Mobil cihazlarda incelemeye süreçlerinde cihaz açık ise mutlaka kapatılmamalıdır. Cihazın kapatılması durumunda PIN veya güvenlik kodu aktif ise incelenmek üzere açıldığında bu kodlara ihtiyaç duyulacağından PIN veya güvenlik kodları bilinmiyorsa kapatılmamalıdır. Şarj durumu göz önünde bulundurularak cihazın şarjı az ise şarja takılmalıdır. Fakat telefonu mutlaka uçak moduna almanız gerektiğini unutmayınız.
Mobil cihazın ekran fotoğrafını çekilmelidir. Mobil cihazların el konulduğu esnada tarih, saat, çalışan uygulamalar ve “process”ler ve bunlara ait ekran simgeleri ve cihazın şarj durumu vb. cihaz durum bilgilerinin tespiti için fotoğraflanmalıdır. Cihazda herhangi bir kırık, çizik, çatlak vb. fiziksel hasar varsa bunlar da fotoğraflanarak kayıt altına alınmalıdır. Bu işlemler ve adli kopyalama işlemleri esnasında cihazın ağ ile iletişim halinde olup olmadığına dikkat edilmelidir. Varsa uçak moduna alınmalı veya faraday çantası kullanılmalıdır.
Telefon üzerindeki gerekli olasılıkların denetlenmesi gerekir. Telefonun ne tür özelliklere sahip olduğundan emin değilseniz telefona ait kullanım kılavuzundan yararlanmamız gerekmektedir. Hangi adli inceleme programının kullanılacağına karar verilir. Farklı adli inceleme programları kullanılarak elde edilen veriler karşılaştırmalı olarak değerlendirilebilir. Ayrıca daha sonradan farklı bir uzmandan medyanın incelemesi istendiğinde sonuçların uyum sağlayabilmesi için inceleme işlemlerinde kullanılan yazılım ve donanımların isimlerinin ve sürümlerinin de inceleme raporunda belirtilmesinde yarar vardır.
Adli kopyası alınmış verilerin kontrol edilmesi önem arz etmektedir. Kayıtların eksiksiz olduğundan emin olmak için adli yazılımlar ile alınan verilerin manuel olarak kontrol edilmesinde yarar vardır. Tüm veriler eksiksiz çıkarılmadı ise bir başka adli inceleme programı denenmesi ve denedikten sonra tekrar manuel olarak kontrol edesi ve eğer yine de veriler tam olarak alınmamış ise verileri manuel olarak yedekleme işlemleri gerçekleştirilir. Bu işlemi yaparken video kamera ile veya fotoğraf çekmek sureti ile kayıt altına alıp raporlanır. Verilerin eksiksiz bir şekilde çıkarıldığına emin olunduğunda PIN ve güvenlik kodu biliniyorsa veya aktif değil ise telefon kapatılarak SIM ve hafıza kartlarının inceleme aşamasına geçilir. Eğer SIM ve hafıza kartı mevcut değil ise raporlama aşamasına geçilir.
Sim Kartların İncelenmesi
SIM kartında herhangi bir çatlak, kırık vb. deformasyon olup olmadığı gözle kontrol edilir. Üzerinde yazan üretici adı ve ICCID numarası kayıt edilip fotoğraflanır. PIN kodu aktif ise soruşturmacı birim tarafından veya ilk müdahale ekibi tarafından tarafımıza bildirildi mi? Bildirilmemiş ise soruşturmacı birim tarafından temin edilmesi talep edilir. (Bu işlem şahsa sorularak veya ilgili GSM operatöründen PUK kodu talep edilerek gerçekleştirilir.) Temin edilemiyor ise ilgili birime iade edilir.
PIN kodu aktif değil ise SIM kartın türüne göre (2G, 3G, USIM) uygun adli bilişim yazılım ve donanımlarıyla adli kopyası alınır. İçerik ve doğruluk kontrolü yapılarak raporlama aşamasına geçilir.
Hafıza Kartların İncelenmesi
Hafıza kartında herhangi bir çatlak, kırık vb. deformasyon olup olmadığı gözle kontrol edilir. Üzerinde var ise marka, model ve seri numarası kayıt edilip fotoğraflanır. Hafıza kartında şifre var ise harici olarak adli kopyası alınamayacağından ait olduğu telefona takılarak şifre koruması kaldırılmalıdır. Şifre kaldırıldıktan sonra adli bilişim standartlarına uygun yazılım ve donanımlarla yazma korumalı olarak adli kopyası alınmalıdır. Şifre bilinmiyor ise soruşturmacı birim tarafından temin edilmesi talep edilir. Temin edilemiyor ise ilgili birime iade edilir.
Hafıza kartı şifreli değil ise adli bilişim standartlarına uygun yazılım ve donanımlarla yazma korumalı olarak adli kopyası alınmalıdır. Alınan adli kopyanın HASH değeri ile adli kopyanın doğrulama işlemi sonucunda hesaplanan HASH değerinin eşleşip eşleşmediği kontrol edilmelidir. Her hangi bir sorunla karşılaşılmadığı takdirde raporlama aşamasına geçilmelidir.
Sim Kartı Klonlama İşlemi
SIM kartı klonlamaya neden ihtiyaç duyulur?
İncelenmek üzere laboratuvarlara getirilen bazı cep telefonlarının (genellikle eski modeller) mobil cihaz inceleme yazılım ve donanımları ile adli kopyası alınmaya çalışılırken cihaz SIM kartsız açılmadığından, SIM kart takılı olarak cihazın açılıp adli kopyası alınması gereklidir. Bu durumda cihaz asıl SIM kart takılarak açılırsa GSM & Network ağı ile iletişime geçecektir. Bu durum delilin güvenliği açısından istenmeyen bir durumdur. Bunun için cihaz şebeke bağlantısı kurulmadan incelenmelidir. Farklı bir SIM kart takıldığında da cihazın içerisindeki verilerin (örneğin son arama kayıtları) kaybolma riski bulunduğundan son kullanılan SIM kart ile açılmalıdır. Bunu sağlamanın tek yolu SIM klonlama işlemidir.
SIM klonlama işlemi yapılarak SIM kartın birebir kopyası oluşturulur. Forensic yazılım ve donanımlar ile forensic amaçlı klonlanmış SIM kart şebekeye bağlanamayacağından güvenli bir şekilde cep telefonunun adli kopya alma işlemi gerçekleştirilir.
SIM klonlama nasıl yapılır?
SIM klonlama işlemi için asıl SIM kart, klonlama işleminin yapılacağı donanıma uygun bir şekilde yerleştirilir.
PIN / PUK kodu gerekli ise SIM kart inceleme adımlarında belirtilen PIN / PUK kodu temin etme sürecine gerçekleştirilir. “Korunan veriyi atla” seçeneği ile sadece ICCID numarasını klonlamış oluruz.
PIN / PUK kodu gerekli değilse veya mevcut ise klonlama işlemine devam edilir. Sistem tarafından boş SIM kart istendiğinde yuvasına yerleştirilir. Klonlama yapılan SIM kartın boş olduğundan, içerisinde daha önceden kalan herhangi bir veri bulunmadığından emin olmak için klonlama işleminden önce kontrol edilmelidir. Klonlama işlemi bittikten sonra asıl SIM ile klon SIM içerisindeki kullanıcı verilerinin aynı olup olmadığı kontrol edilir ve ait olduğu cep telefonunun inceleme işlemlerine klonlanmış SIM kart ile devam edilir.
Rapor Oluşturma
Öncelikle yeni bir klasör oluşturulmalı ve materyal incelemeleri ile ilgili tüm bilgiler oluşturulan klasör içerisinde toplanmalıdır. İncelemeler neticesinde elde edilen veriler ve bu verilerin teknik özellikleri (dosya adı, dosya yolu, boyutu, HASH değeri, türü vb.) kullanılarak inceleme raporu oluşturulur. Rapor içerisinde çok fazla yer tutacak benzer türden veriler rapor ekinde CD /DVD, harici depolama aygıtı vb. depolama alanları içerisinde orijinal hali ile sunulmalıdır. Video dosyalarından fotoğraf kareleri alınarak rapor içerisinde sunulabilir. Elde edilen verilerin tam ve eksiksiz olarak aktarılıp aktarılmadığı manuel olarak kontrol edilmelidir. Rapor ekinde sunulan medyaların ait olduğu inceleme raporundan ayrılma, düşme durumu göz önünde bulundurularak CD /DVD, harici depolama aygıtı vb. depolama alanlarının üzerine CD kalemi ile soruşturma numarası, mahkeme kararı, şüphelinin ismi vb. tanımlayıcı bilgiler yazılmalıdır.
Oluşturulan Rapor ve Delillerin Teslimi
Oluşturulan inceleme raporları, imaj alma tutanakları, imaj ve export nüshalarının bahse konu delillerle birlikte soruşturmacı birime teslimi sağlanmalıdır.
Delilin İadesi: İncelenen cihazlar dış etkenlerden zarar görmeyecek şekilde paketlenmeli, delil zarflarına konulmalı ve zarf üstü bilgileri eksiksiz bir şekilde doldurulup ilgili soruşturmacı birime inceleme raporu ile birlikte iade edilmelidir.
Yazar: Ögt. Göv. Dr. Baki NAKKAŞ (Adli Bilişim Uzmanı)