Mobil Adli İncelemelerdeki Zorluklar
Adli incelemelerde mobil cihazlar devam eden sürecin aydınlatılmasında kritik bir önem arz etmektedir. Mobil cihazların günümüzdeki kullanım oranları göz önüne alındığında adli bir sürecin olmazsa olmaz bir parçası haline gelmiştir. Söz konusu adli süreçlerin netleştirilmesi ve şüphe götürmez bir şekilde aydınlatılıp ortaya konulmasında, mobil cihaz üzerinde titizlikle yapılacak olan bir adli inceleme vakanın aydınlatılmasında büyük bir öneme sahiptir. Mobil cihazlar üzerinde adli inceleme gerçekleştirilirken belirli prosedürlerin uygulanması ve ortaya çıkacak kanıtların şüphe götürmez bir şekilde ispat edilebilmesi gerekmektedir. Fakat Mobil cihazlar üzerinde yapılan adli incelemelerde birtakım zorluklarla karşılaşılması da muhtemel bir durumdur. Android tabanlı Mobil cihazlarda adli incelemelerde karşılaşılan zorluklardan biri verilere birden fazla cihazda erişilebilmesi ve bu verilerin birden fazla cihaz üzerinde saklanabilmesi ve senkronize edilebilmesidir. Veriler değişken olduğu ve uzaktan hızla dönüştürülebildiği veya silinebildiğinden, bu verilerin korunması ortaya çıkarılması için daha fazla çaba gerekir. Mobil adli inceleme, bilgisayar adli incelemesinden farklıdır ve adli incelemeciler için benzersiz zorluklar sunar. Kolluk kuvvetleri ve adli inceleme görevlileri çoğu zaman mobil cihazlardan dijital kanıtlar elde etmek için mücadele etmektedir. Mobil adli incelemelerde karşılaşılan bir takım zorluklar aşağıda belirtilmiştir.
Donanım farklılıkları: Günümüz teknoloji piyasası birçok farklı üretici tarafından yapılmış birçok farklı türde cep telefonları ile doludur. Adli inceleme işlemini gerçekleştiren kişiler boyut, donanım, özellikler ve işletim sistemi açısından farklı mobil model tipleri ile karşılaşabilmektedirler. Ayrıca, bu piyasa içerisinde ürünlerin hızlı gelişimi sebebiyle, yeni model cep telefonları daha sık bir şekilde ortaya çıkmaktadır. Söz konusu donanım farklılıkları her geçen gün değiştiği için, adli incelemecinin tüm zorluklara ayak uydurabilmesi ve mobil cihaz adli tıp teknikleri üzerinde güncel kalması çok önemlidir.
Mobil işletim sistemleri: Windows’un yıllarca piyasaya hâkim olduğu kişisel bilgisayarların aksine, mobil cihazlar Apple’ın iOS, Google’ın Android, RIM’in BlackBerry OS, Microsoft’un Windows Mobile, HP’nin webOS, Nokia’nın Symbian işletim sistemi ve diğerleri gibi daha birçok işletim sistemi kullanmaktadır. Bu çeşitlilik mobil cihazlar üzerindeki kritik delillerin ortaya çıkarılmasına engel olabilmektedir. Adli incelemecinin günümüz teknolojisinde yer alıp kullanılan mobil işletim sistemlerinin hepsi hakkında bilgi sahibi olması gerekmektedir.
Mobil platform güvenlik özellikleri: Modern mobil platformlar, kullanıcı verilerini ve gizliliğini korumak için yerleşik güvenlik özellikleri içerir. Bu özellikler adli toplama ve inceleme sırasında engel teşkil eder. Örneğin, modern mobil cihazlar, donanım katmanından yazılım katmanına kadar varsayılan şifreleme mekanizmalarıyla birlikte gelir. Adli incelemecinin, cihazlardan veri almak için bu şifreleme mekanizmalarını aşması gerekebilir.
Kaynak eksikliği: Daha önce de belirtildiği gibi, artan sayıda mobil cihaz ile, adli bilişim uzmanlarının ihtiyaç duyduğu araçlar da artacaktır. Bu cihazları alabilmek için USB kablolar, bataryalar ve farklı cep telefonları için şarj cihazları gibi adli toplama aksesuarlarının muhafaza edilmesi gerekir.Ayrıca cihaz üzerinden imaj elde ve inceleme işleminin gerçekleştirilmesi aşamasında da bir adli incelemecinin yeterli donanım ve yazılım kaynağına sahip olması gerekmektedir.
Cihazın genel durumu: Bir mobil cihaz kapalı durumdaysa bile, arka plan işlemleri devam ediyor olabilir. Örneğin, çoğu cep telefonunda, çalar saat, telefon kapalı olsa bile çalışmaya devam eder. Bir durumdan diğerine ani bir geçiş, verilerin kaybolmasına veya değiştirilmesine neden olabilir. Mobil cihaz üzerinde inceleme gerçekleştirecek olan kişilerin bu ve bunun gibi durumlar için hazırlıklı olması gerekmektedir.
Anti-adli teknikler: Mobil cihazlar üzerinde Veri gizleme, veri gizliliği, veri sahteciliği ve güvenli silme gibi anti-adli olarak adlandırılan teknikler, dijital medyadaki araştırmaları zorlaştırmaktadır.
Kanıtın dinamik yapısı: Dijital kanıt kasıtlı veya kasıtsız olarak kolayca değiştirilebilir. Örneğin, telefonda bir uygulamaya göz atmak, o uygulama tarafından cihazda depolanan verileri değiştirebilmektedir.
Cihazın sıfırlanması: Cep telefonları her şeyi sıfırlamak için birtakım özellikler sağlamaktadır. İnceleme sırasında yanlışlıkla cihazın sıfırlanması veri kaybına neden olabilir.
Cihaz değiştirme: Cihazları değiştirmenin olası yolları, uygulama verilerini taşımak, dosyaları yeniden adlandırmak ve üreticinin işletim sistemini değiştirmek olabilir. Bu durumda, şüphelinin uzmanlığı dikkate alınarak hareket edilmelidir.
Parola kurtarma: Mobil cihaz bir parola ile korunuyor ise, adli bilişim uzmanının cihazdaki verilere zarar vermeden cihaza erişmesi gerekir.
İletişim koruma: Mobil cihazlar hücresel ağlar, Wi-Fi ağları, Bluetooth ve Kızılötesi ile iletişim kurabilmektedir. Cihaz iletişimi cihaz verilerini değiştirebileceğinden, cihazı ele geçirdikten sonra daha fazla iletişim olasılığı ortadan kaldırılmalıdır.
Araçların kullanılabilirlik eksikliği: Günümüzde mobil cihazlarda büyük bir çeşitlilik söz konusudur. Tek bir adli inceleme ürünü tüm cihazları desteklemeyebilir veya tüm gerekli işlevleri yerine getiremeyebilir. Bu nedenle belirli bir telefon için doğru inceleme aracını seçmek zor olabilir. Bu nedenle bir takım kombinasyonların kullanılabilmesi ve uygun adli inceleme araçların geliştirilmesi gerekmektedir.
Kötü amaçlı programlar: Mobil Cihazlar içerisinde virüs ya da Truva gibi zararlı yazılımlar ya da kötü amaçlı uygulamalar bulunabilmektedir. Bu tür kötü amaçlı programlar, diğer cihazlara kablolu bir arabirim veya kablosuz bir arabirim üzerinden yayılmaya çalışabilir. Söz konusu bu durum mobil adli inceleme yapılırken adli bilişim uzmanının titizlikle ve özenle dikkat etmesini gerekmektedir.
Yasal konular: Mobil cihazlar coğrafi sınırları aşabilecek suçlara karışabilir. Bu nedenle çok uluslu meselelerin üstesinden gelmek için, adli denetçinin, suçun niteliğini ve bölgesel yasaları bilmesi gerekir.
Uygulamaya Dayalı Zorluklar
Suçlular giderek teknoloji meraklısı hale gelmektedir. Günümüzde suç işleyen insanlar şifreleme olanakları bulunan ve güvenli iletişim sağlayan çeşitli uygulamalar kullanmaktadır. Bu sebepler yüzünden, suçlular arasındaki iletişim kanallarının yeteri kadar engellenememesi, güvenlik kurumları için bir sorun oluşmaktadır. Suçlular tarafından kendilerini gizlemek amacıyla kullanılan uygulamalara aşağıda yer verilmiştir:
- Mappr: Fotoğraflardaki konum verilerini değiştirebilen bir uygulamadır. Bu yüzden fotoğraf üzerindeki konum bilgisinin gerçekte hangi konumda bulunduğunu göstermez.
- Cryptophone: Her bir arama için 4096-bit Diffie-Hellman Anahtar nesline ek olarak 256-bit AES ile şifreli aramalar ve iki-sn algoritması gibi gelişmiş güvenlik özelliklerine sahip Android tabanlı bir telefon yapısıdır.
- Telegram: Üyelerin grup ortamında konuşabilecekleri farklı kanalları barındırabilen şifreli bir mobil mesajlaşma uygulamasıdır.
- Firechat: Bluetooth üzerinden kurulu olan, yakındaki cihazlara bağlanan ve mesajların cep telefonu iletişimi kullanmadan yakındaki diğer cihazlara iletilmesine izin veren bir “ağ ağı” oluşturan bir uygulamasıdır.
- Wickr: Kullanıcıların bir süre sonra kendi kendini imha eden mesajlar göndermelerini sağlayan uçtan uca şifreli bir mesajlaşma uygulamasıdır. Güçlü şifreleme kullanır ve coğrafi etiketler ve zaman damgası gibi tüm meta verileri siler. Ayrıca, mesajların herhangi bir şekilde kurtarmasını önlemek amacıyla dosyaları silmek için güvenli bir parçalayıcı içerir.
- SSE Universal Encryption: Metinleri, dosyaları ve dizinleri şifreleyen ve bir şifre kasası sağlayan şifreleme uygulamasıdır. AES 256 bit şifreleme algoritmasıyla şifreler ve aynı zamanda kullanıcıya şifrelemeden sonra veri kaynaklarını silme seçeneği sunar.
İzin Tabanlı Zorluklar
İzin tabanlı zorluklar, adli bilişimcilerin cihaz hafızasına erişmeye çalışırken karşılaştığı engellerdir. Android cihazlarda herhangi bir adli soruşturmanın gerçekleşmesi için araştırmacının, cihazın dahili belleğine adb yoluyla erişebilmesi gerekir. Ticari adli araçların çoğu bu şekilde cihaz hafızasını çıkarabilmektedir, ancak Android ekosisteminin dinamik doğası araştırmacılara cihazlardan verilere erişmekte zorlanan bir zaman vermektedir. Örneğin, önceki Android sürümlerinden farklı olarak, 4.2’den başlayan modern Android sürümleri, telefonlara adb üzerinden bağlantı yapılması konusunda adli incelemeyi gerçekleştiren kişilere birçok farklı zorluk getirmektedir.
Ekstraksiyon Bazlı Zorluklar
Ekstraksiyona dayalı zorluklar, erişile bilinen sistem hafızasını incelemeye çalışırken veya kurtarma yoluyla hafıza çıkarma sırasında araştırmacılar tarafından karşılaşılan engellerdir. Önyükleyicinin kilidini açmak için OEM Kilit Açma seçeneği etkinleştirilmemelidir; bunun dışında verilerin kurtarılması için cihazın kurtarma bölümüne hiçbir özel kurtarma görüntüsü eklenemez. Ayrıca, Uninstallit gibi uygulamalar Android telefonlardan tüm uygulamalarla ilgili verileri silebilir ve bu senaryolarda donanımsal edinim tek seçenek olabilir. Araştırmacı cihaz önyükleyicisine eriştikten sonra şüpheli telefonu fabrika ayarlarına sıfırlarsa veri kurtarma şansı minimum seviyede olsa bile, cihazı adb üzerinden bağlayabilir.
Emir Can KÖSE
Adli Bilişim Mühendisi
