Hazırlayan : Arif AKNAR – 100215012
İçindekiler
1. Bilgisayar Nedir?
2. Bilişim Nedir?
3. Dijital Delil Nedir?
4. Adli Bilişim Nedir?
5. Adli BilişimKullanım Alanları
6. Adli Bilişim İnceleme Süreci ve Yöntemler
6.1 Tanımlama
6.2 İnceleme
6.3 Analiz
6.4 Raporlama
7.Adli Bilişim İnceleme Yöntemler
7.1 Çapraz sürücü analizi
7.2 Canlı Analizi
7.3 Silinen Dosyalar
7.4 Stokastik adli tıp
7.5 Steganografi
8. Dijital Delil ve Elde Edilme Yöntemleri
9. Dijital Delillerin Toplanmasında Dikkat Edilmesi Gereken Hususlar
10. Örnek Olay
11. Örnek Haber
12. Mevzuat
13. Kaynakça
1. Bilgisayar Nedir?
Çok sayıda aritmetiksel veya mantıksal işlemlerden oluşan bir işi önceden verilmiş bir programa göre yapıp sonuçlandıran, bilgileri depolayan elektronik araç, elektronik beyin
2. Bilişim Nedir?
İnsanların; teknik, ekonomik ve toplumsal alanlardaki iletişimlerinde kullandıkları, bilimin dayanağı olan bilginin, özellikle elektronik makinalar aracılığıyla düzenli ve akılcı biçimde işlenmesi, bilginin elektronik cihazlarda toplanması ve işlenmesi bilimi.
3. Dijital Delil Nedir?
Dijital delil, bilişim sistemlerinin veya veri kaydetme özelliğine sahip elektronik cihazların içerisinde yer alan ve suçun aydınlatılmasında önemli rol oynayacak verilere verilen genel isimdir.
4. Adli Bilişim Nedir?
Tanım 1: “Adli Bilişim”; adli olayların aydınlatılması amacıyla, olay yerinden, dijital veri saklama ve iletme özelliğine sahip cihazların toplanması, cihazların içerisindeki dijital delillerin tespit edilmesi ve adli otoritelere dijital delillerin raporlanması süreci içerisinde yapılan çalışmaların bütünüdür.
Tanım 2: Adli bilişim, bilişim sistemleri üzerinden genellikle veri olarak elde edilen delillerin toplanması, saklanması, derlenmesi ve analizi konusunda ilke ve standartlar oluşturan multi disipliner yapıda yeni bir bilim dalıdır.
Teknik İfadeyle: Adli Bilişim; elektromanyetik-elektro optik ortam(lar)da muhafaza edilen ve/veya bu ortamlarca iletilen; ses, görüntü, veri/bilgi veya bunların birleşiminden oluşan her türlü bilişim nesnesinin, mahkemede sayısal (elektronik-dijital) delil niteliği taşıyacak şekilde: Tanımlanması, elde edilmesi, saklanması, incelenmesi ve mahkemeye sunulması çalışmaları bütünüdür.
- Stenografi(Veri altına gizlenen verinin tespiti)
- Veri saklama(Koruma)
- Veri silme(Geri getirilemeyecek şekilde imha etme)
- Veri kurtarma(yanlışlıkla silme, veya yazılımsal veya donanımsal arızalardan dolayı veri kaybı gibi durumlarda)
- Gizlenmiş dosya bulma
- Suiistimal önleme, tespit ve inceleme çalışmaları
6. Adli Bilişim İnceleme Süreci ve Yöntemler
Adli Bilişim İnceleme ve yöntemleri iyi bilinmeli. Çünkü artık her suçun mutlaka bilişim ayağı olmaktadır. İnsanların basit sebeplerden dolayı suçlanması ya da basit bilgisizliklerden dolayı suçtan kaçmalarına sebep olabilir.
Sanal ortamlarda delil bırakma veya delilleri silme daha kolaydır. Sadece suç açısından değil bir ağ ortamında güvenlikle ilgili problemlerin çözümünde de yardımcı bir konudur.
Adli Bilişim İncelemesi, bir süreçtir ve 4 ana yöntemi vardır.
1. Tanımlama
2. İnceleme
3. Analiz
4. Raporlama
Şekil 1 Adli Bilişim İnceleme Süreci
6.1 Tanımlama
Adli Bilişim İnceleme Tanımlama süreci incelemeye alınacak potansiyel veri depolama özelliği olan kaynakların (sayısal delil) belirlenmesiyle ve toplanmasıyla başlar. Tipik veri kaynakları olarak bilgisayarlara takılı sabit diskler, CD,DVD, usb diskler, flash diskler,hafıza kartları(mmc, sd) ,disket, gps, cep telefonunu sayabiliriz. Bir manyetik kart kopyalayıcı, bir veritabanı uygulaması, bir web sitesi logları, bir telefon görüşmesi trafiği gibi veriler de kaynak olabilir.
6.2 İnceleme
Toplanan veri kaynaklarının birebir kopyalarının alınması ve konu ile ilgili araştırmanın bu kopyalar üzerinde yapılması inceleme sürecidir. Burada incelenen delilin veri bütünlüğününü korunması esastır. Yani delile ilk el konduğu andan itibaren delil muhafaza edilmelidir. Çalışan bir bilgisayar ile kapalı bir bilgisayardan veri toplanması işlemleri farklıdır. Bu anlatımda varsayılan kapalı bir bilgisayara müdahaledir.
6.3 Analiz
Bu süreçte artık incelenen delilin birebir kopyasından konuyla ilgili veriler çıkarılır.
6.4 Raporlama
Analiz sürecinde elde edilen bilgilerin sunumunun yapıldığı süreç raporlama sürecidir. Raporlama, raporu okuyan kişinin anlayabileceği netlik ve açıklıkta olmalı ve iddialardan ziyade değerlendirmeler içermelidir.
Elbetteki yukarıda sayılan bu 4 süreç yaygın olarak uygulanan süreçtir. Süreç tanımlanan kaynaklara göre esneklik gösterebilir. Örneğin 2000-3000 adet istemcinin olduğu bir sistemde sistemdeki bütün bilgisayarların birebir kopyalarını almak pratik bir çözüm değildir. Ya da yine binlerce istemcinin kullandığı bir veritabanı uygulamasını incelemek için bütün sistemi kapatmak da mantıklı değildir. Dolayısıyla sistemlerin özelliğine göre müdahale yöntemi de değişecektir. Bazı kaynakların belki de hiç birebir kopyası alınmayacak, inceleme sistem çalışır durumda iken yapılacaktır.
7. Adli Bilişim İnceleme Yöntemler
7.1 Çapraz sürücü analizi
Birden çok sabit diskte bulunan bilgileri ilişkilendiren bir adli teknik . Hala araştırılan süreç, sosyal ağları tanımlamak ve anomali tespiti yapmak için kullanılabilir .
7.2 Canlı analiz
Özel adli veya varolan sysadmin araçları kullanarak işletim sistemi içinde bilgisayarların incelenmesi kanıt ayıklamak için. Uygulama , örneğin şifreleme anahtarlarının toplanabileceği ve bazı durumlarda bilgisayarın kapatılmasından önce mantıksal sabit sürücü biriminin (canlı satın alma olarak bilinir) görüntülenebileceği dosya sistemlerini şifrelemeyle uğraşırken kullanışlıdır.
7.3 Silinen dosyalar
Bilgisayar adli tıplarında kullanılan yaygın bir teknik, silinen dosyaların kurtarılmasıdır. Modern adli Yazılım Kurtarma veya silinen verileri oyma için kendi araçları var. Çoğu işletim sistemi ve dosya sistemi, araştırmacıların fiziksel disk sektörlerinden yeniden yapılandırmasına izin vererek, fiziksel dosya verilerini her zaman silmez . Dosya oyma disk görüntüsü içinde bilinen dosya başlıkları için arama ve silinen malzemeleri yeniden içerir.
7.4 Stokastik adli tıp
Dijital eserler eksik faaliyetlerini araştırmak için bilgisayar sisteminin stokastik özelliklerini kullanan bir yöntem. Baş kullanımı veri hırsızlığı araştırmaktır .
7.5 Steganografi
Verileri gizlemek için kullanılan tekniklerden biri, bir resmin veya dijital görüntünün içindeki verileri gizleme işlemi olan steganografi ile yapılır. Bir örnek, belirli bir suçlunun keşfetmesini istemediği çocukların Pornografik görüntülerini veya diğer bilgileri gizlemek olacaktır. Bilgisayar adli uzmanları, dosyanın karmasına bakarak ve orijinal görüntüyle karşılaştırarak (varsa) bununla savaşabilirler.) Görüntü tam olarak aynı görünürken, veri değiştikçe karma değişir.
8. Dijital Delil ve Elde Edilme Yöntemleri
Dijital delil elde etme yöntemleri belirli aşamaları kapsamakta olup bu çerçeve dışında yapılan tüm işlemler verinin delil niteliğini bozabilmektedir.
Ceza mahkemelerinde adli makamlar olay üzerinde yer alan maddi hükümlülükleri çözmekte olup sonrasında dava konusunun hukuki yönünü değerlendirmektedir. Bu nedenle, işlendiği iddia edilen olayın işlenmişse kanunlar çerçevesinde bir suç olup olmadığını ve eğer suç ise bu olayın sanık tarafından işlenip işlenmediğini değerlendirmektedir. Yapılan bu değerlendirme kapsamında eğer olayın işlendiğine, olayın kanunlar nezdinde suç olduğuna ve sanık tarafından işlendiği kanısına varılırsa gerekli hükümler hâkim tarafından verilecektir.
Delillerin değerlendirilmesi ise aşağıda belirtilen şekilde gerçekleşecektir.
- Veriler delil niteliği taşımalıdır.
- Deliller yapılan suç olayını destekleyici nitelikte olmalıdır.
- Verilerin delil niteliği taşıması için verilerin gerçekçi olması gerekmektedir.
- Delillerin herkes tarafından elde edilebilir olması gereklidir ve somut deliller mahkeme kanadına rapor halinde tanzim edilmelidir.
- Deliller kanun çerçevesinde belirtilen hususlara uygun olmalıdır. Deliller ilgili kanun maddesine uygun ve kanun içerisinde belirtilen delil elde yollarından elde edilmelidir.
- Deliller içeriğini sadece mahkeme kanadının dışında davacı, davalı ve avukatlarının da görmesi gerekmektedir.
9. Dijital Delillerin Toplanmasında Dikkat Edilmesi Gereken Hususlar
- Her dijital delilin yedeklemesi yapılmalıdır.
- Dijital delil yerel bir ağa bağlı halde bulunuyorsa bulunduğu ağ içerisinden ayrılmalı ve güvenli olarak belirlenen yerde saklanmalıdır.
- Delili taşıma ve koruma işlemleri kanunlar çerçevesinde yapılmalı ve kimler tarafından, nasıl yapıldığı tutanak çerçevesinde belirtilmelidir.
- Dijital delilin kapalı halde ise delil niteliğinin bozulmaması için açılmaması gerekmektedir.
- Delilin açık olması durumunda RAM imajının alınması ve sonrasında kapatılması gerekmektedir.
- Dijital delil üzerinde yer alan tüm veriler teknik koşullar çerçevesinde yeterli boyuttaki disk üzerine imajı alınmalıdır.
- Kopyalanan verilerin de hash değerleri alınmalıdır.
- Delili inceleyecek kişi dışındaki kimsenin delile erişmemesi gerekmektedir.
10. Örnek Olay:
Arjantinli futbolcunun morgda çekilen fotoğrafını internete sızdıran iki kişi tutuklandı
İngiltere’de iki kişi, uçak kazasında ölen futbolcu Arjantinli futbolcunun morgdaki cansız bedeninin fotoğrafını interneteye koyduğu gerekçesiyle tutuklandı
Özel uçağının düşmesi sonucu hayatını kaybeden Arjantinli futbolcunun morgdaki cansız bedeninin fotoğrafı internete sızdırıldı. Twitter’da paylaşılan ve kısa bir süre sonra silinen fotoğraf hakkında İngiltere polisi soruşturma başlattı.
Soruşturma kapsamında 48 yaşında bir kadın ve 62 yaşındaki bir erkek, bilişim suçu işledikleri gerekçesiyle gözaltına alındı. Kadın kefaletle serbest bırakılırken erkeğin soruşturma kapsamında serbest bırakıldığı öğrenildi.
Olayı ‘utanç verici’ olarak değerlendiren yerel polis, bir kişi veya kişilerin morga izinsiz giriş yaptığını ve futbolculunun fotoğrafını çektiği ihtimali üzerinde duruyor. Durumu değerlendiren polis: ‘ Morga izinsiz giriş yapıldığına dahil herhangi bir delil yok. Aynı zamanda morgda çalışan görevlilerin olayla ilgili bir bağlantısı olup olmadığıda bilinmiyor.’ dedi.
Fotoğrafın nasıl sızdırıldığını öğrenmek isteyen polisin soruşturmayı sürdürdüğü öğrenildi.
SORULAR:
1. Sizce polis delil izlerini ne şekilde sürmelidir?
2. Bu suçu siz işleseydiniz nasıl bir savunma yapardınız?
3. Bu olayda kullanılacak en etkili adli bilişim inceleme türü nedir? Neden?
11. Örnek Haber
Dijital deliller saklanamadı
Emniyet siber suçlarla mücadele dairesi sadece internet üzerinden suçları takip etmiyor, parçalanmış, yakılmış, toprağa gömülmüş bilgisayar belleklerindeki dijital verileri kurtararak adli birimlere gönderiyor. Siber polis, FETÖ’nün suçlarına ilişkin yaklaşık bir buçuk milyon dijital kaydı adli birimlere teslim etti.
Burada Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele dairesinin özel laboratuvarlarında suçluların yok etmeye çalıştığı verileri dijital belleklerden çıkarıyorlar.
Parçalanmış, kırılmış, hatta yakılmış bellekleri inceliyor, verileri kurtarıyorlar.
Siber Suçlarla Mücadele Dairesi Başkan Yardımcısı Kerim Altıay, Fetullahçı Terör Örgütüne yönelik soruşturmalarda adli birimlere bugüne kadar bir buçuk milyona yakın materyal illettiklerini söyledi.
Adli Bilişim Şubesindeki uzman polisler tek tek her bir dijital materyali inceleyip raporluyor.
12. MEVZUAT
5271 S.lı Ceza Muhakemesi Kanunu MADDE 134
BİLGİSAYARLARDA, BİLGİSAYAR PROGRAMLARINDA VE KÜTÜKLERİNDE ARAMA, KOPYALAMA VE ELKOYMA
(1) Bir suç dolayısıyla yapılan soruşturmada, başka surette delil elde etme imkânının bulunmaması halinde, Cumhuriyet savcısının istemi üzerine şüphelinin kullandığı bilgisayar ve bilgisayar programları ile bilgisayar kütüklerinde arama yapılmasına, bilgisayar kayıtlarından kopya çıkarılmasına, bu kayıtların çözülerek metin hâline getirilmesine hâkim tarafından karar verilir.
(2) Bilgisayar, bilgisayar programları ve bilgisayar kütüklerine şifrenin çözülememesinden
dolayı girilememesi veya gizlenmiş bilgilere ulaşılamaması halinde çözümün yapılabilmesi ve gerekli kopyaların alınabilmesi için, bu araç ve gereçlere elkonulabilir. Şifrenin çözümünün yapılması ve gerekli kopyaların alınması halinde, elkonulan cihazlar gecikme olmaksızın iade edilir.
(3) Bilgisayar veya bilgisayar kütüklerine elkoyma işlemi sırasında, sistemdeki bütün verilerin yedeklemesi yapılır.
(4) İstemesi halinde, bu yedekten bir kopya çıkarılarak şüpheliye veya vekiline verilir ve bu husus tutanağa geçirilerek imza altına alınır.
(5) Bilgisayar veya bilgisayar kütüklerine elkoymaksızın da, sistemdeki verilerin tamamının veya bir kısmının kopyası alınabilir. Kopyası alınan veriler kâğıda yazdırılarak, bu husus tutanağa kaydedilir ve ilgililer tarafından imza altına alınır.
13. KAYNAKÇA
- “Adli Bilişim”, (10.05.2019), https://en.wikipedia.org/wiki/Computer_forensics
- “Adli Bilişim”, (10.05.2019), http://www.ekizer.net/adli-bilisim-computer-forensics/
- “Dijital Delil”, https://www.adlinceleme.com/dijital-delil-ve-elde-edilme-yontemleri/
- “Dijital Delil”, https://www.adlinceleme.com/dijital-delil-turleri/
- “Adli Bilişim”, https://www.adlinceleme.com/adli-bilisim-nedir/
- “Adli Bilişim”, http://bilisimhukuku.com.tr/adli-inceleme-nasil-yaptirilir/
- “Bilişim Suçları Kapsamında Dijital Deliller”, (10.04.2015), http://ab.org.tr/ab05/tammetin/134.pdf
- Çakır, Hüseyin ve Kılıç, Mehmet Serkan. Adli Bilişim ve Elektronik Deliller.Ankara: Seçkin Yayıncılık, 2014
- “Dijital Delil”, (10.04.2015), http://kripteks.com.tr/adli-bilisim/dijital-delil
- Adli Bilişim. (2019, Şubat 24), www.cnnturk.com:https://www.cnnturk.com/video/turkiye/dijital-deliller-saklanamadi