Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

ADLİ BİLİŞİM BPROGRAMLARININ UYGULAMADA DEĞERLENDİRİLMESİ Ahmet KOÇAK Emniyet Genel Müdürlüğü İstihbarat Dairesi Başkanlığı

Benzer bir sunumlar


... konulu sunumlar: "ADLİ BİLİŞİM BPROGRAMLARININ UYGULAMADA DEĞERLENDİRİLMESİ Ahmet KOÇAK Emniyet Genel Müdürlüğü İstihbarat Dairesi Başkanlığı"— Sunum transkripti:

1 ADLİ BİLİŞİM BPROGRAMLARININ UYGULAMADA DEĞERLENDİRİLMESİ Ahmet KOÇAK Emniyet Genel Müdürlüğü İstihbarat Dairesi Başkanlığı

2 GİRİŞ E-Devlet kurumların öncelikli hedeflerinden birisi olması ile bilişim sistemlerine olan bağlılığı arttırmaktadır. Yeni teknolojiler insanlara kolaylık ve çözümlerle birlikte pek çok problemde getirmiştir. Artık bilgisyar sistemleri yolu ile birçok klasik suç oturulduğu yerden kolaylıkla yapılabimektedir. Klasik suçlardan yapı itibari ile farklı olarak değerlendirilmek zorunda olunan teknoloji suçları kendi standartlarını ortaya çıkarmıştır. Şu anda bir ihtiyaç olarak beklenen “Bilişim Suçları Kanun Tasarısı” nın kanunlaşması bazı sıkıntıların giderilmesi ve sorumlulukların belirlenmesi adına olumlu bir adım olacaktır.

3 ELEKTRONİK DELİL Parmak izi veya DNA gibi gizli verilerdir, Kolaylıkla ve hızla sınırları aşabilir, Kolaylıkla değiştirilebilir, zarar verilebilir veya silinebilir, Bazen zaman ile sınırlı olabilir

4 ELEKTRONİK DELİLERİN TOPLANMASINDA Elektronik deliller bütünlüğüne zarar verilmeden toplanmalı ve güvenliği sağlanmalı, Elektronik delillerin inceleme işlemlerini bu amaçla eğitilmiş personel yapmalı, Elektronik delillere elkoyma, inceleme, depolama veya taşıma işlemleri dokümante edilmeli, korunmalı ve yeniden gözden geçirmeye hazır olmalıdır.

5 ADLİ BİLİŞİM STANDARTLARI Delillerin belirlenmesi ve toplanması Şüphelinin bilgisayar sistemlerinin korunması Bütün dosyaların keşfi Veri kurtarma Açığa çıkarma İlişkili bütün verilerin analiz edilmesi Baştan sona yapılan bütün analiz işlemlerinin dokümante edilmesi Uzman desteğinin sağlanması

6 OLAY YERI GÜVENLIĞI VE ARAŞTIRMASI Nasıl bir bilgisayar sistemi var? Hedeflenen bilgisayarın işlevi nedir? Bilgisayarın İşletim sistemi nedir? Bilgisayarda kaç disk var, RAID gibi herhangi bir sistem varmı? Bilgisayar ağa bağlı mıdır? Bilgisayarda mevcut üniteler nelerdir? Bilgisayara bağlı cihazlar nelerdir? USB Ürünleri ve Flash Kartlar Mevcut mudur?

7 İLK MÜDAHALE- Uçucu Veriler Sistem saati ve tarihi Sistemde bulunan geçerli kullanıcın adı Sistemde açık olan portlar (bağlantı noktaları) ve hizmetler Sistemde yürürlükte olan geçerli işlemler Sistemde açık olan dosyalar O anda veya daha önce sisteme bağlanmış olan diğer sistemler Tüm dosyaların düzenleme, düzeltme ve erişilme saatleri diye sıralayabiliriz.

8 İLK MÜDAHALE ARAÇLARI Helix Boot CD - IR Tools The Coroner’s Toolkit FCCU GNU/Forensic Bootable CD - Incident Response Italy CD : FIRE :

9 DİJİTAL DELİL BELİRLEME, TOPLAMA VE MUHAFAZA

10 DELİL TÜRLERİ Bilgisayar Sistemleri (masaüstü, dizüstü, sunucu vb.) Bilgisayar Bileşenleri (HDD, Memory vb) Erişim Kontrol Araçları (Smart kartlar, dongle, biometrik tarayıcılar) Çağrı Cihazları Dijital Kameralar PDA ve Palm Cihazları (el bilgisayarları) Harici Harddiskler Hafıza Kartları Network Araçları (Modem, Yönlendirici, Anahtar) Yazıcılar,Tarayıcılar ve fotokopi makinaları Çıkarılabilir Yedekleme Üniteleri (Disket, CD, DVD, kartuş, kaset ve teypler) Telefonlar Kredi Kartı Okuyucuları Dijital Saatler GPS

11 ADLİ BİLİŞİM STANDARTLARINA GÖRE İMAJ ALMA Bit-stream imaj alabilmeli, Orjinal diskte değişiklik yapmamalı, IDE, SCSI ve SATA arabirimlerine ulaşabilmeli, Disk imaj dsoyalarının bütünlüğünü doğrulayabilmeli, Girdi-Çıktı Hataları (I/O Errors) gösterebilmeli, Raporlaması anlaşılır olmalı, İnceleme programları tarafından kullanılabilir olmalı, Kullanımı basit ve kolay öğrenilir olmalı, Hızlı imaj almayı desteklemeli, Sıkıştırma fonksiyonları olmalı,

12 YAZILIMSAL IMAJ ALMA PROGRAMLARI Safeback v 3 (DOS) “dd”,Linux “dd”,Windows “dd”dcfl-dd Encase v 4.20 Forensic Replicatorv 3.1 PDA Seizure v Pdd (Palm dd, Windows, Free) Forensic Toolkit (FTK) v 1.50 WinHex v 12.0NTI Image (DOS) SMART (Linux Redhat) ByteBack (DOS) v 3 Anadisk v 2.10 ILook v 8.0.8AIR-(Linux-Free) Automated Image & Restore

13 Donanımsal Imaj Alma Programları (Cihazları) DIBS RAID (Rapid Action Imaging Device) Image MASSter Solo III Logicube

14 ADLİ BİLİŞİM DONANIMLARI Vogon ( ForensicPC ürünleri (www.forensicpc.com )www.forensicpc.com Digital Intelligence (www.digitalintelligence.com )www.digitalintelligence.com Kendiniz de iyi donanıma sahip bir masa üstü veya dizüstü bilgisayarı gerekli adli bilişim programlarını kurarak bu işe tahsis edilmiş bir bilgisayar yapabilirsiniz.

15 Bilgisayar Sistemlerinde Neyi Nerede Buluruz? Memory Slack alan Unallocated alan, Mantıksal (Logical) dosya sistemi, Olay loglarında (Event Logs), Kayıt kütüğünde (The Registry), Swap alanda (Pagefile.sys, linux swap file ), Özel uygulamalar, Temprory Files, Çöp kutusu, print spool, Epostalar için arşiv dosyaları

16 İNCELEME AŞAMALARI

17 Mevcut Dosyaların Çıkarılması 1 ENCASE 2 FTK 3 Restorer 4 R-Studio 5 PC Inspector™ File Recovery 6 Easy Recovery 7 Media Recovery 8 Active Partition Recovery 9 CD/DVD Inspector

18 Silinmiş Dosyaların Çıkarılması 1ENCASE 2FTK 3Restorer 4R-Studio 5 PC Inspector™ File Recovery 6 Easy Recovery 7 Media Recovery 8 Active Partition Recovery 9 CD/DVD Inspector 10 Fat Back, Ntfs Gets 11 Autopsy

19 UNALLOCATED ALANDAKİ DOSYALARIN ÇIKARILMASI ENCASE FTK Restorer R-Studio Autopsy Smart

20 İnternet Aktivitelerinin Tespit Edilmesi Encase FTK Browser - History Ontrack Kernel R-Mail Recovery

21 Gizlenmiş Verilerin Bulunması Encase FTK FILTER_I V.4.1 GETSLACK, GETFREE TextSearch Plus

22 Şifreli ve Encrypted Dosyaların Çözülmesi FTK Elcomsoft Accent P.R. John The Ripper Rixler Office P.R. Uygulamaya Has

23 Stegonagrafi Uygulanmış Verilerin Tesbiti Camuflage BlackYard DriveCrypt EzStego S-Tools Image Hide Hide and Seek

24 Geçici Dosyalar Encase FTK Quikview Plus R-Studio

25 Swap Alanın İncelenmesi Encase Norton Disk Edit Filter_1 (New Technologies)

26 Log İncelemeleri Encase Windows event log service (Event Viewer) PsLogList

27 Sisteme Neler Kurulmuş ve Hangi Donanımlar Takılı Encase

28 Windows Çöp Kutusu İncelemesi Encase FTK PC Inspector FR R-Studio

29 Zararlı Kodların İncelenmesi Encase FTK QuickView Plus PSTools ChkRootKit Fport ve Netstat Pedestal Software

30 Kelime Arama İşlemleri Encase FTK Dtsearch Maresware Suite Bintext Disk Investigator SectorSpyXP

31 Encase FTK Print Spool Dosyaların İncelenmesi

32 Network İncelemeleri Snort NGSSniff Etherial AnalogX PacketMon

33 ANALİZ İŞLEMLERI Inceleme sonucu bulunan deliller analiz edilerek suçun profile ortaya çıkarılır ve birbiri ile ve şüpheli ile ilişkisi ortaya konur ve diğer olasılıklar değerlendirilir. Adli bilişim aşamalarının etkin yapılması iyi organize edilmiş ve mahkemede tatmin edici raporların hazırlanması olmadan sonuca varılmaz.

34 ANALİZ ARAÇLARI Encase FIM Encase Analyst’s Note FTK

35 RAPOR OLUŞTURMA Bütün olayın baştan sona dokümante edilerek rapor yazılması gerekir. Açık, anlaşılır olmalı, Adli bilişim standartlarında şüpheye yol açmayacak şekilde düzenlenmelidir. Encase FTK

36 SONUÇ Adli bilişim işlemlerini yapabilmek için adli bilişim uzmanlarına yardımcı olacak programlar hazırlanmıştır. Bir adli bilişim incelemesi eğitimsiz bir kişi tarafından ve uygun programlar kullanılmadan yapılmamalı, Başta Polis olmak üzere bütün Güvenlik Güçleri ve hakim ve savcılar adli bilişim uygulamalarının kullanımını başarılı soruşturmalar ve kovuşturmalar için kullanmalı


"ADLİ BİLİŞİM BPROGRAMLARININ UYGULAMADA DEĞERLENDİRİLMESİ Ahmet KOÇAK Emniyet Genel Müdürlüğü İstihbarat Dairesi Başkanlığı" indir ppt

Benzer bir sunumlar


Google Reklamları