İÇİNDEKİLER
✅Adli Bilişimde Sıklıkla Kullanılan Kavramlar
Adli Bilişimde sıklıkla kullanılan kavramlardan bazıları aşağıdadır.
Adli kopya:
Adli bilişimde İngilizce kullanımı “forensic image” olan işlem, Türkçe kaynaklarda “bire-bir” kopyalama, yabancı kaynaklarda ise “sector-by-sector” veya “bit-by-bit” kopyalama işlemi olarak ifade edilmektedir[1]. Veri depolama aygıtlarının bit düzeyinde kopyasının oluşturulması işlemidir[2]. Yapılan bu birebir kopyalama işlemine imaj(forensic image) denilmektedir. Kopyalama işlemi sektör-sektör veya bit-bit denilen şekilde hiçbir veri değişmeden, eksilmeden ve artmadan her veri aynı olacak şekilde, dosya halinde bir başka diske yapılmaktadır. İşletim sistemlerinde günlük hayatta yapılan normal kopyalama işleminde kullanıcılar tarafından görülen dosya veya klasörler bir başka bilişim aygıtına aktarılırken bu işlemde bazı bilgilerin(oluşturma tarihi gibi) değişebilmesinin yanı sıra yapılan işlemde sadece görülmekte olan bilgiler kopyalanır. Hatta bazı yeni dosya yapılarında daha detaylı bilgiler tutulabilmekte iken, burada bulunan dosya veya klasör eski dosya yapısıyla formatlanmış bir veri depolama birimine kopyalandığında bazı üstveriler de kopyalanamamaktadır.
Yazma Koruma:
Bir veri depolama birimi üzerinde yazma işlemi ve değişiklik yapılmasını engelleyen araçtır[3]. Yazma koruma sistemleri veri depolama biriminde değişiklik yapılmasını engellemekte ancak veri depolama birimine erişime izin vermektedir[4].
Hash:
Hash tek yönlü bir algoritmik fonksiyondur. Tek yönlü olma özelliği sayesinde hash değerinden geriye dönülerek hash değeri hesaplanan veri parçasına ulaşılamamasını sağlamaktadır. Hash kullanım alanlarından biri de orijinal data ile o datanın adli kopyasının birbirleri ile aynı olup olmadığını karşılaştırmaktır. Hash’ler eşleştiği zaman, bu verilerin tam bir kopyasının olduğunun kanıtı olarak kabul edilmektedir[5]. Bir verinin veya veri depolama biriminin tamamının ilk sektörden başlanıp, sırayla belirli bir algoritmik fonksiyondan geçirilerek çıkan değer ve bir sonraki sektör tekrar bir algoritmik fonksiyondan geçirilmesi işlemi son sektöre kadar devam eder. Son sektörün de aynı işleme tabi tutulmasıyla ortaya çıkan değere hash değeri denilmektedir. Bu hash değeri verinin değişikliğe uğrayıp uğramadığını kontrolde kullanılmaktadır. Hash değeri, hash’i hesaplanan veriye özel ve parmak izi gibi benzersiz bir değerdir. Hash değeri üzerinden tersine mühendislik yapılarak veriye ulaşılamaz[6]. Veri depolama birimi üzerindeki bir karakterin bile değişmesi durumunda hash değişmektedir. Standart hash algoritmaları:
MD2, MD4 ve MD5:
Bu metotların hash değeri(Message Digest) 128 bit uzunluğundadır, yani temel olarak hesaplanan değer rakamlardan ve sayılardan oluşan toplam 32 karakterdir[7]. Bu metotlar Ron Rivest tarafından oluşturulmuştur ve çoğunlukla dijital imzalar için kullanılmaktadır.
Secure Hash Algorithm (SHA):
Bu algoritmanın SHA-1, SHA-256, SHA-384 ve SHA-512 olarak birçok çeşidi bulunmaktadır. Bu çeşitlerin aralarındaki fark hash değerinin bit uzunluklarıdır. SHA hash algoritmaları A.B.D’de varlık gösteren NIST ve NSA isimli iki birim tarafından hazırlanmıştır.[8]
MD5 ve SHA1 hash değerlerine birer örnek aşağıdadır.
MD5: b8e20611dcc4105286bcf56de754f7a3
SHA1: 9f34ac74f28e6ee9f0ad76d7b39d615722822b4f
Wipe:
Kelime anlamı olarak silmek ve tamamen ortadan kaldırmak demektir.
Üstveri:
Türkçe’de üstveri olarak kullanılan dünyada ingilizce karşılığı olan “metadata” kavramının en basit tanımı “veri hakkında veri” olarak yapılmaktadır. Metadata bir kaynağın öğelerini tanımlayan veridir. Bu nedenle bibliyografik veri olabildiği gibi içerik, kullanım koşulları, kapsam ve teknik ya da erişim özelliklerinde ilişkin diğer tanımlamayı da içerebilir[9].
Uçucu veri:
Çalışmakta olan bilgisayar sitemlerinde var olan ancak sistem kapandığında/elektrik kesildiğinde kaybolan[10], fiziksel olarak veri depolama biriminde kayıtlı kalmayan verilerdir. Bu verilere;
Pano içeriği(clipboard)[11],
Bağlı olunan ağ aygıtları,
Açık olan ağ girişleri(ports)[12],
Bağlı aygıtların listesi,
Çalışan uygulamalar,
ARP cache (arp)[13],
Ekran alıntısı(Print Screen),
İnternet tarayıcıların otomatik tamamlama verileri[14],
Geçici dosyalar(Temporary cache files),
Yüklü programlar,
Ram içeriği,
Dosya paylaşım programlarına ait anlık paylaşım bilgileri vb. veriler örnek gösterilebilir.
Unallocated alan:
Sabit disk üzerinde yer alan ve temel hafıza da dahil olmak üzere işletim sistemi tarafından tahsis edilmemiş olan; metadata ve data depolanması için uygun olan alandır[15].
Çerezler(Cookies):
İnternet kullanıcısı, sonradan kullanıcının bilgisayarında yerleşik hale gelen çerez dosyasına bilgi yazan bir siteyi ziyaret eder ve daha sonraki bir zamanda yine bu siteyi ziyaret ederse kullanıcının bilgisayarı içinde yerleşik olan çerez dosyası içinde kayıtlı olan bilgiyi kullanarak siteye ilişkin bilgileri okumaktadır[16].
HPA ve DCO:
İngilizce sırasıyla “Host Protected Area” ve “Device Configuration Overlay” kelimelerinin kısaltılmışıdır. Her iki metot da sabit disk üzerindeki verinin bir kısmını işletim sisteminden gizlemektir. Bilgisayar üreticilerinin işletim sistemi için kurtarma dosyalarını tuttukları kısımdır. İşletim sistemi ve kullanıcı tarafından bu kısımlara doğrudan erişilememektedir. HPA ve DCO ile ilgili kısımlardaki verilere yazılım kullanılarak erişilebilir.
KAYNAKÇA
[1] A.g.e. s. 48
[2] ISO/IEC 27037. (2012). Information technology — Security techniques — Guidelines for identification, collection, acquisition, and preservation of digital evidence. İsviçre: International Organization for Standardization, International Electrotechnical Commission. s.3
[3] Albert J. Marcella, J. D. (2008). Cyber Forensic. New York: Auerbach Publications. s.480
[4] James Lyle, S. M. (2007). ADVANCES IN DIGITAL FORENSICS III. Orlando, Florida: Sprringer. s.163
[5] Kleiman, D., Cardwell, K., Clinton, T., Cross, M., Gregg, M., Varsalone, J., & Wright, C. (2007). The Official CHFI Study Guide (Exam 312-49) for Computer Hacking Forensic Investigators. Burlington, A.B.D: Syngress Publishing. s.10
[6] Shinder, D. L. (2002). Scene of the Cybercrime: Computer Forensics Handbook. United States of America: Syngress Publishing. s.379
[7] Casey, E. (2000). Digital Evidence and Computer Crime. LONDON: Academic Press 1.59
[8] Shinder, D. L. (2002). Scene of the Cybercrime: Computer Forensics Handbook. United States of America: Syngress Publishing. s.380
[9] DEMPSEY, L. (1998, Ocak 19). METADATA: A UK HE PERSPECTIVE. UKOLN: http://www.ukoln.ac.uk/services/papers/bl/blri078/content/repor~27.htm
[10] ISO/IEC 27037. (2012). Information technology — Security techniques — Guidelines for identification, collection, acquisition, and preservation of digital evidence. İsviçre: International Organization for Standardization, International Electrotechnical Commission. s. 16
[11] Bilgisayarda kopyala veya kes komutları kullanıldığında bazı bilgiler ram’e alınır ve asıl veri silinse de ram’deki veri halen yapıştırılarak kullanılabilir.
[12] Yazının devamında İngilizce port kelimesinin karşılığı olarak dilimizde kullanılan “giriş” kelimesi tercihen kullanılacaktır.
[13] Craiger, J. (2005). Computer Forensics Procedures and Methods. Florida. s. 52
[14] AccessData. (2013, 03 21). Live Response: http://marketing.accessdata.com/acton/attachment/4390/f-0088/0/-/-/-/-/file.pdf
[15] ISO/IEC 27037. (2012). Information technology — Security techniques — Guidelines for identification, collection, acquisition, and preservation of digital evidence. İsviçre: International Organization for Standardization, International Electrotechnical Commission. s.4
[16] Özdilek, A. O. (2002). İnternet ve HUKUK. İstanbul: Papatya Yayıncılık. s.194