XVIII. Akademik Bilişim Konferansı XVIII. AKADEMİK BİLİŞİM KONFERANSI Mobil Cihazlar, Mobil Adli Bilişim ve Önerilen Süreç Modeli Uğur AKALIN Gazi Üniversitesi Bilişim Enstitüsü Dr. Çelebi ULUYOL Gazi Üniversitesi Bilişim Enstitüsü
XVIII. Akademik Bilişim Konferansı 2 Sunum Planı Mobil Cihazlar, Mobil Adli Bilişim ve Önerilen Süreç Modeli Mobil Cihazlar Adli Bilişim Mobil Cihazlarda Adli Bilişim Mobil Adli Bilişim Yöntemleri Mobil Adli Bilişim Süreci
XVIII. Akademik Bilişim Konferansı 3 Mobil Cihazlar, Mobil Adli Bilişim ve Önerilen Süreç Modeli Mobil Cihazlar
XVIII. Akademik Bilişim Konferansı 4 Mobil Cihazlar Tanım: Mobil Seyyar Hareketli Kablosuz Çift Yönlü Gömülü/İşletim Sistemi SMS/MMS İnternet Görsel-işitsel yayın Kablosuz Çift Yönlü Gömülü/İşletim Sistemi SMS/MMS İnternet Görsel-işitsel yayın Cep Telefonu Cep Bilgisayarı Tablet Dizüstü Bilgisayar Akıllı Telefonlar Cep Telefonu Cep Bilgisayarı Tablet Dizüstü Bilgisayar Akıllı Telefonlar
XVIII. Akademik Bilişim Konferansı 5 Mobil Cihazlar Ses ve Text mesaj Kişisel Bilgi Yönetimi (PIM) SMS ve MMS Internet ve e-posta Sohbet/Sosyal Medya Video ve foto kaydedilmesi Oyun Kamera Kablosuz iletişim GPS
XVIII. Akademik Bilişim Konferansı DynaTAC Simon Siemens Nokia iPhone 6 Mobil Cihazlar Tarihsel Geli ş imi:
XVIII. Akademik Bilişim Konferansı 7 Mobil Cihazlar İ statistik: Türkiye ve Bazı Avrupa Ülkelerinin Mobil Penetrasyon Oranları, % Kaynak: GSMA Intelligence Çeyrek, BTK.
XVIII. Akademik Bilişim Konferansı 8 Mobil Cihazlar İ statistik: Kaynak: Üç Aylık Pazar Verileri Raporu Çeyrek, BTK. Mobil Abone Sayısı ve 0-9 Yaş Hariç Nüfusa Göre Penetrasyon
XVIII. Akademik Bilişim Konferansı 9 Mobil Cihazlar İ statistik: Kaynak: Üç Aylık Pazar Verileri Raporu Çeyrek, BTK. Toplam Mobil Abone Sayısı ve Nüfusa Göre Penetrasyon
XVIII. Akademik Bilişim Konferansı 10 Mobil Cihazlar Mobil Cihaz Teknolojileri: tanım
XVIII. Akademik Bilişim Konferansı 11 Mobil Cihazlar İş letim Sistemleri:
XVIII. Akademik Bilişim Konferansı 12 Mobil Cihazlar İş letim Sistemleri: Operating System 3Q15 Units 3Q15 Market Share (%) 3Q14 Units 3Q14 Market Share (%) Android298, , iOS46, , Windows5, , BlackBerry , Others , Total352, , Worldwide Smartphone Sales to End Users by Operating System in 3Q15 (Thousands of Units) Kaynak: Gartner (November 2015)
XVIII. Akademik Bilişim Konferansı 13 Mobil Cihazlar, Mobil Adli Bilişim ve Önerilen Süreç Modeli Adli Bili ş im / Mobil Cihazlarda Adli Bili ş im
XVIII. Akademik Bilişim Konferansı 14 Adli Bili ş im Adli Bili ş im Tanım: Adli bilişim, bilgisayarlardaki sanal verilerin toplanıp, kanıtlarının ortaya konup yazı halini aldığı bir bilim dalıdır. Amaç: Gizlilik Bütünlük Erişilebilirlik Gizlilik Bütünlük Erişilebilirlik Delillerin; Toplanması İncelenmesi Analizi Raporlanması Delillerin; Toplanması İncelenmesi Analizi Raporlanması
XVIII. Akademik Bilişim Konferansı 15 Adli Bili ş im Adli Bili ş im Çe ş itleri: Bilgisayar Analizi Ağ Analizi Mobil Cihaz Analizi Kötücül Yazılım Analizi Bellek Analizi GSM Analizi İşletim Sistemi Analizi
XVIII. Akademik Bilişim Konferansı 16 Mobil Adli Bili ş im Mobil Cihazlarda Adli Bili ş im : Mobil cihaz adli incelemesi, adli koşullarda mobil cihazdan dijital delilin kurtarılması bilimidir. Bu işlem mobil cihazdan ve SIM karttan verinin elde edilmesi ve analizini kapsar. Mobil cihazlarda adli bilişim failin suçunu mobil cihazı da kapsayarak yakalamayı amaçlar.
XVIII. Akademik Bilişim Konferansı 17 Mobil Adli Bili ş im Kısıtlar: Donanım farklılıkları Mobil işletim sistemleri Mobil platform güvenlik özellikleri Kaynak yetersizliği Aygıtın genel durumu Delilin dinamik doğası Donanım farklılıkları Mobil işletim sistemleri Mobil platform güvenlik özellikleri Kaynak yetersizliği Aygıtın genel durumu Delilin dinamik doğası Cihaz değişikliği İletişim kalkanı Araçlara ulaşımın kısıtlılığı Zararlı programlar Yasal sorunlar Cihaz değişikliği İletişim kalkanı Araçlara ulaşımın kısıtlılığı Zararlı programlar Yasal sorunlar
XVIII. Akademik Bilişim Konferansı 18 Mobil Cihazlar, Mobil Adli Bilişim ve Önerilen Süreç Modeli Mobil Adli Bili ş im Yöntemleri
XVIII. Akademik Bilişim Konferansı 19 Mobil Adli Bili ş im Adli İ nceleme Araçlarının Sınıflandırılması: Mikro İnceleme Çip Sökme Fiziksel Veri Elde Etme Mantıksal Veri Elde Etme Manuel Veri Elde Etme Kaynak: Brothers, S. (2008). How Cell Phone Forensic Tools Actually Work Cell Phone Tool Leveling System, Mobile Forensic. Teknik Karmaşık Sağlam Risk Eğitim Maliyet
XVIII. Akademik Bilişim Konferansı 20 Mobil Adli Bili ş im Yöntemleri Veri Elde Etme Yöntemleri: Veri Elde Etme Yöntemleri Fiziksel Edinim Mantıksal Edinim Manuel Edinim
XVIII. Akademik Bilişim Konferansı 21 Mobil Adli Bili ş im Yöntemleri Potansiyel Kanıtlar: tanım
XVIII. Akademik Bilişim Konferansı 22 Mobil Adli Bili ş im Yöntemleri Yazılımlar: Mantıksal edinimi destekler. Şifre ele geçirme imkânı sağlar. Yedeklenmiş verileri okuyabilir. Zaman çizelgesi ile tek bir bölgede verilere ulaşılabilir. İşlemden sonra bir iz ya da değişim bırakmaz. Silinmiş verileri otomatik olarak kurtarır. Manuel analiz için ham dosyalara erişim sağlar. Kullanıcı dostu arayüz sağlar. Arama yapmak için anahtar kelime listeleri ve kütüphane özelliklerine sahiptir. Raporu çeşitli formatlarda, (Microsoft Excel, PDF, HTML, vb.) sunabilir.
XVIII. Akademik Bilişim Konferansı 23 Mobil Adli Bili ş im Yöntemleri Yazılımlar: Uygulama Rehber Mesajlar Takvim Notlar Olay Kayıtları Medya (Foto, video) Konum Web Kayıtları Rapor SIM Oxygen xxxxxxxxx- MobilEdit xxxxxxxxxx
XVIII. Akademik Bilişim Konferansı 24 Mobil Cihazlar, Mobil Adli Bilişim ve Önerilen Süreç Modeli Mobil Adli Bili ş im Süreci
XVIII. Akademik Bilişim Konferansı 25 Mobil Adli Bili ş im Süreci Mobil Adli Bili ş im Süreci:
XVIII. Akademik Bilişim Konferansı 26 Mobil Adli Bili ş im Yöntemleri Önerilen İş Akı ş ı: tanım Mobil Adli Bilişim İş Akışı
XVIII. Akademik Bilişim Konferansı 27 Mobil Adli Bili ş im Yöntemleri Koruma Yetki Belgesi Mahkemeden yetki yazısı al. Delilleri Topla Cihazın güç durumunu ışıklarını yakarak kontrol et. Yetki yazısı tüm delilleri incelemeye cevaz veriyor mu? Diğer delilleri de topla (Şifre yazılı kağıt, yazıcı çıktıları, el notları vb.). Yetki yazısında inceleme ve analiz yeri belirtilmiş mi?Cihaz açıksa açık kalsın, kapalıysa kapalı. Olay Yeri Güvenliği Yetkisiz kişilerin olay yerine girmesini engelle.Ekranda olan tüm bilgiler kayıt altına al. Tüm delillerin bütünlüğünü muhafaza et. Cihazın şarj durumunu muhafaza et ve değişiklik yapılmasına izin verme. Yetkisiz kişileri güç kaynağından uzak tut.Cihaz kapalı ise bataryasını çıkarma. Olay Yeri Dokümantasyonu Olay yeri ön bilgilerini alTüm delilleri etiketle. Olay yerinde bulunan elektronik delilleri dokümante et.Delil toplama formunu düzenle. Delillerin fotoğraflarını çek ve ekranları not al. Delilleri Muhafazası Mekanik ve elektriksel şoklardan uzak tut. Dijital fotoğraf kullanDelilleri anti statik kapla paketle. El konulma esnasında delilin durumunu dokümante et.Tüm bileşenleri ile delillerin etiketlendiğinden emin ol. Delil bütünlüğünü koru. Delilleri güvenli bölgede muhafaza et ve yüksek sıcaklık ile nemden uzak tut. Delilleri Topla Tüm elektronik delilleri olay yerinden topla.Dijital ve dijital olmayan delilleri ayır. Mobil chazın bilgisayara bağlı olmadığından emin ol.Delil zincirini muhafaza et bozulmamasını sağla
XVIII. Akademik Bilişim Konferansı 28 Mobil Adli Bili ş im Yöntemleri Elde Etme Aracı Belirle Veri elde etme aracını belirlemek maksadıyla gerekli bilgileri topla. Veri Elde Etme Engellenmemiş cihazlardan veri elde etmek için bir şifre ya da başka otantikasyona ihtiyaç yoktur. Doğrudan veri elde et. Mobil cihazı modeli, işletim sistemi ve servis sağlayıcıları ile tanımla. Telefon tarih ve saatini kayıt et. Batarya oyuğundan cihazın üreticisini tespit et.Telefon rehberi, kısa mesajları ve diğer girdileri kontrol et. Cihaz açıksa ekrandan model, işletim sistemi ve servis sağlayıcı bilgilerini al. Başka adli bilişim araçlarını da kullan. Cihaz kapalı ise bataryayı çıkarın ve üretici, model, IMEI ve FCC ID bilgilerini al. Genellikle kapalı cihazlardır ve erişim için başarılı kimlik doğrulama gerekir. Veri elde etme araçlarından en uygunu belirle ve kullan.PIN elde etmek için mağdura ya da şüpheliye sor. Delilin Adli Kopyası Orjinal delili asla inceleme maksadıyla kullanma.Elektronik olmayan delillerden not kağıdı gibi PIN elde et. Orjinal veri korunarak adli kopyasını al.Servis sağlayıcısı ile irtibata geç. Araçlar vasıtasıyla bit bit kopyasını al değişilik olmasına izin verme. Cihaz üreticilerine veya servis sağlayıcılarına arka kapı ya da zayıflıkları sor. Kopyanın değiştirilmediğini garanti altına almak için mutlaka hash algoritması ile özetini al. Cihaz bakım ve tamir firmalarına eldeki cihazla ilgili mimari bilgilerini iste. Veri Elde Etme SIM karta ulaşmak için PIN koduna ihtiyaç vardır. Temin et. Gelen ve giden arama bilgileri, mesaj trafiği, veri transferi, bağlantı konumu ve zamanı bilgilerini operatörden elde et. Eğer üç kez PIN hatalı girilirse PIN bloke olur ve 8 karakterden oluşan PUK koduna ihtiyaç duyulur. Arama detay bilgilerini incele. PUK operatörden elde edilir ve kullanıcı tarafından değiştirilemez. Merkez konum kaydı (HLR) bilgilerini incele. Eğer 10 kez hatalı PUK girilirse SIM kalıcı olarak engellenir. Android, iOS gibi işletim sistemleri SQLite veritabanı kullanır. Hangi veritabanı yönetim sistemi kullanılıyor tespit et. SIM karttan veri elde etmek için PUK kodunu operatörden temin et. Veritabanı rehber, kısa mesaj ve arama kayıtları gibi önemli bilgileri tutar. Bu kapsamda incele. Büyük miktarda delil ayrıca şüphelinin taşınabilir cihazında veya kişisel bilgisayarında bulunabilir. Bu cihazları da incele. Veritabanı şemalarını görmek için Base Mac SQLite editörü vb. kullan
XVIII. Akademik Bilişim Konferansı 29 Mobil Adli Bili ş im Yöntemleri İnceleme ve Analiz Potansiyel delilleri belirle ( Katılımcı ve donanım tanımlayıcıları, Tarih/saat, dil ve diğer ayarları, İletişim bilgileri, Takvim bilgileri, Metin mesajları, Gelen ve cevapsız arama günlükleri, Elektronik posta, Fotoğraflar, Video kayıtları, Multi-medya mesajları, Görsel mesajlar, Web tarama faaliyetleri, Elektronik belgeler, Sosyal medya ile ilgili veriler, Uygulama ile ilgili veriler, Konum verileri). Delilleri incele. Olay zaman cetveli oluştur. Şifreli ve parola korumalı bilgiler için çözücü araç kullan. Talep edilen hususları analiz et
XVIII. Akademik Bilişim Konferansı 30 Mobil Adli Bili ş im Yöntemleri Raporlama Soruşturmanın bütün safhalarını ve ulaşılan sonuçları detaylı bir şekilde özetle. İyi rapor sağlam belgelerle, notlarla, fotoğraflarla ve araçlarla üretilmiş içerikle yazılır. Raporunda bu hususları kullan. Rapor formatını belirle. Rapor içeriğinde; Raporlamayı yapan kuruluşun kimliği, vaka tanımlayıcı ve gönderme numarası, incelemeyi yapan kişi, göndermeyi yapan kişi, delil makbuzunun tarihi, rapor tarihi, inceleme yapılan öğelerin betimsel listesi (buna seri numarası, yapım ve model de dâhildir), inceleyicinin kimliği ve imzası, incelemede kullanılan donanımlar, incelemenin adımlarının kısa özeti, grafik görüntü aramaları, kurtarılan silinmiş dosyalar vb., bulgu detayları ve rapor sonuçları bulunsun. Formata uygun sonuç raporunu yaz. Raporu ilgili makama sun. Raporun bir kopyasını arşivle. Süreci sonlandır
XVIII. Akademik Bilişim Konferansı 31 Uğur AKALIN Çelebi ULUYOL Mobil Cihazlar, Mobil Adli Bilişim ve Önerilen Süreç Modeli Teşekkür ederim… 03 Şubat 2016