Mobil cihazların adli incelemelerinde kişisel bilgilerin güvenliği çok önemlidir. Kişisel verilerin korunması kanununa (24/03/2016 tarih ve 6698 sayılı) göre kişilerin kendi rızaları dışında kişisel verileri işlenemez.
Bu nedenle adli incelemelerde de kişinin rızasının alınması gerekmektedir. Bu durumda yapılması geren işlem olarak cihza sahibinden yapılacak işlemler ve sahipliği konusunda taahhütname alınması en iyi seçenektir. Aksi durumlar suç teşkil etmektedir. Adli bilişim uzmanları inceledikleri mobil cihazların gerçekten inceleme talep eden şahsa ait olup olmadığını teyit etmek zorundadır. Ayrıca mobil cihaz inceleme talep eden şahsın kendisine ait olduğunu fatura vb. belgelerle ve yazılı taahhütname ile ispatlamalıdır.
Telefon, tablet veya GSM hattı talep edene ait olsa bile bazı durumlarda telefonu kullanan başka birisi (eşi, kız arkadaşı, çocukları vb.) olabilmektedir. Bu şekildeki mobil cihazdan alınan veriler kullanıcının rızası olmadan yine suç teşkil etmektedir. Adli bilişim yazılımları kullanılarak mobil cihazın kime ait olduğu bilgilerine ulaşılabilmektedir.
IOS Mobil cihaz sahibinin tespiti nasıl yapılır?
IOS Mobil cihaz sahibinin kim olduğunun tespitinden önce cihazın adli kopyası ve incelemesi yapılmalıdır. iOS cihazının adli kopyası alındıktan sonra 'Dosya Sistemi' sekmesine gidilir. 'SystemPreferenceDomain' - 'SytemConfiguration ...' yolu takip edilir.
Şekil 1. Belkasoft Evidence Center'ın 'Dosya Sistemi' sekmesi.
Bu bölümde, bazıları cihaz sahibinin adını içeren birkaç .plist dosyası olacaktır (bu adı cihazın sahibi belirliyor). Preferences.plist dosyasını tıklanır. Belkasoft Evidence Center'ın altındaki 'plist' sekmesini tıklanır, 'ComputerName' alt anahtarına gidilir.
Şekil 2. Preferences.plist dosyasının içeriği.
Com.apple.mobilegestalt.plist dosyasını tıklanır. Biz bu inceleme sırasında Belkasoft Evidence Center mobil cihaz inceleme yazılımını kullandık. Belkasoft Evidence Center'ın altındaki 'plist' sekmesini tıklanır, 'UserAssignedDeviceName' alt anahtarına gidilir.
Şekil 3. com.apple.mobilegestalt.plist dosyasının içeriği.
Şekil 2 ve 3'te görüldüğü gibi bu iOS cihazının sahibi 'iPhone kullanıcısı'. Ayrıca, iTunes kullanarak iOS cihazlarından verileri ayıklayabilmektedir.
ITunes yedeklemeleri aşağıdaki şekilde bulunabilir:
Windows XP: C:\Documents and Settings\%User Name%\Application Data\Apple Computer\MobileSync\Backup\
Windows 7,Vista, 8, 10: C:\Users\%User Name%\AppData\Roaming\Apple Computer\MobileSync\Backup\
MacOS: ~\%User Name%\Library\Application Support\MobileSync\Backup
ITunes yedeklemeleri şu şekildedir:
Şekil 4. IOS 10 ve üstü olan iTunes Yedekleme aygıtı.
Şekil 5. iOS'u 10'un altında olan iTunes Yedekleme aygıtı.
ITunes yedeğinde bir info.plist dosyası vardır. Aşağıdaki bilgileri içerir:
Cihaz adı ve görünen adı : Genellikle sahibinin adını içeren cihazın adı.
ICCID : SIM'in seri numarası olan Entegre Devre Kartı Tanımlayıcı'dır.
Son yedekleme tarihi : Bu, son başarılı yedeklemenin zaman damgasıdır.
IMEI : Bu, cep telefonunu tanımlamak için kullanılan Uluslararası Mobil Cihaz Kimliği'dir.
Telefon Numarası : Bu, yedekleme sırasında cihazın telefon numarasıdır.
Yüklü uygulamalar : Cihazdaki uygulama tanımlayıcılarının listesi.
Ürün tipi ve üretim versiyonu : Bu, cihazın model ve bellek sürümüdür .
Seri numarası : Cihazın seri numarasıdır.
ITunes sürümü : Bu, yedeklemeyi oluşturan iTunes sürümüdür.
Hedef Tanımlayıcı ve Tek Tanımlayıcı : Bu, cihazın UDID'idir
Bu dosya herhangi bir plist görüntüleyicisi tarafından açılabilir. Aşırı durumlarda, içeriği Not Defteri veya Internet Explorer tarafından görüntülenebilir.
Info.plist dosyasını Not Defteri veya Internet Explorer'da açın ve ‘<key> Device Name </ key>’ and ‘<key> Display Name </ key>’' alt anahtarlarını bulun. Bu alt anahtarlar cihazın sahibini gösterecektir.
Şekil 6. Info.plist dosyasının içeriğinin parçası.
Android Mobil cihaz sahibinin tespiti nasıl yapılır?
Android cihazı hakkında en iyi bilgi kaynağı, fiziksel kopyadır. Cihazın yedeklemesinin (Backup) yapılması silinmiş alanları kapsamadığından kurtarılan veriler daha azdır. Android cihazların fiziksel dökümlerini ve yedeklerini almanın birçok yolu vardır. Ne yazık ki, Android cihazlar için info.plist gibi bir dosya yok. Ancak, telefon sahibi hakkında bilgi, kısmen birçok dosyada bulunabilir. İşte bunlardan bazıları:
\system\accounts.db (or \data\system\users\0\accounts.db) : Bu SQLite veritabanı dosyasıdır. Android cihazında kullanılan tüm hesapları listeler. Uygulamanın kullanıcı adı ve şifresi bu dosyada bulunabilir. Sürüm 2.3'den itibaren şifre değeri artık düz metin değil base64 ile şifrelenmiş bir değerdir. Adli bilişim uzmanları için Android hesaplarında kullanıcı adlarını tanımlamada yararlı bilgiler olabilmektedir.
Şekil 7. \data\system\users\0\accounts.db. dosyasının içeriğidir. Bu dosyadan mevcut kayıtlar ve silinen kayıtlar çıkarılabilir.
\system\sync\accounts.xml: Android cihazları, kullanıcıya tüm verileri hesaplarda senkronize etme imkanı verir. İncelemeci buradan kurtarılabilir deliller oluşturabilir, çünkü uygulamalar için hesap kullanıcı adları bu dosyada listelenir. İncelemeci accounts.xml dosyasında bulunan bilgilerin yardımı ile kullanıcı adını ilişkili uygulamayla bağlayabilir.
\Data\com.android.browser\databases\autofill.db: Bu SQLite veritabanıdır. Tarayıcı geçmişi içinde depolanan formları tamamlamak için kullanıcı tarafından kaydedilen ad ve adres bilgileri gibi bilgileri depolamaktadır.
\Data\com.google.android.apps.plus\shared_prefs\accounts.xml : Bu XML dosyası, Google+ hesabı için hesap bilgilerini içerir.
Şekil 8. \data\com.google.android.apps.plus\shared_prefs\accounts.xml dosyasının parçası
\Data\com.google.android.talk\shared_prefs\accounts.xml : Bu Google Hangout XML dosyası, Hangout sahibine ait bilgi verir ve hesabın tercihlerini gösterir.
Telefonun sahibinin tespitinde; sosyal paylaşım ağları, telefon sahibinin hesapları, telefon numaraları ve e-posta adresleri kullanarak taranabilen forumlar, tarayıcı geçmişleri vb. daha ayrıntılı inceleme ve analiz yapmak gerekmektedir.
Analiz sonucunda; inceleme talep eden şahıs mobil cihazın gerçek sahibi değilse elde edilen verilerin paylaşılması suç teşkil etmektedir. Mobil cihazın gerçek sahibinin rızası alınmazsa elde edilen veriler güvenli silme işlemi yapılarak imha edilmelidir. Ancak soruşturma adli makamlarca yapılıyorsa adli makamların yazılı talimatları doğrultusunda işlem yapılmalıdır.
Hard Disk | USB Bellek |
SSD |
Server |
RAID |
DVR-Kayıt Cihazı |
Mobil Cihaz | |||||||