Adli Bilişimde İmaj Almada Kullanılan Donanımlar

Adli makamlara sunulmak üzere, Adli Bilişim Standartlarına uygun olarak, Sabit Disk İmajlarının (adli kopya) alınmasında en fazla kullanılan temel araçlardan biridir. Özel Yeteneklere sahip imaj alma seti ve Delil Sabit Diski yazmaya karşı koruma özelliği vardır. Ortalama 6 GB/Dakika boyutuna kadar çıkabilen imaj alma hızı vardır. İmaj bütünlüğünü doğrulayan, uluslararası geçerliliğe sahip MD5 ve SHA-1 HASH değerlerini hesaplama ve sunma özelliği mevcuttur.

Piyasada en çok kullanılan donanım cihazlarını ayrıntılı olarak aşağıda inceleyeceğiz.

4.1. TableauTDl

4.2. HardCopy 3

Adli bilişimin büyüyen ihtiyaçlarını karşılamak için yeniden tasarlanmış ve MD5 ve SHA256 karma değeri otomatik görüntü açıklama dosyasında saklanmıştır. İki satırlı LCD ekranı ile talimatları ve durum bilgilerini basit izlemesi olanağı sağlar. Minimum eğitim gerektirir. Kullanımı çok kolay olup bazı kullanıcılar kullanım kılavuzunu okumadan bile kullanabilir. Voom teknolojisi ile en beğenilen 3 düğmeli arayüz işlemlerini basit ve zahmetsiz hale getirmiştir. Adli imajın alınmasında rakiplerinden çok daha az maliyetle, en fazla (dakikada 7,5 GB’a kadar) maksimum sürücü hızında 1 kaynak diski, 2 hedef diske kopyalamaktadır. DCO ve HPA alanlarını otomatik olarak algılar ve tüm verileri kopyalar. [34]
Performans Örnekleri :

• SHA256 karma aktarma oranları:
  Kaynak: WD Velociraptor 300 GB – Hedef: WD Caviar Green 2 TB
   Tepe Transferi: 6.1 GB / m
   Disk karşısında Ortalama Transferi: 5.9 GB / m
   Transfer Zamanı: 00:50:47
   Yeniden doğrulama ile Zaman Transferi: 01:40:00
   Yalnız Yeniden doğrulama: disk üzerinde 6.1 GB ortalama
• MD5 karma oranlarıyla aktarın:
  Kaynak: WD Velociraptor 300 GB – Hedef: WD Caviar Green 2 TB
   Tepe Transferi: 5.7 GB / m
   Disk karşısında Ortalama Transferi: 5.6 GB / m
   Transfer Zamanı: 00:52:49
   Yeniden doğrulama ile Zaman Transferi: 01:44:33
   Yalnız Yeniden doğrulama: disk üzerinde 5.7 GB ortalama

4.3. Logicube Forensic Quest

Logicube Forensic Quest® kolluk, askeri, hükümet ve kurumsal güvenlik kuruluşlarının zorlu gereksinimleri için özel olarak tasarlanmış birçok özellik ile donatılmış adli veri yakalama cihazıdır. Aynı zamanda görüntüleme ve 6GB / dk yaklaşan hızlarda veri doğrulama yapar. IDE ve SATA sabit sürücüler ve yerleşik USB bağlantısı içerir. Dokunmatik ekran ile kolay kullanımlı bir arayüz sağlar. Bir kaynak sürücüden iki hedef sürücüye imaj alabilmektedir. MD5 veya SHA formatında kimlik doğrulama sağlar. Acemi kullanıcıların yanı sıra daha deneyimli adli araştırmacılar için uygun bir seçimdir. Saha içinde sabit disk adli veri toplama ve doğrulama için mükemmel bir çözüm sağlamaktadır. [35]

4.4. RoadMASSter

RoadMASSter cihazı olay yerinde canlı analiz sunması ile tam bir laboratuvar işlevi görmektedir. Piyasadaki Adli Araçlar arasındaki en gelişmiş olarak üretilen RoadMASSter cihazı yüksek hızda adli veri toplama ve analizi yapacak şekilde tasarlanmış, taşınabilir bir laboratuvar denilebilir. Fakat maliyeti çok yüksek olması nedeniyle birçok adli bilişim laboratuvarında bu tür cihazlar yerine analiz için iş istasyonları (Workstation) kullanılmakta ve olay yerinde zorunlu olmadıkça canlı analiz yapılmamaktadır.

RoadMASSter, bugünün ortak sürücü arabirim teknolojileri ile sürücülerden veri ele geçirmek için gerekli tüm araçları ile donatılmıştır ve sağlamlaştırılmış iki CPU işlemci gücü ile çalışmaktadır. Analiz için güçlü ve çok yönlü bir platform sunuyor. İsteğe bağlı adaptörler kullanımı yoluyla SAS, SATA, SCSI, USB 2.0 ve USB 3.0 sürücüler için yerel destek yanı sıra diğer ortak sürücü arabirimleri bulunuyor. Gelişmiş SATA 3 Toplama Teknolojisine sahiptir. Bugünün yüksek hızlı sürücüler için 7 GB/dk aşan hızlarını destekler ve Gelişmiş Yüksek Hızlı sürücüleri yarının 32GB/dk maksimum destekleyen potansiyelini de sunar.

RoadMASSter, ağ bağlantı desteği için 1 Gbit Ethernet portu ile yapılandırılmıştır. SHA – 1, SHA – 2 ve MD5 doğrulamasını destekler. Veri güvenliğini sağlamak için AES – 256 Sabit Disk Şifreleme desteği de mevcuttur. [36]

4.5. Image Master Solo

Adli bilişim uzmanlarının olay yerinde donanımsal olarak imaj almak için kullandıkları çok yönlü hafif, taşınabilir, yüksek hızlı veri çoğaltma ve i7 İşlemci desteği ile genişleme kutusu donanımı ile yapılandırılmış BT Kurumsal sabit disk veri toplama ünitesidir. Aynı zamanda 1 kaynak sürücüsünden 3 hedef sürücülere veri aktarma yapabilir. Gelişmiş dokunmatik ekran kullanıcı arayüzü kullanım kolaylığı sağlar . Ünite SAS , SATA , eSATA , USB 3.0 ve Firewire sürücüler için doğal destek sağlar. Ayrıca IDE yanı sıra tüm Flash Medya çeşitlini destekler . Genişleme Kutusu SCSI sürücüler için destek ekler ve ExpressCard Reader içerir . Fiber Kanal sürücüler isteğe bağlı Fiber Kanal Kontrol Kartı ekleyerek Genişleme Kutusu kullanılarak desteklenebilir . USB Fare ve Klavye , Wi – Fi , USB 2.0 Adaptör , DVD sürücü ve LinkMASSter seçeneği içerir . Sadece IT uygulamaları için tasarlanan , image MASSter Solo sistemi kaynak sürücüden dakikada 6GB aşan veri hızında kopyalanabilir. Gigabit Ethernet bağlantısı mevcuttur. [37]
“Solo-4 Forensic SATA-3 6Gb/s” Başlıca Özellikleri:

•  – SATA-3 6Gb/s hızında (37 GB/dakika hız desteği)
•  – Doğrudan SAS, SATA ve USB 2.0 sabit sürücü desteği
•  – Yazma Korumalı kaynak sürücü bağlantıları
•  – Bir kaynak sabit sürücüyü iki hedef sabit sürücüye kopyalama
•  – İki ayrı kaynak sabit sürücüyü iki ayrı hedef sabit sürücüye kopyalama
•  – Bir kaynak sabit sürücüyü üç hedef sabit sürücüye kopyalama
•  – SHA-1, SHA-2 ve MD5 hash özelliği
•  – Bire bir %100 kopyalama, Linux DD ve E01 imaj alma desteği (Forensic Versiyonunda)
•  – Bire bir %100 kopyalama, IQ Copy , VHD ve Multi MASSter imaj alma desteği (IT Versiyonunda)
•  – Adaptör ile IDE ve 2.5” IDE desteği
•  – Flash bellek ve hafıza kart desteği
•  – Kopya alınırken hedefi şifreleme desteği (AES 256)
•  – Storage Area Networks (SAN) üzerine ethernet portu üzerinden imaj dosyası aktarma
•  – Güvenilir Windows 7 İşletim Sistemi tabanlı
•  – DoD Güvenli Veri Silme (Wipe) desteği
•  – Kaynak sürücüyü cihaz üzerinde doğrudan ön inceleme desteği
•  – Fast SCSI, FireWire 1394A/B, USB 3.0 ve Yeni Fiber Channel desteği (Opsiyonel)
•  – Bilgisayar ve laptop sabit sürücülerini cihazların kasası açılmadan kopyalama özelliği (Opsiyonel)
•  – Express Card Desteği (Opsiyonel)
•  – e-SATA, uSATA 1.8” sürücü desteği (Opsiyonel) [38]

4.6 Logicube Forensic Dossier

Logicube tarafından geliştirilen Forensic Dossier® soruşturmacıların sürücü kopyalama ihtiyaçlarını karşılamak için özel dizayn edilmiş bir çözümdür.

 Forensic Dossier olay yerinde veya laboratuvar ortamında çabuk ve verimli birçok sayıda şüpheli sürücüden imaj alınmasını sağlar.
 Forensic Dossier’ı sürücülerin önizlenmesi ve imajlarının alınması için write-blocker-yazma koruma özelliği olarak kullanılmasına olanak sağlar. Bu sayede, ekstra write blocker ihtiyacınızın olmaması olay anında önemli ölçüde zaman kazandıracaktır.
 Forensic Dossier üzerinde hem IDE hem de SATA sürücü girişlerine sahiptir. Ayrıca soruşturma esnasında karşılaşılması muhtemel farklı çeşit sürücü arayüzleri için adaptörleri mevcuttur.
 Forensic Dossier’ın Endüstriyel olarak kanıtlanmış olan ATA güvenlik özelliği, delillerin olay yerinden laboratuara kadar taşınması esnasında maksimum korumasını sağlar.
 Forensic Dossier otomatik şifreleme özelliği bulunan sürücülerde de kullanılabilmektedir. Otomatik şifreleme özelliği bulunan sürücüler donanımsal bir şifreleme hizmeti sağlayarak yetkisiz kişilerin delillere ulaşmasını engeller ve tam koruma sağlar. Ayrıca donanımsal şifreleme yazılımsal şifrelemeden daha güvenlidir ve yazılımsal şifrelemede olduğu gibi performans kaybı yaşanmasına sebep olmaz.

 Adli soruşturma ve incelemelerde zaman kısıtlıdır ve ilgili verinin doğru olarak kopyalanması çok önemlidir. Forensic Dossier dakikada 7 GB veri kopyalayabilmektedir ve verilerin doğru bir şekilde elde edildiğini ve analiz edilmesi için hazır olduğunu garantilemek için eş zamanlı olarak MD5 ve SHA-256 doğrulaması yapmaktadır.
 Forensic Dossier çeşitli ülkelerdeki kolluk kuvvetleri tarafından kullanılmaktadır.
 Forensic Dossier, elektronik keşif, uyumluluk, iç & dış soruşturmalarda veri toplamak içinde kullanılabilir.
 Elde edilen (adli) veriler Forensic Dossier ve NETConnect sayesinde networke bağlanılarak hızlı bir şekilde transfer edilir.
 MPFS kullanılarak 8 TB’a kadar veri kaydedilip depolanabilir.
 Forensic Dossier’ın NETConnect’s Live Acquisition özelliğini kullanarak şüpheli bilgisayarın uçucu hafıza bilgilerini, IP adreslerini, parolalarını ve hard diskte kayıt edilmemiş o anda kullanılan diğer verilerin elde edilmesini sağlar.

Forensic Dossier MPFS (Massive Portable Forensic Storage) ve NETConnect’i ile birlikte komple bir çözümdür. Forensic Dossier MPFS (Massive Portable Forensic Storage) ve NETConnect hızlı data erişimi, genişletilmiş ve hızlı depolama kapasitesi, delil içeren verilere networkten erişebilme özelliği ile adli soruşturmacıların en büyük problemleri olan zaman azlığı ve incelenmesi gereken verinin çok fazla olması sorunlarına etkili bir çözüm bulmak için geliştirilmiştir. [39]