Merhabalar herkese, bugün sizlere bir adli olayda gelişen süreçler ve bu süreçleri yönetirken uymamız gereken kurallardan bahsedeceğim. Fazla uzatmadan başlayalım. 🙂
Bir adli olayın incelenmesini ve bu aşamaları genel olarak üç başlık altında toplayabiliriz. Bunlar;
- Delillerin tespit edilmesi, toplanması ve muhafazası
- Delilleri açığa çıkartma, inceleme ve analizinin yapılması
- Delillerin raporlanması
Adli bilişim mühendislerinin bir adli olaya dahil olduğu nokta delillere el koyduğu noktadır. Dolaysıyla, sürecin başladığı yer olan olay yerinde yapılan işlemlerde yapılan hatalar, delillerin gerçekliğine ve güvenirliğine gölge düşürebileceği gibi tüm süreci sekteye uğratabilir.
Olay yerinde yapılacak olan tüm işlemler Ceza Muhakemesi Kanunun 134. maddesi ve Adli ve Önleme Aramaları Yönetmeliğinin 17. maddesi gereğince gerçekleştirilir.
İncelemelerin gerçekleştiği olay yerindeki müdahale grubunun üzerinde titizlikle durması gereken başlıca konuları söyle sıralayabiliriz:
- Delillerin değişmesi veya bozulmasına karşın olay yerinin güvenliği yeterinde sağlanmalıdır.
- Olay yerinde mümkün olduğu müddetçe en az bir adli bilişim uzmanı bulunmalıdır.
- Deliller üzerinde çalışacak uzmanın yeterli ekipmanı yanında bulunmalıdır.
- Tüm gerçekleştirilen aşamalar önceden hazırlanan kontrol listeleri tarafından kontrol edilmelidir.
- Herhangi bir işleme başlamadan önce mümkün olduğunca çok fotoğraf çekilmelidir.
- Çalışma esnasında ise oda içindeki konumlarını da gösterecek şekilde tüm materyaller ve bilgisayar ekranında görülen bilgileri kaydeden kameralar yerleştirilmelidir.
- Olay yerinde bulunan ve delil niteliği taşıyabilecek tüm materyaller delil etiketleri ile etiketlenmelidir.
- Bir envanter oluşturarak, olay yerinde el konulan tüm nesneler seri numaraları ile birlikte kayıt altına alınmalıdır.
- Envanterlerin kopyalanması ve her kopyanın imzalatılması ihmal edilmemelidir.
- Bilgisayarlara uzaktan erişim amacıyla erişim sağlayan cihaz yada bağlantılar tespit edilmeli ve erişim kesilmeden etiketlenmelidir.
- Bu tür cihazların birbiriyle bağlantı kurmasını sağlayacak tüm bağlantılar kayıta geçirilmelidir.
- Dijital verilere zarar verebileceğinden dolayı dijital deliller toplanmadan gizli izleri elde etmek için olay yerinde kimyasal madde kullanılmamalıdır.
- İncelenen bilgisayar sistemlerinin BIOS bilgileri kaydedilmelidir. BIOS tarih/zaman bilgileri gerçek zamandan farklıysa bu raporda belirtilmelidir.
- İmaj alma işlemi sırasında farklı bilgisayar kullanılmalı ve imajların karışmaması için yapılan isimlendirme ve etiketlendirmede titiz olunmalıdır.
- Olay yeri inceleme esnasında tüm cihazlar görünüşte farklı bir nesne gibi görünen lakin bilgisayar olabileceğinden dikkatle incelenmelidir.
- Bilgisayar yada çalışma masası etrafında bulunan notlar kayıt edilmeli ve fotoğrafı çekilmelidir.
Dijital Delillerin Elde Edilmesi
Dijital delillerin eldesi, genellikle olay yerinde kolluk kuvvetleri tarafından veya sonrasında bilirkişiler tarafından (çoğu zaman laboratuvar ortamında) yapılmaktadır. Genel olarak olay yerinde gerçekleşen işlemlere “delillerin toplanması“, laboratuvar ortamında yapılan işlemlere ise “delilerin açığa çıkartılması” veya “delillerin analizi” denilmektedir.
Elde edilen tüm dijital delillerin ve bu delillerden elde edilen imaj (kopyalama) görüntülerinin MD5 ve SHA hash değerleri alınmalı ve bu değerler tutanak kayıtlarında belirtilmek suretiyle daha sonra meydana gelebilecek itirazların önüne geçilebilir.
CD/DVD ve yedekleme ünitelerinde kullanılan kasetlerin hassas veri depolama birimleri oldukları unutulmamalı ve herhangi bir zarar görmemesi için özen gösterilmelidir.
Laboratuvarlarda incelenmek üzere toplanan tüm delillerin incelenmesi toz, nem, rutubet, aşırı ısı ve manyetik alanlar gibi zarar görebilecek ortamlardan uzak tutulması gerekir.
Eğer sistem açık halde duruyorsa bazı inceleme yazılımları kullanılarak canlı analiz yapılabilir. Bu yazılımlardan bazıları Helix, F.I.R.E. ve Deft Linux gibi ücretsiz yazılımlardır.