Mobil Cihaz Adli Bilişiminde Delil Toplama: Kapsamlı Bir Rehber
Günümüz dünyasında mobil cihazlar, kişisel ve profesyonel hayatımızın vazgeçilmez bir parçası haline gelmiştir. Akıllı telefonlar, tabletler ve diğer taşınabilir cihazlar, mesajlaşmalardan e-postalara, konum bilgilerinden sosyal medya etkileşimlerine kadar sayısız veri barındırmaktadır. Bu veriler, siber suçlar, dolandırıcılık, terörizm veya diğer adli olaylarda kritik öneme sahip deliller içerebilir. Mobil adli bilişim, bu tür olaylarda mobil cihazlardan yasal olarak kabul edilebilir dijital delillerin toplanması, korunması, analizi ve raporlanması süreçlerini kapsayan bilimsel bir disiplindir.
Mobil Cihazlarda Delil Niteliği Taşıyan Veriler
Mobil cihazlar, adli soruşturmalar için zengin bir veri kaynağıdır. Bu veriler genellikle şunları içerir:
Delil Toplama Süreci Aşamaları
Mobil cihazlardan delil toplama süreci, belirli adımları içeren titiz bir prosedürdür. Bu adımlar, delillerin bütünlüğünü ve kabul edilebilirliğini sağlamak için hayati öneme sahiptir:
Edinim Yöntemleri
Delil edinimi, mobil adli bilişimin en kritik aşamalarından biridir ve farklı yöntemleri kapsar:
Karşılaşılan Zorluklar
Mobil adli bilişim, kendine özgü bir dizi zorlukla karşılaşmaktadır:
Zincirleme Delil Bütünlüğü (Chain of Custody)
Mobil cihazlardan elde edilen delillerin mahkemede geçerli sayılabilmesi için, zincirleme delil bütünlüğünün[/u (chain of custody) bozulmadan sağlanması hayati öneme sahiptir. Bu, delilin olay yerinden alınıp analiz sürecinden geçirilerek rapora dönüştürülmesine kadar geçen tüm aşamalarda, kimin, ne zaman, hangi işlemi yaptığının ve delilin nasıl saklandığının eksiksiz bir şekilde belgelenmesi anlamına gelir. Herhangi bir aşamada delile yetkisiz erişim veya manipülasyon şüphesi, delilin mahkemede değerini kaybetmesine neden olabilir. Bu nedenle, tüm adımlar dikkatlice loglanır ve imzalı tutanaklarla kayıt altına alınır.
Örnek Bir Senaryo
Sonuç
Mobil cihazlardan delil toplama, dijital çağın karmaşık suçlarını aydınlatmak için vazgeçilmez bir disiplindir. Sürekli gelişen teknoloji, bu alandaki uzmanların bilgi ve becerilerini sürekli güncel tutmalarını gerektirmektedir. Doğru teknikler, uygun araçlar ve sıkı yasal prosedürlere uyum, elde edilen delillerin güvenilirliğini ve mahkemede kabul edilebilirliğini garanti altına alır. Mobil adli bilişim, adalet sisteminin dijital dünyaya uyum sağlamasında kritik bir rol oynamaya devam edecektir. Bu alandaki yatırımlar ve uzmanlaşma, dijital suçlarla mücadelede temel bir gerekliliktir.
Günümüz dünyasında mobil cihazlar, kişisel ve profesyonel hayatımızın vazgeçilmez bir parçası haline gelmiştir. Akıllı telefonlar, tabletler ve diğer taşınabilir cihazlar, mesajlaşmalardan e-postalara, konum bilgilerinden sosyal medya etkileşimlerine kadar sayısız veri barındırmaktadır. Bu veriler, siber suçlar, dolandırıcılık, terörizm veya diğer adli olaylarda kritik öneme sahip deliller içerebilir. Mobil adli bilişim, bu tür olaylarda mobil cihazlardan yasal olarak kabul edilebilir dijital delillerin toplanması, korunması, analizi ve raporlanması süreçlerini kapsayan bilimsel bir disiplindir.
Mobil Cihazlarda Delil Niteliği Taşıyan Veriler
Mobil cihazlar, adli soruşturmalar için zengin bir veri kaynağıdır. Bu veriler genellikle şunları içerir:
- İletişim Kayıtları: Arama geçmişi, gelen/giden SMS/MMS mesajları, WhatsApp, Telegram gibi anlık mesajlaşma uygulamalarındaki sohbetler.
- Medya Dosyaları: Fotoğraflar, videolar, ses kayıtları.
- Konum Bilgileri: GPS verileri, Wi-Fi ağ bağlantıları, baz istasyonu üçgenlemesi ile elde edilen konum geçmişleri.
- İnternet Geçmişi: Ziyaret edilen web siteleri, tarayıcı çerezleri, indirme geçmişi.
- Uygulama Verileri: Yüklü uygulamaların verileri, kullanıcı verileri, önbellek dosyaları.
- E-postalar ve Takvim Kayıtları: Senkronize edilmiş e-posta hesapları, takvim girişleri ve notlar.
- Sistem Logları: Cihazın açılıp kapanma zamanları, uygulama crash logları, sistem hataları.
- Silinmiş Veriler: Kullanıcı tarafından silindiği düşünülen ancak cihazın belleğinde hala bulunabilen veriler.
Delil Toplama Süreci Aşamaları
Mobil cihazlardan delil toplama süreci, belirli adımları içeren titiz bir prosedürdür. Bu adımlar, delillerin bütünlüğünü ve kabul edilebilirliğini sağlamak için hayati öneme sahiptir:
- Hazırlık ve Olay Yerine Müdahale: Adli bilişim uzmanları, cihazın açma/kapama durumuna göre farklı protokoller uygular. Cihazın açık olması durumunda, güç kaynağı kesilmeden ve kablosuz ağlardan (Wi-Fi, Bluetooth, Hücresel) izole edilerek (örneğin, Faraday kafesi veya uçak modu ile) veri kaybı veya uzaktan müdahale riski minimize edilir. Cihaz kapalıysa, veri bütünlüğünü sağlamak için mümkünse açılmamalıdır. Her iki durumda da, cihazın konumu, fiziksel durumu ve diğer tüm ilgili bilgiler detaylıca belgelenir.
- Delil Edinimi (Acquisition): Bu aşama, mobil cihazdaki verilerin birebir kopyasının güvenli bir şekilde alınmasını içerir. Edinme yöntemleri, cihazın türüne, işletim sistemine ve erişim düzeyine göre değişir. Edinilen verinin orijinaliyle aynı olduğunu kanıtlamak için kriptografik hash değerleri (MD5, SHA1, SHA256) hesaplanır.
- Analiz: Edinilen veriler, özel adli bilişim yazılımları kullanılarak incelenir. Bu aşamada, silinmiş verilerin kurtarılması, şifreli verilerin çözülmesi, iletişim kayıtlarının detaylandırılması, konum geçmişlerinin haritalandırılması ve zaman çizelgelerinin oluşturulması gibi işlemler yapılır. Analiz süreci, olayın türüne göre belirlenen anahtar kelimeler, dosya tipleri ve kullanıcı davranış kalıpları üzerinden gerçekleştirilir.
- Raporlama: Analiz sonucunda elde edilen tüm bulgular, teknik detayları ve kullanılan yöntemleri içeren, anlaşılır ve yasal olarak kabul edilebilir bir rapor haline getirilir. Rapor, bulguların doğruluğunu destekleyen ekran görüntüleri, log kayıtları ve diğer ilgili materyallerle birlikte sunulur.
Edinim Yöntemleri
Delil edinimi, mobil adli bilişimin en kritik aşamalarından biridir ve farklı yöntemleri kapsar:
- Fiziksel Edinim: Cihazın belleğinin bit seviyesinde (raw data) kopyalanmasıdır. Bu yöntem, silinmiş veya kalıntı verilerin kurtarılması için en kapsamlı ve en çok tercih edilen yöntemdir. Genellikle bootloader exploitleri, JTAG, Chip-off veya eMMC/eMCP fırınlama gibi ileri düzey teknikler kullanılarak yapılır. Örneğin, bir cihazdan NAND belleği kopyalamak için şöyle bir komutun benzerleri kullanılabilir:
Bu yöntem, cihazın işletim sisteminden bağımsız olarak tüm depolama alanına erişim sağlar.Kod:dd if=/dev/block/mmcblk0 of=/mnt/usb_storage/full_dump.raw bs=4096 - Mantıksal Edinim: Cihazın işletim sistemi (örneğin, iOS için iTunes yedeklemesi veya Android için ADB yedeklemesi) veya API'ler aracılığıyla kullanıcı tarafından erişilebilen verilerin toplanmasıdır. Bu yöntem, genellikle daha hızlıdır ancak silinmiş veriler veya uygulamaların dahili veri tabanlarındaki gizli veriler gibi bazı bilgilere erişim sağlayamayabilir. Örneğin, bir Android cihazdan mantıksal yedek almak için:
Kod:adb backup -all -f mybackup.ab - Dosya Sistemi Edinim: Cihazın dosya sistemine (genellikle root erişimi gereklidir) erişim sağlanarak klasörlerin ve dosyaların kopyalanmasıdır. Mantıksal edinime göre daha fazla veri sağlar ancak yine de fiziksel edinimin sunduğu tam bit seviyesi kopyayı sağlamaz.
- Çevrimiçi (Cloud) Edinim: Cihazın bağlı olduğu bulut depolama hizmetlerinden (örneğin, iCloud, Google Drive, Dropbox) yasal yollarla (mahkeme kararı vb.) delil toplanmasıdır. Bu, özellikle cihazın fiziksel olarak elde edilemediği durumlarda önemlidir.
Karşılaşılan Zorluklar
Mobil adli bilişim, kendine özgü bir dizi zorlukla karşılaşmaktadır:
- Şifreleme ve Kilitler: Günümüz mobil cihazları, varsayılan olarak tam disk şifrelemesi (Full Disk Encryption - FDE) ile gelmekte ve parmak izi, yüz tanıma veya karmaşık PIN/desen kilitleri ile korunmaktadır. Bu şifrelemelerin kırılması veya atlatılması, uzmanlar için büyük bir meydan okumadır.
- Cihaz Çeşitliliği ve Parçalanmışlık: Android ve iOS gibi ana işletim sistemlerinin yanı sıra, farklı üreticilerin farklı donanım ve yazılım özelleştirmeleri, her cihaza özel edinme ve analiz yöntemlerinin geliştirilmesini gerektirmektedir. Bu çeşitlilik süreci karmaşıklaştırır.
- Sürekli Güncelleme ve Evrim: Mobil işletim sistemleri ve uygulamalar sürekli olarak güncellenmekte ve yeni güvenlik özellikleri eklenmektedir. Bu durum, adli bilişim araçlarının ve tekniklerinin de sürekli güncel tutulmasını zorunlu kılar.
- Silinmiş Veri Kurtarma: Modern depolama teknolojileri (NAND flash) ve TRIM gibi özellikler, silinmiş verilerin tamamen kurtarılmasını eskisinden daha zor hale getirmektedir.
- Hukuki ve Etik Sınırlar: Kişisel verilerin korunması kanunları ve uluslararası hukuk, mobil cihazlardan delil toplama süreçlerini yakından düzenlemektedir. KVKK gibi kanunlar, delil toplama ve işleme süreçlerinin belirli yasal çerçeveler içinde kalmasını zorunlu kılar. Hukuki süreçlere riayet edilmemesi, elde edilen delillerin mahkemede geçersiz sayılmasına neden olabilir.
Zincirleme Delil Bütünlüğü (Chain of Custody)
Mobil cihazlardan elde edilen delillerin mahkemede geçerli sayılabilmesi için, zincirleme delil bütünlüğünün[/u (chain of custody) bozulmadan sağlanması hayati öneme sahiptir. Bu, delilin olay yerinden alınıp analiz sürecinden geçirilerek rapora dönüştürülmesine kadar geçen tüm aşamalarda, kimin, ne zaman, hangi işlemi yaptığının ve delilin nasıl saklandığının eksiksiz bir şekilde belgelenmesi anlamına gelir. Herhangi bir aşamada delile yetkisiz erişim veya manipülasyon şüphesi, delilin mahkemede değerini kaybetmesine neden olabilir. Bu nedenle, tüm adımlar dikkatlice loglanır ve imzalı tutanaklarla kayıt altına alınır.
Örnek Bir Senaryo
Bir şirkette yaşanan siber saldırı olayında, saldırganın şirket ağına erişmek için kullandığı mobil cihaz şüphesiyle adli bilişim incelemesi başlatıldı. Cihaz, olay yerinden güvenli bir şekilde alındı ve Faraday kafesi içinde laboratuvara getirildi. Uzmanlar, cihazın fiziksel edinimi için gelişmiş bir adli bilişim aracı olan Cellebrite UFED kullanarak bir bit kopyası oluşturdular. Analiz sürecinde, silinmiş mesajlaşma uygulaması sohbetleri, şifreli notlar ve konum geçmişi verileri kurtarıldı. Bu veriler, saldırganın diğer suç ortaklarıyla iletişimi, saldırının planlandığı yerler ve saldırı için kullanılan kötü amaçlı yazılımın kaynağı hakkında kritik bilgiler sağladı. Elde edilen deliller, siber saldırganın kimliğinin tespit edilmesinde ve yargılanmasında temel kanıt niteliği taşıdı. Özellikle, saldırganın cihaza indirdiği özel bir komut dosyası,gibi dosya sistemi komutlarını veKod:ls -la /data/local/tmpgibi network konfigürasyonlarını içeriyordu. Bu komut dosyası, saldırının nasıl yapıldığına dair önemli ipuçları verdi. Ayrıca, cihaza indirilmiş birKod:cat /system/etc/hostsdosyasının meta verileri, dosyanın oluşturulma zamanını ve indirildiği IP adresini ortaya koydu.
Sonuç
Mobil cihazlardan delil toplama, dijital çağın karmaşık suçlarını aydınlatmak için vazgeçilmez bir disiplindir. Sürekli gelişen teknoloji, bu alandaki uzmanların bilgi ve becerilerini sürekli güncel tutmalarını gerektirmektedir. Doğru teknikler, uygun araçlar ve sıkı yasal prosedürlere uyum, elde edilen delillerin güvenilirliğini ve mahkemede kabul edilebilirliğini garanti altına alır. Mobil adli bilişim, adalet sisteminin dijital dünyaya uyum sağlamasında kritik bir rol oynamaya devam edecektir. Bu alandaki yatırımlar ve uzmanlaşma, dijital suçlarla mücadelede temel bir gerekliliktir.
