Diğer adli bilim dallarında olduğu gibi Adli Bilişim Bilimi de konusunu ilgilendiren bazı soruların cevaplarını aramaktadır/vermektedir. Fikir kazandırması açısından Adli Bilişim Biliminin hangi soruların cevabını vermeye çalıştığını aşağıda yazılı olan sorulardan anlayabiliriz.
- Bahse konu olay ile ilgili suç unsuru var mı?
- Hangi bilişim aygıtı/aygıtları delil olabilir?
- Bahse Konu suç hangi bilişlim aygıtı kullanılarak işlendi?
- Adli kopya olay yerinde mi alınmalıdır?
- Hangi bilişim aygıtı/aygıtları e-delil olarak incelenebilir?
- Bilişim aygıtı/aygıtları Wipe’lanmış mı?
- Bilişim aygıtı/aygıtları formatlanmış mı?
- Silinmiş dosyalar ve kaybolan verilerin nelerdir?
- Bilişim aygıtında zararlı/casus yazılım var mı?
- Şifreli klasör/dosya var mı?
- Şifreli verilerin şifresi nedir?
- Verinin üzerine veri yazılmasının engellenmesi için gerekli önlemler alınmış mı?[1]
- Bahse konu e-posta hesabı bu bilgisayarda oturum açtı mı?
- Bilişim aygıtı/aygıtları içeriğinde suç ile ilgili delil var mıdır?
- Müştekinin bilgisayarından şüpheliye ulaşılabilir mi?
- Dijital cihazın kullandığı kablolu/kablosuz modem bilgileri nelerdir?
- Cep telefonlarındaki, navigasyon cihazlarındaki ve diğer bilişim aygıtlarındaki GPS kayıtları nelerdir?
- Bahse konu cihazın kullanıcısı kimdir?
- Cihaz vasıtasıyla en son yapılan görüşme veya yazışmalar nelerdir?
- DVR (Görüntü Kayıt Cihazı)’da silinmiş görüntüler nelerdir?
- Soruşturma konusu bilişim aygıtının içerisinde hangi suç unsurları vardır?
- Cihazın veri gizleme/şifreleme kabiliyeti var mıdır?
- E-delillerin teknik özellikleri ve kapasitesi nelerdir?
- E-delillerin içerisinde suç işlemeye amaç veya araç olarak kullanılabilecek uygun yazılım, uygulama veya kodlar var mıdır?
- İncelenen e-delilde, tespit edilemeyen diğer e-delille/e-delillerle ilgili bilgi var mı?
- İncelenen e-delillerin hangisinde suçun işlendiğine dair bilgi vardır?
- E-delilin veya delillerin adli kopyalarının veri bütünlüğüne zarar gelmiş midir?
- Müştekinin bilgisayarına uzaktan erişim var mı?
- Pos cihazları üzerlerinde kullanılan kredi kartlarının bilgileri kopyalıyor mudur?
- Mobil cihazların imei numaraları orijinal midir?
- E-delilden alınan adli kopya hangi yazılım veya donanım ile alınmıştır?
- Olay ne zaman oldu?
- Sistem en son ne zaman yedeklendi?[2]
- Sunucu üzerinde yapılan işlemler hangi kullanıcı tarafından yapılmıştır?
- Uçucu belleklerde bulunan kullanıcı adı ve şifreler nelerdir?
- Dijital materyalde bilgi saklama, şifreleme, yok etme, engelleme (anti- forensics) yazılımları var mı?
- Yazıcı içerisinde hafıza birimi var mıdır, hangi bilgilere ulaşılabilir?
- Modem içerisinde IP, MAC ve kullanıcı log kayıtlatı var mıdır, varsa nelerdir?
- Databank içerisinde hafıza birimi var mıdır, varsa hangi bilgiler mevcuttur?
- Oyun konsolu içerisinde hafıza birimi var mıdır, varsa hangi bilgiler mevcuttur?
- Uydu alıcı içerisinde hafıza birimi var mıdır, varsa hangi bilgiler mevcuttur?
- TV içerisinde hafıza birimi var mıdır, varsa hangi bilgiler mevcuttur?
- E-delil içeriğinde değişiklik yapılıp yapılmadığı?
- Sistemin saat dilimi ve BIOS saati, gerçek saati gösteriyor mudur?
- İncelenen sistem üzerinde proxy yazılımları mevcut mudur? İncelenen bilgisayarda işletim sistemi mevcut mudur? İncelenen e-delil herhangi bir bulut sistemine bağlanıyor mudur?
- İncelenen e-delil üzerindeki yerel kullanıcı hesapları haricinde herhangi bir active directory yapısına dahil bir kullanıcı hesabına bağlanıyor mudur?
- E-delil üzerinde 3. şahıslara ait banka hesap bilgileri ve kredi kartı bilgileri var mıdır?
- E-delil üzerinde internet üzerinden yapılan havale veya EFT bilgisi var mıdır?
- E-delil üzerindeki sistemin açma ve kapanma tarihleri nelerdir?
- E-delilde kullanılan işletim sistemi üzerindeki kullanıcı hesapları nelerdir?
- İşletim sisteminin kurulum tarihi nedir?
- E-deliller üzerinde kayıtlı dosyaların metadata bilgileri (oluşturulma, son erişim, değiştirilme, exif vb. ) nelerdir?
- E-delilde kullanılan MSN, ICQ, Whatsapp, Skype, Yahoo Messenger, Facebook, Gtalk, Tangoo, Twitter, Viber, MIRC, vb. programlarda kayıtlı kullanıcı adları, takma isimler, telefon numaraları, e-posta adresleri ve anlık ileti kayıtları nelerdir?
- E-delil üzerinde kullanılan internet tarayıcı programlarından ulaşılabilen (explorer, firefox, chrome, opera, safari, yandex vb.) gezinti ve arama geçmişleri, şifreleri, indirilen dosyalar, sık kullanılanlar ve kullanıcı bilgileri nelerdir?
- E-delil içerisinde kullanılan dosya paylaşım programları var mı, bunlara ait bilgiler ve paylaşılan dosyalar nelerdir?
- E-delil ile bağlantı sağlanan FTP adresleri var mı, IP adresi kullanıcı adı ve şifreleri nelerdir?
- Cihazda kullanılmış olan harici bellekler nelerdir, marka, model, seri numarası bilgileri nelerdir?
- Dijital fotoğraf makineleri ve video kameralarında görüntüler var mıdır, görüntülerdeki GPS koordinat bilgileri nelerdir?
- Elde edilen görüntülerin hangi makinede çekildiği, koordinat bilgileri, tarih ve saat bilgileri nelerdir?
- Navigasyon cihazlarındaki ve araç takip sistemlerindeki koordinat ve geçmiş bilgileri nelerdir?
- CD-DVD’lerin yazılma tarihleri, oturum bilgileri ve kullanılan yazma programının bilgileri nelerdir?
- Cihazda uzaktan erişime imkan sağlayan yazılım var mıdır? Erişim sağlanan ya da sağlayan cihazların (IP, kullanıcı adı vs) bilgileri nelerdir?
- E-delil kullanılarak diğer bilişim aygıtlarına virüs bulaştırılmış mıdır?
- E-delil DDOS saldırısında kullanılmış mıdır?
- E-delil içerisinde sahtecilik işlemleri yapmaya elverişli programlar var mıdır, bu programlarla üretilmiş doküman var mı?
- E-delil içerisinde narkotik madde üretimi, tüketimi, dağıtımı ve satışı ile ilgili bilgi veya dokuman var mıdır?
- E-delil içerisindeki log kayıtlarının içerisinde sisteme izinsiz/yetkisiz erişime ait tarih, saat, IP ve kullanıcı bilgileri var mıdır?
- E-delil kullanılarak internet sitesine yorum yazılmış mıdır?
- E-delil içerisinde steaganografi ile gizlenmiş herhangi bir bilgi, belge veya doküman var mı?
- E-delil içerisinde güvenlik yazılımları mevcut mudur, lisanslı mıdır, aktif midir, güncel midir?
- E-delil üzerinde online kumar oynamaya imkan sağlayan yazılım veya donanım var mıdır?
- E-delil üzerinde herhangi bir sanal makine var mıdır?
- E-delil üzerinde kurulu olan programlar ve kurulum tarihleri nelerdir?
- E-delil üzerinden silinen dosyanın hangi kullanıcı tarafından silindiğine dair bilgiler var mıdır?
Yukarıda sıralanan sorular adli bilişim biliminin cevap aradığı soruların neler olabileceği hakkında yüzeysel olarak fikir verecektir. Ancak unutulmamalıdır ki adli bilişim incelemelerinin büyük çoğunluğunda yukarıdaki soruların sadece bir tanesine cevap aranmamakta, bir olay ile ilgili olarak birçok soruya birden cevap verilmesi gerekmektedir. Bu aşamada bir olay ile ilgili olarak e-delil üzerinde hangi soruların cevaplarının aranması ve bulunması gerekeceğine karar vermede; adli bilişim incelemesini yapan kişinin bilgisine, iş tecrübesine, iş tutuş şekline, analitik düşünce kabiliyetine, uzmanlığına, olaya bakış açısına vb. gibi birçok etkenin önemli olduğunu unutmamak gerekir. Bütünlüğü bozulmamış e-deliller üzerinde yapılan incelemelerde her incelemeci aynı uygulamaları yaptığında aynı sonuca ulaşacaktır, ancak suç konusu ile ilgili yapılacak tespitler için yapılan uygulamalar inceleme yapana göre değişiklik gösterebilecektir. Bazen bir incelemeci kullandığı bir metot ile sonuca ulaşamazken aynı e-delil üzerinde başka bir incelemecinin başka bir metot kullanarak hedeflenen sonuca ulaşabileceği göz ardı edilmemelidir.
KAYNAKLAR:
1) Information Security and Forensics Society. (2009). Computer Forensics Best Practices. Hong Kong: ISFS. s.27
2) Middleton, B. (2005). Cyber Crime Investigator’s Field Guide. Florida: CRC Press. s.6