Adli Incelemeye Giriş
Dijital Adli Soruşturmanın ilk adımı bir güvenlik olayının tespit edilmesidir. İlk Müdahale Ekipleri bir olayın gerçekleştiğini doğrular. Daha sonra görevleri arasında Dijital Kanıtın Tespit Edilmesi, Dijital Kanıtın elde edilmesi, muhafaza edilmesi ve DFIR ekibine iletilmesi yer alır.
Bu süreçteki ilk fiziksel adım Elektronik Cihazlardan Dijital Delillerin Elde Edilmesidir. Fiziksel delillerin aksine, dijital delillerin elde edilmesi ve korunması çok hassas bir iştir. Dijital cihazlarda bulunan veriler son derece değişkendir ve küçük bir dikkatsizlikle bile kaybolabilir. Dijital Delillerin elde edilmesi gerektiğinde İlk Müdahale Ekiplerinin işi son derece kritik hale gelir. Bu tür verileri elde etmek için Adli Görüntüleme yapılmalıdır.
Adli Görüntüleme, elektronik cihazlardan mahkemede usulüne uygun olarak kabul edilebilir dijital kanıtlar elde etmek için evrensel olarak kabul edilebilir yöntemlerden oluşur. Adli imaj, dijital kanıtın hem fiziksel hem de mantıksal olarak gerçek kanıta benzeyen ve kanıt cihazında bulunan hem tahsis edilmiş hem de tahsis edilmemiş verilerden oluşan bir bit akışı kopyasından oluşur.Bu, veri bütünlüğünü korumak ve orijinal verilerin kasıtlı veya kasıtsız bir şekilde değiştirilmediğini doğrulamak için yapılır. Bu bütünlüğü daha da doğrulamak için orijinal kanıt dosyasının ve oluşturduğumuz adli bit akışı kopyasının hash'ini hesaplarız.
Veri bütünlüğünü korumak için elde etme işlemi her zaman bir profesyonel tarafından yapılmalı ve orijinal kanıt asla soruşturmada kullanılmamalıdır.
Gerçek Adli Soruşturmalarda, profesyoneller görüntüleme işlemi yapılırken herhangi bir verinin yazılmasını engelleyen donanım yazma engelleyicisi kullanırlar. Bizim derdimiz öğrenmek olduğu ve adli olarak sağlam bir soruşturma yürütmek olmadığı için, dijital kanıt elde ederken yazma engelleyici kullanmayacağız. Hazırsanız adli imaj alma işlemine geçelim.
Cihazların Tanımlanması
İlk adım, dijital cihazın görüntünün alınacağı sisteme bağlanmasını içerir. Kanıt cihazı sisteme bağlanırken, görüntüleme işlemi sırasında yazma işlemlerini önlemek için bir yazma engelleyici kullanılmalıdır. Ancak bu yazıda bu konuyu ele almayacağız. Bu eğitim için 4GB Kingston Data Traveller Disk kullanıyoruz. Takip etmek için USB belleğinizi sisteminize bağlayın. Kanıt aygıtını taktıktan sonra, onu sistemde tanımlamalıyız. Bu Linux fdisk komutu ile yapılabilir.
sudo fdisk -l
- /dev, Linux tarafından tanınan, okunabilen veya yazılabilen tüm aygıtların ve sürücülerin yoludur.
- sda: Sürücü 0 ya da tanınan ilk sürücü
- sdb: İkinci sürücü.
Görüntü Dosyasının Hash'i
Veri bütünlüğünü korumak ve orijinal kanıt aygıtının görünür ya da görünmeyen herhangi bir şekilde kurcalanmadığını kanıtlamak için hash işlemi yapılmalıdır. Linux'ta dosyalar ve hatta cihazlar için hash'leri kolayca hesaplayabiliriz. Bu işlem terminalde aşağıdaki komutlarla kolayca yapılabilir:
md5sum <file> #file depolama ortamının konumudur
sha1sum <file> #diğer hash'ler de aynı şekilde kullanılabilir
Dijital kanıt elde ederken iyi bir hash algoritması kullanmanın da gerekli olduğunu unutmamak önemlidir. Genellikle md5 ve sha1 evrensel olarak kabul edilebilir algoritmalar olduğu için kullanılır. Lütfen disk görüntülerinin hash'ini hesaplamanın zaman alan bir işlem olduğunu unutmayın, eğer takılırsa terminali kapatmayın. Disk görüntülerinin hash'ini üretmek ciddi miktarda zaman alır.
Hash hesaplandıktan sonra, bütünlüğü korumak ve gerektiğinde ileride başvurmak için bir çıktı dosyasına kaydedilmelidir.
dc3dd ile Adli Görüntü Elde Etme
dc3dd, elektronik cihazlardan adli olarak sağlıklı görüntüler elde etmek için yaygın olarak kullanılan popüler GNU aracı "dd "nin yamalı bir sürümüdür. İşte bir cihazdan adli görüntü elde etmek için sözdizimi:
dc3dd if=input_file hash=hash_format of=output_file.dd log=logfile
Syntax Dağılımı:
- if: Girdi dosyası. Bu, bir görüntü dosyası oluşturmak için girdiyi okumak istediğimiz cihazdır.
- hash: Kullanmak istediğimiz hash algoritması. Bu, daha önce bilgisayarda kullandığımız hash ile aynı olmalıdır.
- log: Varsa hatalar da dahil olmak üzere günlük çıktısının kaydedileceği günlük dosyası.
- of: dc3dd tarafından oluşturulan adli görüntünün çıktı dosya adı. Bu örnekte .dd görüntü dosyası türü belirtilmiş olsa da, .img dahil olmak üzere diğer biçimler de dc3dd tarafından tanınır
Görüntü Dosyalarını Bölme
Az önce dc3dd'nin dijital kanıtların bit akış kopyalarını oluşturmak için nasıl kullanılabileceğinin hızlı bir gösterimini gördük. Gerçek olaylarda, dijital kanıt cihazı çok daha büyük bir depolama alanına sahiptir. Delilin yönetilebilirliği ve taşınabilirliği göz önünde bulundurulduğunda tek bir görüntü dosyası oluşturmak uygun değildir. İşte bu noktada dc3dd'nin gücü devreye girer. dc3dd görüntü dosyalarını oluştururken onları bölebilir. Görüntü dosyasını bölmek için gerekli komut dizimi aşağıdaki gibidir:
dc3dd if=input_file hash=hash_format ofsz=1G ofs=output.dd.000 log=logile
Syntax Dağılımı:
- ofsz: Her bir çıktı dosyasının boyutunu belirtir.
- ofs: Çıktı dosyalarını, tipik olarak .000, .001, .002 ve benzeri sayısal dosya uzantılarıyla belirtir.
Bu örnekte, ofsz değerini 1G, yani 1 Gigabayt olarak belirledik. Çıktı dosyası 1 GB'lık 4 parçaya bölünmüştür:
Bu bölünmüş görüntülerin tek hash'i aşağıdaki komutla doğrulanabilir:
cat split.dd.* | sha1sum
cat split.dd.* | md5sum