1 / 106

Bilişim Suçları ve Takibi

Bilişim Suçları ve Takibi. Halil ÖZTÜRKCİ, MVP CISSP, CISA,CEH,CHFI BT Güvenlik Hizmetleri Direktörü halil.ozturkci@adeo.com.tr. Seminer İçeriği. Adli Bilişim Nedir? Türkiye Özelinde Hukuki Açıdan Adli Bilişim Adli Bilişim Çerçevesinde Delil Toplama Süreci

sammy
Download Presentation

Bilişim Suçları ve Takibi

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Bilişim Suçları ve Takibi Halil ÖZTÜRKCİ, MVP CISSP, CISA,CEH,CHFI BT Güvenlik Hizmetleri Direktörü halil.ozturkci@adeo.com.tr

  2. Seminer İçeriği • Adli Bilişim Nedir? • Türkiye Özelinde Hukuki Açıdan Adli Bilişim • Adli Bilişim Çerçevesinde Delil Toplama Süreci • Delilin Taşıması Gereken Nitelikler • Delillerin Bulunabileceği Ortamlar • İlk Müdahalede Yapılması ve Dikkat Edilmesi Gereken Hususlar • Delil Toplama Amaçlı Disk (Sabit Disk, Taşınabilir Diskler,USB Flash Disk, Hafıza Kartları) İnceleme Temelleri

  3. Seminer İçeriği (devam) • Delil Toplama Amaçlı İnternet Aktiviteleri İnceleme Temelleri (Internet Explorer, MSN vb.) • Delil Toplama Amaçlı E-posta İnceleme Temelleri • Delil Gizleme Yöntemleri (Şifre koyma, Şifreleme, Steganography vb.) ve Gizlenmiş Delilleri Ortaya Çıkarma Yöntemleri • Delil Karartma Yöntemleri

  4. Adli Bilişim Nedir?

  5. Tanımlar • Adli Bilişim, sayısal (dijital) verileri, • Elde etme • Muhafaza etme • Analiz etme işlemlerinin, delilin gereklerine uygun olarak, mahkemeye sunulma aşamasına kadar uygulanmasıdır.

  6. Adli Bilişim Nedir? • “Adli bilişim, bir bilgisayarda veya bilişim sisteminde bulunan bilgilerin mahkemede suçluluğun veya suçsuzluğun ispatında kullanılmak üzere incelenmesidir” Gordon G.R. , Hosmer C.D. , Siedsma C. , Rebovich D. Assessing Technology, Methods, and Information for Committing and Combating Cyber Crime. (Ocak 2003). National Institute of Justice.

  7. Bilişim Suçu Nedir? • Bilişim Suçunun birinci şeklinde bilgisayar suçun hedefi olarak karşımıza çıkmaktadır. • Bu durumda, bir bilgisayarın gizliliği, bütünlüğü ya da erişilebilirliği hedef olmaktadır. • Servisler, çalınan veriler ya da kurban bilgisayarlar zarar görmektedir. • “Nimda, CodeRed ve türevleri” gibi servis dışı bırakma saldırıları bu tip bilişim suçlarına örnek teşkil etmektedir.

  8. Bilişim Suçu Nedir? • İkinci durumda bilgisayar bir şuçu işlerken kullanılan bir araç olarak karşımıza çıkar. • Bu tür suçlar çocuk pornografisi, dolandırıcılık, fikri mülkiyet hakları ihlalleri ve yasadışı maddelerin online satışı gibi suçlardır.

  9. Bilişim Suçu Nedir? • Son durumda bir bilgisayar bir suçun içinde tesadüfen bulunabilir. Ancak bu bilgisayarlar yine de kanun uygulayıcılar için değer arzeder. • Örneğin, sübyancılar bilgisayarlarında çocuk pornografisi muhafaza edebilirken, uyuşturucu kaçakçıları ilişkili oldukları kişilerin iletişim bilgilerini saklayabilirler.

  10. Neden Bilgisayar İncelemesi? • Dokümanların çoğu artık elektronik biçimde (bilgisayar ortamında) bulunmaktadır. • Bilgisayarların suç işlenirken ve kötüye kullanımındaki hızlı artış suç soruşturmalarında da özel yöntemler gerektirmektedir. • Bilgisayar delili çok narindir, özel muamele edilmez ise kolaylıkla silinebilir ya da tehlikeye düşebilir. • Özel adli bilişim araçları kullanıcıya normal yollar ile görünmeyen geçici olan, silinmiş ya da gizlenmiş dosyaları güvenle kurtarılmasına olanak tanır.

  11. Adli Bilişim Çerçevesinde Delil Toplama Süreci

  12. Delilleri Toplama Süreci • Delilin saklandığı yerin bulunması. • Delilin olay ile ilgili kısmı içinde konu ile ilgili verilerin bulunması. Açıkça gereksiz olan hiçbir seyin boşyere kalabalık etmemesi için toplanmaması gerekir. • Bir uçuculuk sıralaması oluşturun. Delil toplarken iyi bir değer sıralaması yapın.

  13. Delilleri Toplama Süreci • Orjinal verilerin değiştirilmesinden kaçınmak için gereklidir. Bu, uzaktan ya da şüpheli sistem üzerinde birilerinin delile zarar vermesini engellemeyi de kapsar.. • Delil toplarken uygun ve genel kabul görmüş teknikleri kullanın. • Herşeyi belgeleyin. Delil toplama yöntemleriniz daha sonraki bir zamanda sorgulanabilir.

  14. Delil Toplama ve Analiz : Basit Kurallar • İmaj almak dışında asla orjinal delile dokunmayın, böylece delili bozma olasılığını en aza indirmiş olursunuz. • Orjinal delilin üzerindeki herhangi bir değişiklik, daha sonra alınacak imajlar üzerinde yapılacak incelemelerin sonuçlarını da etkileyecektir. • Delil toplanıp, birebir kopyası, imajı alınmadan asla delili analiz etmeye çalışmayın.

  15. Delil Toplama ve Analiz : Basit Kurallar • Orjinal delil üstünde yapılan tüm değişikliklerin hesabını daha sonradan verebilmek için yapılan tüm işlemlerin ve değişikliklerin olabildiğine detaylı bir kaydını tutun. • Bazı durumlarda delilin değiştirilmesi kaçınılmaz olur. Bu tür durumlarda var olan durumu, kapsamı ve değişiklik sebeplerini belgelendirmek kesinlikle gereklidir. • Bilginizi aşmayın. • Ne yaptığınızı bilmiyorsanız, delil üzerinde yaptığınız işlemlerden ötürü gerçekleşecek değişikliklerin ya da yaptığınız işlemlerin doğru bir şekilde hesabını veremeyebilirsiniz. • Bu alan bir anda kendinizi kafanız patlamış olarak bulabileceğiniz bir alandır. Bu nedenle araştırmanızı her an size yardın edebilecek biri ile ya da bilgiye kolay erişebilecek bir ortamda yapın.

  16. Delil Toplama ve Analiz : Basit Kurallar • Kurumunuzun kurallarına ve soruşturma rehberlerine uygun hareket edin. • Kuralların ihlali mahkemede delilinizi geçersiz bile kılabilir. • Mümkün olan en kısa sürede sistemin eksiksiz tam bir imajını alın. • Orjinal ve imajı alınmış kopya arasındaki farklar açıklanmalıdır. Yoksa delil bozuk, hasar görmüş olarak yorumlanacaktır. • Doğrulamak için tanıklığa hazır olun. • Eğer delillleri siz topladıysanız, delil toplama sürecinde ürettiğiniz belgelerin doğruluğunu tasdik etmek ve gerçekliğini anlatmaya hazır olmalısınız. Bu nedenle her aşamada kayıt tutmak gereklidir.

  17. Delil Toplama ve Analiz : Basit Kurallar • Yaptığınız işlemlerin tekrar edilebilir olmasına dikkat edin. İşlemleriniz ve analizlerinizin tekrarlanabilir olması gerekir. Hareketlerinizin denemeye yanılmaya ya da hatalara dayanmaması gerekmektedir. • Hızlı ama doğru çalışın. Özellikle çalışan bir sistem üzerinde, ne kadar hızlı çalışırsanız o kadar az uçucu delil kaybedersiniz. • En uçucu delilleri ilk olarak toplayın

  18. Delil Toplama ve Analiz : Basit Kurallar • Uçucu delilleri toplamadan sistemi kapatmayın. Uçucu deliller kaybolacaktır ama ek olarak başlangıç ve kapanış betikleri verileri de silebilir. • Bilgisayarı normal olarak kapatmak delile zarar verip değiştirebilir, geçici dosya sistemleri ve sistem yapılandırma dosyaları değişebilir. • Kapalı bir bilgisayarı açmak da daha fazla potansiyel delili de yok edebilir. • Asla şüpheli bilgisayarda çalışmayın ve o bilgisayara ve ekli donanımlara güvenmeyin. • Truva atı programları tahrip edici bir düzeneği başlatabilir. • Delili değiştirebilirsiniz.

  19. Delillerin Bulunabileceği Ortamlar

  20. Delillerin Bulunabileceği Ortamlar

  21. Delillerin Bulunabileceği Ortamlar • Dizüstü yada Masaüstü Bilgisayarlar • Olay yerindeki bütün bilgisayarlar, çalışır durumda olan/olmayan inceleme kapsamına alınmalıdır. • Çalışır durumdaki bilgisayarların ekranları açıksa ekranlarının fotoğrafları çekilmelidir. • Bilgisayarların enerjisi kesilmeden, yapılabiliyorsa canlı inceleme yapılmalıdır.

  22. Delillerin Bulunabileceği Ortamlar • Harici Sabit Diskler • İhtiyaç duyulan saklama alanını karşılamak üzere günümüzde oldukça fazla kullanılan disk çeşitidir. • Sahip oldukları büyük kapasiteler sayesinde üzerlerinde bir çok dijital veri saklanabilir. • Olay yerinde görülen bütün harici sabit disklerinde inceleme amaçlı image’leri alınmalıdır.

  23. Delillerin Bulunabileceği Ortamlar • CD/DVD/HD DVD/Blu-ray Media’lar • Yedekleme amaçlı kullanılan bu ortamlar delil olarak kullanılabilecek veya olayın çözümüne etki edebilecek döküman/veri içerebilirler. • Tek yazımlık çeşitlerinde ortam üzerine tekrar yazmak imkansızdır. • Gün geçtikçe daha fazla veri saklayabilmeye imkan tanıyan yüksek kapasiteli çeşitleri çıkmaktadır.

  24. Delillerin Bulunabileceği Ortamlar • USB Flash Memory’ler • Boyutlarının ufak olması, cepte taşınabilir olması ve ciddi miktarda veri saklama kapasitesine sahip olmalarından dolayı oldukça çok kullanılırlar. • Bazı modellerinde MP3 player, radyo vb gibi ekstra özellikler bulunur. • Çok çeşitli şekillerde karşımıza çıkabilirler. • Olay yerinde görülen bütün USB memory stick’lerin de inceleme amaçlı image’leri alınmalıdır.

  25. Delillerin Bulunabileceği Ortamlar • Printer’lar • Üzerlerinde yada çevrelerinde delil olarak kullanılabilecek çıktılar olabilir. • Bazı yazıcı modelleri dahili sabit disk barındırırlar ve bu disklerde daha önce yazılması için yollanan belgelere ait bilgiler bulunabilir. • Dahili sabit diskler veri saklamak amaçlı da kullanılabilir.

  26. Delillerin Bulunabileceği Ortamlar • Taşınabilir Player’lar (Ipod/Zune/MP3 Player) • Barındırdıkları yüksek saklama kapasitesi sayesinde sadece müzik/video değil, aynı zamanda döküman/veri saklamak için de kullanılabilirler. • Olay yerinde bulunan bu tarz player’ların da mutlaka image’leri alınmalı ve içeriği incelenmelidir.

  27. Delillerin Bulunabileceği Ortamlar • Cep Telefonları, Çağrı Cihazları ve PDA’ler • Telefon üzerinde bulunan adres defteri, gönderilen ve alınan kısa mesajlar, en son yapılan görüşmelere ait bilgiler, telefonun dahili hafızası ve telefona sonradan takılan hafıza kartlarında yer alan ses ve görüntü kayıtları digital delil olarak kullanılabilirler.. • PDA ve bazı cep telefonlarının üzerinde e-mail mesajlarına da rastlanabilir ve bu e-postalar da delil olarak kullanılabilir.

  28. Delillerin Bulunabileceği Ortamlar • Hafıza Kartları • Bir çok elektronik cihaz, hafıza gereksinimlerini hafıza kartlarını kullanarak aşarlar. • Digital kameralar, fotograf makinaları, cep telefonları, PDA’ler bu hafıza kartları üzerinde veri saklayabilirler. • Bu kartlar üzerinde saklanan veriler (örneğin ses ve video kayıtları, dökümanlar vb) digital delil olarak kullanılabilir.

  29. Delillerin Bulunabileceği Ortamlar • Telesekreter’ler • Gelen çağrılara eğer belirli bir süre cevap verilmezse devreye girerler ve arayan kişinin mesaj bırakmasına imkan tanırlar. • Bırakılan mesajların kaydedildiği kasetler delil niteliği taşıyabilir. • Davanın seyrini etkileyecek bilgilere, mesajlara ulaşılabilir.

  30. Delillerin Bulunabileceği Ortamlar • Diğer Elektronik Cihazlar • Yukarıda sayılan elektronik cihazların yanında, kredi kartı basma, çoğaltma, kopyalama cihazları (card skimmer), cep telefonu klonlama cihazları, GPS’ler gibi suç ile ilişkili olabilecek bütün cihazlarda hem delil içerebilirler hem de kendilere delil olabilirler.

  31. Delillerin Korunması • SaydamStatikKutular • Köpükkorumalıdelilkutuları • Uyarıetiketleri

  32. Delillerin Korunması

  33. Dijital Delil Örnekleri • Bir bilisim suçu ile ilgili, elektronik veya manyetik bir ortam üzerinden iletilen veya bu ortamlara kaydedilen bilgilere kısaca dijital delil diyebiliriz. Örneğin; • Veri dosyaları • Kurtarılmış silinmiş dosyalar • Kayıp alanlardan kurtarılmış veriler • Dijital fotoğraf ve videolar • Sunucu kayıt dosyaları • E-posta • Chat Kayıtları • İnternet Geçmişi • Web Sayfaları • Kayıt Logları • Abone Kayıtları

  34. İlk Müdahalede Yapılması ve Dikkat Edilmesi Gereken Hususlar

  35. Çalışan Bir Sistemden Delil Toplamak Verinin Uçuculuk Dereceleri • Daha uçucu verileri toplamak mı, • Daha güvenli adli bilişim yöntemleri uygulamak mı? Canlı inceleme: • Duruma hemen el koymak, müdahale etmek • Olayın kanıtlanması. • Uçucu verileri elde etmek • Ağ bağlantıları, çalışan programlar, süreçler vb. gerektiği durumlarında yapılır.

  36. Çalışan Bir Sistemden Delil Toplamak • İlk müdahale potansiye delilleri yok etmemelidir. • Müdahale Takım Çantanızda sadece güvenilir araçlar bulundurun. • Sonuçları belgeleyin. • Defter/Notebook  • Hedef sistemin sabit diski  • Hedef sisteme bağlı çıkarılabilir medya  • netcat veya cryptcat kullanarak güvenli bir sisteme aktarma

  37. Çalışan Bir Sistemden Delil Toplamak • Araştırmanın Planlanması. • Delil toplama işlemi olaya göre farklılık gösterir: • Sistemdeki verilerin değiştirilmesi. • Fikri mülkiyet hakları ihlali. • Sistemin çalışamaz duruma getirilmesi.

  38. Müdahale Takım Çantası • Güvenilir Sistem Araçları • İncelenecek işletim sistemi ile uyumlu olmalı. • Çıkarılabilir medya üzerinde saklanmalı. • Disketler (yazma-korumalı) • CD • USB Flash Bellekler ya da Diskler (yazma-korumalı)

  39. Müdahale Takım Çantası • İhtiyaç olan araçlar tespit edilmeli. • Takım çantası olşturulmalı. • DLL, kütüphane ve diğer dosya bağımlılıkları kontrol edilmeli ve bağımlı olan dosyalar da bu araç deposunda bulunmalı. • SHA1 ya da MD5 gibi dosya doğrulama araçları unutulmamalı.

  40. Uçucu Verilerin Elde Edilmesi En azından; • Sistem tarih ve zamanı. • O an bağlı olan kullanıcılar. • O ançalışan program ve süreçler. • O an açık olan portlar. • Açık portları kullanan programların listesi. • Sisteme henüz ve o an bağlantı sağlamış sistemlerin listesi. Kayıt altına alınmalıdır.

  41. Uçucu Verilerin Elde Edilmesi: Yöntem • Güvenilir bir cmd.exe çalıştırın. • Sistem zamanı ve tarihini kaydedin. • Kimlerin bağlı olduğuna bakın. • Dosyaların MAC zamanlarını kaydedin. • Açık portları öğrenin. • Portları kullanan programları kaydedin. • Tüm çalışan süreçleri kaydedin. • Anlık ve geçmiş bağlantıları listeleyin. • Tekrar sistem zamanı ve tarihi kaydedin. • Müdahale esnasında kullanılan komutları ve programları belgeleyin.

  42. Delil Toplama Amaçlı Disk (Sabit Disk, Taşınabilir Diskler,USB Flash Disk, Hafıza Kartları) İnceleme Temelleri

  43. Disk Yapısı • Hard disk sürücüleri disk veya plakaların eşmerkezli olarak üstüste sıralanmasından oluşur. • Her plaka 2 yüzeye sahiptir.

  44. Okuyucu Kafa Kolları Ana İşletici İşletici Mili Sürgü ve Kafalar Şerit Kablo İşletici Bobin Bir Sabit Diskin Sökülmüş Görünümü

  45. Sabit Disk Yapısı • Disk yüzeyi serttir. • Kafa-disk montajı mühürlü ve micro-filtrelenmiştir • Çok disk plakası kullanılarak maliyet artırılmadan saklama alanı artırılmaktadır.

  46. Kafa Kümesi Kafa 0 Kafa 1 Kafa 2 Kafa 3 Kafa 4 Kafa 5 İz (Track) Sektör Silindirler SİLİNDİR

  47. Disk Yazma Koruması • Disk Yazma Koruması • Şüphelinin disk sürücülerine herhangi bir verinin yazılmasının engellenmesi • Şüphelinin sürücülerinin bütünlüğünün korunması • Yazılım ve Donanım tabanlı yazma koruyucular

  48. Yazılım Tabanlı Yazma Koruması • Yazılım Tabanlı Yazma Koruma Araçları, işletilmesi istenen komutun çalışmasına izin verilip verilmeyeceğine karar verir. • Eğer komut bloklanacaksa hedef sürücüye hiçbir komut iletilmeden Yazılım Tabanlı Yazma Koruma Aracı uygulamaya geri döner. • Aracın yapılandırmasına göre yazma engellendiğinde uygulamaya başarılı veya başarısız sonuç bildirilebilir. • Eğer komuta izin veriliyorsa, istek hedef sürücüye iletilir ve sonuçlar uygulamaya döndürülür.

  49. Donanım Tabanlı Yazma Koruması • Donanım tabanlı yazma koruması, hedef sürücüye içeriği değiştirebilecek hiç bir komutun ulaşmamasını sağlayan bir donanımdır. • Donanım fiziksel olarak bilgisayar ile depolama sürücüsü arasına yerleştirilir.

  50. İmajlar İmaj alma methodları: • Bilgisayardanbilgisayara • Disktendiske • Diskten to dosyaya • Diskten Tape/CD • Diskten Network üzerinden

More Related