Adli Bilişim; bir olay yeri incelemesi veya bir kurban üzerinde yapılan otopsinin eşdeğeridir.[1] Sayısal verileri elde etme, muhafaza etme ve çözümleme işlemlerinin delilin gereklerine uygun olarak mahkemeye sunulması aşamasına kadar uygulanması[2]; özel inceleme ve analiz teknikleri kullanılarak, bilgisayarlar başta olmak üzere, tüm elektronik medya üzerinde yer alan potansiyel delillerin toplanması amacıyla, elektronik aygıtların incelenmesi süreci kısaca Adli Bilişim (Computer Forensic)[3] olarak açıklanmaktadır. Bu süreç içerisinde elde edilen elektronik deliller:

• Kabul edilebilir(admissible[4]) olmalıdır. E-delil, dava sırasında hakim veya başka insanlar tarafından kabul edilebilir olmalıdır.

• Gerçek ve aslına uygun(authentic[5]) olmalıdır. Soruşturma veya kovuşturma altındaki konu ile ilgili doğrudan bir nedensellik bağı veya destekleyici mantıksal bağlar olması gerekir. Nedensellik bağı (illiyet rabıtası) aynı zamanda suçun kanun tanımında yer alan maddi unsurlarındandır ve meydana gelen netice ile fail arasındaki neden-sonuç ilişkisini ifade etmektedir[6]. E-delil mahkemedeki dava konusu olayla ve faille ilgili ve bağlantılı olmalıdır.

• Eksiksiz ve tam(complete[7]) olmalıdır. Elde edilebilen tüm deliller toplanmalıdır. Bu deliller yalnızca, failin suçlanmasına ilişkin değil, varsa suçsuzluğuna ilişkin olanları da kapsamalıdır. Nitekim 5271 sayılı Ceza Muhakemesi Kanunu’nun 170. maddesinin (4) ve (5) numaralı fıkralarına göre, iddianamede, yüklenen suçu oluşturan olaylar, mevcut delillerle ilişkilendirilerek açıklanmalı; iddianamenin sonuç kısmında, şüphelinin sadece aleyhine olan hususlar değil, lehine olan hususlarda ileri sürülmelidir.[8] Sadece maddi olmamalıdır. Şüphelinin suçlu olduğunu veya suçsuz olduğunu kanıtlayan bir delil olmalıdır.

• Güvenilebilir(reliable[9]) olmalıdır. E-delil güvenilir olmalıdır. Analiz için kabul edilmiş prosedürlere uygunluğundan ve doğruluğundan şüphe edilmemelidir.

• İnanılabilir(believeable[10]) olmalıdır. E-delil, kanıtlama değerine sahip olmalıdır. Sanal yapıda olsa da[11], hakim veya taraflar tarafından açıkça anlaşılabilir ve inanılabilir olmalıdır.

• Yasaya uygun olmalıdır. E-delil, yukarıdaki özelliklere sahip olsa da, yasaya uygun bir şekilde elde edilmemişse veya her ne kadar yukarıdaki özellikleri taşıyor olsa da yasaya uygun elde edilmediği için delil olarak değerlendirilemeyecektir. Örneğin 5271 sayılı CMK’nın 134. maddesine aykırı olarak bilgisayarlarda arama, kopyalama veya elkoyma işlemi yapılmışsa[12], elde edilenler mahkeme tarafından delil olarak değerlendirilmeyecektir.

Adli bilişimde elektronik deliller üzerinde yapılacak incelemeler elektronik delilin adli kopyası(forensic image) üzerinden yapılmaktadır. Orijinal delil üzerindeki verilerin değişmemesi için, istisnai durumlar hariç, orijinal delil üzerinde inceleme yapılmamaktadır. Adli bilişimde İngilizce kullanımı “forensic image” olan işlem, Türkçe kaynaklarda “birebir” kopyalama, yabancı kaynaklarda ise “sektör-by-sektör” veya “bit-by-bit” kopyalama işlemi olarak ifade edilmektedir[13]. Veri depolama aygıtlarından yapılan birebir kopyalama işlemine imaj da(forensic image) denilmektedir. Kopyalama işlemi sektör-sektör veya bit-bit denilen şekilde hiçbir veri değişmeden, eksilmeden ve artmadan her veri aynı olacak şekilde, dosya halinde bir başka diske yapılmaktadır. İşletim sistemlerinde günlük hayatta yapılan normal kopyalama işleminde kullanıcılar tarafından görülen dosya veya klasörler bir başka bilişim aygıtına aktarılırken bu işlemde bazı bilgilerin(oluşturma tarihi gibi) değişebilmesinin yanı sıra yapılan işlemde sadece görülmekte olan bilgiler kopyalanır. Hatta bazı yeni dosya yapılarında(NTFS) daha detaylı bilgiler tutulabilmekte iken, burada bulunan dosya veya klasör eski dosya yapısıyla(FAT) formatlanmış bir veri depolama birimine kopyalandığında bazı üstveriler de kopyalanamamaktadır. Dolaysıyla adli kopya elektronik delil üzerindeki verinin tamamını kapsadığı için incelemeler de adli kopyalar üzerinden yapılmaktadır.

Elektronik delillerden adli kopya alınması sırasında aynı zamanda adli kopyanın hash değeri de hesaplanabilmektedir. Hash tek yönlü bir algoritmik fonksiyondur. Tek yönlü olma özelliği sayesinde hash değerinden geriye dönülerek hash değeri hesaplanan veri parçasına ulaşılaması hesaplama zamanı açısından pratikte mümkün olmamaktadır. Hash değerinin kullanım alanlarından birisi de orijinal data ile o datanın adli kopyasının birbirleri ile aynı olup olmadığını karşılaştırmaktır. Hash değerleri eşleştiği zaman, bu verilerin tam bir kopyasının olduğunun kanıtı olarak kabul edilmektedir[14]. Bir veri veya veri depolama biriminin ilk sektörden başlanıp son sektöre kadar tamamının, belirli bir algoritmik fonksiyondan geçirilmesiyle bir hash değeri hesaplanır. Son sektörün de aynı işleme tabi tutulmasıyla ortaya çıkan değere o veriye ait hash değeri denilmektedir. Bu hash değeri verinin değişikliğe uğrayıp uğramadığını kontrolde kullanılmaktadır. Adli bilişimde genellikle kullanılan standart hash algoritmaları şunlardır:

• MD2, MD4 ve MD5: bu metotların hash değeri(Message Digest) 128 bit uzunluğundadır. Bu metotlar Ron Rivest tarafından oluşturulmuştur ve çoğunlukla dijital imzalar için kullanılmaktadır. Günümüzde MD2, MD4 ve MD5 metotlarında MD5 metodunun kullanımı daha fazla tercih edilmektedir.

• Secure Hash Algorithm (SHA): bu algoritmanın SHA-1, SHA-256, SHA-384 ve SHA-512 olarak birçok çeşidi bulunmaktadır. Bu çeşitlerin aralarındaki fark hash değerinin bit uzunluklarıdır. SHA hash algoritmaları A.B.D’de kurulmuş olan ve çalışmalarına devam eden NIST ve NSA isimli iki birim tarafından hazırlanmıştır[16].

MD5 ve SHA1 hash değerlerine birer örnek aşağıdadır.
MD5: b8e20611dcc4105286bcf56de754f7a3
SHA1: 9f34ac74f28e6ee9f0ad76d7b39d615722822b4f

Hash değeri, hash’i hesaplanan veriye özel ve parmak izi gibi benzersiz bir değerdir. Hash değeri üzerinden tersine mühendislik yapılarak veriye ulaşılamaz[15]. Veri depolama birimi üzerindeki bir karakterin bile değişmesi durumunda hash değişmektedir. Dolaysıyla elektronik delil üzerinde veya o delilden alınan adli kopya üzerinde herhangi bir değişiklik olup olmadığını kontrol etmek için hash hesaplatılır. Hash hesaplaması sonucu çıkan hash değeri ile ilk hesaplanan hash değeri birbiri ile aynı ise elektronik delilin veya elektronik delilden alınan adli kopyanın değişikliğe uğramadığı anlamına gelmektedir. Hash değeri elektronik verinin mührü olarak kullanılmaktadır. Uygulamada: açık olan sistemler, RAM’ler ve cep telefonları üzerinde kayıtlı olan verilerin adli kopyaları alındıktan sonra orijinal elektronik delil üzerinde değişiklik olup olmadığının kontrolü amacıyla orijinal delil üzerinden tekrar hash hesaplaması yapılmamaktadır. Çünkü çalışmaya devam eden bu sistemler üzerinde, halen sistem tarafından zararsız ufak değişiklikler olduğundan hash değerleri de değişmektedir.

Adli kopya alma işlemi sırasında yapılan uygulamada, adli kopyanın kaydedileceği veri depolama birimine yazılmak için elektronik delil üzerinden okunan verilerin, okundukları esnada hash değeri hesaplanır. Elektronik delil üzerindeki veriler okunduğu esnada hesaplanan hash değeri genellikle adli kopya almakta kullanılan yazılım veya donanım tarafından bir log dosyasına kaydedilir. Adli kopya alma işlemi sona erdikten sonra adli kopya, kayıt edildiği ortamdan baştan sona kadar okunarak okuma sırasında verilerin hash değeri hesaplanır. Bu okuma işlemi sona erdikten sonra hesaplanmış olan hash değeri ile elektronik delil okunduğunda hesaplanmış olan hash değeri kıyaslanır ve kıyaslama sonucunda hash değerleri birebir olarak aynı ise adli kopyanın doğru ve hatasız olarak, okunduğu şekliyle veri depolama birimine kaydedildiği anlamına gelmektedir.

Murat ÖZBEK

KAYNAKLAR

[1] BOREK, http://www.sans.org/reading_room/whitepapers/incident/computer-forensics-weve-incident-investigate_652.
[2] Türk Dil Kurumu, Kriminal Terimleri Sözlüğü, http://www.tdkterim.gov.tr/?kategori=terimarat2&s3oz5k0t=KRM&kelime=adli+bili%FEim.
[3] Keser Berber, Adli Bilişim, CMK md 134 ve Düşündürdükleri…, http://www.leylakeser.org/2008/07/adli-biliim-cmk-md-134-ve-dndrdkleri.html
[4] Dr. Andy JONES, D. C. (2008). Potential Sources of Evidence. D. C. Dr. Andy JONES içinde, Building a Digital Forensic Laboratory Establishing and Managing a Successful Facility (s. 10). Waltham(United States): Syngress.
[5] Dr. Andy JONES, D. C. (2008). Potential Sources of Evidence. D. C. Dr. Andy JONES içinde, Building a Digital Forensic Laboratory Establishing and Managing a Successful Facility (s. 10). Waltham(United States): Syngress.
[6] HENKOĞLU, T. (Eylül 2011). Dijital Delilin Niteliği. T. HENKOĞLU içinde, Adli Bilişim Dijital Delillerin Elde Edilmesi ve Analizi (s. 6-7). İSTANBUL: PUSULA.
[7] Dr. Andy JONES, D. C. (2008). Potential Sources of Evidence. D. C. Dr. Andy JONES içinde, Building a Digital Forensic Laboratory Establishing and Managing a Successful Facility (s. 10). Waltham(United States): Syngress.
[8] KARAGÜLMEZ, D. D. (2009). Bilişim Suçları ve Soruşturma – Kovuşturma Evreleri. Ankara: Seçkin Yayıncılık.s. 290.-291.
[9] Dr. Andy JONES, D. C. (2008). Potential Sources of Evidence. D. C. Dr. Andy JONES içinde, Building a Digital Forensic Laboratory Establishing and Managing a Successful Facility (s. 10). Waltham(United States): Syngress.
[10] Dr. Andy JONES, D. C. (2008). Potential Sources of Evidence. D. C. Dr. Andy JONES içinde, Building a Digital Forensic Laboratory Establishing and Managing a Successful Facility (s. 10). Waltham(United States): Syngress.
[11] KARAGÜLMEZ, D. D. (2009). Bilişim Suçları ve Soruşturma – Kovuşturma Evreleri. Ankara: Seçkin Yayıncılık.s. 291.
[12] KARAGÜLMEZ, D. D. (2009). Bilişim Suçları ve Soruşturma – Kovuşturma Evreleri. Ankara: Seçkin Yayıncılık.s. 291.
[13] HENKOĞLU, T. (Eylül 2011). Dijital Delilin Niteliği. T. HENKOĞLU içinde, Adli Bilişim Dijital Delillerin Elde Edilmesi ve Analizi (s. 48). İSTANBUL: PUSULA.
[14] Kleiman, D., Cardwell, K., Clinton, T., Cross, M., Gregg, M., Varsalone, J., & Wright, C. (2007). The Official CHFI Study Guide (Exam 312-49) for Computer Hacking Forensic Investigators. Burlington, A.B.D: Syngress Publishing. s.10
[15] Shinder, D. L. (2002). Scene of the Cybercrime: Computer Forensics Handbook. United States of America: Syngress Publishing. s.379
[16] Shinder, D. L. (2002). Scene of the Cybercrime: Computer Forensics Handbook. United States of America: Syngress Publishing. s.380

Adli Bilişim aşamalara ayrılmış bir süreçten oluşmaktadır. Adli Bilişimle ilgilenenler bu aşamaları farklı isimlerde farklı kategorilere ayırmış olsalar da aslında sürecin işleyişi aynıdır. Bu sürecin başında ilk dikkat edilmesi gereken hususlardan bir tanesi de “Yazmaya Karşı Koruma(Write Blocker)” tedbirinin alınmasıdır. Dijital delillerin incelenebilmesi için (genellikle ve) öncelikle imajlarının alınması gereklidir. Çünkü incelemeler imaj üzerinden yapılmalıdır. Genellikle dememin sebebi, imaj alınmadan da inceleme yapılabilen durumların söz konusu olmasıdır…

En ufak bir ayrıntı bile atlanmadan yapılması gereken teknik çalışmaların işin ehli, uzman eğitim almış ellerle yapılması olayın gidişhatını değiştirecektir. Adli Bilişim alanına giren konularda tecrübe en önemlisidir. Atılan yanlış bir adımın geri dönüşü olmayacaktır.

Bilgisayar incelemesi, Cd çözümü, Dvd çözümü, Görüntü iyileştirme, görüntü çözümü, görüntü dökümü, Forensic Recovery (veri kurtarma), Flash disk incelemesi, Hafıza Kartı incelemesi, Cep Telefonu incelemesi, Sim Kart incelemesi, Kredi Kartı Dolandırıcılığı, Banka Dolandırıcılığı, internet dolandırıcılığı konularında inceleme, Ses kaydı dökümü… gibi dijital materyallerle ilgili incelemeler yapılmaktadır.

Hukukçular için adli bilişim alanında danışmanlık ve Uzman Mütalaası vb. teknik destek verilmektedir.

Ayrıca:

Facebook chat kayıtları, Skype geçmişi (eski haliyle msn ileti geçmişi), Hangout (Google Talk chat kayıtları GTalk), e-posta kayıtları, internet geçmişi gibi kayıtların da geri getirilmesi vb. teknik çalışmalar da yapılabilmektedir…

Özet—Adli bilişim alanında yapılan inceleme ve değerlendirme çalışmaları elektronik delillerden alınan adli kopyalar üzerinden yapılmaktadır. Hukuki olarak uygulamada adli kopyası alınmış olan orijinal elektronik delil üzerinden tekrar adli kopya alınarak hash değerleri kıyaslanmakta ve kıyaslama sonucu hash değerlerinde uyumsuzluk söz konusu olursa elektronik aygıt üzerinde değişiklik yapıldığı gerekçesiyle delil olarak kabul edilmemektedir. Bu çalışmada, orijinal delillerde bozulmalar olabileceği veya çalışma yapıları itibariyle şahısların müdahalesi olmaksızın kayıtlı olan verilerde değişiklikler olabileceği hakkında bilgiler verilmiştir. Hukuki açıdan yapılan uygulamalarda: delil üzerinde veri bütünlüğünün korunup korunmadığının kontrolü için tekrar orijinal delil üzerinden adli kopya alınması ve hash hesaplatılması gibi bir yol izlenmemesi gerektiği; bu kontrol işleminin, önceden alınmış olan adli kopya üzerinde değişiklik olup olmadığı şeklindeki hash hesaplatma çalışmalarıyla yapılmasının uygun olduğu sonucuna varılmıştır.
Anahtar kelimeler—Adli Bilişim, adli kopya, hash sorunları, ssd disk incelemeleri, optik disk incelemeleri, sabit disk incelemeleri
Abstract—Analysis and investigations in computer forensic are carried out on forensic images. Pertaining to law, when a forensic image is made of the original electronic evidence which already had a forensic image, and the hash values of both images are compared, the electronic device in question is not accepted as evidence when the comparison result are incompatible. In this study, information reveals that there may be deterioration of the original evidence, or there may have been changes in the provided data without the intervention of individuals because of their operating structure. Applications made from a legal point of views: that for the control of data integrity of the evidence, there should not be taken a new forensic image of the original evidence and make a hash calculation; for this control process, we take hash calculation using the first taken forensic image to determine if there have been changes.
Keywords—Computer forensic, forensic image, hash issues, ssd forensic, cd-dvd forensic, hard disk forensic

Aşağıda bildirinin pdf formatına göz atabilir ve indirebilirsiniz.

İndir (PDF, 714KB)

Hafıza Kartından Veri Kurtarma