ADLİ BİLİŞİM NEDİR?
Adli bilişim, bilişim sistemleri ve üzerinde bulunan depolama aygıtlarının herhangi bir suçu işlemede veya yasaklanmış bir faaliyette kullanılıp kullanılmadığını tespit etmek amacıyla yapılan çalışmalar bütünüdür. Adli bilişimin temel amacı, dijital veriler ile olay arasındaki bağlantıyı açığa çıkarmaktır. Delillerin elde edilmesi, saklanması, incelenmesi, analizi, raporlanması ve sunum aşamaları adli bilişim sürecinin içerisinde yer almaktadır. Delillerin elde edildiği çalışma alanları, sistemler üzerinde yapılan incelemeler, sabit diskler, USB bellekler, CD/DVD vb. depolama aygıtları ve Mobil Cihazlar olmak üzere çok geniş ve çeşitli çalışma alanlarına sahiptir. Adli bilişim, “Kim?”, “Neden?”, “Nerede?”, “Ne Zaman?”, “Nasıl?” sorularına cevap aramaktadır.
Adli bilişim alanında yapılan işlemlerin tümü genel kabul görmüş yöntemler kullanılarak gerçekleştirilmelidir. Genel kabul edilen yöntemler kullanılarak yapılan çalışmalar, delilin güvenilirliği ve kabul edilmesi açısından önemlidir. Genel kabul yöntemlerin kullanılmasının önemli nedeni, farklı kişiler tarafından yapılan incelemeler sonucunda aynı sonucu vermesidir. Elde edilen sonuçların tekrar edilebilir olması güvenilirlik açısından büyük öneme sahiptir.
Neden Adli Bilişime İhtiyaç Vardır?
Teknolojinin gelişmesi sonucunda tüm veriler ve dokümanların dijital ortamlara taşınması ve saklanması doğal hale gelmiştir. Bu veriler ve dokümanlar üzerinde değişiklik yapılabilir. Bu yapılan değişikliklerin tespit edilmesi, analiz edilmesi ve sunulması özel yöntemler gerektirmektedir. Bu aşamada adli bilişim teknik ve yöntemleri kullanılır. Delillerin özel teknik ve yöntemlerle delil niteliğini kaybetmeden elde edilmeli, analiz edilmeli, raporlanmalı ve sunulmalıdır.
Dijital Delil Nedir?
Dijital delil, bilişim sistemleri(Bilgisayar, mobil cihaz vb.) ve bu sistemler üzerinde bulunan depolama aygıtlarında yapılan incelemeler sonucunda elde edilen adli delillere denir. Elde edilen bulguların delil olarak kullanılabilmesi için bazı unsurları taşımalıdır:
- Akla uygunluk, kabul edilebilirlik
- Gerçeklik
- Tam ve Eksiksiz olması
- Güvenilirlik
- İnanıla bilirlik
- Tekrar edilebilirlik
Delillerin elde edilebileceği bazı alanlar şöyledir:
- Veri depolama alanları
- Silinmiş dosyalar
- USB bellekler
- GPS aygıtları
- Geri dönüşüm kutusundan elde edilen veriler
- Registry kayıtları
- Cep telefonları
- Ağ ve İnternet
- Fotoğraflar
- Video görüntüleri
Adli Bilişim Türleri
Adli bilişim genel olarak dört alt dala ayrılmaktadır. Bunlar; bilgisayar adli bilişimi, ağ ve internet adli bilişimi, gömülü cihazlar adli bilişimi ve sosyal ağ adli bilişimidir.
Bilgisayar Adli Bilişimi
Adli bilişim türlerinden bilgisayar adli bilişimi, adli makamlarca en çok kullanılan adli bilişim türüdür. Bu adli bilişim türünde, suç işlendikten sonra, suç mahallinde bulunan veya suçlu tarafından kullanılan masaüstü, dizüstü vb. bilgisayarların adli birimlerce prosedürlere uygun bir şekilde güvenliğinin sağlanması, inceleme yapılacak laboratuvarlara taşınması, delil elde edilecek birimlerin incelenmesi, gerekli delillerin elde edilmesi, raporlandırılması ve adli makamlara sunulması süreçleri yer almaktadır.
Ağ ve İnternet Adli Bilişimi
Ağ ve internet adli bilişim türü, suçluların bir kurum veya firmaya ait bir sisteme sızmaları, bu sistemlere maddi çıkar veya eğlence amaçlı zarar vermeleri sonucu kurum veya firma saygınlığının zarar görmesi sebebiyle, tüm sisteme ait logların, bilgisayar sunucularının ve ağ üzerinden giden paketlerin incelenmesi, ilişkilendirmelerin yapılması, raporlanması ve adli makamlara sunulması süreçlerini kapsamaktadır.
Gömülü Cihazlara Ait Adli Bilişim
Gömülü cihazlara ait adli bilişim, Iphone, Blackberry ve Ipad gibi cihazları kullanarak işlenen suçlarda, suçluya ait bu tür cihazların elde edilmesi, gerekli yazılımlar kullanılarak bu tür cihazların içerisindeki suç unsuru olabilecek bilgilerin çıkarılması, ilişkilendirilmelerin yapılması, raporlanması ve adli makamlara sunulması süreçlerini kapsamaktadır.
Gömülü Cihazlara Ait Adli Bilişim
Gömülü cihazlara ait adli bilişim, Iphone, Blackberry ve Ipad gibi cihazları kullanarak işlenen suçlarda, suçluya ait bu tür cihazların elde edilmesi, gerekli yazılımlar kullanılarak bu tür cihazların içerisindeki suç unsuru olabilecek bilgilerin çıkarılması, ilişkilendirilmelerin yapılması, raporlanması ve adli makamlara sunulması süreçlerini kapsamaktadır.
Sosyal Ağ Adli Bilişimi
Sosyal ağ adli analizi, son yıllarda bir adli bilişim türü olarak kabul edilmektedir. Web 2.0 akımıyla birlikte internette doğan yeni medya ve paylaşım sistemleri üzerinden adli bilişim süreçlerinin ve incelemeleri destekleyici çalışmaların yürütülmesi olarak ifade edilebilir. Bu adli bilişim türünde, sosyal ağlar ve paylaşım ortamları üzerinden, kayıp kişilerin takibi, kötü amaçlı yazılım yayma, insan kaçakçılığı, dolandırıcılık gibi eylemlerin tespitinin yapılması, mevcut elektronik delillerin değerlendirilmesine yardımcı olunması sağlanabilmektedir.
ADLİ BİLİŞİM YÖNTEMLERİ
Teknolojinin gelişmesi ile birlikte son yıllarda adli bilişim uygulamaları incelendiği zaman, delil niteliği taşıyabilecek verilerin sadece kişisel bilgisayarlardan değil, cep telefonlarından, oyun konsollarındaki görüşme kayıtlarından, USB belleklerden, dijital ses ve video kayıt cihazları gibi birçok elektronik cihazdan elde edilebildiği görülmektedir.
Adli bilişim incelemelerinde delillerin büyük çoğunluğu kişisel bilgisayarlardan elde edilmektedir, çünkü kişisel bilgisayarlarda internet geçmiş bilgileri, silinmiş dosyalar, sistem logları, kullanıcı hesapları ve şifrelenmiş veri bulunmaktadır. Kişisel bilgisayarlardaki gibi büyük boyutlu olmasa da gelişmiş cep telefonları vb. birçok dijital cihaz üzerinde elektronik delil bulunmaktadır. Bu elektronik delillerden elde edilecek en küçük bir veri dahi, inceleme aşamasında olayın aydınlatılmasında yardımcı olmaktadır.
Bilgisayar Adli Bilişimi(Computer Forensic)
Adli bilişimin en çok kullanılan alt disiplini, bilgisayar adli bilişimidir. Adli bilişim incelemelerinin büyük çoğunluğu şüphelinin kişisel bilgisayarında yapılmakta ve genellikle suça ilişkin delillerin büyük çoğunluğu bilgisayarların incelenmesinde elde edilmektedir. Bu yüzden bilgisayar adli bilişimi, en sık kullanılan adli bilişim yöntemidir.
Bilgisayarlar büyük miktarda veri barındıran, kendine özgü logları oluşturan, e-posta işlemlerinin yapıldığı, dâhili sabit diskinin bulunduğu, kullanıcı hesaplarının yönetilebildiği ve en yaygın kullanılan elektronik cihazlar olması nedeniyle adli bilişim uzmanları için çok önemli bir veri kaynağıdır. Elektronik deliller çoğunlukla sabit disk üzerinde bulunmaktadır. Bu veriler kalıcı ve kalıcı olmayan olarak ikiye ayrılır. Kalıcı olmayan veriler bilgisayarın elektrik düğmesi kapatıldığında yok olurlar. Bu nedenle delil olabilecek uçucu bilgiler bozulmadan muhafaza altına alınmalıdır. Buna karşın kalıcı bilgiler bilgisayar kapatılsa sabit diskte varlıklarını korurlar. Sabit diskte yer alan bilgiler, dosyalar bilgisayarı kullanan kişi tarafından oluşturulmuş olabileceği gibi bu dosyalar kullanıcı tarafından şifrelenmiş ya da erişim parolası konulmuş olabilmektedir. Ayrıca bilgisayar tarafından oluşturulan sistem dosyaları da disk içerisinde yer almaktadır. Bunlar bilgisayarın kayıt dosyaları, gizli dosyalar, yedekleme dosyaları vb. olabilirler.
Ağ Adli Bilişimi(Network Forensic)
Ağ adli bilişimi, belirli bir sistem içerisinde kurulu olan Local, Wan veya internet ağ trafiklerinin izlenmesi, analiz edilmesi ve analiz sonuçları doğrultusunda adli makamlara gerekli bilgilerin verilmesi şeklinde tanımlanabilir. Ağ seviyesinde yapılan teknik incelemeler, genel olarak paket seviyesinde anlık olarak ya da depolanarak, belirli zaman aralıkları ile yapılmaktadır.
Adli bilişim uzmanları bilişim ağının temellerine hakim olmalı, bilgisayar üzerinde bulunan bilgilerin yer, tarih, tür gibi özellikleriyle birlikte ne anlam ifade ettiğini yorumlayabilmeli, sabit disk üzerinde işletim sistemini de göz önünde bulundurarak nereler bakılması gerektiğini bilmeli, internet tarayıcı geçmişine, geçici internet dosyalarına, bilgisayarda son girilen yerlere mutlaka bakılmalıdır.
Mobil Adli Bilişimi(Cellphone Forensic)
Günümüzde cep telefonlarının belleklerinin büyük olması, e-posta iletişiminin yapılması, text mesajlaşmanın yapılabilmesi, resim ve video çekme, ses kaydı alabilme vb. birçok gelişmiş özelliklere sahip olması, bu cihazları ceza muhakemesinde bir delil elde etme aracı olmaları açışından oldukça önemli kılmaktadır. Bu veriler çoğu cep telefonuna ait belleklere kaydedilmekte ve silinebilmektedir. Bu belleklerden veri kurtarmanın mümkün olması ve bu verilerin bazı durumlarda ceza muhakemesi süreçleri için geçerli olması mobil adli bilişim disiplinini ortaya çıkarmıştır.
Akıllı telefonların, en az kişisel bilgisayarlar kadar yaygın ve önemli bir delil elde etme aracı olsa da, piyasada binlerce cep telefonu modeli bulunması ve yapılacak incelemelerin bazı durumlarda model bağımlı olması, mobil adli bilişimin en zayıf olduğu noktadır.
Akıllı telefonların yaygınlaşması ile birlikte, taşınabilir cihazların çağrı ve sms iletişiminin dışında sanal pazarlardan indirilip kullanılabilen ücretsiz haberleşme uygulamaları da(Skype, Whatsapp, tango, viber vb.) ortaya çıkmış, böylelikle telefon uygulamaları ve ilgili verileri adli bilişimin bir parçası haline gelmişlerdir. Bu uygulamaların sıklıkla kullanılması, adli bilişim incelemelerinde önemli bir hal almıştır. Bu uygulamaların analizinin sonucunda suça ilişkin önemli veriler elde edilebilir.
GPS Adli Bilişimi(GPS Forensic)
GPS sistemleri, teknolojinin bu denli gelişmesi sonucunda yoğun bir şekilde kullanılmakta olup, buna paralel olarak, GSM birimlerine ilişkin teknolojik gelişmelerde de ciddi ölçüde yol alınmıştır. Kiralanan araçlarda, toplu taşımalar vb. birçok sistemde, kişilerin bilgisi dahilinde veya haricinde, birçok GPS birimi ilgili araçlara entegre durumdadır.
GPS adli bilişim de, bu gelişmiş GPS birimlerinin analizini içeren bir alt disiplindir. Gelişmiş GPS birimleri araçların ziyaret ettikleri yerleri, favori yerleri ve arama yapılan yerleri zaman bilgisi ile beraber tutması nedeni ile ölümcül kazalar gibi önemli adli durumlarda, ilgili aracın o anda o lokasyonda olup olmadığı ile ilgili kararlarda yahut hareketli bir cismin takibinde önemli bir delil tespit aracı olarak kullanılabilir.
Medya Araçları Adli Bilişimi(Media Devices Forensic)
USB bellekler, dijital müzik oynatıcıları, ses kayıt cihazları ve taşınabilir harici diskler, günlük hayatta, kişiler tarafından aktif ve yaygın olarak kullanılmaktadır. Birçok şifreli verinin yanı sıra; uygunsuz videolarda bu cihazlar vasıtası ile taşınabilmekte ve izlenebilmektedir. Ayrıca bu cihazlar vasıtasıyla, ses kayıt cihazları ile uygunsuz olarak ses kaydı yapılabilmektedir.
Bütün bu kayıtlar ve verilere ait içerik ve zaman damgaları, cihazların belleğinde bulunmaktadır ve suçlular gerektiği durumlarda bu içerikleri silebilmektedir. Medya araçları adli bilişimi, bu verilerin kurtarılması ve delil niteliği taşımak üzere adli makamlara sunulması ile ilgilenen bir alt disiplin olarak karşımıza çıkmaktadır.
Sosyal Ağ Adli Bilişimi(Social Network Forensic)
Sosyal medya, bireylerin internet üzerinden birbiriyle yapmış olduğu sohbet ve paylaşımların bütünü olarak tanımlanabilir. Sosyal ağlar, bloglar, sohbet siteleri, forumlar ve internet sözlükleri gibi kişilerin birbiriyle iletişim kurmasını ve bilgi paylaşımını sağlayan internet siteleri ve uygulamalar sosyal medya kapsamında sayılmaktadır. Bazen iki kişinin birbiriyle yapmış olduğu sohbetler gibi paylaşımlar olsa da, internet ortamının zenginliğinden dolayı, paylaşılan bir bilgi veya paylaşımın saniyeler içinde milyonlarca insan ulaşabilmektedir. En çok kullanılan sosyal ağlara örnek olarak Facebook, Twitter, Instagram, Linkedin, Ekşi Sözlük gibi internet siteleri verilebilir.
Kişiler üyesi oldukları bu sosyal ağların her birinde farklı farklı özellikler sergileyebilmektedir. Kimisinde aile ve arkadaş çevresi ile iletişim kurarken, kimisinde belli başlı olaylar hakkında yorumlar yazabilmektedir. Kişilerin sosyal ağlarda iletişim hallerindeki değişiklikler, haberleşmeler, hakaret ve tehditler, katılmış oldukları gruplar vb. birçok iletişim faaliyeti, tanımlamış oldukları mail kutularına ya da kullanmış oldukları uygulamalar vasıtasıyla sistemlerine düşmektedir. Sosyal ağ adli bilişimi, sosyal ağlar üzerindeki bu verilerin incelenmesi, analiz edilmesi ve delil teşkil etmek üzere adli makamlara sunulması ile ilgilenmektedir.
Uzaktan Arama Yöntemleri(Remote Search veya Remote Viewer)
Yukarıda bahsedilen adli bilişim yöntemlerinin dışında, uzaktan arama yöntemleri ile suç delilinin var olduğu şüphesi bulunan bilişim sistemlerine uzaktan erişme de bir delil arama ve elde etme yöntemi olarak kabul edilmektedir. Uzaktan arama, kolluk kuvvetlerine ağa bağlı bir bilgisayarın sabit diskinde veya çalışan diğer belleklerinde arama olanağı sağladığı gibi, e-posta trafiğinin denetlenmesi ve ağ tarayıcısının faaliyetlerini izlemesi olanağı da tanımaktadır.
Uzaktan arama yönteminde, şüphelinin kendine ait bilişim sistemlerinde arama yapıldığı ve delil toplandığından bilgisi olmamaktadır. Bu nedenle, söz konusu deliller zerinde kişinin gözetleme, haklarının korunması, isteme hakkı ortadan kaldırılmakta, dahası bu delillere kolluk veya üçüncü kişiler tarafından yapılacak hukuka aykırı müdahalelerin de önü açılmaktadır. Uzaktan arama yöntemlerinin bir delil elde etme aracı olarak kullanılmasının gerek delillere müdahale, gerekse de temel hak ve özgürlükler bakımından ciddi sorunlara yol açabilir.
Adli Bilişim Kapsamında İncelenebilecek Diğer Öğeler
Elektronik Posta Analizi
Günümüzde e-posta kullanımı oldukça yaygınlaşmıştır. Özellikle bilgi paylaşmanın en kolay ve ucuz yollarından birisi olarak e-posta kullanılmaktadır. Bu nedenle şirketler ve kamu kurum ve kuruluşları çalışanlarına e-posta adresi vermektedir. Bu nedenle e-posta şifreli veya anonim servisler kullanıldığında suç faillerine yüksek düzeyde mahremiyet sağlayan en önemli araçlar arasında yer almaktadır. Yani e-posta servisleri pek çok suç için uygun ortam sağlamaktadır. Doğru bir şekilde yapılacak analiz sonucunda bir e-posta incelemesi sonucunda pek çok suçun çözüme kavuşması mümkündür. Bu nedenle, e-posta servisinin nasıl çalıştığının ve ne şekilde nerelerden delil elde edilebileceğinin bilinmesi gerekir.
Her e-posta, gönderici ve hangi yollardan geçerek alıcıya ulaştığı gibi bilgileri barındıran bir başlık(header) bilgisine sahiptir. Başlık bilgisinden hareketle e-postanın kaynağına doğru bir araştırma yapmak ve göndericiye ulaşmak, e-postanın kronolojik olarak izlediği yolu tespit etmek mümkündür.
E-posta, adli inceleme yapan kişilere kolaylıklar sağlamaktadır. Başlık bilgisi içerisinde göndericinin e-posta adresi yer alabilir. Bunun yanında göndericinin kullandığı bilgisayara veya cihaza ait IP adresi de bulunabilir. Ancak bu IP adresi proxy kullanılan bir sistem içerisinde yer alıyorsa elde edilen IP, mesajın gönderildiği IP değil proxy sunucusunun IP olacaktır. Bu nedenle proxy hizmetini sunan şirketten tarih ve saat tam olarak verilerek mesajın atıldığı bilgisayara tahsis edilen IP tespit edilebilir.
İşletim Sistemleri
Yapılan bir adli analiz çalışmasında, üzerinde araştırma yapılacak bilişim sistemi veya medya aygıtlarında kullanılan işletim sisteminin belirlenmesi, sonuca ulaşmak açısından gerekli bir aşamadır. İşletim sistemleri, bilginin nasıl saklanacağını ve üzerinde ne tür işlemler yapıldığını barındıran bir yapıdadır.
İşletim sistemleri ve bu sistemler üzerinde çalışan servislere ait log kayıtları adli analiz için değerli birer delil kaynağı olup çoğu zaman kullanıcı erişimine kapalı ya da ileri düzey komutlarla veya özel programlar yardımıyla işlenebilirler. Bu dosyalardaki bilgilerde çoğunlukla zaman bilgisi de yer alır. Bu nedenle, bilişim istemi üzerinde neler olduğu log kayıtları takip edilerek ortaya çıkabilirler.
Adli bilişim uzmanının işletim sistemi konusundaki bilgi ve yeteneği, geçici alanlarda depolanan bilgileri, değişen veya yeni eklenen dosyaları bulmasında ve bunları incelemesinde önemli rol oynar. Ancak bu dosyaların bulundukları yerler, işletim sisteminden işletim sistemine değişmektedir. Ayrıca tüm işletim sistemlerinde yer alan kayıt defterinin(registry) incelenmesi araştırmaya önemli katkılar sağlayabilir. Diğer bir delil kaynağı, bilgisayarlarda silinen dosya erişim bilgisi tutulan geri dönüşüm kutusudur. İnceleme aşamasında geri dönüşüm kutusu da kontrol edilmeli ve suç ile ilgili veri olduğu takdirde bunlar elde edilerek delil olarak kopyalanmalıdır.
İşletim sistemleri üzerinde yapılacak adli analiz çalışmalarında log kayıtlarının birlikte ve karşılaştırmalı olarak incelenmesi sonucunda daha tutarlı ve aydınlatıcı bir sonuca varmak mümkün olabilir. Bu nedenle, sadece bir log kaydına bakarak sonuca varmak yanıltıcı olabilir. Adli bilişim uzmanı, önüne gelen bir olayda hakkında bilgi sahibi olmadığı bir işletim sistemi ile karşılaşmış ise müdahale etmekten kaçınmalı ve işletim sistemi hakkında bilgi sahibi olan bir uzmandan yardım almalıdır. Her işletim sisteminin kendine özgü işleyiş biçimi ve bilgileri saklama yöntemi bulunabilmektedir.
Yazıcı Analizi
Bilgisayarlarda oluşturulan belgelerin kağıt üzerine çıktılarının alınması çok sık kullanılan bir yöntemdir. Bir bilişim suçu söz konusu olduğunda yazıcıdan alınmış çıktılar üzerinde yapılacak incelemelerde bu çıktıların hangi yazıcı veya bilgisayar üzerinden gönderildiği araştırılmalıdır. Yazıcılar üzerinde kendilerine özgü hafızaları bulunmaktadır. Dolayısıyla, bilişim suçlarında yapılacak inceleme ile bu alandan delil elde etmek mümkün olduğu gibi yazıcı üzerinden alınan çıktılara bu hafıza üzerinden erişilebilir.
Ses Analizi
Ses adli bilişimi, elektronik delilleri ve içlerinde bulunan verileri kullanarak suçların aydınlatılmasına katkıda bulunan Adli bilişim disiplininin bir alt dalı olarak bilinir. Ses incelemelerinde kullanılabilecek birçok ses analiz yazılımı mevcuttur. Ses incelemelerinde kullanılabilecek yazılımlarda sayısal ses işleme teknikleri tabanlı yöntemler uygulanabilmektedir. Kullanılan bu yöntemlerin adli ses inceleme yöntemi olarak sayılabilmesi için adli niteliğe sahip olması gerekmektedir. Ses inceleme yazılımlarının adli açıdan değerlendirilmesi için bu yazılımların aşağıdaki özelliklere sahip olması beklenmektedir. Bunlar: Kayıt bütünlüğünün doğrulanması, Otomatik ses izi eşleştirme, Spektrum analizi, Otomatik formant frekansları tespiti, Kayıt iyileştirme, Konuşmacı profili belirleme, Birden çok konuşmacıyı ayırt etme, Maskelenmiş ses analizi, Gerçek zamanlı ses analizi, GSM gürültüsü yok etme, Dil/Aksan tanıma olarak sıralanabilir. Ses incelemelerinde, incelenecek olan ses kaydı içerisinden suç ile ilgili neyin inceleneceği bilinmelidir. Daha sonra ses kaydı bazı ön işlemlerden geçirilerek gürültülerden arındırılmalıdır. Ses delillerinin incelenmesinde diğer delil türlerinde olduğu gibi bazı zorluklarla karşılaşılabilmektedir. Bunlar:
- Mevcut ses inceleme yazılımlarında otomatik ses analizlerinde eksiklikler olması nedeniyle, incelemelerin çoğunlukla incelemecinin işitsel kabiliyetine bağlı olarak gerçekleştirilmesi.
- Dijital ses kayıtlarında yazılımsal manipülasyonların analog kayıtlara yapılan fiziksel değişikliklere göre daha zor tespit edilmesi.
- Ses benzerlikleri yoluyla ses sahteciliği.
- Alışkanlıklar(sigara, alkol vb.), yaş ve hastalık gibi etmenlerin ses üzerinde doğrudan değişiklik etkisinin bulunması.
Bulut Bilişim Analizi
Bulut bilişim, uygulamaların internet ortamında bulunan bir uzak sunucu üzerinden çalıştırılması veya kullanıcıya ait verilerin uzak sunucu üzerinde her ana erişilebilir şekilde bulundurulmasını sağlayan bir servis yapısı olarak tanımlanabilir. Web ara yüzü bilgiyi her yerde ve herkes için ulaşılabilir hale getirirken; bulut bilişim, bilgi işlem gücünü her yerde ve herkes için kullanılabilir hale getirmiştir.
Bulut bilişim sayesinde, istenilen bilgiye her yerden ve her tülü bilgi iletişim cihazı kullanarak ulaşmak mümkündür. Kullanım biçimine göre bulut bilişim dört sınıfta toplanmaktadır.
Bunlar: Genel bulut, Özel bulut, Melez bulut ve Topluluk bulutudur. Bulut bilişim, donanım kaynaklı problemlerin bulunmaması, fiziksel sunuculardan daha hızlı çalışan sanal bilgisayar ile yüksek erişilebilirlik imkânının sunulabilmesi, bellek ve disk değişikliği gerektirmeyen esnek yapının kullanılması gibi avantajlar sağlamaktadır.
Bulut bilişimin sağladığı avantajlar olduğu gibi bazı sorunlara da yol açabilmektedir. Bunlar: Uygulamaların yavaş çalışması ve düşük hızlarda servis sorunları, Uzaktan erişim ve güvenlik sorunları, Verilerin nerede olduğunu bilmeme sorunu, Hizmet alınan firmaların güvenilirliği, yeterliliği ve denetlenmesi sorunları, Hizmet sağlayıcıların bilgi güvenliği, veri bütünlüğü ve erişim denetimi ile ilgili taahhütte bulunamamaları, Bulut alanlarının saldırıların hedefi haline gelmesi gibi bazı sorunlara da yol açabilir.
Bulut sistemi üzerinde yapılacak dijital delillerin incelenmesi esnasında; aynı ortamda bulunan ve suç konusu olmayan verilerin de açık hale gelmesi, farklı hukuksal problemin oluşmasına neden olabilir. Diğer taraftan, inceleme esnasında herhangi bir suç ile ilişkisi bulunmayan dosyaların yapısında da değişiklik meydana gelebileceği için, daha sonra yapılacak herhangi bir incelemede delil niteliğinde değerlendirilmeyecektir.
Bulut adli bilişiminde delillerin toplanması ve elde edilmesi en sorunlu konulardan biridir. Bulut bilişimde sanallaştırma uygulamaları yoğun olarak kullanıldığından, erişim çoğu zaman imkan dahilinde olmadığı için elektronik cihazların toplanması da pratikte mümkün olmamaktadır. Sayısal delillerin elde edilmesi, bahsedilen sanal uygulamalar ve sanal diskler üzerinden geçekleştirilebilmektedir. Veri kurtarma işlemi, bulut ortamındaki kaynakların etkin kullanılması kapsamındaki esneklik ve dinamik yapı nedeniyle bulut adli bilişiminde pek mümkün değildir. Ancak, sanallaştırma uygulamalarının getirdiği anlık resim kabiliyeti adli bilişim uygulamalarına pozitif yönde bir etkiye sahiptir.
ADLİ BİLİŞİMİN AŞAMALARI
Adli bilişimin aşamaları üç aşamadan oluştuğu söylenebilir:
- Delillerin tespit edilmesi ve muhafazası
- Delillerin incelenmesi ve analizi
- Delillerin raporlanması
Delillerin tespit edilmesi ve muhafazası
Adli bilişimin başladığı nokta el koyma işleminin başladığı noktada başlamaktadır. Elektronik delil olarak nitelendirilecek her türlü cihaz üzerinde arama, el koyma ve kopyalama işlemleri Ceza Muhakemeleri Kanunu’nun 134.maddesi ve Adli ve Önleme Aramaları Yönetmeliği’nin 17.maddesi gereğince yapılmaktadır.
Olay yerinde yapılacak olan incelemelerde güvenlik kolluk kuvvetleri tarafından sağlanmalıdır. Olay yerine her tarafı görebilecek şekilde kameralar yerleştirilmeli ve olay yeri farklı açılardan fotoğraflanmalıdır. Olay yerinde mutlaka adli bilişim uzmanı bulunmalıdır ve incelemeler adli bilişim uzmanı tarafından yapılmalıdır.
İnceleme esnasında delil niteliği taşıyan aygıtlar tespit edilir. Tespit edilen aygıtlar tek tek delil etiketleri ile etiketlenmeli ve fotoğraflanmalıdır. Bir envanter oluşturularak el konulan her aygıta ait marka, model, seri numarası vb. bilgiler kayıt listesine kaydedilmelidir. Olay yerinde yapılan tüm işlemler kayıt altına alınmalıdır. Olay yerinde kapalı olan cihazlar açılmamalıdır. Açık olan cihazlar üzerinde inceleme yapılma durumu olacağı gözetilerek gerekli olan ekipman bulundurulmalı ve canlı olarak inceleme esnasında yapılacak işlemler kayıt altına alınmalı ve fotoğraflanmalıdır. Canlı analiz esnasında herhangi bir casus yazılıma karşı dikkat edilmelidir. Elde edilen aygıtlar ayrı ayrı delil poşetlerine koyulmak suretiyle incelenmek üzere laboratuvarlara götürülmelidir.
Delillerin incelenmesi ve analizi
Delillerin incelenmesi ve analiz işlemleri bilirkişiler tarafında laboratuvarlarda gerçekleştirilmektedir. Yapılacak işlemler sırayla kayıt altına alınmalıdır. Yapılacak olan incelemeler orijinal cihazlar üzerinde yapılmamalıdır. Orijinal cihazların birden fazla adli kopyası alınmalıdır. Alınan adli kopyalar ile orijinal cihazın hash değerleri hesaplanmalı ve delil bütünlüğü sağlanmalıdır. Yapılacak incelemeler adli kopyalar üzerinde gerçekleştirilmelidir. Adli kopyalar alınırken genel kabul görmüş adli bilişim standartlarına uygun olarak tek yönlü yazma işlemi yapabilen yazılımlar ve donanımlar kullanılmalıdır. Daha sonra alınan adli kopyalar inceleme yapılacak yazılımlara yüklenmelidir. İncelemeci konu ile ilgili delilleri bulabilmek için tüm dosyaların analizi yapmalıdır. Bu dosyalar:
- Normal dosyalar
- Silinmiş dosyalar
- İşletim sistemi dosyaları
- Şifreli dosyalar
- Gizli dosyalar
- Uygulama dosyaları vb.
İnceleme sırasında kullanılan yazılımın yeteneğine göre deliller elde edilir. Daha sonra elde edilen deliller analiz edilmelidir. İnceleme yapılan bilgisayar veya depolama ünitelerinde bulunan her türlü dosya, program, uygulama, tarih ve saat vb. bilgiler kaydedilmelidir. Analiz edilen deliller arasından olay ile ilgili deliller ayrılmalıdır.
Delillerin Raporlanması
Adli bilişim aşamalarının sonuncusu raporlama aşamasıdır. Yukarıda bahsedilen tüm süreçler genel kabul görmüş standartlara uygun olarak gerçekleştirilmelidir. Tüm süreçler kayıt altına alınmalı ve raporlanmalıdır. Delilin kabul edilebilmesi için bütünlüğünün ve doğruluğunun sağlanması gerekmektedir. Olaya ilişkin elde edilen deliller standartlara uygun olarak raporlanmalıdır. Hazırlanan rapor açık ve net olmalı ve mümkün olduğu sürece teknik terimlerin kullanımından kaçınılmalıdır. Rapor içerisinde suçlayıcı ifadeler kullanılmamalıdır. Sadece suçun işlendiğine dair bilgiler açık bir şekilde ifade edilmelidir. Gerek duyulması halinde inceleme yapan bilirkişi savcılık veya mahkeme tarafından deliller hakkında açıklama yapılması için çağrılabilir.
