Mesajı Okuyun
Old 23-01-2009, 23:26   #1
ckocamaz

 
Varsayılan Adli Bilişim İncelemeleri - I

Merhabalar, Adli Bilişim İncelemeleri konusundaki kişisel tecrübelerimi ve bu konudaki bilgi birikimimi sizinle paylaşmak, bir beyin fırtınası yapmak için bir giriş yapmak istiyorum.

Adli Bilişim


1. Adli Bilişim nedir?

Adli Bilişimin tanımını şöyle yapalım : mahkemeye intikal etmiş bir olayla ilgili olarak, olayda ele geçirilmiş ve el konulmuş olan bilişim cihazlarının incelenmesi isteğiyle ilgili olarak bu cihazlara yönelik kriminalistik prensiplerin uygulanmasıdır. Burda söz konusu bilişim cihazlarının veri depolama özelliği olduğunu düşünerek bunlara da “sayısal delil” diyelim. Sayısal delili ise ise bilgilerin sayısal olarak saklandığı veya iletildiği, ispat kuvveti olan bilgi olarak tanımlayalım. Sayısal Delil, kısaca el konulan sabit disk,CD,DVD,disket,usb disk,flash disk,cep telefonu, dijital kamera, fotoğraf makinesi,PDA, GPS,Pocket PC vs gibi üzerinde veri depolama özelliği olan cihazlarda bulunma potansiyeli olan bilgidir.
Adli Bilişim İncelemeleri, adı üzerinde adli bir işlem olduğundan ve sonucunda bir rapor mahkemeye sunulacağından incelemeler mevzuata uygun yapılmaldır. Her ne kadar mevzuat bu konuda yetersiz olsa da rapora itiraz hakkını asgariye indirecek bir çalışma yapılmalıdır. Ülkemizde ne yazık ki bu konuya vakıf yeteri sayıda personel olduğunu düşünmemekteyim. İşin içerisinde bilişim kelimesi geçince özellikle kendisini bilişim uzmanı olarak tanımlayan kişiler de Adli Bilişim konusunda konuşmaktan geri kalmıyorlar. Bu konu sadece bilgi değil aynı zamanda tecrübe gerektiren bir konudur. Yani bir olay yerinde ilk müdahale tecrübesi olmadan, çeşitli suçlarla ilgili incelemeler yapıp mahkemelere rapor yazmadan bu konularda uzman olduğunu iddia etmek eksik olacaktır. Dolayısıyla süreç, ilk önce süreci başlatacak olan kişinin bilgi ve tecrübesine son derece bağımlıdır.
Forensic kelimesi “mahkemeyle ilgili, adli” anlamına gelmektedir. Forensic Medicine, Adli Tıp demektir. Adli Bilişim ülkemizde genellikle “Computer Forensics” kelimesinin çevirisi olarak bilinmekte. Bir cep telefonu incelemesi de “Adli Bilişim” alanında girer. İleride bu konuyu ayrıntılı olarak ele alacağız. Computer Forensics, bilgisayar adli bilişimi olarak tanımlanabilir. Yani bu ne demektir? Adli bir incelemele yapılacak demektir. Bir adli incelemenin yapılması için gereken husular bilgisayara uygulanacak demektir. “Mahkeme kararıyla” el konulan bir bilgisayarda “savcılık” nelerin araştırılcağını bildirecek ve inceleme bu husulara göre yapılacaktır. Sonuçta inceleme yapılan bilgisayar artık bir “delil“dir. Dolayısıyla burada mevzuat bilgisi ve teknik bilgi seviyesi önem arzetmektedir.
2. Adli Bilişim Süreci
Adli Bilişim İncelemesini bir süreç olarak düşünelim. Genellikle bu süreç sırasıyla 4 başlıktan oluşur.
a- Tanımlama
b- İnceleme
c- Analiz
d- Raporlama
sırayla süreçlere kısaca bir göz atalım.
a- Tanımlama

Bu süreçte incelemeye alıanacak potansiyel veri depolama özelliği olan kaynakların (sayısal delil) belirlenmesiyle ve toplanmasıyla başlar. Tipik veri kaynakları olarak bilgisayarlara takılı sabit diskler, CD,DVD, usb diskler, flash diskler,hafıza kartları(mmc, sd) ,disket, gps, cep telefonunu sayabiliriz. Kaynaklar bununla sınırlı mı? Elbette ki hayır. Bir manyetik kart kopyalayıcı, bir veritabanı uygulaması, bir web sitesi logları, bir telefon görüşmesi trafiği gibi veriler de kaynak olabilir.
b- İnceleme
Toplanan veri kaynaklarının birebir kopyalarının alınması ve konu ile ilgili araştırmanın bu kopyalar üzerinde yapılması inceleme sürecidir. Burada incelenen delilin veri bütünlüğününü korunması esastır. Yani delile ilk el konduğu andan itibaren delil muhafaza edilmelidir. Çalışan bir bilgisayar ile kapalı bir bilgisayardan veri toplanması işlemleri farklıdır. Bu anlatımda varsayılan kapalı bir bilgisayara müdahaledir. Açık olan sistemler, bilgisayarlar ve hatta uygulamalara yapılacak müdahaleyi sonra ele alacağız ve tartışacağız.
c- Analiz
Bu süreçte artık incelenen delilin birebir kopyasından konuyla ilgili veriler çıkarılır.
d- Raporlama
Analiz sürecinde elde edilen bilgilerin sunumunun yapıldığı süreç raporlama sürecidir. Raporlama, raporu okuyan kişinin anlayabileceği netlik ve açıklıkta olmalı ve iddialardan ziyade değerlendirmeler içermelidir.
Elbetteki yukarıda sayılan bu 4 süreç yaygın olarak uygulanan süreçtir. Süreç tanımlanan kaynaklara göre esneklik gösterebilir. Örneğin 2000-3000 adet istemcinin olduğu bir sistemde sistemdeki bütün bilgisayarların birebir kopyalarını almak pratik bir çözüm değildir. Ya da yine binlerce istemcininin kullandığı bir veritabanı uygulamasını incelemek içib bütün sistemi kapatmak da mantıklı değildir. Dolayısıla sistemlerin özeliiğine göre müdahale yöntemi de değişecektir. Bazı kaynakların belki de hiç birebir kopyası alınmayacak, inceleme sistem çalışır durumda iken yapılacaktır.

kaynak:sayısaldelil