Mobil Adli Bilişim (Mobli Forensics) Nedir?

Mobil Adli Bilişim, adli araştırmacılar tarafından mobil cihazlardan veri ve diğer dijital kanıtları almak için kullanılan değerli bir bilimsel metodoloji yelpazesi olarak görülebilir. Bunlar, cep telefonları, akıllı telefonlar, PDA’lar ve tabletler gibi mobil bilgisayar aygıtlarını içerir. Bu cihazlardan kanıt toplandıktan sonra, mahkemede kabul edilebilir olması gerekir; bu da öngörülen protokollerin her zaman ve soruşturma süreci modelinin tüm aşamalarında araştırmacılar tarafından takip edilmesi gerektiği anlamına gelir.

Mobil Adli Bilişim kısaca Mobil cihaz adli incelemesi, adli koşullarda mobil cihazdan dijital delilin kurtarılması bilimidir. Bu işlem mobil cihazdan ve SIM karttan verinin elde edilmesi ve analizini kapsar. Mobil cihazlarda adli bilişim failin suçunu mobil cihazı da kapsayarak bulmayı amaçlar.

Amaç:

  • Gizlilik
  • Bütünlük
  • Erişilebilirlik

Genel kabul görmüş adli soruşturma süreci modeli:

  • Delillerin Toplanması
  • İncelenmesi
  • Analiz ve Değerlendirme
  • Kanıt olarak kabul
  • Raporlama

Mobil Adli Bilişim kursları, dijital adli bilişim uzmanı olarak yolculuğuna başlamak isteyen herkes için mükemmel bir başlangıç ​​noktası olmaktadır. Bu eğitimler sayesinde, gerçek dünyadaki bilgisayar ve mobil tehditleri ve bilgisayar suçlarını incelemelerini sağlayacak gerekli becerileri alarak CCFE ve CMFE sertifikasyon sınavlarına girecek bilgiler edinmiş olunmaktadır.

Mobil Adli Bilişim kurslarında araştırmacının bir vaka üzerinde çalışırken kullanmayı seçebileceği çeşitli yaklaşımlar ele alınmakta ve dahil olan süreçleri daha iyi anlayabilmek için bu yöntemlerin her biri hakkında ayrıntılı olarak alıştırma yapılmaktadır.

Mobil Adli Bilişimde Karşılaşılan Kısıtlar:

  • Donanım farklılıkları
  • Mobil işletim sistemleri
  • Mobil platform güvenlik özellikleri
  • Kaynak yetersizliği
  • Aygıtın genel durumu
  • Delilin dinamik doğası
  • Cihaz değişikliği
  • İletişim kalkanı
  • Araçlara ulaşımın kısıtlılığı
  • Zararlı programlar
  • Yasal sorunlar

Mobil Adli Bilişimde Çeşitli Kanıt / Veri Toplama Türleri Nelerdir?

Mobil Adli Bilişim yazılımları ile edinim tekniklerini ve yöntemlerini anlamak önemli olsa da, bir adli uzman görevi vaktinde tamamlayabilmek için çeşitli araçlara ihtiyaç duymaktadır. Adli araçlar sadece vakit kazandırmakla kalmayıp süreci de kolaylaştırır. Günümüzde Elcomsoft iOS Forensic Toolkit, Cellebrite UFED, BlackLight, Oxygen Forensic Suite, AccessData MPE+, iXAM, Lantern, MSAB(XRY), SecureView, Paraben iRecovery Stick gibi pek çok araç, mobil cihazlarının incelenmesi için kullanılmaktadır. 
Bu yazılımların hemen hemen hepsi aşağıdaki özellikleri destekler.

  • Mantıksal edinimi destekler.
  • Şifre ele geçirme imkânı sağlar.
  • Yedeklenmiş verileri okuyabilir.
  • Zaman çizelgesi ile tek bir bölgede verilere ulaşılabilir.
  • İşlemden sonra bir iz ya da değişim bırakmaz.
  • Silinmiş verileri otomatik olarak kurtarır.
  • Manüel analiz için ham dosyalara erişim sağlar.
  • Kullanıcı dostu arayüz sağlar.
  • Arama yapmak için anahtar kelime listeleri ve kütüphane özelliklerine sahiptir.
  • Raporu çeşitli formatlarda, (Microsoft Excel, PDF, HTML, vb.) sunabilir.

Bir cihazdan delil toplamaya çalışırken adli bilişim uzmanları tarafından kullanılabilecek birkaç yöntem vardır, ancak en belirgin kullanılan veri toplama yöntemleri şunlardır:

  • Manuel
  • Mantıksal
  • Dosya sistemi
  • Fiziksel
  • Kaba kuvvet (Brute Force)

Bu veri toplama türlerinin her birinin kendi avantajları ve dezavantajları ve ayrıca kullanılması gereken şartlar vardır. Bu yöntemlerin her birine ayrı ayrı bakacağız ve bir adli bilişim uzmanının belirli bir tür kazanım yöntemini ne zaman kullanmaya meyilli olduğuna dair kısa bir açıklama yapacağız.

Manuel Veri Toplama

Manuel veri toplama, bir mobil cihaz işlevsel olduğunda ve şifreli olmadığında veya fiziksel olarak hasar görmediğinde kullanılır ve cihaz grafiksel kullanıcı arayüzü (GUI) üzerinden gezinilebildiği için özel bir yazılım veya yazılım aracı gerekmez. Resimler, belgeler, arama kayıtları veya kullanıcının erişebileceği diğer veriler ve özellikler gibi içerikler araştırmacı tarafından görüntülenebilir. Çoğu durumda, ekran görüntüleri dijital kamera veya video adaptörü aracılığıyla cihazdan, görüntü yakalama yazılımı ile harici bir ekrana yakalanır.

Bu mutlaka kapsamlı bir tespit yöntemi değildir, çünkü cihazın işletim sistemine okunamayan veriler bu işlem sırasında araştırmacı tarafından erişilebilir olmayacaktır. Silinen öğeler de bu düzeyde kurtarılamaz, yani bu bir gereksinim olursa, daha fazla teknik yöntemin kullanılması gerektiği anlamına gelir. Araştırmacı mobil cihazı bu şekilde kullandığında, dosyaları yanlışlıkla silerek veya zaman damgalarını değiştirerek verilerin güvenliğini tehlikeye sokma riski vardır.

Bir diğer kritik faktör, manuel veri toplama işleminin zaman alıcı niteliğidir. Bunun nedeni, bir araştırmacının potansiyel olarak büyük veri depoları arasında manuel olarak el atması ve delile girilen her parçanın ekran görüntüsünü manuel olarak çekmesi gerekmesidir. Birkaç yüz resmin, e-postanın veya mesajın olduğu durumlarda, anlamlı bir soruşturmayı tamamlamak için büyük miktarda zamanın gerekli olacağı hemen ortaya çıkıyor. Bu nedenlerden dolayı, adli bir araştırmacı, bu yöntemi yalnızca diğer tüm yolar çoktan tükenmişken, son çare olarak kullanabilir.

Mantıksal Veri Toplama

Bu yöntem, bir mobil cihazın adli araştırmacının iş istasyonuna kablolu bir USB, Lan veya RS 232 bağlantısıyla bağlanmasını içerir. Araştırmacının gereksinimlerine ve incelenmekte olan cihazın yeteneklerine veya sınırlamalarına bağlı olarak, Wi-Fi, IrDA (kızılötesi) veya Bluetooth gibi kablosuz bağlantılar da kullanılabilir. Her yöntem kendi iletişim protokolünü kullanır ve mobil cihazın verilerini bit seviyesinde aktarmak için verileri farklı şekilde paketleyebilir.

Her mobil işletim sistemi, adli araştırmacıların iş istasyonlarına yükleyebilecekleri bir ilişkili SDK’ya (yazılım geliştirme seti) sahiptir. SDK, mobil cihazın donanımına ve yazılımına üretici düzeyinde erişim sağlar, çünkü mobil cihazın API’si (uygulama programlama arayüzü) ile doğal olarak etkileşime girer ve adli iş istasyonundan uzaktan verilen komutlara cevap vereceği anlamına gelir.

Bu yöntem özellikle SMS, MMS ve çağrı geçmişlerinin incelenmesi gerektiğinde kullanışlıdır. Araştırmacı, cihaza işletim sistemine özgü adli araçları uzaktan yükleyebilir ve CSV veya XLS formatlı belgeler gibi birçok farklı formatta adli raporlar göndererek mobil cihazın dosya yapısını etkilemeyecek sorguları çalıştırabilir. Bunlar insan tarafından okunabilen belgelerdir ve mükemmel bilgi kaynaklarıdır. SMS veya yazılı mesajlaşma verilerinin incelenmesi gereken durumlarda, belge alanları gönderilen zamanı, alınan zamanı, durumu (okunan veya okunmayan), mesaj boyutunu, mesaj içeriğini (mesajda söylenenleri), protokolü ve daha fazlasını içerebilir. Cihaza yüklenen Adli uygulama, inceleme ve değerlendirme tamamlandıktan sonra mobil cihazın bütünlüğünü etkilemeden kaldırılabilir.

Dosya Sistemi Veri Toplama

Bu yöntem bir mobil cihazdan silinen dosyaları kurtarmak için mükemmel bir yoldur. Pek çok dijital sistemde, silinen bir dosya genellikle hiç silinmez, aksine sisteme bu dosyanın güvenli bir şekilde üzerine yazılabileceğini belirten bir bayrak tahsis edilir. Bu üzerine yazma işlemi gerçekleştiğinde, birçok faktöre bağlı olarak, asıl dosya, dosya silindikten sonra aygıta ne kadar veri kopyalandığına ve işaretli verilerin yazma etkinliğinin ortaya çıkmasına göre değişmektedir.

Android ve IOS cihazları, SQLite şemasını temel alan ortak bir veritabanı yapısını paylaşır. Senkronizasyon arayüzü, bir dosyanın üzerine yazmaya hazır olup olmadığını ve silinen öğeleri işaretlemekten sorumlu olup olmadığını belirler. Adli araştırmacılar başarıyla erişebiliyorsa, tarayıcı geçmişi, resimler, mesajlar ve mobil cihazdan daha fazla araştırma yapmak için ilgilenilen diğer birçok öğe gibi bu “silinmiş” dosyaları potansiyel olarak kopyalayabilirler.

Fiziksel Veri Toplama

Fiziksel veri toplama, bir mobil cihazın dosya sisteminin ve dizin yapısının bit bit kopyası veya klonudur. Normal bir bilgisayar sisteminin bir sabit disk kopyası olarak düşünülebilir. Bu veriler bir kez kopyalandıktan sonra, uzman adli araçlar ile endekslenebilir. Örneğin, anlık iletiler bir araştırmacının ilgilendiği bir alan ise, bu araçlar farklı anlık ileti uygulamalarındaki tüm iletileri, araştırmacının aramaya başlaması için düzenli, mantıklı bir listede derleyebilir.

Bu yöntem avantajlıdır, çünkü veri bütünlüğü ile bağlantılı riskler tehlikeye girer, kopya için kullanılan arayüzde bir yazma engelleyici kullanılarak tamamen önlenebilir. Bununla birlikte, mantıksal veri toplama işlemi kullanılırken bazı detaylara değinilmesi gerekir. Bir mesajın durumunun belirlenmesi gerektiğinde (okunmuş veya okunmamış), araştırmacı, kullanılan kopyalama yönteminin mesajın işaretli durumunu değiştirmemesini ve derleme ve göstermede kullanılan adli aracın kullanılmasını sağlamalıdır. mesaj bu mesaj durumunu da koruyabilir.

Bir diğer kritik faktör, söz konusu dosyaların zaman damgalarıdır. Hepsi mobil cihazın zaman damgasına uymalı ve kopyalama sürecinde veya soruşturmada kullanılan adli araçlarla düzenlenmemelidir. Kopyalama işleminin tarih ve saatinin, inceleme aşamasında olan mobil cihazın orijinal zaman damgalarını değiştirmesi ve bu durum adli bir soruşturmanın ilerlemesini ciddi şekilde engelleyebilmesi durumunda ortaya çıkan sorunlar.

Brute Force Veri Toplama

Bu yöntem daha çok bir şifre veya şifreyi zorlama eylemine atıfta bulunur ve göreceli olarak küçük rakam kombinasyonlarının gerekli olduğu durumlarda oldukça başarılıdır. Birçok telefonda, 0000 ile 9999 arasında değişen dört basamaklı bir PIN bulunur. Bu, adli araştırmacı tarafından tahmin edilmesi gereken 10.000 olası kombinasyon olduğu anlamına gelir ve çoğu mobil cihaz, telefonu tamamen eşikten sonra kilitleyen bir güvenlik özelliğine sahiptir. Bir telefonun şifresini zorlayan kaba davranış bazı durumlarda başarılı olabilir, ancak bir araştırmacı sadece mahkemede yasal ve kabul edilebilir olarak tanımlanan araçları kullanmalıdır.

Bir cihazın araştırmacının iş istasyonuna bağlanması ve önyükleyici ya da eşdeğer moda başlatılması gerekir. İş istasyonundaki bir uygulama daha sonra mobil cihazın dosya sistemini bağlar, şifrelenmiş parola dosyasını bulur ve saldırıya başlar veya geçici olarak mobil cihazın kendisine özel bir önyükleme ROM’u yükler ve mobil cihazın CPU’sunu saldırıyı gerçekleştirmek için kullanır. Her iki durumd

a da, CPU saniyede birden fazla denemeyi gerçekleştirebildiğinden ve birkaç faktöre bağlı olarak birkaç dakika kadar hızlı olabileceğinden veya birkaç saat kadar sürdüğü için bu çok uzun sürmez.

Doğru kombinasyon bulunduktan sonra, dört basamaklı pin kaba kuvvet uygulamasının ekran komut istemi ile görüntülenecektir ve araştırmacı, güvenli olması şartıyla, telefonun kilidini açmayı deneyebilir.

Kaynak: www.fatihberber.com/mobil-adli-bilisim-nedir/

Mobil Adli Bilişim (Mobli Forensics) Nedir?” için bir yorum

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir