Adli Bilişim İnceleme ve İnternet Suçları İnceleme
1. Adli Bilişim (Data, Whatsapp, Pc, Telefon ) Delileri
Bilgiyi (ses, görüntü, belge vb.) ileten, saklayan(gizleyen), depolayan, değiştiren teknolojik sistemlere ve bunların bulgularına adli bilişim delilleri denir. Bu sistemlerde de her tık bir iz bırakır. Her türlü suç ve suç yerinde bunların bulunması mümkündür.
Data dosyaları/belgeleri(bilgisayar, bankamatik, yazar kasa, databank, telefon (sabit, cep), internet kayıtları, elektronik cihazlar, şifreli/kriptolu dosyalar/yazılar, takograf, whatsapp ve diğer uygulamalar, server sistemleri.
Örnek; İstanbul-1998); barmen sırtına Allah yazdırır. Öldürülür. Terör örgütleri üstlenir. Cep telefonu ve elektronik posta kayıtlarından homoseksüel ilişkisi olan iki arkadaşı tarafından öldürüldüğü ispatlanır.
Adli bilişim; işlenen bilgisayar ilintili suçların tespit edilmesi, incelenmesi, araştırılması ve mahkemede delil olabilecek şekilde hazırlanmasını konu edinen bir bilim dalıdır.
2. Adli Bilişimle İlgili Suçlar
Kolluğun günlük adli işlemleri sırasında karşılaşa bilecekleri suçların bilgisayarla olan bağlantılardır. Hırsızlık, uyuşturucu madde kaçakçılığı, sahtekarlık, zimmete para geçirme, konusu suç teşkil eden her türlü bilginin, belgenin, programın bilgisayar işletim sisteminde tutulması, diğer terminallere gönderilmesi gibi.
Bilgisayar sistemlerine ve servislerine yetkisiz erişim,
Bilgisayara sabotaj; iletişimini engelleme, yazılım ve donanımına zarar verme,
Bilgisayar ve iletişim teknolojisi kullanılarak mevcut verilerin değiştirilmesi, yok edilmesi ile menfaat temini,
Bilgisayar yoluyla her türlü sahtecilik,
Bilgisayar yoluyla yasa dışı yayınlar,
3. Adli Bilişim Delillerinin Bulunacağı Ortamlar
1. Masaüstü, Dizüstü Bilgisayarlar veya Tabletler: Olay yerindeki bütün bilgisayarlar, çalışır durumda olan/olmayan inceleme kapsamına alınmalıdır.
Çalışır durumdaki bilgisayarların ekranları açıksa ekranlarının fotoğrafları çekilmelidir.
Bilgisayarların enerjisi kesilmeden, yapılabiliyorsa canlı inceleme yapılmalıdır. Eğer enerji kesilecekse bunu direk power kablosunu çekerek yapınız. Çünkü resetlenmiş bir pc yi başka bir ortamda açarken en son yapılandırılmış ayarla açabilirsiniz. Tablet PC’ler toplanmalı.
2. Harici Sabit Diskler: İhtiyaç duyulan saklama alanını karşılamak üzere günümüzde oldukça fazla kullanılan bilgi depolama cihazlarıdır. Sahip oldukları büyük kapasiteler sayesinde üzerlerinde bir çok dijital veri saklanabilir. Olay yerinde görülen bütün harici sabit disklerinde inceleme amaçlı image’leri alınmalıdır.
Fiziksel olarak görünen bu cihazların, birde Ağ Depolama olan Nas modelleri vardır.Kontrol yapılıp , ortamda network storage hdd olup olmadığının araştırması yapılmalıdır.
3. CD/DVD/HD DVD/Blu-ray Media’lar: Yedekleme amaçlı kullanılan bu ortamlar delil olarak kullanılabilecek veya olayın çözümüne etki edebilecek döküman/veri içerebilirler.
Tek yazımlık çeşitlerinde ortam üzerine tekrar yazmak imkansızdır. Gün geçtikçe daha fazla veri saklayabilmeye imkan tanıyan yüksek kapasiteli çeşitleri çıkmaktadır.
4. USB Flash Memory’ler: Boyutlarının ufak olması, cepte taşınabilir olması ve ciddi miktarda veri saklama kapasitesine sahip olmalarından dolayı oldukça çok kullanılırlar. Bazı modellerinde MP3 player, radyo vb gibi ekstra özellikler bulunur. Çok çeşitli şekillerde karşımıza çıkabilirler. Olay yerinde görülen bütün USB memory stick’lerin de inceleme amaçlı image’leri alınmalıdır.
5. Fotokopi / Faks / Tarayıcı / Printer Cihazları: Üzerlerinde yada çevrelerinde delil olarak kullanılabilecek çıktılar olabilir. Bazı yazıcı modelleri dahili sabit disk barındırırlar ve bu disklerde daha önce yazılması için yollanan belgelere ait bilgiler bulunabilir. Dahili sabit diskler veri saklamak amaçlı da kullanılabilir. Öğütülmüş kağıt cihazlarındaki hiç bir şey atılmaz.
6. Taşınabilir Player’lar (Ipod/Zune/MP3 Player):Barındırdıkları yüksek saklama kapasitesi sayesinde sadece müzik/video değil, aynı zamanda döküman/veri saklamak için de kullanılabilirler. Olay yerinde bulunan bu tarz player’ların da mutlaka image’leri alınmalı ve içeriği incelenmelidir.
7. Cep Telefonları, Çağrı Cihazları ve PDA’lar: Telefon üzerinde bulunan adres defteri, gönderilen ve alınan kısa mesajlar, en son yapılan görüşmelere ait bilgiler, telefonun dahili hafızası ve telefona sonradan takılan hafıza kartlarında yer alan ses ve görüntü kayıtları digital delil olarak kullanılabilirler. PDA ve bazı cep telefonlarının üzerinde e-mail mesajlarına da rastlanabilir ve bu e-postalar da delil olarak kullanılabilir.
8. Hafıza Kartları: Bir çok elektronik cihaz, hafıza gereksinimlerini hafıza kartlarını kullanarak aşarlar. Digital kameralar, fotograf makinaları, cep telefonları, PDA’ler bu hafıza kartları üzerinde veri saklayabilirler. Bu kartlar üzerinde saklanan veriler (örneğin ses ve video kayıtları, dökümanlar vb) digital delil olarak kullanılabilir ((SD, MMS, CF, MemoryStick vs).
9. Telesekreter Cihazları: Bırakılan mesajların kaydedildiği kasetler delil niteliği taşıyabilir. Davanın seyrini etkileyecek bilgilere, mesajlara ulaşılabilir. Gelen çağrılara eğer belirli bir süre cevap verilmezse devreye girerler ve arayan kişinin mesaj bırakmasına imkan tanırlar.
10. Diğer Elektronik Cihazlar:Yukarıda sayılan elektronik cihazların yanında, kredi kartı basma, çoğaltma, kopyalama cihazları (card skimmer), cep telefonu klonlama cihazları, GPS’ler gibi suç ile ilişkili olabilecek bütün cihazlarda hem delil içerebilirler hem de kendilere delil olabilirler.
Yetkilendirme kartları, kumandalar, elektronik yüklemeli biletler, kontur yüklemeli cihazlar, her türlü makine ve teçhizatın dijital sistemleri.
Ayrıca; Dijital Kameralar ve Fotoğraf Makinelerinde, , MP3 Çalarlarda, Oyun Konsollarında, Network Cihazlarında (Hafızaları varsa), İnternet ve Network Ortamlarında
3. Adli Bilişim Delillerine İlk Müdahale
Ani gelişme sonucu yapılan olay yeri inceleme ve işlemlerde genelde genel zabıta kuvvetleri karşılaşır. Bunların yapacağı iş olay yerini usulüne uygun muhafaza ederek, konu ile ilgili birim, ekip ve uzmanların olaya el koyup incelemesini sağlamaktır ve bağlantılı olduğu suç türü (uyuşturucu, sabotaj vb.) ile ilgili biriminde konulan bilgisinin olması sağlanmalı.
Planlı yapılacak olan araştırma, inceleme ve tahkikatta ise bir plan/program dahilinde yürütmek neticeyi başarıya götürecektir.
İlk olarak yapılması gereken ele geçirilenler önümüze geldiğinde ne gibi yardıma ihtiyacımızın olacağını tespit etmemiz gerekir. Bilgisayarın sistemi nedir? İçerisinde ne gibi bilgiler vardır? Bunları, üreten, satan ve kullanıcı uzman kişilerden öğrenilmeli. Olay yerinin fotoğraf, video gibi cihazlarla kaydının alınması önemlidir. Olay anında hatların görüşmeye açık olması gerekebilir, ekranda nelerin olduğu tespit edilmeli, karşı bilgisayar ile olan bağlantı hakkında bilgiler bulunabilir. Soruşturmacı olarak teknik personele ne arandığı, ne istendiği anlatılıp, o konuların araştırılması istenmeli.
Uzman ele geçen bilgileri diğer kişilerle irtibata geçerek delil olabilecek bilgileri toplayabilir. Arama ekibi konuya duyarlı, eğitimli olmalıdır. Her ortamda, her ebatta bilgisayar olabileceğini ve bunların bağlantılarının çok değişik yerlerden sağlandığı bilinmeli. Delil olabilecek bilgisayar ve cihazlarının sökülmesi ve taşınmasına dikkat edilerek taşınmalı, muhafaza edilmeli. Büyük bilgisayarlar sökülemiyorsa bilgilerinin kopyalanması için malzemenin hazır bulundurulması ve usulüne uygun şekilde kopya alınarak muhafaza edilmeli.
Planlı yapılan aramalarda arama kararının alınmasına özen gösterilmeli. Olay yerinde hakim ve savcının bulunmaları soruşturmanın selameti için yararlı olur. Ani gelişen olaylarda, ilk müdahale eden ekip ve daha sonra gelen uzman ekipler ilgili birimlerin olaya el koymalarını sağlamak için amirleriyle ve bu birimlerle görüşerek olaya ve olay yerinin incelenmesine yön vermeliler.
Aramalarda zanlının bilgisayar sistemine dokunmasına, teknik ekibe yardımcı olmasına kesinlikle izin verilmemeli. Çünkü yapacağı küçük bir işlem delil olabilecek bilgileri dumura uğratır. Onun için şahısları ortamdan soyutlamak gerekir. İçeriden yapılacak bir müdahale, uzaktan gelecek olandan daha çok zarar verebilir.
Aramada ekipte uzman olmayanlar bilgisayar ile ilgilenirse daha sonraki aşamalarda ulaşılabilecek delil özelliği olan bilgiler delil olmaktan çıkabilir. Açık olan bilgisayarın o şekilde incelenmesi gerekebilir. Onun için açık tutmakta fayda vardır. Bilgisayarların işletimi çok zaman şifreye bağlıdır, zanlılar bunu vermek istemez bu şifreleri bilgisayar yanında, gizli bölmelerde kağıtlarda yazılı olabilir, araştırılmalı.
Konusu suç teşkil eden bilgisayar, bilgisayar cihazları olay yerinde usulüne uygun uzman personele inceletilerek gerekli işlemler yapılmalıdır. Çok zaman olay yerinde bu cihazlar veya kayıtları tahkikatın boyutuna göre daha geniş incelemek için labaratuvarlarda tüm incelemelerin yapılması sağlanmalı. Bu işi konunun uzmanları yaparak cihazlara ve bilgilerine zarar vermeden yapılmalı. Onun için bu konuda uzman ekipleri seçmek önemli olacak, çünkü bu cihazlar çok hassas olduğundan manyetik ortam, yanlış kullanım vb. nedenler olumsuz etkileyecektir. Bilgi İşlem Birimlerinden ve diğer uzman birimlerden yardım alınmalıdır.
4. Bilişim Delillerini Adli Olaylarda Kullanmak
Elde Etme: Adli bilişimde ilk olay yeri müdahalesi oldukça önemlidir. Muhtemel suç delillerinin güvenilir bir şekilde eksiksiz saptanması ve zarar görmeden toplanması ilk olay yeri müdahalesinin düzgün yapılmasıyla mümkündür.
Bunun için öncelikle olay yeri güvenliği alınarak, bilişim(adli) uzmanlarının haricinde herhangi bir üçüncü şahsın delil içermesi muhtemel bilişim sistemleri ve çevrebirimlerinin bulunduğu ortama girmemesi sağlanmalıdır. Suç delillerinin kasıtlı veya kasıt dışı zarar görmesi engellenmelidir.
Karşılaşılan olay yerinde kapalı bir bilgisayar sistemi varsa kesinlikle açılmamalıdır. Bilgisayar sistemlerinin delil ihtiva etmesi muhtemel durumlarda, sistemin açılması mevcut delillerin kesinlikle ve kesinlikle zarar görmesine sebebiyet verebilecektir.
Olay yerinde çalışan bir bilgisayar sistemi varsa, genel prensip olarak (bazı durumlarda sunucu sistemler hariç) bilgisayar sistemi asla direkt olarak kullanılıp kapatılmamalı, kullanılmamalı ve üzerinde işlem yapılmamalıdır.
“Asla Şüpheli Bilgisayarı Kullanma ve Şüpheli Bilgisayara Güvenme” kuralı her zaman akılda tutulmalıdır ve buna göre hareket edilmelidir.
Tanımlama; Araştırma yöntemlerinin belirlenmesi, Teknik araştırmanın yapılarak, muhtemel suç unsurlarının bulundukları dijital ortamdan dışarı çıkarılması.
Değerlendirme; Kesin delil niteliği taşıyacak suç unsurlarının tespit edilmesi.
Sunum; Adli merciler için, saptanan bulguların dokümantasyonun ve sunumunun yapılması.
Olay yerinde ve ilk müdahalede birinci aşama olan elde edilmesi aşaması öncesinde ve elde edilirken olay yeri ve delillerin güvenliğinin sağlanmasıdır.
Belgelendirme (fotoğraf): Bilişim sistemlerinin fiziki konumu, cihazların birbirleri ile bağlantıları, ağ cihazlarının bağlantı konumları, bilişim sistemlerinin etrafında bulunabilecek dokümanlar ve notlar suç araştırmacısına azda olsa suç ile ilgili bilgi verebilecektir. Olay yerinin güvenliği alındıktan sonra olay yeri sahnesi detaylarıyla fotoğraflanmalıdır. Fotoğraflama sırasında Bilişim sistemlerinin kablo bağlantılarından, açık monitörlerin ekran görüntüleri ile suç araştırmacısına yardımcı olabilecek her tür bulgunun resmedilmesine özen gösterilmelidir.
İşletim Sistemi Kapatma Prosedürü
DOS- Windows 3.1 Ekranı resmini çekin ve çalışan program varsa not edin.Bilgisayarın arkasından elektrik kablosunu çekin.
Windows 95/98/ME
Windows NT Workstation
Windows 2000/XP
Windows NT Server Ekranı resmini çekin ve çalışan program varsa not edin.Farklı bir durum yoksa normal kapatma yöntemi uygulayın.
Windows 2000 Server
Windows 2003 Server – Vista
Unix / Linux / BSD(Not: Macintosh mimarisindeki bilgisayar sistemlerinde kullanılan MacOS X işletim sistemi de BSD tabanlı bir işletim sistemidir.) Ekranı resmini çekin ve çalışan program varsa not edin.Farklı bir durum yoksa normal kapatma yöntemi uygulayın.Eğer sistem üzerinde grafik sunucusu yani X çalışıyorsa konsola geçin ve oradan kapatma işlemine devam edin. Bazı durumlarda sistemi kapatabilmek için sistem yöneticisi root haklarına sahip olmanız gerekir, böyle bir imkan yoksa elektrik kablosu çekilmek zorundadır. Bazı durumlarda ise çalışan servislere göre elektrik kablosu çekilmelidir.
5.Olay Yeri Adli Bilişim Delilleri
Olay yeri inceleme ekipleri, olaya ilk müdahale eden ekipler (polis-jandarma) bilgisayar konusunda eğitimli, uzman olmayabilirler ama genel kültür ve bunun üzerinde bir bilgi ve tecrübe birikimine haiz olarak görev yapmalıdır. Olay yerinin muhafazasını sağlamalı, uzmandan yardım istemeli. Bu tür olaya müdahale eden ekipler çok dikkatli ve hassas olmaları gerekir. Olay yerindeki bilgisayar ve cihazlarına müdahale etmek incelemek özel bir bilgi gerektirmektedir (7). Bu konuda ehil olmayan kişilerin yapacağı müdahaleler önemli ve pahalı sonuçlara yol açar.
Bilgisayarlar pahalı cihazlardır, incelemelerinde zapt ve müsadere edilmelerinde özel bir dikkat göstermek gerekir. Ele geçirilenlerle ilgilenecek doğru kişinin bulunması gerekir. Bu kişinin ele geçirilen sistemin işletim sistemini bilmeye ihtiyacı vardır. Yaptıklarının, yapılanların kaydedilmesi soruşturmanın ileri ki safhalarında yardımcı olacaktır.
Bilgisayarlar ağlar yardımıyla başka bilgisayarlara bağlıdırlar. Bu yüzden bilgisayardaki delil olabilecek veriler bu bağlantılar yolu ile başka yerlerdeki bilgisayarlara yüklenmiş olabilir. Bu ikinci bilgisayar yurtiçi ve yurtdışında olabilir. Bu durumda bağlı olan ilgili yerin yetkilileriyle irtibat sağlanmalı (4).
Adli bilişimin çalışma alanından bazıları;
– Veri kurtarma; yazılım tabanlı kurtarma, dosya kurtarma, klasör kurtarma, format kurtarma, bölüm kurtarma (partition), donanım tabanlı kurtarma
– Veri imha etme
– Veri dönüştürme
– Veri saklama
– Şifre kırma
– İlk müdahale
– Bilgisayar ağ incelemeleri
Bilgisayarlarda yapılan adli bilişim işlemleri;
– Elektronik delillerin muhafazası
– Elektronik delillerin incelenmesi ve raporlanması
– İlgili dosyaya erişim, oluşturma ve son yazma sürelerinin belirlenmesi
– İnternet gezgininden hangi sitelere hangi zamanlarda bağlanıldığının tespit edilmesi
– İnternetten hangi dosyaların indirildiğinin/download edildiğinin tespit edilmesi
– Uzantısı değiştirilen dosyaların orijinal halinin belirlenmesi
– Silinen dosyaların, klasörlerin ve bölümlerin geri getirilmesi
– Şifreli dokümanların (winword, zip, vb.) şifrelerinin kırılması
– Veri taşıyan elektronik deliller üzerinde ilgili kelime araması yapma
– Veri taşıyan elektronik deliller üzerinde hash analizi yapma
– Veri taşıyan elektronik deliller üzerinde dosya türleri belirleme (file signature analysis)
– Bir bilgisayarda önceden print edilen dokümanların araştırılması
Adli bilişim aşamaları
Olay yerine giden ilk müdahale grubu öncelikle kendi güvenliğinden emin olmalı, ardından olay yerinin güvenliğini sağlamalı ve akabinde olay yerindeki elektronik olan ve olmayan bütün delillerin sağlamlığını ve bütünlüğünü koruma altına almalıdırlar.
5.1. Elektronik Deliller Elde/Tespit Edilirken Uygulanacak İşlemler
– Şüpheliye ait elektronik delillerin araştırılması ve ele geçirilmesi için gerekli yasal yetkinin alınması,
– Olay yerinin fotoğraf, kroki ve notlarla dokümantasyonun çıkarılması,
– Elektronik delillerin tanımlanması ve belirlenmesi,
– Belirlenen tüm elektronik delillerin fotoğraflanarak üzerine ilgili tanımlayıcı bilgilerin yazılarak etiketlenmesi ve fiziksel olmayan delil sayılabilecek bilgilerin not edilmesi.
– Elektronik deliller tespit edilirken, olay yerinde bulunan potansiyel bilgi bulunabilecek bütün elektronik cihazlar göz önünde bulundurulmalıdır. Bilgisayarlar, cep telefonları, el bilgisayarları, dijital fotoğraf makineleri, flash kartlar, USB ürünler, modemler, ağ cihazları, ağ sunucuları, disk alanları, çıkarılabilir depolama araçları, tarayıcılar, printerlar, ses kayıt cihazları, fax makinaları, vb.
– Olay yerinde hemen her şey çok dikkatle incelenmelidir. İlk bakıldığında farklı gözüken bir çok cihaz bilgisayar veya bilgisayar çevre birimi olabileceği hatırdan çıkartılmamalıdır. Örneğin; bir su bidonu veya bir priz bile bilgisayar olarak kullanılabilmektedir.
– Delil toplama ve muhafaza etme aşamasında, elektronik delillerin toplanması, delillerin bütünlüğünün sağlanması ve kontrol edilmesi yapılmaktadır. Elektronik delil toplama ve muhafaza etmek için imaj alma programları kullanılmaktadır. Magnetik veya optik medyaların bit-to-bit (sector-by-sector) imajı write-blockerlar kullanılarak alınmakta, orijinal medya üzerinde herhangi bir değişiklik yapılmamakta ve alınan imajların bütünlüğünün sağlanması hash değerleri hesaplanarak yapılmaktadır.
– Elektronik deliller toplanırken araştırmada ve incelemede faydası olacak elektronik olmayan diğer delillerin toplanmasına da dikkat edilmelidir. Küçük kağıtlara yazılmış sistem bilgileri, kullanıcı adları, şifreler, el yazması notlar, baskılı yazılmış boş kağıtlar, donanım ve yazılım kullanıcı belgeleri, ajandalar, eserler, yazılı veya grafiksel yazıcı çıktıları, fotoğraflar, IP adresleri, vb. bu türden bilgilerdir.
– Delil çıkartma aşamasında, silinen dosya, klasör ve bölümler (partition) kurtarılmakta, medya üzerindeki swap alanından, slack alanlardan, unallocated bölümlerden, geçici dosyalardan delil olabilecek veriler çıkartılmaktadır. Ayrıca, hash fonksiyonları kullanılarak bilinen dosyalar (known files) elimine edilerek incelenecek dosya sayısı azaltılmaktadır. Delil çıkartma aşamasında, medyadan delil olabilecek dosyalar çıkartılmış olmaktadır.
Delil çıkartma işlemleri
– Mevcut Dosya Araması
– Silinmiş Dosya Araması
– Unallocated Alandan Dosya Araması
– Kelime Araması
– Internet işlemleri
– Link dosyaları
– Print Spool Dosyaları
– Registry İncelemesi
– Dosya İmza Analizi
– Hash Analizi
– Geri Dönüşüm Kutusu Kurtarma
– Swap Dosyası
– Unused Disk Area
– Windows Açılışında Otomatik Çalışan Programlar
– Saklanmış Bölümler (Hidden partitions)
Delil inceleme aşamasında çıkartılan bütün dosyalar incelenmektedir. Adli bilişim uzmanları bilgisayardaki her dosyayı teker teker inceleyemeye zaman bulamayabilirler. Günümüzde disk boyutları sürekli büyümekte ve diskler içerisinde on binlerce hatta yüz binlerce dosya bulunmaktadır. İnceleme de değişik yöntemlere başvurulabilmektedir; bilinen dosya türleri incelemesi, kelime incelemesi, görüntü incelemeleri, dosya göstericileri (file viewers) vb.
Delil organize etme aşaması, delillerin rapor haline dönüştürülüp sunulmasını. Bu aşama teknik olarak en basit aşama gibi görülse de sonuçları itibariyle belki en önemli aşamadır.
Raporda bulunması gerekli olan bilgiler
– Araştırmayı yapan kurumla ilgili bilgiler
– Olayla ilgili bilgiler
– Araştırmaya başlanma tarihi ve bitiş tarihi
– El konan ve inceleme yapılan elektronik delillerle ilgili bilgiler
– Araştırmada kullanılan donanım ve yazılımla ilgili bilgiler
– Araştırmada izlenen yol ve kullanılan metod ve taktikler
– Gözetim zinciri (hangi delil ahngi tarihte kimden kime aktarıldı)
– Araştırma sonucu bulunanlar, nereden ve nasıl bulundukları
Suç mahallinden elde edilen bilişim malzemeleri
6.1. Bilgisayar sistemleri veri üniteleri üzerinde bulunması muhtemel dijital delil türleri
Bilgisayar Hard Diskleri üzerinde:
– Dökümanlar, Kelime işlemci dosyaları, resimler, ses ve video dosyaları
– Veri tabanı dosyaları, veri tabanı erişim kayıtları
– E-Mail veya chat kayıtları, Internet Geçmişi.
– Erişim şifreleri ve kullanıcı adları.
– Silinmiş dosyalar ve silinmiş disk alanları.
– Şifrelenmiş veya Kriptolanmış dosyalar
– Dosya yetkileri ve tarihleri (oluşturma, erişim, silme vs)
– Sistem Kayıt bilgileri (Registery, Event Log vs)
– Sistem tarafından verilen hizmetler
– Virus, Trojan, SpyWare vs gibi zararlı yazılımlar.
– Sistem Üzerinde yüklü yazılımlar
– Sanal Disk alanları ve RAM bilgileri
CD, DVD, Disket ve USB Hard disk ile Flash Disk üzerinde:
– Dökümanlar, Kelime işlemci dosyaları, resimler, ses ve video dosyaları
– Veri tabanı dosyaları, veri tabanı erişim kayıtları
– Şifrelenmiş veya Kriptolanmış dosyalar
– CD ve DVD lerin oluşturulma tarihleri
– USB Hard disk ve Flash disklerde silinmiş dosyalar ile disk alanları.
ZIP, DAT, DLT gibi Teyp/Kaset/Kartuş yedekleme üniteleri üzerinde:
– Veri tabanı dosyaları yedekleri
– E-posta sunucu dosyaları yedekleri
– Sistem kayıtlarının yedekleri
Bu tür yedekleme ünitelerinin genellikle sunucu tarzındaki bilgisayar sistemleri tarafından kullanılır. ok büyük veriler tutan ve bu verileri genellikle anabilgisayar şeklinde diğer istemci bilgisayarların hizmetine sunan bilgisayar sistemleri bazı durumlarda yöneticilerinin yedek alma işlemine tabi tutulurlar.
6.2. Dijital Kameralar/Fotoğraf Makineleri, MP3 Çalarlar üzerinde bulunması muhtemel dijital deliller.
Dijital cihazlar kendi içerilerinde bulunan hafızalarını yada çeşitli ebat ve tipteki ufak taşınabilir hafıza kartlarını fotoğraf, film ve müzik verilerini depolamak için kullanmaktadırlar.
Dijital Kameralar ve Fotoğraf makineleri üzerinde:
– Video, Fotoğraf ve ses kayıtları
– Dijital cihazın tarih ve saatleri
– Hafızalarındaki silinmiş veriler.
Dijital kameralar/fotoğraf makineleri bilgisayara bağlanabilecek özelliklere sahipse bilgisayar üzerinde buluna veriler bu cihazların hafızalarına gizlenmek üzere atılmış olabilirler.
MP3 Çalarlar üzerinde:
• Ses kayıtları
• Olması muhtemel diğer dosyalar
• Silinmiş veriler
Kendi hafızaları, ek hafıza kartları flash disk gibi kullanılabildiğinden dolayı inceleme esnasında incelemenin bu doğrultuda geliştirilmesi gerekmektedir.
6.3. Hafıza Karları (SD, MMS, CF, MemoryStick vs) üzerinde bulunması muhtemel dijital deli türleri.
Aslında bu hafıza kartları bilgisayar sistemleri, dijital kameralar, mp3 çalarlar ve artık cep telefonlarında da kullanıldıklarından dolayı dijital delil elde etmede önemli bir yere sahip veri depolama birimleridir.
SD, MMS, CF, MemoryStick vs üzerinde:
• Ses, Video ve Fotoğraf dosyaları
• Dökümanlar, Kelime işlemci dosyaları
• Küçük veri tabanı dosyaları, veri tabanı erişim kayıtları
• Şifrelenmiş veya Kriptolanmış dosyalar
• USB Hard disk ve Flash disklerde silinmiş dosyalar ile disk alanları.
• Mevcut dosyaların tarihleri
6.4. El bilgisayarlarının (PDA, PALM, PocketPC vs) ev Cep Telefonlarının üzerinde bulunması muhtemel dijital delil türleri.
Bu tür cihazlar üzerilerinde ufak ve kendilerine has işletim sistemleri çalıştıran ve veri depolama birimleri olan cihazlardır. Harici ve dahili veri depolama birimlerinde cihazların özelliklerine göre delil niteliği taşıyabilecek çeşitli veriler ihtiva edebilirler. Bu cihazların veri depolama birimleri oldukça esnektir ve gelişmeye açık olarak ek hafıza kartları kullanabilirler.
PDA cihazları üzerinde:
– Adres ve telefon bilgileri
– Görev ve Yapılacaklar listesi
– Kişisel notlar, dökümanlar
– E-Posta ve Chat Kayıtları
– Ses kayıtları
– Silinmiş veriler (bazı durumlarda)
– Bilgisayara bağlanabiliyorsa diğer dosyalar
PALM ve POCKET PC üzerinde:
– Dökümanlar, Kelime işlemci dosyaları, resimler, ses ve video dosyaları
– Küçük veri tabanı dosyaları, veri tabanı erişim kayıtları
– E-Mail veya chat kayıtları, Internet Geçmişi.
– Erişim şifreleri ve kullanıcı adları.
– Silinmiş dosyalar ve silinmiş disk alanları.
– Şifrelenmiş veya Kriptolanmış dosyalar
– Dosya yetkileri ve tarihleri (oluşturma, erişim, silme vs)
– Sistem Kayıt bilgileri (Registery, Temp Log vs)
– Virus, Trojan, SpyWare vs gibi zararlı yazılımlar.
– Sistem Üzerinde yüklü yazılımlar
– Adres ve telefon bilgileri
– Görev ve yapılacaklar listesi
– Cep telefonu mesajları (GSM özelliği varsa)
– SMS kayıtları (Silinmişler dahil)
– GPRS ve GPS erişim logları
Bu cihazların bazılarının üzerlerinde kablosuz bilgisayar ağlarına erişim modülerlide olduğu için çok rahatlıkla bir bilişim suçu işlemek için kullanılabilirler. Bu doğrultuda bir inceleme gerçekleştirilerek delil niteliğinde dijital verinin aranması sağlıklı olacaktır.
Cep Telefonlarının üzerinde:
– Adres ve Telefon bilgileri
– Kişisel bilgiler, Notlar Ajanda kayıtları
– Mesaj bilgileri, Silinmiş Mesajlar
– Son arama listesi (Cevapsız, arayan, aranan)
– Wap, GPRS geçmişi, İnternet Erişim kaydı
– Resim, Video ve Ses kayıtları, Varsa Hafıza kartları
Cep telefonlarından elde edilebilecek dijital deliller, suç soruşturmalarında suçun bağlantılarının çıkarılması aşamasında oldukça önem arz etmektedir. Cep telefonlarının hafızalarında ve sim kartlarının üzerinde Adli Bilişim bilimi yeni yeni gelişmekle birlikte bilimsel olarak incelemelerin yapılması hali hazırda mümkündür.
6.5. Oyun Konsolları üzerinde bulunması muhtemel dijital deli türleri
PlayStation ve XBOX
Modifiye edilmiş Oyun Konsolları Diskleri üzerinde:
– Dökümanlar, Kelime işlemci dosyaları, resimler, ses ve video dosyaları
– Veri tabanı dosyaları, veri tabanı erişim kayıtları
– E-Mail veya chat kayıtları, Internet Geçmişi
– Erişim şifreleri ve kullanıcı adları
– Silinmiş dosyalar ve silinmiş disk alanları
– Şifrelenmiş veya Kriptolanmış dosyalar
– Dosya yetkileri ve tarihleri (oluşturma, erişim, silme vs)
– Sistem Kayıt bilgileri (Registery, Temp Log vs)
– Sistem tarafından verilen hizmetler
– Virus, Trojan, SpyWare vs gibi zararlı yazılımlar
– Hacking amacıyla kullanılabilecek yazılımlar
– Sistem Üzerinde yüklü yazılımlar
– Sanal Disk alanları ve RAM bilgileri
6.6. Yazıcı ve Faks Cihazları üzerinde bulunması muhtemel dijital deli türleri
Bazı yazıcı ve faks cihazları gelişmiş özelliklere sahiptirler. Üzerlerinde kapasiteleri düşük de olsa veri depolama(hafızaları) üniteleri mevcuttur. Örneğin; bazı yazıcılar ve fakslare hafızalarında son işlenen belgelerin kopyalarını, işlenme tarihlerini ve cihazın özelliğine göre daha çok çeşitli bilgileri tutabilirler.
Yazıcılar üzeride:
– Son yazdırılan belgeler
– Yazım tarihi ve adetleri
– Kullanıcı kullanım kayıtları
Faks cihazları üzerinde:
– Son gönderilen belgenin kopyası
– Son alınan belgenin kopyası
– Gönderim ve alım tarihleri saatleri
– Kaç adet gönderim kaç adet alım
– Kayıtlı kullanıcılar
6.7. Network cihazları üzerinde bulunması muhtemel dijital delil türleri.
Çoğu network cihazı (router, switch, hardware firewall vs) üzerilerinde network aktivitesi, erişim denetimi ve network konfigürasyonu gibi veriler barındırabilirler. Bu cihazların incelenmesinde Adli Bilişim uzmanı network sistemlerini ileri düzeyde bilmek zorundadır. Aşağıdaki liste genel hatları ile network cihazları üzerlerinde ne tür verilerin bulunabileceğini göstermektedir.
Network cihazları üzerinde:
– Ağın konfigürasyon yapısı
– Erişim ve yönlendirme bilgileri
– Erişim denetim listeleri
– Donanım tabanlı cihaz listeleri (MAC ID)
– Ağ üzerinde oluşmuş bazı arıza bilgileri
– Ağın performans ve kullanım bilgileri
– Ağ üzerindeki yetkisiz erişim bilgileri
Network cihazları üzerinde bulunabilecek veriler yine cihazın özelliklerine göre oldukça farklılık gösterebilmektedir. İncelenmesi yapılacak cihazı tanımak, cihazın fabrika verilerini ve özellikleri bilmek incelemeye başlamadan önce yol haritası çimesi bakımından önemli sayılır.
6.8. Internet ve Network ortamları üzerinde bulunması muhtemel dijital delil türleri.
İnternet ve Network ortamlarında bilgisayar verileri sürekli olarak akışkanlık sağlamaktadır. Bu ortamlarda da dijital delil elde etmek mümkündür. Ancak bu konu detaylı bir açıklama gerektirdiği için burada şimdilik bahsedilmeyecektir. Kısaca özetlemek gerekirse bilgisayar ortamlarında bulunması muhtemel birçok dijital veri, delil olarak bu ortamlardan elde edilebilir. Bu ortamlardan elde edilen verilerin delil olarak geçerliliğinin olabilmesi için iyi bir şekilde teknik ten anlaşılabilir seviyeye indirilerek açıklanmaları gerekmektedir.
Mustafa Kaygısız
Adli Bilişim Alanlarında Verdiğimiz Hizmetler için Tıklayınız.
Bu alanlarda bilirkişi, kriminal inceleme, uzman görüşü hizmeti verilmektedir.İletişim bölümünden bizi arayarak bilgi alabilirsiniz.
Bilirkisiraporlari.com da yayınlamakta olan her makale kurucu bilirkişilerimiz tarafından yazılmış olup yayınlanmış eserlerden oluşmaktır. 5846 sayılı Fikir ve Sanat Eserleri Yasası kapsamında korunmaktadır. İzinsiz kopyalanması yasaktır.