Adli Bilişimin Genel Tanımı
Adli Bilişim, temel olarak bilişim sistemleri üzerinde işlenen suçları kapsamaktadır. Adli bilişimin temel amacı ise, bilim olarak bilişim sistemleri üzerinde bulunan “dijital delil” kavramına sahip bulguların adli makamlara net bir şekilde raporlanabilmesinin sağlanmasıdır.
Bu işlem yapılırken en önemli ayrıntı ve adli bilişimin özeti, Difose’dan Şükrü Durmaz abimin sözüdür. Bu söz; “Adli Bilişim bir bilimdir. Raporlanan adımları, adli bilişimi bilmeyen birisi bile adım adım yaptığında o delile ulaşmalıdır”
Adli Bilişim, şüpheye mahal bırakmadan dijital delillerin varlığı ya da yokluğu ile alakalı net bilgiler içeren, somut, anlaşılabilir rapor yazabilme eylemidir.
Adli Bilişim Adımları
Adli Bilişim Adımları, dijital veriye ilk temas edildiği andan itibaren delillerin adli raporlara geçirilme sürecinin tamamını ifade eder. Yasal olarak veriye ulaşmak, imaj almak, veri türlerini tespit etmek, suçla ilişkilendirme işlemlerinin yapılması ve sonrasında somut ve anlaşılır raporlama işleminin yapılması adımlarının tamamı adli bilişim olarak adlandırılmaktadır.
1. Dijital Hedef Tespiti / Olaya İlk Müdahale
Dijital hedefin ilk tespit edilmesi, dijital veriye ilk temasla başlamaktadır. Burada en önemli olan konu, dijital delillerin hassasiyetine önem verecek ve bunun farkında olan bir ekiple çalışmaktır. Adli Bilişim’in en kritik aşamalarından birisi, olaya ilk müdahale anıdır. Bu adımda akıllarda soru işaretinin yaşanması demek, diğer adımlarda verilen emeklerin tamamının da çöpe gitmesi anlamı taşımaktadır.
Sistemler bağlı bulundukları ağdan tamamen ayılmalıdır. İlk müdahale anı mutlaka video veya fotoğrafla desteklenmelidir. Tüm dijital sistemler numaralandırılmalı, tüm detaylar raporlara yazılmalıdır. Yapılan işlemlerin tamamı not edilmeli ve gerektiğinde bunlar da detaylı raporlara eklenmelidir.
Alınan delillerin tamamının dijital imzaları kontrol edilmeli, hiç bir dijital delilin değiştirilmediği ispatlanmalıdır. Verilerin “bit to bit” imajları alınmalıdır.
Sadece Türkiye’de yaşanabileceğini düşündüğüm tarz olayların yaşanmaması için de önlem almalıyız. Suç mahaline giderek, yemeksepeti üzerinden delillerin olduğu bilgisayardan sipariş vermek muhtemelen sadece Türkiye’de yaşanmıştır.
2. Veri / Dosya Türleri ve Tespit / Dijital Delil Toplama
Bir dijital delili ele aldığımızda, muhtemelen bir laboratuvar ortamında onu incelemek için ilk başlangıç yapacağız. Burada “delil zinciri” kavramını atlamamak gerekiyor. Delil zinciri, bir dijital delili sizin kimden hangi şartlarda teslim aldığınızı ve hangi imzalarla, bozulup bozulmadığına bakılarak kime ne zaman teslim ettiğinizi ispat etmeye yaramaktadır.
AABBCC hash değerine sahip Samsung XV3 model bir diski, XXYYZZ hash değerine sahip kırmızı Kingston Marka 32GB usb belleği, X isimli polis memurundan veya benden önceki adli bilişim uzmanından şu saatte şu tarihte, şu şahitler huzurunda teslim aldım. Bu belge elinizde olacak şekilde siz de dijital delilleri farklı bir bilirkişiye teslim edeceğinizde, aynı şekilde doldurarak, hash değerlerini kontrol ederek teslim edebilirsiniz.
Dijital delilin olası bozulması veya içine ekleme/çıkartma yapılması durumunda hash değeri değişeceğinden, dijital delillerin yazmaya karşı korumalı aparatlarla kopyalarının alınması ve bu kopyalar üzerinde işlem yapılması gerekmektedir. Hash’in değiştiğini fark eden kişi, bir önceki dijital delil zincirinde kimden aldığı ile alakalı tutanak tutmalıdır.
Alınan imajların erişilebilir, bütünlüğü sağlam ve gizlilik konusunda akıllarda soru işareti bulundurmamalıdır. Disklerde şifreleme olup olmaması, o şifrelerin elde edilerek dosyalara erişilebilmesi, silinmiş verilerin tekrar incelemeye hazır hale getirilmesi gerekmektedir.
Dijital delillerde, delillerin ufak/gereksiz gibi görülmesi büyük bir hatadır. En ufak detay bile, en güçlü delil haline gelebilmektedir. Suç türüne göre dosya türlerine önem verilmelidir. Şantaj davasında fotoğraf/video çok daha önem arz ederken, kod hırsızlığı gibi bir davada Eclipse veya Visual Studio dosyaları daha önemlidir.
3. İlişkilendirme / Dijital Veri Analizi
İlişkilendirme işlemi yapılırken, hangi işlem, hangi aşamada, kim tarafından yapıldı ve hangi adımlarla yapıldı net olarak yazılması gerekmektedir. Bunun sebebi, delili farklı bir kişi görmek istediğinde, aynı adımları uygulayarak o delile ulaşabilmelidir. Bunun temel sebebi de, adli bilişimin bir bilim olmasıdır. Aynı adımlar, her zaman aynı sonuca ulaştırmalıdır.
İlişkilendirme ve veri analizi farklı bir bilgisayarda yapılmalı fakat farklı farklı bilgisayarlarda yapılmamalıdır. Bu aşamada da yine aynı şekilde, diğer aşamalar gibi dokümantasyonun en önemli olduğu aşamadır. Dokümantasyonun yanı sıra, kullanılan tüm yazılımlar ve donanımların listesi de tutulmalıdır. Mümkünse kullanılan yazılımların lisans anahtarları veya sertifikaları da dokümante edilmelidir. Lisanssız veya yamalanmış yazılımlarla suç analizi yapmak, kendi başına suçtur.
Bulunan delillerle alakalı her konu tek tek not edilmelidir. Aranan terimlerle alakalı bir kelime listesi (keyword list) oluşturulmalı ve bu liste sürekli olarak güncellenmelidir. Analizi yapacak kişi tam olarak ne aradığını bilmeli, bulduğu farklı konulardaki ayrıntıları da birleştirmek için bir kenarda not olarak tutmalıdır.
4. Somut Detaylar / Adli Raporlama
Bu aşama adli bilişimin son aşamasıdır. Bu adımda, bulunan tüm deliller somut, açık ve net olarak raporlanmalıdır. Şüpheye mahal vermeyecek, tüm herkesi ikna edebilecek deliller raporlanmalıdır. Delillerin bulunmadığı durumda ise, hangi işlemlerin yapıldığı, o işlemlerde hangi sonuçlar çıktığı ve çıkan sonuçlar sonrasında aranan delilin bulunamadığı detaylı olarak yazılmalıdır.
Bulunan dijital deliller ise, çok açık ve net olarak raporlanmalıdır. Raporlar içerisinde, IPS, Firewall, NAT, VPN, IP, Malware gibi terimler kullanılmamalı, bunların yerine bunları çok daha somut açıklayıcı raporlar yazılmalıdır. Bir rapor ne kadar teknik detay içermiyorsa, o kadar iyidir.
Yazılan raporlarda, bir dijital delile ait “kırıntılar bulundu” gibi raporlar değil, hangi dosyanın hangi parçasının dijital delile ait olduğu raporlanmalıdır.