Adli Bilişim Nedir Biliyor Muyuz? / Tüm Detayları İle Adli Bilişim

'PedroDavis

Kıdemli Üye
24 Haz 2015
2,336
190
112
M9tZWF.png


Öncelikle bu makaleyi hazırlamamdaki sebep uzun bir süredir uygulamalı olarak eğitim konularını açtığım bölümün ne olduğuna tam anlamıyla değinilmemiş olmasıdır.

Adli bilişim İngilizcesi ve yaygın kullanımı ile Forensic, sistemler üstünde depolama (log tutan) yapan cihazların herhangi bir illegal durumda kullanılıp kullanılmadığı ile ilgilenir.

Bu işlemlerde temel amaç sistemler üzerinde bulunan veriler ile(buradaki sistemler akla gelebilecek her türlü dijital aygıttır.) yaşanan illegal faaliyetlerin irtibatlarını çözmektir.

Kanıtların elde edilmesi, muhafaza edilmesi, adli laboratuvarlarda incelenmesi yine adli laboratuvarlarda detaylıca analizlenmesi, rapor haline getirilmesi gibi basamaklar bu işin içinde yer alır.


Neden kanıtlar diyoruz çünkü yukarıda da belirttiğim gibi Adli bilişim direkt olarak işlenmiş bir suç sonrasında arkada bırakılan dijital kanıtlar ile ilgilenir.

Adli bilişim, kanıtların elde geçirildiği çalışma bölümleri, sistemler üstünden yapılan analizler, sabit diskler, USB'ler, CD\DVD' vb. biriktiren cihazlarda hatta mobil aygıtlarda bile uygulanır



Aslında tam olarak şunu söyleyebilirim:

Adli bilişim, "Kim?", "Neden?, "Nerede?", "Ne Zaman?", "Nasıl?", şeklinde sorulabilecek olan tüm sorulara yanıt arar.

Bu alanda yapılan işlemlerin tamamı genel olarak kabul edilen teknikleri kapsar.



Bu şekilde yapılan çalışmalar, kanıt güvenilirliği ve kanıt kabulü bakımından oldukça önem arz eder.



Aslında uygulamalarda genel olarak kabul edilen tekniklerin kullanılmasının en önemli sebebi, diğer kişiler aracılığı ile yapılacak incelemelerden sonra aynı sonuç elde edilecek olmasıdır.



Netice olarak bu bir güvenilirlik sağlayacaktır.(Sağlama yapmak gibi düşünün.)

nnBXTm.png



Adli Bilişim Neden Gereklidir?

Genel olarak adli bilişimin ne olduğuna açıklık getirdiğimi düşünüyorum.

Şimdi ise adli bilişim neden bu kadar önemlidir ve adli bilişime neden ihtiyaç vardır? sorusuna değineceğim.

Çağımızda gelişen teknoloji sonrası verilerin ve belgelerin dijital alanlara geçiş yapması ve bu alanlarda muhafaza edilmesi artık engellenemez bir hale gelmiştir.



Bu veriler ve belgeler üzerinde oynanabilir.

İşte biz tam olarak burada adli bilişimi devreye sokuyoruz.

Üzerinde oynanmış verilerin ya da belgelerin tespiti, analizi ve sunumu özel teknikler gerektirir.

Kanıtların, kanıt özelliğini yitirmeden incelenmesinde adli bilişim büyük rol oynamaktadır.

Peki Dijital Kanıt Nedir?


Dijital kanıt, bilişim sistemleri(Bilgisayarlar, mobil aygıtlar vb.) ve sistemler üstündeki mevcut depolama bölümlerinde yapılan detaylı incelemeler sonrasında elde edilen adli kanıtlardır.



Yalnız, her dijital bulgu adli kanıt özelliği taşımaz.

Bunun için ele geçirilen dijital bulgularda bazı nitelikler aranır.

Nitelikleri de aşağıya sıralayacağım.


Akla yatkınlık ve kabul edilebilirlik

Sahicilik(Sahici delil niteliğine bakılır)

Bütünlük ve Noksansızlık

Güvenilirlik

Yinelenebilirlik

Bu kanıtları elde edebileceğimiz bazı alanları da sıralayacağım.


Veri depolama bölümleri

Silinen dosyalar

USB'ler

GPS cihazları

Geri dönüşüm kutusu aracılığı ile elde edilen bilgiler

Windows kayıt defterinde bulunan kayıtlar

Cep telefonları



Görseller ve Fotoğraflar

Video görüntüleri ve Ses dosyaları


Adli Bilişimin Türleri Nelerdir?


Adli bilişim ortaya çıktığından bu yana 4 alt dalda işlem gerçekleştirmiştir.



Bu bölümler ise; bilgisayar, ağ ve internet, gömülü aygıtlar ve toplumsal ağlardır.


Bilgisayarlar Üzerinden İşlem Yapılması


Ayırdığımız dallardan ilki bilgisayarlar üzerinde işlem yapılmasıydı.

Bilgisayar bölümü yetkililerce en fazla kullanılan daldır.



Bu türde, illegal faaliyet gerçekleştirildikten sonra, olay yerinde bulunan ya da faaliyeti gerçekleştiren kişinin kullandığı, masaüstü, laptop vb. sistemlerin adli birimler tarafından mevzuat uygulanarak güvenliğin temin edilerek, analiz yapılacak laboratuvarlara ulaştırılması, kanıt elde edebilecek kişilerin analiz etmesi, önemli kanıtların elde edilmesi, rapor haline getirilmesi ve sonrasında ise sunulması basamakları yer alır.



Network ve İnternet Sistemleri Üzerinden İşlem Yapılması


Networkler ve internet sistemleri üzerinden gerçekleştirilecek olan ikinci türde, illegal faaliyette bulunan şahısların herhangi bir kurum ya da kuruluşun sistemlerine erişim sağlaması, bu sistemlerde maddi menfaat ya da öylesine eğlence sebebi ile zafiyet yaratmaları sonrasında, bütün sistem kayıtları, bilgisayar sunucularının ve ağ aracılığı ile gönderilen paketlerin analiz edilmesi, suç ile ilişki kurulması ve sonrasında raporlandırılıp gerekli yerlere sunulması yer alır.



Gömülü Cihazlar Üzerinden İşlem Yapılması


Bu işlemde öncelikle gömülü cihazlarda dediğimiz Iphone, Blackberry ya da Ipad tarzı aygıtların illegal faaliyetlerde kullanılması, kullanan kişiye ait aygıtın ele geçirilmesi, yardımcı yazılımlar ile bu aygıtların içerisinde kanıt sayılabilecek verilerin elde edilmesi, suç ile ilişiği yapılması ve daha sonra raporlanıp gerekli yere teslim edilmesi basamakları uygulanır.


Sosyal Ağlar Üzerinden İşlem Yapılması


Sosyal ağların incelenmesi, aslında daha yeni yeni bir adli bilişim türevi olarak kabul görmeye başlamıştır.



İnternette yeni yeni çoğalan sosyal medya ve paylaşım forumları sistemleri üstünden işlem yapılması diyebiliriz.

Bu bölüm genel olarak, sosyal ağlar ya da sosyal medya üstünden, aranan kişilerin takibini, malware yazılım yayma, insan ticareti veya çok yaygın olan dolandırıcılık faaliyetlerini tespit etmek için sonrasında gerekli işlemlerin yapılması için kullanılır.


RwznzT.png



ADLİ BİLİŞİM TEKNİKLERİ


Teknolojinin de yardımı ile günümüzde adli bilişim uygulamalarının kanıt olarak görebileceği verilerin yalnızca bilgisayarlarda bulunmadığı ortaya çıkmıştır.

Yukarıda maddeler halinde belirttiğim her bölümde adli bilişim işlemi yapılabilir.



Ancak hala en büyük kanıtlar kişisel bilgisayarlardan toplanmaktadır.

Çünkü bilgisayarlar silinen kayıt dosyaları, tarama geçmişleri, sistemsel loglar, kullanıcı hesap ve şifreleri gibi çoğu bilgiyi barındırır.

Diğer aygıtlarda da çok ciddi kanıtların elde edildiği vakalar olmuştur ancak bunların boyutları genelde bilgisayarlar üzerinden elde edilen kanıtlar kadar büyük değildir.

Bu yüzden bilgisayarlar adli vakalarda çok büyük önem taşırlar.

Bilgisayarlar demişken gelelim bilgisayarlar aracılığı ile yapılan uygulamaya.


Bilgisayar Üzerinden Forensic


Yukarıda da belirttiğim üzere en çok incelemenin yapıldığı kısma değineceğim.

Adli bilişim ile ilgili illegal faaliyette bulunan kişilerin analizlerinde en çok kişisel bilgisayarları kullanılır.

Ve genel olarak faaliyetler ile ilişkili en önemli kanıtlar bu kişisel bilgisayarlardan elde edilmektedir.

Sonuçta bilgisayarlar gizli ya da gizli olmayan şekilde çok ciddi derecede veri barındırırlar.

Düşünsenize mailler, kendine has loglar, sabit disklerde bulunan loglar vb.

Burada sıraladığım verileri de kendi içinde ikiye ayırabiliriz.

Kalıcı olan ve kalıcı olmayan veriler.

Kalıcı olmayan veriler sistemler kapatıldığında yok olurlar.
Bu sebeple kanıt olarak bakılacak verilere erişmek zor olabilir.

Kalıcı olan veriler ise genelde sabit disklerde yer alan verilerdir.

Hatta bilgisayar tarafından oluşturulan sistem dosyaları da disk içerisinde bulunurlar.

Bu dosyalar bilgisayarın kayıt dosyaları, gizlenmiş dosyaları, yedekleme dosyaları gibi şeylerdir.


Ağ Üzerinden Forensic


Ağ üzerinden yapılacak işlem, belirlenen bir sistemin içinde bulunan Lokal, Geniş Alan Ağı ya da İnternet Ağı paketlerinin gözlemlenmesi, incelenmesi ve akabinde elde edilen sonuçların rapor halinde gerekli yerlere ulaştırılması işlemidir.



Ağ düzeyinde yapılan analizler, genelde paket bazında anlık ya da depolanarak, bazı zaman çizelgelerine göre yapılır.



Bu işlemi yapacak uzmanlar ağın temelini iyi bilmeli, sistem üstünde mevcut olan verilerin yer, zaman, tür gibi detaylarının ne kadar önemli olduğunu açıklayabilmeli, sabit disk üstünde işletim sistemi de düşünülerek hangi kısımlara bakılacağını önceden belirlemiş olmalı, tarayıcıların geçmişine ya da geçici verilere, sistem üzerinde son işlem yapılan bölümlere hakim olmalılardır.



Mobil Cihazların Üzerinden Forensic


Yaşadığımız dönemde cep telefonlarının büyük belleklere sahip olması, mail yolu ile iletişim kurabilmesi, mesajlaşma sistemi kullanabilmesi, resim, video kaydı alabilmesi, ses kaydı yapabilmesi gibi birden fazla niteliğe sahip olması, bu aygıtların kanıt aracı olduğunu göstermektedir.



Verilerin çoğu cep telefonlarının kendi belleklerinde kayıt alında tutulmaktadır ve bu veriler silinebilme özelliği de taşır.

Tabii ki bu belleklerden veri kurtarma işlemi de mümkün olduğundan bu cihazlara adli bilişim incelemelerinde yer verilmiştir.

FGyU5F.png




Bu Teknikler Haricinde İnceleme Yapılabilecek Diğer Bölümler


Mail İncelemeleri


Bulunduğumuz dönemde mail kullanmayan insan sayısı neredeyse sıfır diyebiliriz.


Çünkü mail kullanmak bilgi paylaşmanın en basit yoludur.

Bu sebeple şahıslar, şirketler hatta kamu kuruluşları bile mail adresleri aracılığı ile bilgi aktarımı yaparlar.



Yani bizim buradan çıkaracağımız sonuç mail ortamları illegal faaliyetler için oldukça uygun ortamlardır.

Şüpheli bir mail üzerinde düzgün bir inceleme sonucunda çoğu illegal faaliyetin çözümlendirildiğini söyleyebilirim.



Bence bu sebeple de bu işi yapan uzmanlar mail servislerinin çalışma prensibini ve bu mail servislerinin üzerinden nasıl kanıt elde edileceğini iyi bilmelidir.



Mailler, adli analiz yapacak uzmanlara oldukça kolaylık sağlar diyebilirim.

Fake olmadığı sürece başlık bilgisinde göndericinin ismi yer alır, hadi diyelim ki isim fake yine aynı başlıkta gönderici maili de yer alır buradan yola çıkarak adli anlamda çok fazla işlem yapılabilir.



Bunların haricinde göndericinin IP adresini hatta hangi cihaz ile mail gönderdiğini uzmanlar bulabilirler.



Ancak bu IP adresleri proxy sunucularından birisine ait ise iş biraz yokuşa sürülmüş olabilir.

Çünkü maili yollayan kişinin IP adresi proxy sunucularına kayıtlı olacaktır.

Ancak yine bu durumlarda proxy sunucusu kurumundan da tarih ve zaman bilgisi elde edilir ise kullanıcının kullandığı IP tespit edilir.



Yazıcı İncelemeleri


Sistemlerde oluşturduğumuz makale tarzı belgeleri kağıt üzerinde dökmek için kullandığımız araçlardır yazıcılar.

Bir illegal faaliyet için kullanılan yazıcıdan alınan çıktıların üzerinde yapılacak teknik analizlerde alınan çıktıların hangi yazıcıya hangi bilgisayarlardan gönderildiği araştırılır.



Unutulmaması gereklidir ki yazıcıların da kendilerine has hafızaları vardır.

Bu sebeptendir ki, bilişim suçlarında analiz yapılırken bu bölümlerden kanıt elde edilebilir.


Elde Edilen Kanıtların Rapor Haline Getirilmesi



Adli bilişimde son süreç elde edilen verileri, bilgileri rapor haline getirme sürecidir.

Yukarıda anlatımını yaptığım bütün konular genel olarak kabul edilen analiz işlemleridir.

Bunların uygulamaları ile ilgili bir çok konum mevcut bunlara da göz atabilirsiniz.

Konumuza dönecek olursak bütün sürecin kayıt altında tutulması ve rapor haline getirilmesi gerektiğini söylemeliyim.

Kanıtların kabul edilmesi için, bütünlüğünün ve doğruluğunun geçerli olması gereklidir.

Yaşanan bilişim suçu ile ilgili elde edilen kanıtlar belirlenen prensiplere uygun şekilde rapor haline getirilmelidir.

Hazırlanacak rapor oldukça açık ve net bir düzeye sahip olmalı hatta uzmanlar genelde rapor içerisinde teknik terim kullanımına sıcak bakmazlar.

Hazırlanacak raporun içerisinde suçlayıcı ifadeler barındıramaz.

Zaten direkt olarak kanıt gözüyle bakıldığı için raporda sadece suçun işlendiğini gösteren bilgilere yer verilmelidir.

Gerek duyulur ise zaten analizi yapan uzmanlar savcılık ya da mahkemeler tarafından kanıtlar ile ilgili açıklama için çağrılabilir.​
 

'PANDA

Uzman üye
20 Ocak 2019
1,094
555
Cevap: Adli Bilişim Nedir? (Detaylı)

Bu alanda ilgili olan arkadaşlar için faydalı olmuş ellerinize sağlık hocam :)
 

'PedroDavis

Kıdemli Üye
24 Haz 2015
2,336
190
112
Cevap: Adli Bilişim Nedir? (Detaylı)

Bu alanda ilgili olan arkadaşlar için faydalı olmuş ellerinize sağlık hocam :)

Umarım olacaktır, uzun süredir programların falan nasıl kullanıldığı ile ilgili konu anlatımı yapıyorum ama hiç kendisine değinmediğimi fark ettim bugün Adli bilişimin, o yüzden bu makaleyi hazırlama mecburiyeti hissettim biraz.

Güzel dileğin için teşekkür ederim.

Eline sağlık kardeşim :)

Teşekkür ederim hocam.


Elinize saylık. Gerçekten çok güzel bir konu olmuş


Teşekkür ederim Tuğgeneralim :)

 

ByZehirx

Yaşayan Forum Efsanesi
10 Şub 2012
12,381
1,976
Dinlenmede.
Konuyu eleştirecektim iyi açıdan eksik bir iki nokta var ama göze batmıyor o yüzden boşver dedim.
Konu güzel eline sağlık geniş kapsamlı bir konu özet olmuş.
 

'PedroDavis

Kıdemli Üye
24 Haz 2015
2,336
190
112
Son düzenleme:

Crosslightxp

Katılımcı Üye
26 Eyl 2021
590
221
19
Fransa
M9tZWF.png




Öncelikle bu makaleyi hazırlamamdaki sebep uzun bir süredir uygulamalı olarak eğitim konularını açtığım bölümün ne olduğuna tam anlamıyla değinilmemiş olmasıdır.



Adli bilişim İngilizcesi ve yaygın kullanımı ile Forensic, sistemler üstünde depolama (log tutan) yapan cihazların herhangi bir illegal durumda kullanılıp kullanılmadığı ile ilgilenir.




Bu işlemlerde temel amaç sistemler üzerinde bulunan veriler ile(buradaki sistemler akla gelebilecek her türlü dijital aygıttır.) yaşanan illegal faaliyetlerin irtibatlarını çözmektir.



Kanıtların elde edilmesi, muhafaza edilmesi, adli laboratuvarlarda incelenmesi yine adli laboratuvarlarda detaylıca analizlenmesi, rapor haline getirilmesi gibi basamaklar bu işin içinde yer alır.





Neden kanıtlar diyoruz çünkü yukarıda da belirttiğim gibi Adli bilişim direkt olarak işlenmiş bir suç sonrasında arkada bırakılan dijital kanıtlar ile ilgilenir.



Adli bilişim, kanıtların elde geçirildiği çalışma bölümleri, sistemler üstünden yapılan analizler, sabit diskler, USB'ler, CD\DVD' vb. biriktiren cihazlarda hatta mobil aygıtlarda bile uygulanır







Aslında tam olarak şunu söyleyebilirim:



Adli bilişim, "Kim?", "Neden?, "Nerede?", "Ne Zaman?", "Nasıl?", şeklinde sorulabilecek olan tüm sorulara yanıt arar.




Bu alanda yapılan işlemlerin tamamı genel olarak kabul edilen teknikleri kapsar.







Bu şekilde yapılan çalışmalar, kanıt güvenilirliği ve kanıt kabulü bakımından oldukça önem arz eder.







Aslında uygulamalarda genel olarak kabul edilen tekniklerin kullanılmasının en önemli sebebi, diğer kişiler aracılığı ile yapılacak incelemelerden sonra aynı sonuç elde edilecek olmasıdır.







Netice olarak bu bir güvenilirlik sağlayacaktır.(Sağlama yapmak gibi düşünün.)



nnBXTm.png






Adli Bilişim Neden Gereklidir?




Genel olarak adli bilişimin ne olduğuna açıklık getirdiğimi düşünüyorum.



Şimdi ise adli bilişim neden bu kadar önemlidir ve adli bilişime neden ihtiyaç vardır? sorusuna değineceğim.



Çağımızda gelişen teknoloji sonrası verilerin ve belgelerin dijital alanlara geçiş yapması ve bu alanlarda muhafaza edilmesi artık engellenemez bir hale gelmiştir.







Bu veriler ve belgeler üzerinde oynanabilir.



İşte biz tam olarak burada adli bilişimi devreye sokuyoruz.



Üzerinde oynanmış verilerin ya da belgelerin tespiti, analizi ve sunumu özel teknikler gerektirir.



Kanıtların, kanıt özelliğini yitirmeden incelenmesinde adli bilişim büyük rol oynamaktadır.



Peki Dijital Kanıt Nedir?






Dijital kanıt, bilişim sistemleri(Bilgisayarlar, mobil aygıtlar vb.) ve sistemler üstündeki mevcut depolama bölümlerinde yapılan detaylı incelemeler sonrasında elde edilen adli kanıtlardır.







Yalnız, her dijital bulgu adli kanıt özelliği taşımaz.



Bunun için ele geçirilen dijital bulgularda bazı nitelikler aranır.



Nitelikleri de aşağıya sıralayacağım.






Akla yatkınlık ve kabul edilebilirlik



Sahicilik(Sahici delil niteliğine bakılır)



Bütünlük ve Noksansızlık



Güvenilirlik



Yinelenebilirlik



Bu kanıtları elde edebileceğimiz bazı alanları da sıralayacağım.





Veri depolama bölümleri



Silinen dosyalar



USB'ler



GPS cihazları



Geri dönüşüm kutusu aracılığı ile elde edilen bilgiler



Windows kayıt defterinde bulunan kayıtlar



Cep telefonları







Görseller ve Fotoğraflar



Video görüntüleri ve Ses dosyaları



Adli Bilişimin Türleri Nelerdir?





Adli bilişim ortaya çıktığından bu yana 4 alt dalda işlem gerçekleştirmiştir.







Bu bölümler ise; bilgisayar, ağ ve internet, gömülü aygıtlar ve toplumsal ağlardır.





Bilgisayarlar Üzerinden İşlem Yapılması






Ayırdığımız dallardan ilki bilgisayarlar üzerinde işlem yapılmasıydı.



Bilgisayar bölümü yetkililerce en fazla kullanılan daldır.







Bu türde, illegal faaliyet gerçekleştirildikten sonra, olay yerinde bulunan ya da faaliyeti gerçekleştiren kişinin kullandığı, masaüstü, laptop vb. sistemlerin adli birimler tarafından mevzuat uygulanarak güvenliğin temin edilerek, analiz yapılacak laboratuvarlara ulaştırılması, kanıt elde edebilecek kişilerin analiz etmesi, önemli kanıtların elde edilmesi, rapor haline getirilmesi ve sonrasında ise sunulması basamakları yer alır.







Network ve İnternet Sistemleri Üzerinden İşlem Yapılması






Networkler ve internet sistemleri üzerinden gerçekleştirilecek olan ikinci türde, illegal faaliyette bulunan şahısların herhangi bir kurum ya da kuruluşun sistemlerine erişim sağlaması, bu sistemlerde maddi menfaat ya da öylesine eğlence sebebi ile zafiyet yaratmaları sonrasında, bütün sistem kayıtları, bilgisayar sunucularının ve ağ aracılığı ile gönderilen paketlerin analiz edilmesi, suç ile ilişki kurulması ve sonrasında raporlandırılıp gerekli yerlere sunulması yer alır.







Gömülü Cihazlar Üzerinden İşlem Yapılması






Bu işlemde öncelikle gömülü cihazlarda dediğimiz Iphone, Blackberry ya da Ipad tarzı aygıtların illegal faaliyetlerde kullanılması, kullanan kişiye ait aygıtın ele geçirilmesi, yardımcı yazılımlar ile bu aygıtların içerisinde kanıt sayılabilecek verilerin elde edilmesi, suç ile ilişiği yapılması ve daha sonra raporlanıp gerekli yere teslim edilmesi basamakları uygulanır.





Sosyal Ağlar Üzerinden İşlem Yapılması






Sosyal ağların incelenmesi, aslında daha yeni yeni bir adli bilişim türevi olarak kabul görmeye başlamıştır.







İnternette yeni yeni çoğalan sosyal medya ve paylaşım forumları sistemleri üstünden işlem yapılması diyebiliriz.



Bu bölüm genel olarak, sosyal ağlar ya da sosyal medya üstünden, aranan kişilerin takibini, malware yazılım yayma, insan ticareti veya çok yaygın olan dolandırıcılık faaliyetlerini tespit etmek için sonrasında gerekli işlemlerin yapılması için kullanılır.





RwznzT.png






ADLİ BİLİŞİM TEKNİKLERİ






Teknolojinin de yardımı ile günümüzde adli bilişim uygulamalarının kanıt olarak görebileceği verilerin yalnızca bilgisayarlarda bulunmadığı ortaya çıkmıştır.



Yukarıda maddeler halinde belirttiğim her bölümde adli bilişim işlemi yapılabilir.







Ancak hala en büyük kanıtlar kişisel bilgisayarlardan toplanmaktadır.



Çünkü bilgisayarlar silinen kayıt dosyaları, tarama geçmişleri, sistemsel loglar, kullanıcı hesap ve şifreleri gibi çoğu bilgiyi barındırır.



Diğer aygıtlarda da çok ciddi kanıtların elde edildiği vakalar olmuştur ancak bunların boyutları genelde bilgisayarlar üzerinden elde edilen kanıtlar kadar büyük değildir.



Bu yüzden bilgisayarlar adli vakalarda çok büyük önem taşırlar.



Bilgisayarlar demişken gelelim bilgisayarlar aracılığı ile yapılan uygulamaya.





Bilgisayar Üzerinden Forensic






Yukarıda da belirttiğim üzere en çok incelemenin yapıldığı kısma değineceğim.



Adli bilişim ile ilgili illegal faaliyette bulunan kişilerin analizlerinde en çok kişisel bilgisayarları kullanılır.



Ve genel olarak faaliyetler ile ilişkili en önemli kanıtlar bu kişisel bilgisayarlardan elde edilmektedir.



Sonuçta bilgisayarlar gizli ya da gizli olmayan şekilde çok ciddi derecede veri barındırırlar.



Düşünsenize mailler, kendine has loglar, sabit disklerde bulunan loglar vb.



Burada sıraladığım verileri de kendi içinde ikiye ayırabiliriz.



Kalıcı olan ve kalıcı olmayan veriler.



Kalıcı olmayan veriler sistemler kapatıldığında yok olurlar.

Bu sebeple kanıt olarak bakılacak verilere erişmek zor olabilir.



Kalıcı olan veriler ise genelde sabit disklerde yer alan verilerdir.



Hatta bilgisayar tarafından oluşturulan sistem dosyaları da disk içerisinde bulunurlar.



Bu dosyalar bilgisayarın kayıt dosyaları, gizlenmiş dosyaları, yedekleme dosyaları gibi şeylerdir.





Ağ Üzerinden Forensic






Ağ üzerinden yapılacak işlem, belirlenen bir sistemin içinde bulunan Lokal, Geniş Alan Ağı ya da İnternet Ağı paketlerinin gözlemlenmesi, incelenmesi ve akabinde elde edilen sonuçların rapor halinde gerekli yerlere ulaştırılması işlemidir.







Ağ düzeyinde yapılan analizler, genelde paket bazında anlık ya da depolanarak, bazı zaman çizelgelerine göre yapılır.







Bu işlemi yapacak uzmanlar ağın temelini iyi bilmeli, sistem üstünde mevcut olan verilerin yer, zaman, tür gibi detaylarının ne kadar önemli olduğunu açıklayabilmeli, sabit disk üstünde işletim sistemi de düşünülerek hangi kısımlara bakılacağını önceden belirlemiş olmalı, tarayıcıların geçmişine ya da geçici verilere, sistem üzerinde son işlem yapılan bölümlere hakim olmalılardır.







Mobil Cihazların Üzerinden Forensic






Yaşadığımız dönemde cep telefonlarının büyük belleklere sahip olması, mail yolu ile iletişim kurabilmesi, mesajlaşma sistemi kullanabilmesi, resim, video kaydı alabilmesi, ses kaydı yapabilmesi gibi birden fazla niteliğe sahip olması, bu aygıtların kanıt aracı olduğunu göstermektedir.







Verilerin çoğu cep telefonlarının kendi belleklerinde kayıt alında tutulmaktadır ve bu veriler silinebilme özelliği de taşır.



Tabii ki bu belleklerden veri kurtarma işlemi de mümkün olduğundan bu cihazlara adli bilişim incelemelerinde yer verilmiştir.



FGyU5F.png








Bu Teknikler Haricinde İnceleme Yapılabilecek Diğer Bölümler






Mail İncelemeleri





Bulunduğumuz dönemde mail kullanmayan insan sayısı neredeyse sıfır diyebiliriz.





Çünkü mail kullanmak bilgi paylaşmanın en basit yoludur.



Bu sebeple şahıslar, şirketler hatta kamu kuruluşları bile mail adresleri aracılığı ile bilgi aktarımı yaparlar.







Yani bizim buradan çıkaracağımız sonuç mail ortamları illegal faaliyetler için oldukça uygun ortamlardır.



Şüpheli bir mail üzerinde düzgün bir inceleme sonucunda çoğu illegal faaliyetin çözümlendirildiğini söyleyebilirim.







Bence bu sebeple de bu işi yapan uzmanlar mail servislerinin çalışma prensibini ve bu mail servislerinin üzerinden nasıl kanıt elde edileceğini iyi bilmelidir.







Mailler, adli analiz yapacak uzmanlara oldukça kolaylık sağlar diyebilirim.



Fake olmadığı sürece başlık bilgisinde göndericinin ismi yer alır, hadi diyelim ki isim fake yine aynı başlıkta gönderici maili de yer alır buradan yola çıkarak adli anlamda çok fazla işlem yapılabilir.







Bunların haricinde göndericinin IP adresini hatta hangi cihaz ile mail gönderdiğini uzmanlar bulabilirler.







Ancak bu IP adresleri proxy sunucularından birisine ait ise iş biraz yokuşa sürülmüş olabilir.



Çünkü maili yollayan kişinin IP adresi proxy sunucularına kayıtlı olacaktır.



Ancak yine bu durumlarda proxy sunucusu kurumundan da tarih ve zaman bilgisi elde edilir ise kullanıcının kullandığı IP tespit edilir.







Yazıcı İncelemeleri






Sistemlerde oluşturduğumuz makale tarzı belgeleri kağıt üzerinde dökmek için kullandığımız araçlardır yazıcılar.



Bir illegal faaliyet için kullanılan yazıcıdan alınan çıktıların üzerinde yapılacak teknik analizlerde alınan çıktıların hangi yazıcıya hangi bilgisayarlardan gönderildiği araştırılır.







Unutulmaması gereklidir ki yazıcıların da kendilerine has hafızaları vardır.



Bu sebeptendir ki, bilişim suçlarında analiz yapılırken bu bölümlerden kanıt elde edilebilir.





Elde Edilen Kanıtların Rapor Haline Getirilmesi








Adli bilişimde son süreç elde edilen verileri, bilgileri rapor haline getirme sürecidir.



Yukarıda anlatımını yaptığım bütün konular genel olarak kabul edilen analiz işlemleridir.



Bunların uygulamaları ile ilgili bir çok konum mevcut bunlara da göz atabilirsiniz.



Konumuza dönecek olursak bütün sürecin kayıt altında tutulması ve rapor haline getirilmesi gerektiğini söylemeliyim.



Kanıtların kabul edilmesi için, bütünlüğünün ve doğruluğunun geçerli olması gereklidir.



Yaşanan bilişim suçu ile ilgili elde edilen kanıtlar belirlenen prensiplere uygun şekilde rapor haline getirilmelidir.



Hazırlanacak rapor oldukça açık ve net bir düzeye sahip olmalı hatta uzmanlar genelde rapor içerisinde teknik terim kullanımına sıcak bakmazlar.



Hazırlanacak raporun içerisinde suçlayıcı ifadeler barındıramaz.



Zaten direkt olarak kanıt gözüyle bakıldığı için raporda sadece suçun işlendiğini gösteren bilgilere yer verilmelidir.



Gerek duyulur ise zaten analizi yapan uzmanlar savcılık ya da mahkemeler tarafından kanıtlar ile ilgili açıklama için çağrılabilir.
Elinize emeğinize sağlık çok güzel bir konu olmuş 👏👏
 

METE _HAN

Katılımcı Üye
16 Eyl 2021
895
565
root💀kali
M9tZWF.png




Öncelikle bu makaleyi hazırlamamdaki sebep uzun bir süredir uygulamalı olarak eğitim konularını açtığım bölümün ne olduğuna tam anlamıyla değinilmemiş olmasıdır.



Adli bilişim İngilizcesi ve yaygın kullanımı ile Forensic, sistemler üstünde depolama (log tutan) yapan cihazların herhangi bir illegal durumda kullanılıp kullanılmadığı ile ilgilenir.




Bu işlemlerde temel amaç sistemler üzerinde bulunan veriler ile(buradaki sistemler akla gelebilecek her türlü dijital aygıttır.) yaşanan illegal faaliyetlerin irtibatlarını çözmektir.



Kanıtların elde edilmesi, muhafaza edilmesi, adli laboratuvarlarda incelenmesi yine adli laboratuvarlarda detaylıca analizlenmesi, rapor haline getirilmesi gibi basamaklar bu işin içinde yer alır.





Neden kanıtlar diyoruz çünkü yukarıda da belirttiğim gibi Adli bilişim direkt olarak işlenmiş bir suç sonrasında arkada bırakılan dijital kanıtlar ile ilgilenir.



Adli bilişim, kanıtların elde geçirildiği çalışma bölümleri, sistemler üstünden yapılan analizler, sabit diskler, USB'ler, CD\DVD' vb. biriktiren cihazlarda hatta mobil aygıtlarda bile uygulanır







Aslında tam olarak şunu söyleyebilirim:



Adli bilişim, "Kim?", "Neden?, "Nerede?", "Ne Zaman?", "Nasıl?", şeklinde sorulabilecek olan tüm sorulara yanıt arar.




Bu alanda yapılan işlemlerin tamamı genel olarak kabul edilen teknikleri kapsar.







Bu şekilde yapılan çalışmalar, kanıt güvenilirliği ve kanıt kabulü bakımından oldukça önem arz eder.







Aslında uygulamalarda genel olarak kabul edilen tekniklerin kullanılmasının en önemli sebebi, diğer kişiler aracılığı ile yapılacak incelemelerden sonra aynı sonuç elde edilecek olmasıdır.







Netice olarak bu bir güvenilirlik sağlayacaktır.(Sağlama yapmak gibi düşünün.)



nnBXTm.png






Adli Bilişim Neden Gereklidir?




Genel olarak adli bilişimin ne olduğuna açıklık getirdiğimi düşünüyorum.



Şimdi ise adli bilişim neden bu kadar önemlidir ve adli bilişime neden ihtiyaç vardır? sorusuna değineceğim.



Çağımızda gelişen teknoloji sonrası verilerin ve belgelerin dijital alanlara geçiş yapması ve bu alanlarda muhafaza edilmesi artık engellenemez bir hale gelmiştir.







Bu veriler ve belgeler üzerinde oynanabilir.



İşte biz tam olarak burada adli bilişimi devreye sokuyoruz.



Üzerinde oynanmış verilerin ya da belgelerin tespiti, analizi ve sunumu özel teknikler gerektirir.



Kanıtların, kanıt özelliğini yitirmeden incelenmesinde adli bilişim büyük rol oynamaktadır.



Peki Dijital Kanıt Nedir?






Dijital kanıt, bilişim sistemleri(Bilgisayarlar, mobil aygıtlar vb.) ve sistemler üstündeki mevcut depolama bölümlerinde yapılan detaylı incelemeler sonrasında elde edilen adli kanıtlardır.







Yalnız, her dijital bulgu adli kanıt özelliği taşımaz.



Bunun için ele geçirilen dijital bulgularda bazı nitelikler aranır.



Nitelikleri de aşağıya sıralayacağım.






Akla yatkınlık ve kabul edilebilirlik



Sahicilik(Sahici delil niteliğine bakılır)



Bütünlük ve Noksansızlık



Güvenilirlik



Yinelenebilirlik



Bu kanıtları elde edebileceğimiz bazı alanları da sıralayacağım.





Veri depolama bölümleri



Silinen dosyalar



USB'ler



GPS cihazları



Geri dönüşüm kutusu aracılığı ile elde edilen bilgiler



Windows kayıt defterinde bulunan kayıtlar



Cep telefonları







Görseller ve Fotoğraflar



Video görüntüleri ve Ses dosyaları



Adli Bilişimin Türleri Nelerdir?





Adli bilişim ortaya çıktığından bu yana 4 alt dalda işlem gerçekleştirmiştir.







Bu bölümler ise; bilgisayar, ağ ve internet, gömülü aygıtlar ve toplumsal ağlardır.





Bilgisayarlar Üzerinden İşlem Yapılması






Ayırdığımız dallardan ilki bilgisayarlar üzerinde işlem yapılmasıydı.



Bilgisayar bölümü yetkililerce en fazla kullanılan daldır.







Bu türde, illegal faaliyet gerçekleştirildikten sonra, olay yerinde bulunan ya da faaliyeti gerçekleştiren kişinin kullandığı, masaüstü, laptop vb. sistemlerin adli birimler tarafından mevzuat uygulanarak güvenliğin temin edilerek, analiz yapılacak laboratuvarlara ulaştırılması, kanıt elde edebilecek kişilerin analiz etmesi, önemli kanıtların elde edilmesi, rapor haline getirilmesi ve sonrasında ise sunulması basamakları yer alır.







Network ve İnternet Sistemleri Üzerinden İşlem Yapılması






Networkler ve internet sistemleri üzerinden gerçekleştirilecek olan ikinci türde, illegal faaliyette bulunan şahısların herhangi bir kurum ya da kuruluşun sistemlerine erişim sağlaması, bu sistemlerde maddi menfaat ya da öylesine eğlence sebebi ile zafiyet yaratmaları sonrasında, bütün sistem kayıtları, bilgisayar sunucularının ve ağ aracılığı ile gönderilen paketlerin analiz edilmesi, suç ile ilişki kurulması ve sonrasında raporlandırılıp gerekli yerlere sunulması yer alır.







Gömülü Cihazlar Üzerinden İşlem Yapılması






Bu işlemde öncelikle gömülü cihazlarda dediğimiz Iphone, Blackberry ya da Ipad tarzı aygıtların illegal faaliyetlerde kullanılması, kullanan kişiye ait aygıtın ele geçirilmesi, yardımcı yazılımlar ile bu aygıtların içerisinde kanıt sayılabilecek verilerin elde edilmesi, suç ile ilişiği yapılması ve daha sonra raporlanıp gerekli yere teslim edilmesi basamakları uygulanır.





Sosyal Ağlar Üzerinden İşlem Yapılması






Sosyal ağların incelenmesi, aslında daha yeni yeni bir adli bilişim türevi olarak kabul görmeye başlamıştır.







İnternette yeni yeni çoğalan sosyal medya ve paylaşım forumları sistemleri üstünden işlem yapılması diyebiliriz.



Bu bölüm genel olarak, sosyal ağlar ya da sosyal medya üstünden, aranan kişilerin takibini, malware yazılım yayma, insan ticareti veya çok yaygın olan dolandırıcılık faaliyetlerini tespit etmek için sonrasında gerekli işlemlerin yapılması için kullanılır.





RwznzT.png






ADLİ BİLİŞİM TEKNİKLERİ






Teknolojinin de yardımı ile günümüzde adli bilişim uygulamalarının kanıt olarak görebileceği verilerin yalnızca bilgisayarlarda bulunmadığı ortaya çıkmıştır.



Yukarıda maddeler halinde belirttiğim her bölümde adli bilişim işlemi yapılabilir.







Ancak hala en büyük kanıtlar kişisel bilgisayarlardan toplanmaktadır.



Çünkü bilgisayarlar silinen kayıt dosyaları, tarama geçmişleri, sistemsel loglar, kullanıcı hesap ve şifreleri gibi çoğu bilgiyi barındırır.



Diğer aygıtlarda da çok ciddi kanıtların elde edildiği vakalar olmuştur ancak bunların boyutları genelde bilgisayarlar üzerinden elde edilen kanıtlar kadar büyük değildir.



Bu yüzden bilgisayarlar adli vakalarda çok büyük önem taşırlar.



Bilgisayarlar demişken gelelim bilgisayarlar aracılığı ile yapılan uygulamaya.





Bilgisayar Üzerinden Forensic






Yukarıda da belirttiğim üzere en çok incelemenin yapıldığı kısma değineceğim.



Adli bilişim ile ilgili illegal faaliyette bulunan kişilerin analizlerinde en çok kişisel bilgisayarları kullanılır.



Ve genel olarak faaliyetler ile ilişkili en önemli kanıtlar bu kişisel bilgisayarlardan elde edilmektedir.



Sonuçta bilgisayarlar gizli ya da gizli olmayan şekilde çok ciddi derecede veri barındırırlar.



Düşünsenize mailler, kendine has loglar, sabit disklerde bulunan loglar vb.



Burada sıraladığım verileri de kendi içinde ikiye ayırabiliriz.



Kalıcı olan ve kalıcı olmayan veriler.



Kalıcı olmayan veriler sistemler kapatıldığında yok olurlar.

Bu sebeple kanıt olarak bakılacak verilere erişmek zor olabilir.



Kalıcı olan veriler ise genelde sabit disklerde yer alan verilerdir.



Hatta bilgisayar tarafından oluşturulan sistem dosyaları da disk içerisinde bulunurlar.



Bu dosyalar bilgisayarın kayıt dosyaları, gizlenmiş dosyaları, yedekleme dosyaları gibi şeylerdir.





Ağ Üzerinden Forensic






Ağ üzerinden yapılacak işlem, belirlenen bir sistemin içinde bulunan Lokal, Geniş Alan Ağı ya da İnternet Ağı paketlerinin gözlemlenmesi, incelenmesi ve akabinde elde edilen sonuçların rapor halinde gerekli yerlere ulaştırılması işlemidir.







Ağ düzeyinde yapılan analizler, genelde paket bazında anlık ya da depolanarak, bazı zaman çizelgelerine göre yapılır.







Bu işlemi yapacak uzmanlar ağın temelini iyi bilmeli, sistem üstünde mevcut olan verilerin yer, zaman, tür gibi detaylarının ne kadar önemli olduğunu açıklayabilmeli, sabit disk üstünde işletim sistemi de düşünülerek hangi kısımlara bakılacağını önceden belirlemiş olmalı, tarayıcıların geçmişine ya da geçici verilere, sistem üzerinde son işlem yapılan bölümlere hakim olmalılardır.







Mobil Cihazların Üzerinden Forensic






Yaşadığımız dönemde cep telefonlarının büyük belleklere sahip olması, mail yolu ile iletişim kurabilmesi, mesajlaşma sistemi kullanabilmesi, resim, video kaydı alabilmesi, ses kaydı yapabilmesi gibi birden fazla niteliğe sahip olması, bu aygıtların kanıt aracı olduğunu göstermektedir.







Verilerin çoğu cep telefonlarının kendi belleklerinde kayıt alında tutulmaktadır ve bu veriler silinebilme özelliği de taşır.



Tabii ki bu belleklerden veri kurtarma işlemi de mümkün olduğundan bu cihazlara adli bilişim incelemelerinde yer verilmiştir.



FGyU5F.png








Bu Teknikler Haricinde İnceleme Yapılabilecek Diğer Bölümler






Mail İncelemeleri





Bulunduğumuz dönemde mail kullanmayan insan sayısı neredeyse sıfır diyebiliriz.





Çünkü mail kullanmak bilgi paylaşmanın en basit yoludur.



Bu sebeple şahıslar, şirketler hatta kamu kuruluşları bile mail adresleri aracılığı ile bilgi aktarımı yaparlar.







Yani bizim buradan çıkaracağımız sonuç mail ortamları illegal faaliyetler için oldukça uygun ortamlardır.



Şüpheli bir mail üzerinde düzgün bir inceleme sonucunda çoğu illegal faaliyetin çözümlendirildiğini söyleyebilirim.







Bence bu sebeple de bu işi yapan uzmanlar mail servislerinin çalışma prensibini ve bu mail servislerinin üzerinden nasıl kanıt elde edileceğini iyi bilmelidir.







Mailler, adli analiz yapacak uzmanlara oldukça kolaylık sağlar diyebilirim.



Fake olmadığı sürece başlık bilgisinde göndericinin ismi yer alır, hadi diyelim ki isim fake yine aynı başlıkta gönderici maili de yer alır buradan yola çıkarak adli anlamda çok fazla işlem yapılabilir.







Bunların haricinde göndericinin IP adresini hatta hangi cihaz ile mail gönderdiğini uzmanlar bulabilirler.







Ancak bu IP adresleri proxy sunucularından birisine ait ise iş biraz yokuşa sürülmüş olabilir.



Çünkü maili yollayan kişinin IP adresi proxy sunucularına kayıtlı olacaktır.



Ancak yine bu durumlarda proxy sunucusu kurumundan da tarih ve zaman bilgisi elde edilir ise kullanıcının kullandığı IP tespit edilir.







Yazıcı İncelemeleri






Sistemlerde oluşturduğumuz makale tarzı belgeleri kağıt üzerinde dökmek için kullandığımız araçlardır yazıcılar.



Bir illegal faaliyet için kullanılan yazıcıdan alınan çıktıların üzerinde yapılacak teknik analizlerde alınan çıktıların hangi yazıcıya hangi bilgisayarlardan gönderildiği araştırılır.







Unutulmaması gereklidir ki yazıcıların da kendilerine has hafızaları vardır.



Bu sebeptendir ki, bilişim suçlarında analiz yapılırken bu bölümlerden kanıt elde edilebilir.





Elde Edilen Kanıtların Rapor Haline Getirilmesi








Adli bilişimde son süreç elde edilen verileri, bilgileri rapor haline getirme sürecidir.



Yukarıda anlatımını yaptığım bütün konular genel olarak kabul edilen analiz işlemleridir.



Bunların uygulamaları ile ilgili bir çok konum mevcut bunlara da göz atabilirsiniz.



Konumuza dönecek olursak bütün sürecin kayıt altında tutulması ve rapor haline getirilmesi gerektiğini söylemeliyim.



Kanıtların kabul edilmesi için, bütünlüğünün ve doğruluğunun geçerli olması gereklidir.



Yaşanan bilişim suçu ile ilgili elde edilen kanıtlar belirlenen prensiplere uygun şekilde rapor haline getirilmelidir.



Hazırlanacak rapor oldukça açık ve net bir düzeye sahip olmalı hatta uzmanlar genelde rapor içerisinde teknik terim kullanımına sıcak bakmazlar.



Hazırlanacak raporun içerisinde suçlayıcı ifadeler barındıramaz.



Zaten direkt olarak kanıt gözüyle bakıldığı için raporda sadece suçun işlendiğini gösteren bilgilere yer verilmelidir.



Gerek duyulur ise zaten analizi yapan uzmanlar savcılık ya da mahkemeler tarafından kanıtlar ile ilgili açıklama için çağrılabilir.
Forumda dolaşırken denk geldim , gerçekten efsane bir konu.!
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.