content top

Adli Bilişim Biliminin Cevap Aradığı Sorular

Diğer adli bilim dallarında olduğu gibi Adli Bilişim Bilimi de konusunu ilgilendiren bazı soruların cevaplarını aramaktadır/vermektedir. Fikir kazandırması açısından Adli Bilişim Biliminin hangi soruların cevabını vermeye çalıştığını aşağıda yazılı olan sorulardan anlayabiliriz.

  • Bahse konu olay ile ilgili suç unsuru var mı?
  • Hangi bilişim aygıtı/aygıtları delil olabilir?
  • Bahse Konu suç hangi bilişlim aygıtı kullanılarak işlendi?
  • Adli kopya olay yerinde mi alınmalıdır?
  • Hangi bilişim aygıtı/aygıtları e-delil olarak incelenebilir?
  • Bilişim aygıtı/aygıtları Wipe’lanmış mı?
  • Bilişim aygıtı/aygıtları formatlanmış mı?
  • Silinmiş dosyalar ve kaybolan verilerin nelerdir?
  • Bilişim aygıtında zararlı/casus yazılım var mı?
  • Şifreli klasör/dosya var mı?
  • Şifreli verilerin şifresi nedir?
  • Verinin üzerine veri yazılmasının engellenmesi için gerekli önlemler alınmış mı?[1]
  • Bahse konu e-posta hesabı bu bilgisayarda oturum açtı mı?
  • Bilişim aygıtı/aygıtları içeriğinde suç ile ilgili delil var mıdır?
  • Müştekinin bilgisayarından şüpheliye ulaşılabilir mi?
  • Dijital cihazın kullandığı kablolu/kablosuz modem bilgileri nelerdir?
  • Cep telefonlarındaki, navigasyon cihazlarındaki ve diğer bilişim aygıtlarındaki GPS kayıtları nelerdir?
  • Bahse konu cihazın kullanıcısı kimdir?
  • Cihaz vasıtasıyla en son yapılan görüşme veya yazışmalar nelerdir?
  • DVR (Görüntü Kayıt Cihazı)’da silinmiş görüntüler nelerdir?
  • Soruşturma konusu bilişim aygıtının içerisinde hangi suç unsurları vardır?
  • Cihazın veri gizleme/şifreleme kabiliyeti var mıdır?
  • E-delillerin teknik özellikleri ve kapasitesi nelerdir?
  • E-delillerin içerisinde suç işlemeye amaç veya araç olarak kullanılabilecek uygun yazılım, uygulama veya kodlar var mıdır?
  • İncelenen e-delilde, tespit edilemeyen diğer e-delille/e-delillerle ilgili bilgi var mı?
  • İncelenen e-delillerin hangisinde suçun işlendiğine dair bilgi vardır?
  • E-delilin veya delillerin adli kopyalarının veri bütünlüğüne zarar gelmiş midir?
  • Müştekinin bilgisayarına uzaktan erişim var mı?
  • Pos cihazları üzerlerinde kullanılan kredi kartlarının bilgileri kopyalıyor mudur?
  • Mobil cihazların imei numaraları orijinal midir?
  • E-delilden alınan adli kopya hangi yazılım veya donanım ile alınmıştır?
  • Olay ne zaman oldu?
  • Sistem en son ne zaman yedeklendi?[2]
  • Sunucu üzerinde yapılan işlemler hangi kullanıcı tarafından yapılmıştır?
  • Uçucu belleklerde bulunan kullanıcı adı ve şifreler nelerdir?
  • Dijital materyalde bilgi saklama, şifreleme, yok etme, engelleme (anti- forensics) yazılımları var mı?
  • Yazıcı içerisinde hafıza birimi var mıdır, hangi bilgilere ulaşılabilir?
  • Modem içerisinde IP, MAC ve kullanıcı log kayıtlatı var mıdır, varsa nelerdir?
  • Databank içerisinde hafıza birimi var mıdır, varsa hangi bilgiler mevcuttur?
  • Oyun konsolu içerisinde hafıza birimi var mıdır, varsa hangi bilgiler mevcuttur?
  • Uydu alıcı içerisinde hafıza birimi var mıdır, varsa hangi bilgiler mevcuttur?
  • TV içerisinde hafıza birimi var mıdır, varsa hangi bilgiler mevcuttur?
  • E-delil içeriğinde değişiklik yapılıp yapılmadığı?
  • Sistemin saat dilimi ve BIOS saati, gerçek saati gösteriyor mudur?
  • İncelenen sistem üzerinde proxy yazılımları mevcut mudur? İncelenen bilgisayarda işletim sistemi mevcut mudur? İncelenen e-delil herhangi bir bulut sistemine bağlanıyor mudur?
  • İncelenen e-delil üzerindeki yerel kullanıcı hesapları haricinde herhangi bir active directory yapısına dahil bir kullanıcı hesabına bağlanıyor mudur?
  • E-delil üzerinde 3. şahıslara ait banka hesap bilgileri ve kredi kartı bilgileri var mıdır?
  • E-delil üzerinde internet üzerinden yapılan havale veya EFT bilgisi var mıdır?
  • E-delil üzerindeki sistemin açma ve kapanma tarihleri nelerdir?
  • E-delilde kullanılan işletim sistemi üzerindeki kullanıcı hesapları nelerdir?
  • İşletim sisteminin kurulum tarihi nedir?
  • E-deliller üzerinde kayıtlı dosyaların metadata bilgileri (oluşturulma, son erişim, değiştirilme, exif vb. ) nelerdir?
  • E-delilde kullanılan MSN, ICQ, Whatsapp, Skype, Yahoo Messenger, Facebook, Gtalk, Tangoo, Twitter, Viber, MIRC, vb. programlarda kayıtlı kullanıcı adları, takma isimler, telefon numaraları, e-posta adresleri ve anlık ileti kayıtları nelerdir?
  • E-delil üzerinde kullanılan internet tarayıcı programlarından ulaşılabilen (explorer, firefox, chrome, opera, safari, yandex vb.) gezinti ve arama geçmişleri, şifreleri, indirilen dosyalar, sık kullanılanlar ve kullanıcı bilgileri nelerdir?
  • E-delil içerisinde kullanılan dosya paylaşım programları var mı, bunlara ait bilgiler ve paylaşılan dosyalar nelerdir?
  • E-delil ile bağlantı sağlanan FTP adresleri var mı, IP adresi kullanıcı adı ve şifreleri nelerdir?
  • Cihazda kullanılmış olan harici bellekler nelerdir, marka, model, seri numarası bilgileri nelerdir?
  • Dijital fotoğraf makineleri ve video kameralarında görüntüler var mıdır, görüntülerdeki GPS koordinat bilgileri nelerdir?
  • Elde edilen görüntülerin hangi makinede çekildiği, koordinat bilgileri, tarih ve saat bilgileri nelerdir?
  • Navigasyon cihazlarındaki ve araç takip sistemlerindeki koordinat ve geçmiş bilgileri nelerdir?
  • CD-DVD’lerin yazılma tarihleri, oturum bilgileri ve kullanılan yazma programının bilgileri nelerdir?
  • Cihazda uzaktan erişime imkan sağlayan yazılım var mıdır? Erişim sağlanan ya da sağlayan cihazların (IP, kullanıcı adı vs) bilgileri nelerdir?
  • E-delil kullanılarak diğer bilişim aygıtlarına virüs bulaştırılmış mıdır?
  • E-delil DDOS saldırısında kullanılmış mıdır?
  • E-delil içerisinde sahtecilik işlemleri yapmaya elverişli programlar var mıdır, bu programlarla üretilmiş doküman var mı?
  • E-delil içerisinde narkotik madde üretimi, tüketimi, dağıtımı ve satışı ile ilgili bilgi veya dokuman var mıdır?
  • E-delil içerisindeki log kayıtlarının içerisinde sisteme izinsiz/yetkisiz erişime ait tarih, saat, IP ve kullanıcı bilgileri var mıdır?
  • E-delil kullanılarak internet sitesine yorum yazılmış mıdır?
  • E-delil içerisinde steaganografi ile gizlenmiş herhangi bir bilgi, belge veya doküman var mı?
  • E-delil içerisinde güvenlik yazılımları mevcut mudur, lisanslı mıdır, aktif midir, güncel midir?
  • E-delil üzerinde online kumar oynamaya imkan sağlayan yazılım veya donanım var mıdır?
  • E-delil üzerinde herhangi bir sanal makine var mıdır?
  • E-delil üzerinde kurulu olan programlar ve kurulum tarihleri nelerdir?
  • E-delil üzerinden silinen dosyanın hangi kullanıcı tarafından silindiğine dair bilgiler var mıdır?

Yukarıda sıralanan sorular adli bilişim biliminin cevap aradığı soruların neler olabileceği hakkında yüzeysel olarak fikir verecektir. Ancak unutulmamalıdır ki adli bilişim incelemelerinin büyük çoğunluğunda yukarıdaki soruların sadece bir tanesine cevap aranmamakta, bir olay ile ilgili olarak birçok soruya birden cevap verilmesi gerekmektedir. Bu aşamada bir olay ile ilgili olarak e-delil üzerinde hangi soruların cevaplarının aranması ve bulunması gerekeceğine karar vermede; adli bilişim incelemesini yapan kişinin bilgisine, iş tecrübesine, iş tutuş şekline, analitik düşünce kabiliyetine, uzmanlığına, olaya bakış açısına vb. gibi birçok etkenin önemli olduğunu unutmamak gerekir. Bütünlüğü bozulmamış e-deliller üzerinde yapılan incelemelerde her incelemeci aynı uygulamaları yaptığında aynı sonuca ulaşacaktır, ancak suç konusu ile ilgili yapılacak tespitler için yapılan uygulamalar inceleme yapana göre değişiklik gösterebilecektir. Bazen bir incelemeci kullandığı bir metot ile sonuca ulaşamazken aynı e-delil üzerinde başka bir incelemecinin başka bir metot kullanarak hedeflenen sonuca ulaşabileceği göz ardı edilmemelidir.

 

KAYNAKLAR:
1) Information Security and Forensics Society. (2009). Computer Forensics Best Practices. Hong Kong: ISFS. s.27

2) Middleton, B. (2005). Cyber Crime Investigator’s Field Guide. Florida: CRC Press. s.6

 

Devamı

Adli Bilişim Kavramı

Adli Bilişim Kavramı

Adli Bilişim; bir olay yeri incelemesi veya bir kurban üzerinde yapılan otopsinin eşdeğeridir[1]. Sayısal verileri elde etme, muhafaza etme ve çözümleme işlemlerinin delilin gereklerine uygun olarak mahkemeye sunulması aşamasına kadar uygulanması[2]; özel inceleme ve analiz teknikleri kullanılarak, bilgisayarlar başta olmak üzere, tüm elektronik medya üzerinde yer alan potansiyel delillerin toplanması amacıyla, elektronik aygıtların incelenmesi süreci kısaca Adli Bilişim (Computer Forensic)[3] olarak açıklanmaktadır. Ancak Adli Bilişim, İngilizce karşılığı olarak dünya genelinde kullanılmakta olan “Computer Forensic” terimine tam olarak karşılık gelmemektedir ve hatta Adli Bilişim Bilimi; Computer Forensic terimini de içine kapsayan ve daha geniş anlama ve uygulama alanına sahip bir bilim dalıdır[4]. “Computer Forensic” anlam olarak adli bilgisayar incelemesi anlamına gelmekte iken Adli Bilişim’in ülkemizde günümüzde uygulama alanları; cep telefonu incelemeleri, databank incelemeleri, ses kayıt cihazı incelemeleri, şifre çözme, stenografi, güvenli veri silme, gizli bilgilerin/belgelerin tespit edilmesi, casus yazılım tespiti… gibi bilgisayar incelemesi dışında birçok inceleme çeşidi sıralanabilir.

Murat ÖZBEK

KAYNAKLAR:
1) BOREK, http://www.sans.org/reading_room/whitepapers/incident/computer-forensics-weve- incident-investigate_652

2)Türk Dil Kurumu, Kriminal Terimleri Sözlüğü,  http://www.tdkterim.gov.tr/?kategori=terimarat2&s3oz5k0t=KRM&kelime=adli+bili%FEim

3)Keser Berber, Adli Bilişim, CMK md 134 ve Düşündürdükleri…, http://www.leylakeser.org/2008/07/adli-biliim-cmk-md-134-ve-dndrdkleri.html

4) Whitcomb, C. M. (Spring 2002). An Historical Perspective of Digital Evidence: A Forensic Scientist’s View. International Journal of Digital Evidence, 2.

 

Devamı

Bilişim Kavramı

Bilişim Kavramı

İngilizce “informatics” ve Fransızca “informatique” sözcüklerine karşılık dilimizde enformatik olarak kullanılan bilişim[1] terimi; insanoğlunun teknik, ekonomik ve toplumsal alanlardaki iletişiminde kullandığı ve bilimin dayanağı olan bilginin, özellikle elektronik makineler aracılığıyla, düzenli ve ussal biçimde işlenmesi bilimi. Bilgi olgusunu, bilgi saklama, erişim dizgeleri, bilginin işlenmesi, aktarılması ve kullanılması yöntemlerini, toplum ve insanlık yararı gözeterek inceleyen uygulamalı bilim dalı. Disiplinler arası özellik taşıyan bir öğretim ve hizmet kesimi olan bilişim bilgisayar da içeride olmak üzere, bilişim ve bilgi erişim dizgelerinde kullanılan türlü araçların tasarlanması, geliştirilmesi ve üretilmesiyle ilgili konuları da kapsar. Bundan başka her türlü endüstri üretiminin özdevimli[2] olarak düzenlenmesine ilişkin teknikleri kapsayan özdevim alanına giren birçok konu da, geniş anlamda, bilişimin kapsamı içerisinde yer alır[3].

Kul “Bilişim Sistemleri Temelleri ve Uygulamaları”isimli kitabında bilişimi; işlenmiş ve basit düzeyde de olsa anlam içeren veridir[4] şeklinde tanımlamıştır.

Öğretide bilişim sözcüğünün birçok tanımı yapılmıştır. Bu tanımlarda dikkati çeken ortak yön; bilginin işlenmesi, aktarılması, depolanması ve bunların bilgisayar aracılığıyla yapılmasıdır[5].

Murat ÖZBEK

KAYNAKLAR:
1) Türk Dil Kurumu, Bilgisayar Terimleri Karşılıklar Kılavuzu, http://tdkterim.gov.tr/?kategori=bakdetay2&sozid=BTK

2) Özdevim (veya otomatizm) kendine özgü devinim, hareket anlamına gelip kullanıldığı bağlama göre anlam değişimi gösteren bir sözcüktür.

3) Türk Dil Kurumu, Bilişim Terimleri Sözlüğü, http://tdkterim.gov.tr/?kelime=bili%FEim&kategori=terim&hng=md

4) KUL, Bilişim Sistemleri Temelleri ve Uygulamaları, 1. Basım Şubat 2009, s.17

5) Kızıltan, “5237 Sayılı Türk Ceza Kanununda Bilişim Sistemine Girme, Sistemi Engelleme Ve Bozma Suçları” başlıklı İstanbul Üniversitesi Sosyal Bilimler Enstitüsü Kamu Hukuku Anabilim Dalı Yüksek Lisans Tezi, s.3

Devamı

Mobil Cihazlarda Adli Bilişim ve Malware Analizi

Özet— Akıllı telefonlar artan popülaritesi ve becerileri sonunda, hackerların yeni hedefi olmaya başladı. Milyonları aşan mobil uygulamalar hayatımıza kolaylık, eğlence ve heyecan katarken bir yandan da ciddi güvenlik tehditleri getirmiş durumda. İndirdiğiniz basit bir uygulamayla dahi cihazımıza bulaşabilen bu zararlı yazılımlar bazen bir mailin ekiyle bazen de bir bağlantıyı tıkladığınızda indirilen bir dosya ile sisteme efekte olabilmektedir. Bu bildiride adli bilişim donanım ve yazılımlarıyla mobil cihazlarda malware analizi yapılacaktır.

Anahtar kelimeler—Akıllı telefon, zararlı yazılım, enfekt olma

Abstract— Smart phones at the end of the growing popularity, started to become new target of hackers. In excess of millions of mobile applications, while adding fun and excitement, on the other hand is brought serious security threats. The malicious software can infect the phone when you download a small application or a mail attachment. This paper will be performed malware analysis on mobile phones with forensic hardware and software.

Keywords— Smart phones, malicious software, infect

Ahmet EKİM’e yazıları için teşekkür ederiz.

Aşağıda bildirinin pdf formatına göz atabilir ve indirebilirsiniz.

Devamı

Adli Bilişimde SSD Diskler Üzerindeki Hash Problemleri

SSD(Solid State Drives) diskler yapısal özellikleri, kendisine bir anlamda ismini de vermiştir. SSD’lerde, diğer manyetik depolama ünitelerinden farklı olarak, herhangi bir hareket eden parça yoktur. Bu da onların Solid State, yani Katı Hal Sürücüsü olarak adlandırılmasına neden olmuştur[1]. Aşağıda Şekil 1’de farklı arayüz bağlantılarına ve farklı şekillere sahip SSD diskler görülmektedir.

Şekil 1. Çeşitli SSD diskler

Şekil 1. Çeşitli SSD diskler

Henüz kapasitelerinin düşük ve fiyatlarının yüksek olması sebebiyle yaygın olarak kullanılmasa da zaman ilerledikçe veri okuma/yazma yönünden daha hızlı, daha az enerji tüketimine sahip ve sarsıntı gibi dış etkenlere daha dayanıklı oldukları için daha çok tercih edileceklerdir. Bilgisayar üreticilerinin pazara sunduğu bilgisayarlarda daha yüksek performans için, kullanmayı daha çok tercih etmeye başlamalarına paralel olarak adli bilişim alanında da her geçen gün daha sık karşılaşılan SSD diskler, üzerlerinde bulunan Nand flash yongalarında veriyi depolamaktadır. Şekil 2’de SSD disk üzerindeki ana parçalar görülmektedir.

Şekil 2.SSD Disk Parçaları[2]

Şekil 2.SSD Disk Parçaları[2]

SSD disklerin mekanik bir yapıda veri depolamaması ve okuma yazma işlemini sabit disklerdeki gibi hareketli parçalarla yapmamasından dolayı veriye erişim için beklenmesi gereken süre oldukça düşüktür. Sabit disklerde veriye erişmek için öncelikle veri yazılı plakaları döndüren motorun belirli bir hıza ulaşması gerekmekte ve daha sonra okuma/yazma kafası veri yazılı yüzeyi tarayarak okumaya başlamaktadır. SSD diskler ise mekanik tabanlı olmaması yani hareketli parça içermemesi ve flash bellek tabanlı elektronik tümleşik devrelerden imal edilmesi, uygulamada pek çok faydayı da beraberinde getirmektedir. Öncelikle, okuma ve yazma işlemleri, sabit disklerdeki başlıkların yaptığı gibi mekanik olarak uygulanmadığı için, erişim süreleri oldukça düşüktür ve günümüzde 0.1 ms‘ye kadar düşmüştür[3].
SSD diskler üzerinde veri depolama birimi olarak bulunan flash yongalar üzerine verinin nasıl kaydedileceğini veya silineceğini SSD kontrolcüsü düzenler. SSD disk ömrünü uzatmak ve performansı daha üst seviyelere ulaştırmak için veri flash yongalar üzerine ham olarak sırasıyla kaydedilmemekte, veri değişik algoritmalar kullanılarak ve farklı yongalara dağıtılarak kaydedilmektedir. Bu algoritmik ve dağınık kayıt biçimi diskten diske ve hatta modelden modele değişebilmektedir. SSD üreticileri performansı ve SSD disk ömrünü arttırmak için kullandıkları bu algoritmaları ticari sır niteliğinde olduğu için paylaşmamakta, dolayısıyla SSD disk teknolojisinde veri depolama şekillerinde standartlaşma olmamaktadır.

SSD disk üzerindeki flash yongalara okuma/yazma erişimlerinin tamamı SSD kontrolcüsü üzerinden gerçekleşmektedir. Sabit disklerde yazılabilir, okunabilir ve silinebilir en küçük birim 512byte iken SSD disklerde yazılabilir ve okunabilir en küçük birim 4KB büyüklüğündeki Page’lerden oluşurken; silinebilir en küçük birim ise 512KB büyüklüğündeki Blok’lardır. Page’ler Block’ların içerisinde yer alır. SSD diskler üzerinde veri sadece boş alanlara kaydedilmektedir. Daha önce veri kaydedilmiş ve silinmiş de olsa bir veri daha kaydedileceğinde, silindiği için boşalmış olan alana değil daha önce kullanılmamış olan veya daha az kullanılmış olan bir alana kaydedilir. Bunun sebebi ise SSD disklerdeki flash yongalarına maksimum veri yazma/okuma sayısının sabit disklere göre oldukça düşük olması ve dolayısıyla kullanım ömürlerinin sabit disklere göre kısa olmasıdır. SSD diskler kullanım ömrünü arttırmak için flash yongalar üzerinde mantıksal bir adresleme kullanırlar. Kullanılan bu adresleme sisteminde mantıksal olarak tutulan adresler sürekli değişmektedir ancak bu değişimler kullanıcı ve işletim sistemi tarafından fark edilmemekte, bu işlem SSD kontrolcüsü tarafından yapılmaktadır. Mekanik yapıya sahip sabit disklerde bozulan sektör yerine kullanıma açılmak üzere ayrılmış sektörler mevcut iken SSD disklerde ise disk üzerinde yazılı veri depolama kapasitelerinin %25’ine kadar fazla veri depolanabilecek flash yongalara sahip olarak üretildikleri görülebilmektedir[4]. Mekanik yapıya sahip disklerde bulunan yedek sektörler üzerine, bozulan bir sektör yerine kullanıma açılmadıkça, veri kaydedilememekte ve o sektörlere erişilememektedir. SSD disklerde ise fazladan konulmuş flash yongalar mantıksal adreslemenin değişmesiyle sırası geldiğince kullanılmaktadır.

Bir yazma işlemi sırasında mantıksal adresleme içerisinde 100. Sırada olarak görülen bir sektör bir başka yazma işleminde 110. Sektör olarak adreslenebilmektedir.

Yeni nesil SSD disklerde TRIM desteği mevcuttur. “TRIM” bir SATA komutudur. TRIM komutunun kullanılabilmesi için hem işletim sisteminde hem de SSD diskte TRIM desteğinin bulunması gerekir. TRIM desteği olmaksızın bir silme işlemi yapıldığında işletim sistemi silinen dosyayı kendi haritasında silindi olarak işaretler ancak SSD diske ayrıca sil komutu göndermez. Sil komutu gönderilmediği için SSD üzerinde halen bulunan ancak gereksiz olan veri SSD disk üzerinde çalışan Garbage Collection adı verilen yazılım tarafından bir süre sonra tespit edilerek silinirken aynı zamanda defragmantasyon işlemi de yapılarak SSD disk üzerindeki veri bloklarının daha verimli kullanılması sağlanır. Ancak Garbage Collection tarafından gereksiz ve kullanılmayan verinin tespiti ve defragmantasyona tabi tutulması zaman alabilmektedir. TRIM teknolojisi aktif olan bir sistemde ise: işletim sisteminde yapılan silme işlemiyle ilgili olarak silinmiş olarak görünen alanlar işletim sistemi tarafından SSD kontrolcüsüne bildirilir. SSD kontrolcüsü kendisine işletim sistemi tarafından silindiği bildirilen alanları çöp olarak işaretler. Daha sonra SSD diskin boşta olduğu zamanlarda çöp olarak işaretlenen alanlar Garbage Collection tarafından silinerek veri blokları düzenlenir. SSD kontrolcüsünü çöp olarak işaretlemesi ve Garbage Collection tarafından işaretlenen alanların silinmesi ve yeniden düzenlenerek bütün halinde Block’lara kaydedilmesi işlemlerinin tamamı işletim sistemi ve kullanıcı tarafından kontrol edilemeyecek bir yapı içerisinde gerçekleşmektedir. Yani eğer bir alan TRIM tarafından gönderilen komutla çöp olarak işaretlenmişse bu alan bir süre sonra geri getirilemeyecek şekilde silinecek ve ideal şekilde Block’lardaki veri düzenlenecektir. Bu işlemler yapılırken aynı zamanda mantıksal adreslemeler de değişebilmektedir. TRIM çalışma sistemi Şekil 3’da gösterilmiştir.

Şekil 3.TRIM çalışma sistemi[5]

Şekil 3.TRIM çalışma sistemi[5]

Yazma korumalı olarak adli kopyası alınmak istenen bir SSD disk üzerinde daha önce çöp olarak işaretlenmiş ancak henüz silinmemiş veriler olabilmektedir. Garbage Collection programı da çalışmaya devam etmektedir. Yazma koruma sadece işletim sistemi veya kullanıcı gibi dışarıdan diske veri yazılmasını/silinmesini engellemektedir. TRIM ve Garbage Collection sistemleri ise SSD içerisinde çalışan sistemlerdir. Donanımsal yazma koruması veya yazılımsal yazma koruması bu sistemlerin çalışmasını engellememektedir. Adli kopya alınması esnasında bu sistemler çalışmaya devam edeceğinden SSD disk üzerindeki verilerde değişiklikler olmaya devam etmektedir. İlk adli kopya alma işleminde çöp olarak işaretlenen ancak henüz Garbage Collection tarafından silinmediği için sektör üzerinde okunmuş olan bir veri aynı SSD diskten ikinci defa alınacak olan adli kopya üzerinde bulunmayabilmektedir. İki adli kopya alma işlemi süresince çalışmakta olan SSD disk üzerindeki sistemler önceden çöp olarak işaretlenmiş olan alanlarda değişiklikler yapmaya devam etmektedir. Dolayısıyla ilk adli kopya sonucu hesaplanan hash değeri ile ikinci adli kopya işlemi sonucu hesaplanan hash değeri farklı olacaktır.

Adli bilişim alanında adli kopya ile ilgili uygulamalarda elektronik delillerin orijinali üzerinde tekrar adli kopya alma işlemleri yapılmakta ve sonucunda hesaplanan hash değeri ilk adli kopya alma işleminde hesaplanmış olan hash değeri ile karşılaştırılarak farklılık görüldüğünde elektronik aygıtın delil niteliği kalmadığı değerlendirilmektedir. Bunun yanında açık olan sistemlerden alınan adli kopyalarla ilgili olarak, RAM’lerden alınan adli kopyalarla ilgili olarak ve cep telefonlarından alınan adli kopyalarla ilgili olarak tekrar adli kopya alınması ve hash değerlerinin kıyaslanması gibi bir uygulama söz konusu değildir. Çünkü açık olan sistemler, RAM’ler ve cep telefonları üzerinde kayıtlı olan verilerin adli kopyaları alınırken sistem çalışmaya devam ettiği için, halen sistem tarafından zararsız ufak değişiklikler yapılmakta olduğu bilindiğinden; tekrar bir adli kopya alındığında aynı hash değeri elde edilemeyeceği bilindiğinden, böyle bir tehid yoluna başvurulmamaktadır. Bu sistemlerden alınan ve elde olan ilk adli kopyalar üzerinden tüm inceleme ve değerlendirmeler yapılmakta, orijinal elektronik delil üzerinde tekrar hash hesaplatılması gibi bir işlem yapılmadan adli kopya delil olarak olayın aydınlatılmasında kullanılmaktadır.
Katı hal diski olarak adlandırılan SSD disklerde çeşitli sebeplerden dolayı hash problemleri yaşanabilmekte olduğu görülmektedir. Uygulamada, delil olabilecek elektronik aygıt üzerinden adli kopya alındığı sırada hesaplanan hash değeri ile, alınan adli kopyanın kaydedildiği veri depolama birimi üzerine tam ve doğru olarak kaydedildiğinin tespiti için hesaplanan hash değerleri birbiri ile aynı ise bu aşamadan sonra ilerleyen zamanda delil bütünlüğünün korunup korunmadığının kontrolü için elektronik delilin orijinali üzerinde tekrar adli kopya alma işlemi yapılması gerekmemekte, bu kontrolün eldeki adli kopya üzerinde hash hesaplatılarak yapılması gerekmektedir. Orijinal elektronik delil üzerinde meydana gelen bozulmalar ve değişimler hukuksal açıdan delil bütünlüğünün bozulduğuna anlamına gelmemelidir. Çalışan sistemlerden, RAM’lerden ve cep telefonlarından alınan adli kopyalarda olduğu gibi; diğer elektronik deliller de sadece adli kopyaları üzerinden değerlendirilmelidirler. Elektronik delil üzerinde herhangi bir veri değişikliği olup olmadığı ise orijinal delil üzerinden tekrar adli kopya alınarak ve orijinal delilin hash değeri hesaplatılarak değil, eldeki adli kopya üzerinde tekrar hash hesaplatılarak kontrol edilmelidir. Daha önceden orijinal delilden adli kopya alınırken hesaplanan hash değeri, adli kopya üzerinden tekrar hesaplatılan hash değeri ile birbirini tutuyor ise delil bütünlüğü korunuyor anlamına gelmektedir. Bu aşamada veri bütünlüğünün kontrolü için orijinal delil üzerinde tekrar hash hesaplatılması gibi bir yol izlenmemelidir.

Murat ÖZBEK

KAYNAKLAR

[1] http://www.emrahduman.av.tr/makale/solitstate.pdf
[2] http://4.bp.blogspot.com/-pG1GY9_mH68/UC6jY-HdALI/AAAAAAAAMD4/jwiFKNxlExc/s400/vertex-3-pcb-top.jpg
[3] http://static.usenix.org/events/fast11/tech/full_papers/Wei.pdf
[4] http://static.usenix.org/events/fast11/tech/full_papers/Wei.pdf
[5] http://www.corsair.com/us/blog/how-to-check-that-trim-is-active/

Devamı

Adli Bilişimde Sabit Diskler Üzerindeki Hash Problemleri

Adli Bilişimde Sabit Diskler Üzerindeki Hash Problemleri

Sabit diskler uçucu olmayacak şekilde ve hızlıca veri depolayan ve depolanan veriye tekrar ulaşmayı sağlayan aygıtlardır. Elektrik kesildiğinde üzerinde yazılı olan veri silinmez. Dolayısıyla bilgisayar kapandığında disk üzerinde kayıtlı olan veriler silinmeyecektir[1].
Sabit diskler manyetik olarak veri depolama yaparlar. Veri sabit disklerin içerisindeki cam, seramik veya metal plaka üzerinde kaplı olan özel alaşımlı yüzey üzerinde depolanmaktadır.

Günümüzde genellikle 2.5” ve 3.5” boyutlu sabit diskler kullanılmaktadır ve sabit disklerin IDE, SATA, SAS SCSI gibi çeşitli çeşitleri mevcuttur. Aşağıda Şekil 1’de Sabit disk parçaları görülmektedir.

Şekil 1.Sabit Disk Parçaları[http://www.griffwason.com/images/GriffWason_WesternDigitalCaviar-ExplodedCutaway2.jpg adresinden alınmıştır.]

Şekil 1.Sabit Disk Parçaları[2]

Sabit diskler üretildikten sonra sabit diskin veri depolama yüzeyindeki sorunlu noktaları belirlemek için üretici tarafından bir yüzey testinden geçirilir. Sabit diskler fabrikadan ilk çıktıklarında bile yüzeylerinde sorunlu noktalar mevcuttur. Ayrıca üzerinde veri depolanan bu mekanik yüzeyler zaman geçtikçe ve kullanıldıkça çevresel etkenlerin de etkisiyle özelliğini kaybedebilerek kullanılamaz hale gelebilmektedir. Hatta hiç kullanılmayan sabit diskler de, üretim maddelerinin ömrü kadar süreyle kısıtlı bir ömre sahiptirler. Fabrikadan çıkmadan önce yapılan yüzey testinde tespit edilen sorunlu noktalar sabit diskler üzerinde bulunan ve normal şartlarda kullanıcıların erişemediği servis alanında bir listede tutulurlar. Bu listede kayıtlı olan alanlara kullanıcı tarafından veri kaydı yapılmamaktadır. Genellikle sabit diskler üzerinde iki farklı bozuk sektör kaydı tutulan liste mevcuttur. Bunlardan birincisi sabit disk fabrikadan çıkmadan önce yapılan yüzey testinde tespit edilen bozuk sektörlerin tutulduğu P-List diğeri ise sabit disk kullanılırken bozulan ve sabit disk içerisindeki yazılım tarafından bozulduğu tespit edilen sektörlerin ve bu sektörler yerine kullanım için atanan sektörlerin bilgilerinin tutulduğu G-List’tir.

P-List içerisinde tutulan bozuk sektör bilgilerine, atlanacak sektörlere ait kayıt bilgileri de denilebilir. Her sabit diskin farklı sektörlerinde bozukluklar( Bozuk alanlar yada başka birşey) olacağından P-List sabit diske ait benzersiz ve sadece o diske özel bir listedir. Sabit diskin okuma yazma kafası P-list içerisinde kaydı bulunan sektörü daima atlar. Sabit disk içerisindeki adresleme P-List içerisindeki sektörler yokmuş gibi atlanarak yapılmaktadır. Dolayısıyla P-List’ine ulaşılamayan veya P-List’inde sorun oluşmuş bir sabit disk üzerindeki sektörlere ait adresleme P-List’siz bir şekilde yapıldığında verilere doğru bir şekilde ulaşmak mümkün değildir. Bu şekilde ancak küçük boyutlu ve parçalanmadan depolanmış veri parçalarına anlamlı bir şekilde ulaşabilmek mümkündür.

Sabit disk kullanılmaya devam edildiği sürede bozulduğu tespit edilen sektörler ve bu bozuk sektörler yerine kullanıma açılacak olan yedek sektör bilgisi G-List’e eklenir. G-List’e eklenecek bozuk sektörler yerine kullanıma açılacak yedek sektörler belirli bir sayıda olmak üzere sabit diskin veri yazılan yüzeyinde önceden ayrılmışlardır ve bu ayrılmış alana, G-List’e eklenmedikçe, normal şartlarda kullanıcılar erişemezler. G-List’e ekleme işlemleri kullanıcı onayı alınmadan ve kullanıcı fark etmeden olur.

Adli kopya alma işlemi sırasında sabit disk içerisindeki okuma yazma kafası tüm sektörleri okumaya çalışırken sabit diske ait yazılım da bozuk olduğunu tespit ettiği bir sektörü G-List’e ekleyerek onun yerine başka bir sektörü kullanıma atayabilir. Böylelikle sabit disk kullanımı sırasında bozulduğu tespit edilen sektör bilgisi G-Liste eklenerek, yerine yenisi atandığından; bir sabit diskten adli kopya alınması sırasında hesaplanmış olan hash değeri, aynı sabit diskten tekrar adli kopya alındığında hesaplanan hash değeri ile uyuşmayabilir. Adli kopyası alınarak hash bilgisi kaydedilen elektronik delil niteliğindeki bir sabit diskten bir süre sonra tekrar adli kopya alma işlemi yapıldığında hesaplanan hash değerleri birbirini tutmayabilmektedir. Bunun sebebi tamamen veya kısmen bozulduğu için okunamayan bir sektör olabildiği gibi daha önceden adli kopya alma işlemi sırasında okunamamış veya yanlış okunmuş ancak sonraki adli kopya alma işleminde doğru şekilde okunabilmiş bir sektörden de kaynaklanabilmektedir. Okumama veya eksik okuma sonucu hash değerlerinin uyuşmaması sorunu sadece sabit diskten de kaynaklanmıyor olabilir. Adli kopya almakta kullanılan bazı yazılımların veya donanımların okuyabildiği sektörleri diğer yazılım veya donanımlar aynı kararlılıkta okuyamayabilmektedir. Dolayısıyla daha önceden adli kopyası alınmış bir sabit diskin tekrar adli kopyası alındığında hesaplanan hash değerleri farklı olabilecektir.

Adli bilişim alanında adli kopya ile ilgili uygulamalarda elektronik delillerin orijinali üzerinde tekrar adli kopya alma işlemleri yapılmakta ve sonucunda hesaplanan hash değeri ilk adli kopya alma işleminde hesaplanmış olan hash değeri ile karşılaştırılarak farklılık görüldüğünde elektronik aygıtın delil niteliği kalmadığı değerlendirilmektedir. Bunun yanında açık olan sistemlerden alınan adli kopyalarla ilgili olarak, RAM’lerden alınan adli kopyalarla ilgili olarak ve cep telefonlarından alınan adli kopyalarla ilgili olarak tekrar adli kopya alınması ve hash değerlerinin kıyaslanması gibi bir uygulama söz konusu değildir. Çünkü açık olan sistemler, RAM’ler ve cep telefonları üzerinde kayıtlı olan verilerin adli kopyaları alınırken sistem çalışmaya devam ettiği için, halen sistem tarafından zararsız ufak değişiklikler yapılmakta olduğu bilindiğinden; tekrar bir adli kopya alındığında aynı hash değeri elde edilemeyeceği bilindiğinden, böyle bir tehid yoluna başvurulmamaktadır. Bu sistemlerden alınan ve elde olan ilk adli kopyalar üzerinden tüm inceleme ve değerlendirmeler yapılmakta, orijinal elektronik delil üzerinde tekrar hash hesaplatılması gibi bir işlem yapılmadan adli kopya delil olarak olayın aydınlatılmasında kullanılmaktadır.

Mekanik bir yapıya sahip olan sabit disklerde çeşitli sebeplerden dolayı hash problemleri yaşanabilmekte olduğu görülmektedir. Uygulamada, delil olabilecek elektronik aygıt üzerinden adli kopya alındığı sırada hesaplanan hash değeri ile, alınan adli kopyanın kaydedildiği veri depolama birimi üzerine tam ve doğru olarak kaydedildiğinin tespiti için hesaplanan hash değerleri birbiri ile aynı ise bu aşamadan sonra ilerleyen zamanda delil bütünlüğünün korunup korunmadığının kontrolü için elektronik delilin orijinali üzerinde tekrar adli kopya alma işlemi yapılması gerekmemekte, bu kontrolün eldeki adli kopya üzerinde hash hesaplatılarak yapılması gerekmektedir. Orijinal elektronik delil üzerinde meydana gelen bozulmalar ve değişimler hukuksal açıdan delil bütünlüğünün bozulduğuna anlamına gelmemelidir. Çalışan sistemlerden, RAM’lerden ve cep telefonlarından alınan adli kopyalarda olduğu gibi; diğer elektronik deliller de sadece adli kopyaları üzerinden değerlendirilmelidirler. Elektronik delil üzerinde herhangi bir veri değişikliği olup olmadığı ise orijinal delil üzerinden tekrar adli kopya alınarak ve orijinal delilin hash değeri hesaplatılarak değil, eldeki adli kopya üzerinde tekrar hash hesaplatılarak kontrol edilmelidir. Daha önceden orijinal delilden adli kopya alınırken hesaplanan hash değeri, adli kopya üzerinden tekrar hesaplatılan hash değeri ile birbirini tutuyor ise delil bütünlüğü korunuyor anlamına gelmektedir. Bu aşamada veri bütünlüğünün kontrolü için orijinal delil üzerinde tekrar hash hesaplatılması gibi bir yol izlenmemelidir.

Murat ÖZBEK

KAYNAKLAR

1-Kleiman, D., Cardwell, K., Clinton, T., Cross, M., Gregg, M., Varsalone, J., & Wright, C. (2007). The Official CHFI Study Guide (Exam 312-49) for Computer Hacking Forensic Investigators. Burlington, A.B.D: Syngress Publishing. s.62

2-http://www.griffwason.com/images/GriffWason_WesternDigitalCaviar-ExplodedCutaway2.jpg adresinden alınmıştır.

Devamı

Adli Bilişimde Optik Diskler Üzerindeki Hash Problemleri

Adli Bilişimde Optik Diskler Üzerindeki Hash Problemleri

Yaklaşık 30 yıldır kullanımda olan optik diskler(CD-DVD) bu 30 yıl içerisinde büyük bir gelişme gösterdiler. Günümüzde optik diskler için 200 yıla kadar ömür biçilse de onların ne zaman bozulacağını tahmin etmek oldukça güç. Tüm optik diskler, ortak olarak şu dört katmana sahiptirler: koruyucu katman, lazeri yansıtan parlak katman, verileri depolayan alaşımın bulunduğu katman ve polikarbonat katman[1].

Şekil 1. CD-ROM katmanları[2]

Şekil 1. CD-ROM katmanları[2]

Sekil 2. DVD’den kesit[3]

Sekil 2. DVD’den kesit[3]

Şekil 1 ve Şekil 2’de görüldüğü gibi farklı optik diskler, farklı katmanlara sahiptirler. Bu katmanlardan özellikle yansıtıcı katman, daha çok hasar görebilmektedir. Standart kompakt diskler, alüminyumdan oluşan bir yansıtıcı katmana sahiptir. Alüminyum, havaya maruz kaldığında oksitlenir. Bu, genellikle diskin kenarlarında gerçekleşir. Ancak diskin bozulmasına tek neden olan, yansıtıcı katmanın bozulması değildir. Kullanım ve muhafaza şartlarına bağlı olarak birçok sebep sayılabilir. Elektronik deliller doğru olmayan şekillerde taşınmaları ve muhafaza edilmeleri sonucunda da bozulabilmektedir. Adli kopyası alınarak hash bilgisi kaydedilen elektronik delil niteliğindeki bir optik diskten bir süre sonra tekrar adli kopya alma işlemi yapıldığında hesaplanan hash değerleri birbirini tutmayabilmektedir. Bunun sebebi tamamen veya kısmen bozulduğu için okunamayan bir sektör olabildiği gibi daha önceden adli kopya alma işlemi sırasında okunamamış veya yanlış okunmuş ancak sonraki adli kopya alma işleminde doğru şekilde okunabilmiş bir sektörden de kaynaklanabilmektedir. Okunama veya eksik okuma sonucu hash değerlerinin uyuşmaması sorunu sadece optik diskten de kaynaklanmıyor olabilir. Bir optik sürücünün okuyabildiği optik disk üzerindeki veriyi, bir başka optik sürücü okuyamayabilmektedir. Ayrıca bazı adli kopya alma yazılımları arasında optik disk üzerinden okudukları sektör sayılarında fark olabilmektedir. Bu fark aynı programın farklı sürümlerinde de görülebilmektedir. Bir yazılımın x sayıda sektör okuyarak almış olduğu adli kopyanın hash değeri, diğer yazılımın veya aynı yazılımın diğer sürümünün okumuş olduğu x-1 sayıda veya x+1 sayıda sektör okuyarak almış olduğu adli kopyanın hash değeri ile aynı olmayacaktır.

Şekil 3. Aynı optik diskten farklı programlarla alınan adli kopyalarda okunan sektör sayıları ve hash değerleri farklı olabilmektedir.

Şekil 3. Aynı optik diskten farklı programlarla alınan adli kopyalarda okunan sektör sayıları ve hash değerleri farklı olabilmektedir.

Bir yargılama konusunda elektronik delil olan 16 adet optik disk üzerinde tekrar hash hesaplatılması yaptırılmış ve hesaplanan hash değerlerinden 10 tanesinin daha önce alınan adli kopya sırasında hesaplanmış olan hash değerleriyle uyuşmadığı görülmüştür. Bu uyuşmazlığın kullanılan yazılımın sürüm farkından kaynaklandığı ilerleyen süreçte tespit edilmiştir.

Şekil 4. Bir davada delil olan optik disklerden 2 tanesine ait hash değerleri

Şekil 4. Bir davada delil olan optik disklerden 2 tanesine ait hash değerleri

Şekil 5. Şekil 4’teki 2 adet delil olan optik diskten tekrar hesaplanan hash değerleri

Şekil 5. Şekil 4’teki 2 adet delil olan optik diskten tekrar hesaplanan hash değerleri

Şekil 4 ve Şekil 5’te görüldüğü gibi C_4 isimli optik diske ait tekrar hesaplanmış olan hash değeri önceki hash değeri ile birebir aynı iken, C_5 isimli optik diske ait hash değerleri birbirini tutmamaktadır. Bunun sebebi ise Şekil 4’te görülen ilk adli kopya alımı sırasında C_4 isimli CD’nin Encase v6 sürümüyle adli kopyasının alınması, C_5 isimli CD’nin Encase v4 ile adli kopyasının alınması sonrasında; Şekil 5’te görülen işlemlerde her iki CD’nin de adli kopyalarının Encase v6 ile alınmış olmasıdır. C_4 isimli CD’ye ait hash değeri her iki adli kopya alım işleminde Encase’in aynı sürümü kullanıldığından aynı hash değerleriyle sonuçlanmıştır. C_5 isimli CD’de ise ilk adli kopya alımının Encase v4 ile ikinci adli kopya alma işleminin ise Encase v6 sürümüyle yapılması sonucu farklı hash değerleri hesaplanmıştır. Adli kopyası mevcut olan bir elektronik delil üzerinden tekrar adli kopya alındığında hesaplanan hash değeri daha önceki hash değeri ile uyuşmayabilmektedir.

Adli bilişim alanında adli kopya ile ilgili uygulamalarda elektronik delillerin orijinali üzerinde tekrar adli kopya alma işlemleri yapılmakta ve sonucunda hesaplanan hash değeri ilk adli kopya alma işleminde hesaplanmış olan hash değeri ile karşılaştırılarak farklılık görüldüğünde elektronik aygıtın delil niteliği kalmadığı değerlendirilmektedir. Bunun yanında açık olan sistemlerden alınan adli kopyalarla ilgili olarak, RAM’lerden alınan adli kopyalarla ilgili olarak ve cep telefonlarından alınan adli kopyalarla ilgili olarak tekrar adli kopya alınması ve hash değerlerinin kıyaslanması gibi bir uygulama söz konusu değildir. Çünkü açık olan sistemler, RAM’ler ve cep telefonları üzerinde kayıtlı olan verilerin adli kopyaları alınırken sistem çalışmaya devam ettiği için, halen sistem tarafından zararsız ufak değişiklikler yapılmakta olduğu bilindiğinden; tekrar bir adli kopya alındığında aynı hash değeri elde edilemeyeceği bilindiğinden, böyle bir tehid yoluna başvurulmamaktadır. Bu sistemlerden alınan ve elde olan ilk adli kopyalar üzerinden tüm inceleme ve değerlendirmeler yapılmakta, orijinal elektronik delil üzerinde tekrar hash hesaplatılması gibi bir işlem yapılmadan adli kopya delil olarak olayın aydınlatılmasında kullanılmaktadır.

CD-DVD gibi optik disklerde çeşitli sebeplerden dolayı hash problemleri yaşanabilmekte olduğu görülmektedir. Uygulamada, delil olabilecek elektronik aygıt üzerinden adli kopya alındığı sırada hesaplanan hash değeri ile, alınan adli kopyanın kaydedildiği veri depolama birimi üzerine tam ve doğru olarak kaydedildiğinin tespiti için hesaplanan hash değerleri birbiri ile aynı ise bu aşamadan sonra ilerleyen zamanda delil bütünlüğünün korunup korunmadığının kontrolü için elektronik delilin orijinali üzerinde tekrar adli kopya alma işlemi yapılması gerekmemekte, bu kontrolün eldeki adli kopya üzerinde hash hesaplatılarak yapılması gerekmektedir. Orijinal elektronik delil üzerinde meydana gelen bozulmalar ve değişimler hukuksal açıdan delil bütünlüğünün bozulduğuna anlamına gelmemelidir. Çalışan sistemlerden, RAM’lerden ve cep telefonlarından alınan adli kopyalarda olduğu gibi; diğer elektronik deliller de sadece adli kopyaları üzerinden değerlendirilmelidirler. Elektronik delil üzerinde herhangi bir veri değişikliği olup olmadığı ise orijinal delil üzerinden tekrar adli kopya alınarak ve orijinal delilin hash değeri hesaplatılarak değil, eldeki adli kopya üzerinde tekrar hash hesaplatılarak kontrol edilmelidir. Daha önceden orijinal delilden adli kopya alınırken hesaplanan hash değeri, adli kopya üzerinden tekrar hesaplatılan hash değeri ile birbirini tutuyor ise delil bütünlüğü korunuyor anlamına gelmektedir. Bu aşamada veri bütünlüğünün kontrolü için orijinal delil üzerinde tekrar hash hesaplatılması gibi bir yol izlenmemelidir.

Murat ÖZBEK

KAYNAKLAR

[1] http://www.chip.com.tr/haber/optik-disklerin-omrunu-ne-belirliyor_34753.html
[2] Philipp, A., Cowen, D., & Davis, C. (2009). Hacking Exposed Computer Forensics Second Edition. ABD: mhprofessional.
[3] Philipp, A., Cowen, D., & Davis, C. (2009). Hacking Exposed Computer Forensics Second Edition. ABD: mhprofessional.

Devamı
content top