Adli Bilişimde USB Cihazlarından Veri İnceleme: Temeller, Yöntemler ve Önemi
Günümüz dijital dünyasında, USB (Universal Serial Bus) cihazları günlük yaşantımızın ayrılmaz bir parçası haline gelmiştir. Flaş bellekler, harici diskler, akıllı telefonlar ve diğer birçok taşınabilir depolama birimi, kolaylıkları nedeniyle yaygın olarak kullanılmaktadır. Ancak bu kolaylık, aynı zamanda siber suçlar, veri hırsızlığı, fikri mülkiyet ihlalleri ve diğer yasa dışı faaliyetlerde önemli bir delil kaynağı olmalarına da yol açmaktadır. İşte bu noktada USB cihazlarından veri incelemesi (USB Forensics) adli bilişim süreçlerinin kritik bir bileşeni olarak karşımıza çıkar. Bu kapsamlı rehberde, USB cihazlarından veri incelemesinin neden önemli olduğunu, hangi izlerin bırakıldığını, kullanılan araçları ve genel metodolojileri detaylı bir şekilde ele alacağız.
Neden USB Cihazı İncelemesi Önemlidir?
Suçlular ve kötü niyetli aktörler, genellikle iz bırakmadan veri transferi yapmak veya zararlı yazılımları bulaştırmak için USB cihazlarını kullanır. Bir bilgisayara takılan her USB cihazı, işletim sisteminde belirli izler bırakır. Bu izler, cihazın ne zaman takıldığı, hangi kullanıcı tarafından kullanıldığı, cihazın seri numarası, üretici bilgileri ve hatta hangi dosyalara erişildiği gibi kritik bilgileri ortaya çıkarabilir. Bu veriler, bir olayın zaman çizelgesini oluşturmak, şüpheliyi belirlemek ve suçun nasıl işlendiğini anlamak için hayati öneme sahiptir. Adli bilişim uzmanları, bu dijital kalıntıları toplayarak ve analiz ederek, yasal süreçlerde kullanılabilecek somut deliller elde ederler.
USB Cihazlarının Bıraktığı Dijital İzler
Bir USB cihazı bir sisteme takıldığında veya kullanıldığında, işletim sistemi üzerinde çeşitli kalıcı izler bırakır. Bu izler, adli analiz için temel teşkil eder:
USB Veri İncelemesinde Kullanılan Araçlar ve Metodolojiler
USB cihazlarından veri incelemesi, özel araçlar ve titiz bir metodoloji gerektirir.
Adli Bilişim Araçları:
* Ticari Araçlar:
* Cellebrite UFED: Özellikle mobil cihazlar ve USB OTG (On-The-Go) bağlantıları üzerinden veri çekmek için kullanılır.
* EnCase: Kapsamlı bir adli bilişim platformu olup, USB cihazlarından elde edilen imajları analiz etme yeteneğine sahiptir.
* FTK (Forensic Toolkit): Bir başka popüler adli bilişim süiti, kayıt defteri analizi, dosya kurtarma ve zaman çizelgesi oluşturma gibi konularda güçlüdür.
* Açık Kaynak ve Ücretsiz Araçlar:
* Autopsy: Sleuth Kit üzerine kurulu açık kaynaklı bir adli bilişim platformudur. LNK dosyaları, kayıt defteri ve diğer artefaktları analiz etmek için eklentilere sahiptir.
* USBDeview (NirSoft): Sistemde daha önce takılmış tüm USB cihazlarını listeler ve bilgilerini gösterir (seri numarası, takılma zamanı vb.).
* RegRipper: Kayıt defteri kovanlarını ayrıştırmak ve USB ile ilgili anahtarlardan bilgi çıkarmak için tasarlanmış bir araç.
* SIFT Workstation: Sanal bir makine üzerinde önceden yapılandırılmış birçok adli bilişim aracını içeren bir Linux dağıtımıdır.
Metodoloji:
1. Hazırlık ve Koruma:
* Delil bütünlüğünün korunması esastır. Yazma engelleyici (write-blocker) kullanarak şüpheli diskin veya belleğin üzerine veri yazılmasını önlemek ilk adımdır.
* Gerekli araç ve ekipmanların hazır bulundurulması.
2. Edinme (Acquisition):
* Fiziksel edinme: USB cihazının bit-stream (bire bir) imajının alınması. Bu, cihazdaki tüm sektörlerin kopyalanması anlamına gelir ve silinen verilerin kurtarılmasına olanak tanır.
* Mantıksal edinme: Sadece belirli dosyaların veya klasörlerin kopyalanması. USB cihazdan ziyade, cihaza erişilen bilgisayarın ilgili kayıt defteri kovanları, olay günlükleri gibi artefakt dosyalarının alınması.
3. Analiz:
* Kayıt Defteri Analizi: Yukardaki anahtarlar incelenerek USB cihazının takılma zamanı, seri numarası, son bağlantı zamanı gibi bilgiler elde edilir.
* Dosya Sistemi Analizi: MFT ve diğer dosya sistemi yapıları incelenerek silinmiş dosyalar, erişim zaman damgaları ve dosya adları kurtarılmaya çalışılır.
* Zaman Çizelgesi Oluşturma: Tüm elde edilen zaman damgaları (dosya oluşturma, erişim, değiştirme, kayıt defteri girişleri, olay günlükleri) birleştirilerek olayın kronolojik akışı oluşturulur.
* Anahtar Kelime Araması: Şüpheliye veya olaya özgü anahtar kelimelerle arama yapılarak ilgili dosya veya bilgiler hızlıca tespit edilir.
* Artefakt Analizi: LNK dosyaları, Jump Listler, Shellbags ve diğer kullanıcı artefaktları incelenerek kullanıcının USB cihazıyla olan etkileşimleri belirlenir.
4. Raporlama:
* Elde edilen tüm bulgular, analiz yöntemleri ve kullanılan araçlar detaylı ve anlaşılır bir rapor halinde sunulur. Rapor, yasal süreçlerde delil olarak kullanılabilir olmalıdır.
Karşılaşılan Zorluklar ve Gelecek Trendleri
USB cihazlarından veri incelemesi, çeşitli zorluklar barındırabilir. Bunlar arasında şifrelenmiş USB cihazları, anti-forensics tekniklerinin kullanımı (veri silme yazılımları, USB yazma korumaları), büyük veri hacimleri ve bulut tabanlı senkronizasyon araçları sayılabilir. Gelecekte, daha akıllı ve entegre adli bilişim araçları ile yapay zeka destekli analiz sistemleri, bu zorlukların üstesinden gelmeye yardımcı olacaktır. Ayrıca, farklı işletim sistemleri (Linux, macOS) üzerindeki USB izlerinin incelenmesi de giderek önem kazanmaktadır.
Sonuç
USB cihazlarından elde edilen dijital deliller, modern adli bilişim soruşturmalarında son derece kritik bir rol oynamaktadır. Bilgisayara bağlanan her USB cihazının bıraktığı benzersiz izler, suçluların faaliyetlerini ortaya çıkarmak ve adli süreçlerde somut kanıtlar sunmak için paha biçilmez bilgiler sağlar. Adli bilişim uzmanlarının, bu izleri doğru bir şekilde toplama, analiz etme ve raporlama yeteneği, dijital suçlarla mücadelede temel bir beceridir. Bu alandaki sürekli eğitim ve güncel araçların kullanımı, soruşturmaların başarısı için hayati öneme sahiptir.
Günümüz dijital dünyasında, USB (Universal Serial Bus) cihazları günlük yaşantımızın ayrılmaz bir parçası haline gelmiştir. Flaş bellekler, harici diskler, akıllı telefonlar ve diğer birçok taşınabilir depolama birimi, kolaylıkları nedeniyle yaygın olarak kullanılmaktadır. Ancak bu kolaylık, aynı zamanda siber suçlar, veri hırsızlığı, fikri mülkiyet ihlalleri ve diğer yasa dışı faaliyetlerde önemli bir delil kaynağı olmalarına da yol açmaktadır. İşte bu noktada USB cihazlarından veri incelemesi (USB Forensics) adli bilişim süreçlerinin kritik bir bileşeni olarak karşımıza çıkar. Bu kapsamlı rehberde, USB cihazlarından veri incelemesinin neden önemli olduğunu, hangi izlerin bırakıldığını, kullanılan araçları ve genel metodolojileri detaylı bir şekilde ele alacağız.
Neden USB Cihazı İncelemesi Önemlidir?
Suçlular ve kötü niyetli aktörler, genellikle iz bırakmadan veri transferi yapmak veya zararlı yazılımları bulaştırmak için USB cihazlarını kullanır. Bir bilgisayara takılan her USB cihazı, işletim sisteminde belirli izler bırakır. Bu izler, cihazın ne zaman takıldığı, hangi kullanıcı tarafından kullanıldığı, cihazın seri numarası, üretici bilgileri ve hatta hangi dosyalara erişildiği gibi kritik bilgileri ortaya çıkarabilir. Bu veriler, bir olayın zaman çizelgesini oluşturmak, şüpheliyi belirlemek ve suçun nasıl işlendiğini anlamak için hayati öneme sahiptir. Adli bilişim uzmanları, bu dijital kalıntıları toplayarak ve analiz ederek, yasal süreçlerde kullanılabilecek somut deliller elde ederler.
USB Cihazlarının Bıraktığı Dijital İzler
Bir USB cihazı bir sisteme takıldığında veya kullanıldığında, işletim sistemi üzerinde çeşitli kalıcı izler bırakır. Bu izler, adli analiz için temel teşkil eder:
- Windows Kayıt Defteri (Registry) Kayıtları: En zengin bilgi kaynaklarından biridir.
-
: Takılan USB depolama cihazlarının seri numaraları, üretici ve ürün kimlikleri gibi benzersiz tanımlayıcılarını içerir. Bu anahtar altında, cihazın ilk ne zaman takıldığına dair bilgiler bulunabilir.Kod:
HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR -
: USB kontrolörleri ve hub'lar hakkında bilgiler.Kod:
HKLM\SYSTEM\CurrentControlSet\Enum\USB -
: Cihazın sisteme takıldığında aldığı sürücü harfi ve benzersiz kimliği.Kod:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 -
: Son kullanılan USB cihazlarının listesi (Windows XP/Vista).Kod:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\USBMRU -
: Çalıştır penceresi aracılığıyla doğrudan USB cihazından çalıştırılan uygulamaların izleri.Kod:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU - LNK (Kısayol) Dosyaları: Bir USB cihazındaki dosyalara erişildiğinde veya bunlar kopyalandığında, sistemde otomatik olarak kısayol dosyaları oluşturulabilir. Bu dosyalar, orijinal dosyanın konumu, erişim zamanı ve boyut gibi meta veriler içerir.
- Jump Listler: Windows 7 ve sonraki sürümlerde, kullanıcıların sık kullandığı veya son eriştiği dosya ve uygulamaları hızlıca açmalarını sağlayan Jump Listler bulunur. USB cihazlarından açılan dosyalar da bu listelerde yer alabilir.
- Geri Dönüşüm Kutusu (Recycle Bin): USB cihazından silinen dosyalar doğrudan cihaza ait geri dönüşüm kutusuna değil, ilgili sistemdeki kullanıcıya ait geri dönüşüm kutusuna taşınabilir. Bu da silinen dosyalara ulaşmak için önemli bir kaynak olabilir.
- Olay Günlükleri (Event Logs): Windows olay günlükleri, USB cihaz bağlantısı, sürücü kurulumu ve dosya erişimi gibi olayları kaydedebilir.
-
: Cihazın ilk bağlantı zamanı, seri numarası gibi bilgiler.Kod:
Microsoft-Windows-DriverFrameworks-UserMode/Operational -
: Takılan ve çıkarılan donanımlar hakkında genel bilgiler (Event ID 20001, 20003, 10000, 10001).Kod:
System Event Log - Shellbags: Kullanıcının bir klasörün görünüm ayarlarını (örneğin, ikon boyutu, sütun düzeni) kaydettiği yerlerdir. USB cihazlarındaki klasörlerin Shellbag kayıtları, hangi klasörlere erişildiğini gösterebilir.
- Master File Table (MFT): NTFS dosya sistemlerinde, her dosya ve klasör için MFT’de bir kayıt tutulur. USB cihazdan kopyalanan veya oluşturulan dosyaların MFT kayıtları, dosya isimleri, boyutları ve zaman damgaları hakkında bilgi sağlayabilir.
USB Veri İncelemesinde Kullanılan Araçlar ve Metodolojiler
USB cihazlarından veri incelemesi, özel araçlar ve titiz bir metodoloji gerektirir.
Adli Bilişim Araçları:
* Ticari Araçlar:
* Cellebrite UFED: Özellikle mobil cihazlar ve USB OTG (On-The-Go) bağlantıları üzerinden veri çekmek için kullanılır.
* EnCase: Kapsamlı bir adli bilişim platformu olup, USB cihazlarından elde edilen imajları analiz etme yeteneğine sahiptir.
* FTK (Forensic Toolkit): Bir başka popüler adli bilişim süiti, kayıt defteri analizi, dosya kurtarma ve zaman çizelgesi oluşturma gibi konularda güçlüdür.
* Açık Kaynak ve Ücretsiz Araçlar:
* Autopsy: Sleuth Kit üzerine kurulu açık kaynaklı bir adli bilişim platformudur. LNK dosyaları, kayıt defteri ve diğer artefaktları analiz etmek için eklentilere sahiptir.
* USBDeview (NirSoft): Sistemde daha önce takılmış tüm USB cihazlarını listeler ve bilgilerini gösterir (seri numarası, takılma zamanı vb.).
* RegRipper: Kayıt defteri kovanlarını ayrıştırmak ve USB ile ilgili anahtarlardan bilgi çıkarmak için tasarlanmış bir araç.
* SIFT Workstation: Sanal bir makine üzerinde önceden yapılandırılmış birçok adli bilişim aracını içeren bir Linux dağıtımıdır.
Metodoloji:
1. Hazırlık ve Koruma:
* Delil bütünlüğünün korunması esastır. Yazma engelleyici (write-blocker) kullanarak şüpheli diskin veya belleğin üzerine veri yazılmasını önlemek ilk adımdır.
* Gerekli araç ve ekipmanların hazır bulundurulması.
2. Edinme (Acquisition):
* Fiziksel edinme: USB cihazının bit-stream (bire bir) imajının alınması. Bu, cihazdaki tüm sektörlerin kopyalanması anlamına gelir ve silinen verilerin kurtarılmasına olanak tanır.
* Mantıksal edinme: Sadece belirli dosyaların veya klasörlerin kopyalanması. USB cihazdan ziyade, cihaza erişilen bilgisayarın ilgili kayıt defteri kovanları, olay günlükleri gibi artefakt dosyalarının alınması.
3. Analiz:
* Kayıt Defteri Analizi: Yukardaki anahtarlar incelenerek USB cihazının takılma zamanı, seri numarası, son bağlantı zamanı gibi bilgiler elde edilir.
* Dosya Sistemi Analizi: MFT ve diğer dosya sistemi yapıları incelenerek silinmiş dosyalar, erişim zaman damgaları ve dosya adları kurtarılmaya çalışılır.
* Zaman Çizelgesi Oluşturma: Tüm elde edilen zaman damgaları (dosya oluşturma, erişim, değiştirme, kayıt defteri girişleri, olay günlükleri) birleştirilerek olayın kronolojik akışı oluşturulur.
* Anahtar Kelime Araması: Şüpheliye veya olaya özgü anahtar kelimelerle arama yapılarak ilgili dosya veya bilgiler hızlıca tespit edilir.
* Artefakt Analizi: LNK dosyaları, Jump Listler, Shellbags ve diğer kullanıcı artefaktları incelenerek kullanıcının USB cihazıyla olan etkileşimleri belirlenir.
4. Raporlama:
* Elde edilen tüm bulgular, analiz yöntemleri ve kullanılan araçlar detaylı ve anlaşılır bir rapor halinde sunulur. Rapor, yasal süreçlerde delil olarak kullanılabilir olmalıdır.
Karşılaşılan Zorluklar ve Gelecek Trendleri
USB cihazlarından veri incelemesi, çeşitli zorluklar barındırabilir. Bunlar arasında şifrelenmiş USB cihazları, anti-forensics tekniklerinin kullanımı (veri silme yazılımları, USB yazma korumaları), büyük veri hacimleri ve bulut tabanlı senkronizasyon araçları sayılabilir. Gelecekte, daha akıllı ve entegre adli bilişim araçları ile yapay zeka destekli analiz sistemleri, bu zorlukların üstesinden gelmeye yardımcı olacaktır. Ayrıca, farklı işletim sistemleri (Linux, macOS) üzerindeki USB izlerinin incelenmesi de giderek önem kazanmaktadır.
Sonuç
USB cihazlarından elde edilen dijital deliller, modern adli bilişim soruşturmalarında son derece kritik bir rol oynamaktadır. Bilgisayara bağlanan her USB cihazının bıraktığı benzersiz izler, suçluların faaliyetlerini ortaya çıkarmak ve adli süreçlerde somut kanıtlar sunmak için paha biçilmez bilgiler sağlar. Adli bilişim uzmanlarının, bu izleri doğru bir şekilde toplama, analiz etme ve raporlama yeteneği, dijital suçlarla mücadelede temel bir beceridir. Bu alandaki sürekli eğitim ve güncel araçların kullanımı, soruşturmaların başarısı için hayati öneme sahiptir.
