Linux For Hackers - Linux'ta Adli Bilişim #1

  • Konbuyu başlatan Konbuyu başlatan İlker
  • Başlangıç tarihi Başlangıç tarihi

İlker

Community Leader
Admin
Katılım
21 Ocak 2024
Mesajlar
59
Tepkime puanı
32
Puanları
18

Tanım

Adli Bilişim, bilgisayar bilimi veya siber adli bilişim olarak da bilinen legal ve illegal verilerin doğrulama, toplama, analiz ve sunumuyla ilgilenen bilimdir.

Adli Bilişim, aşağıdaki aralığa tabi şeyleri ve daha fazlasını içerir:

  1. Siber Güvenlik Vakaları: Adli Bilişim, veri sızıntıları, malware saldırıları ve yetkisiz erişim gibi konularda son derece kritik bir soruşturma ve yatıştırma rolünü haizdir. Bu sayede saldırının kaynağının tanımlanması, saldırının boyutu ve yöntemlerin tasnifinde yardımcı olur.
  2. Ceza Soruşturmaları: Kolluk kuvvetleri, kriminal vakalarda adli bilişimi verilerin toplanması ve analizi için kullanırlar. Bu safhadan önce bilgisayarların, telefonların, harddisklerin veya network kayıtlarının olası bir hırsızlığa veyahut başka bir 3. kişi müdahalesinden arındırılıp inceleme yapılmasına bağlıdır.
  3. Davalarda: Hukuki uyuşmazlıklarda (davalarda), adli bilişim ilgili verilerin toplanmasına olanak tanır. Bu, dijital haberleşmenin, verilerin cihazlarda analiz edilmesinin veya dijital hadiselerin yapboz gibi yeniden yapılıp tekrar analiz edilmesine imkan sağlar.
  4. Tüzel Kişilerin Soruşturmalarında: Tüzel Kişiler kendi içlerindeki yetkisiz erişim, veri sızıntıları, fikri mülkiyet hırsızlıkları (ihlalleri) veya bunun gibi olaylarda adli bilişimden yararlanırlar. Veriler toplanır ve analiz edilir, bu sayede de aksiyon alınabilir.

Adli Bilişimin Siber Güvenlikteki Önemi​

  • Siber güvenlik hadiselerinin tanımlanması ve soruşturulması: Bu şekilde saldırıların mantığını, işin özünü ve tehdit aktörlerinin taktiklerini ortaya çıkarmaya yarar. Böylece önleme ve durdurmaya da yardımcı olmaktadır.
  • Kovuşturma için Bilgi toplama: Adli bilişim, soruşturma ve kovuşturma aşamasında suçluların suçunun sabit görülmesine yardımcı olacak delillerin de toplanmasına olanak sağlar.
  • Önleme ve Kurtarma: Olayların kökünün anlaşılması, tehditleri yok etme ve sistemi kurtarma ve saldırının etkilerini minimize etmeye yarar.
  • Siber Güvenlik Duruşunu Artırma: Bu şekilde güvenlik kontrolleri artacak, önleme planları geliştirilecek ve personellerin de bu konuda eğitilmesi sağlanmış olacaktır.

Adli Bilişimin Olmazsa Olmazları

Locard'ın Exchange Prensibi


Bu prensibe göre "her temas iz bırakır."
Bu prensip, adli bilişimin tüm alanlarında, sisteme eriştikten, düzenleme yaptıktan sonra muhakkak iz bırakılacağı yönündedir.
Araştırmacılar, bu prensibi kullanarak kullanıcının arkasında bıraktığı dijital kanıtları tanımlamak, toplamak ve analiz etmek için kullanmaktadırlar.

Delillerin Korunması

Bu prensibe göre araştırmacılar delilleri olduğu gibi muhafaza edecek yöntemler kullanmalıdırlar.


Delil Zinciri​


Delil zinciri prensibi, delillerin kontrol edilme, toplanma, işlenme vb. aşamalarına ait dijital kayıt tutulmasını gerektiren bir prensiptir. Olası bir terslikte bu raporlara göre aksiyon alınıp gerekli müdahale yapılabilir bu şekilde.

Doğruluk ve Geçerlilik

Doğrulanmış yöntemler ve araçlar kullanmak adli bilişim soruşturmalarında ekseriyetle güvenilir sonuçlar alınmasını sağlayacaktır.

Bütünlük

Dijital kaynakların kapsamlı bir şekilde incelemesi, ilgili tüm kanıtları ortaya çıkarır ve soruşturmada hiçbir boşluk bırakmaz.

Objektiflik ve Tarafsızlık

Soruşturmalar kişisel kanaatlara dayanmaktansa objektif yöntemlere dayanıldığında daha verimli sonuçlar verecektir.

Adli Bilişim Soruşturma Evreleri

  • Bilişim Suçu Soruşturmaları: Siber suçlarda delillerin toplanması ve tanımlanmasıdır.
  • Veri sızıntıları soruşturmaları: Veri sızıntısına yol açan yetkisiz erişimin nereden kaynaklandığının analiz edilmesidir.
  • Dahili Sızıntı soruşturmaları: İşçiler tarafından ihlalin veya sızıntının nereden kaynaklandığının tespit edileceği soruşturma türü.
  • Mobil Cihazların Soruşturmaları: Akıllı telefonlarda ve diğer mobil cihazlarda depolanan verilerin analiz edileceği soruşturma tipidir.
Adli Bilişim Süreci
1686912083-759043-process-roadmap-diagram-infographic-graph.png


  1. Tanımlama ve Planlama: Araştırmacılar burada olayın tipini, sistemi, ilgili cihazları ve olayla alakalı potansiyel kaynakları tanımlamaya çalışırlar.
  2. Delil elde etme: araştırmacılar, adli bilişim yöntemleri kullanarak delil elde etmeye çalışırlar. Bu, adli bilişimle alakalı yedekler, saklama alanının (hard disk veya mobil cihazlar) imajlarını içerir.
  3. Analiz ve İnceleme: Araştırmacılar, dijital kanıtların özetleri çıkartmak ve analiz etmek için analiz ederler. Veri elde etmek, silinenleri geri getirmek, gizli olanları çıkartmak ve bilgiyi yorumlamak içinli çeşitli adli bilişim araçları ve teknikleri kullanırlar.
  4. Veri kurtarma: Veri kurtarma aşamasında silinebilecek/silinmiş, hasar görmüş veya şifrelenmiş dosyalar kurtarılmaya çalışılır.
  5. Veriyi yorumlama: Analiz bir kere tamamlandıktan sonra araştırmacılar bir nevi zihin haritası gibi çeşitli yollarla veriyi yorumlamaya çalışır. Kanıtları ilişkilendirir, zaman çizelgeleri oluştururlar ve buna göre yöntem belirlerler.
  6. Raporlama ve Sunum: Araştırmacılar, detaylı raporu bulduklarıyla, yöntemleriyle ve sonucuyula beraber hazırlarlar.

🐧
İmaj Alma ve Veri Elde Etme

İmaj alma ve veri toplama adli bilişim soruşturmalarında ana safhalardan biridir. Bu aşama imaj ve kopyasını alma veya saklama alanlarının imajını alıp bunları muhafaza etmeyi ve analiz etmeyi içerir.

Linux, imaj almak için çeşitli yöntemle sunuyor, bunlardan bazıları:

📌
dd Kullanımı​

dd'yi diski kopyalamak için kullanıyoruz.

DD, bit-by-bit kopyaları veya sosyal medya imajları alınmasına yarayan komut satırı aracıdır.

dd if=/dev/sda of=image.dd bs=512 conv=noerror,sync

2.png


if : Input dosyası
of : Output dosyası
bs : block boyutu
conv : Kopyalama esnasında yapılabilecek dönüşümleri ifade eder.

📌
dcfldd Kullanımı​

dcfldd, oldukça etkili olan imaj alma ve veri toplama amacıyla kullanılan araçtır. dd'nin geliştirilmiş ve farklı özelliklerini sağlayan bir varyasyonudur.

Komut:

dcfldd [options] if=<input_file> of=<output_file>

dcfldd, farklı özelliklerini kullanmamız için opsiyonlar sunuyor. Bazıları:
  • bs=<block_size>: Veriyi okuma ve yazma için blok boyutunu düzenleme. (Örnek: bs=4k)
  • hash=md5, sha1, sha256: Veri bütünlüğü için kopyalama sırasında hashingi aktif etme ve kontrol noktaları oluşturma.
  • count=<num_blocks>: Kopyalamak için blok numalarını düzenleme.
  • statusinterval=<interval>: Güncelleme durumu için zaman aralığını düzenleme.
  • iflag=<input_flags>: sync, noerror, direct gibi input flaglerini düzenleme.
  • oflag=<output_flags>: iflag gibi çıktı flaglarini düzenleme.
3.png


Hash değerlerinin hesaplanması için hash algoritmaları kullanılır.

4.png


adli bilişimle alakalı kısa bir başlangıç yaptık, teoride ne olduğunu ve süreçleri az da olsa kavradık. ilerleyen konularda farklı araçları kullanmaya devam edeceğiz ve işin daha da pratik boyutunu ele almış olacağız. Okuduğunuz için teşekkürler!
 
Geri
Üst