Adli Bilişimde Olay Yerinde İlk Müdahalede Genel Kurallar

✅Olay yerinde yapılacak müdahale için uyulması gereken genel kurallar aşağıda maddeler halinde verilmiştir.

  • Olay yeri muhafaza altına alınmalıdır,
  • Klasik delillerde de olduğu gibi e-delillerin de karartılmaması için önlem tedbir alınmalı, yazılımsal ve fiziksel olarak zarar görmesi engellenmelidir,
  • Olay yerinde görevli olmayan ve olay ile ilgisi olmayan herkes olay yeri dışına çıkartılmalı[1], sadece ilgili kişiler olay yerinde bulunmalı ve yeteri kadarından fazlası olay yerinden çıkartılmalıdır(örneğin olay yeri bir iş yeri ise ve iş yerinde birden fazla bilgi işlem görevlisi çalışıyorsa, sadece bir bilgi işlem görevlisinin sistem hakkında bilgi verecek kadar yeterli bilgisi varsa sadece bir bilgi işlem görevlisi olay yerinde kalmalıdır. Ancak bazı durumlarda bunun tersi bir işlemin yapılması gerekebilir. Diğer bilgi işlem görevlisi olay yerinden ayrıldığında uzaktan sisteme bağlanarak verilere müdahale etmesi gibi bir ihtimal mevcutsa, bu duruma göre gerekli tedbirler alınmalı ve bu duruma göre karar vermek gerekir.)
  • Hukuki olarak alınan kararda uygulamayı kısıtlayıcı, uygulamaya yön verici bir içerik mevcut mudur? Karar kontrol edilmeli,
  • Olay ile ilgili olarak ne tür e-delillerin olay yerinde aranacağı ve toplanacağı, hangi e-delillerin konu ile ilgili olabileceği hakkında karar verilmelidir. Olay ile ilgili olmayan bilişim aygıtları ayrılmalıdır.
  • Olay yeri sistematik olarak aranmalı ve e-delillerin tamamı tespit edilmelidir, küçük boyutlu veya biblo şeklindeki farklı görünümde veri depolama birimleri gözden kaçırılmamalıdır,
  • Tespit edilen delillerin toplanması için uygun öncelik sırası belirlenmelidir,
  • Olay yerinde herhangi bir müdahale olmadan fotoğraflanmalı veya video kaydı alınmalıdır,
  • E-deliller üzerinde parmak izi, dna tespiti vb. işlemler yapılması gerekecek ise bu işlemin yapılması için öncelik sırası belirlenmeli ve mümkünse e-delillere dokunmadan önce bu işlemlerin bir an önce yapılması sağlanmalıdır[2],
  • Olay yerinde bulunan ve e-delil olarak değerlendirilmesi muhtemel tüm aygıtlar delil etiketleri ile etiketlendirilmelidirler. Etiketlerin üzerinde yeterli açıklayıcı bilgi bulunmalıdır. Bilgisayar kasalarının arka bölümündeki kablo bağlantılarının, mümkünse bağlantı noktasını da (bağlı olduğu port) gösterir şekilde etiketlenmesinde fayda vardır[3]. Aşağıdaki şekilde örnek etiketleme yapılmış bilgisayar kasası görülmektedir.

Örnek etiketleme yapılmış bilgisayar kasası[4]
Hemen Ara: 0505 591 65 43

  • Yerinden sökülemeyen, çalışması durdurulamayan (sökülmemesi veya çalışmasının devam etmesi önemli ve gerekli olan) e-delillerin, mümkünse olduğu haliyle çalışırken adli kopyası alınmalıdır,
  • E-delil olmayan ancak olay yerinde bulunan ve e-delillerle ilgili olabilecek diğer bilgiler(kullanıcı adları, şifreler, kodlar, ağ bağlantı bilgileri vb. gibi) olabileceği unutulmamalı ve bu bilgiler de toplanmaya çalışılmalıdır. Bazen kullanıcılar bilgisayarlarında bilgi saklamak için kırılması veya bulunması mümkün olmaması için uzun ve karmaşık karakterlerden anlamsız bir şekilde oluşturdukları güçlü şifreler kullanabilmektedirler. Bir de farklı platformlarda, farklı internet sitelerinde farklı şifreler kullanılmakta ve genellikle de kullanılan şifrelerin belirli aralıklarla değiştirilmesi gerekmektedir. Farklı internet sitelerinde aynı kullanıcı adını kullanmanın da pek mümkün olmadığını düşünürsek bu karmaşık şifrelerin bir de farklı kullanıcı isimleriyle eşleştirilmesi gerekecektir. Dolayısıyla karmaşık ve uzun karakterlerden oluşan ve aynı zamanda anlamsız olan bu şifreleri akılda tutmak insan doğası gereği zordur ve bu şifreler ve kullanıcı adları genellikle bir yerlere yazılarak muhafaza edilmektedir. Bu tarz bilgilere olay yerinde her zaman bir kağıt üzerine yazılmış halde ulaşılacağı beklenmemelidir. Kullanıcılar çalışma ortamlarında gözünün önündeki herhangi bir yazıyı, model numarasını, seri numarasını, tarihi, vb. bilgileri de şifre olarak kullanabilmektedirler. Dolayısıyla bu tarz bilgiler de değerlendirilmelidir. Yukarıda yazılan fotoğraf alma işlemi de bu konuda ihtiyacı giderebilecek şekilde olay yerindeki sonradan ihtiyaç duyulabileceği düşünülen olası her şeyin görünebileceği/okunabileceği şekilde detaylıca yapılmalıdır.
  • Olay yerinde ilk müdahale sırasında e-delil olabilecek bilişim aygıtlarında anti-forensic[5] sistemleri olabileceği unutulmamalıdır. E-delile yapılacak olan normal bir müdahalede devreye girebilecek şekilde tasarlanmış anti-forensic düzeneği kurulu olan bilgisayar kasası içerisindeki e-delil beklenmedik bir şekilde bir degausser’ın[6] çalışmasıyla manyetik olarak geri getirilemeyecek şekilde manyetik etkiye tabi kalarak bozulabilir.

Olay yerinde farklı birçok senaryo ile karşılaşılabilir. Her farklı senaryo farklı müdahaleleri gerektirebilir. Olay yerinde ilk müdahale sırasında nasıl bir senaryoyla karşılaşılabileceği önceden az çok tahmin edilebilse de detayları kestirebilmek zordur. Dolayısıyla olay yerinde ilk anda nasıl müdahale edileceğine ise kısa bir sürede doğru karar vermek çok önemli bir gereksinimdir. İlk müdahale sırasında uyulması ve uygulanması gereken genel kurallar bazı özel durumlarda farklı uygulamaları da gerektirebileceği unutulmamalıdır. Dolayısıyla genel kurallar özel durumlar için de uygulanmak zorunda olan olmazsa olmaz kurallar değildir.

İlk müdahalede olay yerinde kullanmak için formlar hazırlanmalıdır. Örnek olarak “Adli Kopya Alma Formuburadaki yazımızda paylaşılmıştır.

Hemen Ara: 0505 591 65 43

KAYNAKÇA:

[1] Evidence, S. W. (2013, Şubat 11). SWGDE Best Practices for Computer Forensics. Scientific Working Group on Digital Evidence: https://www.swgde.org/documents/Released%20For%20Public%20Comment/2013-02-11%20SWGDE%20Best%20Practices%20for%20Computer%20Forensics%20V3-0

[2] ISO/IEC 27037. (2012). Information technology — Security techniques — Guidelines for identification, collection, acquisition, and preservation of digital evidence. İsviçre: International Organization for Standardization, International Electrotechnical Commission. s. 18

[3] Henkoğlu, T. (2011). Adli Bilişim Dijital Delillerin Elde Edilmesi ve Analizi. İSTANBUL: PUSULA.s. 19

[4] U.S. Department of Homeland Security. (2006). Best Practices For Seizing Electronic Evidence. A.B.D.: United States Secret Service. s.4

[5] Anti-forensic: adli bilişim çalışması yapıldığında herhangi bir suç unsuru bulunamaması için bilişim aygıtlarının içerisindeki bilgileri geri getirilemeyecek şekilde yok eden, bilişim aygıtlarına fiziksel olarak çalışamayacak derecede hasar veren donanımlar, programlar ve yöntemler.

[6] Degausser: çok güçlü bir manyetik alan oluşturarak etki alanında bulunan manyetik ortamlar üzerindeki verileri tamamen değiştirerek bozan ve kullanılamaz hale getiren bir donanımdır. Manyetik veri depolama sistemiyle çalışan sabit disklerde verilen geri normal bir silme işlemi sabit diskin kapasitesine doğru orantılı olarak çok uzun süre gerektirmektedir. Ancak degausser kullanılarak bir anda sabit diskin veri yazılı manyetik yüzeylerinin tamamı üzerinde veriler bozularak ulaşılamaz hale getirilebilir.

[7] Jones, N., George, E., Mérida, F. I., Rasmussen, U., & Völzow, V. (2013). Electronic evidence guide. Strasbourg, France: Council of Europe. s.265

[8] Jones, N., George, E., Mérida, F. I., Rasmussen, U., & Völzow, V. (2013). Electronic evidence guide. Strasbourg, France: Council of Europe. s.266