SOME tarafından, çalışır durumda olan e-delillere ilk müdahale:
✅Olay yerinde tespit edilen ve çalışır durumda olan e-delillere müdahale detaylı işlemlerin yapılmasını gerektirebilir.
Bilgisayar sistemlerinde:
- Bilgisayarın çalışır durumda olup olmadığına bakılır. Gösterge ışıkları, soğutma fanları ve ses gibi bilgisayarın açık olduğunu anlamamızı sağlayan durumlar kontrol edilir. Bunlardan herhangi biri mevcutsa bilgisayarın çalışır durumda olduğu düşünülebilir.
- Eğer olayın konusu uçucu verilerin toplanmasını gerektirmiyor ise çalışan bir bilgisayarın güç kablosunu çıkartmak genellikle en güvenli seçenektir. Günümüzde bilgisayarların çoğu güç tuşuna basıldığında uyku durumuna geçecek şekilde ayarlanmış durumdadır. Ayrıca bir bilgisayarda güç tuşuna basıldığında, kapanmadan önce sistemdeki verileri değiştirebilen ve/veya silebilen bir komut başlatılacak şekilde ayarlanmış olabilir veya bağlı sistemleri beklenmeyen bir durumun olduğu konusunda uyararak delil değeri olan verileri bulunmadan önce silebilecekleri alarmı verecek şekilde düzenlenmiş bir yapı devreye girebilecek şekilde ayarlanmış olabilir[1]. Bu durumda bilgisayarın güç kablosu çıkartılır ve kapalı olan bilgisayarlarda uygulanması gereken yöntemler uygulanır.
- Bilgisayarın ekranı açık değilse açılır, ekrana görüntü gelirse ekran; çalışan programları, resimler, internet siteleri, e-posta kayıtları vb. ekrandaki diğer görünenleri anlaşılır ve görülebilir şekilde, fotoğraf veya video ile kayıt altına alınır[2]. Şifre sorma ihtimali olan ekran koruyucu gibi programların devreye girmemesi için gerekli ayarlamalar yapılmalıdır.
- Ekran açık ve ekran koruyucu çalışıyor ise; ekran koruyucuyu devreden çıkartmak için fare hareket ettirilmeli ancak herhangi bir tuşa basılmamalı ve farenin üzerinde bulunan teker döndürülmemelidir. Şifre ekranı gelirse şifre temin edilmeye çalışılır ve temin edilen şifre ile giriş yapılır. Bunlar yapıldıktan sonra ekranda görülen değişimler gözlemlenir ve ekran fotoğraf veya video ile kayıt altına alınır.
- Ekran açık ancak ekranda görüntü yok ise; bilgisayar uyku durumuna girmiş veya ekran tasarruf modundan dolayı kapanmış halde olabilir; her iki modan da çıkartmak için fare hareket ettirilmeli ancak herhangi bir tuşa basılmamalı ve farenin üzerinde bulunan teker döndürülmemelidir. Şifre ekranı gelirse şifre temin edilmeye çalışılır ve temin edilen şifre ile giriş yapılır. Bunlar yapıldıktan sonra ekranda görülen değişimler gözlemlenir ve ekran fotoğraf veya video ile kayıt altına alınır.
- Bilgisayarın tarih/saat bilgisi işlemin yapıldığı andaki tarih/saat bilgisiyle birlikte not alınır.
- Olay konusuna göre ihtiyaç var ise öncelikle uçucu veriler toplanmalıdır.
- Açık olan bilgisayarlarda ekranda görülenler çok önemlidir. Çalışan programlar, bağlı aygıtlar, yapılan işlemler, henüz kaydedilmemiş yazılar, anlık ileti kayıtları, notlar, çalışmalar, kodlar, şifreler vb. bilgiler bilgisayar kapandığında elde edilemeyeceği için iyi değerlendirilmeli, her detay not alınmalıdır.
- Eğer varsa ağ bağlantısı kesilmelidir[3].
- Disket sürücüsünün ve CD/DVD sürücüsünün içi kontrol edilmelidir. Disket veya CD/DVD varsa çıkartılıp nereden hangi e-delilin çıkartıldığı not alınmalıdır.
- Açık olan bilgisayarlarda “truecrypt, bitlocker vb.” gibi şifreleme yazılımları mevcut ise bilgisayarın ram’inin[4] adli kopyası alınmalı ve sonra bilgisayar açık iken mantıksal olarak adli kopya alınmalıdır. “truecrypt, bitlocker” tarzında şifreleme yöntemi kullanılan bilgisayarlarda fiziksel olarak alınacak adli kopyalar şifreli olacağından imaj üzerinde inceleme yapılabilmesi için şifrenin bilinmesi/bulunması gerekecektir.
Yukarıda yazılanlar genel duruma uygun yol haritasıdır. Her olayın özel durumuna bakılarak değerlendirme yapılmalı ve özel olarak uygun işlemler yapılmalıdır.
www.AdliBilisimUzmani.com adresinden izin alınmaksızın alıntı yapılamaz. İzin alınarak yapılan alıntılar kaynak gösterilmeksizin kullanılamaz.
KAYNAKÇA:
[1] ISO/IEC 27037. (2012). Information technology — Security techniques — Guidelines for identification, collection, acquisition, and preservation of digital evidence. İsviçre: International Organization for Standardization, International Electrotechnical Commission. s. 28
[2] Johnson, T. A. (2005). Forensic Computer Crime Investigation. New York: Taylor & Francis Group. s.12
[3] Keser Berber, L. (2004). Adli Bilişim (Computer Forensic). Ankara.s.52
[4] İşlemci tarafından okunup yazılabilen, üzerinde bilgilerin geçici olarak tutulduğu bellek.