ݺߣ

ݺߣShare a Scribd company logo

Siber Güvenlik ve Etik Hacking Sunu - 6

Murat KARA
Murat KARA

Siber Güvenlik ve Etik Hacking Sunu - 6

1 of 25
ADLİ BİLİŞİM (FORENSİC) 6. Hafta
Adli Bilişim • Adli Bilişim • (Computer Forensics ) [Digital Forensics] • Forensic, “mahkemeyle ilgili, adli” • Bilgisayar Kriminalistiği bilimi, • Bir bilişim sisteminde bulunan bilgilerin mahkemede/soruşturma biriminde suçun veya suçsuzluğun ispatlanmasında kullanılmak üzere incelenmesi olarak tanımlanmaktadır .
Adli Bilişim Elektromanyetik ve elektro optik ortamlarda muhafaza edilen veya bu ortamlarca iletilen ses, görüntü, veri, bilgi veya bunların birleşiminden oluşan her türlü bilişim nesnesinin, mahkemede sayısal delil niteliği taşıyacak şekilde tanımlanması, elde edilmesi, saklanması, incelenmesi ve mahkemeye sunulması çalışmaları bütünüdür.
Adli Bilişim Alt Dalları • Bilgisayar Adli Bilimi (Computer Forensics) • Dosya Sistemi Adli Bilimi (File System Forensics) – FAT12, FAT16, FAT32 Forensics – NTFS Forensics – exFAT Forensics – HFS+ Forensics – EXT2, EXT3, EXT4 Forensics • İşletim Sistemi Adli Bilimi (OS Forensics) – Windows Adli Bilimi (Windows Forensics) – Unix&Linux Adli Bilimi (Unix&Linux Forensics) – MacOSx Adli Bilimi (MacOSx Forensics) • Ağ Adli Bilimi (Network Forensics) • Mobil Cihaz Adli Bilimi (Mobile Forensics) • Kötü Yazılım Adli Bilimi (Malware Forensics) • Geçici Bellek Adli Bilimi (Memory Forensics)
Suç veya Delil • Bilgisayar Sistemlerine Yetkisiz Erişim, • Sistemi Bozma, • Bilgisayar Sabotajı, • Bilgisayar Yoluyla Dolandırıcılık, • Bilgisayar Yoluyla Sahtecilik, • Bilgisayar Yazılımlarının İzinsiz Kullanımı, • Şirket İçi Yolsuzlukların Tespiti, • Boşanma Davalarında Eşlerin Aldatmasının İspatlanması, • Vb..
Hukuki Açıdan Adli Bilişim TCK (Bilişim Suçları) • Madde243. - Yetkisiz Erişim - Sisteme Girme • Madde 244. - Verileri Engelleme, Bozma, Değiştirme, Yok etme. • Madde 245. - Kredi Kartı ve Banka’ya karşı işlenen suçlar . TCK (Bilişim Vasıtalı Suçlar) • Madde 124. - Haberleşmenin engellenmesi • Madde 125. - Hakaret • Madde 132. - Haberleşmenin Gizliliğini İhlal. • Madde 133. - Kişiler arası konuşmaların dinlenmesi ve kayda alınması. • Madde 135. - Kişisel verilerin kaydedilmesi. • Madde 136. - Verileri hukuka aykırı olarak verme veya ele geçirme • Madde 142. - Nitelikli Hırsızlık. • Madde 158. - Nitelikli Dolandırıcılık. • Madde 226. - Müstehcenlik. Fikir ve Sanat Eserleri Kanunu • Madde 71 - Manevi Haklara Tecavüz. • Madde 72 - Mali Haklara Tecavüz. • Madde 73 - Diğer Suçlar. Ceza Muhakemesi Kanunu • Madde 134. - Bilgisayarlarda, bilgisayar programlarında ve kütüklerinde arama, kopyalama ve el koyma.
Dijital Delil (e-delil) Dijital/elektronik delil (e-delil), • Bir elektronik araç üzerinde saklanan veya bu araçlar aracılığıyla iletilen soruşturma açısından değeri olan bilgi ve verilerdir .
Dijital Deliller (e-delil) • Fotoğraflar • Video görüntüleri • Office, Pdf vb. dosyalar • Çeşitli bilgisayar programları (hack programları) • İletişim kayıtları (SMS, Skype, Whatsapp, vb. kayıtları) • Gizli ve şifreli dosyalar • Dosyaların oluşturulma, değiştirilme ve erişim tarih kayıtları • Son girilen ve sık kullanılan internet siteleri • İnternet ortamından dosyalar • Silinmiş dosyalar • Haritalar / GPRS cihazları
Dijital Delil Ortamları • Depolama – Sabit Disk (HDD) – Usb Flash – Hafıza Kartı – CD/DVD – Floppy – Telefon/SIM kart – Yazıcı – Modem – Oyun konsolu • Uçucu Veriler – RAM – Protokol, Port, IP – Sistem tarihi/saati – Kullanıcı adı, işlemler, açık/çalışan dosyalar – Pagefile.sys dosyası
Dijital Delil Süreç Modeli 12 basamaklı Dijital Delil Araştırma Süreç Modeli (Casey 2004)
Adli Bilişim Süreçleri/Safhaları • Olaya müdahale – Toplama (Collection) • Korumaya alma • Delil tespiti • Elde etme • Laboratuvar incelemesi – İnceleme (Examination) – Çözümleme (Analysis) – Raporlama (Reporting)
Delil Toplamadan Önce.. • İncelenecek Bilgisayar Kapalı ise; – Fotoğrafı çekilir, kablolar işaretlenir, – Elektrik, Kesintisiz güç kaynağı, batarya kontrol edilip fişi çekilmelidir. (Bilgisayar Açılmamalıdır.) • İncelenecek Bilgisayar Açık ise; – Ekran görüntüsünün fotoğrafı çekilir, – Ram imajı alınmalı, – Uzak erişim engellenmeli, – Açıkta erişim, hesap, sosyal medya vb. var ise kontrol edilmeli, – Veri uçuculuğu sırasına göre inceleme yapılmalı
Olay Yerinde YapılmaMAsı Gerekenler • Bilgisayarı çalıştırmak, veya bir uygulamayı Açmak/Kapatmak • Bilgisayarın sahibinden yardım istemek, • Virüs kontrolü yapmak, • Yazıcı çıktısı almaya çalışmak, • Delil nakliye önlemi almamak,
Paketleme-Nakliye-Muhafaza • Isıya, • Rutubete, • Fiziksel şoklara, • Statik elektriğe, • Manyetik kaynaklara Duyarlı önlemlerle, veri bütünlüğünü bozmayacak şekilde, belgelendirip nakliyesi sağlanmalıdır.
İnceleme (Tanımlama) • Adli kopya (İmaj Alma) işlemi sonrası orijinal veri/yapı üzerinde hiçbir işlem yapılmaz. • İmaj üzerinde incelemeler yapılır. • Disk yazma koruması yapılmalıdır. • Disk sürücülerinin (verilerin) bütünlüğünü tek yönlü veri akışı ile koruyup yazma engellenmelidir.
Disk Yazma Koruma İşlemi • Disk ile arasında köprü vazifesi görür ve incelemede yazmaya engel olur. • Donanımsal • Yazılımsal
İmaj Alma • Adli bilişimde yapılan birebir kopyalama işlemine imaj / adli kopya (forensic image) denilmektedir. • Düşük seviye bit bazında kopyalama yapılması gereklidir. • Silinmiş verilere de erişim imkanı sağlar. • İmajın birebir aynı olması Hash değeri ile korunur. (MD-5, SHA-1)
Adli Kopya (İmaj Alma) • Donanımsal – TABLEAU- TD1, TD2 ve TD3 – Ditto – ATOLA – DEEPSPAR – ICS - SOLO 4 – LOGICUBE • Yazılımsal – Forensic Toolkit (FTK) – Safeback – (DOS) “dd” ,Linux “dd” – Encase – Forensic Replicator – PDA Seizure – Pdd (Palm dd, Windows, Free) – WinHex – Image (DOS) – SMART (Linux Redhat) – ByteBack (DOS) – Anadisk – ILook – Automated Image & Restore
Çözümleme/Analiz • Mevcut Dosyaların Çıkarılması • Silinmiş Dosyaların Çıkarılması • Unallocated alandaki verilerin çıkarılması • İnternet Aktivitelerinin Tespit Edilmesi • Gizlenmiş Verilerin Bulunması • Şifreli ve Encrypted Dosyaların Çözülmesi • Stegonagrafi Uygulanmış Verilerin Tespiti • Geçici Dosyaların analizi • Swap Alanın İncelenmesi • Log İncelemeleri • Zararlı Kodların İncelenmesi • Kelime Arama İşlemleri • Sisteme Neler Kurulmuş ve Hangi • Donanımlar Takılı Olduğu
Çözümleme/Analiz Yazılımları • ENCASE • FTK • Binalyze • XWAYS FORENSİC • FORENSIC EXPLORER • IEF • GET DATA • ACTIVE PARTITION RECOVERY • WINHEX • OXYGEN FORENSIC • CD/DVD INSPECTOR
Çözümleme/Analiz Donanımları • Cellebrite • Salvation Data • Atola • Deepspar • PC3000
Raporlama • Ayrıntılı olarak dijital delillerin nasıl elde edildiğine ilişkin teknik boyutu ve adli bilişimin hangi metotlarının kullanıldığı da anlaşılır bir dille belirtilmesi gerekmektedir . • Raporda araştırmanın yapıldığı zaman dilimi, incelenen elektronik deliller ve araştırma sonunda ele geçen bulgulara ilişkin bilgiler yer almalıdır.
Anti-Forensic • Deliller üzerinde adli bilişim süreçlerinin başarılı olmaması için geliştirilen yöntemlerdir. – Dosya gizleme, – Dosya silme(geri dönüşsüz), – Dosya bozma, – Forensic uygulamasını devre dışı bıraktırma – Vb..
Adli Bilişim Sertifikasyonları • EnCase Certified Examiner (ENCE) Guidance Software • Certified Forensic Computer Examiner (CFCE) • AccessData Certified Examiner (ACE)  • Certified Computer Examiner (CCE) • Computer Hacking Forensic Investigator (CHFI) • Certified Computer Crime Investigator (CCCI) • Certified Cyber Forensics Professional – (CCFP) • GIAC Certified Forensic Analyst and Examiner (GCFA & GCFE)
Yazılım Hazırlık 1. VirtualBox (https://www.virtualbox.org/wiki/Downloads) 2. Vmware Workstation Player (https:// my.vmware.com/en/web/vmware/free#desktop_end_user_computing/v mware_workstation_player/15_0 ) 3. Kali Linux .iso (https://www.kali.org/downloads/)

More Related Content

Siber Güvenlik ve Etik Hacking Sunu - 6

  • 2. Adli Bilişim • Adli Bilişim • (Computer Forensics ) [Digital Forensics] • Forensic, “mahkemeyle ilgili, adli” • Bilgisayar Kriminalistiği bilimi, • Bir bilişim sisteminde bulunan bilgilerin mahkemede/soruşturma biriminde suçun veya suçsuzluğun ispatlanmasında kullanılmak üzere incelenmesi olarak tanımlanmaktadır .
  • 3. Adli Bilişim Elektromanyetik ve elektro optik ortamlarda muhafaza edilen veya bu ortamlarca iletilen ses, görüntü, veri, bilgi veya bunların birleşiminden oluşan her türlü bilişim nesnesinin, mahkemede sayısal delil niteliği taşıyacak şekilde tanımlanması, elde edilmesi, saklanması, incelenmesi ve mahkemeye sunulması çalışmaları bütünüdür.
  • 4. Adli Bilişim Alt Dalları • Bilgisayar Adli Bilimi (Computer Forensics) • Dosya Sistemi Adli Bilimi (File System Forensics) – FAT12, FAT16, FAT32 Forensics – NTFS Forensics – exFAT Forensics – HFS+ Forensics – EXT2, EXT3, EXT4 Forensics • İşletim Sistemi Adli Bilimi (OS Forensics) – Windows Adli Bilimi (Windows Forensics) – Unix&Linux Adli Bilimi (Unix&Linux Forensics) – MacOSx Adli Bilimi (MacOSx Forensics) • Ağ Adli Bilimi (Network Forensics) • Mobil Cihaz Adli Bilimi (Mobile Forensics) • Kötü Yazılım Adli Bilimi (Malware Forensics) • Geçici Bellek Adli Bilimi (Memory Forensics)
  • 5. Suç veya Delil • Bilgisayar Sistemlerine Yetkisiz Erişim, • Sistemi Bozma, • Bilgisayar Sabotajı, • Bilgisayar Yoluyla Dolandırıcılık, • Bilgisayar Yoluyla Sahtecilik, • Bilgisayar Yazılımlarının İzinsiz Kullanımı, • Şirket İçi Yolsuzlukların Tespiti, • Boşanma Davalarında Eşlerin Aldatmasının İspatlanması, • Vb..
  • 6. Hukuki Açıdan Adli Bilişim TCK (Bilişim Suçları) • Madde243. - Yetkisiz Erişim - Sisteme Girme • Madde 244. - Verileri Engelleme, Bozma, Değiştirme, Yok etme. • Madde 245. - Kredi Kartı ve Banka’ya karşı işlenen suçlar . TCK (Bilişim Vasıtalı Suçlar) • Madde 124. - Haberleşmenin engellenmesi • Madde 125. - Hakaret • Madde 132. - Haberleşmenin Gizliliğini İhlal. • Madde 133. - Kişiler arası konuşmaların dinlenmesi ve kayda alınması. • Madde 135. - Kişisel verilerin kaydedilmesi. • Madde 136. - Verileri hukuka aykırı olarak verme veya ele geçirme • Madde 142. - Nitelikli Hırsızlık. • Madde 158. - Nitelikli Dolandırıcılık. • Madde 226. - Müstehcenlik. Fikir ve Sanat Eserleri Kanunu • Madde 71 - Manevi Haklara Tecavüz. • Madde 72 - Mali Haklara Tecavüz. • Madde 73 - Diğer Suçlar. Ceza Muhakemesi Kanunu • Madde 134. - Bilgisayarlarda, bilgisayar programlarında ve kütüklerinde arama, kopyalama ve el koyma.
  • 7. Dijital Delil (e-delil) Dijital/elektronik delil (e-delil), • Bir elektronik araç üzerinde saklanan veya bu araçlar aracılığıyla iletilen soruşturma açısından değeri olan bilgi ve verilerdir .
  • 8. Dijital Deliller (e-delil) • Fotoğraflar • Video görüntüleri • Office, Pdf vb. dosyalar • Çeşitli bilgisayar programları (hack programları) • İletişim kayıtları (SMS, Skype, Whatsapp, vb. kayıtları) • Gizli ve şifreli dosyalar • Dosyaların oluşturulma, değiştirilme ve erişim tarih kayıtları • Son girilen ve sık kullanılan internet siteleri • İnternet ortamından dosyalar • Silinmiş dosyalar • Haritalar / GPRS cihazları
  • 9. Dijital Delil Ortamları • Depolama – Sabit Disk (HDD) – Usb Flash – Hafıza Kartı – CD/DVD – Floppy – Telefon/SIM kart – Yazıcı – Modem – Oyun konsolu • Uçucu Veriler – RAM – Protokol, Port, IP – Sistem tarihi/saati – Kullanıcı adı, işlemler, açık/çalışan dosyalar – Pagefile.sys dosyası
  • 10. Dijital Delil Süreç Modeli 12 basamaklı Dijital Delil Araştırma Süreç Modeli (Casey 2004)
  • 11. Adli Bilişim Süreçleri/Safhaları • Olaya müdahale – Toplama (Collection) • Korumaya alma • Delil tespiti • Elde etme • Laboratuvar incelemesi – İnceleme (Examination) – Çözümleme (Analysis) – Raporlama (Reporting)
  • 12. Delil Toplamadan Önce.. • İncelenecek Bilgisayar Kapalı ise; – Fotoğrafı çekilir, kablolar işaretlenir, – Elektrik, Kesintisiz güç kaynağı, batarya kontrol edilip fişi çekilmelidir. (Bilgisayar Açılmamalıdır.) • İncelenecek Bilgisayar Açık ise; – Ekran görüntüsünün fotoğrafı çekilir, – Ram imajı alınmalı, – Uzak erişim engellenmeli, – Açıkta erişim, hesap, sosyal medya vb. var ise kontrol edilmeli, – Veri uçuculuğu sırasına göre inceleme yapılmalı
  • 13. Olay Yerinde YapılmaMAsı Gerekenler • Bilgisayarı çalıştırmak, veya bir uygulamayı Açmak/Kapatmak • Bilgisayarın sahibinden yardım istemek, • Virüs kontrolü yapmak, • Yazıcı çıktısı almaya çalışmak, • Delil nakliye önlemi almamak,
  • 14. Paketleme-Nakliye-Muhafaza • Isıya, • Rutubete, • Fiziksel şoklara, • Statik elektriğe, • Manyetik kaynaklara Duyarlı önlemlerle, veri bütünlüğünü bozmayacak şekilde, belgelendirip nakliyesi sağlanmalıdır.
  • 15. İnceleme (Tanımlama) • Adli kopya (İmaj Alma) işlemi sonrası orijinal veri/yapı üzerinde hiçbir işlem yapılmaz. • İmaj üzerinde incelemeler yapılır. • Disk yazma koruması yapılmalıdır. • Disk sürücülerinin (verilerin) bütünlüğünü tek yönlü veri akışı ile koruyup yazma engellenmelidir.
  • 16. Disk Yazma Koruma İşlemi • Disk ile arasında köprü vazifesi görür ve incelemede yazmaya engel olur. • Donanımsal • Yazılımsal
  • 17. İmaj Alma • Adli bilişimde yapılan birebir kopyalama işlemine imaj / adli kopya (forensic image) denilmektedir. • Düşük seviye bit bazında kopyalama yapılması gereklidir. • Silinmiş verilere de erişim imkanı sağlar. • İmajın birebir aynı olması Hash değeri ile korunur. (MD-5, SHA-1)
  • 18. Adli Kopya (İmaj Alma) • Donanımsal – TABLEAU- TD1, TD2 ve TD3 – Ditto – ATOLA – DEEPSPAR – ICS - SOLO 4 – LOGICUBE • Yazılımsal – Forensic Toolkit (FTK) – Safeback – (DOS) “dd” ,Linux “dd” – Encase – Forensic Replicator – PDA Seizure – Pdd (Palm dd, Windows, Free) – WinHex – Image (DOS) – SMART (Linux Redhat) – ByteBack (DOS) – Anadisk – ILook – Automated Image & Restore
  • 19. Çözümleme/Analiz • Mevcut Dosyaların Çıkarılması • Silinmiş Dosyaların Çıkarılması • Unallocated alandaki verilerin çıkarılması • İnternet Aktivitelerinin Tespit Edilmesi • Gizlenmiş Verilerin Bulunması • Şifreli ve Encrypted Dosyaların Çözülmesi • Stegonagrafi Uygulanmış Verilerin Tespiti • Geçici Dosyaların analizi • Swap Alanın İncelenmesi • Log İncelemeleri • Zararlı Kodların İncelenmesi • Kelime Arama İşlemleri • Sisteme Neler Kurulmuş ve Hangi • Donanımlar Takılı Olduğu
  • 20. Çözümleme/Analiz Yazılımları • ENCASE • FTK • Binalyze • XWAYS FORENSİC • FORENSIC EXPLORER • IEF • GET DATA • ACTIVE PARTITION RECOVERY • WINHEX • OXYGEN FORENSIC • CD/DVD INSPECTOR
  • 21. Çözümleme/Analiz Donanımları • Cellebrite • Salvation Data • Atola • Deepspar • PC3000
  • 22. Raporlama • Ayrıntılı olarak dijital delillerin nasıl elde edildiğine ilişkin teknik boyutu ve adli bilişimin hangi metotlarının kullanıldığı da anlaşılır bir dille belirtilmesi gerekmektedir . • Raporda araştırmanın yapıldığı zaman dilimi, incelenen elektronik deliller ve araştırma sonunda ele geçen bulgulara ilişkin bilgiler yer almalıdır.
  • 23. Anti-Forensic • Deliller üzerinde adli bilişim süreçlerinin başarılı olmaması için geliştirilen yöntemlerdir. – Dosya gizleme, – Dosya silme(geri dönüşsüz), – Dosya bozma, – Forensic uygulamasını devre dışı bıraktırma – Vb..
  • 24. Adli Bilişim Sertifikasyonları • EnCase Certified Examiner (ENCE) Guidance Software • Certified Forensic Computer Examiner (CFCE) • AccessData Certified Examiner (ACE)  • Certified Computer Examiner (CCE) • Computer Hacking Forensic Investigator (CHFI) • Certified Computer Crime Investigator (CCCI) • Certified Cyber Forensics Professional – (CCFP) • GIAC Certified Forensic Analyst and Examiner (GCFA & GCFE)
  • 25. Yazılım Hazırlık 1. VirtualBox (https://www.virtualbox.org/wiki/Downloads) 2. Vmware Workstation Player (https:// my.vmware.com/en/web/vmware/free#desktop_end_user_computing/v mware_workstation_player/15_0 ) 3. Kali Linux .iso (https://www.kali.org/downloads/)