Adli Bilişimde İmaj Almada Kullanılan Ekipmanlar
Adli İnceleme de Kullanılan Yazılımlar
Adli inceleme de, Avrupa ve Amerika başta olmak üzere tüm dünyada bulunan laboratuvarlarda adli bilişim alanında yapılan incelemelerde ağırlıklı olarak kapalı kaynak kodlu yazılımlar kullanılmaktadır. Bunlara örnek olarak Encase Forensics, X-Ways, Forensic Tool Kit verilebilir. Bunun nedeni ise işletim sistemi olarak Microsoft işletim sistemlerinin yaygın bir şekilde tercih edilmesidir. [1]
Kapalı kaynak kodlu yazılımlar, genel anlamda geliştirilmesi profesyonel yazılımcılar tarafından yapılan, her yeni sürümünde yeni özellikler eklenen ve kendilerinden maddi anlamda bir kazanç elde edilebilen, kaynağı kullanıcılara katılmış yani üzerinde herhangi bir değişiklik yapılmasına imkân sağlamayan yazılımlardır. [1]
Donanımlara örnek olarak ise;
- Tableau yazma-koruma cihazları,
- Voom Technology cihazları,
- Solo-III kopyalama cihazları verilebilir.
Bir adli bilişim uzmanı farklı işletim sistemi mimarilerinden ve bileşenlerinden haberdar olmak zorundadır. Bu kapsamda; adli bilişim uzmanının farklı durumlarda inceleme yapabilmesi için, farklı yazılım ve donanımlar ile işletim sistemlerini kullanabiliyor olması gerekmektedir.
Adli bilişim incelemelerinde konfigürasyonları gereği farklı yazılımlarla farklı sonuçlara ulaşılabilir. Adli bilişim uzmanının hangi durumda hangi yazılımın kullanılması gerektiğini çok iyi bilmelidir. Dünyada ve ülkemizde adli bilişim incelemelerinde yaygın olarak kapalı kaynak kodlu yazılımlar kullanılmaktadır. [1]
A- Kapalı Kaynak Kodlu Yazılımlar (Ticari Yazılımlar)
Adli inceleme alanda en çok bilinen Encase, FTK(Access Data Forensics Tool Kit), Forensic Explorer , X-Ways Forensic ve OSforensics gibi yazılımlar, inceleme konusu elektronik delil üzerinde tutarlı ve tekrar edilebilir sonuçlar verdiği için ticari yazılımlar arasında ön plana çıkmışlardır. Ticari yazılımlar, ücretsiz yazılımlara oranla daha fonksiyonel ve gelişiminin daha hızlı olması nedeniyle daha kullanışlıdır. Bunun bedeli olarak yüksek fiyatla satılmakta ve güncellenmektedirler. Başlıca avantajları arasında, kolay temin edilebilir olması, fazla eğitim almadan temel fonksiyonlarıyla kullanılabilir ara yüze sahip olmaları, birçoğunun arkasında danışılabilecek bir şirket veya sertifikalı eğitim programının olması, sonuçları herkesin anlayabileceği ve yorumlayabileceği açıklıkta sunmaları ve büyük bölümünün Windows işletim sistemi üzerinde çalışması sıralanabilir. Dezavantajları ise, maliyetinin yüksek olması, kodların açık olmaması nedeniyle yazılımda kullanıma bağlı olarak değişiklik yapmanın mümkün olmaması gibi problemlerdir. [2]
1. Encase
Adli inceleme de en popüler adli bilişim yazılımlarından biridir. Bire-bir disk kopyası oluşturma, analiz ve raporlama aşamalarının tümünde kullanılabilen ve güvenilirliği en fazla olan yazılımlardan biridir. Encase hemen hemen tüm dosya sistemlerini tanıyan, birçok imaj formatı ile uyumlu ve RAID sistemlerini destekleyen Windows tabanlı bir yazılımdır. Adli Bilişim dünyasında en çok kullanılan yazılımı Encase’dir. Dünya çapında 15,000 araştırmacı tarafından kullanılmaktadır.
En büyük 50 bilişim firmasının 40’ı Encase yazılımını aktif olarak çalışanlarının bilgisayarlarında kurulu bulundurmaktadır. Encase yazılımı genellikle kanun kuvvetleri, hükümetler ve kurumsal şirketler tarafından kullanılmaktadır. Dünya ülkelerindeki birçok mahkemeler tarafından resmi veri kurtarma ve raporlama yazılımı olarak kabul görmektedir. Encase yazılımı ile birçok farklı dijital medyanın imajı alınabilir. Bunlardan en sık kullanılan medya türü bilgisayar sabit diskleridir. Günümüzde yüksek kapasitelere sahip olan modern sabit diskler Encase tarafından kolaylıkla imajlanabilmektedir. Adli bilişimde, elektronik delillerin mutlaka kopyaları üzerinde çalışılması gerektiğinden elde edilen delillerin güvenilir bir yöntemle imajlarının alınması gerekmektedir. Encase sahip olduğu özellikler ve doğrulama algoritmaları sayesinde bu görevi profesyonel bir şekilde yerine getirebilmektedir. [3]
2. Access Data Forensics Tool Kit
Adli inceleme de kullanılan ikinci en popüler yazılımdır. Encase üzerinde bulunmayan bazı fonksiyonlara sahip olduğu gibi, kullanımının daha kolay olması nedeniyle de adli bilişim uzmanları tarafından tercih edilmektedir. Bu program da adli bilişimin tüm aşamalarında(imaj alma, analiz, raporlama) kullanılmaktadır. FTK, Encase’e oranla daha düşük maliyete sahip olmakla birlikte, imaj almak için kullanılan programı (FTK Imager) ücretsiz dağıtılmaktadır.
Adli Bilişim dünyasının en beğenilen yazılımlarından birisi olan FTK’nın 5.0 sürümü üreticisi Accessdata firması tarafından duyuruldu. Accessdata yetkilileri rakiplerine göre yeni avantajlar taşıyan FTK 5.0’ın aşağıda belirtilen yeniliklerle geldiğini açıkladılar:
- Hızlı işlem gücü, çabuk indeksleme ve arama özelliği sayesinde analiz zamanının azalması,
- Hızlı veritabanı sayesinde çok büyük verileri kolayca ve sorunsuzca inceleyebilme,
- Mimari yapıda yapılan değişiklikle web üzerinden dağıtılmış iş bölümü ve yönetimi ile daha hızlı ve efektif çalışarak optimum sonuca en kısa sürede ulaşabilme,
- Zaman ekseninde verilerin görsel olarak sunulması ve sosyal medya ilişki analizi yapabilmesi,
- Explicit Image Detection (EID) (Müstehcen Fotoğraf Tanıma) özelliği ile adli kopyalar içerisindeki müstehcenlik ihtiva eden pek çok fotoğrafın tespiti ve incelemesi yapılabilmekte ve özellikle çocuk istismarına yönelik vakalar için otomatik tespit yapabilmekte,
- Mobil Cihaz İnceleme (MPE+) yazılımı 30 günlük tamamen ücretsiz kullanım imkânı ile beraber gelmekte, süreyi uzatmak için ihtiyaç duyulan lisansın alınması gerekmekte,
- Kötü niyetli yazılımların (malware) tespiti ve analizi için Cerberus özelliğinin imkan ve kabiliyeti artırılmış olup ayrı bir modül olarak yüklenmesi gerekmektedir.
Accessdata firmasının bu atağına karşılık Guidance Software, X-Ways Forensics ve Tech Pathways Prodiscover’ın yapacağı yenilikler adli bilişim sektörü tarafından merak edilmeye başlanmıştır. [4]
3. Forensic Explorer
Adli inceleme alanında komple çözüm sunan, rakiplerine kıyasla kullanımı son derece kolay, hızlı, kullanıcı dostu bir ara yüze sahip ilk Türkçe adli bilişim yazılımıdır. Türkiye’de adli bilişim alanında kullanılan temel inceleme ve analiz yazılımlarının ara yüzlerinin İngilizce olması kullanma, yaygınlaştırma, teknik destek ve eğitim alanlarında güçlüklere neden olmaktadır. Ayrıca, bu yazılımların kullanım etkinliğini artırmak için eğitimini almak amacıyla yurt dışına personel gönderilmesi de ilave masraflara neden olmaktadır.
DIFOSE, Türkiye’deki adli bilişim sektörüne hem bir yenilik hem de %100 Türkçe adli bilişim yazılımı kazandırmak amacıyla 2013 Haziran’ın da çalışmalara başlamıştır. Yapılan teşebbüsler sonucu veri kurtarma alanında tüm dünyaca tanınmış olan Avustralya firması GetData ile işbirliğine giderek adli bilişim alanında büyük bir ihtiyaç olan ve aşağıda detayları belirtilen Türkçe adli bilişim yazılım çözümlerini başarı ile tamamlamıştır:
İlk Türkçe ara yüzlü adli bilişim yazılımı Forensic Explorer Avustralya’nın veri kurtarma alanında dünyaca tanınan firması GetData ve DIFOSE işbirliği ile geliştirilmiştir. GetData ve DIFOSE tarafından geliştirilmesi yaklaşık bir yıl süren Forensic Explorer adli bilişim yazılımının tüm kodları DIFOSE tarafından Türkçeye çevrilerek yeniden derlenmiş ve Türkiye adli bilişim sektörünün hizmetine sunulmuştur.
Kullanımı kolay ve üstün özellikleri bulunan ilk Türkçe ara yüzlü adli bilişim yazılımı Forensic Explorer yazılımı kullanıcılarından tam not aldı. Yazılımın deneme sürümü http://www.forensicexplorer.com/download.php adresinden indirilip 30 gün boyunca ücretsiz olarak kullanılabilmektedir. [5]
4. X-Ways Forensics
X-Ways Software Technology AG Federal Almanya Cumhuriyeti yasaları çerçevesinde kurulmuş bir şirkettir. Dünya çapında X-Ways adli bilişim alanında Encase ve FTK dan aşağı değildir. ABD dışında bilgisayar adli bilişim üzerine lider geliştiricisi ve tedarikçi bir şirkettir. X-Ways; adli tıp , elektronik keşif, veri kurtarma, düşük-seviye veri işleme ve bilişim güvenliği alanında tercih edilmektedir.
WinHex ve adli inceleme yazılımı olan X-Ways, ev bilgisayar meraklıları yanı sıra işletmeler, kamu yönetimininde olan her türlü profesyoneller, eğitim firmaları, ABD federal kolluk kuvvetleri, hükümet ve istihbarat dahil olmak üzere tüm dünyada 35.000 ‘den fazla kayıtlı kullanıcısı vardır.
Kullanan firmalara örnek olarak, Microsoft Corp., Hewlett Packard, Toshiba Avrupa, Novell Inc., Ulusal Semiconductor, Ontrack Veri International Inc, KPMG Adli, Ernst & Young, Siemens AG, Siemens Business Services, VDO AG, Infineon Technologies Flaş GmbH & Co., Lockheed Martin, BAE Systems, Ericsson, TDK Corporation Seul Mobil Telekom, Alman Havacılık ve Uzay Merkezi, Visa International, Commerzbank AG, Viyana Teknik Üniversitesi, Münih Teknik Üniversitesi (Bilgisayar Enstitüsü Bilim), Tennessee, Oak Ridge Ulusal Laboratuvarı, Alman Havacılık ve Uzay Merkezi, havacılık kaza soruşturma, Aşağı Saksonya kolluk ajansı, Avustralya Savunma Bakanlığı Alman Federal bürosu verilebilir.
Müşterilerinin çoğunluğu ABD (% 34) ve Almanya (% 33), İngiltere (% 6), Fransa (% 5), Avustralya (% 3), Çin (% 3), Avusturya (% 2), İsviçre (% 2). Diğer 12.5% şeklindedir. [6]
5. Paraben
Paraben tarafından geliştirilen adli bilişim yazılımları tek olarak bulunabildiği gibi paket olarak da dağıtılmaktadır. Paraben yazılımlarının fiyatı FTK ile aynı seviyelerde olmakla beraber, paket içinde bulunan cep telefonları ve cep bilgisayarlarının incelenmesine yönelik yazılımlarla bu alanda ön plana çıkmaktadır. [7]
6. PassMark OSForensics
Adli inceleme uzmanlarının kullandığı gelişmiş bir programdır. PassMark OSForensics ile bir işletim sisteminden o bilgisayarda kullanılan sistem ve özelliklerine, silinen dosya ve resimlere, en son açılan dökümanlara, web gezinti tarihçesine, bağlanılan USB aygıtlara, networkte paylaşılan dosyalara, sistem hafızasında çalışan işlemler ve özelliklerine, Internet Explorer, Firefox, Chrome ve Opera gibi internet tarayıcılardan girilen son şifrelere kadar birçok veriye ulaşabilirsiniz.
OSForensics ayrıca bellek türü, sabit diskler, işlemci ve USB aygıtları dahil olmak üzere detaylı donanım bilgileri toplamak için özellikler içerir. Eğer, dosya ve klasör içeriğini doğrulamak için karma setleri ve imzalar oluşturmak, disk görüntülerini oluşturmak, monte ve bir fiziksel sürücünün ham içeriğini görüntülemenize olanak sağlayan çeşitli gelişmiş seçenekler vardır.
Diğer özellikleri taşınabilir bir sürücü yüklemek için seçenek, etkin bir bellek görüntüleyici, sürücü doğrulama, vaka yönetimi ve daha fazlasını içerir. OSForensics daha ileri düzey kullanıcılar veya fiili araştırmacılara yönelik birçok özelliği ile oldukça karmaşık bir yazılımdır. [8]
7. ILook Investigator
ILook IXimager yazılımı vasıtası ile yazılımsal yazma koruma tedbiri alınarak imaj alma işlemi gerekleştirilebilir. IXImager Linux tabanlı yazılımsal bir çözümdür. ILook Investigator yazılımı ise çok kuvvetli bir bilgisayar kriminalistiği yazılımıdır. ILook bedava bir yazılım olmakla birlikte sadece belirli şartlar ispat edildiği müddetçe kamusal kurum çalışanlarına (polis, asker, adli görevli) dağıtılmaktadır. Kullanımı oldukça zor, alışkanlık haline geldikten sonra güzel bir yazılımdır. Güçlü bir araç, ancak donanım ve RAM fazla kullanır. Grup Lisansı yoktur. NET ile programlanmaktadır. Kişilere lisanslanan bir yazılımdır. V7 ve V8 sürümleri güncel ve kullanılmaktadır. İngiltere ve ABD kanun uygulayıcıları ortaklığı ile geliştirilmektedir. NIST ve Hashkeeper veritabanlarını kullanmadır. FAT12, FAT16, FAT32, FAT32x, VFAT, NTFS, HFS, HFS+, Ext2FS, Ext3FS, SysV AFS, SysV EAFS, SysV HTFS, CDFS, UDF, Netware NWFS dosya sistemleri desteklemektedir. FAT / NTFS dosya kurtarma, Çoklu delillerle olay yönetimi ve raporlama, Internet önbellek ve mail geri getirme, Güçlü betik mekanizması, Dosya zaman çizelgesi görünümü, Tümleşik Hex Editörü, Explorer tipi arabirim ile programa kolay hakimiyet ve dosya imzaları doğrulaması yapmaktadır. [9]
B- Açık Kaynak Kodlu Yazılımlar
Adli bilişim alanında kullanılan ticari yazılımların yanı sıra, bu alanda kendini ispatlamış ve popüler hale gelmiş açık kaynak kodlu yazılımların sayısı da küçümsenmeyecek kadar çoktur. Özellikle bu grupta yer alan Autopsy, Sleut Kit ve Helix gibi yazılımlar, resmi nitelikte adli inceleme yapan kurum ve kuruluşlar tarafından da kullanılmaktadır. Bu tür ücretsiz ve güvenilir yazılımlar, bazen ticari yazılımlardan elde edilen sonuçları doğrulamak ve desteklemek amacıyla da tercih edilmektedir.
Açık kaynak kodlu yazılımlar internet üzerinden kolaylıkla indirilebilen ve kurulabilen bir yazılım veya başlatılabilir CD halinde olabilmektedir. Fakat açık kaynak kodlu yazılımların kullanım zorluğunun daha fazla olması nedeniyle, bu konuda deneyimli olmak gerekebilmektedir. Ucuz veya ücretsiz olması, kolay temin edilebilir olması, lisans gereksinimi olmaması, popüler olanlarının adli bilişim alanında doğruluğunun ve güvenirliğinin ispatlanmış olması, farklı işletim sistemlerine yönelik uygulamaların bulunması ve üzerinde kişiye özel değişikliklerin yapılabilmesi, açık kaynak kodlu yazılımların avantajları arasında sıralanabilir.
1. Linux dd
Linux dd, tüm Linux işletim sistemleri üzerinde bulunan bir programdır/komuttur. Bu komutla veriyi kaynaktan hedefe blok halinde kopyalama işlemi yapılabilir. İmaj almak için kullanılan ticari ya da açık kaynak kodlu tüm yazılımların temelinde “Linux dd” komutu vardır. Fakat komut kullanımı yerine, ara yüzü olan yazılımların kullanımının daha kolay olması nedeniyle bu komutun kullanımı yaygın değildir. Linux dd ile analizi yapılacak olan bir depolama biriminin imajının alınması ya da orijinal kopyasının oluşturulması mümkündür.
2. Autopsy ve The Sleuth Kit
Sleuth Kit komut satırında çalışan bir disk/dosya analiz aracıdır. Autopsy ise Sleuth Kit’in kullanımı için geliştirilmiş bir web ara yüzüdür. Autopsy, açık kaynak kodlu adli bilişim yazılımları içerisinde en geniş kapsamlı olan yazılımdır. Bu program ile kapsamlı bir disk/dosya analizinin yapılması mümkündür. [10]
3. Helix
Linux tabanlı Knoppix işletim sistemi üzerine inşa edilmiş, adli bilişim inceleme yazılımlarından oluşan bir yazılımdır. Helix, içerisinde sadece adli bilişim alanında kullanılan yazılımlar bulunan ve bu amaçla tasarlanan özel bir yazılım paketidir. [11]
KAYNAKLAR
- Şirikçi, A.S. (2013), Veri Kurtarma Açısından Açık Kaynak Kodlu Ve Kapalı Kaynak Kodlu Yazılımların Karşılaştırılması, Ankara Üniversitesi Sağlık Bilimleri Enstitüsü, Ankara, Yüksek Lisans Tezi.
- Kara, Ş. (2013), Veri Kurtarma Yöntemlerinin Başarımlarının Değerlendirilmesi,Fırat Üniversitesi Fen Bilimleri Enstitüsü, Elazığ, Yüksek Lisans Tezi.
- Say, K. (2006). Bilişim Suçlarında Elde Edilen Delillerin Olay Yerinden Toplanması ve Laboratuvarlarda İncelenmesi, Yüksek Lisans Tezi, Ankara Üniversitesi.
- Web: http://www.difose.com/blog/index.php/forensic-tool-kit/78-ftk-5-0-surumu, Erişim Tarihi: 01 Ocak 2015
- Web: Forensic Explorer, http://www.difose.com/blog/index.php/forensic-explorer/114-forensic-explorer, Erişim Tarihi: 20 Aralık 2014
- Web: X-Ways Forensics, http://x-ways.net/forensics/index-m.html, Erişim Tarihi: 20 Aralık 2014
- Web: https://www.paraben.com, Erişim Tarihi: 21 Aralık 2014
- Web: OSForensics, http://osforensics.com/osforensics.html, Erişim Tarihi: 21 Aralık 2014
- Web: ILooKIX, http://www.perlustro.com, Erişim Tarihi: 21 Aralık 2014
- Web: Autopsy, http://www.sleuthkit.org/autopsy, Erişim Tarihi: 21 Aralık 2014
- Henkoğlu, T., Adli Bilişim Dijital Delillerin Elde Edilmesi ve Analizi, Pusula Yayınları, 2014.