SOME tarafından, çalışır durumda olan e-delillere ilk müdahale:

Olay yerinde tespit edilen ve çalışır durumda olan e-delillere müdahale detaylı işlemlerin yapılmasını gerektirebilir.

Hemen Tıkla Ara

Bilgisayar sistemlerinde:

• Bilgisayarın çalışır durumda olup olmadığına bakılır. Gösterge ışıkları, soğutma fanları ve ses gibi bilgisayarın açık olduğunu anlamamızı sağlayan durumlar kontrol edilir. Bunlardan herhangi biri mevcutsa bilgisayarın çalışır durumda olduğu düşünülebilir.

• Eğer olayın konusu uçucu verilerin toplanmasını gerektirmiyor ise çalışan bir bilgisayarın güç kablosunu çıkartmak genellikle en güvenli seçenektir. Günümüzde bilgisayarların çoğu güç tuşuna basıldığında uyku durumuna geçecek şekilde ayarlanmış durumdadır. Ayrıca bir bilgisayarda güç tuşuna basıldığında, kapanmadan önce sistemdeki verileri değiştirebilen ve/veya silebilen bir komut başlatılacak şekilde ayarlanmış olabilir veya bağlı sistemleri beklenmeyen bir durumun olduğu konusunda uyararak delil değeri olan verileri bulunmadan önce silebilecekleri alarmı verecek şekilde düzenlenmiş bir yapı devreye girebilecek şekilde ayarlanmış olabilir[1]. Bu durumda bilgisayarın güç kablosu çıkartılır ve kapalı olan bilgisayarlarda uygulanması gereken yöntemler uygulanır.

• Bilgisayarın ekranı açık değilse açılır, ekrana görüntü gelirse ekran; çalışan programları, resimler, internet siteleri, e-posta kayıtları vb. ekrandaki diğer görünenleri anlaşılır ve görülebilir şekilde, fotoğraf veya video ile kayıt altına alınır[2]. Şifre sorma ihtimali olan ekran koruyucu gibi programların devreye girmemesi için gerekli ayarlamalar yapılmalıdır.

• Ekran açık ve ekran koruyucu çalışıyor ise; ekran koruyucuyu devreden çıkartmak için fare hareket ettirilmeli ancak herhangi bir tuşa basılmamalı ve farenin üzerinde bulunan teker döndürülmemelidir. Şifre ekranı gelirse şifre temin edilmeye çalışılır ve temin edilen şifre ile giriş yapılır. Bunlar yapıldıktan sonra ekranda görülen değişimler gözlemlenir ve ekran fotoğraf veya video ile kayıt altına alınır.

• Ekran açık ancak ekranda görüntü yok ise; bilgisayar uyku durumuna girmiş veya ekran tasarruf modundan dolayı kapanmış halde olabilir; her iki modan da çıkartmak için fare hareket ettirilmeli ancak herhangi bir tuşa basılmamalı ve farenin üzerinde bulunan teker döndürülmemelidir. Şifre ekranı gelirse şifre temin edilmeye çalışılır ve temin edilen şifre ile giriş yapılır. Bunlar yapıldıktan sonra ekranda görülen değişimler gözlemlenir ve ekran fotoğraf veya video ile kayıt altına alınır.

• Bilgisayarın tarih/saat bilgisi işlemin yapıldığı andaki tarih/saat bilgisiyle birlikte not alınır.

• Olay konusuna göre ihtiyaç var ise öncelikle uçucu veriler toplanmalıdır.

• Açık olan bilgisayarlarda ekranda görülenler çok önemlidir. Çalışan programlar, bağlı aygıtlar, yapılan işlemler, henüz kaydedilmemiş yazılar, anlık ileti kayıtları, notlar, çalışmalar, kodlar, şifreler vb. bilgiler bilgisayar kapandığında elde edilemeyeceği için iyi değerlendirilmeli, her detay not alınmalıdır.

• Eğer varsa ağ bağlantısı kesilmelidir[3].

• Disket sürücüsünün ve CD/DVD sürücüsünün içi kontrol edilmelidir. Disket veya CD/DVD varsa çıkartılıp nereden hangi e-delilin çıkartıldığı not alınmalıdır.

• Açık olan bilgisayarlarda “truecrypt, bitlocker vb.” gibi şifreleme yazılımları mevcut ise bilgisayarın ram’inin[4] adli kopyası alınmalı ve sonra bilgisayar açık iken mantıksal olarak adli kopya alınmalıdır. “truecrypt, bitlocker” tarzında şifreleme yöntemi kullanılan bilgisayarlarda fiziksel olarak alınacak adli kopyalar şifreli olacağından imaj üzerinde inceleme yapılabilmesi için şifrenin bilinmesi/bulunması gerekecektir.

Yukarıda yazılanlar genel duruma uygun yol haritasıdır. Her olayın özel durumuna bakılarak değerlendirme yapılmalı ve özel olarak uygun işlemler yapılmalıdır.

www.AdliBilisimUzmani.com adresinden izin alınmaksızın alıntı yapılamaz. İzin alınarak yapılan alıntılar kaynak gösterilmeksizin kullanılamaz.

KAYNAKÇA:

[1] ISO/IEC 27037. (2012). Information technology — Security techniques — Guidelines for identification, collection, acquisition, and preservation of digital evidence. İsviçre: International Organization for Standardization, International Electrotechnical Commission. s. 28

[2] Johnson, T. A. (2005). Forensic Computer Crime Investigation. New York: Taylor & Francis Group. s.12

[3] Keser Berber, L. (2004). Adli Bilişim (Computer Forensic). Ankara.s.52

[4] İşlemci tarafından okunup yazılabilen, üzerinde bilgilerin geçici olarak tutulduğu bellek.

The post Çalışır Durumda Olan E-Delillere İlk Müdahale appeared first on Adli Bilişim Uzmanı | Uzman Raporu.

Eskiden, bilgisayarın ilk zamanlarında, dijital aygıtlardan elde edilebilecek geçerli deliller; bilgisayarlar, sabit diskler, teyp kaset şeklindeki yedekleme üniteleri ve disketler olarak düşünülmekteydi. Uçucu veri olabilecek donanımların hafıza kapasiteleri oldukça düşük ve sınırlıydı, ayrıca buradan da potansiyel delil çıkartabilecek sistemler yoktu. Günümüz modern dijital aygıtlarında ise delil elde edilebilecek dijital aygıtların çeşitliliği ve sayısı çok geniş ve büyük bir artış göstermiş durumda[1]. Potansiyel Adli Bilişim Delilleri Nelerdir? sorusunun cevabı gelişen teknoloji ile çok daha önemli bir durumda.

Hemen Tıkla Ara

Potansiyel Adli Bilişim Delili olabilecek bilişim aygıtlardan bazıları şunlardır:

• Sabit Disk(Harici veya Dahili)
• Disket
• CD/DVD
• Flash Bellek
• Hafıza kartı
• Dongle[2]
• Modem
• Router
• Cep telefonu
• Kaset
• Jaz/Zip Kartuşlar[3]
• Video Kamera
• Fotoğraf Makinesi
• MP3/MP4 oynatıcı
• Network aygıtları
• Bluetooth aygıtları
• Kızılötesi aygıtları
• WiFi aygıtları
• FM Transmitter[4]
• Televizyon
• Oyun konsolu[5]
• Uydu alıcısı
• Güç kaynağı ünitesi
• PCMCI kart[6]
• GPS aygıtı
• Yazıcı, tarayıcı, fotokopi ve faks makinesi
• Telesekreter
• Databank
• Saat
• E-kitap okuyucu
• Kalem
• Anahtarlık
• Süs eşyaları
• Dijital çerçeve
• Ses kayıt cihazı

Bu listenin amacı, olay yerinde karşılaşılabilecek olan bilişim aygıtlarının hangilerinin e-delil olabileceği hakkında daha kapsamlı düşünülmesini sağlamaktır[7]. Bu liste sadece örnek olabilecek ve sıklıkla karşılaşılabilinen e-delillerden oluşturulmuştur ancak tüm e-deliller bunlardan ibaret olmadığı gibi burada yazılı olup ta ileride kullanım dışı kalacak olanlar da olabilir. Disket kullanım dışı kalacak olanlara örnek gösterilebilir. Önceleri veri taşımada yazılıp silinebilir özellikte olması sebebiyle tekrar tekrar kullanılmaya olanak sağladığından ve çok da pahalı olmamasından dolayı sıkça kullanılan disketlerin yerini günümüzde depolama alanları daha fazla, taşıması daha kolay, veri depolama ömrü daha uzun ve yazma-okuma hızları daha yüksek olan flash bellekler ve harici diskler almış durumdadır.

Teknoloji geliştikçe e-delil olarak değerlendirilebilecek yeni aygıtlar ortaya çıkmaya devam edecektir.

Hemen Tıkla Ara

KAYNAKÇA:

[1] Jones, D. A., & Vazlli, D. C. (2008). Building a Digital Forensic Laboratory Establishing and Managing a Successful Facility. Waltham(United States): Syngress. s.11

[2] Bilgisayarın bağlantı noktalarından birine takılarak(genellikle usb bağlantı noktasına takılır) kopya yazılım korumasını sağlayan donanım.

[3] Kullanımda “Zip kartuşlar” yerine “Zip disketler” de denilmektedir.

[4] FM frekansında radyo dalgaları yayan verici.

[5] Microsoft Xbox, Sony Play Station, Nintendo Wii gibi oyun konsollarının içerisinde 320GB’a kadar kapasiteli sabit diskler bulunabilmekte ayrıca bu sabit disklerin kapasiteleri daha yüksek kapasiteli sabit disklerle değiştirilebilmektedir.

[6] Keser Berber, L. (2004). Adli Bilişim (Computer Forensic). Ankara.s.46

[7] Jones, D. A., & Vazlli, D. C. (2008). Building a Digital Forensic Laboratory Establishing and Managing a Successful Facility. Waltham(United States): Syngress. s.12

The post Potansiyel Adli Bilişim Delilleri Nelerdir? appeared first on Adli Bilişim Uzmanı | Uzman Raporu.