Bir bilişim suçunda delil toplanmasında ve incelenmesinde çalışan kişilerin siber saldırı ve hack konusunda tecrübe sahibi olmasının, olayın oluşu, delillerin yeri, toplanması ve analizi konularında, oldukça faydası olmaktadır. Saldırı ve hack teknikleri ve toolları hızla gelişmekte ve paylaşılmaktadır. Bir olayın failinin tesbiti delile bağlı olduğundan, dijital delillerin iyi toplanması yada toplanamaması sonucu direkt etkilemektedir.
Uçucu delillerin uçmadan önce toplanabilmesi gerekmektedir. Uçucu olmayan delillerin toplanması muhafazası ve çalışma ortamlarına, zarar görmeden nakli ve Adli mercilere teslimi zor olan işin kolay taraflarından olsada, uçucu delillerin toplanması ve toplanmaması sıkıntılı bir süreç olarak önümüzde durmaktadır.
Uçucu deliller çok değişik şekillerde sayılsa da aklıma gelenleri aşağıya yazmaya çalıştım.
RAM deki veriler. RAM’deki MSN konuşmaları, kriptolu olan disk alanlarının RAM’deki (bitlocker) şifreleri ve daha birçok delil... RAM’lerden hatırı sayılır delillin çıktığı gözardı edilmemelidir.
Özellikle bitlockerle veya disk kriptolama yazılımları ile yada biostan konulan ve TPM çipinde tutulan diski şifrelenmiş bir bilgisayarı kapattığınızda (bilgisayar açıkken disk erişilebilir durumda olabiliyor) veya çalışan makinanın fişini çektiğinizde artık o diske erişmek nerdeyse imkansız hale gelebilecektir. Bu durumda en azından zaman ve imkan varsa RAM’lerinin imajının alınması düşünülebilir ve kriptolu disk alanı varmı, erişilebilir durumda mı, diye çalışan sistemin incelenmesi gerekmektedir. Bu durum uygulamada sıkıntılı bir durum olarak karşımıza çıkmaktadır. Suçlanan bir tarafın olduğu bir ortamda 1-2 bilgisayar belki sıkıntı olmayacaktır ama 100 bilgisayarın bulunduğu bir olayda zaman, tahammül sınırlarını zorlayabilmektedir.
Başka sistemlerde veya kurumlarda bulunan delil olabilecek kayıtları da, normalde uçucu delil olmamasına rağmen uçucu delil muamelesi yapılması gerektiğini düşünüyorum. Çünkü delil olabilecek kayıtlardan, mevzuata uygun tutulması gereken süre bazı kayıtlar için 7 gün iken, bazıları 1 yıl olabilmektedir. Ancak bu kayıtların belirtilen süre içinde dahi tutulmadığı olabilmektedir. Disk dolduğundan üstüne yazması gibi sebeplerle ihtiyaç olan kayıtlar silinebilmektedir. Aslında bu kayıtlara ihtiyacın, yargı süreci devam ettiği sürece bulunduğu değerlendirildiğinde, logların saklanma sürelerinin ülkemizdeki yargı süreçlerine endekslenmesi gerektiğini akla getirsede, bunu yapmak mümkün görünmemektedir. Bu da delil toplama ve analiz işlemlerinin hakkıyla ve hızlı yapılması gerektiğini öne çıkarmaktadır.
…..
|
