 |  |  |  |  | |
ADLİ BİLİŞİM BİLİMİ VE DİĞER BİLİMLERLE OLAN İLİŞKİSİ |
1. GİRİŞ
İnsanoğlu kavramları beynindeki sembollerle eşleştirmesi ile anlamaktadır. Bir çocuğa zürafayı gösterip bu hayvanın ismi at diye söylense, atı da gösterip zürafa diye tanıtılsa ve bu tekrar edilse, o çocuk at kelimesini beynindek zürafa sembolü ile ve zürafa kelimesini de at sembolü ile eşleştirdiğinden dolayı bu iki hayvanı yanlış tanıyacaktır. Kelime ve kavramların beyinde sembollerle eşleştirmesi yoğunlukla çocukluk ve ergenlik döneminde olmakla birlikte, bütün hayat boyu devam etmektedir.
Ülkemizde bilişim kavramı ve bağlı kavramlar yukarıdaki verilen örneğe benzer bir yapı arzetmektedir. Toplumumuzda bir çok kişi, bilişim kelimesini veya konuya ilişkin diğer kelime ve kavramları beyninde herhangi bir sembol ile eşleştirememektedir. Bu eşleştirme problemi ve kavram kargaşası günümüzde maalesef bilişim camiasında bile yaşanmaktadır. Bilişim camiasına uzak kişiler de bu durum çok daha vahim derecededir.
Bilişim ile ilgili konuları kavrayabilmek için ilk önce bilişim kelimesinin tanımına bakmak gerekmektedir. Türk Dil Kurumu (TDK), Güncel Türkçe Sözlük’te Bilişim;
“İnsanoğlunun teknik, ekonomik ve toplumsal alanlardaki iletişiminde kullandığı ve bilimin dayanağı olan bilginin özellikle elektronik makineler aracılığıyla düzenli ve akla uygun bir biçimde işlenmesi bilimi, informatik, enformatik.”
olarak tanımlanmıştır.
Bu tanıma bakdığımızda bilişim kavramına ilişkin kafamızda canlanan şeyler nelerdir?
“Bilişim bilgi ve bilginin otomatik olarak işlenmesiyle ilgilenen bir yapısal bilim dalıdır.” (Vikipedi, 25Ocak2007)
Bilişim teriminin ingilizcesi “data processing” veya “informatics” olarak kabul edilmektedir.
Bilişim temel bir kavram olmakla birlikte bir çok uygulaması mevcuttur. Örneğin, Tarımda Bilişim, Medikal Bilişim, Adli Bilişim gibi.
Bilişim kavramının hukuk camiasında anlaşılması ve bilişimin hukukla olan ilişkisi yukarıda bahsedilenler gözönüne alındığında ne kadar zor bir iş olduğu anlaşılacaktır. Bilişim konularından birisi olan ve ülkemizde henüz bir bilim dalı olarak anlaşılmayan adli bilişim bu kapsamda daha çok ilgi gerektiren bir alandır. Hukuk camiasının değerli üyeleri, hakimler ve savcılar, adli bilişim ve bilgisayar incelemelerini işlerinin gereği olayları doğru araştırmak, soruşturmak ve doğru karar verebilmek için çok iyi anlamak durumundadırlar.
Bu makalede, adli bilimlerin bir alt dalı olan adli bilişimden bahsedilecektir.
2. ADLİ BİLİMLER
“Adli Bilimler ; Tıp, Fen ve Sosyal Bilimler alanlarındaki bilgilerin Adaletin hizmetine sunulmasıyla ilgilenen bir daldır.” (HANCI, 2005).
Adli Bilimlerin bir çok alt bilim dalı mevcuttur. Bunlardan bazıları:
1-Adli Psikiyatri
2-Adli Entomoloji
3-Adli Palinoloji
4-Balistik
5-Yangın ve Kundakçılık Araştırmaları
6-Adli Antropoloji
7-Adli Toksikoloji
8-Kriminoloji
9-Adli Otomotiv
----
----
22-Adli Bilişim
Yukarıdaki her bir bilim dalı kendi bilimi kapsamında olayları inceleyerek adaletin hizmetine sunacak şekilde deliller tespit etmekte ve raporlar hazırlamaktadır.
3. BİLİŞİM KONULARI
Bilişim konuları, bilişim suçları, bilişim suçlarının araştırılması ve soruşturulması ve bilişim suçlarının önlenmesi konularıdır. Bilişim konularını üç (3) başlıkta toplamak mümkündür. Bunlar :
• Bilgisayar İlintili Suçlar/Bilişim Suçları (Computer-Related Crimes)
• Adli Bilişim (Computer Forensics)
• Bilgisayar Güvenliği (Computer Forensics)
Bilişim Konuları arasındaki ilişki aşağıdaki şekil ile gösterilebilir.
Bilgisayar İlintili Suçlar/Bilişim Suçları, bilişim suç türlerinin sınıflandırması ile ilgilenen bir konudur. Bilgisayar İlintili Suçlar, üç (3) alt kategoride incelenebilir. Bunlar: Bilgisayar Suçları, İnternet Suçları ve Siber Terörizm.
Adli Bilişim, işlenen bilgisayar ilintili suçların tespit edilmesi, incelenmesi, araştırılması ve mahkemede delil olabilecek şekilde hazırlanmasını konu edinenen bir bilim dalıdır. Adli Bilişimim bir çok çalışma alanından bazıları aşağıdadır:
• Veri Kurtarma
• Veri İmha Etme
• Veri Dönüştürme
• Veri Saklama
• Şifre Kırma
• İlk Müdahale
• Bilgisayar Ağ İncelemeleri
Bilgisayar güvenliği, bilişim suçlarının işlenmesini önlemek ve bilişim sistemlerini daha güvenli hale getirebilmek için alınması gereken önlemleri tespit eden ve uygulayan bir bilim dalıdır.
4. ADLİ BİLİŞİM (COMPUTER FORENSICS)
Adli bilişim işlemleri, çoğunlukla ortalama hatta bazen ortalamanın üzerindeki bir bilgisayar kullanıcısı tarafından dahi vakıf olunmayan konulardır. Yoğunlukla bilgisayar bilimiyle uğraşan insanların ilgi sahasına girmekle birlikte, adli bilişim müstakil bir bilimdir ve daha çok güvenlik güçlerini ve savcıları ilgilendirmektedir.
“Adli bilişim, bir bilgisayarda veya bilişim sisteminde bulunan bilgilerin mahkemede suçluluğun veya suçsuzluğun ispatında kullanılmak üzere incelenmesidir” (Gordon, Hosmer, Siedsma, Rebovich, Ocak 2003).
Bir başka tanımda, “Adli bilişim, bir yargılama esnasında kullanılabilecek potansiyel delillerin belirlenmesi için bilgisayar araştırma ve analiz tekniklerinin kullanılmasıdır” (Adli Bilişim, 2005).
Özetle, adli bilişim, bilgisayar kullanılarak ne, kim, nerede, ne zaman ve nasıl sorularına cevap bulunmaya çalışılan yeni bir bilim dalıdır.
Bu işlemleri yapabilmek için, bilgisayarlar ve diğer cihazlara usulune uygun şekilde el koymak, adli bilişim kurallarına uygun şekilde yedek almak, alınan yedekleri incelemek, mahkemeye sunulacak şekilde hazırlamak ve uygun şekilde paketlemek, taşımak ve saklamak (yedeklemek) gerekmektedir.
Bilgisayarlar ve diğer elektronik cihazlarda adli bilişim işlemleri, bu cihazların hem suçlular tarafından suçu işlemede araç olarak kullanıldığında hem de herhangi bir suçun işlenmesinde direkt olarak kullanılmasa dahi suçluların bilgisayarları kendi aralarındaki iletişimde veya işlemlerini kolaylaştırmak ve bilgileri yedeklemek için kullanmaları durumunda yapılmaktadır. Günümüzde hemen herkes tarafından her türlü iş yapılırken bilgisayarlar veya diğer elektronik cihazlar kullanıldığı düşünülürse, sadece bilişim suçlarının araştırması ve soruşturmasında değil belki bir çok suç türünün araştırma ve soruşturmasında adli bilişim tekniklerinden istifade etmek gerekmektedir.
Bilgisayarlarda yapılan adli bilişim işlemlerine örnekler verecek olursak:
• Elektronik delillerin muhafazası
• Elektronik delillerin incelenmesi ve raporların hazırlanması
• Herhangi bir dosyaya erişim, yaratılma ve son yazma sürelerinin belirlenmesi
• İnternet gezgininden hangi sitelere hangi zamanlarda bağlanıldığının tespit edilmesi
• İnternetten hangi dosyaların download edildiğinin tespit edilmesi
• Uzantısı değiştirilen dosyaların orijinal halinin belirlenmesi
• Silinen dosyaların, klasörlerin ve bölümlerin geri getirilmesi
• Şifreli dokümanların (winword, zip, vb.) şifrelerinin kırılması
• Veri taşıyan elektronik deliller üzerinde kelime araması yapma
• Veri taşıyan elektronik deliller üzerinde hash analizi yapma
• Veri taşıyan elektronik deliller üzerinde dosya türleri belirleme (file signature analysis)
• Bir bilgisayarda önceden print edilen dokümanların araştırılması
Adli bilişim aşamaları :
Olay yerine giden ilk müdahale grubu öncelikle kendi güvenliğinden emin olmalı, ardından olay yerinin güvenliğini sağlamalı ve akabinde olay yerindeki elektronik olan ve olmayan bütün delillerin sağlamlığını ve bütünlüğünü koruma altına almalıdırlar.
Olay yerindeki elektronik deliller tespit edilirken aşağıdaki işlemler sırasıyla uygulanmalıdır;
• Şüpheliye ait elektronik delillerin araştırılması ve ele geçirilmesi için gerekli yasal yetkinin alınması,
• Olay yerinin fotoğraf, kroki ve notlarla dokümantasyonun çıkarılması,
• Elektronik delillerin tanımlanması ve belirlenmesi,
• Belirlenen tüm elektronik delillerin fotoğraflanarak üzerine ilgili tanımlayıcı bilgilerin yazılarak etiketlenmesi ve fiziksel olmayan delil sayılabilecek bilgilerin not edilmesi.
Elektronik deliller tespit edilirken, olay yerinde bulunan potansiyel bilgi bulunabilecek bütün elektronik cihazlar gözönünde bulundurulmalıdır. Bilgisayarlar, cep telefonları, el bilgisayarları, dijital fotoğraf makinaları, flash kartlar, USB ürünler, modemler,ağ cihazları, ağ sunucuları, disk alanları, çıkarılabilir depolama araçları, tarayıcılar, printerlar, ses kayıt cihazları, fax makinaları, vb.
Olay yerinde hemen her şey çok dikkatle incelenmelidir. İlk bakıldığında farklı gözüken bir çok cihaz bilgisayar veya bilgisayar çevre birimi olabileceği hatırdan çıkartılmamalıdır.
Örneğin; bir su bidonu veya bir priz bile bilgisayar olarak kullanılabilmektedir.
Delil toplama ve muhafaza etme aşamasında, elektronik delillerin toplanması, delillerin bütünlüğünün sağlanması ve kontrol edilmesi yapılmaktadır. Elektronik delil toplama ve muhafaza etmek için imaj alma programları kullanılmaktadır. Magnetik veya optik medyaların bit-to-bit (sector-by-sector) imajı write-blockerlar kullanılarak alınmakta, orijinal medya üzerinde herhangi bir değişiklik yapılmamakta ve alınanan imajların bütünlüğünün sağlanması hash değerleri hesaplanarak yapılmaktadır.
Elektronik deliller toplanırken araştırmada ve incelemede faydası olacak elektronik olmayan diğer delillerin toplanmasına da dikkat edilmelidir. Küçük kağıtlara yazılmış sistem bilgileri, kullanıcı adları, şifreler, el yazması notlar, baskılı yazılmış boş kağıtlar, donanım ve yazılım kullanıcı belgeleri, ajandalar, eserler, yazılı veya grafiksel yazıcı çıktıları, fotoğraflar, IP adresleri, vb. bu türden bilgilerdir.
Delil çıkartma aşamasında, silinen dosya, klasör ve bölümler (partition) kurtarılmakta, medya üzerindeki swap alanından, slack alanlardan, unallocated bölümlerden, geçici dosyalardan delil olabilecek veriler çıkartılmaktadır. Ayrıca, hash fonksiyonları kullanılarak bilinen dosyalar (known files) elimine edilerek incelenecek dosya sayısı azaltılmaktadır. Delil çıkartma aşamasında, medyadan delil olabilecek dosyalar çıkartılmış olmaktadır.
Delil çıkartma işlemleri aşağıdaki başlıklarda sıralanabilir:
• Mevcut Dosya Araması
• Silinmiş Dosya Araması
• Unallocated Alandan Dosya Araması
• Kelime Araması
• Internet işlemleri
• Link dosyaları
• Print Spool Dosyaları
• Registry İncelemesi
• Dosya İmza Analizi
• Hash Analizi
• Geri Dönüşüm Kutusu Kurtarma
• Swap Dosyası
• Unused Disk Area
• Windows Açılışında Otomatik Çalışan Programlar
• Saklanmış Bölümler (Hidden partitions)
Bir sonraki aşama olan, delil inceleme aşamasında çıkartılan bütün dosyalar incelenmektedir. Adli bilişim uzmanları bilgisayardaki her dosyayı teker teker inceleyemeye zaman bulamayabilirler. Günümüzde disk boyutları sürekli büyümekte ve diskler içerisinde on binlerce hatta yüz binlerce dosya bulunmaktadır. İnceleme de değişik yöntemlere başvurulabilmektedir; mesela, bilinen dosya türleri incelemesi, kelime incelemesi, dosya göstericileri (file viewers) gibi.
Delil organize etme aşaması, delillerin rapor haline dönüştürülüp sunulmasını ifade etmektedir. Bu aşama teknik olarak en basit aşama gibi görülse de sonuçları itibariyle belki en önemli aşamadır. Yukarıda sayılan bütün aşamaların sonucu çok iyi bir rapor haine dönüştürülemez ise, aşamalarda elde edilen olumlu sonuçların görülmesi mümkün değildir. Adli işlemlerde mevzuata uygunluk kadar usule uygun işlem yapılması da önemlidir. Bu yüzden, raporlama aşaması çok özen gerektiren bir aşamadır.
Araştırma sonucu hazırlanacak raporda aşağıdaki bilgilerin bulunması gereklidir :
• Araştırmayı yapan kurumla ilgili bilgiler
• Olayla ilgili bilgiler
• Araştırmaya başlanma tarihi ve bitiş tarihi
• El konan ve inceleme yapılan elektronik delillerle ilgili bilgiler
• Araştırmada kullanılan donanım ve yazılımla ilgili bilgiler
• Araştırmada izlenen yol ve kullanılan metod ve taktikler
• Gözetim zinciri (hangi delil ahngi tarihte kimden kime aktarıldı)
• Araştırma sonucu bulunanlar, nereden ve nasıl bulundukları
Yukarıdaki örneklerde görüleceği gibi, adli bilişim teknikleri ile bilgisayarlarda yapılan işlemlerle ilgili bilgi edinmek mümkündür. Bundan dolayıdır ki, adli bilişim sadece güvenlik güçleri, savcı ve hakimler tarafından kullanılmaz, aynı zamanda sigorta şirketleri, bankalar ve büyük şirketler tarafından da kullanılabilir.
5. ADLİ BİLİŞİM KONULARI
Adli bir çok kişi tarafından veri kurtarma olarak bilinse de, adli bilişim bir çok alt başlık içermektedir. Adli bilişim konuları aşağıda sıralanmaktadır:
• Veri Kurtarma
• Yazılım Tabanlı Kurtarma
• Dosya Kurtarma
• Klasör Kurtarma
• Format Kurtarma
• Bölüm Kurtarma (Partition)
• Donanım Tabanlı Kurtarma
• PCB (Printed Circuit Board-Logic Board)
• HDA (Head Disk Assembly)
• Head Problems
• Motor Problems
• Contamination
• Veri İmha Etme
• Wipe
• Veri Dönüştürme
• Veri Saklama
• Steganography
• Şifre Kırma
• İlk Müdahale
• Bilgisayar Ağ İncelemeleri
• OperatingSystem Forensics
• Windows Forensics
• Linux Forensics
• Mac OS Forensics
• PDA Forensics
• Cellular Forensics
6. SONUÇ
Bilişim kavramı ülkemizde henüz net olarak algılanan bir kavram değildir
Adli bilimler ve Adli bilişim
Bilişim konuları
Adli bilişim aşamaları
Adli bilişim konuları
KAYNAKLAR
Adli Bilisim Çalıştayı Sunumu, İzmir-2005, Hamit HANCI, Ank. Üniv. Adli Tıp Anabilim Dalı