Açık Kaynak Araçlar Kullanılarak Adli Bilişim

Adli bilişim oldukça zorlu bir alandır. Adli bilişim, adli bilişimin kaideleri açısından olduğu kadar bu sürece yardımcı olan araçlar açısından da önemlidir. Bu makalede adli bilişimde kullanılan açık kaynak kodlu araçlar, iki ticari alternatifi ile avantaj ve dez avantajları yönünden akademik olarak karşılaştırılmıştır. Çalışmanın kapsamı ve gerekliliği iki akademisyen tarafından desteklenen dört kişilik kıdemli öğrencinin oluşturduğu bir ekip tarafından tanımlanarak, açık kaynak yazılımların kullanılması hakkında üç örnek üzerinde durmuş, herbir yazılım aracının (açık kaynak/ticari) performans değerlendirmesi yapılmıştır. Ekip farklı zorluk seviyelerinde aynı sonucların elde edilmesini sağlayan üç ayrı yazılım aracını incelemiştir. Sonuçlar, Açık Kaynak araçların diğer ürünler kullanılarak elde edilen delillerin doğrulanması açısından çok iyi bir başarıma sahip olduğunu göstermiştir.

1. Sunuş
Açık Kaynak Adli Bilişim alanında iyi bilinen uzman bir isim olan Brian Carrier, hali hazırda kullanılan birkaç ticari adli bilişim yazılımının, Açık Kaynak alternatifleri ile bir karşılaştırmasını yayınlamıştır [1]. Carrier’ın Bu yayını SC Magazine’in Eylül 2000 sayısında [2], ve NationalInstitute of Standards and Technology (NIST) ‘nin 2001 tarihli Adli Bilişim Araçları Testi (Computer Forensic Tool Testing [CFTT]) adlı çalışmasında yer almıştır [3,4]. NIST tarafından yayınlanan en son çalışma, güncellenmiş bir sınama testi ile sayısal veri toplama araçları için bir uygunluk kriteri metodolojisinin oluşturulması için katkı sağlamıştır [5]. Diğer taraftan, NIST’in daha önce analiz araçlarını sınamak için geliştirdiği bir metodoloji yer almamaktadır. Proje ekibi Sleuth Kit ve Atuopsy gibi açık kaynak alternatifler ile hali hazırda kullanılan EnCase ve FTK gibi ticari ürünlerin incelemesini gerçekleştirmiştir. Proje ekibi bu üç aracı kullanım kolaylığı, sağlamlığı, güvenilirliği ve doğrulanabilirliği açılarından incelemiştir. Ekip üç aracın göreceli başarımını ölçmek için aynı disk görüntüsünün kullanıldığı üç örnek çalışma yapmıştır. FTK Imager ile elde edilen disk görüntüsü ve sonuçlar üç araç arasında da karşılaştırılmıştır. İşletim sistemi kayıt veritabanı dosyaları (Registry)’nın yanında, disk görüntüsündeki diğer dosyalar da analiz edilmiştir. Parola korumalı çalışma sayfaları (Excel Worksheet) ve çalışma kitapları (Excel Workbook) içeren bir disk görüntüsü oluşturulmuştur. Şüpheli disk görüntüsüne ait ana dizine fotoğraf dosyaları, “Program Files” klasörü ve “Documents and Settings” de klasörü dahil edilmiştir. Çalıştırılabilir dosyalar, analiz sırasında dosya uzantısı uyuşmazlığını tetiklemek için bir metin dosyası uzantısı ile (.txt) değiştirilerek yeniden adlandırılmıştır. Tracks Eraser Pro gibi şüpheli bir program ile içeriği bozulmuş (shredded) bir çok dosya da eklenmiştir. Geri dönüşüm kutusu (Recycle Bin) boşaltıldıktan sonra dosya içerikleri bozulmuştur. Sistemde iki e-posta hesabı oluşturulduktan sonra parolanın hatırlansın seçeneği aktifleştirilerek oturum açılmış ve parolanın sisteme kaydedilmesi sağlanmıştır. Sonuçların tüm araçların aynı bilgileri tespit etmesi açısından inandırıcılığını yansıtması amaçlanmıştır. Sonuçlar ile araçların elde ettiği aynı bilgilerin çeşitli zorluk derecelerindeki inandırıcılık değerileri ortaya koyulmuştur. Örneğin, Autopsy ile SAM veritabanı ayrıştırılırken RegViewer’a, çerezler (Cookies) ve URL adres bilgilerini görüntülemek için ilgili Registry (işletim sistemi kayıt veritabanı) anahtarları içe aktarılmıştır. Oluşturulan disk görüntüsü üç üründe de incelenmiştir. Sleuth Kit ve EnCase yazılımları disk görüntüsünü kısmen makul bir sürede içe aktarmıştır. Diğer taraftan FTK ile tercih edilen seçeneklere bağlı olarak uzun bir içe aktarma süresi geçmiştir. Her üç ürün de MD5 sağlama değerini (Hash) sunmakla beraber SHA1 sağlama değeri sadece Sleuth Kit ve FTK tarafından sunulmaktadır. Sleuth Kit ve FTK incelemeyi yapan adli bilişim uzmanının tüm işlemlerini kayıt altına alırken, EnCase bunu yapmamaktadır. Proje ekibi tarafından, FTK’nın etkili analizler için sezgisel bir grafik kullanıcı arayüzüne (GUI) sahip olduğu EnCase’in ise inceleyicinin daha fazla zamanını alan bir arayüze sahip olduğu tespit edilmiştir. Sleuth Kit içinde kullanılan Autopsy Gezgini (Browser), sadece Windows’a aşina olan ekip üyeleri tarafından kullanılmıştır. Disk bölümü üzerindeki arama, hızlı ve verimli bir şekilde gerçekleştirilebilmelidir.

EnCase’in arama özellikleri diğer iki alternatifi ile karşılaştırıldığında çok daha güçlüdür fakat tüm özelliklerinin kullanılması inceleyicinin daha fazla zamanını almaktadır. EnCase ileri düzey katar (String) ifadeleri, EnCase Scripts (EnCase Betikleri) ve EGREP ile gelişmiş arama özelleştirmeleri yapılmasına izin vermektedir. Bu anlamda proje ekibi bu üç ürünün akademik olarak incelenmesine karar vermiştir

Diğer makalelerim için tıklayın.

Yazar: Özgür Koca

Yazar - Tankado.com

“Açık Kaynak Araçlar Kullanılarak Adli Bilişim” için bir yorum

  1. Merhaba hocam, Çökmüş (hard brick) olmuş Qualcomm cihazda bğalantı yöntemi Cımbız ile testpoint 9008 EDL mode mevcut. Bootloader açık root edilmemiş cihaz adli bilişim incelemesi mevcut mu hangi yazılımlar ile? Teşekkürler.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.