Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

Bilişim Suçları ve Takibi Halil ÖZTÜRKCİ, MVP CISSP, CISA,CEH,CHFI BT Güvenlik Hizmetleri Direktörü

Benzer bir sunumlar


... konulu sunumlar: "Bilişim Suçları ve Takibi Halil ÖZTÜRKCİ, MVP CISSP, CISA,CEH,CHFI BT Güvenlik Hizmetleri Direktörü"— Sunum transkripti:

1 Bilişim Suçları ve Takibi Halil ÖZTÜRKCİ, MVP CISSP, CISA,CEH,CHFI BT Güvenlik Hizmetleri Direktörü

2 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Seminer İçeriği •Adli Bilişim Nedir? •Türkiye Özelinde Hukuki Açıdan Adli Bilişim •Adli Bilişim Çerçevesinde Delil Toplama Süreci •Delilin Taşıması Gereken Nitelikler •Delillerin Bulunabileceği Ortamlar •İlk Müdahalede Yapılması ve Dikkat Edilmesi Gereken Hususlar •Delil Toplama Amaçlı Disk (Sabit Disk, Taşınabilir Diskler,USB Flash Disk, Hafıza Kartları) İnceleme Temelleri

3 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Seminer İçeriği (devam) •Delil Toplama Amaçlı İnternet Aktiviteleri İnceleme Temelleri (Internet Explorer, MSN vb.) •Delil Toplama Amaçlı E-posta İnceleme Temelleri •Delil Gizleme Yöntemleri (Şifre koyma, Şifreleme, Steganography vb.) ve Gizlenmiş Delilleri Ortaya Çıkarma Yöntemleri •Delil Karartma Yöntemleri

4 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Adli Bilişim Nedir?

5 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Tanımlar •Adli Bilişim, sayısal (dijital) verileri, – Elde etme – Muhafaza etme – Analiz etme işlemlerinin, delilin gereklerine uygun olarak, mahkemeye sunulma aşamasına kadar uygulanmasıdır.

6 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Adli Bilişim Nedir? •“Adli bilişim, bir bilgisayarda veya bilişim sisteminde bulunan bilgilerin mahkemede suçluluğun veya suçsuzluğun ispatında kullanılmak üzere incelenmesidir” Gordon G.R., Hosmer C.D., Siedsma C., Rebovich D. Assessing Technology, Methods, and Information for Committing and Combating Cyber Crime. (Ocak 2003). National Institute of Justice.

7 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Bilişim Suçu Nedir? 1.Bilişim Suçunun birinci şeklinde bilgisayar suçun hedefi olarak karşımıza çıkmaktadır. –Bu durumda, bir bilgisayarın gizliliği, bütünlüğü ya da erişilebilirliği hedef olmaktadır. –Servisler, çalınan veriler ya da kurban bilgisayarlar zarar görmektedir. –“Nimda, CodeRed ve türevleri” gibi servis dışı bırakma saldırıları bu tip bilişim suçlarına örnek teşkil etmektedir.

8 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Bilişim Suçu Nedir? 2.İkinci durumda bilgisayar bir şuçu işlerken kullanılan bir araç olarak karşımıza çıkar. –Bu tür suçlar çocuk pornografisi, dolandırıcılık, fikri mülkiyet hakları ihlalleri ve yasadışı maddelerin online satışı gibi suçlardır.

9 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Bilişim Suçu Nedir? 3.Son durumda bir bilgisayar bir suçun içinde tesadüfen bulunabilir. Ancak bu bilgisayarlar yine de kanun uygulayıcılar için değer arzeder. –Örneğin, sübyancılar bilgisayarlarında çocuk pornografisi muhafaza edebilirken, uyuşturucu kaçakçıları ilişkili oldukları kişilerin iletişim bilgilerini saklayabilirler.

10 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Neden Bilgisayar İncelemesi? •Dokümanların çoğu artık elektronik biçimde (bilgisayar ortamında) bulunmaktadır. • Bilgisayarların suç işlenirken ve kötüye kullanımındaki hızlı artış suç soruşturmalarında da özel yöntemler gerektirmektedir. •Bilgisayar delili çok narindir, özel muamele edilmez ise kolaylıkla silinebilir ya da tehlikeye düşebilir. •Özel adli bilişim araçları kullanıcıya normal yollar ile görünmeyen geçici olan, silinmiş ya da gizlenmiş dosyaları güvenle kurtarılmasına olanak tanır.

11 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Adli Bilişim Çerçevesinde Delil Toplama Süreci

12 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Delilleri Toplama Süreci 1.Delilin saklandığı yerin bulunması. 2.Delilin olay ile ilgili kısmı içinde konu ile ilgili verilerin bulunması. Açıkça gereksiz olan hiçbir seyin boşyere kalabalık etmemesi için toplanmaması gerekir. 3.Bir uçuculuk sıralaması oluşturun. Delil toplarken iyi bir değer sıralaması yapın.

13 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Delilleri Toplama Süreci 4.Orjinal verilerin değiştirilmesinden kaçınmak için gereklidir. Bu, uzaktan ya da şüpheli sistem üzerinde birilerinin delile zarar vermesini engellemeyi de kapsar.. 5.Delil toplarken uygun ve genel kabul görmüş teknikleri kullanın. 6.Herşeyi belgeleyin. Delil toplama yöntemleriniz daha sonraki bir zamanda sorgulanabilir.

14 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Delil Toplama ve Analiz : Basit Kurallar 1.İmaj almak dışında asla orjinal delile dokunmayın, böylece delili bozma olasılığını en aza indirmiş olursunuz. –Orjinal delilin üzerindeki herhangi bir değişiklik, daha sonra alınacak imajlar üzerinde yapılacak incelemelerin sonuçlarını da etkileyecektir. –Delil toplanıp, birebir kopyası, imajı alınmadan asla delili analiz etmeye çalışmayın.

15 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Delil Toplama ve Analiz : Basit Kurallar 2.Orjinal delil üstünde yapılan tüm değişikliklerin hesabını daha sonradan verebilmek için yapılan tüm işlemlerin ve değişikliklerin olabildiğine detaylı bir kaydını tutun. –Bazı durumlarda delilin değiştirilmesi kaçınılmaz olur. Bu tür durumlarda var olan durumu, kapsamı ve değişiklik sebeplerini belgelendirmek kesinlikle gereklidir. 3.Bilginizi aşmayın. –Ne yaptığınızı bilmiyorsanız, delil üzerinde yaptığınız işlemlerden ötürü gerçekleşecek değişikliklerin ya da yaptığınız işlemlerin doğru bir şekilde hesabını veremeyebilirsiniz. –Bu alan bir anda kendinizi kafanız patlamış olarak bulabileceğiniz bir alandır. Bu nedenle araştırmanızı her an size yardın edebilecek biri ile ya da bilgiye kolay erişebilecek bir ortamda yapın.

16 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Delil Toplama ve Analiz : Basit Kurallar 4.Kurumunuzun kurallarına ve soruşturma rehberlerine uygun hareket edin. –Kuralların ihlali mahkemede delilinizi geçersiz bile kılabilir. 5.Mümkün olan en kısa sürede sistemin eksiksiz tam bir imajını alın. –Orjinal ve imajı alınmış kopya arasındaki farklar açıklanmalıdır. Yoksa delil bozuk, hasar görmüş olarak yorumlanacaktır. 6.Doğrulamak için tanıklığa hazır olun. –Eğer delillleri siz topladıysanız, delil toplama sürecinde ürettiğiniz belgelerin doğruluğunu tasdik etmek ve gerçekliğini anlatmaya hazır olmalısınız. Bu nedenle her aşamada kayıt tutmak gereklidir.

17 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Delil Toplama ve Analiz : Basit Kurallar 7.Yaptığınız işlemlerin tekrar edilebilir olmasına dikkat edin. İşlemleriniz ve analizlerinizin tekrarlanabilir olması gerekir. Hareketlerinizin denemeye yanılmaya ya da hatalara dayanmaması gerekmektedir. 8.Hızlı ama doğru çalışın. Özellikle çalışan bir sistem üzerinde, ne kadar hızlı çalışırsanız o kadar az uçucu delil kaybedersiniz. 9.En uçucu delilleri ilk olarak toplayın

18 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Delil Toplama ve Analiz : Basit Kurallar 10.Uçucu delilleri toplamadan sistemi kapatmayın. Uçucu deliller kaybolacaktır ama ek olarak başlangıç ve kapanış betikleri verileri de silebilir. –Bilgisayarı normal olarak kapatmak delile zarar verip değiştirebilir, geçici dosya sistemleri ve sistem yapılandırma dosyaları değişebilir. –Kapalı bir bilgisayarı açmak da daha fazla potansiyel delili de yok edebilir. 11.Asla şüpheli bilgisayarda çalışmayın ve o bilgisayara ve ekli donanımlara güvenmeyin. –Truva atı programları tahrip edici bir düzeneği başlatabilir. –Delili değiştirebilirsiniz.

19 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Delillerin Bulunabileceği Ortamlar

20 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Delillerin Bulunabileceği Ortamlar

21 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Delillerin Bulunabileceği Ortamlar •Dizüstü yada Masaüstü Bilgisayarlar –Olay yerindeki bütün bilgisayarlar, çalışır durumda olan/olmayan inceleme kapsamına alınmalıdır. –Çalışır durumdaki bilgisayarların ekranları açıksa ekranlarının fotoğrafları çekilmelidir. –Bilgisayarların enerjisi kesilmeden, yapılabiliyorsa canlı inceleme yapılmalıdır.

22 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Delillerin Bulunabileceği Ortamlar •Harici Sabit Diskler –İhtiyaç duyulan saklama alanını karşılamak üzere günümüzde oldukça fazla kullanılan disk çeşitidir. –Sahip oldukları büyük kapasiteler sayesinde üzerlerinde bir çok dijital veri saklanabilir. –Olay yerinde görülen bütün harici sabit disklerinde inceleme amaçlı image’leri alınmalıdır.

23 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Delillerin Bulunabileceği Ortamlar •CD/DVD/HD DVD/Blu-ray Media’lar –Yedekleme amaçlı kullanılan bu ortamlar delil olarak kullanılabilecek veya olayın çözümüne etki edebilecek döküman/veri içerebilirler. –Tek yazımlık çeşitlerinde ortam üzerine tekrar yazmak imkansızdır. –Gün geçtikçe daha fazla veri saklayabilmeye imkan tanıyan yüksek kapasiteli çeşitleri çıkmaktadır.

24 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Delillerin Bulunabileceği Ortamlar •USB Flash Memory’ler –Boyutlarının ufak olması, cepte taşınabilir olması ve ciddi miktarda veri saklama kapasitesine sahip olmalarından dolayı oldukça çok kullanılırlar. –Bazı modellerinde MP3 player, radyo vb gibi ekstra özellikler bulunur. –Çok çeşitli şekillerde karşımıza çıkabilirler. –Olay yerinde görülen bütün USB memory stick’lerin de inceleme amaçlı image’leri alınmalıdır.

25 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Delillerin Bulunabileceği Ortamlar •Printer’lar –Üzerlerinde yada çevrelerinde delil olarak kullanılabilecek çıktılar olabilir. –Bazı yazıcı modelleri dahili sabit disk barındırırlar ve bu disklerde daha önce yazılması için yollanan belgelere ait bilgiler bulunabilir. –Dahili sabit diskler veri saklamak amaçlı da kullanılabilir.

26 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Delillerin Bulunabileceği Ortamlar •Taşınabilir Player’lar (Ipod/Zune/MP3 Player) –Barındırdıkları yüksek saklama kapasitesi sayesinde sadece müzik/video değil, aynı zamanda döküman/veri saklamak için de kullanılabilirler. –Olay yerinde bulunan bu tarz player’ların da mutlaka image’leri alınmalı ve içeriği incelenmelidir.

27 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Delillerin Bulunabileceği Ortamlar •Cep Telefonları, Çağrı Cihazları ve PDA’ler –Telefon üzerinde bulunan adres defteri, gönderilen ve alınan kısa mesajlar, en son yapılan görüşmelere ait bilgiler, telefonun dahili hafızası ve telefona sonradan takılan hafıza kartlarında yer alan ses ve görüntü kayıtları digital delil olarak kullanılabilirler.. –PDA ve bazı cep telefonlarının üzerinde e- mail mesajlarına da rastlanabilir ve bu e- postalar da delil olarak kullanılabilir.

28 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Delillerin Bulunabileceği Ortamlar •Hafıza Kartları –Bir çok elektronik cihaz, hafıza gereksinimlerini hafıza kartlarını kullanarak aşarlar. –Digital kameralar, fotograf makinaları, cep telefonları, PDA’ler bu hafıza kartları üzerinde veri saklayabilirler. –Bu kartlar üzerinde saklanan veriler (örneğin ses ve video kayıtları, dökümanlar vb) digital delil olarak kullanılabilir.

29 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Delillerin Bulunabileceği Ortamlar •Telesekreter’ler –Gelen çağrılara eğer belirli bir süre cevap verilmezse devreye girerler ve arayan kişinin mesaj bırakmasına imkan tanırlar. –Bırakılan mesajların kaydedildiği kasetler delil niteliği taşıyabilir. –Davanın seyrini etkileyecek bilgilere, mesajlara ulaşılabilir.

30 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Delillerin Bulunabileceği Ortamlar •Diğer Elektronik Cihazlar –Yukarıda sayılan elektronik cihazların yanında, kredi kartı basma, çoğaltma, kopyalama cihazları (card skimmer), cep telefonu klonlama cihazları, GPS’ler gibi suç ile ilişkili olabilecek bütün cihazlarda hem delil içerebilirler hem de kendilere delil olabilirler.

31 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Delillerin Korunması •Saydam Statik Kutular •Köpük korumalı delil kutuları •Uyarı etiketleri

32 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Delillerin Korunması

33 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Dijital Delil Örnekleri •Bir bilisim suçu ile ilgili, elektronik veya manyetik bir ortam üzerinden iletilen veya bu ortamlara kaydedilen bilgilere kısaca dijital delil diyebiliriz. Örneğin;  Veri dosyaları  Kurtarılmış silinmiş dosyalar  Kayıp alanlardan kurtarılmış veriler  Dijital fotoğraf ve videolar  Sunucu kayıt dosyaları  E-posta  Chat Kayıtları  İnternet Geçmişi  Web Sayfaları  Kayıt Logları  Abone Kayıtları

34 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır İlk Müdahalede Yapılması ve Dikkat Edilmesi Gereken Hususlar

35 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Çalışan Bir Sistemden Delil Toplamak Verinin Uçuculuk Dereceleri –Daha uçucu verileri toplamak mı, –Daha güvenli adli bilişim yöntemleri uygulamak mı? Canlı inceleme: –Duruma hemen el koymak, müdahale etmek •Olayın kanıtlanması. –Uçucu verileri elde etmek •Ağ bağlantıları, çalışan programlar, süreçler vb. gerektiği durumlarında yapılır.

36 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Çalışan Bir Sistemden Delil Toplamak •İlk müdahale potansiye delilleri yok etmemelidir. •Müdahale Takım Çantanızda sadece güvenilir araçlar bulundurun. •Sonuçları belgeleyin. –Defter/Notebook  –Hedef sistemin sabit diski  –Hedef sisteme bağlı çıkarılabilir medya  –netcat veya cryptcat kullanarak güvenli bir sisteme aktarma 

37 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Çalışan Bir Sistemden Delil Toplamak •Araştırmanın Planlanması. •Delil toplama işlemi olaya göre farklılık gösterir: –Sistemdeki verilerin değiştirilmesi. –Fikri mülkiyet hakları ihlali. –Sistemin çalışamaz duruma getirilmesi.

38 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Müdahale Takım Çantası •Güvenilir Sistem Araçları •İncelenecek işletim sistemi ile uyumlu olmalı. •Çıkarılabilir medya üzerinde saklanmalı. –Disketler (yazma-korumalı) –CD –USB Flash Bellekler ya da Diskler (yazma- korumalı)

39 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Müdahale Takım Çantası •İhtiyaç olan araçlar tespit edilmeli. •Takım çantası olşturulmalı. •DLL, kütüphane ve diğer dosya bağımlılıkları kontrol edilmeli ve bağımlı olan dosyalar da bu araç deposunda bulunmalı. •SHA1 ya da MD5 gibi dosya doğrulama araçları unutulmamalı.

40 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Uçucu Verilerin Elde Edilmesi En azından; •Sistem tarih ve zamanı. •O an bağlı olan kullanıcılar. •O an çalışan program ve süreçler. •O an açık olan portlar. •Açık portları kullanan programların listesi. •Sisteme henüz ve o an bağlantı sağlamış sistemlerin listesi. Kayıt altına alınmalıdır.

41 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Uçucu Verilerin Elde Edilmesi: Yöntem •Güvenilir bir cmd.exe çalıştırın. •Sistem zamanı ve tarihini kaydedin. •Kimlerin bağlı olduğuna bakın. •Dosyaların MAC zamanlarını kaydedin. •Açık portları öğrenin. •Portları kullanan programları kaydedin. •Tüm çalışan süreçleri kaydedin. •Anlık ve geçmiş bağlantıları listeleyin. •Tekrar sistem zamanı ve tarihi kaydedin. •Müdahale esnasında kullanılan komutları ve programları belgeleyin.

42 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Delil Toplama Amaçlı Disk (Sabit Disk, Taşınabilir Diskler,USB Flash Disk, Hafıza Kartları) İnceleme Temelleri

43 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Disk Yapısı •Hard disk sürücüleri disk veya plakaların eşmerkezli olarak üstüste sıralanmasından oluşur. •Her plaka 2 yüzeye sahiptir.

44 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Bir Sabit Diskin Sökülmüş Görünümü Ana İşletici İşletici Bobin İşletici Mili Okuyucu Kafa Kolları Şerit Kablo Sürgü ve Kafalar

45 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Sabit Disk Yapısı •Disk yüzeyi serttir. •Kafa-disk montajı mühürlü ve micro-filtrelenmiştir •Çok disk plakası kullanılarak maliyet artırılmadan saklama alanı artırılmaktadır.

46 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Silindirler SİLİNDİRSİLİNDİR Kafa Kümesi Kafa 0Kafa 1Kafa 2Kafa 3Kafa 4Kafa 5 İz (Track)Sektör

47 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Disk Yazma Koruması •Disk Yazma Koruması •Şüphelinin disk sürücülerine herhangi bir verinin yazılmasının engellenmesi •Şüphelinin sürücülerinin bütünlüğünün korunması •Yazılım ve Donanım tabanlı yazma koruyucular

48 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Yazılım Tabanlı Yazma Koruması •Yazılım Tabanlı Yazma Koruma Araçları, işletilmesi istenen komutun çalışmasına izin verilip verilmeyeceğine karar verir. •Eğer komut bloklanacaksa hedef sürücüye hiçbir komut iletilmeden Yazılım Tabanlı Yazma Koruma Aracı uygulamaya geri döner. •Aracın yapılandırmasına göre yazma engellendiğinde uygulamaya başarılı veya başarısız sonuç bildirilebilir. •Eğer komuta izin veriliyorsa, istek hedef sürücüye iletilir ve sonuçlar uygulamaya döndürülür.

49 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Donanım Tabanlı Yazma Koruması •Donanım tabanlı yazma koruması, hedef sürücüye içeriği değiştirebilecek hiç bir komutun ulaşmamasını sağlayan bir donanımdır. •Donanım fiziksel olarak bilgisayar ile depolama sürücüsü arasına yerleştirilir.

50 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır İmajlar İmaj alma methodları: –Bilgisayardan bilgisayara –Diskten diske –Diskten to dosyaya –Diskten Tape/CD –Diskten Network üzerinden

51 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Mantıksal yada Fiziksel Yedekleme •Fiziksel Sürücü Kopyalama –Tüm sürücüyü (swap dahil) alabiliriz –EN İYİ delildir •Mantıksal Kopya –SCSI RAID ortamlarda kullanışlı •Hafıza Kopyalama –Flash kart, hafıza çubukları, PDA, vs...

52 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır İmaj Alma Yazılımları •dd –Çoğu işletim sisteminde kullanılabilir –Bilgiyi bir yerden başka yere kopyalamak için alt-düzey bir komut –Kopyaladığı veri yapısı hakkında birşey bilmez –Kopyalayabilecekleri: •Tek dosya •Dosyanın bir bölümü •Disk Bölümü •Mantıksal ve Fiziksel Diskler •FTK Imager •Access Data’nın ücretsiz yazılımı •Fiziksel disklerin bit-to-bit imajını almanın yanında bu disklerde yer alan ve FAT, NTFS, EXT2, EXT3, HFS, HFS+ dosya sistemlerinden herhangi birisi ile formatlanmış disk bölümlerindeki içeriği de görmenize imkan tanımaktadır.

53 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Yardımcı Yazılımlar •EnCase – Guidance Software •FTK – Forensic Toolkit – Accessdata •ILook Investigator

54 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır EnCase •www.encase.com •Ticari bir araç •Herkes satın alabilir. •Oldukça yaygın kullanılıyor. •Desteklediği Dosya sistemleri: –FAT12, FAT16, FAT32, NTFS, EXT2/3 (Linux), Reiser (Linux), UFS (Sun Solaris), AIX Journaling File System (JFS and jfs) LVM8. FFS (OpenBSD, NetBSD, and FreeBSD), Palm, HFS, HFS+ (Macintosh), CDFS, ISO 9660, UDF, DVD, ad TiVo® 1 and TiVo 2. •Windows Dinamik Disk Desteği •Yazılım ve donanım tabanlı RAID dizileri imajı alma ve analizi •Palm cihazları inceleme •Vmware, dd, safeback v2 imajlarını tanıma ve analiz

55 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır EnCase

56 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Forensic Toolkit •http://www.accessdata.com •Ticari bir araç. •Herkes satın alabilir. •Yaygın kullanılmakta. •Gelişmiş arama ve indexleme mekanizması •Silinmiş dosya ve bölümleri kurtarma •Filtre oluşturma desteği •NTFS, NTFS compressed, FAT 12/16/32, and Linux ext2 & ext3 dosya sistemleri desteği •Encase, SMART, Snapback, Safeback (v2) ve Linux dd imajlarını tanıma •Outlook, Outlook Express, AOL, Netscape, Yahoo, Earthlink, Eudora, Hotmail, and MSN yapısını tanıma ve ayrıştırma •Kısmen ya da tamamen silinmiş leri kurtarma •PKZIP, WinZip, WinRAR, GZIP, TAR dosyalarını açma

57 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Forensic Toolkit

58 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır ILook Investigator •http://www.ilook-forensics.org/ •Sadece kanun uygulayıcılara lisanslanmakta •Ücretsiz. •Kullanımı oldukça zor, alışkanlık haline geldikten sonra güzel araç •Güçlü bir araç, ancak donanım ve RAM canavarı •.NET ile programlanmakta. •Grup Lisansı yok. Kişilere lisanslanıyor. •V7 ve v8 sürümleri güncel ve kullanılmakta. •Geliştiren Elliot Spencer. İngiltere ve ABD kanun uygulayıcıları ortaklığı ile geliştiriliyor.

59 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır ILook Investigator •NIST ve Hashkeeper veritabanlarını kullanma •FAT12, FAT16, FAT32, FAT32x, VFAT, NTFS, HFS, HFS+, Ext2FS, Ext3FS, SysV AFS, SysV EAFS, SysV HTFS, CDFS, UDF, Netware NWFS dosya sistemleri •FAT / NTFS dosya kurtarma •Çoklu delillerle olay yönetimi ve raporlama •Dosya imzaları doğrulaması •Internet önbellek ve mail geri getirme •Güçlü betik mekanizması •Dosya zaman çizelgesi görünümü •Tümleşik Hex Editörü •Explorer tipi arabirim ile programa kolay hakimiyet

60 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır ILook Investigator

61 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır ILook Investigator

62 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Delil Toplama Amaçlı İnternet Aktiviteleri (Internet Explorer, MSN vb.) İnceleme Temelleri

63 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Internet Explorer •Windows tabanlı bilgisayarlarda ön tanımlı olarak yüklüdür •Windows 2000 ve üstü Windows işletim Sistemlerin de IE aktiviteleri için dizinler –C:\Documents and Settings\ \Local Settings\Temporary Internet Files\Content.IE5\ –C:\Documents and Settings\ \Local Settings\History\History.IE5\ –C:\Documents and Settings\ \Cookies\

64 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Internet Explorer •Analiz yapılırken öncelikle bu üç dizine bakılmalıdır •Bu dizinlerde Index.dat adlı dosya bulunur •Bu dosyada Internet aktivitesi tutulur

65 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Firefox/Mozilla/Netscape •Web aktivitelerini history.dat adlı bir dosyada tutarlar •Index.dat dosyasından farkı bu dosya ASCII tabanlıdır •History.dat dosyasının IE’dekinden bir farkı da web aktivitesini diskteki sayfalarla bağlı olarak tutmaz •Firefox için history.dat dosyası –\Documents and Settings\ \Application Data\Mozilla\Firefox\Profiles\ \history.dat •Mozilla/Netscape için history.dat dosyası –\Documents and Settings\ \Application Data\Profiles\ \ \history.dat

66 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Araçlar •Ücretsiz Araçlar –Pasco –Web Historian –vb... •Ücretli Araçlar –IE History –Forensic Tool Kit (FTK) –vb...

67 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Araçlar-Pasco •http://sourceforge.net/projects/odessa adresinden çekilebilir •Latince de “Gözat” anlamına gelir •Komuta satırında çalışır •Unix veya Windows işletim sistemlerinde çalışabilir •Parametre olarak index.dat dosyasını alır •Çıktısını aralıklı metin dosyası olarak verir •Bilgi MS Excel’de rahatlıkla açılabilir •IE ile rahatlıkla çalışmasına rağmen Firefox/Mozilla/Netscape gibi diğer web tarayıcıları ile çalışmaz

68 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Araçlar-Pasco •pasco index.dat > index.csv şeklinde kullanılarak excel’e gönderilebilecek dosya oluşturulabilir •Bilgileri 7 alan halinde gösterir –Kayıt tipi – Gidilen adresin URL ya da kullanıcının tarayıcısından yönlendirilen bir sayfa olup olmadığını gösterir –URL – Kullanıcının ziyaret ettiği asıl web sitesi –Değiştirilme zamanı – Web sitesinin değişikliğe uğradığı son zaman –Erişim zamanı – Kullanıcının siteyi ziyaret ettiği zaman –Dosya adı – Listelenen URL’lerin yerel diskteki adı –Dizin – “Dosya adı” ile belirtilmiş dosyanın bulunacağı yerel diskteki dizin –HTTP başlıkları – URL erişildiğinde kullanıcının aldığı HTTP başlıkları

69 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Araçlar- Web Historian •http://www.red-cliff.com/ adresinden çekilebilir •Dizin yapısını araştırarak Internet aktivitesini çıkartabilir •Desteklediği tarayıcılar –Internet Explorer –Mozilla –Firefox –Netscape –Safari (Apple OS X) –Opera •Çıktılarını üç değişik şekilde verebilir –Excel çıktısı olarak (XLS) –HTML olarak –Aralıklı metin dosyası olarak

70 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Araçlar- Web Historian

71 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Anında Mesajlama Yazılımlar •MSN Messenger, Gtalk, Yahoo Messenger, AOL Messenger gibi anında mesajlaşma yazılımları ile gerçekleştirilen mesajlaşmalara ilişkin konuşma log dosyaları kritik bilgiler içerebilir. •Anında mesajlaşma yazılımlarının karşı taraftan gönderilen belge/dökümanları saklamak için kullandığı klasörde delil olarak kullanılabilecek belgeler/dökümanlar yer alabilir. (Örneğin MSN için “Alınan Dosyalarım/My Received Files” klasörü gibi.)

72 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Anında Mesajlama Yazılımlar •Eğer anında mesajlaşma yazılımları konuşmaları kaydetmiyorsa bu durumda eğer canlı sistemde hafızanın içeriğinin imajı alınırsa, bu imaj içerisinde daha önceden gerçekleştirilen konuşmalara rastlanabilir. •Buna benzer sebeplerden ötürü alınabiliyorsa canlı sistemlerde sistemi kapatmadan önce mutlaka hafızanın da imajı alınmalıdır. •Yine hafızanın imajı üzerinde yapılacak inceleme ile kullanıcının arkadaş listesindeki kişilerin bilgilerine ulaşılabilir.

73 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Delil Toplama Amaçlı E-posta İnceleme Temelleri

74 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır E-Postaların İzini Sürme •Bir e-postayı yollayanı bulabilmek için, o yollanan mailin başlık (ing. header) bilgilerine sahip olunması gereklidir. •Bir e-postanın başlık bilgisi elektronik mesajın başına ve/veya sonuna eklenir. •Öntanımlı olarak, e-posta istemcileri ve hizmetleri size başlık bilgisinin kısaltılmış halini gösterir:

75 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır E-Postaların İzini Sürme •E-posta gönderenin bilinebilmesi için gereken e-posta başlık bilgilerini üçe ayırabiliriz. : –Gönderenin e-posta adresi –İnternet üzerindeki yönlendirme bilgisi •Gönderenin IP adresi –E-Posta sunucu bilgisi •Mesaj Tanımlama Bilgisi (ing.Message ID) Genelde açıkça tanımlıdır. Bazen bulması kolay, bazen bulunmaz.

76 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır E-Postaların İzini Sürme •Bu bilgileri bulmak için e-postanın başlık bilgisinin en altından yukarı doğru gidilmelidir. •E-Posta başlık bilgisi alttan üste doğru ilerleyen bir şekilde değerlendirilmelidir.

77 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Mesaj Transfer Ajanları (MTA) •Elektronik mektup aynen normal mektup gibidir. •Mesaj Transfer Ajanları denen çeşitli Postanelerce işlenirler. •Yerel ya da ilgili her MTA den geçen maile MTA başlık bilgisine ekleme yapar. Normal mektupta da postanelerin işaretleri bulunur. •Buna “Received” başlık bilgisi denir. •Gözleme yığını gibi düşünülebilir. En yeni gelen EN ÜSTE yerleşir.

78 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Gönderenin E-Posta Adresini Bulmak •Gönderenin e-posta adresi ile ne yapılabilir? –Ne tip e-posta adresi olmasına göre değişiklik gösterir: •Hotmail, Yahoo!, GMail benzeri (ücretsiz servisler) •AOL, Earthlink, (ücretli servisler) •İş/Kişisel/Kurumsal e-posta adresleri –örn,

79 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Gönderenin E-Posta Adresini Bulmak

80 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Gönderenin E-Posta Adresini Bulmak Subject: New Streaming ShockWave Casino - No Software downloads ! Mime-Version: 1.0 Content-Type: text/html; charset="us-ascii“ Date: Fri, 3 Mar :25:44 MIME-Version: 1.0 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit X-Priority: Normal X-Indiv: y353940d1ae42d1f61 X-JobID: CD X-Return-Path: X-OriginalArrivalTime: Fri, 03 Mar :25:44 (UTC) FILETIME=[B67F3B30:01C060E6] X-Oringinating-IP: ([ ]) X-Mailer: Windows AOL sub 129 X-Apparently-From: “X-Originating-IP” satırı tüm başlık bilgilerinde bulunmamaktadır.

81 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Gönderenin E-Posta Adresini Bulmak •Bir IP adresinin kim(ler)in sorumluluğunda olduğunu öğrenmek için o adres üzerinde WHOIS sorgusu yapmak gerekir. –Edinilen bilgi iletişim noktası olacaktır. •örn. E-posta adresi, posta adresi, telefon numarası –Daha muhtemel bir şekilde de bu nokta aradınız kişi değilde servis sağlayıcısı (İSS ya da Web Servis Sağlayıcı vb.) olabilecektir. •Organizasyonlar –ARIN (American Registry of Internet Numbers): –RIPE (European Network Coordination Centre): bin/whois –APNIC (Asia Pacific Network Information Centre):

82 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Gönderenin IP adresini bulmak •Hedef: –Göndericinin İnternet Servis Sağlayıcısını bulmak IP adresine bağlıdır. •Yahoo! İSS değildir. –İSS’dan IP adresi ile ilişkili abone bilgisi temin edilmesi gereklidir. •Abone aktivite kayıtları istenmelidir. (Bağlantı vb.)

83 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Gönderenin IP adresini bulmak •Bir IP adresi hakkında WHOIS sorgusu yaparak: –Sorumlu şirket bilgisi –Adres –Telefon numaraları –İlişki kurularak kişi ismi –E-Posta adresi –Web sitesi bilgisi •Şirket bilgisi : İSS •İlave telefonlar ve bilgiler •Mevki doğrulama bilgilerine sahip olabilirsiniz.

84 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Gönderenin IP adresini bulmak

85 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Gönderenin IP adresini bulmak •Potansiyel Sorun: –IP adresi statik yada dinamik olarak atanıyor olabilir. •Statik: Sadece ve sadece size aittir. –örn, kurumsal, kablo ve DSL kullanıcıları •Dinamik: Değişik zamanlarda farklı kullanıcıya atanan adresler. –örn, çevirmeli ağ kullanan aboneler ve DHCP kullanan kurumlar –Kullanıcı aktivite kayıtları çok kısa sürede kaybolabilir.

86 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Gönderenin IP adresini bulmak •Özetle; –Gönderenin e-posta adresi •Abone bilgisi her zaman gerçek ya da inandırıcı olmayabilir. (Ör. Yahoo!, Hotmail vb.) –IP adresi •Her zaman bulunmayabilir (Ör., Haber gruplarında) –Mesaj tanımlama bilgisi •Eğer IP adresi bulunmuyorsa, bunun Mesaj tanımlama bilgisi vasıtasıyla e-posta sunucusu servis kayıtlarından bulunması mümkün olabilir.

87 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Delil Gizleme Yöntemleri (şifre koyma, şifreleme, steganography vb.) ve Gizlenmiş Delilleri Ortaya Çıkarma Yöntemleri

88 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Gizleme Yöntemleri •Şifreleme ve kodlama •Steganografi •Veri sıkıştırması •Parolalar •Anonim olma teknikleri ve hizmetleri •Uzak sunucularda depolama (genellikle ele geçirilmiş) •Uzak lokasyonlarda takılabilir medya içinde depolama

89 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Adli Takibe ve Ulusal Güvenliğe Etkisi •Suçu kanıtlamak için yeterli delilik toplanamaması –Suçun cezasız kalması ya da suçlunun az ceza görmesi •Suça ilişkin istihbari faaliyetlerin yürütülememesi –Planlar, niyetler, köstebekler, kurbanlar vb. •Terörün engellenememesi –Dinleme/izleme faaliyetleri pek çok önemli terör olayının oluşmasını engelleyebilir

90 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Diğer Etkiler •Uzayan adli takipler –Bazen aylar ve yıllar boyu gecikmeler •Yükselen maliyetler –Şifreleme anahtarlarını kırmak için zaman zaman çok yüksek maliyetler

91 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Şifreleme •Güvenli Telefonlar –Iridium/Starium telefonları –Uyuşturucu kaçakçıları ve teroristler tarafından kullanılıyor •Internet Telefonu –PGPfone, Skype, VoIP vb. •Internet Relay Chat –Dileyen kullanıcılar şifrelenmiş IRC oturumları açabilmekte •Güvenli ağ bağlantıları –SSH, VPN vb. ile şifrelenmiş iletişim

92 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Dosya ve Disk Şifrelemesi •Şifrelenmiş dosyalar ve dosya sistemleri –Masaüstü, dizüstü ve avuçiçi için –Uygulama yazılımı ve işletim sistemine entegre şifreleme bileşenleri –Gizlemek için kullanılabileceği gibi dosyaları rehin almak için de kullanılabilir

93 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Şifreleme Vakalarının Ele Alınması •Bazı araştırmalar zor olabilir –Çocuk pornografisi, IP hırsılığı, dolanıdırıcılık, … •Başka kaynaklardan yeterli delil toplanmalı •Parola, diskte açık metin bulmak gerekebilir •Şifreleme kullanımı araştırmayı sonuçsuz bırakabilir •Şifreleme kullanıldığı tespit edildiğinde başka kaynaklardan delil aranmalıdır –Şifreleme anahtarı, parola ya da verinin açık hali kağıtta, başka dosyada ya da başka sistemde olabilir •Anahtar ya da şifrenin iyi niyetle / anlaşma ile alınması

94 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Şifreleme Vakalarının Ele Alınması •Sistemdeki zayıflıklardan faydalanılarak kripto kırılabilir –Sistemlerin %90’ı kripto motorunun dışında kırılıyor –Anahtar, zayıf bir parola ile korunuyor olabilir –Aynı parola bir çok sistemde kullanılabilir •örneğin, Microsoft Word crypto ve PGP •Kaba kuvvet saldırısı ile – olası bütün anahtarlar denenir –56-bit anahtarlar kırılabilir ama 128-bit anahtarlar kırılamaz

95 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Şifre Kırma Programı-Access Data •Parola Kurtarma Araçları –Microsoft Word, Excel, Access, Money gibi bilindik yazılımların parolaları •Distributed Network Attack (DNA) –MS Office 97 ve Office 2000'in 40-bit anahtarlamasını kırar •Windows öntanımlı 40 bit'tir; yüksek şifreleme paketi triple-DES (168 bit) kullanır –İstemci makinalarda arka planda çalışır –İstemciler DNA Yöneticisi ile TCP/IP yolu ile haberleşir –200 MHz Intel makinalardan oluşan 100 istemcili bir ağda maksimum 4 gün sürer (ortalama 2 gün)

96 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Şifreleme Vakalarının Ele Alınması •Ağ girişinde açık metin parola yakala •Böcek ya da kamera koymak •Donanım tuş yakalıyıcı –MicroSpy –KeyGhost - 500,000’in üstünde tuş basımı •Yazılım olarak tuş basımlarını yakalama –D.I.R.T. (Data Interception by Remote Transmission) –Stealth Keyboard Interceptor (SKIn)

97 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Steganography •Resimler, ses dosyaları vs... içine bilgi saklamak –Bilgisayarlarda, web sayfalarında veya e-posta eklerinde olabilir –Steganos, S-Tools –Şifreleme de olabilir •Dosyaların disk üzerindeki varlığını gizlemek –Kullanılmayan alanlarda gizlemek –Steganographik dosya sistemi •Steganaliz –Tespit etme ve ortaya çıkarma

98 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Steganography Apollo 17’den çekilmiş Dünya Resmi – Dosya boyu 281 KB İçinde 74 KB’lik dosya saklanmış resim

99 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Adli Analiz ve Steganography •Steganography araçlarının kullanımı başarılı bir adli analizi engelleyebilir. •Asıl önemli bilgi kapak resminde olabilir •Gizlenmiş dosya bulup, gizli bilgi içerisinden çıkarılmış olsa bile şifrelenmiş olabilir. •Dosya başlıkları incelenerek buna karar verilebilir •Bazı programlar dosya başlığını da şifrelemektedir, bu da inceleme için problem oluşturur •Asıl problem hangi stego aracının ve hangi stego anahtarının kullanıldığını bilememektir. •Program sistemden kaldırılmış ise ne olacak? •Bazı stego programları diskete sığacak boyuttadır

100 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Ne Yapılabilir? •Steganography araçlarını kullanarak bilgili hale gelme •Herhangi bir stego yazılımı yüklendiğinde hangi dosyaların da yüklenmiş olduğunu bilmek •Herhangi bir stego programı sistemden kaldırıldığından arkasında bıraktığı izleri bilmek (registry anahtarları, dosyalar vb...)

101 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Anonim Olmak •Anonim e-posta göndericiler –Şifreleme ile birlikte yapılabilir –Ölüm tehditleri vs... için kullanılabilir –Genellikle takip edilebilir •Anonim Web gezintisi –Zero Knowledge’s Freedom, Anonymizer Inc, AT&T Crowds, Tor •Anonim, dağıtık göndermeler –Sansüre karşı –Freenet, AT&T Publius, Eternity sunucuları

102 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Anonim Olmak

103 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Anonim Olmak •Anonim ödemeler – takip edilemez dijital para •Internet Kafeler •Deneme ve misafir hesapları –Tehdit ve ölüm tehditleri genelde bu şekilde •Çalınmış/Kırılmış bilgisayar hesapları •Sahte veya değiştirilmiş (ing. spoof) IP adresleri •Sahte veya değiştirilmiş e-posta hesapları –Genellikle spam gönderenler kullanır •Sınırlanmamış vekil sunucular

104 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Delil Karartma Yöntemleri (Anti-Forensic Teknikleri)

105 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Anti-Forensic •Anti-Forensic Nedir: –Deliller üzerinde adli bilişim yöntemlerinin başarılı olamaması için geliştirilen yöntemler Anti-Forensic yöntemleri olarak adlandırılırlar. –“olay mahalinde bulunan delillerin varlığını, miktarını ve/veya kalitesini olumsuz yönde etkilemek, incelenmesini ve analizini zorlaştırmak hatta imkansız hale getirmek için kullanılan her türlü yöntem/aksiyon” Dr. Marc Rogers of Purdue University

106 © 2010, Adeo Bilişim Danışmanlık Hizmetleri Ltd., Tüm hakları saklıdır Anti-Forensic Yöntemleri •Verileri/Dosyaları geri dönülemez şekilde silme (örneğin dosya yada sabit disk wiping araçlarının kullanılması vb.) •Verileri/Dosyaları gizleme (örneğin slack space’lere verinin saklanması, rootkitler’in kullanılması vb) •Verileri/Dosyaları bozma (dosyaların son güncelleme/oluşturulma/erişilme zamanlarının değiştirilmesi vb.) •Forensic uygulamalarını ve araçlarını devre dışı bırakacak yöntemler (dosyaların imzalarını bozma, Hash çakışması oluşturma, prosesleri disk’e hiç eriştirmeden memory’de çalıştırma vb.)


"Bilişim Suçları ve Takibi Halil ÖZTÜRKCİ, MVP CISSP, CISA,CEH,CHFI BT Güvenlik Hizmetleri Direktörü" indir ppt

Benzer bir sunumlar


Google Reklamları