cep telefonu tablet veri kurtarma ve adli analiz

Teknolojinin gelişmesine paralel olarak dijital dünyayla bağlantısız kalmak neredeyse imkansız hale gelmiş ve bilgisayar, telefon, tablet, televizyon vb. aygıtlar hayatımızın ayrılmaz parçası halini almıştır.

Yaşantımızın neredeyse tüm alanlarında bir şekilde etkileşim halinde olduğumuz bu cihazlar yaygınlığı nedeniyle hayatımızı kolaylaştırdığı gibi zorlaştırması durumları sık olarak karşılaşılmaktadır.

İçerisine farkında olmadan veya bilinçli olarak yüklemiş olduğumuz verilere karşı yapılan kötü niyetli veya kasti olmayan işlemler neticesinde oluşan sorunları ve bunu gerçekleştirenleri tespit etme ihtiyacı ortaya çıkmaktadır. Meydana gelen olaylar ile ilgili olarak adli makamların karar verme süreçlerini hızlandırarak doğru kararlar vermesini sağlamak amacıyla tüm dünyada kabul görmüş yöntemlerle aygıtlara el koyma işlemleri ile teknik incelemelerin yapılmasına ihtiyaç duyulmaktadır.

Veri Analizi

Kısa bir süre öncesine kadar veri analizi denildiğinde yalnızca bilgisayarlar akla gelirken, mobil cihaz teknolojisindeki gelişmelere paralel olarak veri analizi kavramı içerisine mobil cihazlarda dahil olmuştur.

Elektronik cihazlar sadece iyi niyetli kullanıcılar tarafından kullanılmamaktadır. Bundan dolayı günümüzde neredeyse tüm suçların dijital bir boyutu bulunmaktadır. Basit bir tehdit suçunda dahi, telefondan mesaj göndermek veya aramak suretiyle yapılmışsa, suçun dijital veri analizine gereksinimi olabilmektedir.

Dijital veri analizi, “Dijital kaynaklardan elde edilen dijital delillerin, adli olayların anlaşılmasını kolaylaştırmak veya ileri boyuta taşmak veya yetkisiz işlemlerin yıkıcı, planlı işlemler olup olmadıklarını tahmin etme surecine yardımcı olmak amacıyla bilimsel olarak türetilmiş ve kanıtlanmış yöntemlerin kullanılarak korunması, toplanması, doğrulanması, tanımlanması, analiz edilmesi, dokümantasyonu ve sunumudur.”

Mobil veri analizi ise dijital veri analizinin mobil cihazlar üzerine odaklanmış bir alt alanıdır. Ancak mobil cihazlar pazarının devamlı hızlı yükselişi mobil veri analizinin de önemini arttırmaktadır. Bunun yanında, diğer dijital verilerden farklı olarak, mobil cihazlar genel olarak bir kişi tarafından kullanılmakta olduğundan sahipleri hakkında çok daha fazla kişisel veri sunmaktadırlar.

Ancak mobil cihaz denilince tüm marka model cep telefonları, akıllı telefonlar ve tabletleri de kastettiğimiz için, adli inceleme açısından zor bir alandır. Tüm modeller ve ürünler için tek bir inceleme yöntemi ve aracı yoktur, hatta böyle bir durumun olması da imkânsızdır. Her geçen gün yeni bir telefon modeli üretilmekte ve birçok telefonun farklı işletim sistemi olmaktadır. En çok kullanılan işletim sistemleri Apple iOS, Google Android, Blackberry OS, Microsoft Windows Phone için dahi cihaz ve araçlarınız olsa dahi, bunları kullanmayan, daha eski teknoloji mobil cihazlardan veri analizi yapmak daha farklı teknikler ve araçlar gerektirmektedir.

Dijital Delil ve Dijital Delillerin Tanımlanması, Toplanması ve Korunması

Dijital delil kavramının birçok tanımı bulunmaktadır. Günümüzde en çok uyan tanım ise; Dijital delil, “dijital olayları veya dijital verinin durumu hakkındaki hipotezleri destekleyen veya yalanlayan dijital verilerdir”. Bu tanım dijital verilerin günümüzdeki durumuna daha çok uymakta ve genel bakış açısına daha uygun düşmektedir.

Dijital delilerin incelenmesi sureciyle ilgili uluslararası standartlar ve prosedürler belirlenmiştir. Bu standartlar ISO 27037, Dijital Delilerin Tanımlanması Toplanması ve/veya Elde Edilmesi ve Korunması Kılavuzu ismiyle 2012 de yayımlanmıştır. Bu standartlar mobil veri incelemesini değil de dijital veri incelemesini genel olarak ele almaktadır, ancak mobil veri incelemesi de dijital veri incelemesinin bir alt alanı olduğu için ayni yöntemler mobil veri incelemesine de uygulanmaktadır.

Dijital delilerin mahkemelerde kullanılabilir olması için, bu delilerin adli olarak kurallara uygun bir şekilde toplanması, saklanması ve analiz edilmesi gerekmektedir. Bu nedenle dijital delilin analizi surecindeki, tanımlanmasından raporlanmasına kadar olan her bir süreç dikkatli bir şekilde ve belirlenen standartlara kati şekilde bağlı kalınarak yapılmalıdır.

Dijital verilerin analizinde kaynağın bozulmaması, adli olarak net olması yani hiçbir şekilde değiştirilmemiş olması çok önemlidir. Ancak bu mobil cihazlarda çok geçerli olmamaktadır. Mobil cihazlarda verilerin toplanması surecinde dahi incelemecinin cihazla bir şekilde iletişime geçme ve bazı durumlarda cihazda üçüncü bir ajan yazılım çalıştırması dahi gerekmektedir. Bu durumların dijital verilerin geçerliliğini bozmaması için ise en önemli nokta, yapılan tüm işlemlerin detaylı olarak dokümante edilmesi ve raporlanmasıdır.

Bu nedenle mobil cihazların incelenmesi surecinde incelemecinin şu hususlara dikkat etmesi gerekmektedir;

-   Cihazın bulunduğu losyonun not edilmesi,

-   Cihazın durumunun not edilmesi (açık veya kapalı, ekranı kirik vb.)

-   Cihaz açıldığında, cihaz ekranında görünen tarih, saat ve diğer bilgilerin ekranın bir resmi çekilmek suretiyle not edilmesi,

-   Çok dikkatli bir şekilde cihazda hafıza kartının varlığının kontrol edilmesi,

- İncelemenin yapılacağı laboratuvarda cihaza özgü orijinal kabloların bulunup bulunmadığının dikkatli bir şekilde tespitinin yapılması,

-   Bütün verilerin toplanmadan önce resimlerinin çekilmesi.

Mobil cihazlarda bir diğer husus da farklı bir çok ağa erişim yeteneklerinin olmasıdır. Bu nedenle mobil cihazlar koruma altına alındığında dahi değişime uğrayabilirler, uzaktan erişile güvenli veri silme yapılabilir. Bunları engellemek için bazı önlemler almamız gerekmekte ve cihazların ağ bağlantılarını engellememiz gerekmektedir. Bunun için yapılabilecek işlemlerden bazıları ise şunlardır;

Uçak modu: Cihazla iletişime geçilmesini gerektirmekte ise de en kolay ve etkili çözümlerdendir. Kesinlikle dokümante edilmelidir. Ancak bu özelliğin kullanılabilmesi için iOS cihazlarda Ayarlar | Denetim Merkezi kısmında Kilit Ekranında erişim seçeneğinin aktif olması gerekmektedir.

Faraday çantası: Bu çanta cihazın tüm elektromanyetik iletişimini engelleyen bir yapıya sahiptir. En çok tercih edilen yöntemlerdendir. Ancak bunun da olumsuz yönleri vardır. Cihaz çanta içerisinde olsa dahi sürekli bir ağ arayışında olacak ve bu da cihazın şarjının azalması, belki de bitmesine neden olacaktır. Ayrıca cihazın inceleneceği laboratuvarın ayni şekilde izole bir yapısının olması gerekmektedir, aksi takdirde cihaz çantadan çıkarıldığında ağlara erişim sağlayabilir ve tüm çabalarımız sonuçsuz kalabilir.

Yayın bozma: Yayın bozucu kullanarak cihazın ağlarla iletişimi engellenebilir. Ancak bu durum yasal olmayabilir, bunun için öncelikle bunun araştırılması gerekmektedir, çünkü yayın bozucu cihazlar etraftaki diğer cihazların da ağlara erişimini engelleyecektir.

Cihazın kapatılması: Çok riskli ve mümkün olduğunca tercih edilmemesi gerekmektedir. Cihazda ki uçucu verilerin kaybolmasana neden olabildiği gibi cihazın tekrar açılmasını engelleyecek mekanizmaların da devreye girmesine ve cihazın tekrar açılıp, verilerin alınmasını engelleyecek duruma geçmesine neden olabilir.

SIM kartın çıkarılması: Bu işlem birçok cihazda bataryayı çikarmayi gerektirmesi ve yukarıda belirttiğimiz cihazın kapatılması durumundaki riskleri taşışa da, iOS cihazlarda bu işlem çok daha kolay olmaktadır. Ancak bu durumda da SIM kartta bir şifre varsa bu devreye girecektir ve SIM kartın çıkartılması sadece Servis sağlayıcı ile iletişimi engellemeyecek, Bluetooth ve Kablosuz bağlantı durumunda bir değişme olmayacaktır.

Delil Teslim Zinciri

Dijital delilerin dokümantasyonunda en önemli aşamalardan birisi de delil teslim zinciridir. Delil teslim zincirinin iki ana nedeni vardır: ilk olarak delile erişimi olan her kişinin belirlenmesi ve delilin takibi; diğer bir nedeni ise delilin bu sure zarfında değiştirilmediğinin kanıtlanmasıdır.

Dijital delil teslim zincirini ihtiva eden dokumanda şunlar bulunmalıdır;

-  Eşsiz bir delil tanımlayıcısı,

-  Delile kim, ne zaman ve nerede erişti,

-  Delilin muhafaza edildiği yerin içerisinde ve dışarısında delili kim inceledi, kontrol etti,

-  Delilin değiştirilmediğini gösteren hash değeri,

- Normal olarak olmaması gereken ama delilin niteliği gereği gerçekleşen ve delilde değişime neden olan olayların ayrıntılı olarak süreçleri ve neden bu süreçlere ihtiyaç duyulmaktadır.

Delilerin elde edilmesi surecinin dokümante edilmesi bu surecin en önemli aşamasıdır. Yukarıda da belirttiğimiz gibi bu süreçte yapılan aksaklıklar delilerin delil niteliğini yitirmesine ve incelemecinin hukuksal olarak sorumlu olmasına neden olabilir.

Mobil Cihazlardan Dijital Delilerin Toplanması

Mobil cihazın doğru bir şekilde dokümante edilerek alınmasının ardından incelemeler başlar. Mobil cihazlarda, özellikle iOS cihazlarda, 3 çeşit delil elde etme yöntemi mevcuttur.

Fiziksel: Bu optimal ve en tercih edilen yöntemdir. Çünkü fiziksel dijital delil etme “bit-to-bit” olarak cihazın kopyalanmasıdır. Bu yöntem ile silinen dosyaların dahi kurtarılması mümkün olması nedeniyle en çok tercih edilen yöntemdir.

Dosya Sistemi: Bu yöntemde fiziksel kopyalama mümkün olmadığında en çok tercih edilen yöntemdir. Bu yöntem ile incelemeci dosya sistemi seviyesinde görünür olan tüm dosyaların kopyasını alır. Ancak bu yöntem ile sadece aktif olarak görünen veriler elde edileceğinden silinmiş verilerin kurtarılması mümkün olmayacaktır.

Mantıksal: Bu yöntemle dosya sisteminin bir bolumunum kopyası alınabilmektedir. iOS cihazlarda bu yöntem iTunes aracılığıyla yapılmaktadır. Ancak bu yöntemle iOS cihazlarda e-mailler, lokasyon bilgileri, uygulama veri dosyaları gibi önemli bilgiler alınamamaktadır. Üç seçenekten en az tercih edileni olsa dahi bazı durumlarda tek seçenek olarak karşımıza çıkabilir.

iOS cihazlarda bazı durumlarda fiziksel olarak delil elde etmek için jailbreak yöntemini kullanmak gerekebilmektedir. Bu durumlarda mümkün olduğunda baglantısal-geçici (tethered) jailbreak yöntemi kullanılarak, bağlantı sonrası cihazın normal durumuna dönmesi veya bunun mümkün olmadığında doysa sadece iOS cihazının OS dosyalarını etkileyen ancak kullanıcı kısmında bir değişikliğe sebep olmayan baglantısal-kalıcı (untethered) jailbreak yöntemi kullanılarak fiziksel delil elde edilmektedir. Bu durmaların her birinde kullanıcı dosyalarında bir değişiklik yapılmamakta, sadece gerekli sistem dosyalarında değişiklik yapılmaktadır.

Ayrıca bazı durumlarda iOS cihazın şifreli olması nedeniyle §ifre kırma teknikleri de kullanılabilmekte ancak bu yöntemler kullanılırken de cihazın veri yapısında herhangi bir değişikliğe sebep olmayan yöntemler tercih edilmektedir (brute force gibi). Ancak bu durumlar kesinlikle inceleme raporunda detaylı olarak belirtilmelidir. Bu raporlarda kullanılan yöntemlerin de ayrıntılı açıklaması ve neden kullanılmasının gerektiği açıklanmalıdır.

Her ne kadar delilerin elde edilmesi surecinde iOS mobil cihazlarda bazı üçüncü parti ara9lar vasıtasıyla sistem dosyalarında değişiklik (jailbreak) yapmak zorunluluğu ortaya çıkmış olsa dahi, dijital delilerin mahkemelerce kabul edilebilmesi i9in delil bütünlüğünün sağlanması gerekmektedir. Bu nedenle delilin elde edildiği anda ve §şimdiki halinin eşsizliğini ve değişikliğe uğramadığını göstermek amacıyla hash değerlerinin alınıp raporda belirtilmesi gerekmektedir. Hash değeri hesaplamaları ile verilerde herhangi bir değişiklik olup olmadığı kolaylıkla tespit edilebilmektedir.

Bigdata Forensic tüm marka / model cep telefonu ve tabletlerden veri kurtarma ve inceleme yapılarak raporlamasını sağlamaktadır. Ayrıntılı bilgi için lütfen iletişime geçiniz.

  • Veri Kurtarma Yapılan Aygıtlar

hard-disk-kurtarma

  

flash-kurtarma

          

ss-veri-kurtarma

   

server-kurtarma

   

raid-kurtarma

   

dvr kayit

 

mobil

 
Hard Disk   USB Bellek   

SSD

 

Server

 

RAID

 

DVR-Kayıt Cihazı

   Mobil Cihaz