ADLİ BİLİŞİM İNCELEMELERİNDE BİREBİR KOPYA ALMA Fatih BERBER* ÖZET Bilişim ve internet teknolojilerinin hayatımızı kolaylaştırmak için yaşantımızın her alanına girmesi ile birlikte, bu hızlı gelişim sürecinin olumlu sonuçları yanında kontrol edilmesi güç sorunları da beraberinde getirmektedir.[1] Evin kapısını açık bıraktığınızda maddi yönden zararınız olabilir. Fakat bilgisayarınızın güvenliğini almayarak açık bıraktığınız kapıdan giren hackerlerin verebileceği zarar hem maddi hem de manevi yönden daha yıkıcı olabilir. Çünkü gelişen teknolojiyle beraber çoğu işimizi bilişim sistemleri (Bilgisayar, telefon, ATM cihazı vb.) aracılığıyla görürüz. Örneğin bankacılık işlemleri, haberleşme, sosyal medya gibi. Bir gün karşılaştığınız bir arkadaşınızın size kendisine facebook üzerinden hakaretler ettiğinizi söylediğini, kimsede olmayan özel fotoğraflarınızın internette yayınlandığını, ay sonu ekstranızı kontrol ettiğinizde kredi kartınızdan size ait olmayan harcamaların yapıldığını, yıllardır oynayarak emek harcadığınız bir oyunun şifresinin başkası tarafından ele geçirildiğini, bir sabah bilgisayarınızı açtığınızda değerli bilgilerinizin şifrelenmiş olduğunu gördüğünüzü vb. durumlara maruz kaldığınızı bir düşünün, bu duruma maruz kalanların sayısı her geçen gün artmaktadır. En son olarak dünyaca ünlü apple firmasının icloud bulut sisteminin hacklenmesi ve birçok ünlünün özel dosyalarının internete sızdırılması yukarıdaki yazdıklarıma en güzel örnektir. Bunların hepsi Siber Suç alanına girer ve elde edilen dijital delillerin herhangi bir değişiklik meydana gelmemesi için delillerin birebir kopyaları alınır ve bunlar üzerinde adli inceleme yapılır. Anahtar Kelimeler: Bilişim, Bilişim Suçları, Dijital Delil, Adli Bilişim, İmaj, Siber Suç, Adli Bilişim ABSTRACT With the introduction of IT and internet technology to every area of our lives to make our lives easier, this rapid development process of controlling the power problems in addition to the positive results brings with it. [1] You may financially damage the door of the house when left open. But that could harm your computer hackers who you leave the door open by not less than the security can be devastating, both tangible and intangible aspects. Because most developing technology together with our business information systems (computers, phones, ATM machines, etc.), We see through. For example, banking, communications, and social media. A friend you met one day that you say you insults on facebook itself, one non-private photos, is published on the internet, month-end is made not belong to you spending your credit card when you check your extras, were seized by someone else the password of a game that you put some effort playing for years, one morning valuable when you turn on your computer so if you see that your information is encrypted. Imagine that you are exposed to the situation, the number of victims of this situation is increasing every day. Finally, the world-famous apple company of icloud cloud system hacked and leaked to the internet is the most beautiful examples of the many famous private files above what I write. They all fall into cyber crime area, and any change of the resulting digital evidence verbatim copies of the evidence to be taken to avoid the occurrence and forensic analysis is done on them. Keywords: IT, Computer Crime, Digital Evidence, Forensic Computing, Image, Cyber Crime, Computer Forensics
2 GİRİŞ Adli bilişim, elektromanyetik ve elektrooptik ortamlarda muhafaza edilen veya bu ortamlarca iletilen ses, görüntü, veri, bilgi veya bunların birleşiminden oluşan her türlü bilişim nesnesinin, mahkemede sayısal delil niteliği taşıyacak şekilde tanımlanması, elde edilmesi, saklanması, incelenmesi ve mahkemeye sunulması çalışmaları bütünüdür. [2] Kısaca; bilişim cihazlarından delil elde etme sürecidir. Bu süreç; delil toplama (collection), delillerin incelenmesi (examination), sonuçların değerlendirilmesi (analysis) ile raporlama ve sonuç (reporting) aşamalarından oluşur. [3] Adli bilişim uzmanları incelemelerini farklı yazılım ve donanımlar kullanarak gerçekleştirmektedir. Yazılımlara; Encase Forensics, Forensic Tool Kit, ProDiscover, SMART, The Sleuth Kit/Autopsy, donanımlara ise; Tableau yazma-koruma cihazları, Voom Technology cihazları, Solo-III kopyalama cihazları örnek olarak verilebilir. [4,5] Adli bilişim alanında yapılan tüm inceleme ve analizler orijinalinde herhangi bir değişiklik meydana gelmemesi için delillerin birebir kopyaları üzerinde yapılır. Birebir kopya alma aşamasında özel yazılım ve donanımlara ihtiyaç duyulmaktadır. Birebir kopya delilin üzerindeki bütün verilerin kopyasının alınması anlamına gelmektedir. Alınan birebir kopya; mevcut verileri, silinmiş verileri, gizli bölümlerini, veri depolama biriminde bulunan diğer verileri de kapsar.[3] Kullanılan birebir aynısı terimi, orijinal medyanın her sektör ve byte ının kopyalanması anlamındadır. Birebir kopyada orijinal medyada bulunmayan en ufak bir bilgi olmamalıdır. İdeal bir kopyalama işlemi orijinal medya üzerinde herhangi bir değişiklik meydana getirmemelidir. [6] Birebir kopyalama çeşitli birebir kopyalama cihazları veya yazılımların kullanılması ile yapılabilmektedir. Disk imajının oluşturulması, elektronik delillerin adli analiz sürecinin başlangıç noktasıdır. Disk imajının doğru bir şekilde alınması, tüm adli süreci etkileyebilecek kadar önemli bir konudur. Alınan imajın doğruluğunun, elektronik delillerin adli analizinin yapılması ve mahkeme süreci esnasında sorgulanması bunun bir göstergesidir. Elektronik delilerin analizinin yapılması, üzerinde suç şüphesi bulunan veri depolama biriminin zarar görmesi ya da inceleme yapan kişi tarafından verilerin değişmesi olasılığına karşı, adli inceleme kuralları çerçevesinde doğru bulunmamaktadır. Bu nedenle, orijinal diskin adli kopyasının (bire-bir kopya) alınmasının bir zorunluluk olduğu söylenebilir. Olay yerinin özelliğine bağlı olarak, bu işlemin canlı inceleme sonrasında yapıldığı örneklerle de karşılaşmak mümkündür. [7] FTK IMAGER İLE DİSK İMAJI ALMA Bu makalemizde Amerika da Kurulu AccessData firmasının ürettiği ücretsiz olarak firmanın internet adresinden indirilebilen FTK Imager imaj alma ve ön izleme yazılımını inceleyeceğiz. FTK Imager, adli bilişim standartlarında imaj aldığı için bu alanda en çok tercih edilen adli imaj alma yazılımlardan bir tanesidir. İmaj dosyasının içeriğindeki tahsis edilmemiş tüm alan ile birlikte gizli dosyaları da gösterebilmektedir. FTK Imager ile alınan imaj dosyasının bulunduğu alana oluşturulan metin dosyası içinde, adli bilişim açısından ihtiyaç bulunan tüm bilgiler ( Hash değeri, imaj tarihi vb) yer almaktadır. AccesData firması, FTK Imager yazılımının ve güncel versiyonlarının ücretsiz kullanımına izin vermektedir. FTK Imager yazılımı ile ham halde (dd), E01 (Expert Witness, Encase) ve AFF biçimlerinde birebir kopyalar alınabilmekte, alınan imaja sonradan erişebilme, farklı formata dönüştürebilme ve imaj dosyasını disk sürücüsü gibi görebilmeyi de sağlamaktadır. Tüm dosya sistemleri (Windows, Linux, Machintosh) ile uyumlu olması üstün özelliklerinden biridir. Ayrıca FTK Imager, FAT, NTFS, ext2, ext3 gibi dosyalama biçimlerini de desteklemektedir. [8] Diğer bir özelliği de erişilebilen medyaların MD5 veya SHA hash değerlerini üretebilmesidir. Gerçek anlamda, MD5 hash değerinin üretilmesi, orijinal verilerin bütünlüğünün korunduğunun garantisini verebilmek maksadıyla yapılır.[9] Yazılımın ana amacı veri depolama
birimlerinin içeriğini görüntülemek ve birebir kopyasını almaktır. Yazılımın veri kurtarmadaki etkinliği, genellikle verinin silindiği zamana bağlıdır. FTK Imager ile sabit disk, CD, DVD, disket, zip disk, klasör veya dosya imajı alınabilmekte ya da ön izlemesi yapılabilmektedir. Yerel bilgisayarda veya ağ üzerindeki bir ortamda kayıtlı imajın içeriğini görüntülenebilmektedir. Ayrıca Ram imajı da alınabilmektedir. Alınan imaj dosyalarını salt okunur (Read-only) olarak mount edip, Windows Explorer üzerinden bu imajların bir sabit disk sürücüsüymüş gibi işlim görmesine de ortam hazırlar ve imaj dosyaları içerisinden dizin ya da dosyaların dışarı kopyalanmasına imkân tanır. Dosyaların ve disk imajının veya imaj içerisindeki dosyaların hash değerlerini hesaplayabilmektedir. Alınan imaj dosyaları şifrelenebilmektedir.[10] Genel Özellikleri; Medyalar içerisinde bulunan verilerin ön izlemesi yapılabilir, Birebir kopyası alınmış olan medyaların kopyalarının ön izlemesi yapılabilir, Alınmış olan birebir kopyalar sadece okuma modunda (read-only) görüntülenebilir (mount), Kopyalar içerisinden veriler dışarı Windows ortamına aktarılabilir, Silinmiş ve çöp kutusuna atılmış olan dosyalar görüntülenebilir, MD5 ve SHA-1 algoritmalarını kullanarak hash değeri üretilebilir, Birebir kopyalar ile normal dosyalar için hash raporları üretilebilir. [11] FTK Imager ile imaj alma işlemini gerçekleştirilir iken, Windows tarafından desteklenen USB yazma koruması özelliğinden faydalanılabilir. Bu sayede orijinal delillerin değişmesine yol açabilecek tehlikeler bertaraf edilmekte ve ayrıca donanımsal bir write-blocker aygıtına ihtiyaç kalmadan, Windows üzerinden imaj alma işlemi yapılabilmektedir. ( Şu unutulmalıdır ki şaibeye meydan vermemek için donanımsal yazma koruması daha sağlam bir koruma yöntemi olarak tercih edilmektedir.) USB yazma koruma yazılımını http://www.howtogeek.com/howto/windowsvista/registry-hack-to-disable-writing-to-usb-drives/ adresinden EnableUSBWrite ve DisableUSBWrite isimli dosyalar indirilir. Orijinal disk üzerinde herhangi bir değişikliğe neden olmamak amacıyla DisableUSBWrite isimli dosya çalıştırılır ve yazma korumasının aktif olması için bilgisayar yeniden çalıştırılır. [12] FTK Imager programını http://accessdata.com/product-download/digital-forensics/ftkimager-version-3.3.0 adresinden indirebilirsiniz. Windows işletim sistemi üzerine kurulan FTK Imager ve kurulum gerektirmeyen FTK Imager Lite isimli sürümleri vardır. Ayrıca Linux ve Machintosh üzerinde çalışacak sürümleri de vardır. FTK IMAGER PROGRAMININ KULLANIMI: FTK Imager tüm özelliklerine erişmek için Menü Çubuğunu kullanabilirsiniz. Menü Çubuğu her zaman görünür ve erişilebilir haldedir. Menü Çubuğu üzerinde dört öğe vardır. Bunları bu bölümde ayrıntılı olarak ele alacağız. Programın genel görünümü aşağıdaki gibidir. 3
4 Menülerin genel görünümü: File Menu: Dosya menüsü Araç Çubuğu kullanabileceğiniz tüm özelliklere erişim sağlar. View Menu: Programın genel görünümünde görünmesi istenen pencerelerin aktif veya pasif edildiği bölümdür. Mode Menu: Ön izleme modu seçmenizi sağlar Help Menu: Yardım menüsü FTK Imager Kullanıcı Kılavuzu erişim sağlar ve program sürümü ve hakkında bilgi verir. Toolbar: Araç Çubuğu Exit hariç, Dosya menüsünden ulaşılabilir tüm araçlar, işlevler veya özellikler içerir. Aşağıdaki tabloda, her özelliği temel bilgiler sağlar.
5 FTK Imager Araç Çubuğu Bileşenleri: Düğme Açıklama Add Evidence Item. (Yeni bir delil ekle) Add All Attached Devices. ( Bağlı tüm aygıtları ekle) Image Mounting. (İmajı mount etmek) Remove Evidence Item. (Eklenen bir delili sil) Remove All Evidence Items. (Eklenen tüm aygıtları sil) Create Disk Image. (Yeni bir imaj oluştur) Export Disk Image. (İmajı dışarı çıkart.) Export Logical Image.(AD1) (Mantıksal imajı dışarı aktar) Add to Custom Content Image (AD1) (özel içerik kutusuna ekle) Create Custom Content Image (AD1) ( özel içerik görüntüsü ekle Verify Drive/Image (sürücüyü doğrula) Capture Memory (rem in imajını al) MetaCarve (Deep Scan) (Metadata bilgilerinin çıkartılması) Obtain Protected Files (Korunan sistem dosyalarını almak) Detect EFS Encryption (EFS li dosyları tespit etmek) Export Files (Dosyanın aktarılması) Export File Hash List (Dosya listelerinin hash bilgileri) Export Directory Listing ( Dizin listeleme) Choose IE, text, or hex viewer automatically (Otomatik IE, metin veya hex görüntüleyici seçin) View files in plain text (Düz metin dosyaları görüntüleme) View files in hex format (Hex formatında dosyaları görüntüleme) Open FTK Imager User Guide (FTK Imager Kullanım Kılavuzu)
6 İMAJ ALMA İŞLEMİ Uygulamayı indirip çalıştırdıktan sonra imaj alma işleminin başlatılması ve imajı alınacak kaynağın seçilebilmesi için File menüsünden Create Disk Image seçeneğinden veya Toolbar üzerinden simgesini seçip disk imajı oluşturma aşamasına geçiyoruz. Bir sonraki aşamada karşımıza imaj alınacak diskin seçileceği Select Source başlıklı aşağıda gösterilen pencere çıkar. Buradaki seçenekler yardımıyla fiziksel disk imajı mı alınacak yoksa mantıksal olarak disk bölümü veya bir dizinin içeriği mi imaj olarak alınacak o belirlenir. Birçok durumda sabit diskin fiziksel imajını almak en doğru yaklaşımdır. Bunun için ilk seçenek olan Physical Drive seçeneğini seçip ilerlemeniz yeterli olacaktır. [13]
Bir sonraki aşamada aşağıda örneği gösterilen ve hangi diskin imajı alınacaksa onun seçildiği Source Drive Selection penceresi karşımıza çıkar. Eğer imaj alınacak sabit disk Windows tarafından sorunsuz tanınmışsa bu listede o diski görmeniz gerekir. Eğer imaj alacağınız disk bu listede yer almıyorsa Windows tarafından tanınmamış demektir. [13] 7 Uygun disk seçilip bir sonraki aşamaya geçildiğinde ise bu kez karşımıza çıkan pencere oluşturulacak imajın nereye kaydedileceğinin belirlendiği aşağıdaki pencere olacaktır.
Yukarıdaki pencerede Add butonuna basarak oluşturacağımız imaj dosyasının formatını belirteceğimiz ve örneği aşağıda gösterilen bir sonraki pencereyi açıyoruz. FTK Imager dört farklı formatta disk imajı oluşturmaya imkân tanır. Bunlar Raw (dd) formatı, SMART formatı, E01 formatı ve AFF formatıdır. [13] 8 1- Raw (dd) formatını tüm adli bilişim yazılımları destekler. Fakat bu formatı seçtiğinizde imajı alınan verinin kapasitesi kadar kopyalanacak alanda yer bulunması gerekmektedir. 2- E01 formatı seçilir ise imaj belirlenen ölçüde sıkıştırılır ve daha az yer kaplar. Fakat Raw (dd) formatına göre daha uzun zamanda imaj işlemi tamamlanır. [14] Uygun formatı seçip ilerlediğimizde bir sonraki pencerede ise oluşturduğumuz imaj dosyası ile ilgili olarak dava numarası, delil numarası, açıklama vs gibi bilgileri girmemizi isteyen aşağıdaki pencere ile karşılaşırız. Bu bilgiler imaj dosyasının oluşturulduğu dizinde yer alan ve imaj alma işlemi hakkında özet bilginin yer aldığı text dosyasında yer alacaktır.
Sonraki aşamada imaj dosyasının nereye yazılacağını belirleyeceğimiz aşağıdaki pencere karşımıza çıkar. Eğer oluşturulacak dosya tek dosya halinde oluşturulsun isteniyorsa bu durumda Image Fragment Size(MB) kısmına 0 (sıfır) yazılmalıdır. Eğer tek part dosyası oluşturur ve dosya hasar görür ise içeriğindeki verilere ulaşılamamaktadır. Adli bilişim alanında tavsiye edilen part boyutu 2048 MB tır. (FAT dosya sistemi 4 GB dan büyük dosyaları görmediğinden dolayı). Bundan dolayı Compression seçeneği sadece imaj sıkıştırma desteği sunan formatlardan birisinin seçilmesi durumunda aktif olur ve sıkıştırma oranını belirler. Eğer alınacak imajın şifrelenmesi isteniyorsa bu durumda Use AD Encryption seçeneği seçilmelidir. [13] 9 Browse seçeneğinden imaj dosyasının nereye yazılacağını veya yeni bir klasör mü oluşturulacağı belirleyeceği belirlenip seçim yapılır.
10 Daha sonra Image File name alanına imaj dosya adı belirlenir. Finish butonuna basıp ilgili adımlar bitirilir. Ve karşımıza aşağıdaki ekran çıkar. Bu penceredeki Verify images after they are created seçeneğinin seçilmesi durumunda imaj oluşturma işleminden sonra bir doğrulama işlemi gerçekleştirilir ve bu işlem imaj alma süresini iki katına çıkartacak bir işlemdir. Precalculate Progress Statistics seçeneğinin seçilmesi durumunda imaj alma işleminin yaklaşık olarak ne kadar süreceği hesaplanır ve kullanıcıya gösterilir. Create directory listings of all files in the image after they are created seçeneğinin seçilmesi durumunda da imaj alınacak diskin içinde yer alan dosyaların detayları csv formatında çıkartılır ve imajın saklandığı dizinle aynı dizine yazılır. İlgili yerler işaretlenir ve Start denilerek imaj alma işlemi başlar. [13]
11 Bittiğinde aşağıdaki ekranda gösterildiği gibi bir ekranla karşılaşılır. Bu ekranda imaj alma işleminin ne kadar sürdüğü bilgisinin yanında ortalama olarak ne kadarlık bir hızla imaj alındığı bilgisi de yer alır. Image Summary butonuna basıldığında ise ilgili imaj alma işlemi hakkında özet bilgilerin yer aldığı ve örneği aşağıda gösterilen bir pencere çıkar karşımıza. İmajın hash değerlerinin de yer aldığı bu pencerede varsa bozuk sektör bilgisi de yer alır. [13]
12 İmaj alma işlemi bittikten sonra USB girişi üzerinden bilgisayara bağlanmış olan orijinal disk çıkarılır. USB yazma korumasının pasif hale getirilmesi için EnableUSBWrite isimli dosya çalıştırılır ve bilgisayar yeniden başlatılır. [12] DESTEKLENEN DOSYA SİSTEMLERİ VE SÜRÜCÜ İMAJ FORMATLARI AccessData Imager programının analiz ettiği dosya sistemleri aşağıdaki tabloda listelermiştir.[11] AccessData Imager programının desteklediği Tüm Disk Şifreleme analiz (WDE) ürünleri listelenmiştir. [11]
AccessData Imager programının desteklediği sabit disk görüntü formatları aşağıdaki tabloda listelenmiştir. [11] 13 AccessData Imager programının desteklediği CD ve DVD görüntü formatları aşağıdaki tabloda listelenmiştir.. [11]
14 KAYNAKÇA [1] Çakır, H. & Sert, E. (2011) Bilişim Suçları Ve Delillendirme Süreci S-144 http://utsam.org/images/upload/attachment/utsas_2010_secilmis/bili%c5%9fim%20su%c3% A7lar%C4%B1%20ve%20Delillendirme%20S%C3%BCreci.pdf (Erişim Tarihi: 06.12.2014) [2] Şirikçi, A. S. & Cantürk, N. (Eylül 2012) Bilişim Teknolojileri Dergisi, Cilt: 5, Sayı: 3, www.btd.gazi.edu.tr/article/viewfile/1041000152/pdf (Erişim Tarihi: 06.12.2014) [3] Ceylan, R. & Şirikçi, A.S. Bilişim Teknolojileri İncelemeleri- Veri İncelemeleri, Adli Bilimler, Cilt 2, Editör: Cihangiroğlu, B., Jandarma Kriminal Daire Başkanlığı Yayınları, Ankara, 152-174, 2011. [4] Carrier, B. Digital Investigation Foundation, File System Forensic Analysis, Editor: Carrier, B., Addison Wesley Professional, NJ, 12-21, 2005. [5] Botchek, R. Benchmarking Hard Disk Duplication Performance in Forensic Applications, 23.09.2008, https://www.digitalintelligence.com/files/forensic_duplicator_benchmarks.pdf (Erişim Tarihi: 06.12.2014) [6] Jones, K. J. & Bejtlicj, R. & Rose, C.W. Forensic Analysis Techniques, Real Digital Forensics: Computer Security And Incident Response, Editors: Jones, K.J., Bejtlıcj R., Rose C.W., Addison Wesley Professional, NJ, 205-246, 2006. [7] Henkoğlu, T. (2014). Adli Bilişim, Dijital Delillerin Elde Edilmesi ve Analizi, S-49, 2. Baskı, Pusula Yayınları, İstanbul [8] Altheide, C. & Carvey, H. & Davidson, R. Disk and File System Analysis, Digital Forensics with Open Source Tools, Editor: Davıdson, R., Elsevier Inc, MA, 39-67, 2011. [9] Arthur, K.K. & Venter, H.S. An Investigation Into Computer Forensic Tools,1-9, http://icsa.cs.up.ac.za/issa/2004/proceedings/full/060.pdf, (Erişim Tarihi: 07.12.2014) [10] Editörler Çakır, H. & Kılıç, S.K. (2014) Adli Bilişim ve Elektronik Deliller, S-213, Seçkin Yayınları, Ankara [11] AccesData, FTK Imager User Guide 2012, https://ad-pdf.s3.amazonaws.com/imager %203_1_4_UG.pdf, (Erişim Tarihi: 08.12.2014) [12] Henkoğlu, T. (2014). Adli Bilişim, Dijital Delillerin Elde Edilmesi ve Analizi, S-52, 2. Baskı, Pusula Yayınları, İstanbul [13] Öztürkci, H. (2014) http://halilozturkci.com/adli-bilisim-ftk-imager-ile-disk-imaji-alma/, (Erişim Tarihi: 09.12.2014) [13] Insomnia, Crime Investigation (2013), http://cyber-warrior.org/forum/ftk-imager-ile-imajalmak_488976,1.cwx, (Erişim Tarihi: 08.12.2014) DIFOSE Bilişim Bilgisayar Eğitim (2013), http://www.difose.com/blog/index.php/acikkaynak-yazilim/118-acik-kaynak-adli-bilisim-cozumleri, (Erişim Tarihi: 09.12.2014) Ekizer, A. H. (2014). Adli Bilişim (Computer Forensics), http://www.ekizer.net/adli-bilisimcomputer-forensics/, (Erişim Tarihi: 09.12.2014)
GÖKTÜRK Bilgi Teknolojileri (2014). http://www.turkishforensic.com/adli-bilisim.html, (Erişim Tarihi: 09.12.2014) http://tr.wikipedia.org/wiki/adli_bili%c5%9fim, (Erişim Tarihi: 09.12.2014) 15