Adli Bilişim; bir olay yeri incelemesi veya bir kurban üzerinde yapılan otopsinin eşdeğeridir.[1] Sayısal verileri elde etme, muhafaza etme ve çözümleme işlemlerinin delilin gereklerine uygun olarak mahkemeye sunulması aşamasına kadar uygulanması[2]; özel inceleme ve analiz teknikleri kullanılarak, bilgisayarlar başta olmak üzere, tüm elektronik medya üzerinde yer alan potansiyel delillerin toplanması amacıyla, elektronik aygıtların incelenmesi süreci kısaca Adli Bilişim (Computer Forensic)[3] olarak açıklanmaktadır. Bu süreç içerisinde elde edilen elektronik deliller:

  • Kabul edilebilir(admissible[4]) olmalıdır. E-delil, dava sırasında hakim veya başka insanlar tarafından kabul edilebilir olmalıdır.
  • Gerçek ve aslına uygun(authentic[5]) olmalıdır. Soruşturma veya kovuşturma altındaki konu ile ilgili doğrudan bir nedensellik bağı veya destekleyici mantıksal bağlar olması gerekir. Nedensellik bağı (illiyet rabıtası) aynı zamanda suçun kanun tanımında yer alan maddi unsurlarındandır ve meydana gelen netice ile fail arasındaki neden-sonuç ilişkisini ifade etmektedir[6]. E-delil mahkemedeki dava konusu olayla ve faille ilgili ve bağlantılı olmalıdır.
  • Eksiksiz ve tam(complete[7]) olmalıdırElde edilebilen tüm deliller toplanmalıdır. Bu deliller yalnızca, failin suçlanmasına ilişkin değil, varsa suçsuzluğuna ilişkin olanları da kapsamalıdır. Nitekim 5271 sayılı Ceza Muhakemesi Kanunu’nun 170. maddesinin (4) ve (5) numaralı fıkralarına göre, iddianamede, yüklenen suçu oluşturan olaylar, mevcut delillerle ilişkilendirilerek açıklanmalı; iddianamenin sonuç kısmında, şüphelinin sadece aleyhine olan hususlar değil, lehine olan hususlarda ileri sürülmelidir.[8] Sadece maddi olmamalıdır. Şüphelinin suçlu olduğunu veya suçsuz olduğunu kanıtlayan bir delil olmalıdır.
  • Güvenilebilir(reliable[9]) olmalıdırE-delil güvenilir olmalıdır. Analiz için kabul edilmiş prosedürlere uygunluğundan ve doğruluğundan şüphe edilmemelidir.
  • İnanılabilir(believeable[10]) olmalıdırE-delil, kanıtlama değerine sahip olmalıdır. Sanal yapıda olsa da[11], hakim veya taraflar tarafından açıkça anlaşılabilir ve inanılabilir olmalıdır.
  • Yasaya uygun olmalıdır. E-delil, yukarıdaki özelliklere sahip olsa da, yasaya uygun bir şekilde elde edilmemişse veya her ne kadar yukarıdaki özellikleri taşıyor olsa da yasaya uygun elde edilmediği için delil olarak değerlendirilemeyecektir. Örneğin 5271 sayılı CMK’nın 134. maddesine aykırı olarak bilgisayarlarda arama, kopyalama veya elkoyma işlemi yapılmışsa[12], elde edilenler mahkeme tarafından delil olarak değerlendirilmeyecektir.


Adli bilişimde elektronik deliller üzerinde yapılacak incelemeler elektronik delilin adli kopyası(forensic image) üzerinden yapılmaktadır. Orijinal delil üzerindeki verilerin değişmemesi için, istisnai durumlar hariç, orijinal delil üzerinde inceleme yapılmamaktadır. Adli bilişimde İngilizce kullanımı “forensic image” olan işlem, Türkçe kaynaklarda “birebir” kopyalama, yabancı kaynaklarda ise “sektör-by-sektör” veya “bit-by-bit” kopyalama işlemi olarak ifade edilmektedir[13]. Veri depolama aygıtlarından yapılan birebir kopyalama işlemine imaj da(forensic image) denilmektedir. Kopyalama işlemi sektör-sektör veya bit-bit denilen şekilde hiçbir veri değişmeden, eksilmeden ve artmadan her veri aynı olacak şekilde, dosya halinde bir başka diske yapılmaktadır. İşletim sistemlerinde günlük hayatta yapılan normal kopyalama işleminde kullanıcılar tarafından görülen dosya veya klasörler bir başka bilişim aygıtına aktarılırken bu işlemde bazı bilgilerin(oluşturma tarihi gibi) değişebilmesinin yanı sıra yapılan işlemde sadece görülmekte olan bilgiler kopyalanır. Hatta bazı yeni dosya yapılarında(NTFS) daha detaylı bilgiler tutulabilmekte iken, burada bulunan dosya veya klasör eski dosya yapısıyla(FAT) formatlanmış bir veri depolama birimine kopyalandığında bazı üstveriler de kopyalanamamaktadır. Dolaysıyla adli kopya elektronik delil üzerindeki verinin tamamını kapsadığı için incelemeler de adli kopyalar üzerinden yapılmaktadır.


Elektronik delillerden adli kopya alınması sırasında aynı zamanda adli kopyanın hash değeri de hesaplanabilmektedir. Hash tek yönlü bir algoritmik fonksiyondur. Tek yönlü olma özelliği sayesinde hash değerinden geriye dönülerek hash değeri hesaplanan veri parçasına ulaşılaması hesaplama zamanı açısından pratikte mümkün olmamaktadır. Hash değerinin kullanım alanlarından birisi de orijinal data ile o datanın adli kopyasının birbirleri ile aynı olup olmadığını karşılaştırmaktır. Hash değerleri eşleştiği zaman, bu verilerin tam bir kopyasının olduğunun kanıtı olarak kabul edilmektedir[14]. Bir veri veya veri depolama biriminin ilk sektörden başlanıp son sektöre kadar tamamının, belirli bir algoritmik fonksiyondan geçirilmesiyle bir hash değeri hesaplanır. Son sektörün de aynı işleme tabi tutulmasıyla ortaya çıkan değere o veriye ait hash değeri denilmektedir. Bu hash değeri verinin değişikliğe uğrayıp uğramadığını kontrolde kullanılmaktadır. Adli bilişimde genellikle kullanılan standart hash algoritmaları şunlardır:

 

  • MD2, MD4 ve MD5: bu metotların hash değeri(Message Digest) 128 bit uzunluğundadır. Bu metotlar Ron Rivest tarafından oluşturulmuştur ve çoğunlukla dijital imzalar için kullanılmaktadır. Günümüzde MD2, MD4 ve MD5 metotlarında MD5 metodunun kullanımı daha fazla tercih edilmektedir.
  • Secure Hash Algorithm (SHA): bu algoritmanın SHA-1, SHA-256, SHA-384 ve SHA-512 olarak birçok çeşidi bulunmaktadır. Bu çeşitlerin aralarındaki fark hash değerinin bit uzunluklarıdır. SHA hash algoritmaları A.B.D’de kurulmuş olan ve çalışmalarına devam eden NIST ve NSA isimli iki birim tarafından hazırlanmıştır[16].

MD5 ve SHA1 hash değerlerine birer örnek aşağıdadır.
MD5: b8e20611dcc4105286bcf56de754f7a3
SHA1: 9f34ac74f28e6ee9f0ad76d7b39d615722822b4f


Hash değeri, hash’i hesaplanan veriye özel ve parmak izi gibi benzersiz bir değerdir. Hash değeri üzerinden tersine mühendislik yapılarak veriye ulaşılamaz[15]. Veri depolama birimi üzerindeki bir karakterin bile değişmesi durumunda hash değişmektedir. Dolaysıyla elektronik delil üzerinde veya o delilden alınan adli kopya üzerinde herhangi bir değişiklik olup olmadığını kontrol etmek için hash hesaplatılır. Hash hesaplaması sonucu çıkan hash değeri ile ilk hesaplanan hash değeri birbiri ile aynı ise elektronik delilin veya elektronik delilden alınan adli kopyanın değişikliğe uğramadığı anlamına gelmektedir. Hash değeri elektronik verinin mührü olarak kullanılmaktadır. Uygulamada: açık olan sistemler, RAM’ler ve cep telefonları üzerinde kayıtlı olan verilerin adli kopyaları alındıktan sonra orijinal elektronik delil üzerinde değişiklik olup olmadığının kontrolü amacıyla orijinal delil üzerinden tekrar hash hesaplaması yapılmamaktadır. Çünkü çalışmaya devam eden bu sistemler üzerinde, halen sistem tarafından zararsız ufak değişiklikler olduğundan hash değerleri de değişmektedir.


Adli kopya alma işlemi sırasında yapılan uygulamada, adli kopyanın kaydedileceği veri depolama birimine yazılmak için elektronik delil üzerinden okunan verilerin, okundukları esnada hash değeri hesaplanır. Elektronik delil üzerindeki veriler okunduğu esnada hesaplanan hash değeri genellikle adli kopya almakta kullanılan yazılım veya donanım tarafından bir log dosyasına kaydedilir. Adli kopya alma işlemi sona erdikten sonra adli kopya, kayıt edildiği ortamdan baştan sona kadar okunarak okuma sırasında verilerin hash değeri hesaplanır. Bu okuma işlemi sona erdikten sonra hesaplanmış olan hash değeri ile elektronik delil okunduğunda hesaplanmış olan hash değeri kıyaslanır ve kıyaslama sonucunda hash değerleri birebir olarak aynı ise adli kopyanın doğru ve hatasız olarak, okunduğu şekliyle veri depolama birimine kaydedildiği anlamına gelmektedir.

Murat ÖZBEK

KAYNAKLAR

[1] BOREK, http://www.sans.org/reading_room/whitepapers/incident/computer-forensics-weve-incident-investigate_652.
[2] Türk Dil Kurumu, Kriminal Terimleri Sözlüğü, http://www.tdkterim.gov.tr/?kategori=terimarat2&s3oz5k0t=KRM&kelime=adli+bili%FEim.
[3] Keser Berber, Adli Bilişim, CMK md 134 ve Düşündürdükleri…, http://www.leylakeser.org/2008/07/adli-biliim-cmk-md-134-ve-dndrdkleri.html
[4] Dr. Andy JONES, D. C. (2008). Potential Sources of Evidence. D. C. Dr. Andy JONES içinde, Building a Digital Forensic Laboratory Establishing and Managing a Successful Facility (s. 10). Waltham(United States): Syngress.
[5] Dr. Andy JONES, D. C. (2008). Potential Sources of Evidence. D. C. Dr. Andy JONES içinde, Building a Digital Forensic Laboratory Establishing and Managing a Successful Facility (s. 10). Waltham(United States): Syngress.
[6] HENKOĞLU, T. (Eylül 2011). Dijital Delilin Niteliği. T. HENKOĞLU içinde, Adli Bilişim Dijital Delillerin Elde Edilmesi ve Analizi (s. 6-7). İSTANBUL: PUSULA.
[7] Dr. Andy JONES, D. C. (2008). Potential Sources of Evidence. D. C. Dr. Andy JONES içinde, Building a Digital Forensic Laboratory Establishing and Managing a Successful Facility (s. 10). Waltham(United States): Syngress.
[8] KARAGÜLMEZ, D. D. (2009). Bilişim Suçları ve Soruşturma – Kovuşturma Evreleri. Ankara: Seçkin Yayıncılık.s. 290.-291.
[9] Dr. Andy JONES, D. C. (2008). Potential Sources of Evidence. D. C. Dr. Andy JONES içinde, Building a Digital Forensic Laboratory Establishing and Managing a Successful Facility (s. 10). Waltham(United States): Syngress.
[10] Dr. Andy JONES, D. C. (2008). Potential Sources of Evidence. D. C. Dr. Andy JONES içinde, Building a Digital Forensic Laboratory Establishing and Managing a Successful Facility (s. 10). Waltham(United States): Syngress.
[11] KARAGÜLMEZ, D. D. (2009). Bilişim Suçları ve Soruşturma – Kovuşturma Evreleri. Ankara: Seçkin Yayıncılık.s. 291.
[12] KARAGÜLMEZ, D. D. (2009). Bilişim Suçları ve Soruşturma – Kovuşturma Evreleri. Ankara: Seçkin Yayıncılık.s. 291.
[13] HENKOĞLU, T. (Eylül 2011). Dijital Delilin Niteliği. T. HENKOĞLU içinde, Adli Bilişim Dijital Delillerin Elde Edilmesi ve Analizi (s. 48). İSTANBUL: PUSULA.
[14] Kleiman, D., Cardwell, K., Clinton, T., Cross, M., Gregg, M., Varsalone, J., & Wright, C. (2007). The Official CHFI Study Guide (Exam 312-49) for Computer Hacking Forensic Investigators. Burlington, A.B.D: Syngress Publishing. s.10
[15] Shinder, D. L. (2002). Scene of the Cybercrime: Computer Forensics Handbook. United States of America: Syngress Publishing. s.379
[16] Shinder, D. L. (2002). Scene of the Cybercrime: Computer Forensics Handbook. United States of America: Syngress Publishing. s.380