Dijital Adli Bilişim: Delil Toplamaya Yönelik Kapsamlı Bir Rehber

Günümüzün birbirine bağlı dünyasında, dijital cihazlar hayatımızın neredeyse her alanına nüfuz etmiştir. Akıllı telefonlardan ve bilgisayarlardan bulut sunucularına ve IoT cihazlarına kadar, sürekli olarak büyük miktarda veri oluşturulmakta, saklanmakta ve iletilmektedir. Bu dijital bilgi bolluğu, siber suçlarda ve bu olayları araştırmak ve önemli delilleri kurtarmak için yetenekli dijital adli bilişim uzmanlarına olan ihtiyacın artmasına yol açmıştır.

Bu kapsamlı rehber, dijital adli bilişimde kritik bir süreç olan delil toplamayı derinlemesine incelemekte; kapsamlı ve yasal olarak savunulabilir soruşturmalar yürütmek için gerekli olan metodolojileri, en iyi uygulamaları, yasal hususları ve küresel standartları araştırmaktadır. İster deneyimli bir adli bilişim araştırmacısı olun, ister bu alanda yeni başlayın, bu kaynak dijital delil toplamanın karmaşıklıklarında gezinmenize yardımcı olacak değerli bilgiler ve pratik rehberlik sağlar.

Dijital Adli Bilişim Nedir?

Dijital adli bilişim, adli bilimin dijital kanıtların tespiti, elde edilmesi, muhafazası, analizi ve raporlanmasına odaklanan bir dalıdır. Bilgisayar tabanlı suçları ve olayları araştırmak, kayıp veya gizli verileri kurtarmak ve yasal işlemlerde uzman tanıklığı sağlamak için bilimsel ilke ve tekniklerin uygulanmasını içerir.

Dijital adli bilişimin temel hedefleri şunlardır:

• Dijital delilleri adli bilişim ilkelerine uygun bir şekilde tespit etmek ve toplamak.
• Değiştirilmesini veya bozulmasını önlemek için delilin bütünlüğünü korumak.
• Gerçekleri ortaya çıkarmak ve olayları yeniden yapılandırmak için delilleri analiz etmek.
• Bulguları açık, öz ve yasal olarak kabul edilebilir bir formatta sunmak.

Doğru Delil Toplamanın Önemi

Delil toplama, herhangi bir dijital adli bilişim soruşturmasının temelidir. Deliller düzgün bir şekilde toplanmazsa, tehlikeye girebilir, değiştirilebilir veya kaybolabilir; bu da potansiyel olarak yanlış sonuçlara, reddedilen davalara ve hatta araştırmacı için yasal sonuçlara yol açabilir. Bu nedenle, delil toplama süreci boyunca yerleşik adli bilişim ilkelerine ve en iyi uygulamalara bağlı kalmak çok önemlidir.

Doğru delil toplama için temel hususlar şunlardır:

• Delil Saklama Zincirini Sürdürmek: Delili kimin, ne zaman ve ne yaptığına dair ayrıntılı bir kayıt. Bu, delilin bütünlüğünü mahkemede göstermek için çok önemlidir.
• Delil Bütünlüğünü Korumak: Toplama ve analiz sırasında delilde herhangi bir değişiklik veya bozulmayı önlemek için uygun araç ve teknikleri kullanmak.
• Yasal Protokolleri Takip Etmek: Delil toplama, arama emirleri ve veri gizliliğini düzenleyen ilgili yasalara, yönetmeliklere ve prosedürlere uymak.
• Her Adımı Belgelemek: Kullanılan araçlar, uygulanan yöntemler ve yapılan bulgular veya gözlemler de dahil olmak üzere delil toplama sürecinde atılan her adımı ayrıntılı olarak belgelemek.

Dijital Adli Bilişimde Delil Toplama Adımları

Dijital adli bilişimde delil toplama süreci genellikle aşağıdaki adımları içerir:

1. Hazırlık

Delil toplama sürecine başlamadan önce, ayrıntılı bir şekilde planlama ve hazırlık yapmak esastır. Bu şunları içerir:

• Soruşturmanın Kapsamını Belirlemek: Soruşturmanın hedeflerini ve toplanması gereken veri türlerini açıkça tanımlamak.
• Yasal Yetki Almak: Delillere erişmek ve toplamak için gerekli arama emirlerini, rıza formlarını veya diğer yasal yetkileri güvence altına almak. Bazı yargı bölgelerinde bu, ilgili yasalara ve düzenlemelere uyumu sağlamak için kolluk kuvvetleri veya hukuk danışmanları ile çalışmayı gerektirebilir. Örneğin, Avrupa Birliği'nde Genel Veri Koruma Yönetmeliği (GDPR), kişisel verilerin toplanması ve işlenmesine katı sınırlamalar getirerek veri gizliliği ilkelerinin dikkatle değerlendirilmesini gerektirir.
• Gerekli Araç ve Ekipmanı Toplamak: Dijital delilleri imajlamak, analiz etmek ve muhafaza etmek için uygun donanım ve yazılım araçlarını bir araya getirmek. Bu, adli imajlama cihazları, yazma koruyucular, adli yazılım paketleri ve depolama ortamlarını içerebilir.
• Bir Toplama Planı Geliştirmek: Delil toplama sürecinde atılacak adımları, cihazların hangi sırayla işleneceğini, imajlama ve analiz için kullanılacak yöntemleri ve delil saklama zincirini sürdürme prosedürlerini özetlemek.

2. Tespit

Tespit aşaması, potansiyel dijital delil kaynaklarının belirlenmesini içerir. Bu şunları içerebilir:

• Bilgisayarlar ve Dizüstü Bilgisayarlar: Şüpheli veya mağdur tarafından kullanılan masaüstü bilgisayarlar, dizüstü bilgisayarlar ve sunucular.
• Mobil Cihazlar: İlgili verileri içerebilecek akıllı telefonlar, tabletler ve diğer mobil cihazlar.
• Depolama Ortamları: Sabit diskler, USB sürücüler, hafıza kartları ve diğer depolama cihazları.
• Ağ Cihazları: Günlükleri veya diğer kanıtları içerebilecek yönlendiriciler, anahtarlar, güvenlik duvarları ve diğer ağ cihazları.
• Bulut Depolama: Amazon Web Services (AWS), Microsoft Azure veya Google Cloud Platform gibi bulut platformlarında depolanan veriler. Bulut ortamlarından veri erişimi ve toplanması, genellikle bulut hizmeti sağlayıcısıyla işbirliği yapmayı gerektiren özel prosedürler ve izinler gerektirir.
• IoT Cihazları: İlgili verileri içerebilecek akıllı ev cihazları, giyilebilir teknoloji ve diğer Nesnelerin İnterneti (IoT) cihazları. IoT cihazlarının adli analizi, donanım ve yazılım platformlarının çeşitliliği ile bu cihazların birçoğunun sınırlı depolama kapasitesi ve işlem gücü nedeniyle zorlayıcı olabilir.

3. Elde Etme

Elde etme aşaması, dijital delilin adli bilişim açısından sağlam bir kopyasının (imajının) oluşturulmasını içerir. Bu, orijinal delilin soruşturma sırasında değiştirilmemesini veya zarar görmemesini sağlamak için kritik bir adımdır. Yaygın elde etme yöntemleri şunlardır:

• İmaj Alma (Imaging): Tüm dosyalar, silinmiş dosyalar ve ayrılmamış alan dahil olmak üzere tüm depolama cihazının bit-bit kopyasını oluşturmak. Bu, mevcut tüm verileri yakaladığı için çoğu adli soruşturma için tercih edilen yöntemdir.
• Mantıksal Elde Etme: Yalnızca işletim sistemine görünür olan dosya ve klasörleri elde etmek. Bu yöntem imaj almaktan daha hızlıdır ancak tüm ilgili verileri yakalamayabilir.
• Canlı Elde Etme: Çalışan bir sistemden veri elde etmek. Bu, ilgilenilen veriye yalnızca sistem aktifken (örneğin, geçici bellek, şifreli dosyalar) erişilebildiğinde gereklidir. Canlı elde etme, sistem üzerindeki etkiyi en aza indirmek ve verinin bütünlüğünü korumak için özel araçlar ve teknikler gerektirir.

Elde etme aşamasındaki temel hususlar:

• Yazma Koruyucular: Elde etme işlemi sırasında orijinal depolama cihazına herhangi bir veri yazılmasını önlemek için donanım veya yazılım yazma koruyucuları kullanmak. Bu, delilin bütünlüğünün korunmasını sağlar.
• Hash Alma (Hashing): Bütünlüklerini doğrulamak için orijinal depolama cihazının ve adli imajın bir kriptografik özetini (örneğin, MD5, SHA-1, SHA-256) oluşturmak. Hash değeri, verinin benzersiz bir parmak izi görevi görür ve herhangi bir yetkisiz değişikliği tespit etmek için kullanılabilir.
• Belgeleme: Kullanılan araçlar, uygulanan yöntemler ve orijinal cihaz ile adli imajın hash değerleri dahil olmak üzere elde etme sürecini ayrıntılı olarak belgelemek.

4. Muhafaza

Delil elde edildikten sonra, güvenli ve adli bilişim açısından sağlam bir şekilde muhafaza edilmelidir. Bu şunları içerir:

• Delili Güvenli Bir Yerde Saklamak: Orijinal delili ve adli imajı, yetkisiz erişimi veya kurcalamayı önlemek için kilitli ve kontrollü bir ortamda tutmak.
• Delil Saklama Zincirini Sürdürmek: Delilin her transferini, tarih, saat ve ilgili kişilerin adları dahil olmak üzere belgelemek.
• Yedekler Oluşturmak: Adli imajın birden fazla yedeğini oluşturmak ve veri kaybına karşı korumak için bunları ayrı yerlerde saklamak.

5. Analiz

Analiz aşaması, ilgili bilgileri ortaya çıkarmak için dijital delilin incelenmesini içerir. Bu şunları içerebilir:

• Veri Kurtarma: Kasıtlı olarak gizlenmiş veya yanlışlıkla kaybedilmiş olabilecek silinmiş dosyaları, bölümleri veya diğer verileri kurtarmak.
• Dosya Sistemi Analizi: Dosyaları, dizinleri ve zaman damgalarını belirlemek için dosya sistemi yapısını incelemek.
• Günlük Analizi: Olayla ilgili olayları ve etkinlikleri belirlemek için sistem günlüklerini, uygulama günlüklerini ve ağ günlüklerini analiz etmek.
• Anahtar Kelime Arama: İlgili dosyaları veya belgeleri belirlemek için veri içinde belirli anahtar kelimeleri veya ifadeleri aramak.
• Zaman Çizelgesi Analizi: Dosyaların, günlüklerin ve diğer verilerin zaman damgalarına dayanarak bir olay zaman çizelgesi oluşturmak.
• Kötü Amaçlı Yazılım Analizi: İşlevselliğini ve etkisini belirlemek için kötü amaçlı yazılımları tanımlamak ve analiz etmek.

6. Raporlama

Delil toplama sürecindeki son adım, bulguların kapsamlı bir raporunu hazırlamaktır. Rapor şunları içermelidir:

• Soruşturmanın bir özeti.
• Toplanan delillerin bir açıklaması.
• Kullanılan analiz yöntemlerinin ayrıntılı bir açıklaması.
• Herhangi bir sonuç veya görüş de dahil olmak üzere bulguların bir sunumu.
• Soruşturma sırasında kullanılan tüm araçların ve yazılımların bir listesi.
• Delil saklama zincirinin belgelenmesi.

Rapor, açık, öz ve objektif bir şekilde yazılmalı ve mahkemede veya diğer yasal işlemlerde sunulmaya uygun olmalıdır.

Dijital Adli Bilişimde Delil Toplamada Kullanılan Araçlar

Dijital adli bilişim araştırmacıları, dijital delilleri toplamak, analiz etmek ve muhafaza etmek için çeşitli özel araçlara güvenirler. En sık kullanılan araçlardan bazıları şunlardır:

• Adli İmaj Alma Yazılımları: EnCase Forensic, FTK Imager, Cellebrite UFED, X-Ways Forensics
• Yazma Koruyucular: Orijinal delile veri yazılmasını önlemek için donanım ve yazılım yazma koruyucuları.
• Hash Alma Araçları: Dosyaların ve depolama cihazlarının kriptografik özetlerini hesaplamak için araçlar (ör. md5sum, sha256sum).
• Veri Kurtarma Yazılımları: Recuva, EaseUS Data Recovery Wizard, TestDisk
• Dosya Görüntüleyiciler ve Düzenleyiciler: Farklı dosya formatlarını incelemek için Hex düzenleyiciler, metin düzenleyiciler ve özel dosya görüntüleyiciler.
• Günlük Analiz Araçları: Splunk, ELK Stack (Elasticsearch, Logstash, Kibana)
• Ağ Adli Bilişim Araçları: Wireshark, tcpdump
• Mobil Adli Bilişim Araçları: Cellebrite UFED, Oxygen Forensic Detective
• Bulut Adli Bilişim Araçları: CloudBerry Backup, AWS CLI, Azure CLI

Yasal Hususlar ve Küresel Standartlar

Dijital adli bilişim soruşturmaları, ilgili yasalara, düzenlemelere ve yasal prosedürlere uymalıdır. Bu yasalar ve düzenlemeler yargı yetkisine göre değişir, ancak bazı yaygın hususlar şunlardır:

• Arama Emirleri: Dijital cihazları ele geçirmeden ve incelemeden önce geçerli arama emirleri almak.
• Veri Gizliliği Yasaları: Avrupa Birliği'ndeki GDPR ve Amerika Birleşik Devletleri'ndeki Kaliforniya Tüketici Gizliliği Yasası (CCPA) gibi veri gizliliği yasalarına uymak. Bu yasalar, kişisel verilerin toplanmasını, işlenmesini ve saklanmasını kısıtlar ve kuruluşların veri gizliliğini korumak için uygun güvenlik önlemleri almasını gerektirir.
• Delil Saklama Zinciri: Delillerin ele alınışını belgelemek için ayrıntılı bir delil saklama zinciri sürdürmek.
• Delillerin Kabul Edilebilirliği: Delillerin mahkemede kabul edilebilir olmasını sağlayacak şekilde toplanmasını ve muhafaza edilmesini sağlamak.

Birçok kuruluş, dijital adli bilişim için standartlar ve kılavuzlar geliştirmiştir, bunlar arasında:

• ISO 27037: Dijital kanıtların tespiti, toplanması, elde edilmesi ve muhafazası için kılavuzlar.
• NIST Özel Yayını 800-86: Adli Bilişim Tekniklerini Olaya Müdahale Süreçlerine Entegre Etme Kılavuzu.
• SWGDE (Scientific Working Group on Digital Evidence): Dijital adli bilişim için kılavuzlar ve en iyi uygulamalar sağlar.

Dijital Adli Bilişimde Delil Toplamadaki Zorluklar

Dijital adli bilişim araştırmacıları, dijital delilleri toplarken ve analiz ederken bir dizi zorlukla karşılaşırlar, bunlar arasında:

• Şifreleme: Şifrelenmiş dosyalara ve depolama cihazlarına doğru şifre çözme anahtarları olmadan erişmek zor olabilir.
• Veri Gizleme: Steganografi ve veri oyma gibi teknikler, verileri diğer dosyaların içinde veya ayrılmamış alanda gizlemek için kullanılabilir.
• Anti-Adli Bilişim: Veri silme, zaman damgası değiştirme ve günlük değiştirme gibi adli soruşturmaları engellemek için tasarlanmış araçlar ve teknikler.
• Bulut Depolama: Bulutta depolanan verilere erişmek ve bunları analiz etmek, yargı yetkisi sorunları ve bulut hizmeti sağlayıcılarıyla işbirliği yapma ihtiyacı nedeniyle zorlayıcı olabilir.
• IoT Cihazları: IoT cihazlarının çeşitliliği ve bu cihazların birçoğunun sınırlı depolama kapasitesi ve işlem gücü, adli analizi zorlaştırabilir.
• Veri Hacmi: Analiz edilmesi gereken veri hacminin büyüklüğü bunaltıcı olabilir ve verileri filtrelemek ve önceliklendirmek için özel araçların ve tekniklerin kullanılmasını gerektirebilir.
• Yargı Yetkisi Sorunları: Siber suçlar genellikle ulusal sınırları aşar, bu da araştırmacıların karmaşık yargı yetkisi sorunlarını aşmasını ve diğer ülkelerdeki kolluk kuvvetleriyle işbirliği yapmasını gerektirir.

Dijital Adli Bilişimde Delil Toplama için En İyi Uygulamalar

Dijital delillerin bütünlüğünü ve kabul edilebilirliğini sağlamak için, delil toplama konusunda en iyi uygulamaları takip etmek esastır. Bunlar şunları içerir:

• Ayrıntılı Bir Plan Geliştirin: Delil toplama sürecine başlamadan önce, soruşturmanın hedeflerini, toplanması gereken veri türlerini, kullanılacak araçları ve izlenecek prosedürleri özetleyen ayrıntılı bir plan geliştirin.
• Yasal Yetki Alın: Delillere erişmeden ve toplamadan önce gerekli arama emirlerini, rıza formlarını veya diğer yasal yetkileri güvence altına alın.
• Sistem Üzerindeki Etkiyi En Aza İndirin: İncelenen sistem üzerindeki etkiyi en aza indirmek için mümkün olduğunca müdahaleci olmayan teknikler kullanın.
• Yazma Koruyucular Kullanın: Elde etme işlemi sırasında orijinal depolama cihazına herhangi bir veri yazılmasını önlemek için her zaman yazma koruyucuları kullanın.
• Bir Adli İmaj Oluşturun: Güvenilir bir adli imaj alma aracı kullanarak tüm depolama cihazının bit-bit kopyasını oluşturun.
• İmajın Bütünlüğünü Doğrulayın: Bütünlüklerini doğrulamak için orijinal depolama cihazının ve adli imajın bir kriptografik özetini hesaplayın.
• Delil Saklama Zincirini Sürdürün: Delilin her transferini, tarih, saat ve ilgili kişilerin adları dahil olmak üzere belgeleyin.
• Delili Güvence Altına Alın: Orijinal delili ve adli imajı, yetkisiz erişimi veya kurcalamayı önlemek için güvenli bir yerde saklayın.
• Her Şeyi Belgeleyin: Kullanılan araçlar, uygulanan yöntemler ve yapılan bulgular veya gözlemler de dahil olmak üzere delil toplama sürecinde atılan her adımı ayrıntılı olarak belgeleyin.
• Uzman Yardımı Alın: Gerekli beceri veya uzmanlığa sahip değilseniz, nitelikli bir dijital adli bilişim uzmanından yardım alın.

Sonuç

Dijital adli bilişimde delil toplama, özel beceriler, bilgi ve araçlar gerektiren karmaşık ve zorlu bir süreçtir. En iyi uygulamaları takip ederek, yasal standartlara bağlı kalarak ve en son teknolojiler ve teknikler konusunda güncel kalarak, dijital adli bilişim araştırmacıları suçları çözmek, anlaşmazlıkları gidermek ve kuruluşları siber tehditlerden korumak için dijital delilleri etkili bir şekilde toplayabilir, analiz edebilir ve muhafaza edebilir. Teknoloji geliştikçe, dijital adli bilişim alanı da önemini artırmaya devam edecek ve dünya çapında kolluk kuvvetleri, siber güvenlik ve hukuk profesyonelleri için vazgeçilmez bir disiplin haline gelecektir. Sürekli eğitim ve mesleki gelişim, bu dinamik alanda bir adım önde olmak için çok önemlidir.

Bu rehberin genel bilgi sağladığını ve yasal tavsiye olarak kabul edilmemesi gerektiğini unutmayın. Geçerli tüm yasalara ve düzenlemelere uyumu sağlamak için hukuk uzmanlarına ve dijital adli bilişim uzmanlarına danışın.