Adli Bilişim Süreçleri Nelerdir?

Adli Bilişim uygulamasında dört önemli süreç yer almaktadır. Şimdi Bu süreçleri detaylı olarak bu süreçlerimizi anlatalım. 

 

Elde Etme (Acquisition): İlk olay yeri güvenliği ve müdahalesi, muhtemel delil nesnelerinin toplanması, nakledilmesi, verilerin incelenmek için birebir kopyalanması.

 

Tanımlama (Identification): Araştırma yöntemlerinin belirlenmesi, teknik araştırmanın yapılarak, muhtemel suç unsurlarının bulundukları dijital ortamdan dışarı çıkarılması.

 

Değerlendirme (Evaluation): Kesin delil niteliği taşıyacak suç unsurlarının tespit edilmesi ve değişmemiş geçerliliğinin sağlanması.

 

Sunum (Presentation): Adli merciler için, saptanan bulguların dokümantasyonun ve sunumunun yapılması.

 

Elde Etme (Acquisition)

Bilgisayar incelemelerinde normal kriminalistik biliminde olduğu gibi ilk olay yeri müdahalesi oldukça önemlidir. Muhtemel suç delillerinin güvenilir bir şekilde eksiksiz saptanması ve zarar görmeden toplanması, ilk olay yeri müdahalesinin düzgün yapılmasıyla mümkündür. Bunun için öncelikle olay yeri güvenliği alınarak, adli bilişim uzmanlarının haricinde herhangi bir üçüncü şahsın delil içermesi muhtemel bilişim sistemleri ve çevre birimlerinin bulunduğu ortama girmemesi sağlanmalıdır. İlk olay yerinde yetkisiz üçüncü şahısların bulunması bilişim sistemlerinin ve çevre birimlerinin içermesi muhtemel suç delillerinin kasıtlı veya kasıt dışı zarar görmesine sebep olabilir. Bunun yanında ilk olay yerindeki sahnenin durumu bile bazı durumlarda suç araştırmacısına muhtemel suç ile ilgili bilgiler verebilecektir. Bilişim sistemlerinin fiziki konumu, cihazların birbirleri ile bağlantıları, ağ cihazlarının bağlantı konumları, bilişim sistemlerinin etrafında bulunabilecek dokümanlar ve notlar suç araştırmacısına azda olsa suç ile ilgili bilgi verebilecektir. Şu ana kadar ilk olay yeri sahnesi karşılaşma anı ile ilgili olarak kriminalistik biliminin olay müdahalesinin ilk aşamasından farksız adımlar izlenmektedir. Bu her ne kadar bilgisayar kriminalistiğinde ki teknik bilgi ve beceriyi ortaya koymasa da çoğu durumda muhtemel suç delillerinin zarar görmemesi, suçla ilgili bazı fikirlerin elde edilmesi bakımından önemlidir. Karşılaşılan olay yerinde kapalı bir bilgisayar sistemi varsa kesinlikle açılmamalıdır. Bilgisayar sistemlerinin delil ihtiva etmesi muhtemel durumlarda, sistemin açılması mevcut delillerin kesinlikle ve kesinlikle zarar görmesine sebebiyet verebilecektir. Örneğin bilgisayar sistemlerinin işletim sistemleri açılırken bir çok konfigürasyon dosyasına erişim sağlamakta ve ileride suç delili olabilecek verilerin zarar görmesine yol açabilmektedir. Dosyaların erişim tarihleri bile bazı durumlarda delil niteliği taşıyabileceği için bu durum oldukça sakıncalıdır. Aynı zamanda işletim sistemlerinin açılırken oluşturabileceği geçici dosyalar ve geçici hafıza disk alanları daha önceden silinmiş olan veri alanlarının üzerine yazılabileceği için silinmiş verilerin delil niteliğinde kurtarılabilme olasılığını ortadan kaldırmış olacak ve dolayısı ile delilin bütünlüğünü bozmuş olacaktır. Bu yüzden incelemesi yapılacak bilgisayar sistemleri ve bazı ağ cihazları kapalı durumda iseler kesinlikle açılmamalıdır. Muhtemel delil nesnelerinin toplanması aşamasında akla gelebilecek bir soruda çalışan bilgisayar sistemlerini kullanıp kapatmadıktan sonra nasıl toplayacağız sorusudur. Bura da eğer adli bilişim uzmanı çeşitli teknik yöntemler kullanarak sistem üzerindeki çalışma anı verilerini delil niteliğinde elde ettiyse ya da sistemleri sonraki inceleme aşaması için toplamak istiyorsa, bilgisayar sisteminin işletim sistemine göre değişkenlik gösteren bazı toplama yöntemleri uygulamalıdır. Muhtemel delil nesnelerinin toplanmasından kasıt, delil inceleme için tam teşekküllü bir bilgisayar kriminalistiği laboratuvarına götürülmek üzere kanun nezdinde nesnelerin zapt edilmesidir. İncelemesi yapılmak için laboratuvar ortamına götürülmesi gereken ve olay yerinde çalışan bir sistemin kapatılması, bilgisayar sisteminin kullandığı işletim sistemine göre değişkenlik gösteren ve burada bahsedilmeyen bazı yöntemler mevcuttur.  Olay yerinde bulunan dijital delil, bilgisayar sistemleri ya da depolama birimleri, inceleme aşamasına başlanması için gerekli olan kopyalama işlemine geçilmesinden önce; delillerin toparlanması ve laboratuvara intikal ettirilirken dikkat edilmesi gereken hususlar mevcuttur. Deliller toplanma, paketlenme ve nakletme sırasında da elbette zarar görme ihtimali içerisindedirler. Özelikle bilgisayar sistemleri ve veri depolama birimleri sarsıntı, statik elektrik, yüksek seviyedeki radyo frekansı, ısı, nem ve bir çok dış etkenden etkilenerek zarar görebilmekte, ya inceleme aşamasına geçilmeden bozulabilmekte ya da inceleme aşamasında çıkabilecek teknik arızalar yüzünden delil elde edilme imkanı ortadan kalkmış olmaktadır. Bu aşamada mevcut olay yerindeki diğer işlemler (güvenliğin alınması, fotoğraflama, normal delil elde etme prosedürleri ve çalışan sistemlerin durdurulması gibi) tamamlandıktan sonra delil ihtiva etmesi muhtemel varlıkların dikkatli bir şekilde toparlanması gerekmektedir. Mümkün mertebe manyetik alanlardan ve statik elektrikten etkilenmeyecek şekilde anti statik paketleme gerçekleştirilmeli, sistemler ile veri depolama birimleri sarsıntıdan korunarak nazikçe inceleme laboratuvarına götürülmelidir. Elbette alınan tüm varlıkların birer listesi çıkartılmalı, zapt edilmenin hukuksallık kazandırılmasına dikkat edilmelidir. Delil ihtiva etmesi muhtemel bilgisayar sistemleri üzerindeki incelemeler, sistemin veri depolama birimlerinin yazma korumalı bir ortamda ve dijital imzalı doğrulaması yapılmış olarak birebir alınmış kopyaları üzerinde gerçekleştirilmelidir. İnceleme için alınan birebir kopyaya bilgisayar kriminalistiği’de İmaj (Forensic Image) adı verilmektedir. Bu birebir kopya yani İmaj alma işlemi, incelemeye tabi hedef sistem üzerindeki verilerin bit bazında düşük seviyede kopyalanması ile gerçekleştirilmelidir. Sistem üzerindeki verilerin sektör sektör birebir yansısının alınması yani düşük seviyede kopyalanması ancak geçerli bir imajın alınması anlamına gelmektedir. Hedef sistemin delil bütünlüğünün bozulmaması için gerekli olan bu önlemler alındıktan sonra imaj alma işlemi gerçekleşmelidir. Zaten birebir olarak alınacak İmaj üzerindeki inceleme de, kesinlikle ve kesinlikle gerçek delil nesnesinin inceleme aşamasında zarar görmemesi için gerekli bir işlemdir.

 

Tanımlama (Identification)

Elde Etme (Acquisition) aşamasına müteakip birebir kopyası yani imajı alınan bilgisayar sistemi veri depolama birimleri üzerinde incelemeye geçilmeden önce karşılaşılan suça ilişkin araştırma yöntemleri tespit edilmeli bir inceleme planı ortaya çıkarılmalıdır. Burada amaç suça ilişkin ne tür verilerin araştırılacağının saptanmasıdır. Araştırılacak veriler karşılaşılan suça ve suç ile ilgili verilerin bulunduğu veri depolama birimlerine göre değişiklik gösterebilmektedir. Aşağıdaki tabloda örnek olarak bilgisayar vasıtalı bir suç olan çocuk pornografisinin muhtemel delil medyası hafıza kartları üzerindeki özet araştırma yöntemi gösterilmiştir. Ayrıca inceleme yapan adli bilişim uzmanının soruşturmaya yön veren kişiler tarafından da yönlendirilmesi, ne gibi bir araştırmanın yapılacağı hakkında bilgilendirilmesi de önem arz etmektedir.

 

 

Bunun dışında bilgisayar sistemlerinin hedef olduğu bir bilişim suçunda araştırma planın iyi bir şekilde yapılması gerekmektedir. Bilişim Suçları bilgisayar vasıtalı suçlardan daha karmaşık bir yapıya sahip olduğu için elbette ki araştırma yöntemlerinin belirlenmesi daha fazla teknik bilgi birikimi gerektirecektir. Araştırma yöntemlerinin belirlenmesi ve karşılaşılan suç ile ilgili ne tür bilgilerin hedef dijital delil nesnesi üzerinde araştırılacağının belirlenmesinden sonra teknik araştırma detaylı bir şekilde dijital delil inceleme yazılımlarının desteğiyle yapılmalıdır. Burada bu konuya çok detaylı bir içeriğe sahip olmasından dolayı pek fazla değinilmeyecektir. Ancak ülkemizde kolluk kuvvetleri tarafından sık olarak kullanılan ve uluslararası standartlarla kabul görmüş dijital delil inceleme yazılımları olan EnCase, FTK, X-Wasy vs. gibi yazılımları bu iş için biçilmiş kaftandır. Bunun yanında bilişim sistemlerinin işleyişi hakkında teknik bilgi birikimi az olan bir kullanıcı bu yazılımlar ile yüzde yüz bir inceleme gerçekleştiremeyecek sadece bu yazılımların menülerinin sunulmuş basit işlemleri gerçekleştirebileceklerdir. Unutulmamalıdır ki; bu yazılımların menülerini çok iyi bilmek asla ve asla iyi bir dijital delil inceleme yapmak ve iyi bir adli bilişim uzamanı olunduğu anlamına gelmemektedir.

 

Değerlendirme (Evaluation)

Değerlendirme aşamasında bulunan bulguların hangilerinin kesin delil niteliğinde Adli merciler karşısına çıkarılacağının tespiti ve bu bulguların geçerliliğinin sağlaması gibi işlemler yapılmaktadır. Burada dikkat edilmesi gereken husus soruşturmaya yön verecek bilgilerin eksiksiz bir şekilde sunum aşaması için tespit edilmesi ve geçerliliğinin tekrar tekrar veri bütünlüğü ve geçerliliği sağlamasının yapılmasıdır. Veri İnceleme sonucunda delil niteliği taşımayan normal bilgisayar sistem dokümanları veya dosyaları ( işletim sistemi yardım dosyaları yada kişisel eğlence amaçlı dosyalar vs vs ) delil şeklinde değerlendirilmemelidir. Dijital delil ihtiva etmesi muhtemel medya üzerinde bulunan tüm verilerin delil niteliğinde düşünülüp sunum aşaması için hazırlanması elbetteki çok aşırı zaman alacak ve tüm verilerin delil kategorisinde değerlendirilmesi de mümkün olmayacağı gibi adli mercilerin boş yere zamanını alarak kafaları karıştıracaktır. Burada amaç en doğru ve suçu aydınlatacak verilerin delil olarak dışarıya çıkarılması, geçerli bir şekilde raporlama aşamasına hazır hale getirilmesidir. Elde edilen delil niteliğindeki verilerin güvenli bir şekilde zarar görmeden ve bire bir değişmemiş halinin inceleme konusu ortamdan çıkarılmış olup olmadığının kontrolü de bu aşamada dikkatlice baştan sona denetlenmelidir. Bu aşama aynı zamanda bir nevi adli bilişim biliminin söz konusu olay ile ilgili kurallarına uygun olarak yapılıp yapılmadığının da kontrolü yapılmaktadır. Kısaca; Doğru ve öz veriler, bütünlüğü bozulmadan ve anlaşılabilir ölçüde suçu aydınlatacak şekilde delil olarak ortaya konulmalıdır.

 

Sunum (Presentation)

Adli Bilişim Biliminin son aşaması olan Sunum kısmında; elde edilen ve değerlendirilmesi tamamlanmış dijital delil niteliğindeki verilerin soruşturmada kullanılmak üzere anlaşılabilir bir dilde raporlanması ve Adli Makamlara ayrıntılı, anlaşılabilir ve teknik bilgileri açıklayıcı bir şekilde sunulması gerekmektedir. Sunum aşamasında hazırlanacak rapor ile ilgili aşağıdaki hususlara dikkat edilmesi gerekmektedir.

■ Raporun dili ve içeriği teknik bilgisi olmayan insanlar tarafından bile anlaşılabilir olmalıdır.

■ Teknik terimler ve olgular detayları ile açıklanmalıdır.

■ Rapor içerisinde delil niteliğini taşıyacak Kesin ve Somut veriler yer almalıdır.

■ Delilere ulaşmak için kullanılan adli bilişim yöntemleri açıklanmalıdır.

■ Delil bütünlüğü bozulmadan delillerin ortaya konduğu ispat edilmelidir.

■ İnceleme aşamasındaki yapılan tüm işlemler ek bir rapor hazırlanarak ayrıca rapor edilmelidir.

 

Yazar: Öğr.Gör. Dr. Baki NAKKAŞ

Paylaş: