Cezai soruşturmalar ve diğer adli olaylarda telefon ve tablet gibi mobil cihazların adli bilişim incelemesi uzun zamandır yapılmaktadır ve son yıllarda oldukça yaygınlaşmıştır. Aslında mobil cihazlarda Adli bilişim çalışmaları 2000’li yılların başlarından itibaren yapıldığı düşünüldüğünde bu nispeten yeni bir tarihtir.

Tıpkı sıradan kişilerin mobil cihazları kullandığı gibi, suçlular da birçok durumda mobil cihazlar taşımaktadırlar. Mobil cihazlarda çok sayıda donanım, yazılım ve dosya sistemi farklılığı olduğu için, mobil cihazların adli incelemeleri, kriminal bilgisayar incelemesi gibi geleneksel şekilde gerçekleştirilemez. Mobil cihazlarda, adli incelemeyi daha da zorlaştıran birçok kapalı ve açık kaynak işletim sistemi vardır. Bu özellik telefon, akıllı telefon, tablet ve diğer mobil cihazları kapsayan Mobil Adli Bilişim alanının doğmasına yol açmıştır.

Klasik bir cep telefonu çeşitli bilgiler içerir: Kişiler, notlar, fotoğraflar, takvim, SMS’ler, MMS’ler.

Bir akıllı telefon ise e-posta veya dosyalar gibi daha daha birçok veri içerir. Basitçe düşünüldüğünde bir mobil cihaz, videolar, internet erişimleri, konum ve sosyal ağ bilgileri içermektedir. Tüm bu bileşenler, kriminal bilişim incelemesi açısından doğru kanıtları ortaya çıkarmak için oldukça yararlıdır. (Cep Telefonu Adli Bilişim İncelemesi)

Mobil Adli Bilişimde Zorluklar

Mobil cihazlar çok çeşitli yazılım ve donanım güncellemelerine maruz kalırlar. Cihaz üreticileri genellikle kullanıcıları bu yükseltmeleri yapmaya zorlar. Zaten işletim sistemlerindeki farklılıklar mobil cihaz incelemelerinde başlı başına bir problemdir. Android, Windows Phone veya iOS gibi farklı işletim sistemleri farklı inceleme yöntemleri gerektirir. Problemin bir başka faktörü olarak, dosya sistemleri mimarisindeki farklılıklar göze çarpmaktadır. Dolayısıyla, bir Mobil Kriminal Bilişim incelemesi bu sorunları çözmek için farklı araçlar ve teknikler kullanmak zorundadır.

Telefon Kriminal İncelemesi

Mobil cihaz (telefon, tablet vb.) kriminal incelemesi, adli olayları araştırmada mobil cihazlardan dijital kanıt elde etmek için ortaya çıkmış bir alandır. Mobil Adli Bilişim sadece cep telefonları ile sınırlı değildir. Aynı zamanda GPS, tablet, PDA ve diğer mobil cihazları da kapsamaktadır. Mobile Forensics’teki ana amaç, herhangi bir kayıp, hasar veya verilere müdahale olmaksızın cihazların dahili hafızasından, SD karttan ve SİM karttan veri almaktır.

Esasen, mobil cihazlarda bulunan kanıt türleri yalnızca bellek, SİM veya SD kartla sınırlı değildir. Aynı zamanda bulut depolama, tarayıcı geçmişi ve coğrafi konum gibi tüm akıllı telefon kanıtlarını da içerir.

Mobil cihazlardaki arama geçmişi (çağrı kayıtları – HTS) gibi ayrıntılar servis sağlayıcılarından (GSM operatörleri) edinilebilir. Ancak, bazı önemli bulgular veya kanıtlar sadece dahili bellekte değil flaş bellek veya SD kartlar gibi harici aygıtlarda da saklanır.

Mobil cihazlardaki kanıtların (Telefon İmaj İnceleme) ayrıntılı listesi aşağıdakileri içermektedir:

• Tarih / saat, dil ve diğer ayarlar
• Rehber / İletişim Bilgileri
• Takvim bilgisi
• SMS mesajları
• Giden, gelen ve cevapsız arama kayıtları
• Elektronik posta
• Fotoğraflar
• Ses ve video kayıtları
• Multimedya mesajları
• Anlık mesajlaşmalar (Whatsapp, Facebook Messenger vb.)
• Web sitesi erişimleri
• Elektronik belgeler
• Sosyal medyayla ilgili veriler
• Uygulama ile ilgili veriler
• Konum bilgisi
• Coğrafi konum verileri

Mobil Adli Bilişim İnceleme Süreçleri

Mobil cihaz kriminal incelemesi yapmak için belirli bir prosedürün izlenmesi gerekir. Bu süreç aşağıdaki gibi işlemelidir:

1. El koyma: Mobil aygıtın ele geçirilmesi adli bilişimde çok önemlidir. Adli bilişimci, mobil cihaza el koyarken hafızanın değiştirilmemesi ve üzerine yazılmamasından emin olacak şekilde en iyi yolu kullanmalıdır.

Mobil cihaz olay mahallinden olduğu gibi alınır. Eğer cihaz bir ağa veya internete bağlıysa, o zaman uzaktan erişimle hafızadaki verileri yani kanıtları yok etmek üzere üzerinde yazma veya sıfırlanma ihtimali vardır. Bundan kaçınmak için, el koyma işlemi esnasında cihaz Faraday kafesine veya mobil cihazın herhangi bir ağa bir bağlanmasına engel olan bir torbaya konulur. Adli bilişim uzmanının, el koyma sırasında cihazı Uçak Modu’na alması şiddetle önerilir.

2. Kanıt Toplama (Edinme): Kanıtların etkili bir şekilde toplanmasını sağlamak için, öncelikle cihazın marka ve modelinin tanımlanması önemlidir. Marka ve model cep telefonunun önüne ve arkasına bakılarak veya kapak çıkarıldıktan sonra pil alanının çevresine bakılarak kolayca bulunabilir. Ardından, mobil cihazdan veri çıkarma işlemi olan kanıt toplama kısmı gelir. İnceleme yapan kişi, veriye sahip bileşenlerden hiçbirini sökmeden kanıt toplamaya çalışmalıdır. Mobil cihazda bataryanın boşalması durumunda kanıt toplamak mümkün değildir. Ayrıca Faraday kafesi veya torbasında iken telefonu şarj etmek en iyi çözüm değildir. Çünkü bu durum telefonun ağa erişemediğini algılayan bazı elemanların durumunu değiştirmesine ve bellek yöneticisini tetikleyerek kanıtların üzerine yazılmasına neden olabilir.

Kanıt toplama aşağıdaki şekillerde yapılabilir:

• Elle toplama: Bu edinim türünde, adli bilişim uzmanı, mobil cihazı normal kullanıcı gibi kullanarak kanıtları elle toplar. Esasen bu senaryo, birçok mobil cihazda şifre veya başka bir güvenlik mekanizması olduğu için nadiren gerçek olur. El konulan cihaz bu yöntem kullanılarak incelendiğinde, verilerin kaybolma veya silinme olasılığı yüksektir.
• Fiziksel İmaj Alma: Bu edinme türünde, adli bilişim uzmanı mobil cihazın tüm fiziksel belleğini kopyalamaya çalışır. Yapılan işlem uzmanın, bazı araçların yardımıyla açık bir şekilde silinmiş dosyaları ve verileri ortaya çıkarmasını sağlar. Aslında, tüm mobil cihaz üreticileri, fiziksel belleğe doğrudan erişilmesini ve okunmasını önler. Bu nedenle adli bilişim programları fiziksel imaj almak için ön yükleyicinin (bootloader) üzerine yazması gerekir.
• Mantıksal İmaj Alma: Bu edinim türünde, adli bilişim uzmanı dosya sistemi, veri yapıları vb. gibi tüm mantıksal depolamaya erişmeye çalışır. Çoğu durumda üretici tarafından sağlanan API yardımıyla mantıksal imaj alınabilir. Tabi ki bunun öncesinde adli bilişim uzmanı mobil inceleme yazılımını üreticinin API’siyle senkronize etmek zorundadır. API veya adli araçlar, veri yapısını ve verileri etkin bir şekilde otaya çıkarır ve sunulacak verileri düzenler. Bununla birlikte, API bir adli araç değildir. Dolayısıyla tüm veriler elde edilemez. Bu dezavantajın üstesinden gelmek ve kanıt kaybının önüne geçmek için adli bilişim yazılımları, cep telefonuna kurulan ve adli açıdan önemli veriler elde etmeye yardımcı olan araçlar (agent) kullanmaktadır.
• Dosya sistemi edinimi: Mantıksal edinim silinen bilgileri almaz. iOS ve Android işletim sistemlerinde, veritabanları SQLite formatında tutulmaktadır. Bir veritabanı silindiğinde, bellekten silinir ama tam anlamıyla yok olmaz. Hafızanın bu kısmı, üzerine yeniden veri yazmak için kullanılabilir durumda tutulur. Dosya sistemi edinimde, bu silinmiş veritabanları bellekten alınabilir.
• Bruteforce edinimi: Bu edinme yönteminde, adli inceleme uzmanı, cihaza erişmeyi sağlayacak doğru şifreyi bulmak için mobil cihazlara 0000 – 9999 arası şifrelerin gönderildiği bir “deneme-yanılma” yöntemini kullanmaktadır. Mobil cihazların şifrelerini bulmaya yardımcı olan bazı ticari araçlar ve Python scriptleri vardır. Şifre kırıldıktan sonra, mobil cihaz adli soruşturmada kolayca kullanılabilir.

Bir mobil cihazın imajı yani adli kopyası alındıktan sonra, kanıtların bütünlüğünü korumak için bir hash kodu üretilir. Bu değer, edinim sürecinden sonra yapılan analiz ve inceleme bölümünde önemlidir. Cihazdan alınan kopyanın değiştirilmesi veya kurcalanması muhtemeldir. Bu nedenle, hash kodu, adli imajı alınan verilerin manipüle edilip edilmediğini belirlemek için kullanılır. (Telefon Kriminal İnceleme)

3. İnceleme ve analiz : Mobil cihazlar akıllı telefonlara doğru evrildikçe, bilgisayarlarda bulunan üst düzey dosya sistemlerini kullanmaya başladılar. Örneğin, NAND hafıza çiplerinde FAT dosya sistemlerine geçişin olduğunu görmekteyiz. Bu nedenle temel olarak, bilgisayar adli bilişim incelemesi yapmak için kullanılan birçok yazılım, bazen ilave bir modül kullanımı ile bazen de varsayılan olarak cep telefonu ve tablet gibi mobil cihaz incelemesinde de kullanılabilmektedir.

4. Raporlama : Bilgisayar kriminal incelemesi ile benzerlik arz eden bu aşamada bulgular istenen şekilde kağıda dökülür ve mümkün olduğu ölçüde değerlendirme yapılır. İnceleme raporunda, teknik bilgisi az olan kişilerin dahi anlayabileceği biçimde kanıtların görselleştirilmesi önem arz eder. (Telefon İnceleme Raporu)

Mobil Cihazlarda Bulut Bilişim İncelemesi

Mobil bulut bilişim, bazı kullanıcı uygulamaları ve verilerin cihaz hafızası yerine bulutta (yani, internet sunucularında) depolanmasından ortaya çıkan yeni bir disiplindir. Bu veriler coğrafi olarak farklı yerlerde depolanabilir. Bulut bilişim ortamları, tasarımları bakımından oldukça karmaşıktır ve genellikle coğrafi olarak dağınık yapıdadır. Çoğu zaman, mobil cihaz kullanıcıları depolama ihtiyaçlarını en düşük maliyetle karşılamak amacıyla ve veri yedekleme gereksinimleri nedeniyle bulut servislerini kullanmayı tercih ederler. Adli bilişim incelemelerinde bulutta tutulan verilere de ulaşılabilmesi sağlıklık değerlendirmeler yapabilmek açısından önemli bir olgudur. Bulut bilişimin nispeten yeni bir alan olması çalışmalarda kullanılan araçlar da hızla bu yönde kabiliyetlerini arttırmaktadırlar.

Cep Telefonu Adli İncelemesinde Kullanılan Yazılımlar

Adli bilişim yazılımlarının çoğu Android, iOS ve Windows telefonları destekleyecek şekilde tasarlanmaktadır. Mantıksal, fiziksel, dosya sistemi edinimini gerçekleştirebilen ve yaygın olarak kullanılan araçlar şunlardır:

1. Cellebrite UFED: Çeşitli mobil cihazlardan imaj alma ve inceleme işlemlerini gerçekleştirebilen ticari bir adli inceleme aracıdır. Yazılım ve donanım olarak iki ayrı ürün şeklinde satılmaktadır. (Adli Telefon İncelemesi)
2. Oxygen Forensic Suite: Android, iOS, Windows vb. gibi çeşitli mobil cihazların mantıksal ve fiziksel analizlerini gerçekleştirmeye yardımcı olan ticari bir adli bilişim programıdır.
3. XRY: Windows platformuna kurulan bu güçlü adli bilişim yazılımı, mobil cihazlardaki verileri tam bütünlükle getirebilmektedir.

Sonuç

Mobil cihaz (cep telefonu, tablet vb.) kriminal bilişim incelemesi genellikle kolluk soruşturması ile ilişkilidir. Ancak kurum içi tahkikatlar, askeri ve özel soruşturmalar, ceza savunması, boşanma davaları vb. gibi çok farklı alanlarda da uygulanmakta ve kullanılmaktadır. Mobil Adli Bilişim uzmanlarını bekleyen birtakım zorluklar bulunmaktadır. Mobil işletim sistemlerinin kendine has yapıları, üreticilerin işletim sistemi güvenliği ve veri güvenliğine yönelik aldığı özel önlemler bunlardan bazılarıdır. Bunlara bağlı olarak, cihazdan uygun şekilde veri elde etmek için hangi araçların tercih edileceği adli bilişim uzmanını bekleyen kararlardan biridir.

Cep telefonunuzdan silinen bilgilere ulaşmak mı istiyorsunuz? Açtığınız/açacağınz davada ya da size açılan karşı davada kullanmak üzere cihazınızı inceletmeyi mi düşünüyorsunuz? 

Best Veri Kurtarma, uzman kadrosuyla bilgi sistemlerini ve mobil cihazları usüllere uygun olarak inceler. Kolay anlaşılır şekilde, görsellerle desteklenmiş olarak Digital İnceleme Raporu hazırlar. Sorularınız ve Adli Bilişim başvurularınız için lütfen bizimle iletişime geçiniz.

Best Veri Kurtarma Merkezi

Biz “Kurtarılamaz” Demedikçe Hiçbir Veri Kurtarılamaz Değildir..