir bir şekilde adalet önüne sunulmaya hazır hale getirilmesini sağlayan ve başlı başına bilimsel teknik prensiplerin uygulandığı bir delil inceleme sürecinin bütünüdür.”
Modern hayatın kritik sektörlerinden olan enerji, ulaşım, iletişim, bankacılık, sağlık hizmetleri ve benzeri kamu hizmetlerinde, verimlilik ve etkinliğin arttırılması amacıyla bilgi sistemleri teknolojilerine olan bağımlılık gün geçtikçe artmaktadır. Ancak gelişen teknolojinin suçlular tarafından da kullanılmasıyla, söz konusu sektörler risk altına girmiştir. Dolayısıyla, dünyada güvenlik güçleri, enerjilerini, klasik suçlardan çok bu konulara yönlendirmiş, kamu güvenliği ve ulusal güvenlikte öncelikli tehdit olarak bilişim suçları kavramı yer almaya başlamıştır. Bu doğrultuda mahkemelerde dijital deliller büyük önem kazanmıştır. Bilişim suçları kavramı, son yıllarda ülkemizde de mevzuatın güncellenmesiyle birlikte hukuki süreci destekleyecek teknik altyapı konusunda gündeme gelmeye başlamıştır.
Türkiye dışında birçok ülke, artan bilişim suçları ve suçlunun tespiti için çoğu açık kaynak kodlu ulusal Adli Bilişim Analizi araçları ve yazılımları geliştirmeye başladı. A.B.D ( Carnivore – EnCase – Autopsy – The Sleuth Kit), İtalya, Belçika, (FCCU), Hollanda’yı (www.forensix.org) içerik geliştiren ülkelere örnek verebiliriz. Türkiye’de Adli Bilişim 2000’li yıllardan günümüze Adli Tıp, Emniyet, Askeriye tarafından uygulanırken 2006 yılından itibaren Özel Sektör tarafından da Adli Bilişim Hizmeti verilmektedir.
Arama motorlarında Adli Bilişim yazılarak çıkan sonuçlarda da bilişim firmalarının %85’i adli bilişimi, bilgi kurtarma, bilgi güvenliği, ağ güvenliği cihazları, ürün bazlı güvenlik donanım ve yazılımlarının pazarlanmasını adli bilişim hizmeti olarak görmektedir.
Hazırlık Aşamaları
İlk müdahale, adli bilişim kapsamında olay mahallindeki elektronik delillere el konulması işlemlerini kapsamaktadır. Bilişim suçlarına maruz kalmış kişi veya kurumlarca olayın tespit edilmesi adli bilişim uzmanlarının olaya daha erken müdahalesine imkan verir. Kişi veya kurumlarca bilişim güvenliği açısından karşılaşılan güvenlik problemleri tespit edilemiyorsa ve bu nedenle şüpheli olay bildiriminde bulunulmazsa, karşılaşılan bu güvenlik açığı, tespit edilene kadar devam eder ve bazı durumlarda daha büyük boyutlara ulaşarak güvenliğin daha fazla zaafa uğramasına neden olur. Eğer bir kişi veya kurum olay öncesi hazırlığını iyi bir şekilde yapmamış ve şüpheli bir olay meydana geldiğinde de bu durumun farkına varamıyorsa ilk müdahale ekibinin yapacağı pek bir şey kalmamış demektir.
Olay öncesi hazırlıklar olayın meydana geldiği organizasyonun bilişim suçlarına karşı korunmak için ne tür tedbirler aldığı, bilişim güvenliğini sağlayan ekibin bilgi ve donanım açısından ne oranda yeterli olduğu ile ilgilidir.
İlk müdahale aşağıda belirtilen adımlardan oluşmaktadır:
- Olay öncesi hazırlık
- Olayın tespiti
- Olayın araştırılması
- Müdahale stratejisinin belirlenmesi
- Müdahale etme
- Raporlama
- Gözden geçirme
İlk müdahale ekibinde aşağıda belirtilen donanım ve yazılımlar bulunmalıdır:
- İşletim sistemi CD’leri
- Safeback, Encase, Diskpro vb. veri kurtarma yazılımları
- Tüm sürücü dosya ve yazılımları (hardware, driver, softwares)
- İlk açılış CD’leri (Bootable CD)
- Tüm dosya tiplerini görüntüleyebilen programlar (Quick View plus vb)
- Yazma korumalı Disk okuma üniteleri (Disk Write Block)
- Imaj yazılımları.
Daha sonra; olay mahallinde bulunan bilgisayar, cep telefonu, cep bilgisayarı vb. cihazlar eğer açık durumda iseler kesinlikle kapatılmamalıdır. Çünkü kapatma esnasında geçici bilgiler silinmekte ve bu bilgilerin konusu olmamaktadır. Çalışan bir sistem ile karşılaşıldığında bilgisayarın kapatılarak incelenmek üzere etiketlenmesi ve muhafaza altına alınması önceleri adli bilişim uzmanlarınca uygulanan bir yöntemdi. Ancak çalışan bir sistemin kapatılması veya elektriğinin kesilmesi ile bir daha asla geri alınamayacak uçucu bilgilerin de yitirilecek olması göz ardı edilmemelidir.
Bu yüzden artık adli bilişim uzmanları “Live Data Collection” olarak adlandırılan canlı data toplama ile bilgisayarın hafızasında yer alan uçucu bilgileri elde etmek için çalışırlar. Bu bilgilere bilgisayar kapandığında asla ulaşılamaz.
Aynı şekilde olay mahallinde bulunan bilgisayar, cep telefonu, cep bilgisayarı vb. cihazlar eğer kapalı durumda iseler kesinlikle açılmamalıdır. Aksi halde verilerin değişmesine sebep olunacaktır. Örneğin cep telefonun en son en son hizmet aldığı konum bilgisi de yine değişebilir.
Delil çıkartma işlemleri sırasında yapılabilecek çalışmalar aşağıdaki gibi sıralanabilir:
- Mevcut Dosya Araması
- Silinmiş Dosya Araması
- Unallocated Alandan Dosya Araması
- Kelime Araması
- Internet işlemleri
- Link dosyaları
- Print Spool Dosyaları
- Registry İncelemesi
- Dosya İmza Analizi
- Hash Analizi
- Geri Dönüşüm Kutusu Kurtarma
- Swap Dosyası
- Kullanılmayan Disk Alanları
- Windows Açılışında Otomatik Çalışan Programlar
- Saklanmış Bölümler (Hidden partitions)
Ref: http://www.cozumpark.com/forums/thread/290988.aspx