Adli bilişim

Prof. Dr. Şeref SAĞIROĞLU, Mehmet KARAMAN

Elektronik ve bilgisayar biliminin ilerlemesine paralel olarak insanoğlu kendine ait metin, görüntü, video, ses ve onlarca farklı türden veriyi sayısal cihazlarda saklamakta ve bu cihazlar yolu ile kullanmaktadır.
Elektronik ve bilgisayar biliminin ilerlemesine paralel olarak insanoğlu kendine ait metin, görüntü, video, ses ve onlarca farklı türden veriyi sayısal cihazlarda saklamakta ve bu cihazlar yolu ile kullanmaktadır. Bu cihazlar insan hayatında artık çok sık kullanılır hale gelmiştir ve açıkçası insan hayatını her anlamda kolaylaştırdığı söylenebilir. Sayısal cihazların insan hayatına bu denli girmesi ile bu cihazların suçlular tarafından da aktif olarak kullanılmasına neden olmaktadır. Günümüzde maktuller tarafından kullanılan sayısal cihazlardan birçok delil elde edilmekte, elde edilen bu deliller neticesinde de suçluluğun tespiti daha hızlı bir biçimde yapılmaktadır. Sayısal cihazlardan adli makamlar için delillerin tespit edilmesi, incelenmesi ve adli makamlara rapor edilmesi süreçlerini kapsayan işlemleri yerine getiren bilim, ‘digital forensic’ olarak adlandırılmaktadır.
Bu çalışmada temel adli bilişim kavramları, adli bilişim süreçleri, adli bilişim alt dalları, adli bilişim yazılımları, adli bilişim uzmanlık programları ve sonuç bilgilendirmesi yapılmaktadır.
— Adli bilişim, Digital forensic, computer forensic, network forensic, …
İnsanlığın doğuşu ile beraber suç kavramı hayatımıza girmiştir. Suçlu kavramının girmesi neticesinde suçun tespiti için araştırmalar yapılması delillerin toplanması ilgili otorite makamına sunulması ve sonuçlanması gibi kavramlarda ortaya çıkmıştır. Suçlunun tespiti için adli makamlar tarafından delillerin bulunması bu delillerin derin bir analizinin yapılması ve bunların adli makamlara sunulması da ayrıca suç kavramı ile ilişkilendirilebilecek kavramlardandır. Delillerin bulunması analiz edilmesi incelenmesi ve gerekli biçimlerde adli makamlara sunulması hukuk bilimi üst başlığı altında çeşitli alt bilim dallarının
meydana gelmesine neden olmuştur. Bunlardan bazıları adli bilişim, adli tıp, adli psikoloji ve birçok adli ile başlayan bilim dalı olarak sıralanabilir.
19. yüzyılda adli anlamda kullanılan en önemli delil kaynağı günümüzde de çok yaygın olarak kullanılan parmak izi karşılaştırmasıydı. 20. yüzyılda ise silahlı olayların aydınlatılması için yapılan tespit işlemlerinde kurşuna ait balistik raporları en fazla gündeme oturan adli delil yöntemlerinden biri olmuştur. Günümüzde ise suçlular işledikleri suçlarla ilgili birçok delili bilgisayar ve diğer elektronik araç üzerine kaydetmesi neticesinde adli bilişim en popüler delil bulma yöntemlerinden biri olarak karşımıza çıkmaktadır.
Adli bilişim bir bilim olarak bilgi güvenliğinin altında hukuk ve bilgisayar güvenliği bilimlerinden oluşan bir alt bilim olarak tanımlanabilir. Bilgisayar suçlarına, bilgi güvenliği açıklarına, ulusal güvenlik tehditlerine ve bilgisayar suiistimallerine karşı adli analizler ve çalışmalar içeren bir yaklaşım olarak da düşünülebilir. Adli bilişimin temel amacı potansiyel olarak görülen yasal ve elektronik delillerin keşfedilmesi, toplanması, tanımlanması, analiz edilmesi ve sunulması olarak tanımlanabilir [1-3].
Başka bir deyişle adli bilişim, tüm adli kanıt sürecinde suçlunun tespit edilmesi için ihtiyaç duyulan sayısal delillerin elde edilmesini sağlamaktır. Bununla beraber temel varlık sebebi herhangi bir kişiyi suçlu göstermek ya da masum göstermek değildir temel varlık sebebi adli birimlere sayısal delilleri eksiksiz ve tarafsız bir biçimde sunulmasını sağlamaktır. Adli bilişim genel olarak üç ana alt dala ayrılmaktadır; bilgisayar adli bilişimi, ağ adli bilişimi ve gömülü cihazlara ait adli bilişimi.
Bilgisayarlar için yapılan çalışmalar günümüzde adli makamlarda en fazla kullanılan adli bilişim yöntemi olarak bilinmektedir. Adli bilişimin bu dalında suç işlendikten sonra suç mahallinde bulunan ya da suçlu tarafından kullanılan masa üstü, dizüstü ve netbook tarzı bilgisayarların adli birimlerce prosedürlere uygun bir biçimde ön güvenliğinin sağlanması da dâhil olarak adli bilişim laboratuvarlarına taşınması, bilgisayarlar içindeki bilgi barındıracak tüm birimlerin incelenmesi gerekli ilişkilendirmelerin yapılması, raporlanması ve adli makamlara sunulması süreçlerini kapsamaktadır [4-5].
Ağ ve İnternet adli bilişim dalı ise, suçluların bir kurum ya da firmaya ait sisteme sızmaları bu sistemler üzerinde maddi çıkar veya kişisel eğlence için zarar vermeleri sonucu kurum ya da firmanın saygınlığının zedelenmesi neticesinde ilgili tüm sisteme ait ‘log’ların bilgisayar sunucularının ve ağ üzerinde giden paketlerin incelenmesi gerekli ilişkilendirmelerin yapılması, raporlanması ve adli makamlara sunulması süreçlerini kapsamaktadır.
Gömülü cihazlara ait adli bilişim; iPhone, Blackberry ve iPad gibi akıllı cihazlar kullanarak yapılan suçlarda, suçluya ait bu tür cihazların elde edilmesi gerekli yazılımlar vasıtası ile bu tür cihazların içerisindeki suç unsuru olabilecek bilgilerin çıkarılması ilişkilendirmelerin yapılması, raporlanması ve adli makamlara sunulması süreçlerini kapsamaktadır.

ADLİ BİLİŞİM ALT ALANLARI
Son birkaç yıldaki adli bilişim uygulamaları incelendiği zaman delil teşkil edebilecek verilerin sadece kişisel bilgisayarlardan değil aynı zamanda mobil telefonlardan, Xbox vb. oyun konsollarındaki görüşme kayıtlarından, USB belleklerden, sayısal ses ve video kayıt cihazları gibi birçok cihazdan elde edildiği görülmektedir. Adli delillerin birçoğu kişisel bilgisayarlardan elde edilmektedir çünkü kişisel bilgisayarlarda internet gezinti bilgileri, silinmiş dosyalar, sistem ‘log’ları, kullanıcı hesapları ve şifrelenmiş büyük miktarda veri bulunmaktadır. Fakat kişisel bilgisayarlardan elde edilen verinin boyutu ne kadar büyük olursa olsun en ufak bir delil bile adli durumlarda çok büyük öneme sahiptir. Kişisel bilgisayarlar kadar olmasa da gelişmiş cep telefonları vb. birçok sayısal medya bireyler tarafından aktif olarak kullanılmakta ve üzerlerinde de veri tutmaktadır. Bu cihazların incelenmesi ile kişinin suçlu ya da suçsuz olduğuna dair deliller bulunabileceği düşünülmelidir. En ufak delilin bile büyük önem taşıdığı düşünüldüğünde adli bilişimin önemi ortaya çıkmaktadır. Bu aşamada adli bilişimin alt disiplinleri hakkında temel bilgilendirme yapılacaktır [6].

Computer Forensic
Adli bilişim’in bilinen ve en çok kullanılan alt disiplinidir. Adli işlemlerin birçoğunda genellikle maktule ait bilgisayarın incelenmesi gerektiği ve bu incelemeler, delillerin birçoğunun bulunması ile neticelendiği için öncelikli olarak uygulanan alt disiplindir. Bilgisayarlar başlı başına büyük miktarda veriyi taşıyabilen, kendine has logları oluşturan, e-posta işlemlerinin yapıldığı, dahili sabit diskinin bulunduğu, kullanıcı hesaplarının yönetilebildiği ve en yaygın kullanılan elektronik cihazlar olması nedeni ile adli makamlar için çok önemli bir veri kaynağı konumundadır. Computer forensic adli bilişim alt dalları arasında ilk olarak ortaya çıkmış bir disiplindir ve temeli veri kurtarma projesine dayanmaktadır.

Network Forensic
Network forensic; belirli bir sistem içerisinde kurulu olan Local, Wan ya da İnternet ağ trafiklerinin izlenmesi, analiz edilmesi ve analiz neticeleri doğrultusunda adli makamlara gerekli bilgilerin verilmesi şeklinde tanımlanabilir. Network forensic sayesinde elde edilen veriler gerekli görüldüğü durumlarda erken uyarı sistemleri içinde kullanılmaktadır. Ağ seviyesinde yapılan incelemeler, genel olarak paket seviyesinde anlık olarak ya da depolanıp belirli zaman aralıkları ile yapılmaktadır.

Incident Response
Adli bilişim uzmanlarının bazısı tarafından farklı bir disiplin olarak görülmesine rağmen genel kabul adli süreçlerin başlatılmasına neden olmasından dolayı bir adli bilişim alt disiplini olduğu şeklindedir. “IncidentResponse” tanımındaki “Incident”’den kasıt ağ güvenliğine karşı bir atak ya da güvenlik ihlali olduğu durumlardır. Organizasyonlara karşı yapılan saldırı ya da güvenlik ihlalleri korsanlardan, kurum içindeki personelden, bilinçsiz kullanıcılardan, malicious kodlardan, Truva atlarından ya da herhangi bir zararlı yazılımdan kaynaklanabilir. IncidentResponse’deki asıl amaç ağa yapılan saldırıların ya da güvenlik ihlallerinin saldırı yapan kişilerden habersiz olarak tespit edilip takip edilmesi ve bu süreçte adli makamlar için delil teşkil edecek verilerin elde edilmesidir.

Cell Phone Forensic
GSM telefonlarının gelişmesine paralel olarak GSM telefonları içerisinde tutulan servis sağlayıcılara ait fatura bilgileri ya da CDR (calldetailedrecord) adı verilen arama detay kayıt bilgilerinin elde edilmesini sağlayan adli bilişim alt disiplinidir. CDR bilgilerinin çözümlenmesi neticesinde kişinin hangi zamanlarda kimleri aramış olduğu, ne kadar süre iletişimde oldukları gibi çok önemli bilgiler elde edilebilmektedir.
Günümüzde GSM telefonlarının sabit disklerinin büyük olması, e posta haberleşmesinin yapılması, text mesajlaşmanın yapılabilmesi, resim ve video çekme, ses kaydı alabilme vb. birçok gelişmiş özelliklere sahip olması, bu cihazları sayısal Forensic açısından oldukça önemli kılmaktadır. Az önce sayılan verilerin çoğu cep telefonuna ait sabit diske kaydedilmekte ve silinebilmektedir. Bu sabit disklerden veri kurtarmanın mümkün olması ve bu verilerin bazı durumlarda adli süreçler için geçerli olması cellphone forensic disiplinini ortaya çıkarmıştır. Piyasada binlerce GSM telefonu modeli bulunması ve yapılacak incelemelerin bazı durumlarda model bağımlı olması, Cell phone forensic’in en zayıf olduğu noktadır.

GPS Forensic
GPS Sistemlerinin günümüzde aktif bir biçimde kullanılmaya başlanması ile beraber GPS birimlerine ait teknolojik ilerlemelerde de büyük aşamalar kaydedilmiştir. Kiralanan arabalarda yada taşımacılık sistemi gibi bir çok sistemde kişilerin bilgisi dahilinde yada bilgisi haricinde bir çok GPS birimi ilgili araçlara bütünleşmiş durumdadır. GPS Forensic gelişmiş GPS birimlerinin analizini içeren bir disiplindir. Gelişmiş GPS birimleri araçların ziyaret ettikleri yerleri, favori yerleri ve araması yapılan yerleri zaman bilgisi ile beraber tutması nedeni ile ölümcül kazalar gibi önemli adli durumlarda ilgili aracın o anda orada olup olmadığı ile ilgili kararlarda önemli bir veri kaynağı olarak kullanılabilir.

Media Device Forensic
PDA, USB Bellekler, sayısal müzik oynatıcıları, ses kayıt cihazları ve taşınabilir harici diskler kişiler tarafından aktif olarak kullanılan elektronik cihazlardır. Birçok şifreli verinin yanı sıra; krokiler, çocuk pornosu ihtiva eden videolar bu cihazlar vasıtası ile taşınabilmekte ve izlenebilmektedir. Ses kayıt cihazları ile uygunsuz olarak ses kaydı yapılabilir. Tabi bu kayıtlar ve verilere ait içerik – zaman damgaları cihazlardaki sabit disklerde bulunmaktadır ve suçlular gerektiği durumlarda bu içerikleri silebilir. Media Device Forensic bu verilerin kurtarılması ve adli makamlara sunulması ile ilgilenen bir alt disiplin olarak karşımıza çıkmaktadır.

Social Network Forensci
2000'li yıllarından bu yana internetin ve sosyal ağların popülaritesinin büyük oranda arttığı görülmektedir. En çok kullanılan sosyal ağlara örnek olarak facebook, twitter, myspace ve linkedin verilebilir. Kişiler üyesi oldukları sosyal ağların her birinde farklı farklı özellikler sergileyebilmektedir. Kimisinde aile ve arkadaş çevresi ile iletişim kurarken, kimisinde iş çevresi ile iletişim kurabilmektedir. Kişilerin sosyal ağlarda iletişim hallerindeki değişiklikler, haberleşmeler, tehditler, katılmış oldukları gruplar, grup hareketleri vb. birçok haberleşme faaliyeti, tanımlamış oldukları e-posta kutularına ya da kullanmış oldukları uygulamalar vasıtası ile sistemlerine düşmektedir. Sosyal ağ forensic disiplini bu verilerin incelenmesi, analiz edilmesi ve adli makamlara sunulması ile ilgilenmektedir.

ADLİ BİLİŞİM SÜREÇLERİ
Bilgisayar ortamında delil toplamak aslında şüphelinin bilgisayarının tamamen kopyalanması ve içeriğinin adli makamlara sunulmak üzere çıktı alınması olarak düşünülmemelidir. Bu başlı başlına süreçler bütünü olarak düşünülmelidir [Şekil 1].

Şekil 1. Adli Bilişim Süreçleri

Bu süreç çok iyi analiz edilmeli ve el konulacak bilgisayarlardan veri almaktan tutunda da bilgisayarı dondurmak, verileri kopyalamak, klonlamak bilgisayarı kapatmak ve laboratuvara götürülmesine kadar süreçler çok titiz bir biçimde yerine getirilmeli ve eldeki delillerden hiç birinin kaybolmaması sağlanmamalıdır [7]. Bunlarla beraber yapılan tüm işlemler adımı ayrıntılı bir biçimde dokümante edilmelidir. Temel süreçleri bütünü aşağıda listelenmiştir.

  • Kanıtların bulunduğu ortamın boşaltılması ve kamera ile sürecin takip edilmeye başlanması.
  • Kanıtlar plastik eldivenler vasıtası ile gerekli bilgisayarın açılması, açılış sürecinin analizi, açılmışsa o anki durumunun tayini, var olan kablosuz bağlantıların hemen tespit edilip kapatılıp kapatılmayacağına kara verilmesi gerekli delil toplama işlemlerinin üstün yetenekli programlar vasıtası ile alınması, bilgisayarın kapatılması süreçlerinin hepsi adli birimleri tarafından belirlenmiş sistematiğe göre yapılıp raporlanmalıdır.
  • Elde edilen deliller programlar vasıtası ile incelenmeli gerekiyorsa şifre çözme yöntemleri kullanılmalıdır.
  • Adli birimlere rapor anlaşılır bir biçimde gerektiğince teknik terimlerden kaçarak sunulmalıdır.

Adli bilişimde olay yerinin incelenmesinden, elde edilen delillerin adli makamlara sunulmasına kadar birçok aşama bulunmaktadır. Bu aşamalar aşağıda detaylı olarak açıklanmışlardır.

Ön İnceleme ve Olay Yeri Tespit

  • Tüm açılardan bilgisayarın resimleri ve bilgisayarın bağlı olduğu ağa ait bağlantıların ve ortamın resimleri çekilmedir.
  • Tüm ağlantılar etiketlenmelidir ki herhangi bir simülasyon-benzetim sürecinde ortamın aynısı oluşturulabilsin.
  • Bilgisayar eğer bir ağa bağlı ise ağdan ayrılmalı ve güvenli bir bölgeye götürülmelidir.
  • Yapılan bu süreçte tüm taşıma işlemleri kanunlara uygun olarak kimler tarafından nasıl yapıldığı dokümante edilmelidir.
  • Önemli bir nokta şüpheli bilgisayarın tekrardan başlatılması ve herhangi bir uygulamanın çalıştırılma sürecidir. Çünkü sistemin düzgün olarak yeniden başlatılamaması BIOS ve tarih/saat gibi önemli bilgilerin değişmesine neden olabilir. Yeniden başlama sürecinde bazı önemli dosyaların yeniden oluşmasını ya da kapatılmamış bir dosyanın kaydedilmeden ortadan kalkmasını yada Windows’a ait ‘swap’ dosyaların yok olmasına neden olabilir. Yani bilgisayarın yeniden başlatılması kanıt olarak sunacağımız delillerin yok olmasına neden olabilir.
  • Başka önemli bir nokta ise bilgisayarın laboratuara götürülürken nasıl kapatılacağıdır. Fiş çekilerek de kapatılabilir ya da uygun prosedürler yapılarak da kapatılabilir bu da birçok delilin yok olmasına neden olacak bir süreç olarak karışımıza çıkmaktadır.

 

Açıklama: DSC_0034

  • Araştırmacı hiç bir delilin zarar görmediğinden ya da yok olmadığından emin olmalıdır.
  • Kanıtlar; yazıcı çıktı gibi fiziksel sunular olabileceği gibi CD, flaş bellek, zip dosyası ya da herhangi bir sayısal veri olarak ta sunulabilir.
  • Şüpheli bilgisayardaki tüm deliller uygun bir şekilde kopyalanmalı ve yeterli bir diskte yedeklenmelidir. Bu nedenle kopyalama aşamasından herhangi bir eksik veri kaydedilmemesi ya da veri kaybı olmaması için yedeklenecek diskin şüpheli bilgisayar diskinden büyük olması gerekmektedir.
  • Araştırmacı haricinde hiç kimse şüpheli bilgisayara erişememelidir.
  • Veriler düzgün bir şekilde klon edilmelidir bunun için birçok program bulunmaktadır. FBI klon işlemi için farklı yollar izlemektedir.
      • Linux için dd komutu kullanılmaktadır
      • SafeBack programı kullanılmaktadır.
      • SolitaireForensictoolkit kullanılmaktadır
  • Klon edilen verilerin ‘hash’leri alınmalıdır.
    • SHA
    • MD5

 



Delil Toplama
Bu aşama ise, kanıtların toplanması ve yeni kanıtların elde edilmesi aşamasıdır [8].

  • Öncelikli olarak klonlanmış veri, bu verilere erişim yetkileri ve bütünlüğü kontrol edilmelidir.
  • Bu aşama silinmiş verilerin yeniden kurtarılması ve şifrelenmiş verilerin şifre çözme aşamasını içermektedir.
  • Tüm analiz ve incelemeler orijinal kaynağın doğruluğunun korunması için klon edilmiş veriler üzerinden yapılmalıdır
  • Analizci doğu kanıtları bulabilmek için tüm dosyaları analiz etmelidir.
      • Normal dosyalar
      • Silinmiş dosyalar
      • Gizli dosyalar
      • Şifreli dosyalar
      •  Şifre korumalı dosyalar
      • Geçici, ‘swap’ ya da uygulama ve uygulamaların kullandığı dosyalar
      • İşletim sistemi dosyaları
  • Eğer şüpheli dosyalar biliniyorsa bunlar içinde de arama yapılmalıdır. Mesela txt dosyaları içinde aramalar yapılmalıdır bunun için birçok program mevcuttur (Powergrep vb.). Pornografi amaçlı deliller aranıyorsa görüntü ya da video dosyaları aranmalıdır ki, bu sürenin kısalmasını sağlayacaktır.

Analiz
Bu aşama adli bilişim sürecindeki dördüncü ana aşamadır. Analiz için temel anahtar noktaları,

  • Tüm analizler kanıt elde edilmek için kullanılan bilgisayardan farklı bir bilgisayarda yapılmalıdır.
  • Sadece klonlanmış kanıtlar kullanılmalıdır.
  • Orijinal veri ile elde edilen deliller arasında bütünlük ve içerik doğrulama sağlanmalıdır.
  • Analiz sürecinde kullanılan her yazılım, donanın ve araç uygun bir şekilde ne amaçla kullandıkları dâhil olmak üzere dökümante edilmelidir.
  • Şüpheli bilgisayardan elde edilen tüm dosya, program, uygulama tarih ve saat bilgisi de yazılarak kayıt altına alınmalıdır.
  • En çok aranan nesneler için bir liste oluşturulmalıdır.  Tüm hard disk ve diskler için yapılacak delil arama sürecinde bu anahtar sözcüklerle yeniden arama yapılmalıdır [9].
  • Çok dikkat edilmesi gereken bir nokta, ‘unallocated’ , ‘slack space’, ‘file slack’ ya da ‘swap space’ gibi alanlarda bilgisayarda bir önceki verilere ait detaylar bulunabilir. Bu alanlar gerekiyorsa tekrar kontrol edilmelidir.



Raporlama
Adli bilişim sürecindeki son aşama toplanmış kanıtların adli makamlara sunulması aşamasıdır.

  • Her şeyden önce kanıtların delil olarak kabul edilmesi için bulunan kanıtlar adlı kurallara uygun olmalı ve yasal örneklerden oluşmalıdır.
  • Mahkemece kabul edilmesi için en büyük öncelik delillerin bütünlük ve doğruluğudur[10].
  • Analizci tüm delillerin şüpheli bilgisayardan alındığını bu işlem sırasında hiçbir yasadışı sürecin yaşanmadığını raporlar halinde adli makamlara sunmalıdır.
  • Tüm deliller çok net ve açık olmalıdır.
  • Tüm araştırma sonucunda verilecek raporda en başındaki süreç de dahil olmak üzere her bir an raporlanmalı ve bu rapor da mahkemeye sunulmalıdır [11-12].

ADLİ BİLİŞİM YAZILIMLARI
Çalışmamızın bu bölümünde adli bilişim için kullanılan yazılım ve donanımlar hakkında genel bilgilendirmeler yapılacaktır. Adli bilişim araçları, şüpheliye ait elektronik cihazlardan yazılım ya da donanım yolu ile delillerin elde edilmesini sağlayan araçlar olarak tanımlanabilir. Adli makamlarda elektronik delillerin adli delil olarak kullanılabilmesi için standartlaşmış ve yetkilendirilmiş makamlardan alınan adli bilişim yazılım ya da donanımı sertifikasına sahip araçlar tarafından elde edilmiş olması gerekmektedir.Amerika’da herhangi bir yazılım ya da donanımın adli bilişim makamlarında yasal olarak kullanılabilmesi için National Institute of Standarts and Technology(NIST) tarafından kabul edilmesi gerekmektedir. NIST bünyesinde bulunan Computer Forensic Tool Testing (CFTT) [13] programı tarafından yapılan temel testleri geçmesi neticesinde yazılım ya da donanım adli bilişim amaçlı kullanılabilir sertifikası alabilmektedir. Adli süreçleri doğrudan etkilemesi neticesinde standartlaşma ve test süreçlerinin olması adli bilişim yazılım ve donanımları için çok önemlidir fakat ülkemizde bu konuda standartlaşma ve test makamı bulunmamaktadır. Çalışmanın bundan sonraki süreçlerinde öncelikli olarak bir adli bilişim aracının sahip olması gereken temel özelliklerden bahsedilecektir, daha sonra NIST – CFTT tarafından adli bilişim araçları için gerçekleştirilen test süreçlerinden bahsedilecektir son olarak ise bu süreçlerden geçip kendi yeterliliğini kanıtlamış adli bilişim araçları özelliklerine göre gruplandırılacaktır.

Adli Bilişim Yazılımları Temel Özellikleri
Yazılım ya da donanımların adli makamlarda kullanılabilmesi için şüpheli elektronik araçlar üzerinde yapmış olduğu işlemlerde tanımlama yapma, tahmin yapma, tekrarlanabilir olma, doğrulanabilir olma gibi özelliklere sahip olmak zorundadır [14].

Şekil 5. Adli Bilişim Araçları Temel Özellikler

Tanımlama yapma, herhangi bir adli bilişim aracı temel probleme ait tüm süreçleri tanımlayabilir olması, süreç sonunda elde edilecek verileri tanımlayabilmeli ve süreç ile ilgili tüm algoritma adımlarını tekrarlanabilir ve doğrulayabilir bir biçimde yerine getirebilir olmasıdır.

Tahmin yapma, yazılım içerisindeki herhangi bir fonksiyon ya da süreç tanımının sonucu tahmin edilebilir olmalıdır. Örneğin elde edilen sabit disk için yapılacak video dosyalarının aranması sürecinde adli bilişim aracı sonuç olarak temel video formatlarını çıktı olarak sunması gerekmektedir.

Tekrarlanabilir olma, adli bilişim aracı daima aynı veri girişi ve tekrarlama süreci için belirli bir hata toleransı dahilinde benzer ya da aynı sonuçları üretmelidir. Örneğin belirli bir süre için disk üzerinde 10000 video dosyası tespit eden bir yazılım aynı süre zarfında buna yakın bir oranda video sayısını tekrardan tespit edebilmelidir.

Doğrulanabilir olma, tüm yazılımlarda olduğu gibi adli bilişim yazılımlarının da olmazsa olmaz en önemli özelliklerinden biriside doğrulanabilir olmasıdır. Bir araç ile elde edilen belirli bir veri türü aynı amaç için tasarlanmış başka bir adli bilişim aracı ile de elde edilebilir olması gerekmektedir. Bu özellikten kasıt ise sabit disk içerisindeki EnCase Tools[15] ile elde edilen video sayısı ve format çeşitliliği belirli bir hata toleransı doğrultusunda Forensic ToolKit tarafından da edilmelidir. Eğer elde edilemiyor ise, ya adli bilişim aracında ya da adli bilişim uzmanının yeterliliğinde bir sorun olduğu düşünülmelidir.

NIST – CFTT Adli Bilişim Test Süreçleri
Adli bilişim araçlarının görüntü alma, sabit disk yazma koruması, içerik arama gibi farklı farklı fonksiyonları yerine getirmeleri nedeni ile CFTT her ayrı durum için farklı test süreci belirlemiştir. CFTT internet adresinde görüntü alma, adli bilişim yazılım hazırlama, yazılım ve donanım için ayrı ayrı yazma koruma, silinmiş dosya kurtarma, mobil cihazlar, içerikte arama gibi temel adli bilişim araçları için teknik standartlara ait dokümanlar bulunabilir. Temel test adımları genel olarak aşağıdaki gibi yapılmaktadır.

Adli Bilişim Yazılım Grupları
Adli bilişim yazılımları açık kaynak kodlu olup olmaması, ücretli olup olmadığı, ve fonksiyonlarına göre çeşitli şekilde gruplandırılabilir. Bu çalışmada adli bilişim yazılımları fonksiyonlarına göre gruplandırılacaktır. Fakat fonksiyonlarına göre gruplandırılmadan önce en çok bilinen adli bilişim yazılımları aşağıdaki şekilde listelenebilir. Bu yazılımlar, genel olarak bir süit şeklinde işlem yapmaktadırlar fakat belirgin fonksiyonları da ayrı ayrıda kullanılabilir.

  • EnCase
  • FTK Forensic Tool Kit
  • iLook LEO & iLookPI
  • SMART
  • P2 Commander
  • X-Ways Forensics
  • MacForensicLab
  • BlackLight Mac Analysis

Adli bilişim araçları E-Posta inceleme, Mesajlaşma Programları, İnternet Tarihi İnceleme, Veri Elde Etme ve Mobil ve GPS durumları için ayrı ayrı gruplandırılabilirler. Aşağıda her grup için adli bilişim çözüm programları sunulmuştur.

ADLİ BİLİŞİM SERTİFİKASYON PROGRAMLARI
Adli bilişim uzmanlığı ülkemizde yeni yeni gündemimize girmiş bir kavramdır. Adli bilişim uzmanının görev alanı bir önceki bölümde bahsedilen delillerin toplanması, analiz edilmesi neticesinde adli makamlara sunulması gereken verileri uygun bir biçimde raporlamak olarak tanımlanabilir.
Adli bilişim uzmanlardın da aranan temel özellik bilişim sistemlerinde çok ileri seviyede bilgi seviyesine sahip olmalıdır ve bu özelliğini daima sürdürebilecek şekilde güncel teknolojiyi takip etmelidir. Bununla beraber temel seviyede kendi alanı için gerekli hukuk bilgisine de sahip olmalıdır [x].
Aynı zamanda bir bilişimcinin adli bilişim uzmanı olarak kabul edilmesi için sertifika programları mevcuttur ve adli bilişim uzmanı bu sertifikalardan en az birine sahip olmalıdır. Bu anlamda bilinen ve en çok kabul edilen sertifika programları; EnCase Certified Examiner (ENCE), Certified Computer Examiner (CCE), Certified Computer Crime Investigator (CCCI), Computer Forensic Computer Examiner (CFCE), Certified Information Forensics Investigator (CIFI), Professional Certified Investigator (PCI). Bununla beraber ülkemizi de halen adli bilişim uzmanlığı seviyesinde kurumsallaşmış bir yapı olmadığından mahkemelerde bilirkişi olarak temel bilişimciler ve akademisyenler çalışmaktadır. Az miktarda da yukarıda bahsedilen sertifikalara sahip uzmanlar çalışmaktadır.

SONUÇ
Adli bilişim suçluların bilgisayar ve benzeri cihazlar kullanarak yapmış oldukları suçların, suçlunun şüpheli olduğu süreçten başlayarak olay yerinin analiz edilmesi, gerekli işlemler yapılarak verilerin toplanması bu verilerin incelenmesi varsa eğer suç ile ilgili gerekli ilişkilendirmeler yapılarak sonuçların düzenli bir raporlama neticesinde adli makamlara sunulmasını kapsayan geniş bir perspektifi kapsamaktadır.
Yukarıda çok sayıda özelleşmiş adli bilişim alt disiplininden bahsedilmiştir. Bunlardan bazıları aktif olarak adli makamlarca kullanılmakta, bazıları ise teori aşamasında olup aktif olarak kullanılmasında büyük öneme sahiptir. Sanal dünyanın gelişmesine paralel olarak, adli bilişimde aynı oranda gelişmektedir. 
Adli bilişim uzmanlığı ülkemize yeni olarak giren bir kavram olarak düşünülebilir. Bundan sonra adli makamlarda yapılacak bilirkişilikler için adli bilişim uzmanı olma şartı istenmesi gündemdedir. Bu nedenle adli bilişim uzmanlığı için gerekli sertifikasyon programları incelenmiş, şartları ve gereksinimleri neler olduğu sunulmuştur.
Yapılan çalışma neticesinde genel adli bilişim kavramı aşamaları adli bilişim programları sertifikasyon programları ve neden gerekli olduğu hakkında temel bilgiler sunulmuştur.

KAYNAKLAR

  • Kim, Y., Kim, K.J.,”A Forensic Model on Deleted-File Verification for Securing Digital Evidence”, 978—1-4244-5493-8710 IEEE, (2010).
  • Wang, Y., Cannady, J., Rosenbluth, J., “Foundation of computer forensics: A technology fort he fight against computer crime”, Computer Law & Security Report, 21/119-127, (2005).
  • Wolfe, H.B., “Computer Forensics”, 0167-4048/03 Elsevier Science, (2003).
  • Peisert, S., Bishop, M., Keith, M., “Computer Forensics in Forensis”, Third International Workshop on Systematic Approaches to Digital Forensic Engineering, (2008).
  • Bednar, P.M., Katos, V., Hennell, C., “Cyber-Crime Investigations: Complex Collaborative Desicion Making”, Third International Annual Workshop on Digital Forensics and Incident Analysis, (2008).
  • Daniel, L., Daniel L., “Digital Forensic : The Subdisciplines”, Digital Forensic for Legal Professions, S17-23, (2011).
  • Garfinkel, S.L., “Digital forensics research: The next 10 years”, Digital Investigation 7, S64-S73, (2010).
  • Altschaffel, R., Kiltz, S., Dittmann, J., “From the Computer Incident Taxonomy to a Computer Forensic Examination Taxonomy”, 2009 Fifth International Conference on IT Security Incident Management and IT Forensics, (2009).
  • Ayers,D., “A second generation computer forensic analysis system”, Digital Investigation 6, S34-S42, (2009).
  • Abboud, G., Marean, J., Yampolskiy, R.V., “Steganography and Visual Cryptography in Computer Forensics”, 2010 Fifth International Workshop on Systematic Approaches to Digital Forensic Engineering, (2010).
  • Rogers, M.K., Seigfried, K., “The future of computer forensics: a needs analysis survey”, Elsevier Computers & Security, 23/12-16, (2004).
  •  Ekizer, A.H., “Adli Bilişim”, http://www.ekizer.net/content/view/16/1, (2008).
  • www.cftt.nist.gov.tr
  • www.guidancesoftware.com
  • Larry & Lars E. Daniel, “Digital Forensic for Legal Professionals”, p:33-39, 2011.
 “Adli Bilişim Programları”, http://kaabus.wordpress.com/2009/06/01/adli-bilisim-programlari/,(2009).