- THE DIGITAL EVIDENCES IN TERMS OF Cyber CRIME -DİJİTAL DELİLLER -

Bir bilişim suçu ile ilgili, elektronik veya manyetik bir ortam üzerinden iletilen veya bu ortamlarakaydedilen bilgilere kısaca dijital delil ve bunların ilgili birimlere sunulmasına da dijital delillendirmediyebiliriz. Dijital deliller bir çok tipte karşımıza çıkmaktadır. Bunlardan bazıları şu şekildedir.

•Dijital fotoğraf ve videolar
•Sunucu kayıt dosyaları
•E-posta
•Chat Kayıtları
•İnternet Geçmişi
•Web Sayfaları
•Kayıt Logları
•Abone KayıtlarıDijital deliller, normal delillere göre yapı itibariyle bazı sıkıntıları barındırmaktadır.

•Dijital Delillerin Bütünlüğü (The Integrity of Digital Evidence): Dijital veriler üzerinde çokkolay bir şekilde değiştirme, silme ve yenisini oluşturma gibi işlemlerin yapılabilmesi bu delillerin bütünlüğünü sağlamayı çok zorlaştırmaktadır.

•Dijital Delillerin Doğrulanması (The Authentication of Digital Evidence):

Bir kişiyi dijitaldelillerle birlikte yakaladıktan sonra mahkeme sürecinde o verilerin gerçekten o kişiye aitolduğunun ispatı gerekmektedir.

Fakat delil olarak ele geçirilen verilerin aynısı her hangi bir kişitarafından da oluşturulabilir. Hatta sanık bu verilerin daha sonra, polis tarafından bileoluşturulduğunu iddia edebilir.



•Dijital Delillerin İnkar Edilememesi (The Nonrepudiation of Digital Evidence):

Dijitaldelillendirme işlemindeki dijital delilin sahibi, onu ele geçiren şahıslar (Ör: Polis), delilin alındığımedya, delilin ele geçirildiği zaman, delilin içeriği gibi bütün unsurların daha sonradan inkaredilememesi gerekmektedir.

•Dijital Delillerin Doğruluğu (The Accuracy of Digital Evidence):

Dijital delillerin ele geçirilmesi esnasında kullanılan teknikler ve kullanılan bilgilerin (Örneğin delilin ele geçirilmezamanı) doğruluğunun ispatı gerekir.

•Dijital Delillerin Daha Sonradan Ele Alınabilirliği (The Accountability of Digital Evidence):

Dijital deliller oluşturuldukdan sonra, bu delilleri üçüncü bir şahıs inceleyebilmelidir.

Dijital delillerin keşfedildiği alanlardan en çok göze çarpanları ise şunlardır:

•Kuruluş kaynakları
•Geniş Alan Ağları
•Bilgisayarlar (Masaüstü, Laptob, PDA, Sunucu, istemci)
•Elektronik Aygıtlar
•Veri Havuzları
•Bir sistemde yapılan islemleri gösteren kayıtlar, geçmiş bilgileri, erişim listeleri
•Yedekleme Üniteleri
•Yazılımlar
•E-Postalar
•İnternet ile ilgili dosyalar (Ör: cookieler)
--------------------------------------------------------------------


DİJİTAL DELİLLENDİRME DÖNGÜ MODELİ -
Bilisim suçunun vukuu bulduğu yerden dijital delillerin toplanıp, mahkemeye sunulmasına kadar geçen süreçte belirli basamaklardan söz edilebilir. Asağıdaki sekilde bu süreçleri içeren bir döngü modeli gösterilmistir.




| Dijital Delillendirme Döngü Modeli |

Döngü modelinde ele alınabilecek ilk safha, olay yerine gidildiğinde dijital delillerin teshis edilmesidir.

Bu safhada bilisim suçları uzmanları tarafından nerelerde delil olabileceği saptanır. En önemli konulardan birisi, özellikle delil niteliği tasıyabilecek uçucu bilgilerin (volatile data) bozulmadan korunmaya alınmasıdır.

Uçucu veriler, bilgisayar sistemleri üzerinde, geçici kayıt bölgelerinde tutulan ve elektrik gücü kesildiğinde içeriği sıfırlanan verilerdir.








Bir bilisim suçu olayının basarılı bir sekilde yargılanması için doğru, kabul edilebilir ve hukukun delil ve delillendirmeye yönelik prosedürlerini izlemek çok büyük önem arz etmektedir.

IACIS tarafından dijitaldelillerin toplanmasına yönelik belirli standartlar belirlenmistir.



* Orijinal deliller ilk bulundukları durum ve sartlara benzer sartlarda korunmalıdır.



* Orijinal delillerin bütünlüğünü bozmamak için mümkünse bire bir kopyası alınmalıdır.



* Kopyanın üzerine alınacağı medya “Adli Tıp yönünden steril – Forensically sterile” olmalıdır, yani üzerinde daha önceden herhangi bir data bulunmamalıdır ve virüs ve diğer zararlı kodlara karsı kesinlikle temiz olmalıdır.



* Deliller mutlak suretle etiketlenmeli, korunmalı ve belgelendirilmelidir.


* Adli inceleme esnasındaki bütün basamaklar ve yapılan islemler yazılı hale getirilmelidir.

Deliller basarılı bir sekilde toplandıktan sonra delilleri koruma asaması gelmektedir. Bu asama iki boyutta ele alınabilir.



* Dijital olarak koruma



* Fiziksel olarak koruma

Dijital olarak koruma, delillerin ilk alındığı andan itibaren değismediğini, bütünlüğünün bozulmadığını ispatlayacak çesitli mekanizmaları kapsar.

En çok kullanılan tekniklerden bir tanesi verilerin kriptografik olarak özetlerinin (Hash) alınmasıdır.

Fiziksel olarak koruma ise delillerin incelenecek yere bozulmadan tasınması, mahkeme esnasına kadar uygun ortamlarda saklanması ve yine mahkemeye gidis esnasında herhangi bir bozukluğa uğramamasını içerir.

Deliller mümkün olduğunca toplandığı ortam kosullarına benzer ortamlarda tasınmalı veya saklanmalıdır. Unutulmaması gereken baska bir nokta toplanan bütün delillerin etiketlenerek, uygun sekilde paketlendikten sonra mühürlenmesidir.

Dijital delillerin analiz safhası genellikle bilgisayar adli tıbbı uzmanları tarafından gerçeklestirilir.

Eldeedilen bütün deliller uygun ortam kosullarında açılıp, bir araya toplandıktan sonra eğer daha önceden yapılmamıssa ilk yapılacak şey birebir kopyalarının alınıp, orijinallerinin korunmaya alınmasıdır




Genellikle kopyalar dörder adet olmaktadır. Bir tanesi mahkeme için, ikincisi analiz için, üçüncüsü savcı için dördüncüsü de savunma tarafı için çoğaltılır.

Yapılacak bütün islem ve analizler önceden planlanmalı, hangi kisinin hangi deliller üzerinde ne gibi islemler yaptığı mutlaka belgelendirilmeli ve aynı zamanda uzmanları doğrulayacak sistemler ile olusturulacak imzalar (Dijital imza) belgelere eklenmelidir.

Analiz safhası, en çok teknik bilgi gerektiren ve en uzun sürecek safhadır.

Bütün incelemeler bittikten sonra, son asama bu delillerin mahkemeye sunulmasıdır.

Hazırlanan bütün rapor ve belgeler bir araya toplanıp, delillerin mahkemeye sunumu için uygun formatta dökümanlar olusturulur.

Bütün islemler titizlikle yapılmalı ve bütün süreçler açık bir sekilde dökümanda ifade edilmelidir.

Delillerin bütünlüğü ve doğrulamasını sağlamak için kullanılmıs olan bütün sistemler ayrıntılı bir sekilde açıklanmalıdır.

BİLİŞİM SUÇLARINA MÜDAHALE -



Bilisim suçlarına müdahale oldukça kritik ve çok hassas bir konudur. Çünkü toplanacak deliller dijital delillerdir ve bu deliller yapı itibariyle bozulmaya ve değistirilmeye müsait verilerdir. Bilisim suçuna müdahale aslında suçun ilk tespit edildiği anda baslar.

En kritik nokta da bu asamadır. Eğer suçu ilk fark eden kisinin bu alanda yeterli bilgisi yoksa, çok önemli bilgi ve delilleri istem dısı yok edebilir.

Bu yüzden ilgili kisilere mutlaka konu ile ilgili bilgi ve eğitimler verilmeli, olağan dısı herhangi bir olay fark ettiklerinde bilisim suçları konusunda eğitilmis bir güvenlik görevlisine ulasmaları sağlanmalıdır.

Olay yerine gelen güvenlik görevlisinin, eğer saldırı hala devam ediyorsa ilk yapacağı sey saldırıyı herhangi bir dijital delile zarar vermeyecek sekilde kesip(Örneğin ağ üzerinden gelen bir saldırıysa, bilgisayarı kapatmak yerine, ağ kablosunun çekilmesi daha mantıklıdır), bütün her seyi olduğu gibi dondurup, bilisim suçları arastırma ekibine haber vermektir. Bilisim suçları ekibi gelene kadar olay yerine herhangi bir müdahale gerçeklesmemelidir.



Bilisim suçları arastırma ekibi en az su kisilerden olusmalıdır.



Üst düzey operasyon yöneticisi : Bilisim suçlarında olay yerine müdahale konusunda uzman, olay yerinin nasıl çevrilip, korunacağını, nerede ve nasıl bir arastırma yöntemi izleyeceklerini planlayan, arastırmadan sorumlu en üst düzey kisidir



Polis : Olay yerine giris, olay yerini koruma, ilgili delillerin ve süphelilerin alınıp gerekli adli islemlerin yapılmasını sağlar.



Müdahaleci : Olay yerine ilk ulasan personel, güvenlik görevlisi v.b

Bilisim suçu olay yeri inceleme uzmanları: İlgili delillerin standartlara uygun sekilde bozulmadan toplanıp, aktarılmasını sağlar.

Bilisim suçları arastırma ekibi, olay yerinde gerekli bütün islemleri yaptıktan sonra, elde edilen delilleri bilgisayar adli tıbbı uzmanlarına (Computer Forensic Specialists) iletir.

Bilgisayar Adli Tıbbı, potansiyel delilleri tespit etmek üzere bilgisayar arastırma ve analiz tekniklerinin uygulanması seklinde tanımlanmaktadır.



DİJİTAL DELİLLERİN TEKNİK OLARAK DOĞRULANMASI



Verilerin güvenliğinde bahsedilebilecek 3 önemli husus vardır

Bunlar:


• Verilerin gizliliğinin sağlanması : İletilen verilerin üçüncü kisiler tarafından öğrenilememesi

• Verilerin bütünlüğünün sağlanması: Alıcıya ulasan verilerin, göndericiden ilk çıktığı hali ile aynı olduğunun ispatı.



• Verilerin inkar edilememesinin sağlanması: Göndericinin gönderdiği verilerin gerçekte kendisi tarafından gönderilmediğini iddia edememesi

Doğrulama(Authentication), yine dijital güvenlik alanında çok sık bahsedilen kavramlardan biri olmakla birlikte, yukarıdaki maddelerin her biri içinde genellikle yer aldığı için ayrı bir baslıkta ele alınmamıstır.

Bahsedilen güvenlik tekniklerinin, dijital delillerin olay yerinden toplandığı andan itibaren mahkeme esnasına kadar bütünlüğünün bozulmadığının ispatı ve inkar edilememesinde oldukça büyük önemi bulunmaktadır.

Bugüne kadar bu teknikleri kapsayan bir çok güvenlik metodu gelistirilmistir. Genel olarak veriler üzerindeki bütünlük sağlama, doğrulama, sifreleme, inkar edememe gibi konular Kriptoloji bilimi altında incelenmistir.

Kriptoloji alıcı ve gönderici arasında iletilen veriler üzerinde belirli matematiksel islemler gerçeklestirip, güvenlik için çesitli mekanizmaları sağlar. Simdi günümüzde kullanılan ve dijital deliller kapsamında da kullanılabilecek metotlardan bazılarına kısaca göz atalım ;

Mesaj Doğrulama Kodu (Message Authentication Code-MAC) -

Doğrulamada kullanılan tekniklerinden bir tanesi , gizli anahtar kullanarak doğrulama kodu olarak bilinen ve iletilen mesaja eklenen küçük bir data bloğu olusturmaktır.

Burada gönderici gizli anahtarıyla iletilecek mesajı isleme tabi tutar ve bir MAC elde eder. Bu MAC’i mesaja ekleyerek gönderir.

Alıcı gelen mesajı kendi gizli anahtarıyla isleme tabi tutar ve elde ettiği MAC’i gönderilen MAC ile karsılastırarak doğrulama sağlar. Burada simetrik sifre kullanılmıstır ve gizli anahtarın sadece gönderici ve alıcıda olduğu varsayılmıstır.

Bu sayede alıcı mesajın değismediğinden emin olur. Saldırgan doğrulama kodunu değistirmeden mesajı değistirirse, alıcı tarafından doğrulama kodu ile yapılan islem sonucunda mesajın değistiği çok rahat bir sekilde anlasılacaktır.

Gizli anahtar saldırganda olmadığı için doğrulama kodunu da değistiremeyecektir. Alıcı mesajı gönderen kisinin gerçekten o kisi olduğuna emin olur. Çünkü gizli anahtarı baska bir kimse bilmediği için, bu tip bir mesajı da hazırlayamayacaktır.



Eğer mesajda bir de sıra numarası (sequence number) varsa (örneğin TCP ve HDLC’de olduğu gibi), bunun değistirilmesi mümkün olmayacağı için alıcı, ilgili mesajın beklenilen sırada gelip gelmediğini de anlayabilecektir.



Tek Yollu Hash Fonksiyonu :



Mesaj doğrulama kodunun son zamanlarda daha çok önem arz eden bir varyasyonu da Tek Yollu Hash Fonksiyonudur. Mesaj doğrulama kodunda da olduğu gibi bir hash fonksiyonu değisken uzunluklardaki mesajı alıp isleme tabi tuttuktan sonra, sabit uzunlukta bir çıktı üretir.

MAC’den farklı olarak Hash fonksiyonu girdi olarak gizli anahtarı kullanmaz. Mesajı doğrulamak için üretilen hash çıktısı, doğrulanmıs olarak mesajla birlikte gönderilir.

Tek yollu hash fonsiyonları ve güvenli hash fonksiyonları sadece mesaj doğrulamada değil dijital imzalarda da önemlidir. Güvenli bir hash algoritmasının özellikleri su sekildedir [Stallings, 2002]:

1. H herhangi boyutta bir veri bloğuna uygulanabilmelidir.

2. H sonuçta sabit uzunlukta bir çıktı üretmelidir.

3. H(x) hem yazılım hem de donanım uygulamalarında pratik olarak verilen her x değeri için kolay hesaplanabilir olmalıdır.

4. H(x)=h esitliğinde bilinen h kodundan x’i bulmak matematiksel açıdan mümkün olmamalıdır.

5. Verilen her hangi bir x bloğu için, H(x)=H(y) gibi bir sonuçtan birbirinden farklı x ve y değerleri bulmak matematiksel açıdan mümkün olmamalıdır.

6. H(x)=H(y) olan herhangi bir (x,y) çifti bulmak matematiksel açıdan mümkün olmamalıdır.



Dijital İmzalar ; -



Bir A sahsının B sahsına mesaj göndermek istediğini düsünelim. A sahsı B sahsının gerçekten mesajı gönderen kisinin kendisi olduğuna emin olmasını istiyor. Göndereceği mesajın baskaları tarafından görülmesinin de bir önemi yok.

Dolayısıyla A sahsı mesajı kendi özel (private) anahtarıyla sifreler ve gönderir. Alıcı konumunda olan B sahsı ise A’nın açık anahtarını kullanarak sifreli mesajı açar. A’nın açık anahtarıyla açılabilen böyle bir mesaj sadece A’nın özel anahtarıyla olusturulabileceği için ve bu özel anahtar da sadece A sahsında bulunduğu için mesajın A sahsından geldiğine kesin olarak emin olunur.

Bu mesajın bu sekilde sifrelenmis haline dijital imza diyoruz. Mesajın içeriği özel anahtar olmadan değistirilemeyeceği için bir taraftan da veri bütünlüğü sağlanmıs olur.

Yalnız bu islemde A sahsının açık anahtarı herkese açık olduğu için, isteyenler mesajı okuyabilecektir.

Yani mesaj gizliliği yoktur.

Genellikle mesajın bütünü sifrelendiğinde çok büyük bir kaynak harcaması meydana gelmektedir. Bu

yüzden bütün mesajı sifrelemek yerine, mesajın bir fonksiyonu olan küçük bir data bloğunu sifrelemek daha verimli bir yöntem olacaktır. Böyle bir bloğa tanılayıcı (authenticator) diyoruz.

Tanılayıcı mesajın öyle bir fonksiyonu olmalıdır ki, tanılayıcı değismeden mesajda bir değisiklik yapmak mümkün olmamalıdır. Bu tanılayıcıyı da, bir özel anahtarla sifrelenirse kaynak,içerik ve sıra kontrolü yapan bir dijital imza elde edilmis olur. SHA-1 (güvenli hash kodu) bu görevi yerine getirebilir.



Su unutulmamalıdır ki; anlattığımız bu yöntem mesajı, değistirilmeye (alterations) karsı korur fakat

dinlenilmeye (eavesdropping) karsı koruyamaz. Çünkü mesajda okunmaya karsı yapılmıs bir kripto söz konusu değildir.



Dijital Sertifikalar -



Açık anahtar teknolojisi, adından da anlasıldığı gibi herkese açık bir alanda islem yapar ;

İletisime geçilecek kisinin açık anahtarına herkes ulasabilir. Zaten açık anahtar teknolojisinin de mantığı budur.

Bu yöntem uygun bir yöntem olarak görünse de, önemli bir zayıflığı mevcuttur. Bir sahıs kendisini baska biriymis gibi gösterip, açık anahtar dağıtabilir. Dolayısıyla o kisiye gizli olarak gönderilen bütün mesajları da okuyabilecektir.

Bu problemin çözümü, açık anahtar sertifikalarında yatmaktadır. Bir dijital sertifika, bir açık anahtar , bu açık anahtarın sahibinin kimliğiyle ilgili bilgiler ve bütün bu bilgilerin güvenilir bir kurum tarafından imzalanmasıyla olusturulur.

Bu kuruma Sertifika Otoritesi (Certificate Authority-CA) denir. Sertifika otoritesi halk tarafından güvenilir bir kurulus, bir enstitü veya hükümetin bir birimi olabilir. Kullanıcı güvenli bir yolla açık anahtarını otoriteye verir ve bir sertifika temin eder. Daha sonra kullanıcı herkese açık olan alanda sertifikasını yayınlar.

Kullanıcının açık anahtarına ihtiyacı olan bir kimse ise bu sertifikayı alır ve eklenmis olan dijital imzadan bu sertifikanın geçerli bir sertifika olup olmadığını(Yani bu sertifikanın gerçekten sertifika otoritesi tarafından olusturulup olusturulmadığını) onaylar

Evrensel olarak kabul edilmis bir sertifika formatı vardır. Bu formata X.509 standartı denir. X.509 sertifikaları, IPSec, SSL(Secure Sockets Layer), SET (Secure Electronic Transactions) ve S/MIME gibi çoğu ağ güvenliği uygulamalarında kullanılmaktadır.

Bu yöntemler ile ilgili veya kriptoloji konusunda daha detaylı bilgilere [Schneier, 1996]’ dan erisilebilir.

Aynı zamanda dijital delillendirmede, mevcut çözümlere ek olarak dijital bildiriler [Maurer, 2004] de kullanılabileceği gibi, dijital delillerin yerini ispat etme konusunda da özellikle kablosuz ağ teknolojileri kullanılarak değisik çalısmalar yapılabilir.



SONUÇ VE ÖNERİLER -


Özellikle elektronik hizmetlerin gün geçtikçe artmasıyla birlikte, bilisim suçlarında da çok büyük artıslar gözlemlenmektedir.

Geleceğin en büyük tehditlerinden biri olarak görülen bilisim suçlarıyla mücadele kaçınılmazdır.

Özellikle emniyet güçlerinin konuya daha hakim olmaları ve kendilerini bu suçlarla mücadele edebilmek için en iyi sekilde yetistirmeleri gerekmektedir.

Bir suçun aydınlatılmasındaki en önemli husus, olay yerinden alınan delillerdir.

Bilisim suçları bağlamında ise dijital delil kavramı vardır. Dijital deliller, üzerinde çok kolay bir sekilde oynanabildiği için, oldukça hassas bir yapıya sahiptir...

Dolayısıyla bilisim suçlarında delillerin standartlara uygun bir sekilde toplanması ve korunması çok büyük önem arz etmektedir. Bu islemler mutlaka konusunda uzman kisilerce yapılmalıdır.

Dijital deliller konusunda en çok tartısılan noktalardan bir tanesi de, bu delillerin mahkeme esnasında nereden, kimlerden, ne zaman alındığını ve ilk alındığı andan itibaren bütünlüğünün bozulmadığının nasıl ispat edileceğidir.

Günümüzde bu tip sorunlara değisik kriptografik çözümler getirilmistir.

Fakat dijital delillerin ispatında bu sistemlerin yalnız basına kullanılması yetmemektedir.

Geleceğe yönelik çalısmalar olarak sunlardan bahsedilebilir:



Mevcut kriptografik çözümler veya daha değisik yöntemler kullanılarak dijital delillerin mahkeme esnasında geçerliliklerinin sağlanması için entegre çözümler, sistemler üretilebilir.



Bilisim suçlarının içinde yer alan “Dijital Delillendirme”, “Bilgisayar Adli Tıbbı”, “Bilisim Suçu Arastırması” gibi konularda Emniyet Güçleri çok iyi bir sekilde eğitilmeli, bilisim suçlarına müdahaleden, analiz ve mahkeme esnasında delillerin sunulmasına kadar geçen süreçlerde görev alacak uzman ekipler olusturulmalıdır.



Yüz tanıma sistemleri gibi biyometrik sistemler kullanılarak operasyonlar sonucunda elde edilen dijital delillerle ilgili bir çok veritabanı olusturulabilir ve operasyonlar bu sayede birbirleriyle iliskilendirilebilir.



Yine yüz tanıma sistemleri olay yerindeki kisilerin yüz izlerini veritabanına alıp, verilerin bütünlüğünü sağlamada ek bir parametre olarak kullanılabilir.



Bilisim suçları, hem adli hem de teknik boyutu içeren bir konu olduğu için mutlak suretle polis ve üniversitelerin isbirliği yapmaları gerekir.



Türkiye’de bilisim suçlarıyla ilgili olusan her bir olaya, tek bir belirleyici numara atanıp,CVE, Bugtraq gibi zafiyet veritabanlarının benzeri, merkezi bir bilisim suçları veritabanı olusturulabilir

_______________________