Mobil cihazların İncelemesinde Karşılaşılan Zorluklar

Mobil cihazların başarılı bir şekilde incelenmesi, mobil adli bilişim uzmanlarının özel bilgi ve becerilerini gerektirir. Teknolojideki hızlı değişiklikler, günlük işlerinde uzmanları zorlamaktadır. Mobil cihaz adli bilişimin tüm zorluklarını tam olarak anlamak için bilgisayar adli bilişim alanında deneyimli olmak her zaman yeterli değildir. Aşağıdaki metin, mobil adli bilişim uzmanlarının araştırma sürecinde karşılaştıkları 10 ana zorluğu anlatmaktadır.

Karşılaşılan 10 ana zorluk

1) Platformlar

“Mobil cihaz” terimine aşağıda sayılan cihazlarda rastlamaktayız. Bunlar:

• Akıllı telefonlar
• Tabletler
• Akıllı saatler
• Kameralar
• MP3 çalarlar
• Navigasyon cihazları
• Drones
• ve daha fazlası…

Mobil cihazların İncelemesinde farklı cihazlarla uğraşmak, mobil adli inceleme uzmanı için bir zorunluluktur; çünkü her bir cihazın özelliklerinden mümkün olduğunca fazla veri almak için gereken tüm özellikleri bilmesi gerekir. Ek olarak, işletim sistemleri üreticileri güvenlik konseptlerinde değişiklik yaptığında, daha önce bir platformdan verinin nasıl çıkarılacağına ve analiz edildiğine aşina olduğunuzda çıkardığınız veriye ulaşamaya bilirsiniz ve kısır döngü tekrar başlar.

Üreticiler

Mobil cihazların araştırma sürecindeki ilk adım, telefonun tanımlanmasıdır. Her biri yılda ortalama 15 yeni mobil cihaz sürümü sunan yüzlerce cihaz üreticisi olduğu için, bu göründüğü kadar kolay değildir. Cep telefonları bazen cihazın pili çıkarılarak tanımlanabilir, ancak bu aynı zamanda bir kullanıcı kilidini zorlama veya geçici bellek verilerini kaybetme riskini de gösterir. Bir akıllı telefonu yalnızca ona bakarak tanımak, mobil adli bilişim uzmanları için bile çok zor olabilir. Böylece, mobil adli bilişim araç setleri, bağlı olduklarında cihazları otomatik olarak tanımlama imkanı sunar.

Bağlantı Kablosu

Mobil adli bilişim uzmanı bir telefonu başarıyla bağlamak için uygun bir kablo seçmelidir. Bir sonraki adım ise bilgisayarla bağlantı kurmak için uygun sürücüyü bulmaktır. Yaygın mobil adli bilişim araç setleri, işi otomatik olarak yapar. Bir bilgisayarda yüklü birkaç mobil adli bilişim araç kiti varsa, farklı satıcılardan gelen sürücü paketlerinin birbiriyle çakışabilmesi nedeniyle, incelemecinin dikkatli olması gerekir. USB bağlantısı çalışmıyorsa, bir mobil cihazdan veri almak için Bluetooth gibi kablosuz bağlantı kullanma imkanı da vardır.

İşletim sistemleri

Mobil işletim sistemi üreticilerinin pazar payları, yukarıdaki grafikte gösterildiği gibi oldukça hızlı değişebilir. Her yıl, işletim sistemi pazar paylarının takım yıldızını kolayca değiştirebilecek yeni mobil cihazlar piyasaya sürüldü. İşletim sistemleri çoğunlukla aynı işlevleri sunar, ancak veri depolama, güvenlik kavramları ve diğer özellikler bakımından son derece farklıdır. Örneğin, Android farklı üreticiler tarafından kullanılır ve genellikle kişiselleştirilir. Ayrıca, Smartphone OS neredeyse her ay sık sık önemli güncellemeler alır. Yeni güvenlik politikaları, yeni özellikler veya işletim sisteminin veri deposundaki değişiklikler, mobil adli bilişim uzmanları için büyük zorluklar oluşturmaktadır.

Uygulamalar

Uygulamalar çoğu bilgiyi SQLite veritabanlarında saklar, bu nedenle bu veritabanları vaka verilerinin büyük bir bölümünü içerecektir. Mobil adli bilişim araç setleri veritabanlarını otomatik olarak çözer ve bunları yapılandırılmış bir şekilde görüntüler; ancak araç setine bağlı olarak, popüler uygulamaların çözümü yapılmaktadır. Google Play Store’un ilk çeyreğinde / 2018’de çıkan uygulama sayısına bakıldığında her uygulamanın da analiz edilmesi mümkün gözükmemektedir.

Mobil cihaz inceleme araç seti tarafından desteklenmeyen belirli bir uygulamayı incelemeniz gerekirse, manuel olarak analiz etmeniz gerekiyor. Bunun içinde inceleme işlemini yapan adli bilişimcinin SQLite veritabanlarını nasıl yorumlanacağını bilmesi ve bu konuda eğitim alması gerekmektedir.

Mobil cihazların İncelemesinde Buluta yüklenen veriler

Buluta yüklenen veriler Adli araştırmalar için çok değerli bilgiler içermektedir. Bazen mobil cihazlar üzerinde soruşturmaya konuya ulaşılamaz iken bunun yerine bulut depolama alanında işletim sistemi veya üçüncü taraf uygulama verileri tarafından kaydedilen bilgilerden olay çözülebilmektedir. Bulut yedekleri, kullanıcı tarafından silinen verileri veya kilitli, bozuk veya silinmiş cihazların verilerini kurtarma imkanı da sunar. Bununla birlikte, bu verilerin elde edilmesi sadece yasal kısıtlamalar nedeniyle – soruşturmanın gerçekleştiği ülkeye bağlı olarak – ayrı şifreler ve 2 faktörlü kimlik doğrulama yöntemleri gibi güvenlik mekanizmaları nedeniyle de zor olmaktadır. Sonuç olarak, mobil cihaz inceleme kitlerinde bulut verilerini adli bir şekilde elde etmek için özel bir yazılım gerekir.

Mobil cihazların İncelemesinde Güvenlik mekanizmaları

Verileri korumak için mobil cihazlarda güvenlik mekanizmaları kullanılır. Bu mekanizmalar kullanıcı kilitlerinden SIM kart PIN’lerine ve PUK’lara ve cihaz şifrelemesine kadar uzanır. PIN veya Şifre ile kilitlenmiş bir cihazın uygun bir yazılım programı aracılığıyla veya cihazın sahibinden gelen bilgiler ile kilidi açılabilir. Şifreleme, veriyi bir yazılım ve / veya donanım düzeyinde güvence altına alarak daha da derinleşir ve şifresini çözmek çok zordur.

Ortak güvenlik mekanizmaları, diğerleri arasında:

• Parola
• PIN, PUK
• Desen
• Biyometrik kilit (parmak izi)
• Verilerin şifrelenmesi

Mobil cihazların İncelemesinde Veri korumaları

Soruşturmaya konu cihazı ele geçirirken, cihazın daha fazla veri iletişimi almasını önlemek çok önemlidir. Bir flaş depolama cihazı verileri “ilk giren ilk çıkar” sırasına yerleştirdiğinden daha eski saklanan veriler silinebilir. Örneğin, gelen aramalar arama geçmişi kayıtlarını silebilir. Bu nedenle, ilk alımdan önce, verilerdeki değişiklikleri önlemek için mobil cihazların bağlantısı kesilmeli veya daha fazla radyo frekansından engellenmelidir. Ayrıca, çoğu cihaz kullanıcılarının uzak bir komut göndererek tüm verileri silmelerine izin verir. Gelen tüm veri trafiğini engellemezseniz, tüm kanıtları kaybedebilirsiniz.

İlgili tüm verilerin çıkarılması

Özellikle Android telefonlarda, ilgili tüm Uygulamalardan veri çıkarmak zor olabilir. Fiziksel bir ekstraksiyon elde etmek gittikçe daha zor hale geldi ve şu anda pazardaki birçok cihaz için mümkün değil. Bu nedenle, bir Android yedeğini kullanmak, bu telefonlardan veri çıkarmak için kullanılan bir yöntem haline gelmiştir. Ancak, uygulama üreticileri, uygulama verilerini Android yedeklemelerinde hariç tutmayı veya uygulama veritabanlarının yedeklemede şifrelenmesini tercih edebilir. Bu nedenle, bu tür verileri güvenceye almak için ek adımlar atılmalıdır. İPhone’lar için ana çıkarma yöntemi de bir cihaz yedeklemesidir. Ayrıca, bu yedeklemelere dahil edilmeyen bazı veriler (örn. E-postalar veya sık ziyaret edilen yerler) ve ek adımlarla elde edilmesi gerekir.

Uygun araç setinin seçimi

Mobil adli bilişimde en büyük zorluk, farklı durumlarda hangi aracın en iyi olduğunu ve hangi aracın mümkün olan en fazla verinin alınmasını sağladığını bilmektir. Mobil adli bilişim pazarında birçok araç var, ancak soruşturmaya en uygun olanı bulmak bazen çok zor. Uygulamada, bir araştırmanın tüm gerekliliklerini yerine getirebilecek tek bir araç yoktur, bu nedenle farklı mobil adli bilişim araç takımlarının mükemmel karışımını kullanmak çok önemlidir.

Ayrıca, hızlı değişen mobil cihazlar, adli bilişim alanı uzmanlarının bilgilerini güncel tutmaya zorlamaktadır. Belirli araç kitleriyle hangi verilerin ne kadarının alınabileceğini bilmek önemlidir. Bu nedenle, mobil adli bilişim uzmanlarının sürekli eğitimi, mobil adli bilişim alanındaki zorluklarla başarılı bir şekilde başa çıkabilmek için önemlidir.

Kaynak:

• https://en.wikipedia.org/wiki/Mobile_device_forensics
• https://fatihberber.com/category/adli-bilisim/mobil/