SOME tarafından, çalışır durumda olmayan e-delillere ilk müdahale:

Olay yerinde tespit edilen ve çalışır durumda olmayan e-delillere müdahale çalışır durumdaki e-delillere göre daha basit işlemlere tabidir.

Hemen Tıkla Ara

Bilgisayar sistemlerinde:

• Bilgisayarın çalışır durumda olup olmadığına bakılır. Gösterge ışıkları, soğutma fanları ve ses gibi bilgisayarın açık olduğunu anlamamızı sağlayan durumlar kontrol edilir. Bunlardan herhangi biri mevcut değilse bilgisayarın çalışır durumda olmadığı düşünülebilir ancak bunun teyit edilmesi gerekmektedir. Zira bilgisayar uyku durumuna alınmış olabilir.

• Bilgisayarın ekranı kapalı ise ekranın güç düğmesi, güç kablosuna elektrik gelip gelmediği ve ekranın veri kablosunun bilgisayara takılı olup olmadığı kontrol edilerek bağlantılarda ve güçte sorun olmadığı teyit edilmelidir,

• Ekran halen kapalı ise fare hareket ettirilmeli ancak herhangi bir tuşa basılmamalı ve farenin üzerinde bulunan teker döndürülmemelidir. Bunlar yapıldıktan sonra bilgisayarda ve ekranında bilgisayarın açık olduğuna dair herhangi bir belirti görülmez ise bilgisayarın kapalı olduğu teyit edilmiş olunur.

• Kapalı olan bilgisayar açılmaz,

• Bilgisayarın bağlantı kabloları, bilgisayara bağlı veri depolama aygıtları ve diğer cihazlar etiketlenir. Etiketleme işlemi hangi girişten hangi bilişim aygıtının takılı olduğunu, aygıtlar söküldüğünde belli edecek şekilde hem bilişim aygıtına hem de bilişim aygıtının bağlı olduğu girişe karşılıklı olarak yapılır. Bu işlem pratik olması açısından her iki tarafa da aynı numara ile numaralandırılmış etiketler yapıştırılmak suretiyle olabilir.

• Tüm yapılan işlemlerin fotoğraf veya video kaydı yapılabilir,

• Güç kablosu sökülür. Dizüstü bilgisayarlarda batarya çıkartılır. Bazı bilgisayarlarda disket sürücüsü, CD/DVD sürücüsü vb. aygıtların takılması için ayrılmış yuvalara batarya takılabildiği de unutulmamalıdır. Varsa bunlarında bağlantısı kesilmelidir.

• Bilgisayara bağlı olan veri depolama üniteleri sökülür. Bazı bilgisayarlarda disket sürücüsü, CD/DVD sürücüsü vb. aygıtların takılması için ayrılmış yuvalara sabit disk gibi veri depolama aygıtlarının takılabildiği de unutulmamalıdır.

• Disket sürücüsünün ve CD/DVD sürücüsünün içi kontrol edilmelidir. Disket veya CD/DVD varsa çıkartılıp nereden hangi e-delilin çıkartıldığı not alınmalıdır.

• Hangi bilgisayarın hangi girişinden hangi bilişim aygıtlarının çıktığına dair bilgiler marka, model ve seri numarası gibi ayırt edici bilgileriyle birlikte not alınır[1],

• Uygun cihaz veya yazılımlarla, veri depolama ünitelerinin adli kopya alma işlemi hash değeri hesaplamasıyla birlikte yapılır,

• Güç kablosu veya batarya tekrar takılarak bilgisayarın açma tuşuna basılır ve BIOS’a girilir. Bilgisayarın ilk açılışı sırasında ESC, DEL, F2, F9, F10 veya F11 tuşlarına basılarak BIOS’a girilebilir[2]. BIOS tarih/saat bilgisi işlemin yapıldığı andaki tarih/saat bilgisiyle birlikte not alınır. BIOS’ta görülen tarih-saat bilgisi o anki tarih/saat bilgisinden farklı olabilir. Bu fark zaman diliminin farklı olmasından olabileceği gibi gerçekte bilgisayar kullanıcısı tarih/saat bilgisi doğru olmayan bir sistemi kullanıyor da olabilir. Bu bilgi kasıtlı olarak ta yanlış ayarlanmış olabilir. BIOS üzerinde görülen tarih saat bilgisinin o anki tarih saat bilgisinden farklı olması normal olmayan bir durum olduğu anlamına da gelmemektedir. Bunu konuyu inceleyen adli bilişim uzmanı değerlendirecektir.

• Olay yerinde adli kopya alınacaksa çıkartılan bilişim aygıtlarının kopya alma işlemlerine başlanabilir, adli kopya alma işlemi laboratuar ortamında yapılacaksa kopyası alınmak üzere çıkartılan bilişim aygıtları zarar görmeyecek özel delil torbalarına konularak taşınmalı ve delil torbaların üzerine e-delile ait marka model seri numarası bilgileri yazılmalıdır.

Yukarıda yazılanlar genel duruma uygun yol haritasıdır. Her olayın özel durumuna bakılarak değerlendirme yapılmalı ve özel olarak uygun işlemler yapılmalıdır.

www.AdliBilisimUzmani.com adresinden izin alınmaksızın alıntı yapılamaz. İzin alınarak yapılan alıntılar kaynak gösterilmeksizin kullanılamaz.

KAYNAKÇA:

[1] ISO/IEC 27037. (2012). Information technology — Security techniques — Guidelines for identification, collection, acquisition, and preservation of digital evidence. İsviçre: International Organization for Standardization, International Electrotechnical Commission. s.28

[2] Philipp, A., Cowen, D., & Davis, C. (2009). Hacking Exposed Computer Forensics Second Edition. ABD: mhprofessional.s.66

The post Çalışır Durumda Olmayan E-Delillere İlk Müdahale appeared first on Adli Bilişim Uzmanı | Uzman Raporu.

SOME tarafından, çalışır durumda olan e-delillere ilk müdahale:

Olay yerinde tespit edilen ve çalışır durumda olan e-delillere müdahale detaylı işlemlerin yapılmasını gerektirebilir.

Hemen Tıkla Ara

Bilgisayar sistemlerinde:

• Bilgisayarın çalışır durumda olup olmadığına bakılır. Gösterge ışıkları, soğutma fanları ve ses gibi bilgisayarın açık olduğunu anlamamızı sağlayan durumlar kontrol edilir. Bunlardan herhangi biri mevcutsa bilgisayarın çalışır durumda olduğu düşünülebilir.

• Eğer olayın konusu uçucu verilerin toplanmasını gerektirmiyor ise çalışan bir bilgisayarın güç kablosunu çıkartmak genellikle en güvenli seçenektir. Günümüzde bilgisayarların çoğu güç tuşuna basıldığında uyku durumuna geçecek şekilde ayarlanmış durumdadır. Ayrıca bir bilgisayarda güç tuşuna basıldığında, kapanmadan önce sistemdeki verileri değiştirebilen ve/veya silebilen bir komut başlatılacak şekilde ayarlanmış olabilir veya bağlı sistemleri beklenmeyen bir durumun olduğu konusunda uyararak delil değeri olan verileri bulunmadan önce silebilecekleri alarmı verecek şekilde düzenlenmiş bir yapı devreye girebilecek şekilde ayarlanmış olabilir[1]. Bu durumda bilgisayarın güç kablosu çıkartılır ve kapalı olan bilgisayarlarda uygulanması gereken yöntemler uygulanır.

• Bilgisayarın ekranı açık değilse açılır, ekrana görüntü gelirse ekran; çalışan programları, resimler, internet siteleri, e-posta kayıtları vb. ekrandaki diğer görünenleri anlaşılır ve görülebilir şekilde, fotoğraf veya video ile kayıt altına alınır[2]. Şifre sorma ihtimali olan ekran koruyucu gibi programların devreye girmemesi için gerekli ayarlamalar yapılmalıdır.

• Ekran açık ve ekran koruyucu çalışıyor ise; ekran koruyucuyu devreden çıkartmak için fare hareket ettirilmeli ancak herhangi bir tuşa basılmamalı ve farenin üzerinde bulunan teker döndürülmemelidir. Şifre ekranı gelirse şifre temin edilmeye çalışılır ve temin edilen şifre ile giriş yapılır. Bunlar yapıldıktan sonra ekranda görülen değişimler gözlemlenir ve ekran fotoğraf veya video ile kayıt altına alınır.

• Ekran açık ancak ekranda görüntü yok ise; bilgisayar uyku durumuna girmiş veya ekran tasarruf modundan dolayı kapanmış halde olabilir; her iki modan da çıkartmak için fare hareket ettirilmeli ancak herhangi bir tuşa basılmamalı ve farenin üzerinde bulunan teker döndürülmemelidir. Şifre ekranı gelirse şifre temin edilmeye çalışılır ve temin edilen şifre ile giriş yapılır. Bunlar yapıldıktan sonra ekranda görülen değişimler gözlemlenir ve ekran fotoğraf veya video ile kayıt altına alınır.

• Bilgisayarın tarih/saat bilgisi işlemin yapıldığı andaki tarih/saat bilgisiyle birlikte not alınır.

• Olay konusuna göre ihtiyaç var ise öncelikle uçucu veriler toplanmalıdır.

• Açık olan bilgisayarlarda ekranda görülenler çok önemlidir. Çalışan programlar, bağlı aygıtlar, yapılan işlemler, henüz kaydedilmemiş yazılar, anlık ileti kayıtları, notlar, çalışmalar, kodlar, şifreler vb. bilgiler bilgisayar kapandığında elde edilemeyeceği için iyi değerlendirilmeli, her detay not alınmalıdır.

• Eğer varsa ağ bağlantısı kesilmelidir[3].

• Disket sürücüsünün ve CD/DVD sürücüsünün içi kontrol edilmelidir. Disket veya CD/DVD varsa çıkartılıp nereden hangi e-delilin çıkartıldığı not alınmalıdır.

• Açık olan bilgisayarlarda “truecrypt, bitlocker vb.” gibi şifreleme yazılımları mevcut ise bilgisayarın ram’inin[4] adli kopyası alınmalı ve sonra bilgisayar açık iken mantıksal olarak adli kopya alınmalıdır. “truecrypt, bitlocker” tarzında şifreleme yöntemi kullanılan bilgisayarlarda fiziksel olarak alınacak adli kopyalar şifreli olacağından imaj üzerinde inceleme yapılabilmesi için şifrenin bilinmesi/bulunması gerekecektir.

Yukarıda yazılanlar genel duruma uygun yol haritasıdır. Her olayın özel durumuna bakılarak değerlendirme yapılmalı ve özel olarak uygun işlemler yapılmalıdır.

www.AdliBilisimUzmani.com adresinden izin alınmaksızın alıntı yapılamaz. İzin alınarak yapılan alıntılar kaynak gösterilmeksizin kullanılamaz.

KAYNAKÇA:

[1] ISO/IEC 27037. (2012). Information technology — Security techniques — Guidelines for identification, collection, acquisition, and preservation of digital evidence. İsviçre: International Organization for Standardization, International Electrotechnical Commission. s. 28

[2] Johnson, T. A. (2005). Forensic Computer Crime Investigation. New York: Taylor & Francis Group. s.12

[3] Keser Berber, L. (2004). Adli Bilişim (Computer Forensic). Ankara.s.52

[4] İşlemci tarafından okunup yazılabilen, üzerinde bilgilerin geçici olarak tutulduğu bellek.

The post Çalışır Durumda Olan E-Delillere İlk Müdahale appeared first on Adli Bilişim Uzmanı | Uzman Raporu.