Adli Bilişim İncelemelerinde Kullanılan Yöntemler
İnceleme sırasında delil bütünlüğü bozulmamalı, delil niteliğindeki diskin üzerinde herhangi bir değişiklik meydana gelmemelidir. Yazma koruması sabit disk veya diğer dijital medyalara veri yazılmasını önleyen cihaz ve metotlardır. Yazma korumasının fonksiyonu, herhangi bir incelemede, bilinmeyen veya beklenmeyen, bir disk veya dosya yazımının engellenmesidir. Bu işlem; kopyası alınacak dosya veya diske, kopya işlemi tamamlanmadan önce herhangi bir yazma işlemini önlemektedir. [40]
Donanımsal yazma koruması
Donanımsal yazma koruması; genel olarak yazılımsal yazma korumasından daha güvenilir bir yöntemdir. Yazılımsal yazma koruması, işletim sisteminin kesme çağrılarına (interrupt call) müdahale etmek suretiyle yazma koruması sağlamaktadır. Donanımsal yazma korumasında; delil üzerindeki verilere erişebilmek maksadıyla delil ile inceleme yapılacak bilgisayar arasına donanımsal yazma koruma cihazları yerleştirilir. Bu cihazlar bilgisayardan delile doğru gönderilecek olan yazma işlemi olabilecek her türlü komutu tutar ve delile ulaşmasını engellerler. Başka bir ifade ile bu cihazların kendisine bağlantı kurulan delil niteliğindeki cihazlara yazma yetkileri yoktur. İnceleyici yanlışlıkla dahi yazma işlemi yaptırırsa bu cihazlar işlemin delile ulaşmasını engelleyerek delilde değişiklik meydana gelmesini önlemektedir. Bilgisayar ile delil arasında fazladan bir aracı birimin bulunması işlemlerin hızını azaltabilmektedir. Donanımsal yazma koruma cihazları hem Windows hem de Linux işletim sistemlerinde sorunsuzca kullanılabilmektedir. [40]
Yazılımsal yazma koruması
Yazılımsal yazma koruması; bilgisayar ile delil arasına herhangi bir ara birim konulmadan sadece inceleme bilgisayarında yazılımsal olarak yapılan değişiklikler ile delilin yazma işlemlerinden korunmasıdır. İnceleme bilgisayarında Windows işletim sistemi kullanılıyorsa; USB ile çalışan cihazlarda, sistem kayıt defteri (registry) ayarlarından “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control” altına “\StorageDevicePolicies\WriteProtect” Dword değerinin 1 olarak eklenmesi neticesinde yazılımsal yazma koruması sağlanmış olacaktır. Yazılımsal yazma koruması kullanarak yapılan incelemelerde kullanılan bilgisayar sisteminin hata vermesi sonucu, delil içerisine yazma işlemi yapabilmektedir. [40]
Ayrıca USB yazma koruma yazılımını “http://www.howtogeek.com/howto/windows-vista/registry-hack-to-disable-writing-to-usb-drives/” adresinden “EnableUSBWrite” ve “DisableUSBWrite” isimli dosyalar indirilir. Orijinal disk üzerinde herhangi bir değişikliğe neden olmamak amacıyla “DisableUSBWrite” isimli dosya çalıştırılır ve yazma korumasının aktif olması için bilgisayar yeniden çalıştırılır. İmaj alma işlemi bittikten sonra USB girişi üzerinden bilgisayara bağlanmış olan orijinal disk çıkarılır. USB yazma korumasının pasif hale getirilmesi için “EnableUSBWrite” isimli dosya çalıştırılır ve bilgisayar yeniden başlatılır. [44]
Windows işletim sisteminde SATA ve IDE bağlantı birimlerine sahip delillere yazma koruması sağlayabilecek lisanslı yazılımlar bulunmaktadır. Eğer inceleme bilgisayarında Linux işletim sistemi kullanılıyorsa; öncelikle “”automount” yani “otomatik yükleme” özelliği kapalı olmalı ve incelenecek medya bilgisayara bağlandıktan sonra “sudo mount -t type -o ro device dir” komutu ile sadece okuma yetkisi ile bilgisayara tanımlanmalıdır. Bu komutta “-o ro” read-only anlamına gelmektedir. USB, IDE ve SATA bağlantı birimlerine sahip tüm delillere tek bir yöntemle yazma korumalı olarak erişebilmek mümkündür. Çünkü “otomatik yükleme” özelliğinin kapalı olması ile bilgisayara hangi bağlantı ara birimi bağlanırsa bağlansın; medya, işletim sistemi tarafından mount edilmeyecek ve mount işleminin kullanıcı tarafından elle yapılması beklenecektir. [40]
İlk Adım
Bir adli bilişim incelemesindeki ilk adım, orijinal verilerin inceleme sırasında değişmesini önlemektir. Bu işlem orijinal diskin, başka bir diske, bit bazında Birebir Kopyalanması (İmaj almak) ile sağlanabilir. Birebir kopyanın alınması işleminde kullanılan yazma-koruma donanımları delilin türüne göre değişen bağlantı arabirimi ve kablolarını içerir. Bağlantı kabloları, incelemesi yapılacak olan delilin birebir kopyasının alınacağı bilgisayara veya bir depolama birimine yerleştirilir. Bu donanımlar, birebir kopya alınırken delile erişildiği esnada delilin üzerine herhangi bir verinin yazılmasını engeller. Bu kapsamda orijinal diske ait bitleri doğrudan diske yazmak yerine, disk üzerinde oluşturulacak olan imaj dosyasına yazmak daha sağlıklı bir yöntem olarak kabul edilmektedir. Kopyanın doğrudan bit seviyesinde başka bir diske kopyalanması, incelemelerde imaj dosyası üzerinden işlem yapmak yerine, incelenecek medyanın adli bilişim yazılımlarına mantıksal veya fiziksel donanım olarak tanıtılmasına neden olacaktır. Ayrıca alınan kopya boyutları itibariyle, CD veya DVD gibi optik medyalara yazdırılamayacak ve kopyanın farklı bir inceleyici tarafından incelenmesi gerektiğinde medyanın yalnız bir adet olmasından dolayı aynı anda inceleme yapma imkânı ortadan kalkacaktır. Doğru bir birebir kopya, inceleme esnasında kaynak medyanın birebir aynısının elde edilmesi ile mümkündür. Burada “birebir aynısı” terimi, orijinal medyanın her byte’ının kopyalanması anlamında gelmektedir. Orijinal medyada bulunmayan en ufak bir bilgi bile oluşturulan kopyada olmamalıdır. Ayrıca ideal bir kopyalama işlemi orijinal medya üzerinde herhangi bir değişiklik meydana getirmemelidir. [40]
Adli bilişim alanında yapılan incelemelerde yapılacak tüm inceleme ve analiz faaliyetleri olaya ait delillerin birebir kopyaları üzerinde yapılmalıdır. Delilde herhangi bir değişiklik meydana gelmemesi için mutlaka uygulanması gereken bu aşamada özel yazılım ve donanımlara ihtiyaç duyulmaktadır. Birebir kopya sayısal delilin üzerindeki bütün verilerin kopyasının alınması anlamına gelmektedir. Alınan birebir kopya;
- Mevcut verileri,
- Silinmiş verileri,
- Gizli bellek bölümlerini,
- Veri depolama biriminde bulunan diğer verileri kapsar.
Birebir kopyalama çeşitli yazılım veya donanımların kullanılması sureti ile yapılabilmektedir. Bu işlem için yaygın olarak kullanılan yazılımlar, genellikle Windows işletim sistemi üzerinde çalışabilen ve kapalı kaynak kodlu olan, Guidance Software EnCase Forensic Imager, GETDATA Forensic Imager, ProDiscover yazılımlarıdır. Linux işletim sistemi üzerinde çalışabilen ve açık kaynak kodlu olan kopyalama yazılımlarına örnek olarak ise dd, dcfldd, guymager gibi yazılımlar verilebilir. Açık kaynak kodlu yazılımların bazıları Windows işletim sisteminde de çalışabilmektedir. [40]
Önemli!
Elektronik deliller üzerinde, yapıları itibariyle çok çabuk ve kolay bir şekilde değişiklik yapmak mümkündür. Bir sabit disk veya USB belleğin bir bilgisayara bağlanması bile hem bilgisayar üzerinde hem de disk veya USB bellek üzerinde değişiklik meydana gelmesini sağlamaktadır. Bilgisayar üzerinde; bağlantı kurulan USB belleğin ya da sabit diskin ID numarası, ne zaman, hangi medyanın bağlandığı ve bağlantı kurulan medyanın markası modeli gibi birçok veri kaydolacaktır. [40]
Bağlanan USB bellek veya sabit diskte de dosyaların son erişim tarihlerinin güncellenmesi gibi veri değişiklikleri meydana gelebilmektedir. Elektronik delillerin hassas olmaları dolayısıyla inceleme sırasında da çok dikkatli olunmalıdır. Yazma koruması kullanılarak yapılan incelemelerde dahi delilin donanımsal parçalarından kaynaklanabilecek veri değişimleri olması mümkündür. Bu nedenle, inceleme sırasında delil ile mümkün olan en az seviyede bağlantı kurulmalıdır. Bu durum incelemelerin kopyalar üzerinde yapılmasını zorunlu kılmaktadır. Birebir kopya, bilinen anlamda kopyadan çok farklı bir kopyalama metodudur. Diğer bir deyişle silinmiş görünen (unallocated clusters) ve analiz edilmesi için gerekli diğer tüm alanların da kopyasının alınması demektir. [40]
Kaynak:
[40] Ceylan, R. & Şirikçi, A.S. ‘‘Bilişim Teknolojileri İncelemeleri- Veri İncelemeleri’’, Adli Bilimler, Cilt 2, Editör: Cihangiroğlu, B. , Jandarma Kriminal Daire Başkanlığı Yayınları, Ankara, 152-174, 2011.