Adli Bilişim Kavramı ve Hazırlık Aşamaları

Adli Bilişim Kavramı ve Önemi

Adli Bilişim; (Computer Forensics – Bilgisayar Kriminalistiği) bilimi; suçun aydınlatılabilmesi için bilimsel yöntemler kullanılarak, çeşitli varyasyonlardaki dijital medyalar üzerinde bulunan, suçla ilgili dijital delillerin bozulmadan ve zarar görmeden anlaşılabilir bir şekilde adalet önüne sunulmaya hazır hale getirilmesini sağlayan ve başlı başına bilimsel teknik prensiplerin uygulandığı bir delil inceleme sürecinin bütünüdür.”

Modern hayatın kritik sektörlerinden olan enerji, ulaşım, iletişim, bankacılık, sağlık hizmetleri ve benzeri kamu hizmetlerinde, verimlilik ve etkinliğin arttırılması amacıyla bilgi sistemleri teknolojilerine olan bağımlılık gün geçtikçe artmaktadır. Ancak gelişen teknolojinin suçlular tarafından da kullanılmasıyla, söz konusu sektörler risk altına girmiştir. Dolayısıyla, dünyada güvenlik güçleri, enerjilerini, klasik suçlardan çok bu konulara yönlendirmiş, kamu güvenliği ve ulusal güvenlikte öncelikli tehdit olarak bilişim suçları kavramı yer almaya başlamıştır. Bu doğrultuda mahkemelerde dijital deliller büyük önem kazanmıştır. Bilişim suçları kavramı, son yıllarda ülkemizde de mevzuatın güncellenmesiyle birlikte hukuki süreci destekleyecek teknik altyapı konusunda gündeme gelmeye başlamıştır.

Türkiye dışında birçok ülke, artan bilişim suçları ve suçlunun tespiti için çoğu açık kaynak kodlu ulusal Adli Bilişim Analizi araçları ve yazılımları geliştirmeye başladı.  A.B.D ( Carnivore – EnCase – Autopsy – The Sleuth Kit), İtalya, Belçika, (FCCU), Hollanda’yı (www.forensix.org) içerik geliştiren  ülkelere örnek verebiliriz.  Türkiye’de Adli Bilişim 2000’li yıllardan günümüze Adli Tıp, Emniyet, Askeriye  tarafından uygulanırken 2006 yılından itibaren Özel Sektör tarafından da Adli Bilişim Hizmeti verilmektedir.

Arama motorlarında Adli Bilişim yazılarak çıkan sonuçlarda da bilişim firmalarının %85’i adli bilişimi, bilgi kurtarma, bilgi güvenliği, ağ güvenliği cihazları, ürün bazlı güvenlik donanım ve yazılımlarının pazarlanmasını adli bilişim hizmeti olarak görmektedir.

 

Hazırlık Aşamaları

İlk müdahale, adli bilişim kapsamında olay mahallindeki elektronik  delillere  el konulması   işlemlerini   kapsamaktadır.  Bilişim suçlarına maruz kalmış kişi veya kurumlarca olayın tespit  edilmesi  adli bilişim   uzmanlarının  olaya   daha   erken müdahalesine  imkan   verir.   Kişi veya kurumlarca bilişim güvenliği  açısından karşılaşılan güvenlik  problemleri tespit  edilemiyorsa ve  bu  nedenle  şüpheli  olay  bildiriminde  bulunulmazsa,  karşılaşılan  bu  güvenlik   açığı, tespit  edilene kadar  devam  eder  ve  bazı  durumlarda daha  büyük  boyutlara  ulaşarak  güvenliğin daha fazla zaafa uğramasına neden  olur. Eğer bir kişi veya kurum olay öncesi hazırlığını iyi bir şekilde yapmamış ve şüpheli bir olay meydana geldiğinde  de bu durumun  farkına  varamıyorsa ilk müdahale  ekibinin  yapacağı  pek bir şey kalmamış  demektir.

Olay öncesi hazırlıklar olayın  meydana  geldiği   organizasyonun  bilişim suçlarına  karşı  korunmak  için  ne tür tedbirler  aldığı,  bilişim  güvenliğini sağlayan ekibin  bilgi  ve donanım  açısından  ne oranda  yeterli  olduğu  ile ilgilidir.

İlk müdahale aşağıda belirtilen adımlardan oluşmaktadır:

  1. Olay öncesi hazırlık
  2. Olayın tespiti
  3. Olayın araştırılması
  4. Müdahale stratejisinin belirlenmesi
  5. Müdahale etme
  6. Raporlama
  7. Gözden geçirme

 

İlk  müdahale ekibinde aşağıda belirtilen donanım ve yazılımlar bulunmalıdır:

  1. İşletim sistemi CD’leri
  2. Safeback, Encase, Diskpro vb. veri kurtarma yazılımları
  3. Tüm sürücü dosya ve yazılımları (hardware, driver, softwares)
  4. İlk açılış CD’leri (Bootable CD)
  5. Tüm dosya tiplerini görüntüleyebilen programlar (Quick View plus vb)
  6. Yazma korumalı Disk okuma üniteleri  (Disk Write Block)
  7. Imaj yazılımları.

 

Daha sonra; olay mahallinde bulunan bilgisayar,  cep telefonu,  cep bilgisayarı  vb. cihazlar eğer açık durumda  iseler kesinlikle  kapatılmamalıdır. Çünkü kapatma esnasında  geçici bilgiler silinmekte ve bu bilgilerin  konusu olmamaktadır. Çalışan bir sistem ile karşılaşıldığında bilgisayarın kapatılarak incelenmek üzere etiketlenmesi ve muhafaza altına  alınması  önceleri  adli  bilişim  uzmanlarınca uygulanan   bir  yöntemdi.   Ancak çalışan  bir  sistemin   kapatılması  veya  elektriğinin kesilmesi   ile  bir  daha  asla  geri alınamayacak uçucu  bilgilerin  de yitirilecek  olması  göz ardı edilmemelidir.

Bu yüzden  artık  adli  bilişim  uzmanları  “Live  Data  Collection”   olarak adlandırılan canlı data toplama ile bilgisayarın hafızasında yer alan uçucu bilgileri elde etmek  için  çalışırlar.  Bu  bilgilere  bilgisayar  kapandığında asla  ulaşılamaz.

Aynı şekilde olay mahallinde bulunan  bilgisayar,  cep telefonu,  cep bilgisayarı vb. cihazlar  eğer kapalı  durumda  iseler  kesinlikle  açılmamalıdır. Aksi  halde  verilerin değişmesine sebep  olunacaktır. Örneğin cep telefonun  en son  en  son  hizmet  aldığı konum bilgisi de yine değişebilir.

Delil çıkartma işlemleri sırasında yapılabilecek çalışmalar aşağıdaki gibi sıralanabilir:

  1. Mevcut Dosya Araması
  2. Silinmiş Dosya Araması
  3. Unallocated Alandan Dosya Araması
  4. Kelime Araması
  5. Internet işlemleri
  6. Link dosyaları
  7. Print Spool Dosyaları
  8. Registry İncelemesi
  9. Dosya İmza Analizi
  10. Hash Analizi
  11. Geri Dönüşüm Kutusu Kurtarma
  12. Swap Dosyası
  13. Kullanılmayan Disk Alanları
  14. Windows Açılışında Otomatik  Çalışan Programlar
  15. Saklanmış Bölümler (Hidden partitions)

Ref: http://www.cozumpark.com/forums/thread/290988.aspx