Verilerinizi Gerçekten Sildiniz mi?

 

Kullanışlı güvenlik deyince akla hemen gelen konular var: Parolaların hatırlanma zorluğu, PKI gibi güvenlik teknolojilerinin karmaşıklığı, antivirüs ve benzeri yazılımların performans etkileri vb. Bugün hemen hergün belki de yanlış olarak kullandığımız ve kullanışlı güvenlik kavramı içerisinde çok da düşünmediğimiz bir konu hem de gayet önemli bir konuda bir kaç söz söylemek istiyorum.

Simson Garfinkel ve Abhi Shelat 2002 yılında yazdıkları makalede ve Kevin Mitnick The Art of Deception (Aldatma Sanatı) kitabında bahsettikleri güvenlik problemi şu: ikinci el satın alınan veya çöp karıştırırken bulunan hard disk ve benzeri veri depolama aygıtlarının üzerinde silinmesi unutulan veya silinmiş zannedilen hassas bilgilerin varlığı. 

Garfinkel ikinci el olarak aldığı harddisklerde hangi bilgilerin olduğuna ilişkin bir liste vererek bu problemin ne kadar ciddi olduğunu  önce bizleri ikna ediyor. Daha sonra bu problemin sebebini açıklıyor. Sebep bize oldukça tanıdık: Bilgisayar kullanımının oda dolusu devasa mainframe yapılardan günümüz kişisel ve mobil cihazlara zamanla kayması esnasında bazı önemli noktaların yazılım geliştiriciler tarafından atlanmış olması. Garfinkel MS-DOS’daki FORMAT komutunun kullanılmasının gerçekte sadece dosya sisteminden ilgili dosyaya erişim bilgisinin silinmesi anlamına geldiğini ve iddiaların aksine bunun bilinçli bir tercih olamayacağını söylüyor. Sonrası ise malum, basit bir yanlışı düzeltmek zaman geçtikçe çok daha zor bir hale geliyor.

Makalenin computer forensik  taraflarına girmeyeceğim. Kullanışlılık adına yapılan hata ise bariz: FORMAT komutu çalıştırıldığında  kullanıcının karşısına çıkan aşağıdaki uyarı mesajının yanlış anlamalara sebep vermesi (işlemin oldukça uzun sürmesi de yanlış anlamalara kuvvet veriyor). 

“ALL DATA ON NON-REMOVABLE DISK DRIVE C: WILL BE LOST”

Böyle bir mesajı okuyan bir kişinin verilerin gerçekten de silindiğinin düşünmesi kadar doğal birşey olamaz herhalde. Tabii 2009 yılına geldiğimizde biraz da konu üzerinde ilgili yazılı ve görsel basının durmasının ardından biraz daha bilinç oluşmuş durumda.

Bu bilinçle birlikte işletim sistemlerinde bilhassa Windows’da bu konuda gözle görülür bir iyileştirme sanırım henüz yok. Halbuki yapılacak olan işlem belli: verileri gerçekten silmek için üzerine birkaç kez yeni veri yazmak. Gerçi verilerin üzerine birkaç kez tekrar veri yazmanın nihai çözüm olmadığı biliniyor (bkz: Secure Deletion of Data from Magnetic and Solid-State Memory) ama bu yönde doğru bir adım olacak bu işlem elbetteki.

Garfinkel başka bir yazısında (bkz: Security and Usability: Designing Secure Systems that People Can Use, Chapter 15) Mac işletim sisteminde nasıl bu yönde doğru adımlar atıldığını fakat kullanışlı bir arayüz geliştirilmesi konusunda yanlışlıkların da olduğunu anlatıyor. Mesela bu işlem için kullanılması gereken tanımlamanın Güvenli Çöp Boşaltma (Secure Emptry Trash) gibi ne anlama geldiği anlaşılmaz bir ifade değil de İmha Makinesi (Shredder) olması gerektiğini belirtiyor.

Ben de bu kağıt kırpma makineleri ne işe yarar diye düşünüp duruyordum. Halbuki yaşamsal öneminin olduğunu en azından bazı ortamlarda şu an anlamış bulunmaktayım.

Not: Böyle yazınızın başkaları tarafından saklandığı ve yayınlandığı ortamlarda ise verinizi gerçekten silme gibi bir imkanınız kesinlikle yok. Bu durum ve beraberinde getirebileceği olası problemler ise ayrı bir yazı konusu.

DİJİTAL DELİL ARAŞTIRMA SÜREÇ MODELİ

Dijital delilleri belirli metod ve prosedürlere uyun olarak araştırabilmek için bir takım ortak süreçlere ihtiyaç duyulmaktadır. Aşağıda Casey’in oluşturduğu 12 basamaklı süreç modeli görülmektedir (Casey, 2004):

Dijital Delil Araştırma Süreç Modeli (Casey, 2004)

Bu süreç modelini 2005 yılında Polis Bilişim Sempozyumu’nda sunduğumuz makalede tek tek anlattık. Makalenin orijinal versiyonuna şu linkten ulaşabilirsiniz.

Süreç modelindeki en önemli basamaklardan biri “Tanımlama ve Toplama” aşamasıdır. Olay yerinden elde edilebilecek deliller kritik öneme sahip olduğu için bu sürecin çok hassas ve dikkatli ele alınması gerekmektedir. Makaledeki bu bölümü önemine binaen aşağıda kısaca değinelim:

Tanımlama ve Toplama

Olay yeri güvenli hale getirildikten sonra, söz konusu suç veya vaka ile ilgili potansiyel delillerin toplanması gerekmektedir. Sürecin doğru bir şekilde işlemesi için öncelikle uygun prosedürleri ve gerekli hukuki şartları anlamak büyük önem arz etmektedir. Deneyimli ve tecrübeli araştırıcılar için bu safhadaki amaç sanal veya fiziksel bütün delilleri toplamak değil, nelerin toplanıp nelerin toplanmayacağı konusunda mantıklı kararlar vermek, doküman oluşturmak ve ondan sonra eylemi gerçekleştirmektir.

Dökümantasyon bütün basamaklarda yapılması gereken bir iştir ancak delillerin toplanması esnasında ayrı bir öneme sahiptir. Toplanan her bir delille ilgili ayrıntılı rapor tutmak, bunların doğrulanabilirliğini kolaylaştırıp, koruma zincirini (chain of custody) başlatacaktır.

Geleneksel delil toplama, delillerin daha sonradan incelenmek üzere sahiplenilmesi anlamına gelmektedir. Fakat dijital delillerde durum biraz farklıdır. Delillerin doğrudan toplanması esnasında bazılarının kaybedilmesi, bozulması ile karşılaşılabilir. Özellikle uçucu veriler (Ör: Bellek, CPU Kaydedicileri, Çalışan süreçlerin durumu) dediğimiz elektrik kesildiğinde içeriği sıfırlanan ve tekrar kurtarılması mümkün olmayan delilleri barındıran bilgisayarlarda bazı ek işlemlerin gerçekleştirilmesi gerekmektedir.

İngiltere Polis Başkanları Birliği tarafından yayınlanan “Bilgisayar Tabanlı Elektronik Deliller için İyi Pratikler Rehber’inde 4 prensipten bahsedilmiştir (NHCTU,2003):

Prensip 1 : Kanun uygulayıcılar ve görevlileri tarafından, mahkemede kullanılma ihtimali olan bilgisayar veya farklı bir medya üzerinde bulunan verileri değiştirecek herhangi bir eylemde bulunulmayacaktır.

Prensip 2 : Bir kişinin hedef sistem üzerinde bulunan orijinal verilere erişmesi gerektiği istisnai durumlarda, ilgili kişinin mutlaka o konuda tecrübeli ve uzman olması ve aynı zamanda yaptığı bütün işlemleri ve gerekçelerini daha sonradan ispatlayacak bir durumda olması gerekir.

Prensip 3 : Bilgisayar tabanlı delillere uygulanmış olan bütün süreçlerin bir izleme kaydı oluşturulmalı ve koruma altına alınmalıdır. Üçüncü bir şahıs tarafından bu süreçler incelenebilmeli ve aynı sonuçlara varılmalıdır.

Prensip 4 : Olaydan sorumlu memur, yapılan işlemlerin hukuka ve prensiplere uygun olup olmadığını denetlemekten de sorumludur.

OLAY YERİNDEN ALINAN DİJİTAL DELİLLERiN HUKUKİ KABUL EDİLEBİLİRLİĞİNİ ARTTIRMAK

Dijital Delil

Bilişim suçları, son zamanlarda karşılaşılan önemli suç tipleri arasında yer almaktadır. Özellikle bilişim teknolojilerinin kullanımındaki artış, bilişim suçlarının etkisini arttırmakta ve büyük riskler oluşturmaktadır. Bir suçun aydınlatılmasında ve failinin tespitinde kullanılan en önemli mekanizma delillendirmedir. Bilişim suçları kapsamına giren bir olay araştırılırken, en önemli delil tiplerinden bir tanesi ise dijital delillerdir. Dijital Deliller, bir bilişim suçu ile ilgili, dijital biçimde kayıt edilen veya aktarılan bilgiler olarak tanımlanabilir. Dijital deliller, bir çok tipte karşımıza çıkmaktadır. Bunlar veri dosyaları, kurtarılmış silinmiş dosyalar, kayıp alanlardan kurtarılmış veriler, dijital fotoğraf ve videolar, sunucu kayıtları, e-posta, internet geçmişi, web sayfaları, abone kayıtları gibi doğrudan bilgisayar sistemleriyle alakalı deliller olabileceği gibi, günümüzde gömülü bilgisayar sistemlerine sahip bir mikro dalga fırından elde edilebilecek ve bir kundakçılık olayında fırının belirli bir zamanda yangın çıkarmak için programlandığını ortaya çıkarabilecek veriler de dijital deliller olarak karşımıza çıkmaktadır.

Dijital deliller, dijital verilerden oluşur. Bu veriler ise bilişim sistemleri üzerine kayıt edilmiş bir ve sıfır ikililerine verilen anlam sonucunda ortay çıkar. Dolayısıyla doğrudan elle tutulabilir ve gözle görülebilen bir yapının olmayışı, dijital verileri soyut hale getirmektedir. Soyut kavramlardan kesinlik çıkartmak ise çok zordur. Fakat deliller, işlevi itibariyle bir suçu ispat edici nitelikte kesin bulgular barındırmalıdır. Bu nedenle dijital verilerin yüzde yüz delil olarak kullanılması yönünde, büyük problemler meydana gelmektedir. Bu problemler şu ana başlıklar altında toplanabilir :

1.Yapısal Problemler

Dijital veriler çok kolay bir şekilde değiştirilebilmektedir.

Dijital verilerin bire bir aynısı oluşturulabilmektedir.

Dijital veriler hassas bir yapıdadır ve manyetik alan, sıcaklık, çarpma gibi çeşitli çevresel etkenler yüzünden kolay bir şekilde bozulabilmektedir.

Dijital veriler, nasıl kodlandıklarına bağlı olarak anlam kazanabilirler. Günümüzde virüs, truva atı gibi zararlı kodlar sayesinde verilere değişik anlamlar yüklemek mümkündür.

2.Yapısal Problemler Sonucu Oluşan Problemler:

Dijital Delillerin Bütünlüğü: Dijital veriler üzerinde çok kolay bir şekilde değiştirme, silme ve yenisini oluşturma gibi işlemlerin yapılabilmesi bu delillerin bütünlüğünü sağlamayı çok zorlaştırmaktadır.

Dijital Delillerin Doğrulanması: Bir kişiyi dijital delillerle birlikte yakaladıktan sonra, mahkeme sürecinde o verilerin gerçekten o kişiye ait olduğunun ispatı gerekmektedir. Fakat delil olarak ele geçirilen verilerin aynısı her hangi bir kişi tarafından da oluşturulabilir.

Dijital Delillerin İnkar Edilememesi: Dijital delillendirme işlemindeki dijital delilin sahibi, onu ele geçiren şahıslar (Ör: Polis), delilin alındığı medya, delilin ele geçirildiği zaman, delilin içeriği gibi bütün unsurların daha sonradan inkar edilememesi gerekmektedir.

Dijital Delillerin Doğruluğu: Dijital delillerin ele geçirilmesi esnasında kullanılan teknikler ve yararlanılan bilgilerin (Örneğin delilin ele geçirilme zamanı) doğruluğunun ispatı gerekir.

Dijital Delillerin Daha Sonradan Ele Alınabilirliği: Dijital deliller oluşturulduktan sonra, bu delilleri üçüncü bir şahıs inceleyebilmelidir.

Dijital deliller, yukarıda bahsedildiği gibi yapı itibariyle bozulmaya ve kolay bir şekilde değiştirilmeye müsait oldukları için, hukuki yönden kabul edilebilirlikleri konusunda sıkıntılar ile karşılaşılmaktadır. Bu delillerin mahkeme esnasında gerçek delil özelliği gösterebilmeleri için, delillerin ilk alındığı andan itibaren değişmediğinin, hangi tarihte, nereden ve kimlerden alındığının doğrulanması büyük önem arz etmektedir.

Literatür incelendiğinde, konunun bazı boyutları üzerine geçmişte yapılmış çalışmalar olmasına rağmen, sorunu çözmeye yönelik entegre bir çözüme rastlanılamamaktadır. Biz bu konu ile ilgili 2005 yılında bir çalışma yapmış ve bu çalışmamız sonucunda A3D3M (Açık Anahtar Altyapısı Destekli Dijital Delilleri Doğrulama Modeli) isimli bir model öne sürmüştük. Bu modeli ilk olarak 2005 yılında İstanbul’da düzenlenen Ağ ve Bilgi Güvenliği Ulusal Sempozyumunda yayınladık. Daha sonra bu makelenin ingilizce versiyonunu ufak değişiklikler ışığında “Towards Trustable Digital Evidence with PKIDEV: PKI based Digital Evidence Verification Model” ismi ile İngiltere’deki 2nd European Conference on Computer Network Defence (EC2ND) konferansında yayınlamış bulunmaktayız. İlgisini çekenler için Türkçe olan versiyonuna bu linki tıklayarak, ingilizce olan versiyonuna da bu linki tıklayarak ulaşabilirsiniz.