Dijital İncelemenin Temelleri

Dijital İncelemeler ve Kanıt

Dijital incelemelerin odak noktası, bir suçun işlenmesinde kullanılmış olan dijital cihazlardır. Bu dijital cihaz fiziksel bir suçun işlenmesinde kullanılmış olacağı gibi yasaları çiğneyen dijital bir işlem de yapılmış olabilir. İlk duruma bir örnek olarak bir şüphelinin fiziksel bir suçu işlemekle ilgili bilgiyi edinmek için interneti kullanmasıdır. Diğer duruma örnekler ise; bir saldırganın bir bilgisayara yetkisiz olarak giriş yapması, bir kullanıcının tehdit içeren bir e-mail yollaması olabilir. Bir dijital incelemede ilk önce eldeki delillerle bir ya da birden fazla hipotez geliştirilir. Daha sonra bu kurulan hipotezleri çürütmek adına ve desteklemek adına deliller aranır.

Dijital Suç Mahalli İnceleme İşlemi

Dijital suç mahalli incelemesi işlemi 3 aşamadan oluşur.

• • 1- Sistemin korumaya alınması
  • 2- Kanıt arama
  • 3- Yeniden olay kurma

Bu aşamalar “kapalı” ve “açık” sistemlerde yapılan incelemelerin ikisinde de kullanılabilir. Açık analiz” kanıt bulmak için, incelenen sisteme ait işletim sistemi ve diğer kaynaklar kullanılıyorsa ortaya çıkar. Kapalı analiz” ise kanıt bulmak için güvenilir bir işletim sisteminde güvenilir uygulamalar kullanıldığında ortaya çıkar. Açık analiz ile hatalı bilgi alma riski bulunmaktadır. Çünkü cihaz içindeki yazılım ilgili veriyi ulaşılamaz biçimde gizlemiş veya değiştirmiş olabilir. Kapalı araştırma daha idealdir fakat her koşulda kullanılamayabilir.

1-Sistemin korumaya alınma aşaması:

Sistemin korunmaya alınması, suç mahallindeki durumu korumayı amaçlar. Ancak bu, korumaya alma duruma göre çeşitlilik gösterir. Bazı durumlarda yasal gereksinimler sistemin çıkartılmasını ve bütün bir kopyasının alınmasını gerektirebilir. Bazı durumlardaysa( virüs ve spyware ile karşılaşılması halinde) koruma işlemi yapılmaz.

Koruma teknikleri:

Bu işlemin amacı önemli datanın üzerine yazılmasını önlemektir. Kapalı analizde sistem kapatılarak tüm verilerin kopyası alınır. Açık analizde ise şüpheli işlemler durdurulur ya da kapatılır. Ağ bağlantısı kesilir (sistem boş bir hub ya da switch e bağlanarak “kapalı link” hatası vermesinin önüne geçilir) veya ağ filtresi kurularak şüphelinin uzaktan sisteme erişerek veriyi değiştirmesinin önüne geçilir. Önemli verinin, kanıt bulmak için açılmadan önce yedeği alınmalıdır. Kanıt bulma işlemi sırasında dosyada bir değişiklik yapılırsa alınmış olan kopyadan geri dönüş yapılabilir.

Bir kanıt dosyasının değiştirilip değiştirilmediğini anlamak için dosyanın kriptolojik hash değeri hesaplanır. Dosyada yapılan en ufak bir değişiklik bile hash değerini büyük ölçüde değiştirdiğinden dosyanın değiştirilip değiştirilmediği hash değerinden anlaşılabilir. Çeşitli kriptogratif hash ler; MD5, SHA-1, SHA-256.

2-Kanıt arama aşaması:

Bu aşama kanıt olabilecek dosyaların bulunması aşamasıdır. İlk olarak aranılan dosyaların nerede olabileceği tahmin edilerek oralarda arama yapılır. Örneğin Web üzerinden yapılmış bir işlem varsa web browser cache, geçmiş dosyaları ve bookmarklara bakılır. Daha sonra ise aradığımız kanıtın dosya tipini belirleyerek o şekilde bir arama yapılır. Örneğin JPG uzantılı tüm dosyaları listelemek istiyorsak “.jpg” uzantılı dosyaları araştırırız. Kanıt arama aşamasında önemli olan hipotezlerimizi destekleyen kanıtlardan ziyade hipotezlerimizi çürütecek kanıt aramaktır.

Arama teknikleri:

En genel arama tekniği dosyaları ismine göre veya isimlerindeki şablona göre aramaktır. Diğer bir genel arama biçimi dosya içeriklerindeki anahtar kelimeye göre aramaktır. Dosyaları “son erişim zamanı” ve “oluşturulma zamanı” gibi kriterlere göre de arayabiliriz.

Dosyalar, içerikleri MD5 ve SHA-1 gibi hashlerden geçirilerek sonucu Ulusal Yazılım Referans Kütüphanesi(NSRL)’ndeki hash değerleriyle karşılaştırılıp dosyanın iyi veya kötü olduğu belirlenebilir. 

3-Olay yeniden yapılandırma aşaması:

Kanıtları topladıktan sonra, elimizdeki kanıtlara dayanarak incelenmekte olan dijital cihazda hangi olayların olduğu, hangi işlemlerin yapıldığına dair hipotezler oluşturma aşamasıdır. Elde edilen kanıtlar, cihazda yapılmış olan işlemlere dair ipuçları taşır fakat cihazda tam olarak hangi işlemin yapıldığını, bulunan kanıtları hangi uygulamanın cihaza yüklediğini(Örneğin web browser aracılığıyla mı yüklenmiş yoksa bir malware mi yüklemiş) tam olarak göstermez. Bu sorulara cevap bulmak için yapılan olay yeniden yapılandırma aşamasında cihazda gerçekleşmiş olan işlemler ve bunların neler aracılığıyla gerçekleştirildiğine dair hipotezler kurulur. Bunu yapmak içinse cihazda yüklü olan işletim sistemi ve uygulamalar konusunda bilgi sahibi olmak gerekir çünkü değişik işletim sistemleri ve değişik uygulamalarda birbirlerinden farklı olaylar olabilmektedir.

Genel Yol Haritası:

Tüm inceleme işlemlerinde aynı prosedür uygulanmayabilmektedir. Bazı durumlarda yeni prosedürler yaratmak gerekebilmektedir. Bu bölümde PICL (Preservation, isolation, correlation and logging) ilkeleri anlatılmaktadır. PICL koruma, izole etme, ilişkilendirme ve kayıt altına alma konularını içerir.

İlk yol haritası, incelenmekte olan sistemin koruma altına alınması hakkındadır. İnceleme yapılırken dosyada değişikliğe mahal vermemek için izlenmesi gereken yol haritası örnekleri aşağıdaki gibidir:

• • Veriyi kopyalayarak orijinal veriyi güvenli bir yerde saklayıp, kopya üzerinden analiz yapmak
  • Veri için MD5 veya SHA hash değerlerinin hesaplanarak daha sonra verinin değiştirilmediğini kanıtlamak için saklamak.
  • Şüpheli verinin üzerine yazma olmaması için yazma korumalı cihaz kullanmak
  • Unallocated alandaki delillerin üzerine yazım olmaması için açık analiz esnasında oluşturulan dosya sayısını minimize etmek.
  • Açık analiz esnasında dosyaları açarken dikkatli olmak. Çünkü dosya açılırken dosyanın “son erişim zamanı” gibi verilerinde değişiklik meydana gelebilir.

İkinci yol haritası analiz çevresinin şüpheli veri ve dış dünyadan izole edilmesiyle ilgilidir. Hatta kendinizi bile şüpheli veriden izole etmelisiniz çünkü o verinin ne olabileceğini bilmiyorsunuzdur. Şüpheli sistemde bir çalıştırılabilir (executable) dosya çalıştırılması halinde o dosya tüm verileri silebilir, şüpheli cihaza uzaktan erişim bağlantısı açabilir. Şüpheli veriden izolasyon, veriyi limitli fonksiyona sahip uygulamalarla görüntülemek veya VMMARE gibi sanal bir çevrede görüntüleme yapmak yoluyla sağlanabilir. Dış dünyadan bir müdahale olmaması ve yaymak istemediğiniz bilgileri yaymamak için kendinizi dış dünyadan izole etmelisiniz. Bunu dış dünyayla bağlantısı olmayan bir analiz network’ü veya limitli erişim sağlayan firewall ‘lar aracılığıyla sağlayabiliriz. Açık analizde bu izolasyonu sağlamak zordur çünkü şüpheli verinin bulunduğu işletim sistemi kullanılır ve açık analiz gereği sistem bağlı bulunduğu ağdan çıkartılmamalıdır.

Üçüncü yol haritası verinin diğer bağımsız kaynaklarla ilişkilendirilmesiyle ilgilidir. Bu sahte veri olasılığının önüne geçer. Örneğin çoğu sistemde zaman bilgileri kolaylıkla değiştirilebilmektedir. Bu yüzden inceleme esnasında log girişleri, ağ trafiği ve diğer olaylar dosya aktivitesi zamanını teyit etmelidir.

Son yol haritası ise yaptıklarınızı kayıt altına almak ve belgelemektir. Bu işlem henüz yapmadığınız işlemler ve elinizdeki delilleri görmek açısından yararlıdır. Ayrıca açık analizlerde veride meydana gelen değişimlerin sizin yaptıklarınız sonucunda oluştuğunu belgelemek açısından önemlidir.

Veri Analizi

Analiz tipleri

Dijital veriyi analiz ederken, insan tarafından yaratılmış bir nesneyi ararız. Genellikle sistemler ölçeklenebilir, esnek ve katmanlı bir depolama sistemine sahiptirler. Bu yüzden analiz tipleri de katmanlı bir yapıyla anlatılacaktır.

Şekil 1.2

En alt katmandan başlarsak 2 bağımsız analiz alanı vardır. Bir tanesi depolama cihazlarının (özellikle hard diskler gibi kalıcı cihazlar), diğeriyse  iletişim sistemlerinin (örneğin IP ağları) analizine odaklanmıştır.

Şekil 1.2 değişik analiz alanlarını göstermektedir. En alttaki katman Fiziksel Depolama Medyası Analizidir ve fiziksel depolama medyalarının(hard diskler, hafıza çipleri ve CD-ROM lar) analizini içerir. Bu alanın analiz edilmesi, tracklar arasındaki manyetik verinin okunması ve diğer teknikleri içerir. Biz elimizde veri okumak için güvenilir bir metodumuzun ve daha önceden 1 ve 0 lar ile oluşturulmuş bir depolama cihazımızın olduğunu varsayacağız.

Kalıcı depolama için kullanılan depolama cihazları “volume”ler halinde organize edilmiştir. Volume, bir kullanıcı ya da uygulamanın veri yazıp okuduğu depolama yerleri koleksiyonudur. Volüme analizinin 2 ana konsepti vardır. Birisi bölümleme, yani volume lerin daha küçük volume lere bölümlenmesi, diğeri ise birleştirme, yani birçok volume’ün daha sonra tekrar bölümlenmek üzere birleştirilmesidir. Bu kategoriye örnek olarak DOS bölümleme tabloları, Apple bölümleme ve RAID dizileri verilebilir. Flopy diskler gibi bazı medyalar ise volume şeklinde organize edilmemiştir. Tüm disk bir volume dür.

İşletim sistemi dosyalarının ve diğer dataların nerede bulunduğunu ve nerede gizli dataları bulabileceğimizi kestirebilmek için veriyi volume seviyesinde analiz etmemiz gerekmektedir.

Her volume’de değişik tipte veriler olabilmektedir. En yaygın içerik dosya sistemleridir. Diğer volume ler bir veritabanı veya geçici swap alanı olarak kullanılır. Bir dosya sistemini istediğimiz veya gizlenmiş veriyi bulmak ve silinmiş verileri geri getirmek için analiz ederiz. Analiz sonucu; bir dosya içeriği, veri parçaları veya dosyalarla ilişkili metadatalar olabilir. Bir dosyanın içeriğini anlamak için uygulama katmanına gidilmelidir. Çünkü her dosyanın yapısı kendisini oluşturan işletim sistemine veya uygulamaya dayanır.

Elzem ve elzem olmayan veri

Katmanlardaki tüm verilerin belirli bir yapısı vardır. Fakat bu, tüm yapıların katmanın ana işlevi için gerekli olduğu anlamına gelmez. Örneğin, dosya sistemi katmanının amacı dosyaların organizasyonunu ve dolayısıyla dosyalara erişimi sağlamaktır. Bu katmanda dosya ismi ve adresi elzemdir ve bunlarda oluşacak bir eksik ya da hata, dosyanın içeriğinin okunamamasını veya hatalı okunmasını sağlar. Fakat örneğin dosyaya son erişim tarihi elzem değildir ve burada herhangi bir değişiklik veya eksiklik olsa dahi dosyanın içeriğine erişim sağlanabilir.