Yaklaşık 30 yıldır kullanımda olan optik diskler(CD-DVD) bu 30 yıl içerisinde büyük bir gelişme gösterdiler. Günümüzde optik diskler için 200 yıla kadar ömür biçilse de onların ne zaman bozulacağını tahmin etmek oldukça güç. Tüm optik diskler, ortak olarak şu dört katmana sahiptirler: koruyucu katman, lazeri yansıtan parlak katman, verileri depolayan alaşımın bulunduğu katman ve polikarbonat katman[1].
Şekil 1 ve Şekil 2’de görüldüğü gibi farklı optik diskler, farklı katmanlara sahiptirler. Bu katmanlardan özellikle yansıtıcı katman, daha çok hasar görebilmektedir. Standart kompakt diskler, alüminyumdan oluşan bir yansıtıcı katmana sahiptir. Alüminyum, havaya maruz kaldığında oksitlenir. Bu, genellikle diskin kenarlarında gerçekleşir. Ancak diskin bozulmasına tek neden olan, yansıtıcı katmanın bozulması değildir. Kullanım ve muhafaza şartlarına bağlı olarak birçok sebep sayılabilir. Elektronik deliller doğru olmayan şekillerde taşınmaları ve muhafaza edilmeleri sonucunda da bozulabilmektedir. Adli kopyası alınarak hash bilgisi kaydedilen elektronik delil niteliğindeki bir optik diskten bir süre sonra tekrar adli kopya alma işlemi yapıldığında hesaplanan hash değerleri birbirini tutmayabilmektedir. Bunun sebebi tamamen veya kısmen bozulduğu için okunamayan bir sektör olabildiği gibi daha önceden adli kopya alma işlemi sırasında okunamamış veya yanlış okunmuş ancak sonraki adli kopya alma işleminde doğru şekilde okunabilmiş bir sektörden de kaynaklanabilmektedir. Okunama veya eksik okuma sonucu hash değerlerinin uyuşmaması sorunu sadece optik diskten de kaynaklanmıyor olabilir. Bir optik sürücünün okuyabildiği optik disk üzerindeki veriyi, bir başka optik sürücü okuyamayabilmektedir. Ayrıca bazı adli kopya alma yazılımları arasında optik disk üzerinden okudukları sektör sayılarında fark olabilmektedir. Bu fark aynı programın farklı sürümlerinde de görülebilmektedir. Bir yazılımın x sayıda sektör okuyarak almış olduğu adli kopyanın hash değeri, diğer yazılımın veya aynı yazılımın diğer sürümünün okumuş olduğu x-1 sayıda veya x+1 sayıda sektör okuyarak almış olduğu adli kopyanın hash değeri ile aynı olmayacaktır.
Bir yargılama konusunda elektronik delil olan 16 adet optik disk üzerinde tekrar hash hesaplatılması yaptırılmış ve hesaplanan hash değerlerinden 10 tanesinin daha önce alınan adli kopya sırasında hesaplanmış olan hash değerleriyle uyuşmadığı görülmüştür. Bu uyuşmazlığın kullanılan yazılımın sürüm farkından kaynaklandığı ilerleyen süreçte tespit edilmiştir.
Şekil 4 ve Şekil 5’te görüldüğü gibi C_4 isimli optik diske ait tekrar hesaplanmış olan hash değeri önceki hash değeri ile birebir aynı iken, C_5 isimli optik diske ait hash değerleri birbirini tutmamaktadır. Bunun sebebi ise Şekil 4’te görülen ilk adli kopya alımı sırasında C_4 isimli CD’nin Encase v6 sürümüyle adli kopyasının alınması, C_5 isimli CD’nin Encase v4 ile adli kopyasının alınması sonrasında; Şekil 5’te görülen işlemlerde her iki CD’nin de adli kopyalarının Encase v6 ile alınmış olmasıdır. C_4 isimli CD’ye ait hash değeri her iki adli kopya alım işleminde Encase’in aynı sürümü kullanıldığından aynı hash değerleriyle sonuçlanmıştır. C_5 isimli CD’de ise ilk adli kopya alımının Encase v4 ile ikinci adli kopya alma işleminin ise Encase v6 sürümüyle yapılması sonucu farklı hash değerleri hesaplanmıştır. Adli kopyası mevcut olan bir elektronik delil üzerinden tekrar adli kopya alındığında hesaplanan hash değeri daha önceki hash değeri ile uyuşmayabilmektedir.
Adli bilişim alanında adli kopya ile ilgili uygulamalarda elektronik delillerin orijinali üzerinde tekrar adli kopya alma işlemleri yapılmakta ve sonucunda hesaplanan hash değeri ilk adli kopya alma işleminde hesaplanmış olan hash değeri ile karşılaştırılarak farklılık görüldüğünde elektronik aygıtın delil niteliği kalmadığı değerlendirilmektedir. Bunun yanında açık olan sistemlerden alınan adli kopyalarla ilgili olarak, RAM’lerden alınan adli kopyalarla ilgili olarak ve cep telefonlarından alınan adli kopyalarla ilgili olarak tekrar adli kopya alınması ve hash değerlerinin kıyaslanması gibi bir uygulama söz konusu değildir. Çünkü açık olan sistemler, RAM’ler ve cep telefonları üzerinde kayıtlı olan verilerin adli kopyaları alınırken sistem çalışmaya devam ettiği için, halen sistem tarafından zararsız ufak değişiklikler yapılmakta olduğu bilindiğinden; tekrar bir adli kopya alındığında aynı hash değeri elde edilemeyeceği bilindiğinden, böyle bir tehid yoluna başvurulmamaktadır. Bu sistemlerden alınan ve elde olan ilk adli kopyalar üzerinden tüm inceleme ve değerlendirmeler yapılmakta, orijinal elektronik delil üzerinde tekrar hash hesaplatılması gibi bir işlem yapılmadan adli kopya delil olarak olayın aydınlatılmasında kullanılmaktadır.
CD-DVD gibi optik disklerde çeşitli sebeplerden dolayı hash problemleri yaşanabilmekte olduğu görülmektedir. Uygulamada, delil olabilecek elektronik aygıt üzerinden adli kopya alındığı sırada hesaplanan hash değeri ile, alınan adli kopyanın kaydedildiği veri depolama birimi üzerine tam ve doğru olarak kaydedildiğinin tespiti için hesaplanan hash değerleri birbiri ile aynı ise bu aşamadan sonra ilerleyen zamanda delil bütünlüğünün korunup korunmadığının kontrolü için elektronik delilin orijinali üzerinde tekrar adli kopya alma işlemi yapılması gerekmemekte, bu kontrolün eldeki adli kopya üzerinde hash hesaplatılarak yapılması gerekmektedir. Orijinal elektronik delil üzerinde meydana gelen bozulmalar ve değişimler hukuksal açıdan delil bütünlüğünün bozulduğuna anlamına gelmemelidir. Çalışan sistemlerden, RAM’lerden ve cep telefonlarından alınan adli kopyalarda olduğu gibi; diğer elektronik deliller de sadece adli kopyaları üzerinden değerlendirilmelidirler. Elektronik delil üzerinde herhangi bir veri değişikliği olup olmadığı ise orijinal delil üzerinden tekrar adli kopya alınarak ve orijinal delilin hash değeri hesaplatılarak değil, eldeki adli kopya üzerinde tekrar hash hesaplatılarak kontrol edilmelidir. Daha önceden orijinal delilden adli kopya alınırken hesaplanan hash değeri, adli kopya üzerinden tekrar hesaplatılan hash değeri ile birbirini tutuyor ise delil bütünlüğü korunuyor anlamına gelmektedir. Bu aşamada veri bütünlüğünün kontrolü için orijinal delil üzerinde tekrar hash hesaplatılması gibi bir yol izlenmemelidir.
Murat ÖZBEK
KAYNAKLAR
[1] http://www.chip.com.tr/haber/optik-disklerin-omrunu-ne-belirliyor_34753.html
[2] Philipp, A., Cowen, D., & Davis, C. (2009). Hacking Exposed Computer Forensics Second Edition. ABD: mhprofessional.
[3] Philipp, A., Cowen, D., & Davis, C. (2009). Hacking Exposed Computer Forensics Second Edition. ABD: mhprofessional.