Adli bilgisayar bilimi

Bilgisayar adli bilişimi (bilgisayar adli bilimi olarak da bilinir), bilgisayarlarda ve dijital depolama ortamlarında bulunan kanıtlarla ilgili adli bilişimin bir dalıdır. Bilgisayar adli biliminin amacı, dijital bilgileri tanımlamak, korumak, kurtarmak, analiz etmek ve sunmak amacıyla dijital medyayı adli açıdan sağlam bir şekilde incelemektir.

Soruşturma sırasında ele geçirilen mobil cihazı inceleyen adli bilişim uzmanı
Bilgisayar adli analizi için kullanılan ortam türleri: Fujifilm FinePix dijital kamera, iki flash bellek kartı, bir USB flash sürücü, 5 GB iPod, kaydedilebilir bir CD-R veya DVD ve bir Mini CD .

Her ne kadar çoğunlukla çok çeşitli bilgisayar suçlarının soruşturulmasıyla ilişkilendirilse de, bilgisayar adli bilişimi hukuk davalarında da kullanılabilir. Disiplin, veri kurtarmaya benzer teknikleri ve ilkeleri içerir ancak yasal bir denetim izi oluşturmak için tasarlanmış ek yönergeler ve uygulamalar içerir.

Bilgisayar adli bilişim araştırmalarından elde edilen kanıtlar genellikle diğer dijital kanıtlarla aynı kurallara ve uygulamalara tabi tutulur. Bir dizi yüksek profilli davada kullanılmış olup ABD ve Avrupa mahkeme sistemlerinde güvenilir olarak kabul edilmektedir.

Genel Bakış

değiştir

1980'lerin başında kişisel bilgisayarlar tüketiciler için daha erişilebilir hale geldi ve bu da suç faaliyetlerinde (örneğin dolandırıcılık yapmaya yardımcı olmak için) kullanımının artmasına yol açtı. Aynı zamanda, birkaç yeni "bilgisayar suçu" (cracking) tanındı. Bilgisayar adli bilimi disiplini bu süre zarfında mahkemede kullanılmak üzere dijital kanıtların kurtarılması ve araştırılması için bir yöntem olarak ortaya çıktı. O zamandan bu yana, bilgisayar suçları ve bilgisayarla bağlantılı suçlar arttı; FBI, 2020'de yalnızca 791.790 internet suçundan şüphelendiğini bildirdi; bu, 2019'da bildirilen miktara göre %69'luk bir artıştı.[1][2] Günümüzde bilgisayar adli bilimi, çocuk pornografisi, dolandırıcılık, casusluk, ısrarlı siber takip, cinayet ve tecavüz de dahil olmak üzere çok çeşitli suçları araştırmak için kullanılmaktadır. Disiplin ayrıca hukuk davalarında bir bilgi toplama biçimi olarak da yer alır (örneğin, Elektronik keşif)

Bilgisayar sistemi, depolama ortamı (örneğin, sabit disk veya CD-ROM) veya elektronik bir belge (örneğin bir e-posta mesajı veya JPEG görüntüsü) gibi dijital bir eserin mevcut durumunu açıklamak için adli bilişim teknikleri ve uzman bilgisi kullanılır. Adli analizin kapsamı, basit bilgi erişiminden bir dizi olayın yeniden yapılandırılmasına kadar değişebilir. 2002 tarihli Bilgisayar Adli Bilimleri kitabında yazarla Kruse ve Heiser, bilgisayar adli bilimini "bilgisayar verilerinin korunması, tanımlanması, çıkarılması, belgelenmesi ve yorumlanması" olarak tanımlıyorlar. Adli metodolojinin esneklik ve kapsamlı ilgi alan bilgisi ile desteklendiğini belirterek disiplini "bilimden çok sanat" olarak tanımlamaya devam ediyorlar. Bununla birlikte, belirli bir bilgisayardan kanıt elde etmek için çeşitli yöntemler kullanılabilirken, kolluk kuvvetleri tarafından kullanılan stratejiler oldukça katıdır ve sivil dünyada bulunan esneklikten yoksundur.

Siber güvenlik

değiştir

Bilgisayar adli bilimi sıklıkla siber güvenlikle karıştırılmaktadır. Siber güvenlik önleme ve korumayla ilgiliyken, bilgisayar adli bilimi daha tepkisel ve aktif olup izleme ve ifşa etme gibi faaliyetleri içerir. Sistem güvenliği genellikle birlikte çalışan siber güvenlik ve bilgisayar adli bilişim olmak üzere iki ekibi kapsar. Bir siber güvenlik ekibi, verileri korumak için sistemler ve programlar oluşturur; bunlar başarısız olursa bilgisayar adli bilişim ekibi verileri kurtarır ve izinsiz giriş ve hırsızlığa ilişkin soruşturmayı gerçekleştirir. Her iki alan da bilgisayar bilimi bilgisi gerektirir.[3]

Bilgisayarla ilgili suçlar

değiştir

Bilgisayar adli bilimi, fiziksel ve dijital suçlara karışanları mahkûm etmek için kullanılır. Bilgisayarla ilgili bu suçlardan bazıları kesinti, müdahale, telif hakkı ihlali ve uydurmadır. Kesinti, bilgisayar parçalarının ve dijital dosyaların imha edilmesi ve çalınması ile ilgilidir. Müdahale, teknolojik cihazlarda saklanan dosya ve bilgilere yetkisiz erişimdir.[4] Telif Hakkı İhlali, yazılım korsanlığı da dahil olmak üzere telif hakkıyla korunan bilgilerin kullanılması, çoğaltılması ve dağıtılmasıdır. Fabrikasyon, birinin yetkisiz bir kaynak aracılığıyla sisteme yerleştirilen yanlış veri ve bilgileri kullanmakla suçlanmasıdır. Müdahale örnekleri arasında Bank NSP davası, Sony yer alıyor. Sambandh.com davası ve iş e-postası uzlaşma dolandırıcılıkları yer almaktadır.[5]

Kanıt olarak kullanımı

değiştir

Mahkemede bilgisayar adli delilleri, dijital delillere ilişkin olağan şartlara tabidir. Bu, bilgilerin gerçek, güvenilir bir şekilde elde edilmiş ve kabul edilebilir olmasını gerektirir. Farklı ülkelerin kanıtların toplanmasına yönelik özel yönergeleri ve uygulamaları vardır. Birleşik Krallık'ta, müfettişler genellikle Polis Şefleri Birliği'nin delillerin gerçekliğini ve bütünlüğünü sağlamaya yardımcı olan yönergelerini takip eder. Gönüllü olmasına rağmen, kurallar İngiliz mahkemelerinde geniş çapta kabul görmektedir.

Bilgisayar adli bilişimi 1980'lerin ortalarından bu yana ceza hukukunda delil olarak kullanılmaktadır; bazı dikkate değer örnekler şunları içerir:

  • BTK Killer: Dennis Rader, on altı yıl boyunca meydana gelen bir dizi seri cinayetten suçlu bulundu. Bu sürenin sonuna doğru Rader polise disketle mektuplar gönderdi.[6] Belgelerdeki meta veriler, "Christ Lutheran Kilisesi"nde "Dennis" adında bir yazarın suçlandığını gösteriyor; bu kanıt Rader'in tutuklanmasına yardımcı oldu.[7]
  • Joseph Edward Duncan: Duncan'ın bilgisayarından kurtarılan bir elektronik tablo, onun suçlarını planladığını gösteren kanıtlar içeriyordu. Savcılar bunu kasıtlı olduğunu göstermek ve ölüm cezasını güvence altına almak için kullandı.
  • Sharon Lopatka: Lopatka'nın bilgisayarındaki yüzlerce e-posta, araştırmacıları katili Robert Glass'a yönlendiriyor.
  • Corcoran Grubu: Bu dava, dava başladığında veya makul bir şekilde beklendiğinde tarafların dijital kanıtları koruma görevlerini doğruladı. Sabit diskler, Davalıların sahip olması gereken ilgili e-postaları bulamayan bir bilgisayar adli bilişim uzmanı tarafından analiz edildi. Uzman, sabit disklerde silindiğine dair herhangi bir kanıt bulamamasına rağmen, sanıkların e-postaları kasıtlı olarak yok ettiklerine ve yanılttıklarına ve davacılara ve mahkemeye maddi gerçekleri açıklamadıklarına dair kanıtlar ortaya çıktı.
  • Dr. Conrad Murray: Merhum Michael Jackson'ın doktoru Dr. Conrad Murray, bilgisayarındaki dijital delillerden kısmen mahkûm edildi. Bu deliller arasında propofolün öldürücü miktarlarını gösteren tıbbi belgeler de vardı.

Adli süreç

değiştir
 
Sabit Sürücüye bağlı taşınabilir bir Tableau yazma engelleyici

Bilgisayar adli soruşturmaları genellikle standart dijital adli süreç veya aşamaları takip eder: edinme, inceleme, analiz ve raporlama. Araştırmalar "canlı" sistemlerden ziyade statik veriler (yani elde edilen görüntüler) üzerinde gerçekleştirilir. Bu, uzman araçların eksikliğinin araştırmacıların genellikle canlı veriler üzerinde çalışmasına yol açtığı eski adli bilişim uygulamalarından bir değişikliktir.

Bilgisayar adli laboratuvarı

değiştir

Bilgisayar adli laboratuvarı, elektronik verilerin kontrollü bir ortamda yönetilebildiği, korunabildiği ve erişilebildiği güvenli ve korumalı bir alandır. Burada, delillerin zarar görmesi veya değiştirilmesi riski çok daha düşüktür. Adli bilgisayar incelemecileri, inceledikleri cihazlardan anlamlı veriler elde etmek için gereken kaynaklara sahiptir.[8]

Teknikler

değiştir

Adlı bilgisayar araştırmaları sırasında bir takım teknikler kullanılır ve bunlar aşağıdakileri içerir:

Çapraz sürücü analizi
Bu, birden fazla sabit sürücüde bulunan bilgileri ilişkilendiren bir adli tekniktir ve sosyal ağları tanımlamak ve anormallik tespitini gerçekleştirmek için kullanılmıştır.[9][10] Canlı analiz
Kanıt elde etmek için özel adli bilişim veya mevcut sistem yöneticisi araçları kullanılarak bilgisayarların işletim sistemi içinden incelenmesi. Bu uygulama, örneğin şifreleme anahtarlarının toplanabileceği ve bazı durumlarda mantıksal sabit sürücü biriminin bilgisayar kapatılmadan önce görüntülenebileceği (canlı alım olarak bilinir) Şifreleme Dosya Sistemleri ile uğraşırken faydalıdır.
Silinen dosyalar
Bilgisayar adli bilişimde kullanılan yaygın bir teknik, silinen dosyaların kurtarılmasıdır. Modern adli yazılımların silinen verileri kurtarmak veya çıkarmak için kendi araçları vardır. Çoğu işletim sistemi ve dosya sistemi, fiziksel dosya verilerini her zaman silmez ve araştırmacıların bu verileri fiziksel disk sektörlerinden yeniden oluşturmasına olanak tanır. Dosya oyma, disk görüntüsünde bilinen dosya başlıklarını aramayı ve silinen materyalleri yeniden oluşturmayı içerir.
Stokastik adli bilişim
Dijital yapaylıkların bulunmadığı etkinlikleri araştırmak için bilgisayar sisteminin stokastik özelliklerini kullanan bir yöntem. Başlıca kullanımı veri hırsızlığını araştırmaktır.
Steganografi
Verileri gizlemek için kullanılan tekniklerden biri, bir resmin veya dijital görüntünün içine veri gizleme işlemi olan steganografidir. Bunun bir örneği , çocukların pornografik görüntülerini veya belirli bir suçlunun keşfetmesini istemediği diğer bilgileri gizlemek olabilir. Bilgisayar adli bilişim uzmanları, dosyanın karma değerine bakarak ve bunu orijinal görüntüyle (varsa) karşılaştırarak bu sorunla mücadele edebilir. Görsel incelemede görseller aynı görünse de, veriler değiştikçe karma da değişir.

Mobil cihazlarda adli bilişim

değiştir

Telefon Kayıtları: Telefon şirketleri genellikle alınan aramaların kayıtlarını tutar; bu, zaman çizelgeleri oluştururken ve suçun meydana geldiği kişilerin konumlarını toplarken yardımcı olabilir.[11]

Kişiler: Kişi listeleri, mağdur veya şüpheliyle bağlantıları nedeniyle şüpheli havuzunun daraltılmasına yardımcı olur.[11]

Metin mesajları: Mesajlar zaman damgaları içerir ve orijinal cihazda silinse bile şirket sunucularında süresiz olarak kalır. Bu nedenle mesajlar, şüphelileri mahkûm etmek için kullanılabilecek çok önemli iletişim kayıtları görevi görüyor.[11]

Fotoğraflar: Fotoğraflar, bir konumu veya sahneyi fotoğrafın çekildiği zaman damgasıyla birlikte görüntüleyerek mazeretlerin desteklenmesi veya çürütülmesi açısından kritik öneme sahip olabilir.[11]

Ses Kayıtları: Bazı mağdurlar, saldırganın sesi veya durumun kapsamlı bağlamı gibi mücadelenin önemli anlarını kaydedebilmiş olabilir.[11]

Uçucu veriler

değiştir

Geçici veriler, bellekte depolanan veya aktarım sırasında mevcut olan ve bilgisayarın gücü kesildiğinde veya kapatıldığında kaybolacak olan verilerdir . Geçici veriler kayıt defterlerinde, önbellekte ve rastgele erişim belleğinde (RAM) bulunur. Bu uçucu verilerin araştırılmasına “canlı adli bilişim” adı verilmektedir.

Kanıt ele geçirilirken, makine hala aktifse, yalnızca RAM'de saklanan ve kapatılmadan önce kurtarılamayan tüm bilgiler kaybolabilir. "Canlı analiz"in bir uygulaması, bir sergiyi kaldırmadan önce RAM verilerini kurtarmaktır (örneğin Microsoft'un COFEE aracı WinDD, WindowsSCOPE kullanılarak). CaptureGUARD Gateway, kilitli bilgisayarlar için Windows oturum açma işlemini atlayarak kilitli bir bilgisayardaki fiziksel belleğin analizine ve edinilmesine olanak tanır.

RAM, güç kaybından sonra önceki içerik açısından analiz edilebilir, çünkü bellek hücrelerinde depolanan elektrik yükünün dağılması zaman alır; bu, soğuk başlatma saldırısı tarafından istismar edilen bir etkidir. Verilerin kurtarılabileceği süre, düşük sıcaklıklar ve yüksek hücre voltajları nedeniyle artar. Güç verilmeyen RAM'i −60 °C'ın altında tutmak, kalan verilerin büyüklük sırasına göre korunmasına yardımcı olarak başarılı kurtarma şansını artırır. Ancak saha incelemesi sırasında bunu yapmak pratik olmayabilir.

Bununla birlikte, uçucu verileri çıkarmak için gereken araçlardan bazıları, hem meşru bir kanıt zincirini sürdürmek hem de makine üzerinde çalışmayı kolaylaştırmak için bir bilgisayarın adli bilişim laboratuvarında olmasını gerektirir. Gerekirse kolluk kuvvetleri, canlı, çalışan bir masaüstü bilgisayarı taşımak için teknikler uygular. Bunlar arasında, fareyi küçük hareketlerle hızlı bir şekilde hareket ettiren ve bilgisayarın kazara uyku kipine geçmesini önleyen bir fare çalkalayıcı da bulunur. Genellikle kesintisiz bir güç kaynağı (UPS), taşıma sırasında güç sağlar.

Ancak veri yakalamanın en kolay yollarından biri RAM verilerini diske kaydetmektir. NTFS ve ReiserFS gibi günlük tutma özelliklerine sahip çeşitli dosya sistemleri, çalışma sırasında RAM verilerinin büyük bir kısmını ana depolama ortamında tutar ve bu sayfa dosyaları, o sırada RAM'de olanı yeniden oluşturmak için yeniden birleştirilebilir.

Analiz araçları

değiştir

Bilgisayar adli bilişim araştırmaları için bir dizi açık kaynak ve ticari araç mevcuttur. Tipik adli analiz, medyadaki materyalin manuel olarak incelenmesini, şüpheli bilgiler için Windows kayıt defterinin incelenmesini, parolaların keşfedilip kırılmasını, suçla ilgili konular için anahtar kelime aramalarını ve incelenmek üzere e-posta ve resimlerin çıkarılmasını içerir. Autopsy (yazılım), Belkasoft Evidence Center, Forensic Toolkit (FTK), EnCase, Dijital adli tıpta kullanılan araçlardan bazılarıdır.

Bilgisayar adli bilişim alanındaki işler

değiştir

Dijital adli bilişim analisti

değiştir

Bir dijital adli bilişim analisti, dijital kanıtların korunmasından, toplanan kanıtların kataloglamasından, kanıtların devam eden davaya uygun şekilde analiz edilmesinden, siber ihlallere yanıt verilmesinden (genellikle kurumsal bağlamda), bulguları içeren raporların yazılmasından ve mahkemede ifade vermekten sorumludur.[12] Dijital adli analist, alternatif olarak bilgisayar adli analisti, dijital adli bilişim uzmanı, siber adli analist, adli bilişim teknisyeni veya benzer şekilde adlandırılan diğer unvanlar olarak da anılabilir ancak bu roller aynı görevleri yerine getirir.[13]

Sertifikalar

değiştir

ISFCE Sertifikalı Bilgisayar Denetçisi, Dijital Adli Tıp Araştırma Uzmanı (DFIP) ve IACRB Sertifikalı Bilgisayar Adli Bilişim Uzmanı gibi çeşitli bilgisayar adli bilişim sertifikaları mevcuttur.

En iyi satıcıdan bağımsız sertifikasyon (özellikle AB dahilinde), CCFP - Sertifikalı Siber Adli Bilişim Uzmanı olarak kabul edilir.[14][15]

ABD veya Asya Pasifik için bahsetmeye değer diğerleri şunlardır: Uluslararası Bilgisayar Araştırma Uzmanları Birliği, Sertifikalı Bilgisayar Denetçisi programını sunmaktadır.

Uluslararası Adli Bilgisayar Denetçileri Derneği, Sertifikalı Bilgisayar Denetçisi programını sunmaktadır.

Birçok ticari tabanlı adli yazılım şirketi artık ürünleri için özel sertifikalar da sunuyor. Örneğin, Rehberlik Yazılımı, EnCase aracında (EnCE) sertifikasyonu sunuyor, AccessData, FTK aracında (ACE) sertifikasyonu sunuyor, PassMark Yazılımı, OSForensics aracında sertifikasyonu sunuyor ve X-Ways Yazılım Teknolojisi, X-PERT sertifikasını sunuyor. yazılımları X-Ways Forensics'tir.[16]

Ayrıca bakınız

değiştir

Kaynakça

değiştir
  1. ^ "2020 Internet Crime Report" (PDF). 29 Ekim 2023 tarihinde kaynağından arşivlendi (PDF). Erişim tarihi: 4 Kasım 2023. 
  2. ^ "IC3 Releases 2020 Internet Crime Report". Federal Bureau of Investigation (İngilizce). 17 Mart 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 17 Mart 2023. 
  3. ^ "What Is Computer Forensics?". Western Governors University (İngilizce). 3 Mart 2022 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Mart 2022. 
  4. ^ Kruse II, Warren G.; Heiser, Jay G. (26 Eylül 2001). Computer Forensics: Incident Response Essentials (İngilizce). Pearson Education. ISBN 978-0-672-33408-5. 17 Mart 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Kasım 2023. 
  5. ^ Sabry, Fouad (10 Temmuz 2022). Digital Forensics: How digital forensics is helping to bring the work of crime scene investigating into the real world (İngilizce). One Billion Knowledgeable. 4 Kasım 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Kasım 2023. 
  6. ^ "The Capture of Serial Killer Dennis Rader, BTK | Psychology Today South Africa". www.psychologytoday.com (İngilizce). Erişim tarihi: 17 Mart 2023. 
  7. ^ Dooley, Sean (22 Ocak 2019). "BTK serial killer's daughter: 'We were living our normal life. ... Then everything upended on us'". ABC News (İngilizce). 11 Mart 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 17 Mart 2023. 
  8. ^ "Chapter 3: Computer Forensic Fundamentals - Investigative Computer Forensics: The Practical Guide for Lawyers, Accountants, Investigators, and Business Executives [Book]". www.oreilly.com (İngilizce). 4 Mart 2022 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Mart 2022. 
  9. ^ Garfinkel, Simson L. (1 Eylül 2006). "Forensic feature extraction and cross-drive analysis". Digital Investigation. The Proceedings of the 6th Annual Digital Forensic Research Workshop (DFRWS '06) (İngilizce). 3: 71-81. doi:10.1016/j.diin.2006.06.007. ISSN 1742-2876. 14 Nisan 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Kasım 2023. 
  10. ^ David, Anne; Morris, Sarah; Appleby-Thomas, Gareth (20 Ağustos 2020). "A Two-Stage Model for Social Network Investigations in Digital Forensics". Journal of Digital Forensics, Security and Law. 15 (2). doi:10.15394/jdfsl.2020.1667. ISSN 1558-7223. 11 Mayıs 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 4 Kasım 2023. 
  11. ^ a b c d e Pollard, Carol (2008). Computer Forensics for Dummies (İngilizce). John Wiley & Sons, Incorporated. ss. 219-230. ISBN 9780470434956. 
  12. ^ "What Is a Digital Forensic Analyst?". EC Council. 28 Aralık 2022. 28 Kasım 2022 tarihinde kaynağından arşivlendi. Erişim tarihi: 28 Aralık 2022. 
  13. ^ "CISA Cyber Defense Forensics Analyst". Cybersecurity & Infrastructure Security Agency (CISA). 28 Aralık 2022. 5 Kasım 2022 tarihinde kaynağından arşivlendi. Erişim tarihi: 28 Aralık 2022. 
  14. ^ "Cybersecurity Certification". isc2.org. 18 Kasım 2022 tarihinde kaynağından arşivlendi. Erişim tarihi: 18 Kasım 2022. 
  15. ^ "CCFP Salaries surveys". ITJobsWatch. 19 Ocak 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 15 Haziran 2017. 
  16. ^ "X-PERT Certification Program". X-pert.eu. 7 Aralık 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 26 Kasım 2015. 

İleri okumalar

değiştir

İlgili dergiler

değiştir
  • IEEE Transactions on Information Forensics and Security
  • Journal of Digital Forensics, Security and Law
  • International Journal of Digital Crime and Forensics
  • Journal of Digital Investigation
  • International Journal of Digital Evidence
  • International Journal of Forensic Computer Science
  • Journal of Digital Forensic Practice
  • Cryptologia
  • Small Scale Digital Device Forensic Journal