MOBİL CİHAZLARDA ADLİ BİLİŞİM ÇALIŞMALARINA YÖNELİK BİR MODEL ÖNERİSİ Uğur AKALIN YÜKSEK LİSANS TEZİ ADLİ BİLİŞİM ANABİLİM DALI GAZİ ÜNİVERSİTESİ BİLİŞİM ENSTİTÜSÜ NİSAN 2016 Uğur AKALIN tarafından hazırlanan “Mobil Cihazlarda Adli Bilişim Çalışmalarına Yönelik Bir Model Önerisi” adlı tez çalışması aşağıdaki jüri tarafından OY BİRLİĞİ / OY ÇOKLUĞU ile Gazi Üniversitesi Adli Bilişim Anabilim Dalında YÜKSEK LİSANS TEZİ olarak kabul edilmiştir. Danışman: Öğr. Gör. Dr. Çelebi ULUYOL Adli Bilişim Ana Bilim Dalı, Gazi Üniversitesi Bu tezin, kapsamı ve kalite olarak Yüksek Lisans Tezi olduğunu onaylıyorum/onaylamıyorum ............................. Başkan: Yrd. Doç. Dr. Hüseyin ÇAKIR Adli Bilişim Ana Bilim Dalı, Gazi Üniversitesi Bu tezin, kapsam ve kalite olarak Yüksek Lisans Tezi olduğunu onaylıyorum/onaylamıyorum .............................. Üye: Dr. Zafer YILMAZ Tedarik ve Lojistik Yönetimi, Savunma Bilimleri Enstitüsü Kara Harp Okulu Bu tezin, kapsam ve kalite olarak Yüksek Lisans Tezi olduğunu onaylıyorum/onaylamıyorum .............................. Tez Savunma Tarihi: 01/04/2016 Jüri tarafından kabul edilen bu tezin Yüksek Lisans Tezi olması için gerekli şartları yerine getirdiğini onaylıyorum. ............................................... Doç. Dr. Nurettin TOPALOĞLU Bilişim Enstitüsü Müdürü iv MOBİL CİHAZLARDA ADLİ BİLİŞİM ÇALIŞMALARINA YÖNELİK BİR MODEL ÖNERİSİ (Yüksek Lisans Tezi) Uğur AKALIN GAZİ ÜNİVERSİTESİ BİLİŞİM ENSTİTÜSÜ Nisan 2016 ÖZET Teknoloji hayatımızın her alanına girmiş ve hayatımızı kolaylaştırırken bir takım sorumluluklar da getirmiştir. Teknoloji ile iç içe yaşamamızı sağlayan en önemli araç mobil cihazlardır. Mobil cihazlar, yoğun kullanılmasının sonucu olarak adli olaylarda da delil niteliği ile başvurulan en önemli unsur haline gelmiştir. Günümüzde mobil adli bilişim, adli bilişim disiplininin hızla gelişen bölümlerinden birisidir. Mobil cihazların özellikleri adli inceleme yöntem ve aracının seçilmesinde önemli bir yere sahiptir. Mobil cihazda çalışan işletim sistemi adli incelemenin yöntemini etkilemektedir. Adaletin yerini bulması maksadıyla mobil cihazların delil niteliğini kaybetmeden doğru bir süreç ve araçlarla incelenmesi gerekmektedir. Bu çalışmada, mobil cihazların adli inceleme esnasında delil niteliğini kaybetmemesini sağlayacak bir adli inceleme süreci modeli önerilmiştir. Önerilen model, iki ayrı adli inceleme aracı ile değişik adli incelemeler üzerinde uygulanmıştır. Mobil cihazların adli bilişim araçları ile incelenmesiyle potansiyel delil olabilecek tüm alanlardan veri elde edilebilmektedir. Farklı araçların kullanılması yapılan adli incelemenin doğrulanmasını sağladığı gibi araçların bazı verileri elde etme konusundaki eksikliklerini kapatmasını da sağlamaktadır. Günümüzde adli olayların çözümünde mobil adli bilişimin kullanımının artarak devam edeceği varsayımı ile adaletin yerini bulması, delilin gizliliği, bütünlüğü ve erişlebilirliğinin sağlanması açısından modellenen mobil adli bilişim sürecinin işletilmesi gerekmektedir. Bilim Kodu : 902.1.180 Anahtar Kelimeler : Mobil cihaz, adli bilişim, mobil adli bilişim, mobil adli bilişim süreci Sayfa Adedi : 139 Danışman : Öğr.Gör. Dr. Çelebi ULUYOL v A MODEL SUGGESTION FOR FORENSICS STUDIES ON MOBILE DEVICES (M.Sc. Thesis) Uğur AKALIN GAZİ UNIVERSITY INSTITUTE OF INFORMATICS April 2016 ABSTRACT Technology has penetrated into our lives. While this facilitates daily lives, on the other hand it has brought about some responsibilites. The most important media that enabled us to integrate with technology is mobile devices. As a result of the predominant use of mobile devices, mobile devices has become the most important element that carry evidentiary chacteristics. Today, mobile forensics is one of the fastest-growing branches in the dijital forensics field. The specifications of the mobile devices has an important role in choosing the methodology and tools to be used in the mobile forensics analysis. Specially the operating system directly affects the methods of the forensics. To serve justice, mobile devices, before expired, must be investigated by following/using the appropriate processes and tools. In this study, the forensic investigation process of the mobile devices, before becoming invalid evidence, is modeled and a sample mobile forensic investigations is carried out by using two different forensics tools. By forensic investigation of mobile devices, the potential evidence data can be collected from all the fields. Using different tools, besides providing verification, it compensates the shortcomigs of the tools in data acquisition. With the assumption that the application of mobile forensics usage will increasingly continue in investigation, the mobile forensics process modeled in this study should be administered to serve the justice. Science Code : 902.1.180 Key Words : Mobile device, digital forensics, mobile forensics, mobile forensics process Page Number : 139 Supervisor : Lecturer Dr. Çelebi ULUYOL vi TEŞEKKÜR Çalışmalarım boyunca beni yönlendiren ve desteğini eksik etmeyen danışmanım Dr. Çelebi ULUYOL'a, yine çalışma yapmamızı destekleyen Enstitü Müdürümüz Sayın Doç. Dr. Nurettin TOPALOĞLU'na, bu süreçte gösterdikleri sabırdan dolayı yaşama sevinçlerim, moral ve motivasyon kaynaklarım canım oğullarım Demir, Çelik ve sevgili eşim Meral AKALIN'a, beni tüm hayatım boyunca teşvik eden ve varlıkları ile bana güç kuvvet veren annem Habibe AKALIN'a, babam Hasan AKALIN'a, ağabeylerim Mehmet AKALIN ve Sabri AKALIN'a, yüksek lisans yapmama vesile olan sevgili devre arkadaşlarım Ahmet Murat DERE'ye, Sertaç ÖZKAL'a, Türker TANERGÜÇLÜ'ye, Emre KARSLI'ya, Özgür IRMAK'a, Levent CAN'a, Alp EKE'ye, çalışmamda uygulama safhasında yardımcı olan Ahmet KELEŞ’e ve DİFOSE Bilişim Bilgisayar Eğitim Danışmanlık Şirketine sonsuz teşekkürlerimi sunmayı bir borç bilirim. vii İÇİNDEKİLER Sayfa ÖZET ......................................................................................................................................... iv ABSTRACT ................................................................................................................................v TEŞEKKÜR .............................................................................................................................. vi İÇİNDEKİLER ......................................................................................................................... vii ÇİZELGELERİN LİSTESİ ....................................................................................................... xi ŞEKİLLERİN LİSTESİ ............................................................................................................ xii RESİMLERİN LİSTESİ .......................................................................................................... xiii SİMGELER VE KISALTMALAR ...........................................................................................xv 1. GİRİŞ .....................................................................................................................................1 2. MOBİL CİHAZLAR..........................................................................................................5 2.1. Mobil Cihazın Tanımı ..................................................................................................... 5 2.2. Mobil Cihazların Tarihsel Gelişimi ................................................................................ 5 2.3. Mobil Cihaz Teknolojileri ............................................................................................... 6 2.4. Mobil Cihaz Çeşitleri ...................................................................................................... 9 2.4.1. Cep telefonu ...........................................................................................................9 2.4.2. Cep bilgisayarı .......................................................................................................9 2.4.3. Tablet ...................................................................................................................10 2.4.4. Dizüstü bilgisayar ................................................................................................10 2.4.5. Akıllı telefon ........................................................................................................11 2.5. Mobil İşletim Sistemleri ................................................................................................ 13 2.5.1. Symbian ...............................................................................................................14 2.5.2. Windows mobile ..................................................................................................15 viii Sayfa 2.5.3. Palm OS ...............................................................................................................16 2.5.4. WebOS .................................................................................................................16 2.5.5. Maemo .................................................................................................................17 2.5.6. MeeGo..................................................................................................................17 2.5.7. LiMo ....................................................................................................................17 2.5.8. Ubuntu touch OS..................................................................................................18 2.5.9. Tizen ....................................................................................................................18 2.5.10. Sailfish OS .........................................................................................................19 2.5.11. Firefox OS ..........................................................................................................19 2.5.12. Bada ...................................................................................................................19 2.5.13. Blackberry OS ....................................................................................................20 2.5.14. Windows phone .................................................................................................20 2.5.15. Android ..............................................................................................................21 2.5.16. iOS .....................................................................................................................21 3. ADLİ BİLİŞİM, MOBİL ADLİ BİLİŞİM VE METODOLOJİSİ .......................25 3.1. Adli Bilişim ve Adli Bilişimin Günümüzdeki Önemi................................................... 25 3.2. Adli Bilişim Çeşitleri .................................................................................................... 26 3.2.1. Bilgisayar analizi .................................................................................................26 3.2.2. Ağ analizi .............................................................................................................28 3.2.3. Bellek analizi .......................................................................................................28 3.2.4. GSM analizi .........................................................................................................29 3.2.5. GPS analizi...........................................................................................................29 3.3. Adli Bilişim Çalışmalarında Dikkat Edilmesi Gereken Hususlar ................................. 30 3.3.1. Dijital delilin tanımı .............................................................................................30 3.3.2. Dijital delilin prensipleri ......................................................................................30 ix Sayfa 3.3.3. Cep telefonları delil kılavuzu ...............................................................................32 3.4. Mobil Cihazlarda Adli İnceleme ................................................................................... 33 3.4.1. Kısıtlar..................................................................................................................37 3.4.2. Mobil cihaz delil elde etme süreci .......................................................................39 3.4.3. Mobil cihazlarda adli inceleme araçlarının sınıflandırması .................................43 3.4.4. Veri elde etme (edinim) yöntemleri .....................................................................46 3.4.5. Cep telefonunda depolanan potansiyel kanıtlar ...................................................47 3.4.6. Delil niteliği .........................................................................................................47 3.4.7. İyi (Örnek) adli inceleme uygulamaları ...............................................................50 3.5. Mobil Cihazlarda Adli İnceleme Süreci ........................................................................ 53 3.5.1. Koruma (Muhafaza etme) ....................................................................................53 3.5.2. Elde etme .............................................................................................................63 3.5.3. İnceleme ...............................................................................................................73 3.5.4. Raporlama ............................................................................................................79 4. MOBİL ADLİ BİLİŞİM YAZILIMLARI .................................................................83 4.1. Oxygen Forensic Suite .................................................................................................. 83 4.2. MobilEdit Forensic........................................................................................................ 85 4.3. XRY .............................................................................................................................. 85 4.4. FTK Cep Telefonu Araştırıcısı ...................................................................................... 86 4.5. Elcomsoft ...................................................................................................................... 86 4.6. Cellebrite UFED ............................................................................................................ 88 4.7. Paraben iRecovery Stick ............................................................................................... 89 4.8. Zdziarski Tekniği .......................................................................................................... 90 4.9. Lantern .......................................................................................................................... 91 x Sayfa 5. MOBİL CİHAZLARDA ADLİ İNCELEME ÖRNEK OLAYLARI..................93 5.1. IOS’a Yapılan Saldırıların Kısa Bir Tarihi ................................................................... 93 5.1.1. Liptiff ...................................................................................................................93 5.1.2. SMS ile ilgili sorunlar ..........................................................................................94 5.1.3. Storm8 ..................................................................................................................94 5.1.4. Casus telefon ........................................................................................................95 5.1.5. Pwn2Own 2010 ....................................................................................................95 5.1.6. Jailbreakme.com 2 (“Star”) ..................................................................................95 5.2. Mobil Adli Bilişimin Adli Davalara Katkısı ................................................................. 96 5.2.1. Kısa mesaj ve çağrı verisi ....................................................................................96 5.2.2. E-posta verisi .......................................................................................................96 5.2.3. Görüntü ve multi-medya mesaj verileri ...............................................................97 5.2.4. Konum bilgisi.......................................................................................................97 5.2.5. Geçmiş arama detayları ........................................................................................97 6. MOBİL ADLİ BİLİŞİM MODELİ VE ÖRNEK UYGULAMA ..........................................99 6.1. Mobil Adli Bilişim Modeli............................................................................................ 99 6.2. Örnek Uygulama ......................................................................................................... 105 6.2.1. Oxygen Forensic Suite ile yapılan uygulama ....................................................106 6.2.1. MOBİLedit Forensic ile yapılan uygulama .......................................................116 7. SONUÇ VE ÖNERİLER .............................................................................................125 KAYNAKLAR ........................................................................................................................129 ÖZGEÇMİŞ .............................................................................................................................139 xi ÇİZELGELERİN LİSTESİ Çizelge Sayfa Çizelge 1.1. Türkiye'de İnternet kullanımı ..................................................................................1 Çizelge 2.1. Dünya genelinde mobil/akıllı cihaz satışları .........................................................11 Çizelge 2.2. 3G hizmeti kullanıcı verileri ..................................................................................12 Çizelge 2.3. Dünya genelinde işletim sistemi bazlı satış rakamları ..........................................14 Çizelge 3.1. Delil bulma matrisi ................................................................................................37 Çizelge 6.1. Mobil adli bilişim süreci ......................................................................................102 Çizelge 6.2. Uygulamaların karşılaştırmaları ..........................................................................123 xii ŞEKİLLERİN LİSTESİ Şekil Sayfa Şekil 2.1. Toplam mobil abone sayısı ve 3G kullanım oranı.....................................................12 Şekil 3.1. Cep telefonu delil çıkartma işlemi .............................................................................40 Şekil 3.2. Hücresel telefon aracı sınıflandırma piramidi ...........................................................44 Şekil 3.3. Karar ağacı örneği .....................................................................................................62 Şekil 6.1. Mobil adli bilişim modeli ........................................................................................100 Şekil 6.2. Mobil adli bilişim akış diyagramı ............................................................................101 xiii RESİMLERİN LİSTESİ Resim Sayfa Resim 2.1. 1G'den 4G'ye ............................................................................................................8 Resim 2.2. iOS mimarisi ............................................................................................................23 Resim 6.1. Bağlantı sihirbazı ...................................................................................................106 Resim 6.2. Cihaz tanımlama ....................................................................................................107 Resim 6.3. Veri tipi seçme .......................................................................................................107 Resim 6.4. Cihaz bilgileri ........................................................................................................108 Resim 6.5. Rehber bilgileri ......................................................................................................108 Resim 6.6. Takvim/randevu bilgileri .......................................................................................109 Resim 6.7. Notlar .....................................................................................................................109 Resim 6.8. Mesajlar .................................................................................................................110 Resim 6.9. Olay kayıtları .........................................................................................................110 Resim 6.10. Dosya gezinti .......................................................................................................111 Resim 6.11. Ekstra ekranı ........................................................................................................112 Resim 6.12. Ekstra (Konum bilgileri)......................................................................................112 Resim 6.13. Web kayıtları .......................................................................................................113 Resim 6.14. Arama ekranı .......................................................................................................113 Resim 6.15. Rapor ...................................................................................................................114 Resim 6.16. Rapor (Rehber bilgileri) ......................................................................................114 Resim 6.17. Rapor (Notlar) .....................................................................................................115 Resim 6.18. Rapor (Mesaj detayı) ...........................................................................................115 Resim 6.19. Hoşgeldin ekranı ..................................................................................................116 Resim 6.20. Cihaz tanımlama ..................................................................................................117 xiv Resim Sayfa Resim 6.21. Veri elde etme ayarları ........................................................................................117 Resim 6.22. Cihaz bilgi ekranı ................................................................................................118 Resim 6.23. Rehber bilgileri ....................................................................................................118 Resim 6.24. Mesajlar ...............................................................................................................119 Resim 6.25. SIM kart bilgisi ....................................................................................................119 Resim 6.26. Takvim bilgileri ...................................................................................................120 Resim 6.27. Medya ..................................................................................................................120 Resim 6.28. Uygulamalar ........................................................................................................121 Resim 6.29. Rapor formatı seçimi ...........................................................................................121 Resim 6.30. Rapor örneği ........................................................................................................122 Resim 6.31. Dava dosyaları .....................................................................................................122 xv SİMGELER VE KISALTMALAR Bu çalışmada kullanılmış bazı kısaltmalar, açıklamaları ile birlikte aşağıda sunulmuştur. Kısaltmalar Açıklama 2G İkinci Nesil Kablosuz Telefon Teknolojisi 3G Üçüncü Nesil Kablosuz Telefon Teknolojisi 4G Dördüncü Nesil Kablosuz Telefon Teknolojisi 5G Beşinci Nesil Kablosuz Telefon Teknolojisi APDU Uygulama Protokolü Veri Birimi (Application Protocol Data Unit) APP STORE Apple Uygulama Marketi (Application Store) ASLR Adres Rastgeleleştirilmesi (Address Space Layout Randomization) CDMA Kod Bölmeli Çoklu Erişim (Code Division Multiple Access) CDRs Arama Detay Kayıtları (Call Detail Records) CNIC Hücresel Ağ İzolasyon Kartı (Cellular Network Isolation Card) EDGE GSM'in Gelişmesi için Geliştirilmiş Veri Hızları (Enhanced Data for GSM Evolution) e-POSTA Elektronik Posta ESI Elektronik Saklanan Bilgiler (Electronically Stored Information) ESN Elektronik Seri Numarası (Electronic Serial Number) GPRS Genel Amaçlı Paket Telsiz Hizmeti (General Package Radio Service) GSM Mobil İletişim İçin Küresel Sistem (Global System for Mobile Communication) HDMI Yüksek Çözünürlüklü Çokluortam Arayüzü (High - Definition Multimedia Interface ) HFS Hiyerarşik Dosya Sistemi (Hierarchical File System ) ICCID Entegre Devre Kartı Kimliği (Integrated Circuit Card Identifier) xvi Kısaltmalar Açıklama ICCID UICC seri numarası IDC Uluslararası Veri Kurumu (International Data Corporation) IMAP4 Internet İleti Erişim Protokolü (Internet Message Access Protocol version4) IMEI Uluslararası Mobil Cihaz Kod (International Mobile Station Equipment Identity) IoT Şeylerin İnterneti (Internet Of Things) IOS iPhone İşletim Sistemi (iPhone Operating System) MD5 Özet Mesaj Algoritması (Message-Digest Algorithm) MEID Mobil Ekipman Tanımlayıcısı (Mobile Equipment Identifier) MMS Multimedya Mesaj Servisi (Multimedia Messaging Service) NFC Yakın Saha İletişimi (Near Field Cominication) NIJ Ulusal Adalet Enstitüsü (National Institute of Justice) NIST Ulusal Standartlar ve Teknoloji Enstitüsü (National Institute of Standards and Technology) OHA Özgür Yazılım Topluluğu (Open Handset Alliance) OS İşletim Sistemi (Operating System) PDA Kişisel Sayısal Yardımcı (Personal Digital Assistant) PIM Kişisel Bilgi Yönetimi (Personal İnformation Manager) PIN Kişisel Kimlik Numarası (Personal Identification Number) RDBMS İlişkisel Veri Tabanı Yönetim Sistemi (Relational Database Management System) SD Güvenlik Servisi (Secure Digital) SDK Yazılım Geliştirme Kiti (Software Developer Kit) SMS Kısa Mesaj Servisi (Short Message Service) SQL Yapılandırılmış Sorgu Dili (Structured Query Language) TDMA Kod Bölmeli Çoklu Erişim (Time Division Multiple Access) UICC Evrensel Entegre Devre Kartı (Universal Integrated Circuit Card) xvii Kısaltmalar Açıklama UMTS Uluslararası Mobil Telekominikasyon Sistemi (Universal Mobile Telecommunications System) URL Standart Kaynak Bulucu (Uniform Resource Locator) USB Evrensel Seri Veriyolu (Universal Serial Bus) WAP Kablosuz Uygulama Protokolü (Wireless Application Protocol) Wi-Fi Kablosuz Bağlantı Alanı (Wireless Fidelity) 1 1. GİRİŞ Günümüzde yaşamın teknolojik gelişmelerle birlikte daha hızlı bir hal aldığı gözlemlenebilir bir durumdur. Teknoloji hayatın her alanına nüfuz etmekte ve hayatı kolaylaştırırken bir takım sorumlulukları da beraberinde getirmektedir. Mobil cihazlar teknolojinin insanlığa sunduğu, insan yaşamını kolaylaştıran en önemli araçlar arasında yer almaktadır. Mobil cihaz teknolojileri başlangıçta bilgisayar teknolojisinin gerisinde iken, günümüzde en fazla gelişim gösteren teknoloji haline gelmiştir. Mobil cihaz teknolojisinin gelişimi ve İnternet kullanımının (özellikle sosyal ağlar) bu duruma bağlı olarak artışı, Çizelge 1.1'deki istatistik ile belirtilmektedir. Çizelge 1.1. Türkiye'de İnternet kullanımı [1] Yıl Nüfus Kullanıcı Kullanıcıların Nüfusa Oranı Kaynak 2000 70 140 900 2 000 000 2,9 % ITU 2004 73 556 173 5 500 000 7,5 % ITU 2006 74 709 412 10 220 000 13,9 % Comp. Ind. Almanac 2010 77 804 122 35 000 000 45,0 % Comp. Ind. Almanac Çizelgede belirtilmiş olan istatistik doğrultusunda mobil cihazlar aracılığıyla kullanılan İnternetin, insan hayatının vazgeçilmez bir unsuru haline geldiğini gözlemlemek mümkündür. Günümüzde Türkiye nüfusunun neredeyse yarısı İnternet kullanmaktadır. Dünyada otomobil kullanıcısı 800 milyon, kişisel bilgisayar kullanıcısı 850 milyon, telefon kullanıcısı 1,3 milyar, İnternet kullanıcısı 1,1 milyar, TV kullanıcısı 1,5 milyar iken [2], 2007’de 2,7 milyar, 2009’da 4,3 milyar mobil iletişim donanımı kullanıcısı olduğu belirtilmektedir [3]. 2007 yılında ise İnternete, mobil iletişim donanımından ulaşan birey sayısı ilk kez kişisel bilgisayar ile ulaşan birey sayısını aşmıştır. 2010 yılında mobil veri hizmet gelirleri 350 milyon dolara ulaşmıştır [4]. Bu rakam, İnternet içerik sektörü, İnternet reklam gelirleri, video oyun sanayi, Hollywood ve küresel müzik sektörünün toplamından büyüktür. Mobil cihazlardaki gelişmelere paralel olarak İnternete ve dolasıyla siber dünyaya bağımlılık her geçen gün katlanarak artmaktadır. Bu durum bilişimin bir suç aracı olarak kullanılmasıyla beraber adli bilişimin doğmasına neden olmuş ve adli bilişimi hızla 2 gelişmesi gereken bir disiplin haline getirmiştir. Adli bilişim konusunun ve özellikle mobil cihazlarda adli bilişim konusunun şuan olduğu gibi gelecekte de çok önemli bir yeri olacağı değerlendirilmektedir. Bu nedenle bu konuda bir araştırma yapılmıştır. Mobil cihazların bu denli yoğun kullanılmasının neticesinde, adli olaylarda daha sık rastlanmaya başlamıştır. Mobil cihaz teknolojisinin hızlı gelişimi, ülkeler ve hukuksal düzenlemelerin mobil cihazlar aracılığıyla gerçekleşen adli olayların takibinde çeşitli zorluklarla karşılaşmalarına yol açmıştır. Dünyada ve ülkemizde bu açıklıkları istismar etmek isteyen kişilerin ilk başvurdukları yol mobil cihazlar aracılığıyla haksız kazanç elde etmektir. Günümüzde bu kapsamda birçok adli olay, mobil cihaz incelemeleri sonucunda aydınlatılmaktadır. Bu kapsamda adli bilşimin ve özellikle mobil adli bilişimin adli vakaların takibi ve suçluların yakalanması açısından önemli bir yeri vardır. Delil olarak başvurulan mobil cihazların delil niteliği bozulmadan incelenme süreci davanın seyrini etkilemektedir. Nitekim geçmişte adli bilişim süreçleri doğru yürtülmediği için yanlış hükümler sonucunda suçsuz olmalarına rağmen çeşitli cezalara çarptırılan bireyler olmuştur. Bu kapsamda mobil cihazlar, mobil adli bilişim ve süreçleri hayati öneme haiz unsurlardır. Bu çalışma ile doğru bir mobil adli bilişim süreci modellemek amaçlanmıştır. Literatür incelemesinde mobil cihazlarda adli inceleme uygulamaları konusunda daha çok araçlar vasıtasıyla verinin elde edilmesi ve inceleme/analiz aşamaları esas alınarak bilimsel çalışmalar yapıldığı gözlemlenmiştir. Mobil cihazlarda adli inceleme uygulamaları konusunu süreç olarak Det. Cynthia A. Murphy ele almış ve süreci dokuz aşamaya ayırmıştır. Bommisetty, S., Tamma, R. and Mahalik, H. ise Practical Mobile Forensics kitabında mobil cihazlarda adli inceleme sürecini Murphy'nin ele aldığı şekliyle ortaya koymuştur. Sürecin bu şekilde ele alınması diğer adli bilişim alt disiplinleri ile senkronizasyonu bozmakta sürecin takibini ve gelinen aşamanın raporlanmasını zorlaştırmaktadır. Sürecin doğrudan detayladırılmasının bu nedenle uygun olmadığını değerlendirmekteyim. Computer hacking Forensics Investigator firması ise verdikleri mobil adli bilişim eğitimlerinde aynı süreci delillerin toplanması, korunması, kaydedilmesi, verinin elde edilmesi ve raporlanması şekliyle özetlemektedir. Sürecin bu şekilde özetlenmesi aynı şekilde diğer adli bilişim alt disiplinleri ile senkronizasyon sorunlarına yol açacağı gibi bütün resmin görülmesinde de engel oluşturmaktadır. Amerika Birleşk Devletleri Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) ise dünyada bu konuda bilimsel çalışmalar yapan önemli kuruluşlar içindedir. NIST bu ve buna benzer bir çok 3 konuda dünyada bazı standartların ve kılavuz dokümanların hazırlandığı bir kurumdur. Mobil cihazlarda adli inceleme konusunda da NIST adına Jansen, W., Ayers, R. ve Brothers, S. "Mobil Cihaz Adli Bilişim Rehberinde" süreci koruma, elde etme, inceleme/analiz ve raporlama olarak dört ana safhaya ayırmıştır. Daha sonra ise süreç detaylandırılmakta ve senkronizasyon, takip ve koordinasyon kolaylaşmaktadır. Yapılan çalışmada bu kapsamda süreç dört ana alana ayrılmıştır. Mobil cihazlar dizüstü bilgisayarlar, tabletler, akıllı cep telefonları gibi farklı formlarda insanların kullanımına sunulmaktadır. Bu çalışma kapsamında mobil cihaz olarak akıllı cihazlar yani akıllı cep telefonları değerlendirilmiş ve ele alınmıştır. Akıllı cihazlar, üzerlerinde bir işletim sistemi kurulu olarak çalışır. Dünya da en çok kullanılan iki akıllı cihaz işletim sistemi iOS ve Android'dir. Bu çalışma ile söz konusu işletim sistemlerinden biri seçilerek birçok bireyin başvurabileceği bir mobil adli inceleme modeli oluşturmak amaçlanmıştır. Bu çalışmada iOS isimli akıllı cihaz işletim sistemi ele alınmıştır. Çalışma kapsamında öncelikle mobil cihaz kavramı teorik olarak incelenmiş, mobil cihaz çeşitleri ve işletim sistemleri hakkında bilgi verilmiştir. Ardından çalışmanın uygulama bölümünde adli incelemenin veri elde etme süreci ele alınmıştır. Adli bilişim ve mobil cihazlar arasındaki ilişkinin kurulması adına öncelikle adli bilişim kavramı, ardından önemi ayrıntılı bir şekilde ele alınmıştır. Bir mobil incelemenin nasıl yapıldığının anlaşılması açısından inceleme süreci detaylandırılmıştır. Bir mobil inceleme yapılırken kullanılan araçlar örneklendirilerek belirtilmiş ve önemli özellikleri referans olması açısından detaylandırılmıştır. Buradaki en önemli kısıt bu araçların bir çoğunun ticari ürün olması ve araştırma için temininin zor olmasıdır. Bu durum yapılan çalışmada bir kısıt olarak ortaya çıkmıştır. Daha sonra örnek olaylar üzerinde durulmuştur. Çalışmanın özgün bölümü ise örnek uygulama ile mobil inceleme modelinin kısmen açıklandığı bölümdür. Bu bölümde en çok tercih edilen iki araç aracılığıyla örnek cihaz incelemesi gerçekleştirilmiştir. Bu iki aracın seçilmesinde öncelikle söz konusu uygulamaların kullanıcı dostu bir arayüze sahip olmaları ve adli bilişim araç testi programından başarılı olarak değerlendirilmeleri önemli seçim kriteri olmuşlardır. Ayrıca bu iki aracın teminin de problem yaşanmaması da kullanılma gerekçelerini artırmıştır. 4 Saha araştırmasında mobil cihazlarda adli bilişim sürecinin kontrol formu detayında incelenmediği gözlemlenmiştir. Bu nedenle modellenen ve detaylandırılan süreç kapsamında bu araştırmanın özgün bir çalışma olduğu değerlendirilmektedir. Günümüzde adli olayların çözümünde mobil adli bilişim kullanımının artarak devam edeceği varsayımı üzerinden adaletin kusursuz bir biçimde gerçekleştirilmesi adına modellenen mobil adli bilişim sürecinin işletilmesi, adli inceleme faaliyetlerinde kolaylık ve doğruluk sağlama amacı taşımaktadır. Adaletin tecelli ettirilmesi maksadıyla mobil cihazlarda adli bilişim sürecinin doğru ve hatasız işletilmesi gerektiği temel varsayımı ile araştırma yapılmıştır. 5 2. MOBİL CİHAZLAR Teknoloji sayesinde iletişim farklı bir boyut kazanmış, insanlar artık hareketli olduklarında istenilen her yerde ve zamanda pratik olarak iletişim kurabilme ihtiyacı ile karşı karşıya kalmışlardır. Bu ihtiyacın karşılanmasında elektromanyetik dalgaların kullanılabileceği değerlendirilmiş ve günümüzde kullanılan mobil teknolojilerin temeli atılmıştır. 2.1. Mobil Cihazın Tanımı Mobil kavramı hareket edebilen ya da bir yerden bir yere taşınabilen seyyar anlamında kullanılmaktadır. Günümüzde Türkçe’de, mobil kelimesi kendi şekliyle yer almaktadır. “Mobil iletişim donanımları” kablosuz, çift yönlü iletişime izin veren, içlerinde gömülü sistem ya da işletim sistemi barındıran, en ilkeli SMS alıp gönderebilenlerden başlayıp, en gelişmişi İnternete ve görsel-işitsel yayınlara erişebilen tüm donanımlardır [5]. Günümüzde mobil iletişimin büyük bir öneme sahip olduğu dünya çapında bilinen bir gerçektir. Mobil teknolojiler hızla gelişmekte ve insanların ihtiyaç duyduğu uygulamalar da bu gelişme ile üretilmektedir. 2.2. Mobil Cihazların Tarihsel Gelişimi İlk cep telefonu DynaTAC adıyla Motorola Şirketi'nde çalışan Martin Cooper tarafından geliştirmiştir. 1 kg ağırılığı ve 25 cm'nin üzerindeki ebatları ile bir cebe sığmayacak kadar büyük bir mobil telefon olarak geliştirilmiştir. Bu telefonun gelişmiş modeli değişik kaynaklardan alınan bilgilere göre yaklaşık 4 000 $ fiyata satılmıştır. Bu telefon her ne kadar büyük bir ebatta olsa da aslında tarihte bir devrin başladığının (hücresel haberleşme devri) habercisi olmuştur. Daha sonra ise sırasıyla önce telefon ebatları küçülmüş, sonra LED ekranlar konmaya başlanmıştır. Yıllar sonra IBM dünyanın ilk akıllı telefonu sayılabilecek Simon'u tanıtmıştır. Simon bir nevi cep bilgisayarı ve hatta faks ve çağrı cihazı olarak kullanılabilmiştir. Ayrıca dokunmatik ekran üzerinde işlem yapmak için bir kalemi olan Simon bu özelliklerinin dışında takvim, e-posta, not defteri, oyun ve dünya saatleri uygulamalarına sahiptir. Bir diğer önemli kilometre taşı ise 1996 yılında ilk zil seslerinin 6 değiştirilebildiği telefonun çıkarılması olmuştur. 1997 yılında ilk renkli ekran cep telefonunu bir Alman firması olan Siemens tarafından tanıtılmıştır. Daha sonra nikel bataryalar kullanılmaya başlanmış ve önceki dönemde kullanılan zehirli maddelerden uzaklaşılmıştır. Nokia firması İnternete bağlanabilen ilk telefonu tanıtarak cep telefonu ile İnternete bağlanabileceği fikrinin ortaya çıkmasına olumlu bir katkı sağlamıştır. 2000 yılında telefona eklenen ilk kamera ile cep telefonunda kamera dönemi başlamış ve hızla teknolojisi ve özellikleri ilerlemiştir. Ericsson firması ilk bluetooth özellikli telefon ile içerik paylaşmını sağlamıştır. Batarya konusunda Li-Ion batarya ile telefon tasarımı daha da kolaylaştırılmış, uzun bekleme ve konuşma süresi sunularak şarj süresi oldukça kısaltılmıştır. 2005 yılında Palm, akıllı telefonların başlangıcı sayılan cihazları üretmeye başlamıştır. Bu cihazların en önemli özelliği bir işletim sistemi olması ve ofis dosyalarını açabilmesidir. 2007 yılında ise Apple, dünyada deprem etkisi yaratan tasarımı "iPhone" ile piyasaya girmiştir. 2007 yılı telefonun icadı kadar önemli bir yıl olmuş, dünyanın ilk 4G telefonunu HTC, EVO 4G ile tanıtmıştır. Cep telefonları birkaç kez dönüşüme uğrayarak bir aksesuardan ziyade yaşama ayak uydurmak için kullanılan bir araç haline gelmiştir. Bunun sonucu ve gelinen noktayı "Infographic" 2013 mobil cihaz istatistikleri açıkca ortaya koymaktadır. Rakamlara göre dünya nüfusunun % 91'i cep telefonuna sahiptir. Bunun %56'sı ise akıllı cihazdır ve telefon kullanıcılarının %50'si ise öncellikli İnternet kullanım aracı olarak telefonlarını kullanmaktadır. 2.3. Mobil Cihaz Teknolojileri Oldukça hızlı gelişen cep telefonlarının kullanılabilirliğini arttıran unsur mobil cihaz teknolojisidir. Mobil cihaz teknolojilerinde nesiller boyunca, Marconi'nin kablosuz telgrafı ile başlayan ve nihayetinde 5G'ye kadar gelen bir ilerleme sağlanmıştır. İlk cep telefonu icat edildiğinde iletişimde kullanılan kanal sayısının azlığı ve iletişimin tek yönlü olması nedeniyle tüm abonelere kesintisiz hizmet vermek mümkün olmamıştır. Söz konusu sorunu çözmek adına 1971'de iletişimi hücrelemek düşüncesi doğmuş ve cep telefonunun temelleri atılmıştır [6]. İlk mobil iletişim sistemleri analogdur. Her kullanıcı için bir frekans tahsis etmek gerekmiş fakat kullanıcılara tahsis edilecek yeteri kadar 7 frekans bulunamamıştır. Birinci nesil mobil iletişim sistemlerinin ortaya çıkması ile bu problem ortadan kalkmıştır. Fakat hizmet kalitesi istenen seviyeye ulaşamamıştır [6]. 2G sistemi, sayısal iletişimin başlangıcıdır. Sayısal iletişim ile güvenlik boyut atlamış, şifreleme yapabilen, yüksek kapasiteli ve bir frekansın eş zamanlı olarak birden fazla kullanıcıya tahsis edilebildiği bir teknoloji ortaya çıkmıştır [7]. Devre anahtarlamalı haberleşme sistemleri yerine paket anahtarlamalı haberleşme sistemleri özelliğininin eklenmesi ile 2 ve 3üncü nesiller arasında bir ara nesil oluşmuştur. 2,5G olarak adlandırabileceğimiz bu nesil GPRS (General Packet Radio Service), EDGE (Enhanced Data rates for GSM Evolution) gibi teknolojiler barındırmaktadır. 2,5G nesli ile WAP, MMS ve İnternet bağlantı servisleri sağlanmıştır. Kablosuz iletişim teknolojilerinin en önemlilerinden biri 3G'dir. 3G 2 mbps veri aktarım hızına kadar iletişim imkanı tanımaktadır. 3G teknolojisi yüksek hızla bağlantı gerektiren durumlarda ihtiyacı karşılamak için oluşturulmuş bir teknolojidir. Sistem kimlik doğrulama, veri güvenliği ve bütünlüğü gibi bazı güvenlik olgularını sağlamaktadır. 3G hem karasal hem de uydu sistemlerinden faydalanmaktadır. Daha iyi hizmet sağlamak için 2.5G teknolojisi gibi hem paket anahtarlamalı hem de devre anahtarlamalı aktarımı desteklemektedir. 2.5G teknolojisinin ardından Dünya’da 2001 yılında tanıtılan 3G ülkemizde ancak 2009 Temmuz ayında kullanılmaya başlanmıştır ve o zamandan bu yana abone sayısı hızla artmıştır. 3G'nin en büyük özelliği hızlı İnternet erişim imkânı tanımasıdır. Dünya nüfusunun %90'ından fazlası cep telefonu sahibidir ve bu telefonların yarısından fazlası akıllı telefonlardır. Akıllı telefon sahiplerinin de yarısı bu cihazları öncelikli olarak İnternet erişim aracı olarak kullanmaktadırlar. Bunun sonucunda 3G teknolojisinin ve devamındaki teknolojilerin önemi daha iyi anlaşılabilmektedir. Gelişimleri takiben 3G teknolojisi de bazı konularda yetersiz kalmış ve 4G teknolojisi çalışmaları başlamıştır. 4G, IP tabanlı, kablolu/kablosuz bilgisayar, tüketici elektroniği, iletişim teknolojileri, iç ve dış ortamlarda sırası ile servis kalitesi ve yüksek güvenliğiyle her türlü ağ hizmetini tek bir noktada birleştirerek makul fiyat ve tek ücretlendirmeyle gerçekleştirecek, 100 Mbit/s ile 1 Gbit/s veri iletim kapasitesini sağlayabilen ağların ağı olmayı hedefleyen bir hizmettir [8]. 8 4G ağlarının amacı, hâlihazırdaki merkezi hücresel ağları, IP tabanlı olarak dünya çapında tek bir merkezi hücresel ağ standardında birleştirmektir. 4G ağlar yüksek hız ve kapasite, düşük maliyet, IP tabanlı servisler gibi özelliklere sahiptir [7]. Çalışmanın bu kısmına kadar anlatılmış olan kablosuz iletişim nesillerinin özelliklerini ve gelişimini Qualcomm firmasının yaptığı sunumdan alınan Resim 2.1 oldukça belirgin bir biçimde özetlemektedir. Resim 2.1. 1G'den 4G'ye [9] Birçok ülkenin kullanmaya başladığı ve Türkiye’de 01 Nisan 2016 tarihinden itibaren kullanılmaya başlanan 4G teknolojisinin ardından 5G dünya gündeminde yerini almıştır. ITU istatistiklerine göre mobil abone sayısı hızla artarken, sabit abone sayısı azalmaktadır. Ayrıca Nesnelerin İnterneti (Internet of Things-IoT) ve sensör tabanlı ağlar, İnternette trafiğin büyümesini desteklemektedir. Trafik artışının özellikle mobil sektörde yaşandığı dikkate alındığında hâlihazırda kullanılmakta olan 4G teknolojilerinin de zamanla yetersiz kalacağı öngörülebilmektedir. 5G’nin güvenilirlik, kullanılabilirlik, hızlı tepki süreleri, enerji verimliliği gibi kavramlarla ifade edilen, sürdürülebilir, geleceğe ve değişime açık İnternet oluşu; donanım ve yazılımdaki yeniliklerin eşleşmesi ile yazılım tanımlı ağ, sanal ağ ve kablosuz teknolojilerde en son hesaplama yöntemlerini kullanmaya dayalı yeniden tasarlanabilen bir altyapı gerektirdiğini göstermektedir [10]. Özetle, mevcut 3G sistemlerinde yüksek mobilite sağlanabilirken, 4G sistemleri ile 3G sistemlerine göre veri hızları artmakta, esnek frekans kullanımı sağlanmakta ve trafik 9 kapasitesi artmaktadır. 5G sistemlerinde ise, 4G sistemlerine göre tüm parametrelerde gelişme sağlanması hedeflenmektedir. Bu çerçevede, 5G teknolojisine yönelik standartların halen geliştirilmemiş olması ve söz konusu gelişim sürecinin halen devam etmesi, diğer bir ifade ile konunun halen “kavramsal” olarak tartışma safhasında bulunması, bu konuda çalışma yapmak isteyen kuruluşlar açısından bir fırsat olarak görülebilir [11]. 2.4. Mobil Cihaz Çeşitleri Günümüzde teknolojinin hızla ilerlemesi ile cihazların çeşitleri ve özellikleri de değişkenlik göstermeye başlamıştır. Geçmişte kullanılan bazı cihazlar popülerliğini yitirmiş ve daha çok hayatı kolaylaştıracak şekilde İnternet ile hareketliliği sağlayacak cihazlar tercih edilmeye başlanmıştır. Bu bölümde bu kapsamda değerlendirmeler yapılmıştır. 2.4.1. Cep telefonu Cep telefonu, taşınması kolay, geniş kapsama alanında hizmet veren, kablosuz sistem kullanan bir iletişim ve multimedya aygıtıdır. Cep telefonu ile birçok hizmet sağlanmaktadır. Bu hizmetler telefonun özelliklerine ve servis sağlayıcının yeteneklerine göre farklılıklar içerebilir. Fakat genel olarak cep telefonu denilince sesli görüşme ve SMS hizmeti ortak özellikler olarak ilk akla gelen özelliklerdir. Bu özelliklerin dışında yeni teknolojili cihazlarla görüntülü görüşme, görüntülü mesaj, video oyunları, İnternet, müzik çalar gibi daha birçok özellik kullanıcıya sunulmaktadır. Asıl önemli olan nokta ise İnternet vasıtasıyla tüm kullanıcıların işlemlerini artık bu cihazlar vasıtasıyla yapmasıdır (Ör: İnternet bankacılığı) [12]. Cep telefonları üzerinde, oldukça hızlı ve sürekli gelişen bir teknoloji olması nedeniyle genel bir sınıflandırma yapmak pek mümkün değildir. Ama veri girişine göre tuş takımlı, dokumatik ya da tasarım olarak gövdesinin türüne göre düz, kapaklı veya kayan kapaklı gibi sınıflandırmalar yapılabilmektedir. 2.4.2. Cep bilgisayarı Cep bilgisayarları PDA (Personal Digital Assistant), Palm olarak da tanınmaktadır. Cebe sığacak boyutta olmasından esinlenerek cep bilgisayarı adını almıştır, avuçiçi bilgisayar olarak da adlandırılmaktadır. İlk zamanlarda cep bilgisayarları adeta bir sekreter gibi kişilerin günlük faaliyetlerini planlamalarına yardımcı olan bir cihaz olmuş bu nedenle 10 daha çok iş dünyasının ilgisini çekmiştir. PDAlerin MP3 dinleme, video izleme ve özellikle İnternete bağlanma özelliklerinden dolayı kısa zamanda iş dünyasından geniş kitlelere yayılmaya başlamıştır. Fakat akıllı telefonlar karşısında kendini yenileyememiş ve bireylerin ilgisini yitirmiştir. 2.4.3. Tablet İlk bilgisayarın bir bina boyutunda olduğu bilinen bir gerçektir. Fakat zamanla bilgisayarlar küçülmüş ve neredeyse günümüzde her eve girmiştir. Tabii ki bu gelişme burada bitmemiş ve dizüstünden başlayan gelişme şimdilik tablet bilgisayarlar ile devam etmektedir. Tarihe bakıldığında Yunanlılar ile Romalıların 8'inci yüzyıl ortalarında mum kaplı tabletler kullanmaya başladığı bilinmektedir. Bu tabletlerin özelliği yazılıp silinmesidir ki bu tablet bilgisayarların reboot özelliğine ilham vermiştir. Tablet bilgisayar, kısaca, dizüstü bilgisayar ile cep bilgisayarının sentezi olarak tanımlanabilir. Tabletlerin popüler bir biçimde kullanılmaya başlanması 2010 yılını bulmuştur. Popüler olmasının nedenleri ise dizüstü bilgisayarlara göre taşınmasının, kullanımının ve bazı multimedya içeriklerin takip edilmesinin daha kolay olmasıdır. Tabletlerin çoğunda mobil işletim sistemi varken bazılarında ise bilgisayarlarda kullanılan işletim sistemleri kullanılmaktadır. Tablet bilgisayarların iş dünyası tarafından da yoğun olarak kullanıldığı belirtilmektedir [13]. 2.4.4. Dizüstü bilgisayar Ekran ve klavyeden oluşan ve kolay taşınabilir bilgisayarlar olarak tanımlanan dizüstü bilgisayarların en büyük artısı, AC güç ile çalışabileceği gibi şarj edilebilir bataryası vasıtasıyla güç kaynağından uzakta çalışabilmesidir. En önemli özelliklerinden bir diğeri ise küçük oluşu ile kolay taşınabilmesidir. Yüksek maliyeti nedeniyle dizüstü bilgisayarlar çoğu teknoloji gibi fiyatlarının düştüğü sürece kadar iş adamlarına hizmet etmiş ve belirli maliyetin altına düşmesi ile yaygınlaşması ve kullanıcılar tarafından gördüğü ilgi artmıştır. Dizüstü bilgisayarlar ilk kullanıldıklarında elektronik defter mantığı ile çalışması beklenirken artan performans özellikleri neticesinde daha nitelikli ürünler ortaya çıkmıştır. Günümüzde dizüstü bilgisayarlar masaüstü bilgisayarların yeteneklerine sahip olabilmekte ve hatta daha iyi performans gösterebilmektedir. Ayrıca maliyet olarak ilk yıllardaki yüksek oranlar düşüş 11 göstermiş ve geniş kitlelere dizüstü bilgisayar hizmeti sunmak olanaklı hale gelmiştir. Dizüstü bilgisayarlar ekran büyüklüklerine göre 4 grupta toplanabilir: 17"+ Laptoplar, 13"17" Notebooklar, 13"- Ultrabooklar, Minibook ve Netbooklar. Bunun dışında performans olarak değerlendirildiğinde de Laptoplar, Notebooklar ve Ultrabooklar ön plana çıkmaktadır. Diğer cihazlar ise daha düşük performanslı atom işlemci kullanmaktadır [14]. 2.4.5. Akıllı telefon Akıllı telefonlar sahip oldukları yetenekler sayesinde yalnızca günlük hayatın değil, iş yaşantısının da vazgeçilmez unsuru olmuştur. Akıllı telefon kullanımı son yıllarda hızlı bir ivme ile artmaktadır. Artık akıllı telefonlar, sadece telefon özelliklerini değil, bunun yanında kişisel bir bilgisayarın sahip olduğu birçok özelliği kullanıcılara sağlamaktadır. Bunun yanında işletmelere etkin maliyetli çözümler sağlamaktadır [15]. Bu özellikleri ve giderek artan kullanımı ile bilişim suçlularının oldukça yoğun kullanımına açık hale gelmiştir. Akıllı telefon satışları yıllar geçtikçe hızla artmaktadır. Bu rakamlar akıllı telefonların bireylerin yaşamında önemli bir rol üstleneceğini göstermektedir. Çizelge 2.1'de Dünya genelinde Gartner ve IDC'nin rakamları verilmiştir. Bu iki istatistikte yıllar geçtikçe bilgisaylara (masaüstü ve dizüstü) olan eğilimin azaldığını ve mobil cihazlara (tablet ve akıllı telefonlar) eğilimin ise hızlı bir ivme ile arttığını gösterilmektedir. Çizelge 2.1. Dünya genelinde mobil/akıllı cihaz satışları [16] Tiplerine Göre Cihaz Satışları (Gartner) Tiplerine Göre Cihaz Satışları (IDC) Cihaz Tipi Bilgisayar 2013 2014 2015 Cihaz 2013 2013 2017 2017 % Satış Satış Satış Tipi Satış % Satış 296,1 276,7 263 Masaüstü 134,4 8.6% 123,1 5% 180,9 11,6% 196,6 8% Bilgisayar Tablet 195,4 270,7 349,1 Taşınabilir Bilgisayar Mobil Telefon 1 807, 1 895,1 1 952,9 Tablet 227,3 14,6% 406,8 16,5% Diğer 21,1 37,2 62.0 Akıllı 1013,2 65,1% 1 733,9 70,5% 1 556 100% 2460,5 100% Telefon Toplam 2319,6 2479,8 2627,0 Toplam 12 Türkiye’de mobil telefon satış oranlarına ilişkin istatistikler, 2013 yılında toplam cihaz satışları bir önceki yıla göre %1’lik bir artış gösterdiğini ve 12 milyona ulaştığını gözler önüne sermektedir. Bu satışların %74’ünü ise akıllı telefonlar oluşturmuştur. Bu oranlardan 2013 yılında Türkiye’de 8,8 milyon akıllı telefon satıldığı anlaşılmaktadır. 2013 yılı içinde gerçekleşen akıllı telefon satışlarında da 2012’ye göre neredeyse %44’lük bir artış yaşanmıştır [17]. Şekil 2.1'de ise BTK Üç Aylık Pazar Verileri Raporuna göre, 2015 yılı Eylül ayı sonu itibarı ile Türkiye’de yaklaşık %94,3 penetrasyon oranına karşılık gelen toplam 73.235.783 mobil abone bulunmaktadır. Temmuz 2009’da sunulmaya başlanan 3G hizmeti 2015 yılı Eylül ayı sonu itibarıyla 63.066.580 aboneye ulaşmıştır. Grafikte 2G ve 3G mobil abone sayısı ile penetrasyon oranları yıllar itibarıyla karşılaştırılmaktadır. Şekil 2.1. Toplam mobil abone sayısı ve 3G kullanım oranı [18] Çizelge 2.2'deki istatistikler ise yıllara göre cep telefonu kullanıcı sayısı azalırken akıllı telefon kullanıcı sayısının ve buna bağlı olarak İnternet kullanımının arttığını göstermektedir. Çizelge 2.2. 3G hizmeti kullanıcı verileri [18] 13 Akıllı telefonlar, mini bilgisayarlar gibi bilgi işleme yeteneklerine sahip cihazlardır. Akıllı telefonlar kullanıcısına telefonla görüşme yapma olanağı dışında İnternet erişimi, e-posta alma gönderme, ofis uygulamalarını kullanma, görüntü ve ses kaydı, dokumatik ekran, uygulama marketleri ile uygulama bazlı kolay kullanım imkanları sağlamaktadır. Gelecekte akıllı telefon ve tablet gibi mobil aygıtlar İnternet erişimi gibi ihtiyaçlarının karşılanmasında temel araç olacağı öngörüsü doğrultusunda işletmelerin bu nedenle çözümlerini masaüstü bilgisayarlar yerine mobil cihazlara kaydıracağı değerlendirilmektedir [19]. Akıllı telefonlar organizasyonlara birçok fayda sağlamaktadır. Bu faydalar yenilikçilik, maliyet tasarrufu ve verimlilik olarak sıralanabilir. Akıllı telefonların organizasyonlara sağladığı faydalar [15]; - E-posta hesaplarına sağlanan kolay erişim ile maliyet azalmış ve verimlilik artmıştır. Sistemlere uzaktan erişim ile gereksiz telefon görüşmeleri ve şirket ziyaretleri azaltılmaktadır. - Navigasyon yeteneği ile gidilmek istenen noktaya erişim kolay, zamanında ve maliyet etkin olmaktadır. GPS fonksiyonu ile konum paylaşımı ve takip sağlanabilmektedir. - Kameralar ile işbirliği ve doküman paylaşımı sağlanabilmektedir. - Wi-Fi özelliği ile ücretsiz İnternet erişimi sağlanabilmektedir. - Dışarıdan veri paylaşımı ve transferi gerçekleştirilebilmektedir. Akıllı telefonları, diğer telefonlardan ayıran en önemli özellik ise sahip oldukları özel işletim sistemleridir. 2.5. Mobil İşletim Sistemleri İşletim sistemleri donanımları denetleyen ve yöneten, temel sistem işlemlerinin ve uygulama yazılımlarının çalışmasını sağlayan sistem yazılımlarıdır. Temel olarak en küçük elektronik cihazda bile bir işletim sistemi mevcuttur. Donanımların gelişmesi ile onları kontrol eden işletim sistemleri de bu gelişmelere paralel olarak bir gelişme göstermektedir. Bu gelişmenin temelinde kullanıcı ihtiyaçlarını karşılamak yatmaktadır. Nitekim bu ihtiyaçları karşılamayan işletim sistemlerinin ömrü yetmemektedir. Akıllı telefonlar, tablet bilgisayarlar, kişisel dijital asistanlar gibi taşınabilir cihazlar için üretilen işletim sistemlerine “mobil işletim sistemleri” adı verilir. Mobil işletim sistemleri de bilgisayar 14 işletim sistemleri gibi programların üzerinde çalışan bir platformdur ve cihazdaki işlevlerin gerçekleşmesini sağlar. Türkiye'de yaklaşık 70 milyon mobil cihaz abonesi varken bunun yaklaşık 50 milyonu akıllı cihaz kullanmaktadır. Bu kullanım durumu her geçen gün artmaktadır. Bu çerçevede akıllı cihazların kullandığı işletim sistemleri listelenmiştir. Sıralama, Gartner'ın Kasım 2015 verileri üzerinden en az kullanılandan çok tercih edilene göre yapılmıştır. Çizelge2.3'den de anlaşılacağı üzere 2014 ve 2015 akıllı telefon satışlarında özellikle Android satışlarının büyük bir pay sahibi olduğu gözlemlenmektedir. Çizelge 2.3. Dünya genelinde işletim sistemi bazlı satış rakamları İşletim Sistemi 2015 2015 (%) 2014 2014 (%) Android 298 797 84,7 254 354 83,3 iOS 46 062 13,1 38 187 12,5 Windows 5 874 1,7 9 033 3,0 BlackBerry 977 0,3 2 420 0,8 Others 1133,6 0,3 1 310,2 0,4 Total 352 844 100 305 384 100 Çalışmanın devam eden kısmında öncelikle geliştirilme süreci devam etmeyen işletim sistemleri, daha sonra ise hâlihazırda popüler olarak kullanılan işletim sistemleri hakkında bilgilendirme yapılacaktır. Geliştirilmesi devam etmeyen işletim sistemleri: Symbian, Windows Mobile, Palm OS, webOS, Maemo, MeeGo, LiMo'dur. 2.5.1. Symbian Symbian OS akıllı telefonlar ve mobil cihazlar için geliştirilmiş bir işletim sistemidir. Symbian OS, EPOC işletim sistemi üzerine üretilmiştir. Farklı mimaride sistemlere uyarlanabilmesinden dolayı, cep telefonu üreticilerinin dikkatini çeken EPOC, yeni nesil akıllı cep telefonları için standart işletim sistemi olarak kabul edilmiştir. Bunun üzerine Nokia, Ericsson, Motorola ve Panasonic firmalarının biraraya gelmesi ile EPOC'un gelişmiş bir uyarlaması olan Symbian işletim sistemi geliştirilmiştir. Symbian OS platformu, güvenli bir işletim sistemi ortamı sağlamaktadır. GPRS (General Packet Radio Service), bluetooth, SyncML ve 3G gibi teknolojilere minumum güç tüketimi ve asgari 15 bellek gereksinimi duyması ile kolayca uyarlanabilen bir işletim sistemidir [20]. 32-bit ve çoklu işlemli bir işletim sistemidir. Asenkron işlemlerin ve uygulamaların birbiri ile etkileşimli çalışması için tasarlanmıştır (Telefon görüşmesinin o an yapılan başka bir işlemi kesmesi gibi). Symbian OS düşük güç harcaması ile ön plana çıkmaktadır. Symbian platformu 1998 yılında; Nokia, Motorola, Panasonic, Sony Ericsson, Siemens ve Psion gibi firmalarının katkısı ile geliştirilmiştir. Android OS çıktıktan sonra üye firmalar Symbian'ı terk etmişlerdir. Vakıfta en sonunda Nokia ve Fujitsu kalmıştır. Bu nedenle Symbian Vakfı kapanmış ve işletim sisteminin açık kaynak olarak hizmet edeceği açıklamıştır ancak 5 Nisan 2011 tarihinde Symbian'ın kaynağı kapanmıştır. Symbian, geçmişte popüler bir işletim sistemi olmuştur. O dönemde ciddi bir rakibi olmaması Symbian'ın bir nevi efsane bir işletim sistemi olmasını sağlamıştır. Nokia ile Microsoft arasında yapılan işbirliğiyle, Symbian, tarih sayfaları arasına girmiştir. 2010 yılı itibariyle yüzde 37,6’lık pazar payı ile dünyanın en yaygın mobil işletim sistemi olan Symbian’ın, 2015 sonunda yüzde 0,1’lik pazar payı alacağı öngörülmektedir [21]. 2.5.2. Windows mobile Windows Mobile Microsoft şirketi tarafından mobil cihazlar için tasarlanmıştır ve Windows CE çekirdeği üzerine kurulmuştur. Windows Mobile'in genel özellikleri şunlardır: - Cihaz açılırken genel uygulamaların (masaüstü ekranı) aksine "bugün ekranı" (Today screen) gelir. Bugün ekranı günün önemli faaliyetlerini ve gelen e-posta mesajlarını gösterir. - Görev çubuğu; saati, ses düzeyini ve bağlantı bilgilerini gösterirken çubuktaki "başlat" düğmesi Windows'un masaüstünde bulunan başlat düğmesi ile aynı işlevi yerine getirir. - Windows Mobile ile birlikte bazı ofis uygulamalarının mobil sürümleride gelir (Ör: Word Mobile, Excel Mobile, PowerPoint Mobile). Bu programlar masaüstü sürümlerine nazaran daha kısıtlı yeteneklere sahiptir. - Outlook ve Windows Media Player programları da yüklü gelen yazılımlardandır. - Windows'un masaüstü sürümlerinin aksine görev çubuğu üstte, menüler altta bulunur. Ayrıca "kapat" düğmesi genellikle programları kapatmak yerine simge durumuna küçültür, 16 bu durum programların açık kalmasına ve bu nedenle bazı sorunların yaşanmasına sebep olur. Windows Mobile'ın birçok sürümü vardır. Her sürüm bir yenilikle gelmiştir. Yeniliklerin en önemlilerinden biri uygulama geliştiricilere kolaylık sağlayan Widget'lar olmuştur. Windows Mobile'ın yeni sürümleri Active Directory'e katılarak merkezi olarak yönetilebilmektedir, ayrıca e-Posta için POP3 ve IMAP4 dışında Microsoft Exchange Server desteği sunmaktadır. Windows Mobile 6.1 ile oldukça kararlı bir hale gelmiştir. 6.5 sürümüyle daha da ilerlemiş ve Windows Mobile 6.5'ten sonra Windows Mobile yerine Windows Phone markasını kullanmaya Windows Phone 7 ile başlamış ve arayüzünü ve uygulama mimarisini tamamen değiştirmiştir [22]. 2.5.3. Palm OS PalmOS işletim sistemi PalmOS Pilot isimli cep bilgisayarı için tasarlanmıştır. PalmSource Haziran 2005'de diğer ürünlerin geliştirilmesini durdurduklarını ve Linux tabanlı PalmOS üzerinde yoğunlaştıklarını duyurmuştur. 2005'de şirket Japon ACCESS tarafından satın alınmıştır. Kasım 2005 de PalmOS üzerinde birçok değişiklik yapılmıştır. Bu değişiklikler cihazların standartlara uygun kalabilmesini sağlarken, kararlı yapısı bozulmuş, daha çok iş yapılırken daha sorunlu bir işletim sistemi haline gelmiştir [23]. 2.5.4. WebOS WebOS linux çekirdeği tabanlı akıllı tv ve mobil işletim sistemidir. İlk olarak Palm tarafından geliştirilmiştir. HP tarafından satın alınmış ve açık kaynak haline getirilerek Open webOS adını almıştır. LG tarafından satın alınmasına müteakip tekrar adı webOS olarak değiştirilmiştir. WebOS'un en önemli özelliği görsel arayüz ve menü efektleridir. WebOS'in tüm sürümlerinde çoklu işlem yapabilme özelliği vardır. Sistemin arayüzü, yapılan işlemlerin hiçbir şekilde sorun yaşamaması amacıyla tasarlanmıştır. WebOS'in en başarılı özelliklerinden biri de üçüncü parti yazılımlar ile sistem uygulamaları arasında senkronizasyonun kolay sağlanmasıdır. HP, WebOS'u satın alırken çoklu ürün geliştirmeyi amaçlamıştır. Bu maksatla bu işletim sistemini akıllı telefonlar, tabletler ve yazıcılarda kullanmayı hedeflemiştir. Fakat daha sonra HP içinde WebOS geliştirme çalışmalarını 17 sonlandırdığını açıklamıştır. Daha sonra yazılım açık kaynak şeklinde ve Open webOS adıyla yayımlanmıştır. Şubat 2013'de HP, WebOS'un LG tarafından akıllı tvlerde kullanılacağını duyurmuştur. Şimdilerde WebOS artık akıllı tv işletim sistemi haline dönüşmüştür [24]. 2.5.5. Maemo Maemo, Nokia'nın mobil cihazlar için geliştirdiği, açık kaynaklı bir mobil işletim sistemidir. Debian tabanında ve GNOME görsel kullanıcı arayüzü kütüphanesi üzerine kurulmuştur [25]. Linux tabanlı ve ileri düzeyde bir altyapıya sahip olması nedeniyle üzerinde hiç bir kısıtlama yoktur. Sadece Nokia ürün ailesinde kullanılmış olduğu için değişik platformlarda uyum sorunu olmamıştır. Parmak etkileşimli çalıştığı için basit ve sade bir arayüze sahiptir. Bu nedenle kullanımı son derece kolaydır. Dört ayrı masaüstü ekranı vardır. Sadece tabletlerde kullanılmasından kaynaklı uygulama çeşitliliği olarak rakiplerine oranla daha az uygulama çeşitliliği sağlar. Aynı anda birden fazla uygulamanın çalışmasını desteklemektedir [26]. 2.5.6. MeeGo Nokia ve Intel tarafından geliştirilmiş açık kaynaklı, mobil işletim sistemidir. Hedef kitle olarak akıllı telefonları, navigasyon cihazlarını, akıllı TV’leri, tabletleri ve cep bilgisayarlarını almıştır. Öncelikli amaçları Intel ve Nokia firmaları tarafından geliştirilen Moblin ve Maemo işletim sistemlerinin yeteneklerini ve teknolojilerini tek bir işletim sisteminde üzerinde birleştirmek olmuştur. MeeGo dönemi Nokia’nın Microsoft, Intel’in de Samsung ile anlaşarak Meego’yu geliştirmeyi durdurduklarını açıklamaları üzerine sonlanmıştır [27]. 2.5.7. LiMo LiMo OS, Linux tabanlı olan mobil cihazlar için geliştirilmiş bir işletim sistemidir. Esnek bir kullanıcı arayüzü, görev yöneticisi ve çoklu dokunuş desteğine sahiptir. Sistem açık yapılı olup Android yüklenmesi mümkündür. LiMo Eylül 2011'de Tizen adını almıştır. 18 Buraya kadar açıklanan işletim sistemleri güncelleğini yitiren veya kullanımı sonlandırılan ya da bir başka ifadeyle teknik destek verilmeyen sistemlerdir. Çalışmanın devamında belirtilen işletim sistemlerine göre daha çok kullanılan sistemler ele alınmaktadır. 2.5.8. Ubuntu touch OS Ubuntu Touch, Canonical Ltd. ve Ubuntu Topluluğu tarafından akıllı telefonlar ve tabletler için geliştirilen mobil işletim sistemidir. 31 Ekim 2011 tarihinde tanıtılmış ve 2013'ün ilk çeyreğinde yayımlanmıştır. Ubuntu Touch OS'un bazı özellikleri ile ön plana çıkacağı değerlendirilmektedir. Zayıf donanımlı telefonlarda bile hızlı ve iyi bir çözüm sunduğu belirtilmektedir. Arayüzü oldukça başarılı olan bu işletim sistemi kullanıcılar için pek çok kolaylık sağlamaktadır. Ekranın tüm köşeleri işlerlik kazanmıştır. Uygulamalar arası geçişler ve içerik erişimleri diğer işletim sistemlerine oranla daha kolaydır. Favori uygulamaların bulunduğu bölüm sayesinde hızlı erişim imkânı sağlanır. Ubuntu Touch için çoklu uygulama teknolojisinin tam olarak uygulandığı işletim sistemlerindendir. Kilit ekranı yoktur; bunun yerine hoşgeldiniz ekranı vardır. Diğer işletim sistemlerine benzer bildirim merkezi bu işletim sisteminde de vardır [28]. 2.5.9. Tizen Tizen; açık kaynak kodlu ve Linux tabanlı, akıllı telefonlar, tabletler, araç içi bilgi sistemleri ve akıllı TV'ler için geliştirilen mobil, işletim sistemidir. Intel ve Samsung firmaları tarafından geliştirilmiştir. MeeGo'nun devamı olarak belirtilmesine rağmen yeni bir işletim sistemi olarak ortaya çıkmıştır. Tizen her yerde tek işletim sistemi ilkesi ile geliştirilmiştir. Tizen grafik tarafında da güçlüdür. Open GL ES/EGL (3D) ve Web GL standartlarını oyun geliştiricilerine istenilen seviyede sağlamaktadır. İşlemci olan her üründe çalışmayı hedeflemiştir. Hem ARM hem de x86 desteği sağlamaktadır. Geliştirme ortamı olarak Eclipse kullanılır. Tüm HTML5 ve Javascript uygulamalarının kolaylıkla çalıştırılabileceği bir ortam sunmaktadır. Sistemin tüm kaynak kodlarına ve ilgili dokümanlarına açık kaynaktan ulaşmak mümkündür [29]. 19 2.5.10. Sailfish OS Sailfish, gönüllü bir topluluk tarafından Linux ve Mer çekirdekleri üzerine geliştirilmiş bir işletim sistemidir. Açık kaynak kodlu bir sistemdir. Sailfish'in farklı kılan ara yüzüdür. Ana sayfada açık uygulamaları gösteren pencereler bulunur. Bu özellik sayesinde aralarında kolaylıkla geçiş yapılabilmektedir. Açık uygulamalar canlı bilgileri gösterir. Telefonu uyandırmak için ekrana dokunmak yeterlidir. Bu yapı cihazın tek elle kullanılmasına da uygundur. Sailfish OS, cihazın kişisel olarak özelleştirilmesine müsaade etmektedir. Sailfish’in diğer önemli özelliği Android uygulamalarına da erişim imkânı tanımasıdır. Sailfish aynı zamanda Android donanımını da desteklemektedir. Bir başka ifadeyle Android kurulu bir cihaza, Sailfish yüklemek de mümkündür. Bu nedenle, Sailfish yüklü gelen cihazlar ilk başta çok sınırlı sayıda olsa da, diğer cihazlara da yüklenebildiği için yayılması çok daha kolay olmaktadır. Uzun dönemde çok yönlü yapısıyla akıllı TV’lerde ve tabletlerde de kullanılma ihtimali yüksektir. Sonuç olarak, Sailfish beklentilerin yüksek olduğu bir işletim sistemidir [30]. 2.5.11. Firefox OS Firefox OS, Mozilla tarafından 2013 de duyurulan ve akıllı telefonlar için geliştirilen açık kaynaklı bir işletim sistemidir. Üretici olarak Alcatel, ZTE, Huawei ve LG firmaları çalışmalara katılmıştır. İşletim sistemi ile beraber uygulama market olan Firefox Marketplace tanıtılmıştır. Firefox Marketplace; oyun, haber ve medya, iş ve üretkenlik konularında birçok uygulama seçeneği sunar ve bu uygulamalar cihazlar ve platformlar arasında taşınabilir [31]. Firefox OS; şık, yalın ve kolay kullanım ile kullanıcı dostu bir yapıya sahiptir. Firefox OS da gelişmiş bir arama motoru vardır. Bu özellikle aranan uygulamaya doğrudan giden bir yol kurulur. Mozilla, Firefox Marketplace ile dünyanın en büyük uygulama mağazası olma potansiyeline sahiptir [32]. 2.5.12. Bada Bada, Samsung tarafından Linux çekirdeği üzerine akıllı telefonlar için geliştirilmiş bir mobil işletim sistemidir. Giriş ve orta seviye akıllı cihazları hedef alan Bada özgür yazılım lisansı ile geliştirilmiştir. Bada'nın öncelikle akıllı televizyonlarda daha sonra ise diğer 20 ürünlerde kullanılması hedeflenmektedir. Bada 2.0 ile çoklu görev desteği gelmiştir. Bada sosyal entegrasyonu iyi olan işletim sistemlerindendir. Sosyal ağ entegrasyonu aynı şekilde devam etmektedir. Rehberdeki kişiler ile sosyal ağlardaki kişiler senkronize edilebilir ve eksik bilgi sosyal ağlardan alınabilir. Bu özellik ile rehber üzerinden sosyal ağlara mesaj atma yeteneği kullanılabilir. Bada'yı kullanan 3 ana cihaz ve ihtiyaçlara göre birçok ara model vardır [33]. 2.5.13. Blackberry OS BlackBerry OS, Java tabanlı BlackBerry marka akıllı telefonlar için geliştirilen mobil işletim sistemidir. İlk sürümü 1999 yılının Şubat ayında yayınlanmıştır. BlackBerry OS tarafından bugüne kadar 7 ana sürüm ve pek çok güncelleme yayınlamıştır [34]. 2013'ün ilk çeyreğinden itibaren piyasaya sürülen tüm yeni cihazlarda BlackBerry OS yerine Unix tabanlı yeni nesil BlackBerry 10 mobil işletim sistemi kullanılmıştır [35]. 2.5.14. Windows phone Windows Phone veya Windows Telefon, Microsoft tarafından 2010 Şubat ayında duyurulmuştur. Windows Mobile yerine geliştirilen mobil işletim sistemidir. Windows Phone için hedef kitle son kullanıcılardır. 20 Haziran 2012 tarihinde, çekirdek değişikliği ile (Windows CE yerine Windows NT) yeni işletim sistemi tanıtılmıştır. Bu çekirdek aynı zamanda Windows 8’de de kullanılmaktadır. Bu çekirdeğe geçişin amacı Windows 8 ile Windows Phone arasında uyumun sağlanmasıdır. Bu senkronizasyon ile iki işletim sisteminde uygulamalar karşılıklı olarak kullanılabilir hale gelmiştir. Haziran 2014'de yeni bir güncelleme yayımlanmıştır. Güncelleme ile sesli yardımcı desteği, tek parmağı sürükleyerek yazma (Word flow) klavyesi, bildirim ekranı, ekran düğmeleri ve uygulamaların hafıza kartına taşınma özellikleri getirilmiştir. Kullanıcıların önemli olduğu mesajını vermek adına “Önce İnsanlar (Put People First)” ilkesi kullanılmaktadır [36]. 21 2.5.15. Android Android, Google, Open Handset Alliance ve özgür yazılım topluluğu tarafından açık kaynak kodlu bir mobil işletim sistemidir. Android bir milyardan fazla kullanım istatistiği ile akıllı telefon ve tabletlerde kullanılan en çok tercih edilen işletim sistemidir. Her sürümüne tatlı isimleri verilen Android için hayatımızı daha tatlı yapmaya geldiği mesajı resmi web sitesinden verilmektedir. Her Android sürümü ile bir şeyler olası haline getirilmiştir. Tarihsel ve teknolojik olarak Android’in gelişimi aşağıdadır. Temmuz 2005'te Google, Android Inc.'i satın almıştır. Ekip tarafından Linux tabanı üzerine esnek, güncelleştirilebilir işletim sistemi yazılmıştır. Google, Android'i satın aldıktan sonra telefon üreticileri ile birlikte Open Handset Alliance (OHA) birliğini kurmuştur. Android'in gelişimi OHA tarafından yönetilmeye başlanmıştır. Bu olayın ardından Android geliştirme çalışmaları büyük bir hız kazanmıştır [37]. Son güncelleme 5 Ekim 2015 tarihinde yapılan Marshmallow olarak duyurulmuştur. Android işletim sistemi beş kısımdan oluşur: Çekirdek: Linux çekirdeğidir. Güvenlik, hafıza yönetimi, süreç yönetimi, ağ yığınları ve sürücü modellerini içermektedir. Android Runtime: Sanal makinedir. Dalvik Sanal Makinesini de içermektedir. Kütüphaneler: Veritabanı kütüphaneleri, web tarayıcı kütüphaneleri, grafik ve arayüz kütüphanelerini içermektedir. Uygulama Çatısı: Uygulama geliştiricilere geniş bir platform sunan kısımdır. Uygulama Katmanı: Doğrudan Java programlama diliyle geliştirilmiş uygulamaları içermektedir. 2.5.16. iOS iOS, iPhone için özel olarak üretilmiş bir işletim sistemi olmakla birlikte iPad, iPodTouch ve Apple TV gibi farklı Apple cihazlarındaki uygulamaları da çalıştırabilmektedir. iOS ve Mac OS X, birbirlerine benzeseler de iOS sadece cep telefonları için geliştirilmiştir. Şu an 22 Avrupa akıllı telefon marketinin %14.5 lik dilimini kaplayan iOS, Android'den sonra Avrupa'nın en çok tercih edilen işletim sistemidir. iOS Mimarisi: Temel hatlarıyla Mac OS X çekirdek tabanlı olan iOS çekirdeği, uygulamaları çalıştırmak için pek çok katmanı içerir. Veri katmanları Çekirdek OS, Çekirdek Servisleri, Media, Cocoa Touch, ve Uygulamalardan oluşmaktadır. iOS içerisinde yer alan veri katmanlarının yapıları: Çekirdek OS: Bu veri katmanı düşük seviye bağlantı, dış gereçlere ulaşım ve hafıza yönetimi/dosya sistemi işletmeni gibi hizmetler sunarak cihaz yazılımının en önemli parçasını oluşturmaktadır. ''Common Crypto'' bu katmanda depolanmış hareketli kütüphanelerden sadece biridir. Kütüphane, şifreleme/çözümleme işlemlerini içerdiğinden anahtar zinciri servisiyle beraber sertifika oluşturma ve yönetiminde kullanıcıya yardım eder. Çekirdek Servisleri: Bu veri katmanı Çekirdek OS'la birlikte çalıştığında bütün uygulamaların üzerinde işlem yapabildiği temel bir sistem hizmeti sunar. Düşük boyuttaki veri ve dosya erişimini sağlamak için genellikle C-tabanlı temel ara yüzler içermektedir. Bu ara yüzlerin içerisinde Core Foundation, CFNetwork, SQLite ve başka pek çokları sayılabilir. Cihazdaki anahtarlık veri tabanını kullanarak veri depolama ve şifreleme işlemleri yapan, Anahtarlık Hizmetleri'ni içerisinde barındıran Güvenlik Hizmetleri de bu veri katmanında bulunabilir. Media (Ortam): Ses, grafik ve video uygulamalarının bulunduğu veri katmanıdır. Cocoa Touch: Uygulamaların görsel ara yüzleri için eklenmesi zorunlu alt yapı teknolojilerini içeren veri katmanıdır [38]. Uygulamalar: App Store da bulunan uygulamalardır. Resim 2.2'de iOS mimarisi şematik olarak gösterilmiştir. 23 Resim 2.2. iOS mimarisi İOS kendi çekirdeğinde güvenlikli olarak dizayn edilmiştir. iPhone, iPad ve iPod Touch gibi Apple cihazları güvenlik katmanlarıyla dizayn edilmiştir. Veritabanı (SQLite): En çok kullanılan ve en yaygın veri depolama türlerinden biridir. Birçok mobil uygulama geliştiricisi SQLite veritabanını tercih eder. Daha geleneksel ilişkisel veritabanı yönetim sistemlerinin (RDBMS) aksine, tüm veritabanı, tek bir çapraz platform dosyasında bulunur. Uygulamaların verimli bir şekilde veri depolayabilmesi ve alması gerekmektedir. Geliştiriciler genellikle bunun için kendi bireysel dosya formatlarını oluşturmaktadırlar. Ancak ücretsiz, yüksek kaliteli, verimli ve açık kaynaklı olması nedeniyle geliştiriciler de SQLite'i tercih etmeye başlamışlardır. Çalışma Modları (Operating Modes) Normal mod: Cihaz tipik bir şekilde açıldığında bu normal moddur. iPhone’da yapılan birçok faaliyet aksi belirtilmediği sürece normal modda yürütülür. Kurtarma modu: Kurtarma modu için, kullanıcı veya denetleyici yazılım sisteminin yüklenmesini atlayarak iBoot içine cihazı yüklemelidir. iBoot Apple’ın ikinci evre boot loader’ıdır ve kurtarma modunda yer alır. Bu çalışma modu aygıtı; etkinleştirme, iPhone’da sürüm yükseltme veya sürüm düşürme ya da bazen adli fiziksel kazanım işlevlerini gerçekleştirmek için gereklidir. Aygıt kurtarma modu: Aygıt kurtarma modu iPhone’da çeşitli eylemleri başlatmak için gereklidir. En yaygın olanı fiziksel kazanımı çalıştırmaktır. 24 Uygulama Marketi (App Store): App Store iOS için uygulama satın alma platformudur. Apple tarafından geliştirilmektedir. Bu satın alma mağazasında kullanıcılar uygulamalara göz atabilir ve onları indirebilirler. Bu işlem ücretli ya da ücretsiz olabilir. Bu uygulamalar aygıtın işlevselliğini genişletmektedir. Eylül 2014 itibariyle, App Store da 1 200 000'dan fazla uygulama bulunmaktadır ve bu uygulamalar kullanıcılar tarafından 85 milyar kez indirilmiştir. Geliştiriciler geliştirdikleri uygulamaları Apple’a onay için gönderir. Uygulamalar kapsamlı bir şekilde Apple tarafından firma kuralları doğrultusunda incelenir. Eğer uygulamalar Apple tarafından onaylanırsa Apple Store’da kullanıcıların erişimine açılır. Apple kötü amaçlı yazılımları engellemek için uygulamaları katı inceleme sürecinden geçirir [39]. 25 3. ADLİ BİLİŞİM, MOBİL ADLİ BİLİŞİM VE METODOLOJİSİ 3.1. Adli Bilişim ve Adli Bilişimin Günümüzdeki Önemi Adli bilişim, bilgisayarlardaki sanal verilerin toplanıp, kanıtlarının ortaya konup yazı halini aldığı bir bilim dalıdır. Bu bilim dalı suçlu ile suçsuzu birbirinden ayırır, suçlu olduğu düşünülen kişi hakkında delilleri bir araya getirir ve suçsuzun haklarının korunmasına olanak sağlar. Adli bilişim bir süreçtir. Süreç delillerin toplanması için hazırlık yapılması ile başlar, delillerin toplanması ve korunması, incelenmesi, analizi, sunumu ve raporlanması ile son bulur. Günümüzde bilişim ve İnternetin oldukça yaygınlaşması nedeniyle bilişim suçları her alanda ve zamanda ortaya çıkabilmektedir. Bu şartlar altında geçmişte Türkiye’de de karşılaşıldığı üzere bilgisizlikten kaynaklanan, suşcuz insanların suçlanabilmesi ya da suçluların açıklıklardan faydalanarak kaçabilmeleri gibi durumlar gözlemlenmiştir. Ayrıca gerçek ortama göre sanal ortamda delil bırakma ya da silme fiziksel ortama göre daha kolay olmaktadır. Adli bilişim bu açılardan insan hayatına girmiş olsa da Türk toplumunda halen yeterli farkındalık oluşturulamamıştır. Adli bilişimin bir diğer yönü de çeşitli konuları suç açısından değil güvenliğin tesisi açısından değerlendirmesidir. Bu yönüyle sistemlerdeki açıklıkların bulunmasına katkısı büyüktür. Adli bilişimin amacı olay yerindeki delillerin hiç bir şüpheye yer vermeden gizlilik, bütünlük ve erişebilirlik kıstaslarına uygun bir şekilde toplanması, daha sonra bu delillerin bilimsel metotlarla incelenmesi, analizi ve raporlanmasıdır. Bu süreçte en önemli safha delile yapılan ilk müdahale safhasıdır. Bu nedenle delillerin toplanması için özel bazı yöntem ve donanımların kullanılması gereklilik haline gelmiştir. Adli bilişime önem veren ülkeler bu süreçleri destekleyici çeşitli önlemleri kanunlar ve yönetmelikler çerçevesinde almıştır. Usulüne uygun toplanmayan delilin hukuksal bir geçerliliği yoktur ve delil niteliği kazanmamaktadır. Bu açıdan delilin toplanması, korunması bir olayın aydınlatılmasındaki en önemli faktördür. Bilişim bireylerin hayatına girdikçe adli bilişimin önemi artacaktır. Bu konuda en önemli husus öncelikli olarak bu konuda bir farkındalığın oluşturulmasıdır. Arzu edilen durum toplum olarak adli bilişime hiç ihtiyaç olmamasıdır fakat gerçek yaşamda bu durum pek mümkün olmamaktadır. Bu nedenle bu konuda öncelikle eğitim veren kurum ve 26 kuruluşların sayısının artırılması ve daha sonra bu konuda pratik uygulamalarla öğrenilen bilgilerin pekiştirilmesi gerekmektedir. Her ne kadar adli bilişim konusu Türkiye'de ve dünyada gereken seviyede olmasa da adli bilişim teknolojisinin hızlı gelişmesi ve sistemlerin birbirlerinden ayrı birçok özelliğinin olmasından kaynaklı adli bilişim de birçok alt alana bölünmüştür. 3.2. Adli Bilişim Çeşitleri Adli bilişimin temelini elektronik delil oluşturmaktadır. Elektronik delilin muhafaza edildiği taşındığı veya paylaşıldığı her ortam ise adli bilişimin kapsamına girmektedir. İlk olarak bilgisayarla başlayan bu bilim dalı zamanla alt dallara ayrılmış ve her biri için uzmanlık dalları oluşmuştur. Bu alt dalları bilgisayar, ağ, dosya sistemi, işletim sistemi, mobil cihaz, malware (kötücül yazılım) ve geçici bellek adli bilimi olarak sıralanabilir. 3.2.1. Bilgisayar analizi Adli bilişim ilk ortaya çıktığında sadece bilgisayar adli incelemeleri üzerinde çalışılmasından kaynaklı computer forensics Türkçe’ye adli bilişim olarak çevrilmiştir. Daha sonra adli bilişimin sadece bilgisayar incelemelerinden ibaret olmadığı ortaya çıkmış ve adli bilişim de dünyada digital forensics olarak anılmaya başlanmıştır. Bilgisayar adli incelemeleri ise adli bilişimin bir alt dalı olmuştur. Bilgisayar adli bilişimin temelini oluşturmaktadır. Burada kastdedilen bilgisayarın adli bilişimin varlık nedeni olmasıdır. Bilgisayarın adli bilişimin nedeni olmasının yanında adli olayların çözülmesinde kullanılan araç olması nedeniyle iki tür ilişkisi olmaktadır. Bilgisayar denildiğinde akla, bilgisayarın yanında sunucular, taşınabilir bilgisayarlar ve masaüstü bilgisayarlar da gelmelidir. Bilgisayarlarda deliller ya diskte ya da geçici bellekte bulunmaktadır. Disk incelemesi genellikle silinmiş ögelerin geri getirilmesi olarak uygulanmaktadır. Burada önemli olan husus disk yapıları ve özelliklerinin incelemeyi yapan tarafından iyi bilinmesidir. Bilgisayar incelemesinde sistem kayıtları, zararlı yazılımlar, sunucu ise üzerinde çalışan uygulamalar veya web sunucu ise üzerinde barındırdığı sitenin kayıtları delil olma ihtimaline karşın ayrıntılı incelenmelidir. 27 İnceleme esnasında önemli olan husus adli inceleme sürecinin eksiksiz ve delile zarar vermeden icra edilmesidir. Bilgisayar depolama ortamlarındaki inceleme sürecini ilk başlatan kişi daima uzman personel olmalıdır. Bilinçsizce yapılan ilk müdehaleler veri kaybına, delil bütünlüğünün ve seyrinin bozulmasına başka bir ifadeyle inceleme sürecinin aksamasına yol açabilmektedir [40]. Bilgisayar depolama ortamlarındaki inceleme sürecinde saptanması gereken başlıca bir husus vardır. İnceleme altına alınan elektronik cihazdaki depolama ortamına ait veriler toplanmalı ve raporlaştırılmalıdır. Bu bilgisayar depolama ortamları ile ilgili olarak: - Toplam kapasite, - Bölüm (Partition) sayısı, kapasite ve dosya sistemi bilgileri, - İşletim sistemi türü, sürümü, yama sürümü, - İşletim sistemi kurulum tarihi, - Kullanıcı bilgileri, - Bilgisayar son kullanım tarihi bilgileri elde edilmelidir. Bu işlemler yapılırken işletim sistemi ve onun sürümümünün bilinmesi süreci hızlandıracak ve kolaylık sağlayacaktır. Bu durumu bir örnekle açıklamak gerekirse, Linux tabanlı Ubuntu işletim sistemi üzerinde yapılan konuşma kayıtları incelenirken MSN Messenger yerine Empathy Internet Messaging programı kayıtlarının saptanması zaman kazanma açısından verimli olabilmektedir. Bilgisayara giriş yapan kullanıcıların ve giriş yaparken kullandıkları yöntemin saptanması, adli bilişim uzmanı tarafından saptanan diğer bilgiler ile birlikte değerlendirilmesi açısından önem arz etmektedir. Bu açıdan bakıldığında, bilgisayarın son kullanım tarihi ile bilgisayara ait üstveri bilgilerinin birbiri ile tutarlı olması gerekmektedir. Adli bilişim uzmanı gerçek zaman bilgisini ve bilgisayarda kayıtlı olan zaman bilgisini ve bu iki sürede ortaya çıkan zaman farkını not etmeli hazırlayacağı raporda bu farklılığa yer vermelidir [41]. 28 Olayın gelişim sürecine ve sahip olunan imkanlara da bağlı olarak, bilgi edinimi ve profil çıkarımı, inceleme ve analiz sürecinde en çok zaman harcanan ve üzerinde durulan süreç olarak görülsede bu bağlamdaki en önemli adımlardan biridir [42]. 3.2.2. Ağ analizi Eski yıllarda sadece bilgisayarlar üzerinden dijital delil elde etmeye yönelik incelemeler yapılırken günümüzde ise bir birine birleştirilmiş sistemlerden oluşan bilgisayar ağlarının ve bu ağların gelişmesiyle ortaya çıkan İnternetin bilişim aktivitelerinin temelini oluşturmasıyla, bilgisayar ağları üzerinden dijital delil elde etmeye yönelik çalışmalar da arttırılmış ve "Bilgisayar Ağlarına Yönelik Adli Bilişim" terimi ortaya çıkmıştır [43]. Ağ analizi, bilgisayar ağ trafiğinin dinlenerek delil toplanması ve bu delillerin mahkemeye sunulması işlemidir. Bu süreç ağda paketlerin yakalanması ile başlar ve analizi, orjinal içeriğin çıkarılması ve delillerin raporlanması ile son bulmaktadır. İki tür inceleme metodu vardır. Birincisi proaktif, olay gerçekleşmeden takip edilmeye başlanır. Diğeri ise reaktif, olay gerçekleştikten sonra izlenmeye başlanır. Ağ analizinde dört tür veri bulunur: oturum, tam içerik, uyarı ve istatiksel veridir. 3.2.3. Bellek analizi Son yıllarda özellikle bu konuda bir ihtiyaç ortaya çıkmıştır. Çünkü bellek diskte tutulan bilgiler kalıcı olarak silinse dahi bazı bilgiler bellekte tutulur. Bilgiler geçici tutulduğu için cihazın kapatılmaması gerekmektedir. Kapatıldığında üzerinde tutulan bilgiler de uçar. Bu nedenle adli bilişim uzmanı için önemli olsa da aynı şekilde saldırgan içinde önemli bir husustur. Bellek analizi işletim sistemine göre farklılık arz etmektedir. Windows için çözümler fazla sayıda olmasına rağmen diğer işletim sistemleri için çözümler de gelişmektedir. Burada önemli olan canlı sistemlerin imajının alınması ve daha sonra incelenmesidir. Bu nedenle adli bilişim uzmanları son zamanlarda olaya müdahale esnasında bellek imajlarını da ilk yapılan faaliyetler kapsamında icra etmektedir. 29 3.2.4. GSM analizi GSM analizi kim kimi, ne zaman, nereden aradı, ne konuştu gibi soruların cevaplarını bulmak için yapılan incelemelerdir. GSM'in üç bileşeni vardır. Birincisi cihaz, ikincisi baz istasyonları ve son olarak baz istasyonlarını kontrol eden merkezdir. GSM arama çevrimi cihazdan başlar baz istasyonu, baz istasyon kontrol merkezi ve mobil anahtarlama merkezine gelir. Buradan sonra aynı yol izlenerek geri aranan cihaza doğru gider. GSM sosyal ağları genelde üç farklı frekansta uygulanır. Bunlar; GSM 900 (900MHz frekansta uygulanır), GSM 1800 (1800MHz frekansta uygulanır) ve PCS 1900 ya da DCS 1900'dur. GSM analizi sonucunda bazı kişisel bilgilerin yanı sıra, uyku saatleri ve çalışma saatleri, arkadaşları, geçmiş veya güncel lokasyon bilgileri gibi çeşitli bireysel bilgilere de ulaşılabilir. Burada servis sağlayıcıların yasal olarak tutmak zorunda olduğu kayıtlar (Arama detay bilgisi gibi) birçok adli olayın çözülmesinde önemli delil olmuştur. Kullanıcının kimi ne zaman ve ne kadar süre aradığı bilgisi tutulurken aramada neler konuşulduğu bilgisi tutulmamaktadır. Günümüzde GSM cihazlarının gelişmesi adli olarak delil olma olasılığını da artırmaktır. Kamerasının olması, sabit disk kapasitesinin artması ve İnternete bağlanabilmesi gibi özellikler potansiyel bir delil özelliği kazandırmaktatır. 3.2.5. GPS analizi Gelişmiş GPS özellikleri ile artık hayatımız her yerde izlenebilir olmuştur. Elimizdeki telefonda, kullandığımız arabada, otobüste, takside kısacası kullanılabilir tüm araçlarda GPS bulunmakta ve geçmiş yer bilgileri de tutulmaktadır. Bu bilgi sayesinde birçok adli olay aydınlatılmıştır. iPhone 3G ile Apple firması GPS özelliğini telefonlarla buluşturmuştur. Bu gerçek bir destek olmasına rağmen tam doğru çalışmamıştır. Firmaların güncellemeleriyle geliştirilmiş ve iPhone 3GS ile bir marka haline gelmiştir [44]. Bu adli bilişim dalları dışında disk, medya, sosyal ağlar gibi değişik alanlarda da adli bilişim çalışmaları artarak devam etmektedir. 30 3.3. Adli Bilişim Çalışmalarında Dikkat Edilmesi Gereken Hususlar Literatürden elde edilen bilgiler ışığında bazı adli tanımlar, prensipler ve en iyi uygulama rehberleri ve bunların cep telefonu konusunda adli bilimlerdeki yeri vurgulanmıştır. 3.3.1. Dijital delilin tanımı Scientific Working Group on Digital Evidence (SWGDE) topluluğuna göre dijital delil, ikili formda taşınan veya depolanan ve ispatlayıcı özellik gösteren bilgidir [45]. Buna bağlı olarak, dijital deliller telekomünikasyon ve sadece bilgisayarlarda elektronik multimedya bulunanlarla aygıtlarında sınırlı bulunan değil, diğer bilgileri de kapsamaktadır. Ayrıca, dijital delil sadece bilgisayar korsanlığı ve ihlalleri gibi geleneksel bilgisayar suçlarında değil, dijital delillerin bulunabileceği diğer bütün suç kategorilerinde mevcuttur. Ancak, “Guidelines fort them Management of IT Evidence” başlıklı Australian Standards HB1 71 belgesi, dijital delili “bir bilgisayardan elde edilen insan müdahalesine maruz kalmış veya kalmamış bütün bilgilerdir, dijital delili okunabilecek veya belirli bilgisayar programlarıyla elde edilen bilgileri anlama konusunda eğitimli kişiler tarafından anlaşılabilecek olmalıdır.” olarak tanımlar. Bu tanım, bilgisayar dışında cihazlardan elde edilecek verileri kapsamadığı için eksiktir [46]. Bu tanım, bütün dijital delil tanımlarının ve prosedürlerinin bilgisayar dışındaki cihazları kapsamadığını gösterir. 3.3.2. Dijital delilin prensipleri Birleşik Krallık’ın Association of Chief Police Officers (ACPO) organizasyonunun Bilgisayar Tabanlı Elektronik Delil Konusunda İyi Uygulama Rehberinde Bilgisayar temelli elektronik delillerle ilgili dört prensip sıralanır: Prensip 1: Bilgisayarda veya medya depolama aygıtında bulunan ve mahkemede delil olarak sunulacak hiçbir veri polis gücü ve onlara bağlı temsilciler tarafından değiştirilmemelidir. Prensip 2: Olağanüstü durumlarda, bir kişi bilgisayarda veya medya depolama aygıtında bulunan bir veriye ulaşmak istediğinde, bu kişi belirtilen işlemi yerine getirmeye yetkili olmalı, eylemlerinin uygunluğuna ve amacına açıklama getirebilmelidir. 31 Prensip 3: Bilgisayar tabanlı elektronik delile uygulanan bütün işlemlerin denetim izi veya başka bir kaydı yaratılmalı ve korunmalıdır. Bağımsız bir üçüncü kişi bu kaydı izleyip aynı sonuca ulaşabilmelidir. Prensip 4: Soruşturma amiri yasaların ve prensiplerin izlendiğine dair tüm sorumluluğu üstlenmelidir. ACPO’nun rehberine göre bilgisayar temelli delil, kâğıt üzerinde bulunan delilden farklı değildir ve aynı kurallara ve yasalara tabii tutulmalıdır [47]. ACPO rehberinde, aynı zamanda bütün dijital delillerin rehberde belirtilen sınırlar içerisinde kullanılamayacağı belirtilmiş, hatta cep telefonları örnek olarak verilmiştir. Rehberde söz edilen başka bir durum da rehberin birebir izlenmemesi durumunda delillerin geçerliliğini tamamen yitirmediğidir. Ancak, ACPO’nun birinci prensibi cep telefonları söz konusu olunca uygulanamaz. Çünkü cep telefonu verisi durmadan değişmektedir ve kullanıcının müdahalesi olmasa da cep telefonu verisi otomatik olarak değişebilir. Buna bağlı olarak, amaç saklanan veriyi mümkün olan en az biçimde değiştirmeye çalışmak ve uzmanın yeterliliğine ve denetim izine önem veren ikinci ve üçüncü prensipleri asli kural olarak almaktır. Prensip 2’ye bağlı olarak, uzman, cihazın yazılım ve donanım işleyişine hâkim olmalı, aynı zamanda veriyi cihazdan çıkaracak olan araçlar üzerinde uzmanlaşmış olmalıdır. Bazı araçlar, belirli işlemleri yerine getiremediklerinde hata mesajı vermediklerinden, birden çok aracın veri çıkarımında kullanılması önerilmektedir [48]. Prensip 3 incelendiğinde, üçüncü bir parti tarafından kopyalanabilecek bütün işlemlerin eksiksiz bir raporunun çıkarılması delilin mahkemede sunulabilir hale gelmesinde hayati bir önem taşımaktadır. Dijital delilin kurtarılması hususunda ise, International Organization on Computer Evidence (IOCE) tarafından yayımlanan “The Guidelines for Best Practice in the Forensic examination of Digital Technology” belgesinde dijital delilleri kurtarmada uygulanacak genel prensipler şunlardır [49]; - Delillere dair genel kurallar bütün dijital verilere uygulanmalıdır. - Deliller ele geçirildikten sonra delili değiştirecek eylemlerden kaçınılmalıdır. 32 - Orijinal dijital delile erişmek gerekli olduğunda bu işi yapacak olan kişi uygun eğitimi almış olmalıdır. - Delili ele geçirme, delile ulaşma, depolama ve delili transfer etme gibi işlemlerin hepsi belgelendirilmeli ve teftişe hazır tutulmalıdır. - Delile yapılan her değişiklikten dijital delili taşıyan kişi sorumludur. 3.3.3. Cep telefonları delil kılavuzu Mobil telefon cihazları hakkında kısaca bilgi verilen çok sayıda delil kılavuzu vardır. Bu kapsamda, bu kılavuzların bazıları vurgulanmış bazılarının ise eksiklikleri açıklanmıştır. ABD gizli servisi tarafından yayınlanan elektronik delillerin ele geçirilmesindeki en iyi uygulamalar diğer depolama cihazları altında kablosuz telefonlar olarak adlandırılır [50]. ABD Adalet Bakanlığı altında olan Ulusal Adalet Enstitüsü (NIJ), “Elektronik Suç Alanı: Yanıtlayıcılar İçin İlk Rehber” kitabının telefonlar başlığında mobil cihazları listelemiştir. Bu iki rehber de akıllı telefonlara detaylı yaklaşım göstermez. Bunun nedeni bu kılavuzların eski ve modası geçmiş olmalarıdır. Her iki kılavuzda ancak cep telefonları üzerindeki potansiyel delil olabilir. Onların açıklama kapsamları çok sınırlı olmakla beraber akıllı telefonun depolama yetenekleri ve uygulamalarını ele almamaktadır. USSS belgesinde ayrıca cihazın açık veya kapalı olması halindeki kuralları listeler: - Cihaz açık ise kapatmayınız. - Cihazı kapatmak kilitleme özelliğini aktif hale getirebilir. - Ekrandaki tüm bilgileri bir yere yazın veya kaydedin. - Taşımadan önce güç kaynağını çekiniz. - Cihaz kapalı durumda ise açılmamalıdır. - Cihazdaki delil açmadan da değiştirilebilir. - Cihazın bozulması halinde kısa sürede bir uzmana ya da yerel servis sağlayıcısına başvurun. - Eğer bir uzman yoksa farklı bir telefon kullanın ya da hücresel telefon endüstrisi tarafından sağlanan 7x24 servise başvurun. - Cihaza ait herhangi bir talimat kılavuzu bulmak için her türlü çabayı gösteriniz. İlk müdahale için NIJ kılavuzu potansiyel delil olarak [50]: Potansiyel deliller randevu takvimleri/bilgi, şifre, arayan kimlik bilgileri, telefon rehberi, elektronik seri numarası, kısa mesaj, e-posta, sesli posta, notlar ve web tarayıcıları gösterir. Rehber mobil cihazlarda 33 harici depolamaya bağlı olabilir ve faks makinesi gibi diğer donanımlar harici depolama aygıtı içerebilir. Cep telefonu kabloları gibi delil değeri içeren donanımlara odaklanılır. Bu iki kılavuz telefonlardaki elektronik dokümanlar, el yazısı bilgileri ve konum servisleri konularında başarısız olmuştur. Kanıtsal öneme sahip Symbian, Mobil Linux ve Windows Mobil gibi mobil işletim sistemleri hakkında yeterli bilgi vermekte başarılı değildir. Symbian ve Windows Mobil tabanlı telefonlarda trojanlar gibi kötü niyetli kodlar ve virüsler bulunur ve bluetooth ile başkalarına aktarılabilir. Cep telefonlarındaki yasa dışı faaliyetleri yürüten bu kötü niyetli uygulamalar veya günlük dosyalar delil olarak kabul edilebilecek verilere sahip olabilir. Bu nedenle, telefon uygulamaları ve bunlara ilişkin veriler potansiyel delil olarak kabul edilmelidir [51]. 3.4. Mobil Cihazlarda Adli İnceleme 2014 yılı sonunda yaklaşık 8 milyar mobil cihazla, yaklaşık 6 milyar kullanıcı sayısına ulaşılmıştır. Cep telefonları kişisel bilgisayarlardan üç kat fazla satılmasına rağmen, adli bilim açısından bilgisayarların çok gerisinde kalınmıştır. Bu durumun altında mobil teknolojilerin çok hızlı ilerlemesi yatmaktadır [52]. Cep telefonlarından elde edilen deliller adli ve medeni davalarda, hatta kamunun dikkatini çekip görünürlülük kazanan davalarda kullanılmaya devam etmektedir [53]. Cep telefonu uygulamaları oldukça hızlı bir biçimde gelişmektedir. Kelime işlemcileri, elektronik kablolar ve veritabanı temelli uygulamalar günümüzde cep telefonlarına taşınmış durumdadır [54]. Cep telefonlarının elektronik dosyaları depolama, görüntüleme ve yazdırma kabiliyetleri bu araçları mobil ofislere dönüştürmüştür. SMS (Kısa Mesaj Servisi) yollayabilme kabiliyeti telefonları birer mesaj merkezi haline getirmiştir. Mobile Data Association (MDA) verilerine göre sadece Hindistan’da Ocak ve Mayıs ayları arasında bir haftada ortalama neredeyse 1,5 milyar (1 492 400,769) kısa mesaj yollanmıştır [55]. Elektronik cüzdan (e-wallet) gibi teknolojiler cep telefonuyla yapılan çevrimiçi işlemlerde kullanıcılara kolaylıklar sağlanmıştır. Cep telefonlarının bağlantı ve güvenliği konusunda devam eden gelişmeler, cep telefonlarının hisse ticareti, çevrimiçi alışveriş, mobil bankacılık, otel rezervasyonları, [56] ve uçuş rezervasyonları ile onayı [57] gibi işlemlerde 34 güvenli bir biçimde kullanılmasına yol açmıştır. Mobil sistemlerin gelişiminin bir parçası olarak ortaya çıkan mobil adli bilişim de kaçınılmaz bir ihtiyaç haline gelmiştir. Cep telefonunun etkin kullanımı konusunda kolluk güçleri ve suç organizasyonları arasındaki fark günümüzde de gözle görülür derecededir. Cep telefonları suçlular tarafından yakalanmaktan kaçma ve günlük operasyonları yönetme amacıyla 1980’lerden beri kullanılmaktadır. İronik olan, yasal işletmeleri cep telefonlarının sağlayacağı kolaylıklar konusunda ikna etmek çok zor iken, organize suçun her seviyesindeki hemen hemen her suçlu cep telefonlarına yapılan yatırımın karşılığı fazlasıyla vereceğini bilmesidir [58]. iPhone, Samsung Galaxy serisi ve BlackBerry telefonları gibi akıllı telefonlar yüksek performans, devasa depolama alanı gibi özellikleri ile bilgisayarların kompakt sürümleridir. Bu telefonlar, arama ve mesajlaşma gibi basit iletişim görevleri için kullanılmalarının yanında İnternet erişimi, e-posta, fotoğraf çekmek, dosya oluşturup depolamak, GPS hizmetiyle yer belirlemek ve işle ilgili görevleri yerine getirmek için kullanılabilmektedir. Yeni özellikler ve uygulamalar cep telefonlarına dâhil oldukça, bu telefonlara depolanan veri miktarı da devamlı artmaktadır. Cep telefonları portatif veri taşıyıcıları haline gelip kullanıcıların bütün hareketlerini takip edebilmektedir. İnsanların günlük yaşamında ve suç dünyasında cep telefonlarının yaygınlaşmasıyla beraber, bu araçlardan elde edilen verilerin adli, sivil ve hatta kamu dikkatini çeken büyük soruşturmalar için kullanılması mümkün hale gelmektedir. Bir dijital adli soruşturmaya telefonların dâhil olmaması ihtimali çok düşüktür. Dijital delil, soruşturma için kullanılan elektronik aletlerde depolanan, alınan veya iletilen bilgi ve veriler olarak tanımlanır. Dijital delil kavramı; soruşturmalarda delil olarak kullanılan bütün dijital verileri kapsar. Dijital adli bilişim, adli bilimin elektronik ve dijital aygıtlarda bulunan ham verilerin kurtarılıp araştırılması işleminde kullanılan koluna verilen isimdir. Adli sağlamlık terimi dijital adli bilim topluluğunda belirli bir teknolojinin kullanımının yeterliliğini ve etikliğini belirtmek için kullanılır. Sağlam bir adli araştırmanın ana prensibi orijinal delilin değiştirilmemiş olarak kalmasıdır. Bu mobil servisler için özellikle zordur. Bazı adli araçlar mobil cihazla bir iletişim vektörü gerektirir, bu da standart yazılım korumasının adli işlem sırasında bir işe yaramayacağına işaret eder. Diğer adli işlem metotları işlemden önce bir mikroişlemcinin çıkarılması ve bootloader adı verilen bir programın mobil cihaza 35 yerleştirilmesi gibi operasyonları içerebilir. Cihaz konfigürasyonunu değiştirmeden inceleme ve veri eldesinin mümkün olmadığı durumlarda, prosedür ve değişiklikler test edilmeli, onaylanmalı ve belgelendirilmelidir. Doğru yöntem ve ilkelerin izlenmesi değerli veriye ulaşmak açısından oldukça önemlidir. Bütün delil elde etme işlemlerinde olduğu gibi, inceleme sırasında düzgün prosedüre uyulmadığı takdirde delilin kaybı, zarara uğraması veya mahkemede kullanılmayacak hale gelmesi riski bulunmaktadır. Mobil adli bilişim süreci dört büyük kategoriye ayrılır: el koyma, veriyi çıkarma, inceleme/analiz ve raporlamadır. Adli uzmanlar mobil aygıta el koyma sürecinde bazı zorluklarla karşılaşmaktadırlar. Suç mahallinde, mobil cihaz kapalı halde bulunursa, uzman cihazı bir Faraday çantasına koyup cihazı açılması sırasında gerçekleşecek değişiklikleri engellemelidir. Faraday çantaları telefonu ağdan tecrit etmek üzere özellikle yapılmıştır. Eğer telefon açık halde bulunursa, telefonu kapatmak birçok sıkıntı doğurabilir. Eğer telefon bir PIN veya parola ile şifrelenmişse, uzman şifreyi geçmek veya PIN kodunu belirlemek ve cihaza erişimi sağlamakla görevlidir. Cep telefonları ağa bağlı cihazlardır ve telekomünikasyon sistemleri, Wi-Fi erişim noktaları ve bluetooth gibi farklı kaynaklardan veri alarak yollayabilirler. Bir başka ifadeyle telefon işler durumdaysa bir suçlu depolanmış veriyi uzaktan silme komutuyla silebilir. Bir telefon açık haldeyken, faraday çantasına konulup delili korumak amacıyla ağdan koparılmalı, uçuş moduna alınmalı ve bütün ağ bağlantıları (Wi-Fi, GPS, Hotspot vb.) yok edilmelidir. Bu aynı zamanda faraday çantasında tükenecek olan bataryayı da muhafaza edecek ve faraday çantasında yaşanacak sızıntıları da engelleyecektir. Mobil cihaz bir kere düzgünce ele geçirildiğinde, uzman telefonda depolanmış olan verilere erişmek için birçok adli araca ihtiyaç duyacaktır. Mobil aracın adli elde edilme süreci birçok metot kullanılarak gerçekleştirilebilir. Bu metodların her biri gereken analiz miktarı konusunda değişiklik göstermektedir. Bir metod başarısız olduğunda diğeri denenmelidir. Birçok araç ve girişim verileri cihazdan çıkarmak için gerekli olabilmektedir. Cep telefonları veri elde etme ve analizi sürecinde adli bilişim uzmanı için birçok sıkıntı barındıran dinamik sistemlerdir. Farklı üreticiler tarafından üretilen farklı cep telefonu türleri sayısındaki ani artış bütün cihazlar üzerinde kullanmak için tek bir süreç veya araç üretmeyi oldukça zor hale getirmektedir. Cep telefonları mevcut teknolojilerin ilerlemesiyle ve yeni teknolojilerin ortaya konulmasıyla devamlı evrilmektedir. Ayrıca, birçok farklı mobil cihaz farklı işletim sistemleri kullanmaktadır. Bundan dolayı, adli uzmanların özel bilgi ve becerilere sahip olması gerekmektedir [59]. 36 Adli bilişim üzerindeki çalışmalar olay yerinde dijital ortam üzerinden alınan deliller ile başlar ve bu delillerin mahkemeye sevk edilmesi sürecine kadar devam eder [60]. Olay yerinden alınan bu verilerin gerçeklik payının gösterilmesi ve mahkemeye sunulması için delillerle birlikte ortaya konulması gerekmektedir [61]. Hukuk kapsamında, suçlu görülen kişinin yargılanabilmesi için hakim önüne çıkarılacak verilerin deliller ile desteklenmesi gerekmektedir. Bu delillerin tespit edilme ve toplanma süreci adli bilişimin çalışma alanına girmektedir [62]. Bu delillerin bir araya getirilmesi sadece toplama ve sunma sürecinden oluşmamaktadır, aynı zamanda sistemli bir incelemeye de ihtiyaç vardır. Dijital cihazlardan elde edilen bu deliller adli bilişim yöntemleri ve teknik incelemeler aracılığı ile ortaya konması gerekmektedir. Bu zaman zarfında, elektronik cihazlardan delil elde etme basit bir süreç değildir, daha karmaşık, detaylı ve incelemeye dayanan bir yapıdır [63]. Cep telefonu teknolojileri hızla gelişmektedir. Mobil cihazlardaki dijital hukukun gelişimi yavaş ve hareketsiz olarak görünmektedir. Cep telefonları adli mobil sürüm döngülerini yakalamak için daha kapsamlı olmalıdır. Mobil adli araç takımları her telefona uygun ve eldeki veriler ile zamanında kullanılmalıdır. Bilgisayar adli soruşturmaları genelde iki türde gerçekleşir. Birinci tip olayın gerçekleştiği yerdir ama failin kimliği bilinmez (Örneğin, hack). İkinci tipte ise hem yer hem fail biliniyordur (Örneğin, çocuk pornografisi soruşturması). Olayın arka planın hazırlanması için adli bilişim uzmanı ve analist aşağıdaki hedefleri gerçekleştirerek devam edebilir. - Bireyler hakkında bilgi toplamak (kim?) - Meydana gelen olayların nasıl geliştiğine tam olarak karar vermek (Ne?) - Olayların bir zaman çizelgesini oluşturmak (Ne zaman?) - Suçu tetikleyen bilgileri ortaya çıkarmak (Neden?) - Kullanılan araçları keşfetmek (Nasıl?) Çizelge 3.1’de verilen tablo cep telefonlarında bulunan yaygın jenerik delil kaynaklarının çapraz referanslarını ve hedeflerini bulmaya katkı sağlayacaktır. Bu vesileyle, direkt bilgi, motivasyon ve niyet tesis edilebilir. Delil kaynaklarının çoğunda kişisel verilerden, çağrı 37 verilerinden, mesajlaşmadan ve İnternet ile ilgili bilgilerden yararlanmakta fayda vardır. Görüntüleme ve düzenleme için cihaza yerleştirilen kullanıcı dosyaları da önemli bir delil kaynağıdır. Grafik dosyalarının yanı sıra, diğer ilgili dosya içeriği, ses ve video kayıtları, elektronik tablolar, sunum slaytları ve benzeri diğer elektronik belgeleri içermektedir. Cihaza yüklü olan yürütülebilir programlar da belirli durumlarda işe yarayabilir. Hatta bazen, veri servis sağlayıcı tarafından birleştirilen bilgiler en önemli kurtarılmış bilgiler sayılabilmektedir [64]. Çizelge 3.1. Delil bulma matrisi Abone/Aygıt Tanımlayıcıları Kim Ne Nerede Ne Zaman Niçin Nasıl X Çağrı Kayıtları X Rehber X Takvim X X X X X X Mesajlar X X X X X X X X X X X Konum Web URL’leri/İçerikleri X X X X Resim/Video X X X X Diğer Dosya İçeriği X X X X X X X 3.4.1. Kısıtlar Mobil platformlar konusunda adli zorlukların en önemlilerinden biri veriye birçok cihaz tarafından erişilebilmesi, depolanabilmesi ve senkronize edilebilmesidir. Veri hassas ve kolayca değiştirilebilir ve silinebilir olduğundan bu verilerin korunması çok daha fazla çaba gerektirmektedir. Mobil adli bilişim bilgisayar adli bilişiminden farklıdır ve adli uzmanlar için farklı zorluklar barındırmaktadır. Kolluk güçleri ve adli bilişim uzmanları sıklıkla mobil cihazlardan veri elde etmek konusunda zorluklarla karşılaşırlar. Bu zorluklar [59]: Donanım farklılıkları: Piyasa değişik üreticiler tarafından üretilen değişik modeller akınına uğramış durumdadır. Adli bilişim uzmanları, adli araştırmacılar farklı tipte cep telefonlarıyla karşılaşabilirler. Genel farklılıklar boyut, donanım, özellikler ve işletim sistemidir. Ayrıca, kısa ürün geliştirme devri dolayısıyla yeni modeller çok çabuk ortaya 38 çıkmaktadır. Mobil piyasa her gün değişmekte olduğundan, bir uzmanın birçok sıkıntıya adapte olması ve mobil cihazlar üzerinde uygulanabilecek adli teknikler hakkında güncel bilgiye sahip olması gerekmektedir. Mobil işletim sistemleri: Yıllardır Windows’un piyasaya egemen olduğu kişisel bilgisayarların aksine mobil araçlar genellikle farklı işletim sistemleri kullanmaktadır, bunlar Apple’ın iOS’u, Google’ın Android’i, RIM’in BlackBerry OS’i, Microsoft Windows Mobile, HP’nin webOS’i, Nokia’nın Symbian OS’i ve birçok farklı işletim sistemidir. Mobil platform güvenlik özellikleri: Modern mobil platformlar kullanıcı verilerini ve gizliliğini korumak için built-in güvenlik özellikleri barındırmaktadır. Bu özellikler adli inceleme ve veri eldesi sırasında bir engel olarak hareket etmektedir. Örneğin, modern mobil cihazlar donanım katmanından yazılım katmanına varsayılan şifreleme mekanizmalarına sahiptir. Uzmanın veriye ulaşmak için bu şifreleme mekanizmalarını kırması gerekebilir. Kaynak yetersizliği: Daha önce de bahsedildiği gibi, cep telefonlarının artan sayısıyla beraber bir uzmanın ihtiyacı olan araçların sayısı da artacaktır. USB kabloları, bataryalar ve şarj cihazları gibi veri eldesinde kullanılan adli aksesuarlar bu araçlara erişebilmek için zaruridir. Aygıtın genel durumu: Aygıt kapalı durumda görünse de, arka planda işlemler hala işler halde olabilir. Örneğin, birçok cep telefonunda saat alarmı telefon kapalı da olsa çalışır haldedir. Bir durumdan diğer duruma ani bir geçiş verinin kaybına veya değişimine neden olabilir. Adli işlemlere karşı alınabilecek önlemler: Veri saklama, aldatma teknikleri, veri sahteciliği ve güvenli silme işlemleri dijital medya üzerinde yapılacak incelemeleri daha da zorlaştırmaktadır. Delilin dinamik doğası: Dijital delil istenerek veya istenmeyerek kolayca değiştirilebilir. Örneğin, bir uygulamaya girmek o uygulama tarafından telefonda depolanan verilerin değiştirilmesine sebep olur. 39 Kazara yeniden başlatmak: Cep telefonları yüklü her yazılımı/uygulamayı yeniden başlatma özelliği bulundurmaktadır. İnceleme sırasında cihazı yanlışlıkla yeniden başlatmak veri kaybına sebep olmaktadır. Cihaz değişikliği: Cihazları değiştirmenin muhtemel yolları uygulama verisini hareket ettirmek, dosya ismini değiştirmek ve üreticinin işletim sistemini değiştirmek olarak sıralanabilir. Bu gibi durumlarda, şüphelinin uzmanlığı da göz önünde bulundurulmalıdır. Şifre kurtarma: Eğer cihaz bir parolayla korunuyorsa, adli uzman aygıttaki veriye zarar vermeden cihaza erişim sağlamalıdır. İletişim kalkanı: Mobil cihazlar Wi-Fi ağları, bluetooth ve kızılötesi gibi hücresel ağlar üzerinden iletişimde bulunurlar. Aygıt iletişimi cihazdaki veriyi değiştirebileceğinden, aygıt ele geçirildikten sonra bu tip iletişim kesilmelidir. Araçlara ulaşımın kısıtlılığı: Mobil cihazlar çok çeşitli türler halinde bulunmaktadır. Sadece bir araç gerekli işlevleri yerine getirse bile bütün cihazları desteklemeyebilir. Yani farklı araçların birleşimini kullanmak gereklidir. Doğru aracı doğru telefon için seçmek zor olabilmektedir. Zararlı programlar: Aygıt, virüs veya trojan gibi kötü amaçlı yazılım barındırıyor olabilir. Bu kötü amaçlı yazılımlar kablosuz veya kablolu bağlantıyla diğer cihazlara yayılmaya çalışabilirler. Yasal sorunlar: Mobil aygıtlar coğrafi sınırları aşan suçlara bulaşmış olabilir. Uzman, birden çok yasama otoritesinin suçla ilgilenebileceğinin farkında olup suçun doğasını ve yerel kanunları bilmelidir. 3.4.2. Mobil cihaz delil elde etme süreci Delil çıkarma ve adli inceleme her mobil cihaz için değişmektedir. Ancak, istikrarlı bir inceleme sürecinin incelenmesi elde edilen delillerin iyi belgelenmiş ve savunulabilir olması konusunda adli vakanın çözümlenmesinde yardımcı olur. Mobil cihaz verileri çıkartılırken kullanılan bütün metotlar test edilmeli, onaylanmalı ve belgelenmelidir [65]. Şekil 3.1'de istikrarlı bir inceleme süreci gösterilmiştir. 40 Veri Girişi İzolasyon Belgeleme ve Raporlama Tanımlama Hazırlanma İşleme Doğrulama Sunum Arşiv Şekil 3.1. Cep telefonu delil çıkartma işlemi Veri giriş aşaması: Veri giriş aşaması başlangıç aşamasıdır. Bu aşamanın içeriğinde istek formları, belgenin mülkiyeti konusunda evraklar, mobil cihazın ne tip bir olayla ilgili olduğu ve aranılan verinin genel hatları bulunmaktadır. Her inceleme için ayrıntılı amaçlar belirlemek bu aşamanın kritik bir parçasıdır. Tanımlama aşaması: Adli uzman bir mobil cihazın adli inceleme sırasında yasal otorite, amaç, cihazla ilgili hususlar, veri depoları ve potansiyel deliller gibi detayları tanımlamalıdır: Yasal otorite: Yasal otoritenin belirlenmesi ve işlemin yasal sınırlarının çizilmesi adli uzman için verinin çıkartılmasını ve incelenmesini mümkün kılan en önemli husustur. İncelemenin amacı: Adli uzman, istenilen veriye göre ne kadar derin bir inceleme yapılacağına karar verir. İncelemenin amacı, incelemede kullanılacak olan araç ve tekniklerin seçimi konusunda önem arz etmektedir. Cihazın modeli, markası ve belirleyici bilgileri: İncelemenin bir parçası olarak, telefonun üretim detaylarını ve modelini bilmek telefona uygulanacak tekniklerin ve kullanılacak araçların seçiminde önemlidir. Taşınabilir ve harici veri deposu: Birçok mobil cihaz hafızası harici taşınabilir hafıza kartları ile genişletilebilmektedir. Buna benzer kartlar telefonda bulunduğunda, telefondan alınıp geleneksel dijital adli inceleme yöntemlerine tabi tutulmalıdır. 41 Başka potansiyel delil kaynakları: Mobil cihazlar parmak izi ve benzeri biyolojik deliller için iyi bir kaynaktır. Bu nedenle parmak izi vb. incelemeden önce alınmalı ve adli inceleme uzmanları eldiven kullanmalıdır [65]. Hazırlanma aşaması: Hazırlık aşaması ulaşılan model için kullanılacak teknik ve araçların belirlenmesi için gereken araştırmanın yapılmasını içerir. İzolasyon aşaması: Cep telefonları hücresel telefon ağları, bluetooth, kızılötesi ve kablosuz ağlar gibi yöntemler kullanarak bağlantı kuracak şekilde dizayn edilmiştir. Telefon bir ağa bağlandığında, telefona ulaşan çağrılar, mesajlar, uygulama verileri telefondaki delili değiştirebilir. Delilin tamamen silinmesi de uzaktan bağlantıyla ve uzaktan silme komutlarıyla mümkündür. Bu sebeple, cihazın incelenmesinden önce bütün iletişim yollarından izole edilmesi önem arz eder. Telefonun izolasyonu gelen sinyalleri engelleyecek olan Faraday torbalarıyla sağlanabilir. Yapılan araştırmalar, Faraday torbalarının iletişimden koruma işlevlerinin tutarsız olduğunu göstermiştir. Bu nedenle ağ izolasyonunun yapılması önerilir. Bu da telefonun radyo frekansı koruyucu kumaşa sarılarak uçak moduna alınmasıyla yapılabilir. İşleme aşaması: Telefon iletişim ağlarından izole edildikten sonra, cep telefonunun gerçekten işleme tabi tutulmasıyla başlar. Cep telefonu test edilmiş, tekrar edilebilir ve adli açıdan sağlam bir işleme tabi tutulmalıdır. Fiziksel edinim yöntemi ham bellek verilerine erişim sağladığından ve cihaz işlem sırasında kapalı kaldığında tercih edilen metottur. Birçok cihazda, gerçekleşebilecek değişimler asgari seviyede fiziksel edinim işleminde gerçekleşir. Eğer fiziksel edinim işlemi mümkün değilse mobil cihazın dosya sisteminin elde edilmesi için bir teşebbüste bulunulmalıdır. Bir mantıksal edinim işlemi ayrıştırılmış veriler içerdiğinden ve ham bellek imajının incelenmesi için yol göstermesi açısından mutlaka yapılmalıdır. Doğrulama aşaması: Cep telefonunu incelendikten sonra uzmanlar elde edilen verilerin doğruluğunu teyit etmeli, verilerin değiştirilmediğinden emin olmalıdır. Elde edilen verilerin doğrulanması birçok yoldan yapılabilir. Cihazdan çıkartılan verinin cihazda görüntülenen veriyle uyuşup uyuşmadığını kontrol edilir. Çıkartılan veri tercihe bağlı olarak cihazın kendisiyle veya mantıksal raporla 42 karşılaştırılabilir. Cihazın kendisinin kullanılması eldeki tek delil olan cihazda değişiklik yapabilir. Doğruluğun sağlanması için birden fazla araç kullanılıp ulaşılan sonuçlar karşılaştırılmalıdır. Bütün imaj dosyaları edinim işleminden sonra hash işlemine tabi tutulmalı, böylece verinin değişmemiş olması sağlanmalıdır. Eğer dosya sistemi çıkartımı destekleniyorsa, adli bilişim uzmanı dosya sistemini çıkartır ve bilgisayar çıkartılan dosyalar için bir hash işlemi yürütür. Sonra, bireysel olarak çıkartılmış dosyaların hash’leri hesaplanır ve orijinal değerlerle kontrol edilerek verilerin bütünlüğü doğrulanır. Hash verilerinde ortaya çıkacak olan herhangi bir tutarsızlık açıklanabilir olmalıdır. Belgeleme ve raporlama aşaması: Adli uzmanın inceleme sürecinde ne yapıldığını eşzamanlı notlar halinde adım adım belgelemesi gereklidir. Uzman incelemeyi tamamladıktan sonra, sonuçlar bir çeşit “emsal tarama (peer review)” işlemine tabi tutulmalıdır, böylece verinin kontrol edilmiş olması sağlanır ve inceleme sona erer. Uzmanın inceleme süresince aldığı notlar şunları içermelidir: - İncelemenin başlangıç tarihi ve saati, - Telefonun fiziksel durumu, - Telefonun ve bileşenlerinin fotoğrafları, - Telefon elde edildiğinde açık olup olmadığı, - Telefonu modeli ve markası, - Edinim için kullanılan araçlar, - İnceleme işleminde kullanılan araçlar, - İncelemede bulunan veriler, - “Peer-review” sonucu ulaşılan notlar. Sunum aşaması: İnceleme boyunca elde edilen ve belgelenen verilerin mahkemeye veya başka bir adli makama gösterildiğinde anlaşılabilir olmasına dikkat edilmelidir. Edinim işlemi ve analiz sırasında cep telefonundan alınan verilerden bir adli rapor üretmek önemlidir, hem kağıt üzerinde hem de elektronik formatta veriler ortaya çıkabilir. Buluntular, mahkemede bir sonuca işaret edecek şekilde belgelenmeli ve sunulmalıdır. 43 Buluntular açık, kısa ve tekrarlanabilir olmalıdır. Zaman çizelgesi ve link analizi gibi birçok ticari mobil adli araç tarafından sunulan özellikler, birçok farklı telefondan elde edilen verileri raporlamada ve açıklamada yardımcı olacaktır. Bu araçlar müfettişin birçok cihaz tarafından gerçekleştirilen iletişimin incelemesini mümkün kılmaktadır. Arşivleme aşaması: Mobil cihazdan çıkartılan verilerin muhafazası bütün sürecin önemli bir parçasını oluşturmaktadır. Elde edilen verinin devam eden bir mahkeme sürecinde kullanılabilir olması, mevcut delil dosyasının kullanılamaz hale gelmesi durumunda işe yarayacaktır. Bu durum aynı zamanda kayıt tutma isterlerine ulaşmak için de önemlidir. Mahkemeler karara varmadan yıllarca devam edebilir. Birçok soruşturma verinin uzun süre tutulmasını gerektirebilir, temyiz gibi süreci uzatan faktörler de göz önünde bulundurulmalıdır. Bu alanda bilgi ve metotlar geliştikçe, ham, fiziksel imajdan yeni veri elde etme yöntemleri ortaya çıkabilir, böylece uzman arşivlerden kopyayı alarak bu yöntemleri kullanacak ve daha önce ulaşılamayan verilere ulaşılacaktır. 3.4.3. Mobil cihazlarda adli inceleme araçlarının sınıflandırması Cep telefonunun adli elde edinimi ve analizi manuel olarak bir çaba ve araçların kullanımını gerektirir. Mobil adli işlemleri gerçekleştirebilecek birçok farklı araç bulunmaktadır. Bütün araçların kuvvetli ve zayıf yönleri vardır. Ayrıca sadece tek birinin bütün amaçlar için yeterli olmadığını anlamak oldukça önemlidir. Yani, farklı tipteki adli inceleme araçlarına sahip olmak uzmanlar açısından da önem taşımaktadır. Bu maksatla Sam Brothers tarafından Şekil 3.2'de gösterilen bir mobil cihaz adli inceleme araç sınıflandırma sistemi geliştirilmiştir [66]. 44 Mikro İnceleme Çip Sökme Fiziksel Veri Elde Etme Mantıksal Veri Elde Etme Manuel Veri Elde Etme Şekil 3.2. Hücresel telefon aracı sınıflandırma piramidi Mobil cihaz adli inceleme araç sınıflandırma sisteminin asıl amacı bir uzmanın adli araçlarını, inceleme yöntemine göre sınıflandırmasıdır. Sınıflandırmanın aşağısından başlayıp yukarıya doğru giderek, metotlar ve araçlar genelde daha teknik, karmaşık ve adli açıdan sağlam hale gelir ve daha az analiz zamanı gerektirirler. Bütün seviyelerde analiz gerçekleştirmenin artı ve eksileri mevcuttur. Adli uzman, bu konuda bilgi sahibi olmalı ve sadece gereken seviyede işlem yürütmelidir. Eğer metot veya araç düzgünce kullanılmazsa delil tamamen yok olabilir. Bu risk piramitte yukarı gittikçe artmaktadır. Veri elde etmede en yüksek başarıya ulaşmak için verimli ve nitelikli bir eğitim şarttır. Bütün seviyelere ilişkin olarak bilgiler [66]: Manuel edinim: Bu metot basitçe veriler arasında dolaşıp veriyi telefon ekranında doğrudan görüntülemek olarak açıklanabilir. Elde edilen bilgi fotoğrafla belgelenir. Edinim işlemi hızlı ve kolaydır ve neredeyse bütün telefonlarda çalışır. Bu yöntem, insan hatalarına açıktır, arayüze alışkın olmamaktan kaynaklanan veriyi gözden kaçırma ihtimali yüksektir. Bu seviyede silinen bilgiye ulaşmak ve bütün verileri elde etmek imkânsızdır. Manuel çıkartma işlemini kolayca belgelemek amacıyla üretilmiş araçlar mevcuttur. Mantıksal edinim: Mantıksal edinim cep telefonunu adli donanıma USB kablosuyla, RJ-45 kablosuyla, kızılötesi veya bluetooth ile bağlama sürecini içerir. Bir kere bağlandıklarında, bilgisayar bir takım komutlar oluşturup bunları cihaza yollar. Bu komutlar cihaz işlemcisi tarafından işlenir. Sonra, istenen veri cihazın hafızasından adli donanıma yollanır. Uzman 45 veriyi görüntüleyebilir. Çoğu adli araç genelde bu seviyede sınıflandırılmış çalışma prensipleri kullanmaktadır. Edinim işlemi hızlıdır, kullanması kolaydır ve uzmanlar için çok az bilgi içerir ama bu süreç cep telefonunda veri değişimine sebep olabilir ve delilin bütünlüğüne zarar verebilir. Ayrıca, silinen verilere ulaşım da sağlanamaz. Fiziksel edinim (Hex Dump): Bir hex dump, diğer adıyla fiziksel edinim, cihazı adli donanıma bağlayarak ve işaretlenmemiş kodları veya bir bootloader’ı telefonun içerisine zorlayarak ve telefona içerisindeki verileri bilgisayara göndermesini emrederek yapılır. Sonuç olarak alınan ham imaj ikili formatta olduğundan, bu verileri analiz etmek için teknik uzmanlık gerekmektedir. Bu süreç ucuzdur, uzmana daha fazla veri sağlar ve birçok cihazda ayrılmamış hafızadan silinmiş dosyaların kurtarılmasına olanak verir. Chip-off (Mikroişlemci sökme): Chip-off terimi verilerin doğrudan cihazın hafıza yongasından alınmasını tanımlamak için kullanılır. Bu seviyede, mikroişlemci cihazdan fiziksel olarak ayrılır ve bir mikroişlemci okuyucu veya ikinci bir telefon kullanılarak mikroişlemcide taşınan veriler çıkartılır. Bu yöntem teknik olarak daha zordur çünkü cep telefonlarında kullanılan mikroişlemciler çok çeşitlidir. Bu süreç pahalıdır ve donanım seviyesinde uzmanlık gerektirir, çünkü sürece mikroişlemcinin lehiminin çıkarılması ve ısıtılması da dâhildir. Chip-off tipi veri çıkartmanın başarılı bir şekilde yapılması için eğitim gerekmektedir. Prosedürün izlenmemesi hafıza yongasına zarar vererek bütün verileri kurtarılamaz duruma getirebilir. Eğer mümkünse, chip-off yapılmadan önce diğer çıkartma yöntemleri denenmelidir çünkü bu yöntem doğası gereği yok edicidir. Ayrıca, hafızadan gelen veri ham formattadır ve ayrıştırılmalı, yeniden kodlanmalı ve anlaşılır hale getirilmelidir. Cihaz zarar gördüğünde mikroişlemci hala işler durumdaysa bu işlem tek seçenektir. Mikro inceleme: Bu süreç hafıza yongasında görülen veriyi manuel olarak görüntüleyip anlamak şeklinde gerçekleşir. Uzman, bir elektron mikroskobu kullanarak mikroişlemcideki fiziksel kapıları analiz eder ve kapı statüsünü 0’lar ve 1’ler halinde tercüme eder ve ortaya ASCII karakterleri çıkarır. Bütün bu süreç zaman alır ve pahalıdır, hafıza kartları ve dosya sistemi hakkında ciddi miktarda bilgi gerektirir. Mikro okumaya gerektirdiği aşırı teknik bilgi nedeniyle sadece ulusal güvenlik krizi gibi çok önemli durumlarda diğer çıkartma teknikleri denendikten sonra başvurulur. Bu süreç nadiren 46 görülür ve günümüzde iyi belgelenmemiştir. Ayrıca, günümüzde mikro okuma gerçekleştirebilecek herhangi bir araç piyasada yoktur. 3.4.4. Veri elde etme (edinim) yöntemleri Veri elde etme, verileri bir dijital cihazdan görüntüleme veya diğer şekillerde elde etme sürecine verilen isimdir. Bir cep telefonundan veri elde etmek standart bir diskten veri elde etmekten çok daha zordur. Cep telefonlarında üç ayrı tipte adli veri elde etme işlemi vardır: fiziksel, mantıksal ve manuel. Bu metodlar mobil adli araçlar sınıflandırma sistemi ile bazı paralellikler gösterebilir. Alınacak olan verinin miktarı ve tipi çıkarma yöntemine göre değişiklik gösterebilir. Fiziksel edinim: Cep telefonlarından mobil adli araçlar ve metodlar kullanılarak fiziksel veri elde etme yöntemidir. Fiziksel elde etmede belleğe doğrudan erişimle cihazdan veri alınır. Bu süreç bilgisayarla ilgili adli incelemelerdeki gibi bütün sistemin birebir (bit-forbit) kopyasını alır. Fiziksel elde etme yoluyla birçok cihazda bulunan bütün verilere ulaşabilir, buna silinmiş veriler ve ayrılmamış alanlar da dâhildir. Mantıksal edinim: Mantıksal elde etme, cep telefonlarından verinin bir bilgisayarla senkronize olarak elde edilmesidir. Çoğu adli araç mantıksal elde edilmeyi gerçekleştirmektedir. Ancak, bir adli uzman edinimin nasıl gerçekleştiğini ve telefonun bu süreçten nasıl etkilendiğini anlamalıdır. Telefona ve adli araçlara bağlı olarak bütün veriler veya sadece bir kısım veri elde edilir. Mantıksal edinim gerçekleştirmesi kolay bir işlemdir ve sadece telefonda bulunan verileri alır, ama ayrılmamış alandan silinmiş verileri alamaz. Manuel edinim: Cep telefonları söz konusuyken, fiziksel edinim genelde en iyi seçenektir, ikinci sırada mantıksal edinim gelir. Manuel edinim bu gibi işlemleri gerçekleştirirken en son seçenek olmalıdır. Mantıksal ve manuel edinim yöntemleri fiziksel verinin sağlamlığını onaylamak için kullanılabilir. Manuel edinim sırasında uzman, kullanıcı arayüzünü kullanarak telefonun hafızasını araştırır. Cihaz genelde bir klavye veya dokunmatik ekranla kullanılır ve uzman her ekranın bir görüntüsünü alır. Manuel edinimin en büyük riski insan hatasından kaynaklanır ve verinin yanlışlıkla silinmesi şeklinde karşımıza çıkar. Manuel edinim yapılması kolaydır ve sadece görünen veriye ulaşım sağlar. 47 3.4.5. Cep telefonunda depolanan potansiyel kanıtlar Bu bölümde telefondan elde edilebilecek bilgiler ele alınmıştır. Cep telefonunda veri, birkaç yerde bulunabilir: SIM kartı, harici depolama kartı ve telefon hafızası. Ayrıca, hizmet sağlayıcısı iletişimle ilgili bilgileri depolamaktadır. Mobil cihaz veri çıkartma araçları telefon hafızasından veri alır. Adli incelemede elde edilen veriler genelde telefon modeline bağlı olsa da, aşağıdaki öğeler bütün modeller arasında ortak ve delil olarak kullanılır. Birçok öğe tarih ve saat damgası taşımaktadır: Adres Defteri: Bağlantı isimleri, telefon numaraları, e-posta adresleri, vb. kapsar. Arama Geçmişi: Aranan, gelen, cevapsız aramaları ve konuşma zamanlarını kapsar. SMS: Gönderilmiş ve alınmış kısa mesajları kapsar. MMS: Gönderilmiş alınmış fotoğraf ve video dosyalarını kapsar. E-posta: Gönderilmiş, hazırlanan ve alınmış e-posta mesajlarını kapsar. Web tarayıcı geçmişi: Girilen web sitelerini kapsar. Fotoğraflar: Başka cihazlardan aktarılan, İnternetten indirilen ve telefon kamerası ile çekilen fotoğrafları kapsar. Videolar: Başka cihazlardan aktarılan, İnternetten indirilen ve telefon kamerası ile çekilen videoları kapsar. Müzikler: İnternetten indirilen ve diğer cihazlardan aktarılan müzik dosyalarını kapsar. Dosyalar: Cihazdaki uygulamalar kullanılarak oluşturulan, İnternetten indirilen ve diğer cihazlardan aktarılan dosyaları kapsar. Ağ İletişimi: GPS konumları. Haritalar: Aranmış konumlar, indirilmiş ve araştırılmış haritalar. Sosyal Ağ Verisi: Facebook, Twitter, LinkedIn, Google+ ve WhatsApp gibi uygulamalar tarafından depolanan verileri kapsar. Silinmiş Veri: Telefondan silinmiş verileri kapsar [67]. 3.4.6. Delil niteliği Hem kamuya ait davalarda hem de ceza davalarında, beş genel kural delil değerini tartmak için kullanılır. Bu kuralları dikkate almamak, davadaki delillerde kayba ya da yok saymaya sebep olabilir. Bu beş kural [68]: 48 Kabul edilebilirlik: Deliller elde edilmiş ve mahkemede kullanılabilir bir şekilde korunmuş olmalıdır. Birçok farklı delil olduğundan birbirini bağlayan delillerde bir parçanın kayıp olması hata sayılıp mahkeme tarafından kabul edilemez varsayılır. Bu tip durumlarda delil zinciri kırılır ve adli bilişimcinin "üzerinde durmadığı" ya da "yok saydığı" delilller, emre karşı gelme ve başarısızlıkla sonuçlanır. Delillerin kabul edilebilir olması ve delil zincirinin korunabilmesi için delillerin düzgün toplanmış ve korunmuş olması gerekmektedir. Elektronik cihazların duyarlılıkları sebebiyle delil olarak kullanımı ve korunması ayrıca zordur. Örneğin iPhone'nun kapalı bir halde sabit sürücüsünün dışarı çekilmesi ile gerekli veriler elde edilemez cihazın açılması ve cihazla konuşulması gerekmektedir. İOS cihazları ile ilgili yapılan en büyük hatalardan biri kullanıcı arabirimi aracılığıyla bazı uygulamalar kullanarak delilleri yok etmektir. Örneğin, bir iPhone üzerinde saklanan delilin çok önemli bir parçası GPS her açıldığında önbellekte depolanan son GPS sabiti sebebiyle ulaşılabilir hale gelmektedir. Tecrübesiz biri adresi aramalarını kurtarmak için Google Maps uygulamasını yeniden başlatabilir. Tecrübesiz kullanıcı bu belgede belirtilen yöntemleri uygulamak yerine, önce kazayla GPS'i aktif hale getirecek, son GPS bağlantısını cihazın mevcut konumu ile yer değiştirecektir. Bu görünüşte zararsız eylem de harita önbelleğinde yeni veri yazma işlemine sebep olacak, mevcut pozisyonuna ilişkin harita indirilmiş olacaktır. Sonuç olarak, sadece GPS delilli tahrip edilmiş olmaz, ayrıca kalan harita kabul edilemez olarak mahkeme ve hâkim tarafından yok sayılabilir. Kullanıcı arayüzünü kullanarak deliller yok edilebilir bunun bir başka örneği ise daha önce kullanılan uygulamaların ardından açıldığında, son kez yüklenen sayfaları yeniden yükleyen "Safari"dir. Sayfalardan herhangi biri bir forum veya diğer üyelik tabanlı web sitelerinden biri olsaydı önbellekte depolanan bilgiler yararlı deliller sayılabilirdi. Safari bu sayfayı yeniden başlatmaya ve yeniden oturum tanımlamaya neden olmuştur ve delilleri içerdiği sayfadan ekran ve önbellek verileri üzerine aktarmış, kullanıcıyı web sitesinin ana sayfasına yönlendirmiştir. Özgünlük: Davayla ilgili deliller adli incelemeden sonra delillerin kökenini oluşturmaktadır. Örneğin, bir e-posta iletiminde müdahale iddiası varsa gönderen kişinin mesajından sorumlu olduğunu kanıtlamak için bu iddia yeterli değildir. Gönderilen mesajın ve hesabın veya bilgisayarın arasında bir ilişki kurulmalıdır. Ayrıca hesabın, bilgisayarın, mesajın ve mesajı gönderen kişinin olduğu iddia edilenin makul şüphenin ötesinde bir gerçeklik kurulması gerekmektedir. Gerçekten bir mesaj gönderdi ise, teyit için çeşitli İnternet servis sağlayıcıları ile birden fazla bilgisayar üzerinde delil izi olmalıdır. Aygıtın 49 ham diskten silinen e-posta kurtarma özelliği düşünülsün: Canlı dosya sisteminden şüphelinin e-posta hesabının tipik izlenebilirliği vardır ancak silinmiş başka dosyaları da olabilir. Silinen mesaj etrafında yüzen başka mesajlar da ayrıca olabilir. Yapılması gereken şüphelinin köşeye sıkışmasını sağlayacak periferik kanıtlar bulmaya çalışmaktır bu e-posta hesabındaki mesajlarla, hatta şüphelinin kendisiyle de yapılabilir. Ayrıca, özgün bir test aygıtın sahibi ve e-posta hesabı arasında bir ilişki kurmak isteyebilir. Orijinal damgası ve diğer ilgili kayıt verileri ters okunabilir bir forma sahipse silinmiş metin mesajları, kimlik doğrulaması ve e-posta bulunması gibi konuları yönetmek daha kolaydır. Bu bilgiler aynı zamanda hücresel taşıyıcı günlükleri ile karşılaştırılabilir. Cihazın üzerindeki metalar verilerin birçoğunun ve diğer formların aslının belirlenmesine yardımcı olabilmektedir. Bütünlük: Sunulan delilllerle bütün hikâyeyi anlatmak gerekir. Net ve tam bir resim, delil olarak kanıtların nasıl ortaya çıktığını hesaba katarak sunulmalıdır. Eğer denetlenmeyen, eksik deliller varsa farkedilmeden gidebilir bu durumda hiç değeri olmayan herhangi bir delil birden zarar verici olabilir. Çocuk pornografisi bulundurmakla suçlanan bir kişinin durumu incelendiğinde, sunulan delil görüntülerinde kişinin iş bilgisayarına bu görüntüleri indirmiş olduğunu anlaşılmıştır, ancak daha sonra savunma, görüntülerin makinedeki bir virüs tarafından indirildiğini ortaya çıkarmıştır. Savunma bu durumu ortaya çıkaramamış olsaydı masum bir kişi neredeyse suçlu hale düşebilir ve burada savcılığın delil bilgisi ve teknik anlayışı delilleri muayene etmeye yeterli olmadığından davalı hapse girerdi. Sadece bir aygıttan birkaç görüntü indirmek ve durdurma işlemi yapmak bağlam dışında kaldığından delil oluşturmamaktadır. Kurumsal araştırmalar, güvenli cihazın bütünlüğünü sağlamak için silme olmamasının önemini vurgulamaktadır. Bir şüpheli silinen görüntünün kendisine ait olmadığını iddia edebilir. Siliniş tarihinden önce cihazın silme işlemi güvenli değildir, savunma bu cihazı kullanmak için önceki çalışanın gelip işlemi gerçekleştirdiğini iddia edebilir. Burada etkili biçimde delilin telefonla mı silindiği veya orada kimin sildiği, kimin nasıl koyduğu sorusuna etkili şekilde cevap vermek zorundadır. Ayrıca delil için muhtemelen zaman ve yer durumu gösterilmesi gerekir. Bir kamera fotoğraf durumundayken, fotoğraflar birçok yerde çekilmiş olabilir ve bu nedenle nereden geldiğini tam anlamıyla bulabilecek bir anlayış oluşturulması gerekir. Olası kaynaklar bir e-posta veya tarayıcı, yenilenmiş iPhone'nun önceki sahibi, hatta fabrikadan kaydedilen bazı fotoğraflar diğer kişinin masaüstünden bir şüphelinin masaüstüne senkronize edilmiş iPhone'un dâhili kamerası olabilir. Bir kanıta delil diyebilmek için kaynağının doğru belirlenmesi, yer ve zaman ilişkisi içinde ortaya konması gerekir. 50 Güvenilirlik: Toplanan herhangi bir delil güvenilir olmalıdır. Bu, kullanılan araç, yöntem ve bilime bağlıdır. Kullanılan teknikler güvenilir ve alanda genel olarak kabul gören teknikler olmalıdır. İnceleme çoğaltılamaz veya açıklıkla izah edilemez biçimde herhangi bir hata veya kullanılmayan tekniklerle yapıldıysa, davada şüphe unsurları söz konusu olabilir. Doğru süreci takipten ve nitelikli notlar alındığından emin olunmalıdır. Tüm etkinlik dokümante edilmelidir; her zaman telefonun yeniden başlatılması, herhangi bir sorun ya da engel olup olmadığına bakılması ve delillerin nasıl ele alınacağı konusunda bir rota belirlenmesi gerekmektedir. Bu silinen verilerin güvenilirliğini etkileyebilir ya da en azından şüpheliyi daha çok köşeye sıkıştırabilir. Cihaz, ikinci el mi satın alındı ya da yeni mi satın alındı belirlenmesi gerekir. iPhone'larda "Jailbreaking" ile ilgili birçok damgalama vardır. Birçok adli uygulamada olduğu gibi, toplumu kargaşaya sürükleyecek gibi görünse de iOS adli yöntemler açma ve yazılım geliştirme gibi amaçlara hizmet ederek yaptıklarıyla yazılım geliştirmenin önünü açmıştır. Ayrıca ne yapıldığını anlamak önemlidir. Bu belge komut satırında girilen farklı komutları açıklamak ve yöntemlerin nasıl işlediğini açıklamanın yanı sıra iPhone'un temel mimarisinin iç işleyişini açıklamak için de tasarlanmıştır. Bu güven ile bir hâkimin ya da hâkim heyetinin yaklaşımı böylece anlaşılabilir ki adli davalarda bu durum oldukça önemlidir. Hâkim kendi tanıklığının belirsiz olduğunu tespit ederse, daha çok güvenilirliğe müsaade etmeyebilir. Anlaşılabilirlik ve inanılabilirlik: Bir adli incelemeci kullandığı delil ve bunların bütünlüğünü nasıl koruduğunu açıklık ve esas ilkeleri ile açıklayabilmelidir. İnceleme kendi çalışmasını aydınlatmak için yeterli görünmüyorsa, hâkim de bunu reddedebilir. Delil kolayca açıklanabilir ve inandırıcı olmalıdır. Çoğu durumda uzaktan saklanan deliller gerekir ve bunların MD5 veya SHA ile bozulmadan korunması sağlanmalıdır. Bu tür veri çalışmaları ile hâkime nasıl bir yol izlendiğinin temel kavramlarını açıklamak gerekir. Bu nedenlerden dolayı, bu belgedeki görevleri yerinde ve başarıyla gerçekleştirmek tek başına yeterli değildir, aynı zamanda onları tamamen anlamak önemlidir. 3.4.7. İyi (Örnek) adli inceleme uygulamaları Adli bilişim uygulamaları icra edilirken dört hususa dikkat etmek gerekmektedir [68]. Delil güvenliği: “iPhone’umu Bul” gibi uzaktan kontrol edilebilir, uzaktan silinebilir uygulamalarla bir iPhone izlenemez şekilde güvence altına alınabilir ve tüketici erişimi açısından uzaktan silme gibi işlevler büyük önem taşımaktadır. Sadece bir İnternet 51 bağlantısı bulduğu takdirde doğru komutlar verilip doğru teknikler uygulandığı zaman cihazdan tam delil kaybını önleyecek biçimde radyo frekansları ile bilgi almak birkaç saniyelik bir işlemdir. Faraday keseleri birçok ajans tarafından kullanılsa da cihazdan sinyal almak için izin istemek gibi başarısız bir eğilime sahiptirler ve kullanılması pek tavsiye edilmemektedir. Faraday keselerinin kullanımı sırasında etkin bir sinyal almak için cihazın sürekli açık kalması gerekmektedir. Doğru donanım yokluğunda, teknik birim gücü düşürüp SIM kartı çıkarabilmelidir. SIM kartı çıkarma cihaz mobil ağlara bağlı iken yapılmamalıdır; aygıt olay yerinde kaldığı sürece, bu şekilde yapılandırılmış olabilir, Wi-Fi ağına otomatik katılmak veya bluetooth cihazları ile bağlanmak gibi değişikliler yapılmış olabilir. Cihazın aynı zamanda otomatik olarak ağa katılacak durumda, aynı adı taşıyan başka bir ağ aralığında olabilmesi de mümkündür. Bu durum, önemli günlükler üzerinde etkili olabilir; ancak cihaz aynı zamanda eğer uzaktan silme işlemi gerekiyorsa sadece MobileMe hesabına bağlanmalıdır. Düzgün bir cihazın tespit edilen tüm radyo dalgalarını kapatması için uçak modunda olması gerekir. Ayarlar düğmesine dokunulur ve sonra Uçak Modu açık konuma getirilir. Bu cihazın radyo dalgaları ile her türlü iletişimini devre dışı bırakır. Bu PIN kilidinin cihazın kullanıcı arayüzüne erişimini engeller ve bu sayede gücü kapatarak cihazı sabitlemek daha iyi bir imaj elde edilmesini sağlamaktadır. Delillerin korunması: Delillerin orijinal nüshası üzerinde kesinlikle çalışmamak gerekir. En kısa sürede bir disk imajını veya dosyaları kurtarma gibi salt okunur bir ana kopyasını oluşturmak ve dijital kasa ile kontrol etmek gerekir. Tüm ileri işlemler için delil kopyaları yapılmalıdır. Eski 8-bit dijital bilgi ile şu anki veriler için yapılan kopyalar aynı ustalıkla hazırlanmalıdır. Bazı araçlar inceleme sırasında düzgün kullanılmadığında verilerde değişiklikler yapabilir. Buna ek olarak, ayarları uygulama dışında, cihaz üzerinde herhangi bir uygulama asla çalıştırılmamalıdır. Cihazdan veri kurtardıktan sonra bile, başka bir avukat bunu incelemek istiyor olabilir bu durumda cihazı olduğu gibi korumak gerekir. Başka bir avukat tarafından kurtarılan delillerle normalde kurtarılan delillerin uyumsuzluğu kabul edilemez hükmünde olabilir. İncelemeden sonra örneğin Google Maps uygulaması kullanıldıysa bu son GPS versinin işlevini kaybettiği anlamına gelir. Eğer bazı özel bilgilere erişmek için kullanıcı arabiriminin kullanması gerekiyorsa, başka bir aygıta kullanıcı verilerinin yedekleme imajını alarak o aygıtı kullanmak gerekir. Pazar desteği ile birçok iOS dosya formatı kullanıcı arayüzü erişimine gerek kalmadan ticari raporlama ve zaman çizelgesi araçlarını çok daha kolay elde edebilmektedir ve bu sayede delil ile çalışmak kolaylaşmaktadır. İOS cihazının normal çalışma modu değişmez ancak cihaz 52 kendini yeniden yapılandırırken iç temizlik sırasında bazı küçük değişiklikler yapacaktır. Bu adli bilişimde kabul edilebilir olsa da, hala delilde herhangi bir kasıtsız değişiklik yapmaktan sorumlu olacaktır. Cihaz kullanılırken her zaman, diskte birtakım değişikliklerin olması muhtemeldir. Kesinlikle sadece gerekli olan görevleri gerçekleştirmek ve minimal sistemin içinde değişikliklere sebep olmamak önemlidir. Eğer cihaz üzerinde gerçekleştirilen herhangi bir yeniden başlatma açılan uygulama ya da başka bir değişiklik varsa bunların belgelendiğinden emin olunmalıdır. Eğer delil varsa, yapılan işlemin kaydından sonra delile yoğunlaşmak gerekir. Bazı adli araçlar kendi biçimlerine göre verilerin dilimlenmesini veya başka bir bilişimci ile paylaşılabilmesini sağlar bu nedenle delillere dönerek daha sonra tekrar gözden geçirmek gerekir. Koruma sebebiyle aygıtttan çıkarılan orijinal verilerin yedeğini tutmak bu sebeple de önemlidir. Delilin dokümantasyonu: Delillerde herhangi bir değişiklik olmayacağından emin olmak adına hash ile bir ana kopya yapıldıktan sonra delilleri şifrelemek korunmaları açısından önemlidir. Örneğin araç delillerin taşınması sırasında kırılmışsa ne olacağı düşünülmelidir. Bir sağlama olmadan, delil büyük olasılıkla tahrif edilmiş ve kabul edilemez hükmüne dönüşmüş olacaktır. Ancak dışarıdan bir sağlama ifadesiyle, delilde değişiklik olmadığı gösterilebilir. Ayrıca delilleri çıkarmak ve toplamak için kullanılan tüm yöntemlerin belgelendiğinden emin olmak gerekir. Başka bir analizci onları yeniden yeterince detay alınmış notlarla beraber tekrar gözden geçirmek isteyebilir. İş başka adli analiz için delil ortaya koymak gerektiğinde tekrarlanabilir olmalıdır. Delil çoğaltılamazsa, bir yargıç bu duruma kabul edilemez kararı verebilir. Değişikliklerin dokümantasyonu: Adli bilişim açısından suç mahalline bulunan yürüyüş ayak izleri, kan, tüyler delil olmayabilir fakat suç mahallinde çiğnenen bilgisayar bitleri bile delil olabilir. Bu açıdan tüm kurtarma işlemini belgelemek önemlidir, özellikle kasıtlı bir değişiklik yapılmadığını belgelemek oldukça önemlidir. Örneğin, bozuk bir iPhone’u yeniden etkinleştirme gibi aşırı koşullar altında, kullanıcı veri alanı için kontrollü yazma yapmak gerekir. İhtiyaç duyulması halinde, bu süreç dokümante edilmelidir. Ayrıca cihaz üzerinde masaüstü delil kopyası alındıktan sonra cihazın yapılanabilmesi için birtakım belge ve uygulamaları kullanmak mümkündür. Eğer prosedürde sapmalar olursa, bu sapmaların da belgelendiğinden emin olunmalıdır. Tüm kurtarma işlemini belgeleyen herhangi bir kırılma ya da nasıl belgelendiğini içeren notları ile birlikte tutulmalıdır. Eğer belge ve onları açıklamak için gerekli dokümanlar yoksa çoğu zaman, yapılan tüm 53 değişiklikler, delili hükümsüz hale düşürecektir. Daha sonrada keşfedilen problemler de kanıt olabilme açısından çok risk altında olabilir. 3.5. Mobil Cihazlarda Adli İnceleme Süreci Mobil cihazlarda adli incelme süreci, ilk müdehaleden başlanarak verinin elde edilmesi, korunması, incelenmesi, raporlanması ve saklanmasını kapsayacak şekilde modellenmiştir. Bu çalışmada ABD Ulusal Standartlar ve Teknoloji Enstitüsü tarafından hazırlanan Mobil Cihaz Adli İnceleme Kılavuzu esas alınmıştır. Adım adım bu süreç incelenmiş ve son olarak da bir model şematik olarak hazırlanmıştır [69]. 3.5.1. Koruma (Muhafaza etme) Delil koruma, güvenliği sağlayarak cihazlar ve taşınabilir medya kaynakları ile verilerin içeriğini değiştirmeden mülkiyet velayetini muhafaza işlemidir. Bu dijital delil kurtarmanın ilk adımıdır. Koruma elektronik tabanlı delillerin arama, tanıma, dokümantasyon ve toplanmasını içerir. Mahkemede ya da resmi incelemelerde başarılı bir delil kullanmak için, deliller iyi korunmalıdır. Özgün durumundaki delili korumadaki başarısızlık, potansiyel olarak dava ile ilgili değerli bilgileri kaybetmeye sebep olabilir ve bütün bir soruşturmayı tehlikeye sokabilir. Bu bölümün geri kalanında delil güvenliği ve olay yerinin korunma ve değerlendirilmesi, izolasyon, paketlenmesi, belgelenmesi, taşınması ve saklanmasına ilişkin mobil cihazlara ait ek bilgi verilmiştir. Olay yeri güvenliği ve değerlendirmesi: Yanlış prosedürler veya bir mobil cihazın yanlış kullanımı, dijital verilerin kaybına neden olabilir. Ayrıca, bir tür parmak izi ya da DNA testi gibi geleneksel adli tedbirler, bir mobil cihaz ve onun sahibi ya da kullanıcı arasında bir bağlantı kurmak için gerekebilir. Aygıt iyi bir şekilde korunmadıysa, fiziksel delil kirlenmiş ve yararsız duruma gelmiş olabilir. Mobil cihazlar için delil kaynakları cihazı, SIM kartları ve depolama aygıtlarıdır. İlişkili çevre birimleri, kablolar, güç adaptörleri ve diğer aksesuarlar da önemlidir. Olay yerinin tüm alanlarını iyice gözden geçirmek yerine ilgili delilleri sağlayacak dokümanlar aranmalıdır. 54 Mobil cihaz ile bağlantılı donanım, örneğin çıkarılabilir medya, SIM ya da kişisel bilgisayarlar gibi mobil cihazdan daha değerli bilgiler olduğunu kanıtlayabilir. Çıkarılabilir medyanın boyutları küçüldükçe kolayca gizlenebilir ve bulmak zor olabilir. Çoğu zaman, çıkarılabilir hafıza kartları kendi ayırt edici şekli ve cihaz ile bir arayüz oluşturmak için kullanılır üstlerinde bulunan elektrik kontağı varlığı ile tanımlanabilir. Kişisel bilgisayarlar taşınabilir cihazlarla güvenilir bir ilişki kurmuştur bu sebeple kişisel bilgisayarlar, daha sonra bir kilitli mobil cihaza erişimde özellikle faydalı olabilir. Örneğin, Apple varolan eşleştirme kayıt dosyasını hala kilitli iken mobil cihaza erişmek için bazı araçlar tarafından kullanılabilmesini sağlayan bir eşleştirme işlemini içermektedir. Birçok mobil cihaz orijinal fabrika koşullarında cihazın içeriğini temizlemek için uzman sıfırlama kodları koyar. Bu kodların değiştirilmediğini ya da tahrip olmadığını kanıtlamak için bir ağ izolasyonu kullanılarak uzaktan alınması gereken uygun önlemler alınabilir. Mobil cihazlar, bir sıvı içinde daldırma gibi delil almayı güçleştirebilir bir tehlikeye maruz kalabilir. Bu durumlarda, adli inceleme mekanizması belirli prosedürlere uygun olmalıdır. Mobil cihazın içinde kalan sıvı, kostik olmaması kaydıyla, laboratuvara taşınması için aynı sıvı ile doldurulmuş bir kabın mühürlü durumda taşınması ya da elektriksel kısa devre olmasının önlenmesi için pilin kaldırılması gerekir. Kan, kirlenme ya da patlayıcı (bir bomba bileşeni olarak) kullanmak gibi bazı tehlikeli durumlar devlet kontrolünde yapılır çünkü teknisyenlerin delil toplamasında tehlike oluşturabilir. Bu gibi durumlarda, özel talimatlar veya yardım için bir uzmana danışılmalıdır. Mobil cihazlar ve ilişkili ortamları yanlışlıkla veya kasıtlı bir eylem nedeniyle, bozuk bir durumda bulunabilir. Görünürde dış hasarlara sahip cihazlar veya medya cihazları verilerin çıkarılmasını engellemez. Hasarlı donanımı yakından incelemek için laboratuvara geri alınmalıdır. Bir mobil cihazda hasar görmüş parçaların onarımı ve analizi için doğru çalışma düzeni cihazın geri kazanımını sağlayabilir. Hasarsız bellek bileşenleri de hasarlı cihazdan kaldırılarak, içerikleri birbirinden bağımsız halde iyileştirilebilir. Bu yöntem, dikkatli bir şekilde kullanılmalıdır ve tüm cihazlar için uygun değildir. 55 Olay yeri dokümantasyonu: Elektronik olmayan maddeler, faturalar, kılavuzlar ya da aletlerin, ağ bağlantısının hesap bilgilerinin ve PIN şifrelerinin yetenekleri hakkında işe yarar bilgi veren materyaller gibi delil doğru şekilde hesaplanmış ve tanımlanmış olmalıdır. Daha sonra çevre hakkında sorular yükselirse olay yerini bir dijital alet ve bilgisayar raporlarıyla bağlantı halinde fotoğraflamak keşfi kolaylaştırabilir. Görünür bütün verinin kaydının oluşturulması gerekir. Veri saklayabilen mobil aletler dâhil bütün dijital aletler kablolar, güç bağlayıcıları, çıkarılabilir medya ve bağlantıları boyunca fotoğraflanmalıdır. Fotoğraflarken mobil alete ve bulunduğu çevreye dokunmaktan ve kirletmekten imtina ediniz. Eğer aletin görünümü izlenebilir durumdaysa, ekran içeriği fotoğraflanmalıdır ve eğer gerekiyorsa manuel biçimde servis durumunu, pil durumunu ve diğer ikonları kaydetmek gerekir [69]. İzolasyon: Çoğu mobil alet kullanıcıya, alete basit bir emir vererek kumanda kilidi ya da uzaktan silme özelliği sunmaktadır. Gelen veri dâhil (örn. Aramalar ve mesajlar) bilgilerin hâlihazırdaki durumunu modifiye eden, ağ bağlantısını engelleyen diğer nedenler mobil cihazda saklanır. Dışarı giden veri örneğin GPS konumumuz gibi, coğrafi konum sağlayan bir danışmana iletilip istenmeyen durumlar yaratabilir. Bu nedenle, adli bilişim uzmanları veri değişikliğinin şansını azaltan mobil cihazları korurken dikkatli olmalı ve önlemler almalıdırlar. Dijital Deliller Üzerine Bilimsel Çalışma Grubu (SWGDE)’nun “Cep Telefonu Suçları İçin En İyi Uygulamalar” belgesi cep telefonları için en uygun korumayı sağlayan uygulamaları içerir. Uygun toplama için bazı kilit uygulamalar aşağıda özetlenmiştir. Veri senkronizasyonu için mobil cihazı diğer cihazlardan izole etmek varolan bilgilinin yeni bilgilerle kirlenmemesi adına kullanılan önemli bir uygulamadır. Eğer cihaz beşiğinde ya da şahsi bilgisayara bağlı şekilde bulunursa, şahsi bilgisayarın arkasındaki fişi çekmek veri transferini ya da senkronizasyonu engeller. Fişi çekmeden önce şahsi bilgisayar hafızasından bir şeyler ele geçirmek önerilir, çünkü ele geçirilen hafıza adli delil değeri taşır. Eğer cihaz bir yazılım güncellemesi ya da yedekleme halindeyse mobil aletin dosya sistemini bozabilir, bu yüzden ihtiyatlı olmak gerekmektedir. Hafızayı ele geçirmek için adli hafıza araçlarını kullanmak adli bir profesyonellik gerektirir. Mobil cihaz bağlantıda olan donanımla birlikte ele geçirilmelidir. Medya kartları, USIMler ve mobil cihazda ikamet eden diğer donanımlar çıkarılmamalıdır. Ayrıca, mobil cihaza bağlı haldeki bilgisayarı ele geçirmek cihazdan elde edilmemiş olan senkronize veriyi hard diskten elde etmeyi sağlar. Medya kartları, USIMler, güç adaptörler, cihaz kolları gibi bağlantılı donanımlar ürün manuelleri, paketleme ve yazılımlar gibi 56 kendisiyle ilişkili materyallerle birlikte ele geçirilmelidir. Bir mobil cihazı diğer kablosuz ağlardan (Wi-Fi, hücresel ve bluetooth gibi) izole etmek SMS mesajları gibi yeni akışları korumak için önemlidir. Potansiyel kanıtın üst üste binmesi riskinin yanında, ele geçirilmesi garantiye alınmış bilgilerin kapsamının mobil cihazda yer alıp almadığı sorusu ortaya çıkabilir. İnternet tarayıcısından, SMS, MMS üçüncü parti uygulamaları ve kablosuz ağlardan yazılımla alakalı zayıflıklar doğuracak bazı hassasiyetler oluşabilir. Bu tarz hassasiyetlerin olması ihtimali, adli inceleme esnasında bilginin değiştirilebileceği argümanını destekler. Mobil cihazı kablosuz iletişimden izole etmek ve bu problemleri önlemek adına üç basit yöntem uygulanabilir: cihazı uçak moduna almak, cihazı kapatmak ya da cihazı kalkanlı bir koruyucuya yerleştirmek. Bu üç yöntemin de bazı sakıncaları vardır. - Cihazı uçak moduna almak klavye kullanan bir mobil cihazla etkileşimi gerektirir ki bu da bazı riskler doğurur. Eğer teknisyen söz konusu cihazı ve etkilenen belgeleri tanıyorsa bu risk daha azdır. Uçak modu GPS gibi diğer servislerin kullanımını engellemez. - Mobil cihazı kapatmak cihaza erişim sağlamayı gerektiren ve kazancı zorlaştırarak denetlemeyi erteleyen bazı kimlik doğrulama kodlarını aktifleştirebilir. - Mobil cihazı açık tutmak ama kablosuz iletişimi izole etmek, cihaz ağa bağlanamadığı ve sinyal gücünü artırdığı için güç tüketimini artırarak pil ömrünü azaltır. Bir süre sonra ağa bağlanamamak bazı mobil cihazların kendilerini yeniden başlatmasına ya da keşfedildiğinde faydalı olabilecek bilgileri temizlemesine sebebiyet verebilir. Faraday kabı kablosuz sinyallerini hafifletebilir ama tamamen yok etmez, acil durumlarda hücre kulesiyle iletişime geçebilecek kadar bırakır. Faraday kabını uygun olmayan şekilde kapatma riski ve bilmeden hücreyle bağlantı kurabilir. Gücü korumak için, bazı mobil cihazlar enerji koruma moduna geçmeye ve inaktiviteden belli bir süre sonra görüntüyü kapatmaya ayarlanmışlardır. Bazı cihazlar pil gücü belli bir seviyenin altına indiğinde geçici veriyi korumak için kendilerini kapatır ki bu da cihazı açık bırakmanın amacına aykırı bir durumdur. Böyle durumlara cihazı açık bırakmak tehlikelidir, cihazla periyodik etkileşim gerektirir. Eğer ilave güç cihaza aktarılamazsa gücünü korumak için cihaz kendisini kapatır ve hafıza içeriğini korur, cihaz tekrar açıldığında koruma mekanizmasının riski devam eder. Dahası, kimlik doğrularma mekanizmaları, mesela şifreler, tipik olarak mekanizmayı tatmin etmeden deaktive edilemez. Mobil cihazın kalan zamanı ağdan bağımsız şekilde ayarlanmış olabilir. Her 57 zaman ekranda gösterilen tarihi ve saati kaydetmek, eğer açılırsa da onu bir saatle karşılaştırmak ve uyumsuzluk varsa not almak gerekir. Eğer güç yönetiminden dolayı ekran kararırsa aydınlatmak için önemsiz bir tuşa, ses tuşu gibi, basmak gerekmektedir. Güvenlik mekanizmaları, anahtar yeniden haritalandırmaları ve kötücül programlar mobil cihazlarda var olabilir. Yönetim sistemi ve yazılım uygulamalarına belirli değişimler yapmak bu durumun üstesinden gelmeye yarayabilir. Belirtilen liste birtakım değişimler yaparken gözetilmesi gerekenleri örneklemektedir: Güvenlik Artırımları: Organizasyonlar ve bireyler ellerindeki cihazları eklenti güvenlik mekanizmalarıyla geliştirebilirler. Birtakım giriş, biyometrik ve diğer kimlik doğrulama mekanizmaları mobil cihazların şifreleme mekanizmalarına eklemlenebilir. Mekanizmayla uygun olmayan bir etkileşim cihazın kendini kilitlemesine ve hatta içeriğini kaybetmesine sebebiyet verebilir. Bu, sabit şekilde izlenen güvenlik simgeleri kullanan bazı mekanizmaları ve kart deliğinden ya da yüz yüze gelinen birtakım diğer durumlardan dolayı bir sorun teşkil eder. Kötücül Programlar: Bir mobil cihaz virüs ya da başka kötücül yazılımlar içerebilir. Bu virüsler kablolu ya da kablosuz şekilde, çapraz platform atlamalarıyla tamamen alakasız platformlarda da olabilen diğer cihazlara yayılabilir. Bazı yararlı fonksiyonlar kasti olarak cihaza zarar veren başka yazılımlarla değiştirilmiş de olabilir. Bu tür programlar şartlı olarak girdi parametreleri ya da donanım şifre bozulumlarıyla aktive edilmiş olabilir. Baz özel durumlar için ayrıca bekçi köpeği uygulamaları yazılabilir ve bunlar cihazın içeriğini silecek aktivitelerde bulunabilir. Kilit Haritalandırması: Donanım şifreleri varolandan daha farklı fonksiyonlar gösterecek şekilde yeniden haritalandırılabilir. İsteğe bağlı olarak bunun için bir tuş basımı ya da tuş basımı kombinasyonu oluşturulabilir. Geo Çitleme: Bazı cihazlar, cihazın içindeki GPS önceden belirlenmiş bir coğrafi alana giriş ya da çıkışlarda bütün veriyi silmek üzerine ayarlanmış olabilir. Bu yöntem ayrıca kablosuz bağlantı kulelerinin yer tespiti yapmasında da kullanılabilir. 58 Patlayıcılar ve Tuzaklar: Mobil cihazlar, bazı aktiviteler meydana geldiğinde uzaktan bomba patlatmak ya da kendilerini imha etmek üzere yapılandırılmış olabilirler (Bir arama geldiğinde, bir mesaj alındığında ya da bir dizi tuşa basıldığında, vb.) Alarmlar: Bazı mobil cihazlar işitilebilir alarm özelliğine sahiptirler. Alarm fonksiyonu, inaktif cihazı güçlendirme, ağ bağlantısı oluşturma ve uzaktan silme potansiyeli gibi özellikere sahiptir. Radyo frekansları izolasyon kapları: Purdue Üniversitesinde, birtakım mobil cihaz kalkanlarının etkililiği üzerine bir saha araştırması (Faraday kafesi gibi davranacak bir araç dizayn edilmiştir) yapılmıştır. Mobil cihazların kablosuz izolasyonu ile ilgili bu araçların ağ iletişimini kesmede işe yaramadığını gösteren birçok kalkan cihaz mevcuttur. Purdue’de yapılan testlerde, alıcıların baz istasyonları ile olan mesafe değiştirilerek, ABD'nin en büyük üç alıcısını yöneten çoklu kalkan cihazlar kullanılmıştır. Testlerin çoğunluğu ağ bağlantısının tamamen kesilemeyeceğini ve SMS mesajlarının, sesli aramaların ve MMS mesajlarının çoğunlukla kalkanlı cihaza ulaşabildiğini kanıtlamıştır. Kalkanlı cihazların işe yaramamasının üç nedeni: materyaller yeterince azaltma yapamıyor, sızıntı yapıyor ya da geçirgen kalkan anten gibi davranıyor olmasıdır. Bunun için, çoğu durumda ve çoğu cihazda izolasyon kaplarının etkililiği testlerinin %100 başarılı olmaması, delilleri korumak için doğrulama gerektirmektedir. Adli bilişim uzmanları kendi ürünlerini kullanmadan önce ürünlerin düzgün çalışıp çalışmadıklarını test etmelidirler [69]. Hücresel ağ izolasyon teknikleri: Mobil cihazları hücresel kule iletişiminden izole etmek için bazı teknikler mevcuttur [70]. Cihaz keşiften önce tamamen şarj edilmiş durumda olmalıdır ve çalışıyor olmasına ve taşınabilir olmasına özen gösterilmelidir. Hücresel izolasyon tekniklerine dair bir genel bakış kazanmak için mütekip maddeler verilmiştir. Hücresel Ağ İzolasyon Kartı (CNIC): Bir CNIC orijinal UICC (USIM) taklit ederek ekrandan ağ bağlantısını engeller. Bu kartlar yabancı bir SIM takıldığında arama verilerinin silinmesini engeller. Bu yöntem kablosuz parazitlere aldırmaksızın kazanç sağlamaya izin verir. 59 Kalkanlı Kaplar: Telefon içine konulduğunda taşınabilir bir kalkanlı koruyucu güvenli bir incelemeyi mümkün kılabilir. Kaba bağlanmış olan kablolar ağ iletişimlerini engellemek için tamamen izole edilmiş halde olmalıdır. Bu yöntem en sık kullanılan yöntemdir. Kalkanlı İş Alanları: Bütün bir çalışma alanının kalkanlamak, keşifleri sabit bir konumda güvenli olarak yapmanın pahalı ama etkili bir yolu olabilir. Bir “Faraday çadırı” bunun için daha ucuz bir yoldur ve taşınabilirliği sağlar. Kabloları bu çadıra geçirmek probleme yol açabilir çünkü düzgün bir yalıtım yapılmazsa anten gibi davranıp çadırın amacına ihanet edebilirler. İş alanı ayrıca çok kısıtlayıcı olabilir. Ağ Servisini Devre Dışı Bırakmak: Mobil cihaza servis sağlayan hücresel taşıyıcı, servisi devre dışı bırakabilir. Servis sağlayıcı ya da ağ yöneticisi devre dışı bırakılacak servisi detaylı şekilde tanımlamalı ve ona bağlı olmalıdır. Tutukluk/Sızdırma Yapan Cihazlar: Cep telefonundan daha güçlü sinyaller yayan ya da gereksiz iletişimi karıştıran cihazlar. Bir başka yöntem de telefonu en yakında hücre kulesinden gelen “servis yok” şeklinde kandırmaktır. Çünkü bu tip cihazlar çevredeki havada, inceleme düzleminde iletişimleri etkileyebilirler, lisanssız kullanım bazı yetki alanlarında kural dışı olabilir. [69] Hücresel ağ izolasyon kartları: Bazı araçlar Hücresel Ağ İzolasyon Kartı (CNIC) yaratma becerisine sahiptir [71]. CNICler hücresel veri izolasyonu sağlayarak mobil cihazdaki verinin değişimine sebep olacak ağ iletişimini engellerler (Uzaktan silme, gelen mesajlar vb.). Bir CNIC, mobil cihaz ve bağlantılı ağ arasında bağlantı kurmak için gerekli olan özel veri elementlerine sahip değildir. Bir CNIC veri sızdırması için mobil cihaza ihtiyaç duyar, bazı mobil cihazlar UICCsiz bu işlemi gerçekleştiremezler. CNIC’in yaratılması aslında UICC kaynağından yapılan kopyalama değildir çünkü kimlik doğrulama anahtarı ve verinin diğer kullanımı klonlama sürecinde kopyalanmamaktadır. Bir CNIC ya UICC kaynak alınarak uzman tarafından yaratılır ya da veri girişini manuel şekilde yaparak kopyalanır. Manuel giriş, UICC hâlihazırda var olmayan özel bir mobil cihaza bağlıysa faydalıdır. CNIC’ler özel araçlardır; farklı üreticilerin araçlarıyla değiştirilemezler. Adli bilişim uzmanlarının sıkça yaptığı hatalardan biri de veri edinimi sağlamak için mobil cihaza yabancı bir UICC eklemeleridir. Bu bağlantı olduğunda, bir mobil cihazın yabancı UICC ile çizilmesi şöyle veri elemanlarına sebebiyet verir: arama girdileri (cevapsız, gelen 60 ve giden aramalar) ve mobil cihazın iç hafızasında yer alan SMS mesajları silinebilir [72]. Çoğu mobil adli cihazlar adli bilişim uzmanlarına bir CNIC yaratabilmeleri için imkân sağlamaktadır. UICCleri temsil etmek, bazen CNICler olarak da anılır, bazı durumlarda faydalı olabilir: - Eğer bir mobil cihazın UICCsi yoksa ya da hasarlıysa ve adli bir araç için gerekiyorsa, CNIC yaratılması cihazdan verinin kurtarılmasını sağlar. - Eğer cihazda UICC varsa ama PUK kodu gerektiriyorsa, PUK için servis sağlayıcısına ulaşmadan kazanç sağlayarak devam edebilmek için temsili bir UICC yaratılabilir. - Eğer hücresel ağ izolasyonu gerekiyorsa (Gelen arama ve mesajları engellemek maksadıyla) CNIC cihazdan veri alırken aynı anda hücresel ağ kimlik doğrulamasını da engelleyerek kazanç sağlar. - Eğer kazanç sürecinde adli araç UICCye ulaşırsa, cihazda bir CNIC kullanmak orjinalinin değişme olasılığını yok eder (Okunmamış mesajdan okunmuş mesaja geçerken oluşan durum bayrağı gibi). Mobil cihazın önceden eklenen UICClerle bağıntısını kuran değerler ICCID ve IMSI’dir [72]. Genelde bu değerlerden sadece biri kullanılır. İki tanımlayıcı da eşsizdir ve ağı kullanan kullanıcının kimlik doğrulamasında kullanılır. UICC yaratmak için gerekli olan minimum veri basitçe bu iki değerden biri olabilirken, bazı mobil cihazlar düzgün tanımlanmak için CNICin üzerine doldurulan ek veriler gerektirebilir. Bu veriyle ilgili olasılık, kullanıcı verisinden ziyade, CNIC eklenmesinin bir sonucu olarak değişebilir. Delilin paketlenmesi, nakledilmesi ve depolanması: Mobil cihaz bir kere ele geçirildiğinde, adli uzman cihazı damgalamalı ve üzerine uygun özelliklerine göre bir etiket yapıştıracağı uygun bir kaba koymalıdır. Bazı mobil cihazların, uçuculuk özelliklerinden dolayı, acilen adli bir laboratuvarda kontrol edilmeli ve güç gereksinimleri kanıtlarıyla birlikte tartışılmalıdır. Depoda bir günden fazla tutulan pili güçlendirilmiş cihazlar güç tüketimi ve veri kaybı riski taşımaktadır. Delilleri tutan depolama imkânları, değerli elektronik donanımlara uygun şekilde kuru ve serin bir ortam sağlamalıdır. Tüm deliller damgalanmış kaplarda ve kontrollü ulaşıma sahip güvenli bir alanda tutulmalıdır [69]. Yerinde özelliklerine göre ayırma süreci: Son zamanlarda pek çok organizasyon dijital adli vaka işinin birikmiş büyük işleriyle birlikte çözmeye çalıştılar. Yerinde ayırma çözümü 61 dünya çapında dijital adli vakalardaki artış için daha fazla kullanılmaya başlanmıştır. Sınıflandırma, veri çıkarımının ilk analizinin takip ettiği bir veri çıkarımını (manuel ya da mantıksal) içerir. Mantıksal çıkarma araçları, anahtar kelimelerin ve uzmanın ilgilenmesi gereken konularda belirli uygulamaların kullanımı için ek olanaklar sağlamaktadır. Mümkün olduğunda, cihazlar şifrelemeyi destekler, mesela Android ve iOS cihazlar. Cihazı kazanmak, ya da cihazla güvenli bir ilişki kurmak için adli araçları kullanmak, cihaz kilitlendikten belli bir süre sonraya kadar verilere ulaşılmasını garanti eder [68]. Organizasyonlar, alan ayıklamasını önceleme amacı ile birtakım “puanlama” yöntemi geliştirmeyi dileyebilirler. Bu, organizasyon başına geliştirilmeli ve uyum değişimlerini güncelleyen bir şekilde incelenmelidir. Kapsamlı alan karar ağacı: Şekil 3.3'de organizasyonlar ve ajanslar için genel bir rehber niteliği taşıyabilecek bir alan karar ağacının örneği verilmiştir. Bu, var olan politikalar ve prosedürlerle, özelleştirme niyeti için bir başlangıç noktası sağlar. Listede, ağacın içerdiği bazı eylemler ve karar noktalarının açıklamaları verilmiştir [69]: Kilitsiz/Hasar görmemiş: Kilitlenmemiş durumda ve mantıksal ya da elle veri girişine izin verecek şekilde bırakılmış cihazdır. Acil: Alanda veri çıkarımında belli koşullar oluşuyor mu? Lab 2 saatlik yoldan daha yakın: Mobil cihaz adli laboratuvara 2 saatten az bir süre içerisinde nakledilebiliyor mu? Araç-Eğitim: Cihaz araç tarafından destekleniyor mu ve adli bilişim uzmanı düzgün bir eğitime sahip mi? İletişim Uzmanı: Saha uzmanı ek asistanlık ve rehberlik almak için bir uzmanla iletişime geçmelidir %50’den Fazla Pil: Cihaz %50’den fazla şarja sahip olduğunu gösteriyor mu? Daha çok veri ihtiyacı: Veri çıkarımı başarılı bir şekilde sonlandırıldıktan sonra ve uzman sonuçlara baktıktan sonra, ek olarak bir bilgi ya da analiz gerekiyor mu? 62 Şekil 3.3. Karar ağacı örneği [69] 63 3.5.2. Elde etme Mobil bir cihazdan ve onun medyasından bir bilgiyi göstermeye ya da sağlama işlemine elde etme denir. Ekranda kazanç işlemini gerçekleştirmenin avantajı, bilgi aktarımında ya da kaydında kaybı önlemesidir. Laboratuvar kurulumunun aksine dış-kazanımlar (off site acquisitions) bir yandan ek koşulları sağlarken uygun donanımlarla çalışmak için kontrol edilmiş ayarları bulma konusunda ise zahmetli olabilir. Bu tartışmanın amacına uygun olarak, açıklama boyunca bir laboratuvar ortamı varsayılmalıdır. Adli inceleme mobil cihazın tanımlanması ile başlar. Cihazın tipi, işletim sistemi ve diğer karakteristikleri cihazın içeriğine dair adli bir kopya yaratmak için uygulanacak yöntemi belirler. Mobil cihazın tipi ve elde edilecek veri genel olarak incelemede hangi araçların ve hangi tekniklerin kullanılması gerektiğini belirleyecektir. Mobil cihazın tanımlanması: Etkin bir şekilde ilerlemek için, mobil cihaz, yapısına, modeline ve servis sağlayıcısına göre tanımlanmalıdır. Eğer cihaz tanımlanabilir değilse, önünün arkasının ve yanlarının resmini çekmek ileride yapısını, modelini ve mevcut durumunu tanımlamada işe yarayabilir. Bireyler, cihazın gerçek kimliğini gizleyerek uzmanları engellemeye çalışabilirler. Cihazı değiştirme üretici firma etiketini kaldırmaktan logo aşındırmaya kadar değişebilir. Ek olarak, işletim sistemi ve uygulamalar yeni bir şekil almış ya da nadiren de olsa tamamen değiştirilmiş olabilirler ve farklı gözükebilir hatta beklenenden farklı da davranabilirler. Bu değişiklikler ayrı ayrı olaylar olarak göz önünde bulundurulmalıdır. Eğer cihaz çalışır durumdaysa, ekranda beliren bilgi cihaz tanımlanmasında yardımcı olabilir. Örneğin, üretici firmanın ya da servis sağlayıcısının adı ekranda belirebilir, işletim sistemini işaret edebilir. Üretici firma etiketi gibi bilgiler pil boşluğunda bulunabilir. Kapalı olduğunda bile pili boşluğundan çıkarmak mobil cihazın durumunu özellikle hassas hafızanın durumunu etkileyebilir. Çoğu mobil cihazlar kullanıcı verilerini hassas olmayan hafızada tutar. Eğer cihaz açıksa pil çıkarımı cihazı kapatacaktır ve muhtemelen tekrar açıldığında kimlik denetlemesini harekete geçirecektir. Cihaz tanımlamasını sağlayacak diğer ipuçları şunları içermektedir: Üretici firma logosu, seri numarası ya da tasarım özellikleri. Genel olarak, yapıyı ve modeli bilmek cihazın çalıştığı ağ tipini, ayırt ederek ve tersini de yaparak muhtemel servis sağlayıcılarını 64 kısıtlamada yardımcı olur. İlgili bilgisayarda keşfedilen senkronize edici yazılım, ayrıca işletim sistemi aileleri arasında ayırt etmeyi de kolaylaştırabilir. Daha ileri düzeyde tanımlama şunları içerir [69]: Cihaz Karakteristikleri: Mobil cihazın yapı ve üreticisi, gözlemlenen karakteristikleri aracılığıyla tanımlanabilir, özellikle eğer özgün tasarım elamanları varsa çeşitli web siteleri belirli bir cihazı tanımlama şartlarını ve özelliklerini elde edebilen sorguları içeren veritabanları içerebilir. Kapsamı göz önünde bulundurulabilir düzeydedir ancak ne çok geniş ne de her şeyi kapsar düzeydedir ve eşleştirmeyi yapmadan önce birden fazla kaynağa başvurmak gerekebilir. Cihaz Arayüzü: Güç girişi üreticiye özgü olabilir ve belki cihaz tanımlamasına dair ipuçları verebilir. Aşinalık ve deneyimle, bazı mobil cihazların üreticileri çabucak tanımlanabilir. Benzer olarak büyüklük, rehberdeki kişi sayısı ve veri kablosunun arayüzü genellikle belirli üreticilere özgüdür ve tanımlamada yardımcı olabilir. Cihaz Etiketi: Aktif olmayan mobil cihazlar için, pil boşluğundan elde edilen bilgiler özellikle uygun bir veritabanıyla birleştirildiklerinde yardımcı olabilir. Üretici firmanın etiketi genellikle mobil cihazın yapı ve model numarasını ve ayrıca özgün tanımlayıcılarını ve donanım tanımlayıcısını listeler. UICC yi kullanan bütün mobil cihazlar için, kimlik örneği genel olarak pilin altında yer alır ve entegre edilmiş devre kartı tanımlaması adında özgün bir tanımlayıcıyla yazılmıştır. GSM ve UMTS telefonlarında çalıştırıldığında, uluslararası mobil donanım tanımlayıcısı (IMEI) *#06# tuşlanarak elde edilebilir. Benzer kodlar Elektronik Seri Numarasını(ESN) ya da Mobil Donanım Tanımlayıcısını(ESN) CDMA ile çalışan telefonlardan elde etmek için mevcuttur. IMEI: Üreticiyi, model tipini GSM cihazları için onaylanan ülkeyi belirten 15 haneli bir sayıdır. IMEI’ın tip paylaştırma kodu (TAC) olarak bilinen ilk 8 haneli kısmı, model ve kaynağı verir. IMEI’ın kalan kısmı ise sonunda kontrol hanesi ile üreticiye özgüdür. ESN: 32-bitlik üretici tarafınfan mobil cihaz içindeki güvenli çip üzerine kaydedilmiş bir tanımlayıcıdır. İlk 8-14 bit üreticiyi tanımlar ve sonraki bitler de atanmış seri numaraları 65 temsil eder. Çoğu mobil cihaz tuşlandığında ekranda ESN'i gösterecek kodlara sahiptirler. Ayrıca gizli menüler, belli cihazlar kod girdisi aracılığıyla test moduna alındıklarında etkin hale getirilebilirler. ESN’nin dışında, cihazın telefon numarası gibi diğer yararlı bilgiler de elde edilebilir. Üretici firma kodu İnternetten telekomünikasyon endüstrisi kuruluşunun web sitesinde kontrol edilebilir. ICCID ve UICC 20 haneye kadar ulaşabilirler. Endüstri tanımlayıcı ön eki (telekomünikasyon için 89) ardından ülke kodu, ardından yayınlayan tanımlayıcı numarası ve bir bireysel hesap tanımlama numarasından oluşur. Ülke ve ağ operatörü adı ICCID tarafından belirlenebilir. Eğer ICCID UICC de gözükmüyorsa, belki UICC kazanım aracı ile elde edilebilir. GSM numaralama planı web sitesi ICCID sorgularını bu bilgi için desteklemektedir. FCC ID’sinin ilk 3 karakteri firma kodudur. Sonraki 14 karakter ise ürün kodudur. FCC cihaz üreticisini tanımlamak ve resimler, kullanıcı manueli ve radyo frekansı test sonucu dâhil olmak üzere mobil cihaz hakkında bilgi sağlamak için veritabanı araştırma servisi sağlar. MEID: 56 bit uzunluğunda [14 altılı rakam(hex digit)] karakter kümesinden oluşur. Bir adet 8 bitlik bölgesel kod, bir adet 24 bitlik üretici firma kodu ve bir adet üretici firma tarafından atanan 24 bitlik seri numarası olmak üzere 3 alan içerir. Kontrol rakamı MEID’in bir parçası olarak görülmez. MEID, bütün hepsi Kasım 2008’de tükendiği için, ESN’lerin yerini alması için oluşturulmuştur. Operatör Tanımlama: Mobil cihaza uygun bir operatörün dış yüzeyde logosu yazılmış olabilir. Bu genelde reklam ve marka oluşturma amacı ile göze çarpacak şekilde sergileniyordur. Bu inceleyen için mobil cihazın hangi operatörde çalıştığına dair bilgi sunar. Mobil cihazların kilitleri açılmış ve rakip operatör kullanarak çalışmaları için muhtemelen tekrar başlatılmış olabilirler. Bu saptamayı yapmak için bir yöntem ise UICC’nin varlığının kontrol edilmesidir. Çoğu operatör logolarını UICC'nin önüne yazarlar. Ek olarak, UICC’nin çıkarımı ve incelenmesi ilave doğrulamaları sağlar. Araç seçimi ve kullanımı: Mobil cihazın yapısı ve modeli bilindikten sonra, mevcut kullanım klavuzları bulunmalı ve çalışılmalıdır. Üretici firmanın web sitesi başlamak için en uygun yerdir. Bir arama motoruna model numarasını girmek mobil cihaz hakkında önemli derece bilgi açığa çıkarabilir. Daha önce de bahsedildiği üzere, eldeki cihaz çoğunlukla hangi adli araçların kulanılacağında belirleyici olur. Adli araçlar için gereken temel şartlar [69]: 66 Kullanılabilirlik: Araştıran kişiye veriyi yararlı bir şekilde sunabilme yeteneğidir. Kapsam: Suçlayıcı ya da aklayıcı delilleri tanımla amaçlı tüm verileri gösterebilme yeteneğidir. Kesinlik: Kullanılan aracın verdiği sonucun kalitesi doğrulanmıştır. Belirleyicilik: Aynı girdiler girildiğinde ya da aynı talimatlar verildiğinde kullanılan araç için aynı sonucu verebilme yeteneğidir. Geçerliliği Kanıtlanabilirlik: Ara çevirelere ve sunum sonuçlarına ulaşarak kesinliği doğrulayabilme yeteneğidir. Test Edilmişlik: Mobil cihaz içinde bulunan bilginin değiştirilip değiştirilmediğini ya da doğru bildirilip bildirilmediğine karar verebilme yeteneğidir. Hangi kazanım aracının belirli mobil cihazla etkili bir şekilde çalıştığını belirlemek için çeşitli araçlarla test cihazları üzerinde deney yapmak şiddetle tavsiye edilir. Öte yandan araçların yeteneklerine aşinalık kazanmak, tecrübe etmek, gerçek bir durumda kullanmadan önce özel amaçlı arama filtresinin ve özel amaçlı yapılandırmanın ayarlanmasına olanak sağlar. Ek olarak, üreticiden gelen gerekli herhangi bir yazılım güncellemesi yüklenebilir. Kurulu yöntemler delil incelemeyi yönlendirdiği gibi teknik kazanım işlemini de yönlendirmelidir. Var olan işlemlere ayarlama gerektiren olaylar az da olsa ortaya çıkabilir, bazı durumlarda da yeni metodlar ya da işlemler gerekebilir. İşlemler elde edilen sonuçların geçerli ve ayrı ayrı üretilebilir oldukları kesinleşmesi için test edilmelidir. Test etme mevcut cihazın üzerinde herhangi bir işlem uygulamadan önce aynı mobil cihazın aynı modeli üzerinde olmalıdır [74]. Mobil cihazın hafıza (bellek) edinimi: Mobil cihazlar genellikle sadece arama günlüğü ya da grafikler gibi kurtarma için gereken özel parçaları ile laboratuvar işlemlerine tabi tutulurlar. Eğer istenilen veriyle ilgili herhangi bir şüphe varsa, açıklık getirmek için teslim eden kişiyle irtibata geçilmesi önerilir. Ulaşılabilir tüm verilerin kurtarılması her zaman gerekli olmasa da, tamamlanmamış bir kazanım işlemidir eğer ek bilgiler gerekirse daha sonra tekrar yapılmak zorunda kalınmasını engeller. Kapsamı kısıtlanmış arama izinlerini içeren incelemeler için hafızadaki tüm bilgilerin çıkarılması tamamlanmış olabilir ancak sadece izin tarafından kapsanan parçaların bildirilmesine özen gösterilmelidir. Mobil bir cihazdan veri elde edebilmek için adli çalışma ortamından cihaza bir bağlantı kurulmalıdır. Kazanımın gerçekleştirilmesinden önce, kullanılan cihazın sürümü ya da cihaz üreticisinin 67 cihaza uyguladığı herhangi bir uygulanabilir yama ya da dizgi hatası ile birlikte belgelenerek kaydedilmelidir. Daha önce belirtildiği gibi, bir mobil cihazın durumunun değiştirilmesinden kaçınılması gerekir, örnek vermek gerekirse kurallar gereği, telefonun tuşlarına basılı tutarak verilerin silinmesine ya da bozulmasına sebep olmaktan kaçınılmalıdır. Bağlantı bir kez kurulduktan sonra adli yazılımdan veya mobil cihazdan veri alımı sürekli olarak devam etmelidir. Mobil cihazda tutulan tarih ve saat bilgileri adli bilişimin önemli bir parçasıdır. Tarih ve saat İnternet ağından otomatik elde edilmiş ya da kullanıcı tarafından manuel olarak düzenlenmiş olabilir. Kullanıcı manuel olarak düzenleme yapmışsa bu, mobil cihazda bulunan mesajlar ve arama kayıtlarının gerçek olanlardan farklı tarih ve saat değerlerini ayarlamış anlamına gelir. Mobil Cihazlar hafıza kartı için kullanıcıya bir arayüz sağlıyor olabilir. Mobil cihazın hafıza kartı içeriği adli araçlar kullanılarak mantıksal imaj olarak toplanılabilir. Cihaz aktif durumda bulunursa, mobil cihazın dâhili belleğindeki ilgili araçları çıkarma işlemi, ilgili medyanın fiziksel imajını alma işlemleri gerçekleştirilmeden önce yapılmalıdır. Cihaz güç kaynağı kapalı durumda bulunursa, mobil cihazın dâhili belleğinden edinilen bilgiler tamamlandıktan sonra çıkarılabilir medyada bulunan verilerin fiziksel edinimi gerçekleştirilmelidir. İki türdeki kazanımda da gereken ek manuel adımların alınması önemlidir çünkü adli aracın kayıtlı veriyi kurtarması ve çözmesi için yeteneklerinin yeterli olması tahmin edilemez. Bir edinim tamamlandıktan sonra, adli bilişim uzmanı yakalanan verilerin doğruluğunu cihazın kendi içeriğiyle kontrol ederek onaylar. Bu vesileyle, bir araçta herhangi bir hata bildirimi gelmeden başarısız bir edinim olup olmadığından uzman sayesinde emin olunur. Karşılaşılan zorluklar için çoklu araçlar kullanılabilir. Orijinal araç ile problemler oluşuyorsa ve eğer mümkünse başka araçlar kullanılması tavsiye edilir. Bir mobil cihazın hafızasının içeriği genellikle mantıksal ya da manuel veya ekstraksiyon yoluyla geri kazanılabilir olmayabilir, silinen veriler gibi bilgileri içerebilir. Fiziksel kazanımı gerçekleştirmek için güvenilir bir yazılım aracı olmalıdır, donanım tabanlı teknikleri açmak için gerekli olabilir [75]. 68 Mobil cihazlarda GSM incelemesi: UICC gerektirmeyen mobil cihazlar nispeten basittir başka bir cihaz satın almayı gerektirmezler. UICC gerektiren mobil cihazlar daha karmaşıktır. UICC analizinde dikkat edilmesi gereken iki öğe vardır. Mobil cihazın durumuna bağlı olarak elle kurulum, UICC ile birlikte veya ayrı ayrı elde edilebilir. Genellikle cihaz inaktif durumda iken UICC ile birlikte işlem yapmak ilk seçenek olarak kabul edilir. Mobil cihaz aktif ise, elle kurulum ve UICC içeriğinin bir ortak kazanımı elde edilmelidir. Telefon aracılığıyla dolaylı bir kazanım yok ise doğrudan kazanım ile UICC, silinen mevcut mesajları kurtarır. UICC mobil cihazdan çıkarılır ve doğrudan elde edilmesi için, uygun bir okuyucu takılmış olması gerekir. Ortak kazanım yaparken ortaya çıkan tanınmış adli bir sorun, okunmamış metin mesajlarında durum kazanımı sırasında değişiklik olmasıdır. İlk kazanımda, okumak için açılan mesajların okunmamış mesaj halinden çıkması durum bayrağını değiştirebilir. Elle kurulum aracılığıyla dolaylı bir UICC yapılması okunmamış kısa mesajın okuma durum değişikliği cihazın işletim sisteminde durum etiketi değişikliğine neden olur. Bu sorunu önlemenin bir yolu ek kazanım yaparken UICC bellek kurtarma işlemini seçerek düzeltmektir [72]. Mobil cihaz etkin değilse, UICC içeriği elle ayardan önce bağımsız elde edilebilir. UICC edinme PC/SC okuyucu ile doğrudan yapılmalıdır. Elle ayar edinimi UICC mevcut olmadan denenmelidir. UICC etkinleştirilmiş olsaydı birçok cihaz için PIN girişine geçiş sağlayan koşullar oluşur ve kazanıma izin verir. Kazanım girişimi başarısız olursa, UICC yeniden takılı hale getirilip ikinci bir girişim yapılmalıdır. Bağımsız kazanım gerçekleştirme UICC verilerinin dolaylı okunması ve herhangi bir işletim sistemi ile ilgili adli sorunların önlenmesini sağlar. Ancak, SIM çıkarma işlemi, bazı mobil cihazların verilerinin silinmesine neden olabilir [76]. iOS cihazlarının incelenmesi: 2009 yılının ortalarından bu yana, iPhone 3G'nin piyasaya çıkması ile başlayan Apple donanım hızlandırmalı şifrelemeyi mümkün kılan, özel bir şifreleme mikroişlemcisi ile tüm iOS cihazlarına yüklenmiştir. Apple Veri Koruma adında bir özellik olarak pazarlanan işletim sisteminde, bu hızlandırılmış şifreleme özelliğine yer verilmiştir. Veri Koruma herhangi bir dosya ya da şifreli bilgi parçası veya ayrı bir 69 anahtarla şifresi sağlanan, donanım hızlandırmalı şifreleme ve doğrulanmış kriptografik düzenin birleşimidir. Veri koruması ile korunan dosyaları daha sonra daha yüksek bir kademe sınıf anahtarı kullanılarak şifrelenmiş ve dosya ile bir başka dosya etiketi olarak saklanan rastgele bir dosya anahtarı ile şifrelenir. Cihazınızda saklanan şifreler benzer bir yaklaşım kullanılarak şifrelenir ve iOS anahtarlık, işletim sisteminde yerleşik bir cihaz anahtarı emanet mekanizması ile saklanır. Dosyalar ve anahtarlık unsurları cihazı şifreyi içeren şekilde şifreler hem de erişim kontrol tuşları tarafından korunur. Passcodemust cihazın GUI kiliti bu dosyalar için seçilir ve anahtarlık unsurlarını korumak ve anahtar hiyerarşi şifresini çözmek ve aynı zamanda devre dışı bırakmak için kullanılır. 2009 yılında Zdziarski tarafından veri koruma uygulaması tasarım hataları eleştirilmiş ve orijinal uygulama istismar edilmiştir [68]. Bu nedenle, dört basamaklı PIN veya kısa parolalar kaba bir zorlamayla çözülebilen bir yöntemdir. Birçok durumda, dört haneli PIN lerin 20 dk gibi bir sürede kaba zorlamayla çözüldüğü görülmüştür. Bununla birlikte, bu şifreleme düzeni adli bilişim uzmanları için önemli sorunlar yaratmaktadır. Adli inceleme bu konuların yanı sıra, bu şifreleme incelemesi için sunulan herhangi bir iOS tabanlı cihaz üzerinde sahip olduğu etkinin farkında olmalıdır. Cihazların hepsinin içinde verileri silmek için seçeneğiniz vardır. Aktive edildiğinde, UID yok edilir ve anahtarın 256 bit son derece karmaşık bir şifre çözme sorunu ile uzmanı bırakarak imha edilir. Bu tür senaryoları önlemek için, radyo iletişimi engellenebilir veya inceleme için laboratuvara taşınmasının yanı sıra inceleme öncesinde devre dışı bırakılması tavsiye edilir. Veri koruma etkin olduğunda dosya silinir, dosya anahtarı gereksiz silinen dosyalar için bilinen kırma teknikleriyle ayrılmamış alanlarda şifreli ve genellikle kurtarılamayan dosya içeriğini bırakarak, yok olur. Veri ancak veri konteynerleri içinde bulunabilir. Buna ek olarak, iskontolu veya herhangi bir inceleme parçası olarak göz ardı edilmemelidir. SQLite veri kurtarma biraz otomatik olabilir ve verilerin kurtarılması zor olabilir, manuel kurtarma tek seçenek olabilir. Neyse ki adli bilişim uzmanı için, kullanıcı verilerinin önemli bir 70 kısmının tahsisi veri konteynerleri içinde depolanan ve çöp toplama genellikle bu kapların üzerinde gerçekleştirilmez. Apple aynı zamanda iTunes kullanıldığında, tüm yedekleme verilerini şifrelemek için kullanıcılara bir özellik sunar. Bu seçenek, sadece bazı adli edinim araçlarının şifrelenmiş dosyaları sunacak şekilde kullanıldığında gerçekleşebilir. Yedek şifreleme özelliği sadece, cihazın yedekleme hizmeti aracılığıyla gönderilen verileri için geçerlidir ancak yedekleme şifrelemesi etkin olsa bile, verilerin açık metin kopyalarını temin etmek cihazda çalışan diğer hizmetler için olasıdır. Satın alma aracı, bu hizmetlere iletişim yeteneğine sahip değilse, düz metin verileri önemli miktarda yedek şifreleme bilinmiyorsa bile kurtarılabilir. Android cihazların incelenmesi: Android akıllı telefonlar ve tablet bilgisayarlar gibi bazı mobil cihazlar için Google tarafından tasarlanmış bir işletim sistemidir. Android ilk olarak 2007 yılında piyasaya sürülmüştür. İlk Android tabanlı telefonun Android işletim sistemi açık kaynak kodludur. İşletim sisteminin farklı sürümlerinin her birinin tam desteklenebilmesi için aygıtın her sürümünde küçük değişiklikler yapılması gerekir. Bu dağılımlar binlerce (değilse bile yüzlerce) farklılığa yol açmıştır. Apple'ın AppStore’u gibi, Android’in de Google Play Store adında bir ana uygulama havuzu vardır. Başvuruların incelenmesi için deposunda Apple’a oranla çok daha düşük önlemler vardır ve genel uygulama havuzunda probleme yol açacak birçok kötü niyetli uygulamanın kullanımına sebep olmuştur. Android kullanıcılarının ve uygulama verilerinin çoğu yüklü olan her uygulama için ayrı klasörlerde bulunan SQLite tablolarında mevcuttur. Bunun için inceleyen kişinin SQLite tablolarını içeren tüm verilerin dökümünü alması ve mobil araçların çoğunluğu tarafından desteklenen uygulamaların %5 inden daha az oranda ilgili metaryellerin araştırılması gerekmektedir. İşletim sistemi dokunmatik ekran kullanımı için tasarlanmış olduğundan, cihazlar için varsayılan koruma düzeni el ve kol işaretleridir. Bu kilit kullanıcıya 3x3 örgü sisteminde, parmaklarla hücreleri birbirine bağlayan bir şifreleme yöntemi sunar. Doğru 71 model takip edildiğinde telefonun şifresi açılır. Bazı adli tıp araçları telefonun kilidini açmak için gesture.key adında dosyalar barındırır. Kilitli Android cihazları için erişim yöntemlerinden çoğu hata ayıklama moduna güvenir. Ancak, çok az sayıdaki model bu yöntemi destekler. Çoğu Android tabanlı mobil cihazlar çıkarılabilir microSD hafıza kartına sahiptir. Çok sayıda korumasız ve şifresiz veriler içerdiğinden dolayı microSD kartının içindeki veriler göz ardı edilmemelidir. En iyi yöntem olarak, microSD kartları blok yapılabilir ve dijital adli teknik standartları kullanılarak görüntülenebilir olmalıdır. Bu görüntü geleneksel adli tıp araçları kullanılarak incelenmelidir. Birçok araç Android OS de sunulan bilgileri ayrıştırabilir. Her hafta yüzlerce uygulama eklenir. Anlamak ve mühendislerin teker teker yerini değiştirmek zaman alıcı bir süreçtir. Birçok satıcı verileri ayrıştırmak için daha popüler iletişim uygulamalarına odaklanmaktadır. Daha gelişmiş bir inceleme için bu eksikliğin farkında olunmalı, uygulama testleri geliştirilmeli ve mevcut durumları destekleyen özel uygulamalar bulunmalıdır [69]. UICC değerlendirme: Mobil cihazlara benzer olarak UICC den bilgi elde etmek için PC/SC okuyucu kullanarak adli iş istasyonlarıyla bağlantı kurulmalıdır. Daha önce olduğu gibi kullanılan cihazın sürümü aracına uygulanan üreticinin herhangi bir geçerli yamalar veya dizgi hatası ile birlikte dokümante edilmelidir. Bağlantı kurulduktan sonra adli yazılım aracı UICC den veri elde etmek için kullanılabilir. UICC verilerinin doğrudan görüntü yakalama yerleşik koruma mekanizmaları yüzünden mümkün değildir. Bunun yerine, adli araçları dosya sisteminin her temel veri dosyasından, değişiklik olmadan, mantıksal veri ayıklamak için UICC Uygulama Protokolü Veri Birimi (APDUs) olarak adlandırılan komut direktifleri gönderir. APDU protokolü basit bir komut-yanıt değişimidir. GSM standartlarında tanımlanan dosya sistemi her dosya sistemi üzerinden yürümek ve bir öğenin referans ve içeriğini okuma gibi bazı işlemleri gerçekleştirerek verileri kurtarmak için kullanılabilir, benzersiz bir sayısal tanımlayıcı vardır. UICC ler yüksek standart cihazlar olduğundan, birkaç mantık edinimiyle ilgili konu bulunmaktadır. Temelde dikkat edilen PIN lerin durumunu raporlayan ve ilgili verileri kurtaran bir araç seçmek gerekir. Teğetsel (Yüzeysel) donanımlar: Yüzeysel donanımlar hafızayı ve onunla ilgili mobil cihazları içeren aygıtları barındırır. Hafıza kartları üç temel kategoridedir, bulut tabanlı hafızaların içeriği sekronize olduğundan dolayı bunlar ev sahibi bilgisayarlardır. Akıllı telefonlar çıkarılabilir medyaları destekleyen arayüzleri sağlar. Hafıza kartları kullanıcı 72 dosya depolama olarak ya da cihazdan dosyaları aktarmak için bir araç olarak kullanılan tipik taşınabilir belleklerdir. Veriler medya okuyucuları veya adli uygulamalar ile elde edilebilir. Bir mobil cihazda yer alan veriler nedeniyle senkronize edilen veya başka bir fazla ana bilgisayarların arasından bilgi paylaşımı için mobil cihazların yeteneği, kişisel bilgisayarda genellikle mevcuttur. Böyle kişisel bilgisayarlar veya iş istasyonları senkronize cihazlar olarak adlandırılırlar. Sekronizasyon yüzünden, önemli miktarda mobil cihaz verilerinin sahibinin taşınabilir ya da kişisel bilgisayarında bulunması nedeniyle sıradan bir bilgisayar adli araç olabilir [77]. Sekronize cihazlar: İki cihaza bağlı e-posta hesapları gibi veri sınıflarının farklılıklarını çözme süreci senkronizasyona işaret eder. Bilgi senkronizasyonu kayıt düzeyinde ya da dosya düzeyinde gerçekleşebilir. Dosya düzeyinde bittiğinde, son senkronizasyon tarih ve zaman herhangi bir tutarsızlık varsa son sürümü otomatik olarak eski sürümü yerine kaydedilir. Kayıt seviyesinde eşitleme benzer şekilde yapılır, ancak daha ayrıntı olarak bir dosyanın parçaları çözümlenir ve değiştirilebilir. Mobil cihazlar genellikle eşitleme işlemi sırasında kişisel bilgisayar verileriyle doldurulur. Bilgilendirici verilerin önemli bir kısmı kişisel bilgisayarda yerel olarak bulunabilir. Mobil cihazdan elde edilen veriler de senkronizasyon yazılımı kullanıcı tanımlı tercihleri aracılığıyla bilgisayara senkronize edilebilir. Bir mobil cihaz ve kişisel bilgisayar senkronize içeriği zamanla ve hızla farklılaşmaya eğiliminde olduğu için, ilave bilgiler tek bir cihazda ya da diğer cihazlarda bulunabilir. Mobil aygıt dosyaları bilgisayarınızda depolanan senkronizasyon yazılımını ve cihaz türünü belirler [69]. Bellek kartları: Bellek kartı depolama kapasitesi 128MBdır. Teknolojik gelişmelere paralel olarak, bu tür medyalar fiziksel olarak küçülür ve daha büyük depolama yoğunlukları sunar. Çıkarılabilir medya bireylerin cihazın dâhili kapasite ötesinde ek dosyaları saklamak için ve uyumlu cihazlar arasında veri paylaşmak için mobil cihazların depolama kapasitesini genişletir. Bazı adli tıp araçları bellek kartlarının içeriklerini elde edebilir. Çıkarılabilir medya veri fiziksel edinimi inceleyenler için medya içeriğini arama ve potansiyel silinmiş dosyaları kurtarmaya imkân sağlar. Tek dezavantajı ise SMS metin mesajları gibi mobil cihaz verilerinde, manuel çözme ya da yorumlamak için ayrı bir şifre çözme aracı gerektirebilir olmasıdır. Daha ciddi bir sorun da içerik koruma özelliklerinin veri kurtarmayı bloke edebilir olmasıdır. MMCmicro, secure digital (SD), miniSD, 73 microSD ve memory stick micro gibi değişik bellek kartları vardır. Bu kartları birbirlerinden ayıran en önemli özellikleri boyutlarıdır [69]. Mobil cihazlar için bulut tabanlı servisler: Mobil bulut, mobil ağların, kullanıcının kullandığı uygulamalar ile cihazında tutulan verilerin tutulduğu bir sistemdir. Bu veriler farklı ve dağıtık coğrafi konumlarda boyunca saklanabilir. Bulut bilişim sistemleri kendi tasarımlarında karmaşık ve dağıtık yapıdadır. Genellikle, bulut bilişim depolama yeri sorunu ve düşük maliyet nedeniyle tercih edilir. En önemli sorun, veri konumunun tanımlanmasıdır. Bu gelişmekte olan bir alandır. Ayrıca, bulutta depolanan kullanıcı verilerinin kurtarılması yasa ve yönetmeliklerden kaynaklı olarak sorunlu bir alandır. Veri elde etme ve analizinde mutlaka bulut bilişim adli inceleme kurallarına uymak gerekir. Mobil cihazlarda adli incelemede buluttan veri elde etme ve analizi mobil adli incelemenin bir parçası mıdır tartışılmaya açık bir konudur. Mobil cihazlar için buluttan veri elde etme çalışmanın kapsamı dışında tutulmuştur. 3.5.3. İnceleme İnceleme süreci gizli veya açık dijital delillerin ortaya çıkarılması sürecidir. Sonuçlar uygulamaya dayalı kurulan bilimsel yöntemlerle elde edilir. Ayrıca tamamen verinin içeriğini ve durumunu açıklamalıdır. Analiz süreci incelemeden farklıdır, aslında incelemenin bir sonucu olarak davanın ispatlayıcı değerini artıran süreçtir. İnceleme ise bir adli uzman işidir ve teknik bir süreçtir. Ancak, analiz gibi araştırmacıya dayalı veya adli incelemeye bağlı bir uzman dışındaki roller tarafından yapılabilir. İnceleme süreci mobil cihazdan alınan delillerin bir kopyasıyla başlar. Neyse ki, kişisel bilgisayar ya da ağ sunucuları klasik inceleme ile karşılaştırıldığında, incelemek için elde edilen veri miktarı mobil cihazlara göre çok daha küçüktür. Potansiyel delil için bir başlangıç noktası sağlamak için ilgili taraflar gerekir. İnceleme yapılması adli uzman veya inceleme ve araştırmacı arasında bir ortaklıktır. Adli inceleme sistemi üzerinde olabilecek ilgili bilgileri bulmak için araçlar sağlanırken araştırmacı, aranan bilgi türlerini görmemizi sağlar. Davayı inceleyerek elde ettiği anlayış hedef veri türüne ve elde edilen verileri ararken kullanmak için belirli anahtar kelimeler veya deyimler hakkında fikir vermelidir. Durum 74 türüne bağlı olarak, strateji değişir. İnternet ile ilgili suç hakkında dava tüm İnternet geçmiş dosyalarını tarama ile başlayabilir. Örneğin, çocuk pornografisi ile ilgili bir vaka, sistem üzerinde grafik görüntülerin tümünün taraması ile başlayabilir. Potansiyel kanıtlar: Mobil cihaz üreticileri genellikle Kişisel Bilgi Yönetimi (PIM) uygulamaları, mesajlaşma, e-posta ve web tarama dâhil olmak üzere bilgi işleme özellikleri ve yeteneklerine benzer bir dizi hizmet sunar. Özellik ve yetenek kümesi cihazın imal edildiği dönem, gömülü yazılımı, belirli bir servis sağlayıcı için yapılan değişikliklerin sürümünü ve kullanıcı tarafından yüklenen herhangi bir değişiklik veya uygulamalara göre değişiklik arz edebilir. Bu cihazların üzerindeki potansiyel deliller: - Katılımcı ve donanım tanımlayıcıları, - Tarih/saat, dil ve diğer ayarları, - İletişim bilgileri, - Takvim bilgileri, - Metin mesajları, - Gelen ve cevapsız arama günlükleri, - Elektronik posta, - Fotoğraflar, - Video kayıtları, - Multi-medya mesajları, - Görsel mesajlar, - Web tarama faaliyetleri, - Elektronik belgeler, - Sosyal medya ile ilgili veriler, - Uygulama ile ilgili veriler, - Konum verileridir. Bir cihazda mevcut ürün özellikleri ve mobil cihazın yeteneklerine değil, aynı zamanda kullanıcı tarafından abone ses ve veri hizmetlerine de bağlıdır. Örneğin, ön ödemeli telefon hizmeti, multi-medya mesajlaşma, elektronik posta ve web tarama için olasılığını saf dışı bırakabilir. Telefonun kendisi onlara destek olsada benzer şekilde, bir sözleşme abonelik seçimi gibi belirli hizmet türlerinin dışında tutabilir. 75 Bilgisayarlarda adli soruşturma genelde iki türde gerçekleşir. Bir olay meydana geldiğinde burada birinci tip ama failin kimliği bilinmez. Şüpheli ve olay biliniyor ise ikinci türde gerçekleşir. Olayın arka plan ile hazırlanan adli inceleme ve analizi aşağıdaki amaçları gerçekleştirmek yönünde devam edebilir: - Bireyler hakkında bilgi toplamak, - Meydana gelen olayların tam olarak içeriğine karar vermek, - Olayın zamanını bilmek, - Olayı tetikleyen fakat gizli kalmış bilgileri ortaya çıkarmak, - Olay sırasında kullanılan araçların tespitini yapmaktır. Birçok durumda veri kanıtlayıcılar ya da bazı olaylar hakkında bir bireyin iddialarını çürüten bir soruşturma yapmak yararlıdır. Bu vesileyle, direkt bilgi, motivasyon ve niyet tesis edilebilir. Mobil aygıtlardan delil kaynaklarının çoğu şunlardır: iletişim, veri, mesajlaşma, resim, video, sosyal medya, ya da İnternet ile ilgili bilgilerin aranmasıdır. Kullanıcı uygulamaları, potansiyel diğer delillerin kaynaklarıdır. Ayrıca, görüntüleme veya düzenleme için cihaza yerleştirilen kullanıcı dosyaları diğer önemli delil kaynaklarıdır. Bunlar grafik dosyaları, ses ve video kayıtları, elektronik tablolar, sunum slaytları ve benzeri diğer elektronik belgelerdir. Yüklü yürütülebilir programlar da belli durumlarda yararlı olabilir. Genellikle en önemli veri kurtarılır. Servis sağlayıcılar abone veya donanım tanımlayıcılarını kullanarak sorgulanabilir arama günlüklerine dayalı fatura veya borçlandırma hesapları için veritabanlarını korumak maksadıyla bazı verileri tutmak zorundadır. Benzer şekilde, teslim edilmeyen SMS metin mesajları, multi-medya veya sesli mesajları da geri elde edinilebilir. Bu cihazdan elde edilen veriler servis sağlayıcıdan alınan verilerle doğrulanmalıdır. Mobil adli bilişim araçlarına başvurma: Tüm veri elde edildikten sonra ilk adım veriyi incelemek, tanımlamak, önemli olanları belirlemek ve son olarak rapor yazmaktır. İnceleme için kullanılan araçlar ile bilgi ve deneyim büyük ölçüde inceleme sürecini hızlandırabilir mevcut özellikler ve adli aracın yetenekleri yetkin kullanım açısından son derece önemlidir. 76 Adli araçların operasyonlarda hata yapma potansiyellerinin olduğunu bilmek ve ona göre hareket etmek oldukça önemlidir. Örneğin, uygulamada bir programlama hatası olabilir; uygulama tarafından kullanılan bir dosya yapısı hatalı veya güncel olmayabilir araştırmacı tarafından anlaşılır veri içine bit çevirmek için ya da girdi olarak başka program tarafından oluşturulan dosya yapısı uygulamanın düzgün çalışmamasına neden olabilir. Mobil cihaz adli araçları ile yapılan testler biçimlendirme ve veri ekranında hatalarının yaygınlığını göstermektedir [78]. ABD'inde Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından söz konusu araçların testlerinin yapılması için bir proje başlatılmıştır. Birçok uygulama bu kapsamda teste tabi tutulmuştur. Delilleri ortaya çıkarmak için, uzmanlar suçu ortaya çıkarmak maksadıyla bir inceleme yolu belirlemelidir. Arama, ilgili olabilecek kişi adları kullanılarak, sistematik bir şekilde geliştirilmelidir. Uzman sistematik ilerleyerek, değerli bulgular vasıtasıyla bir patern oluşturur. Bazı araçlar metin şeklindeki delilleri tanıyıp kategorize etmek için dosya uzantısını kullanırken, diğerleri dosya imza veri tabanını kullanır. Dosya imza veri tabanı yöntemi tutarsız dosya ismi uzantısı nedeniyle verinin kaybedilmesini önler. Aynı şekilde, aracın görüntüleri ortak bir grafik kitaplığına toplayıp incelemeye elverişli hale getirmesi de oldukça kullanışlı bir özelliktir. Suçları kanıtlayan verileri aramak sabır gerektiren ve zaman alan bir iştir. Bazı araçlar girilen metni arayabilecek basit arama motorları bulundurmakta, ilkel aramalara izin vermektedir. Diğer araçlar daha akıllı ve daha çok özelliğe sahip arama motorları bulundurmakta genelleştirilmiş düzenli ifade kalıpları tipinde aramalara izin vermektedir. Bu aramalara joker eşleşmeleri, dosyaları uzantılarına göre filtrelemek, belirlenmiş tipte dosyaları aramak için rehber ve batch scriptleri da dâhildir. Aracın kabiliyetleri ne kadar genişse, adli uzman o araçla tecrübe sahibi olmaktan daha fazla yararlanabilir. Arama ve abone kayıtları: Hizmet sağlayıcıları tarafından aboneleri isabetli bir şekilde faturalandırmak için tutulan kayıtlara arama detay kayıtları (call detail records – CDRs) denir. Bu kayıtlar, mobil cihazlardan gelen aramaları veya kısa mesajları işlemekle elde edilir. İçerik ve format bir sağlayıcıdan diğerine çok fazla farklılık gösterse bile, aramayı yapan abone veya cihazı, arama hizmetini sunan hücreyi, aranan numarayı ve aramanın süresini tanılamak için gereken bilgi tutulmaktadır. Uygulamaların neleri içerebileceği 77 hizmet sağlayıcılarına ve şebeke operatörlerine bırakılmış durumdadır. Arama detayları ve diğer kayıtları tutma süresi hizmet sağlayıcıları arasında değişmektedir [79]. Ancak, bu süre genelde sınırlıdır ve bilgilerin kaybedilmemesi çabuk hareket edilmesi gerekir. İlgili taraflara dair hücresel taşıyıcıların hızlıca ele geçirilmesi, hesap abonesinin bulunması açısından önemlidir [80]. Ulaşılabilen veri abone kayıtları e-posta sunucularının içeriği, e-posta sunucu kayıtları, diğer IP adres yetkilendirme kayıtları, SMS ve MMS mesaj sunucularının ve sesli mesaj sunucularının içeriği gibi veriler içerebilir. Yollanmamış içerikler, örneğin sesli mesajlar, yargısal açıdan hakların ihlali olarak görülebilir ve belirtilen içerikleri uygun yetkiye sahip olmadan ele geçirmek veya dinlemek iletişimin yasadışı önlenmesi olarak görülebilir. Arama detay kayıtları dışında abone kayıtları da hizmet sağlayıcısı tarafından kullanışlı veriler olarak sunulur. Bu kapsamda GSM operatörlerinin, müşterilere dair tuttuğu veriler aşağıda belirtilmiştir: - Müşteri adı ve adresi, - Faturalandırma adı ve adresi (eğer müşteriden farklıysa), - Kullanıcı adı ve adresi (eğer müşteriden farklıysa), - Fatura hesap detayları, - Telefon numarası (MSISDN), - IMSI, - UICC (USIM) seri numarası (ICCID), - UICC (USIM) için PIN/PUK, - Sağlanan hizmetler. İş ve ev telefon numaraları dâhil diğer işe yarar bilgiler, bağlantı bilgisi, kullanılan kredi kartı numaraları da aynı zamanda abone kayıtlarında bulunabilir. Önceden ödenmiş telefonlara dair kullanılabilir bilgiler de hesap bilgilerinde bulundurulur, örnek olarak ise hat alımında kullanılan kredi kartı numaraları veya çevrimiçi makbuz bilgilendirmeleri için kaydedilen e-posta adresleri gösterilebilir. Ön ödemeli telefonların arama kayıtlarına ulaşma seçeneği de göz ardı edilmemelidir. Hizmet sağlayıcısı tarafından tutulan arama detay kayıtları ve diğer kayıtlar abone veya mobil cihazlardan ve UICC’den elde edilen donanım bilgisi kullanılarak istenebilir. Bu 78 amaçla kullanılan abone bilgileri genelde UICC’den kaynaklanan IMSI ve telefon numarasını (MSISDN) da içerir. Kullanılan donanım tanılayıcılar ESN veya telefon IMEI numarası ve UICC seri numarasıdır (ICCID) [81]. Arama detay kayıtları birçok amaç için analiz edilir. Örneğin, bir hizmet sağlayıcısı abonelerinin arama şablonlarına ulaşmak veya ağın performansını ölçmek için arama detay kayıtlarını kullanabilir [82]. Arama detay kayıtları aynı zamanda sağlayıcıdan alınan hücre alanı baz istasyonu bilgisini hücre tanılayıcılarının coğrafi konumlarına ulaşmak ve aramaların yapıldığı coğrafi konumlara ulaşmak için kullanabilir. Arama kayıt konumlarını belirlemek bazen kullanışlı olsa da kesin ve isabetli bir çerçeve ortaya koymaz. Hücre kuleleri 35 kilometre yarıçapta (yaklaşık 21 mil) hizmet sağlayabilir. Hizmet sağlayıcısında bulunan radyo frekansı haritaları ilgili bölgelere dair daha isabetli veriler ortaya koymak için alınabilir. Veri analizi sonuçları belirli bir zamanda mobil cihazın konumunu bulmak için kullanılabilir [83]. Bir dizi aramanın başında ve sonunda hücre tanılayıcısının değişmesi seyahat halini veya bir davranış kalıbını ortaya koyacaktır. Hücrelerin sınırları değişkenlik göstermektedir. Arazi şartları, mevsimsel değişiklikler, anten performansı ve arama yüklemesi hücrelerin kapsadığı alanları etkilemektedir ve arama kayıtlarında görülen konumların makul kabul edilip edilmemesini etkiler. Belirli hücrelerin coğrafi kapsam alanlarını tanımlamak detay kayıtlarıyla birleştirildiğinde makul konumları belli bir aşamaya kadar belirlemekte değerli bilgiler ortaya koyar. Profesyonel suçlular bu kabiliyetlerin farkındadır ve suç mahallinden başka bir yerde bulunmuş gibi yaparak bu durumları kendi avantajlarına kullanmayı deneyebilirler. Yer belirlemeden kaçınma ihtimal dâhilindedir. Sık karşılaşılan bir hile ise pay-as-you-go tipinde ön ödemeli telefonların satın alınıp, kullanılıp, çabukça elden çıkarılması veya çalıntı telefonların kullanımıdır. Kullanımı gizlemek ve kayıtların analizini karışık hale getirmek için farklı UICC’ler değişik GSM/UMTS mobil cihazlar arasında değiştirilerek kullanılabilir. Diğer verilerle birlikte arama kayıtlarının dikkatli analizi mobil cihaz ve kullanıcısı arasındaki ilişkiyi kurmakta kullanışlıdır. Ön ödemeli telefonların arama detay kayıtları şebeke sağlayıcıları tarafından tutulmaktadır, aynı durum kontrat abonelikleri için de geçerlidir. Şüpheli ve bilinen ortakları arasındaki iletişimin, kalıpların ve dijital ses 79 kayıtları analiz edilerek bu tür telefonların aidiyeti hakkında bilgi sahibi olunur. Diğer geleneksel adli deliller de (parmak izi, DNA vb.) aidiyet konusuna açıklık getirmek için kullanılabilir. Cihazdan transfer edilen verinin miktarını belirten şebeke trafik bilgisi de soruşturmalarda sıkça kullanılmaktadır [69]. 3.5.4. Raporlama Raporlama, soruşturmanın bütün safhalarının ve ulaşılan sonuçların detaylı bir şekilde anlatıldığı özettir, atılan bütün adımların ve bütün gözlemlerin titizlikle kaydedilmesi ve ulaşılan sonuçların veriyle doğrulanması bu süreçte oldukça önemlidir. Nitelikli bir rapor sağlam belgelerle, notlarla, fotoğraflarla ve araçlarla üretilmiş içerikle yazılır. Veri eksiksiz olarak incelendikten ve önemli kısımlar işaretlendikten sonra rapor yazılır. Birçok adli araç önceden belirlenmiş şablonlar ve rapor yapısına uygulanabilecek kişiselleştirmeler içeren kendi raporlama sistemiyle beraber gelmektedir. İzin verilen kişiselleştirmeler arasında organizasyon logoları, rapor başlıkları, stil seçimleri ve organizasyonun ihtiyaçlarına göre belirlenebilecek daha profesyonel görünüm bulunmaktadır. Adli araçlar tarafından yaratılan raporlar tipik olarak dava dosyası öğeleri içerir. Bu öğelerin arasında uzmanın adı, dosya numarası, tarih ve başlık, kanıt kategorileri ve ilgili kanıtlar bulunur. Rapor yazma işlemi tipik olarak ya bütün veriyi ortaya koyar ya da uzmanların son rapor için ilgili veriyi seçmesine izin verir. Sadece ilgili verilerin rapora işlenmesi raporun boyutunu azaltır ve okuyucunun kafasının karışmasını önler. Yazılımla üretilmiş içerikler bütün raporun sadece bir kısmını oluşturur. Raporun son hali yazılımla üretilmiş içeriklerle beraber bütün soruşturma süreci boyunca biriken veri ve atılan adımların özeti, yapılan analizler, elde edilen kanıtların uygunluğu gibi içerikler barındırır. İdeal olarak, destekleyici belgeler elektronik biçimde raporun içerisine dahil edilebilecek halde olmalıdır. Raporlama imkanları mobil cihaz uygulamaları arasında çok farklılık göstermektedir. Rapor üretimi tipik olarak birçok ortak formatta (.txt, .csv, .doc, .html, .pdf) gerçekleştirilebilir. Birkaç araç rapor üretimine ve veri ihracına yönelik hiçbir özellik bulundurmaz ve uzmanların raporlama için araç arayüzünün fotoğraflarını çekmesini gerektirmektedir. Raporlar nasıl yaratılırsa yaratılsın, sonuç olarak ortaya çıkan raporun kullanıcı arayüzünde ortaya konulan veriyle uyuşması tutarsızlıkları giderecektir [78]. 80 Önceden mevcut olan raporun değiştirilebilmesi ve verilerin (görüntüler, videolar vb.) alternatif yollarla edinilmesi avantajlıdır. Eldeki bazı yardımcı programlar ve teknikler belirli veri tiplerinin ele geçirilmesi için gereklidir. Bir manuel incelemenin video kaydını almak için adli araçlar gerekmeyebilir. Video kurgu yazılımları duraklatılmış görüntülerin rapora dâhilini mümkün kılmaktadır. Bir dijital kamera aynı zamanda manuel inceleme sırasında resim çekmek için kullanılabilir; bu yöntem daha az verimlidir ve bütün süreci belgelendirmeyebilir, ancak ulaşılabilen tek yöntem bu olabilir. Verinin türü kağıda basılı şekilde takdim edilip edilemeyeceğini belirler. Günümüzde birçok popüler mobil cihaz ses ve video kaydetme kabiliyetine sahiptir. Bu tür kanıtsal veriler kağıda basılı şekilde gösterilemez ve raporun son halinde taşınabilir medya araçları içerisinde görüntüleme için gerekecek uygun yazılımla beraber dâhil edilmelidir. Adli inceleme sonuçlarının raporları davayı, kaynağını ve sonuçları belirlemek için gereken bütün bilgileri ve içerikten sorumlu kişinin adını içermelidir. Bir raporun aşağıdaki bilgileri içermesi gerekmektedir [74]: - Raporlamayı yapan kuruluşun kimliği, - Vaka tanımlayıcı ve gönderme numarası, - İncelemeyi yapan kişi, - Göndermeyi yapan kişi, - Delil makbuzunun tarihi, - Rapor tarihi, - İnceleme yapılan öğelerin betimsel listesi, - İnceleyicinin kimliği ve imzası, - İncelemede kullanılan donanımlar, - İnceleme adımlarının kısa özeti, grafik görüntü aramaları, kurtarılan silinmiş dosyalar, - Bazı delillerin çıktısı, delillerin dijital kopyaları ve gözaltı belgeleri zinciri, - Bulguların detayları, - İsteğe bağlı özel dosyalar, - Bulguları destekleyecek diğer dosyalar, silinmiş dosyalar da dâhil, - String aramalar, anahtar kelime aramaları ve metin string aramaları, - İnternet ile ilgili deliller, web site trafik analizi, sohbet geçmişi, gizli dosyalar, e-posta ve haber grup etkinliği, - Grafik görüntü analizi, - Mülkiyet göstergeleri, buna program kayıt verileri de dâhildir, 81 - Veri analizi, - İlgili programların ve incelenen öğelerin tanımları, - Veriyi gizlemek veya maskelemek için kullanılmış olan teknikler, şifreleme, steganografi, gizli özellikler, gizli bölünmeler ve dosya ismi aykırılıkları, - Rapor sonuçları. İncelemede kullanılan araçlar, dijital deliller, teknikler ve yöntemler mahkemede ve diğer resmi süreçlerde sorgulanacaktır. Sağlam belgeleme bireylere süreci baştan sona yeniden yaratma yetisi kazandırmakta büyük önem taşımaktadır. Raporlama sürecinin bir parçası olarak kullanılan yazılımın bir kopyasını oluşturmak ve sonuçla beraber takdim etmek gerekir. Bu durum özellikle özel olarak yazılmış araçlar için geçerlidir. 82 83 4. MOBİL ADLİ BİLİŞİM YAZILIMLARI Edinim tekniklerini ve yöntemlerini anlamak önemli olsa da, bir adli uzman görevi vaktinde tamamlayabilmek için çeşitli araçlara ihtiyaç duymaktadır. Adli araçlar sadece vakit kazandırmakla kalmayıp süreci de kolaylaştırır. Günümüzde Elcomsoft iOS Forensic Toolkit, Cellebrite UFED, BlackLight, Oxygen Forensic Suite, AccessData MPE+, iXAM, Lantern, XRY, SecureView, Paraben iRecovery Stick gibi pek çok araç, iOS cihazlarının incelenmesi için kullanılmaktadır. Çalışmanın bu bölümünde mobil cihaz incelemelerinde kullanılan yazılımlar hakkında bilgiler verilmektedir. Bu araçların bazıları Standartlar ve Teknoloji Enstitüsü (NIST) adlı bir teknoloji kurumu tarafından test edilmiştir. NIST, mobil adli cihazlar için standartlar geliştirme ve bu cihazları onaylamak için Adli Bilgisayar Cihazları Test Edinimi (CFTT) projesini başlatmıştır. Bu yöntemin amacı her cihazı konu ile ilgili örnek durumlara dayanarak sistematik bir şekilde test etmektir. Güncel test edilmiş uygulama listesine http://toolcatalog.nist.gov/index.php bağlantısından ulaşılabimektedir. Eğer yazılım test edilmemişse, kullanılmaması gerektiği anlamına değil, sadece henüz incelenme aşamasından geçmemiş olduğu anlamına gelmektedir. Tabloda listelenmemiş olan bir mobil adli cihaz inceleme yazılımı ya modeli desteklememektedir ya da yapan şirket test etme amacıyla bir demosunu sağlamamıştır [84]. 4.1. Oxygen Forensic Suite Oxygen Forensic Suite 2014 cep telefonları, akıllı telefonlar, PDAlar ve diğer mobil cihazlardan veri edinimi ve analizi için geliştirilmiş yüksek düzey bir adli yazılımdır. Yazılım geniş bir yelpazede mobil cihazları destekler ve tamamen otomasyon şeklinde adli edinim ve analiz imkânı sunar. Oxygen Forensic Suite 2014 düşük seviyeli protokoller aracılığıyla akıllı telefonlardan veri sağlayabilmektedir. Veri sağlamanın yanı sıra, Oxygen Forensic Suite size ayrıca Cellebrite, Elcomsoft, XRY, iTunes, ve Lantern Lite gibi diğer adli araçlarla edinilmiş bir yedeklemeyi ya da imaj dosyasını aktarma imkanı da sunar. Ayrıca tüm analiz edilen cihazların veritabanını da depolar; böylece her an daha önce elde edilmiş veriyi görüntüleyebilir ya da güçlü arama özelliğiyle gerekli detaylara ulaşabilirsiniz. 84 Oxygen Forensic Suite 2014 sadece Windows platformunda bulunmaktadır ve bilgisayarda iTunes’un indirilmiş olmasını gerektirir. Yazılımın tam sürümü ücretlidir, kısıtlı fonksiyonlara sahip bir ücretsiz sürümü da bulunmaktadır. Yazılım original ve üretici tarafından konulmuş yazılım kısıtlanmaları kaldırılmış cihazlarda kullanılabilir ve aşağıda belirtilen bilgileri elde etmekte kullanılabilir; fotoğraflarıyla birlikte telefon defteri, takvim notları ve kayıtlı etkinlikler, arama kayıtları, mesajlar, kamera çekimleri, videolar ve müzikler, ses mesajları, şifreler, sözlükler, uygulamalar, cihaz verisi, Wi-Fi noktaları & şifreleri ve koordinasyonları, IP bağlantıları, mekânlar, navigasyon uygulamaları, jeolojik konuma dair veri, fabrika ayarlı üçüncü-parti uygulama verisi bu bilgilere örnektir. Ayrıca SQLite veritabanından silinmiş bilgilere de ulaşıp aramaları, mesajları, e-posta mesajlarını, e-posta hesaplarını, fotoğrafların sembollerini, telefon rehberi fotoğraflarını ve benzerlerini elde etmeye yardımcı olabilir. Bu araç fiziksel edinimi desteklememektedir [59]. Oxygen Forensic Suite’in özellikleri şunlardır: - Mantıksal edinimi destekler. Bu edinim cihazdaki aktif dosyaları ele geçirir. SQLite veritabanı da edinilebilmişse silinmiş dosyalara da ulaşım sağlanabilir. Fiziksel ve dosya sistemi bazlı edinimler bu araç tarafından desteklenmemektedir. Tüm bu edinim yöntemleri bir iOS cihazın ham dosya sistemi verilerine ulaşmayı sağlayabilmektedir. - Bir anahtarlıktan şifre ele geçirme imkânı sağlar. - Diğer adli donanımla ele geçirilmiş yedekleme ve görüntüleri okuyabilme imkânı sağlar. - Zaman çizelgesi ile tek bir bölgede kullanıcının tüm aktivite ve hareketlerinin saat ve gün olarak belirtilmiş bir dizinime ulaşmayı sağlar. - İşlemden sonra cihazda herhangi bir iz ya da değişim kalmaz. - Kümelenmiş kontakları destekler. - Silinmiş verileri otomatik olarak kurtarır. - Manuel analiz için ham dosyalara erişim sağlar. - Mantıklı ve kullanıcı dostu bir kullanıcı arayüzü ile edinilen görüntüleyebilmenizi sağlar. - Arama yapmak için anahtar kelime listeleri ve kütüphane özelliklerine sahiptir. - Raporu çeşitli formatlarda, Microsoft Excel, PDF, HTML, vb. sunabilir. verileri 85 Oxygen Forensic Suite 2014 ile bir iOS cihazdan bilgi edinmek oldukça hızlı ve kolaydır. Yazılım, bir cihaza birkaç fare tıklamasıyla bağlanabilmeyi ve dakikalar içinde cihazdaki bütün verilerin indirilebilmesini sağlamaktadır. Oxygen Forensic Suite 2014 Version 6 tüm iOS cihazların araştırılması için uygundur. Daha yeni cihazlar için cihazın kilidinin kaldırılmasının ya da üretici tarafından konulmuş yazılım kısıtlamalarının kaldırılmış olması gerekmektedir. 4.2. MobilEdit Forensic Test süreci içinde, MobilEdit Forensic v5.5.0.1140(MEF) aygıtının Nokia E5-00'a uyumlu ilk ve tek aygıt olduğu görülmüştür. Aygıt kişi bilgilerinin tümünü ve silinmemiş SMSMMS mesajlarının çoğunu ayıklayabilmektedir. MEF aynı zamanda 'C:/data'nın içindeki ve 'E'deki verileri geri getirebilir ama yine de silinmiş dosyalara ulaşamamaktadır. MEF'in içerdiği HexDump uygulaması kullanıcıya bahsi geçen işlemlerden elde edilen verileri inceleme imkânı sunmaktadır. Aygıt aynı şekilde ayıklanmış dosyaları yedeklemede de kullanılabilir. Takvim, notlar ve görevler için seçenekler sunmaktadır ve kullanıcı dostu bir ara yüzüne sahiptir. MEF'in Lite sürümünde ise raporlama ve gönderim özellikleri bulunmamaktadır. 4.3. XRY XRY Windows için tasarlanmış mobil cihazların herhangi bir dijital verinin güvenli biçimde çıkarılmasını sağlayan bir yazılım uygulamasıdır. Akıllı telefonlar, GPS hareketleri, 3G modemler, taşınabilir müzik cihazları ve tablet işlemcileri gibi birçok alanda kullanılabilir. Cep telefonlarından güvenle veri ayıklanması bir uzman becerisi gerektirir. Mobil aygıtlar da aynı işletim sistemini veya bileşenlerini paylaşmamaktadırlar. Her bir cihazda birbirine benzer yapılandırmalar ile özel gömülü sistemler vardır. Basit bir ifadeyle, bunu yapmanın çok zor olduğu anlamına gelmektedir. XRY desteği ile bu işlemi yapmak çok daha kolay bir hale gelmiştir. Bu işlemleri yapabilmek için 2003 yılından bu yana tasarlanmış ve geliştirilmiştir. 86 İhtiyaca göre tam olarak veri almak ve veri sağlamak için bütünleşik bir çözüm kaynağıdır. Dâhili sihirbazı uygulamayı kolay hale getirmek için adım adım süreç boyunca kılavuzluk etmektedir. XRY mobil cihazlarda çok çeşitli veri kurtarma yöntemleri için gerekli tüm donanıma sahip bir yazılım tabanlı çözüm aracıdır. XRY kendi organizasyon yapısı sayesinde ayrıntıları ile dakikalar içinde profesyonel raporlar üretebilmektedir. İhtiyaca yönelik olarak, üç farklı XRY sürümü vardır: Canlı verileri kurtarmak için yardımcı mobil soruşturmaların % 80'inde etkili mantıksal XRY, silinir verileri korumak ve ayıklamak için cihazı ayrıştırabilen fiziksel XRY ve mantıksal ve fiziksel faydalarını birleştiren toplam çözümü tamamlayan komple halde XRY [84]. 4.4. FTK Cep Telefonu Araştırıcısı FTK Cep Telefonu Araştırıcısı(MPE) (2), ABD'de tıpkı Guidance's Encase Forensic Suite gibi cep telefonlarında adli inceleme aygıtı olarak en sık kullanılan aygıtlardan biridir. Cep Telefonu Araştırıcısı bağımsız ya da Forensic ToolKit(FTK) aygıtının ara yüzünün bir parçası olarak kullanılabilir. MPE kullanıcısına, cihazdaki herhangi bir veriyi değiştirmeden kablo, kızıl ötesi ve bluetooth ile hızlı ve kolay erişim seçenekleri sunmaktadır ki bu toplanan verinin mahkemece onanabilir bir delil olması için gereklidir. FTK'yla birleştirildiğinde MPE, FTK'nın ara yüzünden, kendi kendine birden fazla telefon üzerinde adli araştırma yapma ve verileri anlaşılır hale getirebilme imkânı sunmaktadır. Birleşmiş takım tarafından çıkarılan raporlar mahkemede delil olarak kullanılabilir, hem cep telefonu hem de bilgisayar analizlerini içererek herhangi bir cep telefonundaki veriyi bir bilgisayar veya bir başka cep telefonundaki doğruluğu kanıtlanmış veriyle ilişkilendirebilme imkânı sunmaktadır. 4.5. Elcomsoft Elcomsoft iOS Forensic Toolkit (EIFT) iOS cihazların incelenmesini kolaylaştırmak için tasarlanmış bir araç setidir. EIFT iOS’un herhangi bir sürümüne sahip olan iOS cihazlarının adli incelemesini sağlayan yazılımların bir kombinasyonudur. EIFT bir cihazın 87 dosyalar kısmından kısım kısım görüntüler alabilir, cihazın gizli kısımlarını aktarabilir ve dosya sistemi imajının şifresini çözebilir. Bu araç kiti başta sadece adalet birimleri için hizmete sunulmuştur, ama günümüzde bütün insanların ulaşabilmesi mümkündür. Araç kiti hem Mac OS X’i hem de iTunes 10.6 ya da daha yeni versiyonlarının yüklü olduğu Windows’lar için kullanılabilir özelliktedir. EIFT’in özellikleri şunlardır: - Fiziksel ve mantıksal edinimi destekler. - Bit bit cihaz imajı alınabilir. - Hızlı sistem dosyası edinimi: 20-dakikada 32 GB modellerden veri edinilebilir. - Şifre kurtarma saldırılarını destekler. - İşlenmemiş disk imajını ve anahtarlık içeriklerinin şifresini çözmek için gerekli olan cihaz anahtarlarını edinebilir. - İşlenmemiş disk imajının ve anahtarlık içeriklerinin şifresini çözebilir. - Bu operasyon cihaz içeriklerinde hiçbir değişim veya iz bırakmaz. - Tamamen güvenilir: araştırmanın her adımı kaydedilmiştir ve sistem günlüğü halinde görüntülenebilir. Elcomsoft iOS Forensic Toolkit iki modda kullanılabilir: rehberli mod ve manuel moddur. Araç kitiyle beraber verilen USB program kilidi araç kiti çalıştırılırken bilgisayara bağlı olmalıdır. Rehberli mod: Rehberli mod menüdeki denk geldiği ögeleri seçerek tipik görevlerin gerçekleştirilebilmesini sağlayan bir menü bazlı kullanıcı arayüzü sunmaktadır. Rehberli modda çalışırken, araç kiti tüm aktiviteleri bir yazı dosyasına kaydeder. Araç kiti her çalıştırıldığında, yeni bir kayıt dosyası kullanıcının dizininde yaratılır ve tüm talep komutları ve kullanıcı tercihleri bu dosyaya kaydedilir. Menülerin sırası takip edilerek sonuç elde edilir [59]. Manuel mod: Manuel mod sizin komuta zinciri bazlı bir arayüz kullanarak direkt olarak aracın kullanılabilmesini sağlamaktadır. Bu mod daha fazla esneklik sağlamaktadır ve komuta zinciri bazlı araçlar kullanmaya alışkın olan kullanıcılara özellikle önerilmektedir. Tipik görevleri gerçekleştirmek için gerekli olan komuta zincirleri araç kitiyle beraber 88 gelen teknik rehberde detaylı bir şekilde açıklanmaktadır. Araç kiti fiziksel ve dijital edinimleri cihazın dosya sisteminden sağlayabilir. Fakat edinilen veriyi analiz etmek ya da silinmiş verileri geri döndürmek seçeneklerine sahip değildir. Elcomsoft iOS Forensic Toolkit iOS cihazını desteklemektedir, ancak bazıları için üretici tarafından konulmuş yazılım kısıtlamalarının kaldırılmış olması gerekmektedir. 4.6. Cellebrite UFED Cellebrite UFED (Universal Forensic Extraction Device), cep telefonlarından, akıllı telefonlardan, PDAlardan ve portatif el aygıtı türlerinden kritik adli veri edinir. Bu araç adli kullanıma uygun veri çıkarımı ve analiz teknikleriyle var olan ya da silinmiş verilerin farklı mobil cihazlardan elde edilebilmesini sağlar. UFED 5,320 ayrı mobil cihazda veri elde edinimini sağlayabilmektedir. The Cellebrite UFED Physical Analyzer uygulaması iOS cihazların gelişmiş mantıksal ve fiziksel ele geçirilmesi için kullanılmaya uygundur. iOS cihazların A5-A7 yongası kullanılarak (iPhone 4S ve daha yeni modellerde) fiziksel ele geçirimini sağlamak mümkün değildir. Dolayısıyla, gelişmiş mantıksal edinim metodu en mantıklı yöntemdir ve eğer kilitleri açılmışsa bu cihazlardan maksimum miktarda verinin ele geçirilmesini sağlamaktadır. Uygulama sadece Windows platformları için mevcuttur. Cellebrite ayrıca 30 günlük bedava deneme süresi kampanyası sunmaktadır [84]. Cellebrite UFED Physical Analyzer’ın özellikleri aşağıda belirtilmiştir [59]: - Fiziksel ve gelişmiş mantıksal edinim sağlar. - Disk imajlarının gösterimini sağlayan cihaz anahtarlarını ve anahtarlık araçlarını da edinebilir. - Ham disk imajının ve anahtarlık araçlarının şifresini kırar. - Cihaz şifrelerini açığa çıkarır (her kilitli cihaz için geçerli değildir). - Şifresi çözülmüş ham bir disk imaj dosyasının bilinen bir şifreyle açılabilmesini sağlar. - Şifre kurtarım saldırılarını destekler. - Edinilen uygulama verilerinin gelişmiş analizi ve şifre çözme imkanı sağlar. - Farklı formatta rapor sunabilme seçeneği sağlar. 89 - Ham dosya sistemini başka bir adli cihazda incelenmesi için aktarabilme yeteneği sağlar. 4.7. Paraben iRecovery Stick iRecovery Stick bir USB cihazında bulunan bir özel soruşturma yazılımıdır ve kullanıcılarının iPhone, iPad ve iPod Touch gibi Apple iOS cihazlarında veri araştırması yapabilmesine olanak sağlar. iRecovery Stick kullanıcının verilerini direkt olarak cihazdan ya da iTunes yedeklemeleri dosyalarından elde edebilir. iRecovery Stick ayrıca silinmiş verileri SQLite veritabanlarından kurtarabilir ve böylece silinmiş mesajlar, çağrılar, çağrı geçmişi, İnternet geçmişi ve takvim etkinlikleri gibi verilere ulaşabilir. Fiziksel edinime izin vermez. iRecovery Stick ücretli ve Windows platformlarında çalışır. Veri kurtarımı performansını artırmak için bilgisayarda çalışan antivirus yazılımı kapatılmalıdır. Paraben iRecovery Stick’in özellikleri şunlardır [84]: - Mantıksal veri edinimini destekler. - SQLite dosyalarından silinmiş veriyi kurtarabilir. - Kolay kullanımlı ve portatiftir. - Dikkat çekmez, bir USB sürücüsüne benzediği için bir ajan aracı olarak kullanılabilir ve kimse bu aletin bir iPhone’dan veri kurtarmak için kullanıldığını tahmin edemez. - Kurtarma sürecini plug-in aktivitesi ve iletişim bağlantı noktalarındaki trafik aracılığıyla izler. - PDF ve Excel gibi birkaç formatta veri analizini ve rapor sunumunu destekler. iRecovery Stick, iRecoveryStick.exe adlı kurtarma yazılımını içeren bir USB taşınabilir bellektir. Paraben iRecovery Stick Version 3.5 tüm iOS cihazların mantıksal edinimini destekler. Elde edilen veri miktarı iOS cihazda ne kadar verinin varolduğuna, cihazın kilitli olup olmadığına ve cihazın üretici tarafından konulmuş yazılım kısıtlamalarının kaldırılıp kaldırılmadığına bağlı olarak değişir. 90 4.8. Zdziarski Tekniği Jonathan Zdziarski McAfee Inc’de araştırmacı bilim adamı olarak görev yapmıştır. İşinin yanısıra iPhone camiasında "Nerve Gas" olarak adını duyurmuş, iPhone ve İpod Touch’ın araştırma sürecinde önemli katkılar sağlamıştır. iPhone platformunu açık kaynak camiasına katmakta kullanılan metodların birçoğunu tasarlamış ve bu konuda kaynaklar yayınlamıştır. Zdziarski iPhone platformuna dair üç tane kitap yazmıştır. Bir adli edinimin en önemli parçası, orjinal medyayı ayrıntılı olarak parça parça kopyalamaktan ve ikisinin birebir olduğunu kanıtlamak için orjinalin ve kopyasının özgün kriptolu imzalarını birbiriyle karşılaştırmaktan ibarettir. Her ne kadar geleneksel sabit sürücü temelli adli bilgisayarlarda bu süreç ve prosedürler tam anlamıyla yerleşmişse de, adli mobil cihazlar için bu süreç sorunlu geçebilmektedir. Çıkarılabilir sabit sürücüler veya salt okunur özellikteki adli çevrelerde özel olarak açılabilen bilgisayarlar haricinde, cep telefonları göreceli olarak kısıtlı bir işletim sistemine sahiptir, ön yüklenemez ve çıkarılamaz bir hafıza içermektedir. Çıkarılabilir görsel hafıza kartları ve SIM kart verileri okuma dışında mantıksal kopyalarının incelenmesi şekliyle adli mobil işlemi için bilinen tek metod olmuştur [68]. Zdziarski’nin tekniği bir uygulama değil de bir adli araç kitinin indirilmesi ve parça parça kopyanın yüklenmesini esas aldığı için, indirilebilecek tek bir uygulama bulunmamaktadır. Bu nedenle gereksinim, prosedürü izlemek için araçlara ve teknik bilgiye sahip olmaktır. İlk adım iPhoneinsecurity.com’a girip ‘Automated Tools’ seçeneğini sisteminize indirmektir. Araçlar indirildiğinde, test iPhone’una ayrıntılı olarak yaratılmış olan dosyası masaüstüne kopyalanır ve anlamlı bir isim verilir. Arkaplanda sürdürülen iTunes işlemleri onaylandığında, setup.sh komutu uygulanır ve yüklenmesi tam olarak 5 dakika sürer. Bir kaç özel komut uygulanmasıyla cihazdan veri kurtarılarak makineye aktarmaya başlanır. Tüm bu aktarım 40 dakika sürer [84]. Sonuç olarak ortaya çıkan yazı dosyası önemli bilgilere ulaşmak için kolayca araştırılabilir. Diğer araçlarda olduğu gibi, SQLite veritabanlarının direkt analizi silinen kimi kısımların dosyadan tamamıyle arındırılmış olmadığını ortaya çıkarmıştır. Zdziarski’nin tekniği sistemde 1000 den fazla e-posta mesajının kurtarılmasını sağlar. Bu kısım kısım 91 kopyalama yapmayan tekniklerin dezavantajlarının ortaya konulması açısından önemlidir. Bir dijital kopyanın yapıldığı durumlarda, bu teknik sadece yönetim sistemi ve transfer protokollerinde bulunan ya da adli birimler tarafından bilinen enformasyonu açığa çıkarabilen bir tekniktir. Diğer ürünlerin e-postaları ortaya çıkaramamasının sebebinin epostaların standart olmayan yerlerde saklanmaları, Microsoft Active Sync’le oldukları gibi indirilmeleri ya da iPhone transfer protokolünün bu dosyaları açığa vurmaması olduğu düşünülür. Kimi suçluların da teknolojik açıdan bilgili ve mali açıdan desteğe sahip oldukları düşünülecek olursa, iPhone için bilgileri kendi istedikleri yerlerde saklamalarını sağlayan bir iPhone uygulaması geliştirmeleri ve bu yöntemle de mantıksal veri edinim yöntemlerini atlatmaları oldukça kolay olmaktadır. Zdziarski’nin tekniği ayrıca 4000 Plist dosyası elegeçirmeyi başarmıştır. Bazıları tekrarlamalar ve yalancı pozitifler olan bu dosyaların detaylı bir incelemesinin daha detaylı bilgilerin ortaya çıkmasını sağlayacağı değerlendirilmiştir [68,84]. 4.9. Lantern Katana Forensics’in amacı akıllı telefonlardan, delilleri bozmadan, veri ve kanıt sağlayarak bütçeye uygun ve yenilikçi araçlar tasarlamaktır. Benzer ürünlerin aksine bu ürün gelişmiş bir eğitim ya da zorlayıcı servis kabulleri ve sürekli değişen donanımlar gerektirmeden çalışır. Lantern’i yüklemek için e-posta ile bir Disk İmaj Dosyası gönderilir. Bu imaj bir Macintosh sistemine monte edilmiştir (bu yazılım için Mac zorunludur) ve dosya ‘uygulamalar’ klasörüne atıldığında direkt olarak yüklenir. Yazılımı açınca kullanıcı bir ‘üyelik’ düğmesi görür. Bu bölüme lisans bilgileri (e-postada belirtilmiş olan) girilir. İndirme süreci tüm denenen yazılımlar arasında en kolay ve en hızlı olanıdır. Edinimi başlatmak için Lantern başlatılır ve yeni bir dosya açılır. Araştırmacı tüm verileri seçme ya da sadece belli verileri seçme (video, ses, fotoğraf gibi) seçeneğine sahiptir. İleri tuşuna tıklamak edinim sürecini başlatır, ama öncelikle cihazın şifre kodunun girilmesi gereklidir. Ardından yazılım dosyaları cihazdan çıkarmaya ve çalışma merkezine transfer etmeye başlar. Cihazdan veri edinim işlemi 20-30 dakika sürer ve sonuç olarak edinilen veri dizinde daha önceden seçilen yeni dosyaya kaydedilir. 92 Lantern sonuçları, basit bir formatla sunar. Şu veri tipleri kategoriler arasındadır: cihaz bilgisi, çağrılar, ses mesajları, telefon rehberi, mesajlar, takvim, İnternet, medya, fotoğraflar, sözlük, haritalar ve VoiceMemo. Bu kategorilerden herhangi birine dahil edilemeyen veriler için araştırmacı kütüphane dizinini, fotoğraf dizinini, uygulamalar dizinini ya da genel yapay kök dizinimini açma seçeneğine sahiptir. Bu direktiflerden herhangi biri seçildiğinde, dosya yapısı otomatik olarak açılır. Burada araştırmacı SQLite veritabanı dosyaları, listeler, fotoğraflar ve İnternet geçmişi de dâhil olmak üzere cihazda bulunan bütün dosyaları inceleyebilme seçeneğine sahiptir. Geri kalan kategoriler standart verilerin çoğunu içerir. Aramalar, arama vakti, süresi ve statüsü dâhil olmak üzere tüm arama geçmişini listeler. Dosyanın gerçekten cihazdan kaldırılması ve silinmiş olması arasındaki farka dikkat edilmelidir. iPhone’da bir ses mesajı görsel visual voicemail kullanılarak silindiğinde, uygulamanın içindeki çöp kutusu dosyasının içine atılır. Cihazdan dosyayı gerçekten silmek için kullanıcının çöp kutusunu temizlemesi gerekir. Lantern’de bir ses mesajı silinmiş olarak görünüyorsa, bu uygulamanın içindeki çöp kutusu dosyasına atılmış olduğu anlamına gelir. Mesajlar seçeneği gönderilen ve alınan tüm SMS ve MMS mesajlarını içermektedir. Bu seçenekle ilgili özgün olan şey SMS ve MMS mesajlarını ayırmasıdır. İnternet geçmişi ve sık kullanılanlar İnternet seçeneğinin altından gösterilmektedir. Web sayfasının hem ismi, hem de URL'si burada görüntülenebilmektedir. Fotoğraflara geçecek olursak, dosyaya giden tüm adresle birlikte bütün görüntü dosyaları cihazdan ele geçirilebilmektedir. iPhone’un kendisinden çekilen çoğu görüntü için ayrıca GPS ayrıntıları ve çekim zamanı da bu verilerin arasında yer almaktadır. Diğer özellikler bir dosyayı aktarabilme ve rapor yaratabilmeyi içerir. Kullanıcı raporda bulunmasını istediği kategorileri seçebilir. Yaratılan rapor. PDF doyası formatında olur [84]. 93 5. MOBİL CİHAZLARDA ADLİ İNCELEME ÖRNEK OLAYLARI Örnek olaylar uygulama bölümünde adli incelemesi yapılacak iOS cihazlar esas alınarak literatürden elde edilmiş bilgiler çerçevesinde hazırlanmıştır. Birinci bölümde iOS cihazlarının istismarına yönelik saldırıların kronolojik bilgilendirmesi yapılmıştır. İkinci bölümde ise adli vakaların çözümünde mobil cihazlardan nasıl faydalanıldığına dair örnekler verilmiştir. 5.1. IOS’a Yapılan Saldırıların Kısa Bir Tarihi iOS cihazlarının savunma yetenekleri ile ilgili temel bir anlayış vardır. Çalışmanın bu bölümünde, cihazlara yapılan başarılı saldırıların gerçek dünyada nasıl savunulduğu açıklanmıştır. Bu durum aynı zamanda gerçek dünyadaki saldırılara karşı, cihazın güvenliğinin nasıl sağlandığını göstermektedir. 5.1.1. Liptiff İlk iPhone, 2007 yılında çıktığı zaman, insanlar satın alabilmek için uzun kuyruklar oluşturmuşlardır. Cihazı mümkün olan en kısa sürede piyasaya sürmek için cihaz birtakım güvenlik zaafiyetlerine sahipken tanıtılmıştır. İOS 5 ile OS X kıyaslandığı zaman bu durum açıkça görülmektedir. Bu nedenle, cihazda bir güvenlik açığı bulunduğu takdirde, onu sömürebilmek oldukça kolay bir hâl almıştır. Kabuk kodunu çalıştırmak, dosya indirmek ve onları çalıştırmak gibi cihaz sömürüleri yapmak zor olmamıştır. Cihaz açıklarını bulmak oldukça kolay olmuştur çünkü ilk iPhone yazılımının bilinen kusurları istismar edilmiştir. Her saldırı anında temel erişim bilgileri verilmiştir. Tavis Ormandy, ilk olarak Libtiff sürümüne dikkat çekmiştir ve onu bilinen güvenlik açıklıklarına sahip olan TIFF görüntülerini işlemek için kullanmıştır. Chris Wade ise güvenlik açıklıklarının istismarı çalışmasını yazmıştır. Bu nedenle, kötü amaçlı sitelerde sörf yapmak ve temel erişimi sağlamak mümkün olmuştur. Orijinal istismar, çalıştırılabilir kodları içeren yığın (öbek) belleği ile doldurulmuş ve sonrasında yürütülmeye yönlendirilmiştir. DEP’in varlığı yüzünden bu işlem başarısız olmuştur. Bu nedenle, istismar amacıyla ASLR’yi yenecek şekilde ROP kullanılmıştır. Bu muhtemelen güvenlik açığına bir eklentiyi gerektirmiştir. Bu durum iOS 2 sürümüne kadar ilerlememiştir [85]. 94 5.1.2. SMS ile ilgili sorunlar 2009 yılında araştırmacılar Collin Mulliner ve Charlie Miller, iPhone SMS mesajlarıda güvenlik açığı bulmuştur. Bu zamana kadar iOS 2 kullanılmıştır. ASLR dışında, iOS 2 hemen hemen iOS 5 in sahip olduğu tüm güvenlik mekanizmaları ile ön plana çıkmıştır. Mesajları işlemeyen belirli süreçler, ayrıcalığı olmayan korumalı olan kullanıcıları olarak yürütülen çoğu süreç bir problem olmuştur. Sorumlu program olan Commcenter hiçbir korumalı alanı temelde çalıştırmamıştır. Sistemde güçlü bir yol olmasına rağmen, SMS birkaç nedenden dolayı etkili bir saldırı aracına dönüşebilmektedir. Bu durum hiçbir kullanıcı etkileşimi gerektirmez. Burada kurbanın kötü amaçlı bir web sitesini ziyaret amaçlı girmesini denemek yerine, kurbanın telefon numarasının bilinmesi ve ona saldırının telefon aracılığıyla gönderilmesi yeterli olmuştur. Buna ek olarak, saldırının gerçekleştiği sırada kurban bunu engelleyemez. Varsayılan telefonda SMS'i devre dışı bırakmak için bir yol bulunmamaktadır. Son olarak, telefon sessizdeyken veya kapalıyken dahi saldırı gerçekleştirilebilir. Eğer saldırgan kötü amaçlı SMS i gönderdiği sırada telefon kapalı ise, taşıyıcı bu mesajı en elverişli şekilde sıraya sokar ve cihaza güç geldiği anda mesajı teslim eder. Bu kusurlu sürüm açığı ise iOS 3.0.1. ile kapatılmıştır. Bugün telefon istismarı daha zor hale gelmiştir, çünkü bunu yapmak isteyen kişi sadece ASLR ile değil kablosuz İnternete bağlanma sürecini yöneten Commcenter ile de başa çıkmak zorundadır [86]. 5.1.3. Storm8 2009 yılında, popüler geliştiricileri “storm8” adında telefon numarası elde edip onlar üzerinde oynama yapabilmek için oyun kurmuşlardır. Oyunlar bu bilgileri Storm8 sunucularına göndermişlerdir. Etkilenen uygulamalardan bazıları, ‘’Vampir yaşatma’’, ‘’Zombi yaşatma’’ ve ‘’Rock yıldızı yaşatma’’ gibi oyun olmuştur. Bu bilgi toplama özelliği uygulamanın basit bir hatasıdır ve Strom8'e karşı A sınıfı bir dava açılmıştır. Storm8 uygulamasının dönemde yaklaşık 20 milyon indirme oranı bulunmaktadır [88]. 95 5.1.4. Casus telefon Casus telefon, Seriot Nicolas tarafından üçüncü parti uygulamalar için sanal sınırları deneyen bir konsept uygulamadır. Bu uygulama akla gelebilecek tüm bilgilere ve sanal alanın izin verdiği tüm eylemlere ulaşmayı denemiştir. Apple Store’daki her üçüncü parti uygulaması olan iOS sanal alanı aynı kurallara sahiptir. Eğer Apple bir uygulamanın kesin bir kapasiteye sahip olması gerektiğini düşünürse, bütün uygulamalar aynı kapasiteye sahip olmalıdır. Ancak bir noktada farklılaşırlar, örneğin, Android’te farklı kapasitelere sahip olabilen uygulamalar onların kendi yeteneklerine dayalı olarak atanmışlardır. İOS modelinin zayıflıklarından biri de fazlaca izin verici, yani ılımlı olmasıdır. Tümüyle meşru olan yollarla API'leri kullanarak, casus telefonlar şu verilere ulaşabilirler: cep telefonu numarası, adres defterinin okunması ya da yazılmasına erişim, safari ya da YouTube da terim araştırması, e-posta hesapları bilgileri, klavye önbelleği, fotoğraflar, konum bilgisi, Wi-Fi adı. Sanal alanın içindeki kötü amaçlı programlara bile zarar verebilen bu uygulama cihazlardan korkutucu miktarda bilgi ayıklayabilmektedir [89]. 5.1.5. Pwn2Own 2010 Vincenzo Iozzo ve Ralf-Philipp Weinmann isimli iki hacker 2010 da iPhone 3GS ye karşı Pwn2Own hack yarışmasını kazanmıştır. MobileSafari’de kod çalıştırılmasına izin veren bir güvenlik açığı bulmuşlardır. Kod imzalama mekanizması sayesinde ROP’ta yazılmış tüm faydalı algoritmaları yüklemişlerdir. ROP’u kullanarak tüm metin mesajlarının saklandığı SMS veri tabanını açabilmişlerdir. Ancak mobil kullanıcı ve MobileSafari sanal alanı ile kısıtlanmışlardır. Bu durumda daha fazla hasar vermek için daha çok çalışma yapmışlar ve bu çabaları sayesinde $15,000 ve telefon ödülü kazanmışlardır [90]. 5.1.6. Jailbreakme.com 2 (“Star”) Şimdiye kadar iOS 5 gibi telefonlarla limitli olarak ortaya konan tüm saldırılar hakkında konuşulmuştur. Bu saldırılar çok zordur ama imkânsız değildir. Bu örneklerden biri 2010 Ağustos tarihinde comex’in kötü şöhretli jailbreakme.com web sitesi tarafından ortaya konmuştur. İkinci jailbreakme.com sitesi iOS cihazını ziyaret etmeye izin veren bir çeşit 96 eylemler dizisi gerçekleştirmiştir. Bu onun kök erişimini elde ettiği anlamına gelir. Ancak bu durumda, web sitesi, ASLR (henüz cihaza eklenmeyen) dışındaki tüm güvenlik mekanizmalarına sahip olan iOS 4.0.1.'e karşı olmuştur. İlk olarak, MobileSafari tarafından yürütülen belirli bir yazı tipini aşan bir yığından yararlanılmıştır. Bu MobileSafari içindeki, ROP un faydalı bilgilerinin istismarına başlamaya izin vermiştir. Daha sonrasında, SMS veri tabanın nakliyesi yerine daha karmaşık faydalı bilgilere ulaşabilmek için cihazın erişimindeki güvenlik açığını artırmaya devam etmiştir. IOKit deki IOSurface özelliğinin tam sayı taşıması ikinci güvenlik açığıdır. Bu ikinci saldırı çekirdeğin içindeki saldırgan tarafından kodun yürütülmesine izin vermiştir. Bu çekirdeğin içinden kod imzalamasını engellemiş ve daha sonra ROP, telefonun yazılımını kırabilen ve ona yüklenebilen dinamik kütüphaneyi indirmiştir. Apple bu açığı hızla kapatmıştır [91]. 5.2. Mobil Adli Bilişimin Adli Davalara Katkısı Bu bölümde adli davalarda mobil cihazlardan istifade edilmesine yönelik örnekler verilmiştir. Artık hayatımızda gün geçmiyor ki bu olayların sayısı artmasın. Mobil cihaz kullanımının artması neticesinde bu durum kaçınılmaz olmuştur. 5.2.1. Kısa mesaj ve çağrı verisi Knutby topluluğunda Pentekostal cemaatinin papazı, karısını vurduğu ve diğer metresinin kocasını öldürmeye çalıştığı için ömür boyu hapse mahkûm edilmiştir. Cinayetten iki gün sonra papazın ev işlerini yapan Sarah S. bunu papazın yaptığını belirtmiştir. Sarah’ın iddialarına rağmen polis bir suç ortağının olduğuna inanmıştır. Papaz ve Sarah arasında cinayetten önce ve cinayet günü sesli aramalar ve metin mesajları ile iletişim sağlamaları güçlü kanıtlar oluşturmuştur. İkisi de silinmiş metin mesajlarının geri kurtarılabiliceğini bilmedikleri için kurtulabileceklerini düşünmüşlerdir. Fakat sonuçta adli bilişim davanın çözülmesini sağlamıştır [92]. 5.2.2. E-posta verisi Dan Kincaid’a karşı açılan dava güçlü olmuştur. Idaho, Kuzey Boise’de bir ev sahibidir ve 44 yaşındaki Kincaid, onun banliyö evine zarar vermekle itham edilmiştir. Ama görgü tanıklığı her zaman güvenilir olmamıştır ve Kincaid konuşmayı reddetmiştir. Polisler Kincaid’ın e-posta özellikli elektronik Blackberry telefonundan ihtiyaç duydukları tüm 97 bilgilere ulaşmışlardır. Kincaid yakalanmadan mahallesinden çıkmaya çalışımıştır ancak 1 Ağustos 2005 tarihinde kız arkadaşına kısa bir mesj göndermiştir. "Ben evlerin arasında veya arkasında köpek havlamalarıyla birlikte yaşıyorum ....polisler benim mavi bir gömleğim olduğunu biliyorlar." ve o şöyle devam etmiştir: "benim yakalanmadan önce buradan çıkmaya ihtiyacım var." Kincaid e-postalarıyla yüzleştirilmiştir. Sonuçta suçu hakkında savcılarla bir anlaşma yapmayı kabul etmiştir. 5.2.3. Görüntü ve multi-medya mesaj verileri Bir çocuk başka bir çocuk hakkında onun cep telefonundaki fotoğrafları ile ciddi bir saldırı yaptığını iddia edilmiştir. Saldırı yapmakla itham edilen genç çocuk başta polisin onu cep telefonunda kanıtların olduğunu açıklayana kadar durumu inkâr etmiştir. Analistler ACPO yönergelerini izleyerek söz konusu fotoğrafları kurtarmıştır. Sonradan ona bağlı resimlerden biri ile başka bir çocuğa gönderilen ve silinen multimedya bir mesajı kurtarmışlardır. 5.2.4. Konum bilgisi Bristowe isimli bir adam BBC ile bir görüşme yapmıştır: polisin Huntley adlı şüpheliye daha yakından bakmak için yaptığı araştırmada cep telefonu delil olmuştur. Jessica adında bir üniversite öğrencisini üniversite çevresinde yaptığı araştırmalar sebebiyle yardımını esirgemeyen Huntley, ''Bay Faydalı '' olmuştur. Ancak Jessica bir Pazar günü araştırmaları sırasında başka kız arkadaşlarıyla birlikte ortadan kaybolmuştur. Jessica’nın babası Bay Bristowe kızının telefonunu kontrol ettiği zaman, kızların pazar günü kaybolduğunda sosyal medyada hoşçakalın yazdığını farketmiştir. Jessica’nın telefonu kapalı iken babası Burwell Polis Merkezi ile temasa geçmiştir. Polis kızların gidebileceği yerlerin rotasını gösteren bir harita temin etmiştir. Ancak Burwell gidebilecekleri tek rota gibi tespit edilmiştir. Huntley bu sürede kızların bulunmasında önemli deliller ortaya koymuş olsa da en sonunda kızlar onun banyosunda ölü olarak bulunmuştur [93]. 5.2.5. Geçmiş arama detayları Faisal Shahzad kalabalık bir Cumartesi akşamı Times Meydanı’nda ev yapımı bir bomba patlatmak üzere harekete geçtiğinde arkasında delil bırakmadığını düşünmüştür. Shahzad 98 Craigslist’ten satın aldığı Nissan Pathfinder marka arabanın VIN numarasını silmek de dâhil birçok önlem almıştır. Yetkililer şüpheliyi aracı satın almak için kullandığı e-posta adresini kullanarak izlemiştir. Craigslist’in satıcı kayıtları güvenlik güçleri tarafından alıcının cep telefonuna ulaşmak amacıyla kullanılmıştır. Kullanılan cep telefonu çöpe atılmış halde bulunsa da, adli uzmanlar telefon arşivindeki çoğu zaman GPS koordinatları ve geçmiş aramaları da içeren kayıtları olayı çözmek amacıyla kullanmışlardır. Ayrıca, belediyeye ve özel atılımcılara ait kameralar telekomünikasyon sağlayıcılarından bilgilerin sağlamlığını kontrol etmek için kullanılmıştır. Adli uzmanlar tarafından birçok kaynaktan alınan elektronik bilginin yakınsaması hesaplanıp ortaya çıkan veriler şüphelinin ülkeyi terk etmeden önce güvenle yakalanması için kullanılmıştır. Forensicon’un başkanı Lee Neubecker: “cep telefonların hırsızlık, terörizm ve her türlü hile konusundaki adli soruşturmaları yürütmek amaçlı kullanımı gün geçtikçe yaygınlaşıyor. Birçok birey cep telefonlarını, bilgisayarlarını veya hard disklerini yok ettiklerinde verinin de yok olduğunu düşünüyor, bu durum her zaman gerçek olmayabiliyor.” diyerek adli bilişimin önemini vurgulamıştır. Forensicon, adli cep telefonu analizinin kullanıldığı dolandırma, zimmete para geçirme ve kullanıcı bilgilerinin çalışanlar tarafından suistimal edilmesi gibi birçok soruşturma içerisinde yer almıştır. Bugün birçok avukat, elektronik olarak depolanmış bilgiye ulaşırken cep telefonu kayıtlarını göz önünde bulundurmaya başlamıştır. iPhone, BlackBerry ve HTC gibi akıllı telefonların yükselişi, yasal keşifte anahtar kelime araması, fiziksel hareket izleme ve tarayıcı geçmişi inceleme gibi tekniklerin kullanılmasına yol açmıştır. Davacıların bu gibi verileri mahkemede olay sırasında bulunulan yer hakkında yanlış ifade verme durumlarını ortaya çıkartmakta kullanmaları yaygın bir hal almıştır. Mesajlaşmalar da cep telefonlarının adli analizinden elde edilen bilgilerin önemli bir kaynağıdır [94]. 99 6. MOBİL ADLİ BİLİŞİM MODELİ VE ÖRNEK UYGULAMA Adli bilişim disiplini süreç odaklı bir disiplindir ve sürecin takip edilmemesi neticesinde delil niteliği kaybolur. Mobil cihazlar, yoğun kullanılmasının sonucu olarak adli olaylarda delil niteliği ile başvurulan en önemli unsur haline gelmiştir. Adaletin sağlanması maksadıyla mobil cihazların delil niteliğini kaybetmeden doğru bir süreç izlenerek incelenmesi gerekmektedir. Mobil cihaz adli incelemeleri süreç olarak iki ayrı yaklaşımla yürütülmektedir. Birincisi Det. Cynthia A. Murphy'nin süreci dokuz aşamaya ayırdığı süreçtir. Burada süreç veri girişi, tanımlama, hazırlama, izolasyon, işleme, doğrulama, belgeleme/raporlama, sunum ve arşiv aşamalarından oluşmaktadır. Diğer bir süreç ise adli bilişim temel süreçleri ile benzerlik göstermekle beraber takip ve koordinasyonu daha iyi sağlamaktadır. Bu süreç NIST tarafından hazırlanan Mobil Cihaz Adli İnceleme Rehberinde de koruma, elde etme, inceleme/analiz ve raporlama olarak ele alınmıştır. Yaptığımız çalışmada bu iki süreç başta ilk yaklaşım sonra ise ikinci yaklaşıma benzer bir metod ile modellenmeye çalışılmıştır. Bu bölümde ilk olarak model ile ilgili bilgiler verilerek şematik olarak model açıklanacaktır. İkinci bölümde ise modellenen sürecin bir bölümünün uygulaması yapılacaktır. 6.1. Mobil Adli Bilişim Modeli Delillerin kabul edilebilir olması ve delil zincirinin korunabilmesi için delillerin iyi bir biçimde toplanmış, korunmuş, incelenmiş ve sonuçlarının raporlanmış olması gerekmektedir. Literatür ve uygulama incelemeleri sonucunda bu işlemleri yerine getirecek bir standart model çıkarılmıştır. Modellenen süreçte NIST çalışmasındaki şekliyle koruma, verilerin elde edilmesi, inceleme/analiz ve raporlama bölümlerinden oluşturulmuş ve model bu temel üzerine kurulmuştur. Bu süreçte en önemli husus birinci aşama olan koruma aşamasıdır. Bu aşamada en önemli husus literatürde de belirtildiği gibi ilk müdahaledir. İlk müdahale aşaması genel olarak kanıtların delil niteliğini kaybettiği en önemli aşamadır. Daha sonra ise süreci takiben en çok hatalar delilin muhafazsında yaşanmakta ve veriler uzaktan yapılan müdahale ile isteyerek veya istemeyerek değiştirilmekte ve delil niteliği bozulmaktadır. Delil niteliğinin bozulmasına ilişkin yanlış yapılan bir diğer uygulama ise delilin kendisi üzerinden işlem yapılmasından kaynaklanmaktadır. Delilin kendisi üzerinden hiçbir zaman işlem yapılmaz. Bu nedenle mutlaka delilin bir adli kopyası alınmalı ve işlemler kopya üzerinden yapılmalıdır. Yapılan 100 incelemelerde de bu husus aynı şekilde ele alınmıştır. Yapılan hataların bir kısmı ise inceleme ve analiz safhasında kullanılan yöntem ve araçlardan kaynaklanmaktadır. Bu nedenle kullanılan araç ve yöntem seçimi çok önem arz etmektedir. Araç seçiminde hâlihazırda herhangi bir ulusal standart yoktur fakat NIST tarafından yapılan bir program ile araçların olgunluk seviyeleri test edilmektedir. Araçların seçiminde bu teste tabi tutulan ve başarılı olan ayrıca adli merciler tarafından kullanılan araçlar kullanılmasında fayda vardır. Araç seçiminde kullanılan diğer kriter ise aracın kolay temin edilmesi ve verinin edinimi konusunda mantıksal veya fiziksel edinimi desteklemesi olarak sıralanabilir. Belirtilen kriterlere uygun araçlar oluşturulan modelin veri elde edinimi aşamasında kullanılır. Daha sonra ise elde edilen veriler ve adli makam tarafından istenen bilgiler çerçevesinde inceleme ve analizlar yapılarak sonuç raporu hazırlanır. Modellenen süreç; koruma, elde etme, inceleme/analiz ve raporlama aşamalarından oluşmaktadır. Bu ana bölümlerin altında alt süreçler bulunmaktadır. Adli bilişim süreçleri genel olarak birbirinin aynıdır. Fakat adli olaylara göre farklılıklar içerebilir. Bu kapsamda Şekil 6.1'de belirtilen modelin faydalı olacağı öngörülmektedir. Modelin dışında sürecin tamamını ortaya koymak adına süreç akış diyagramı Şekil-6.2'de verilmiştir ve devamında bu süreçlerin daha iyi anlaşılması için akış Çizelge-6.1'de detaylandırılmıştır. Bu sürecin takip edilmesi ve esaslara uyulması hukuk kurallarının adil işlemesini sağlamaya yönelik katkılar içermektedir. •Yetki belgesi •Olay yeri güvenliği •Delillerin toplanması •Olay yerinin dokümantasyonu •Delillerin korunması •Delilin kopyasının alınması •Verinin elde edilmesi Koruma Raporla ma •Rapor yazılması •Sunum •Arşiv Şekil 6.1. Mobil adli bilişim modeli Elde Etme İnceleme ve Analiz •Potansiyel deliller •İnceleme/analiz •Olay zaman cetveli 101 101 Şekil 6.2. Mobil adli bilişim akış diyagramı 101 102 Yapılması Gerekenler Mahkemeden yetki yazısı alınır. 1 Yetki yazısı muhtemel tüm delilleri incelemeye cevaz vermelidir. Yetki yazısında inceleme ve analiz yeri belirtilmelidir. Yetkisiz kişilerin olay yerine girmesi engellenir. 2 Tüm delillerin bütünlüğü muhafaza edilir. Yetkisiz kişiler güç kaynağından uzak tutulur. Olay yeri ön bilgileri alınır (tarih/zaman, yer/konum bilgisi, geçici ve kalıcı delil tespiti, tanık ve potansiyel sanık detay bilgileri). Olay yerinde bulunan tüm elektronik deliller dokümante edilir. 3 Tüm delillerin fotoğrafları çekilir ve ekranlarında ne varsa not alınır. Dijital fotoğraf kullanılır (İlerleyen aşamalarda rapor yazımında ihtiyaç olur). El konulma esnasında delilin durumu dokümante edilir. Delil bütünlüğü korunur. Tüm elektronik deliller olay yerinden toplanır. Mobil chazın bilgisayara bağlı olmadığından emin olunmalıdır. KORUMA Cihazın güç durumu ışıklarını yakarak kontrol edilir. Diğer deliller de toplanır (Şifre yazılı kâğıt, yazıcı çıktıları, el notları vb.). 4 Cihaz açıksa açık, kapalıysa kapalı kalmalıdır. Ekranda olan tüm bilgiler kayıt altına alınır. Cihazın şarj durumu muhafaza edilir ve değişiklik yapılmasına izin verilmez. Cihaz kapalı ise bataryası çıkarılmaz. Tüm deliller etiketlenir. Delil toplama formu düzenlenir. Delil bütünlüğü korunur. Bütünlüğü bozacak manyetik, toz ve titreşim vb. etkilerden uzak tutulur. Mekanik ve elektriksel şoklardan uzak tutulur. Deliller anti statik kapla paketlenir. Tüm bileşenleri ile deliller etiketlenir. 5 Taşıma esnasında manyetik kaynaklardan uzak tutulur. Deliller güvenli bölgede muhafaza edilir ve yüksek sıcaklık ile nemden uzak tutulur. Deliller adli bilişim laboratuvarında giriş kontrollü mekanlarda muhafaza edilir, laboratuvar giriş kayıtları saklanır. Dijital ve dijital olmayan delilleri ayrılır. Delil zinciri muhafa edilir, bozulmaması sağlanır. Onay S.No. Aşama Çizelge 6.1. Mobil adli bilişim süreci Çizelge 6.1. (devam) Mobil adli bilişim süreci Veri elde etme aracını belirlemek maksadıyla gerekli bilgiler toplanır. Mobil cihaz, modeli, işletim sistemi ve servis sağlayıcıları ile tanımlanır. Batarya oyuğundan cihazın üreticisi tespit edilir. 6 Cihaz açıksa ekrandan model, işletim sistemi ve servis sağlayıcı bilgileri alınır. Cihaz kapalı ise batarya çıkarılır ve üretici, model, IMEI ve FCC ID bilgileri alınır. Veri elde etme araçlarından en uygunu belirlenir ve kullanılır. Orjinal delil asla inceleme maksadıyla kullanmaz. 7 Orjinal veri korunarak adli kopyası alınır. Araçlar vasıtasıyla bit bit kopyası alınır değişilik olmasına izin verilmez. Kopyanın değiştirilmediğini garanti altına almak için mutlaka özeti alınır. SIM Karttan Veri Elde Etme 8.1 SIM karta ulaşmak için PIN koduna ihtiyaç vardır. Temin edilir. Eğer üç kez PIN hatalı girilirse PIN bloke olur ve 8 karakterden oluşan PUK koduna ihtiyaç duyulur. PUK operatörden elde edilir ve kullanıcı tarafından değiştirilemez. Eğer 10 kez hatalı PUK girilirse SIM kalıcı olarak engellenir. ELDE ETME SIM karttan veri elde etmek için PUK kodu operatörden temin edilir. 8.2 Engellenmemiş mobil cihazdan veri elde etme Engellenmemiş cihazlardan veri elde etmek için bir şifre ya da başka otantikasyona ihtiyaç yoktur. Doğrudan veri elde edilir. Telefon tarih ve saati kayıt edilir. Telefon rehberi, kısa mesajları ve diğer girdileri kontrol edilir. Başka adli bilişim araçları da kullanılır. Engellenmiş mobil cihazdan veri elde etme Genellikle kapalı cihazlardır ve erişim için başarılı kimlik doğrulama gerekir. PIN elde etmek için mağdura ya da şüpheliye sorulur. Elektronik olmayan delillerden not kağıdı gibi PIN elde edilir. 8.3 Servis sağlayıcısı ile irtibata geçilir. Cihaz üreticilerine veya servis sağlayıcılarına arka kapı ya da zayıflıkları sorulur. Cihaz bakım ve tamir firmalarından eldeki cihazla ilgili mimari bilgileri istenir. Başka adli bilişim araçları da kullanılır. Hafıza Kartından veri elde etme 8.4 Kart okuyucu ve hafıza kartı veri kurtarma araçları kullanılır. Hafıza kartları büyüklük ebatları, üzerindeki pin sayısı ve veri yolu sayısına göre farklılık arz eder. Bu detaylara dikkat edilir. Senkronize cihazlardan veri elde etme 8.5 Mobil cihazlar genellikle bilgisayar ile senkronize olur (verilerin kopyası tutulur). Bu detaya dikkat edilir. 103 104 Çizelge 6.1. (devam) Mobil adli bilişim süreci ELDE ETME 8.5 8.6 Merkez konum kaydı (HLR) bilgileri incelenir. 10 Veritabanından veri elde etme Android, iOS gibi işletim sistemleri SQLite veritabanı kullanır. Hangi veritabanı yönetim sistemi kullanılıyor tespit edilir. Veritabanı rehber, kısa mesaj ve arama kayıtları gibi önemli bilgileri tutar. Bu kapsamda incelenir. Veritabanı şemalarını görmek için Base Mac SQLite editörü vb. kullanılır. Veriler hexadecimal görüntülenir ve veriler arasında kayıt uzunluğu, anahtar, kayıt başlık uzunluğu, adres uzunluğu, numara, tarih/zaman, mesaj uzunluğu, bayrak ve ülke bilgileri bulunur. Bu kapsamda incelenir. Potansiyel deliller belirlenir ( Katılımcı ve donanım tanımlayıcıları, Tarih/saat, dil ve diğer ayarları, İletişim bilgileri, Takvim bilgileri, Metin mesajları, Gelen ve cevapsız arama günlükleri, Elektronik posta, Fotoğraflar, Video kayıtları, Multi-medya mesajları, Görsel mesajlar, Web tarama faaliyetleri, Elektronik belgeler, Sosyal medya ile ilgili veriler, Uygulama ile ilgili veriler, Konum verileri). Deliller incelenir. 11 Olay zaman cetveli oluşturulur. 12 Şifreli ve parola korumalı bilgiler için çözücü araç kullanılır. 13 Talep edilen hususlar analiz edilir. 14 17 Soruşturmanın bütün safhaları ve ulaşılan sonuçlar detaylı bir şekilde özetlenir. İyi rapor sağlam belgelerle, notlarla, fotoğraflarla ve araçlarla üretilmiş içerikle yazılır. Raporda bu hususlar kullanılır. Rapor formatı belirlenir. Rapor içeriğinde; Raporlamayı yapan kuruluşun kimliği, vaka tanımlayıcı ve gönderme numarası, incelemeyi yapan kişi, göndermeyi yapan kişi, delil makbuzunun tarihi, rapor tarihi, inceleme yapılan öğelerin betimsel listesi (buna seri numarası, yapım ve model de dâhildir), inceleyicinin kimliği ve imzası, incelemede kullanılan donanımlar, incelemenin adımlarının kısa özeti, grafik görüntü aramaları, kurtarılan silinmiş dosyalar vb., bulgu detayları ve rapor sonuçları bulunur. Formata uygun sonuç raporu yazılır. 18 Rapor ilgili makama sunulur. 19 Raporun bir kopyası arşivlenir. 20 Süreç sonlandırılır. İNCELEME VE ANALİZ 8.7 9 15 RAPORLAMA Büyük miktarda delil ayrıca şüphelinin taşınabilir cihazında veya kişisel bilgisayarında bulunabilir. Bu cihazlar da incelenir. Rehber, e-posta, fotoğraflar, videolar ve kısa mesajlar gibi potansiyel deliller incelenir. Operatörden veri elde etme Gelen ve giden arama bilgileri, mesaj trafiği, veri transferi, bağlantı konumu ve zamanı gibi bilgiler operatörden elde edilir. Arama detay bilgileri incelenir. 16 105 6.2. Örnek Uygulama Uygulama modellenen sürecin tamamını kapsamamaktadır. Tüm sürecin uygulanması için mutlaka bir adli olayın başından sonuna kadar takip edilmesi gerekmektedir. Modellene süreçte ikinci aşama olan verinin elde edilmesi safhası teknik olarak en önemli safhadır ve bu teknik süreç Çizelge 6.1'de belirtilen 6,7,8.1. ve 8.3. maddelerini tamamiyle raporlama aşamasını ise kısmen kapsayacak şekilde uygulanmıştır. Bu inceleme yapılırken iki ayrı araç kullanılmıştır. İnceleme elde edilen araçların yetenekleri ile kısıtlı kalmıştır. Bu inceleme bir senaryo dâhilinde yapılmış ve bazı durumların gerçekleştiği varsayılmıştır. Varsayılan durum; bir adli vaka gelişmesi, bu adli vaka için bilirkişi tayin edilmesi ve olay yerinde bulunan bir mobil cihazın incelenerek sanık hakkında bulunan bilgilerin toplanarak, analiz edilmesi ve raporlanması konusunda görev verilmesi şeklinde gerçekleşmektedir. Bu kapsamda cihaza, uygulama sürecine uygun olarak yetkili kişiler tarafından el konulduğu, olay yerinin güvenliğinin sağlandığı, delilin güvenliğinin sağlandığı, etiketlendiği, usulüne uygun olarak taşınarak adli bilişim laboratuvarına teslim edildiği ve laboratuvarda inceleme için gerekli yazılımların kurulu olduğu varsayılmıştır. Bu aşamadan sonra cihaz mobil adli bilişim araçları ile incelenmiştir. Bu inceleme Oxygen Forensic Suite ve MobilEdit Forensic yazılımlarını kullanarak yapılmaktadır. Bu iki yazılımın seçilmesindeki başlıca neden bu yazılımların Amerika Birleşik Devletleri'nde (ABD) bulunan Ulusal Standart ve Teknoloji Enstitüsü (NIST) tarafından yönetilen Adli Bilişim Yazılımları Test Programı (CFTT) kapsamında incelenmesi ve ABD kullanılmasına onay verilmesidir. Ayrıca bu iki yazılımın, yapılan literatür araştırması neticesinde en çok tercih edilen yazılımlar arasında olması, mantıksal elde edinim yapılabilmesi, kullanıcı dostu bir arayüz sağlamaları ve yazılımların kolay elde edilmesi uygulamanın bu araçlarla yapılmasını sağlamıştır. Literatürde çeşitli araçların, belirli işlemleri yerine getiremediklerinde hata mesajı vermedikleri ve inceleme neticesinin bir insanın suçlu ya da masum olmasına etkisi olması nedeniyle hassas davranmak adına, birden çok aracın veri çıkarımında ve incelemesinde kullanılması önerilmektedir. Bu nedenle temin edilen iki uygulama yazılımı ile inceleme 106 gerçekleşmiştir. İki uygulamanın ayrıca birbirinin sağlamasını yapması yapılan işlemin doğruluğunu da artırmıştır. Konunun daha kolay anlaşılabilmesi açısından söz konusu araçlardan elde edilen ekran görüntüleri ile anlatımı zenginleştirmek de amaçlanmaktadır. 6.2.1. Oxygen Forensic Suite ile yapılan uygulama Öncelikle cihaz ve uygulamanın bağlantısının yapılması gerekmektedir. Cihaz, Apple firmasına ait iPhone 4 model mobil bir cihazdır. Cihaz usb bağlantı kablosu ile bilgisayara bağlanır. Bağlantı sihirbazı ile cihaz markası ve modeli belirlenir. Resim 6.1'de bu bağlantı gösterilmiştir. Resim 6.1. Bağlantı sihirbazı Bağlantı sağlandıktan sonra ekrana Resim 6.2'deki cihaz tanımlama ekranı gelir. Cihaz ve olaya/davaya ilişkin bilgiler yazılır. Ardından Resim 6.3'deki veri tipi seçme ekranı gelir bu seçim bizden hangi bilgiler istenmiş ise o bilgilerin seçilmesi ve potansiyel delil olma ihtimali olan bilgilerin tamamının seçilmesi açısından önemlidir. 107 Resim 6.2. Cihaz tanımlama Resim 6.3. Veri tipi seçme Seçimin sonrasında cihazdan veri elde etme süreci başlamaktadır. Bu işlem belirli bir zaman alabilir. Veri elde etme işleminin bitmesinin ardından istenen bilgiler çerçevesinde bilgiler incelenebilmektedir. Sırasıyla hangi bilgilerin elde edildiğine dair örneklerle açıklama yapılmıştır. Cihazla ilgili bilgiler Resim 6.4'deki cihaz bilgi ekranından elde edilebilir. Bu ekran cihazın marka, model ve davayla olan ilişkisini ortaya koyar. 108 Resim 6.4. Cihaz bilgileri Bu bilgilerin gösteriminden sonra sırasıyla rehber, takvim, notlar, mesajlar, olay kayıtları, dosyalar ve diğer konularda bilgilerin elde edilmesine ilişkin açıklayıcı bilgi verilmiştir. Resim 6.5’de rehberde bulunan kişi bilgileri detayları ile elde edilebilir. Bu bilgileri ekranın solunda liste halinde olduğu gibi sekmeler halinde de detaylar barındırmaktadır. Resim 6.5. Rehber bilgileri 109 Takvim bilgisi ise Resim 6.6’da verilmiştir. Buradan cihaz sahibinin randevuları ya da planladığı başka etkinlik, toplantı, özel gün gibi bilgilere ulaşılabilmektedir. Resim 6.6. Takvim/randevu bilgileri Cihaz sahibinin tuttuğu notlara Resim 6.7'deki notlar ekranından erişilmiştir. Resim 6.7. Notlar Cihaz sahibinin gönderdiği/aldığı kısa mesajlar, multimedya mesajları, e-posta mesajları ve diğer ortamlarla iletilen tüm mesaj detaylarına Resim 6.8'deki bölümünden elde edilir. Burada mesaj ile ilgili metin detayların haricinde video/fotoğraf gibi detaylarda görüntülenmiştir. 110 Resim 6.8. Mesajlar Cihaz üzerinde yapılan tüm işlemler Resim 6.9'da örneği verilen olay kayıt defterine kaydedilmektedir. Bu bölüm yapılan işlemleri tarihsel olarak listeler ve incelemelerde oldukça önemlidir. Zira bu kayıtlar olay cetveli oluşturulması kapsamında yardımcı olmaktadır. Bu kayıtlar gelen, giden ve cevapsız arama kayıtlarına ilişkin detaylar barındırmaktadır. Resim 6.9. Olay kayıtları 111 Resim 6.10'daki dosya gezinti bölümü ise değişik tipteki bilgilere kolay erişim sağlayan bir bölümdür. Burada fotoğraf, müzik, video, doküman (text), uygulama ve konum bilgileri kapsamında kategorilendirme yapılır ve uzmanın işini kolaylaştırır. Burada dikkat edilmesi gereken en önemli husus: Elde edilen tüm bilgilerin ekran görüntülerinde de görselde gözlemlenebileceği üzere mutlaka bir özet değerin alınmasıdır. Bu işlem bilginin değiştirilmediğini garanti altına almak ve ilerleyen dönemde yapılacak itirazları önlemek adına yapılmaktadır. Resim 6.10. Dosya gezinti Resim 6.11'deki ekstra bölümünde yapılan tüm işlemler liste, tarih, bağlantı kategorilerine göre listelenmektedir. Bu bölüm olay zaman cetveli oluşturmakta adli bilişim uzmanının işlerini kolaylaştırmaktadır. Seçilen kayıt ile ilgili detaylar ekranın sol ve alt kısmında görüntülenmektedir. 112 Resim 6.11. Ekstra ekranı Ekstra bölümünde ayrıca Resim 6.12'deki konum bilgileri ve Resim 6.13'deki web kayıtlarına ilişkin bilgilerde elde edilmektedir. Resim 6.12. Ekstra (Konum bilgileri) Web kayıtlarında safari kayıtları, sık kullanılanlar bilgileri ve web geçmişi bilgi detaylarına erişilebilir. 113 Resim 6.13. Web kayıtları Yapılan incelemeler sonrasında gözden kaçan bilgileri elde etmek veya kontrol etmek amacıyla Resim 6.14'deki arama bölümü kullanılmakta ve arama bölümü içinden herhangi bir bilgi veya bağlantı detayı ile arama yapılmaktadır. Resim 6.14. Arama ekranı Mobil adli incelemelerde yapılan çalışmaların ürünü son aşama olan rapor aşamasıdır. Rapor yazılması belirli formatlara göre yapılmaktadır. Bu araçlar adli bilişim uzmanının 114 işlerini kolaylaştırmakta ve hazır rapor formatlarında rapor hizmeti sunmaktadır. Bu araçla elde edilen rapora ait ekran görüntüleri Resim 6.15'dedir. Rapor Resim 6.16'da, 6.17'de ve 6.18'de örnekleri verildiği şekliyle elde edilen bilgilerin tamamını içermektedir. Resim 6.15. Rapor Resim 6.16. Rapor (Rehber bilgileri) 115 Resim 6.17. Rapor (Notlar) Resim 6.18. Rapor (Mesaj detayı) Raporun istenilen formatta düzenlenmesi ile mobil adli inceleme süreci sona erer. 116 6.2.1. MOBİLedit Forensic ile yapılan uygulama Diğer bir mobil adli inceleme aracı olan MOBİLedit ile de aynı süreçleri izleyerek yapılan inceleme ekran görüntüleri ile zenginleştirerek açıklanmaktadır. Birinci aşama cihaz ile inceleme yapılacak aracın bağlantısıdır. Daha önce belirtilen varsayımların tamamının oluştuğu varsayımı ile cihazı bilgisayara bağlayarak inceleme başlamıştır. Bağlantı yapılacak mobil cihazın telefon olarak seçilmesi ile Resim 6.19'daki hoşgeldin ekranına geçilir. Daha sonra bağlantı türü seçilmiştir. Cihaza kablo, kablosuz bağlantı (Wi-Fi, bluetooth, kızılötesi) ile bağlanmak (cihazın yeteneği varsa) mümkündür. Resim 6.19. Hoşgeldin ekranı Cihazla bağlantı sağlandıktan sonra araç cihazı Resim 6.20'deki şekliyle tanımlamaktadır. 117 Resim 6.20. Cihaz tanımlama Cihazın tanımlanmasının ardından veri elde etme ayarları Resim 6.21'deki şekliyle yapılır. Burada önemli olan potansiyel delil olabilecek veri kaynaklarını seçmektir. Burada ayrıca cihaza ilişkin detay bilgilerde (Cihaz sahibinin bilgileri, cihaz adı, delil numarası, telefon numarası) girilir. Resim 6.21. Veri elde etme ayarları 118 Veri elde edildikten sonra navigasyon ekranı üzerinde tüm erişilebilir bilgi kaynakları görüntülenir. Öncelikle Resim 6.22’deki şekliyle cihaz bilgileri ekrana gelir. Resim 6.22. Cihaz bilgi ekranı Bir önceki araçla elde edilen bilgiler gibi bu araçlada benzer bilgilere rahatlıkla ulaşılabilir. Bu bilgiler, rehber, mesaj, uygulama verisi, uygulama, dosyalar, medya dosyaları, takvim, fotoğraflar ve sim kart bilgileridir. Rehberde yer alan bilgilere Resim 6.23'deki gibi “Phonebook” bölümünden erişilebilir. Kayıt ile ilgili detay bilgiler tıklanarak elde edilir. Resim 6.23. Rehber bilgileri 119 Mesajlar Resim 6.24'deki şekliyle karşılıklı gönderilen mesajlar, gelen, giden veya taslak olarak görüntülenebilir. Resim 6.24. Mesajlar Bu uygulamanın diğerinden farkı ise sim karta ait bilgilere erişebilmesidir. Sim karta ilişkin pin kodu olmaksızın cihaz açıksa ICCID ve IMSI bilgileri elde edilebilir ki bu bilgiler cihazın üzerindeki kartın kime ait olduğu bilgisini operatörden istemek için gerekli bilgilerdir. SIM karttan elde edilen bilgiler Resim 6.25'dedir. Resim 6.25. SIM kart bilgisi 120 Takvimde Resim 6.26'daki gösterilen şekliyle planlı olan ya da girilen tüm bilgiler günlük, haftalık ya da aylık olarak görüntülenebilir detayı hakkında bilgi alınabilir. Resim 6.26. Takvim bilgileri Yine cihazda kayıtlı video, fotoğraf vb bilgiler Resim 6.27'deki medya sekmesinden elde edilebilmektedir. Resim 6.27. Medya 121 Cihaza kurulan tüm uygulamalar Resim 6.28'de verilen şekliyle bu araç vasıtasıyla görüntülenebilir ve detay bilgi elde edilir. Ayrıca bu uygulamaların tutulduğu bilgilere de kolaylıkla ulaşılabilir. Resim 6.28. Uygulamalar Son olarak ise incelemenin ürünü olan rapor kısmı ile ilgili bilgi verilmektedir. Rapor Resim 6.29'da verilen şekliyle değişik formatlarda seçilebilir. Rapor örneği Resim 6.30’da mevcuttur. Ancak dil seçeneği İngilizce’dir. Raporun alınmasının ardından istenilen formata çevrilerek talep eden makama sunulabilir. Resim 6.29. Rapor formatı seçimi 122 Resim 6.30. Rapor örneği Bu bilgiler dışında uygulama ile yapılan her inceleme bir dava dosyası olarak Resim 6.31'deki gibi tarih bilgisi ile kaydedilebilmekte ve gerekli durumlarda çevrimdışı istenen bilgiler incelenebilmektedir. Resim 6.31. Dava dosyaları Yapılan iki uygulamaya ait elde edilen bilgiler çerçevesinde karşılaştırma Çizelge 6.2'de verilmiştir. Oxygen x x x x x x x x x Mobiledit x x x x x x x x x SIM Rapor Web Kayıtları Konum video) Medya (Foto, Olay Kayıtları Notlar Takvim Mesajlar Rehber Uygulama 123 Çizelge 6.2. Uygulamaların karşılaştırmaları x 124 125 7. SONUÇ VE ÖNERİLER Bilgi Teknolojileri ve İletişim Kurumu tarafından yayımlanan Türkiye Elektronik Haberleşme Sektörüne İlişkin 2015 yılı Üçüncü Çeyrek Pazar Verileri Raporu'na göre 77 000 000 olan Türkiye nüfusunun 73 235 783’ü mobil abonedir. 0-9 yaş nüfus hariç tutulduğunda tüm vatandaşların mobil abone olduğu ortaya çıkmıştır. Bu mobil abone miktarının 63 066 580’i 3G abonesidir. Bu istatistikler 9 yaşından büyük tüm vatandaşların mobil cihazı olduğunu ve bunların % 86'sının bu cihazları ile İnterneti kullandığını göstermektedir. Bu sayılar mobil cihazların Türk vatandaşlarının hayatına ne ölçüde girdiğini açıkca ortaya koymaktadır. Bu istatistikler bir adli olayın olması durumunda olay yerinde mobil cihaz olma ihtimalinin ne kadar yüksek olduğunu da göstermektedir. Bir dijital adli soruşturmaya telefonların dâhil olmaması ihtimali oldukça düşüktür. Literatürde birçok mobil cihazın olduğu tespit edilmiştir. Bu cihazların teknolojileride kullanma oranlarına paralel olarak hızla artmaktadır. Mobil cihazları birbirinden ayıran en önemli unsur, marka-modellerinden sonra üzerinde çalıştığı işletim sistemleridir. Birçok farklı mobil cihaz farklı işletim sistemleri kullanmaktadır. Bu nedenle, adli uzmanların özel bilgi ve becerilere sahip olması gerekmektedir. Bu çalışmanın detaylanması aşamasında kırılım noktası belirtilen sebeplerden en önemlileri arasında olan sebep, işletim sistemi olmuştur. Mobil cihazlarda dünyada yaygın olarak kullanılan ve piyasaya hâkim olan iki önemli işletim sistemi bulunmaktadır. Bunlar Android ve Apple firması tarafından geliştirilen iOS'dur. Bu nedenle çalışma kapsamında teorik bilgilerin yanında uygulama ile zenginleştirmek adına iOS cihazlar üzerine adli bilişim uygulaması yapılmıştır. Adli bilişim, bilgisayarlardaki sanal verilerin toplanıp, kanıtlarının ortaya konup yazı halini aldığı bir bilim dalıdır. Bu bilim dalı suçlu ile suçsuzu birbirinden ayırmakta, suçlu olduğu düşünülen kişi hakkında delilleri bir araya getirmekte ve suçsuzun haklarının korunmasına olanak sağlamaktadır. Adli bilişimin amacı olay yerindeki delillerin hiç bir şüpheye yer vermeden gizlilik, bütünlük ve erişebilirlik kıstaslarına uygun bir şekilde toplanması, ardından bu delillerin bilimsel metotlarla incelenmesi, analiz edilmesi ve raporlanmasıdır. Mobil adli bilişimin adli bilişim disiplini içinde önemli bir yeri vardır. Fakat mobil adli bilişim diğer adli bilişim dallarına nazaran daha zordur. Bu durumun nedenleri olarak; geniş ürün yelpazesi, marka model ve işletim sistemi çeşitliliği, adli bilişim yazılımlarının gelişmelere paralel olarak sürekli güncellenmesi, bu yazılımların tüm ürünleri 126 desteklememesi, şifreli ve kriptolu veriler, açılış şifreleri gibi nedenler gösterilebilir. Adli bilişim delillerin toplanması, korunması, incelenmesi, analizi, raporlanması yönleriyle bir süreç teşkil etmektedir. Literatür incelemesi sonucunda mobil adli bilişimin de benzer süreçlerden geçmesi gerektiği belirlenmiş ve bir süreç modeli oluşturulmuştur. Belirlenen modelde dört ana ve on dokuz alt sürecin olması gerektiği tespit edilmiştir. Bu süreç takip edildiğinde delil niteliği ve zinciri bozulmadan adli inceleme yapılabilecektir. Bu süreç takip edilmediği takdirde delilin kaybı, zarara uğraması veya mahkemede kullanılmayacak hale gelmesi riski bulunmaktadır. Bir mobil cihazın delil niteliği ile ele geçirilmesi ve usulüne uygun olarak el konulması ve sürecin esaslarına uygun işletilmesi yeterli değildir. Aynı zamanda sistemli bir incelemeye de ihtiyaç duyulmaktadır. Literartürde yapılan araştırmalar mobil aracın adli elde edilme sürecinin birçok metot kullanılarak gerçekleştirilebileceğini ortaya koymaktadır. Mobil cihaz ele geçirildiğinde, adli bilişim uzmanı cihazda depolanmış olan verilere erişmek için birçok adli araca ihtiyaç duymaktadır. Bu araçlar sadece vakit kazandırmakla kalmayıp süreci de kolaylaştırmaktadır. Bu maksatla çalışma içerisinde adli bilişim yazılımları bilgilendirmeleri yapılmış ve iki yazılım kullanılarak uygulama gerçekleştirilmiştir. Çeşitli araçların, belirli işlemleri yerine getiremediklerinde hata mesajı da vermedikleri yapılan çalışma ile tespit edilmiş ve NIST trafından yayımlanan rehberde de tavsiye edilen birden çok araçtan veri çıkarımında faydalanılması yöntemi kullanılmıştır. Oxygen Forensic ve MOBİLedit Forensic ile yapılan uygulamalar sonucunda potansiyel delil olabilecek cihaz, tarih saat, iletişim, takvim, mesaj, arama günlükleri, e-posta, fotoğraf, video, notlar, web günlükleri, sosyal medya, uygulama ve konum bilgilerine ulaşılmıştır. İki uygulama arasında temel fark MOBİLedit Forensic uygulamasının SIM karta ilişkin pin kodu olmaksızın cihaz açıksa ICCID ve IMSI bilgilerini elde etmesidir. Bu bilgiler cihazın üzerindeki kartın kime ait olduğu bilgisini operatörden talep etmek için kullanılmaktadır. Çalışma neticesinde mobil cihaz incelemesi için mutlaka yardımcı araçların kullanılması zaman ve kolaylık açısından önemlidir. Zira adli vakaların birçoğunda zaman kısıtı ortaya çıkmaktadır. Son tahlilde, mobil adli bilişimde önemli olan unsurlar; delillerin hiç bir şüpheye yer vermeden gizlilik, bütünlük ve erişebilirlik kriterlerine uygun olarak toplanması, ardından bu delillerin bilimsel metotlarla incelenmesi, analiz edilmesi ve raporlanmasıdır. Çalışmada belirlenen model ve süreçlerin işletilmesi delil niteliğinin korunmasını başka bir 127 ifadeyle adaletin yerini bulmasını sağlayacaktır. Çalışmada uygulama adli olaya erişim ve müdahale yetkisi sınırlılıklarından dolayı veri elde etme aşaması ile sınırlandırılmıştır. Önerilen süreç modelinin yetkinliğinin test edilebilmesi, varsa eksikliklerinin tespit edilmesi ve geliştirilmesi maksadıyla bir adli vakada baştan sona kullanılması yapılan çalışmanın tekemmül etmesini sağlayacaktır. Sonraki çalışmalarda bu süreç baştan sona test edilebileceği gibi aşamaların her biri ayrı çalışma olarak da uygulanabilir. Yapılan uygulamaların neticesinde mobil cihaz adli inceleme standarları düzenlenerek süreç kaynaklı hataların önüne geçilecektir. Ayrıca günümüzde mobil adli bilişimin geleceğine dair, mobil cihazların kullanımının artarak devam edeceği hatta bilgisayar kullanımının yerini alacağı değerlendirilmektedir. Bu gelişme ile birlikte suç aygıtı, aracı veya hedef olarak mobil cihazlar adaletin karşısına çıkmaya devam edecektir. Bu kapsamda mobil adli bilişim geliştirilmesi ve ülke menfaatleri açısından önem verilmesi gereken teknolojik olduğu kadar yasal düzenlemelerin yapılması gerekli olan bir disiplindir. Bu konuda çalışma alanlarının teşvik edilmesi, desteklenmesi ve üniversitelerin yönlendirilmesi, gelecekte daha fazla ortaya çıkacağı değerlendirilen uzman personel ihtiyacını karşılamak adına önemli bir adım olacaktır. 128 129 KAYNAKLAR 1. İnternet: Miniwatts Telecommunication Marketing Report. Group. Turkey Internet Usage and URL:http://www.webcitation.org/query?url= http%3A%2F%2F www.internetworldstats.com%2Feuro%2Ftr.htm&date=2015-0725, Son Erişim Tarihi: 25.07.2015. 2. Ruacan, B. (2007, Mayıs). Kurumsal Mobil Çözümler, Nokia Eseries Toplantısında sunuldu, İstanbul. 3. CTIA. (2010). 50 Wireless Facts. CTIA, Washington. 4. Nebil, F.S. (2010). Burak Kır ile Katma Değerli Servisler 350 milyon $’lık Bir Sektör-1 üzerine söyleşi, İstanbul. 5. Köroğlu,O. (2010). En Yaygın İletişim Ortamı: Mobil İletişim Ortamında İçerik ve Yayıncılık. Civilacademy, 8(2), 55-86. 6. Faryad, V.,Alavi Milani,M.M.R. (2011, Şubat). Mobil İletişim Nesillerin Evrim İncelemesi: 4G’ye kadar, Akademik Bilişim Konferansında sunuldu, Malatya. 7. Akgün, F. (2011). Mobil İletişim İletişim Teknolojilerinin Yapısı ve Bu Teknolojilerde Kullanılan Veri Şifreleme Algoritmalarının Güvenirliklerinin Analizi, Yayımlanmış Doktora Tezi, Trakya Üniveritesi Fen Bilimleri Enstitüsü, Edirne. 8. Kim,Y.K., Prasad,R., 4G Roadmap and Emerging Communication Technologies, Artech House, 12-13, ISBN=1-58053-931-9. 9. İnternet: Evolution Mobile Technologies. Qualcomm. URL:http://www. webcitation.org/query?url=https%3A%2F%2Fwww.qualcomm.com%2Fvideos%2Fe volution-mobile-technologies-1g-2g-3g-4g-lte&date=2015-07-25, Son Erişim Tarihi: 25.07.2015. 10. Ağaç, F. (2014, Ocak). Türkiye Sayısal Gündem 2020'de AB'nin İzinde. Bilişim Dergisi, 26-30. 11. Bilgi Teknolojileri ve İletişim Kurumu. (2014). Elektronik Haberleşme Sektöründe Teknolojik Gelişmeler ve Eğilimler Raporu, Ankara, 48-54. 130 12. İnternet: Cep Telefonu. URL:http://www.webcitation.org/query?url= https%3A %2F%2Ftr.wikipedia.org %2Fwiki%2F Cep_telefonu&date =2015-07-25, Son Erişim Tarihi: 25.07.2015. 13. İnternet: Ogg, E. Tablet bilgisayar. Cnet. 2016-03-16. URL: http://www.webcitation.org/query?url=http%3A%2F%2Fwww.cnet.com%2Fnews% 2Fwhat-makes-a-tablet-a-tablet-faq%2F&date=2016-03-16. Son Erişim Tarihi:16.03.2016. 14. İnternet: Strickland, J. Laptop. Howstuffworks Tech. URL: http://www.webcitation.org/query?url=http%3A%2F%2Fcomputer.howstuffworks.c om%2Fnotebook-vs-netbook-vs-ultra-mobile-pc.htm&date=2016-03-16. Son Erişim Tarihi:16.03.2016. 15. Ada, S., Tatlı, H. S., (2012, Ocak). Akıllı Telefon Kullanımını Etkileyen Faktörler Üzerine Bir Araştırma, Akademik Bilişim 2013 Konferansında sunuldu, Antalya. 16. İnternet: IDC, Gartner. Mobile Statistics. Mobiforge. URL:http://www.webcitation.org/ query?url=http%3A%2F%2 Fmobiforge.com%2F research-analysis%2Fglobal-mobile-statistics-2014-part-a-mobile-subscribershandset-market-share-mobile-operators+&date =2015-07-25 Son Erişim Tarihi: 25.07.2015. 17. USOM. (2014). Akıllı Telefonlarda Güvenlik Raporu. Ankara, 3-4. 18. Bilgi Teknolojileri ve İletişim Kurumu. (2015). Türkiye Elektronik Haberleşme Sektörü Üç Aylık Pazar Verileri Raporu. Ankara, 39-61. 19. Laudon, K. J. and Laudon, J. P. (2012). Management Information Systems: Managing the Digital Firm, Prentice Hall, Boston, USA, 181. 20. Kaya, A., (2009, Şubat). Symbian İşletim Sistemi. Akademik Bilişim’09 - XI Konferansında sunuldu, Şanlıurfa. 131 21. İnternet: Company Overview of Symbian Limited. Bloomberg Business. 2016-03-14. http://www.webcitation.org/query?url=http%3A%2F%2Fwww.bloomberg.com %2F research%2Fstocks%2Fprivate%2F snapshot.asp%3F privcapId%3D 1546771&date= 2016-03-14. Son Erişim Tarihi: 14.03.2016. 22. İnternet: Evers, J. Microsoft to phase out Pocket PC, Smartphone brands. InfoWord. 2016-03-14. http://www.webcitation.org/query?url= www.infoworld.com%2F article%2F2668041%2F http%3A%2F%2F computer-hardware%2F microsoft-to-phase-out-pocket-pc-smart-phone-brands.html&date=2016-03-14. Son Erişim Tarihi: 14.03.2016. 23. İnternet: Palm OS. Vikipedi. URL:http://www.webcitation.org/query?url=http %3A%2F%2Ftr.wikipedia.org%2Fwiki%2FPalm_OS&date=2015-07-25, Son Erişim Tarihi: 25.07.2015. 24. İnternet: Qualcomm purchases Palm patents from HP. USA Today. 2016-03-14. http://www.webcitation.org/query?url=http%3A%2F%2Fwww.usatoday.com%2Fsto ry%2Ftech%2F2014%2F01%2F24%2Fqualcomm-purchases-hppatents%2F4819069%2F&date=2016 03-14. Son Erişim Tarihi: 14.03.2016. 25. İnternet: Maemo Trademark. Maemo.org (Beta). 2016-03-16. URL: http://www.webcitation.org/query?url=http%3A%2F%2Fmaemo.org%2Flegal%2Fte rms_of_use%2Ftrademarks%2F&date=2016-03-16. Son Erişim Tarihi: 16.03.2016. 26. İnternet: Maemo. Frmtr.com. URL:http://www.webcitation.org/query?url= http %3A%2F%2F www.frmtr.com%2F maemo%2F4133727- nokianin-yeni-isletimsistemi-maemo-nedir.html&date=2015-07-25, Son Erişim Tarihi: 25.07.2015. 27. İnternet: Grabham, D. MeeGo OS. techradar.com. 2010-02-15. URL: http://www.webcitation.org/query?url=http%3A%2F%2Fwww.techradar.com%2Fne ws%2Fphone-and- communications%2F mobile-phones%2F intel-and-nokia-mergemoblin-and-maemo-to-form-meego-670302&date=2016-03-16. Son Erişim Tarihi: 16.03.2016. 28. İnternet: Ubuntu. Linux.net. URL:https://www.linux.net.tr/ubuntu-phone-os- aciklandi/, Son Erişim Tarihi: 25.07.2015. 132 29. İnternet: Şengül,O,E. Tizen. ODTÜ Bilgisayar Topluluğu E-Dergi. URL: http://www.webcitation.org/query?url=http%3A%2F%2Fe-bergi.com%2F2013%2F Ocak %2Ftizen&date=2015-07-25, Son Erişim Tarihi: 25.07.2015. 30. İnternet: Sailfish. Chip Online. query?url=http%3A%2F%2F URL:http://www.webcitation.org/ www.chip.com.tr%2Fmakale%2Fyeni-bir-mobil- isletim-sistemi-sailfish-os_45878.html&date=2015-07-25, Son Erişim Tarihi: 25.07.2015. 31. Olson, P. Want to Buy A Webphone? Forbes, Nisan 2013, 52. 32. İnternet: Şumlu, S. Firefox OS. Mozilla.org.tr. URL: http://www.webcitation.org/ query?url= http%3A%2F%2F www.mozilla.org.tr%2F 2013%2F02%2Fmozillafirefox-os-ile-webin-gucunu-mobil-dunyaya-tasiyor&date=2015-07-25, Son Erişim Tarihi: 25.07.2015. 33. İnternet: Ankeny, fiercemobileit.com. J. Samsung scraps Bada OS, folds it into 2016-03-16. URL: http://www.webcitation.org/ Tizen. query? url=http%3A%2F%2F www.fiercemobileit.com%2Fstory%2Fsamsung-scraps-badaos-folds-it-tizen%2F2013-02-25 &date=2016-03-16. Son Erişim Tarihi: 16.03.2016. 34. İnternet: Blackberry OS. global.blackberry.com. 2016-03-16. URL: http://www.webcitation.org/query?url=http%3A%2F%2Fglobal.blackberry.com%2F en%2Fsoftware%2Fsmartphones%2Fblackberry-10-os.html&date=2016-03-16. Son Erişim Tarihi: 16.03.2016. 35. İnternet: Çukurca, E. BlackBerry. Donanım Haber. URL: http://www.webcitation.org/query?url=http%3A%2F%2Fwww.donanimhaber.com% 2Fcep isletim-sistemleri%2F haberleri%2F BlackBerry-10-ile-sunulan-onemli- ozellikler.htm& date=2015-07-25, Son Erişim Tarihi: 25.07.2015. 36. İnternet: Ziegler, C. Windows PhoneMicrosoft talks Windows Phone 7 Series development ahead of GDC: Silverlight, XNA, and no backward compatibility. engadget.com. 2016-03-16. URL: http://www.webcitation.org/query?url= http%3A%2F%2Fwww.engadget.com%2F2010%2F03%2F04%2Fmicrosoft-talkswindows-phone-7-series-development-ahead-of-gdc%2F&date=2016-03-16. Erişim Tarihi: 16.03.2016. Son 133 37. İnternet: Manjoo, F. A Murky Road Ahead for Android, Despite Market Dominance. The New York Times. 2016-03-14. http://www.webcitation.org/query?url= http%3A%2F%2Fwww.nytimes.com%2F2015%2F05%2F28%2Ftechnology%2Fper sonaltech%2Fa-murky-road-ahead-for-android- despite-market-dominance.html%3 F_r%3D0& date= 2016-03-14. Son Erişim Tarihi: 14.03.2016. 38. İnternet: Williams, R. Apple iOS: a brief history. The Telegraph. URL: http://www.webcitation.org/query?url=http%3A%2F%2Fwww.telegraph.co.uk%2Ft echnology%2Fapple%2F11068420%2FApple-iOS-a-brief-history.html&date=201507-25, Son Erişim Tarihi: 25.07.2015. 39. Linzmayer, R. W. (1999). Apple Confidential: The Real Story of Apple Computer, San Francisco, CA, USA, No Starch Press. 40. Çakır, H. ve Sert, E. (2011). Bilişim Suçları ve Delillendirme Süreci Örgütlü Suçlar ve Yeni Trendler. Ankara: Polis Akademisi Yayınları. 143-172. 41. Garza, D. (2010). Investigating Hard Disks, File and Operating Systems. ABD: ECCouncil Press. 42. Rogers, M.K., Goldman, J., Mislan, R., Wedge, T. ve Debrota, S. (2006). Computer Forensics Field Triage Process Model, Conference of Digital Forensics, Security and Law. Las Vegas Nevada, ABD. 43. Uzunay, Y. (2005). Dijital Delil Arastırma Süreci. 2. Polis Bilisim Sempozyumuda sunuldu, Sheraton Oteli, Ankara. Emniyet Genel Müdürlügü, Bildiri Kitabı 42-47 44. Morrissey, S. (2010). iOS Forensic Analysis for iPhone, iPad, and iPod Touch, Apress, USA. 45. Jansen, W. (2005). Mobile Device Forensic Software Tools. Paper presented at the Techno Forensics 2005, Gaithersburg, MD, USA. 46. İnternet: SWGDE. (2006). SWGDE and SWGIT Digital & Multimedia Evidence Glossary, URL:http://www.swgde.org/documents/swgde2005/SWGDE%20and%20 SWGIT%20Combined%20Master%20Glossary%20of%20Terms%20July%2020.pdf, Son Erişim Tarihi: 25.07.2015. 134 47. İnternet: USSS. (2006). Best Practices for Seizing Electronic Evidence, URL:http://www.ustreas.gov/usss/electronic_evidence.shtml, Son Erişim Tarihi: 25.07.2015. 48. Ashcroft, J. (2001). Electronic Crime Scene Investigation: A Guide for First Responders, U.S. Department of Justice National Institute of Justice, 5-7. 49. Keizer, G. (2006). First Mobile Phone Java Trojan on the Loose. CRN. 50. CCIPS. (2002). Searching and Seizing Computers and Related Electronic Evidence Issues. US Department of Juctice, USA. 51. Mellars, B. (2004). Forensic Examination of Moblie Phones, Digital Investigation, The International Journal of Digital Forensics & Incident Response, 1(4), 266-272. 52. Westtek (2008). ClearVue Suite. Westtek. 53. Manfrediz, A. (2008). IDC Finds More of the World's Population Connecting to the Internet in New Ways and Embracing Web 2.0 Activities. IDC Press Release . 54. İnternet: Cell Phone. Fonekey. URL:http://www.webcitation.org/query?url= http%3A%2F%2Fwww.FoneKey.net&date=2015-07-25, Son Erişim Tarihi: 25.07.2015. 55. İnternet: Aljazeera (2005). Phone Dealers in al-Hariri Probe Net, URL: http://english.aljazeera.net/archive/2005/09/200841014558113928.html, Son Erişim Tarihi: 25.07.2015. 56. İnternet: Mock,D. Wireless Advances the Criminal Enterprise . thefeaturearchives. URL:http://www.webcitation.org/query?url=http%3A%2F%2Fwww.thefeaturearchi ves.com%2Ftopic%2FTechnology%2FWireless_Advances_the_Criminal_Enterprise .html&date=2015-07-25, Son Erişim Tarihi: 25.07.2015. 57. Ayers, R., Jansen, W., Cilleros, N. and Daniellou, R. (2007). Cell Phone Forensic Tools: An Overview and Analysis. NIST Publications, USA. 58. Carrier, B. D. (2006). Risks of Live Digital Forensic Analysis. Communications of the ACM, 49(2). 56-61. 135 59. Bommisetty, S., Tamma, R. and Mahalik, H. (2014). Practical Mobile Forensics (First edition). Birmingham, UK: Packt Publishing Ltd. 60. Dokurer, S. (2005). Adli Bilişim 2. Polis Bilişim Sempozyumu Bildirileri, Ankara: Emniyet Genel Müdürlüğü Bilgi İşlem Daire Başkanlığı. 226-229. 61. Bıçak, V. (2011). Suç Muhakemesi Hukuku. Ankara: Seçkin Yayınevi, 423. 62. İnternet: Tan, A. Adli Bilişim. URL:http://www.webcitation.org/query?url= http%3A%2F%2Fwww.aydogantan.av.tr%2Fgenel%2Fadli-bilisim-computerforensic &date =2015-07-25, Son Erişim Tarihi: 25.07.2015. 63. Ünal, O.G. (2011). Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve Elkoyma, Gazi Üniversitesi Sosyal Bilimler Enstitüsü Yayınlanmamış Yüksek Lisans Tezi, Ankara. 64. Bıçak, V. (2011). Suç Muhakemesi Hukuku, Ankara: Seçkin Yayınevi,429 65. İnternet: Murphy, C.A. (2012). Developing Process for Mobile Device Forensics. Web:http://digital- forensics. sans.org/media/ mobile- device-forensic- processv3.pdf. adresinden 23.06.2015'de alınmıştır. 66. Brothers, S. (2008). How Cell Phone Forensic Tools Actually Work Cell Phone Tool Leveling System, Mobile Forensic. World, Chicago, IL, USA 67. Jansen, W., Ayers, R. (2007). Guidelines on Cell Phone Forensics. NIST Special Publication 800-101, Gaithersburg. 68. Zdziarski, J. (2013). iOS Forensic Investigative Methods, USA. 69. Jansen, W., Ayers, R. and Brothers, S. (2014). Guidelines on Mobile Device Forensics. NIST Special Publication 800-101 Revision 1, Springfield, VA, USA. 70. European Working Party on IT Crime, 47th EWPITC meeting. (2006). Mobile Phone Forensics Final Report. Interpol. 71. SWGDE. (2013). Best Practices for Mobile Phone Forensics. SWGDE. Version: 2.0, USA 136 72. Reiber, L. (2008). SIMs and Salsa, MFI Forum, Mobile Forensics, Inc. 73. ACPO. (2003). Good Practice Guide for Computer based Electronic Evidence. NPCC,London. 74. National Institute of Justice. (2008). Electronic Crime Scene Investigation: A Guide for First Responders, Second Edition. NCJ 219941, Washington. 75. Brothers, S. (2012). How Cell Phone Forensics Tools Work, AAFS, Washington, DC. 76. Casey, E., Turnbull, B. (2011). Digital Evidence and Computer Crime, Third Edition, Elsevier Inc., Chapter_20. 77. Bader, M., Baggili, İ. (2010). iPhone 3GS Forensics: Logical Analysis using Apple iTunes Backup Utility, Small Scale Digital Device Forensics Journal, Vol. 4, No.1. 78. Ayers, R. (2003).Computer Forensic Tool Testing (CFTT) Program. NIST, Gaithersburg. 79. GSM Association. (2005). GSME Position On Data Retention Implications for The Mobile Industry, GSM Europe. 80. Alameda County District Attorney's Office. (2004). Phone, E-mail, and Internet Records, Point of View, Oakland. 81. Willassen, S.Y. (2003). Forensics and the GSM mobile telephone system, International Journal of Digital Evidence, Spring 2(1). 82. Ajala, I.(2006). Spatial Analysis of GSM Subscriber Call Data Records, Directions Magazine. 83. Miller, C. (2008).The other side of mobile forensics, Cygnus Business Media. 84. Doog, A., Strzempka, K. (2011). iPhone and iOS Forensics Investigation, Analysis and Mobile Security for Apple iPhone, iPad, and iOS Devices, Syngress publications, USA. 137 85. İnternet: Libtiff. URL:http://www.webcitation.org/query?url=http%3A%2F%2F www.remotesensing.org%2Flibtiff%2F&date=2015-07-25, Son Erişim Tarihi: 25.07.2015. 86. Miller, C., Mulliner,C. (2009). Injecting SMS Messages into Smart Phones for Security Analysis, TU-Berlin. 87. Porras, P., Saidi, H. and Yegneswaran, V. (2009). An Analysis of the iKee.B iPhone Botnet. Computer Science Laboratory, SRI International. 88. Salz, P.A. (2014). The Insider’s Guide to a Billion Dollar App Business. InMobi PTE LTD, Singapore.92-93 89. İnternet: Mills,E. Researcher warns of risks from rogue iPhone apps. Cnet. 2016-0316. URL: http://www.webcitation.org/query?url=http%3A%2F%2Fmaemo.org%2F legal% 2Fterms_of_use%2Ftrademarks%2Fhttp%3A%2F%2Fwww.cnet.com%2F news%2Fresearcher-warns-of-risks-from-rogue-iphone-apps&date=2016-03-16. Son Erişim Tarihi: 16.03.2016. 90. Miller, C., Balazakis, D., Zovi, D.D., Esser, S., İozzo, V. and Weinmann, R.P. (2010).İOS Hacker Handbook. Berlin, Germany. 91. İnternet: Zovi,D.D. Strategic Analysis of the iOSJailbreak Development Community. URL:http://www.webcitation.org/query?url=https%3A%2F%2Fwww.trailofbits.com %2Fresources%2Fios_jailbreak_analysis_slides.pdf+&date=2015-07-25, Son Erişim Tarihi: 25.07.2015. 92. İnternet: Hao,X., Xiaobo,C. Rootkit for iPhone and Way to Launch Real Attack. URL:http://www.webcitation.org/query?url=http%3A%2F%2Fwww.powerofcommu nity.net%2Fpoc2011%2Fxuchen.pdf&date=2015-07-25 , Son Erişim Tarihi: 25.07.2015. 93. İnternet: Summers,C. Mobile phones - the new fingerprints. BBC News. URL:http://www.webcitation.org/query?url=http%3A%2F%2Fnews.bbc.co.uk%2F2 %2Fhi%2Fuk_news%2F3303637.stm&date=2015-07-25, 25.07.2015. Son Erişim Tarihi: 138 94. İnternet: Cell Phone & Email Forensics Investigation Cracks NYC Times Square Car Bombing Case. Forensicon. URL:http://www.webcitation.org/query?url= http%3A%2F%2Fwww.forensicon.com %2Fforensics-blotter%2Fcell-phone-emailforensics-investigation-cracks-nyc-times-square-car-bombing-case&date=2015-0725, Son Erişim Tarihi: 25.07.2015. 139 ÖZGEÇMİŞ Kişisel Bilgiler Soyadı, adı : AKALIN, Uğur Uyruğu : T.C. Doğum tarihi ve yeri : 26.02.1977/Karabük Medeni hali : Evli Telefon : 0 (312) 411 3077 e-Posta : [email protected], [email protected] Eğitim Derecesi Okul /Program Mezuniyet Yılı Yüksek Lisans Gazi Üniversitesi Bilişim Enstitüsü Devam ediyor Adli Bilişim Ana Bilim Dalı Lisans Kara Harp Okulu 1999 Lise Maltepe Askeri Lisesi 1995 İş Deneyimi, Yıl Çalıştığı Kurum Görev 1999-2003 Kara Kuvvetleri Takım Komutanı 2003-2004 Ege Üniversitesi BS Subay Temel Kursu (Kursiyer) 2004-2008 Kara Kuvvetleri/Mareşal Çakmak BS Subayı Asker Hastanesi 2008-2014 Genelkurmay Başkanlığı Akıllı VT Yöneticisi/ Kart Şube Kart Yönetim Kısım Amiri 2014-Devam Ediyor Kara Kuvvetleri Proje Yönetim Şube Yabancı Dil İngilizce Hobiler Futbol, kayak, tenis, bilgi teknolojileri, seyahat. Proje Subayı 140 GAZİ GELECEKTİR...