Adli Bilişim ve Adli Bilişim Araçları

Adli Bilişim 101
Ahmet Gürel
Adli Bilişim Nedir?
Computer/Digital Forensics

Sunum Kazanımları
Adli Bilişimin Kullanım Alanları
Adli Bilişim Dalları
Adli Bilişim Uzmanlığı ve Sertifikasyonları
Adli Bilişimde Delil Türleri
Adli Bilişim Olayı İncelenmesi ve Raporu
Adli Bilişimde Kullanılan Araçlar
Adli Bilişim Hukuku

Yurt dışında Digital Forensics olarak geçen ve Türkiyede Adli Bilişim olarak yerleşmiş bir Siber
Güvenlik alanıdır.
Adli bilişim, elektromanyetik ve elektrooptik ortamlarda muhafaza edilen veya bu ortamlarca iletilen
ses, görüntü, veri, bilgi veya bunların birleşiminden oluşan her türlü bilişim nesnesinin, mahkemede
sayısal delil niteliği taşıyacak şekilde tanımlanması, elde edilmesi, saklanması, incelenmesi ve
mahkemeye sunulması çalışmaları bütünüdür.
Adli bilişim olarak geçmesine rağmen bu alan her zaman adli,idari bir vaka olmak zorunda
değil.Örneğin günümüzde çocuğunun bilgisayarını inceleyip neler yaptğını merak,eden hangi sitelere
girip kimlerle konuştuğunu öğrenmek içinde adli bilişimden ve adli bilişim uzmanlarından faydalanabilir.

●Hukuksal uyuşmazlık veya yargılamalarla ilgili incelemeler
●Veri saklama(Koruma)
●Veri silme(Geri getirilemeyecek şekilde imha etme)
●Veri kurtarma(yanlışlıkla silme, veya yazılımsal veya donanımsal arızalardan dolayı veri kaybı gibi durumlarda)
●Şifreleme(verinin güvenli bir şekilde taşınmasını/muhafazasını sağlama)
●Şifre Çözme(şifrelenmiş ve ulaşılamayan veriye ulaşmayı sağlama)
●Gizlenmiş dosya bulma

●Stenografi(Veri altına gizlenen verinin tespiti)
●Suiistimal önleme, tespit ve inceleme çalışmaları
●Soruşturmalar (Yasal / Şirket içi)
●Finansal denetimler
●İç Denetim Çalışmaları
●İç Kontrol Çalışmaları
●Kontrol testleri
●Ticari anlaşmazlıkların incelenmesi ve analizi
●Fikri haklar ile ilgili uyuşmazlıklar
●Performans ölçümleri

Adli Bilişim(Digital Forensics) Dalları
* Bilgisayar Adli Bilimi (Computer Forensics)
* Dosya Sistemi Adli Bilimi (File System Forensics)
- FAT12, FAT16, FAT32 Forensics
- NTFS Forensics
- exFAT Forensics
- HFS+ Forensics
- EXT2, EXT3, EXT4 Forensics
* İşletim Sistemi Adli Bilimi (OS Forensics)
- Windows Adli Bilimi (Windows Forensics)
- Unix&Linux Adli Bilimi (Unix&Linux Forensics)
- MacOSx Adli Bilimi (MacOSx Forensics)
* Ağ Adli Bilimi (Network Forensics)
* Mobil Cihaz Adli Bilimi (Mobile Forensics)
* Kötü Yazılım Adli Bilimi (Malware Forensics)
* Geçici Bellek Adli Bilimi (Memory Forensics)
* Medya Aygıtları Adli Analizi (Media Device Forensics)
* Sosyal Ağ Adli Bilimi (Social Network Forensics)

Adli Bilişim Uzmanlığı ve Bilirkişi
Adli bilişim uzmanlığı bir kere olunacak ve öyle kalacak durağan bir şey değil.Sürekli kendini geliştirip
yenilikleri ve teknolojiyi sürekli takip etmesi gerekiyor.
Bundandır ki Adli Bilişim ile ilgili verilen sertifikaların çoğu belirli periyodlarla yenilenmektedir.Yeniden
sınava girip güncel halini almalıdırlar.

Adli Bilişim Uzmanından Beklenenler:
Bu alanda çalışıp Adli Bilişim uzmanı olmak için yüzlerce farklı program,uygulama,protocol,dosya
sistemi,format,data tipi,algoritma,cihaz bilmek gerekiyor.
Bu alan onun için bir çok alanı içinde barındaran bir alandır.(Sistem bilgisi,Ağ bilgisi,Veritabanı
bilgisi,Kripto ve şifreleme gibi alanları bilmesi ve öğrenmesi gerekir.)
Bir kişinin bu alanların hepsinde uzman olması neredeyse imkansız onun için işine yaracak seviye bilip
kullanması sürekli yeni şeyler öğrenmesi önemlidir.

Adli Bilişim Uzmanından Beklenenler:
· Veri kurtarma
· Veri imha etme
· Veri saklama
· Veri dönüştürme
· Şifreleme
· Şifre çözme
· Gizlenmiş dosya bulma

Adli Bilişim Sertifikasyonları:
Adli Bilişim alanında çalışan kişilerin uzmanlığını ve bilgi düzeyini kanıtlamak için kullandığı
sertifikasyonlar vardır.
1-EnCase Certified Examiner (ENCE)
Guidance Software’in EnCase yazılımı tüm dünyaca kabul görmüş ve kanun uygulayıcılar tarafından
en çok tercih edilen dijital delil inceleme yazılımlarından bir tanesidir.Firmanın bu belgesi 2 aşamalı sınav ile yazılımın kullanımını
sertifikalamaktadır.3 yıl süre ile geçerlidir daha sonra yeniden girmeniz gerekmektedir.
2- Certified Forensic Computer Examiner (CFCE)

3-AccessData Certified Examiner (ACE)
4-Certified Computer Examiner (CCE)
5-Computer Hacking Forensic Investigator (CHFI) (KIMSE ALMASIN :)
Bilişim güvenliği alanında çalışmalar yapan profesyonellerin çok iyi bildiği başta CEH gibi Etik Hacker eğitim serisi
ve sertifikasyonu haricinde başka birçok bilişim güvenliği sertifikasyonu sunan EC-Council organizasyonunun Adli Bilişim alanında uzmanları
tasdik eden sertifikasyonu da CHFI dir.

6-Certified Computer Crime Investigator (CCCI)
7-Certified Cyber Forensics Professional – (CCFP)
8-GIAC Certified Forensic Analyst and Examiner (GCFA & GCFE)

Adli Bilişimde Delil Türleri ve İncelenmesi
DİJİTAL DELİL ÖZELLİKLERİ:
Kolaylıkla ve hızla sınırları aşabilir
Kolaylıkla değiştirilebilir, zarar verilebilir veya silinebilir
Zamanla sınırlıdır

Bilgisayar Sistemleri (desktop, laptop, server)
Bilgisayar Bileşenleri (HDD, Memory)
Erişim Kontrol Araçları (Smart kartlar, dongle, biometrik tarayıcılar)
PDA ve Palm Cihazları
Harici Harddiskler
Hafıza Kartları

Network Araçları (Modem, Switch, Router)
Yazıcılar,Tarayıcılar ve fotokopi makinaları
Çıkarılabilir Yedekleme Üniteleri (Disket, CD, DVD, USB)
Kredi Kartı Okuyucuları
Dijital Saatler, Dijital Kameralar
Çağrı Cihazları, Telefonlar, GPS

Adli Bilişim Süreçleri:
İnceleme (Examination)
Toplama (Collection)
Çözümleme (Analysis)
Raporlama (Reporting)

Olay Yeri İnceleme ve Tanımlama Aşaması
●Tüm açılardan bilgisayarın resimleri ve bilgisayarın bağlı olduğu ağa ait bağlantıların ve ortamın resimleri çekilmedir.
●Tüm ağlantılar etiketlenmelidir ki herhangi bir simülasyon-benzetim sürecinde ortamın aynısı oluşturulabilsin.
●Bilgisayar eğer bir ağa bağlı ise ağdan ayrılmalı ve güvenli bir bölgeye götürülmelidir.

●Önemli bir nokta şüpheli bilgisayarın tekrardan başlatılması ve herhangi bir uygulamanın çalıştırılma sürecidir. Çünkü
sistemin düzgün olarak yeniden başlatılamaması BIOS ve tarih/saat gibi önemli bilgilerin değişmesine neden olabilir.
Yeniden başlama sürecinde bazı önemli dosyaların yeniden oluşmasını ya da kapatılmamış bir dosyanın
kaydedilmeden ortadan kalkmasını yada Windows’a ait ‘swap’ dosyaların yok olmasına neden olabilir.
Yani bilgisayarın yeniden başlatılması kanıt olarak sunacağımız delillerin yok olmasına neden olabilir.
●Başka önemli bir nokta ise bilgisayarın laboratuara götürülürken nasıl kapatılacağıdır. Fiş çekilerek de kapatılabilir ya
da uygun prosedürler yapılarak da kapatılabilir bu da birçok delilin yok olmasına neden olacak bir süreç olarak
karışımıza çıkmaktadır.

●Araştırmacı hiç bir delilin zarar görmediğinden ya da yok olmadığından emin olmalıdır.
●Kanıtlar; yazıcı çıktı gibi fiziksel sunular olabileceği gibi CD, flaş bellek, zip dosyası ya da herhangi bir sayısal veri
olarak ta sunulabilir.
●Şüpheli bilgisayardaki tüm deliller uygun bir şekilde kopyalanmalı ve yeterli bir diskte yedeklenmelidir. Bu nedenle
kopyalama aşamasından herhangi bir eksik veri kaydedilmemesi ya da veri kaybı olmaması için yedeklenecek diskin
şüpheli bilgisayar diskinden büyük olması gerekmektedir.
●Araştırmacı haricinde hiç kimse şüpheli bilgisayara erişememelidir.
●Veriler düzgün bir şekilde klon edilmelidir bunun için birçok program bulunmaktadır.
●Klon edilen verilerin ‘hash’leri alınmalıdır.
a.SHA
b.MD5

Delil Toplama Aşaması
Bu aşama ise, kanıtların toplanması ve yeni kanıtların elde edilmesi aşamasıdır.

Delil Toplama Aşaması
●Öncelikli olarak klonlanmış veri, bu verilere erişim yetkileri ve bütünlüğü kontrol edilmelidir.
●Bu aşama silinmiş verilerin yeniden kurtarılması ve şifrelenmiş verilerin şifre çözme aşamasını içermektedir.
●Tüm analiz ve incelemeler orijinal kaynağın doğruluğunun korunması için klon edilmiş veriler üzerinden yapılmalıdır
●Analizci doğu kanıtları bulabilmek için tüm dosyaları analiz etmelidir.
oNormal dosyalar
oSilinmiş dosyalar
oGizli dosyalar
oŞifreli dosyalar
o Şifre korumalı dosyalar
oGeçici, ‘swap’ ya da uygulama ve uygulamaların kullandığı dosyalar
oİşletim sistemi dosyaları
●Eğer şüpheli dosyalar biliniyorsa bunlar içinde de arama yapılmalıdır. Mesela txt dosyaları içinde aramalar yapılmalıdır
bunun için birçok program mevcuttur (Powergrep vb.). Pornografi amaçlı deliller aranıyorsa görüntü ya da video
dosyaları aranmalıdır ki, bu sürenin kısalmasını sağlayacaktır.

Çözümleme-Analiz Aşaması
●Tüm analizler kanıt elde edilmek için kullanılan bilgisayardan farklı bir bilgisayarda yapılmalıdır.
●Sadece klonlanmış kanıtlar kullanılmalıdır.
●Orijinal veri ile elde edilen deliller arasında bütünlük ve içerik doğrulama sağlanmalıdır.
●Analiz sürecinde kullanılan her yazılım, donanımınn ve aracın uygun bir şekilde ne amaçla kullandıkları dâhil olmak
üzere dökümante edilmelidir.
●Şüpheli bilgisayardan elde edilen tüm dosya, program, uygulama tarih ve saat bilgisi de yazılarak kayıt altına
alınmalıdır.
●En çok aranan nesneler için bir liste oluşturulmalıdır. Tüm hard disk ve diskler için yapılacak delil arama sürecinde bu
anahtar sözcüklerle yeniden arama yapılmalıdır

Raporlama Aşaması
Adli bilişim sürecindeki son aşama toplanmış kanıtların adli makamlara sunulması aşamasıdır.
●Her şeyden önce kanıtların delil olarak kabul edilmesi için bulunan kanıtlar adlı kurallara uygun olmalı ve yasal
örneklerden oluşmalıdır.
●Mahkemece kabul edilmesi için en büyük öncelik delillerin bütünlük ve doğruluğudur.
●Analizci tüm delillerin şüpheli bilgisayardan alındığını bu işlem sırasında hiçbir yasadışı sürecin yaşanmadığını
raporlar halinde adli makamlara sunmalıdır.
●Tüm deliller çok net ve açık olmalıdır.
●Tüm araştırma sonucunda verilecek raporda en başındaki süreç de dahil olmak üzere her bir an raporlanmalı ve bu
rapor da mahkemeye sunulmalıdır

Adli Bilişimde Kullanılan Araçların Özellikleri
1- Bit-stream imaj alabilmeli
2- Orjinal diskte değişiklik yapmamalı
3- Kullanımı basit ve kolay öğrenilir olmalı
4- IDE, SCSI ve SATA arabirimlerine ulaşabilmeli
5- Disk imaj dosyalarının bütünlüğünü doğrulayabilmeli
6- İnceleme programları tarafından kullanılabilir olmalı
7- Girdi-Çıktı Hataları (I/O Errors) gösterebilmeli
8- Hızlı imaj almayı desteklemeli
9- Sıkıştırma fonksiyonları olmalı
10- Raporlaması anlaşılır olmalı
**Analiz için kullanacağınız araçların Adli Bilişim kurallarına göre bu özellikleri sağlaması gerekmektedir.

Imaj Almak Neden Önemli?
Öncelik ile neden format atılmış bir diskin imajını alıp recovery yapıyoruz da, direkt olarak bu diskimizin üzerinde
recovery programlarını kullanmıyoruz ?
Recovery programları diskteki verilerin adreslerini belirten metedata bilgilerini değiştirmektedir.Bu yüzden kullandığınız
programlar ile orjinal diskte işlem yaparsanız farklı bir program ile kurtarabileceğiniz datanızın metadata bilgisini silip, o
veriye hiç ulaşamayabilirsiniz.
Bunun için imaj alıp o imaj uzerinde programları deneyerek en doğru şekilde en çok veriyi kurtarabilir,analiz edebiliriz.

Adli Bilişim Araçları
SOFTWARE IMAGE PROGRAMLARI:
Safeback v3
**Encase v 4.20
Forensic Replicatorv 3.1
PDA Seizure v 3.0.1.35
Pdd (Palm dd, Windows, Free)
Forensic Toolkit (FTK) v 1.50
WinHex v 12.0NTI
Image (DOS)
SMART (Linux Redhat)
ByteBack (DOS) v 3
Anadisk v 2.10
ILook v 8.0.8AIR-(Linux-Free)
Automated Image & Restore
Forensic Explorer
Sans

Linux’ta DD ile İmaj Alma
DD Hakkında
Bir sabit diskin veya usbflash, cd dvd imajını sistemlerde dd ve cat kullanarak alabilirsiniz. ve aynı şekildede
yükleyebilirsiniz… dd alt seviyede kopyalama yaptığından dosya sistemi ve dosyalarla ilgilenmeksizin sabit diskin en
başından itibaren bit bit tüm diski boş alanlarda dahil olmak üzere kopyalar. yani kopyaladığımız alanın büyüklüğü ne
kadarsa imaj boyutuda o olacaktır. ikilik düzeyde yapılan bir yapıdadır. disklerde hedef ve kaynak aynı boyutta
olmalıdır.
DD komutu if ve of olmak üzere iki temel parametre alır. Diğer parametreler ise isteğe bağlıdır.
If bilgisi burada kaynak aygıt/partition u, of ise hedefi göstermektedir.

Linux’ta DD ile İmaj Alma
Disk Bölümlerini sudo fdisk -l ile görebilirsiniz.
# dd if=/dev/sda of=/home/ahmet-gurel/Desktop/disk.img
# dd if=/dev/sdb of=/home/ahmet-gurel/disk.img bs=10M --Bs saniyede kaç byte ile işlemin gerçekleştirileceğini
belirtmektedi
# dd if=/dev/sda of=home/ahmet-gurel/Desktop/disk.img conv=noerror Conv= hata olursada kopyalamaya devam et

Linux’ta Cat ile Imaj Alma
Disk imajı alma : cat /dev/sdc/ > ~/backup.iso
Iso surucuye aktarma : cat backup.iso > /dev/sdb5
**Bu yöntem genellikle tercih edilmez.**

HARDWARE IMAGE CİHAZLARI:
DIBS RAID (Rapid Action Imaging Device)
Image MASSter Solo III
Logicube
Tableau
SİLİNMİŞ DOSYALARIN KURTARILMASI:
** ENCASE
**FTK
Restorer
R-Studio
PC Inspector™ File Recovery
Active Partition Recovery
Scalpel

UNALLOCATED ALANDA YER ALAN DOSYALARIN ÇIKARILMASI:
**ENCASE
**FTK
Restorer
R-Studio
Autopsy
Smart
GİZLİ BİLGİLERİN BULUNMASI:
**Encase
**FTK
FILTER_I V.4.1
GETSLACK, GETFREE
TextSearch Plus

ENCRYPT(ŞIFRELI) DOSYALAR BULMAK İÇİN:
**FTK
Accent P.R.
John The Ripper
Rixler
Office P.R.
Elcomsoft
Ophcrack
GİZLENMİŞ VERİLERİ BULMAK İÇİN:
FILTER_I V.4.1
**FTK
GETSLACK, GETFREE
TextSearch Plus
* *Encase

STEGONAGRAFI(VERİ GİZLEME) UYGULANMIŞ VERİLERİN TESBİTİ:
BlackYard
DriveCrypt
EzStego
S-Tools
Image Hide
Hide and Seek

ZARARLI KODLARI İNCELEMEK İÇİN:
**Encase
**FTK
QuickView Plus
PSTools
ChkRootKit
Fport ve Netstat
Pedestal Software
Camuflage

Adli Bilişim Hukuku
Arama, Kopyalama ve Elkoyma Hakkında Kanun
5271 S.lı Ceza Muhakemesi Kanunu MADDE 134
(1) Bir suç dolayısıyla yapılan soruşturmada, başka surette delil elde etme imkânının bulunmaması halinde, Cumhuriyet savcısının istemi
üzerine şüphelinin kullandığı bilgisayar ve bilgisayar programları ile bilgisayar kütüklerinde arama yapılmasına, bilgisayar kayıtlarından kopya
çıkarılmasına, bu kayıtların çözülerek metin hâline getirilmesine hâkim tarafından karar verilir.
(2) Bilgisayar, bilgisayar programları ve bilgisayar kütüklerine şifrenin çözülememesinden dolayı girilememesi veya gizlenmiş bilgilere
ulaşılamaması halinde çözümün yapılabilmesi ve gerekli kopyaların alınabilmesi için, bu araç ve gereçlere elkonulabilir. Şifrenin çözümünün
yapılması ve gerekli kopyaların alınması halinde, elkonulan cihazlar gecikme olmaksızın iade edilir.
(3) Bilgisayar veya bilgisayar kütüklerine elkoyma işlemi sırasında, sistemdeki bütün verilerin yedeklemesi yapılır.
(4) İstemesi halinde, bu yedekten bir kopya çıkarılarak şüpheliye veya vekiline verilir ve bu husus tutanağa geçirilerek imza altına alınır.
(5) Bilgisayar veya bilgisayar kütüklerine elkoymaksızın da, sistemdeki verilerin tamamının veya bir kısmının kopyası alınabilir. Kopyası alınan
veriler kâğıda yazdırılarak, bu husus tutanağa kaydedilir ve ilgililer tarafından imza altına alınır.

Bu aşamada olarak içinde silinmiş dosyalar olan bir usb belleğin imajını alarak önce imajını inceleyeceğiz.
Daha sonra bu imajdan silinmiş dosyaları kurtaracağız.
DEMO

Zaman ayırdığınız için Teşekkürler...
Ahmet Gürel
Blog: www.gurelahmet.com
Linkedin: https://tr.linkedin.com/in/ahmetgurell
Github: https://github.com/ahmetgurel
Sunumlar: http://www.slideshare.net/AhmetGrel1
Mail: ahmet@gurelahmet.com | ahmetgurel.yazilim@gmail.com

Faydalandığım Kaynaklar:
1-https://tr.wikipedia.org/wiki/Adli_bili%C5%9Fim
2-http://www.telepati.com.tr/agustos12/konu8.htm
3-http://kaabus.wordpress.com/2009/06/01/adli-bilisim-programlari
4-http://www.ekizer.net/adli-bilisim-sertifikasyonlari/
5-http://www.ekizer.net/adli-bilisim-computer-forensics/

Adli Bilişim ve Adli Bilişim Araçları

More Related Content

What's hot (20)

Similar to Adli Bilişim ve Adli Bilişim Araçları (20)

Adli Bilişim ve Adli Bilişim Araçları