Olay yerinin boyutlandırılmasından ipuçlarının aranmasına ve verilerin anlatacağı hikâyenin bir araya getirilmesine kadar dijital adli bilişim yani siber dünyanın CSI’ı nasıl çalışır, gelin beraber bakalım.
Gelişmekte olan dijital adli bilişim alanı, çok çeşitli siber suçların ve diğer siber güvenlik olaylarının soruşturulmasında çok önemli bir rol oynamaktadır. Gerçekten de teknoloji merkezli dünyamızda, ‘geleneksel’ suçların soruşturmaları bile genellikle geri alınmayı ve analiz edilmeyi bekleyen bir dijital kanıt unsuru içerir.
Dijital kanıtları ortaya çıkarma, analiz etme ve yorumlama sanatı, özellikle çeşitli dolandırıcılık ve siber suçlar, vergi kaçakçılığı, takip, çocuk istismarı, fikri mülkiyet hırsızlığı ve hatta terörizmle ilgili soruşturmalarda önemli bir büyüme göstermiştir. Ayrıca dijital adli tıp teknikleri kuruluşların veri ihlallerinin kapsamını ve etkisini anlamalarına ve bu olaylardan daha fazla zarar görmelerini önlemeye yardımcı olur.
Bunu akılda tutarak, dijital adli bilişim, suç soruşturmaları, olaylara müdahale, boşanma ve diğer yasal işlemler, çalışanların suiistimal soruşturmaları, terörle mücadele çabaları, dolandırıcılık tespiti ve veri kurtarma dahil olmak üzere çeşitli bağlamlarda bir rol oynamaktadır.
Şimdi dijital adli bilişim araştırmacılarının dijital suç mahallini tam olarak nasıl boyutlandırdıklarını, ipuçlarını nasıl aradıklarını ve verilerin anlatması gereken hikayeyi nasıl bir araya getirdiklerini inceleyelim.
1. Kanıtların toplanması
Her şeyden önce kanıtlara ulaşmanın zamanı geldi. Bu adım, dijital kanıt kaynaklarının belirlenmesi ve toplanmasının yanı sıra olayla bağlantılı olabilecek bilgilerin tam kopyalarının oluşturulmasını içerir. Aslında orijinal verileri değiştirmekten kaçınmak ve uygun araç ve cihazların yardımıyla bit-bit kopyalarını oluşturmak önemlidir.
Analistler daha sonra silinmiş dosyaları veya gizli disk bölümlerini kurtarabilir ve sonuçta diske eşit boyutta bir görüntü oluşturabilir. Tarih, saat ve zaman dilimi ile etiketlenen örnekler, onları dış etkenlerden koruyan ve bozulmayı ya da kasıtlı kurcalamayı önleyen kaplarda izole edilmelidir. Cihazların ve elektronik bileşenlerinin fiziksel durumunu belgeleyen fotoğraflar ve notlar genellikle ek bağlam sağlamaya ve kanıtların hangi koşullar altında toplandığını anlamaya yardımcı olur.
Süreç boyunca eldiven kullanımı, antistatik torbalar ve Faraday kafesleri gibi sıkı önlemlere bağlı kalmak önemlidir. Faraday kafesleri (kutular veya torbalar), kanıtların bütünlüğünü ve güvenilirliğini sağlamak ve verilerin bozulmasını veya tahrif edilmesini önlemek için özellikle cep telefonları gibi elektromanyetik dalgalara duyarlı cihazlarda kullanışlıdır.
Uçuculuk sırasına uygun olarak, örneklerin toplanması en uçucudan en az uçucuya doğru sistematik bir yaklaşım izlemektedir. İnternet Mühendisliği Görev Gücü’nün (IETF) RFC3227 kılavuzunda da belirtildiği gibi, ilk adım bellek ve önbellek içerikleriyle ilgili verilerden potansiyel kanıtların toplanmasını içerir ve arşiv ortamındaki verilere kadar devam eder.
2. Veri koruma
Başarılı bir analizin temellerini atmak için toplanan bilgiler zarar görmekten ve tahrif edilmekten korunmalıdır. Daha önce de belirtildiği gibi, asıl analiz asla doğrudan ele geçirilen numune üzerinde yapılmamalıdır; bunun yerine analistlerin, analizin daha sonra üzerinde yapılacağı verilerin adli görüntülerini (veya tam kopyalarını veya replikalarını) oluşturmaları gerekir.
Dolayısıyla bu aşama, numunenin yeri ve tarihinin yanı sıra onunla tam olarak kimin etkileşime girdiğini belgeleyen titiz bir kayıt olan “gözetim zinciri” etrafında döner. Analistler, soruşturma için yararlı olabilecek dosyaları kesin olarak tanımlamak için hash tekniklerini kullanır. Hash’ler aracılığıyla dosyalara benzersiz tanımlayıcılar atayarak, kanıtın gerçekliğinin izlenmesine ve doğrulanmasına yardımcı olan dijital bir ayak izi oluştururlar.
Özetle, bu aşama sadece toplanan verileri korumak için değil, aynı zamanda gözetim zinciri aracılığıyla titiz ve şeffaf bir çerçeve oluşturmak için tasarlanmıştır ve tüm bunlar analizin doğruluğunu ve güvenilirliğini garanti etmek için gelişmiş hash tekniklerinden yararlanır.
3. Analiz
Veriler toplandıktan ve muhafazası sağlandıktan sonra, dedektiflik işinin özüne ve gerçekten teknoloji ağırlıklı kısmına geçme zamanı gelmiştir. Araştırmacılar olay veya suç hakkında anlamlı içgörüler ve sonuçlar çıkarmak için toplanan kanıtları incelerken özel donanım ve yazılımların devreye girdiği yer burasıdır.
“Oyun planına” rehberlik edecek çeşitli yöntem ve teknikler vardır. Bunların asıl seçimi genellikle soruşturmanın niteliğine, incelenen verilere ve analistin yeterliliğine, alana özgü bilgi ve deneyimine bağlı olacaktır.
Gerçekten de dijital adli bilişim teknik yeterlilik, araştırma zekası ve detaylara gösterilen dikkatin bir kombinasyonunu gerektirir. Analistler, son derece dinamik olan dijital adli tıp alanında etkin kalabilmek için gelişen teknolojileri ve siber tehditleri yakından takip etmelidir.
Gerçekte ne aradığınız konusunda hassasiyet ve netlik de aynı derecede önemlidir. İster kötü niyetli faaliyetlerin ortaya çıkarılması, ister siber tehditlerin belirlenmesi veya yasal işlemlerin desteklenmesi olsun, analiz, soruşturmanın iyi tanımlanmış bir hedefi tarafından bilgilendirilir.
Zaman çizelgelerinin ve erişim günlüklerinin incelenmesi bu aşamada yaygın bir uygulamadır. Bu, olayların yeniden yapılandırılmasına, eylem dizilerinin oluşturulmasına ve kötü niyetli faaliyetlerin göstergesi olabilecek anormalliklerin belirlenmesine yardımcı olur. Örneğin, RAM’in incelenmesi diskte depolanmamış olabilecek uçucu verilerin tespit edilmesi için çok önemlidir. Bu, aktif süreçleri, şifreleme anahtarlarını ve soruşturmayla ilgili diğer uçucu bilgileri içerebilir.
4. Dokümantasyon
Bu aşamadan önce tespit edilen tüm eylemler, eserler, anormallikler ve her türlü model mümkün olduğunca ayrıntılı bir şekilde belgelenmelidir. Aslında, dokümantasyon başka bir adli tıp uzmanının analizi tekrarlayabileceği kadar ayrıntılı olmalıdır.
Araştırma boyunca kullanılan yöntem ve araçların belgelenmesi şeffaflık ve tekrarlanabilirlik açısından çok önemlidir. Başkalarının sonuçları doğrulamasına ve izlenen prosedürleri anlamasına olanak tanır. Müfettişler, özellikle beklenmedik zorluklarla karşılaştıklarında, kararlarının arkasındaki nedenleri de belgelemelidir. Bu, soruşturma sırasında alınan önlemlerin gerekçelendirilmesine yardımcı olur.
Başka bir deyişle, titiz dokümantasyon sadece bir formalite değil, tüm soruşturma sürecinin inandırıcılığını ve güvenilirliğini korumanın temel bir yönüdür. Analistler, dokümantasyonlarının açık, kapsamlı ve yasal ve adli standartlara uygun olmasını sağlamak için en iyi uygulamalara bağlı kalmalıdır.
5. Raporlama
Şimdi soruşturmanın bulgularını, süreçlerini ve sonuçlarını özetlemenin tam zamanıdır. Genellikle ilk olarak, teknik ayrıntılara girmeden temel bilgileri açık ve özlü bir şekilde özetleyen bir yönetici raporu hazırlanır.
Ardından “teknik rapor” olarak adlandırılan, yapılan analizin detaylandırıldığı, tekniklerin ve sonuçların vurgulandığı, görüşlerin bir kenara bırakıldığı ikinci bir rapor hazırlanır.
Bu nedenle, tipik bir dijital adli bilişim raporu:
- dava hakkında arka plan bilgisi sağlar,
- araştırmanın kapsamını, hedefleri ve sınırlamaları ile birlikte tanımlar,
- kullanılan yöntem ve teknikleri açıklar,
- dijital kanıtların elde edilmesi ve korunması sürecini detaylandırmaktadır,
- keşfedilen eserler, zaman çizelgeleri ve modeller de dahil olmak üzere analiz sonuçlarını sunar,
- bulguları ve bunların araştırmanın hedefleri açısından önemini özetler.
Unutmayalım: Raporun yasal incelemeye dayanabilmesi ve yasal işlemlerde önemli bir belge olarak kullanılabilmesi için yasal standartlara ve gerekliliklere uygun olması gerekir.
Teknolojinin hayatımızın çeşitli yönleriyle giderek daha fazla iç içe geçmesiyle birlikte, dijital adli bilişimin farklı alanlardaki önemi daha da artacaktır. Teknoloji geliştikçe, faaliyetlerini gizlemek ya da dijital dedektifleri ‘izlerini kaybettirmek’ isteyen kötü niyetli aktörler tarafından kullanılan yöntem ve teknikler de gelişmektedir. Dijital adli bilişimin bu değişikliklere uyum sağlamaya devam etmesi ve siber tehditlerin önüne geçmek ve nihayetinde dijital sistemlerin güvenliğini sağlamaya yardımcı olmak için yenilikçi yaklaşımlar kullanması gerekmektedir.
