Bilişim Suçları ve Takibi Halil ÖZTÜRKCİ, MVP CISSP, CISA,CEH,CHFI BT Güvenlik Hizmetleri Direktörü halil.ozturkci@adeo.com.tr

Seminer İçeriği Adli Bilişim Nedir? Türkiye Özelinde Hukuki Açıdan Adli Bilişim Adli Bilişim Çerçevesinde Delil Toplama Süreci Delilin Taşıması Gereken Nitelikler Delillerin Bulunabileceği Ortamlar İlk Müdahalede Yapılması ve Dikkat Edilmesi Gereken Hususlar Delil Toplama Amaçlı Disk (Sabit Disk, Taşınabilir Diskler,USB Flash Disk, Hafıza Kartları) İnceleme Temelleri

Seminer İçeriği (devam) Delil Toplama Amaçlı İnternet Aktiviteleri İnceleme Temelleri (Internet Explorer, MSN vb.) Delil Toplama Amaçlı E-posta İnceleme Temelleri Delil Gizleme Yöntemleri (Şifre koyma, Şifreleme, Steganography vb.) ve Gizlenmiş Delilleri Ortaya Çıkarma Yöntemleri Delil Karartma Yöntemleri

Adli Bilişim Nedir?

Tanımlar Adli Bilişim, sayısal (dijital) verileri, Elde etme Muhafaza etme Analiz etme işlemlerinin, delilin gereklerine uygun olarak, mahkemeye sunulma aşamasına kadar uygulanmasıdır.

Adli Bilişim Nedir? “Adli bilişim, bir bilgisayarda veya bilişim sisteminde bulunan bilgilerin mahkemede suçluluğun veya suçsuzluğun ispatında kullanılmak üzere incelenmesidir” Gordon G.R. , Hosmer C.D. , Siedsma C. , Rebovich D. Assessing Technology, Methods, and Information for Committing and Combating Cyber Crime. (Ocak 2003). National Institute of Justice.

Bilişim Suçu Nedir? Bilişim Suçunun birinci şeklinde bilgisayar suçun hedefi olarak karşımıza çıkmaktadır.   Bu durumda, bir bilgisayarın gizliliği, bütünlüğü ya da erişilebilirliği hedef olmaktadır.   Servisler, çalınan veriler ya da kurban bilgisayarlar zarar görmektedir. “Nimda, CodeRed ve türevleri” gibi servis dışı bırakma saldırıları bu tip bilişim suçlarına örnek teşkil etmektedir.

Bilişim Suçu Nedir? İkinci durumda bilgisayar bir şuçu işlerken kullanılan bir araç olarak karşımıza çıkar.   Bu tür suçlar çocuk pornografisi, dolandırıcılık, fikri mülkiyet hakları ihlalleri ve yasadışı maddelerin online satışı gibi suçlardır.

Bilişim Suçu Nedir? Son durumda bir bilgisayar bir suçun içinde tesadüfen bulunabilir. Ancak bu bilgisayarlar yine de kanun uygulayıcılar için değer arzeder. Örneğin, sübyancılar bilgisayarlarında çocuk pornografisi muhafaza edebilirken, uyuşturucu kaçakçıları ilişkili oldukları kişilerin iletişim bilgilerini saklayabilirler.

Neden Bilgisayar İncelemesi? Dokümanların çoğu artık elektronik biçimde (bilgisayar ortamında) bulunmaktadır. Bilgisayarların suç işlenirken ve kötüye kullanımındaki hızlı artış suç soruşturmalarında da özel yöntemler gerektirmektedir. Bilgisayar delili çok narindir, özel muamele edilmez ise kolaylıkla silinebilir ya da tehlikeye düşebilir. Özel adli bilişim araçları kullanıcıya normal yollar ile görünmeyen geçici olan, silinmiş ya da gizlenmiş dosyaları güvenle kurtarılmasına olanak tanır.

Adli Bilişim Çerçevesinde Delil Toplama Süreci

Delilleri Toplama Süreci Delilin saklandığı yerin bulunması. Delilin olay ile ilgili kısmı içinde konu ile ilgili verilerin bulunması. Açıkça gereksiz olan hiçbir seyin boşyere kalabalık etmemesi için toplanmaması gerekir. Bir uçuculuk sıralaması oluşturun. Delil toplarken iyi bir değer sıralaması yapın.

Delilleri Toplama Süreci Orjinal verilerin değiştirilmesinden kaçınmak için gereklidir. Bu, uzaktan ya da şüpheli sistem üzerinde birilerinin delile zarar vermesini engellemeyi de kapsar.. Delil toplarken uygun ve genel kabul görmüş teknikleri kullanın.   Herşeyi belgeleyin. Delil toplama yöntemleriniz daha sonraki bir zamanda sorgulanabilir.

Delil Toplama ve Analiz : Basit Kurallar İmaj almak dışında asla orjinal delile dokunmayın, böylece delili bozma olasılığını en aza indirmiş olursunuz. Orjinal delilin üzerindeki herhangi bir değişiklik, daha sonra alınacak imajlar üzerinde yapılacak incelemelerin sonuçlarını da etkileyecektir. Delil toplanıp, birebir kopyası, imajı alınmadan asla delili analiz etmeye çalışmayın.

Delil Toplama ve Analiz : Basit Kurallar Orjinal delil üstünde yapılan tüm değişikliklerin hesabını daha sonradan verebilmek için yapılan tüm işlemlerin ve değişikliklerin olabildiğine detaylı bir kaydını tutun.   Bazı durumlarda delilin değiştirilmesi kaçınılmaz olur. Bu tür durumlarda var olan durumu, kapsamı ve değişiklik sebeplerini belgelendirmek kesinlikle gereklidir. Bilginizi aşmayın. Ne yaptığınızı bilmiyorsanız, delil üzerinde yaptığınız işlemlerden ötürü gerçekleşecek değişikliklerin ya da yaptığınız işlemlerin doğru bir şekilde hesabını veremeyebilirsiniz.   Bu alan bir anda kendinizi kafanız patlamış olarak bulabileceğiniz bir alandır. Bu nedenle araştırmanızı her an size yardın edebilecek biri ile ya da bilgiye kolay erişebilecek bir ortamda yapın.

Delil Toplama ve Analiz : Basit Kurallar Kurumunuzun kurallarına ve soruşturma rehberlerine uygun hareket edin. Kuralların ihlali mahkemede delilinizi geçersiz bile kılabilir. Mümkün olan en kısa sürede sistemin eksiksiz tam bir imajını alın. Orjinal ve imajı alınmış kopya arasındaki farklar açıklanmalıdır. Yoksa delil bozuk, hasar görmüş olarak yorumlanacaktır. Doğrulamak için tanıklığa hazır olun. Eğer delillleri siz topladıysanız, delil toplama sürecinde ürettiğiniz belgelerin doğruluğunu tasdik etmek ve gerçekliğini anlatmaya hazır olmalısınız. Bu nedenle her aşamada kayıt tutmak gereklidir.

Delil Toplama ve Analiz : Basit Kurallar Yaptığınız işlemlerin tekrar edilebilir olmasına dikkat edin. İşlemleriniz ve analizlerinizin tekrarlanabilir olması gerekir. Hareketlerinizin denemeye yanılmaya ya da hatalara dayanmaması gerekmektedir. Hızlı ama doğru çalışın. Özellikle çalışan bir sistem üzerinde, ne kadar hızlı çalışırsanız o kadar az uçucu delil kaybedersiniz. En uçucu delilleri ilk olarak toplayın

Delil Toplama ve Analiz : Basit Kurallar Uçucu delilleri toplamadan sistemi kapatmayın. Uçucu deliller kaybolacaktır ama ek olarak başlangıç ve kapanış betikleri verileri de silebilir. Bilgisayarı normal olarak kapatmak delile zarar verip değiştirebilir, geçici dosya sistemleri ve sistem yapılandırma dosyaları değişebilir. Kapalı bir bilgisayarı açmak da daha fazla potansiyel delili de yok edebilir. Asla şüpheli bilgisayarda çalışmayın ve o bilgisayara ve ekli donanımlara güvenmeyin.   Truva atı programları tahrip edici bir düzeneği başlatabilir. Delili değiştirebilirsiniz.

Delillerin Bulunabileceği Ortamlar

Delillerin Bulunabileceği Ortamlar

Delillerin Bulunabileceği Ortamlar Dizüstü yada Masaüstü Bilgisayarlar Olay yerindeki bütün bilgisayarlar, çalışır durumda olan/olmayan inceleme kapsamına alınmalıdır. Çalışır durumdaki bilgisayarların ekranları açıksa ekranlarının fotoğrafları çekilmelidir. Bilgisayarların enerjisi kesilmeden, yapılabiliyorsa canlı inceleme yapılmalıdır.

Delillerin Bulunabileceği Ortamlar Harici Sabit Diskler İhtiyaç duyulan saklama alanını karşılamak üzere günümüzde oldukça fazla kullanılan disk çeşitidir. Sahip oldukları büyük kapasiteler sayesinde üzerlerinde bir çok dijital veri saklanabilir. Olay yerinde görülen bütün harici sabit disklerinde inceleme amaçlı image’leri alınmalıdır.

Delillerin Bulunabileceği Ortamlar CD/DVD/HD DVD/Blu-ray Media’lar Yedekleme amaçlı kullanılan bu ortamlar delil olarak kullanılabilecek veya olayın çözümüne etki edebilecek döküman/veri içerebilirler. Tek yazımlık çeşitlerinde ortam üzerine tekrar yazmak imkansızdır. Gün geçtikçe daha fazla veri saklayabilmeye imkan tanıyan yüksek kapasiteli çeşitleri çıkmaktadır.

Delillerin Bulunabileceği Ortamlar USB Flash Memory’ler Boyutlarının ufak olması, cepte taşınabilir olması ve ciddi miktarda veri saklama kapasitesine sahip olmalarından dolayı oldukça çok kullanılırlar. Bazı modellerinde MP3 player, radyo vb gibi ekstra özellikler bulunur. Çok çeşitli şekillerde karşımıza çıkabilirler. Olay yerinde görülen bütün USB memory stick’lerin de inceleme amaçlı image’leri alınmalıdır.

Delillerin Bulunabileceği Ortamlar Printer’lar Üzerlerinde yada çevrelerinde delil olarak kullanılabilecek çıktılar olabilir. Bazı yazıcı modelleri dahili sabit disk barındırırlar ve bu disklerde daha önce yazılması için yollanan belgelere ait bilgiler bulunabilir. Dahili sabit diskler veri saklamak amaçlı da kullanılabilir.

Delillerin Bulunabileceği Ortamlar Taşınabilir Player’lar (Ipod/Zune/MP3 Player) Barındırdıkları yüksek saklama kapasitesi sayesinde sadece müzik/video değil, aynı zamanda döküman/veri saklamak için de kullanılabilirler. Olay yerinde bulunan bu tarz player’ların da mutlaka image’leri alınmalı ve içeriği incelenmelidir.

Delillerin Bulunabileceği Ortamlar Cep Telefonları, Çağrı Cihazları ve PDA’ler Telefon üzerinde bulunan adres defteri, gönderilen ve alınan kısa mesajlar, en son yapılan görüşmelere ait bilgiler, telefonun dahili hafızası ve telefona sonradan takılan hafıza kartlarında yer alan ses ve görüntü kayıtları digital delil olarak kullanılabilirler.. PDA ve bazı cep telefonlarının üzerinde e-mail mesajlarına da rastlanabilir ve bu e-postalar da delil olarak kullanılabilir.

Delillerin Bulunabileceği Ortamlar Hafıza Kartları Bir çok elektronik cihaz, hafıza gereksinimlerini hafıza kartlarını kullanarak aşarlar. Digital kameralar, fotograf makinaları, cep telefonları, PDA’ler bu hafıza kartları üzerinde veri saklayabilirler. Bu kartlar üzerinde saklanan veriler (örneğin ses ve video kayıtları, dökümanlar vb) digital delil olarak kullanılabilir.

Delillerin Bulunabileceği Ortamlar Telesekreter’ler Gelen çağrılara eğer belirli bir süre cevap verilmezse devreye girerler ve arayan kişinin mesaj bırakmasına imkan tanırlar. Bırakılan mesajların kaydedildiği kasetler delil niteliği taşıyabilir. Davanın seyrini etkileyecek bilgilere, mesajlara ulaşılabilir.

Delillerin Bulunabileceği Ortamlar Diğer Elektronik Cihazlar Yukarıda sayılan elektronik cihazların yanında, kredi kartı basma, çoğaltma, kopyalama cihazları (card skimmer), cep telefonu klonlama cihazları, GPS’ler gibi suç ile ilişkili olabilecek bütün cihazlarda hem delil içerebilirler hem de kendilere delil olabilirler.

Delillerin Korunması Saydam Statik Kutular Köpük korumalı delil kutuları Uyarı etiketleri

Delillerin Korunması

Dijital Delil Örnekleri Bir bilisim suçu ile ilgili, elektronik veya manyetik bir ortam üzerinden iletilen veya bu ortamlara kaydedilen bilgilere kısaca dijital delil diyebiliriz. Örneğin; Veri dosyaları Kurtarılmış silinmiş dosyalar Kayıp alanlardan kurtarılmış veriler Dijital fotoğraf ve videolar Sunucu kayıt dosyaları E-posta Chat Kayıtları İnternet Geçmişi Web Sayfaları Kayıt Logları Abone Kayıtları

İlk Müdahalede Yapılması ve Dikkat Edilmesi Gereken Hususlar

Çalışan Bir Sistemden Delil Toplamak Verinin Uçuculuk Dereceleri Daha uçucu verileri toplamak mı, Daha güvenli adli bilişim yöntemleri uygulamak mı? Canlı inceleme: Duruma hemen el koymak, müdahale etmek Olayın kanıtlanması. Uçucu verileri elde etmek Ağ bağlantıları, çalışan programlar, süreçler vb. gerektiği durumlarında yapılır.

Çalışan Bir Sistemden Delil Toplamak İlk müdahale potansiye delilleri yok etmemelidir. Müdahale Takım Çantanızda sadece güvenilir araçlar bulundurun. Sonuçları belgeleyin. Defter/Notebook  Hedef sistemin sabit diski  Hedef sisteme bağlı çıkarılabilir medya  netcat veya cryptcat kullanarak güvenli bir sisteme aktarma 

Çalışan Bir Sistemden Delil Toplamak Araştırmanın Planlanması. Delil toplama işlemi olaya göre farklılık gösterir: Sistemdeki verilerin değiştirilmesi. Fikri mülkiyet hakları ihlali. Sistemin çalışamaz duruma getirilmesi.

Müdahale Takım Çantası Güvenilir Sistem Araçları İncelenecek işletim sistemi ile uyumlu olmalı. Çıkarılabilir medya üzerinde saklanmalı. Disketler (yazma-korumalı) CD USB Flash Bellekler ya da Diskler (yazma-korumalı)

Müdahale Takım Çantası İhtiyaç olan araçlar tespit edilmeli. Takım çantası olşturulmalı. DLL, kütüphane ve diğer dosya bağımlılıkları kontrol edilmeli ve bağımlı olan dosyalar da bu araç deposunda bulunmalı. SHA1 ya da MD5 gibi dosya doğrulama araçları unutulmamalı.

Uçucu Verilerin Elde Edilmesi En azından; Sistem tarih ve zamanı. O an bağlı olan kullanıcılar. O an çalışan program ve süreçler. O an açık olan portlar. Açık portları kullanan programların listesi. Sisteme henüz ve o an bağlantı sağlamış sistemlerin listesi. Kayıt altına alınmalıdır.

Uçucu Verilerin Elde Edilmesi: Yöntem Güvenilir bir cmd.exe çalıştırın. Sistem zamanı ve tarihini kaydedin. Kimlerin bağlı olduğuna bakın. Dosyaların MAC zamanlarını kaydedin. Açık portları öğrenin. Portları kullanan programları kaydedin. Tüm çalışan süreçleri kaydedin. Anlık ve geçmiş bağlantıları listeleyin. Tekrar sistem zamanı ve tarihi kaydedin. Müdahale esnasında kullanılan komutları ve programları belgeleyin.

Delil Toplama Amaçlı Disk (Sabit Disk, Taşınabilir Diskler,USB Flash Disk, Hafıza Kartları) İnceleme Temelleri

Disk Yapısı Hard disk sürücüleri disk veya plakaların eşmerkezli olarak üstüste sıralanmasından oluşur. Her plaka 2 yüzeye sahiptir.

Bir Sabit Diskin Sökülmüş Görünümü Ana İşletici İşletici Bobin İşletici Mili Okuyucu Kafa Kolları Şerit Kablo Sürgü ve Kafalar

Sabit Disk Yapısı Disk yüzeyi serttir. Kafa-disk montajı mühürlü ve micro-filtrelenmiştir Çok disk plakası kullanılarak maliyet artırılmadan saklama alanı artırılmaktadır.

Silindirler S İ L İ N D İ R İz (Track) Sektör Kafa Kümesi Kafa 0

Disk Yazma Koruması Disk Yazma Koruması Şüphelinin disk sürücülerine herhangi bir verinin yazılmasının engellenmesi Şüphelinin sürücülerinin bütünlüğünün korunması Yazılım ve Donanım tabanlı yazma koruyucular

Yazılım Tabanlı Yazma Koruması Yazılım Tabanlı Yazma Koruma Araçları, işletilmesi istenen komutun çalışmasına izin verilip verilmeyeceğine karar verir. Eğer komut bloklanacaksa hedef sürücüye hiçbir komut iletilmeden Yazılım Tabanlı Yazma Koruma Aracı uygulamaya geri döner. Aracın yapılandırmasına göre yazma engellendiğinde uygulamaya başarılı veya başarısız sonuç bildirilebilir. Eğer komuta izin veriliyorsa, istek hedef sürücüye iletilir ve sonuçlar uygulamaya döndürülür.

Donanım Tabanlı Yazma Koruması Donanım tabanlı yazma koruması, hedef sürücüye içeriği değiştirebilecek hiç bir komutun ulaşmamasını sağlayan bir donanımdır. Donanım fiziksel olarak bilgisayar ile depolama sürücüsü arasına yerleştirilir.

İmajlar İmaj alma methodları: Bilgisayardan bilgisayara Diskten diske Diskten to dosyaya Diskten Tape/CD Diskten Network üzerinden

Mantıksal yada Fiziksel Yedekleme Fiziksel Sürücü Kopyalama Tüm sürücüyü (swap dahil) alabiliriz EN İYİ delildir Mantıksal Kopya SCSI RAID ortamlarda kullanışlı Hafıza Kopyalama Flash kart, hafıza çubukları, PDA, vs...

İmaj Alma Yazılımları dd FTK Imager Çoğu işletim sisteminde kullanılabilir Bilgiyi bir yerden başka yere kopyalamak için alt-düzey bir komut Kopyaladığı veri yapısı hakkında birşey bilmez Kopyalayabilecekleri: Tek dosya Dosyanın bir bölümü Disk Bölümü Mantıksal ve Fiziksel Diskler FTK Imager Access Data’nın ücretsiz yazılımı Fiziksel disklerin bit-to-bit imajını almanın yanında bu disklerde yer alan ve FAT, NTFS, EXT2, EXT3, HFS, HFS+ dosya sistemlerinden herhangi birisi ile formatlanmış disk bölümlerindeki içeriği de görmenize imkan tanımaktadır.

Yardımcı Yazılımlar EnCase – Guidance Software FTK – Forensic Toolkit – Accessdata ILook Investigator

EnCase www.encase.com Ticari bir araç Herkes satın alabilir. Oldukça yaygın kullanılıyor. Desteklediği Dosya sistemleri: FAT12, FAT16, FAT32, NTFS, EXT2/3 (Linux), Reiser (Linux), UFS (Sun Solaris), AIX Journaling File System (JFS and jfs) LVM8. FFS (OpenBSD, NetBSD, and FreeBSD), Palm, HFS, HFS+ (Macintosh), CDFS, ISO 9660, UDF, DVD, ad TiVo® 1 and TiVo 2. Windows Dinamik Disk Desteği Yazılım ve donanım tabanlı RAID dizileri imajı alma ve analizi Palm cihazları inceleme Vmware, dd, safeback v2 imajlarını tanıma ve analiz

EnCase

Forensic Toolkit http://www.accessdata.com Ticari bir araç. Herkes satın alabilir. Yaygın kullanılmakta. Gelişmiş arama ve indexleme mekanizması Silinmiş dosya ve bölümleri kurtarma Filtre oluşturma desteği NTFS, NTFS compressed, FAT 12/16/32, and Linux ext2 & ext3 dosya sistemleri desteği Encase, SMART, Snapback, Safeback (v2) ve Linux dd imajlarını tanıma Outlook, Outlook Express, AOL, Netscape, Yahoo, Earthlink, Eudora, Hotmail, and MSN e-mail yapısını tanıma ve ayrıştırma Kısmen ya da tamamen silinmiş e-mailleri kurtarma PKZIP, WinZip, WinRAR, GZIP, TAR dosyalarını açma

Forensic Toolkit

ILook Investigator http://www.ilook-forensics.org/ Sadece kanun uygulayıcılara lisanslanmakta Ücretsiz. Kullanımı oldukça zor, alışkanlık haline geldikten sonra güzel araç Güçlü bir araç, ancak donanım ve RAM canavarı .NET ile programlanmakta. Grup Lisansı yok. Kişilere lisanslanıyor. V7 ve v8 sürümleri güncel ve kullanılmakta. Geliştiren Elliot Spencer. İngiltere ve ABD kanun uygulayıcıları ortaklığı ile geliştiriliyor.

ILook Investigator NIST ve Hashkeeper veritabanlarını kullanma FAT12, FAT16, FAT32, FAT32x, VFAT, NTFS, HFS, HFS+, Ext2FS, Ext3FS, SysV AFS, SysV EAFS, SysV HTFS, CDFS, UDF, Netware NWFS dosya sistemleri FAT / NTFS dosya kurtarma Çoklu delillerle olay yönetimi ve raporlama Dosya imzaları doğrulaması Internet önbellek ve mail geri getirme Güçlü betik mekanizması Dosya zaman çizelgesi görünümü Tümleşik Hex Editörü Explorer tipi arabirim ile programa kolay hakimiyet

ILook Investigator

ILook Investigator

Delil Toplama Amaçlı İnternet Aktiviteleri (Internet Explorer, MSN vb Delil Toplama Amaçlı İnternet Aktiviteleri (Internet Explorer, MSN vb.) İnceleme Temelleri

Internet Explorer Windows tabanlı bilgisayarlarda ön tanımlı olarak yüklüdür Windows 2000 ve üstü Windows işletim Sistemlerin de IE aktiviteleri için dizinler C:\Documents and Settings\<Kullanıcı Adı>\Local Settings\Temporary Internet Files\Content.IE5\ C:\Documents and Settings\<Kullanıcı Adı>\Local Settings\History\History.IE5\ C:\Documents and Settings\<Kullanıcı Adı>\Cookies\

Internet Explorer Analiz yapılırken öncelikle bu üç dizine bakılmalıdır Bu dizinlerde Index.dat adlı dosya bulunur Bu dosyada Internet aktivitesi tutulur

Firefox/Mozilla/Netscape Web aktivitelerini history.dat adlı bir dosyada tutarlar Index.dat dosyasından farkı bu dosya ASCII tabanlıdır History.dat dosyasının IE’dekinden bir farkı da web aktivitesini diskteki sayfalarla bağlı olarak tutmaz Firefox için history.dat dosyası \Documents and Settings\<kullanıcı adı>\Application Data\Mozilla\Firefox\Profiles\<rastgele metin>\history.dat Mozilla/Netscape için history.dat dosyası \Documents and Settings\<kullanıcı adı>\Application Data\Profiles\<profil adı>\<rastgele metin>\history.dat

Araçlar Ücretsiz Araçlar Ücretli Araçlar Pasco Web Historian vb... IE History Forensic Tool Kit (FTK)

Araçlar-Pasco Latince de “Gözat” anlamına gelir http://sourceforge.net/projects/odessa adresinden çekilebilir Latince de “Gözat” anlamına gelir Komuta satırında çalışır Unix veya Windows işletim sistemlerinde çalışabilir Parametre olarak index.dat dosyasını alır Çıktısını aralıklı metin dosyası olarak verir Bilgi MS Excel’de rahatlıkla açılabilir IE ile rahatlıkla çalışmasına rağmen Firefox/Mozilla/Netscape gibi diğer web tarayıcıları ile çalışmaz

Araçlar-Pasco pasco index.dat > index.csv şeklinde kullanılarak excel’e gönderilebilecek dosya oluşturulabilir Bilgileri 7 alan halinde gösterir Kayıt tipi – Gidilen adresin URL ya da kullanıcının tarayıcısından yönlendirilen bir sayfa olup olmadığını gösterir URL – Kullanıcının ziyaret ettiği asıl web sitesi Değiştirilme zamanı – Web sitesinin değişikliğe uğradığı son zaman Erişim zamanı – Kullanıcının siteyi ziyaret ettiği zaman Dosya adı – Listelenen URL’lerin yerel diskteki adı Dizin – “Dosya adı” ile belirtilmiş dosyanın bulunacağı yerel diskteki dizin HTTP başlıkları – URL erişildiğinde kullanıcının aldığı HTTP başlıkları

Araçlar- Web Historian http://www.red-cliff.com/ adresinden çekilebilir Dizin yapısını araştırarak Internet aktivitesini çıkartabilir Desteklediği tarayıcılar Internet Explorer Mozilla Firefox Netscape Safari (Apple OS X) Opera Çıktılarını üç değişik şekilde verebilir Excel çıktısı olarak (XLS) HTML olarak Aralıklı metin dosyası olarak

Araçlar- Web Historian

Anında Mesajlama Yazılımlar MSN Messenger, Gtalk, Yahoo Messenger, AOL Messenger gibi anında mesajlaşma yazılımları ile gerçekleştirilen mesajlaşmalara ilişkin konuşma log dosyaları kritik bilgiler içerebilir. Anında mesajlaşma yazılımlarının karşı taraftan gönderilen belge/dökümanları saklamak için kullandığı klasörde delil olarak kullanılabilecek belgeler/dökümanlar yer alabilir. (Örneğin MSN için “Alınan Dosyalarım/My Received Files” klasörü gibi.)

Anında Mesajlama Yazılımlar Eğer anında mesajlaşma yazılımları konuşmaları kaydetmiyorsa bu durumda eğer canlı sistemde hafızanın içeriğinin imajı alınırsa, bu imaj içerisinde daha önceden gerçekleştirilen konuşmalara rastlanabilir. Buna benzer sebeplerden ötürü alınabiliyorsa canlı sistemlerde sistemi kapatmadan önce mutlaka hafızanın da imajı alınmalıdır. Yine hafızanın imajı üzerinde yapılacak inceleme ile kullanıcının arkadaş listesindeki kişilerin bilgilerine ulaşılabilir.

Delil Toplama Amaçlı E-posta İnceleme Temelleri

E-Postaların İzini Sürme Bir e-postayı yollayanı bulabilmek için, o yollanan mailin başlık (ing. header) bilgilerine sahip olunması gereklidir. Bir e-postanın başlık bilgisi elektronik mesajın başına ve/veya sonuna eklenir. Öntanımlı olarak, e-posta istemcileri ve hizmetleri size başlık bilgisinin kısaltılmış halini gösterir:

E-Postaların İzini Sürme E-posta gönderenin bilinebilmesi için gereken e-posta başlık bilgilerini üçe ayırabiliriz. : Gönderenin e-posta adresi İnternet üzerindeki yönlendirme bilgisi Gönderenin IP adresi E-Posta sunucu bilgisi Mesaj Tanımlama Bilgisi (ing.Message ID) Genelde açıkça tanımlıdır. Bazen bulması kolay, bazen bulunmaz.

E-Postaların İzini Sürme Bu bilgileri bulmak için e-postanın başlık bilgisinin en altından yukarı doğru gidilmelidir. E-Posta başlık bilgisi alttan üste doğru ilerleyen bir şekilde değerlendirilmelidir.

Mesaj Transfer Ajanları (MTA) Elektronik mektup aynen normal mektup gibidir. Mesaj Transfer Ajanları denen çeşitli Postanelerce işlenirler. Yerel ya da ilgili her MTA den geçen maile MTA başlık bilgisine ekleme yapar. Normal mektupta da postanelerin işaretleri bulunur. Buna “Received” başlık bilgisi denir. Gözleme yığını gibi düşünülebilir. En yeni gelen EN ÜSTE yerleşir.

Gönderenin E-Posta Adresini Bulmak Gönderenin e-posta adresi ile ne yapılabilir? Ne tip e-posta adresi olmasına göre değişiklik gösterir: Hotmail, Yahoo!, GMail benzeri (ücretsiz servisler) AOL, Earthlink, (ücretli servisler) İş/Kişisel/Kurumsal e-posta adresleri örn, halil.ozturkci@pro-g.com.tr

Gönderenin E-Posta Adresini Bulmak

Gönderenin E-Posta Adresini Bulmak Subject: New Streaming ShockWave Casino - No Software downloads ! Mime-Version: 1.0 Content-Type: text/html; charset="us-ascii“ Date: Fri, 3 Mar 2000 03:25:44 MIME-Version: 1.0 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit X-Priority: Normal X-Indiv: y353940d1ae42d1f61 X-JobID: 51334-CD X-Return-Path: DEHEtN@AOL.COM X-OriginalArrivalTime: Fri, 03 Mar 2000 03:25:44 (UTC) FILETIME=[B67F3B30:01C060E6] X-Oringinating-IP: ([208.61.34.133]) X-Mailer: Windows AOL sub 129 X-Apparently-From: Brianiorlooi@aol.com “X-Originating-IP” satırı tüm email başlık bilgilerinde bulunmamaktadır.

Gönderenin E-Posta Adresini Bulmak Bir IP adresinin kim(ler)in sorumluluğunda olduğunu öğrenmek için o adres üzerinde WHOIS sorgusu yapmak gerekir. Edinilen bilgi iletişim noktası olacaktır. örn. E-posta adresi, posta adresi, telefon numarası Daha muhtemel bir şekilde de bu nokta aradınız kişi değilde servis sağlayıcısı (İSS ya da Web Servis Sağlayıcı vb.) olabilecektir. Organizasyonlar ARIN (American Registry of Internet Numbers): http://www.arin.net/whois/arinwhois.html RIPE (European Network Coordination Centre): http://www.ripe.net/cgi-bin/whois APNIC (Asia Pacific Network Information Centre): http://www.apnic.net/

Gönderenin IP adresini bulmak Hedef: Göndericinin İnternet Servis Sağlayıcısını bulmak IP adresine bağlıdır. Yahoo! İSS değildir. İSS’dan IP adresi ile ilişkili abone bilgisi temin edilmesi gereklidir. Abone aktivite kayıtları istenmelidir. (Bağlantı vb.)

Gönderenin IP adresini bulmak Bir IP adresi hakkında WHOIS sorgusu yaparak: Sorumlu şirket bilgisi Adres Telefon numaraları İlişki kurularak kişi ismi E-Posta adresi Web sitesi bilgisi Şirket bilgisi : İSS İlave telefonlar ve bilgiler Mevki doğrulama bilgilerine sahip olabilirsiniz.

Gönderenin IP adresini bulmak

Gönderenin IP adresini bulmak Potansiyel Sorun: IP adresi statik yada dinamik olarak atanıyor olabilir. Statik: Sadece ve sadece size aittir. örn, kurumsal, kablo ve DSL kullanıcıları Dinamik: Değişik zamanlarda farklı kullanıcıya atanan adresler. örn, çevirmeli ağ kullanan aboneler ve DHCP kullanan kurumlar Kullanıcı aktivite kayıtları çok kısa sürede kaybolabilir.

Gönderenin IP adresini bulmak Özetle; Gönderenin e-posta adresi Abone bilgisi her zaman gerçek ya da inandırıcı olmayabilir. (Ör. Yahoo!, Hotmail vb.) IP adresi Her zaman bulunmayabilir (Ör., Haber gruplarında) Mesaj tanımlama bilgisi Eğer IP adresi bulunmuyorsa, bunun Mesaj tanımlama bilgisi vasıtasıyla e-posta sunucusu servis kayıtlarından bulunması mümkün olabilir.

Delil Gizleme Yöntemleri (şifre koyma, şifreleme, steganography vb Delil Gizleme Yöntemleri (şifre koyma, şifreleme, steganography vb.) ve Gizlenmiş Delilleri Ortaya Çıkarma Yöntemleri

Gizleme Yöntemleri Şifreleme ve kodlama Steganografi Veri sıkıştırması Parolalar Anonim olma teknikleri ve hizmetleri Uzak sunucularda depolama (genellikle ele geçirilmiş) Uzak lokasyonlarda takılabilir medya içinde depolama

Adli Takibe ve Ulusal Güvenliğe Etkisi Suçu kanıtlamak için yeterli delilik toplanamaması Suçun cezasız kalması ya da suçlunun az ceza görmesi Suça ilişkin istihbari faaliyetlerin yürütülememesi Planlar, niyetler, köstebekler, kurbanlar vb. Terörün engellenememesi Dinleme/izleme faaliyetleri pek çok önemli terör olayının oluşmasını engelleyebilir

Diğer Etkiler Uzayan adli takipler Yükselen maliyetler Bazen aylar ve yıllar boyu gecikmeler Yükselen maliyetler Şifreleme anahtarlarını kırmak için zaman zaman çok yüksek maliyetler

Şifreleme Güvenli Telefonlar Iridium/Starium telefonları Uyuşturucu kaçakçıları ve teroristler tarafından kullanılıyor Internet Telefonu PGPfone, Skype, VoIP vb. Internet Relay Chat Dileyen kullanıcılar şifrelenmiş IRC oturumları açabilmekte Güvenli ağ bağlantıları SSH, VPN vb. ile şifrelenmiş iletişim

Dosya ve Disk Şifrelemesi Şifrelenmiş dosyalar ve dosya sistemleri Masaüstü, dizüstü ve avuçiçi için Uygulama yazılımı ve işletim sistemine entegre şifreleme bileşenleri Gizlemek için kullanılabileceği gibi dosyaları rehin almak için de kullanılabilir

Şifreleme Vakalarının Ele Alınması Bazı araştırmalar zor olabilir Çocuk pornografisi, IP hırsılığı, dolanıdırıcılık, … Başka kaynaklardan yeterli delil toplanmalı Parola, diskte açık metin bulmak gerekebilir Şifreleme kullanımı araştırmayı sonuçsuz bırakabilir Şifreleme kullanıldığı tespit edildiğinde başka kaynaklardan delil aranmalıdır Şifreleme anahtarı, parola ya da verinin açık hali kağıtta, başka dosyada ya da başka sistemde olabilir Anahtar ya da şifrenin iyi niyetle / anlaşma ile alınması

Şifreleme Vakalarının Ele Alınması Sistemdeki zayıflıklardan faydalanılarak kripto kırılabilir Sistemlerin %90’ı kripto motorunun dışında kırılıyor Anahtar, zayıf bir parola ile korunuyor olabilir Aynı parola bir çok sistemde kullanılabilir örneğin, Microsoft Word crypto ve PGP Kaba kuvvet saldırısı ile – olası bütün anahtarlar denenir 56-bit anahtarlar kırılabilir ama 128-bit anahtarlar kırılamaz

Şifre Kırma Programı-Access Data Parola Kurtarma Araçları Microsoft Word, Excel, Access, Money gibi bilindik yazılımların parolaları Distributed Network Attack (DNA) MS Office 97 ve Office 2000'in 40-bit anahtarlamasını kırar Windows 2000 - öntanımlı 40 bit'tir; yüksek şifreleme paketi triple-DES (168 bit) kullanır İstemci makinalarda arka planda çalışır İstemciler DNA Yöneticisi ile TCP/IP yolu ile haberleşir 200 MHz Intel makinalardan oluşan 100 istemcili bir ağda maksimum 4 gün sürer (ortalama 2 gün)

Şifreleme Vakalarının Ele Alınması Ağ girişinde açık metin parola yakala Böcek ya da kamera koymak Donanım tuş yakalıyıcı MicroSpy KeyGhost - 500,000’in üstünde tuş basımı Yazılım olarak tuş basımlarını yakalama D.I.R.T. (Data Interception by Remote Transmission) Stealth Keyboard Interceptor (SKIn)

Steganography Resimler, ses dosyaları vs... içine bilgi saklamak Bilgisayarlarda, web sayfalarında veya e-posta eklerinde olabilir Steganos, S-Tools Şifreleme de olabilir Dosyaların disk üzerindeki varlığını gizlemek Kullanılmayan alanlarda gizlemek Steganographik dosya sistemi Steganaliz Tespit etme ve ortaya çıkarma

Steganography Apollo 17’den çekilmiş Dünya Resmi – Dosya boyu 281 KB İçinde 74 KB’lik dosya saklanmış resim

Adli Analiz ve Steganography Steganography araçlarının kullanımı başarılı bir adli analizi engelleyebilir. Asıl önemli bilgi kapak resminde olabilir Gizlenmiş dosya bulup, gizli bilgi içerisinden çıkarılmış olsa bile şifrelenmiş olabilir. Dosya başlıkları incelenerek buna karar verilebilir Bazı programlar dosya başlığını da şifrelemektedir, bu da inceleme için problem oluşturur Asıl problem hangi stego aracının ve hangi stego anahtarının kullanıldığını bilememektir. Program sistemden kaldırılmış ise ne olacak? Bazı stego programları diskete sığacak boyuttadır

Ne Yapılabilir? Steganography araçlarını kullanarak bilgili hale gelme Herhangi bir stego yazılımı yüklendiğinde hangi dosyaların da yüklenmiş olduğunu bilmek Herhangi bir stego programı sistemden kaldırıldığından arkasında bıraktığı izleri bilmek (registry anahtarları, dosyalar vb...)

Anonim Olmak Anonim e-posta göndericiler Anonim Web gezintisi Şifreleme ile birlikte yapılabilir Ölüm tehditleri vs... için kullanılabilir Genellikle takip edilebilir Anonim Web gezintisi Zero Knowledge’s Freedom, Anonymizer Inc, AT&T Crowds, Tor Anonim, dağıtık göndermeler Sansüre karşı Freenet, AT&T Publius, Eternity sunucuları

Anonim Olmak

Anonim Olmak Anonim ödemeler – takip edilemez dijital para Internet Kafeler Deneme ve misafir hesapları Tehdit ve ölüm tehditleri genelde bu şekilde Çalınmış/Kırılmış bilgisayar hesapları Sahte veya değiştirilmiş (ing. spoof) IP adresleri Sahte veya değiştirilmiş e-posta hesapları Genellikle spam gönderenler kullanır Sınırlanmamış vekil sunucular

Delil Karartma Yöntemleri (Anti-Forensic Teknikleri)

Anti-Forensic Anti-Forensic Nedir: Deliller üzerinde adli bilişim yöntemlerinin başarılı olamaması için geliştirilen yöntemler Anti-Forensic yöntemleri olarak adlandırılırlar. “olay mahalinde bulunan delillerin varlığını, miktarını ve/veya kalitesini olumsuz yönde etkilemek, incelenmesini ve analizini zorlaştırmak hatta imkansız hale getirmek için kullanılan her türlü yöntem/aksiyon” Dr. Marc Rogers of Purdue University

Anti-Forensic Yöntemleri Verileri/Dosyaları geri dönülemez şekilde silme (örneğin dosya yada sabit disk wiping araçlarının kullanılması vb.) Verileri/Dosyaları gizleme (örneğin slack space’lere verinin saklanması, rootkitler’in kullanılması vb) Verileri/Dosyaları bozma (dosyaların son güncelleme/oluşturulma/erişilme zamanlarının değiştirilmesi vb.) Forensic uygulamalarını ve araçlarını devre dışı bırakacak yöntemler (dosyaların imzalarını bozma, Hash çakışması oluşturma, prosesleri disk’e hiç eriştirmeden memory’de çalıştırma vb.)