Untitled - Gazi Üniversitesi Açık Arşiv

MOBİL CİHAZLARDA ADLİ BİLİŞİM ÇALIŞMALARINA YÖNELİK
BİR MODEL ÖNERİSİ
Uğur AKALIN
YÜKSEK LİSANS TEZİ
ADLİ BİLİŞİM ANABİLİM DALI
GAZİ ÜNİVERSİTESİ
BİLİŞİM ENSTİTÜSÜ
NİSAN 2016
Uğur AKALIN tarafından hazırlanan “Mobil Cihazlarda Adli Bilişim Çalışmalarına Yönelik Bir Model
Önerisi” adlı tez çalışması aşağıdaki jüri tarafından OY BİRLİĞİ / OY ÇOKLUĞU ile Gazi
Üniversitesi Adli Bilişim Anabilim Dalında YÜKSEK LİSANS TEZİ olarak kabul edilmiştir.
Danışman: Öğr. Gör. Dr. Çelebi ULUYOL
Adli Bilişim Ana Bilim Dalı, Gazi Üniversitesi
Bu tezin, kapsamı ve kalite olarak Yüksek Lisans Tezi olduğunu onaylıyorum/onaylamıyorum .............................
Başkan: Yrd. Doç. Dr. Hüseyin ÇAKIR
Adli Bilişim Ana Bilim Dalı, Gazi Üniversitesi
Bu tezin, kapsam ve kalite olarak Yüksek Lisans Tezi olduğunu onaylıyorum/onaylamıyorum ..............................
Üye: Dr. Zafer YILMAZ
Tedarik ve Lojistik Yönetimi, Savunma Bilimleri Enstitüsü Kara Harp Okulu
Bu tezin, kapsam ve kalite olarak Yüksek Lisans Tezi olduğunu onaylıyorum/onaylamıyorum ..............................
Tez Savunma Tarihi: 01/04/2016
Jüri tarafından kabul edilen bu tezin Yüksek Lisans Tezi olması için gerekli şartları yerine
getirdiğini onaylıyorum.
...............................................
Doç. Dr. Nurettin TOPALOĞLU
Bilişim Enstitüsü Müdürü
iv
MOBİL CİHAZLARDA ADLİ BİLİŞİM ÇALIŞMALARINA YÖNELİK
BİR MODEL ÖNERİSİ
(Yüksek Lisans Tezi)
Uğur AKALIN
GAZİ ÜNİVERSİTESİ
BİLİŞİM ENSTİTÜSÜ
Nisan 2016
ÖZET
Teknoloji hayatımızın her alanına girmiş ve hayatımızı kolaylaştırırken bir takım
sorumluluklar da getirmiştir. Teknoloji ile iç içe yaşamamızı sağlayan en önemli araç mobil
cihazlardır. Mobil cihazlar, yoğun kullanılmasının sonucu olarak adli olaylarda da delil niteliği
ile başvurulan en önemli unsur haline gelmiştir. Günümüzde mobil adli bilişim, adli bilişim
disiplininin hızla gelişen bölümlerinden birisidir. Mobil cihazların özellikleri adli inceleme
yöntem ve aracının seçilmesinde önemli bir yere sahiptir. Mobil cihazda çalışan işletim
sistemi adli incelemenin yöntemini etkilemektedir. Adaletin yerini bulması maksadıyla mobil
cihazların delil niteliğini kaybetmeden doğru bir süreç ve araçlarla incelenmesi gerekmektedir.
Bu çalışmada, mobil cihazların adli inceleme esnasında delil niteliğini kaybetmemesini
sağlayacak bir adli inceleme süreci modeli önerilmiştir. Önerilen model, iki ayrı adli inceleme
aracı ile değişik adli incelemeler üzerinde uygulanmıştır. Mobil cihazların adli bilişim araçları
ile incelenmesiyle potansiyel delil olabilecek tüm alanlardan veri elde edilebilmektedir. Farklı
araçların kullanılması yapılan adli incelemenin doğrulanmasını sağladığı gibi araçların bazı
verileri elde etme konusundaki eksikliklerini kapatmasını da sağlamaktadır. Günümüzde adli
olayların çözümünde mobil adli bilişimin kullanımının artarak devam edeceği varsayımı ile
adaletin yerini bulması, delilin gizliliği, bütünlüğü ve erişlebilirliğinin sağlanması açısından
modellenen mobil adli bilişim sürecinin işletilmesi gerekmektedir.
Bilim Kodu
: 902.1.180
Anahtar Kelimeler
: Mobil cihaz, adli bilişim, mobil adli bilişim, mobil adli bilişim süreci
Sayfa Adedi
: 139
Danışman
: Öğr.Gör. Dr. Çelebi ULUYOL
v
A MODEL SUGGESTION FOR FORENSICS STUDIES ON MOBILE DEVICES
(M.Sc. Thesis)
Uğur AKALIN
GAZİ UNIVERSITY
INSTITUTE OF INFORMATICS
April 2016
ABSTRACT
Technology has penetrated into our lives. While this facilitates daily lives, on the other hand it
has brought about some responsibilites. The most important media that enabled us to integrate
with technology is mobile devices. As a result of the predominant use of mobile devices,
mobile devices has become the most important element that carry evidentiary chacteristics.
Today, mobile forensics is one of the fastest-growing branches in the dijital forensics field.
The specifications of the mobile devices has an important role in choosing the methodology
and tools to be used in the mobile forensics analysis. Specially the operating system directly
affects the methods of the forensics. To serve justice, mobile devices, before expired, must be
investigated by following/using the appropriate processes and tools. In this study, the forensic
investigation process of the mobile devices, before becoming invalid evidence, is modeled and
a sample mobile forensic investigations is carried out by using two different forensics tools.
By forensic investigation of mobile devices, the potential evidence data can be collected from
all the fields. Using different tools, besides providing verification, it compensates the
shortcomigs of the tools in data acquisition. With the assumption that the application of
mobile forensics usage will increasingly continue in investigation, the mobile forensics
process modeled in this study should be administered to serve the justice.
Science Code
: 902.1.180
Key Words
: Mobile device, digital forensics, mobile forensics, mobile forensics
process
Page Number
: 139
Supervisor
: Lecturer Dr. Çelebi ULUYOL
vi
TEŞEKKÜR
Çalışmalarım boyunca beni yönlendiren ve desteğini eksik etmeyen danışmanım Dr. Çelebi
ULUYOL'a, yine çalışma yapmamızı destekleyen Enstitü Müdürümüz Sayın Doç. Dr.
Nurettin TOPALOĞLU'na, bu süreçte gösterdikleri sabırdan dolayı yaşama sevinçlerim, moral
ve motivasyon kaynaklarım canım oğullarım Demir, Çelik ve sevgili eşim Meral AKALIN'a,
beni tüm hayatım boyunca teşvik eden ve varlıkları ile bana güç kuvvet veren annem Habibe
AKALIN'a, babam Hasan AKALIN'a, ağabeylerim Mehmet AKALIN ve Sabri AKALIN'a,
yüksek lisans yapmama vesile olan sevgili devre arkadaşlarım Ahmet Murat DERE'ye, Sertaç
ÖZKAL'a, Türker TANERGÜÇLÜ'ye, Emre KARSLI'ya, Özgür IRMAK'a, Levent CAN'a,
Alp EKE'ye, çalışmamda uygulama safhasında yardımcı olan Ahmet KELEŞ’e ve DİFOSE
Bilişim Bilgisayar Eğitim Danışmanlık Şirketine sonsuz teşekkürlerimi sunmayı bir borç
bilirim.
vii
İÇİNDEKİLER
Sayfa
ÖZET ......................................................................................................................................... iv
ABSTRACT ................................................................................................................................v
TEŞEKKÜR .............................................................................................................................. vi
İÇİNDEKİLER ......................................................................................................................... vii
ÇİZELGELERİN LİSTESİ ....................................................................................................... xi
ŞEKİLLERİN LİSTESİ ............................................................................................................ xii
RESİMLERİN LİSTESİ .......................................................................................................... xiii
SİMGELER VE KISALTMALAR ...........................................................................................xv
1. GİRİŞ .....................................................................................................................................1
2. MOBİL CİHAZLAR..........................................................................................................5
2.1. Mobil Cihazın Tanımı ..................................................................................................... 5
2.2. Mobil Cihazların Tarihsel Gelişimi ................................................................................ 5
2.3. Mobil Cihaz Teknolojileri ............................................................................................... 6
2.4. Mobil Cihaz Çeşitleri ...................................................................................................... 9
2.4.1. Cep telefonu ...........................................................................................................9
2.4.2. Cep bilgisayarı .......................................................................................................9
2.4.3. Tablet ...................................................................................................................10
2.4.4. Dizüstü bilgisayar ................................................................................................10
2.4.5. Akıllı telefon ........................................................................................................11
2.5. Mobil İşletim Sistemleri ................................................................................................ 13
2.5.1. Symbian ...............................................................................................................14
2.5.2. Windows mobile ..................................................................................................15
viii
Sayfa
2.5.3. Palm OS ...............................................................................................................16
2.5.4. WebOS .................................................................................................................16
2.5.5. Maemo .................................................................................................................17
2.5.6. MeeGo..................................................................................................................17
2.5.7. LiMo ....................................................................................................................17
2.5.8. Ubuntu touch OS..................................................................................................18
2.5.9. Tizen ....................................................................................................................18
2.5.10. Sailfish OS .........................................................................................................19
2.5.11. Firefox OS ..........................................................................................................19
2.5.12. Bada ...................................................................................................................19
2.5.13. Blackberry OS ....................................................................................................20
2.5.14. Windows phone .................................................................................................20
2.5.15. Android ..............................................................................................................21
2.5.16. iOS .....................................................................................................................21
3. ADLİ BİLİŞİM, MOBİL ADLİ BİLİŞİM VE METODOLOJİSİ .......................25
3.1. Adli Bilişim ve Adli Bilişimin Günümüzdeki Önemi................................................... 25
3.2. Adli Bilişim Çeşitleri .................................................................................................... 26
3.2.1. Bilgisayar analizi .................................................................................................26
3.2.2. Ağ analizi .............................................................................................................28
3.2.3. Bellek analizi .......................................................................................................28
3.2.4. GSM analizi .........................................................................................................29
3.2.5. GPS analizi...........................................................................................................29
3.3. Adli Bilişim Çalışmalarında Dikkat Edilmesi Gereken Hususlar ................................. 30
3.3.1. Dijital delilin tanımı .............................................................................................30
3.3.2. Dijital delilin prensipleri ......................................................................................30
ix
Sayfa
3.3.3. Cep telefonları delil kılavuzu ...............................................................................32
3.4. Mobil Cihazlarda Adli İnceleme ................................................................................... 33
3.4.1. Kısıtlar..................................................................................................................37
3.4.2. Mobil cihaz delil elde etme süreci .......................................................................39
3.4.3. Mobil cihazlarda adli inceleme araçlarının sınıflandırması .................................43
3.4.4. Veri elde etme (edinim) yöntemleri .....................................................................46
3.4.5. Cep telefonunda depolanan potansiyel kanıtlar ...................................................47
3.4.6. Delil niteliği .........................................................................................................47
3.4.7. İyi (Örnek) adli inceleme uygulamaları ...............................................................50
3.5. Mobil Cihazlarda Adli İnceleme Süreci ........................................................................ 53
3.5.1. Koruma (Muhafaza etme) ....................................................................................53
3.5.2. Elde etme .............................................................................................................63
3.5.3. İnceleme ...............................................................................................................73
3.5.4. Raporlama ............................................................................................................79
4. MOBİL ADLİ BİLİŞİM YAZILIMLARI .................................................................83
4.1. Oxygen Forensic Suite .................................................................................................. 83
4.2. MobilEdit Forensic........................................................................................................ 85
4.3. XRY .............................................................................................................................. 85
4.4. FTK Cep Telefonu Araştırıcısı ...................................................................................... 86
4.5. Elcomsoft ...................................................................................................................... 86
4.6. Cellebrite UFED ............................................................................................................ 88
4.7. Paraben iRecovery Stick ............................................................................................... 89
4.8. Zdziarski Tekniği .......................................................................................................... 90
4.9. Lantern .......................................................................................................................... 91
x
Sayfa
5. MOBİL CİHAZLARDA ADLİ İNCELEME ÖRNEK OLAYLARI..................93
5.1. IOS’a Yapılan Saldırıların Kısa Bir Tarihi ................................................................... 93
5.1.1. Liptiff ...................................................................................................................93
5.1.2. SMS ile ilgili sorunlar ..........................................................................................94
5.1.3. Storm8 ..................................................................................................................94
5.1.4. Casus telefon ........................................................................................................95
5.1.5. Pwn2Own 2010 ....................................................................................................95
5.1.6. Jailbreakme.com 2 (“Star”) ..................................................................................95
5.2. Mobil Adli Bilişimin Adli Davalara Katkısı ................................................................. 96
5.2.1. Kısa mesaj ve çağrı verisi ....................................................................................96
5.2.2. E-posta verisi .......................................................................................................96
5.2.3. Görüntü ve multi-medya mesaj verileri ...............................................................97
5.2.4. Konum bilgisi.......................................................................................................97
5.2.5. Geçmiş arama detayları ........................................................................................97
6. MOBİL ADLİ BİLİŞİM MODELİ VE ÖRNEK UYGULAMA ..........................................99
6.1. Mobil Adli Bilişim Modeli............................................................................................ 99
6.2. Örnek Uygulama ......................................................................................................... 105
6.2.1. Oxygen Forensic Suite ile yapılan uygulama ....................................................106
6.2.1. MOBİLedit Forensic ile yapılan uygulama .......................................................116
7. SONUÇ VE ÖNERİLER .............................................................................................125
KAYNAKLAR ........................................................................................................................129
ÖZGEÇMİŞ .............................................................................................................................139
xi
ÇİZELGELERİN LİSTESİ
Çizelge
Sayfa
Çizelge 1.1. Türkiye'de İnternet kullanımı ..................................................................................1
Çizelge 2.1. Dünya genelinde mobil/akıllı cihaz satışları .........................................................11
Çizelge 2.2. 3G hizmeti kullanıcı verileri ..................................................................................12
Çizelge 2.3. Dünya genelinde işletim sistemi bazlı satış rakamları ..........................................14
Çizelge 3.1. Delil bulma matrisi ................................................................................................37
Çizelge 6.1. Mobil adli bilişim süreci ......................................................................................102
Çizelge 6.2. Uygulamaların karşılaştırmaları ..........................................................................123
xii
ŞEKİLLERİN LİSTESİ
Şekil
Sayfa
Şekil 2.1. Toplam mobil abone sayısı ve 3G kullanım oranı.....................................................12
Şekil 3.1. Cep telefonu delil çıkartma işlemi .............................................................................40
Şekil 3.2. Hücresel telefon aracı sınıflandırma piramidi ...........................................................44
Şekil 3.3. Karar ağacı örneği .....................................................................................................62
Şekil 6.1. Mobil adli bilişim modeli ........................................................................................100
Şekil 6.2. Mobil adli bilişim akış diyagramı ............................................................................101
xiii
RESİMLERİN LİSTESİ
Resim
Sayfa
Resim 2.1. 1G'den 4G'ye ............................................................................................................8
Resim 2.2. iOS mimarisi ............................................................................................................23
Resim 6.1. Bağlantı sihirbazı ...................................................................................................106
Resim 6.2. Cihaz tanımlama ....................................................................................................107
Resim 6.3. Veri tipi seçme .......................................................................................................107
Resim 6.4. Cihaz bilgileri ........................................................................................................108
Resim 6.5. Rehber bilgileri ......................................................................................................108
Resim 6.6. Takvim/randevu bilgileri .......................................................................................109
Resim 6.7. Notlar .....................................................................................................................109
Resim 6.8. Mesajlar .................................................................................................................110
Resim 6.9. Olay kayıtları .........................................................................................................110
Resim 6.10. Dosya gezinti .......................................................................................................111
Resim 6.11. Ekstra ekranı ........................................................................................................112
Resim 6.12. Ekstra (Konum bilgileri)......................................................................................112
Resim 6.13. Web kayıtları .......................................................................................................113
Resim 6.14. Arama ekranı .......................................................................................................113
Resim 6.15. Rapor ...................................................................................................................114
Resim 6.16. Rapor (Rehber bilgileri) ......................................................................................114
Resim 6.17. Rapor (Notlar) .....................................................................................................115
Resim 6.18. Rapor (Mesaj detayı) ...........................................................................................115
Resim 6.19. Hoşgeldin ekranı ..................................................................................................116
Resim 6.20. Cihaz tanımlama ..................................................................................................117
xiv
Resim
Sayfa
Resim 6.21. Veri elde etme ayarları ........................................................................................117
Resim 6.22. Cihaz bilgi ekranı ................................................................................................118
Resim 6.23. Rehber bilgileri ....................................................................................................118
Resim 6.24. Mesajlar ...............................................................................................................119
Resim 6.25. SIM kart bilgisi ....................................................................................................119
Resim 6.26. Takvim bilgileri ...................................................................................................120
Resim 6.27. Medya ..................................................................................................................120
Resim 6.28. Uygulamalar ........................................................................................................121
Resim 6.29. Rapor formatı seçimi ...........................................................................................121
Resim 6.30. Rapor örneği ........................................................................................................122
Resim 6.31. Dava dosyaları .....................................................................................................122
xv
SİMGELER VE KISALTMALAR
Bu çalışmada kullanılmış bazı kısaltmalar, açıklamaları ile birlikte aşağıda sunulmuştur.
Kısaltmalar
Açıklama
2G
İkinci Nesil Kablosuz Telefon Teknolojisi
3G
Üçüncü Nesil Kablosuz Telefon Teknolojisi
4G
Dördüncü Nesil Kablosuz Telefon Teknolojisi
5G
Beşinci Nesil Kablosuz Telefon Teknolojisi
APDU
Uygulama Protokolü Veri Birimi
(Application Protocol Data Unit)
APP STORE
Apple Uygulama Marketi (Application Store)
ASLR
Adres Rastgeleleştirilmesi
(Address Space Layout Randomization)
CDMA
Kod Bölmeli Çoklu Erişim (Code Division Multiple Access)
CDRs
Arama Detay Kayıtları (Call Detail Records)
CNIC
Hücresel Ağ İzolasyon Kartı (Cellular Network Isolation Card)
EDGE
GSM'in Gelişmesi için Geliştirilmiş Veri Hızları
(Enhanced Data for GSM Evolution)
e-POSTA
Elektronik Posta
ESI
Elektronik Saklanan Bilgiler (Electronically Stored Information)
ESN
Elektronik Seri Numarası (Electronic Serial Number)
GPRS
Genel Amaçlı Paket Telsiz Hizmeti
(General Package Radio Service)
GSM
Mobil İletişim İçin Küresel Sistem
(Global System for Mobile Communication)
HDMI
Yüksek Çözünürlüklü Çokluortam Arayüzü
(High - Definition Multimedia Interface )
HFS
Hiyerarşik Dosya Sistemi (Hierarchical File System )
ICCID
Entegre Devre Kartı Kimliği (Integrated Circuit Card Identifier)
xvi
Kısaltmalar
Açıklama
ICCID
UICC seri numarası
IDC
Uluslararası Veri Kurumu (International Data Corporation)
IMAP4
Internet İleti Erişim Protokolü
(Internet Message Access Protocol version4)
IMEI
Uluslararası Mobil Cihaz Kod
(International Mobile Station Equipment Identity)
IoT
Şeylerin İnterneti (Internet Of Things)
IOS
iPhone İşletim Sistemi (iPhone Operating System)
MD5
Özet Mesaj Algoritması (Message-Digest Algorithm)
MEID
Mobil Ekipman Tanımlayıcısı (Mobile Equipment Identifier)
MMS
Multimedya Mesaj Servisi (Multimedia Messaging Service)
NFC
Yakın Saha İletişimi (Near Field Cominication)
NIJ
Ulusal Adalet Enstitüsü (National Institute of Justice)
NIST
Ulusal Standartlar ve Teknoloji Enstitüsü
(National Institute of Standards and Technology)
OHA
Özgür Yazılım Topluluğu (Open Handset Alliance)
OS
İşletim Sistemi (Operating System)
PDA
Kişisel Sayısal Yardımcı (Personal Digital Assistant)
PIM
Kişisel Bilgi Yönetimi (Personal İnformation Manager)
PIN
Kişisel Kimlik Numarası (Personal Identification Number)
RDBMS
İlişkisel Veri Tabanı Yönetim Sistemi
(Relational Database Management System)
SD
Güvenlik Servisi (Secure Digital)
SDK
Yazılım Geliştirme Kiti (Software Developer Kit)
SMS
Kısa Mesaj Servisi (Short Message Service)
SQL
Yapılandırılmış Sorgu Dili (Structured Query Language)
TDMA
Kod Bölmeli Çoklu Erişim (Time Division Multiple Access)
UICC
Evrensel Entegre Devre Kartı
(Universal Integrated Circuit Card)
xvii
Kısaltmalar
Açıklama
UMTS
Uluslararası Mobil Telekominikasyon Sistemi
(Universal Mobile Telecommunications System)
URL
Standart Kaynak Bulucu (Uniform Resource Locator)
USB
Evrensel Seri Veriyolu (Universal Serial Bus)
WAP
Kablosuz Uygulama Protokolü (Wireless Application Protocol)
Wi-Fi
Kablosuz Bağlantı Alanı (Wireless Fidelity)
1
1. GİRİŞ
Günümüzde yaşamın teknolojik gelişmelerle birlikte daha hızlı bir hal aldığı
gözlemlenebilir bir durumdur. Teknoloji hayatın her alanına nüfuz etmekte ve hayatı
kolaylaştırırken bir takım sorumlulukları da beraberinde getirmektedir. Mobil cihazlar
teknolojinin insanlığa sunduğu, insan yaşamını kolaylaştıran en önemli araçlar arasında yer
almaktadır. Mobil cihaz teknolojileri başlangıçta bilgisayar teknolojisinin gerisinde iken,
günümüzde en fazla gelişim gösteren teknoloji haline gelmiştir. Mobil cihaz teknolojisinin
gelişimi ve İnternet kullanımının (özellikle sosyal ağlar) bu duruma bağlı olarak artışı,
Çizelge 1.1'deki istatistik ile belirtilmektedir.
Çizelge 1.1. Türkiye'de İnternet kullanımı [1]
Yıl
Nüfus
Kullanıcı
Kullanıcıların Nüfusa Oranı
Kaynak
2000
70 140 900
2 000 000
2,9 %
ITU
2004
73 556 173
5 500 000
7,5 %
ITU
2006
74 709 412
10 220 000
13,9 %
Comp. Ind. Almanac
2010
77 804 122
35 000 000
45,0 %
Comp. Ind. Almanac
Çizelgede belirtilmiş olan istatistik doğrultusunda mobil cihazlar aracılığıyla kullanılan
İnternetin, insan hayatının vazgeçilmez bir unsuru haline geldiğini gözlemlemek
mümkündür. Günümüzde Türkiye nüfusunun neredeyse yarısı İnternet kullanmaktadır.
Dünyada otomobil kullanıcısı 800 milyon, kişisel bilgisayar kullanıcısı 850 milyon, telefon
kullanıcısı 1,3 milyar, İnternet kullanıcısı 1,1 milyar, TV kullanıcısı 1,5 milyar iken [2],
2007’de 2,7 milyar, 2009’da 4,3 milyar mobil iletişim donanımı kullanıcısı olduğu
belirtilmektedir [3]. 2007 yılında ise İnternete, mobil iletişim donanımından ulaşan birey
sayısı ilk kez kişisel bilgisayar ile ulaşan birey sayısını aşmıştır. 2010 yılında mobil veri
hizmet gelirleri 350 milyon dolara ulaşmıştır [4]. Bu rakam, İnternet içerik sektörü,
İnternet reklam gelirleri, video oyun sanayi, Hollywood ve küresel müzik sektörünün
toplamından büyüktür.
Mobil cihazlardaki gelişmelere paralel olarak İnternete ve dolasıyla siber dünyaya
bağımlılık her geçen gün katlanarak artmaktadır. Bu durum bilişimin bir suç aracı olarak
kullanılmasıyla beraber adli bilişimin doğmasına neden olmuş ve adli bilişimi hızla
2
gelişmesi gereken bir disiplin haline getirmiştir. Adli bilişim konusunun ve özellikle mobil
cihazlarda adli bilişim konusunun şuan olduğu gibi gelecekte de çok önemli bir yeri
olacağı değerlendirilmektedir. Bu nedenle bu konuda bir araştırma yapılmıştır.
Mobil cihazların bu denli yoğun kullanılmasının neticesinde, adli olaylarda daha sık
rastlanmaya başlamıştır. Mobil cihaz teknolojisinin hızlı gelişimi, ülkeler ve hukuksal
düzenlemelerin mobil cihazlar aracılığıyla gerçekleşen adli olayların takibinde çeşitli
zorluklarla karşılaşmalarına yol açmıştır. Dünyada ve ülkemizde bu açıklıkları istismar
etmek isteyen kişilerin ilk başvurdukları yol mobil cihazlar aracılığıyla haksız kazanç elde
etmektir. Günümüzde bu kapsamda birçok adli olay, mobil cihaz incelemeleri sonucunda
aydınlatılmaktadır. Bu kapsamda adli bilşimin ve özellikle mobil adli bilişimin adli
vakaların takibi ve suçluların yakalanması açısından önemli bir yeri vardır. Delil olarak
başvurulan mobil cihazların delil niteliği bozulmadan incelenme süreci davanın seyrini
etkilemektedir. Nitekim geçmişte adli bilişim süreçleri doğru yürtülmediği için yanlış
hükümler sonucunda suçsuz olmalarına rağmen çeşitli cezalara çarptırılan bireyler
olmuştur. Bu kapsamda mobil cihazlar, mobil adli bilişim ve süreçleri hayati öneme haiz
unsurlardır. Bu çalışma ile doğru bir mobil adli bilişim süreci modellemek amaçlanmıştır.
Literatür incelemesinde mobil cihazlarda adli inceleme uygulamaları konusunda daha çok
araçlar vasıtasıyla verinin elde edilmesi ve inceleme/analiz aşamaları esas alınarak bilimsel
çalışmalar yapıldığı gözlemlenmiştir. Mobil cihazlarda adli inceleme uygulamaları
konusunu süreç olarak Det. Cynthia A. Murphy ele almış ve süreci dokuz aşamaya
ayırmıştır. Bommisetty, S., Tamma, R. and Mahalik, H. ise Practical Mobile Forensics
kitabında mobil cihazlarda adli inceleme sürecini Murphy'nin ele aldığı şekliyle ortaya
koymuştur. Sürecin bu şekilde ele alınması diğer adli bilişim alt disiplinleri ile
senkronizasyonu bozmakta sürecin takibini ve gelinen aşamanın raporlanmasını
zorlaştırmaktadır. Sürecin doğrudan detayladırılmasının bu nedenle uygun olmadığını
değerlendirmekteyim. Computer hacking Forensics Investigator firması ise verdikleri
mobil adli bilişim eğitimlerinde aynı süreci delillerin toplanması, korunması, kaydedilmesi,
verinin elde edilmesi ve raporlanması şekliyle özetlemektedir. Sürecin bu şekilde
özetlenmesi aynı şekilde diğer adli bilişim alt disiplinleri ile senkronizasyon sorunlarına
yol açacağı gibi bütün resmin görülmesinde de engel oluşturmaktadır. Amerika Birleşk
Devletleri Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) ise dünyada bu konuda
bilimsel çalışmalar yapan önemli kuruluşlar içindedir. NIST bu ve buna benzer bir çok
3
konuda dünyada bazı standartların ve kılavuz dokümanların hazırlandığı bir kurumdur.
Mobil cihazlarda adli inceleme konusunda da NIST adına Jansen, W., Ayers, R. ve
Brothers, S. "Mobil Cihaz Adli Bilişim Rehberinde" süreci koruma, elde etme,
inceleme/analiz ve raporlama olarak dört ana safhaya ayırmıştır. Daha sonra ise süreç
detaylandırılmakta ve senkronizasyon, takip ve koordinasyon kolaylaşmaktadır. Yapılan
çalışmada bu kapsamda süreç dört ana alana ayrılmıştır.
Mobil cihazlar dizüstü bilgisayarlar, tabletler, akıllı cep telefonları gibi farklı formlarda
insanların kullanımına sunulmaktadır. Bu çalışma kapsamında mobil cihaz olarak akıllı
cihazlar yani akıllı cep telefonları değerlendirilmiş ve ele alınmıştır. Akıllı cihazlar,
üzerlerinde bir işletim sistemi kurulu olarak çalışır. Dünya da en çok kullanılan iki akıllı
cihaz işletim sistemi iOS ve Android'dir. Bu çalışma ile söz konusu işletim sistemlerinden
biri seçilerek birçok bireyin başvurabileceği bir mobil adli inceleme modeli oluşturmak
amaçlanmıştır. Bu çalışmada iOS isimli akıllı cihaz işletim sistemi ele alınmıştır. Çalışma
kapsamında öncelikle mobil cihaz kavramı teorik olarak incelenmiş, mobil cihaz çeşitleri
ve işletim sistemleri hakkında bilgi verilmiştir. Ardından çalışmanın uygulama bölümünde
adli incelemenin veri elde etme süreci ele alınmıştır.
Adli bilişim ve mobil cihazlar arasındaki ilişkinin kurulması adına öncelikle adli bilişim
kavramı, ardından önemi ayrıntılı bir şekilde ele alınmıştır. Bir mobil incelemenin nasıl
yapıldığının anlaşılması açısından inceleme süreci detaylandırılmıştır. Bir mobil inceleme
yapılırken kullanılan araçlar örneklendirilerek belirtilmiş ve önemli özellikleri referans
olması açısından detaylandırılmıştır. Buradaki en önemli kısıt bu araçların bir çoğunun
ticari ürün olması ve araştırma için temininin zor olmasıdır. Bu durum yapılan çalışmada
bir kısıt olarak ortaya çıkmıştır. Daha sonra örnek olaylar üzerinde durulmuştur.
Çalışmanın özgün bölümü ise örnek uygulama ile mobil inceleme modelinin kısmen
açıklandığı bölümdür. Bu bölümde en çok tercih edilen iki araç aracılığıyla örnek cihaz
incelemesi gerçekleştirilmiştir. Bu iki aracın seçilmesinde öncelikle söz konusu
uygulamaların kullanıcı dostu bir arayüze sahip olmaları ve adli bilişim araç testi
programından başarılı olarak değerlendirilmeleri önemli seçim kriteri olmuşlardır. Ayrıca
bu iki aracın teminin de problem yaşanmaması da kullanılma gerekçelerini artırmıştır.
4
Saha araştırmasında mobil cihazlarda adli bilişim sürecinin kontrol formu detayında
incelenmediği gözlemlenmiştir. Bu nedenle modellenen ve detaylandırılan süreç
kapsamında bu araştırmanın özgün bir çalışma olduğu değerlendirilmektedir.
Günümüzde adli olayların çözümünde mobil adli bilişim kullanımının artarak devam
edeceği varsayımı üzerinden adaletin kusursuz bir biçimde gerçekleştirilmesi adına
modellenen mobil adli bilişim sürecinin işletilmesi, adli inceleme faaliyetlerinde kolaylık
ve doğruluk sağlama amacı taşımaktadır. Adaletin tecelli ettirilmesi maksadıyla mobil
cihazlarda adli bilişim sürecinin doğru ve hatasız işletilmesi gerektiği temel varsayımı ile
araştırma yapılmıştır.
5
2. MOBİL CİHAZLAR
Teknoloji sayesinde iletişim farklı bir boyut kazanmış, insanlar artık hareketli olduklarında
istenilen her yerde ve zamanda pratik olarak iletişim kurabilme ihtiyacı ile karşı karşıya
kalmışlardır. Bu ihtiyacın karşılanmasında elektromanyetik dalgaların kullanılabileceği
değerlendirilmiş ve günümüzde kullanılan mobil teknolojilerin temeli atılmıştır.
2.1. Mobil Cihazın Tanımı
Mobil kavramı hareket edebilen ya da bir yerden bir yere taşınabilen seyyar anlamında
kullanılmaktadır. Günümüzde Türkçe’de, mobil kelimesi kendi şekliyle yer almaktadır.
“Mobil iletişim donanımları” kablosuz, çift yönlü iletişime izin veren, içlerinde gömülü
sistem ya da işletim sistemi barındıran, en ilkeli SMS alıp gönderebilenlerden başlayıp, en
gelişmişi İnternete ve görsel-işitsel yayınlara erişebilen tüm donanımlardır [5]. Günümüzde
mobil iletişimin büyük bir öneme sahip olduğu dünya çapında bilinen bir gerçektir. Mobil
teknolojiler hızla gelişmekte ve insanların ihtiyaç duyduğu uygulamalar da bu gelişme ile
üretilmektedir.
2.2. Mobil Cihazların Tarihsel Gelişimi
İlk cep telefonu DynaTAC adıyla Motorola Şirketi'nde çalışan Martin Cooper tarafından
geliştirmiştir. 1 kg ağırılığı ve 25 cm'nin üzerindeki ebatları ile bir cebe sığmayacak kadar
büyük bir mobil telefon olarak geliştirilmiştir. Bu telefonun gelişmiş modeli değişik
kaynaklardan alınan bilgilere göre yaklaşık 4 000 $ fiyata satılmıştır.
Bu telefon her ne kadar büyük bir ebatta olsa da aslında tarihte bir devrin başladığının
(hücresel haberleşme devri) habercisi olmuştur.
Daha sonra ise sırasıyla önce telefon ebatları küçülmüş, sonra LED ekranlar konmaya
başlanmıştır. Yıllar sonra IBM dünyanın ilk akıllı telefonu sayılabilecek Simon'u
tanıtmıştır. Simon bir nevi cep bilgisayarı ve hatta faks ve çağrı cihazı olarak
kullanılabilmiştir. Ayrıca dokunmatik ekran üzerinde işlem yapmak için bir kalemi olan
Simon bu özelliklerinin dışında takvim, e-posta, not defteri, oyun ve dünya saatleri
uygulamalarına sahiptir. Bir diğer önemli kilometre taşı ise 1996 yılında ilk zil seslerinin
6
değiştirilebildiği telefonun çıkarılması olmuştur. 1997 yılında ilk renkli ekran cep
telefonunu bir Alman firması olan Siemens tarafından tanıtılmıştır. Daha sonra nikel
bataryalar kullanılmaya başlanmış ve önceki dönemde kullanılan zehirli maddelerden
uzaklaşılmıştır. Nokia firması İnternete bağlanabilen ilk telefonu tanıtarak cep telefonu ile
İnternete bağlanabileceği fikrinin ortaya çıkmasına olumlu bir katkı sağlamıştır. 2000
yılında telefona eklenen ilk kamera ile cep telefonunda kamera dönemi başlamış ve hızla
teknolojisi ve özellikleri ilerlemiştir. Ericsson firması ilk bluetooth özellikli telefon ile
içerik paylaşmını sağlamıştır. Batarya konusunda Li-Ion batarya ile telefon tasarımı daha
da kolaylaştırılmış, uzun bekleme ve konuşma süresi sunularak şarj süresi oldukça
kısaltılmıştır. 2005 yılında Palm, akıllı telefonların başlangıcı sayılan cihazları üretmeye
başlamıştır. Bu cihazların en önemli özelliği bir işletim sistemi olması ve ofis dosyalarını
açabilmesidir. 2007 yılında ise Apple, dünyada deprem etkisi yaratan tasarımı "iPhone" ile
piyasaya girmiştir. 2007 yılı telefonun icadı kadar önemli bir yıl olmuş, dünyanın ilk 4G
telefonunu HTC, EVO 4G ile tanıtmıştır.
Cep telefonları birkaç kez dönüşüme uğrayarak bir aksesuardan ziyade yaşama ayak
uydurmak için kullanılan bir araç haline gelmiştir. Bunun sonucu ve gelinen noktayı
"Infographic" 2013 mobil cihaz istatistikleri açıkca ortaya koymaktadır. Rakamlara göre
dünya nüfusunun % 91'i cep telefonuna sahiptir. Bunun %56'sı ise akıllı cihazdır ve telefon
kullanıcılarının %50'si ise öncellikli İnternet kullanım aracı olarak telefonlarını
kullanmaktadır.
2.3. Mobil Cihaz Teknolojileri
Oldukça hızlı gelişen cep telefonlarının kullanılabilirliğini arttıran unsur mobil cihaz
teknolojisidir. Mobil cihaz teknolojilerinde nesiller boyunca, Marconi'nin kablosuz telgrafı
ile başlayan ve nihayetinde 5G'ye kadar gelen bir ilerleme sağlanmıştır.
İlk cep telefonu icat edildiğinde iletişimde kullanılan kanal sayısının azlığı ve iletişimin tek
yönlü olması nedeniyle tüm abonelere kesintisiz hizmet vermek mümkün olmamıştır. Söz
konusu sorunu çözmek adına 1971'de iletişimi hücrelemek düşüncesi doğmuş ve cep
telefonunun temelleri atılmıştır [6]. İlk mobil iletişim sistemleri analogdur. Her kullanıcı
için bir frekans tahsis etmek gerekmiş fakat kullanıcılara tahsis edilecek yeteri kadar
7
frekans bulunamamıştır. Birinci nesil mobil iletişim sistemlerinin ortaya çıkması ile bu
problem ortadan kalkmıştır. Fakat hizmet kalitesi istenen seviyeye ulaşamamıştır [6].
2G sistemi, sayısal iletişimin başlangıcıdır. Sayısal iletişim ile güvenlik boyut atlamış,
şifreleme yapabilen, yüksek kapasiteli ve bir frekansın eş zamanlı olarak birden fazla
kullanıcıya tahsis edilebildiği bir teknoloji ortaya çıkmıştır [7].
Devre anahtarlamalı haberleşme sistemleri yerine paket anahtarlamalı haberleşme
sistemleri özelliğininin eklenmesi ile 2 ve 3üncü nesiller arasında bir ara nesil oluşmuştur.
2,5G olarak adlandırabileceğimiz bu nesil GPRS (General Packet Radio Service), EDGE
(Enhanced Data rates for GSM Evolution) gibi teknolojiler barındırmaktadır. 2,5G nesli ile
WAP, MMS ve İnternet bağlantı servisleri sağlanmıştır.
Kablosuz iletişim teknolojilerinin en önemlilerinden biri 3G'dir. 3G 2 mbps veri aktarım
hızına kadar iletişim imkanı tanımaktadır. 3G teknolojisi yüksek hızla bağlantı gerektiren
durumlarda ihtiyacı karşılamak için oluşturulmuş bir teknolojidir. Sistem kimlik
doğrulama, veri güvenliği ve bütünlüğü gibi bazı güvenlik olgularını sağlamaktadır. 3G
hem karasal hem de uydu sistemlerinden faydalanmaktadır. Daha iyi hizmet sağlamak için
2.5G teknolojisi gibi hem paket anahtarlamalı hem de devre anahtarlamalı aktarımı
desteklemektedir.
2.5G teknolojisinin ardından Dünya’da 2001 yılında tanıtılan 3G ülkemizde ancak 2009
Temmuz ayında kullanılmaya başlanmıştır ve o zamandan bu yana abone sayısı hızla
artmıştır. 3G'nin en büyük özelliği hızlı İnternet erişim imkânı tanımasıdır. Dünya
nüfusunun %90'ından fazlası cep telefonu sahibidir ve bu telefonların yarısından fazlası
akıllı telefonlardır. Akıllı telefon sahiplerinin de yarısı bu cihazları öncelikli olarak İnternet
erişim aracı olarak kullanmaktadırlar. Bunun sonucunda 3G teknolojisinin ve devamındaki
teknolojilerin önemi daha iyi anlaşılabilmektedir. Gelişimleri takiben 3G teknolojisi de
bazı konularda yetersiz kalmış ve 4G teknolojisi çalışmaları başlamıştır.
4G, IP tabanlı, kablolu/kablosuz bilgisayar, tüketici elektroniği, iletişim teknolojileri, iç ve
dış ortamlarda sırası ile servis kalitesi ve yüksek güvenliğiyle her türlü ağ hizmetini tek bir
noktada birleştirerek makul fiyat ve tek ücretlendirmeyle gerçekleştirecek, 100 Mbit/s ile 1
Gbit/s veri iletim kapasitesini sağlayabilen ağların ağı olmayı hedefleyen bir hizmettir [8].
8
4G ağlarının amacı, hâlihazırdaki merkezi hücresel ağları, IP tabanlı olarak dünya çapında
tek bir merkezi hücresel ağ standardında birleştirmektir. 4G ağlar yüksek hız ve kapasite,
düşük maliyet, IP tabanlı servisler gibi özelliklere sahiptir [7].
Çalışmanın bu kısmına kadar anlatılmış olan kablosuz iletişim nesillerinin özelliklerini ve
gelişimini Qualcomm firmasının yaptığı sunumdan alınan Resim 2.1 oldukça belirgin bir
biçimde özetlemektedir.
Resim 2.1. 1G'den 4G'ye [9]
Birçok ülkenin kullanmaya başladığı ve Türkiye’de 01 Nisan 2016 tarihinden itibaren
kullanılmaya başlanan 4G teknolojisinin ardından 5G dünya gündeminde yerini almıştır.
ITU istatistiklerine göre mobil abone sayısı hızla artarken, sabit abone sayısı azalmaktadır.
Ayrıca Nesnelerin İnterneti (Internet of Things-IoT) ve sensör tabanlı ağlar, İnternette
trafiğin büyümesini desteklemektedir. Trafik artışının özellikle mobil sektörde yaşandığı
dikkate alındığında hâlihazırda kullanılmakta olan 4G teknolojilerinin de zamanla yetersiz
kalacağı öngörülebilmektedir. 5G’nin güvenilirlik, kullanılabilirlik, hızlı tepki süreleri,
enerji verimliliği gibi kavramlarla ifade edilen, sürdürülebilir, geleceğe ve değişime açık
İnternet oluşu; donanım ve yazılımdaki yeniliklerin eşleşmesi ile yazılım tanımlı ağ, sanal
ağ ve kablosuz teknolojilerde en son hesaplama yöntemlerini kullanmaya dayalı yeniden
tasarlanabilen bir altyapı gerektirdiğini göstermektedir [10].
Özetle, mevcut 3G sistemlerinde yüksek mobilite sağlanabilirken, 4G sistemleri ile 3G
sistemlerine göre veri hızları artmakta, esnek frekans kullanımı sağlanmakta ve trafik
9
kapasitesi artmaktadır. 5G sistemlerinde ise, 4G sistemlerine göre tüm parametrelerde
gelişme sağlanması hedeflenmektedir. Bu çerçevede, 5G teknolojisine yönelik standartların
halen geliştirilmemiş olması ve söz konusu gelişim sürecinin halen devam etmesi, diğer bir
ifade ile konunun halen “kavramsal” olarak tartışma safhasında bulunması, bu konuda
çalışma yapmak isteyen kuruluşlar açısından bir fırsat olarak görülebilir [11].
2.4. Mobil Cihaz Çeşitleri
Günümüzde teknolojinin hızla ilerlemesi ile cihazların çeşitleri ve özellikleri de
değişkenlik göstermeye başlamıştır. Geçmişte kullanılan bazı cihazlar popülerliğini
yitirmiş ve daha çok hayatı kolaylaştıracak şekilde İnternet ile hareketliliği sağlayacak
cihazlar tercih edilmeye başlanmıştır. Bu bölümde bu kapsamda değerlendirmeler
yapılmıştır.
2.4.1. Cep telefonu
Cep telefonu, taşınması kolay, geniş kapsama alanında hizmet veren, kablosuz sistem
kullanan bir iletişim ve multimedya aygıtıdır. Cep telefonu ile birçok hizmet
sağlanmaktadır. Bu hizmetler telefonun özelliklerine ve servis sağlayıcının yeteneklerine
göre farklılıklar içerebilir. Fakat genel olarak cep telefonu denilince sesli görüşme ve SMS
hizmeti ortak özellikler olarak ilk akla gelen özelliklerdir. Bu özelliklerin dışında yeni
teknolojili cihazlarla görüntülü görüşme, görüntülü mesaj, video oyunları, İnternet, müzik
çalar gibi daha birçok özellik kullanıcıya sunulmaktadır. Asıl önemli olan nokta ise
İnternet vasıtasıyla tüm kullanıcıların işlemlerini artık bu cihazlar vasıtasıyla yapmasıdır
(Ör: İnternet bankacılığı) [12]. Cep telefonları üzerinde, oldukça hızlı ve sürekli gelişen bir
teknoloji olması nedeniyle genel bir sınıflandırma yapmak pek mümkün değildir. Ama veri
girişine göre tuş takımlı, dokumatik ya da tasarım olarak gövdesinin türüne göre düz,
kapaklı veya kayan kapaklı gibi sınıflandırmalar yapılabilmektedir.
2.4.2. Cep bilgisayarı
Cep bilgisayarları PDA (Personal Digital Assistant), Palm olarak da tanınmaktadır. Cebe
sığacak boyutta olmasından esinlenerek cep bilgisayarı adını almıştır, avuçiçi bilgisayar
olarak da adlandırılmaktadır. İlk zamanlarda cep bilgisayarları adeta bir sekreter gibi
kişilerin günlük faaliyetlerini planlamalarına yardımcı olan bir cihaz olmuş bu nedenle
10
daha çok iş dünyasının ilgisini çekmiştir. PDAlerin MP3 dinleme, video izleme ve
özellikle İnternete bağlanma özelliklerinden dolayı kısa zamanda iş dünyasından geniş
kitlelere yayılmaya başlamıştır. Fakat akıllı telefonlar karşısında kendini yenileyememiş ve
bireylerin ilgisini yitirmiştir.
2.4.3. Tablet
İlk bilgisayarın bir bina boyutunda olduğu bilinen bir gerçektir. Fakat zamanla
bilgisayarlar küçülmüş ve neredeyse günümüzde her eve girmiştir. Tabii ki bu gelişme
burada bitmemiş ve dizüstünden başlayan gelişme şimdilik tablet bilgisayarlar ile devam
etmektedir. Tarihe bakıldığında Yunanlılar ile Romalıların 8'inci yüzyıl ortalarında mum
kaplı tabletler kullanmaya başladığı bilinmektedir. Bu tabletlerin özelliği yazılıp
silinmesidir ki bu tablet bilgisayarların reboot özelliğine ilham vermiştir. Tablet bilgisayar,
kısaca, dizüstü bilgisayar ile cep bilgisayarının sentezi olarak tanımlanabilir.
Tabletlerin popüler bir biçimde kullanılmaya başlanması 2010 yılını bulmuştur. Popüler
olmasının nedenleri ise dizüstü bilgisayarlara göre taşınmasının, kullanımının ve bazı
multimedya içeriklerin takip edilmesinin daha kolay olmasıdır. Tabletlerin çoğunda mobil
işletim sistemi varken bazılarında ise bilgisayarlarda kullanılan işletim sistemleri
kullanılmaktadır. Tablet bilgisayarların iş dünyası tarafından da yoğun olarak kullanıldığı
belirtilmektedir [13].
2.4.4. Dizüstü bilgisayar
Ekran ve klavyeden oluşan ve kolay taşınabilir bilgisayarlar olarak tanımlanan dizüstü
bilgisayarların en büyük artısı, AC güç ile çalışabileceği gibi şarj edilebilir bataryası
vasıtasıyla güç kaynağından uzakta çalışabilmesidir. En önemli özelliklerinden bir diğeri
ise küçük oluşu ile kolay taşınabilmesidir.
Yüksek maliyeti nedeniyle dizüstü bilgisayarlar çoğu teknoloji gibi fiyatlarının düştüğü
sürece kadar iş adamlarına hizmet etmiş ve belirli maliyetin altına düşmesi ile
yaygınlaşması ve kullanıcılar tarafından gördüğü ilgi artmıştır. Dizüstü bilgisayarlar ilk
kullanıldıklarında elektronik defter mantığı ile çalışması beklenirken artan performans
özellikleri neticesinde daha nitelikli ürünler ortaya çıkmıştır. Günümüzde dizüstü
bilgisayarlar masaüstü bilgisayarların yeteneklerine sahip olabilmekte ve hatta daha iyi
performans gösterebilmektedir. Ayrıca maliyet olarak ilk yıllardaki yüksek oranlar düşüş
11
göstermiş ve geniş kitlelere dizüstü bilgisayar hizmeti sunmak olanaklı hale gelmiştir.
Dizüstü bilgisayarlar ekran büyüklüklerine göre 4 grupta toplanabilir: 17"+ Laptoplar, 13"17" Notebooklar, 13"- Ultrabooklar, Minibook ve Netbooklar. Bunun dışında performans
olarak değerlendirildiğinde de Laptoplar, Notebooklar ve Ultrabooklar ön plana
çıkmaktadır. Diğer cihazlar ise daha düşük performanslı atom işlemci kullanmaktadır [14].
2.4.5. Akıllı telefon
Akıllı telefonlar sahip oldukları yetenekler sayesinde yalnızca günlük hayatın değil, iş
yaşantısının da vazgeçilmez unsuru olmuştur. Akıllı telefon kullanımı son yıllarda hızlı bir
ivme ile artmaktadır. Artık akıllı telefonlar, sadece telefon özelliklerini değil, bunun
yanında kişisel bir bilgisayarın sahip olduğu birçok özelliği kullanıcılara sağlamaktadır.
Bunun yanında işletmelere etkin maliyetli çözümler sağlamaktadır [15]. Bu özellikleri ve
giderek artan kullanımı ile bilişim suçlularının oldukça yoğun kullanımına açık hale
gelmiştir. Akıllı telefon satışları yıllar geçtikçe hızla artmaktadır. Bu rakamlar akıllı
telefonların bireylerin yaşamında önemli bir rol üstleneceğini göstermektedir. Çizelge
2.1'de Dünya genelinde Gartner ve IDC'nin rakamları verilmiştir. Bu iki istatistikte yıllar
geçtikçe bilgisaylara (masaüstü ve dizüstü) olan eğilimin azaldığını ve mobil cihazlara
(tablet ve akıllı telefonlar) eğilimin ise hızlı bir ivme ile arttığını gösterilmektedir.
Çizelge 2.1. Dünya genelinde mobil/akıllı cihaz satışları [16]
Tiplerine Göre Cihaz Satışları (Gartner)
Tiplerine Göre Cihaz Satışları (IDC)
Cihaz Tipi
Bilgisayar
2013
2014
2015
Cihaz
2013
2013
2017
2017 %
Satış
Satış
Satış
Tipi
Satış
%
Satış
296,1
276,7
263
Masaüstü
134,4
8.6%
123,1
5%
180,9
11,6%
196,6
8%
Bilgisayar
Tablet
195,4
270,7
349,1
Taşınabilir
Bilgisayar
Mobil Telefon
1 807,
1 895,1
1 952,9
Tablet
227,3
14,6%
406,8
16,5%
Diğer
21,1
37,2
62.0
Akıllı
1013,2
65,1%
1 733,9
70,5%
1 556
100%
2460,5
100%
Telefon
Toplam
2319,6
2479,8
2627,0
Toplam
12
Türkiye’de mobil telefon satış oranlarına ilişkin istatistikler, 2013 yılında toplam cihaz
satışları bir önceki yıla göre %1’lik bir artış gösterdiğini ve 12 milyona ulaştığını gözler
önüne sermektedir. Bu satışların %74’ünü ise akıllı telefonlar oluşturmuştur. Bu oranlardan
2013 yılında Türkiye’de 8,8 milyon akıllı telefon satıldığı anlaşılmaktadır. 2013 yılı içinde
gerçekleşen akıllı telefon satışlarında da 2012’ye göre neredeyse %44’lük bir artış
yaşanmıştır [17].
Şekil 2.1'de ise BTK Üç Aylık Pazar Verileri Raporuna göre, 2015 yılı Eylül ayı sonu
itibarı ile Türkiye’de yaklaşık %94,3 penetrasyon oranına karşılık gelen toplam 73.235.783
mobil abone bulunmaktadır. Temmuz 2009’da sunulmaya başlanan 3G hizmeti 2015 yılı
Eylül ayı sonu itibarıyla 63.066.580 aboneye ulaşmıştır. Grafikte 2G ve 3G mobil abone
sayısı ile penetrasyon oranları yıllar itibarıyla karşılaştırılmaktadır.
Şekil 2.1. Toplam mobil abone sayısı ve 3G kullanım oranı [18]
Çizelge 2.2'deki istatistikler ise yıllara göre cep telefonu kullanıcı sayısı azalırken akıllı
telefon kullanıcı sayısının ve buna bağlı olarak İnternet kullanımının arttığını
göstermektedir.
Çizelge 2.2. 3G hizmeti kullanıcı verileri [18]
13
Akıllı telefonlar, mini bilgisayarlar gibi bilgi işleme yeteneklerine sahip cihazlardır. Akıllı
telefonlar kullanıcısına telefonla görüşme yapma olanağı dışında İnternet erişimi, e-posta
alma gönderme, ofis uygulamalarını kullanma, görüntü ve ses kaydı, dokumatik ekran,
uygulama marketleri ile uygulama bazlı kolay kullanım imkanları sağlamaktadır.
Gelecekte akıllı telefon ve tablet gibi mobil aygıtlar İnternet erişimi gibi ihtiyaçlarının
karşılanmasında temel araç olacağı öngörüsü doğrultusunda işletmelerin bu nedenle
çözümlerini
masaüstü
bilgisayarlar
yerine
mobil
cihazlara
kaydıracağı
değerlendirilmektedir [19].
Akıllı telefonlar organizasyonlara birçok fayda sağlamaktadır. Bu faydalar yenilikçilik,
maliyet tasarrufu ve verimlilik olarak sıralanabilir. Akıllı telefonların organizasyonlara
sağladığı faydalar [15];
- E-posta hesaplarına sağlanan kolay erişim ile maliyet azalmış ve verimlilik artmıştır.
Sistemlere uzaktan erişim ile gereksiz telefon görüşmeleri ve şirket ziyaretleri
azaltılmaktadır.
- Navigasyon yeteneği ile gidilmek istenen noktaya erişim kolay, zamanında ve maliyet
etkin olmaktadır. GPS fonksiyonu ile konum paylaşımı ve takip sağlanabilmektedir.
- Kameralar ile işbirliği ve doküman paylaşımı sağlanabilmektedir.
- Wi-Fi özelliği ile ücretsiz İnternet erişimi sağlanabilmektedir.
- Dışarıdan veri paylaşımı ve transferi gerçekleştirilebilmektedir.
Akıllı telefonları, diğer telefonlardan ayıran en önemli özellik ise sahip oldukları özel
işletim sistemleridir.
2.5. Mobil İşletim Sistemleri
İşletim sistemleri donanımları denetleyen ve yöneten, temel sistem işlemlerinin ve
uygulama yazılımlarının çalışmasını sağlayan sistem yazılımlarıdır. Temel olarak en küçük
elektronik cihazda bile bir işletim sistemi mevcuttur. Donanımların gelişmesi ile onları
kontrol eden işletim sistemleri de bu gelişmelere paralel olarak bir gelişme göstermektedir.
Bu gelişmenin temelinde kullanıcı ihtiyaçlarını karşılamak yatmaktadır. Nitekim bu
ihtiyaçları karşılamayan işletim sistemlerinin ömrü yetmemektedir. Akıllı telefonlar, tablet
bilgisayarlar, kişisel dijital asistanlar gibi taşınabilir cihazlar için üretilen işletim
sistemlerine “mobil işletim sistemleri” adı verilir. Mobil işletim sistemleri de bilgisayar
14
işletim sistemleri gibi programların üzerinde çalışan bir platformdur ve cihazdaki işlevlerin
gerçekleşmesini sağlar.
Türkiye'de yaklaşık 70 milyon mobil cihaz abonesi varken bunun yaklaşık 50 milyonu
akıllı cihaz kullanmaktadır. Bu kullanım durumu her geçen gün artmaktadır. Bu çerçevede
akıllı cihazların kullandığı işletim sistemleri listelenmiştir. Sıralama, Gartner'ın Kasım
2015 verileri üzerinden en az kullanılandan çok tercih edilene göre yapılmıştır. Çizelge2.3'den de anlaşılacağı üzere 2014 ve 2015 akıllı telefon satışlarında özellikle Android
satışlarının büyük bir pay sahibi olduğu gözlemlenmektedir.
Çizelge 2.3. Dünya genelinde işletim sistemi bazlı satış rakamları
İşletim Sistemi
2015
2015 (%)
2014
2014 (%)
Android
298 797
84,7
254 354
83,3
iOS
46 062
13,1
38 187
12,5
Windows
5 874
1,7
9 033
3,0
BlackBerry
977
0,3
2 420
0,8
Others
1133,6
0,3
1 310,2
0,4
Total
352 844
100
305 384
100
Çalışmanın devam eden kısmında öncelikle geliştirilme süreci devam etmeyen işletim
sistemleri, daha sonra ise hâlihazırda popüler olarak kullanılan işletim sistemleri hakkında
bilgilendirme yapılacaktır. Geliştirilmesi devam etmeyen işletim sistemleri: Symbian,
Windows Mobile, Palm OS, webOS, Maemo, MeeGo, LiMo'dur.
2.5.1. Symbian
Symbian OS akıllı telefonlar ve mobil cihazlar için geliştirilmiş bir işletim sistemidir.
Symbian OS, EPOC işletim sistemi üzerine üretilmiştir. Farklı mimaride sistemlere
uyarlanabilmesinden dolayı, cep telefonu üreticilerinin dikkatini çeken EPOC, yeni nesil
akıllı cep telefonları için standart işletim sistemi olarak kabul edilmiştir. Bunun üzerine
Nokia, Ericsson, Motorola ve Panasonic firmalarının biraraya gelmesi ile EPOC'un
gelişmiş bir uyarlaması olan Symbian işletim sistemi geliştirilmiştir. Symbian OS
platformu, güvenli bir işletim sistemi ortamı sağlamaktadır. GPRS (General Packet Radio
Service), bluetooth, SyncML ve 3G gibi teknolojilere minumum güç tüketimi ve asgari
15
bellek gereksinimi duyması ile kolayca uyarlanabilen bir işletim sistemidir [20]. 32-bit ve
çoklu işlemli bir işletim sistemidir. Asenkron işlemlerin ve uygulamaların birbiri ile
etkileşimli çalışması için tasarlanmıştır (Telefon görüşmesinin o an yapılan başka bir
işlemi kesmesi gibi). Symbian OS düşük güç harcaması ile ön plana çıkmaktadır.
Symbian platformu 1998 yılında; Nokia, Motorola, Panasonic, Sony Ericsson, Siemens ve
Psion gibi firmalarının katkısı ile geliştirilmiştir. Android OS çıktıktan sonra üye firmalar
Symbian'ı terk etmişlerdir. Vakıfta en sonunda Nokia ve Fujitsu kalmıştır. Bu nedenle
Symbian Vakfı kapanmış ve işletim sisteminin açık kaynak olarak hizmet edeceği
açıklamıştır ancak 5 Nisan 2011 tarihinde Symbian'ın kaynağı kapanmıştır. Symbian,
geçmişte popüler bir işletim sistemi olmuştur. O dönemde ciddi bir rakibi olmaması
Symbian'ın bir nevi efsane bir işletim sistemi olmasını sağlamıştır. Nokia ile Microsoft
arasında yapılan işbirliğiyle, Symbian, tarih sayfaları arasına girmiştir. 2010 yılı itibariyle
yüzde 37,6’lık pazar payı ile dünyanın en yaygın mobil işletim sistemi olan Symbian’ın,
2015 sonunda yüzde 0,1’lik pazar payı alacağı öngörülmektedir [21].
2.5.2. Windows mobile
Windows Mobile Microsoft şirketi tarafından mobil cihazlar için tasarlanmıştır ve
Windows CE çekirdeği üzerine kurulmuştur. Windows Mobile'in genel özellikleri
şunlardır:
- Cihaz açılırken genel uygulamaların (masaüstü ekranı) aksine "bugün ekranı" (Today
screen) gelir. Bugün ekranı günün önemli faaliyetlerini ve gelen e-posta mesajlarını
gösterir.
- Görev çubuğu; saati, ses düzeyini ve bağlantı bilgilerini gösterirken çubuktaki "başlat"
düğmesi Windows'un masaüstünde bulunan başlat düğmesi ile aynı işlevi yerine getirir.
- Windows Mobile ile birlikte bazı ofis uygulamalarının mobil sürümleride gelir (Ör:
Word Mobile, Excel Mobile, PowerPoint Mobile). Bu programlar masaüstü sürümlerine
nazaran daha kısıtlı yeteneklere sahiptir.
- Outlook ve Windows Media Player programları da yüklü gelen yazılımlardandır.
- Windows'un masaüstü sürümlerinin aksine görev çubuğu üstte, menüler altta bulunur.
Ayrıca "kapat" düğmesi genellikle programları kapatmak yerine simge durumuna küçültür,
16
bu durum programların açık kalmasına ve bu nedenle bazı sorunların yaşanmasına sebep
olur.
Windows Mobile'ın birçok sürümü vardır. Her sürüm bir yenilikle gelmiştir. Yeniliklerin
en önemlilerinden biri uygulama geliştiricilere kolaylık sağlayan Widget'lar olmuştur.
Windows Mobile'ın yeni sürümleri Active Directory'e katılarak merkezi olarak
yönetilebilmektedir, ayrıca e-Posta için POP3 ve IMAP4 dışında Microsoft Exchange
Server desteği sunmaktadır. Windows Mobile 6.1 ile oldukça kararlı bir hale gelmiştir. 6.5
sürümüyle daha da ilerlemiş ve Windows Mobile 6.5'ten sonra Windows Mobile yerine
Windows Phone markasını kullanmaya Windows Phone 7 ile başlamış ve arayüzünü ve
uygulama mimarisini tamamen değiştirmiştir [22].
2.5.3. Palm OS
PalmOS işletim sistemi PalmOS Pilot isimli cep bilgisayarı için tasarlanmıştır. PalmSource
Haziran 2005'de diğer ürünlerin geliştirilmesini durdurduklarını ve Linux tabanlı PalmOS
üzerinde yoğunlaştıklarını duyurmuştur. 2005'de şirket Japon ACCESS tarafından satın
alınmıştır. Kasım 2005 de PalmOS üzerinde birçok değişiklik yapılmıştır. Bu değişiklikler
cihazların standartlara uygun kalabilmesini sağlarken, kararlı yapısı bozulmuş, daha çok iş
yapılırken daha sorunlu bir işletim sistemi haline gelmiştir [23].
2.5.4. WebOS
WebOS linux çekirdeği tabanlı akıllı tv ve mobil işletim sistemidir. İlk olarak Palm
tarafından geliştirilmiştir. HP tarafından satın alınmış ve açık kaynak haline getirilerek
Open webOS adını almıştır. LG tarafından satın alınmasına müteakip tekrar adı webOS
olarak değiştirilmiştir.
WebOS'un en önemli özelliği görsel arayüz ve menü efektleridir. WebOS'in tüm
sürümlerinde çoklu işlem yapabilme özelliği vardır. Sistemin arayüzü, yapılan işlemlerin
hiçbir şekilde sorun yaşamaması amacıyla tasarlanmıştır. WebOS'in en başarılı
özelliklerinden biri de üçüncü parti yazılımlar ile sistem uygulamaları arasında
senkronizasyonun kolay sağlanmasıdır. HP, WebOS'u satın alırken çoklu ürün geliştirmeyi
amaçlamıştır. Bu maksatla bu işletim sistemini akıllı telefonlar, tabletler ve yazıcılarda
kullanmayı hedeflemiştir. Fakat daha sonra HP içinde WebOS geliştirme çalışmalarını
17
sonlandırdığını açıklamıştır. Daha sonra yazılım açık kaynak şeklinde ve Open webOS
adıyla yayımlanmıştır. Şubat 2013'de HP, WebOS'un LG tarafından akıllı tvlerde
kullanılacağını duyurmuştur. Şimdilerde WebOS artık akıllı tv işletim sistemi haline
dönüşmüştür [24].
2.5.5. Maemo
Maemo, Nokia'nın mobil cihazlar için geliştirdiği, açık kaynaklı bir mobil işletim
sistemidir. Debian tabanında ve GNOME görsel kullanıcı arayüzü kütüphanesi üzerine
kurulmuştur [25].
Linux tabanlı ve ileri düzeyde bir altyapıya sahip olması nedeniyle üzerinde hiç bir
kısıtlama yoktur. Sadece Nokia ürün ailesinde kullanılmış olduğu için değişik
platformlarda uyum sorunu olmamıştır. Parmak etkileşimli çalıştığı için basit ve sade bir
arayüze sahiptir. Bu nedenle kullanımı son derece kolaydır. Dört ayrı masaüstü ekranı
vardır. Sadece tabletlerde kullanılmasından kaynaklı uygulama çeşitliliği olarak rakiplerine
oranla daha az uygulama çeşitliliği sağlar. Aynı anda birden fazla uygulamanın çalışmasını
desteklemektedir [26].
2.5.6. MeeGo
Nokia ve Intel tarafından geliştirilmiş açık kaynaklı, mobil işletim sistemidir. Hedef kitle
olarak akıllı telefonları, navigasyon cihazlarını, akıllı TV’leri, tabletleri ve cep
bilgisayarlarını almıştır. Öncelikli amaçları Intel ve Nokia firmaları tarafından geliştirilen
Moblin ve Maemo işletim sistemlerinin yeteneklerini ve teknolojilerini tek bir işletim
sisteminde üzerinde birleştirmek olmuştur.
MeeGo dönemi Nokia’nın Microsoft, Intel’in de Samsung ile anlaşarak Meego’yu
geliştirmeyi durdurduklarını açıklamaları üzerine sonlanmıştır [27].
2.5.7. LiMo
LiMo OS, Linux tabanlı olan mobil cihazlar için geliştirilmiş bir işletim sistemidir. Esnek
bir kullanıcı arayüzü, görev yöneticisi ve çoklu dokunuş desteğine sahiptir. Sistem açık
yapılı olup Android yüklenmesi mümkündür. LiMo Eylül 2011'de Tizen adını almıştır.
18
Buraya kadar açıklanan işletim sistemleri güncelleğini yitiren veya kullanımı sonlandırılan
ya da bir başka ifadeyle teknik destek verilmeyen sistemlerdir. Çalışmanın devamında
belirtilen işletim sistemlerine göre daha çok kullanılan sistemler ele alınmaktadır.
2.5.8. Ubuntu touch OS
Ubuntu Touch, Canonical Ltd. ve Ubuntu Topluluğu tarafından akıllı telefonlar ve tabletler
için geliştirilen mobil işletim sistemidir. 31 Ekim 2011 tarihinde tanıtılmış ve 2013'ün ilk
çeyreğinde yayımlanmıştır.
Ubuntu Touch OS'un bazı özellikleri ile ön plana çıkacağı değerlendirilmektedir. Zayıf
donanımlı telefonlarda bile hızlı ve iyi bir çözüm sunduğu belirtilmektedir. Arayüzü
oldukça başarılı olan bu işletim sistemi kullanıcılar için pek çok kolaylık sağlamaktadır.
Ekranın tüm köşeleri işlerlik kazanmıştır. Uygulamalar arası geçişler ve içerik erişimleri
diğer işletim sistemlerine oranla daha kolaydır. Favori uygulamaların bulunduğu bölüm
sayesinde hızlı erişim imkânı sağlanır. Ubuntu Touch için çoklu uygulama teknolojisinin
tam olarak uygulandığı işletim sistemlerindendir. Kilit ekranı yoktur; bunun yerine
hoşgeldiniz ekranı vardır. Diğer işletim sistemlerine benzer bildirim merkezi bu işletim
sisteminde de vardır [28].
2.5.9. Tizen
Tizen; açık kaynak kodlu ve Linux tabanlı, akıllı telefonlar, tabletler, araç içi bilgi
sistemleri ve akıllı TV'ler için geliştirilen mobil, işletim sistemidir. Intel ve Samsung
firmaları tarafından geliştirilmiştir. MeeGo'nun devamı olarak belirtilmesine rağmen yeni
bir işletim sistemi olarak ortaya çıkmıştır. Tizen her yerde tek işletim sistemi ilkesi ile
geliştirilmiştir.
Tizen grafik tarafında da güçlüdür. Open GL ES/EGL (3D) ve Web GL standartlarını oyun
geliştiricilerine istenilen seviyede sağlamaktadır. İşlemci olan her üründe çalışmayı
hedeflemiştir. Hem ARM hem de x86 desteği sağlamaktadır.
Geliştirme ortamı olarak Eclipse kullanılır. Tüm HTML5 ve Javascript uygulamalarının
kolaylıkla çalıştırılabileceği bir ortam sunmaktadır. Sistemin tüm kaynak kodlarına ve ilgili
dokümanlarına açık kaynaktan ulaşmak mümkündür [29].
19
2.5.10. Sailfish OS
Sailfish, gönüllü bir topluluk tarafından Linux ve Mer çekirdekleri üzerine geliştirilmiş bir
işletim sistemidir. Açık kaynak kodlu bir sistemdir. Sailfish'in farklı kılan ara yüzüdür.
Ana sayfada açık uygulamaları gösteren pencereler bulunur. Bu özellik sayesinde
aralarında kolaylıkla geçiş yapılabilmektedir. Açık uygulamalar canlı bilgileri gösterir.
Telefonu uyandırmak için ekrana dokunmak yeterlidir. Bu yapı cihazın tek elle
kullanılmasına da uygundur. Sailfish OS, cihazın kişisel olarak özelleştirilmesine müsaade
etmektedir. Sailfish’in diğer önemli özelliği Android uygulamalarına da erişim imkânı
tanımasıdır. Sailfish aynı zamanda Android donanımını da desteklemektedir. Bir başka
ifadeyle Android kurulu bir cihaza, Sailfish yüklemek de mümkündür. Bu nedenle, Sailfish
yüklü gelen cihazlar ilk başta çok sınırlı sayıda olsa da, diğer cihazlara da yüklenebildiği
için yayılması çok daha kolay olmaktadır. Uzun dönemde çok yönlü yapısıyla akıllı
TV’lerde ve tabletlerde de kullanılma ihtimali yüksektir. Sonuç olarak, Sailfish
beklentilerin yüksek olduğu bir işletim sistemidir [30].
2.5.11. Firefox OS
Firefox OS, Mozilla tarafından 2013 de duyurulan ve akıllı telefonlar için geliştirilen açık
kaynaklı bir işletim sistemidir. Üretici olarak Alcatel, ZTE, Huawei ve LG firmaları
çalışmalara katılmıştır. İşletim sistemi ile beraber uygulama market olan Firefox
Marketplace tanıtılmıştır. Firefox Marketplace; oyun, haber ve medya, iş ve üretkenlik
konularında birçok uygulama seçeneği sunar ve bu uygulamalar cihazlar ve platformlar
arasında taşınabilir [31].
Firefox OS; şık, yalın ve kolay kullanım ile kullanıcı dostu bir yapıya sahiptir. Firefox OS
da gelişmiş bir arama motoru vardır. Bu özellikle aranan uygulamaya doğrudan giden bir
yol kurulur. Mozilla, Firefox Marketplace ile dünyanın en büyük uygulama mağazası olma
potansiyeline sahiptir [32].
2.5.12. Bada
Bada, Samsung tarafından Linux çekirdeği üzerine akıllı telefonlar için geliştirilmiş bir
mobil işletim sistemidir. Giriş ve orta seviye akıllı cihazları hedef alan Bada özgür yazılım
lisansı ile geliştirilmiştir. Bada'nın öncelikle akıllı televizyonlarda daha sonra ise diğer
20
ürünlerde kullanılması hedeflenmektedir. Bada 2.0 ile çoklu görev desteği gelmiştir. Bada
sosyal entegrasyonu iyi olan işletim sistemlerindendir. Sosyal ağ entegrasyonu aynı şekilde
devam etmektedir. Rehberdeki kişiler ile sosyal ağlardaki kişiler senkronize edilebilir ve
eksik bilgi sosyal ağlardan alınabilir. Bu özellik ile rehber üzerinden sosyal ağlara mesaj
atma yeteneği kullanılabilir. Bada'yı kullanan 3 ana cihaz ve ihtiyaçlara göre birçok ara
model vardır [33].
2.5.13. Blackberry OS
BlackBerry OS, Java tabanlı BlackBerry marka akıllı telefonlar için geliştirilen mobil
işletim sistemidir. İlk sürümü 1999 yılının Şubat ayında yayınlanmıştır. BlackBerry OS
tarafından bugüne kadar 7 ana sürüm ve pek çok güncelleme yayınlamıştır [34].
2013'ün ilk çeyreğinden itibaren piyasaya sürülen tüm yeni cihazlarda BlackBerry OS
yerine Unix tabanlı yeni nesil BlackBerry 10 mobil işletim sistemi kullanılmıştır [35].
2.5.14. Windows phone
Windows Phone veya Windows Telefon, Microsoft tarafından 2010 Şubat ayında
duyurulmuştur. Windows Mobile yerine geliştirilen mobil işletim sistemidir. Windows
Phone için hedef kitle son kullanıcılardır.
20 Haziran 2012 tarihinde, çekirdek değişikliği ile (Windows CE yerine Windows NT)
yeni işletim sistemi tanıtılmıştır. Bu çekirdek aynı zamanda Windows 8’de de
kullanılmaktadır. Bu çekirdeğe geçişin amacı Windows 8 ile Windows Phone arasında
uyumun sağlanmasıdır. Bu senkronizasyon ile iki işletim sisteminde uygulamalar karşılıklı
olarak kullanılabilir hale gelmiştir.
Haziran 2014'de yeni bir güncelleme yayımlanmıştır. Güncelleme ile sesli yardımcı
desteği, tek parmağı sürükleyerek yazma (Word flow) klavyesi, bildirim ekranı, ekran
düğmeleri ve uygulamaların hafıza kartına taşınma özellikleri getirilmiştir. Kullanıcıların
önemli olduğu mesajını vermek adına “Önce İnsanlar (Put People First)” ilkesi
kullanılmaktadır [36].
21
2.5.15. Android
Android, Google, Open Handset Alliance ve özgür yazılım topluluğu tarafından açık
kaynak kodlu bir mobil işletim sistemidir. Android bir milyardan fazla kullanım istatistiği
ile akıllı telefon ve tabletlerde kullanılan en çok tercih edilen işletim sistemidir. Her
sürümüne tatlı isimleri verilen Android için hayatımızı daha tatlı yapmaya geldiği mesajı
resmi web sitesinden verilmektedir. Her Android sürümü ile bir şeyler olası haline
getirilmiştir. Tarihsel ve teknolojik olarak Android’in gelişimi aşağıdadır.
Temmuz 2005'te Google, Android Inc.'i satın almıştır. Ekip tarafından Linux tabanı
üzerine esnek, güncelleştirilebilir işletim sistemi yazılmıştır. Google, Android'i satın
aldıktan sonra telefon üreticileri ile birlikte Open Handset Alliance (OHA) birliğini
kurmuştur. Android'in gelişimi OHA tarafından yönetilmeye başlanmıştır. Bu olayın
ardından Android geliştirme çalışmaları büyük bir hız kazanmıştır [37]. Son güncelleme 5
Ekim 2015 tarihinde yapılan Marshmallow olarak duyurulmuştur. Android işletim sistemi
beş kısımdan oluşur:
Çekirdek: Linux çekirdeğidir. Güvenlik, hafıza yönetimi, süreç yönetimi, ağ yığınları ve
sürücü modellerini içermektedir.
Android Runtime: Sanal makinedir. Dalvik Sanal Makinesini de içermektedir.
Kütüphaneler: Veritabanı kütüphaneleri, web tarayıcı kütüphaneleri, grafik ve arayüz
kütüphanelerini içermektedir.
Uygulama Çatısı: Uygulama geliştiricilere geniş bir platform sunan kısımdır.
Uygulama Katmanı: Doğrudan Java programlama diliyle geliştirilmiş uygulamaları
içermektedir.
2.5.16. iOS
iOS, iPhone için özel olarak üretilmiş bir işletim sistemi olmakla birlikte iPad, iPodTouch
ve Apple TV gibi farklı Apple cihazlarındaki uygulamaları da çalıştırabilmektedir. iOS ve
Mac OS X, birbirlerine benzeseler de iOS sadece cep telefonları için geliştirilmiştir. Şu an
22
Avrupa akıllı telefon marketinin %14.5 lik dilimini kaplayan iOS, Android'den sonra
Avrupa'nın en çok tercih edilen işletim sistemidir.
iOS Mimarisi: Temel hatlarıyla Mac OS X çekirdek tabanlı olan iOS çekirdeği,
uygulamaları çalıştırmak için pek çok katmanı içerir. Veri katmanları Çekirdek OS,
Çekirdek Servisleri, Media, Cocoa Touch, ve Uygulamalardan oluşmaktadır. iOS
içerisinde yer alan veri katmanlarının yapıları:
Çekirdek OS: Bu veri katmanı düşük seviye bağlantı, dış gereçlere ulaşım ve hafıza
yönetimi/dosya sistemi işletmeni gibi hizmetler sunarak cihaz yazılımının en önemli
parçasını oluşturmaktadır. ''Common Crypto'' bu katmanda depolanmış hareketli
kütüphanelerden sadece biridir. Kütüphane, şifreleme/çözümleme işlemlerini içerdiğinden
anahtar zinciri servisiyle beraber sertifika oluşturma ve yönetiminde kullanıcıya yardım
eder.
Çekirdek Servisleri: Bu veri katmanı Çekirdek OS'la birlikte çalıştığında bütün
uygulamaların üzerinde işlem yapabildiği temel bir sistem hizmeti sunar. Düşük boyuttaki
veri ve dosya erişimini sağlamak için genellikle C-tabanlı temel ara yüzler içermektedir.
Bu ara yüzlerin içerisinde Core Foundation, CFNetwork, SQLite ve başka pek çokları
sayılabilir. Cihazdaki anahtarlık veri tabanını kullanarak veri depolama ve şifreleme
işlemleri yapan, Anahtarlık Hizmetleri'ni içerisinde barındıran Güvenlik Hizmetleri de bu
veri katmanında bulunabilir.
Media (Ortam): Ses, grafik ve video uygulamalarının bulunduğu veri katmanıdır.
Cocoa Touch: Uygulamaların görsel ara yüzleri için eklenmesi zorunlu alt yapı
teknolojilerini içeren veri katmanıdır [38].
Uygulamalar: App Store da bulunan uygulamalardır.
Resim 2.2'de iOS mimarisi şematik olarak gösterilmiştir.
23
Resim 2.2. iOS mimarisi
İOS kendi çekirdeğinde güvenlikli olarak dizayn edilmiştir. iPhone, iPad ve iPod Touch
gibi Apple cihazları güvenlik katmanlarıyla dizayn edilmiştir.
Veritabanı (SQLite): En çok kullanılan ve en yaygın veri depolama türlerinden biridir.
Birçok mobil uygulama geliştiricisi SQLite veritabanını tercih eder. Daha geleneksel
ilişkisel veritabanı yönetim sistemlerinin (RDBMS) aksine, tüm veritabanı, tek bir çapraz
platform dosyasında bulunur. Uygulamaların verimli bir şekilde veri depolayabilmesi ve
alması gerekmektedir. Geliştiriciler genellikle bunun için kendi bireysel dosya formatlarını
oluşturmaktadırlar. Ancak ücretsiz, yüksek kaliteli, verimli ve açık kaynaklı olması
nedeniyle geliştiriciler de SQLite'i tercih etmeye başlamışlardır.
Çalışma Modları (Operating Modes)
Normal mod: Cihaz tipik bir şekilde açıldığında bu normal moddur. iPhone’da yapılan
birçok faaliyet aksi belirtilmediği sürece normal modda yürütülür.
Kurtarma modu: Kurtarma modu için, kullanıcı veya denetleyici yazılım sisteminin
yüklenmesini atlayarak iBoot içine cihazı yüklemelidir. iBoot Apple’ın ikinci evre boot
loader’ıdır ve kurtarma modunda yer alır. Bu çalışma modu aygıtı; etkinleştirme,
iPhone’da sürüm yükseltme veya sürüm düşürme ya da bazen adli fiziksel kazanım
işlevlerini gerçekleştirmek için gereklidir.
Aygıt kurtarma modu: Aygıt kurtarma modu iPhone’da çeşitli eylemleri başlatmak için
gereklidir. En yaygın olanı fiziksel kazanımı çalıştırmaktır.
24
Uygulama Marketi (App Store): App Store iOS için uygulama satın alma platformudur.
Apple tarafından geliştirilmektedir. Bu satın alma mağazasında kullanıcılar uygulamalara
göz atabilir ve onları indirebilirler. Bu işlem ücretli ya da ücretsiz olabilir. Bu uygulamalar
aygıtın işlevselliğini genişletmektedir. Eylül 2014 itibariyle, App Store da 1 200 000'dan
fazla uygulama bulunmaktadır ve bu uygulamalar kullanıcılar tarafından 85 milyar kez
indirilmiştir. Geliştiriciler geliştirdikleri uygulamaları Apple’a onay için gönderir.
Uygulamalar kapsamlı bir şekilde Apple tarafından firma kuralları doğrultusunda incelenir.
Eğer uygulamalar Apple tarafından onaylanırsa Apple Store’da kullanıcıların erişimine
açılır. Apple kötü amaçlı yazılımları engellemek için uygulamaları katı inceleme
sürecinden geçirir [39].
25
3. ADLİ BİLİŞİM, MOBİL ADLİ BİLİŞİM VE METODOLOJİSİ
3.1. Adli Bilişim ve Adli Bilişimin Günümüzdeki Önemi
Adli bilişim, bilgisayarlardaki sanal verilerin toplanıp, kanıtlarının ortaya konup yazı halini
aldığı bir bilim dalıdır. Bu bilim dalı suçlu ile suçsuzu birbirinden ayırır, suçlu olduğu
düşünülen kişi hakkında delilleri bir araya getirir ve suçsuzun haklarının korunmasına
olanak sağlar. Adli bilişim bir süreçtir. Süreç delillerin toplanması için hazırlık yapılması
ile başlar, delillerin toplanması ve korunması, incelenmesi, analizi, sunumu ve
raporlanması ile son bulur.
Günümüzde bilişim ve İnternetin oldukça yaygınlaşması nedeniyle bilişim suçları her
alanda ve zamanda ortaya çıkabilmektedir. Bu şartlar altında geçmişte Türkiye’de de
karşılaşıldığı üzere bilgisizlikten kaynaklanan, suşcuz insanların suçlanabilmesi ya da
suçluların açıklıklardan faydalanarak kaçabilmeleri gibi durumlar gözlemlenmiştir. Ayrıca
gerçek ortama göre sanal ortamda delil bırakma ya da silme fiziksel ortama göre daha
kolay olmaktadır. Adli bilişim bu açılardan insan hayatına girmiş olsa da Türk toplumunda
halen yeterli farkındalık oluşturulamamıştır. Adli bilişimin bir diğer yönü de çeşitli
konuları suç açısından değil güvenliğin tesisi açısından değerlendirmesidir. Bu yönüyle
sistemlerdeki açıklıkların bulunmasına katkısı büyüktür.
Adli bilişimin amacı olay yerindeki delillerin hiç bir şüpheye yer vermeden gizlilik,
bütünlük ve erişebilirlik kıstaslarına uygun bir şekilde toplanması, daha sonra bu delillerin
bilimsel metotlarla incelenmesi, analizi ve raporlanmasıdır. Bu süreçte en önemli safha
delile yapılan ilk müdahale safhasıdır. Bu nedenle delillerin toplanması için özel bazı
yöntem ve donanımların kullanılması gereklilik haline gelmiştir. Adli bilişime önem veren
ülkeler bu süreçleri destekleyici çeşitli önlemleri kanunlar ve yönetmelikler çerçevesinde
almıştır. Usulüne uygun toplanmayan delilin hukuksal bir geçerliliği yoktur ve delil niteliği
kazanmamaktadır. Bu açıdan delilin toplanması, korunması bir olayın aydınlatılmasındaki
en önemli faktördür.
Bilişim bireylerin hayatına girdikçe adli bilişimin önemi artacaktır. Bu konuda en önemli
husus öncelikli olarak bu konuda bir farkındalığın oluşturulmasıdır. Arzu edilen durum
toplum olarak adli bilişime hiç ihtiyaç olmamasıdır fakat gerçek yaşamda bu durum pek
mümkün olmamaktadır. Bu nedenle bu konuda öncelikle eğitim veren kurum ve
26
kuruluşların sayısının artırılması ve daha sonra bu konuda pratik uygulamalarla öğrenilen
bilgilerin pekiştirilmesi gerekmektedir.
Her ne kadar adli bilişim konusu Türkiye'de ve dünyada gereken seviyede olmasa da adli
bilişim teknolojisinin hızlı gelişmesi ve sistemlerin birbirlerinden ayrı birçok özelliğinin
olmasından kaynaklı adli bilişim de birçok alt alana bölünmüştür.
3.2. Adli Bilişim Çeşitleri
Adli bilişimin temelini elektronik delil oluşturmaktadır. Elektronik delilin muhafaza
edildiği taşındığı veya paylaşıldığı her ortam ise adli bilişimin kapsamına girmektedir. İlk
olarak bilgisayarla başlayan bu bilim dalı zamanla alt dallara ayrılmış ve her biri için
uzmanlık dalları oluşmuştur. Bu alt dalları bilgisayar, ağ, dosya sistemi, işletim sistemi,
mobil cihaz, malware (kötücül yazılım) ve geçici bellek adli bilimi olarak sıralanabilir.
3.2.1. Bilgisayar analizi
Adli bilişim ilk ortaya çıktığında sadece bilgisayar adli incelemeleri üzerinde
çalışılmasından kaynaklı computer forensics Türkçe’ye adli bilişim olarak çevrilmiştir.
Daha sonra adli bilişimin sadece bilgisayar incelemelerinden ibaret olmadığı ortaya çıkmış
ve adli bilişim de dünyada digital forensics olarak anılmaya başlanmıştır. Bilgisayar adli
incelemeleri ise adli bilişimin bir alt dalı olmuştur.
Bilgisayar adli bilişimin temelini oluşturmaktadır. Burada kastdedilen bilgisayarın adli
bilişimin varlık nedeni olmasıdır. Bilgisayarın adli bilişimin nedeni olmasının yanında adli
olayların çözülmesinde kullanılan araç olması nedeniyle iki tür ilişkisi olmaktadır.
Bilgisayar denildiğinde akla, bilgisayarın yanında sunucular, taşınabilir bilgisayarlar ve
masaüstü bilgisayarlar da gelmelidir. Bilgisayarlarda deliller ya diskte ya da geçici bellekte
bulunmaktadır. Disk incelemesi genellikle silinmiş ögelerin geri getirilmesi olarak
uygulanmaktadır. Burada önemli olan husus disk yapıları ve özelliklerinin incelemeyi
yapan tarafından iyi bilinmesidir. Bilgisayar incelemesinde sistem kayıtları, zararlı
yazılımlar, sunucu ise üzerinde çalışan uygulamalar veya web sunucu ise üzerinde
barındırdığı sitenin kayıtları delil olma ihtimaline karşın ayrıntılı incelenmelidir.
27
İnceleme esnasında önemli olan husus adli inceleme sürecinin eksiksiz ve delile zarar
vermeden icra edilmesidir.
Bilgisayar depolama ortamlarındaki inceleme sürecini ilk başlatan kişi daima uzman
personel olmalıdır. Bilinçsizce yapılan ilk müdehaleler veri kaybına, delil bütünlüğünün ve
seyrinin bozulmasına başka bir ifadeyle inceleme sürecinin aksamasına yol açabilmektedir
[40].
Bilgisayar depolama ortamlarındaki inceleme sürecinde saptanması gereken başlıca bir
husus vardır. İnceleme altına alınan elektronik cihazdaki depolama ortamına ait veriler
toplanmalı ve raporlaştırılmalıdır. Bu bilgisayar depolama ortamları ile ilgili olarak:
- Toplam kapasite,
- Bölüm (Partition) sayısı, kapasite ve dosya sistemi bilgileri,
- İşletim sistemi türü, sürümü, yama sürümü,
- İşletim sistemi kurulum tarihi,
- Kullanıcı bilgileri,
- Bilgisayar son kullanım tarihi bilgileri elde edilmelidir.
Bu işlemler yapılırken işletim sistemi ve onun sürümümünün bilinmesi süreci
hızlandıracak ve kolaylık sağlayacaktır. Bu durumu bir örnekle açıklamak gerekirse, Linux
tabanlı Ubuntu işletim sistemi üzerinde yapılan konuşma kayıtları incelenirken MSN
Messenger yerine Empathy Internet Messaging programı kayıtlarının saptanması zaman
kazanma açısından verimli olabilmektedir.
Bilgisayara giriş yapan kullanıcıların ve giriş yaparken kullandıkları yöntemin saptanması,
adli bilişim uzmanı tarafından saptanan diğer bilgiler ile birlikte değerlendirilmesi
açısından önem arz etmektedir. Bu açıdan bakıldığında, bilgisayarın son kullanım tarihi ile
bilgisayara ait üstveri bilgilerinin birbiri ile tutarlı olması gerekmektedir. Adli bilişim
uzmanı gerçek zaman bilgisini ve bilgisayarda kayıtlı olan zaman bilgisini ve bu iki sürede
ortaya çıkan zaman farkını not etmeli hazırlayacağı raporda bu farklılığa yer vermelidir
[41].
28
Olayın gelişim sürecine ve sahip olunan imkanlara da bağlı olarak, bilgi edinimi ve profil
çıkarımı, inceleme ve analiz sürecinde en çok zaman harcanan ve üzerinde durulan süreç
olarak görülsede bu bağlamdaki en önemli adımlardan biridir [42].
3.2.2. Ağ analizi
Eski yıllarda sadece bilgisayarlar üzerinden dijital delil elde etmeye yönelik incelemeler
yapılırken günümüzde ise bir birine birleştirilmiş sistemlerden oluşan bilgisayar ağlarının
ve bu ağların gelişmesiyle ortaya çıkan İnternetin bilişim aktivitelerinin temelini
oluşturmasıyla, bilgisayar ağları üzerinden dijital delil elde etmeye yönelik çalışmalar da
arttırılmış ve "Bilgisayar Ağlarına Yönelik Adli Bilişim" terimi ortaya çıkmıştır [43].
Ağ analizi, bilgisayar ağ trafiğinin dinlenerek delil toplanması ve bu delillerin mahkemeye
sunulması işlemidir. Bu süreç ağda paketlerin yakalanması ile başlar ve analizi, orjinal
içeriğin çıkarılması ve delillerin raporlanması ile son bulmaktadır.
İki tür inceleme metodu vardır. Birincisi proaktif, olay gerçekleşmeden takip edilmeye
başlanır. Diğeri ise reaktif, olay gerçekleştikten sonra izlenmeye başlanır. Ağ analizinde
dört tür veri bulunur: oturum, tam içerik, uyarı ve istatiksel veridir.
3.2.3. Bellek analizi
Son yıllarda özellikle bu konuda bir ihtiyaç ortaya çıkmıştır. Çünkü bellek diskte tutulan
bilgiler kalıcı olarak silinse dahi bazı bilgiler bellekte tutulur. Bilgiler geçici tutulduğu için
cihazın kapatılmaması gerekmektedir. Kapatıldığında üzerinde tutulan bilgiler de uçar. Bu
nedenle adli bilişim uzmanı için önemli olsa da aynı şekilde saldırgan içinde önemli bir
husustur.
Bellek analizi işletim sistemine göre farklılık arz etmektedir. Windows için çözümler fazla
sayıda olmasına rağmen diğer işletim sistemleri için çözümler de gelişmektedir. Burada
önemli olan canlı sistemlerin imajının alınması ve daha sonra incelenmesidir. Bu nedenle
adli bilişim uzmanları son zamanlarda olaya müdahale esnasında bellek imajlarını da ilk
yapılan faaliyetler kapsamında icra etmektedir.
29
3.2.4. GSM analizi
GSM analizi kim kimi, ne zaman, nereden aradı, ne konuştu gibi soruların cevaplarını
bulmak için yapılan incelemelerdir. GSM'in üç bileşeni vardır. Birincisi cihaz, ikincisi baz
istasyonları ve son olarak baz istasyonlarını kontrol eden merkezdir. GSM arama çevrimi
cihazdan başlar baz istasyonu, baz istasyon kontrol merkezi ve mobil anahtarlama
merkezine gelir. Buradan sonra aynı yol izlenerek geri aranan cihaza doğru gider.
GSM sosyal ağları genelde üç farklı frekansta uygulanır. Bunlar; GSM 900 (900MHz
frekansta uygulanır), GSM 1800 (1800MHz frekansta uygulanır) ve PCS 1900 ya da DCS
1900'dur.
GSM analizi sonucunda bazı kişisel bilgilerin yanı sıra, uyku saatleri ve çalışma saatleri,
arkadaşları, geçmiş veya güncel lokasyon bilgileri gibi çeşitli bireysel bilgilere de
ulaşılabilir. Burada servis sağlayıcıların yasal olarak tutmak zorunda olduğu kayıtlar
(Arama detay bilgisi gibi) birçok adli olayın çözülmesinde önemli delil olmuştur.
Kullanıcının kimi ne zaman ve ne kadar süre aradığı bilgisi tutulurken aramada neler
konuşulduğu bilgisi tutulmamaktadır. Günümüzde GSM cihazlarının gelişmesi adli olarak
delil olma olasılığını da artırmaktır. Kamerasının olması, sabit disk kapasitesinin artması
ve İnternete bağlanabilmesi gibi özellikler potansiyel bir delil özelliği kazandırmaktatır.
3.2.5. GPS analizi
Gelişmiş GPS özellikleri ile artık hayatımız her yerde izlenebilir olmuştur. Elimizdeki
telefonda, kullandığımız arabada, otobüste, takside kısacası kullanılabilir tüm araçlarda
GPS bulunmakta ve geçmiş yer bilgileri de tutulmaktadır. Bu bilgi sayesinde birçok adli
olay aydınlatılmıştır.
iPhone 3G ile Apple firması GPS özelliğini telefonlarla buluşturmuştur. Bu gerçek bir
destek olmasına rağmen tam doğru çalışmamıştır. Firmaların güncellemeleriyle
geliştirilmiş ve iPhone 3GS ile bir marka haline gelmiştir [44].
Bu adli bilişim dalları dışında disk, medya, sosyal ağlar gibi değişik alanlarda da adli
bilişim çalışmaları artarak devam etmektedir.
30
3.3. Adli Bilişim Çalışmalarında Dikkat Edilmesi Gereken Hususlar
Literatürden elde edilen bilgiler ışığında bazı adli tanımlar, prensipler ve en iyi uygulama
rehberleri ve bunların cep telefonu konusunda adli bilimlerdeki yeri vurgulanmıştır.
3.3.1. Dijital delilin tanımı
Scientific Working Group on Digital Evidence (SWGDE) topluluğuna göre dijital delil,
ikili formda taşınan veya depolanan ve ispatlayıcı özellik gösteren bilgidir [45]. Buna bağlı
olarak,
dijital
deliller
telekomünikasyon
ve
sadece
bilgisayarlarda
elektronik
multimedya
bulunanlarla
aygıtlarında
sınırlı
bulunan
değil,
diğer
bilgileri
de
kapsamaktadır. Ayrıca, dijital delil sadece bilgisayar korsanlığı ve ihlalleri gibi geleneksel
bilgisayar suçlarında değil, dijital delillerin bulunabileceği diğer bütün suç kategorilerinde
mevcuttur. Ancak, “Guidelines fort them Management of IT Evidence” başlıklı Australian
Standards HB1 71 belgesi, dijital delili “bir bilgisayardan elde edilen insan müdahalesine
maruz kalmış veya kalmamış bütün bilgilerdir, dijital delili okunabilecek veya belirli
bilgisayar programlarıyla elde edilen bilgileri anlama konusunda eğitimli kişiler tarafından
anlaşılabilecek olmalıdır.” olarak tanımlar. Bu tanım, bilgisayar dışında cihazlardan elde
edilecek verileri kapsamadığı için eksiktir [46]. Bu tanım, bütün dijital delil tanımlarının ve
prosedürlerinin bilgisayar dışındaki cihazları kapsamadığını gösterir.
3.3.2. Dijital delilin prensipleri
Birleşik Krallık’ın Association of Chief Police Officers (ACPO) organizasyonunun
Bilgisayar Tabanlı Elektronik Delil Konusunda İyi Uygulama Rehberinde Bilgisayar
temelli elektronik delillerle ilgili dört prensip sıralanır:
Prensip 1: Bilgisayarda veya medya depolama aygıtında bulunan ve mahkemede delil
olarak sunulacak hiçbir veri polis gücü ve onlara bağlı temsilciler tarafından
değiştirilmemelidir.
Prensip 2: Olağanüstü durumlarda, bir kişi bilgisayarda veya medya depolama aygıtında
bulunan bir veriye ulaşmak istediğinde, bu kişi belirtilen işlemi yerine getirmeye yetkili
olmalı, eylemlerinin uygunluğuna ve amacına açıklama getirebilmelidir.
31
Prensip 3: Bilgisayar tabanlı elektronik delile uygulanan bütün işlemlerin denetim izi veya
başka bir kaydı yaratılmalı ve korunmalıdır. Bağımsız bir üçüncü kişi bu kaydı izleyip aynı
sonuca ulaşabilmelidir.
Prensip 4: Soruşturma amiri yasaların ve prensiplerin izlendiğine dair tüm sorumluluğu
üstlenmelidir.
ACPO’nun rehberine göre bilgisayar temelli delil, kâğıt üzerinde bulunan delilden farklı
değildir ve aynı kurallara ve yasalara tabii tutulmalıdır [47]. ACPO rehberinde, aynı
zamanda bütün dijital delillerin rehberde belirtilen sınırlar içerisinde kullanılamayacağı
belirtilmiş, hatta cep telefonları örnek olarak verilmiştir. Rehberde söz edilen başka bir
durum da rehberin birebir izlenmemesi durumunda delillerin geçerliliğini tamamen
yitirmediğidir.
Ancak, ACPO’nun birinci prensibi cep telefonları söz konusu olunca uygulanamaz. Çünkü
cep telefonu verisi durmadan değişmektedir ve kullanıcının müdahalesi olmasa da cep
telefonu verisi otomatik olarak değişebilir. Buna bağlı olarak, amaç saklanan veriyi
mümkün olan en az biçimde değiştirmeye çalışmak ve uzmanın yeterliliğine ve denetim
izine önem veren ikinci ve üçüncü prensipleri asli kural olarak almaktır. Prensip 2’ye bağlı
olarak, uzman, cihazın yazılım ve donanım işleyişine hâkim olmalı, aynı zamanda veriyi
cihazdan çıkaracak olan araçlar üzerinde uzmanlaşmış olmalıdır.
Bazı araçlar, belirli işlemleri yerine getiremediklerinde hata mesajı vermediklerinden,
birden çok aracın veri çıkarımında kullanılması önerilmektedir [48]. Prensip 3
incelendiğinde, üçüncü bir parti tarafından kopyalanabilecek bütün işlemlerin eksiksiz bir
raporunun çıkarılması delilin mahkemede sunulabilir hale gelmesinde hayati bir önem
taşımaktadır.
Dijital delilin kurtarılması hususunda ise, International Organization on Computer
Evidence (IOCE) tarafından yayımlanan “The Guidelines for Best Practice in the Forensic
examination of Digital Technology” belgesinde dijital delilleri kurtarmada uygulanacak
genel prensipler şunlardır [49];
- Delillere dair genel kurallar bütün dijital verilere uygulanmalıdır.
- Deliller ele geçirildikten sonra delili değiştirecek eylemlerden kaçınılmalıdır.
32
- Orijinal dijital delile erişmek gerekli olduğunda bu işi yapacak olan kişi uygun eğitimi
almış olmalıdır.
- Delili ele geçirme, delile ulaşma, depolama ve delili transfer etme gibi işlemlerin hepsi
belgelendirilmeli ve teftişe hazır tutulmalıdır.
- Delile yapılan her değişiklikten dijital delili taşıyan kişi sorumludur.
3.3.3. Cep telefonları delil kılavuzu
Mobil telefon cihazları hakkında kısaca bilgi verilen çok sayıda delil kılavuzu vardır. Bu
kapsamda, bu kılavuzların bazıları vurgulanmış bazılarının ise eksiklikleri açıklanmıştır.
ABD gizli servisi tarafından yayınlanan elektronik delillerin ele geçirilmesindeki en iyi
uygulamalar diğer depolama cihazları altında kablosuz telefonlar olarak adlandırılır [50].
ABD Adalet Bakanlığı altında olan Ulusal Adalet Enstitüsü (NIJ), “Elektronik Suç Alanı:
Yanıtlayıcılar İçin İlk Rehber” kitabının telefonlar başlığında mobil cihazları listelemiştir.
Bu iki rehber de akıllı telefonlara detaylı yaklaşım göstermez. Bunun nedeni bu
kılavuzların eski ve modası geçmiş olmalarıdır. Her iki kılavuzda ancak cep telefonları
üzerindeki potansiyel delil olabilir. Onların açıklama kapsamları çok sınırlı olmakla
beraber akıllı telefonun depolama yetenekleri ve uygulamalarını ele almamaktadır. USSS
belgesinde ayrıca cihazın açık veya kapalı olması halindeki kuralları listeler:
- Cihaz açık ise kapatmayınız.
- Cihazı kapatmak kilitleme özelliğini aktif hale getirebilir.
- Ekrandaki tüm bilgileri bir yere yazın veya kaydedin.
- Taşımadan önce güç kaynağını çekiniz.
- Cihaz kapalı durumda ise açılmamalıdır.
- Cihazdaki delil açmadan da değiştirilebilir.
- Cihazın bozulması halinde kısa sürede bir uzmana ya da yerel servis sağlayıcısına
başvurun.
- Eğer bir uzman yoksa farklı bir telefon kullanın ya da hücresel telefon endüstrisi
tarafından sağlanan 7x24 servise başvurun.
- Cihaza ait herhangi bir talimat kılavuzu bulmak için her türlü çabayı gösteriniz.
İlk müdahale için NIJ kılavuzu potansiyel delil olarak [50]: Potansiyel deliller randevu
takvimleri/bilgi, şifre, arayan kimlik bilgileri, telefon rehberi, elektronik seri numarası, kısa
mesaj, e-posta, sesli posta, notlar ve web tarayıcıları gösterir. Rehber mobil cihazlarda
33
harici depolamaya bağlı olabilir ve faks makinesi gibi diğer donanımlar harici depolama
aygıtı içerebilir. Cep telefonu kabloları gibi delil değeri içeren donanımlara odaklanılır. Bu
iki kılavuz telefonlardaki elektronik dokümanlar, el yazısı bilgileri ve konum servisleri
konularında başarısız olmuştur. Kanıtsal öneme sahip Symbian, Mobil Linux ve Windows
Mobil gibi mobil işletim sistemleri hakkında yeterli bilgi vermekte başarılı değildir.
Symbian ve Windows Mobil tabanlı telefonlarda trojanlar gibi kötü niyetli kodlar ve
virüsler bulunur ve bluetooth ile başkalarına aktarılabilir. Cep telefonlarındaki yasa dışı
faaliyetleri yürüten bu kötü niyetli uygulamalar veya günlük dosyalar delil olarak kabul
edilebilecek verilere sahip olabilir. Bu nedenle, telefon uygulamaları ve bunlara ilişkin
veriler potansiyel delil olarak kabul edilmelidir [51].
3.4. Mobil Cihazlarda Adli İnceleme
2014 yılı sonunda yaklaşık 8 milyar mobil cihazla, yaklaşık 6 milyar kullanıcı sayısına
ulaşılmıştır. Cep telefonları kişisel bilgisayarlardan üç kat fazla satılmasına rağmen, adli
bilim açısından bilgisayarların çok gerisinde kalınmıştır. Bu durumun altında mobil
teknolojilerin çok hızlı ilerlemesi yatmaktadır [52]. Cep telefonlarından elde edilen deliller
adli ve medeni davalarda, hatta kamunun dikkatini çekip görünürlülük kazanan davalarda
kullanılmaya devam etmektedir [53].
Cep telefonu uygulamaları oldukça hızlı bir biçimde gelişmektedir. Kelime işlemcileri,
elektronik kablolar ve veritabanı temelli uygulamalar günümüzde cep telefonlarına
taşınmış durumdadır [54]. Cep telefonlarının elektronik dosyaları depolama, görüntüleme
ve yazdırma kabiliyetleri bu araçları mobil ofislere dönüştürmüştür. SMS (Kısa Mesaj
Servisi) yollayabilme kabiliyeti telefonları birer mesaj merkezi haline getirmiştir. Mobile
Data Association (MDA) verilerine göre sadece Hindistan’da Ocak ve Mayıs ayları
arasında bir haftada ortalama neredeyse 1,5 milyar (1 492 400,769) kısa mesaj yollanmıştır
[55].
Elektronik cüzdan (e-wallet) gibi teknolojiler cep telefonuyla yapılan çevrimiçi işlemlerde
kullanıcılara kolaylıklar sağlanmıştır. Cep telefonlarının bağlantı ve güvenliği konusunda
devam eden gelişmeler, cep telefonlarının hisse ticareti, çevrimiçi alışveriş, mobil
bankacılık, otel rezervasyonları, [56] ve uçuş rezervasyonları ile onayı [57] gibi işlemlerde
34
güvenli bir biçimde kullanılmasına yol açmıştır. Mobil sistemlerin gelişiminin bir parçası
olarak ortaya çıkan mobil adli bilişim de kaçınılmaz bir ihtiyaç haline gelmiştir.
Cep telefonunun etkin kullanımı konusunda kolluk güçleri ve suç organizasyonları
arasındaki fark günümüzde de gözle görülür derecededir. Cep telefonları suçlular
tarafından yakalanmaktan kaçma ve günlük operasyonları yönetme amacıyla 1980’lerden
beri kullanılmaktadır. İronik olan, yasal işletmeleri cep telefonlarının sağlayacağı
kolaylıklar konusunda ikna etmek çok zor iken, organize suçun her seviyesindeki hemen
hemen her suçlu cep telefonlarına yapılan yatırımın karşılığı fazlasıyla vereceğini
bilmesidir [58].
iPhone, Samsung Galaxy serisi ve BlackBerry telefonları gibi akıllı telefonlar yüksek
performans, devasa depolama alanı gibi özellikleri ile bilgisayarların kompakt
sürümleridir. Bu telefonlar, arama ve mesajlaşma gibi basit iletişim görevleri için
kullanılmalarının yanında İnternet erişimi, e-posta, fotoğraf çekmek, dosya oluşturup
depolamak, GPS hizmetiyle yer belirlemek ve işle ilgili görevleri yerine getirmek için
kullanılabilmektedir. Yeni özellikler ve uygulamalar cep telefonlarına dâhil oldukça, bu
telefonlara depolanan veri miktarı da devamlı artmaktadır. Cep telefonları portatif veri
taşıyıcıları haline gelip kullanıcıların bütün hareketlerini takip edebilmektedir. İnsanların
günlük yaşamında ve suç dünyasında cep telefonlarının yaygınlaşmasıyla beraber, bu
araçlardan elde edilen verilerin adli, sivil ve hatta kamu dikkatini çeken büyük
soruşturmalar için kullanılması mümkün hale gelmektedir. Bir dijital adli soruşturmaya
telefonların dâhil olmaması ihtimali çok düşüktür. Dijital delil, soruşturma için kullanılan
elektronik aletlerde depolanan, alınan veya iletilen bilgi ve veriler olarak tanımlanır. Dijital
delil kavramı; soruşturmalarda delil olarak kullanılan bütün dijital verileri kapsar.
Dijital adli bilişim, adli bilimin elektronik ve dijital aygıtlarda bulunan ham verilerin
kurtarılıp araştırılması işleminde kullanılan koluna verilen isimdir. Adli sağlamlık terimi
dijital adli bilim topluluğunda belirli bir teknolojinin kullanımının yeterliliğini ve etikliğini
belirtmek için kullanılır. Sağlam bir adli araştırmanın ana prensibi orijinal delilin
değiştirilmemiş olarak kalmasıdır. Bu mobil servisler için özellikle zordur. Bazı adli
araçlar mobil cihazla bir iletişim vektörü gerektirir, bu da standart yazılım korumasının
adli işlem sırasında bir işe yaramayacağına işaret eder. Diğer adli işlem metotları işlemden
önce bir mikroişlemcinin çıkarılması ve bootloader adı verilen bir programın mobil cihaza
35
yerleştirilmesi gibi operasyonları içerebilir. Cihaz konfigürasyonunu değiştirmeden
inceleme ve veri eldesinin mümkün olmadığı durumlarda, prosedür ve değişiklikler test
edilmeli, onaylanmalı ve belgelendirilmelidir. Doğru yöntem ve ilkelerin izlenmesi değerli
veriye ulaşmak açısından oldukça önemlidir. Bütün delil elde etme işlemlerinde olduğu
gibi, inceleme sırasında düzgün prosedüre uyulmadığı takdirde delilin kaybı, zarara
uğraması veya mahkemede kullanılmayacak hale gelmesi riski bulunmaktadır.
Mobil adli bilişim süreci dört büyük kategoriye ayrılır: el koyma, veriyi çıkarma,
inceleme/analiz ve raporlamadır. Adli uzmanlar mobil aygıta el koyma sürecinde bazı
zorluklarla karşılaşmaktadırlar. Suç mahallinde, mobil cihaz kapalı halde bulunursa, uzman
cihazı bir Faraday çantasına koyup cihazı açılması sırasında gerçekleşecek değişiklikleri
engellemelidir. Faraday çantaları telefonu ağdan tecrit etmek üzere özellikle yapılmıştır.
Eğer telefon açık halde bulunursa, telefonu kapatmak birçok sıkıntı doğurabilir. Eğer
telefon bir PIN veya parola ile şifrelenmişse, uzman şifreyi geçmek veya PIN kodunu
belirlemek ve cihaza erişimi sağlamakla görevlidir. Cep telefonları ağa bağlı cihazlardır ve
telekomünikasyon sistemleri, Wi-Fi erişim noktaları ve bluetooth gibi farklı kaynaklardan
veri alarak yollayabilirler. Bir başka ifadeyle telefon işler durumdaysa bir suçlu
depolanmış veriyi uzaktan silme komutuyla silebilir. Bir telefon açık haldeyken, faraday
çantasına konulup delili korumak amacıyla ağdan koparılmalı, uçuş moduna alınmalı ve
bütün ağ bağlantıları (Wi-Fi, GPS, Hotspot vb.) yok edilmelidir. Bu aynı zamanda faraday
çantasında tükenecek olan bataryayı da muhafaza edecek ve faraday çantasında yaşanacak
sızıntıları da engelleyecektir. Mobil cihaz bir kere düzgünce ele geçirildiğinde, uzman
telefonda depolanmış olan verilere erişmek için birçok adli araca ihtiyaç duyacaktır. Mobil
aracın adli elde edilme süreci birçok metot kullanılarak gerçekleştirilebilir. Bu metodların
her biri gereken analiz miktarı konusunda değişiklik göstermektedir. Bir metod başarısız
olduğunda diğeri denenmelidir. Birçok araç ve girişim verileri cihazdan çıkarmak için
gerekli olabilmektedir. Cep telefonları veri elde etme ve analizi sürecinde adli bilişim
uzmanı için birçok sıkıntı barındıran dinamik sistemlerdir. Farklı üreticiler tarafından
üretilen farklı cep telefonu türleri sayısındaki ani artış bütün cihazlar üzerinde kullanmak
için tek bir süreç veya araç üretmeyi oldukça zor hale getirmektedir. Cep telefonları
mevcut teknolojilerin ilerlemesiyle ve yeni teknolojilerin ortaya konulmasıyla devamlı
evrilmektedir. Ayrıca, birçok farklı mobil cihaz farklı işletim sistemleri kullanmaktadır.
Bundan dolayı, adli uzmanların özel bilgi ve becerilere sahip olması gerekmektedir [59].
36
Adli bilişim üzerindeki çalışmalar olay yerinde dijital ortam üzerinden alınan deliller ile
başlar ve bu delillerin mahkemeye sevk edilmesi sürecine kadar devam eder [60]. Olay
yerinden alınan bu verilerin gerçeklik payının gösterilmesi ve mahkemeye sunulması için
delillerle birlikte ortaya konulması gerekmektedir [61].
Hukuk kapsamında, suçlu görülen kişinin yargılanabilmesi için hakim önüne çıkarılacak
verilerin deliller ile desteklenmesi gerekmektedir. Bu delillerin tespit edilme ve toplanma
süreci adli bilişimin çalışma alanına girmektedir [62]. Bu delillerin bir araya getirilmesi
sadece toplama ve sunma sürecinden oluşmamaktadır, aynı zamanda sistemli bir
incelemeye de ihtiyaç vardır.
Dijital cihazlardan elde edilen bu deliller adli bilişim yöntemleri ve teknik incelemeler
aracılığı ile ortaya konması gerekmektedir. Bu zaman zarfında, elektronik cihazlardan delil
elde etme basit bir süreç değildir, daha karmaşık, detaylı ve incelemeye dayanan bir
yapıdır [63].
Cep telefonu teknolojileri hızla gelişmektedir. Mobil cihazlardaki dijital hukukun gelişimi
yavaş ve hareketsiz olarak görünmektedir. Cep telefonları adli mobil sürüm döngülerini
yakalamak için daha kapsamlı olmalıdır. Mobil adli araç takımları her telefona uygun ve
eldeki veriler ile zamanında kullanılmalıdır.
Bilgisayar adli soruşturmaları genelde iki türde gerçekleşir. Birinci tip olayın gerçekleştiği
yerdir ama failin kimliği bilinmez (Örneğin, hack). İkinci tipte ise hem yer hem fail
biliniyordur (Örneğin, çocuk pornografisi soruşturması). Olayın arka planın hazırlanması
için adli bilişim uzmanı ve analist aşağıdaki hedefleri gerçekleştirerek devam edebilir.
- Bireyler hakkında bilgi toplamak (kim?)
- Meydana gelen olayların nasıl geliştiğine tam olarak karar vermek (Ne?)
- Olayların bir zaman çizelgesini oluşturmak (Ne zaman?)
- Suçu tetikleyen bilgileri ortaya çıkarmak (Neden?)
- Kullanılan araçları keşfetmek (Nasıl?)
Çizelge 3.1’de verilen tablo cep telefonlarında bulunan yaygın jenerik delil kaynaklarının
çapraz referanslarını ve hedeflerini bulmaya katkı sağlayacaktır. Bu vesileyle, direkt bilgi,
motivasyon ve niyet tesis edilebilir. Delil kaynaklarının çoğunda kişisel verilerden, çağrı
37
verilerinden, mesajlaşmadan ve İnternet ile ilgili bilgilerden yararlanmakta fayda vardır.
Görüntüleme ve düzenleme için cihaza yerleştirilen kullanıcı dosyaları da önemli bir delil
kaynağıdır. Grafik dosyalarının yanı sıra, diğer ilgili dosya içeriği, ses ve video kayıtları,
elektronik tablolar, sunum slaytları ve benzeri diğer elektronik belgeleri içermektedir.
Cihaza yüklü olan yürütülebilir programlar da belirli durumlarda işe yarayabilir. Hatta
bazen, veri servis sağlayıcı tarafından birleştirilen bilgiler en önemli kurtarılmış bilgiler
sayılabilmektedir [64].
Çizelge 3.1. Delil bulma matrisi
Abone/Aygıt Tanımlayıcıları
Kim Ne Nerede Ne Zaman Niçin Nasıl
X
Çağrı Kayıtları
X
Rehber
X
Takvim
X
X
X
X
X
X
Mesajlar
X
X
X
X
X
X
X
X
X
X
X
Konum
Web URL’leri/İçerikleri
X
X
X
X
Resim/Video
X
X
X
X
Diğer Dosya İçeriği
X
X
X
X
X
X
X
3.4.1. Kısıtlar
Mobil platformlar konusunda adli zorlukların en önemlilerinden biri veriye birçok cihaz
tarafından erişilebilmesi, depolanabilmesi ve senkronize edilebilmesidir. Veri hassas ve
kolayca değiştirilebilir ve silinebilir olduğundan bu verilerin korunması çok daha fazla
çaba gerektirmektedir. Mobil adli bilişim bilgisayar adli bilişiminden farklıdır ve adli
uzmanlar için farklı zorluklar barındırmaktadır.
Kolluk güçleri ve adli bilişim uzmanları sıklıkla mobil cihazlardan veri elde etmek
konusunda zorluklarla karşılaşırlar. Bu zorluklar [59]:
Donanım farklılıkları: Piyasa değişik üreticiler tarafından üretilen değişik modeller akınına
uğramış durumdadır. Adli bilişim uzmanları, adli araştırmacılar farklı tipte cep
telefonlarıyla karşılaşabilirler. Genel farklılıklar boyut, donanım, özellikler ve işletim
sistemidir. Ayrıca, kısa ürün geliştirme devri dolayısıyla yeni modeller çok çabuk ortaya
38
çıkmaktadır. Mobil piyasa her gün değişmekte olduğundan, bir uzmanın birçok sıkıntıya
adapte olması ve mobil cihazlar üzerinde uygulanabilecek adli teknikler hakkında güncel
bilgiye sahip olması gerekmektedir.
Mobil işletim sistemleri: Yıllardır Windows’un piyasaya egemen olduğu kişisel
bilgisayarların aksine mobil araçlar genellikle farklı işletim sistemleri kullanmaktadır,
bunlar Apple’ın iOS’u, Google’ın Android’i, RIM’in BlackBerry OS’i, Microsoft
Windows Mobile, HP’nin webOS’i, Nokia’nın Symbian OS’i ve birçok farklı işletim
sistemidir.
Mobil platform güvenlik özellikleri: Modern mobil platformlar kullanıcı verilerini ve
gizliliğini korumak için built-in güvenlik özellikleri barındırmaktadır. Bu özellikler adli
inceleme ve veri eldesi sırasında bir engel olarak hareket etmektedir. Örneğin, modern
mobil
cihazlar
donanım
katmanından
yazılım
katmanına
varsayılan
şifreleme
mekanizmalarına sahiptir. Uzmanın veriye ulaşmak için bu şifreleme mekanizmalarını
kırması gerekebilir.
Kaynak yetersizliği: Daha önce de bahsedildiği gibi, cep telefonlarının artan sayısıyla
beraber bir uzmanın ihtiyacı olan araçların sayısı da artacaktır. USB kabloları, bataryalar
ve şarj cihazları gibi veri eldesinde kullanılan adli aksesuarlar bu araçlara erişebilmek için
zaruridir.
Aygıtın genel durumu: Aygıt kapalı durumda görünse de, arka planda işlemler hala işler
halde olabilir. Örneğin, birçok cep telefonunda saat alarmı telefon kapalı da olsa çalışır
haldedir. Bir durumdan diğer duruma ani bir geçiş verinin kaybına veya değişimine neden
olabilir.
Adli işlemlere karşı alınabilecek önlemler: Veri saklama, aldatma teknikleri, veri
sahteciliği ve güvenli silme işlemleri dijital medya üzerinde yapılacak incelemeleri daha da
zorlaştırmaktadır.
Delilin dinamik doğası: Dijital delil istenerek veya istenmeyerek kolayca değiştirilebilir.
Örneğin, bir uygulamaya girmek o uygulama tarafından telefonda depolanan verilerin
değiştirilmesine sebep olur.
39
Kazara yeniden başlatmak: Cep telefonları yüklü her yazılımı/uygulamayı yeniden
başlatma özelliği bulundurmaktadır. İnceleme sırasında cihazı yanlışlıkla yeniden
başlatmak veri kaybına sebep olmaktadır.
Cihaz değişikliği: Cihazları değiştirmenin muhtemel yolları uygulama verisini hareket
ettirmek, dosya ismini değiştirmek ve üreticinin işletim sistemini değiştirmek olarak
sıralanabilir. Bu gibi durumlarda, şüphelinin uzmanlığı da göz önünde bulundurulmalıdır.
Şifre kurtarma: Eğer cihaz bir parolayla korunuyorsa, adli uzman aygıttaki veriye zarar
vermeden cihaza erişim sağlamalıdır.
İletişim kalkanı: Mobil cihazlar Wi-Fi ağları, bluetooth ve kızılötesi gibi hücresel ağlar
üzerinden iletişimde bulunurlar. Aygıt iletişimi cihazdaki veriyi değiştirebileceğinden,
aygıt ele geçirildikten sonra bu tip iletişim kesilmelidir.
Araçlara ulaşımın kısıtlılığı: Mobil cihazlar çok çeşitli türler halinde bulunmaktadır.
Sadece bir araç gerekli işlevleri yerine getirse bile bütün cihazları desteklemeyebilir. Yani
farklı araçların birleşimini kullanmak gereklidir. Doğru aracı doğru telefon için seçmek zor
olabilmektedir.
Zararlı programlar: Aygıt, virüs veya trojan gibi kötü amaçlı yazılım barındırıyor olabilir.
Bu kötü amaçlı yazılımlar kablosuz veya kablolu bağlantıyla diğer cihazlara yayılmaya
çalışabilirler.
Yasal sorunlar: Mobil aygıtlar coğrafi sınırları aşan suçlara bulaşmış olabilir. Uzman,
birden çok yasama otoritesinin suçla ilgilenebileceğinin farkında olup suçun doğasını ve
yerel kanunları bilmelidir.
3.4.2. Mobil cihaz delil elde etme süreci
Delil çıkarma ve adli inceleme her mobil cihaz için değişmektedir. Ancak, istikrarlı bir
inceleme sürecinin incelenmesi elde edilen delillerin iyi belgelenmiş ve savunulabilir
olması konusunda adli vakanın çözümlenmesinde yardımcı olur. Mobil cihaz verileri
çıkartılırken kullanılan bütün metotlar test edilmeli, onaylanmalı ve belgelenmelidir [65].
Şekil 3.1'de istikrarlı bir inceleme süreci gösterilmiştir.
40
Veri Girişi
İzolasyon
Belgeleme ve
Raporlama
Tanımlama
Hazırlanma
İşleme
Doğrulama
Sunum
Arşiv
Şekil 3.1. Cep telefonu delil çıkartma işlemi
Veri giriş aşaması: Veri giriş aşaması başlangıç aşamasıdır. Bu aşamanın içeriğinde istek
formları, belgenin mülkiyeti konusunda evraklar, mobil cihazın ne tip bir olayla ilgili
olduğu ve aranılan verinin genel hatları bulunmaktadır. Her inceleme için ayrıntılı amaçlar
belirlemek bu aşamanın kritik bir parçasıdır.
Tanımlama aşaması: Adli uzman bir mobil cihazın adli inceleme sırasında yasal otorite,
amaç, cihazla ilgili hususlar, veri depoları ve potansiyel deliller gibi detayları
tanımlamalıdır:
Yasal otorite: Yasal otoritenin belirlenmesi ve işlemin yasal sınırlarının çizilmesi adli
uzman için verinin çıkartılmasını ve incelenmesini mümkün kılan en önemli husustur.
İncelemenin amacı: Adli uzman, istenilen veriye göre ne kadar derin bir inceleme
yapılacağına karar verir. İncelemenin amacı, incelemede kullanılacak olan araç ve
tekniklerin seçimi konusunda önem arz etmektedir.
Cihazın modeli, markası ve belirleyici bilgileri: İncelemenin bir parçası olarak, telefonun
üretim detaylarını ve modelini bilmek telefona uygulanacak tekniklerin ve kullanılacak
araçların seçiminde önemlidir.
Taşınabilir ve harici veri deposu: Birçok mobil cihaz hafızası harici taşınabilir hafıza
kartları ile genişletilebilmektedir. Buna benzer kartlar telefonda bulunduğunda, telefondan
alınıp geleneksel dijital adli inceleme yöntemlerine tabi tutulmalıdır.
41
Başka potansiyel delil kaynakları: Mobil cihazlar parmak izi ve benzeri biyolojik deliller
için iyi bir kaynaktır. Bu nedenle parmak izi vb. incelemeden önce alınmalı ve adli
inceleme uzmanları eldiven kullanmalıdır [65].
Hazırlanma aşaması: Hazırlık aşaması ulaşılan model için kullanılacak teknik ve araçların
belirlenmesi için gereken araştırmanın yapılmasını içerir.
İzolasyon aşaması: Cep telefonları hücresel telefon ağları, bluetooth, kızılötesi ve kablosuz
ağlar gibi yöntemler kullanarak bağlantı kuracak şekilde dizayn edilmiştir. Telefon bir ağa
bağlandığında, telefona ulaşan çağrılar, mesajlar, uygulama verileri telefondaki delili
değiştirebilir. Delilin tamamen silinmesi de uzaktan bağlantıyla ve uzaktan silme
komutlarıyla mümkündür. Bu sebeple, cihazın incelenmesinden önce bütün iletişim
yollarından izole edilmesi önem arz eder. Telefonun izolasyonu gelen sinyalleri
engelleyecek olan Faraday torbalarıyla sağlanabilir. Yapılan araştırmalar, Faraday
torbalarının iletişimden koruma işlevlerinin tutarsız olduğunu göstermiştir. Bu nedenle ağ
izolasyonunun yapılması önerilir. Bu da telefonun radyo frekansı koruyucu kumaşa
sarılarak uçak moduna alınmasıyla yapılabilir.
İşleme aşaması: Telefon iletişim ağlarından izole edildikten sonra, cep telefonunun
gerçekten işleme tabi tutulmasıyla başlar. Cep telefonu test edilmiş, tekrar edilebilir ve adli
açıdan sağlam bir işleme tabi tutulmalıdır. Fiziksel edinim yöntemi ham bellek verilerine
erişim sağladığından ve cihaz işlem sırasında kapalı kaldığında tercih edilen metottur.
Birçok cihazda, gerçekleşebilecek değişimler asgari seviyede fiziksel edinim işleminde
gerçekleşir. Eğer fiziksel edinim işlemi mümkün değilse mobil cihazın dosya sisteminin
elde edilmesi için bir teşebbüste bulunulmalıdır. Bir mantıksal edinim işlemi ayrıştırılmış
veriler içerdiğinden ve ham bellek imajının incelenmesi için yol göstermesi açısından
mutlaka yapılmalıdır.
Doğrulama aşaması: Cep telefonunu incelendikten sonra uzmanlar elde edilen verilerin
doğruluğunu teyit etmeli, verilerin değiştirilmediğinden emin olmalıdır. Elde edilen
verilerin doğrulanması birçok yoldan yapılabilir.
Cihazdan çıkartılan verinin cihazda görüntülenen veriyle uyuşup uyuşmadığını kontrol
edilir. Çıkartılan veri tercihe bağlı olarak cihazın kendisiyle veya mantıksal raporla
42
karşılaştırılabilir. Cihazın kendisinin kullanılması eldeki tek delil olan cihazda değişiklik
yapabilir.
Doğruluğun
sağlanması
için
birden
fazla
araç
kullanılıp
ulaşılan
sonuçlar
karşılaştırılmalıdır.
Bütün imaj dosyaları edinim işleminden sonra hash işlemine tabi tutulmalı, böylece verinin
değişmemiş olması sağlanmalıdır. Eğer dosya sistemi çıkartımı destekleniyorsa, adli
bilişim uzmanı dosya sistemini çıkartır ve bilgisayar çıkartılan dosyalar için bir hash işlemi
yürütür. Sonra, bireysel olarak çıkartılmış dosyaların hash’leri hesaplanır ve orijinal
değerlerle kontrol edilerek verilerin bütünlüğü doğrulanır. Hash verilerinde ortaya çıkacak
olan herhangi bir tutarsızlık açıklanabilir olmalıdır.
Belgeleme ve raporlama aşaması: Adli uzmanın inceleme sürecinde ne yapıldığını
eşzamanlı notlar halinde adım adım belgelemesi gereklidir. Uzman incelemeyi
tamamladıktan sonra, sonuçlar bir çeşit “emsal tarama (peer review)” işlemine tabi
tutulmalıdır, böylece verinin kontrol edilmiş olması sağlanır ve inceleme sona erer.
Uzmanın inceleme süresince aldığı notlar şunları içermelidir:
- İncelemenin başlangıç tarihi ve saati,
- Telefonun fiziksel durumu,
- Telefonun ve bileşenlerinin fotoğrafları,
- Telefon elde edildiğinde açık olup olmadığı,
- Telefonu modeli ve markası,
- Edinim için kullanılan araçlar,
- İnceleme işleminde kullanılan araçlar,
- İncelemede bulunan veriler,
- “Peer-review” sonucu ulaşılan notlar.
Sunum aşaması: İnceleme boyunca elde edilen ve belgelenen verilerin mahkemeye veya
başka bir adli makama gösterildiğinde anlaşılabilir olmasına dikkat edilmelidir. Edinim
işlemi ve analiz sırasında cep telefonundan alınan verilerden bir adli rapor üretmek
önemlidir, hem kağıt üzerinde hem de elektronik formatta veriler ortaya çıkabilir.
Buluntular, mahkemede bir sonuca işaret edecek şekilde belgelenmeli ve sunulmalıdır.
43
Buluntular açık, kısa ve tekrarlanabilir olmalıdır. Zaman çizelgesi ve link analizi gibi
birçok ticari mobil adli araç tarafından sunulan özellikler, birçok farklı telefondan elde
edilen verileri raporlamada ve açıklamada yardımcı olacaktır. Bu araçlar müfettişin birçok
cihaz tarafından gerçekleştirilen iletişimin incelemesini mümkün kılmaktadır.
Arşivleme aşaması: Mobil cihazdan çıkartılan verilerin muhafazası bütün sürecin önemli
bir parçasını oluşturmaktadır. Elde edilen verinin devam eden bir mahkeme sürecinde
kullanılabilir olması, mevcut delil dosyasının kullanılamaz hale gelmesi durumunda işe
yarayacaktır. Bu durum aynı zamanda kayıt tutma isterlerine ulaşmak için de önemlidir.
Mahkemeler karara varmadan yıllarca devam edebilir. Birçok soruşturma verinin uzun süre
tutulmasını gerektirebilir, temyiz gibi süreci uzatan faktörler de göz önünde
bulundurulmalıdır. Bu alanda bilgi ve metotlar geliştikçe, ham, fiziksel imajdan yeni veri
elde etme yöntemleri ortaya çıkabilir, böylece uzman arşivlerden kopyayı alarak bu
yöntemleri kullanacak ve daha önce ulaşılamayan verilere ulaşılacaktır.
3.4.3. Mobil cihazlarda adli inceleme araçlarının sınıflandırması
Cep telefonunun adli elde edinimi ve analizi manuel olarak bir çaba ve araçların
kullanımını gerektirir. Mobil adli işlemleri gerçekleştirebilecek birçok farklı araç
bulunmaktadır. Bütün araçların kuvvetli ve zayıf yönleri vardır. Ayrıca sadece tek birinin
bütün amaçlar için yeterli olmadığını anlamak oldukça önemlidir. Yani, farklı tipteki adli
inceleme araçlarına sahip olmak uzmanlar açısından da önem taşımaktadır. Bu maksatla
Sam Brothers tarafından Şekil 3.2'de gösterilen bir mobil cihaz adli inceleme araç
sınıflandırma sistemi geliştirilmiştir [66].
44
Mikro
İnceleme
Çip Sökme
Fiziksel Veri Elde
Etme
Mantıksal Veri Elde Etme
Manuel Veri Elde Etme
Şekil 3.2. Hücresel telefon aracı sınıflandırma piramidi
Mobil cihaz adli inceleme araç sınıflandırma sisteminin asıl amacı bir uzmanın adli
araçlarını, inceleme yöntemine göre sınıflandırmasıdır. Sınıflandırmanın aşağısından
başlayıp yukarıya doğru giderek, metotlar ve araçlar genelde daha teknik, karmaşık ve adli
açıdan sağlam hale gelir ve daha az analiz zamanı gerektirirler. Bütün seviyelerde analiz
gerçekleştirmenin artı ve eksileri mevcuttur. Adli uzman, bu konuda bilgi sahibi olmalı ve
sadece gereken seviyede işlem yürütmelidir. Eğer metot veya araç düzgünce kullanılmazsa
delil tamamen yok olabilir. Bu risk piramitte yukarı gittikçe artmaktadır. Veri elde etmede
en yüksek başarıya ulaşmak için verimli ve nitelikli bir eğitim şarttır.
Bütün seviyelere ilişkin olarak bilgiler [66]:
Manuel edinim: Bu metot basitçe veriler arasında dolaşıp veriyi telefon ekranında
doğrudan görüntülemek olarak açıklanabilir. Elde edilen bilgi fotoğrafla belgelenir. Edinim
işlemi hızlı ve kolaydır ve neredeyse bütün telefonlarda çalışır. Bu yöntem, insan
hatalarına açıktır, arayüze alışkın olmamaktan kaynaklanan veriyi gözden kaçırma ihtimali
yüksektir. Bu seviyede silinen bilgiye ulaşmak ve bütün verileri elde etmek imkânsızdır.
Manuel çıkartma işlemini kolayca belgelemek amacıyla üretilmiş araçlar mevcuttur.
Mantıksal edinim: Mantıksal edinim cep telefonunu adli donanıma USB kablosuyla, RJ-45
kablosuyla, kızılötesi veya bluetooth ile bağlama sürecini içerir. Bir kere bağlandıklarında,
bilgisayar bir takım komutlar oluşturup bunları cihaza yollar. Bu komutlar cihaz işlemcisi
tarafından işlenir. Sonra, istenen veri cihazın hafızasından adli donanıma yollanır. Uzman
45
veriyi görüntüleyebilir. Çoğu adli araç genelde bu seviyede sınıflandırılmış çalışma
prensipleri kullanmaktadır. Edinim işlemi hızlıdır, kullanması kolaydır ve uzmanlar için
çok az bilgi içerir ama bu süreç cep telefonunda veri değişimine sebep olabilir ve delilin
bütünlüğüne zarar verebilir. Ayrıca, silinen verilere ulaşım da sağlanamaz.
Fiziksel edinim (Hex Dump): Bir hex dump, diğer adıyla fiziksel edinim, cihazı adli
donanıma bağlayarak ve işaretlenmemiş kodları veya bir bootloader’ı telefonun içerisine
zorlayarak ve telefona içerisindeki verileri bilgisayara göndermesini emrederek yapılır.
Sonuç olarak alınan ham imaj ikili formatta olduğundan, bu verileri analiz etmek için
teknik uzmanlık gerekmektedir. Bu süreç ucuzdur, uzmana daha fazla veri sağlar ve birçok
cihazda ayrılmamış hafızadan silinmiş dosyaların kurtarılmasına olanak verir.
Chip-off (Mikroişlemci sökme): Chip-off terimi verilerin doğrudan cihazın hafıza
yongasından alınmasını tanımlamak için kullanılır. Bu seviyede, mikroişlemci cihazdan
fiziksel olarak ayrılır ve bir mikroişlemci okuyucu veya ikinci bir telefon kullanılarak
mikroişlemcide taşınan veriler çıkartılır. Bu yöntem teknik olarak daha zordur çünkü cep
telefonlarında kullanılan mikroişlemciler çok çeşitlidir. Bu süreç pahalıdır ve donanım
seviyesinde uzmanlık gerektirir, çünkü sürece mikroişlemcinin lehiminin çıkarılması ve
ısıtılması da dâhildir. Chip-off tipi veri çıkartmanın başarılı bir şekilde yapılması için
eğitim gerekmektedir. Prosedürün izlenmemesi hafıza yongasına zarar vererek bütün
verileri kurtarılamaz duruma getirebilir. Eğer mümkünse, chip-off yapılmadan önce diğer
çıkartma yöntemleri denenmelidir çünkü bu yöntem doğası gereği yok edicidir. Ayrıca,
hafızadan gelen veri ham formattadır ve ayrıştırılmalı, yeniden kodlanmalı ve anlaşılır hale
getirilmelidir. Cihaz zarar gördüğünde mikroişlemci hala işler durumdaysa bu işlem tek
seçenektir.
Mikro inceleme: Bu süreç hafıza yongasında görülen veriyi manuel olarak görüntüleyip
anlamak
şeklinde
gerçekleşir.
Uzman,
bir
elektron
mikroskobu
kullanarak
mikroişlemcideki fiziksel kapıları analiz eder ve kapı statüsünü 0’lar ve 1’ler halinde
tercüme eder ve ortaya ASCII karakterleri çıkarır. Bütün bu süreç zaman alır ve pahalıdır,
hafıza kartları ve dosya sistemi hakkında ciddi miktarda bilgi gerektirir. Mikro okumaya
gerektirdiği aşırı teknik bilgi nedeniyle sadece ulusal güvenlik krizi gibi çok önemli
durumlarda diğer çıkartma teknikleri denendikten sonra başvurulur. Bu süreç nadiren
46
görülür ve günümüzde iyi belgelenmemiştir. Ayrıca, günümüzde mikro okuma
gerçekleştirebilecek herhangi bir araç piyasada yoktur.
3.4.4. Veri elde etme (edinim) yöntemleri
Veri elde etme, verileri bir dijital cihazdan görüntüleme veya diğer şekillerde elde etme
sürecine verilen isimdir. Bir cep telefonundan veri elde etmek standart bir diskten veri elde
etmekten çok daha zordur. Cep telefonlarında üç ayrı tipte adli veri elde etme işlemi vardır:
fiziksel, mantıksal ve manuel. Bu metodlar mobil adli araçlar sınıflandırma sistemi ile bazı
paralellikler gösterebilir. Alınacak olan verinin miktarı ve tipi çıkarma yöntemine göre
değişiklik gösterebilir.
Fiziksel edinim: Cep telefonlarından mobil adli araçlar ve metodlar kullanılarak fiziksel
veri elde etme yöntemidir. Fiziksel elde etmede belleğe doğrudan erişimle cihazdan veri
alınır. Bu süreç bilgisayarla ilgili adli incelemelerdeki gibi bütün sistemin birebir (bit-forbit) kopyasını alır. Fiziksel elde etme yoluyla birçok cihazda bulunan bütün verilere
ulaşabilir, buna silinmiş veriler ve ayrılmamış alanlar da dâhildir.
Mantıksal edinim: Mantıksal elde etme, cep telefonlarından verinin bir bilgisayarla
senkronize olarak elde edilmesidir. Çoğu
adli
araç mantıksal
elde edilmeyi
gerçekleştirmektedir. Ancak, bir adli uzman edinimin nasıl gerçekleştiğini ve telefonun bu
süreçten nasıl etkilendiğini anlamalıdır. Telefona ve adli araçlara bağlı olarak bütün veriler
veya sadece bir kısım veri elde edilir. Mantıksal edinim gerçekleştirmesi kolay bir işlemdir
ve sadece telefonda bulunan verileri alır, ama ayrılmamış alandan silinmiş verileri alamaz.
Manuel edinim: Cep telefonları söz konusuyken, fiziksel edinim genelde en iyi seçenektir,
ikinci sırada mantıksal edinim gelir. Manuel edinim bu gibi işlemleri gerçekleştirirken en
son seçenek olmalıdır. Mantıksal ve manuel edinim yöntemleri fiziksel verinin
sağlamlığını onaylamak için kullanılabilir. Manuel edinim sırasında uzman, kullanıcı
arayüzünü kullanarak telefonun hafızasını araştırır. Cihaz genelde bir klavye veya
dokunmatik ekranla kullanılır ve uzman her ekranın bir görüntüsünü alır. Manuel edinimin
en büyük riski insan hatasından kaynaklanır ve verinin yanlışlıkla silinmesi şeklinde
karşımıza çıkar. Manuel edinim yapılması kolaydır ve sadece görünen veriye ulaşım
sağlar.
47
3.4.5. Cep telefonunda depolanan potansiyel kanıtlar
Bu bölümde telefondan elde edilebilecek bilgiler ele alınmıştır. Cep telefonunda veri,
birkaç yerde bulunabilir: SIM kartı, harici depolama kartı ve telefon hafızası. Ayrıca,
hizmet sağlayıcısı iletişimle ilgili bilgileri depolamaktadır. Mobil cihaz veri çıkartma
araçları telefon hafızasından veri alır. Adli incelemede elde edilen veriler genelde telefon
modeline bağlı olsa da, aşağıdaki öğeler bütün modeller arasında ortak ve delil olarak
kullanılır. Birçok öğe tarih ve saat damgası taşımaktadır:
Adres Defteri: Bağlantı isimleri, telefon numaraları, e-posta adresleri, vb. kapsar.
Arama Geçmişi: Aranan, gelen, cevapsız aramaları ve konuşma zamanlarını kapsar.
SMS: Gönderilmiş ve alınmış kısa mesajları kapsar.
MMS: Gönderilmiş alınmış fotoğraf ve video dosyalarını kapsar.
E-posta: Gönderilmiş, hazırlanan ve alınmış e-posta mesajlarını kapsar.
Web tarayıcı geçmişi: Girilen web sitelerini kapsar.
Fotoğraflar: Başka cihazlardan aktarılan, İnternetten indirilen ve telefon kamerası ile
çekilen fotoğrafları kapsar.
Videolar: Başka cihazlardan aktarılan, İnternetten indirilen ve telefon kamerası ile çekilen
videoları kapsar.
Müzikler: İnternetten indirilen ve diğer cihazlardan aktarılan müzik dosyalarını kapsar.
Dosyalar: Cihazdaki uygulamalar kullanılarak oluşturulan, İnternetten indirilen ve diğer
cihazlardan aktarılan dosyaları kapsar.
Ağ İletişimi: GPS konumları.
Haritalar: Aranmış konumlar, indirilmiş ve araştırılmış haritalar.
Sosyal Ağ Verisi: Facebook, Twitter, LinkedIn, Google+ ve WhatsApp gibi uygulamalar
tarafından depolanan verileri kapsar.
Silinmiş Veri: Telefondan silinmiş verileri kapsar [67].
3.4.6. Delil niteliği
Hem kamuya ait davalarda hem de ceza davalarında, beş genel kural delil değerini tartmak
için kullanılır. Bu kuralları dikkate almamak, davadaki delillerde kayba ya da yok saymaya
sebep olabilir. Bu beş kural [68]:
48
Kabul edilebilirlik: Deliller elde edilmiş ve mahkemede kullanılabilir bir şekilde korunmuş
olmalıdır. Birçok farklı delil olduğundan birbirini bağlayan delillerde bir parçanın kayıp
olması hata sayılıp mahkeme tarafından kabul edilemez varsayılır. Bu tip durumlarda delil
zinciri kırılır ve adli bilişimcinin "üzerinde durmadığı" ya da "yok saydığı" delilller, emre
karşı gelme ve başarısızlıkla sonuçlanır. Delillerin kabul edilebilir olması ve delil
zincirinin korunabilmesi için delillerin düzgün toplanmış ve korunmuş olması
gerekmektedir. Elektronik cihazların duyarlılıkları sebebiyle delil olarak kullanımı ve
korunması ayrıca zordur. Örneğin iPhone'nun kapalı bir halde sabit sürücüsünün dışarı
çekilmesi ile gerekli veriler elde edilemez cihazın açılması ve cihazla konuşulması
gerekmektedir. İOS cihazları ile ilgili yapılan en büyük hatalardan biri kullanıcı arabirimi
aracılığıyla bazı uygulamalar kullanarak delilleri yok etmektir. Örneğin, bir iPhone
üzerinde saklanan delilin çok önemli bir parçası GPS her açıldığında önbellekte depolanan
son GPS sabiti sebebiyle ulaşılabilir hale gelmektedir. Tecrübesiz biri adresi aramalarını
kurtarmak için Google Maps uygulamasını yeniden başlatabilir. Tecrübesiz kullanıcı bu
belgede belirtilen yöntemleri uygulamak yerine, önce kazayla GPS'i aktif hale getirecek,
son GPS bağlantısını cihazın mevcut konumu ile yer değiştirecektir. Bu görünüşte zararsız
eylem de harita önbelleğinde yeni veri yazma işlemine sebep olacak, mevcut pozisyonuna
ilişkin harita indirilmiş olacaktır. Sonuç olarak, sadece GPS delilli tahrip edilmiş olmaz,
ayrıca kalan harita kabul edilemez olarak mahkeme ve hâkim tarafından yok sayılabilir.
Kullanıcı arayüzünü kullanarak deliller yok edilebilir bunun bir başka örneği ise daha önce
kullanılan uygulamaların ardından açıldığında, son kez yüklenen sayfaları yeniden
yükleyen "Safari"dir. Sayfalardan herhangi biri bir forum veya diğer üyelik tabanlı web
sitelerinden biri olsaydı önbellekte depolanan bilgiler yararlı deliller sayılabilirdi. Safari bu
sayfayı yeniden başlatmaya ve yeniden oturum tanımlamaya neden olmuştur ve delilleri
içerdiği sayfadan ekran ve önbellek verileri üzerine aktarmış, kullanıcıyı web sitesinin ana
sayfasına yönlendirmiştir.
Özgünlük:
Davayla
ilgili
deliller
adli
incelemeden
sonra
delillerin
kökenini
oluşturmaktadır. Örneğin, bir e-posta iletiminde müdahale iddiası varsa gönderen kişinin
mesajından sorumlu olduğunu kanıtlamak için bu iddia yeterli değildir. Gönderilen mesajın
ve hesabın veya bilgisayarın arasında bir ilişki kurulmalıdır. Ayrıca hesabın, bilgisayarın,
mesajın ve mesajı gönderen kişinin olduğu iddia edilenin makul şüphenin ötesinde bir
gerçeklik kurulması gerekmektedir. Gerçekten bir mesaj gönderdi ise, teyit için çeşitli
İnternet servis sağlayıcıları ile birden fazla bilgisayar üzerinde delil izi olmalıdır. Aygıtın
49
ham diskten silinen e-posta kurtarma özelliği düşünülsün: Canlı dosya sisteminden
şüphelinin e-posta hesabının tipik izlenebilirliği vardır ancak silinmiş başka dosyaları da
olabilir. Silinen mesaj etrafında yüzen başka mesajlar da ayrıca olabilir. Yapılması gereken
şüphelinin köşeye sıkışmasını sağlayacak periferik kanıtlar bulmaya çalışmaktır bu e-posta
hesabındaki mesajlarla, hatta şüphelinin kendisiyle de yapılabilir. Ayrıca, özgün bir test
aygıtın sahibi ve e-posta hesabı arasında bir ilişki kurmak isteyebilir. Orijinal damgası ve
diğer ilgili kayıt verileri ters okunabilir bir forma sahipse silinmiş metin mesajları, kimlik
doğrulaması ve e-posta bulunması gibi konuları yönetmek daha kolaydır. Bu bilgiler aynı
zamanda hücresel taşıyıcı günlükleri ile karşılaştırılabilir. Cihazın üzerindeki metalar
verilerin birçoğunun ve diğer formların aslının belirlenmesine yardımcı olabilmektedir.
Bütünlük: Sunulan delilllerle bütün hikâyeyi anlatmak gerekir. Net ve tam bir resim, delil
olarak kanıtların nasıl ortaya çıktığını hesaba katarak sunulmalıdır. Eğer denetlenmeyen,
eksik deliller varsa farkedilmeden gidebilir bu durumda hiç değeri olmayan herhangi bir
delil birden zarar verici olabilir. Çocuk pornografisi bulundurmakla suçlanan bir kişinin
durumu incelendiğinde, sunulan delil görüntülerinde kişinin iş bilgisayarına bu görüntüleri
indirmiş olduğunu anlaşılmıştır, ancak daha sonra savunma, görüntülerin makinedeki bir
virüs tarafından indirildiğini ortaya çıkarmıştır. Savunma bu durumu ortaya çıkaramamış
olsaydı masum bir kişi neredeyse suçlu hale düşebilir ve burada savcılığın delil bilgisi ve
teknik anlayışı delilleri muayene etmeye yeterli olmadığından davalı hapse girerdi. Sadece
bir aygıttan birkaç görüntü indirmek ve durdurma işlemi yapmak bağlam dışında
kaldığından delil oluşturmamaktadır. Kurumsal araştırmalar, güvenli cihazın bütünlüğünü
sağlamak için silme olmamasının önemini vurgulamaktadır. Bir şüpheli silinen görüntünün
kendisine ait olmadığını iddia edebilir. Siliniş tarihinden önce cihazın silme işlemi güvenli
değildir, savunma bu cihazı kullanmak için önceki çalışanın gelip işlemi gerçekleştirdiğini
iddia edebilir. Burada etkili biçimde delilin telefonla mı silindiği veya orada kimin sildiği,
kimin nasıl koyduğu sorusuna etkili şekilde cevap vermek zorundadır. Ayrıca delil için
muhtemelen zaman ve yer durumu gösterilmesi gerekir. Bir kamera fotoğraf
durumundayken, fotoğraflar birçok yerde çekilmiş olabilir ve bu nedenle nereden geldiğini
tam anlamıyla bulabilecek bir anlayış oluşturulması gerekir. Olası kaynaklar bir e-posta
veya tarayıcı, yenilenmiş iPhone'nun önceki sahibi, hatta fabrikadan kaydedilen bazı
fotoğraflar diğer kişinin masaüstünden bir şüphelinin masaüstüne senkronize edilmiş
iPhone'un dâhili kamerası olabilir. Bir kanıta delil diyebilmek için kaynağının doğru
belirlenmesi, yer ve zaman ilişkisi içinde ortaya konması gerekir.
50
Güvenilirlik: Toplanan herhangi bir delil güvenilir olmalıdır. Bu, kullanılan araç, yöntem
ve bilime bağlıdır. Kullanılan teknikler güvenilir ve alanda genel olarak kabul gören
teknikler olmalıdır. İnceleme çoğaltılamaz veya açıklıkla izah edilemez biçimde herhangi
bir hata veya kullanılmayan tekniklerle yapıldıysa, davada şüphe unsurları söz konusu
olabilir. Doğru süreci takipten ve nitelikli notlar alındığından emin olunmalıdır. Tüm
etkinlik dokümante edilmelidir; her zaman telefonun yeniden başlatılması, herhangi bir
sorun ya da engel olup olmadığına bakılması ve delillerin nasıl ele alınacağı konusunda bir
rota belirlenmesi gerekmektedir. Bu silinen verilerin güvenilirliğini etkileyebilir ya da en
azından şüpheliyi daha çok köşeye sıkıştırabilir. Cihaz, ikinci el mi satın alındı ya da yeni
mi satın alındı belirlenmesi gerekir. iPhone'larda "Jailbreaking" ile ilgili birçok damgalama
vardır. Birçok adli uygulamada olduğu gibi, toplumu kargaşaya sürükleyecek gibi görünse
de iOS adli yöntemler açma ve yazılım geliştirme gibi amaçlara hizmet ederek
yaptıklarıyla yazılım geliştirmenin önünü açmıştır. Ayrıca ne yapıldığını anlamak
önemlidir. Bu belge komut satırında girilen farklı komutları açıklamak ve yöntemlerin
nasıl işlediğini açıklamanın yanı sıra iPhone'un temel mimarisinin iç işleyişini açıklamak
için de tasarlanmıştır. Bu güven ile bir hâkimin ya da hâkim heyetinin yaklaşımı böylece
anlaşılabilir ki adli davalarda bu durum oldukça önemlidir. Hâkim kendi tanıklığının
belirsiz olduğunu tespit ederse, daha çok güvenilirliğe müsaade etmeyebilir.
Anlaşılabilirlik ve inanılabilirlik: Bir adli incelemeci kullandığı delil ve bunların
bütünlüğünü nasıl koruduğunu açıklık ve esas ilkeleri ile açıklayabilmelidir. İnceleme
kendi çalışmasını aydınlatmak için yeterli görünmüyorsa, hâkim de bunu reddedebilir.
Delil kolayca açıklanabilir ve inandırıcı olmalıdır. Çoğu durumda uzaktan saklanan deliller
gerekir ve bunların MD5 veya SHA ile bozulmadan korunması sağlanmalıdır. Bu tür veri
çalışmaları ile hâkime nasıl bir yol izlendiğinin temel kavramlarını açıklamak gerekir. Bu
nedenlerden dolayı, bu belgedeki görevleri yerinde ve başarıyla gerçekleştirmek tek başına
yeterli değildir, aynı zamanda onları tamamen anlamak önemlidir.
3.4.7. İyi (Örnek) adli inceleme uygulamaları
Adli bilişim uygulamaları icra edilirken dört hususa dikkat etmek gerekmektedir [68].
Delil güvenliği: “iPhone’umu Bul” gibi uzaktan kontrol edilebilir, uzaktan silinebilir
uygulamalarla bir iPhone izlenemez şekilde güvence altına alınabilir ve tüketici erişimi
açısından uzaktan silme gibi işlevler büyük önem taşımaktadır. Sadece bir İnternet
51
bağlantısı bulduğu takdirde doğru komutlar verilip doğru teknikler uygulandığı zaman
cihazdan tam delil kaybını önleyecek biçimde radyo frekansları ile bilgi almak birkaç
saniyelik bir işlemdir. Faraday keseleri birçok ajans tarafından kullanılsa da cihazdan
sinyal almak için izin istemek gibi başarısız bir eğilime sahiptirler ve kullanılması pek
tavsiye edilmemektedir. Faraday keselerinin kullanımı sırasında etkin bir sinyal almak için
cihazın sürekli açık kalması gerekmektedir. Doğru donanım yokluğunda, teknik birim gücü
düşürüp SIM kartı çıkarabilmelidir. SIM kartı çıkarma cihaz mobil ağlara bağlı iken
yapılmamalıdır; aygıt olay yerinde kaldığı sürece, bu şekilde yapılandırılmış olabilir, Wi-Fi
ağına otomatik katılmak veya bluetooth cihazları ile bağlanmak gibi değişikliler yapılmış
olabilir. Cihazın aynı zamanda otomatik olarak ağa katılacak durumda, aynı adı taşıyan
başka bir ağ aralığında olabilmesi de mümkündür. Bu durum, önemli günlükler üzerinde
etkili olabilir; ancak cihaz aynı zamanda eğer uzaktan silme işlemi gerekiyorsa sadece
MobileMe hesabına bağlanmalıdır. Düzgün bir cihazın tespit edilen tüm radyo dalgalarını
kapatması için uçak modunda olması gerekir. Ayarlar düğmesine dokunulur ve sonra Uçak
Modu açık konuma getirilir. Bu cihazın radyo dalgaları ile her türlü iletişimini devre dışı
bırakır. Bu PIN kilidinin cihazın kullanıcı arayüzüne erişimini engeller ve bu sayede gücü
kapatarak cihazı sabitlemek daha iyi bir imaj elde edilmesini sağlamaktadır.
Delillerin korunması: Delillerin orijinal nüshası üzerinde kesinlikle çalışmamak gerekir. En
kısa sürede bir disk imajını veya dosyaları kurtarma gibi salt okunur bir ana kopyasını
oluşturmak ve dijital kasa ile kontrol etmek gerekir. Tüm ileri işlemler için delil kopyaları
yapılmalıdır. Eski 8-bit dijital bilgi ile şu anki veriler için yapılan kopyalar aynı ustalıkla
hazırlanmalıdır. Bazı araçlar inceleme sırasında düzgün kullanılmadığında verilerde
değişiklikler yapabilir. Buna ek olarak, ayarları uygulama dışında, cihaz üzerinde herhangi
bir uygulama asla çalıştırılmamalıdır. Cihazdan veri kurtardıktan sonra bile, başka bir
avukat bunu incelemek istiyor olabilir bu durumda cihazı olduğu gibi korumak gerekir.
Başka bir avukat tarafından kurtarılan delillerle normalde kurtarılan delillerin
uyumsuzluğu kabul edilemez hükmünde olabilir. İncelemeden sonra örneğin Google Maps
uygulaması kullanıldıysa bu son GPS versinin işlevini kaybettiği anlamına gelir. Eğer bazı
özel bilgilere erişmek için kullanıcı arabiriminin kullanması gerekiyorsa, başka bir aygıta
kullanıcı verilerinin yedekleme imajını alarak o aygıtı kullanmak gerekir. Pazar desteği ile
birçok iOS dosya formatı kullanıcı arayüzü erişimine gerek kalmadan ticari raporlama ve
zaman çizelgesi araçlarını çok daha kolay elde edebilmektedir ve bu sayede delil ile
çalışmak kolaylaşmaktadır. İOS cihazının normal çalışma modu değişmez ancak cihaz
52
kendini yeniden yapılandırırken iç temizlik sırasında bazı küçük değişiklikler yapacaktır.
Bu adli bilişimde kabul edilebilir olsa da, hala delilde herhangi bir kasıtsız değişiklik
yapmaktan sorumlu olacaktır. Cihaz kullanılırken her zaman, diskte birtakım
değişikliklerin
olması
muhtemeldir.
Kesinlikle
sadece
gerekli
olan
görevleri
gerçekleştirmek ve minimal sistemin içinde değişikliklere sebep olmamak önemlidir. Eğer
cihaz üzerinde gerçekleştirilen herhangi bir yeniden başlatma açılan uygulama ya da başka
bir değişiklik varsa bunların belgelendiğinden emin olunmalıdır. Eğer delil varsa, yapılan
işlemin kaydından sonra delile yoğunlaşmak gerekir. Bazı adli araçlar kendi biçimlerine
göre verilerin dilimlenmesini veya başka bir bilişimci ile paylaşılabilmesini sağlar bu
nedenle delillere dönerek daha sonra tekrar gözden geçirmek gerekir. Koruma sebebiyle
aygıtttan çıkarılan orijinal verilerin yedeğini tutmak bu sebeple de önemlidir.
Delilin dokümantasyonu: Delillerde herhangi bir değişiklik olmayacağından emin olmak
adına hash ile bir ana kopya yapıldıktan sonra delilleri şifrelemek korunmaları açısından
önemlidir. Örneğin araç delillerin taşınması sırasında kırılmışsa ne olacağı düşünülmelidir.
Bir sağlama olmadan, delil büyük olasılıkla tahrif edilmiş ve kabul edilemez hükmüne
dönüşmüş olacaktır. Ancak dışarıdan bir sağlama ifadesiyle, delilde değişiklik olmadığı
gösterilebilir. Ayrıca delilleri çıkarmak ve toplamak için kullanılan tüm yöntemlerin
belgelendiğinden emin olmak gerekir. Başka bir analizci onları yeniden yeterince detay
alınmış notlarla beraber tekrar gözden geçirmek isteyebilir. İş başka adli analiz için delil
ortaya koymak gerektiğinde tekrarlanabilir olmalıdır. Delil çoğaltılamazsa, bir yargıç bu
duruma kabul edilemez kararı verebilir.
Değişikliklerin dokümantasyonu: Adli bilişim açısından suç mahalline bulunan yürüyüş
ayak izleri, kan, tüyler delil olmayabilir fakat suç mahallinde çiğnenen bilgisayar bitleri
bile delil olabilir. Bu açıdan tüm kurtarma işlemini belgelemek önemlidir, özellikle kasıtlı
bir değişiklik yapılmadığını belgelemek oldukça önemlidir. Örneğin, bozuk bir iPhone’u
yeniden etkinleştirme gibi aşırı koşullar altında, kullanıcı veri alanı için kontrollü yazma
yapmak gerekir. İhtiyaç duyulması halinde, bu süreç dokümante edilmelidir. Ayrıca cihaz
üzerinde masaüstü delil kopyası alındıktan sonra cihazın yapılanabilmesi için birtakım
belge ve uygulamaları kullanmak mümkündür. Eğer prosedürde sapmalar olursa, bu
sapmaların da belgelendiğinden emin olunmalıdır. Tüm kurtarma işlemini belgeleyen
herhangi bir kırılma ya da nasıl belgelendiğini içeren notları ile birlikte tutulmalıdır. Eğer
belge ve onları açıklamak için gerekli dokümanlar yoksa çoğu zaman, yapılan tüm
53
değişiklikler, delili hükümsüz hale düşürecektir. Daha sonrada keşfedilen problemler de
kanıt olabilme açısından çok risk altında olabilir.
3.5. Mobil Cihazlarda Adli İnceleme Süreci
Mobil cihazlarda adli incelme süreci, ilk müdehaleden başlanarak verinin elde edilmesi,
korunması, incelenmesi, raporlanması ve saklanmasını kapsayacak şekilde modellenmiştir.
Bu çalışmada ABD Ulusal Standartlar ve Teknoloji Enstitüsü tarafından hazırlanan Mobil
Cihaz Adli İnceleme Kılavuzu esas alınmıştır. Adım adım bu süreç incelenmiş ve son
olarak da bir model şematik olarak hazırlanmıştır [69].
3.5.1. Koruma (Muhafaza etme)
Delil koruma, güvenliği sağlayarak cihazlar ve taşınabilir medya kaynakları ile verilerin
içeriğini değiştirmeden mülkiyet velayetini muhafaza işlemidir. Bu dijital delil kurtarmanın
ilk adımıdır. Koruma elektronik tabanlı delillerin arama, tanıma, dokümantasyon ve
toplanmasını içerir. Mahkemede ya da resmi incelemelerde başarılı bir delil kullanmak
için, deliller iyi korunmalıdır. Özgün durumundaki delili korumadaki başarısızlık,
potansiyel olarak dava ile ilgili değerli bilgileri kaybetmeye sebep olabilir ve bütün bir
soruşturmayı tehlikeye sokabilir. Bu bölümün geri kalanında delil güvenliği ve olay yerinin
korunma ve değerlendirilmesi, izolasyon, paketlenmesi, belgelenmesi, taşınması ve
saklanmasına ilişkin mobil cihazlara ait ek bilgi verilmiştir.
Olay yeri güvenliği ve değerlendirmesi: Yanlış prosedürler veya bir mobil cihazın yanlış
kullanımı, dijital verilerin kaybına neden olabilir. Ayrıca, bir tür parmak izi ya da DNA
testi gibi geleneksel adli tedbirler, bir mobil cihaz ve onun sahibi ya da kullanıcı arasında
bir bağlantı kurmak için gerekebilir. Aygıt iyi bir şekilde korunmadıysa, fiziksel delil
kirlenmiş ve yararsız duruma gelmiş olabilir.
Mobil cihazlar için delil kaynakları cihazı, SIM kartları ve depolama aygıtlarıdır. İlişkili
çevre birimleri, kablolar, güç adaptörleri ve diğer aksesuarlar da önemlidir. Olay yerinin
tüm alanlarını iyice gözden geçirmek yerine ilgili delilleri sağlayacak dokümanlar
aranmalıdır.
54
Mobil cihaz ile bağlantılı donanım, örneğin çıkarılabilir medya, SIM ya da kişisel
bilgisayarlar gibi mobil cihazdan daha değerli bilgiler olduğunu kanıtlayabilir. Çıkarılabilir
medyanın boyutları küçüldükçe kolayca gizlenebilir ve bulmak zor olabilir. Çoğu zaman,
çıkarılabilir hafıza kartları kendi ayırt edici şekli ve cihaz ile bir arayüz oluşturmak için
kullanılır üstlerinde bulunan elektrik kontağı varlığı ile tanımlanabilir. Kişisel bilgisayarlar
taşınabilir cihazlarla güvenilir bir ilişki kurmuştur bu sebeple kişisel bilgisayarlar, daha
sonra bir kilitli mobil cihaza erişimde özellikle faydalı olabilir. Örneğin, Apple varolan
eşleştirme kayıt dosyasını hala kilitli iken mobil cihaza erişmek için bazı araçlar tarafından
kullanılabilmesini sağlayan bir eşleştirme işlemini içermektedir.
Birçok mobil cihaz orijinal fabrika koşullarında cihazın içeriğini temizlemek için uzman
sıfırlama kodları koyar. Bu kodların değiştirilmediğini ya da tahrip olmadığını kanıtlamak
için bir ağ izolasyonu kullanılarak uzaktan alınması gereken uygun önlemler alınabilir.
Mobil cihazlar, bir sıvı içinde daldırma gibi delil almayı güçleştirebilir bir tehlikeye maruz
kalabilir. Bu durumlarda, adli inceleme mekanizması belirli prosedürlere uygun olmalıdır.
Mobil cihazın içinde kalan sıvı, kostik olmaması kaydıyla, laboratuvara taşınması için aynı
sıvı ile doldurulmuş bir kabın mühürlü durumda taşınması ya da elektriksel kısa devre
olmasının önlenmesi için pilin kaldırılması gerekir. Kan, kirlenme ya da patlayıcı (bir
bomba bileşeni olarak) kullanmak gibi bazı tehlikeli durumlar devlet kontrolünde yapılır
çünkü teknisyenlerin delil toplamasında tehlike oluşturabilir. Bu gibi durumlarda, özel
talimatlar veya yardım için bir uzmana danışılmalıdır.
Mobil cihazlar ve ilişkili ortamları yanlışlıkla veya kasıtlı bir eylem nedeniyle, bozuk bir
durumda bulunabilir. Görünürde dış hasarlara sahip cihazlar veya medya cihazları verilerin
çıkarılmasını engellemez. Hasarlı donanımı yakından incelemek için laboratuvara geri
alınmalıdır. Bir mobil cihazda hasar görmüş parçaların onarımı ve analizi için doğru
çalışma düzeni cihazın geri kazanımını sağlayabilir.
Hasarsız bellek bileşenleri de hasarlı cihazdan kaldırılarak, içerikleri birbirinden bağımsız
halde iyileştirilebilir. Bu yöntem, dikkatli bir şekilde kullanılmalıdır ve tüm cihazlar için
uygun değildir.
55
Olay yeri dokümantasyonu: Elektronik olmayan maddeler, faturalar, kılavuzlar ya da
aletlerin, ağ bağlantısının hesap bilgilerinin ve PIN şifrelerinin yetenekleri hakkında işe
yarar bilgi veren materyaller gibi delil doğru şekilde hesaplanmış ve tanımlanmış
olmalıdır. Daha sonra çevre hakkında sorular yükselirse olay yerini bir dijital alet ve
bilgisayar raporlarıyla bağlantı halinde fotoğraflamak keşfi kolaylaştırabilir. Görünür
bütün verinin kaydının oluşturulması gerekir. Veri saklayabilen mobil aletler dâhil bütün
dijital aletler kablolar, güç bağlayıcıları, çıkarılabilir medya ve bağlantıları boyunca
fotoğraflanmalıdır. Fotoğraflarken mobil alete ve bulunduğu çevreye dokunmaktan ve
kirletmekten imtina ediniz. Eğer aletin görünümü izlenebilir durumdaysa, ekran içeriği
fotoğraflanmalıdır ve eğer gerekiyorsa manuel biçimde servis durumunu, pil durumunu ve
diğer ikonları kaydetmek gerekir [69].
İzolasyon: Çoğu mobil alet kullanıcıya, alete basit bir emir vererek kumanda kilidi ya da
uzaktan silme özelliği sunmaktadır. Gelen veri dâhil (örn. Aramalar ve mesajlar) bilgilerin
hâlihazırdaki durumunu modifiye eden, ağ bağlantısını engelleyen diğer nedenler mobil
cihazda saklanır. Dışarı giden veri örneğin GPS konumumuz gibi, coğrafi konum sağlayan
bir danışmana iletilip istenmeyen durumlar yaratabilir. Bu nedenle, adli bilişim uzmanları
veri değişikliğinin şansını azaltan mobil cihazları korurken dikkatli olmalı ve önlemler
almalıdırlar. Dijital Deliller Üzerine Bilimsel Çalışma Grubu (SWGDE)’nun “Cep
Telefonu Suçları İçin En İyi Uygulamalar” belgesi cep telefonları için en uygun korumayı
sağlayan uygulamaları içerir. Uygun toplama için bazı kilit uygulamalar aşağıda
özetlenmiştir. Veri senkronizasyonu için mobil cihazı diğer cihazlardan izole etmek
varolan bilgilinin yeni bilgilerle kirlenmemesi adına kullanılan önemli bir uygulamadır.
Eğer cihaz beşiğinde ya da şahsi bilgisayara bağlı şekilde bulunursa, şahsi bilgisayarın
arkasındaki fişi çekmek veri transferini ya da senkronizasyonu engeller. Fişi çekmeden
önce şahsi bilgisayar hafızasından bir şeyler ele geçirmek önerilir, çünkü ele geçirilen
hafıza adli delil değeri taşır. Eğer cihaz bir yazılım güncellemesi ya da yedekleme
halindeyse mobil aletin dosya sistemini bozabilir, bu yüzden ihtiyatlı olmak gerekmektedir.
Hafızayı ele geçirmek için adli hafıza araçlarını kullanmak adli bir profesyonellik
gerektirir. Mobil cihaz bağlantıda olan donanımla birlikte ele geçirilmelidir. Medya
kartları, USIMler ve mobil cihazda ikamet eden diğer donanımlar çıkarılmamalıdır.
Ayrıca, mobil cihaza bağlı haldeki bilgisayarı ele geçirmek cihazdan elde edilmemiş olan
senkronize veriyi hard diskten elde etmeyi sağlar. Medya kartları, USIMler, güç adaptörler,
cihaz kolları gibi bağlantılı donanımlar ürün manuelleri, paketleme ve yazılımlar gibi
56
kendisiyle ilişkili materyallerle birlikte ele geçirilmelidir. Bir mobil cihazı diğer kablosuz
ağlardan (Wi-Fi, hücresel ve bluetooth gibi) izole etmek SMS mesajları gibi yeni akışları
korumak için önemlidir. Potansiyel kanıtın üst üste binmesi riskinin yanında, ele
geçirilmesi garantiye alınmış bilgilerin kapsamının mobil cihazda yer alıp almadığı sorusu
ortaya çıkabilir. İnternet tarayıcısından, SMS, MMS üçüncü parti uygulamaları ve
kablosuz ağlardan yazılımla alakalı zayıflıklar doğuracak bazı hassasiyetler oluşabilir. Bu
tarz hassasiyetlerin olması ihtimali, adli inceleme esnasında bilginin değiştirilebileceği
argümanını destekler. Mobil cihazı kablosuz iletişimden izole etmek ve bu problemleri
önlemek adına üç basit yöntem uygulanabilir: cihazı uçak moduna almak, cihazı kapatmak
ya da cihazı kalkanlı bir koruyucuya yerleştirmek. Bu üç yöntemin de bazı sakıncaları
vardır.
- Cihazı uçak moduna almak klavye kullanan bir mobil cihazla etkileşimi gerektirir ki bu
da bazı riskler doğurur. Eğer teknisyen söz konusu cihazı ve etkilenen belgeleri tanıyorsa
bu risk daha azdır. Uçak modu GPS gibi diğer servislerin kullanımını engellemez.
- Mobil cihazı kapatmak cihaza erişim sağlamayı gerektiren ve kazancı zorlaştırarak
denetlemeyi erteleyen bazı kimlik doğrulama kodlarını aktifleştirebilir.
- Mobil cihazı açık tutmak ama kablosuz iletişimi izole etmek, cihaz ağa bağlanamadığı
ve sinyal gücünü artırdığı için güç tüketimini artırarak pil ömrünü azaltır. Bir süre sonra
ağa bağlanamamak bazı mobil cihazların kendilerini yeniden başlatmasına ya da
keşfedildiğinde faydalı olabilecek bilgileri temizlemesine sebebiyet verebilir. Faraday kabı
kablosuz sinyallerini hafifletebilir ama tamamen yok etmez, acil durumlarda hücre
kulesiyle iletişime geçebilecek kadar bırakır. Faraday kabını uygun olmayan şekilde
kapatma riski ve bilmeden hücreyle bağlantı kurabilir.
Gücü korumak için, bazı mobil cihazlar enerji koruma moduna geçmeye ve inaktiviteden
belli bir süre sonra görüntüyü kapatmaya ayarlanmışlardır. Bazı cihazlar pil gücü belli bir
seviyenin altına indiğinde geçici veriyi korumak için kendilerini kapatır ki bu da cihazı
açık bırakmanın amacına aykırı bir durumdur. Böyle durumlara cihazı açık bırakmak
tehlikelidir, cihazla periyodik etkileşim gerektirir. Eğer ilave güç cihaza aktarılamazsa
gücünü korumak için cihaz kendisini kapatır ve hafıza içeriğini korur, cihaz tekrar
açıldığında koruma mekanizmasının riski devam eder. Dahası, kimlik doğrularma
mekanizmaları, mesela şifreler, tipik olarak mekanizmayı tatmin etmeden deaktive
edilemez. Mobil cihazın kalan zamanı ağdan bağımsız şekilde ayarlanmış olabilir. Her
57
zaman ekranda gösterilen tarihi ve saati kaydetmek, eğer açılırsa da onu bir saatle
karşılaştırmak ve uyumsuzluk varsa not almak gerekir. Eğer güç yönetiminden dolayı
ekran kararırsa aydınlatmak için önemsiz bir tuşa, ses tuşu gibi, basmak gerekmektedir.
Güvenlik mekanizmaları, anahtar yeniden haritalandırmaları ve kötücül programlar mobil
cihazlarda var olabilir. Yönetim sistemi ve yazılım uygulamalarına belirli değişimler
yapmak bu durumun üstesinden gelmeye yarayabilir. Belirtilen liste birtakım değişimler
yaparken gözetilmesi gerekenleri örneklemektedir:
Güvenlik Artırımları: Organizasyonlar ve bireyler ellerindeki cihazları eklenti güvenlik
mekanizmalarıyla geliştirebilirler. Birtakım giriş, biyometrik ve diğer kimlik doğrulama
mekanizmaları mobil cihazların şifreleme mekanizmalarına eklemlenebilir. Mekanizmayla
uygun olmayan bir etkileşim cihazın kendini kilitlemesine ve hatta içeriğini kaybetmesine
sebebiyet verebilir. Bu, sabit şekilde izlenen güvenlik simgeleri kullanan bazı
mekanizmaları ve kart deliğinden ya da yüz yüze gelinen birtakım diğer durumlardan
dolayı bir sorun teşkil eder.
Kötücül Programlar: Bir mobil cihaz virüs ya da başka kötücül yazılımlar içerebilir. Bu
virüsler kablolu ya da kablosuz şekilde, çapraz platform atlamalarıyla tamamen alakasız
platformlarda da olabilen diğer cihazlara yayılabilir. Bazı yararlı fonksiyonlar kasti olarak
cihaza zarar veren başka yazılımlarla değiştirilmiş de olabilir. Bu tür programlar şartlı
olarak girdi parametreleri ya da donanım şifre bozulumlarıyla aktive edilmiş olabilir. Baz
özel durumlar için ayrıca bekçi köpeği uygulamaları yazılabilir ve bunlar cihazın içeriğini
silecek aktivitelerde bulunabilir.
Kilit Haritalandırması: Donanım şifreleri varolandan daha farklı fonksiyonlar gösterecek
şekilde yeniden haritalandırılabilir. İsteğe bağlı olarak bunun için bir tuş basımı ya da tuş
basımı kombinasyonu oluşturulabilir.
Geo Çitleme: Bazı cihazlar, cihazın içindeki GPS önceden belirlenmiş bir coğrafi alana
giriş ya da çıkışlarda bütün veriyi silmek üzerine ayarlanmış olabilir. Bu yöntem ayrıca
kablosuz bağlantı kulelerinin yer tespiti yapmasında da kullanılabilir.
58
Patlayıcılar ve Tuzaklar: Mobil cihazlar, bazı aktiviteler meydana geldiğinde uzaktan
bomba patlatmak ya da kendilerini imha etmek üzere yapılandırılmış olabilirler (Bir arama
geldiğinde, bir mesaj alındığında ya da bir dizi tuşa basıldığında, vb.)
Alarmlar: Bazı mobil cihazlar işitilebilir alarm özelliğine sahiptirler. Alarm fonksiyonu,
inaktif cihazı güçlendirme, ağ bağlantısı oluşturma ve uzaktan silme potansiyeli gibi
özellikere sahiptir.
Radyo frekansları izolasyon kapları: Purdue Üniversitesinde, birtakım mobil cihaz
kalkanlarının etkililiği üzerine bir saha araştırması (Faraday kafesi gibi davranacak bir araç
dizayn edilmiştir) yapılmıştır. Mobil cihazların kablosuz izolasyonu ile ilgili bu araçların
ağ iletişimini kesmede işe yaramadığını gösteren birçok kalkan cihaz mevcuttur. Purdue’de
yapılan testlerde, alıcıların baz istasyonları ile olan mesafe değiştirilerek, ABD'nin en
büyük üç alıcısını yöneten çoklu kalkan cihazlar kullanılmıştır. Testlerin çoğunluğu ağ
bağlantısının tamamen kesilemeyeceğini ve SMS mesajlarının, sesli aramaların ve MMS
mesajlarının çoğunlukla kalkanlı cihaza ulaşabildiğini kanıtlamıştır. Kalkanlı cihazların işe
yaramamasının üç nedeni: materyaller yeterince azaltma yapamıyor, sızıntı yapıyor ya da
geçirgen kalkan anten gibi davranıyor olmasıdır. Bunun için, çoğu durumda ve çoğu
cihazda izolasyon kaplarının etkililiği testlerinin %100 başarılı olmaması, delilleri
korumak için doğrulama gerektirmektedir. Adli bilişim uzmanları kendi ürünlerini
kullanmadan önce ürünlerin düzgün çalışıp çalışmadıklarını test etmelidirler [69].
Hücresel ağ izolasyon teknikleri: Mobil cihazları hücresel kule iletişiminden izole etmek
için bazı teknikler mevcuttur [70]. Cihaz keşiften önce tamamen şarj edilmiş durumda
olmalıdır ve çalışıyor olmasına ve taşınabilir olmasına özen gösterilmelidir. Hücresel
izolasyon tekniklerine dair bir genel bakış kazanmak için mütekip maddeler verilmiştir.
Hücresel Ağ İzolasyon Kartı (CNIC): Bir CNIC orijinal UICC (USIM) taklit ederek
ekrandan ağ bağlantısını engeller. Bu kartlar yabancı bir SIM takıldığında arama
verilerinin silinmesini engeller. Bu yöntem kablosuz parazitlere aldırmaksızın kazanç
sağlamaya izin verir.
59
Kalkanlı Kaplar: Telefon içine konulduğunda taşınabilir bir kalkanlı koruyucu güvenli bir
incelemeyi mümkün kılabilir. Kaba bağlanmış olan kablolar ağ iletişimlerini engellemek
için tamamen izole edilmiş halde olmalıdır. Bu yöntem en sık kullanılan yöntemdir.
Kalkanlı İş Alanları: Bütün bir çalışma alanının kalkanlamak, keşifleri sabit bir konumda
güvenli olarak yapmanın pahalı ama etkili bir yolu olabilir. Bir “Faraday çadırı” bunun için
daha ucuz bir yoldur ve taşınabilirliği sağlar. Kabloları bu çadıra geçirmek probleme yol
açabilir çünkü düzgün bir yalıtım yapılmazsa anten gibi davranıp çadırın amacına ihanet
edebilirler. İş alanı ayrıca çok kısıtlayıcı olabilir.
Ağ Servisini Devre Dışı Bırakmak: Mobil cihaza servis sağlayan hücresel taşıyıcı, servisi
devre dışı bırakabilir. Servis sağlayıcı ya da ağ yöneticisi devre dışı bırakılacak servisi
detaylı şekilde tanımlamalı ve ona bağlı olmalıdır.
Tutukluk/Sızdırma Yapan Cihazlar: Cep telefonundan daha güçlü sinyaller yayan ya da
gereksiz iletişimi karıştıran cihazlar. Bir başka yöntem de telefonu en yakında hücre
kulesinden gelen “servis yok” şeklinde kandırmaktır. Çünkü bu tip cihazlar çevredeki
havada, inceleme düzleminde iletişimleri etkileyebilirler, lisanssız kullanım bazı yetki
alanlarında kural dışı olabilir. [69]
Hücresel ağ izolasyon kartları: Bazı araçlar Hücresel Ağ İzolasyon Kartı (CNIC) yaratma
becerisine sahiptir [71]. CNICler hücresel veri izolasyonu sağlayarak mobil cihazdaki
verinin değişimine sebep olacak ağ iletişimini engellerler (Uzaktan silme, gelen mesajlar
vb.). Bir CNIC, mobil cihaz ve bağlantılı ağ arasında bağlantı kurmak için gerekli olan
özel veri elementlerine sahip değildir. Bir CNIC veri sızdırması için mobil cihaza ihtiyaç
duyar, bazı mobil cihazlar UICCsiz bu işlemi gerçekleştiremezler. CNIC’in yaratılması
aslında UICC kaynağından yapılan kopyalama değildir çünkü kimlik doğrulama anahtarı
ve verinin diğer kullanımı klonlama sürecinde kopyalanmamaktadır. Bir CNIC ya UICC
kaynak alınarak uzman tarafından yaratılır ya da veri girişini manuel şekilde yaparak
kopyalanır. Manuel giriş, UICC hâlihazırda var olmayan özel bir mobil cihaza bağlıysa
faydalıdır. CNIC’ler özel araçlardır; farklı üreticilerin araçlarıyla değiştirilemezler. Adli
bilişim uzmanlarının sıkça yaptığı hatalardan biri de veri edinimi sağlamak için mobil
cihaza yabancı bir UICC eklemeleridir. Bu bağlantı olduğunda, bir mobil cihazın yabancı
UICC ile çizilmesi şöyle veri elemanlarına sebebiyet verir: arama girdileri (cevapsız, gelen
60
ve giden aramalar) ve mobil cihazın iç hafızasında yer alan SMS mesajları silinebilir [72].
Çoğu mobil adli cihazlar adli bilişim uzmanlarına bir CNIC yaratabilmeleri için imkân
sağlamaktadır. UICCleri temsil etmek, bazen CNICler olarak da anılır, bazı durumlarda
faydalı olabilir:
- Eğer bir mobil cihazın UICCsi yoksa ya da hasarlıysa ve adli bir araç için gerekiyorsa,
CNIC yaratılması cihazdan verinin kurtarılmasını sağlar.
- Eğer cihazda UICC varsa ama PUK kodu gerektiriyorsa, PUK için servis sağlayıcısına
ulaşmadan kazanç sağlayarak devam edebilmek için temsili bir UICC yaratılabilir.
- Eğer hücresel ağ izolasyonu gerekiyorsa (Gelen arama ve mesajları engellemek
maksadıyla) CNIC cihazdan veri alırken aynı anda hücresel ağ kimlik doğrulamasını da
engelleyerek kazanç sağlar.
- Eğer kazanç sürecinde adli araç UICCye ulaşırsa, cihazda bir CNIC kullanmak
orjinalinin değişme olasılığını yok eder (Okunmamış mesajdan okunmuş mesaja geçerken
oluşan durum bayrağı gibi).
Mobil cihazın önceden eklenen UICClerle bağıntısını kuran değerler ICCID ve IMSI’dir
[72]. Genelde bu değerlerden sadece biri kullanılır. İki tanımlayıcı da eşsizdir ve ağı
kullanan kullanıcının kimlik doğrulamasında kullanılır. UICC yaratmak için gerekli olan
minimum veri basitçe bu iki değerden biri olabilirken, bazı mobil cihazlar düzgün
tanımlanmak için CNICin üzerine doldurulan ek veriler gerektirebilir. Bu veriyle ilgili
olasılık, kullanıcı verisinden ziyade, CNIC eklenmesinin bir sonucu olarak değişebilir.
Delilin paketlenmesi, nakledilmesi ve depolanması: Mobil cihaz bir kere ele geçirildiğinde,
adli uzman cihazı damgalamalı ve üzerine uygun özelliklerine göre bir etiket yapıştıracağı
uygun bir kaba koymalıdır. Bazı mobil cihazların, uçuculuk özelliklerinden dolayı, acilen
adli bir laboratuvarda kontrol edilmeli ve güç gereksinimleri kanıtlarıyla birlikte
tartışılmalıdır. Depoda bir günden fazla tutulan pili güçlendirilmiş cihazlar güç tüketimi ve
veri kaybı riski taşımaktadır. Delilleri tutan depolama imkânları, değerli elektronik
donanımlara uygun şekilde kuru ve serin bir ortam sağlamalıdır. Tüm deliller damgalanmış
kaplarda ve kontrollü ulaşıma sahip güvenli bir alanda tutulmalıdır [69].
Yerinde özelliklerine göre ayırma süreci: Son zamanlarda pek çok organizasyon dijital adli
vaka işinin birikmiş büyük işleriyle birlikte çözmeye çalıştılar. Yerinde ayırma çözümü
61
dünya çapında dijital adli vakalardaki artış için daha fazla kullanılmaya başlanmıştır.
Sınıflandırma, veri çıkarımının ilk analizinin takip ettiği bir veri çıkarımını (manuel ya da
mantıksal) içerir. Mantıksal çıkarma araçları, anahtar kelimelerin ve uzmanın ilgilenmesi
gereken konularda belirli uygulamaların kullanımı için ek olanaklar sağlamaktadır.
Mümkün olduğunda, cihazlar şifrelemeyi destekler, mesela Android ve iOS cihazlar.
Cihazı kazanmak, ya da cihazla güvenli bir ilişki kurmak için adli araçları kullanmak,
cihaz kilitlendikten belli bir süre sonraya kadar verilere ulaşılmasını garanti eder [68].
Organizasyonlar, alan ayıklamasını önceleme amacı ile birtakım “puanlama” yöntemi
geliştirmeyi dileyebilirler. Bu, organizasyon başına geliştirilmeli ve uyum değişimlerini
güncelleyen bir şekilde incelenmelidir.
Kapsamlı alan karar ağacı: Şekil 3.3'de organizasyonlar ve ajanslar için genel bir rehber
niteliği taşıyabilecek bir alan karar ağacının örneği verilmiştir. Bu, var olan politikalar ve
prosedürlerle, özelleştirme niyeti için bir başlangıç noktası sağlar. Listede, ağacın içerdiği
bazı eylemler ve karar noktalarının açıklamaları verilmiştir [69]:
Kilitsiz/Hasar görmemiş: Kilitlenmemiş durumda ve mantıksal ya da elle veri girişine izin
verecek şekilde bırakılmış cihazdır.
Acil: Alanda veri çıkarımında belli koşullar oluşuyor mu?
Lab 2 saatlik yoldan daha yakın: Mobil cihaz adli laboratuvara 2 saatten az bir süre
içerisinde nakledilebiliyor mu?
Araç-Eğitim: Cihaz araç tarafından destekleniyor mu ve adli bilişim uzmanı düzgün bir
eğitime sahip mi?
İletişim Uzmanı: Saha uzmanı ek asistanlık ve rehberlik almak için bir uzmanla iletişime
geçmelidir
%50’den Fazla Pil: Cihaz %50’den fazla şarja sahip olduğunu gösteriyor mu?
Daha çok veri ihtiyacı: Veri çıkarımı başarılı bir şekilde sonlandırıldıktan sonra ve uzman
sonuçlara baktıktan sonra, ek olarak bir bilgi ya da analiz gerekiyor mu?
62
Şekil 3.3. Karar ağacı örneği [69]
63
3.5.2. Elde etme
Mobil bir cihazdan ve onun medyasından bir bilgiyi göstermeye ya da sağlama işlemine
elde etme denir. Ekranda kazanç işlemini gerçekleştirmenin avantajı, bilgi aktarımında ya
da kaydında kaybı önlemesidir. Laboratuvar kurulumunun aksine dış-kazanımlar (off site
acquisitions) bir yandan ek koşulları sağlarken uygun donanımlarla çalışmak için kontrol
edilmiş ayarları bulma konusunda ise zahmetli olabilir. Bu tartışmanın amacına uygun
olarak, açıklama boyunca bir laboratuvar ortamı varsayılmalıdır.
Adli inceleme mobil cihazın tanımlanması ile başlar. Cihazın tipi, işletim sistemi ve diğer
karakteristikleri cihazın içeriğine dair adli bir kopya yaratmak için uygulanacak yöntemi
belirler. Mobil cihazın tipi ve elde edilecek veri genel olarak incelemede hangi araçların ve
hangi tekniklerin kullanılması gerektiğini belirleyecektir.
Mobil cihazın tanımlanması: Etkin bir şekilde ilerlemek için, mobil cihaz, yapısına,
modeline ve servis sağlayıcısına göre tanımlanmalıdır. Eğer cihaz tanımlanabilir değilse,
önünün arkasının ve yanlarının resmini çekmek ileride yapısını, modelini ve mevcut
durumunu tanımlamada işe yarayabilir. Bireyler, cihazın gerçek kimliğini gizleyerek
uzmanları engellemeye çalışabilirler. Cihazı değiştirme üretici firma etiketini kaldırmaktan
logo aşındırmaya kadar değişebilir. Ek olarak, işletim sistemi ve uygulamalar yeni bir şekil
almış ya da nadiren de olsa tamamen değiştirilmiş olabilirler ve farklı gözükebilir hatta
beklenenden farklı da davranabilirler. Bu değişiklikler ayrı ayrı olaylar olarak göz önünde
bulundurulmalıdır.
Eğer cihaz çalışır durumdaysa, ekranda beliren bilgi cihaz tanımlanmasında yardımcı
olabilir. Örneğin, üretici firmanın ya da servis sağlayıcısının adı ekranda belirebilir, işletim
sistemini işaret edebilir. Üretici firma etiketi gibi bilgiler pil boşluğunda bulunabilir.
Kapalı olduğunda bile pili boşluğundan çıkarmak mobil cihazın durumunu özellikle hassas
hafızanın durumunu etkileyebilir. Çoğu mobil cihazlar kullanıcı verilerini hassas olmayan
hafızada tutar. Eğer cihaz açıksa pil çıkarımı cihazı kapatacaktır ve muhtemelen tekrar
açıldığında kimlik denetlemesini harekete geçirecektir.
Cihaz tanımlamasını sağlayacak diğer ipuçları şunları içermektedir: Üretici firma logosu,
seri numarası ya da tasarım özellikleri. Genel olarak, yapıyı ve modeli bilmek cihazın
çalıştığı ağ tipini, ayırt ederek ve tersini de yaparak muhtemel servis sağlayıcılarını
64
kısıtlamada yardımcı olur. İlgili bilgisayarda keşfedilen senkronize edici yazılım, ayrıca
işletim sistemi aileleri arasında ayırt etmeyi de kolaylaştırabilir. Daha ileri düzeyde
tanımlama şunları içerir [69]:
Cihaz Karakteristikleri: Mobil cihazın yapı ve üreticisi, gözlemlenen karakteristikleri
aracılığıyla tanımlanabilir, özellikle eğer özgün tasarım elamanları varsa çeşitli web siteleri
belirli bir cihazı tanımlama şartlarını ve özelliklerini elde edebilen sorguları içeren
veritabanları içerebilir. Kapsamı göz önünde bulundurulabilir düzeydedir ancak ne çok
geniş ne de her şeyi kapsar düzeydedir ve eşleştirmeyi yapmadan önce birden fazla
kaynağa başvurmak gerekebilir.
Cihaz Arayüzü: Güç girişi üreticiye özgü olabilir ve belki cihaz tanımlamasına dair ipuçları
verebilir. Aşinalık ve deneyimle, bazı mobil cihazların üreticileri çabucak tanımlanabilir.
Benzer olarak büyüklük, rehberdeki kişi sayısı ve veri kablosunun arayüzü genellikle
belirli üreticilere özgüdür ve tanımlamada yardımcı olabilir.
Cihaz Etiketi: Aktif olmayan mobil cihazlar için, pil boşluğundan elde edilen bilgiler
özellikle uygun bir veritabanıyla birleştirildiklerinde yardımcı olabilir. Üretici firmanın
etiketi genellikle mobil cihazın yapı ve model numarasını ve ayrıca özgün tanımlayıcılarını
ve donanım tanımlayıcısını listeler. UICC yi kullanan bütün mobil cihazlar için, kimlik
örneği genel olarak pilin altında yer alır ve entegre edilmiş devre kartı tanımlaması adında
özgün bir tanımlayıcıyla yazılmıştır.
GSM ve UMTS telefonlarında çalıştırıldığında, uluslararası mobil donanım tanımlayıcısı
(IMEI) *#06# tuşlanarak elde edilebilir. Benzer kodlar Elektronik Seri Numarasını(ESN)
ya da Mobil Donanım Tanımlayıcısını(ESN) CDMA ile çalışan telefonlardan elde etmek
için mevcuttur.
IMEI: Üreticiyi, model tipini GSM cihazları için onaylanan ülkeyi belirten 15 haneli bir
sayıdır. IMEI’ın tip paylaştırma kodu (TAC) olarak bilinen ilk 8 haneli kısmı, model ve
kaynağı verir. IMEI’ın kalan kısmı ise sonunda kontrol hanesi ile üreticiye özgüdür.
ESN: 32-bitlik üretici tarafınfan mobil cihaz içindeki güvenli çip üzerine kaydedilmiş bir
tanımlayıcıdır. İlk 8-14 bit üreticiyi tanımlar ve sonraki bitler de atanmış seri numaraları
65
temsil eder. Çoğu mobil cihaz tuşlandığında ekranda ESN'i gösterecek kodlara sahiptirler.
Ayrıca gizli menüler, belli cihazlar kod girdisi aracılığıyla test moduna alındıklarında etkin
hale getirilebilirler. ESN’nin dışında, cihazın telefon numarası gibi diğer yararlı bilgiler de
elde edilebilir. Üretici firma kodu İnternetten telekomünikasyon endüstrisi kuruluşunun
web sitesinde kontrol edilebilir. ICCID ve UICC 20 haneye kadar ulaşabilirler. Endüstri
tanımlayıcı ön eki (telekomünikasyon için 89) ardından ülke kodu, ardından yayınlayan
tanımlayıcı numarası ve bir bireysel hesap tanımlama numarasından oluşur. Ülke ve ağ
operatörü adı ICCID tarafından belirlenebilir. Eğer ICCID UICC de gözükmüyorsa, belki
UICC kazanım aracı ile elde edilebilir. GSM numaralama planı web sitesi ICCID
sorgularını bu bilgi için desteklemektedir. FCC ID’sinin ilk 3 karakteri firma kodudur.
Sonraki 14 karakter ise ürün kodudur. FCC cihaz üreticisini tanımlamak ve resimler,
kullanıcı manueli ve radyo frekansı test sonucu dâhil olmak üzere mobil cihaz hakkında
bilgi sağlamak için veritabanı araştırma servisi sağlar.
MEID: 56 bit uzunluğunda [14 altılı rakam(hex digit)] karakter kümesinden oluşur. Bir
adet 8 bitlik bölgesel kod, bir adet 24 bitlik üretici firma kodu ve bir adet üretici firma
tarafından atanan 24 bitlik seri numarası olmak üzere 3 alan içerir. Kontrol rakamı
MEID’in bir parçası olarak görülmez. MEID, bütün hepsi Kasım 2008’de tükendiği için,
ESN’lerin yerini alması için oluşturulmuştur.
Operatör Tanımlama: Mobil cihaza uygun bir operatörün dış yüzeyde logosu yazılmış
olabilir. Bu genelde reklam ve marka oluşturma amacı ile göze çarpacak şekilde
sergileniyordur. Bu inceleyen için mobil cihazın hangi operatörde çalıştığına dair bilgi
sunar. Mobil cihazların kilitleri açılmış ve rakip operatör kullanarak çalışmaları için
muhtemelen tekrar başlatılmış olabilirler. Bu saptamayı yapmak için bir yöntem ise
UICC’nin varlığının kontrol edilmesidir. Çoğu operatör logolarını UICC'nin önüne
yazarlar. Ek olarak, UICC’nin çıkarımı ve incelenmesi ilave doğrulamaları sağlar.
Araç seçimi ve kullanımı: Mobil cihazın yapısı ve modeli bilindikten sonra, mevcut
kullanım klavuzları bulunmalı ve çalışılmalıdır. Üretici firmanın web sitesi başlamak için
en uygun yerdir. Bir arama motoruna model numarasını girmek mobil cihaz hakkında
önemli derece bilgi açığa çıkarabilir. Daha önce de bahsedildiği üzere, eldeki cihaz
çoğunlukla hangi adli araçların kulanılacağında belirleyici olur. Adli araçlar için gereken
temel şartlar [69]:
66
Kullanılabilirlik: Araştıran kişiye veriyi yararlı bir şekilde sunabilme yeteneğidir.
Kapsam: Suçlayıcı ya da aklayıcı delilleri tanımla amaçlı tüm verileri gösterebilme
yeteneğidir.
Kesinlik: Kullanılan aracın verdiği sonucun kalitesi doğrulanmıştır.
Belirleyicilik: Aynı girdiler girildiğinde ya da aynı talimatlar verildiğinde kullanılan araç
için aynı sonucu verebilme yeteneğidir.
Geçerliliği Kanıtlanabilirlik: Ara çevirelere ve sunum sonuçlarına ulaşarak kesinliği
doğrulayabilme yeteneğidir.
Test Edilmişlik: Mobil cihaz içinde bulunan bilginin değiştirilip değiştirilmediğini ya da
doğru bildirilip bildirilmediğine karar verebilme yeteneğidir.
Hangi kazanım aracının belirli mobil cihazla etkili bir şekilde çalıştığını belirlemek için
çeşitli araçlarla test cihazları üzerinde deney yapmak şiddetle tavsiye edilir. Öte yandan
araçların yeteneklerine aşinalık kazanmak, tecrübe etmek, gerçek bir durumda
kullanmadan önce özel amaçlı arama filtresinin ve özel amaçlı yapılandırmanın
ayarlanmasına olanak sağlar. Ek olarak, üreticiden gelen gerekli herhangi bir yazılım
güncellemesi yüklenebilir. Kurulu yöntemler delil incelemeyi yönlendirdiği gibi teknik
kazanım işlemini de yönlendirmelidir. Var olan işlemlere ayarlama gerektiren olaylar az da
olsa ortaya çıkabilir, bazı durumlarda da yeni metodlar ya da işlemler gerekebilir. İşlemler
elde edilen sonuçların geçerli ve ayrı ayrı üretilebilir oldukları kesinleşmesi için test
edilmelidir. Test etme mevcut cihazın üzerinde herhangi bir işlem uygulamadan önce aynı
mobil cihazın aynı modeli üzerinde olmalıdır [74].
Mobil cihazın hafıza (bellek) edinimi: Mobil cihazlar genellikle sadece arama günlüğü ya
da grafikler gibi kurtarma için gereken özel parçaları ile laboratuvar işlemlerine tabi
tutulurlar. Eğer istenilen veriyle ilgili herhangi bir şüphe varsa, açıklık getirmek için teslim
eden kişiyle irtibata geçilmesi önerilir. Ulaşılabilir tüm verilerin kurtarılması her zaman
gerekli olmasa da, tamamlanmamış bir kazanım işlemidir eğer ek bilgiler gerekirse daha
sonra tekrar yapılmak zorunda kalınmasını engeller. Kapsamı kısıtlanmış arama izinlerini
içeren incelemeler için hafızadaki tüm bilgilerin çıkarılması tamamlanmış olabilir ancak
sadece izin tarafından kapsanan parçaların bildirilmesine özen gösterilmelidir. Mobil bir
cihazdan veri elde edebilmek için adli çalışma ortamından cihaza bir bağlantı kurulmalıdır.
Kazanımın gerçekleştirilmesinden önce, kullanılan cihazın sürümü ya da cihaz üreticisinin
67
cihaza uyguladığı herhangi bir uygulanabilir yama ya da dizgi hatası ile birlikte
belgelenerek kaydedilmelidir.
Daha önce belirtildiği gibi, bir mobil cihazın durumunun değiştirilmesinden kaçınılması
gerekir, örnek vermek gerekirse kurallar gereği, telefonun tuşlarına basılı tutarak verilerin
silinmesine ya da bozulmasına sebep olmaktan kaçınılmalıdır. Bağlantı bir kez kurulduktan
sonra adli yazılımdan veya mobil cihazdan veri alımı sürekli olarak devam etmelidir.
Mobil cihazda tutulan tarih ve saat bilgileri adli bilişimin önemli bir parçasıdır. Tarih ve
saat İnternet ağından otomatik elde edilmiş ya da kullanıcı tarafından manuel olarak
düzenlenmiş olabilir. Kullanıcı manuel olarak düzenleme yapmışsa bu, mobil cihazda
bulunan mesajlar ve arama kayıtlarının gerçek olanlardan farklı tarih ve saat değerlerini
ayarlamış anlamına gelir.
Mobil Cihazlar hafıza kartı için kullanıcıya bir arayüz sağlıyor olabilir. Mobil cihazın
hafıza kartı içeriği adli araçlar kullanılarak mantıksal imaj olarak toplanılabilir. Cihaz aktif
durumda bulunursa, mobil cihazın dâhili belleğindeki ilgili araçları çıkarma işlemi, ilgili
medyanın fiziksel imajını alma işlemleri gerçekleştirilmeden önce yapılmalıdır. Cihaz güç
kaynağı kapalı durumda bulunursa, mobil cihazın dâhili belleğinden edinilen bilgiler
tamamlandıktan
sonra
çıkarılabilir
medyada
bulunan
verilerin
fiziksel
edinimi
gerçekleştirilmelidir. İki türdeki kazanımda da gereken ek manuel adımların alınması
önemlidir çünkü adli aracın kayıtlı veriyi kurtarması ve çözmesi için yeteneklerinin yeterli
olması tahmin edilemez. Bir edinim tamamlandıktan sonra, adli bilişim uzmanı yakalanan
verilerin doğruluğunu cihazın kendi içeriğiyle kontrol ederek onaylar. Bu vesileyle, bir
araçta herhangi bir hata bildirimi gelmeden başarısız bir edinim olup olmadığından uzman
sayesinde emin olunur. Karşılaşılan zorluklar için çoklu araçlar kullanılabilir. Orijinal araç
ile problemler oluşuyorsa ve eğer mümkünse başka araçlar kullanılması tavsiye edilir.
Bir mobil cihazın hafızasının içeriği genellikle mantıksal ya da manuel veya ekstraksiyon
yoluyla geri kazanılabilir olmayabilir, silinen veriler gibi bilgileri içerebilir. Fiziksel
kazanımı gerçekleştirmek için güvenilir bir yazılım aracı olmalıdır, donanım tabanlı
teknikleri açmak için gerekli olabilir [75].
68
Mobil cihazlarda GSM incelemesi: UICC gerektirmeyen mobil cihazlar nispeten basittir
başka bir cihaz satın almayı gerektirmezler. UICC gerektiren mobil cihazlar daha
karmaşıktır. UICC analizinde dikkat edilmesi gereken iki öğe vardır. Mobil cihazın
durumuna bağlı olarak elle kurulum, UICC ile birlikte veya ayrı ayrı elde edilebilir.
Genellikle cihaz inaktif durumda iken UICC ile birlikte işlem yapmak ilk seçenek olarak
kabul edilir.
Mobil cihaz aktif ise, elle kurulum ve UICC içeriğinin bir ortak kazanımı elde edilmelidir.
Telefon aracılığıyla dolaylı bir kazanım yok ise doğrudan kazanım ile UICC, silinen
mevcut mesajları kurtarır. UICC mobil cihazdan çıkarılır ve doğrudan elde edilmesi için,
uygun bir okuyucu takılmış olması gerekir.
Ortak kazanım yaparken ortaya çıkan tanınmış adli bir sorun, okunmamış metin
mesajlarında durum kazanımı sırasında değişiklik olmasıdır. İlk kazanımda, okumak için
açılan mesajların okunmamış mesaj halinden çıkması durum bayrağını değiştirebilir. Elle
kurulum aracılığıyla dolaylı bir UICC yapılması okunmamış kısa mesajın okuma durum
değişikliği cihazın işletim sisteminde durum etiketi değişikliğine neden olur. Bu sorunu
önlemenin bir yolu ek kazanım yaparken UICC bellek kurtarma işlemini seçerek
düzeltmektir [72].
Mobil cihaz etkin değilse, UICC içeriği elle ayardan önce bağımsız elde edilebilir. UICC
edinme PC/SC okuyucu ile doğrudan yapılmalıdır. Elle ayar edinimi UICC mevcut
olmadan denenmelidir. UICC etkinleştirilmiş olsaydı birçok cihaz için PIN girişine geçiş
sağlayan koşullar oluşur ve kazanıma izin verir. Kazanım girişimi başarısız olursa, UICC
yeniden takılı hale getirilip ikinci bir girişim yapılmalıdır. Bağımsız kazanım
gerçekleştirme UICC verilerinin dolaylı okunması ve herhangi bir işletim sistemi ile ilgili
adli sorunların önlenmesini sağlar. Ancak, SIM çıkarma işlemi, bazı mobil cihazların
verilerinin silinmesine neden olabilir [76].
iOS cihazlarının incelenmesi: 2009 yılının ortalarından bu yana, iPhone 3G'nin piyasaya
çıkması ile başlayan Apple donanım hızlandırmalı şifrelemeyi mümkün kılan, özel bir
şifreleme mikroişlemcisi ile tüm iOS cihazlarına yüklenmiştir. Apple Veri Koruma adında
bir özellik olarak pazarlanan işletim sisteminde, bu hızlandırılmış şifreleme özelliğine yer
verilmiştir. Veri Koruma herhangi bir dosya ya da şifreli bilgi parçası veya ayrı bir
69
anahtarla şifresi sağlanan, donanım hızlandırmalı şifreleme ve doğrulanmış kriptografik
düzenin birleşimidir.
Veri koruması ile korunan dosyaları daha sonra daha yüksek bir kademe sınıf anahtarı
kullanılarak şifrelenmiş ve dosya ile bir başka dosya etiketi olarak saklanan rastgele bir
dosya anahtarı ile şifrelenir. Cihazınızda saklanan şifreler benzer bir yaklaşım kullanılarak
şifrelenir ve iOS anahtarlık, işletim sisteminde yerleşik bir cihaz anahtarı emanet
mekanizması ile saklanır.
Dosyalar ve anahtarlık unsurları cihazı şifreyi içeren şekilde şifreler hem de erişim kontrol
tuşları tarafından korunur. Passcodemust cihazın GUI kiliti bu dosyalar için seçilir ve
anahtarlık unsurlarını korumak ve anahtar hiyerarşi şifresini çözmek ve aynı zamanda
devre dışı bırakmak için kullanılır.
2009 yılında Zdziarski tarafından veri koruma uygulaması tasarım hataları eleştirilmiş ve
orijinal uygulama istismar edilmiştir [68]. Bu nedenle, dört basamaklı PIN veya kısa
parolalar kaba bir zorlamayla çözülebilen bir yöntemdir. Birçok durumda, dört haneli PIN
lerin 20 dk gibi bir sürede kaba zorlamayla çözüldüğü görülmüştür.
Bununla birlikte, bu şifreleme düzeni adli bilişim uzmanları için önemli sorunlar
yaratmaktadır. Adli inceleme bu konuların yanı sıra, bu şifreleme incelemesi için sunulan
herhangi bir iOS tabanlı cihaz üzerinde sahip olduğu etkinin farkında olmalıdır. Cihazların
hepsinin içinde verileri silmek için seçeneğiniz vardır. Aktive edildiğinde, UID yok edilir
ve anahtarın 256 bit son derece karmaşık bir şifre çözme sorunu ile uzmanı bırakarak imha
edilir. Bu tür senaryoları önlemek için, radyo iletişimi engellenebilir veya inceleme için
laboratuvara taşınmasının yanı sıra inceleme öncesinde devre dışı bırakılması tavsiye
edilir.
Veri koruma etkin olduğunda dosya silinir, dosya anahtarı gereksiz silinen dosyalar için
bilinen kırma teknikleriyle ayrılmamış alanlarda şifreli ve genellikle kurtarılamayan dosya
içeriğini bırakarak, yok olur. Veri ancak veri konteynerleri içinde bulunabilir. Buna ek
olarak, iskontolu veya herhangi bir inceleme parçası olarak göz ardı edilmemelidir. SQLite
veri kurtarma biraz otomatik olabilir ve verilerin kurtarılması zor olabilir, manuel kurtarma
tek seçenek olabilir. Neyse ki adli bilişim uzmanı için, kullanıcı verilerinin önemli bir
70
kısmının tahsisi veri konteynerleri içinde depolanan ve çöp toplama genellikle bu kapların
üzerinde gerçekleştirilmez.
Apple aynı zamanda iTunes kullanıldığında, tüm yedekleme verilerini şifrelemek için
kullanıcılara bir özellik sunar. Bu seçenek, sadece bazı adli edinim araçlarının şifrelenmiş
dosyaları sunacak şekilde kullanıldığında gerçekleşebilir.
Yedek şifreleme özelliği sadece, cihazın yedekleme hizmeti aracılığıyla gönderilen verileri
için geçerlidir ancak yedekleme şifrelemesi etkin olsa bile, verilerin açık metin kopyalarını
temin etmek cihazda çalışan diğer hizmetler için olasıdır. Satın alma aracı, bu hizmetlere
iletişim yeteneğine sahip değilse, düz metin verileri önemli miktarda yedek şifreleme
bilinmiyorsa bile kurtarılabilir.
Android cihazların incelenmesi: Android akıllı telefonlar ve tablet bilgisayarlar gibi bazı
mobil cihazlar için Google tarafından tasarlanmış bir işletim sistemidir. Android ilk olarak
2007 yılında piyasaya sürülmüştür. İlk Android tabanlı telefonun Android işletim sistemi
açık kaynak kodludur.
İşletim sisteminin farklı sürümlerinin her birinin tam desteklenebilmesi için aygıtın her
sürümünde küçük değişiklikler yapılması gerekir. Bu dağılımlar binlerce (değilse bile
yüzlerce) farklılığa yol açmıştır.
Apple'ın AppStore’u gibi, Android’in de Google Play Store adında bir ana uygulama
havuzu vardır. Başvuruların incelenmesi için deposunda Apple’a oranla çok daha düşük
önlemler vardır ve genel uygulama havuzunda probleme yol açacak birçok kötü niyetli
uygulamanın kullanımına sebep olmuştur.
Android kullanıcılarının ve uygulama verilerinin çoğu yüklü olan her uygulama için ayrı
klasörlerde bulunan SQLite tablolarında mevcuttur. Bunun için inceleyen kişinin SQLite
tablolarını içeren tüm verilerin dökümünü alması ve mobil araçların çoğunluğu tarafından
desteklenen uygulamaların %5 inden daha az oranda ilgili metaryellerin araştırılması
gerekmektedir. İşletim sistemi dokunmatik ekran kullanımı için tasarlanmış olduğundan,
cihazlar için varsayılan koruma düzeni el ve kol işaretleridir. Bu kilit kullanıcıya 3x3 örgü
sisteminde, parmaklarla hücreleri birbirine bağlayan bir şifreleme yöntemi sunar. Doğru
71
model takip edildiğinde telefonun şifresi açılır. Bazı adli tıp araçları telefonun kilidini
açmak için gesture.key adında dosyalar barındırır. Kilitli Android cihazları için erişim
yöntemlerinden çoğu hata ayıklama moduna güvenir. Ancak, çok az sayıdaki model bu
yöntemi destekler. Çoğu Android tabanlı mobil cihazlar çıkarılabilir microSD hafıza
kartına sahiptir. Çok sayıda korumasız ve şifresiz veriler içerdiğinden dolayı microSD
kartının içindeki veriler göz ardı edilmemelidir. En iyi yöntem olarak, microSD kartları
blok yapılabilir ve dijital adli teknik standartları kullanılarak görüntülenebilir olmalıdır. Bu
görüntü geleneksel adli tıp araçları kullanılarak incelenmelidir. Birçok araç Android OS de
sunulan bilgileri ayrıştırabilir. Her hafta yüzlerce uygulama eklenir. Anlamak ve
mühendislerin teker teker yerini değiştirmek zaman alıcı bir süreçtir. Birçok satıcı verileri
ayrıştırmak için daha popüler iletişim uygulamalarına odaklanmaktadır. Daha gelişmiş bir
inceleme için bu eksikliğin farkında olunmalı, uygulama testleri geliştirilmeli ve mevcut
durumları destekleyen özel uygulamalar bulunmalıdır [69].
UICC değerlendirme: Mobil cihazlara benzer olarak UICC den bilgi elde etmek için
PC/SC okuyucu kullanarak adli iş istasyonlarıyla bağlantı kurulmalıdır. Daha önce olduğu
gibi kullanılan cihazın sürümü aracına uygulanan üreticinin herhangi bir geçerli yamalar
veya dizgi hatası ile birlikte dokümante edilmelidir. Bağlantı kurulduktan sonra adli
yazılım aracı UICC den veri elde etmek için kullanılabilir. UICC verilerinin doğrudan
görüntü yakalama yerleşik koruma mekanizmaları yüzünden mümkün değildir. Bunun
yerine, adli araçları dosya sisteminin her temel veri dosyasından, değişiklik olmadan,
mantıksal veri ayıklamak için UICC Uygulama Protokolü Veri Birimi (APDUs) olarak
adlandırılan komut direktifleri gönderir. APDU protokolü basit bir komut-yanıt
değişimidir. GSM standartlarında tanımlanan dosya sistemi her dosya sistemi üzerinden
yürümek ve bir öğenin referans ve içeriğini okuma gibi bazı işlemleri gerçekleştirerek
verileri kurtarmak için kullanılabilir, benzersiz bir sayısal tanımlayıcı vardır. UICC ler
yüksek standart cihazlar olduğundan, birkaç mantık edinimiyle ilgili konu bulunmaktadır.
Temelde dikkat edilen PIN lerin durumunu raporlayan ve ilgili verileri kurtaran bir araç
seçmek gerekir.
Teğetsel (Yüzeysel) donanımlar: Yüzeysel donanımlar hafızayı ve onunla ilgili mobil
cihazları içeren aygıtları barındırır. Hafıza kartları üç temel kategoridedir, bulut tabanlı
hafızaların içeriği sekronize olduğundan dolayı bunlar ev sahibi bilgisayarlardır. Akıllı
telefonlar çıkarılabilir medyaları destekleyen arayüzleri sağlar. Hafıza kartları kullanıcı
72
dosya depolama olarak ya da cihazdan dosyaları aktarmak için bir araç olarak kullanılan
tipik taşınabilir belleklerdir. Veriler medya okuyucuları veya adli uygulamalar ile elde
edilebilir. Bir mobil cihazda yer alan veriler nedeniyle senkronize edilen veya başka bir
fazla ana bilgisayarların arasından bilgi paylaşımı için mobil cihazların yeteneği, kişisel
bilgisayarda genellikle mevcuttur. Böyle kişisel bilgisayarlar veya iş istasyonları
senkronize cihazlar olarak adlandırılırlar. Sekronizasyon yüzünden, önemli miktarda mobil
cihaz verilerinin sahibinin taşınabilir ya da kişisel bilgisayarında bulunması nedeniyle
sıradan bir bilgisayar adli araç olabilir [77].
Sekronize cihazlar: İki cihaza bağlı e-posta hesapları gibi veri sınıflarının farklılıklarını
çözme süreci senkronizasyona işaret eder. Bilgi senkronizasyonu kayıt düzeyinde ya da
dosya düzeyinde gerçekleşebilir. Dosya düzeyinde bittiğinde, son senkronizasyon tarih ve
zaman herhangi bir tutarsızlık varsa son sürümü otomatik olarak eski sürümü yerine
kaydedilir. Kayıt seviyesinde eşitleme benzer şekilde yapılır, ancak daha ayrıntı olarak bir
dosyanın parçaları çözümlenir ve değiştirilebilir. Mobil cihazlar genellikle eşitleme işlemi
sırasında kişisel bilgisayar verileriyle doldurulur. Bilgilendirici verilerin önemli bir kısmı
kişisel bilgisayarda yerel olarak bulunabilir. Mobil cihazdan elde edilen veriler de
senkronizasyon yazılımı kullanıcı tanımlı tercihleri aracılığıyla bilgisayara senkronize
edilebilir. Bir mobil cihaz ve kişisel bilgisayar senkronize içeriği zamanla ve hızla
farklılaşmaya eğiliminde olduğu için, ilave bilgiler tek bir cihazda ya da diğer cihazlarda
bulunabilir. Mobil aygıt dosyaları bilgisayarınızda depolanan senkronizasyon yazılımını ve
cihaz türünü belirler [69].
Bellek kartları: Bellek kartı depolama kapasitesi 128MBdır. Teknolojik gelişmelere paralel
olarak, bu tür medyalar fiziksel olarak küçülür ve daha büyük depolama yoğunlukları
sunar. Çıkarılabilir medya bireylerin cihazın dâhili kapasite ötesinde ek dosyaları saklamak
için ve uyumlu cihazlar arasında veri paylaşmak için mobil cihazların depolama
kapasitesini genişletir. Bazı adli tıp araçları bellek kartlarının içeriklerini elde edebilir.
Çıkarılabilir medya veri fiziksel edinimi inceleyenler için medya içeriğini arama ve
potansiyel silinmiş dosyaları kurtarmaya imkân sağlar. Tek dezavantajı ise SMS metin
mesajları gibi mobil cihaz verilerinde, manuel çözme ya da yorumlamak için ayrı bir şifre
çözme aracı gerektirebilir olmasıdır. Daha ciddi bir sorun da içerik koruma özelliklerinin
veri kurtarmayı bloke edebilir olmasıdır. MMCmicro, secure digital (SD), miniSD,
73
microSD ve memory stick micro gibi değişik bellek kartları vardır. Bu kartları
birbirlerinden ayıran en önemli özellikleri boyutlarıdır [69].
Mobil cihazlar için bulut tabanlı servisler: Mobil bulut, mobil ağların, kullanıcının
kullandığı uygulamalar ile cihazında tutulan verilerin tutulduğu bir sistemdir. Bu veriler
farklı ve dağıtık coğrafi konumlarda boyunca saklanabilir. Bulut bilişim sistemleri kendi
tasarımlarında karmaşık ve dağıtık yapıdadır. Genellikle, bulut bilişim depolama yeri
sorunu ve düşük maliyet nedeniyle tercih edilir. En önemli sorun, veri konumunun
tanımlanmasıdır. Bu gelişmekte olan bir alandır. Ayrıca, bulutta depolanan kullanıcı
verilerinin kurtarılması yasa ve yönetmeliklerden kaynaklı olarak sorunlu bir alandır. Veri
elde etme ve analizinde mutlaka bulut bilişim adli inceleme kurallarına uymak gerekir.
Mobil cihazlarda adli incelemede buluttan veri elde etme ve analizi mobil adli incelemenin
bir parçası mıdır tartışılmaya açık bir konudur. Mobil cihazlar için buluttan veri elde etme
çalışmanın kapsamı dışında tutulmuştur.
3.5.3. İnceleme
İnceleme süreci gizli veya açık dijital delillerin ortaya çıkarılması sürecidir. Sonuçlar
uygulamaya dayalı kurulan bilimsel yöntemlerle elde edilir. Ayrıca tamamen verinin
içeriğini ve durumunu açıklamalıdır. Analiz süreci incelemeden farklıdır, aslında
incelemenin bir sonucu olarak davanın ispatlayıcı değerini artıran süreçtir. İnceleme ise bir
adli uzman işidir ve teknik bir süreçtir. Ancak, analiz gibi araştırmacıya dayalı veya adli
incelemeye bağlı bir uzman dışındaki roller tarafından yapılabilir. İnceleme süreci mobil
cihazdan alınan delillerin bir kopyasıyla başlar. Neyse ki, kişisel bilgisayar ya da ağ
sunucuları klasik inceleme ile karşılaştırıldığında, incelemek için elde edilen veri miktarı
mobil cihazlara göre çok daha küçüktür.
Potansiyel delil için bir başlangıç noktası sağlamak için ilgili taraflar gerekir. İnceleme
yapılması adli uzman veya inceleme ve araştırmacı arasında bir ortaklıktır. Adli inceleme
sistemi üzerinde olabilecek ilgili bilgileri bulmak için araçlar sağlanırken araştırmacı,
aranan bilgi türlerini görmemizi sağlar.
Davayı inceleyerek elde ettiği anlayış hedef veri türüne ve elde edilen verileri ararken
kullanmak için belirli anahtar kelimeler veya deyimler hakkında fikir vermelidir. Durum
74
türüne bağlı olarak, strateji değişir. İnternet ile ilgili suç hakkında dava tüm İnternet
geçmiş dosyalarını tarama ile başlayabilir. Örneğin, çocuk pornografisi ile ilgili bir vaka,
sistem üzerinde grafik görüntülerin tümünün taraması ile başlayabilir.
Potansiyel kanıtlar: Mobil cihaz üreticileri genellikle Kişisel Bilgi Yönetimi (PIM)
uygulamaları, mesajlaşma, e-posta ve web tarama dâhil olmak üzere bilgi işleme özellikleri
ve yeteneklerine benzer bir dizi hizmet sunar. Özellik ve yetenek kümesi cihazın imal
edildiği dönem, gömülü yazılımı, belirli bir servis sağlayıcı için yapılan değişikliklerin
sürümünü ve kullanıcı tarafından yüklenen herhangi bir değişiklik veya uygulamalara göre
değişiklik arz edebilir.
Bu cihazların üzerindeki potansiyel deliller:
- Katılımcı ve donanım tanımlayıcıları,
- Tarih/saat, dil ve diğer ayarları,
- İletişim bilgileri,
- Takvim bilgileri,
- Metin mesajları,
- Gelen ve cevapsız arama günlükleri,
- Elektronik posta,
- Fotoğraflar,
- Video kayıtları,
- Multi-medya mesajları,
- Görsel mesajlar,
- Web tarama faaliyetleri,
- Elektronik belgeler,
- Sosyal medya ile ilgili veriler,
- Uygulama ile ilgili veriler,
- Konum verileridir.
Bir cihazda mevcut ürün özellikleri ve mobil cihazın yeteneklerine değil, aynı zamanda
kullanıcı tarafından abone ses ve veri hizmetlerine de bağlıdır. Örneğin, ön ödemeli telefon
hizmeti, multi-medya mesajlaşma, elektronik posta ve web tarama için olasılığını saf dışı
bırakabilir. Telefonun kendisi onlara destek olsada benzer şekilde, bir sözleşme abonelik
seçimi gibi belirli hizmet türlerinin dışında tutabilir.
75
Bilgisayarlarda adli soruşturma genelde iki türde gerçekleşir. Bir olay meydana geldiğinde
burada birinci tip ama failin kimliği bilinmez. Şüpheli ve olay biliniyor ise ikinci türde
gerçekleşir. Olayın arka plan ile hazırlanan adli inceleme ve analizi aşağıdaki amaçları
gerçekleştirmek yönünde devam edebilir:
- Bireyler hakkında bilgi toplamak,
- Meydana gelen olayların tam olarak içeriğine karar vermek,
- Olayın zamanını bilmek,
- Olayı tetikleyen fakat gizli kalmış bilgileri ortaya çıkarmak,
- Olay sırasında kullanılan araçların tespitini yapmaktır.
Birçok durumda veri kanıtlayıcılar ya da bazı olaylar hakkında bir bireyin iddialarını
çürüten bir soruşturma yapmak yararlıdır. Bu vesileyle, direkt bilgi, motivasyon ve niyet
tesis edilebilir. Mobil aygıtlardan delil kaynaklarının çoğu şunlardır: iletişim, veri,
mesajlaşma, resim, video, sosyal medya, ya da İnternet ile ilgili bilgilerin aranmasıdır.
Kullanıcı uygulamaları, potansiyel diğer delillerin kaynaklarıdır. Ayrıca, görüntüleme veya
düzenleme için cihaza yerleştirilen kullanıcı dosyaları diğer önemli delil kaynaklarıdır.
Bunlar grafik dosyaları, ses ve video kayıtları, elektronik tablolar, sunum slaytları ve
benzeri diğer elektronik belgelerdir.
Yüklü yürütülebilir programlar da belli durumlarda yararlı olabilir. Genellikle en önemli
veri kurtarılır. Servis sağlayıcılar abone veya donanım tanımlayıcılarını kullanarak
sorgulanabilir arama günlüklerine dayalı fatura veya borçlandırma hesapları için
veritabanlarını korumak maksadıyla bazı verileri tutmak zorundadır. Benzer şekilde, teslim
edilmeyen SMS metin mesajları, multi-medya veya sesli mesajları da geri elde edinilebilir.
Bu cihazdan elde edilen veriler servis sağlayıcıdan alınan verilerle doğrulanmalıdır.
Mobil adli bilişim araçlarına başvurma: Tüm veri elde edildikten sonra ilk adım veriyi
incelemek, tanımlamak, önemli olanları belirlemek ve son olarak rapor yazmaktır.
İnceleme için kullanılan araçlar ile bilgi ve deneyim büyük ölçüde inceleme sürecini
hızlandırabilir mevcut özellikler ve adli aracın yetenekleri yetkin kullanım açısından son
derece önemlidir.
76
Adli araçların operasyonlarda hata yapma potansiyellerinin olduğunu bilmek ve ona göre
hareket etmek oldukça önemlidir. Örneğin, uygulamada bir programlama hatası olabilir;
uygulama tarafından kullanılan bir dosya yapısı hatalı veya güncel olmayabilir araştırmacı
tarafından anlaşılır veri içine bit çevirmek için ya da girdi olarak başka program tarafından
oluşturulan dosya yapısı uygulamanın düzgün çalışmamasına neden olabilir. Mobil cihaz
adli araçları ile yapılan testler biçimlendirme ve veri ekranında hatalarının yaygınlığını
göstermektedir [78]. ABD'inde Ulusal Standartlar ve Teknoloji Enstitüsü (NIST)
tarafından söz konusu araçların testlerinin yapılması için bir proje başlatılmıştır. Birçok
uygulama bu kapsamda teste tabi tutulmuştur.
Delilleri ortaya çıkarmak için, uzmanlar suçu ortaya çıkarmak maksadıyla bir inceleme
yolu belirlemelidir. Arama, ilgili olabilecek kişi adları kullanılarak, sistematik bir şekilde
geliştirilmelidir. Uzman sistematik ilerleyerek, değerli bulgular vasıtasıyla bir patern
oluşturur.
Bazı araçlar metin şeklindeki delilleri tanıyıp kategorize etmek için dosya uzantısını
kullanırken, diğerleri dosya imza veri tabanını kullanır. Dosya imza veri tabanı yöntemi
tutarsız dosya ismi uzantısı nedeniyle verinin kaybedilmesini önler. Aynı şekilde, aracın
görüntüleri ortak bir grafik kitaplığına toplayıp incelemeye elverişli hale getirmesi de
oldukça kullanışlı bir özelliktir. Suçları kanıtlayan verileri aramak sabır gerektiren ve
zaman alan bir iştir. Bazı araçlar girilen metni arayabilecek basit arama motorları
bulundurmakta, ilkel aramalara izin vermektedir. Diğer araçlar daha akıllı ve daha çok
özelliğe sahip arama motorları bulundurmakta genelleştirilmiş düzenli ifade kalıpları
tipinde aramalara izin vermektedir. Bu aramalara joker eşleşmeleri, dosyaları uzantılarına
göre filtrelemek, belirlenmiş tipte dosyaları aramak için rehber ve batch scriptleri da
dâhildir. Aracın kabiliyetleri ne kadar genişse, adli uzman o araçla tecrübe sahibi olmaktan
daha fazla yararlanabilir.
Arama ve abone kayıtları: Hizmet sağlayıcıları tarafından aboneleri isabetli bir şekilde
faturalandırmak için tutulan kayıtlara arama detay kayıtları (call detail records – CDRs)
denir. Bu kayıtlar, mobil cihazlardan gelen aramaları veya kısa mesajları işlemekle elde
edilir. İçerik ve format bir sağlayıcıdan diğerine çok fazla farklılık gösterse bile, aramayı
yapan abone veya cihazı, arama hizmetini sunan hücreyi, aranan numarayı ve aramanın
süresini tanılamak için gereken bilgi tutulmaktadır. Uygulamaların neleri içerebileceği
77
hizmet sağlayıcılarına ve şebeke operatörlerine bırakılmış durumdadır. Arama detayları ve
diğer kayıtları tutma süresi hizmet sağlayıcıları arasında değişmektedir [79]. Ancak, bu
süre genelde sınırlıdır ve bilgilerin kaybedilmemesi çabuk hareket edilmesi gerekir. İlgili
taraflara dair hücresel taşıyıcıların hızlıca ele geçirilmesi, hesap abonesinin bulunması
açısından önemlidir [80].
Ulaşılabilen veri abone kayıtları e-posta sunucularının içeriği, e-posta sunucu kayıtları,
diğer IP adres yetkilendirme kayıtları, SMS ve MMS mesaj sunucularının ve sesli mesaj
sunucularının içeriği gibi veriler içerebilir. Yollanmamış içerikler, örneğin sesli mesajlar,
yargısal açıdan hakların ihlali olarak görülebilir ve belirtilen içerikleri uygun yetkiye sahip
olmadan ele geçirmek veya dinlemek iletişimin yasadışı önlenmesi olarak görülebilir.
Arama detay kayıtları dışında abone kayıtları da hizmet sağlayıcısı tarafından kullanışlı
veriler olarak sunulur. Bu kapsamda GSM operatörlerinin, müşterilere dair tuttuğu veriler
aşağıda belirtilmiştir:
- Müşteri adı ve adresi,
- Faturalandırma adı ve adresi (eğer müşteriden farklıysa),
- Kullanıcı adı ve adresi (eğer müşteriden farklıysa),
- Fatura hesap detayları,
- Telefon numarası (MSISDN),
- IMSI,
- UICC (USIM) seri numarası (ICCID),
- UICC (USIM) için PIN/PUK,
- Sağlanan hizmetler.
İş ve ev telefon numaraları dâhil diğer işe yarar bilgiler, bağlantı bilgisi, kullanılan kredi
kartı numaraları da aynı zamanda abone kayıtlarında bulunabilir. Önceden ödenmiş
telefonlara dair kullanılabilir bilgiler de hesap bilgilerinde bulundurulur, örnek olarak ise
hat alımında kullanılan kredi kartı numaraları veya çevrimiçi makbuz bilgilendirmeleri için
kaydedilen e-posta adresleri gösterilebilir. Ön ödemeli telefonların arama kayıtlarına
ulaşma seçeneği de göz ardı edilmemelidir.
Hizmet sağlayıcısı tarafından tutulan arama detay kayıtları ve diğer kayıtlar abone veya
mobil cihazlardan ve UICC’den elde edilen donanım bilgisi kullanılarak istenebilir. Bu
78
amaçla kullanılan abone bilgileri genelde UICC’den kaynaklanan IMSI ve telefon
numarasını (MSISDN) da içerir. Kullanılan donanım tanılayıcılar ESN veya telefon IMEI
numarası ve UICC seri numarasıdır (ICCID) [81].
Arama detay kayıtları birçok amaç için analiz edilir. Örneğin, bir hizmet sağlayıcısı
abonelerinin arama şablonlarına ulaşmak veya ağın performansını ölçmek için arama detay
kayıtlarını kullanabilir [82]. Arama detay kayıtları aynı zamanda sağlayıcıdan alınan hücre
alanı baz istasyonu bilgisini hücre tanılayıcılarının coğrafi konumlarına ulaşmak ve
aramaların yapıldığı coğrafi konumlara ulaşmak için kullanabilir. Arama kayıt konumlarını
belirlemek bazen kullanışlı olsa da kesin ve isabetli bir çerçeve ortaya koymaz. Hücre
kuleleri 35 kilometre yarıçapta (yaklaşık 21 mil) hizmet sağlayabilir. Hizmet
sağlayıcısında bulunan radyo frekansı haritaları ilgili bölgelere dair daha isabetli veriler
ortaya koymak için alınabilir. Veri analizi sonuçları belirli bir zamanda mobil cihazın
konumunu bulmak için kullanılabilir [83]. Bir dizi aramanın başında ve sonunda hücre
tanılayıcısının değişmesi seyahat halini veya bir davranış kalıbını ortaya koyacaktır.
Hücrelerin sınırları değişkenlik göstermektedir. Arazi şartları, mevsimsel değişiklikler,
anten performansı ve arama yüklemesi hücrelerin kapsadığı alanları etkilemektedir ve
arama kayıtlarında görülen konumların makul kabul edilip edilmemesini etkiler.
Belirli hücrelerin coğrafi kapsam alanlarını tanımlamak detay kayıtlarıyla birleştirildiğinde
makul konumları belli bir aşamaya kadar belirlemekte değerli bilgiler ortaya koyar.
Profesyonel suçlular bu kabiliyetlerin farkındadır ve suç mahallinden başka bir yerde
bulunmuş gibi yaparak bu durumları kendi avantajlarına kullanmayı deneyebilirler. Yer
belirlemeden kaçınma ihtimal dâhilindedir. Sık karşılaşılan bir hile ise pay-as-you-go
tipinde ön ödemeli telefonların satın alınıp, kullanılıp, çabukça elden çıkarılması veya
çalıntı telefonların kullanımıdır. Kullanımı gizlemek ve kayıtların analizini karışık hale
getirmek için farklı UICC’ler değişik GSM/UMTS mobil cihazlar arasında değiştirilerek
kullanılabilir.
Diğer verilerle birlikte arama kayıtlarının dikkatli analizi mobil cihaz ve kullanıcısı
arasındaki ilişkiyi kurmakta kullanışlıdır. Ön ödemeli telefonların arama detay kayıtları
şebeke sağlayıcıları tarafından tutulmaktadır, aynı durum kontrat abonelikleri için de
geçerlidir. Şüpheli ve bilinen ortakları arasındaki iletişimin, kalıpların ve dijital ses
79
kayıtları analiz edilerek bu tür telefonların aidiyeti hakkında bilgi sahibi olunur. Diğer
geleneksel adli deliller de (parmak izi, DNA vb.) aidiyet konusuna açıklık getirmek için
kullanılabilir. Cihazdan transfer edilen verinin miktarını belirten şebeke trafik bilgisi de
soruşturmalarda sıkça kullanılmaktadır [69].
3.5.4. Raporlama
Raporlama, soruşturmanın bütün safhalarının ve ulaşılan sonuçların detaylı bir şekilde
anlatıldığı özettir, atılan bütün adımların ve bütün gözlemlerin titizlikle kaydedilmesi ve
ulaşılan sonuçların veriyle doğrulanması bu süreçte oldukça önemlidir. Nitelikli bir rapor
sağlam belgelerle, notlarla, fotoğraflarla ve araçlarla üretilmiş içerikle yazılır. Veri eksiksiz
olarak incelendikten ve önemli kısımlar işaretlendikten sonra rapor yazılır. Birçok adli araç
önceden belirlenmiş şablonlar ve rapor yapısına uygulanabilecek kişiselleştirmeler içeren
kendi raporlama sistemiyle beraber gelmektedir. İzin verilen kişiselleştirmeler arasında
organizasyon logoları, rapor başlıkları, stil seçimleri ve organizasyonun ihtiyaçlarına göre
belirlenebilecek daha profesyonel görünüm bulunmaktadır. Adli araçlar tarafından
yaratılan raporlar tipik olarak dava dosyası öğeleri içerir. Bu öğelerin arasında uzmanın
adı, dosya numarası, tarih ve başlık, kanıt kategorileri ve ilgili kanıtlar bulunur. Rapor
yazma işlemi tipik olarak ya bütün veriyi ortaya koyar ya da uzmanların son rapor için
ilgili veriyi seçmesine izin verir. Sadece ilgili verilerin rapora işlenmesi raporun boyutunu
azaltır ve okuyucunun kafasının karışmasını önler.
Yazılımla üretilmiş içerikler bütün raporun sadece bir kısmını oluşturur. Raporun son hali
yazılımla üretilmiş içeriklerle beraber bütün soruşturma süreci boyunca biriken veri ve
atılan adımların özeti, yapılan analizler, elde edilen kanıtların uygunluğu gibi içerikler
barındırır. İdeal olarak, destekleyici belgeler elektronik biçimde raporun içerisine dahil
edilebilecek halde olmalıdır.
Raporlama imkanları mobil cihaz uygulamaları arasında çok farklılık göstermektedir.
Rapor üretimi tipik olarak birçok ortak formatta (.txt, .csv, .doc, .html, .pdf)
gerçekleştirilebilir. Birkaç araç rapor üretimine ve veri ihracına yönelik hiçbir özellik
bulundurmaz ve uzmanların raporlama için araç arayüzünün fotoğraflarını çekmesini
gerektirmektedir. Raporlar nasıl yaratılırsa yaratılsın, sonuç olarak ortaya çıkan raporun
kullanıcı arayüzünde ortaya konulan veriyle uyuşması tutarsızlıkları giderecektir [78].
80
Önceden mevcut olan raporun değiştirilebilmesi ve verilerin (görüntüler, videolar vb.)
alternatif yollarla edinilmesi avantajlıdır. Eldeki bazı yardımcı programlar ve teknikler
belirli veri tiplerinin ele geçirilmesi için gereklidir. Bir manuel incelemenin video kaydını
almak için adli araçlar gerekmeyebilir. Video kurgu yazılımları duraklatılmış görüntülerin
rapora dâhilini mümkün kılmaktadır. Bir dijital kamera aynı zamanda manuel inceleme
sırasında resim çekmek için kullanılabilir; bu yöntem daha az verimlidir ve bütün süreci
belgelendirmeyebilir, ancak ulaşılabilen tek yöntem bu olabilir. Verinin türü kağıda basılı
şekilde takdim edilip edilemeyeceğini belirler. Günümüzde birçok popüler mobil cihaz ses
ve video kaydetme kabiliyetine sahiptir. Bu tür kanıtsal veriler kağıda basılı şekilde
gösterilemez ve raporun son halinde taşınabilir medya araçları içerisinde görüntüleme için
gerekecek uygun yazılımla beraber dâhil edilmelidir.
Adli inceleme sonuçlarının raporları davayı, kaynağını ve sonuçları belirlemek için
gereken bütün bilgileri ve içerikten sorumlu kişinin adını içermelidir. Bir raporun aşağıdaki
bilgileri içermesi gerekmektedir [74]:
- Raporlamayı yapan kuruluşun kimliği,
- Vaka tanımlayıcı ve gönderme numarası,
- İncelemeyi yapan kişi,
- Göndermeyi yapan kişi,
- Delil makbuzunun tarihi,
- Rapor tarihi,
- İnceleme yapılan öğelerin betimsel listesi,
- İnceleyicinin kimliği ve imzası,
- İncelemede kullanılan donanımlar,
- İnceleme adımlarının kısa özeti, grafik görüntü aramaları, kurtarılan silinmiş dosyalar,
- Bazı delillerin çıktısı, delillerin dijital kopyaları ve gözaltı belgeleri zinciri,
- Bulguların detayları,
- İsteğe bağlı özel dosyalar,
- Bulguları destekleyecek diğer dosyalar, silinmiş dosyalar da dâhil,
- String aramalar, anahtar kelime aramaları ve metin string aramaları,
- İnternet ile ilgili deliller, web site trafik analizi, sohbet geçmişi, gizli dosyalar, e-posta
ve haber grup etkinliği,
- Grafik görüntü analizi,
- Mülkiyet göstergeleri, buna program kayıt verileri de dâhildir,
81
- Veri analizi,
- İlgili programların ve incelenen öğelerin tanımları,
- Veriyi gizlemek veya maskelemek için kullanılmış olan teknikler, şifreleme,
steganografi, gizli özellikler, gizli bölünmeler ve dosya ismi aykırılıkları,
- Rapor sonuçları.
İncelemede kullanılan araçlar, dijital deliller, teknikler ve yöntemler mahkemede ve diğer
resmi süreçlerde sorgulanacaktır. Sağlam belgeleme bireylere süreci baştan sona yeniden
yaratma yetisi kazandırmakta büyük önem taşımaktadır. Raporlama sürecinin bir parçası
olarak kullanılan yazılımın bir kopyasını oluşturmak ve sonuçla beraber takdim etmek
gerekir. Bu durum özellikle özel olarak yazılmış araçlar için geçerlidir.
82
83
4. MOBİL ADLİ BİLİŞİM YAZILIMLARI
Edinim tekniklerini ve yöntemlerini anlamak önemli olsa da, bir adli uzman görevi
vaktinde tamamlayabilmek için çeşitli araçlara ihtiyaç duymaktadır. Adli araçlar sadece
vakit kazandırmakla kalmayıp süreci de kolaylaştırır. Günümüzde Elcomsoft iOS Forensic
Toolkit, Cellebrite UFED, BlackLight, Oxygen Forensic Suite, AccessData MPE+, iXAM,
Lantern, XRY, SecureView, Paraben iRecovery Stick gibi pek çok araç, iOS cihazlarının
incelenmesi için kullanılmaktadır. Çalışmanın bu bölümünde mobil cihaz incelemelerinde
kullanılan yazılımlar hakkında bilgiler verilmektedir.
Bu araçların bazıları Standartlar ve Teknoloji Enstitüsü (NIST) adlı bir teknoloji kurumu
tarafından test edilmiştir. NIST, mobil adli cihazlar için standartlar geliştirme ve bu
cihazları onaylamak için Adli Bilgisayar Cihazları Test Edinimi (CFTT) projesini
başlatmıştır. Bu yöntemin amacı her cihazı konu ile ilgili örnek durumlara dayanarak
sistematik bir şekilde test etmektir.
Güncel test edilmiş uygulama listesine http://toolcatalog.nist.gov/index.php bağlantısından
ulaşılabimektedir. Eğer yazılım test edilmemişse, kullanılmaması gerektiği anlamına değil,
sadece henüz incelenme aşamasından geçmemiş olduğu anlamına gelmektedir. Tabloda
listelenmemiş olan bir mobil adli cihaz inceleme yazılımı ya modeli desteklememektedir
ya da yapan şirket test etme amacıyla bir demosunu sağlamamıştır [84].
4.1. Oxygen Forensic Suite
Oxygen Forensic Suite 2014 cep telefonları, akıllı telefonlar, PDAlar ve diğer mobil
cihazlardan veri edinimi ve analizi için geliştirilmiş yüksek düzey bir adli yazılımdır.
Yazılım geniş bir yelpazede mobil cihazları destekler ve tamamen otomasyon şeklinde adli
edinim ve analiz imkânı sunar.
Oxygen Forensic Suite 2014 düşük seviyeli protokoller aracılığıyla akıllı telefonlardan veri
sağlayabilmektedir. Veri sağlamanın yanı sıra, Oxygen Forensic Suite size ayrıca
Cellebrite, Elcomsoft, XRY, iTunes, ve Lantern Lite gibi diğer adli araçlarla edinilmiş bir
yedeklemeyi ya da imaj dosyasını aktarma imkanı da sunar. Ayrıca tüm analiz edilen
cihazların veritabanını da depolar; böylece her an daha önce elde edilmiş veriyi
görüntüleyebilir ya da güçlü arama özelliğiyle gerekli detaylara ulaşabilirsiniz.
84
Oxygen Forensic Suite 2014 sadece Windows platformunda bulunmaktadır ve bilgisayarda
iTunes’un indirilmiş olmasını gerektirir. Yazılımın tam sürümü ücretlidir, kısıtlı
fonksiyonlara sahip bir ücretsiz sürümü da bulunmaktadır. Yazılım original ve üretici
tarafından konulmuş yazılım kısıtlanmaları kaldırılmış cihazlarda kullanılabilir ve aşağıda
belirtilen bilgileri elde etmekte kullanılabilir; fotoğraflarıyla birlikte telefon defteri, takvim
notları ve kayıtlı etkinlikler, arama kayıtları, mesajlar, kamera çekimleri, videolar ve
müzikler, ses mesajları, şifreler, sözlükler, uygulamalar, cihaz verisi, Wi-Fi noktaları &
şifreleri ve koordinasyonları, IP bağlantıları, mekânlar, navigasyon uygulamaları, jeolojik
konuma dair veri, fabrika ayarlı üçüncü-parti uygulama verisi bu bilgilere örnektir. Ayrıca
SQLite veritabanından silinmiş bilgilere de ulaşıp aramaları, mesajları, e-posta mesajlarını,
e-posta hesaplarını, fotoğrafların sembollerini, telefon rehberi fotoğraflarını ve benzerlerini
elde etmeye yardımcı olabilir. Bu araç fiziksel edinimi desteklememektedir [59].
Oxygen Forensic Suite’in özellikleri şunlardır:
- Mantıksal edinimi destekler. Bu edinim cihazdaki aktif dosyaları ele geçirir. SQLite
veritabanı da edinilebilmişse silinmiş dosyalara da ulaşım sağlanabilir. Fiziksel ve dosya
sistemi bazlı edinimler bu araç tarafından desteklenmemektedir. Tüm bu edinim
yöntemleri bir iOS cihazın ham dosya sistemi verilerine ulaşmayı sağlayabilmektedir.
- Bir anahtarlıktan şifre ele geçirme imkânı sağlar.
- Diğer adli donanımla ele geçirilmiş yedekleme ve görüntüleri okuyabilme imkânı
sağlar.
- Zaman çizelgesi ile tek bir bölgede kullanıcının tüm aktivite ve hareketlerinin saat ve
gün olarak belirtilmiş bir dizinime ulaşmayı sağlar.
- İşlemden sonra cihazda herhangi bir iz ya da değişim kalmaz.
- Kümelenmiş kontakları destekler.
- Silinmiş verileri otomatik olarak kurtarır.
- Manuel analiz için ham dosyalara erişim sağlar.
- Mantıklı
ve
kullanıcı
dostu
bir
kullanıcı
arayüzü
ile
edinilen
görüntüleyebilmenizi sağlar.
- Arama yapmak için anahtar kelime listeleri ve kütüphane özelliklerine sahiptir.
- Raporu çeşitli formatlarda, Microsoft Excel, PDF, HTML, vb. sunabilir.
verileri
85
Oxygen Forensic Suite 2014 ile bir iOS cihazdan bilgi edinmek oldukça hızlı ve kolaydır.
Yazılım, bir cihaza birkaç fare tıklamasıyla bağlanabilmeyi ve dakikalar içinde cihazdaki
bütün verilerin indirilebilmesini sağlamaktadır.
Oxygen Forensic Suite 2014 Version 6 tüm iOS cihazların araştırılması için uygundur.
Daha yeni cihazlar için cihazın kilidinin kaldırılmasının ya da üretici tarafından konulmuş
yazılım kısıtlamalarının kaldırılmış olması gerekmektedir.
4.2. MobilEdit Forensic
Test süreci içinde, MobilEdit Forensic v5.5.0.1140(MEF) aygıtının Nokia E5-00'a uyumlu
ilk ve tek aygıt olduğu görülmüştür. Aygıt kişi bilgilerinin tümünü ve silinmemiş SMSMMS mesajlarının çoğunu ayıklayabilmektedir. MEF aynı zamanda 'C:/data'nın içindeki
ve 'E'deki verileri geri getirebilir ama yine de silinmiş dosyalara ulaşamamaktadır. MEF'in
içerdiği HexDump uygulaması kullanıcıya bahsi geçen işlemlerden elde edilen verileri
inceleme imkânı sunmaktadır. Aygıt aynı şekilde ayıklanmış dosyaları yedeklemede de
kullanılabilir. Takvim, notlar ve görevler için seçenekler sunmaktadır ve kullanıcı dostu bir
ara yüzüne sahiptir. MEF'in Lite sürümünde ise raporlama ve gönderim özellikleri
bulunmamaktadır.
4.3. XRY
XRY Windows için tasarlanmış mobil cihazların herhangi bir dijital verinin güvenli
biçimde çıkarılmasını sağlayan bir yazılım uygulamasıdır. Akıllı telefonlar, GPS
hareketleri, 3G modemler, taşınabilir müzik cihazları ve tablet işlemcileri gibi birçok
alanda kullanılabilir.
Cep telefonlarından güvenle veri ayıklanması bir uzman becerisi gerektirir. Mobil aygıtlar
da aynı işletim sistemini veya bileşenlerini paylaşmamaktadırlar. Her bir cihazda birbirine
benzer yapılandırmalar ile özel gömülü sistemler vardır. Basit bir ifadeyle, bunu yapmanın
çok zor olduğu anlamına gelmektedir. XRY desteği ile bu işlemi yapmak çok daha kolay
bir hale gelmiştir. Bu işlemleri yapabilmek için 2003 yılından bu yana tasarlanmış ve
geliştirilmiştir.
86
İhtiyaca göre tam olarak veri almak ve veri sağlamak için bütünleşik bir çözüm kaynağıdır.
Dâhili sihirbazı uygulamayı kolay hale getirmek için adım adım süreç boyunca kılavuzluk
etmektedir. XRY mobil cihazlarda çok çeşitli veri kurtarma yöntemleri için gerekli tüm
donanıma sahip bir yazılım tabanlı çözüm aracıdır. XRY kendi organizasyon yapısı
sayesinde ayrıntıları ile dakikalar içinde profesyonel raporlar üretebilmektedir. İhtiyaca
yönelik olarak, üç farklı XRY sürümü vardır:
Canlı verileri kurtarmak için yardımcı mobil soruşturmaların % 80'inde etkili mantıksal
XRY, silinir verileri korumak ve ayıklamak için cihazı ayrıştırabilen fiziksel XRY ve
mantıksal ve fiziksel faydalarını birleştiren toplam çözümü tamamlayan komple halde
XRY [84].
4.4. FTK Cep Telefonu Araştırıcısı
FTK Cep Telefonu Araştırıcısı(MPE) (2), ABD'de tıpkı Guidance's Encase Forensic Suite
gibi cep telefonlarında adli inceleme aygıtı olarak en sık kullanılan aygıtlardan biridir.
Cep Telefonu Araştırıcısı bağımsız ya da Forensic ToolKit(FTK) aygıtının ara yüzünün bir
parçası olarak kullanılabilir. MPE kullanıcısına, cihazdaki herhangi bir veriyi
değiştirmeden kablo, kızıl ötesi ve bluetooth ile hızlı ve kolay erişim seçenekleri
sunmaktadır ki bu toplanan verinin mahkemece onanabilir bir delil olması için gereklidir.
FTK'yla birleştirildiğinde MPE, FTK'nın ara yüzünden, kendi kendine birden fazla telefon
üzerinde adli araştırma yapma ve verileri anlaşılır hale getirebilme imkânı sunmaktadır.
Birleşmiş takım tarafından çıkarılan raporlar mahkemede delil olarak kullanılabilir, hem
cep telefonu hem de bilgisayar analizlerini içererek herhangi bir cep telefonundaki veriyi
bir bilgisayar veya bir başka cep telefonundaki doğruluğu kanıtlanmış veriyle
ilişkilendirebilme imkânı sunmaktadır.
4.5. Elcomsoft
Elcomsoft iOS Forensic Toolkit (EIFT) iOS cihazların incelenmesini kolaylaştırmak için
tasarlanmış bir araç setidir. EIFT iOS’un herhangi bir sürümüne sahip olan iOS
cihazlarının adli incelemesini sağlayan yazılımların bir kombinasyonudur. EIFT bir cihazın
87
dosyalar kısmından kısım kısım görüntüler alabilir, cihazın gizli kısımlarını aktarabilir ve
dosya sistemi imajının şifresini çözebilir.
Bu araç kiti başta sadece adalet birimleri için hizmete sunulmuştur, ama günümüzde bütün
insanların ulaşabilmesi mümkündür. Araç kiti hem Mac OS X’i hem de iTunes 10.6 ya da
daha yeni versiyonlarının yüklü olduğu Windows’lar için kullanılabilir özelliktedir.
EIFT’in özellikleri şunlardır:
- Fiziksel ve mantıksal edinimi destekler.
- Bit bit cihaz imajı alınabilir.
- Hızlı sistem dosyası edinimi: 20-dakikada 32 GB modellerden veri edinilebilir.
- Şifre kurtarma saldırılarını destekler.
- İşlenmemiş disk imajını ve anahtarlık içeriklerinin şifresini çözmek için gerekli olan
cihaz anahtarlarını edinebilir.
- İşlenmemiş disk imajının ve anahtarlık içeriklerinin şifresini çözebilir.
- Bu operasyon cihaz içeriklerinde hiçbir değişim veya iz bırakmaz.
- Tamamen güvenilir: araştırmanın her adımı kaydedilmiştir ve sistem günlüğü halinde
görüntülenebilir.
Elcomsoft iOS Forensic Toolkit iki modda kullanılabilir: rehberli mod ve manuel moddur.
Araç kitiyle beraber verilen USB program kilidi araç kiti çalıştırılırken bilgisayara bağlı
olmalıdır.
Rehberli mod: Rehberli mod menüdeki denk geldiği ögeleri seçerek tipik görevlerin
gerçekleştirilebilmesini sağlayan bir menü bazlı kullanıcı arayüzü sunmaktadır. Rehberli
modda çalışırken, araç kiti tüm aktiviteleri bir yazı dosyasına kaydeder. Araç kiti her
çalıştırıldığında, yeni bir kayıt dosyası kullanıcının dizininde yaratılır ve tüm talep
komutları ve kullanıcı tercihleri bu dosyaya kaydedilir. Menülerin sırası takip edilerek
sonuç elde edilir [59].
Manuel mod: Manuel mod sizin komuta zinciri bazlı bir arayüz kullanarak direkt olarak
aracın kullanılabilmesini sağlamaktadır. Bu mod daha fazla esneklik sağlamaktadır ve
komuta zinciri bazlı araçlar kullanmaya alışkın olan kullanıcılara özellikle önerilmektedir.
Tipik görevleri gerçekleştirmek için gerekli olan komuta zincirleri araç kitiyle beraber
88
gelen teknik rehberde detaylı bir şekilde açıklanmaktadır. Araç kiti fiziksel ve dijital
edinimleri cihazın dosya sisteminden sağlayabilir. Fakat edinilen veriyi analiz etmek ya da
silinmiş verileri geri döndürmek seçeneklerine sahip değildir.
Elcomsoft iOS Forensic Toolkit iOS cihazını desteklemektedir, ancak bazıları için üretici
tarafından konulmuş yazılım kısıtlamalarının kaldırılmış olması gerekmektedir.
4.6. Cellebrite UFED
Cellebrite UFED (Universal Forensic Extraction Device), cep telefonlarından, akıllı
telefonlardan, PDAlardan ve portatif el aygıtı türlerinden kritik adli veri edinir. Bu araç
adli kullanıma uygun veri çıkarımı ve analiz teknikleriyle var olan ya da silinmiş verilerin
farklı mobil cihazlardan elde edilebilmesini sağlar. UFED 5,320 ayrı mobil cihazda veri
elde edinimini sağlayabilmektedir.
The Cellebrite UFED Physical Analyzer uygulaması iOS cihazların gelişmiş mantıksal ve
fiziksel ele geçirilmesi için kullanılmaya uygundur. iOS cihazların A5-A7 yongası
kullanılarak (iPhone 4S ve daha yeni modellerde) fiziksel ele geçirimini sağlamak
mümkün değildir. Dolayısıyla, gelişmiş mantıksal edinim metodu en mantıklı yöntemdir ve
eğer kilitleri açılmışsa bu cihazlardan maksimum miktarda verinin ele geçirilmesini
sağlamaktadır. Uygulama sadece Windows platformları için mevcuttur. Cellebrite ayrıca
30 günlük bedava deneme süresi kampanyası sunmaktadır [84].
Cellebrite UFED Physical Analyzer’ın özellikleri aşağıda belirtilmiştir [59]:
- Fiziksel ve gelişmiş mantıksal edinim sağlar.
- Disk imajlarının gösterimini sağlayan cihaz anahtarlarını ve anahtarlık araçlarını da
edinebilir.
- Ham disk imajının ve anahtarlık araçlarının şifresini kırar.
- Cihaz şifrelerini açığa çıkarır (her kilitli cihaz için geçerli değildir).
- Şifresi çözülmüş ham bir disk imaj dosyasının bilinen bir şifreyle açılabilmesini sağlar.
- Şifre kurtarım saldırılarını destekler.
- Edinilen uygulama verilerinin gelişmiş analizi ve şifre çözme imkanı sağlar.
- Farklı formatta rapor sunabilme seçeneği sağlar.
89
- Ham dosya sistemini başka bir adli cihazda incelenmesi için aktarabilme yeteneği
sağlar.
4.7. Paraben iRecovery Stick
iRecovery Stick bir USB cihazında bulunan bir özel soruşturma yazılımıdır ve
kullanıcılarının iPhone, iPad ve iPod Touch gibi Apple iOS cihazlarında veri araştırması
yapabilmesine olanak sağlar. iRecovery Stick kullanıcının verilerini direkt olarak cihazdan
ya da iTunes yedeklemeleri dosyalarından elde edebilir. iRecovery Stick ayrıca silinmiş
verileri SQLite veritabanlarından kurtarabilir ve böylece silinmiş mesajlar, çağrılar, çağrı
geçmişi, İnternet geçmişi ve takvim etkinlikleri gibi verilere ulaşabilir. Fiziksel edinime
izin vermez.
iRecovery Stick ücretli ve Windows platformlarında çalışır. Veri kurtarımı performansını
artırmak için bilgisayarda çalışan antivirus yazılımı kapatılmalıdır.
Paraben iRecovery Stick’in özellikleri şunlardır [84]:
- Mantıksal veri edinimini destekler.
- SQLite dosyalarından silinmiş veriyi kurtarabilir.
- Kolay kullanımlı ve portatiftir.
- Dikkat çekmez, bir USB sürücüsüne benzediği için bir ajan aracı olarak kullanılabilir ve
kimse bu aletin bir iPhone’dan veri kurtarmak için kullanıldığını tahmin edemez.
- Kurtarma sürecini plug-in aktivitesi ve iletişim bağlantı noktalarındaki trafik aracılığıyla
izler.
- PDF ve Excel gibi birkaç formatta veri analizini ve rapor sunumunu destekler.
iRecovery Stick, iRecoveryStick.exe adlı kurtarma yazılımını içeren bir USB taşınabilir
bellektir. Paraben iRecovery Stick Version 3.5 tüm iOS cihazların mantıksal edinimini
destekler. Elde edilen veri miktarı iOS cihazda ne kadar verinin varolduğuna, cihazın kilitli
olup olmadığına ve cihazın üretici tarafından konulmuş yazılım kısıtlamalarının kaldırılıp
kaldırılmadığına bağlı olarak değişir.
90
4.8. Zdziarski Tekniği
Jonathan Zdziarski McAfee Inc’de araştırmacı bilim adamı olarak görev yapmıştır. İşinin
yanısıra iPhone camiasında "Nerve Gas" olarak adını duyurmuş, iPhone ve İpod Touch’ın
araştırma sürecinde önemli katkılar sağlamıştır. iPhone platformunu açık kaynak camiasına
katmakta kullanılan metodların birçoğunu tasarlamış ve bu konuda kaynaklar
yayınlamıştır. Zdziarski iPhone platformuna dair üç tane kitap yazmıştır.
Bir adli edinimin en önemli parçası, orjinal medyayı ayrıntılı olarak parça parça
kopyalamaktan ve ikisinin birebir olduğunu kanıtlamak için orjinalin ve kopyasının özgün
kriptolu imzalarını birbiriyle karşılaştırmaktan ibarettir. Her ne kadar geleneksel sabit
sürücü temelli adli bilgisayarlarda bu süreç ve prosedürler tam anlamıyla yerleşmişse de,
adli mobil cihazlar için bu süreç sorunlu geçebilmektedir. Çıkarılabilir sabit sürücüler veya
salt okunur özellikteki adli çevrelerde özel olarak açılabilen bilgisayarlar haricinde, cep
telefonları göreceli olarak kısıtlı bir işletim sistemine sahiptir, ön yüklenemez ve
çıkarılamaz bir hafıza içermektedir. Çıkarılabilir görsel hafıza kartları ve SIM kart verileri
okuma dışında mantıksal kopyalarının incelenmesi şekliyle adli mobil işlemi için bilinen
tek metod olmuştur [68].
Zdziarski’nin tekniği bir uygulama değil de bir adli araç kitinin indirilmesi ve parça parça
kopyanın yüklenmesini esas aldığı için, indirilebilecek tek bir uygulama bulunmamaktadır.
Bu nedenle gereksinim, prosedürü izlemek için araçlara ve teknik bilgiye sahip olmaktır.
İlk adım iPhoneinsecurity.com’a girip ‘Automated Tools’ seçeneğini sisteminize
indirmektir. Araçlar indirildiğinde, test iPhone’una ayrıntılı olarak yaratılmış olan dosyası
masaüstüne kopyalanır ve anlamlı bir isim verilir. Arkaplanda sürdürülen iTunes işlemleri
onaylandığında, setup.sh komutu uygulanır ve yüklenmesi tam olarak 5 dakika sürer. Bir
kaç özel komut uygulanmasıyla cihazdan veri kurtarılarak makineye aktarmaya başlanır.
Tüm bu aktarım 40 dakika sürer [84].
Sonuç olarak ortaya çıkan yazı dosyası önemli bilgilere ulaşmak için kolayca araştırılabilir.
Diğer araçlarda olduğu gibi, SQLite veritabanlarının direkt analizi silinen kimi kısımların
dosyadan tamamıyle arındırılmış olmadığını ortaya çıkarmıştır. Zdziarski’nin tekniği
sistemde 1000 den fazla e-posta mesajının kurtarılmasını sağlar. Bu kısım kısım
91
kopyalama yapmayan tekniklerin dezavantajlarının ortaya konulması açısından önemlidir.
Bir dijital kopyanın yapıldığı durumlarda, bu teknik sadece yönetim sistemi ve transfer
protokollerinde bulunan ya da adli birimler tarafından bilinen enformasyonu açığa
çıkarabilen bir tekniktir. Diğer ürünlerin e-postaları ortaya çıkaramamasının sebebinin epostaların standart olmayan yerlerde saklanmaları, Microsoft Active Sync’le oldukları gibi
indirilmeleri ya da iPhone transfer protokolünün bu dosyaları açığa vurmaması olduğu
düşünülür. Kimi suçluların da teknolojik açıdan bilgili ve mali açıdan desteğe sahip
oldukları düşünülecek olursa, iPhone için bilgileri kendi istedikleri yerlerde saklamalarını
sağlayan bir iPhone uygulaması geliştirmeleri ve bu yöntemle de mantıksal veri edinim
yöntemlerini atlatmaları oldukça kolay olmaktadır. Zdziarski’nin tekniği ayrıca 4000 Plist
dosyası elegeçirmeyi başarmıştır. Bazıları tekrarlamalar ve yalancı pozitifler olan bu
dosyaların detaylı bir incelemesinin daha detaylı bilgilerin ortaya çıkmasını sağlayacağı
değerlendirilmiştir [68,84].
4.9. Lantern
Katana Forensics’in amacı akıllı telefonlardan, delilleri bozmadan, veri ve kanıt sağlayarak
bütçeye uygun ve yenilikçi araçlar tasarlamaktır. Benzer ürünlerin aksine bu ürün gelişmiş
bir eğitim ya da zorlayıcı servis kabulleri ve sürekli değişen donanımlar gerektirmeden
çalışır.
Lantern’i yüklemek için e-posta ile bir Disk İmaj Dosyası gönderilir. Bu imaj bir
Macintosh sistemine monte edilmiştir (bu yazılım için Mac zorunludur) ve dosya
‘uygulamalar’ klasörüne atıldığında direkt olarak yüklenir. Yazılımı açınca kullanıcı bir
‘üyelik’ düğmesi görür. Bu bölüme lisans bilgileri (e-postada belirtilmiş olan) girilir.
İndirme süreci tüm denenen yazılımlar arasında en kolay ve en hızlı olanıdır.
Edinimi başlatmak için Lantern başlatılır ve yeni bir dosya açılır. Araştırmacı tüm verileri
seçme ya da sadece belli verileri seçme (video, ses, fotoğraf gibi) seçeneğine sahiptir. İleri
tuşuna tıklamak edinim sürecini başlatır, ama öncelikle cihazın şifre kodunun girilmesi
gereklidir. Ardından yazılım dosyaları cihazdan çıkarmaya ve çalışma merkezine transfer
etmeye başlar. Cihazdan veri edinim işlemi 20-30 dakika sürer ve sonuç olarak edinilen
veri dizinde daha önceden seçilen yeni dosyaya kaydedilir.
92
Lantern sonuçları, basit bir formatla sunar. Şu veri tipleri kategoriler arasındadır: cihaz
bilgisi, çağrılar, ses mesajları, telefon rehberi, mesajlar, takvim, İnternet, medya,
fotoğraflar, sözlük, haritalar ve VoiceMemo. Bu kategorilerden herhangi birine dahil
edilemeyen veriler için araştırmacı kütüphane dizinini, fotoğraf dizinini, uygulamalar
dizinini ya da genel yapay kök dizinimini açma seçeneğine sahiptir.
Bu direktiflerden herhangi biri seçildiğinde, dosya yapısı otomatik olarak açılır. Burada
araştırmacı SQLite veritabanı dosyaları, listeler, fotoğraflar ve İnternet geçmişi de dâhil
olmak üzere cihazda bulunan bütün dosyaları inceleyebilme seçeneğine sahiptir.
Geri kalan kategoriler standart verilerin çoğunu içerir. Aramalar, arama vakti, süresi ve
statüsü dâhil olmak üzere tüm arama geçmişini listeler. Dosyanın gerçekten cihazdan
kaldırılması ve silinmiş olması arasındaki farka dikkat edilmelidir. iPhone’da bir ses mesajı
görsel visual voicemail kullanılarak silindiğinde, uygulamanın içindeki çöp kutusu
dosyasının içine atılır. Cihazdan dosyayı gerçekten silmek için kullanıcının çöp kutusunu
temizlemesi gerekir. Lantern’de bir ses mesajı silinmiş olarak görünüyorsa, bu
uygulamanın içindeki çöp kutusu dosyasına atılmış olduğu anlamına gelir.
Mesajlar seçeneği gönderilen ve alınan tüm SMS ve MMS mesajlarını içermektedir. Bu
seçenekle ilgili özgün olan şey SMS ve MMS mesajlarını ayırmasıdır.
İnternet geçmişi ve sık kullanılanlar İnternet seçeneğinin altından gösterilmektedir. Web
sayfasının hem ismi, hem de URL'si burada görüntülenebilmektedir. Fotoğraflara geçecek
olursak, dosyaya giden tüm adresle birlikte bütün görüntü dosyaları cihazdan ele
geçirilebilmektedir. iPhone’un kendisinden çekilen çoğu görüntü için ayrıca GPS
ayrıntıları ve çekim zamanı da bu verilerin arasında yer almaktadır.
Diğer özellikler bir dosyayı aktarabilme ve rapor yaratabilmeyi içerir. Kullanıcı raporda
bulunmasını istediği kategorileri seçebilir. Yaratılan rapor. PDF doyası formatında olur
[84].
93
5. MOBİL CİHAZLARDA ADLİ İNCELEME ÖRNEK OLAYLARI
Örnek olaylar uygulama bölümünde adli incelemesi yapılacak iOS cihazlar esas alınarak
literatürden elde edilmiş bilgiler çerçevesinde hazırlanmıştır. Birinci bölümde iOS
cihazlarının istismarına yönelik saldırıların kronolojik bilgilendirmesi yapılmıştır. İkinci
bölümde ise adli vakaların çözümünde mobil cihazlardan nasıl faydalanıldığına dair
örnekler verilmiştir.
5.1. IOS’a Yapılan Saldırıların Kısa Bir Tarihi
iOS cihazlarının savunma yetenekleri ile ilgili temel bir anlayış vardır. Çalışmanın bu
bölümünde, cihazlara yapılan başarılı saldırıların gerçek dünyada nasıl savunulduğu
açıklanmıştır. Bu durum aynı zamanda gerçek dünyadaki saldırılara karşı, cihazın
güvenliğinin nasıl sağlandığını göstermektedir.
5.1.1. Liptiff
İlk iPhone, 2007 yılında çıktığı zaman, insanlar satın alabilmek için uzun kuyruklar
oluşturmuşlardır. Cihazı mümkün olan en kısa sürede piyasaya sürmek için cihaz birtakım
güvenlik zaafiyetlerine sahipken tanıtılmıştır. İOS 5 ile OS X kıyaslandığı zaman bu
durum açıkça görülmektedir.
Bu nedenle, cihazda bir güvenlik açığı bulunduğu takdirde, onu sömürebilmek oldukça
kolay bir hâl almıştır. Kabuk kodunu çalıştırmak, dosya indirmek ve onları çalıştırmak gibi
cihaz sömürüleri yapmak zor olmamıştır. Cihaz açıklarını bulmak oldukça kolay olmuştur
çünkü ilk iPhone yazılımının bilinen kusurları istismar edilmiştir. Her saldırı anında temel
erişim bilgileri verilmiştir. Tavis Ormandy, ilk olarak Libtiff sürümüne dikkat çekmiştir ve
onu bilinen güvenlik açıklıklarına sahip olan TIFF görüntülerini işlemek için kullanmıştır.
Chris Wade ise güvenlik açıklıklarının istismarı çalışmasını yazmıştır. Bu nedenle, kötü
amaçlı sitelerde sörf yapmak ve temel erişimi sağlamak mümkün olmuştur. Orijinal
istismar, çalıştırılabilir kodları içeren yığın (öbek) belleği ile doldurulmuş ve sonrasında
yürütülmeye yönlendirilmiştir. DEP’in varlığı yüzünden bu işlem başarısız olmuştur. Bu
nedenle, istismar amacıyla ASLR’yi yenecek şekilde ROP kullanılmıştır. Bu muhtemelen
güvenlik açığına bir eklentiyi gerektirmiştir. Bu durum iOS 2 sürümüne kadar
ilerlememiştir [85].
94
5.1.2. SMS ile ilgili sorunlar
2009 yılında araştırmacılar Collin Mulliner ve Charlie Miller, iPhone SMS mesajlarıda
güvenlik açığı bulmuştur. Bu zamana kadar iOS 2 kullanılmıştır. ASLR dışında, iOS 2
hemen hemen iOS 5 in sahip olduğu tüm güvenlik mekanizmaları ile ön plana çıkmıştır.
Mesajları işlemeyen belirli süreçler, ayrıcalığı olmayan korumalı olan kullanıcıları olarak
yürütülen çoğu süreç bir problem olmuştur. Sorumlu program olan Commcenter hiçbir
korumalı alanı temelde çalıştırmamıştır.
Sistemde güçlü bir yol olmasına rağmen, SMS birkaç nedenden dolayı etkili bir saldırı
aracına dönüşebilmektedir. Bu durum hiçbir kullanıcı etkileşimi gerektirmez. Burada
kurbanın kötü amaçlı bir web sitesini ziyaret amaçlı girmesini denemek yerine, kurbanın
telefon numarasının bilinmesi ve ona saldırının telefon aracılığıyla gönderilmesi yeterli
olmuştur. Buna ek olarak, saldırının gerçekleştiği sırada kurban bunu engelleyemez.
Varsayılan telefonda SMS'i devre dışı bırakmak için bir yol bulunmamaktadır. Son olarak,
telefon sessizdeyken veya kapalıyken dahi saldırı gerçekleştirilebilir. Eğer saldırgan kötü
amaçlı SMS i gönderdiği sırada telefon kapalı ise, taşıyıcı bu mesajı en elverişli şekilde
sıraya sokar ve cihaza güç geldiği anda mesajı teslim eder. Bu kusurlu sürüm açığı ise iOS
3.0.1. ile kapatılmıştır. Bugün telefon istismarı daha zor hale gelmiştir, çünkü bunu
yapmak isteyen kişi sadece ASLR ile değil kablosuz İnternete bağlanma sürecini yöneten
Commcenter ile de başa çıkmak zorundadır [86].
5.1.3. Storm8
2009 yılında, popüler geliştiricileri “storm8” adında telefon numarası elde edip onlar
üzerinde oynama yapabilmek için oyun kurmuşlardır. Oyunlar bu bilgileri Storm8
sunucularına göndermişlerdir. Etkilenen uygulamalardan bazıları, ‘’Vampir yaşatma’’,
‘’Zombi yaşatma’’ ve ‘’Rock yıldızı yaşatma’’ gibi oyun olmuştur. Bu bilgi toplama
özelliği uygulamanın basit bir hatasıdır ve Strom8'e karşı A sınıfı bir dava açılmıştır.
Storm8 uygulamasının dönemde yaklaşık 20 milyon indirme oranı bulunmaktadır [88].
95
5.1.4. Casus telefon
Casus telefon, Seriot Nicolas tarafından üçüncü parti uygulamalar için sanal sınırları
deneyen bir konsept uygulamadır. Bu uygulama akla gelebilecek tüm bilgilere ve sanal
alanın izin verdiği tüm eylemlere ulaşmayı denemiştir. Apple Store’daki her üçüncü parti
uygulaması olan iOS sanal alanı aynı kurallara sahiptir. Eğer Apple bir uygulamanın kesin
bir kapasiteye sahip olması gerektiğini düşünürse, bütün uygulamalar aynı kapasiteye sahip
olmalıdır. Ancak bir noktada farklılaşırlar, örneğin, Android’te farklı kapasitelere sahip
olabilen uygulamalar onların kendi yeteneklerine dayalı olarak atanmışlardır. İOS
modelinin zayıflıklarından biri de fazlaca izin verici, yani ılımlı olmasıdır. Tümüyle meşru
olan yollarla API'leri kullanarak, casus telefonlar şu verilere ulaşabilirler: cep telefonu
numarası, adres defterinin okunması ya da yazılmasına erişim, safari ya da YouTube da
terim araştırması, e-posta hesapları bilgileri, klavye önbelleği, fotoğraflar, konum bilgisi,
Wi-Fi adı.
Sanal alanın içindeki kötü amaçlı programlara bile zarar verebilen bu uygulama
cihazlardan korkutucu miktarda bilgi ayıklayabilmektedir [89].
5.1.5. Pwn2Own 2010
Vincenzo Iozzo ve Ralf-Philipp Weinmann isimli iki hacker 2010 da iPhone 3GS ye karşı
Pwn2Own hack yarışmasını kazanmıştır. MobileSafari’de kod çalıştırılmasına izin veren
bir güvenlik açığı bulmuşlardır. Kod imzalama mekanizması sayesinde ROP’ta yazılmış
tüm faydalı algoritmaları yüklemişlerdir. ROP’u kullanarak tüm metin mesajlarının
saklandığı SMS veri tabanını açabilmişlerdir. Ancak mobil kullanıcı ve MobileSafari sanal
alanı ile kısıtlanmışlardır. Bu durumda daha fazla hasar vermek için daha çok çalışma
yapmışlar ve bu çabaları sayesinde $15,000 ve telefon ödülü kazanmışlardır [90].
5.1.6. Jailbreakme.com 2 (“Star”)
Şimdiye kadar iOS 5 gibi telefonlarla limitli olarak ortaya konan tüm saldırılar hakkında
konuşulmuştur. Bu saldırılar çok zordur ama imkânsız değildir. Bu örneklerden biri 2010
Ağustos tarihinde comex’in kötü şöhretli jailbreakme.com web sitesi tarafından ortaya
konmuştur. İkinci jailbreakme.com sitesi iOS cihazını ziyaret etmeye izin veren bir çeşit
96
eylemler dizisi gerçekleştirmiştir. Bu onun kök erişimini elde ettiği anlamına gelir. Ancak
bu durumda, web sitesi, ASLR (henüz cihaza eklenmeyen) dışındaki tüm güvenlik
mekanizmalarına sahip olan iOS 4.0.1.'e karşı olmuştur. İlk olarak, MobileSafari tarafından
yürütülen belirli bir yazı tipini aşan bir yığından yararlanılmıştır. Bu MobileSafari içindeki,
ROP un faydalı bilgilerinin istismarına başlamaya izin vermiştir. Daha sonrasında, SMS
veri tabanın nakliyesi yerine daha karmaşık faydalı bilgilere ulaşabilmek için cihazın
erişimindeki güvenlik açığını artırmaya devam etmiştir. IOKit deki IOSurface özelliğinin
tam sayı taşıması ikinci güvenlik açığıdır. Bu ikinci saldırı çekirdeğin içindeki saldırgan
tarafından kodun yürütülmesine izin vermiştir. Bu çekirdeğin içinden kod imzalamasını
engellemiş ve daha sonra ROP, telefonun yazılımını kırabilen ve ona yüklenebilen dinamik
kütüphaneyi indirmiştir. Apple bu açığı hızla kapatmıştır [91].
5.2. Mobil Adli Bilişimin Adli Davalara Katkısı
Bu bölümde adli davalarda mobil cihazlardan istifade edilmesine yönelik örnekler
verilmiştir. Artık hayatımızda gün geçmiyor ki bu olayların sayısı artmasın. Mobil cihaz
kullanımının artması neticesinde bu durum kaçınılmaz olmuştur.
5.2.1. Kısa mesaj ve çağrı verisi
Knutby topluluğunda Pentekostal cemaatinin papazı, karısını vurduğu ve diğer metresinin
kocasını öldürmeye çalıştığı için ömür boyu hapse mahkûm edilmiştir. Cinayetten iki gün
sonra papazın ev işlerini yapan Sarah S. bunu papazın yaptığını belirtmiştir. Sarah’ın
iddialarına rağmen polis bir suç ortağının olduğuna inanmıştır. Papaz ve Sarah arasında
cinayetten önce ve cinayet günü sesli aramalar ve metin mesajları ile iletişim sağlamaları
güçlü kanıtlar oluşturmuştur. İkisi de silinmiş metin mesajlarının geri kurtarılabiliceğini
bilmedikleri için kurtulabileceklerini düşünmüşlerdir. Fakat sonuçta adli bilişim davanın
çözülmesini sağlamıştır [92].
5.2.2. E-posta verisi
Dan Kincaid’a karşı açılan dava güçlü olmuştur. Idaho, Kuzey Boise’de bir ev sahibidir ve
44 yaşındaki Kincaid, onun banliyö evine zarar vermekle itham edilmiştir. Ama görgü
tanıklığı her zaman güvenilir olmamıştır ve Kincaid konuşmayı reddetmiştir. Polisler
Kincaid’ın e-posta özellikli elektronik Blackberry telefonundan ihtiyaç duydukları tüm
97
bilgilere ulaşmışlardır. Kincaid yakalanmadan mahallesinden çıkmaya çalışımıştır ancak 1
Ağustos 2005 tarihinde kız arkadaşına kısa bir mesj göndermiştir. "Ben evlerin arasında
veya arkasında köpek havlamalarıyla birlikte yaşıyorum ....polisler benim mavi bir
gömleğim olduğunu biliyorlar." ve o şöyle devam etmiştir: "benim yakalanmadan önce
buradan çıkmaya ihtiyacım var." Kincaid e-postalarıyla yüzleştirilmiştir. Sonuçta suçu
hakkında savcılarla bir anlaşma yapmayı kabul etmiştir.
5.2.3. Görüntü ve multi-medya mesaj verileri
Bir çocuk başka bir çocuk hakkında onun cep telefonundaki fotoğrafları ile ciddi bir saldırı
yaptığını iddia edilmiştir. Saldırı yapmakla itham edilen genç çocuk başta polisin onu cep
telefonunda kanıtların olduğunu açıklayana kadar durumu inkâr etmiştir. Analistler ACPO
yönergelerini izleyerek söz konusu fotoğrafları kurtarmıştır. Sonradan ona bağlı
resimlerden biri ile başka bir çocuğa gönderilen ve silinen multimedya bir mesajı
kurtarmışlardır.
5.2.4. Konum bilgisi
Bristowe isimli bir adam BBC ile bir görüşme yapmıştır: polisin Huntley adlı şüpheliye
daha yakından bakmak için yaptığı araştırmada cep telefonu delil olmuştur. Jessica adında
bir üniversite öğrencisini üniversite çevresinde yaptığı araştırmalar sebebiyle yardımını
esirgemeyen Huntley, ''Bay Faydalı '' olmuştur. Ancak Jessica bir Pazar günü araştırmaları
sırasında başka kız arkadaşlarıyla birlikte ortadan kaybolmuştur. Jessica’nın babası Bay
Bristowe kızının telefonunu kontrol ettiği zaman, kızların pazar günü kaybolduğunda
sosyal medyada hoşçakalın yazdığını farketmiştir. Jessica’nın telefonu kapalı iken babası
Burwell Polis Merkezi ile temasa geçmiştir. Polis kızların gidebileceği yerlerin rotasını
gösteren bir harita temin etmiştir. Ancak Burwell gidebilecekleri tek rota gibi tespit
edilmiştir. Huntley bu sürede kızların bulunmasında önemli deliller ortaya koymuş olsa da
en sonunda kızlar onun banyosunda ölü olarak bulunmuştur [93].
5.2.5. Geçmiş arama detayları
Faisal Shahzad kalabalık bir Cumartesi akşamı Times Meydanı’nda ev yapımı bir bomba
patlatmak üzere harekete geçtiğinde arkasında delil bırakmadığını düşünmüştür. Shahzad
98
Craigslist’ten satın aldığı Nissan Pathfinder marka arabanın VIN numarasını silmek de
dâhil birçok önlem almıştır. Yetkililer şüpheliyi aracı satın almak için kullandığı e-posta
adresini kullanarak izlemiştir. Craigslist’in satıcı kayıtları güvenlik güçleri tarafından
alıcının cep telefonuna ulaşmak amacıyla kullanılmıştır. Kullanılan cep telefonu çöpe
atılmış halde bulunsa da, adli uzmanlar telefon arşivindeki çoğu zaman GPS koordinatları
ve geçmiş aramaları da içeren kayıtları olayı çözmek amacıyla kullanmışlardır. Ayrıca,
belediyeye ve özel atılımcılara ait kameralar telekomünikasyon sağlayıcılarından bilgilerin
sağlamlığını kontrol etmek için kullanılmıştır. Adli uzmanlar tarafından birçok kaynaktan
alınan elektronik bilginin yakınsaması hesaplanıp ortaya çıkan veriler şüphelinin ülkeyi
terk etmeden önce güvenle yakalanması için kullanılmıştır.
Forensicon’un başkanı Lee Neubecker: “cep telefonların hırsızlık, terörizm ve her türlü
hile konusundaki adli soruşturmaları yürütmek amaçlı kullanımı gün geçtikçe
yaygınlaşıyor. Birçok birey cep telefonlarını, bilgisayarlarını veya hard disklerini yok
ettiklerinde verinin de yok olduğunu düşünüyor, bu durum her zaman gerçek
olmayabiliyor.” diyerek adli bilişimin önemini vurgulamıştır.
Forensicon, adli cep telefonu analizinin kullanıldığı dolandırma, zimmete para geçirme ve
kullanıcı bilgilerinin çalışanlar tarafından suistimal edilmesi gibi birçok soruşturma
içerisinde yer almıştır. Bugün birçok avukat, elektronik olarak depolanmış bilgiye
ulaşırken cep telefonu kayıtlarını göz önünde bulundurmaya başlamıştır. iPhone,
BlackBerry ve HTC gibi akıllı telefonların yükselişi, yasal keşifte anahtar kelime araması,
fiziksel hareket izleme ve tarayıcı geçmişi inceleme gibi tekniklerin kullanılmasına yol
açmıştır. Davacıların bu gibi verileri mahkemede olay sırasında bulunulan yer hakkında
yanlış ifade verme durumlarını ortaya çıkartmakta kullanmaları yaygın bir hal almıştır.
Mesajlaşmalar da cep telefonlarının adli analizinden elde edilen bilgilerin önemli bir
kaynağıdır [94].
99
6. MOBİL ADLİ BİLİŞİM MODELİ VE ÖRNEK UYGULAMA
Adli bilişim disiplini süreç odaklı bir disiplindir ve sürecin takip edilmemesi neticesinde
delil niteliği kaybolur. Mobil cihazlar, yoğun kullanılmasının sonucu olarak adli olaylarda
delil niteliği ile başvurulan en önemli unsur haline gelmiştir. Adaletin sağlanması
maksadıyla mobil cihazların delil niteliğini kaybetmeden doğru bir süreç izlenerek
incelenmesi gerekmektedir. Mobil cihaz adli incelemeleri süreç olarak iki ayrı yaklaşımla
yürütülmektedir. Birincisi Det. Cynthia A. Murphy'nin süreci dokuz aşamaya ayırdığı
süreçtir. Burada süreç veri girişi, tanımlama, hazırlama, izolasyon, işleme, doğrulama,
belgeleme/raporlama, sunum ve arşiv aşamalarından oluşmaktadır. Diğer bir süreç ise adli
bilişim temel süreçleri ile benzerlik göstermekle beraber takip ve koordinasyonu daha iyi
sağlamaktadır. Bu süreç NIST tarafından hazırlanan Mobil Cihaz Adli İnceleme
Rehberinde de koruma, elde etme, inceleme/analiz ve raporlama olarak ele alınmıştır.
Yaptığımız çalışmada bu iki süreç başta ilk yaklaşım sonra ise ikinci yaklaşıma benzer bir
metod ile modellenmeye çalışılmıştır. Bu bölümde ilk olarak model ile ilgili bilgiler
verilerek şematik olarak model açıklanacaktır. İkinci bölümde ise modellenen sürecin bir
bölümünün uygulaması yapılacaktır.
6.1. Mobil Adli Bilişim Modeli
Delillerin kabul edilebilir olması ve delil zincirinin korunabilmesi için delillerin iyi bir
biçimde
toplanmış,
korunmuş,
incelenmiş
ve
sonuçlarının
raporlanmış
olması
gerekmektedir. Literatür ve uygulama incelemeleri sonucunda bu işlemleri yerine getirecek
bir standart model çıkarılmıştır. Modellenen süreçte NIST çalışmasındaki şekliyle koruma,
verilerin elde edilmesi, inceleme/analiz ve raporlama bölümlerinden oluşturulmuş ve
model bu temel üzerine kurulmuştur. Bu süreçte en önemli husus birinci aşama olan
koruma aşamasıdır. Bu aşamada en önemli husus literatürde de belirtildiği gibi ilk
müdahaledir. İlk müdahale aşaması genel olarak kanıtların delil niteliğini kaybettiği en
önemli aşamadır. Daha sonra ise süreci takiben en çok hatalar delilin muhafazsında
yaşanmakta ve veriler uzaktan yapılan müdahale ile isteyerek veya istemeyerek
değiştirilmekte ve delil niteliği bozulmaktadır. Delil niteliğinin bozulmasına ilişkin yanlış
yapılan bir diğer uygulama ise delilin kendisi üzerinden işlem yapılmasından
kaynaklanmaktadır. Delilin kendisi üzerinden hiçbir zaman işlem yapılmaz. Bu nedenle
mutlaka delilin bir adli kopyası alınmalı ve işlemler kopya üzerinden yapılmalıdır. Yapılan
100
incelemelerde de bu husus aynı şekilde ele alınmıştır. Yapılan hataların bir kısmı ise
inceleme ve analiz safhasında kullanılan yöntem ve araçlardan kaynaklanmaktadır. Bu
nedenle kullanılan araç ve yöntem seçimi çok önem arz etmektedir. Araç seçiminde
hâlihazırda herhangi bir ulusal standart yoktur fakat NIST tarafından yapılan bir program
ile araçların olgunluk seviyeleri test edilmektedir. Araçların seçiminde bu teste tabi tutulan
ve başarılı olan ayrıca adli merciler tarafından kullanılan araçlar kullanılmasında fayda
vardır. Araç seçiminde kullanılan diğer kriter ise aracın kolay temin edilmesi ve verinin
edinimi konusunda mantıksal veya fiziksel edinimi desteklemesi olarak sıralanabilir.
Belirtilen kriterlere uygun araçlar oluşturulan modelin veri elde edinimi aşamasında
kullanılır. Daha sonra ise elde edilen veriler ve adli makam tarafından istenen bilgiler
çerçevesinde inceleme ve analizlar yapılarak sonuç raporu hazırlanır.
Modellenen süreç; koruma, elde etme, inceleme/analiz ve raporlama aşamalarından
oluşmaktadır. Bu ana bölümlerin altında alt süreçler bulunmaktadır. Adli bilişim süreçleri
genel olarak birbirinin aynıdır. Fakat adli olaylara göre farklılıklar içerebilir. Bu kapsamda
Şekil 6.1'de belirtilen modelin faydalı olacağı öngörülmektedir. Modelin dışında sürecin
tamamını ortaya koymak adına süreç akış diyagramı Şekil-6.2'de verilmiştir ve devamında
bu süreçlerin daha iyi anlaşılması için akış Çizelge-6.1'de detaylandırılmıştır. Bu sürecin
takip edilmesi ve esaslara uyulması hukuk kurallarının adil işlemesini sağlamaya yönelik
katkılar içermektedir.
•Yetki belgesi
•Olay yeri güvenliği
•Delillerin toplanması
•Olay yerinin
dokümantasyonu
•Delillerin korunması
•Delilin kopyasının
alınması
•Verinin elde edilmesi
Koruma
Raporla
ma
•Rapor yazılması
•Sunum
•Arşiv
Şekil 6.1. Mobil adli bilişim modeli
Elde
Etme
İnceleme
ve Analiz
•Potansiyel deliller
•İnceleme/analiz
•Olay zaman cetveli
101
101
Şekil 6.2. Mobil adli bilişim akış diyagramı
101
102
Yapılması Gerekenler
Mahkemeden yetki yazısı alınır.
1
Yetki yazısı muhtemel tüm delilleri incelemeye cevaz vermelidir.
Yetki yazısında inceleme ve analiz yeri belirtilmelidir.
Yetkisiz kişilerin olay yerine girmesi engellenir.
2
Tüm delillerin bütünlüğü muhafaza edilir.
Yetkisiz kişiler güç kaynağından uzak tutulur.
Olay yeri ön bilgileri alınır (tarih/zaman, yer/konum bilgisi, geçici ve kalıcı
delil tespiti, tanık ve potansiyel sanık detay bilgileri).
Olay yerinde bulunan tüm elektronik deliller dokümante edilir.
3
Tüm delillerin fotoğrafları çekilir ve ekranlarında ne varsa not alınır.
Dijital fotoğraf kullanılır (İlerleyen aşamalarda rapor yazımında ihtiyaç olur).
El konulma esnasında delilin durumu dokümante edilir.
Delil bütünlüğü korunur.
Tüm elektronik deliller olay yerinden toplanır.
Mobil chazın bilgisayara bağlı olmadığından emin olunmalıdır.
KORUMA
Cihazın güç durumu ışıklarını yakarak kontrol edilir.
Diğer deliller de toplanır (Şifre yazılı kâğıt, yazıcı çıktıları, el notları vb.).
4
Cihaz açıksa açık, kapalıysa kapalı kalmalıdır.
Ekranda olan tüm bilgiler kayıt altına alınır.
Cihazın şarj durumu muhafaza edilir ve değişiklik yapılmasına izin verilmez.
Cihaz kapalı ise bataryası çıkarılmaz.
Tüm deliller etiketlenir.
Delil toplama formu düzenlenir.
Delil bütünlüğü korunur.
Bütünlüğü bozacak manyetik, toz ve titreşim vb. etkilerden uzak tutulur.
Mekanik ve elektriksel şoklardan uzak tutulur.
Deliller anti statik kapla paketlenir.
Tüm bileşenleri ile deliller etiketlenir.
5
Taşıma esnasında manyetik kaynaklardan uzak tutulur.
Deliller güvenli bölgede muhafaza edilir ve yüksek sıcaklık ile nemden uzak
tutulur.
Deliller adli bilişim laboratuvarında giriş kontrollü mekanlarda muhafaza
edilir, laboratuvar giriş kayıtları saklanır.
Dijital ve dijital olmayan delilleri ayrılır.
Delil zinciri muhafa edilir, bozulmaması sağlanır.
Onay
S.No.
Aşama
Çizelge 6.1. Mobil adli bilişim süreci
Çizelge 6.1. (devam) Mobil adli bilişim süreci
Veri elde etme aracını belirlemek maksadıyla gerekli bilgiler toplanır.
Mobil cihaz, modeli, işletim sistemi ve servis sağlayıcıları ile tanımlanır.
Batarya oyuğundan cihazın üreticisi tespit edilir.
6
Cihaz açıksa ekrandan model, işletim sistemi ve servis sağlayıcı bilgileri alınır.
Cihaz kapalı ise batarya çıkarılır ve üretici, model, IMEI ve FCC ID bilgileri
alınır.
Veri elde etme araçlarından en uygunu belirlenir ve kullanılır.
Orjinal delil asla inceleme maksadıyla kullanmaz.
7
Orjinal veri korunarak adli kopyası alınır.
Araçlar vasıtasıyla bit bit kopyası alınır değişilik olmasına izin verilmez.
Kopyanın değiştirilmediğini garanti altına almak için mutlaka özeti alınır.
SIM Karttan Veri Elde Etme
8.1
SIM karta ulaşmak için PIN koduna ihtiyaç vardır. Temin edilir.
Eğer üç kez PIN hatalı girilirse PIN bloke olur ve 8 karakterden oluşan PUK
koduna ihtiyaç duyulur.
PUK operatörden elde edilir ve kullanıcı tarafından değiştirilemez.
Eğer 10 kez hatalı PUK girilirse SIM kalıcı olarak engellenir.
ELDE ETME
SIM karttan veri elde etmek için PUK kodu operatörden temin edilir.
8.2
Engellenmemiş mobil cihazdan veri elde etme
Engellenmemiş cihazlardan veri elde etmek için bir şifre ya da başka
otantikasyona ihtiyaç yoktur. Doğrudan veri elde edilir.
Telefon tarih ve saati kayıt edilir.
Telefon rehberi, kısa mesajları ve diğer girdileri kontrol edilir.
Başka adli bilişim araçları da kullanılır.
Engellenmiş mobil cihazdan veri elde etme
Genellikle kapalı cihazlardır ve erişim için başarılı kimlik doğrulama gerekir.
PIN elde etmek için mağdura ya da şüpheliye sorulur.
Elektronik olmayan delillerden not kağıdı gibi PIN elde edilir.
8.3
Servis sağlayıcısı ile irtibata geçilir.
Cihaz üreticilerine veya servis sağlayıcılarına arka kapı ya da zayıflıkları
sorulur.
Cihaz bakım ve tamir firmalarından eldeki cihazla ilgili mimari bilgileri istenir.
Başka adli bilişim araçları da kullanılır.
Hafıza Kartından veri elde etme
8.4
Kart okuyucu ve hafıza kartı veri kurtarma araçları kullanılır.
Hafıza kartları büyüklük ebatları, üzerindeki pin sayısı ve veri yolu sayısına
göre farklılık arz eder. Bu detaylara dikkat edilir.
Senkronize cihazlardan veri elde etme
8.5
Mobil cihazlar genellikle bilgisayar ile senkronize olur (verilerin kopyası
tutulur). Bu detaya dikkat edilir.
103
104
Çizelge 6.1. (devam) Mobil adli bilişim süreci
ELDE ETME
8.5
8.6
Merkez konum kaydı (HLR) bilgileri incelenir.
10
Veritabanından veri elde etme
Android, iOS gibi işletim sistemleri SQLite veritabanı kullanır. Hangi
veritabanı yönetim sistemi kullanılıyor tespit edilir.
Veritabanı rehber, kısa mesaj ve arama kayıtları gibi önemli bilgileri tutar. Bu
kapsamda incelenir.
Veritabanı şemalarını görmek için Base Mac SQLite editörü vb. kullanılır.
Veriler hexadecimal görüntülenir ve veriler arasında kayıt uzunluğu, anahtar,
kayıt başlık uzunluğu, adres uzunluğu, numara, tarih/zaman, mesaj uzunluğu,
bayrak ve ülke bilgileri bulunur. Bu kapsamda incelenir.
Potansiyel deliller belirlenir ( Katılımcı ve donanım tanımlayıcıları, Tarih/saat,
dil ve diğer ayarları, İletişim bilgileri, Takvim bilgileri, Metin mesajları, Gelen
ve cevapsız arama günlükleri, Elektronik posta, Fotoğraflar, Video kayıtları,
Multi-medya mesajları, Görsel mesajlar, Web tarama faaliyetleri, Elektronik
belgeler, Sosyal medya ile ilgili veriler, Uygulama ile ilgili veriler, Konum
verileri).
Deliller incelenir.
11
Olay zaman cetveli oluşturulur.
12
Şifreli ve parola korumalı bilgiler için çözücü araç kullanılır.
13
Talep edilen hususlar analiz edilir.
14
17
Soruşturmanın bütün safhaları ve ulaşılan sonuçlar detaylı bir şekilde özetlenir.
İyi rapor sağlam belgelerle, notlarla, fotoğraflarla ve araçlarla üretilmiş içerikle
yazılır. Raporda bu hususlar kullanılır.
Rapor formatı belirlenir. Rapor içeriğinde; Raporlamayı yapan kuruluşun
kimliği, vaka tanımlayıcı ve gönderme numarası, incelemeyi yapan kişi,
göndermeyi yapan kişi, delil makbuzunun tarihi, rapor tarihi, inceleme yapılan
öğelerin betimsel listesi (buna seri numarası, yapım ve model de dâhildir),
inceleyicinin kimliği ve imzası, incelemede kullanılan donanımlar, incelemenin
adımlarının kısa özeti, grafik görüntü aramaları, kurtarılan silinmiş dosyalar
vb., bulgu detayları ve rapor sonuçları bulunur.
Formata uygun sonuç raporu yazılır.
18
Rapor ilgili makama sunulur.
19
Raporun bir kopyası arşivlenir.
20
Süreç sonlandırılır.
İNCELEME VE ANALİZ
8.7
9
15
RAPORLAMA
Büyük miktarda delil ayrıca şüphelinin taşınabilir cihazında veya kişisel
bilgisayarında bulunabilir. Bu cihazlar da incelenir.
Rehber, e-posta, fotoğraflar, videolar ve kısa mesajlar gibi potansiyel deliller
incelenir.
Operatörden veri elde etme
Gelen ve giden arama bilgileri, mesaj trafiği, veri transferi, bağlantı konumu ve
zamanı gibi bilgiler operatörden elde edilir.
Arama detay bilgileri incelenir.
16
105
6.2. Örnek Uygulama
Uygulama modellenen sürecin tamamını kapsamamaktadır. Tüm sürecin uygulanması için
mutlaka bir adli olayın başından sonuna kadar takip edilmesi gerekmektedir. Modellene
süreçte ikinci aşama olan verinin elde edilmesi safhası teknik olarak en önemli safhadır ve
bu teknik süreç Çizelge 6.1'de belirtilen 6,7,8.1. ve 8.3. maddelerini tamamiyle raporlama
aşamasını ise kısmen kapsayacak şekilde uygulanmıştır. Bu inceleme yapılırken iki ayrı
araç kullanılmıştır. İnceleme elde edilen araçların yetenekleri ile kısıtlı kalmıştır. Bu
inceleme bir senaryo dâhilinde yapılmış ve bazı durumların gerçekleştiği varsayılmıştır.
Varsayılan durum; bir adli vaka gelişmesi, bu adli vaka için bilirkişi tayin edilmesi ve olay
yerinde bulunan bir mobil cihazın incelenerek sanık hakkında bulunan bilgilerin
toplanarak, analiz edilmesi ve raporlanması konusunda görev verilmesi şeklinde
gerçekleşmektedir.
Bu kapsamda cihaza, uygulama sürecine uygun olarak yetkili kişiler tarafından el
konulduğu, olay yerinin güvenliğinin sağlandığı, delilin güvenliğinin sağlandığı,
etiketlendiği, usulüne uygun olarak taşınarak adli bilişim laboratuvarına teslim edildiği ve
laboratuvarda inceleme için gerekli yazılımların kurulu olduğu varsayılmıştır.
Bu aşamadan sonra cihaz mobil adli bilişim araçları ile incelenmiştir. Bu inceleme Oxygen
Forensic Suite ve MobilEdit Forensic yazılımlarını kullanarak yapılmaktadır. Bu iki
yazılımın seçilmesindeki başlıca neden bu yazılımların Amerika Birleşik Devletleri'nde
(ABD) bulunan Ulusal Standart ve Teknoloji Enstitüsü (NIST) tarafından yönetilen Adli
Bilişim Yazılımları Test Programı
(CFTT) kapsamında incelenmesi ve ABD
kullanılmasına onay verilmesidir. Ayrıca bu iki yazılımın, yapılan literatür araştırması
neticesinde en çok tercih edilen yazılımlar arasında olması, mantıksal elde edinim
yapılabilmesi, kullanıcı dostu bir arayüz sağlamaları ve yazılımların kolay elde edilmesi
uygulamanın bu araçlarla yapılmasını sağlamıştır.
Literatürde çeşitli araçların, belirli işlemleri yerine getiremediklerinde hata mesajı
vermedikleri ve inceleme neticesinin bir insanın suçlu ya da masum olmasına etkisi olması
nedeniyle hassas davranmak adına, birden çok aracın veri çıkarımında ve incelemesinde
kullanılması önerilmektedir. Bu nedenle temin edilen iki uygulama yazılımı ile inceleme
106
gerçekleşmiştir. İki uygulamanın ayrıca birbirinin sağlamasını yapması yapılan işlemin
doğruluğunu da artırmıştır.
Konunun daha kolay anlaşılabilmesi açısından söz konusu araçlardan elde edilen ekran
görüntüleri ile anlatımı zenginleştirmek de amaçlanmaktadır.
6.2.1. Oxygen Forensic Suite ile yapılan uygulama
Öncelikle cihaz ve uygulamanın bağlantısının yapılması gerekmektedir. Cihaz, Apple
firmasına ait iPhone 4 model mobil bir cihazdır. Cihaz usb bağlantı kablosu ile bilgisayara
bağlanır. Bağlantı sihirbazı ile cihaz markası ve modeli belirlenir. Resim 6.1'de bu bağlantı
gösterilmiştir.
Resim 6.1. Bağlantı sihirbazı
Bağlantı sağlandıktan sonra ekrana Resim 6.2'deki cihaz tanımlama ekranı gelir. Cihaz ve
olaya/davaya ilişkin bilgiler yazılır. Ardından Resim 6.3'deki veri tipi seçme ekranı gelir
bu seçim bizden hangi bilgiler istenmiş ise o bilgilerin seçilmesi ve potansiyel delil olma
ihtimali olan bilgilerin tamamının seçilmesi açısından önemlidir.
107
Resim 6.2. Cihaz tanımlama
Resim 6.3. Veri tipi seçme
Seçimin sonrasında cihazdan veri elde etme süreci başlamaktadır. Bu işlem belirli bir
zaman alabilir. Veri elde etme işleminin bitmesinin ardından istenen bilgiler çerçevesinde
bilgiler incelenebilmektedir. Sırasıyla hangi bilgilerin elde edildiğine dair örneklerle
açıklama yapılmıştır. Cihazla ilgili bilgiler Resim 6.4'deki cihaz bilgi ekranından elde
edilebilir. Bu ekran cihazın marka, model ve davayla olan ilişkisini ortaya koyar.
108
Resim 6.4. Cihaz bilgileri
Bu bilgilerin gösteriminden sonra sırasıyla rehber, takvim, notlar, mesajlar, olay kayıtları,
dosyalar ve diğer konularda bilgilerin elde edilmesine ilişkin açıklayıcı bilgi verilmiştir.
Resim 6.5’de rehberde bulunan kişi bilgileri detayları ile elde edilebilir. Bu bilgileri
ekranın solunda liste halinde olduğu gibi sekmeler halinde de detaylar barındırmaktadır.
Resim 6.5. Rehber bilgileri
109
Takvim bilgisi ise Resim 6.6’da verilmiştir. Buradan cihaz sahibinin randevuları ya da
planladığı başka etkinlik, toplantı, özel gün gibi bilgilere ulaşılabilmektedir.
Resim 6.6. Takvim/randevu bilgileri
Cihaz sahibinin tuttuğu notlara Resim 6.7'deki notlar ekranından erişilmiştir.
Resim 6.7. Notlar
Cihaz sahibinin gönderdiği/aldığı kısa mesajlar, multimedya mesajları, e-posta mesajları ve
diğer ortamlarla iletilen tüm mesaj detaylarına Resim 6.8'deki bölümünden elde edilir.
Burada mesaj ile ilgili metin detayların haricinde video/fotoğraf gibi detaylarda
görüntülenmiştir.
110
Resim 6.8. Mesajlar
Cihaz üzerinde yapılan tüm işlemler Resim 6.9'da örneği verilen olay kayıt defterine
kaydedilmektedir. Bu bölüm yapılan işlemleri tarihsel olarak listeler ve incelemelerde
oldukça önemlidir. Zira bu kayıtlar olay cetveli oluşturulması kapsamında yardımcı
olmaktadır. Bu kayıtlar gelen, giden ve cevapsız arama kayıtlarına ilişkin detaylar
barındırmaktadır.
Resim 6.9. Olay kayıtları
111
Resim 6.10'daki dosya gezinti bölümü ise değişik tipteki bilgilere kolay erişim sağlayan bir
bölümdür. Burada fotoğraf, müzik, video, doküman (text), uygulama ve konum bilgileri
kapsamında kategorilendirme yapılır ve uzmanın işini kolaylaştırır. Burada dikkat edilmesi
gereken en önemli husus: Elde edilen tüm bilgilerin ekran görüntülerinde de görselde
gözlemlenebileceği üzere mutlaka bir özet değerin alınmasıdır. Bu işlem bilginin
değiştirilmediğini garanti altına almak ve ilerleyen dönemde yapılacak itirazları önlemek
adına yapılmaktadır.
Resim 6.10. Dosya gezinti
Resim 6.11'deki ekstra bölümünde yapılan tüm işlemler liste, tarih, bağlantı kategorilerine
göre listelenmektedir. Bu bölüm olay zaman cetveli oluşturmakta adli bilişim uzmanının
işlerini kolaylaştırmaktadır. Seçilen kayıt ile ilgili detaylar ekranın sol ve alt kısmında
görüntülenmektedir.
112
Resim 6.11. Ekstra ekranı
Ekstra bölümünde ayrıca Resim 6.12'deki konum bilgileri ve Resim 6.13'deki web
kayıtlarına ilişkin bilgilerde elde edilmektedir.
Resim 6.12. Ekstra (Konum bilgileri)
Web kayıtlarında safari kayıtları, sık kullanılanlar bilgileri ve web geçmişi bilgi detaylarına
erişilebilir.
113
Resim 6.13. Web kayıtları
Yapılan incelemeler sonrasında gözden kaçan bilgileri elde etmek veya kontrol etmek
amacıyla Resim 6.14'deki arama bölümü kullanılmakta ve arama bölümü içinden herhangi
bir bilgi veya bağlantı detayı ile arama yapılmaktadır.
Resim 6.14. Arama ekranı
Mobil adli incelemelerde yapılan çalışmaların ürünü son aşama olan rapor aşamasıdır.
Rapor yazılması belirli formatlara göre yapılmaktadır. Bu araçlar adli bilişim uzmanının
114
işlerini kolaylaştırmakta ve hazır rapor formatlarında rapor hizmeti sunmaktadır. Bu araçla
elde edilen rapora ait ekran görüntüleri Resim 6.15'dedir. Rapor Resim 6.16'da, 6.17'de ve
6.18'de örnekleri verildiği şekliyle elde edilen bilgilerin tamamını içermektedir.
Resim 6.15. Rapor
Resim 6.16. Rapor (Rehber bilgileri)
115
Resim 6.17. Rapor (Notlar)
Resim 6.18. Rapor (Mesaj detayı)
Raporun istenilen formatta düzenlenmesi ile mobil adli inceleme süreci sona erer.
116
6.2.1. MOBİLedit Forensic ile yapılan uygulama
Diğer bir mobil adli inceleme aracı olan MOBİLedit ile de aynı süreçleri izleyerek yapılan
inceleme ekran görüntüleri ile zenginleştirerek açıklanmaktadır.
Birinci aşama cihaz ile inceleme yapılacak aracın bağlantısıdır. Daha önce belirtilen
varsayımların tamamının oluştuğu varsayımı ile cihazı bilgisayara bağlayarak inceleme
başlamıştır. Bağlantı yapılacak mobil cihazın telefon olarak seçilmesi ile Resim 6.19'daki
hoşgeldin ekranına geçilir. Daha sonra bağlantı türü seçilmiştir. Cihaza kablo, kablosuz
bağlantı (Wi-Fi, bluetooth, kızılötesi) ile bağlanmak (cihazın yeteneği varsa) mümkündür.
Resim 6.19. Hoşgeldin ekranı
Cihazla bağlantı sağlandıktan sonra araç cihazı Resim 6.20'deki şekliyle tanımlamaktadır.
117
Resim 6.20. Cihaz tanımlama
Cihazın tanımlanmasının ardından veri elde etme ayarları Resim 6.21'deki şekliyle yapılır.
Burada önemli olan potansiyel delil olabilecek veri kaynaklarını seçmektir. Burada ayrıca
cihaza ilişkin detay bilgilerde (Cihaz sahibinin bilgileri, cihaz adı, delil numarası, telefon
numarası) girilir.
Resim 6.21. Veri elde etme ayarları
118
Veri elde edildikten sonra navigasyon ekranı üzerinde tüm erişilebilir bilgi kaynakları
görüntülenir. Öncelikle Resim 6.22’deki şekliyle cihaz bilgileri ekrana gelir.
Resim 6.22. Cihaz bilgi ekranı
Bir önceki araçla elde edilen bilgiler gibi bu araçlada benzer bilgilere rahatlıkla ulaşılabilir.
Bu bilgiler, rehber, mesaj, uygulama verisi, uygulama, dosyalar, medya dosyaları, takvim,
fotoğraflar ve sim kart bilgileridir. Rehberde yer alan bilgilere Resim 6.23'deki gibi
“Phonebook” bölümünden erişilebilir. Kayıt ile ilgili detay bilgiler tıklanarak elde edilir.
Resim 6.23. Rehber bilgileri
119
Mesajlar Resim 6.24'deki şekliyle karşılıklı gönderilen mesajlar, gelen, giden veya taslak
olarak görüntülenebilir.
Resim 6.24. Mesajlar
Bu uygulamanın diğerinden farkı ise sim karta ait bilgilere erişebilmesidir. Sim karta
ilişkin pin kodu olmaksızın cihaz açıksa ICCID ve IMSI bilgileri elde edilebilir ki bu
bilgiler cihazın üzerindeki kartın kime ait olduğu bilgisini operatörden istemek için gerekli
bilgilerdir. SIM karttan elde edilen bilgiler Resim 6.25'dedir.
Resim 6.25. SIM kart bilgisi
120
Takvimde Resim 6.26'daki gösterilen şekliyle planlı olan ya da girilen tüm bilgiler günlük,
haftalık ya da aylık olarak görüntülenebilir detayı hakkında bilgi alınabilir.
Resim 6.26. Takvim bilgileri
Yine cihazda kayıtlı video, fotoğraf vb bilgiler Resim 6.27'deki medya sekmesinden elde
edilebilmektedir.
Resim 6.27. Medya
121
Cihaza kurulan tüm uygulamalar Resim 6.28'de verilen şekliyle bu araç vasıtasıyla
görüntülenebilir ve detay bilgi elde edilir. Ayrıca bu uygulamaların tutulduğu bilgilere de
kolaylıkla ulaşılabilir.
Resim 6.28. Uygulamalar
Son olarak ise incelemenin ürünü olan rapor kısmı ile ilgili bilgi verilmektedir. Rapor
Resim 6.29'da verilen şekliyle değişik formatlarda seçilebilir. Rapor örneği Resim 6.30’da
mevcuttur. Ancak dil seçeneği İngilizce’dir. Raporun alınmasının ardından istenilen
formata çevrilerek talep eden makama sunulabilir.
Resim 6.29. Rapor formatı seçimi
122
Resim 6.30. Rapor örneği
Bu bilgiler dışında uygulama ile yapılan her inceleme bir dava dosyası olarak Resim
6.31'deki gibi tarih bilgisi ile kaydedilebilmekte ve gerekli durumlarda çevrimdışı istenen
bilgiler incelenebilmektedir.
Resim 6.31. Dava dosyaları
Yapılan iki uygulamaya ait elde edilen bilgiler çerçevesinde karşılaştırma Çizelge 6.2'de
verilmiştir.
Oxygen
x
x
x
x
x
x
x
x
x
Mobiledit
x
x
x
x
x
x
x
x
x
SIM
Rapor
Web Kayıtları
Konum
video)
Medya (Foto,
Olay Kayıtları
Notlar
Takvim
Mesajlar
Rehber
Uygulama
123
Çizelge 6.2. Uygulamaların karşılaştırmaları
x
124
125
7. SONUÇ VE ÖNERİLER
Bilgi Teknolojileri ve İletişim Kurumu tarafından yayımlanan Türkiye Elektronik
Haberleşme Sektörüne İlişkin 2015 yılı Üçüncü Çeyrek Pazar Verileri Raporu'na göre 77
000 000 olan Türkiye nüfusunun 73 235 783’ü mobil abonedir. 0-9 yaş nüfus hariç
tutulduğunda tüm vatandaşların mobil abone olduğu ortaya çıkmıştır. Bu mobil abone
miktarının 63 066 580’i 3G abonesidir. Bu istatistikler 9 yaşından büyük tüm vatandaşların
mobil cihazı olduğunu ve bunların % 86'sının bu cihazları ile İnterneti kullandığını
göstermektedir. Bu sayılar mobil cihazların Türk vatandaşlarının hayatına ne ölçüde
girdiğini açıkca ortaya koymaktadır. Bu istatistikler bir adli olayın olması durumunda olay
yerinde mobil cihaz olma ihtimalinin ne kadar yüksek olduğunu da göstermektedir. Bir
dijital adli soruşturmaya telefonların dâhil olmaması ihtimali oldukça düşüktür.
Literatürde birçok mobil cihazın olduğu tespit edilmiştir. Bu cihazların teknolojileride
kullanma oranlarına paralel olarak hızla artmaktadır. Mobil cihazları birbirinden ayıran en
önemli unsur, marka-modellerinden sonra üzerinde çalıştığı işletim sistemleridir. Birçok
farklı mobil cihaz farklı işletim sistemleri kullanmaktadır. Bu nedenle, adli uzmanların
özel bilgi ve becerilere sahip olması gerekmektedir. Bu çalışmanın detaylanması
aşamasında kırılım noktası belirtilen sebeplerden en önemlileri arasında olan sebep, işletim
sistemi olmuştur. Mobil cihazlarda dünyada yaygın olarak kullanılan ve piyasaya hâkim
olan iki önemli işletim sistemi bulunmaktadır. Bunlar Android ve Apple firması tarafından
geliştirilen iOS'dur. Bu nedenle çalışma kapsamında teorik bilgilerin yanında uygulama ile
zenginleştirmek adına iOS cihazlar üzerine adli bilişim uygulaması yapılmıştır.
Adli bilişim, bilgisayarlardaki sanal verilerin toplanıp, kanıtlarının ortaya konup yazı halini
aldığı bir bilim dalıdır. Bu bilim dalı suçlu ile suçsuzu birbirinden ayırmakta, suçlu olduğu
düşünülen kişi hakkında delilleri bir araya getirmekte ve suçsuzun haklarının korunmasına
olanak sağlamaktadır. Adli bilişimin amacı olay yerindeki delillerin hiç bir şüpheye yer
vermeden gizlilik, bütünlük ve erişebilirlik kıstaslarına uygun bir şekilde toplanması,
ardından bu delillerin bilimsel metotlarla incelenmesi, analiz edilmesi ve raporlanmasıdır.
Mobil adli bilişimin adli bilişim disiplini içinde önemli bir yeri vardır. Fakat mobil adli
bilişim diğer adli bilişim dallarına nazaran daha zordur. Bu durumun nedenleri olarak;
geniş ürün yelpazesi, marka model ve işletim sistemi çeşitliliği, adli bilişim yazılımlarının
gelişmelere paralel olarak sürekli güncellenmesi, bu yazılımların tüm ürünleri
126
desteklememesi, şifreli ve kriptolu veriler, açılış şifreleri gibi nedenler gösterilebilir. Adli
bilişim delillerin toplanması, korunması, incelenmesi, analizi, raporlanması yönleriyle bir
süreç teşkil etmektedir. Literatür incelemesi sonucunda mobil adli bilişimin de benzer
süreçlerden geçmesi gerektiği belirlenmiş ve bir süreç modeli oluşturulmuştur. Belirlenen
modelde dört ana ve on dokuz alt sürecin olması gerektiği tespit edilmiştir. Bu süreç takip
edildiğinde delil niteliği ve zinciri bozulmadan adli inceleme yapılabilecektir. Bu süreç
takip edilmediği takdirde delilin kaybı, zarara uğraması veya mahkemede kullanılmayacak
hale gelmesi riski bulunmaktadır.
Bir mobil cihazın delil niteliği ile ele geçirilmesi ve usulüne uygun olarak el konulması ve
sürecin esaslarına uygun işletilmesi yeterli değildir. Aynı zamanda sistemli bir incelemeye
de ihtiyaç duyulmaktadır. Literartürde yapılan araştırmalar mobil aracın adli elde edilme
sürecinin birçok metot kullanılarak gerçekleştirilebileceğini ortaya koymaktadır. Mobil
cihaz ele geçirildiğinde, adli bilişim uzmanı cihazda depolanmış olan verilere erişmek için
birçok adli araca ihtiyaç duymaktadır. Bu araçlar sadece vakit kazandırmakla kalmayıp
süreci de kolaylaştırmaktadır. Bu maksatla çalışma içerisinde adli bilişim yazılımları
bilgilendirmeleri yapılmış ve iki yazılım kullanılarak uygulama gerçekleştirilmiştir. Çeşitli
araçların, belirli işlemleri yerine getiremediklerinde hata mesajı da vermedikleri yapılan
çalışma ile tespit edilmiş ve NIST trafından yayımlanan rehberde de tavsiye edilen birden
çok araçtan veri çıkarımında faydalanılması yöntemi kullanılmıştır. Oxygen Forensic ve
MOBİLedit Forensic ile yapılan uygulamalar sonucunda potansiyel delil olabilecek cihaz,
tarih saat, iletişim, takvim, mesaj, arama günlükleri, e-posta, fotoğraf, video, notlar, web
günlükleri, sosyal medya, uygulama ve konum bilgilerine ulaşılmıştır. İki uygulama
arasında temel fark MOBİLedit Forensic uygulamasının SIM karta ilişkin pin kodu
olmaksızın cihaz açıksa ICCID ve IMSI bilgilerini elde etmesidir. Bu bilgiler cihazın
üzerindeki kartın kime ait olduğu bilgisini operatörden talep etmek için kullanılmaktadır.
Çalışma neticesinde mobil cihaz incelemesi için mutlaka yardımcı araçların kullanılması
zaman ve kolaylık açısından önemlidir. Zira adli vakaların birçoğunda zaman kısıtı ortaya
çıkmaktadır.
Son tahlilde, mobil adli bilişimde önemli olan unsurlar; delillerin hiç bir şüpheye yer
vermeden gizlilik, bütünlük ve erişebilirlik kriterlerine uygun olarak toplanması, ardından
bu delillerin bilimsel metotlarla incelenmesi, analiz edilmesi ve raporlanmasıdır.
Çalışmada belirlenen model ve süreçlerin işletilmesi delil niteliğinin korunmasını başka bir
127
ifadeyle adaletin yerini bulmasını sağlayacaktır. Çalışmada uygulama adli olaya erişim ve
müdahale yetkisi sınırlılıklarından dolayı veri elde etme aşaması ile sınırlandırılmıştır.
Önerilen süreç modelinin yetkinliğinin test edilebilmesi, varsa eksikliklerinin tespit
edilmesi ve geliştirilmesi maksadıyla bir adli vakada baştan sona kullanılması yapılan
çalışmanın tekemmül etmesini sağlayacaktır. Sonraki çalışmalarda bu süreç baştan sona
test edilebileceği gibi aşamaların her biri ayrı çalışma olarak da uygulanabilir. Yapılan
uygulamaların neticesinde mobil cihaz adli inceleme standarları düzenlenerek süreç
kaynaklı hataların önüne geçilecektir.
Ayrıca günümüzde mobil adli bilişimin geleceğine dair, mobil cihazların kullanımının
artarak devam edeceği hatta bilgisayar kullanımının yerini alacağı değerlendirilmektedir.
Bu gelişme ile birlikte suç aygıtı, aracı veya hedef olarak mobil cihazlar adaletin karşısına
çıkmaya devam edecektir. Bu kapsamda mobil adli bilişim geliştirilmesi ve ülke
menfaatleri
açısından
önem
verilmesi
gereken
teknolojik
olduğu
kadar
yasal
düzenlemelerin yapılması gerekli olan bir disiplindir. Bu konuda çalışma alanlarının teşvik
edilmesi, desteklenmesi ve üniversitelerin yönlendirilmesi, gelecekte daha fazla ortaya
çıkacağı değerlendirilen uzman personel ihtiyacını karşılamak adına önemli bir adım
olacaktır.
128
129
KAYNAKLAR
1.
İnternet:
Miniwatts
Telecommunication
Marketing
Report.
Group.
Turkey
Internet
Usage
and
URL:http://www.webcitation.org/query?url=
http%3A%2F%2F www.internetworldstats.com%2Feuro%2Ftr.htm&date=2015-0725, Son Erişim Tarihi: 25.07.2015.
2.
Ruacan, B. (2007, Mayıs). Kurumsal Mobil Çözümler, Nokia Eseries Toplantısında
sunuldu, İstanbul.
3.
CTIA. (2010). 50 Wireless Facts. CTIA, Washington.
4.
Nebil, F.S. (2010). Burak Kır ile Katma Değerli Servisler 350 milyon $’lık Bir
Sektör-1 üzerine söyleşi, İstanbul.
5.
Köroğlu,O. (2010). En Yaygın İletişim Ortamı: Mobil İletişim Ortamında İçerik ve
Yayıncılık. Civilacademy, 8(2), 55-86.
6.
Faryad, V.,Alavi Milani,M.M.R. (2011, Şubat). Mobil İletişim Nesillerin Evrim
İncelemesi: 4G’ye kadar, Akademik Bilişim Konferansında sunuldu, Malatya.
7.
Akgün, F. (2011). Mobil İletişim İletişim Teknolojilerinin Yapısı ve Bu
Teknolojilerde Kullanılan Veri Şifreleme Algoritmalarının Güvenirliklerinin Analizi,
Yayımlanmış Doktora Tezi, Trakya Üniveritesi Fen Bilimleri Enstitüsü, Edirne.
8.
Kim,Y.K., Prasad,R., 4G Roadmap and Emerging Communication Technologies,
Artech House, 12-13, ISBN=1-58053-931-9.
9.
İnternet:
Evolution
Mobile
Technologies.
Qualcomm.
URL:http://www.
webcitation.org/query?url=https%3A%2F%2Fwww.qualcomm.com%2Fvideos%2Fe
volution-mobile-technologies-1g-2g-3g-4g-lte&date=2015-07-25, Son Erişim Tarihi:
25.07.2015.
10.
Ağaç, F. (2014, Ocak). Türkiye Sayısal Gündem 2020'de AB'nin İzinde. Bilişim
Dergisi, 26-30.
11.
Bilgi Teknolojileri ve İletişim Kurumu. (2014). Elektronik Haberleşme Sektöründe
Teknolojik Gelişmeler ve Eğilimler Raporu, Ankara, 48-54.
130
12.
İnternet: Cep Telefonu. URL:http://www.webcitation.org/query?url= https%3A
%2F%2Ftr.wikipedia.org %2Fwiki%2F Cep_telefonu&date =2015-07-25, Son
Erişim Tarihi: 25.07.2015.
13.
İnternet:
Ogg,
E.
Tablet
bilgisayar.
Cnet.
2016-03-16.
URL:
http://www.webcitation.org/query?url=http%3A%2F%2Fwww.cnet.com%2Fnews%
2Fwhat-makes-a-tablet-a-tablet-faq%2F&date=2016-03-16.
Son
Erişim
Tarihi:16.03.2016.
14.
İnternet:
Strickland,
J.
Laptop.
Howstuffworks
Tech.
URL:
http://www.webcitation.org/query?url=http%3A%2F%2Fcomputer.howstuffworks.c
om%2Fnotebook-vs-netbook-vs-ultra-mobile-pc.htm&date=2016-03-16. Son Erişim
Tarihi:16.03.2016.
15.
Ada, S., Tatlı, H. S., (2012, Ocak). Akıllı Telefon Kullanımını Etkileyen Faktörler
Üzerine Bir Araştırma, Akademik Bilişim 2013 Konferansında sunuldu, Antalya.
16.
İnternet:
IDC,
Gartner.
Mobile
Statistics.
Mobiforge.
URL:http://www.webcitation.org/ query?url=http%3A%2F%2 Fmobiforge.com%2F
research-analysis%2Fglobal-mobile-statistics-2014-part-a-mobile-subscribershandset-market-share-mobile-operators+&date =2015-07-25 Son Erişim Tarihi:
25.07.2015.
17.
USOM. (2014). Akıllı Telefonlarda Güvenlik Raporu. Ankara, 3-4.
18.
Bilgi Teknolojileri ve İletişim Kurumu. (2015). Türkiye Elektronik Haberleşme
Sektörü Üç Aylık Pazar Verileri Raporu. Ankara, 39-61.
19.
Laudon, K. J. and Laudon, J. P. (2012). Management Information Systems:
Managing the Digital Firm, Prentice Hall, Boston, USA, 181.
20.
Kaya, A., (2009, Şubat). Symbian İşletim Sistemi. Akademik Bilişim’09 - XI
Konferansında sunuldu, Şanlıurfa.
131
21.
İnternet: Company Overview of Symbian Limited. Bloomberg Business. 2016-03-14.
http://www.webcitation.org/query?url=http%3A%2F%2Fwww.bloomberg.com %2F
research%2Fstocks%2Fprivate%2F
snapshot.asp%3F
privcapId%3D
1546771&date= 2016-03-14. Son Erişim Tarihi: 14.03.2016.
22.
İnternet: Evers, J. Microsoft to phase out Pocket PC, Smartphone brands. InfoWord.
2016-03-14.
http://www.webcitation.org/query?url=
www.infoworld.com%2F
article%2F2668041%2F
http%3A%2F%2F
computer-hardware%2F
microsoft-to-phase-out-pocket-pc-smart-phone-brands.html&date=2016-03-14. Son
Erişim Tarihi: 14.03.2016.
23.
İnternet: Palm OS.
Vikipedi. URL:http://www.webcitation.org/query?url=http
%3A%2F%2Ftr.wikipedia.org%2Fwiki%2FPalm_OS&date=2015-07-25,
Son
Erişim Tarihi: 25.07.2015.
24.
İnternet: Qualcomm purchases Palm patents from HP. USA Today. 2016-03-14.
http://www.webcitation.org/query?url=http%3A%2F%2Fwww.usatoday.com%2Fsto
ry%2Ftech%2F2014%2F01%2F24%2Fqualcomm-purchases-hppatents%2F4819069%2F&date=2016 03-14. Son Erişim Tarihi: 14.03.2016.
25.
İnternet:
Maemo
Trademark.
Maemo.org
(Beta).
2016-03-16.
URL:
http://www.webcitation.org/query?url=http%3A%2F%2Fmaemo.org%2Flegal%2Fte
rms_of_use%2Ftrademarks%2F&date=2016-03-16. Son Erişim Tarihi: 16.03.2016.
26.
İnternet: Maemo. Frmtr.com. URL:http://www.webcitation.org/query?url= http
%3A%2F%2F www.frmtr.com%2F maemo%2F4133727- nokianin-yeni-isletimsistemi-maemo-nedir.html&date=2015-07-25, Son Erişim Tarihi: 25.07.2015.
27.
İnternet:
Grabham,
D.
MeeGo
OS.
techradar.com.
2010-02-15.
URL:
http://www.webcitation.org/query?url=http%3A%2F%2Fwww.techradar.com%2Fne
ws%2Fphone-and- communications%2F mobile-phones%2F intel-and-nokia-mergemoblin-and-maemo-to-form-meego-670302&date=2016-03-16. Son Erişim Tarihi:
16.03.2016.
28.
İnternet:
Ubuntu.
Linux.net.
URL:https://www.linux.net.tr/ubuntu-phone-os-
aciklandi/, Son Erişim Tarihi: 25.07.2015.
132
29.
İnternet: Şengül,O,E. Tizen. ODTÜ Bilgisayar Topluluğu E-Dergi. URL:
http://www.webcitation.org/query?url=http%3A%2F%2Fe-bergi.com%2F2013%2F
Ocak %2Ftizen&date=2015-07-25, Son Erişim Tarihi: 25.07.2015.
30.
İnternet:
Sailfish.
Chip
Online.
query?url=http%3A%2F%2F
URL:http://www.webcitation.org/
www.chip.com.tr%2Fmakale%2Fyeni-bir-mobil-
isletim-sistemi-sailfish-os_45878.html&date=2015-07-25,
Son
Erişim
Tarihi:
25.07.2015.
31.
Olson, P. Want to Buy A Webphone? Forbes, Nisan 2013, 52.
32.
İnternet: Şumlu, S. Firefox OS. Mozilla.org.tr. URL: http://www.webcitation.org/
query?url= http%3A%2F%2F www.mozilla.org.tr%2F 2013%2F02%2Fmozillafirefox-os-ile-webin-gucunu-mobil-dunyaya-tasiyor&date=2015-07-25, Son Erişim
Tarihi: 25.07.2015.
33.
İnternet:
Ankeny,
fiercemobileit.com.
J.
Samsung
scraps
Bada
OS,
folds
it
into
2016-03-16.
URL:
http://www.webcitation.org/
Tizen.
query?
url=http%3A%2F%2F www.fiercemobileit.com%2Fstory%2Fsamsung-scraps-badaos-folds-it-tizen%2F2013-02-25 &date=2016-03-16. Son Erişim Tarihi: 16.03.2016.
34.
İnternet:
Blackberry
OS.
global.blackberry.com.
2016-03-16.
URL:
http://www.webcitation.org/query?url=http%3A%2F%2Fglobal.blackberry.com%2F
en%2Fsoftware%2Fsmartphones%2Fblackberry-10-os.html&date=2016-03-16. Son
Erişim Tarihi: 16.03.2016.
35.
İnternet:
Çukurca,
E.
BlackBerry.
Donanım
Haber.
URL:
http://www.webcitation.org/query?url=http%3A%2F%2Fwww.donanimhaber.com%
2Fcep
isletim-sistemleri%2F
haberleri%2F
BlackBerry-10-ile-sunulan-onemli-
ozellikler.htm& date=2015-07-25, Son Erişim Tarihi: 25.07.2015.
36.
İnternet: Ziegler, C. Windows PhoneMicrosoft talks Windows Phone 7 Series
development ahead of GDC: Silverlight, XNA, and no backward compatibility.
engadget.com.
2016-03-16.
URL:
http://www.webcitation.org/query?url=
http%3A%2F%2Fwww.engadget.com%2F2010%2F03%2F04%2Fmicrosoft-talkswindows-phone-7-series-development-ahead-of-gdc%2F&date=2016-03-16.
Erişim Tarihi: 16.03.2016.
Son
133
37.
İnternet: Manjoo, F. A Murky Road Ahead for Android, Despite Market Dominance.
The
New
York
Times.
2016-03-14.
http://www.webcitation.org/query?url=
http%3A%2F%2Fwww.nytimes.com%2F2015%2F05%2F28%2Ftechnology%2Fper
sonaltech%2Fa-murky-road-ahead-for-android-
despite-market-dominance.html%3
F_r%3D0& date= 2016-03-14. Son Erişim Tarihi: 14.03.2016.
38.
İnternet: Williams, R. Apple iOS: a brief history. The Telegraph. URL:
http://www.webcitation.org/query?url=http%3A%2F%2Fwww.telegraph.co.uk%2Ft
echnology%2Fapple%2F11068420%2FApple-iOS-a-brief-history.html&date=201507-25, Son Erişim Tarihi: 25.07.2015.
39.
Linzmayer, R. W. (1999). Apple Confidential: The Real Story of Apple Computer,
San Francisco, CA, USA, No Starch Press.
40.
Çakır, H. ve Sert, E. (2011). Bilişim Suçları ve Delillendirme Süreci Örgütlü Suçlar
ve Yeni Trendler. Ankara: Polis Akademisi Yayınları. 143-172.
41.
Garza, D. (2010). Investigating Hard Disks, File and Operating Systems. ABD: ECCouncil Press.
42.
Rogers, M.K., Goldman, J., Mislan, R., Wedge, T. ve Debrota, S. (2006). Computer
Forensics Field Triage Process Model, Conference of Digital Forensics, Security
and Law. Las Vegas Nevada, ABD.
43.
Uzunay, Y. (2005). Dijital Delil Arastırma Süreci. 2. Polis Bilisim Sempozyumuda
sunuldu, Sheraton Oteli, Ankara. Emniyet Genel Müdürlügü, Bildiri Kitabı 42-47
44.
Morrissey, S. (2010). iOS Forensic Analysis for iPhone, iPad, and iPod Touch,
Apress, USA.
45.
Jansen, W. (2005). Mobile Device Forensic Software Tools. Paper presented at the
Techno Forensics 2005, Gaithersburg, MD, USA.
46.
İnternet: SWGDE. (2006). SWGDE and SWGIT Digital & Multimedia Evidence
Glossary, URL:http://www.swgde.org/documents/swgde2005/SWGDE%20and%20
SWGIT%20Combined%20Master%20Glossary%20of%20Terms%20July%2020.pdf, Son Erişim Tarihi: 25.07.2015.
134
47.
İnternet: USSS. (2006). Best Practices for Seizing Electronic Evidence,
URL:http://www.ustreas.gov/usss/electronic_evidence.shtml, Son Erişim Tarihi:
25.07.2015.
48.
Ashcroft, J. (2001). Electronic Crime Scene Investigation: A Guide for First
Responders, U.S. Department of Justice National Institute of Justice, 5-7.
49.
Keizer, G. (2006). First Mobile Phone Java Trojan on the Loose. CRN.
50.
CCIPS. (2002). Searching and Seizing Computers and Related Electronic Evidence
Issues. US Department of Juctice, USA.
51.
Mellars, B. (2004). Forensic Examination of Moblie Phones, Digital Investigation,
The International Journal of Digital Forensics & Incident Response, 1(4), 266-272.
52.
Westtek (2008). ClearVue Suite. Westtek.
53.
Manfrediz, A. (2008). IDC Finds More of the World's Population Connecting to the
Internet in New Ways and Embracing Web 2.0 Activities. IDC Press Release .
54.
İnternet:
Cell
Phone.
Fonekey.
URL:http://www.webcitation.org/query?url=
http%3A%2F%2Fwww.FoneKey.net&date=2015-07-25,
Son
Erişim
Tarihi:
25.07.2015.
55.
İnternet: Aljazeera (2005). Phone Dealers in al-Hariri Probe Net, URL:
http://english.aljazeera.net/archive/2005/09/200841014558113928.html, Son Erişim
Tarihi: 25.07.2015.
56.
İnternet: Mock,D. Wireless Advances the Criminal Enterprise . thefeaturearchives.
URL:http://www.webcitation.org/query?url=http%3A%2F%2Fwww.thefeaturearchi
ves.com%2Ftopic%2FTechnology%2FWireless_Advances_the_Criminal_Enterprise
.html&date=2015-07-25, Son Erişim Tarihi: 25.07.2015.
57.
Ayers, R., Jansen, W., Cilleros, N. and Daniellou, R. (2007). Cell Phone Forensic
Tools: An Overview and Analysis. NIST Publications, USA.
58.
Carrier, B. D. (2006). Risks of Live Digital Forensic Analysis. Communications of
the ACM, 49(2). 56-61.
135
59.
Bommisetty, S., Tamma, R. and Mahalik, H. (2014). Practical Mobile Forensics
(First edition). Birmingham, UK: Packt Publishing Ltd.
60.
Dokurer, S. (2005). Adli Bilişim 2. Polis Bilişim Sempozyumu Bildirileri, Ankara:
Emniyet Genel Müdürlüğü Bilgi İşlem Daire Başkanlığı. 226-229.
61.
Bıçak, V. (2011). Suç Muhakemesi Hukuku. Ankara: Seçkin Yayınevi, 423.
62.
İnternet:
Tan,
A.
Adli
Bilişim.
URL:http://www.webcitation.org/query?url=
http%3A%2F%2Fwww.aydogantan.av.tr%2Fgenel%2Fadli-bilisim-computerforensic &date =2015-07-25, Son Erişim Tarihi: 25.07.2015.
63.
Ünal, O.G. (2011). Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde
Arama, Kopyalama ve Elkoyma, Gazi Üniversitesi Sosyal Bilimler Enstitüsü
Yayınlanmamış Yüksek Lisans Tezi, Ankara.
64.
Bıçak, V. (2011). Suç Muhakemesi Hukuku, Ankara: Seçkin Yayınevi,429
65.
İnternet: Murphy, C.A. (2012). Developing Process for Mobile Device Forensics.
Web:http://digital- forensics. sans.org/media/ mobile- device-forensic- processv3.pdf. adresinden 23.06.2015'de alınmıştır.
66.
Brothers, S. (2008). How Cell Phone Forensic Tools Actually Work Cell Phone Tool
Leveling System, Mobile Forensic. World, Chicago, IL, USA
67.
Jansen, W., Ayers, R. (2007). Guidelines on Cell Phone Forensics. NIST Special
Publication 800-101, Gaithersburg.
68.
Zdziarski, J. (2013). iOS Forensic Investigative Methods, USA.
69.
Jansen, W., Ayers, R. and Brothers, S. (2014). Guidelines on Mobile Device
Forensics. NIST Special Publication 800-101 Revision 1, Springfield, VA, USA.
70.
European Working Party on IT Crime, 47th EWPITC meeting. (2006). Mobile Phone
Forensics Final Report. Interpol.
71.
SWGDE. (2013). Best Practices for Mobile Phone Forensics. SWGDE. Version: 2.0,
USA
136
72.
Reiber, L. (2008). SIMs and Salsa, MFI Forum, Mobile Forensics, Inc.
73.
ACPO. (2003). Good Practice Guide for Computer based Electronic Evidence.
NPCC,London.
74.
National Institute of Justice. (2008). Electronic Crime Scene Investigation: A Guide
for First Responders, Second Edition. NCJ 219941, Washington.
75.
Brothers, S. (2012). How Cell Phone Forensics Tools Work, AAFS, Washington,
DC.
76.
Casey, E., Turnbull, B. (2011). Digital Evidence and Computer Crime, Third
Edition, Elsevier Inc., Chapter_20.
77.
Bader, M., Baggili, İ. (2010). iPhone 3GS Forensics: Logical Analysis using Apple
iTunes Backup Utility, Small Scale Digital Device Forensics Journal, Vol. 4, No.1.
78.
Ayers, R. (2003).Computer Forensic Tool Testing (CFTT) Program. NIST,
Gaithersburg.
79.
GSM Association. (2005). GSME Position On Data Retention Implications for The
Mobile Industry, GSM Europe.
80.
Alameda County District Attorney's Office. (2004). Phone, E-mail, and Internet
Records, Point of View, Oakland.
81.
Willassen, S.Y. (2003). Forensics and the GSM mobile telephone system,
International Journal of Digital Evidence, Spring 2(1).
82.
Ajala, I.(2006). Spatial Analysis of GSM Subscriber Call Data Records, Directions
Magazine.
83.
Miller, C. (2008).The other side of mobile forensics, Cygnus Business Media.
84.
Doog, A., Strzempka, K. (2011). iPhone and iOS Forensics Investigation, Analysis
and Mobile Security for Apple iPhone, iPad, and iOS Devices, Syngress publications,
USA.
137
85.
İnternet:
Libtiff.
URL:http://www.webcitation.org/query?url=http%3A%2F%2F
www.remotesensing.org%2Flibtiff%2F&date=2015-07-25,
Son
Erişim
Tarihi:
25.07.2015.
86.
Miller, C., Mulliner,C. (2009). Injecting SMS Messages into Smart Phones for
Security Analysis, TU-Berlin.
87.
Porras, P., Saidi, H. and Yegneswaran, V. (2009). An Analysis of the iKee.B iPhone
Botnet. Computer Science Laboratory, SRI International.
88.
Salz, P.A. (2014). The Insider’s Guide to a Billion Dollar App Business. InMobi PTE
LTD, Singapore.92-93
89.
İnternet: Mills,E. Researcher warns of risks from rogue iPhone apps. Cnet. 2016-0316. URL: http://www.webcitation.org/query?url=http%3A%2F%2Fmaemo.org%2F
legal%
2Fterms_of_use%2Ftrademarks%2Fhttp%3A%2F%2Fwww.cnet.com%2F
news%2Fresearcher-warns-of-risks-from-rogue-iphone-apps&date=2016-03-16. Son
Erişim Tarihi: 16.03.2016.
90.
Miller, C., Balazakis, D., Zovi, D.D., Esser, S., İozzo, V. and Weinmann, R.P.
(2010).İOS Hacker Handbook. Berlin, Germany.
91.
İnternet: Zovi,D.D. Strategic Analysis of the iOSJailbreak Development Community.
URL:http://www.webcitation.org/query?url=https%3A%2F%2Fwww.trailofbits.com
%2Fresources%2Fios_jailbreak_analysis_slides.pdf+&date=2015-07-25, Son Erişim
Tarihi: 25.07.2015.
92.
İnternet: Hao,X., Xiaobo,C. Rootkit for iPhone and Way to Launch Real Attack.
URL:http://www.webcitation.org/query?url=http%3A%2F%2Fwww.powerofcommu
nity.net%2Fpoc2011%2Fxuchen.pdf&date=2015-07-25
,
Son
Erişim
Tarihi:
25.07.2015.
93.
İnternet: Summers,C. Mobile phones - the new fingerprints. BBC News.
URL:http://www.webcitation.org/query?url=http%3A%2F%2Fnews.bbc.co.uk%2F2
%2Fhi%2Fuk_news%2F3303637.stm&date=2015-07-25,
25.07.2015.
Son
Erişim
Tarihi:
138
94.
İnternet: Cell Phone & Email Forensics Investigation Cracks NYC Times Square Car
Bombing
Case.
Forensicon.
URL:http://www.webcitation.org/query?url=
http%3A%2F%2Fwww.forensicon.com %2Fforensics-blotter%2Fcell-phone-emailforensics-investigation-cracks-nyc-times-square-car-bombing-case&date=2015-0725, Son Erişim Tarihi: 25.07.2015.
139
ÖZGEÇMİŞ
Kişisel Bilgiler
Soyadı, adı
:
AKALIN, Uğur
Uyruğu
:
T.C.
Doğum tarihi ve yeri
:
26.02.1977/Karabük
Medeni hali
:
Evli
Telefon
:
0 (312) 411 3077
e-Posta
:
[email protected], [email protected]
Eğitim Derecesi
Okul /Program
Mezuniyet Yılı
Yüksek Lisans
Gazi Üniversitesi Bilişim Enstitüsü Devam ediyor
Adli Bilişim Ana Bilim Dalı
Lisans
Kara Harp Okulu
1999
Lise
Maltepe Askeri Lisesi
1995
İş Deneyimi, Yıl
Çalıştığı Kurum
Görev
1999-2003
Kara Kuvvetleri
Takım
Komutanı
2003-2004
Ege Üniversitesi
BS Subay
Temel Kursu
(Kursiyer)
2004-2008
Kara Kuvvetleri/Mareşal Çakmak
BS Subayı
Asker Hastanesi
2008-2014
Genelkurmay Başkanlığı Akıllı
VT Yöneticisi/
Kart Şube
Kart Yönetim
Kısım Amiri
2014-Devam Ediyor
Kara Kuvvetleri Proje Yönetim
Şube
Yabancı Dil
İngilizce
Hobiler
Futbol, kayak, tenis, bilgi teknolojileri, seyahat.
Proje Subayı
140
GAZİ GELECEKTİR...