ÖDEVE: Sunu hazırlanacak ve kaynaklar eklenecek Merhaba hocam, Ödev konusu ile ilgili aklıma şöyle bir çalışma geldi. Varsayalım ki işlenmekte olan bir internet suçu için zanlının konutuna suç üstü yapılmak ve olay yerinden suçun işlendiğine dair deliller toplanmak isteniyor. Zanlının hali hazırda aşağıdaki bilişim suçlarından birisini işlemekte olduğunu varsayıyorum: * Otomatize bir araçla kamu kuruluşlarının sunucularında zayıflık taraması ve defacement yapıyor olabilir. * DDOS (dağıtık servis dışı bırakma) istemcilerinin command center'i olarak saldırı yönetiyor olabilir. * Spam mail ile oltalama saldırısı yapıyor olabilir. * Çocuk pornografisi, uyuşturucu ticareti ve terör suçlarının işlenmesine aracılık eden bir internet sitesi/web forum çalıştırıyor/yönetiyor olabilir. * Dosya paylaşım ağları aracılığı ile edindiği/paylaştığı dosyalar ile telif hakları ihlali yapıyor olabilir. Olay yerine vardıldığında görülüyor ki; Suça konu olan bilgisayar sistemlerinin login konsolları parola ile korunmuş. Bu nedenle delil toplamak için bilgisayarlara giriş yapılamıyor. Bilgisayarların fişi çekilerek/kapatılarak disk imajı alınması yoluna gidilecek fakat disklerin TrueCrypt/EncFS/CryptFS/BitLocker tarzı disk şifreleme yazılımları ile şifrelenmiş olduğu şüphesi de var. Bu durumda bilgisayar kapatılıp disk imajı alındığında inceleme yapılabilecek bir veriye de sahip olunamıyor. Yukarıdaki olay yeri senaryosuna çözüm olarak şöyle bir çalışma yapmak geldi aklıma: Normal şartlarda olay yerine varıldığında ilk yapılması gerekenlerden biri mevcut network bağlantılarının disk verilerinin değişmesi riskine karşı kapatılması öngörülür. Bunu yapmak yerine olay yerindeki mevcut ağa 2. bir bilgisayar dahil edilerek ARP spoofing/poisoning yöntemi ile Switch zehirlenerek tüm ağ trafik bu bilgisayara yönlendirilir (MITM - Man in The Middle Attack) ve zanlının bilgisayarının hali hazırdaki ağ trafiği kaydedilmeye başlanır. Zanlının bilgisyaarının ARP spoof koruması varsa (Statci MAC defining) ağ bağlantısı Switch yerine HUB'a bağlanarak ağ trafiğinin kopyasının bu 2. bilgisayara gelmesi sağlanır. Ağ trafiği bir süre diske kaydedildikten sonra adli bilişm uzmanı tarafından, ilgili paketler trafik verisinden ayrıştırılarak söz konusu suça delil oluşturabilecek iletişim bilgileri ayıklanır ve rapor haline getirilir. Böyle bir çalışmanın nasıl yapılabileceği/uygulaması hakkında bir çalışma yapmak geldi aklıma eğer onaylarsanız? Selamlar Özgür Koca / Samsun