Artik suclarin ve kanitlarinin bilgisayarlar kullanilarak islemesi ile birlikte Forensic analiz konusu cok daha onemli hale gelmeye basladi. Son birkac yila bakacak olursak cesitli suclamalarla ilgili ortaya atilan iddialarin hemen hepsi ya bilgisayar ya da elektronik ortamda elde edilen kayitlardan olusuyor. Hal boyle olunca delil olarak kullanilacak bu verilerin dogrulugu konusunda kafalarda suphe uyaniyor. Gecenlerde medyada okudugum ve birileri tarafindan yanlis bilgilendirildigini dusundugum bir milletvekilinin kanitlarin degistirilmesi ile ilgili konusmasini duyunca hem hak verdim hem de guldum.
Hak vermemim ve sevinmemin sebebi: milletvekillerimizin arasinda bilisim konusu ile ilgili bilgi sahibi -ya da danismanlari araciligi ile bilgi alabilen- birilerinin olmasi ve kapali kapilar arkasinda yapilan islerde , ozellikle isin icine bilgisayarin girdigi islerde verilerin nasil kolayca degistirilebileceginin(anti forensic) siradan bir insan tarafindan suphe ile karsilanmasi.
Guldugum konu ise konusmaci milletvekiline bilgi verenlerin bu tip operasyonlarda yapilan islemlerin bir prosedure bagli oldugunu ve bu prosedurde “forensic 101” dersinin ilk konusu olan verilerin temiz kopyasinin hash’lerini almak oldugunu bilmemeleri idi.
Evet bilgisayar uzerinde yapilacak adli analiz oncesinde o bilgisayar uzerinde islem yapmadan bilgisayardaki disklerin -ya da disk icerisindeki tum verilerin- hash’inin alinmasi ve ondan sonra yedekleme ile arastirma yapilmasi gerekir. Tabi bu islemler de bir noter ya da otorite huzurunda yapilmali ki gecerliligi olsun. Sonra diskler uzerinde istediginizi yapin ve istediginiz belgeleri bulun, sahibi itiraz edemeyecektir.
Son olaylar gosteriyor ki Forensic analiz konusunda Turkiye’de gercekten uzman eksikligi var ve bu konuda gun gectikce daha onemli hale geliyor…
CMK 134 NE DİYOR? •
134(3) • Bilgisayar veya bilgisayar kütüklerine elkoyma işlemi sırasında, sistemdeki tüm verilerin yedeklemesi yapılır.
134(4) • İstemesi halinde, bu yedekten bir kopyası şüpheliye veya vekiline verilir ve bu tutanağa geçirilerek imza altına alınır.
134 (5) • Bilgisayar veya bilgisayar kütüklerine elkoymaksızın da, sistemdeki verilerin tamamının veya bir kısmının kopyası alınabilir. Kopyası alınan veriler kâğıda yazdırılarak, bu husus tutanağa kaydedilir ve ilgililer tarafından imza altına alınır.
http://www.taraf.com.tr/haber.asp?id=12179
Adli Bilişim konusu ülkemizde yeni ama bu konuda deneyimli kurumların olduğu da unutulmamalı. Ayrıca bir diskin hash değeri zaten yedeklenirken alınıyor. Yani önce hash alınıp sonra yedekleme yapılması zaman kaybı. Otorite burada savcıdır. Zaten önce örneğin bir sabit diskin imajı yani birebir kopyası alınır ve bir hash değeri üretilir (md5 veya sha1). Sonra sabit disk artık yazılımsal ya da donanımsal imaj alma işleminden ayrılır. Daha sonra ise aynı imajın hash değeri yeniden alınarak ilk hash değeri ile karşılaştırılır ve bütünlük kontrol edilmiş olur. Hash almadan kasıt, aynı diskin bir başka zaman bir başka kişi tarafından incelendiğinde de aynı değerigörmesi ve diskin içerisinde bir değişiklik yapılmadığının ispatıdır. CMK 134 mevcut haliyle eksiktir. Zaten bu konuda da web sitemde yorum yazdım. Hasıl-ı kelam sizinle bu konularda fikir alışverişinde bulunmak istedim.iyi çalışmalar.
Deneyimli olan kurumlari az cok tahmin edebiliyorum ama bu deneyimler tamamen suclunun kabiliyetine gore degisecektir. Cok bilinen forensic araclarini kullanmak evet bir deneyimdir ama profesyonel bir sucluyu yakalamak icin malesef eksik kalabilmektedir.
Once hash alip sonra yedekleme klasik pc araclariyla yapildigi zaman tavsiye edilen yontem. Yedek alirken write korumasi yoksa yedek aldiginiz diske zarar verebilirsiniz.
Tabi bunlar detay iceren konular, nasil hangi yazilim/donanimla yedek alindigina bagli olarak degisecektir.
Web sitenizi yeni gordum, guzel bir bilgi kaynagi gozukuyor. Emeginize saglik.