İnternet kullanan hemen herkesin web tabanlı bir e-posta hesabı bulunmaktadır. İnsanların çoğunun birden fazla e-postaya sahip olması nedeniyle adli bilişim uzmanları inceleme esnasında e-posta çözümlemesi ile karşılaşabilmektedir.
Kolluk kuvvetleri e-posta içeriğini servis sağlayıcılardan bir mahkeme kararı yoluyla isteyebilirken, şirket veya özel adli bilişim uzmanları bilgisayarda veya mobil cihazlarda delili tespit etmeye çalışmaktadırlar.
Dünyada en yaygın kullanılan web posta sağlayıcıları; Gmail (Google), Hotmail / Outlook (Microsoft) ve Yahoo Mail'dir. Toplamda bir milyardan fazla kullanıcı hesabı bulunmaktadır. Her web mail servis sağlayıcının kendine özel bazı benzersiz özellikler bulunmaktadır. Ancak bu özellikler genel olarak adli bilişim açısından oldukça benzerdir. Web mail kullanılan bilgisayarlar veya mobil cihazlardaki uygulamaların web mail arşivlerinin nasıl saklandığı ve incelenmesi gerektiği konularına yer verilecektir.
Tarayıcılar
Bilgisayarlarda çoğu web mail tarayıcı aracılığıyla yürütülür. Bu nedenle delillerin çoğunluğunun tarayıcının oluşturduğu dosyalarda bulunmaktadır. Kullanılan tarayıcıya bağlı olarak veriler farklı şekilde saklanır, ancak genellikle önbellek, geçmiş ve çerezler en iyi kanıt kaynaklarıdır. Geçmiş ve çerezler, ziyaret edilen tarih, saat ve siteleri kaydedilir. Ancak gerçek delil verileri önbellekte bulunur. Önbellek, gelecekteki ziyaretleri hızlandırmak için web disk bileşenlerini yerel diske depolar. Şüpheli tarafından okunan birçok e-posta önbellek klasörlerinde bulunur ve bu konumlar kullanılan işletim sistemine ve tarayıcıya bağlı olarak değişir.
Internet Explorer
İnternet Explorer (IE) Windows yüklemesinde varsayılan olarak yüklendiğinden, büyük olasılıkla en yaygın kullanılanıdır ve webmail'i ararken veya bu konuda herhangi bir göz atma arşivi ararken daima aranmalıdır. Yüklü Windows ve IE sürümüne bağlı olarak, kanıt farklı konumlarda saklanacaktır. Yerler aşağıda listelenmiştir:
Internet Explorer 10, Windows 7'de de mevcuttur. IE9 yüklendiyse ve daha sonra IE10'a yükseltildiyse, iki kanıt kaynağı (IE9'dan index.dat dosyası ve IE10 için webcache klasörü içindeki veritabanı) bulunmaktadır.
Mozilla Firefox
Firefox çok popüler bir tarayıcıdır ve ayrıca önbellek verilerini yüklü işletim sistemine dayalı çeşitli konumlarda saklar. Birçok Linux dağıtımında varsayılan tarayıcı olarak yüklenir ve MacOS-X için de kullanılabilir.
Google Chrome
Google Chrome, günümüzde kullanılan en iyi 3 tarayıcıdan biridir. Windows, Linux ve MacOS-X için kullanılabilir. Google ayrıca Chromium açık kaynaklı projeyi Linux kullanıcıları için kullanılabilir hale getiriyor ve bazı küçük farklılıklarla normal Chrome paketine çok benzer çalışıyor.
Diğer tarama dosyaları siteyi ziyaret ettiğinizi kanıtlarken, önbellek klasörleri sayfanın veya mesajın içeriğini de göstermektedir. Web incelemelerinde bu konu bazı durumlarda önemli bir delil olmaktadır. İleti ekranda yazıldıktan sonra kullanıcı iletiyi metin kutusunun dışına çıkarmadan gönderirse, gönderdiği iletilerin önbellekte bir sayfası bulunamamaktadır. Gönderilen iletilerin önbelleğe alınması için şüpheli HTML iletiyi gönderdikten sonra "Gönderilmiş İletiler" klasöründe görüntülemesi gerekmektedir.
Bu web mail dosyaları aranacak tek yer olmadığına dikkat etmek önemlidir. Bazen System memory / pagefile.sys ‘de Gmail gibi web mail dosyaları bulunabilmektedir. Volume Shadow Copies (Gölge kopyalar), Restore Points (Geri yükleme noktaları) ve Hibernation Files (Hazırda bekleme dosyaları), hepsi de yukarıdaki alanlarda bulunan delillerle birlikte kullanılabilen değerli geçmiş verileri içerir.
Ön belleğe alınmış sayfalar geleneksel adli araçlar kullanılarak elle ayrıştırılarak görüntülenebilirken, Forensic Explorer (FEX), Magnet Forensics'in Internet Evidence Finder (IEF) gibi adli bilişim yazılımları ilgili tarama verilerini bir şüphelinin kullanmış olabileceği tüm yaygın tarayıcılardan otomatik olarak çekerek belirli kategorilere göre sıralamaktadır. Webmail servis sağlayıcısında. Daha sonra hızlı ve kolay bir analiz için raporlanabilmektedir.
Aşağıdaki örnekte EnCase'i kullanarak 248188 numaralı fiziksel sektördeki bellekteki Gmail parçaları tespit edilmiştir. Tüm veriler orada ancak bellek genellikle sektör düzeyinde bir arama olduğundan, kolayca aranmaz veya organize edilmez.
Adli kopya veya sürücü IEF ile analiz edildikten sonra, rapor görüntüleyicisi tespit edilen delilleri sıralamaktadır. IEF daha sonra otomatik olarak gönderen / alıcı ayrıntılarını, konuyu ve mesajın tarihini hızlı sıralama için sütunlara ayrıştırır ve ardından mesajın içeriğini aşağıdaki pencerede görüntüler. EnCase örneğinde kullanılan verilerle IEF delilleri analiz ederek daha kolay arama için ilgili tüm verileri rapor görüntüleyicisine aktarmıştır.
İnceleme esnasında yalnızca kullanıcı tarafından açılan mesajların tarayıcı izlerini değil, aynı zamanda şüpheli tarafından açılmayan ve web postasının gelen kutusu veya klasör görünümünde tarayıcıda görüntülenen birçok e-postayı da ayrıştırmaktadır. Çoğu zaman bu tür bilgiler bellekte pagefile.sys'de veya hiberfil.sys'de bulunabilir. Kullanıcı tarafından açılmayan iletiler IEF ile gelen kutusu içerisinde görüntülenmektedir.
Genellikle web mail izleri birçok soruşturmanın önemli bir parçasıdır. Ya birincil bilgi kaynağı ya da delil olarak web mail çoğu tarayıcı izlerinde ya da dizüstü bilgisayarların belleğinde bulunabilmektedir.
Diğer Adli Bilişim Yazılımlarının Aldığı Adli Kopyalar Üzerinde Webmail Delillerinin Tespiti
Adli bilişim incelemeleri masaüstü bilgisayarların veya dizüstü bilgisayarların ötesine geçmiştir. Çünkü çoğu kişi şu an mobil cihazlarından e-postalarına erişmektedir. IEF, Android ve iOS gibi en yaygın kullanılan iki platformda bulunan e-postaları analiz edebilmektedir.
Mobil cihaz incelemelerinde kullanılan konusunda uzmanlaşmış birçok adli araç bulunmaktadır. Cellebrite UFED, XRY ve Oxygen Forensic gibi çok çeşitli mobil cihaz adli inceleme yazılımları yaygın kullanılmaktadır. IEF'in önceki sürümlerine çok benzer şekilde IEF Advanced, alınan adli kopyaların analizine odaklanır ve adli kopya almayı diğer araçlara bırakır. IEF adli kopyalarda tüm EnCase formatlarını (E01, L01, E1, E1, E2, E3, E1, E2, E3, Ex01, Lx01) desteklemektedir.
Analize odaklanmak IEF'in bir adli kopya içinde bulunan delil izlerinin tespiti konusunda uzmanlaşmasına ve delillerin bir şüphelinin bilgisayarında veya mobil cihazda bulunmasına bakılmaksızın en iyi sonucu vermektedir.
IEF, iOS ve Android için hem fiziksel hem de mantıksal mobil adli kopyaları analiz edebilmektedir. Ancak ayrılmamış alanda saklanan silinen verilerinde analizi için mümkün olduğunca fiziksel adli kopya tercih edilmelidir. Mantıksal adli kopyada ayrılmamış alan incelenemez ve bu alanda arama yapılamaz.
Android / iOS Posta Kutusu, Gmail Uygulaması
Mobil bir cihazda web mail bir bilgisayardan farklı olarak ele alınır. E-postalar tipik olarak bir PC'de web postası tarayıcı ile işlenir ve delillerin çoğu tarayıcı dosyalarında veya belleğinde bulunur. Mobil cihazlarda ise web mail veya sunucu tabanlı olmasına bakılmaksızın kullanıcının e-posta hesaplarının tümü için tipik olarak bir yerel posta kutusu uygulaması bulunmaktadır.
IOS için yerel posta kutusu bir SQLite
veritabanı olarak saklanmaktadır.
/private/var/mobile/Library/Mail/Protected Index and Envelope Index
Android için de SQLite veritabanı olarak saklanır.
/data/data/com.google.android.email/databases/EmailProvider.db
IEF, mesajları depolayan ve gönderen / alıcıları, CC / BCC'yi, tarih / saati, konuyu, durumu, mesaj içeriğini ve eklentiyi yapılandıran SQLite veritabanına erişerek hem iOS hem de Android cihazları için yerel e-posta istemcilerini ayrıştırarak IEF rapor görüntüleyicisine aktarabilmektedir.
E-postalar Gmail'de olduğu gibi özel bir uygulamada da saklanabilmektedir.
Birçok mobil cihaz Gmail veya diğer popüler web posta hesapları için özel bir posta uygulamasına sahiptir. Bu uygulamalar kullanıcılara Gmail tabanlı web postasında kullanılabilen, yerel posta kutusu kullanılırsa kullanılamayabilecek gelişmiş özellikler sunmaktadır.
Gmail uygulaması, Android cihazlar için bir SQLite veritabanı olarak şu adreste depolanır .
/data/data/com.google.android.gm/databases/mailstore.%GmailUserID%@gmail.com.db
Ayrıca tarayıcı ile erişilebilen ve Gmail uygulaması gibi yerli veya özel posta kutusu uygulamasında kurulmamış web postaları için mobil tarayıcı dosyalarında arama yapılması da gerekmektedir.
Webmail geleneksel tarayıcının çok ötesine geçti ve çok daha fazla yerde araştırma yapılmalıdır. Birden çok web posta hesabından gelen mesajları depolayan mobil veri tabanı uygulamaları ve düzenli olarak oluşturulmakta olan yeni uygulama dosyalarıyla adli bilişim uzmanlarının tüm olası delilleri nerede araması gerektiğini bilmek zordur; her vakanın her yerinde arama yapmaya zaman kalmayabilmektedir. Bu nedenle FEX ve IEF gibi adli bilişim yazılımları kullanarak delillerin tespiti sürecini hızlandırarak adli bilişim uzmanlarının büyük resmi anlamalarına yardımcı olmaktadır.
Forensic Explorer (FEX) ve Internet Evidence Finder (IEF) adli bilişim yazılımları hakkında daha ayrıntılı bilgi almak ve yazılımı temin etmek için lütfen BigData Forensic ile irtibata geçiniz.
Hard Disk | USB Bellek |
SSD |
Server |
RAID |
DVR-Kayıt Cihazı |
Mobil Cihaz | |||||||