Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

2. Polis Bilişim Sempozyumu DİJİTAL DELİL ARAŞTIRMA SÜRECİ Yusuf Uzunay Ankara Emniyet Müdürlüğü Bilgi İşlem Şube Müdürlüğü yuzunay(at)ankara.pol.tr.

Benzer bir sunumlar


... konulu sunumlar: "2. Polis Bilişim Sempozyumu DİJİTAL DELİL ARAŞTIRMA SÜRECİ Yusuf Uzunay Ankara Emniyet Müdürlüğü Bilgi İşlem Şube Müdürlüğü yuzunay(at)ankara.pol.tr."— Sunum transkripti:

1 2. Polis Bilişim Sempozyumu DİJİTAL DELİL ARAŞTIRMA SÜRECİ Yusuf Uzunay Ankara Emniyet Müdürlüğü Bilgi İşlem Şube Müdürlüğü yuzunay(at)ankara.pol.tr

2 © 2005 Yusuf UZUNAY Ankara Emniyet Müdürlüğü S unu Planı Dijital Deliller - Tanımlar Dijital Delil Tipleri ve Dijital Delil Kaynakları Dijital Delillerle ilgili Mevcut Sıkıntılar Dijital Delil Araştırma Süreci Sonuç ve Öneriler

3 © 2005 Yusuf UZUNAY Ankara Emniyet Müdürlüğü Delillendirme Suçların tespiti ve yargılanmasındaki en önemli husus delillendirmedir. Delillendirme kısaca, bir suç ile ilgili o suçun kim tarafından ve ne şekilde işlendiğini ispat edici nitelikte bilgiler elde edilmesi ve bunun adli mercilere sunulması şeklinde tanımlanabilir.

4 © 2005 Yusuf UZUNAY Ankara Emniyet Müdürlüğü Dijital Deliller Bir bilişim suçu ile ilgili, dijital biçimde kayıt edilen veya aktarılan bilgiler (Shinder,2002). Bir suçun nasıl olduğunu veya suçtaki kritik elemanları adresleyen teorileri destekleyen veya çürüten, bilgisayar sistemleri kullanılarak kayıt edilen veya iletilen veriler (Chisum,1999) Bir suçun işlendiğini gösteren veya suç ile kurban yada suç ile faili arasında bir ilişki sağlayan veriler (Casey, 2000)

5 © 2005 Yusuf UZUNAY Ankara Emniyet Müdürlüğü Dijital Delil Tipleri Dijital deliller bir çok tipte karşımıza çıkmaktadır. Bunlardan bazıları şu şekildedir: –Veri dosyaları –Kurtarılmış silinmiş dosyalar –Kayıp alanlardan kurtarılmış veriler –Dijital fotoğraf ve videolar –Sunucu kayıt dosyaları –E-posta –Chat Kayıtları –İnternet Geçmişi –Web Sayfaları –Kayıt Logları –Abone Kayıtları –v.b

6 © 2005 Yusuf UZUNAY Ankara Emniyet Müdürlüğü Dijital Delillerin 2 Boyutu Doğrudan Bilişim Suçu ile ilintili Dijital Deliller –Ör: Çocuk Pornografisi, Sahte Kredi Kartları Tasarımı Normal Suçların Araştırmasında Kullanılan Dijital Deliller –Ör: Adam Öldürme, Cinsel Saldırı, Kayıp Şahıs, Uyuşturucu

7 © 2005 Yusuf UZUNAY Ankara Emniyet Müdürlüğü Dijital Delil Kaynakları Açık Bilgisayar Sistemleri Ör: Dizüstü, Masaüstü, Sunucu Bilgisayarlar Ör: Dizüstü, Masaüstü, Sunucu Bilgisayarlar İletişim Sistemleri Ör: Geleneksel Telefon Sistemleri, Kablosuz Haberleşme Sistemleri, Bilgisayar Ağları Ör: Geleneksel Telefon Sistemleri, Kablosuz Haberleşme Sistemleri, Bilgisayar Ağları Gömülü Bilgisayar Sistemleri Ör: Mobil telefonlar, PDA cihazları, akıllı kartlar Ör: Mobil telefonlar, PDA cihazları, akıllı kartlar

8 © 2005 Yusuf UZUNAY Ankara Emniyet Müdürlüğü Dijital Delillerdeki Sıkıntılar Dijital deliler, yapı itibariyle, fiziksel delillere göre daha hassas ve kolay bozulur niteliktedirler. Dijital Delillerin Doğrulanması –Bütünlük –Kimden ve Kim tarafından alındığının doğrulanması –İnkar Edilememesi –Kullanılan yöntem ve Prosedürlerin Doğruluğu –Daha sonradan ele alınabilirliği

9 © 2005 Yusuf UZUNAY Ankara Emniyet Müdürlüğü Çözüm ??  Genellikle Kriptografik Tekniklerden faydalanılmaktadır. (Ör: Dijital İmza) Şuana kadar dijital delillerin tam olarak doğrulanmasına yönelik entegre bir çözüm BULUNMAMAKTADIR! Bilimsel Anlamda Çalışmalar Sürmektedir. Ör: Dijital Video’ların Doğrulanması, Dijital İmza için AAA’ya alternatif çözümler, v.b.

10 © 2005 Yusuf UZUNAY Ankara Emniyet Müdürlüğü Dijital Delil Araştırma Süreç Modeli (Casey,2004)

11 © 2005 Yusuf UZUNAY Ankara Emniyet Müdürlüğü 1- Suçlama ve Vaka Alarmı Her sürecin bir başlama noktası vardır. Dijital delil araştırma süreç modelinde ise başlama noktası: –Saldırı tespit sisteminden gelen bir alarm –Sistem yöneticisinin ateş duvarı kayıtlarını gözden geçirmesi ve şüpheli kayıtlara rastlaması –Ağ içerisindeki çeşitli güvenlik sistemlerinden gelen uyarılardan bir tanesi olabilir. –Hukuksal açıdan değerlendirildiğinde ise, bir kişinin ihbarı üzerine araştırma başlatılabilmektedir.

12 © 2005 Yusuf UZUNAY Ankara Emniyet Müdürlüğü 2- Değer Değerlendirmesi Bütün ihbarlar değerlendirilmeli !!! Problemin Önemi belirlenir. Riskler değerlendirilir. Amaç: –Detaylı bir araştırma sürecine girilip girilmeyeceği belirlenir.

13 © 2005 Yusuf UZUNAY Ankara Emniyet Müdürlüğü 3- Olay/Suç Yeri Protokolleri Olay yerinde uygulanacak bütün protokoller ve prosedürler önceden belirlenmelidir. Bu protokollere uygun olarak gerekli pratik ve hazırlıklar yapılmalıdır. –Olay yerinin güvenliğinden kim sorumlu –İlk müdahale ekibi, adli bilişim analizcileri –Gerekliyse konu ile ilgili eğitimler alınmalıdır. Olay yerini tanımaya yönelik yapılması gereken işlemler detaylı bir şekilde protokollerde belirlenir. (Fotoğraf çekmek, görüntü almak, diyagramlar çizmek) Amaç : –Sistematik bir yapı –İlgili araştırmacılara suçtaki potansiyel elemanlar tanıtılmak

14 © 2005 Yusuf UZUNAY Ankara Emniyet Müdürlüğü 4- Tanımlama ve Toplama 1/2 Doğrudan delil toplanmadan önce nelerin toplanıp, nelerin toplanmayacağı yönünde kararlar alınır ve belgelendirilir. Uygun prosedürleri ve gerekli hukuki şartları anlamak büyük önem arz etmektedir. Belgelendirme her safhada yapılması gereken bir işlem olmakla birlikte bu safhada ayrı bir öneme sahiptir. Toplanan her bir delille ilgili ayrıntılı rapor tutmak, bunların doğrulanabilirliğini kolaylaştıracaktır.

15 © 2005 Yusuf UZUNAY Ankara Emniyet Müdürlüğü 4- Tanımlama ve Toplama 2/2 Dijital delillerin toplanması normal delillere göre bazı yönlerden faklılıklar gösterir. –Toplama esnasında bazılarının kaybedilmesi ve bozulması ile karşılaşılabilir. Ör Uçucu Veriler: Bellek, Çalışan Süreçlerin Durumu, CPU Kayıt edicileri İngiltere Polis Başkanları Birliği tarafından 2003 yılında Elektronik Deliller için İyi Pratikler isminde bir rehber yayınlanıyor.

16 © 2005 Yusuf UZUNAY Ankara Emniyet Müdürlüğü Elektronik Deliller için İyi Pratikler Rehberi 1/2 Prensip 1 : Kanun uygulayıcıları ve görevlileri tarafından, mahkemede kullanılma ihtimali olan bilgisayar veya farklı bir medya üzerinde bulunan verileri değiştirecek herhangi bir eylemde bulunulmayacaktır. Prensip 2 : Bir kişinin hedef sistem üzerinde bulunan orijinal verilere erişmesi gerektiği istisnai durumlarda, ilgili kişinin mutlaka o konuda tecrübeli ve uzman olması ve aynı zamanda yaptığı bütün işlemleri ve gerekçelerini daha sonradan ispatlayacak durumda olması gerekir. Prensip 2 : Bir kişinin hedef sistem üzerinde bulunan orijinal verilere erişmesi gerektiği istisnai durumlarda, ilgili kişinin mutlaka o konuda tecrübeli ve uzman olması ve aynı zamanda yaptığı bütün işlemleri ve gerekçelerini daha sonradan ispatlayacak durumda olması gerekir.

17 © 2005 Yusuf UZUNAY Ankara Emniyet Müdürlüğü Elektronik Deliller için İyi Pratikler Rehberi 2/2 Prensip 3: Bilgisayar tabanlı delillere uygulanmış olan bütün süreçlerin bir izleme kaydı oluşturulmalı ve koruma altına alınmalıdır. Üçüncü bir şahıs tarafından bu süreçler incelenebilmeli ve aynı sonuçlara varılmalıdır. Prensip 4: Olaydan sorumlu kişi, yapılan işlemlerin hukuka ve prensiplere uygun olup olmadığını denetlemekten de sorumludur.

18 © 2005 Yusuf UZUNAY Ankara Emniyet Müdürlüğü 5- Koruma Olay yerinden alınan delillerin bozulmadan mahkeme esnasına kadar korunması. –Dijital Olarak Koruma Delillerin ilk alındığı andan itibaren değişmediğini, bozulmadığını ispatlayacak mekanizmaları kapsar. Genellikle kriptografik teknikler kullanılır. –Fiziksel Olarak Koruma Delillerin toplandıktan sonra incelenecek yere bozulmadan (çarpma, ısı, manyetik alan) taşınması, uygun ortamlarda saklanması ve mahkemeye gidiş esnasında herhangi bir bozukluğa uğramamasını içerir. Deliller mümkün olduğunca toplandığı ortam koşullarına benzer ortamlarda taşınmalı ve saklanmalıdır. Toplanan bütün delillerin etiketlenerek, uygun şekilde paketlenmelidir.

19 © 2005 Yusuf UZUNAY Ankara Emniyet Müdürlüğü 6- Kurtarma Korunmuş dijital deliller üzerinde tam bir analize başlamadan önce silinmiş, gizlenmiş, şekli değiştirilmiş veya mevcut işletim ve dosya sistemi ile görüntülenemeyen verilerin ortaya çıkarılması gerekir. Bu işlem orijinal deliller üzerinde değil bire bir (bit bazında) alınmış kopyaları üzerinde gerçekleştirilmelidir. Amaç normalde görünmeyen fakat olayın aydınlatılmasında dijital delil özelliği gösterebilecek ve soruşturmaya yön teşkil edebilecek verilere ulaşmaktır.

20 © 2005 Yusuf UZUNAY Ankara Emniyet Müdürlüğü 7- Ayrıştırma Vaka ile ilgili potansiyel bütün dijital deliller araştırılmaya hazır durumdadır. Asıl detaylı incelemenin başladığı ilk safhadır. Amaç daha sonraki araştırmalara kolaylık sağlaması için verileri belirli özelliklerine göre bir araya toplamaktır. Ör: Çocuk Pornografisi vakaları genellikle görsel dijital verilere dayandığı için bu kategoride bir suç araştırılırken genellikle uzantısı gif, jpeg, png ve benzeri olan dosyalar bir araya getirilir. Ör: Çocuk Pornografisi vakaları genellikle görsel dijital verilere dayandığı için bu kategoride bir suç araştırılırken genellikle uzantısı gif, jpeg, png ve benzeri olan dosyalar bir araya getirilir.

21 © 2005 Yusuf UZUNAY Ankara Emniyet Müdürlüğü 8- İndirgeme Toplanan veriler arasında konu ile doğrudan ilgili olanlara yönlenip, ilgisiz olanları elimine etmeye denir. Bu aşamada nesnenin geneli değerlendirilir, içeriği ve kapsamı çok fazla düşünülmez. Dikkat edilmesi gereken nokta elemelerin hangi kriterlere göre yapıldığıdır. Bu kriterlerin mahkeme esnasında sorgulanabileceği düşünülerek, büyük bir titizlik içerisinde çalışmalar sürdürülmelidir.

22 © 2005 Yusuf UZUNAY Ankara Emniyet Müdürlüğü 9- Organizasyon ve Araştırma Bu basamakta indirgenmiş veriler içerikleri kontrol edilmek suretiyle gruplanır, etiketlenir ve anlamsal birimlere yerleştirilir. Amaç araştırmacıların analiz aşamasında verileri kolay bir şekilde bulup tanımlamasını, tanıklık esnasında bu verilere standart ve anlamlı bir biçimde referans verilmesini sağlar.

23 © 2005 Yusuf UZUNAY Ankara Emniyet Müdürlüğü 10- Analiz Önceki aşamalarda elde edilen verilerin ayrıntılı bir şekilde incelenmesini içerir. En çok teknik bilgi gerektiren safhadır ve adli bilişim uzmanları tarafından gerçekleştirilir. Analiz safhası 4 aşamada ele alınabilir: –Değerlendirme –Deney –Birleştirme ve Korelasyon –Onaylama

24 © 2005 Yusuf UZUNAY Ankara Emniyet Müdürlüğü 11- Raporlama Bu aşamada araştırma süreciyle ilgili bir final raporu oluşturulur. Buraya kadar saydığımız safhalarda kullanılan bütün metot ve prosedürlerin önem arz edecek detayları mutlaka anlatılmalıdır. Final raporunun büyük bir kısmı sonuca götürücü analiz ve bunları destekleyen delillerin tanımlamalarıyla ilgilidir. Destekleyici deliller ve analizler tam olarak ve doğru bir şekilde tanımlanmadan sonuç yazılamaz.

25 © 2005 Yusuf UZUNAY Ankara Emniyet Müdürlüğü 12- İkna Etme ve Tanıklık Sürecin son basamağıdır. Yargılanma sürecinde karar vericiler bazen bir vakanın sonucuna ulaşmadan önce, rapordaki bulguların sunulmasını ve ilgili sorulara yanıt verilmesini isteyebilirler. Üst seviye mühendislik ve teknoloji bilgisi gerektiren konulara, açık ve anlaşılır biçimde cevaplar vermek, oldukça büyük efor gerektirir. Bu yüzden iyi bir şekilde hazırlanılması gerekir.

26 © 2005 Yusuf UZUNAY Ankara Emniyet Müdürlüğü Sonuç ve Öneriler Bilişim suçları kapsamında dijital deliller çok büyük önem arz etmektedir. Dijital deliller yapı itibariyle çok hassas oldukları için toplanmasında, araştırılmasında, taşınmasında ve sunulmasında belirli prosedür ve süreçleri izlemek şarttır. Dijital delillerden suçu aydınlatma ve suçluya ulaşmada teknik bilgi büyük önem arz etmektedir. Bu nedenle konu ile ilgili uzman personelin yetiştirilmesi şarttır. Bilişim suçları ile mücadele eden birimler için ortak modeller oluşturulmalı ve bu modeldeki prosedürler bire bir uygulanmalıdır.

27 2. Polis Bilişim Sempozyumu TEŞEKKÜRLER Yusuf Uzunay Ankara Emniyet Müdürlüğü Bilgi İşlem Şube Müdürlüğü yuzunay(at)ankara.pol.tr Adres:


"2. Polis Bilişim Sempozyumu DİJİTAL DELİL ARAŞTIRMA SÜRECİ Yusuf Uzunay Ankara Emniyet Müdürlüğü Bilgi İşlem Şube Müdürlüğü yuzunay(at)ankara.pol.tr." indir ppt

Benzer bir sunumlar


Google Reklamları