Dijital Veri İnceleme

En Hassas Delil “Dijital Delil”

Günümüzde işlenen suçlara ek olarak, artık internet üzerinden veya bilişim sistemlerinden işlenen suçların çeşitliliği de artmaya başladı. Dolandırıcılık, sahtecilik, illegal satış işlemleri gibi onlarca konu başlığında insanların “siber” alan dışına taşarak artık reel alanda da canları yanmaya başladı.

Günümüzde siber ortamda yaşanan suçlardan canı yanan insanların da başvuracağı yer, fiziki zarara uğramış insanların bulunduğu yerden farksız olarak normal mahkemelerdir. Normal mahkemelerde, bazı uyarlanmış kanunlardan dolayı çok net ve kesin ifadelerin bulunmuyor olması bizim işimizi çok fazla zorlaştırmakta malesef. O yüzden dijital konuda gerçekten zarara uğradığımızı ifade etmek için çok ciddi delilleri elimizde tutmamız gerekiyor.

Bu konuda da önümüze çıkan konu, “dijital verilerin incelenmesi” oluyor. Dijital delillerin toplanması, o delillerin en ince ayrıntılarına kadar incelenmesi, saldırganların ayak izlerinin çok iyi sürülmesi siber alanda yaşadığımız çöküntüyü, net olarak ifade edip, saldırganların cezasını almasına sebep olacaktır.

Nasıl ki bir cinayetten sonra suç aleti olan silah alınıp, üzerindeki parmak izi ve silahtan çıkan kovan kriminal incelemeye alınıp, gerçekten suçun onunla işlendiği kesinlik kazanabiliyorsa, sunucu üzerindeki 1 satırlık LOG kaydının da aynı değerde bir “dijital delil” olduğuna herkesin aynı ölçüde tatmin olması gerekiyor. Silah fiziksel var olan bir şey olduğundan insanların kafasında çok daha rahat canlandırdığı, fakat bilgisayar ekranındaki 1 satırlık yazının bu kadar ciddi bir delil olmadığı düşüncesine hakim olan insanların, yavaş yavaş “dijital delil” konusuna ve bu alandaki tek satırlık kaydın gücüne inanmaları olumlu gelişmeler olarak düşünülmektedir.

Nedir bu dijital delil?

Örneğin, sunucularınızdaki özel dosyalarınıza ulaşmak için giriş yapan ya da saldıran bir saldırganın, bizim bilgisayarımıza girişini, yaptığı işlemleri tutan LOG kayıtları veya IP’ler dijital delil olarak adlandırılabilir.

Örneğin, el koyulan bir bilgisayar sisteminde, silinmiş dahi olsa çıkartılabilen veriler, dijital delillerdir.

İnandırıcılığı en hassas olan, delil sayılabilmesi için var olduğu sanal ortamda varlığını sürdürmesi gereken dijital deliller, silindiği zaman ya da başka bir zarara uğradığı zaman, davanın seyrini fazlasıyla değiştirecek öneme sahip olmaktadır. Yaşanan bir sisteme sızma vakasında, kişiler harddisk üzerinde çalışan bir uygulamayı alıp inceleyerek bunun dijital delillerini ortaya koyup mahkemeye sunabilir. Fakat yaşanan bir hack vakasında, karşı taraftan sisteme sızan kişi, daha akıllıca davranıp bilgisayarın belleğinde (RAM) çalışan bir uygulama geliştirdiğinde, uygulama bellek üzerinde açılıp, gerekli transfer işlemini sağladığında eğer bilgisayarın imajını alan kişi akıllıca davranıp RAM imajını da almazsa, bilgisayar kapandığı an tüm deliller yok olabilir. Milyon dolarlık zararınızı tazmin edebileceğiniz deliller, işi bilmeyen bir adli bilişimci tarafından yok edilebilir. O yüzden, dijital delillerin toplanmasında, uzman ekiplerin çok hassas olarak delilleri toplaması hayati önem taşımaktadır.

Günümüzde alınan imajların tamamının sadece HDD imajları olduğunu dikkate alırsak, hackerlar tarafından bellek üzerinde çalışacak uygulamalar yazılmasının ne kadar mantıklı olduğunu, ayak izi bırakmadan sisteme girip, işlemleri halledip çıkmanın ne kadar rahat olduğu net olarak görülebilmektedir. (Konu başlığı İsmail Ş. tarafından oluşturulmuştur.)

Dijital ortamda dosya tarih-saatleri tek başına delil olamaz ve hüküm kurmaya yetmez

Dijital ortamda bir içeriğin ilk ne zaman oluşturulduğu konularında,  aşağıdaki türde tespitler, tek başlarına, yani doğrulayıcı harici bir kaynakla teyit edilmediği sürece, %100 kesinlik ifade etmez ve tek başına bir hükme esas teşkil etmez.

  • Dosyaların oluşturma, değiştirme ve erişim tarihlerine ilişkin görünen tarih-saatler,
  • Bir dosyanın ilk nereden gelmiş olabileceğine ilişkin sözde tespitler,
  • Dijital ortamda bir içeriğin ilk ne zaman oluşturulmuş olabileceğine ilişkin sözde tespitler,
  • Bir videonun, bir resmin, bir ses kaydının veya bir yazının ilk ne zaman oluştuğuna ilişkin sözde tespitler (videonun üzerinde zaman sayacı olsa bile %100 kesin olmayabilir),
  • Bir yazının ilk ne zaman yazıldığı veya çıktı alındığına ilişkin görünen tarihler,
  • Bir dosyanın üst veri (metadata) kısımlarında görünen tarihler…

Yani kısacası, dijital ortamda bir dosyanın veya bir kaydın ilk ne zaman meydana geldiği konusunda, tarih tespiti diye sunulan değerler, eğer ki harici ve değişmeyen bir zaman kaynağıyla doğrulanmamış ise (ve doğrulanamıyorsa) %100 doğru olarak kabul edilemez, tek başına delil vasfı kazanamaz ve tek başına hüküm kurmaya yetmez.

Çünkü;

  • tarih-saat bilgileri, kaydın oluştuğu veya işlem gördüğü bilgisayarın tarih-saati neyse ona göre tayin edilen bilgilerdir. En başta, geçmişteki bir zamanda, yani tarihi tespit edildiği iddia edilen eylemin gerçekleştiği sırada, o bilgisayarın tarih-saatinin doğru tarih-saat’e ayarlı olup olmadığı bilinemez.
  • Dijital ortamdaki dosyaların (ve klasörlerin) tarih-saatleri çok çeşitli işlemlerden etkilenir ve değişir veya dönüşür.
  • Exif, metadata(üst veri) vb isimlerle de bilinen ve dosya özelliklerinde görünmekten ziyade doğrudan dosya içine otomatik olarak kaydedilen tarih-saatler dahi, dosya özelliklerindeki tarih-saatlere göre daha zor değişebilir olsa da yine tek başına %100 kesinlik ifade etmez.
  • En nihayetinde, dijital ortamda bir çok dosya veya kaydın tarih-saatleri, istenildiğinde uygun programlarla değiştirilebilir.

O nedenle dijital ortamda dosya tarih-saatleri – harici ve değişmeyen bir tarih-saat kaynağıyla teyit edilemediği sürece- tek başına kesin değildir, delil olamaz ve tek başına hüküm kurmaya yetmez. (Konu başlığı Dr. Yunus Malı tarafından oluşturulmuştur.)

 

Dijital incelemelerde tespitler ne kadar kesindir?

Aslında sorunun cevabı, ne gibi bir tespitte bulunulduğuna bağlı olarak değişir. Bir resim dosyasının bir bilgisayarda bulunup bulunmadığına yönelik olarak yapılan bir inceleme sonucu güvenilir bir tespit iken, dosyaların tarih-saat bilgilerine ilişkin tespitler, ya da bir içeriğin bilgisayarda ilk olarak nasıl oluşmuş olabileceği, bilgisayardaki konumuna nerden geldiği, oradan başka bir yere kopyalanıp kopyalanmadığı, kimlerin o içeriğe girdiği gibi sorulara karşılık olarak verilen cevaplar %100 kesin doğrular olarak algılanmamalıdır.

Kesinlik arz etmeyen bu durumlara başka bir kaç örnek daha verelim:

– Tarih-saat bilgileri:

Dijital ortamlardaki dosyaların oluşturma, değiştirme vb tarih-saat bilgileri % 100 doğru olmayabilir. Görünen tarih-saat bilgileri, gerçek tarih-saati yansıtmıyor olabilir.

– Silinen verilerin kurtarılması:

Silinen bilgilerin üzerine bilgiler yazılmadığı sürece genel olarak kurtarılabilir olsa da her zaman bu veriler silinmeden önceki haliyle kurtarılamayabilir ve ilk orijinal halindeki formatta açılamayabilir. Örnek, silinen bir word dosyası, kurtarma işlemi sonrasında metinleri ham formatta gösterse de normal word sayfası görünümünde açılmayabilir. Veya bazı şekilsel içerik silinmeden önceki haliyle açılmayabilir.

–  Okunamayan CD, hafıza kartı, vb.

Bazı incelemelerde, CD, disket, hafıza kartı gibi cihazlar hiç okunamaz veya içerisi boş şekilde görünür. Genellikle içi boş olduğu veya arızalı olduğu değerlendirilen bu gibi CD, hafıza kartı, disket gibi materyaller, bir başka okuyucuda pekala normal şekilde çalışabilir.

– Metadataki bilgiler gerçeğii yansıtmayabilir:

Bir word dosyasının metadasında yer alan bilgilerden örneğin “yazıcıdan çıktı alma” tarihi her zaman gerçek tarihi göstermeyebilir. Örnek, olarak word programı başlatprogramlarword şeklinde çalıştırılarak yazılan ve daha sonradan çıktı alınan bir word dosyasının “yazıcıdan çıktı alma tarihi” gerçek tarihi gösterirken, halihazırda açık bir word programından DosyaYeniword belgesi şeklinde oluşturulan bir word dosyasının çıktı alma tarihi gerçek tarihi göstermez.

– Msn hesapları olarak tespit edilen kayıtlar gerçekte msn hesabı olmayabilir:

Bilgisayardan girilen msn hesaplarının tespiti için kontrol edilen registry alanındaki bilgiler, her zaman gerçek bir msn’ye işaret etmeyebilir. Kullanıcının msn’ye girmek için hatalı yazdığı ve gerçekte msn adresi olmayan her türlü abc@hotmail.com formatındaki ifade, sanki msn hesabıymış gibi o alanda yer alır. Oysa ki bırakın bilgisayardan öyle bir msn’ye girilmiş olmasını gerçekte öyle bir hesap dahi yoktur.

Yukarıdaki örnekleri çoğaltmak mümkündür. O nedenle, bilgisayarda ‘şöyle bir içerik var mı yok mu’ tipindeki bir sorunun cevabı dışındaki diğer tespitlerin (tarih-saat tespitleri, bir işlemin kim tarafından yapıldığı, bir dosyanın nereden geldiği, hangi printerdan çıktı alındığı gibi sorulara verilen cevaplar)  her zaman %100 kesinlik ifade etmez. Bu durumlar göz önüne alınmalı ve bilirkişi raporları hazırlanırken aşırı kesinlik ifade eden beyanlardan kaçınmak gerekir. (Konu başlığı Dr. Yunus Malı tarafından oluşturulmuştur.)

Share:

Leave a reply