Apple iPhone ve iPad mobil cihazları mobil pazarında önemli paya sahiptir. Bu nedenle adli bilişim uzmanları tarafından laboratuvarlar ortamında Apple mobil cihazlarının adli kopyalaması ve analizi konularında sürekli araştırmalar yapılarak yeni yöntemler geliştirilmektedir.

Apple mobil cihazlardan veri kopyalama

Mobil adli bilişim’de dört temel veri kopyalama yöntemi vardır:

• Cihazın mantıksal kopyası sadece belirli verileri (telefon defteri, çağrı, SMS vb.) alabilmektedir. Bu yöntemde genellikle mobil cihaza özel bir uygulama yüklenerek gerçekleştirilir. Ancak Apple mobil aygıtların bellek yapısı ve güvenlik nedeniyle bu yöntem uygulanamamaktadır.
• Mobil cihazın yedeğini oluşturulur. Güvenlik ilkeleri tarafından izin verilen tüm mantıksal veriler kopyalanır. Apple mobil cihazlardan veri kopyalamak için en yaygın yöntemdir.
• Dosya sistemini kopyalayarak cihazda mantıksal tüm veriler alınabilir. Bu yöntem Jailbreak'e yapılan Apple cihazları için geçerlidir. Bu tür cihazlardan maksimum miktarda veri kopyalanmasını sağlar. Maalesef tüm cihazlar Jailbreak yapılamamaktadır. Jailbreak iOS işletim sisteminin en son sürümüne sahip olan Apple mobil cihazlar için yapılabilir.
• Fiziksel kopyalama yöntemi uygulandığında cihazdan sadece mantıksal verileri değil aynı zamanda silinen dosyalar da alınabilmektedir. Ancak bu yöntem Apple mobil cihazlarında yalnızca iPhone 4 ve daha eski modellerde çalışmaktadır.

Apple mobil cihazların adli kopyasının alınması ve verilerin analizi için adli mobil cihaz analiz yazılımları kullanılmaktadır. Bunlardan Oxygen Forensic, Cellebrite UFED, MobilEdit, Belkasoft Acquisition Tool gibi adli bilişim yazılımları yaygın olarak kullanılmaktadır.

Belkasoft Acquisition Tool ile Kopyalama ve Analiz

Programı çalıştırılır. Açılan pencerede 'Mobil cihaz' simgesini tıklanır.

“Belkasoft Acquisition Tool” programının ana penceresinden bir sonraki pencerede 'Apple' simgesi tıklanır.

Cihaz türünü seçmek için kullanılan pencereden ('Apple' veya 'Android') seçim yapılır.

Adli kopyası alınacak cihazın kilidi açılır, bilgisayara bağlanır ve cihazın ekranındaki soruya yanıt olarak 'Güven'e tıklanır. Bir sonraki pencerede kopyalanan verilerin saklanacağı yol belirlenir ve ileri tıklanır.

 

Bir mobil cihazı bağlamak için kullanılan pencere.

Veri kopyalama işlemi başlar. Kopyalama işlemi tamamlandığında kopyalanan verilerle ilgili bilgi içeren bir pencere görüntülenir. Kopyalanan verilere bu penceredeki 'Open target folder' etiketi tıklanarak ulaşılabilir.

Gerçekleştirilen işlem hakkında bilgi içeren pencere.

Kopyalanan Verilerin Analizi

Elde edilen verilerin analizi için 'Belkasoft Evidence Center' yazılımı kullanılabilir. Program çalıştırılarak yeni vakanın parametrelerini tanımlanır. 'Yeni Vaka' düğmesi tıklanır. Ad, yol, adli bilişimcinin adı, vaka açıklaması, saat dilimi gibi bilgiler girilir.

Yeni bir vaka oluşturmak için pencere.

Bir sonraki pencerede daha önce mobil cihazın adli kopyasının yolunu belirlenir ve ileri tıklanır.

Veri kaynağı seçimi penceresi.

Bir sonraki pencerede görüntülenmesi istenilen veri türleri (sohbet, e-posta mesajı görüntüleri, videolar, çağrılar, SMS mesajları vb.) belirtilir. Görüntüleme için ne kadar çok veri türü seçilirse, analiz o kadar uzun sürer.

Aranacak veri tiplerini seçimi yapılır.

Analiz işleminin tamamlanmasının ardından, tespit edilen veri türleri görüntülenir.

Analiz edilen cihazdan elde edilen veriler.

Silinen verileri bir iTunes yedeklemesinden de kurtarmak mümkündür. Forensic Explorer, Belkasoft Evidence Centre gibi adli bilişim yazılımları iTunes yedeklerinden telefon defteri, çağrılar, SMS mesajları, web tarayıcı geçmişi vb. kayıtlarda silinmiş verileri kurtarabilir.

Yapılan incelemede (Thumbnails) tırnak fotoğraflardan silinen fotoğraf veya videolara ait bilgiler elde edilebilir.

Adli bilişim yazılımları ile mevcut ve kurtarılan veriler görüntülenerek delil olarak adli makamlara sunulmak üzere raporlanabilir.