Üst Menu
Search
Generic filters

Ana Menu

EMNİYET PERSONELİNİN BİLGİSAYAR VE BİLGİSAYAR İLİNTİLİ SUÇLARLA MÜCADELEDE

DİKKAT ETMESİ GEREKEN HUSUSLAR

(ADLİ TIP ESASLARINA UYGUN OLARAK DELİLLENDİRME)

 

Basri AKTEPE[*] 

 

Son dönemlerde olay yeri incelemesi konusundaki gelişmeler,  işlenen suçların aydınlatılması oranını ciddi anlamda etkilemiştir. Olay yeri incelemesi sırasında elde edilen materyaller, kan örnekleri, cam parçaları, kıl ve saç örnekleri, tükürük, boya, kumaş, tüy,  parmak izi ve burada zikredilmeyen birçokşey, bir olayın aydınlatılması adına delil niteliği taşıyan özellikleri üzerlerinde barındırmaktadır.

Bilgisayar teknolojisinin gelişmesi ile kurum ve kuruluşların yanı sıra kişisel olarak da bilgisayar ve donanımların kullanımı artmış, hatta bahsedilen donanımların, bir kişinin ve/veya kurum ve kuruluşun varlığını veya yok olmasını etkileyecek bilgileri muhafaza eder hale gelmiştir. Bunun tabii sonucu olarak, mahkemelerde sanal ortamdaki bu bilgilerin kullanılması zorunluluğu doğmuştur. Buna paralel olarak  bilgilerin elektronik delil olabilmesi için gerekli ve yeterli aşamaları içeren bir bilim doğmuştur.

Bilgisayar suçları veya bilişim suçları olarak adlandırılan konularla ilgili tespitlerin yapılıp mahkemelerde delil olarak kullanılması, ileri teknoloji ile mücadelede güvenlik güçleri için birincil unsur olarak değerlendirilebilir. Uluslararası alanda COMPUTER FORENSIC olarak tabir edilen, ülkemizde ise  Bilgisayar Adli Tıbbı  olarak tanımlanabilecek bu başlık, ülkemizde çok yeni bir kavramdır. Bilgisayar Adli Tıbbı, bilişim suçları veya bilgisayar suçları ile mücadelede, mahkemelere sunulacak delilerin toplanması ile ilgili hususların çerçevesini belirleyen, hangi materyallerin delil olabilmesi için ne şekilde işlem yapılması gerektiğini ortaya koyan bir bilim dalıdır.

Ülkemizde bilgisayar adli tıbbının uygulanabileceği iki ana konu vardır. Bunlar; bilgisayar ve donanımlarına karşı işlenen suçlar ve bilgisayar ve donanımları kullanılarak işlenen suçlarla ilgili delillendirmedir.

 

1.      BİLGİSAYAR ve DONANIMLARINA KARŞI İŞLENEN SUÇLAR

Bilgisayar ve donanımlarına karşı işlenen suçlar dendiğinde bizzat bilgisayarın veya donanımlarının kendisine verilen zarar kastedilmektedir. Bu zarar fiziksel olabileceği gibi mantıksal bir zarar da olabilir. Bilgisayar yakılabilir, kırılabilir, diskine, belleğine, ana kartına v.b zarar verilebilir, yazıcı, tarayıcı, yedekleme üniteleri gibi donanımları hasara uğratılabilir. Bu faaliyetlerdeki temelde amaç, sahibi açısından önemli bilgilerinin yok edilmesi ve bir daha erişilemez hale getirilmesidir.    

 

2.      BİLGİSAYAR ve DONANIMLARI KULLANILARAK İŞLENEN SUÇLAR   

Suç işleme eğiliminde bulunan kişi ve/veya kişiler bilgisayar ve donanımlarını

kullanarak üçüncül kişi ve/veya kişiler ile kurum ve kuruluşlara zarar vermeyi hedeflemektedirler. Uzaktan erişim ile diğer bilgisayarlara ulaşarak verilerini kullanılamaz hale getirmek, silmek, değiştirmek olabileceği gibi bağlı bulundukları ağı meşgul ederek çalışamaz hale getirmek gibi  girişimler işlenen suçlara örnek olarak verilebilir.

Bu ve bunun gibi birçok örneklerle bilgisayar kullanarak ve/veya bilgisayara karşı işlenen suçları daha anlaşılabilr kılmak mümkündür. Ancak her iki halde de güvenlik güçleri açısından asıl mesele birileri tarafından gerçekleştirilen bu eylem ve hareketlerin ispatlanabilir olmasıdır.

Bilgisayar adli tıbbı veya uluslar arası ismi ile COMPUTER FORENSIC tam anlamı ile bu hususları da içeren bir bilim dalıdır.

Kısaca tanımlayacak olursak bilgisayar adli tıbbı; Kanuni elektronik delillerin toplanması için kullanılan bilgisayar araştırma ve analiz tekniklerinin bir uygulamasıdır. (judd Robbins,1998)

Bilgisayar adli tıbbının tanımında bahsedildiği üzere ELEKTRONİK DELİL denen bir kavram vardır. Elektronik delil dendiğinde her türlü elektronik data kaydı, dosya, kaynak kodu, program, bilgisayar üretici spesifikasyonları, bilgisayar depolama birimleri gibi değişik birimleri kapsar. Elektronik deliller bir çok değişik yapıda karşımıza çıkabilir. Hassas word dokümanları, personel kayıtları, müşteri listeleri, finansal bilgiler, e-posta dokümanları, randevu adres defteri, sistem logları, sesli mesaj kayıtları veya yazıcıya dökülmüş halleri, silinmiş ancak hala disklerde duran şeyler gibi birçok husus akla gelmelidir. (www.computer-forensics.net)                            

Bilgisayar adli tıbbı olarak ifade edilen bilimin elektronik delillerle ilgili üç önemli adımı vardır. Bunlar; delillerin toplanması, delillerin onaylanması ve muhafazası ile delillerin analizidir. (Handbook of Forensic Services,1999)

 

3.  İŞLENEN SUÇLAR SONRASI YAPILMASI GEREKENLER 

 

1.DELİLLERİN TOPLANMASI;

 

A. İlk Müdahale,

Özellikle bilgisayar suçlarıyla mücadelede kesin tarif edilecek bir hareket tarzı yoktur. İşlenen suçun türüne göre yapılacak işlem sıralaması değişebilmektedir. Örneğin Internet aracılığı ile işlenen bir suçta elde edilen bilgisayarın kapatılmaması zorunlu bir durumdur. Hafızada oluşan delillerin yok olmaması için hemen bir kopyasının alınması şarttır. Oysa diğer hallerde kesinlikle orijinal disk üzerinde çalışılması uygun karşılanmaz. Tüm işlemlerin yedeklenen ünitelerde yapılması uygun olmaktadır.

           

B.Delil Toplama Aşamaları,

İster halen bilgisayar açık iken yapılması gereken işlemlerde ,isterse bir ağ

bağlantısı olmayan hallerde, delil toplama faaliyeti sırasında yapılan bütün faaliyetlerin düzenli bir şekilde kaydedilmesi gerekmektedir. Bu işlem sırası bir zincirin halkaları gibi birbirini tamamlar ve destekler nitelikte olması gerekmektedir. Gerektiğinde mahkemelerde geçirilen bütün bu delil aşamaları tekrar kontrol edilebilmelidir. Yapılan işlemin doğruluğu hem olayın çözümü noktasında hem de mahkeme safahatında savcının tezini kuvvetlendirecek niteliktedir.

Mahkeme aşamasında sanık avukatı mutlaka delilleri geçersiz kılmak için yapılan işlemlerde boşluk tespit etmeye çalışacaktır. Bu nedenle delil toplama aşamaları arasında bağlantının kopuk olmaması önem arz etmektedir.

 

C.Delillerin Toplanması ,

Bilgisayar ve/veya bilgisayar aracılığı ile işlenen suçların delillendirilmesi işlevinde yalnızca bilgisayar değil bağlı bazı medya ürünleri de delil niteliği taşıyabilecektir. Bu nedenle olay yerinde bilgisayarın yanında disket, cd, kartuş, dlt, son dönemlerde üretilen değişik disk üniteleri (compact flash, usb memory, smart card, smart media v.b.), yazıcı (özellikle hafızalı olanlar) yazıcı şeritleri v.b. türde olay yerinde karşılaşılabilecek diğer bilgisayar ilintili tüm ürünler delil olarak kodlanmalı ve kayda geçirilmelidir. (Computer Forensics, 2002)

Özellikle İnternet Servis Sağlayıcıları (İSS) türünde umuma hizmet veren yapıların yedeklemeleri de delil olarak alınmalıdır. Bu tür elektronik delillerin tamamı hazırlanacak standart formlar vasıtası ile kayıt altına alınmalı ve bu kayıt işlemi bizzat olay yerinde yapılmalıdır.

 

D.Delillerin Etiketlenmesi,

Olay yeri inceleme öncesi alınması gereken tüm tedbirler, aynen bilgisayar suçları için de geçerlidir. Kimsenin olay yerinde başı boş gezmesine izin verilmemelidir. Ancak profesyonel olay yeri incelemesi yapan görevlilerin konu ile ilgilenmesi temin edilmelidir. Yine fotoğraf makinesi ile tüm bölgenin fotoğrafları alınmalı ve diğer tüm işlemler yapılmalıdır.

Fotoğraf çekimi sırasında tüm bilgisayarların hem ön ve hem de arka tarafından ürerindeki seri numaraları okunacak ve herhangi bir ağ bağlantısının varlığı belli olacak şekilde olmasına dikkat edilmelidir. Ayrıca olay yerine intikal edildiğinde sistemler çalışır durumda iken fotoğraflar alınmalı, fotoğraf çekimleri tamamlandıktan sonra sistemlerin enerjisi çekilerek delillerin toplanmasına başlanmalıdır. Fotoğraf çekimi esnasında bilgisayar ekranlarının çalışma frekansının görüntü alan video kameralarınkinden farklı olması itibariyle çıkabilecek bozuk görüntüler konusunda dikkatli olunmalı ve mümkün mertebe detaylı ve net görüntüler alınmalıdır. Olay yerinde çekilen tüm fotoğraflarda ayrıca delil niteliği taşıdığından dolayı mahkemeye sunulmalıdır.

Bazen olay yerinde çok fazla bilgisayar ve donanımlarının mevcut olduğu haller olabilir. Bu durumda yapılacak şey olay yeri inceleme ekibinin beraberinde bir diz üstü bilgisayar ve küçük ebatta etiket yazıcısı götürmesidir. Bu işlem, olay yerindeki faaliyetlere kolaylık sağlayacağı gibi işlemleri hızlandırmakla beraber delillerin kaybolmasını da engelleyecek, unutulmayı, tespit yapılıp yapılmadığının kolaylıkla görülmesini sağlayacaktır.

 

E.Delillerin Taşınması,

İleri teknoloji ürünleri olarak ta tanımlanabilecek bilgisayar ve bağlı ürünleri olay yerinde delil olarak kayda geçirildikten sonra incelenmek üzere laboratuarlara taşınmak zorundadır. Bu tür ürünlerin hemen zarar görebileceği ve çok hassas olduğu unutulmamalıdır.

Özellikle statik elektriğin bile zarar verebileceği hassasiyetteki bu tür şeyler, statik elektrikten etkilenmeyecek paketlere konmalı, ayrıca taşıma sırasında sarsılma ve darbelere karşı da tedbir üretilmeli ve meydana gelebilecek hasarların önü alınmalıdır. Toplanan tüm delillerin paketlemesi yapıldıktan sonra paketlerin  ağzı mühürlenmeli ve son hali ile kayıtlar tekrar gözden geçirilmelidir. Paketlerin yapılacak işlemlere göre her açılıp kapanması yine kayıt altına alınmalıdır. Bu tür faaliyetler özellikle mahkeme safhasında önem kazanacaktır.

 

F.Delillerin Muhafazası,

Delillerin toplanmasından sonra laboratuara intikali ve burada delillerle ilgili

analiz çalışmaları öncesinde delillerin, bozulmaya karşı önlemlerle donanmış serin, tozsuz ve nemsiz bir ortamda, delillerin bulunduğu bölgeye giriş çıkışın kayıt altına alındığı ve belli sayıda insanın giriş çıkışına izin verilen bir yerde saklanması çok önemlidir.

Özellikle mahkeme aşamasında bu konular sanık avukatları tarafından kullanılabilecek başlıklardır. Belli sayıda yetkili insanın erişebildiği, bozulmaya karşı önlem alınmış ve her delil için inceleme öncesi ve sonrası saklandığı yere giriş çıkış kaydının tutulması, yapılan işin düzenli ve kötüye kullanma ihtimalini ortadan kaldırır olduğunun bir göstergesidir.

 

G.Dokümantasyon

Yukarıda tarif edilen aşamaların hemen her adımının kaydedilmesi, ‘daha sonra hatırlarım’ gerekçesi ile akılda bazı ayrıntıların kalmaması her şeyin rapora dökülmesi en önemli adımlardandır. Olay yerine gidildiğinde yapılacak işlerin tarif ve delil niteliği taşıyan şeylerin  tasnifi, ilerdeki işlem safhalarında olayın içinde boğulmama, işin en iyi şekilde altından kalkma noktasında çok önemlidir.

Görevlilerden biri yalnızca bilgisayarları, diğeri yedekleme üniteleri ve çevre donanımları, diğer bir görevli ise toplanan delillerin kaydını yapmak türünde görev paylaşımı işlerin kolaylaşması ve profesyonelce halledilmesi için öncelikli şartlardandır.

Günümüzde diğer gelişmiş ülkelere bakıldığında bu tür işlemler için bazı yazılımların kullanıldığı görülmektedir. Hem işlemleri gerçekleştirirken kullandığımız yazılımın sürüm numarası ve diğer detaylarının kayıt altına alınması gerektiği gibi, delil olabilecek bilgisayar ve donanımları ile üzerlerinde koşan yazılımlarının sürüm numarası, versiyonu, ve hatta tespiti mümkün ise en son yüklenen yamaların bile numaralarının tutulması ayrıntı olarak görülse de, tahkikatın ileriki safhalarında önemli olabilecek hususlardır.

Bir olayın başından sonuna her hususun kayıt altına alınması, yıllar sonra olayın detaylarını bilen insanlara ulaşamama durumunda yaşanacak dezavantajları da ortadan kaldıracaktır.

 

1.      DELİLLERİN KABULLENİLMESİ, ONAYLANMASI;

 

Yapılan inceleme ve delil toplanması faaliyetlerinden sonra en önemli hususlardan biri de toplanan delillerin delil olarak kabul edilebilecek şekilde hazırlanmasıdır. Özellikle mahkeme sürecinde sanık avukatları bu delillerin geçersizliği ile ilgili savları mutlaka öne süreceklerdir.

 Toplanan deliller muhafaza altına alındıktan sonra analiz aşaması için hazır durumdadırlar. Bu durumda ;

a. Yapılan tüm işlemler kayıt altına alınmış olmalıdır.

b. Delil niteliğindeki disk, yedekleme medyaları, gibi bilgi içeren medyalara zaman noktaları (Time stamping) atılabilir. Yani o medyadan elde edilen bilgilerin o tarihte elde edildiğini gösterir bir tekniktir.

c. Hash algoritmaları kullanılarak üretilen değerler, daha sonra yapılacak işlemlerde kullanılarak delillerin elde edildiği zamanki içeriklerinde herhangi bir değişikliğin olmadığı ispat edilmiş olur. Bu işlem herhangi bir olayın tekilliğini (unique) ifade etmektedir. Yani, DNA’nın insanları tekil olarak ifade ettiği gibi bu işlemlerde delilin tekilliği sağlanmaktadır. Elektronik parmak izi olarak da adlandırmak mümkündür. MD5, SHA türünde hash algoritmaları otoriteler tarafından da kabul gören uygulamalardır.( Computer Forensics , Kruse-Heiser, 2002)

 

 

2.  DELİLLERİN ANALİZİ, DEĞERLENDİRİLMESİ

 

Yukarıda sıralanan tüm işlemler analiz çalışmalarına başlamadan yapılması gereken hususları detaylı olarak tarif etmiştir. Çünkü bu işlemlerdeki herhangi bir eksiklik veya atlama daha sonra yapılacak analiz çalışmalarını tamamen boşa çıkarabilir. Bu nedenle işlemlerin tam olarak yerine getirilmesi çok önemlidir.

Analiz çalışmalarında ilk yapılacak şey orijinal medyaların fiziksek yedeklerinin alınmasıdır. Silinen dosyaların, oluşturulacak yedekte de yer alması ancak bire-bir (bit-for-bit veya drive-to-drive) kopyalama ile mümkündür.

Bire-bir fiziksel yedeğin alınmasından sonra hashing uygulaması ile orijinal iki adet imaj çıkartılmalıdır. Hiçbir işlem yapmadan hash uygulaması ile üretilen değerleri bir yere yazarak üretilecek raporda kullanılması, ilerde gelebilecek itirazların önünün alınması  ve tüm analizde elde edilebilecek bilgilerin (dataların) delillerden üretildiğinin ortaya konması açısından önemlidir.

Hiçbir işlemin orijinal medya üzerinde yapılmaması birinci şarttır. Tüm çalışmalar alınan imaj üzerinden yürütülmelidir. Küçük görünen bir hata bile delil olacak bir hususun yok olmasına sebep olabilir. İmaj üzerinde yapılan çalışmada hata olsa bile, orijinal veriler yeni bir imajın üretilmesinde kullanılabilir. Ticari olarak hem fiziksel yedek ve hem de imaj çıkartılması için değişik donanım ve yazılımlar mevcuttur.

Analiz çalışmalarının verimli bir şekilde yürütülebilmesi için mümkün olduğunca farklı yazılımdan istifade etmek, değişik işletim sistemlerinde kullanılabilen farklı yazılımlara sahip olmak , çalışmaların hızını ve verimini artıracaktır.

Diğer olaylarda, olay yeri inceleme uzmanlarının dikkat ettiği tüm hukuksal sınırlar aynı şekilde bilgisayar suç araştırmacıları için de geçerlidir. Diğer suçlarda delil toplama ile ilgili kanuni sınır ve standartlarla aynı standartlarda tespit ve araştırma yapılmalıdır.  

İkinci olarak dosya sisteminin ne olduğunu incelemekte fayda vardır. Nasıl bir dosya sistemi ile ilgili işlem yapılacağının önceden bilinmesi, çalışmalara hız katacak ve kullanılacak yazılım ve donanımların belirlenmesine fayda sağlayacaktır.

Delil niteliği taşıyan medyanın içeriğinin detaylı bir dökümünü almak, diğer önemli bir husustur. Bu detay bilgisayar klasör yapısını, dosya adını, boyutunu, oluşturulduğu tarihi, dosyanın türünü içermelidir. Bu çıktı yazıcıya gönderilebileceği gibi elektronik ortamda da muhafaza edilebilir. Elektronik ortam daha sonra yapılacak çalışmalarda kolaylık sağlar.

Elde edilen dosya türleri, kullanılan yazılımlar gibi hususlar incelendiğinde mevcut bilgisayarın nasıl bir kullanıcı tarafından kullanıldığını anlamak mümkündür. Örneğin şifre kırma, dosya şifreleme gibi yazılımlar tespit edilmişse daha profesyonel bir kullanıcı olduğu anlaşılacağından incelemenin hassasiyeti artırılır.

Sonuç olarak ;

a.      Yapılan her işlemin kayıt altına alınması,

b.      Yapılacak işlemleri check list şeklinde oluşturup arada atılması gereken adımların unutulmaması,

c.       Delillerin iyi toplanması ve muhafaza edilmesi,

d.      Delil üzerinde yapılan her işlemin kayıt altına alınması,

e.      Suçun türüne göre analiz çalışmalarının yapılması,

 

Özellikle mahkeme sürecinde işlem yapan analizcileri rahat ettirecek ve sanık ve avukatını zorlayacaktır.

Hedef hiç kimsenin zorda kalması veya mağdur olması değil, ‘ADALETİN YERİNİ BULMASI’ dır.

 

 

KAYNAKLAR

 

Judd Robbins,1998

www.computer-forensics.net

Handbook of Forensic Services,1999

Computer Forensics, 2002

Computer Forensics , Kruse-Heiser, 2002

 

 



[*] 3.Sınıf Emniyet Müdürü, İstihbarat Dairesi Başkanlığı Bilgi İşlem Şube Müdürü