Adli Bilişimcinin Galaksi Rehberi

Tam 10 yıl önce çalıştığım dava dosyasında imaj alınması ve incelenmesi istenen dijital materyalle karşılaştığımda yaşadığım hissiyatı bugünmüş gibi hatırlıyorum. Kocaman bir galaksinin ortasına elimde bir harita, pusula ve ihtiyacım olabilecek tüm malzemelerin olduğu bir çantayla atılmış bulmacaları çözüp ve maceralı yolları atlatıp eve ulaşmak zorunluluğunda olan bir gencin korkuyla karışık heyecanını yaşıyordum. Her ne kadar Frodo’nun Yüzüklerin Efendisi’nde yüklendiği sorumluluk büyük görünüyor ise de Adli Bilişimcinin yükü de hiç azımsanacak türden bir sorumluluk değildi :)

Bugüne kadar kolluk kuvvetlerinde veya özel sektörde çalışan meslektaşlarıma vermiş olduğum gerek yurtiçi gerek yurtdışı eğitimlerin tamamında girişte söylediğim şey aslında hep budur. Ben size burada yolculuğunuzda karşılaşacağınız her türlü engel için gerekli olan ekipmanı ve bilgiyi sağlıyorum ancak herkesin yolda yaşayacağı maceralar ve sorunlar kendine özel olduğundan bulacağınız çözümlerde size özel olacaktır. Ben hep kendi tecrübelerimi ve işe yarayacağını düşündüğüm noktaları öne çıkartarak kursiyer arkadaşım işin başına geçtiğinde hızlıca çözümler bulabileceği bir düşünce atlasını ona sunan bir müfredatı benimsemişimdir. Bu noktada bende eğitim aldığımda tecrübelerden süzülmüş gerçek hayat senaryolarından her zaman daha fazla istifade etmişimdir.

Bu yazımda son yıllarda gözden kaçtığına inandığım bir kaç hususu anlatmaya ve tecrübelerimi sunmaya çalışacağım.

Adli bilişim incelemesinin temeli usulüne uygun olarak el konulmuş, delil zincirine riayet edilerek Adli Bilişim Uzmanının önüne gelmiş materyalle atılmaktadır. Materyalin adı harddisk, telefon, usb bellek, sim kart içerisine veri depolanabileceği düşünülen her türlü materyal olabilir. “Veri depolanabileceği düşünülen” kısmına özellikle dikkatinizi çekmek isterim çünkü soruşturmacı birimler tarafından el konulan duvar saatinden, oyuncak ayıya kadar o kadar farklı türden malzemeyle karşılaştım ki bu cihazın veya bu eşyanın içinde veri depolandığını sanmalarının nedeni neydi acaba diye kendi kendime sormuşumdur.

Son yıllarda adli bilişim incelemelerinde en büyük zorluğun delilin içerisinden imajın elde edilmesi adımı olduğu görüşü özellikle ülkemizde ağırlık kazanmıştır. Elbette bu kısım oldukça önemli olmakla birlikte elde edilen verilerin incelenmesi tarafı olmaksızın imajın elde edilmiş olmasının hiçbir anlamı olmayacağı aşikardır. Bu noktada Adli Bilişim İncelemecisinin araç-gereç, yazılımlar gibi maddi bakımdan tam tekmil olması gerektiği kadar kişisel eğitim, birikim, sorun çözme, polisiye yetenekler olarak nitelendirebileceğimiz her türden mental ekipmanla da tam donanımlı halde bulunması dava dosyasının tam anlamıyla çözüme kavuşturulabilmesi için olmazsa olmaz şartlardandır.

Bir dava dosyası elime geçer geçmez işe öncelikle soruşturmanın konusunu tam olarak özümsemekle başlarım, evrağın bütününü okuyarak benden ne istenildiğini anlamaya çalışırım. Benden çözülmesi istenen konu ile ilgili olarak yeterli done’nin (ifadeler,olay tutanakları vs) bana sağlanıp sağlanmadığını tespit etmeye çalışırım. Eğer olaya canlı müdahale ediyorsam olay senaryosunu hızla kafamda oturtmaya çalışarak bir prodüksiyon ortaya koymaya çalışırım. Bu noktada temeli ne kadar isabetli ve soruşturmanın kapsamına uygun tutarsak inceleme için harcanacak zamanı, maddi/manevi kaynağı en efektif biçimde kullanmış oluruz. 

Müdahil olduğumuz konuyla ilgili prodüksiyonu oluştururken rolleri iyi belirlememiz elzemdir. Örneğin; Zararlı yazılıma dair bir konuyu incelerken mağdur olmuş kişinin yaşadıklarını birebir anlatması bizim senaryoya dair kafamızda bütüncül bir resmin oluşmasını sağlayarak nerelere odaklanmamız gerektiğini bize gösterecektir. Özellikle olay müdahale durumlarında öncelikle surdaki gediği kapatmak noktasında zamanla yarış içerisinde olunduğundan yeni sızmaların ve saldırıların önüne geçebilmek için hızla sorunun kaynağını tespit ederek en doğru müdahale gerçekleştirilmek zorundadır. Daha sonra yaşanan saldırının analizi gerçekleştirilmeli ortaya çıkan suçun aydınlatılması için gerekli veriler raporlanmalıdır. Bu noktada geçmiş tecrübeler veya yaşanan olayla ilgili açık kaynaklardan elde ettiğimiz bilgilerde işimizi kolaylaştıracak yan roller olarak prodüksiyonumuza dahil olacaktır. 

Elbette incelemecinin muhatap olduğu konuların tamamında zamana karşı bir yarış söz konusu olduğundan nereye bakacağına ve hangi yolu izleyeceğine dair bir senaryonun oluşması oldukça önemlidir. Mesela burada gizlilik temelli bir mesajlaşma uygulamasını ele alalım. Bilindiği üzere bu tarz uygulamaların içerisinde belirli zaman dilimlerinde uygulamanın içerisinde bulunan kişisel verilerin silinerek yok edildiği algoritmalar mevcuttur. Burada sorun sadece verilerin bir an önce elde edilmesi de değildir. Ayrıca veritabanlarında tutulan veriler sıklıkla karşılaştığımız AES-256 yöntemiyle kriptolanarak karmaşık biçimde tutulmakta ve tersine mühendislik/brute-force yöntemlerinin en son versiyonları, son teknoloji donanımlar ile müdahale edilse dahi yıllarca sürecek şifre kırma süreçleri söz konusu olabilmektedir. İşte burada incelemecinin polisiye tecrübeleri ve sosyal mühendislik yöntemleri kullanılmakta ve üzerinde çalışılan uygulamayı kullanan kişilerin şifre koyarken kullandıkları tekniklerine olan hakimiyet sayesinde yıllar sürecek işlemleri günler hatta saatlere indirgeyebilmekte ve verilere süratle ulaşılmasını sağlamaktadır. Yani Bay Frodo’nun yardımına sadık dostu büyücü Gandalf yetişmekte ve macera hız kesmeden devam etmektedir. 

Gün geçtikçe Adli Bilişim programları herşeyi otomatize ederek incelemecinin doğru noktalara odaklanabilmesi için sınıflandırmalar yapmakta ve süreçlerin hızlanmasına katkı sağlamaktadır. İlk dönem adli bilişim uzmanlarının kullandığı program veya araç kitlerine baktığımız zaman bugünkilere nazaran oldukça primitif ve incelemecinin ekstra eforuna ihtiyaç duyduklarını görürüz. Verileri tasnif edebilmeniz için bolca script yazmak zorunda olduğunuz, yazılım dillerinden birine A+ seviyede hakim olmanız gereken araç kitleriyle çalışmanın yorucu olduğunu takdir edersiniz. Peki bugün verilerin sınıflandırması için neredeyse hiçbirşey yapmak zorunda olmayışımız, yazılımın otomasyon olarak işlemesi bizi her zaman hedefe tam isabetle ulaştırmakta mıdır? Elbette Hayır! Her ne kadar işimizi kolaylaştırdığını kabul etsek dahi işimize yarayacak bir çok veri halen rezerv alanda(unallocated space) bizim onu kazmamız ve aradığımızı bulmamız için bizi beklemektedir. Bu noktada bugün için incelemecinin en azından Regex adı verilen düzenli ifade olarak çevirebileceğimiz özel operatör scriptlerini yazabilecek düzeyde olması gereklidir. Altın madeninde cevheri topraktan ayırma işlemine benzetebileceğimiz Regex Search işlemleri için açık kaynakta bir çok örnek kalıp bulunuyor ise de elinizdeki konuya uygun olarak ifadelerde değişiklik yapmanız gerekebilmektedir.

İşte bu noktada sınıflandırılmış verileri incelemek ve soruşturma konusu ile ilişkilendirebilmek için polisiye yeteneklerinize ve başta saydığımız tüm ögeleri kullanarak oluşturduğunuz senaryonuza ihtiyacınız vardır. Fotoğraflar, Videolar, Mesajlar, Çağrı geçmişi, İnternet kalıntıları gibi çok bariz alanlarda soruşturmanıza delil olacak verileri bulmaya çalışırsınız. Tabii ki her zaman bulamayabilirsiniz zaten bu da soruşturmanın bir parçası değil midir? Bulduğumuz veya bulamadığımız her veri şüphelinin şüpheden kurtulmasına veya hüküm giymesine sebep olabilecektir. Bu noktada takdir elbette ki incelemeci personelde değil yargı makamındadır. 

Fotoğraflar,Videolar,Mesajlar gibi ilk bakışta göze çarpan veriler bulmacayı çözmenize yardım edecek göze ilk çarpan verilerdir ancak geçmiş yıllarda çalıştığımız cinayet dosyalarından birinde maktule ait telefonun hareket sensöründen ve sağlık uygulamasından elde ettiğimiz veriler sayesinde cinayetin işlendiği yer ve saate dair çıkarımlarda bulunarak maktulün cesedinin bulunduğu yerden başka bir konumda öldürülerek bulunduğu yere taşındığı, cinayetin hangi saatte işlenmiş olabileceği gibi soruşturmanın seyrini yönlendirecek tespitlerde bulunmuştuk. Yine bu örneğe benzer bir örnek olarak şüpheli şahsın telefonunda yer alan mesajlaşmalarda kelimeleri tamamlamak için kullanılan ve cihaz sahibinin yazma alışkanlıklarına göre şekillenen “kullanıcı sözlüğü” sayesinde binlerce mesajın yer aldığı 3 farklı grubun içerisinde meydana gelen bir olayı açıklığa kavuşturarak ortaya atılan iftiraları ve iddiaları çürütecek tespitlerde bulunmuştuk. Tabii burada soruşturmalarla ilgili detaylı bilgi veremeyişimi soruşturmanın gizliliğini ihlal ve kişilerin özel hayatına dair verilerin paylaşılmasına ters bir durum oluşturmaması açısından anlayışla karşılayacağınızı umuyorum.

Özetleyecek olursak dijital materyal elimize geçtiği andan itibaren koskoca bir galaksinin içerisinde yolunuzu bulmak gibi “küçük” bir sorun yumağıyla karşı karşıyasınız. Bu galakside yolunuzu kaybetmemek için tecrübelerinize, sadık rehberlere ve iyi ekipmanlara sahip olmanız gereklidir. Elbette macerayı yaşayan siz olacağınız için sorunlarla mücadele azmine ve kararlılığına sahip olmanız elinizdeki ekipman ve rehberleri doğru ve efektif biçimde kullanmanız, hiçbir detayı atlamadan verileri en kapsamlı biçimde incelemeniz gerekmektedir. 

Yazımı buraya kadar okuduysanız sizin için her zaman yardımcı olabilecek bir rehber olduğumu bilmeye hak kazanmışsınız demektir. 10 yıldır aralıksız olarak tüm meslektaşlarıma karşılık beklemeksizin sunduğum bu rehberliğin beni oldukça zenginleştirdiğini düşünüyorum. Yaşadığınız ve çözümüne katkı sunabileceğimi düşündüğünüz her konuda bana bir mesaj atmanız yeterli.

Bir başka yazıda görüşmek üzere!

Ps.Yazımı sizlere sunmadan önce ön incelemesini gerçekleştirerek katkılarını benden esirgemeyen sevgili dostum Furkan AKSOY 'a özel teşekkürlerimi sunarım.