Bu makalede genel hatlarıyla toplanan delillerin analizinden bahsedilecektir.
Her olaya göre deliller ve bulunabileceği yerler farklılık göstermektedir. Üzerinde çalışılan olay analiz edildikten ve bu olayın nasıl olabileceği üzerine çalışmalar yapıldıktan sonra o tarihteki deliller toplanmış ve Analiz aşamasına geçilmiştir.
Bir delil, olaya konu kaynak trafiği olşturan bilgisayarın, harddiski ve bu olayla ilgili olarak gelen veri depolama üniteleri içinde olabileceği gibi, 2 satır txt dosyası, yada GB’larca büyüklükte log dosyası, bir mail headerı, ISS-Apache, FW, IPS, IDS, net flow kayıtları yada swithclerin arp tabloları, sistemde olan basit bir yazıcı ekleme kaydı, tempdeki bir dosya, desktopta duran bir dosya, çalışan bir process, bir cooke, index.dat dosyası olabilmektedir. Bu olaya göre çoğaltılabilecektir.
Asıl prensip asla delil üzerinde çalışılmaması, Adli Bilişim Donanımı varsa donanımları ile yoksa Adli Bilişim Yazılımları ile birebir kopyası üzerinden çalışılmasıdır.
Olaylarla ilgili HDD ve diğer veri depolama üniteleri el konulmadan birer kopyası delil olarak alınmışsa zaten elinizde 1 kopya delil olacaktır. Ve kesinlikle zarar görmemesi gerekmektedir. Çünkü suçlanan taraf artık disk ve depolama ünitelerini yok edecektir. Yani telafisi tekrar mümkün değildir. Elinizdeki delillerden ya birer suret daha çıkarıp düşme, kaybolma, virüs bulaşması gibi durumlarla zarar görmesi gibi durumlar karşısında yedeğinin olması, hemde çıkardığınız suret üzerinde inceleme yapılması (buda çok uygulanabilir görünmese de elinizdeki olayın büyüklüğüne göre durum değişebilmekte, bazı risklerin alınmaması gerekebilmektedir) olaya göre değerlendirilmelidir.
HDD vb. veri depolama üniteleri üzerinde inceleme yapılırken asıl prensip ise write blocker donanımının kullanılmasıdır, yazılımsal write blockerlar donanımsal write blockerlar gibi delil üzerine yazma koruması sağlamamaktadır diye düşünüyorum.
Yaptığınız inceleme sırasında bir delil başka bir delili işaret ediyorsa, bu delil elde bulunan HDD vb. depolama media-üniteleri içindeyse ordan, müstakil sistemi olan Kurum-Kuruluş-Şirketlerden istenmesi gerekiyorsa, dosya Savcılık aşamasındaysa C.Savcılığından, Mahkeme aşamasında ise ilgili Mahkemeden talep edilmesi halinde temin edilebileceği bilinmektedir.
Eğer gidilebiliyorsa suçluya delilden gidilmeye çalışılmalıdır. Süpheliden delile ulaşılmaya çalışılmasının 2. seçenek olarak değerlendirilmesi gerektiğini düşünüyorum.
Olayla ilgili sistemler üzerinden alınan ve kurum-kuruluşlardan istenen log dosyalarının incelenmesi, geçerliliklerinin sorgulanabilirlikleri …. gibi benzeri konuları da ele almak gerekeceğinden nasipse ayrı makalede ele almayı düşünüyorum.
|
