Bilişim Suçları Uygulama Hukuku

Adli Bilişim Yüksek Lisans Programı Çalışma Soruları

Katıldığım derslerden çıkarttığım bazı sorular bu sayfada yer alıyor. Sayıları ve türleri artırılabilir. Siz de soru gönderirseniz yayınlamaktan mutlu olurum. Muhtemelen bu durum hocaların hoşuna gitmeyecek. Neden  paylaşıyorum? Çünkü bu sorulara ulaşmak hiç de zor değil. Deneyim ettim ki aynı sorular yıllarca kullanılmakta. Amacım odur ki öğretimi pozitif yönde etkileyecek, öğrenme çıktılarını özgün ve güncel soru kalıpları ile etkin olarak ölçen sorular üretilebilsin. Bu hocalarımıza tabi ki fazladan bir yük bindirecek ama amaç gerçekleşirse memleket için daha iyi olacak.

Adli Bilişim ve Tebligat Hukuku Dersi

  1. Muhtara yapılan tebligat ile eski adrese yapılan tebligat arasındaki farklar
  2. Usulsüz tebligat ve geçersiz tebligat arasındaki farkı örneklendirmek
  3. Tebligat hukuku ile adil yargılanma hürriyeti arasındaki ilişki?
  4. Tebligat hukuku ile hukuki dinlenilme arasındaki ilişkiyi anlatınız?
  5. Tebligat kanunu 35. Madde ve 21. Madde tebligat usullerinin farkları
  6. Muhtara yapılan tebligat veya kolluk gücüne tebligat
  7. İlanen tebligat nedir açıklayınız?
  8. Hukuki dinlenilme hakkı konusunun tebligat hukuku açısından önemi
  9. İlanen tebligat nedir
  10. Elektronik yolla yapılan tebligat nedir?
  11. Hak arama hürriyeti ile tebligat ilişkisini açıklayınız.
  12. Tebligat hukukunun usul ekonomisi ilkesi ile ilişkisini açıklayınız? (Güncelleme: 11.17)

Hukukun Temel Kavramları Dersi

  1. Hukuk nedir? Hayatımızda ki önemini anlatınız.
  2. Normlar hiyerarşisini geniş bir biçimde anlatınız.
  3. Kamu hukuku ve Özel Hukuk’un farklılıklarını Ceza hukukunu göz önüne alarak anlatınız.
  4. Mesleğinizin hukukla ilişkisini anlatınız.

Ceza Muhakemesi Dersi Soruları

  1. Sorgu ve İfade kavramlarını açıklayanız.
  2. Fiziki kimlik tespitini açıklanız.
  3. Haberleşmenin tespitini açıklanız.

Sosyal Medya Siyasal Şiddet Dersi

  1. Sosyal medyanın 3 temel özelliğini açıklayın.
  2. Sosyal medyayı çekici kılan unsurlar nelerdir.

Fikri Haklar Dersi

  1. Fikri hakların diğer haklar arasındaki konumunu sema ile göstermenizi
  2. Fikri olarak maddi manevi haklar nelerdir
  3. Fikri haklarin ülkemizde ve dünyadaki gelişimi

E-Devlet Dersi

  1. Dijital vatandaşın boyutları nelerdir örnekle açıklayın.
  2. Türkiyenin e-devlet gelişmişlik endeksinde sonlarda olmasının nedenleri nelerdir?
  3. Toplumda siber savaş algısı nasıl olmalıdır örnekle açıklayınız
  4. Sosyal ağlarda Arap baharı alakalı bir soru.

Bilirkişilik Dersi

  1. Hakem bilirkişi ve bilirkişi nedir?
  2. Bilirkişiliğin delik sistemindeki yeri nedir?
  3. Bilirkişi ve özellikleri hakkında bildiklerinizi yazın?
  4. Bilirkişi delilinin deliller arasındaki yerini tartisiniz?
  5. Bilirkişi delili ile hakem bilirkişi delilini karşılaştırınız?
  6. Bilirkişiligin ve Bilirkişinin niteliği hakkında bildiklerinizi yazınız?
  7. Bilirkişiliğin hukuki sorumluluğu nedir?
  8. Bilirkişilik ve bilirkişiliğin niteliği?
  9. Bilirkişi raporunun hazırlanması ve mahkemeye sunulması?

Suç Teorileri Dersi

  1. Anomi teorilerinde Durkheim’a göre anomi anlatınız.
  2. Gerilim teorilerinde metronun klasik gerilim teorileri ve Merton’un uyum modelleri nelerdir
  3. Alt kültür teorilerinde trasher ve çete leri anlatınız.
  4. Rutin aktiviteler teorileri nedir aciklayiniz
  5. 1960 lı yıllardan bu yana süregelen pozitivistik akımdan neo klasik akıma geçiş sürecinde yaşanan ceza adalet sistemi üzerindeki geçişi izah ederek, günümüzdeki ceza adalet sisteminin siber suçlarla mücadele ile ilgili durumu rasyonel tercih ve caydırıcılık teorilerine bağdaştırarak acıklayınız?
  6. Psikolojik görüşler çerçevesinde Piegat in ahlaki gelişim modeli ve Kohlberg in ahlak modelini açıklayarak, hacker ın analizini bu modellemelere dayandırarak nasıl izah edersinz?
  7. Korsan yazılım sahteciliğini en iyi hangi suç teorisiyle anlatırsınız? Savunduğunuz görüşün güçlü yönlerini ve karşıt görüşlerin zayıf noktalarını karşılaştırarak yazınız?
  8. İnsan niçin suç işlemez?
  9. 1960 lı yıllardan bu yana süregelen pozitivistik akımdan neo klasik akıma geçiş sürecinde yaşanan ceza adalet sistemi üzerindeki geçişi izah ederek, günümüzdeki ceza adalet sisteminin siber suçlarla mücadele ile ilgili durumu rasyonel tercih ve caydırıcılık teorilerine bağdaştırarak acıklayınız?
  10. Günümüzde suç ceza ve adalet sistemini bir teoriye dayandırarak anlatınız.

Adli Bilişim ve Bilirkişilik Dersi

  1. Adli bilirkişilik ve bilirkişiliğin niteliği hakkında bildiklerinizi yazınız.
  2. Bilirkişinin hazırladığı rapor nasıl olmalıdır
  3. Bilirkişinin yükümlülükleri nelerdir
  4. Adli Bilişimde Bilirkişilik
    2016 Final
    1- bilirkişi delilinin Adli bilişimde önemi
    2- delil sistemlerinde bilirkişiliğin önemi
    3- keşif delili ile bilirkişi delilinin karşılaştırılması örneklerle
    Bütünleme Yok
    2015 final
    1- Bilirkişiliği ve Bilirkişinin niteliklerini açıklayınız.
    2- Bilirkişiliğin sorumluluklarından, hukuki sorumluluğu açıklayınız.
    3- Bilirkişi raporunun takdim ve raporun incelenmesini açıklayınız.
    2015 bütünleme
    1- Bilirkişiliği ve Bilirkişinin niteliklerini açıklayınız.
    2- Bilirkişiliğin sorumluluklarından, disiplin sorumluluğu açıklayınız.
    3- Bilirkişi raporunun takdim ve raporun incelenmesini açıklayınız.

Adli Bilişim Uygulamaları Dersi

  1. Olay yeri incelemesi öncesinde yapılması gereken hazırlıkları yazınız?
  2. Dijital delillerin yapısal özelliklerini yazınız?
  3. İmaj alma ve kopyalama arasındaki farklı adli bilişim açısından yazınız?
  4. Mobil inceleme araçları nelerdir, bilgi veriniz?
  5. Final
    1. Dijital delil araştırma süreçleme modeli ?
    2. Elektronik Delillerin yapısal özellkleri ?
    3. Olay yerine gitmeden yapılacak hazırlıklar ?
    4. Mobil Cihaz imaj alma yazılımlar ?
    5. Klasik kopyalama ile imaj alma arasındaki farklar nelerdir?
    Bütünleme
    1- Harddiks çeşitleri nelerdir? açıklayınız
    2- Adli bilişim çalışma alanları nelerdir?
    3- Adli bilişim çalışmalarında yapılan hatalar nelerdir?
    4- NIST e göre imaj alma ekipmanlarının olması gereken özellikler nelerdir?
    5- İmaj alma programları nelerdir?

Bilgi Güvenliği Dersi

  1. Risk ve risk yönetimi nedir açıklayınız?
  2. Puko modeli nedir açıklayınız?
  3. Kriptoloji, kriptograf ve kriptoanaliz nedir açıklayınız?
  4. Risk yönetimi yöntemleri nelerdir bilgi veriniz?
  5. Bilgi güvenliği yönetim standartları standartları nelerdir?
  6. Risk ve tehdit arasındaki farkı açıklayarak yazınız?
  7. Bilgi güvenliği nedir nasıl sağlanır anlatınız?
  8. Dahili tehdit unsurları nedir açıklayınız?

Bilişim Suçları Önleyici Tedbirler / Mücadele

  1. Bilişim suçları türleri nelerdir?
  2. Bilişim suçları işleme yöntemleri nelerdir?
  3. Virüs türleri hakkında bilgi veriniz?
  4. Şifre sağlama yöntemleri nelerdir? Dikkat edilecek noktalar nelerdir?
  5. “BURADAHERHANGİBİRMETİNVAR” metnini “DAHAKISABİRMETİN” anahtarını kullanarak sütun transpozisyonu yöntemi ile şifreleyiniz?
  6. Bilişim suçları ile mücadelede teknik ve altyapı sorunları nelerdir?
  7. Bilişim yoluyla işlenen suçlar nelerdir?
  8. Sahte hesap oluşturma kanun olarak bilişim suçu bakımından açıkla?
  9. 5651 log yönetimini anlatınız?
  10. Kimlik hırsızlığı ve oltalama saldırı çeşitleri nelerdir? Açıklayınız.(2018/Büt)
  11. Bilişim suçu işleme yöntemleri nelerdir?(2018/Büt)
  12. Bilişim suçları ile mücadelede teknik ve yöntemler nelerdir?(2018/Büt)
  13. Virüs çeşitleri nelerdir? Açıklayınız.(2018/Büt)
  14. Ülkemizde Siber Güvenlik çalışmalarını açıklayınız.(2018/Büt)
  15. Suç işleme yöntemleri nelerdir?
  16. Ülkemizde siber suçlar ile ilgili tedbirler?
  17. Bilişim suçları için alınması gereken tedbirler nelerdir?
  18. Kimlik hirsizligi ve ortalama nedir aciklayiniz?
  19. Bilişim Suçları ve Mücadele
    2015 final 
    1- Bilişim suçları nelerdir?
    2- Bilişim suçları ile mücadelede karşılaşılan sorunlar nelerdir?
    3- Sahte hesap açmanın kanuni yaptırımı nedir?
    4- 5651 sayılı kanun ve loglama açıklayınız

Düşük Düzeyli Programlama (Assembly) Dersi

  1. Program nedir?
  2. Yazılım nedir?
  3. İşletim sistemi ile BIOS arasındaki farklar ?
  4. L1 bellek, L2 bellek, L3 bellek, kaydediciler,ana bellek hızları nedir, şekilde göstererek açıklayınız
  5. Assembler dilinin avantajları nelerdir?
  6. Gruplar, Talimlatlar tablosu ile ilişkili bir soru.
    Aşağıdaki kelimelerden talimat olanların karşısına T, komut olanların karşısına K yazınız.
    Örn: ENDP: T, MOV:K, CODE:T, DEC:K
  7. Assembler’da küçük bir programın icrası sonrası Ax=0, Bx=4, DX=?
  8. Eğer Ax 0 ise Cx’e 10 ekleyen değilse Dx’den 10 çıkartan assembly programını yazınız.
  9. Bir assembler kodu verilmiş, adreslemede kaç byte tuttuğu hesaplanmalı.
  10. Aşağıdaki listelerin bellekte kaç yer kaplar yanlarına yazınız?
    LISTE DB 5,05,00,0,?,??,45,27,125, -128, +127,
    LISTE DB 5,05,00,0,?,??,45,27,125, -128, +127, 345
    A5 = 1010 0101 , 0= 0000 0000 , 00= 0000 0000 şeklinde bellek te yer alır.
    VERI DB 5,5,5,5 yerine VERI DB 5 DUP (5) yazılmalı anlamı 5 tane 5 koy demek.
    VERI DB 5 DUP(5 DUP(3 DUP(10h), 2 DUP(12h))))
  11. Küçük bir program verilmiş buna göre AX te kaç vardır?
    Aşağıdaki program çalıştıktan sonra Ax kaydedicisinin ve C bayrağının değerleri ne olur? (Bence Ax=42h, C Flag=0 ;)
    MOV Ax, 16h
    MOV Cx, 3h
    LOOP
    ADD AX, 1Fh
    DEC Cx
    JNE LOOP
    ENDP

Güvenli Yazılım Geliştirme Dersi

  1. Güvenli yazılım geliştirme süreç ve fiillerini şekil üzerinde açıklayın
  2. Virüs nedir? Bir betik virüsü olarak Trojan Horse’u açıklayın?
  3. PHP, ASP.NET ve JSP hangi sunucularda çalışır güvenliğini sağlamak için neler yapılır?
  4. Ençok kullanılan veritabanları nelerdir? SQL Injection’a örnek verin?
  5. Güvenli yazılım nedir geliştirme süreçleri hakkında bilgi verin?
  6. SAMM modeli ve alt aşamaları hakkında bilgi verin?
  7. OWASP hakkında bilgi veriniz?
  8. Yazılımların son 25 yıldaki değişimi ve gelişimini günümüzün internet ve teknoloji  dünyasında tartışınız?
  9. Yazılım mimarı nedir, görev ve sorumluluklarını açıklayın?
  10. Use case, akış diyagramı ve sınıf yapısını açıklayınız?
  11. Spiral model ve akış modeli(waterfall) i karşılaştırarak açıklayınız?
  12. Alfa ve beta testlerinin güvenli yazılım geliştirmedeki önemini anlatın.
  13. Virüs nedir ? Malware nedir ? Fiziksel ve yazılımsal firewall’ları karşılaştırın.
  14. Android işletim sistemindeki uygulamalara yönelik güvenlik tedbirleri nelerdir.
  15. Web sunucularında kullanılan veritabanları, saldırı ve korunma yöntemlerini yazın

İleri Web Programcılığı Dersi

  1. Statik ve dinamik web sayfaları ve bu sayfaları oluşturmakta kullanılan programlama dilleri ve araçları hakkında bilgi vererek karşılaştırma yapınız?
  2. Web 1.0, Web 2.0 ve Web 3.0 ı teknik açıdan karşılaştırarak farklarını yazınız?
  3. MySQL de veri tabanı bağlantısı yapma, kayıt listeleme, sıralama, ekleme vb. İşlemlerinin nasıl yapıldığını örnek kod yazarak gösteriniz?

İşletim Sistemleri Dersi

  1. Bir işletim sisteminin dosya sistemi kullanmasının temel amacı nedir? Açıklayınız
  2. Dosya sisteminde kullanıcı sınıfları nelerdir? Niçin kullanılır?
  3. Ext dosya sistemini kısaca açıklayınız
  4. NTFS dosya sistemini ext ile karşılaştırarak kısaca açıklayınız
  5. Dosya sistemindeki Blok bağlantısı nedir? Niye böyle bir yapıya ihtiyaç vardır? Açıklayınız.
  6. Çekirdeğin fonksiyonlarını açıklayınız (5 adet)
  7. Dispatcher’In görevlerini açıklayınız.
  8. Zamanlayıcı algoritmaların 4 çeşidini yazınız.
  9. Bir işletim sisteminde olması gereken özelliklerden en az 6 tanesini yazınız.
  10. Pardusun kamu kuruluşlarında kullanımının uzun vadede avantaj ve dez avantajlarını tartışın
  11. Semafor nedir?
  12. Deadlock nedir 3 örnek ile açıklayınız?
  13. İşletim sisteminin görevlerinden 5 tanesini yazınız?
  14. Görev yöneticisi nedir?
  15. Deadlock nedir, nasıl olur açıklayınız?
  16. Semafor nedir açıklayınız?
  17. Zamanlama algoritmalarını yazınız?
  18. Virüs antivirüs ve zararlı yazılım nedir açıklayınız?
  19. Wait ve Signal’i basit bir örnek vererek açıklayınız.
  20. Firewall nedir ?
  21. Bellek yönetimi nedir? Açıklayınız.
  22. Bir işletim sisteminde olması gereken özelliklerden 6 tanesini yazınız?
  23. Sanal bellek nedir? Açıklayınız.
  24. Semafor nedir? Açıklayınız.

İşletim Sistemleri Güvenliği Dersi

  1. İşletim sistemleri saldırı yöntemlerinden 4 tanesini yazarak açıklayınız?
  2. İşletim sistemi özelliklerinden 6 tanesini yazarak açıklayınız?
  3. İşletim sistemi çekirdeğinin sahip olması gereken özelliklerden 4 tanesini yazarak açıklayınız?
  4. Kablosuz güvenlik önlemlerinden 6 tanesini yazınız (sadece adları yazılacak, açıklama yapmaya gerek yok)
  5. Virüs, worm, zararlı yazılım nedir açıklayınız?
  6. 2016 Final
    1. Isletim sisteminin ozellikleri nelerdir. 5 tane yaz
    2. Cekirdegin görevleri nelerdir acikla 
    3. Kablosuz aglarda guvenlik nasil saglanir
    4. virus, truva ati ve kötücül yazilim nedir aciklayin
    5. devlet kurumlariyla alakali yorum sorusu
    6. Isletim sistemi saldiri türlerinden 4 tanesini acikla
    2015 Final
    1-semafor kavramını açıklayınız.
    2-deadblock durumuna örnek 3 durum belirtiniz.
    3-dispatcher nedir? Görevleri nelerdir?
    4-işletim sisteminden beklenen özellikler nelerdir?
    5-çekirdek bölümünün görevleri nelerdir?
    6-görev yönetiminde kullanılan zaman planlaması algoritmaları nelerdir?
    7- virüs, trojen, zararlı yazılım nedir?

Mobil Güvenlik Dersi

  1. Manet ağların kritik güvenlik alt yapısı hakkında bilgi veriniz?
  2. Sosyal ağ nedir, analizi nasıl yapılır?
  3. Manet ağlara güvelik özellikleri ve saldırıları hakkında bilgi veriniz?
  4. Mobil kötücül yazılım tespit yöntemleri nelerdir açıklayınız?
  5. Twitter spam tespit yöntemleri nelerdir, açıklayınız?
  6. Malware dönüşüm teknikleri nelerdir açıklayınız?
  7. 1G-4G geçen süreci güvenlik açısından karşılaştırınız?
  8. Güvenli mobil yazılım geliştirme hakkında bilgi veriniz?

Yapay Zeka Dersi

  1. Adli Bilişim ya da güvenlikle alakalı bir problemi graf teorisiyle çözünüz .
  2. YZ’nin alt dallarını sıralayın
  3. Biometrik yöntemler nelerdir ve kullanım alanlarını sıralayın
  4. Farkettirmeden bir bilgi nasıl gizlenir ve geri nasıl elde edilir.
  5. Genetik algoritmanın çalışmasındaki unsurları açıklayınız

Bilişim Sistemleri

  1. Bilişim (enformasyon) sistemi nedir?
  2. Veri ve Bilgi nedir? İlişki ve farkları nelerdir?
  3. Elektronik ve mobil ticaret sistemleri
  4. Yazılım ve uygulama Arasındaki farklar
  5. Veri tabanı nedir?
  6. internet, intranet,extranet tanımı
  7. Yönetim Bilişim Sistemleri nedir?

Bilgi Çağında Pazarlama Eğitimi Dersi

  1. Bütünleşik Pazarlama İletişimi,
  2. Medya stratejisi nasıl olmalıdır
  3. Üçüncü soruyu hatıramadım

Modern Karar Verme Teknikleri Dersi

  1. İlk iki ünitedeki hesaplamalardan sorabilirim dedi.
  2. ahp ile topsis arasında ki farklar
  3. analitik network sürecini diger yöntemlerden ayıran özellikler
  4. Prometee ile elektro ayıran özellikler nedir

Yazılım Geliştirme Modelleri Dersi

  1. Yazılımların son 25 yıldaki değişimi ve gelişimini günümüzün internet ve teknoloji dünyasında tartışınız
  2. Yazılım mimarı nedir, görev ve sorumluluklarını açıklayın
  3. Use case, akış diyagramı ve sınıf yapısını açıklayınız
  4. Spiral model ve akış modeli(waterfall) i karşılaştırarak açıklayınız

Meslek Etiği Dersi

  1. YBS tanımı örneklerle yapınız?
  2. Etik kavramının tanımı yapıp, ahlak kavramı ile farklarını açıklanız.
  3. Meslek Etiğinin Türkiyede ki gelişimi ve 1980 sonrası meydana gelen değişikliklerden bahsedeniz.

Kriptoloji Dersi (Ödev Konuları ile beraber)

  1. Güvenlik Amacıyla kullanılan Firewall nedir? En yaygın olarak kullanılan bir Firewall hakkında ayrıntılı bilgi veriniz. Kendi kurumunuzdan örnek vererek açıklayınız
  2. IP spoofing saldırısı nedir? Korunma yöntemleri nelerdir? Örneklerle anlatınız.
  3. GPRS Mimarisi nasıldır ve Güvenliği nasıl sağlanmaktadır.
  4. Elektronik imza nedir? Elektronik imzanın hukuksal boyutu. Güvenlik nasıl sağlanır.
  5. WiMAX ağlarda güvenlik nasıl sağlanmaktadır.
  6. IPv6 mimarisi nasıldır ve güvenliği nasıl sağlanmaktadır? Avrupa birliğinin konuya ilişkin çalışmaları nelerdir.
  7. Kartlı ödeme sistemleri nasıl çalışmaktadır ve güvenlik nasıl sağlanmaktadır?
  8. e-posta güvenliği için kullanılan yöntemler nelerdir?
  9. IDS nedir, türleri nelerdir, ne amaçla ve nasıl kullanılırlar, güvenliğe etkileri nelerdir?
  10. Elektronik delil nedir. Hukukda yeri nedir. Örnekler ile açıklanması
  11. VoIP(Voice over IP) güvenliği nasıl sağlanmaktadır.
  12. 3G Mimarisi Nasıldır ve Güvenliği nasıl sağlanmaktadır?
  13. Biyometrik sistem içeren ağlarda güvenlik nasıl sağlanmaktadır.
  14. Ağ Güvenliği için Web filteleme yaklaşımı nedir güvenlik nasıl sağlanır
  15. Bilişim suçları içinde kriptoloji nasıl ve ne şekilde kullanılır, Dava örnekleri ile açıklayalım (Dava bilgileri verilmeden).
  16. RFID ağlarda Güvenlik nasıl sağlanmaktadır?
  17. GPS Güvenliği Nasıl sağlanmaktadır.
  18. Bilişim Suçları Türkiye ve Dünyanın durumu (Ödev konusu hakkında mail ile görüşelim)
  19. Asimetrik şifreleme yöntemleri nelerdir? Seçtiğiniz bir tanesini ayrıntılı olarak açıklayınız.
  20. İnternet Yönlendirme Saldırısı (Internet Routing Attack) nedir? Korunma yöntemleri nelerdir?
  21. IDS nedir, türleri nelerdir, ne amaçla ve nasıl kullanılırlar, güvenliğe etkileri nelerdir?
  22. Bilişim suçları ve etik. Adli olarak incelenmesi. Hukukta örnek davalardan sunumlar.
  23. IPv6 mimarisi nasıldır ve güvenliği nasıl sağlanmaktadır?
  24. WiMAX ağlarda güvenlik nasıl sağlanmaktadır.
  25. Çapraz Site Betikleme saldırıları nedir, türleri nelerdir ve korunma yolları nelerdir?
  26. ZigBee ağların çalışma yapısı nasıldır, güvenlik nasıl sağlanır?
  27. Ülkemizde kripto cihazı üreten firmalar ve kripto cihazlarının tanıtımı. Kripto cihazı üretim durumumuzun dünya pazarındaki yeri.
  28. Ağ İzleme ve Kontrol programları nelerdir, nasıl çalışırlar, Seçtiğiniz bir tanesini ayrıntılı olarak açıklayınız.
  29. Akıllı TV’lerdeki güvenlik nasıl sağlanmaktadır.
  30. WWW’de güvenlik nasıl sağlanmaktadır. Sakıncalı kaynaklara ve kötü amaçlı yaklaşımlara karşı neler yapılmaktadır.

Bilgisayar ve Ağ Güvenliği Dersi

  1. Bilgisayar güvenliği nedir açıklayınız?
  2. Bilgisayar güvenliğinin zorlukları nelerdir?
  3. OSI’yi ağ güvenliği açısından inceleyiniz?
  4. Saldırı ağacını açıklayınız?
  5. Simetrik şifreleme ve simetrik blok şifreleme algoritmaları nelerdir, açıklayınız?
  6. Simetrik ve asimetrik şifreleme arasındaki farklar nelerdir?
  7. Açık anahtar  şifreleme (public cryptogprahy) hakkında bilgi veriniz?
  8. Ağ erişim kontolü yöntemleri hakkında bilgi veriniz?
  9. Kablosuz ağ güvenliği hakkında bilgi veriniz?
  10. Web güvenlik yaklaşımlarını yazınız?

Bilimsel Araştırma Yöntemleri Dersi

  1. Bilimsel araştırmalarda, bilgi kaynaklarından Bilimi hangi amaçla açıklayınız?
  2. Örnekleme yöntem ve tekniklerini açıklayınız?
  3. Özgünlük, Önem ve Yaygın Etkiyi açıklayınız?
  4. Nicel Araştırmalarda Hata, Güvenilirlik, Geçerlik, Güç, Anlamlılık ve Etki Büyüklüğünü açıklayınız?
  5. Etik ihlal davranışları açıklayınız?

Bilgisayar Ağları Dersi Çalışma Soruları

  1. Anahtarlamalı ağlar nelerdir? Açıklayınız. Birbirleri ile karşılaştırınız?
  2. Web Cache nedir? Açıklayınız.
  3. OSI’nin taşıma katmanında (transport layer) yapılan işleri detaylı açıklayınız?
Bilgisayar Ağları
1-OSI referans modelini detaylı açıklayınız.
2-Paket anahtarlamalı ağlarda düğümler arası gecikmeyi açıklayınız.
3-DNS nedir? Detaylı açıklayınız.

Veri Madenciliği Dersi Çalışma Soruları

  1. Veriden bilgi keşfini açıklayınız?
  2. Karar ağacı nedir? Nasıl oluşturulur? Küçük bir veri kümesi örneği veriniz?
  3. Birliktelik kurallarını açıklayınız?
  4. Veri ön işleme adımları nelerdir?
  5. Sınıflandırma nedir açıklayınız. Örnek veriniz
  6. Bilgi keşfi nedir? Adımları nelerdir?
  7. Veriden bilgi keşfini açıklayınız?
  8. Demetleme K Means algoritmasını açıklayınız. Örnek veriniz

Adli Bilisim Inceleme Süreçleri

1. Adli bilisim nedir?
2. Delil poseti uzerinede yazilmasi gerekenleri maddeler ile yaziniz?
3. Raid 1 nedir? Sekil ile ciziniz.

Kriptoloji Dersi Çalışma Soruları

  1. Bilgi nedir?
  2. Kriptografi nedir?
  3. Kripto analiz nedir?
  4. Kripto nedir?
  5. Stenografi nedir?
  6. Kripto Haberleşme emniyeti nasıl sağlanır?
  7. Kripto güvenliği nasıl sağlanır?
  8. Dijital imzayı neden kullanırız?
  9. Simetrik algoritmalar ile asimetrik algoritmalarını karşılaştırınız?
  10. Vejenere tablosu çözümü?
  11. Günümüzde kullanılan kriptografik sistemler nelerdir? Örnek vererek açıklayınız?
  12. Sifreleme anahtarının 13 olduğu bir simetrik şifrelemede örn: “ABCDEFG….” metnini deşifre ediniz?

Ses ve Görüntü İnceleme Dersi (Düz: 11.17)

  1. Görüntü montaj tespiti incelemelerinde kullanılan kriterlerde 5 tanesini yazını ?
  2. Suça konu olmuş konuşmacıyı teşhis işlemlerinde işitsel incelemelerden 5 ölçüt yazınız ?
  3. Sesin süre frekans ve şiddet özelliklerini bir arada incelemeye yarayan çözümleme yöntemine ne ad verilir ?
  4. Adli görüntü ve fotoğraf karşılaştırmalarında , daha özelde ise yüz karşılaştırmalarında genel olarak kullanılan temel yöntemler nelerdir ?
  5. Adli ses teşhisi ne zamanlar gereklidir?
  6. Ses ve Görüntü İncelemeleri
    2016 Final
    1- Adli ses kaydı nedir ? Konuşmacı tespitinde kullanılan yazılımlara 3 örnek veriniz.
    2- Ses kaydı güvenilirliği nedir ? Görsel ve nümerik inceleme kriterleri nelerdir maddeler halinde yazınız
    3- Görüntü montaj tespitinde kullanılan yöntemleri maddeler halinde yazınız.
    4- Fotoğraf ve kişi yüz analizinde kullanılan yöntemleri maddeleri halinde yazınız.
    5- Görüntü bulgularını olay yerinde toplanması ve lab götürülürken dikkat edilmesi gereken hususlardan 3 madde yazınız
    6- Görsel Subliminal mesaj nedir ? Hangi amaçla kullanılır ?
  7. Ses ve Görüntü İncelemeleri 2017 Ocak Final Soruları
    1-Adli ses kaydı nedir? Konuşmacı tespitinde kullanılan yazılımlara 3 örnek veriniz.
    2-Ses kaydı güvenilirliği nedir? Görsel ve nümerik inceleme kriterleri nelerdir maddeler halinde yazınız.
    3-Görüntü montaj tespitinde kullanılan yöntemleri maddeler halinde yazınız.
    4-Fotoğraf ve kişi yüz analizinde kullanılan yöntemleri maddeler halinde yazınız.
    5-Görüntü bulgularının olay yerinde toplanması ve lab götürülürken dikkat edilmesi gereken hususlardan 3 madde yazınız.
    6-Görsel subliminal mesaj nedir? Hangi amaçla kullanılır?

Nesne Yönelimli Programlama Dersi

  1. İstisna nedir? Açiklayiniz ?
  2. 1-60 arasi 5’ser 5’ser yazan programi while kullanarak yapiniz?
  3. Bir program parçacigi veriliyor. çiktisi soruluyor ?
  4. Private kapsüllemeyi anlatiniz ve örnek veriniz. basarilar.
  5. public abstract ve public class arasındaki fark nedir? (Ocak 2018)
  6. Bir program bloğu verildi ve çıktısı soruldu (Ocak 2018)
  7. Kalıtım yoluyla nesne oluşturma nedir örnekle açıklayınız (Ocak 2018)
  8. for döngüsüyle yazılacak ufak bir program soruldu (Ocak 2018)

Android Sistemlerden Delil Amaçlı İz Tespit Etme Yöntemleri

 

ÖZET

Cep telefonları, özellikle de akıllı telefonlar hayatımızda önemli bir rol oynamaktadır. Mobil cihaz pazarının muazzam büyümesiyle, onları suç faaliyetinde kullanma imkânı da sürekli artmaktadır. Android, piyasadaki son derece rekabetçi platformlardan biridir. Birçok üretici tarafından kullanılan Android, farklı cihaz modellerini çalıştırmak için kullanılmakta ve bu da güçlü bir çeşitliliğe neden olmaktadır. Böylece, Android tabanlı akıllı telefonların fiziksel imaj ediniminin zorluğu, özellikle son Android sürümünün kaynak kodunun çok geç yayınlanması ile daha da anlam kazanıyor. Sonuç olarak, en yeni sürüm işletim sistemine sahip mevcut akıllı telefonların, mevcut akıllı telefon adli araçları kullanılarak edinilmesi de güçleşiyor. Bu çalışmada, mantıksal ve fiziksel olarak edinme olanağı sunan (imaj alma) adli mobil cihaz araçlarının kapsamlı bir perspektifi verilmektedir. Ayrıca yazılım araçları kullanılarak gerçekleştirilen edinimlerin sınırlılıklarını aşmak için iki yeni yöntem de incelenmiştir. Birinci yöntem firmware güncelleme protokolünün zafiyetleri kullanılarak fiziksel imaj elde etmeyi incelerken, ikinci yöntemde anti-adli bilişim tedbirleri uygulanmış bir Android mobil cihazdan delil elde etmek için cihaz yönetim yazılımı Droidjack araştırılmıştır. Son olaradak da adli araştırmacının hedefinde olan veri setlerini / delil izlerini üreten Android uygulamaların programlama teknikleri açısında sunduğu veri mahremiyetleri incelenerek bir anti-adli bilişim perspektifi ortaya koyulmuştur.

 

 

İçindekiler Tablosu

1. GİRİŞ 1

2. ANDROID’İN MİMARİSİ 3

2.1. Linux Çekirdeği 3

2.2. Kütüphane ve Android Runtime 3

2.3. Uygulama Çerçevesi 3

2.4. Uygulama 4

3. VERİ EDİNİM PROSEDÜRLERİ 5

3.1. Erişim Kontrolü Prosedürü Olmadan Akıllı Telefonun Veri Edinimi 5

3.2. Erişim Kontrol Prosedürüyle Akıllı Telefonun Veri Edinimi 5

4. FİZİKSEL EDİNİM 7

4.1. Linux Bellek Çıkarıcı (LiME) 7

4.2. Android Fiziksel Döküm (APD) 8

4.2.1. Hawkeye 8

4.2.2. Adroid Memory Extractor (AMExtractor) 9

4.2.3. Androphsy 9

4.2.4. Android Digital Autopsy (ADA) 10

4.2.5. Cellebrite UFED 10

4.2.6. Oxygen Forensic Suite 10

4.2.7. XRY Physical 11

4.2.8. Device Seizure 11

4.2.9. MOBILedit! Forensic 11

4.2.10. ViaExtract 12

4.2.11. Examiner Plus (MPE +) 12

5. FİRMWARE PROTOKOLÜNE DAYALI EDİNİM 13

5.1. Ürün Yazılımı Güncelleme Protokollerine Dayalı Android Fiziksel Edinimi 16

5.2. Firmware Güncelleme Protokolü 16

5.3. LG Firmware Güncelleme Protokollerinin Analizi 17

5.4. LG Firmware Güncelleme Komutları 18

5.5. Android’in Fiziksel Edinimi 20

5.6. Desteklenen Modeller 21

5.7. Firmware Güncelleme Modunda Başlatma 21

5.8. Telefona Bağlanma ve Model Bilgisini Edinme 22

5.9. Fiziksel Edinim 22

5.10. Denemeler 23

5.11. Elde Edilmiş Görüntünün Bütünlüğünü Koruma 23

5.12. Edinme Hızı 24

5.13. Ekranı Kilitli Akıllı Telefonlardan Fiziksel Olarak Edinme (USB Debug devre dışı) 25

6. MOBİL CİHAZ YÖNETİM (MDM) YAZILIMI İLE DELİL ELDE ETME 27

6.1. Android Uygulama Geliştirme Terminolojisi 28

6.1.1. Etkinlikler (Activities) 29

6.1.2. Hizmetler (Service) 29

6.1.3. İçerik sağlayıcıları (Content Providers) 29

6.1.4. Yayın alıcıları (Broadcast Receiver) 29

6.1.5. İçerik gözlemcileri (Content Observers) 29

6.2. Android Uygulama Güvenliği 30

6.3. Kökleme (Rooting) 30

6.4. Akıllı Telefon Araştırmaları 31

6.5. Gizlilik endişeleri 32

6.6. Ticari MDM Ürünleri 32

6.7. DroidWatch MDM Yazılımı 33

6.7.1. Yerel depolama 35

6.7.2. 6.7.8. Şirket sunucusu 36

6.7.3. 6.7.9. Veri Akış Süreci 36

6.7.4. Veri Kümeleri 37

6.7.5. Analiz ve Değerlendirme 38

6.7.6. Genel Kullanım Eğilimleri 38

6.7.7. Şüpheli Kişiler ve İletişim 38

6.7.8. Konum izleme 40

6.7.9. İnternet geçmişi 40

6.7.10. Kötü amaçlı uygulamalar 41

6.7.11. Adli bilişim 41

6.7.12. Delilleri yok etme 42

6.7.13. Kanıt gizleme 42

6.7.14. Kanıt kaynaklarını değiştirme 42

6.7.15. Taklit kanıtları 43

6.8. AndroidWatch İleri Araştırma 43

6.9. Ek veri setleri 44

6.10. Koruma önleyici mekanizmalar 44

7. SONUÇ 46

GİRİŞ

Mobil cihazların kullanımı, özellikle akıllı telefonların kullanımındaki artış ile dijital suçlar da arttı. Akıllı telefonların ortaya çıkışı, insanların yaşama, çalışma ve oyun yapma biçimini tamamen değiştirmiştir. Bununla birlikte, suç işlemede akıllı telefon kullanım oranının artması ile adli araştırmacıların kanıt elde etmek için zanlıların akıllı telefonlarını mahkemelerde kullanımları da artmıştır. Akıllı telefonlardan elde edilen kanıtlar, mahkeme salonunda diğer kanıt şekillerinden farklı olarak, kabul edilebilmeleri için güvenilir olmalıdır.

Son birkaç yılda Android akıllı telefonları hedef alan önemli miktarda bellek edinimi araştırması yapıldı. Edinme amacı, silinen veriler de dahil olmak üzere yararlı bilgiler toplamak ve daha fazla analiz etmek ve mahkemeye sunmaktır. Adli mobil cihazlar için iki temel edinim yöntemi vardır: fiziksel ve mantıksal. Fiziksel edinme, silinen veriler de dahil olmak üzere tüm fiziksel depolama alanının bit kopyasıdır. Mantıksal edinim, bir dosya sisteminin bir parçası gibi mantıksal depolamayı elde eder. Yani elde edilen veriler edinim yapılan sistemin dosya sistemi tablosunun sağladıklarıdır. Akıllı telefonlarda saklanan veriler kırılgan olabilir, çünkü veriler üzerine yazılabilir veya silinebilir. Bu nedenle, silinen verileri elde etmek ve ayıklamak için mantıksal edinim yerine fiziksel edinim kullanma ihtiyacı vardır [1].

Fiziksel edinim araçları, sabitleştirilmiş ve yazılım tabanlı araçlara sınıflandırılmıştır. Donanım tabanlı yöntem, işletim sistemini fiziksel bir aygıtla bypass etmektir. Böylece hedef sistemin dosya yerleşim tablosunun sağlamadığı veriler gibi dez avantajlar ortadan kalkar. Özel bir iletişim portu, dahili belleği kopyalamak için özel bir donanımla açılır [2]. Android akıllı telefonlarda, JTAG test pinleri bir cihazın dahili belleğini almak için kullanılabilir [3]. Bununla birlikte, tüm Android akıllı telefonlarda JTAG test pinleri bulunmamaktadır. Yazılım tabanlı yöntem, dahili belleği elde etmek için hedef işletim sistemi üzerinde çalışan bir yazılım kullanmayı gerektirir [2]. Android akıllı telefonlarda bir seçenek de /dev/mem aygıtlarından veri edinmektir [3]. Maalesef bu yöntem yalnızca en fazla 896 MB RAM’li akıllı telefonlar için geçerlidir [4]. Kollar [5], fmem adında fiziksel edinim için /dev/mem aygıtını kullanan yüklenebilir bir çekirdek modülü geliştirdi. Ancak, bu modül tüm Android akıllı telefonlar için geçerli değildir [4].

Android akıllı telefonlardan fiziksel olarak veri edinmek için, genellikle akıllı telefonun, özel önyükleyici, özel kurtarma modu veya kök erişimi olan normal modda [6] önyüklemesi yapılmalıdır. Ardından, donanım cihazına veya sunucusuna (ör. Dizüstü veya masaüstü) imaj verisi göndermek için akıllı telefonda ilgili kodu çalıştırılır [6].

Akıllı telefon işlemci hızları, kullanılan kablo türleri ve aktarılan veri miktarı nedeniyle fiziksel olarak edinme süreci zaman alıcı olabilir. Bazen fiziki edinimin tamamlanması saatler alır. UFED ve Oxygen Forensic gibi ticari araçların çoğu USB üzerinden veri gönderir. Bununla birlikte, kopyalanan verilerin iletim hızı, USB’nin maksimum iletim hızını kullanmaz. Örnek vermek gerekirse, USB 2.0, maksimum 480 Mbps iletim hızına sahiptir, ancak en fazla 320 Mbps alır [7]. 2016’da piyasadaki en büyük Android akıllı telefonlar 128 GB’tır. Akıllı telefonlar büyümeye devam ederken, fiziksel olarak onları edinim süreleri de artacaktır [6].

Bu makalede, Android akıllı telefonlar için birçok farklı fiziksel edinim aracını analiz ettik ve maliyetleri, bütünlüğü, veri kurtarma, kullanışlılık, adli veri aşamalarını dışa aktarma yolları ve genel Android akıllı telefonu destekleme yöntemlerini karşılaştırdık.

ANDROID’İN MİMARİSİ

Android’in iç tasarımını ve mimarisini anlamak, Android’in esnekliğinden dolayı adli bir soruşturmada en önemli konulardan biridir. Android platformu, yeni sürümlerle zaman içinde değişiyor. Sürümler arasındaki farklılıklara göre, mimari de farklılaşmaktadır. Bununla birlikte, Android mimarisinin ana çekirdek bileşenleri aynıdır. Android mimarisi, Şekil-1’de gösterildiği gibi dört ana katmandan oluşur:

Linux Çekirdeği

Android çekirdeğini anlamak en önemli unsurdur, çünkü Android mimarisinin temelini oluşturmaktadır [8]. Bellek, ağ ve süreç yönetimi ve güvenlik gibi temel hizmetleri destekler. Ayrıca neredeyse tüm donanım için çeşitli sürücüler de barındırır [8, 9].

Kütüphane ve Android Runtime

Android, C/C++ [8] ile yazılmış kütüphaneler seti içerir. Standart CSystem Kütüphanesi, Medya Kütüphaneleri, 3D Kütüphaneler gibi kütüphaneler, sistem bileşenleri tarafından Uygulama Çerçevesi katmanı [9] vasıtasıyla kullanılır. Android çalışma zamanı (runtime) bölümü, Android için özel olarak tasarlanmış ve optimize edilmiş bir tür Java Sanal Makinesi olan Dalvik Sanal Makinesi (DVM) adı verilen önemli bir bileşen sunmaktadır [8]. Ayrıca, geliştiricilerin standart Java programlama dili [8] kullanarak Android uygulamaları yazabilmesini sağlayan çekirdek kütüphaneleri seti de sağlar. Çekirdek kütüphanelerin ve DVM’nin bir kümesi, çalışan her uygulamanın DVM’nin kendi örneğini bulundurduğu ve kendi işlemi içinde yürüdüğü bir Android çalışma zamanı oluşturur [9].

Uygulama Çerçevesi

Bu katman, Java uygulamalarına istismar edilebilecek birçok üst düzey hizmet sunmaktadır [8, 9]. Uygulama geliştiricileri, Çerçeve tarafından uygulanan güvenlik kısıtlamalarına her zaman saygı duyan geniş bir Uygulama Programlama Arabirimi (API) seti aracılığıyla hizmet sunabilir ve bunları sağlayabilirler [9].

Uygulama

En üst katman, Java Programlama Dili [10] ile yazılmış bir program demetini (ör. Iletişim yöneticisi, takvim, SMS programı, web tarayıcısı, bir e-posta istemcisi) içerir.


Şekil 1 – Android Mimarisi

 

VERİ EDİNİM PROSEDÜRLERİ

Adli incelemecilerin benimseyebileceği, Android akıllı telefonlardan veri toplama sürecinin farklı uygulama senaryoları vardır. Uygun prosedürü kullanarak, adli bilişim uzmanları akıllı telefondan maksimum bilgiyi alabilir, böylece elde edilen verilerin mümkün olduğunca daha güvenli ve en az müdahaleci bir şekilde analiz edip belgelendirilebilir. Adli inceleyici, hedef akıllı telefonda kayıtlı verileri korumak için gerekli prosedürleri izlemelidir [11].

Erişim Kontrolü Prosedürü Olmadan Akıllı Telefonun Veri Edinimi

En basit olan bir durum, çıkarılabilir hafıza kartı ile kilitli olmayan bir akıllı telefonun edinimidir. Daha önce de belirtildiği gibi, inceleyici ilk önce hafıza kartlarından veri çıkardıktan sonra kopyaları alınan adli inceleme kartlarını akıllı telefona tekrar takmalıdır. Ardından inceleyici Android akıllı telefonda süper kullanıcı ayrıcalıklarının durumunu kontrol etmelidir (super su, root). Etkinleştirilirse, inceleyici USB hata ayıklama aracı ADB’yi kullanarak dahili belleğinin bir kopyasını oluşturarak kısıtlama olmaksızın akıllı telefondaki depolanmış verilere erişebilir. Ancak, akıllı telefonda süper kullanıcı ayrıcalıkları devre dışı bırakılırsa, bu durumda bazı Android akıllı telefonlar bootloader modu veya kurtarma modu kullanılarak edinilebilir. İnceleyici, bu teknikleri bu tür akıllı telefonlara uygulama imkânını değerlendirmelidir. İncelemeciler tarafından kullanılabilen mevcut mobil cihaz adli araçları, Cellebrit UFED ve Oxygen Forensic gibi verileri edinmek için kullanıcı ayrıcalıklarını kullanmazlar. Bunun yerine Cellebrit UFED, bootloader modunu kullanır. Dahili belleğin tam bir kopyasını kurtarmak için etkili bir mobil aygıt adli aracı seçmek, adli bilişim görevlisine kalmıştır.

Erişim Kontrol Prosedürüyle Akıllı Telefonun Veri Edinimi

Android çalışma zamanı bölümü, Android için özel olarak tasarlanmış ve optimize edilmiş bir Java Sanal Makinesi türü olan Dalvik Sanal Makinesi (DVM) adı verilen önemli bir bileşen sunmaktadır [8]. Ayrıca, geliştiricilerin standart Java programlama dili [8] kullanarak Android uygulamaları yazabilmesini sağlayan çekirdek kütüphaneleri seti de sağlıyor. Çekirdek kütüphanelerin ve DVM’nin bir kümesi, çalışan her uygulamanın DVM’nin kendi örneğini bulundurduğu ve kendi işlemi içinde yürüdüğü bir Android çalışma zamanı oluşturur [9]. Android akıllı telefon, bir şifre veya desen gibi erişim kontrolü kullanarak kilitlenebilir. NIST’e göre [12], kilitli akıllı telefonlara erişmenin üç yolu vardır:

  1. Araştırmacının olası geçerli parolaları istediği araştırma yöntemi.
  2. Araştırmacının akıllı telefona erişmek için yıkıcı olmayan bir prosedürü gerçekleştirmesi gereken donanım yoluyla erişim. Bu yöntem üreticilerin ve yetkili servis merkezlerinin desteğini gerektirmektedir.
  3. Yazılımsal erişim yöntemleri, mobil cihaz modeline ve Android sürümüne bağlı olsa da genellikle en kolay yoldur.

İnceleyici kanıttan ödün vermekten kaçınmak için en az müdahaleci yöntemi kullanmalıdır. Akıllı telefon ele geçirildiğinde şifre veya model elde edilmişse, test edilmelidir. İnceleme başarılı olmazsa, akıllı telefonun bir ADB aracı kullanarak USB hata ayıklama bağlantılarını kabul edecek şekilde yapılandırılıp yapılandırılmadığını kontrol etmelidir. Başarılı olursa, edinme sürecini devam ettirmek için süper kullanıcı erişim denetimi ayrıcalıkları kazanmaya çalışmaktadır. Akıllı telefona süper kullanıcı erişim kontrolü için herhangi bir ayrıcalık olmadığında bile, denetçi, erişim kontrol sistemini atlamak için ADB aracı aracılığıyla uygulamalar yükleyebilir. Erişim kontrol sistemini atlamak mümkün olmadığı veya USB hata ayıklama erişiminin devre dışı bırakıldığı durumlarda, akıllı telefona takılabilen çıkarılabilir hafıza kartından veriler alınabilir.

FİZİKSEL EDİNİM

Daha önce bahsedildiği üzere edinimi gerçekleştirilecek cihazın kendi işletim sistemine ait dosya sistemi içerik sağlayıcısı aracılığı ile elde edilen edinimler mantıksal edinim olarak adlandırılır. Bu yöntemle edinilecek veriler disk ortamında bulunan verilerin birebir karşıklıkları değil işletim sisteminin sunduklarıdır. Böyle bir edinimde doğal olarak kullanıcı tarafından silinmiş dosyalar edinilemez.

Fiziksel edinim ise verilerin kayıt edildiği disk ortamına (RAM, eEPROM, ROM vb) işletim sistemi fonksiyonlarını devreden çıkartarak doğrudan erişmeyi ifade eder. Bu yöntemde dosya sistemi bilgileri kullanılsa da elde edilebilecek veri miktarı çok daha fazladır ve sistem hakkında birçok bilgi sunar. Fiziksel edinimde edinimi gerçekleştiren araç doğrudan disk verisini kendisi okur.

Linux Bellek Çıkarıcı (LiME)

LiME aracı 2012’de J. Sylve ve diğerleri tarafından piyasaya sürülmüştür. [4]. Android’den, uçucu belleği elde (RAM) etmek için kullanılan açık kaynaklı bir adli araçtır. LiME, bellek sayfalarını adli olarak sağlam bir şekilde elde edebilen dmd adlı yeni bir yüklenebilir çekirdek modülünü temel almaktadır. Akıllı telefondaki SD’ye veya ağ üzerinden hafızayı almayı destekler. Dmd modülü şööyle gibi çalışır: sistem RAM’inin fiziksel bellek adres aralıklarını öğrenmek, her bellek sayfasında fiziksel adresleri sanal adreslere çevirmek, tüm bellek sayfalarını okumak ve TCP soketinin SD’sine yazmak için çekirdek yapısını ayrıştırır. LiME aracı önemli özellikler sunar [13]: edinme yani hedef cihaza aktarmak için sadece dmd modülü gereklidir, bellek dökümü için çok az sayıda çekirdek işlevi gereklidir, dmd modülünün yüklenmesi asgari ayak izi oluşturur ve kullanıcı alanı ile minimum etkileşimi kurar. Sonuçlar sayfaların yaklaşık %99.46’sının TCP bağlantısı üzerinden doğru olarak yakalandığını ve sayfaların % 99.15’i SD karta doğru yazıldığını gösteriyor. Önerilen modül tüm Android cihazlarını destekliyor ancak yine de genel bir modül olarak değerlendirilmiyor. Ayrıca, Wächter [14], modelin belirlenmesi, Android sürümünün belirlenmesi, ekranı kilitleme, süper kullanıcı yetki istismarı, kaynakların kullanılabilirliği, çekirdek konfigürasyonu ve kanıt erozyonu nedeniyle LiME aracının kollukta adli olmasının pek çok nedenden dolayı mümkün olmadığı sonucuna varmıştır.

Android Fiziksel Döküm (APD)

APD, S. Yang ve ark. Tarafından geliştirilmiştir. [15]. Bu araç, Android akıllı telefonların bellenim güncelleme protokollerini analiz etmeye dayanmaktadır. Bu nedenle, Android cihazların önyükleme yükleyicisinin Android güncelleme protokolleri aracılığıyla dahili belleğe erişir. Hem bölüm hem de tüm belleğin dökümünü almayı destekliyor. APD’yi kullanarak edinilen verilerin biçimi, akıllı telefon adli analiz araçları aracılığıyla analiz edilebilen ham verilerdir. Yazarlar, önerilen yöntemin edinilen verilerin bütünlüğünü garanti ettiğini ispatladı. APD’nin veriyi yüksek hızda aldığını gösterdiler; UFED 4PC ortalama 120 dakika sürerken, 32 GB belleğin dökümünü almak yaklaşık 30 dakika aldı. APD, ekran kilidi nedeniyle kısıtlamaya rağmen yürütülebilir; Normal önyükleme modundan ziyade telefonu kapatarak ve bellenim güncelleme modunda yeniden başlatarak. APD aracı, en yeni Android modellerinin 80’inden fazlasını destekler. Bununla birlikte, yöntemin en büyük dezavantajı, yeni Android akıllı telefonlar her başlatıldığında üretici yazılımı güncelleme protokolünü analiz etmeyi gerektirmesidir.

Hawkeye

Hawkeye, Guido ve ark. Tarafından 2016 yılında fiziksel edinim amaçları için önerildi. [6]. Hawkeye’nin amacı, fiziksel edinim sırasında aktarılması gereken veri miktarını ve gereksiz verileri azaltmaya odaklanıyor. Böylece, toplam edinim süresini azaltır. Hawkeye, Android akıllı telefonları fiziksel döküm elde etmek için özel açılış veya kurtarma kipinde çalıştırıyor. Araç, tescilli marka aracını geçici olarak hedef akıllı telefonun RAM belleğine yükler. Araç temel hash ve bölümlerin bir listesini de sağlar. Araç, daha sonra USB aracılığıyla arka uç PMF mimarisine gerekli veri bloklarını belirleyip gönderecektir. Yazarlar birkaç nedenden ötürü PMF’yi seçtiler: resimleri otomatik olarak geri yazarak ham formata çevirme. Araç, bir bölümü veya akıllı telefonun dahili belleğini tam olarak alabilir. Hawkeye 16GB boyutunda dahili belleği 7 dk içinde başarıyla elde edebildi.

Adroid Memory Extractor (AMExtractor)

AMExtractor [3], Android cihazlardan uçucu hafıza (RAM) elde etmek için kullanılan bir araçtır. AMExtractor çekirdek alanında kod yürütmek için /dev/kmem aygıtını kullanır. Bu, yüklenebilir çekirdek modülünün kısıtlamasını önleyecek ve herhangi bir değişiklik yapmadan en son stok ROM’larda çalışma olanağı sağlayacaktır. AMExtractor hedef akıllı telefonun kaynak koduna ihtiyaç duymaz ve çoğu Android işletim sistemi sürümüyle uyumludur. Diğer araçların aksine AMExtractor, hedef akıllı telefonlar üzerinde minimum etkiye sahip olduğu için çekirdek modunda çalışır. Ayrıca, cihazı çekirdek modunda çalıştırmak, veri kopyalamayı en aza indirir ve gizli verileri kullanıcı modunda iken inceler. H. Yang ve ark. [3], AMExtractor kullanılarak elde edilen verilerin, LiME’yi kullanarak elde edilen verilerle neredeyse aynı olduğunu gösterdi.

Androphsy

ANDROPHSY, 2015 yılında I. Akarawita ve ark. tarafından geliştirilen açık kaynaklı bir araçtır. [16]. Dijital adli süreçlerin tüm safhalarını destekleyen ilk açık kaynak araçtır. ANDROPHSY mimarisi dört ana modülden oluşur: vaka işleme, edinme, analiz desteği ve raporlama modülü. Vaka işleme modülünde, özel durum için vaka oluşturma ve yedek arşiv işlevleri sağlanmaktadır. Edinim modülü fiziksel ve mantıksal edinim sağlar. Analiz modülünde, çıkarılan verilerin tam bir inceleme ve analizi. Ve son olarak raporlama modülü, PDF formatında bir rapor oluşturmayı sağlar. Bu aracı kullanmak için tek bir .jar dosyası ve yapılandırma komut dosyası ayrı ayrı kurulmalıdır. Bu araç ile fiziksel edinime odaklanan yazarlar, dd ve Android Debug Bridge (adb) komutları gibi düşük seviyeli Linux ve Android dahili adli işlevlerini ağırlıklı olarak kullanmışlardır. Adb komutları, Android akıllı telefonu ve USB üzerinden bağlı iş istasyonu arasındaki bağlantı ve iletişim süreçlerini yönetmek ve gerçekleştirmek için kullanılır. Dd komutu, ham görüntüleri fiziksel sürücülerden kurtarmak için kullanılan yerleşik bir komut satırı yardımcı programıdır. ANDROPHSY, veri değişimini en aza indirgemek için Linux çekirdeğini kök erişimi kazanmak için kullanır. Kimlik doğrulama ve gizlilik için kullanıcı erişim kontrolü ve vaka yönetimi sağlar. SD kartı edinim hedefi olarak kullanmaz. Bunun yerine, veriler TCP bağlantısı üzerinden aktarılır.

Android Digital Autopsy (ADA)

ADA, 2016 yılında R. Fasra ve diğerleri tarafından geliştirilen, açık kaynak kodlu bir dijital adli araçtır. [17]. Araç, fiziksel, mantıksal ve dosya sistemi edinimi gerçekleştirir. Yazarlar multimedya kartı (MMC) bölüm düzenine sahip bir cihaz kullandılar. Fiziksel edinme sürecini otomatikleştirmek için geliştirilmiş bir komut dosyası yazıldı. Komut dosyası veri bloklarını tanımlar, daha sonra kök erişimini kazandıktan sonra blokların RAW görüntülerini elde etmek için dd komutunu kullanır. Elde edilen veriler, daha sonra harici bir hafıza kartına, yani SD karta depolanmaktadır. Önerilen araçla birlikte, yazarlar ADA Analiz Aracı’nı geliştirdiler, ancak ne yazık ki bu mantıksal edinim içindir.

Cellebrite UFED

Cellebrite UFED [18], Android gibi çeşitli cihazlar ve platformlarda fiziksel, mantıksal, dosya sistemi ve şifre alımını gerçekleştiren ticari bir adli araçtır. Ayrıca, çözme, analiz ve raporlama da gerçekleştirir. UFED, tüm Android işletim sistemi sürümlerinden veri edinebilir.

Oxygen Forensic Suite

Oksijen Forensic Suite [19], çok çeşitli akıllı telefonları destekleyen önde gelen adli tıp araçlarından biridir. Bu, tüm dünyada 50’den fazla ülkede Yasa Uygulayıcılar, ordu, polis departmanlrı ve diğer hükümet yetkilileri tarafından kullanılır. Araştırmacılar, Android akıllı telefonlarının fiziksel olarak edinilmesini, gelişmiş incelemesini ve akıllı telefondan çıkarılan ham görüntülerin ve cihaz görüntülerinin analizini yapmalarını sağlar. Desteklenen akıllı telefonların tamamen otomatik bir şekilde edinilmesi ve analiz edilmesine olanak tanır. Yaklaşık 45 dakika içinde 16 GB akıllı telefon edinebilir. Akıllı telefon faaliyetlerini özetleyen denetmen için iyi tanımlanmış bir rapor sunar.

XRY Physical

MSAB [20], özütleme, analiz etme ve raporlama için ürünler sağlar. XRY Fiziksel araç, hedef cihazı değiştirmeden dahili belleğin ve çıkarılabilir medyanın çıkarılmasını destekler. Ayrıca, kullanıcıların bellek imajının karma değerlerini ve ayrıca tek tek çözülen dosyaları oluşturmalarına olanak tanır. XRY Fiziksel, işletim sistemini atlayarak hedef akıllı telefondan ham verileri kurtarır ve silinen verileri hedef akıllı telefondan daha derinlemesine gidip kurtarma şansı sunar. Fiziksel özütleme iki ayrı aşamaya ayrılır: ilk veri tabanı, ham veriler akıllı telefondan alınır ve kod çözme aşaması, burada araç veriyi otomatik olarak anlamlı bilgiler haline getirir. Çıkarılan veriler XAMN Spotlight tarafından görüntülenebilir.

Device Seizure

DS [21] fiziksel, mantıksal, dosya sistemi ve şifre elde etmeyi desteklemektedir. Edinilen tüm veriler hakkında eksiksiz bir analiz ve rapor sunar. Geniş platform ve cihaz yelpazesini destekler. Android için 4.4.2’ye kadar fiziksel imaj alımlarını destekler (sürüm 3 hariç). DS minimum sistem gereksiniminin düşük olması nedeniyle herhangi bir cihazda çalışabilir. Önemli kanıtlar için akıllı telefonun bellek dökümünü arayabilir [22].

MOBILedit! Forensic

MOBİLedit! Forensic [23], birkaç tıklamayla akıllı telefonda saklanan silinmiş veriler de dahil olmak üzere tüm verileri almak, aramak ve görüntülemeye izin verir. Bu araç, Android ve iOS tarafından desteklenen tüm akıllı telefonları destekleyebilir. Sıklıkla güncellenir ve daha fazla akıllı telefonu desteklemek için yeni özellikler eklenir. Araç, bu kanıtların elde ediliş şekli ve sunulması biçimini değiştirmiştir. Mahkeme salonunda sunulmaya hazır ayrıntılı adli raporlar üretir. Rapor herhangi bir dilde üretilebilir.

ViaExtract

ViaExtract [24] ViaForensics tarafından oluşturulan fiziksel ve mantıksal bir çıkarma aracıdır. Android akıllı telefonlar için rehberli veri toplama, güçlü analiz ve esnek raporlama özellikleri sunar. ViaExtract, yalnızca bir düğmeyi tıklatarak çoğu akıllı telefonun kök erişimini elde etmek için cihaz root’lama sihirbazını kullanır. Bu araç, incelemecilerin dahili ve harici depolamadan veri çıkarmak için şifreyi kırmalarına izin verir. Hızlı ve kullanımı kolay bir global arama özelliği sunar. Bu özellik, denetleyicinin, halihazırda açık olan tüm incelemelerde çıkarılan tüm içerik türlerini bir kerede aramasına izin verir. ViaExtract popüler Android akıllı telefonların çoğunda çalışır.

Examiner Plus (MPE +)

MPE + [25] gelişmiş akıllı telefon edinme ve analiz özelliklerine sahip bir mobil cihaz inceleme aracıdır. Geniş platform ve cihaz yelpazesini desteklemektedir. İncelemecilerin veriyi hızlı bir şekilde toplamasına, kolayca tespit etmesine ve etkili bir şekilde elde etmesine izin verir. DS gibi, MPE + da önemli bir kanıt için bir akıllı telefonun bellek dökümünü arayabilir [22]. Piyasada bulunan diğer araçlardan %30 daha hızlı iOS ve Android cihazlarından veri edinebilir. MPE +, sağlam ve üstün bir analiz araçları kümsesi içerir. Fiziksel edinimi gerçekleştirmek için, hedef telefona takılması gereken boş bir adli SD kartı, MPE + ‘nın ajanını geçici olarak saklar. Root yetkisi kazanmak için 3. Parti araçlara ihtiyaç duyar.

FİRMWARE PROTOKOLÜNE DAYALI EDİNİM

2014 yılının üçüncü çeyreğinde Android işletim sistemi, akıllı işletim sistemi pazar payının yaklaşık %84’ünü oluşturdu (Smartphone OS Pazar Payı 2014 yılının 3. çeyreği). Android akıllı telefon pazarının boyutu artık PC pazarınınkini aşıyor, sürekli olarak kişisel ve iş kullanımı için çeşitli teknolojiler ortaya çıkıyor (Bring your own device, 2014). Bu eğilim, silinen dosyaların geri getirilmesine ve analiz edilmesine yardımcı olmak için flash belleğin fiziksel olarak edinilmesine yönelik araştırmaların özellikle gerekli olduğu Android forensics’in önemini de arttırmaktadır.

Mevcut Android fiziksel edinim yöntemleri şu sorunlara sahiptir: İlk olarak, çoğu adli araç, Android çekirdeğinin güvenlik açıklarını suistimal ederek veya özel image (işletim sistemi) (Rooting (Android OS), 2014; Vidas ve diğerleri, 2011) kullanarak akıllı telefonlardan veri toplamaktadır. Bununla birlikte, bu güvenlik açıkları sürekli olarak kapatılmakta ve çoğunlukla fiziksel bellek dökümü zafiyetlerinin giderildiği daha güvenlikli sürümler haline gelmekte. Ayrıca güvenlik teknolojilerinin son uygulamaları (Secure boot, 2014; Samsung KNOX, 2014) akıllı telefonlardan veri edinmeyi daha da zorlaştırıyor. İkinci olarak, özel kurtarma görüntüsünün (recovery image) değiştirilmesine dayanan döküm yöntemi (Son ve ark., 2013), kullanıcı verilerinin bütünlüğünü dikkate alan tek yaklaşımdır. Bununla birlikte, bu yöntem, özel kurtarma görüntüsünü cihaza yazmayı gerektirdiğinden, tüm flash bellek dökümünün bütünlüğünü garanti etmemektedir. Üçüncüsü, mevcut adli araçlar, akıllı telefonlardan veri edinmek için Android Hata Ayıklama Köprüsü (ADB) protokolünü kullanıyor. Bu nedenle, ekran deseni veya kullanıcı şifresi ile kilitlenmiş akıllı telefonlardan veri edinmek zordur (USB hata ayıklama devre dışı). Bu sorunları çözmek için, Android akıllı telefonların firmware güncelleme protokollerini analiz etmeye dayanan yeni bir fiziksel edinim yöntemi önermekteyiz.

Yazılım (S/W) tabanlı ve donanım (H/W) tabanlı edinme yöntemleri esas olarak Android akıllı telefonlardan veri edinmek için kullanılmaktadır. S/W tabanlı edinme yöntemleri, mantıksal edinim ve fiziksel edinim olarak ikiye ayrılmıştır. Mantıksal edinim yöntemleri, bir akıllı telefonda depolanan kullanıcı verilerini ADB Yedekleme (Android Backup Extractor, 2014) veya İçerik Sağlayıcı (Hoog, 2011) aracılığıyla edinir. Bununla birlikte, bu yöntem yalnızca arama geçmişi ve resimler gibi kayıtlı dosyaları alır ve silinen dosyaları elde etmek için kullanılamaz. Fiziksel edinme yöntemleri, genel olarak USB kablosunu taktıktan sonra verileri doğrudan akıllı telefonun flash belleğinden çıkarır. Flaş belleğinin fiziksel olarak dökümünü gerçekleştirmek için öncelikle bir yönetici ayrıcalığı edinmek için root’lama işlemi gerçekleştirilmelidir. Root’lamaya dayalı edinim çalışmaları, bilimsel çalışmalarda ortaya konmuştur (Hoog, 2009; Lessard and Kessler, 2010). Bu çalışmalar, HTC akıllı telefonlarını geliştiren ve ADB kabuğu kullanan edinim yöntemleri de dahil olmak üzere Android adli bilişim konularını tartışır. Bununla birlikte bu yöntemler yalnızca USB hata ayıklama modu etkinleştirildiğinde veri edinmek için kullanılabilir. Ticari adli araçlar (Oksijen Forensic, 2014; AccessData MPE+, 2014; MSAB XRY, 2015) de bu yöntemi kullanmaktadır. Ancak, akıllı telefon açıldıktan sonra root’lama işlemi gerçekleştirildiğinden; Veri edinildiğinde bütünlük zarar görür. Buna ek olarak, Android işletim sistemi yeni bir sürümle güncellendiğinde, root’lamaya izin veren mevcut güvenlik açıklarına düzeltme eklenir ki bu nedenle, Android OS güncellendiğinde yeni bir root’lama tekniği bulunmalıdır. Cellebrite UFED 4PC (2015), kötüye kullanma yoluyla (exploit) temelde bir ADB fiziksel bellek dökümünü desteklerken bazı Samsung modelleri, özel bir önyükleme yükleyicisi aracılığıyla fiziksel bellek dökümünü desteklemektedir. Bununla birlikte, bu yöntemde, her modelin fiziksel bellek dökümü için ortak bir yükleyici yüklemek yerine farklı bir önyükleyici yüklenmesinin gerektiği bir sorunu vardır.

Bununla birlikte, USB hata ayıklama genellikle devre dışı olduğu için, desen kilidi veya kullanıcı şifresi ayarlandıysa bu yöntem geçerli değildir. Dahası, Secure Boot ve Samsung KNOX teknolojileri son zamanlarda Android’e uygulandığında, gelecekte bu edinim yöntemini kullanırken zorlaşacak olan özel imajların yazılması konusunda kısıtlamalar gelecektir.

Flash cihazları (RIFF Box, 2014, ORT aracı, 2014; Z3X box, 2014) mobil cihazlardan veri çıkarmak için de kullanılır. Bununla birlikte, bu araçların ana işlevi S/W hasarına uğramış kırılmış telefonları düzeltmektir. Dolayısıyla bu araçlar genel adli araçlar olarak düşünülmez.

H/W tabanlı edinme yöntemleri, JTAG tabanlı edinimi (Kim ve ark., 2008; Breeuwsma ve ark., 2007) ve Chip-off tabanlı edinimi (Jovanovic, 2012) içerir. JTAG tabanlı erişim yöntemi, akıllı telefonun PCB kartı üzerindeki JTAG hata ayıklama ara yüzünü kullanarak verileri flaş bellekten okur ve kopyasını çıkartır. Chip-off tabanlı yöntem, flash bellek yongalarını akıllı kartların PCB kartından fiziksel olarak ayırmayı ve flash belleğin ham verisini kopyalamayı temel alır. JTAG tabanlı edinme yöntemi sorunludur çünkü tüm akıllı telefonlar JTAG soketine sahip değildir ve veri edinmek uzun sürer. Chip-off tabanlı bilgi toplama yöntemi, flash belleği ayırdığı için sınırlı durumlarda kullanılır ve uygulanması ayrı bir uzmanlık gerektirir.

Flash bellek, esasen akıllı telefonlara veri depolamak için kullanılır. Flaş bellek fiziksel olarak küçük olduğundan ve çok miktarda veri depolayabildiğinden, akıllı telefonlar ve gömülü cihazlarda yaygın olarak kullanılmaktadır. Son zamanlarda, NAND flaşının ve bir denetleyiciyi ile aynı pakete entegre edildiği bir gömülü Multi-Media Card (eMMC), EXT4 dosya sistemini kullanarak depolanan verileri yönetmektedir. Ayrıca, BOOT, RECOVERY, SYSTEM ve USERDATA gibi bölümleri kurar ve çalıştırır. Tüm flash belleğin fiziksel dökümünden önce bir yönetici ayrıcalığı edinilmelidir. Yönetici ayrıcalığını elde etmek için BOOT bölümünde özel bir image üzerine yazılır ve bir uygulama (SuperUser.apk) veya bir binary dosya (/system/su) SİSTEM bölümüne kaydedilir. Buna ek olarak, yönetici ayrıcalığı, kurtarma modunda elde edilen root yetkisi ile veya Android işletim sistemindeki güvenlik açıklarından yararlanma yoluyla elde edilir. Genel olarak, Google’ın FASTBOOT (Android software development-fastboot, 2014) adlı özel bir imajı flash’a yazma için kullanılır. Her bir üretici kendi firmware güncelleme programlarını (Samsung Kies, 2014; Samsung Odin, 2014; LG Yazılım ve araçları İndirme, 2014; Pantech SelfUpgrade, 2014; HTC Sync Yöneticisi, 2014; Sony PC Companion, 2014; Xiaomi Xiaomi Smartphone için MiFlash’i İndirin) , 2015) kullanır. Google tarafından sağlanan FASTBOOT aracılığıyla basitçe firmware yazılmasını önlemek için bir protokol yayınlanmamış olduğundan sadece orijinal üretici yazılımı flash’a yazabilir. Ürün yazılımı güncelleme işlemi, yalnızca akıllı telefonlar yazılım güncelleme veya indirme modu adı verilen özel bir mod’a girdiğinde çalışır. Bu modda yalnızca ön yükleyici ve USB işlevi çalışabilir ve yeni bir sistem firmware’i (ya da işletim sistemi) yazılabilir. Güncelleme işlemleri ve komutları, IDA Pro (HexRays, 2015) gibi bir araç kullanarak önyükleyici (boot loader) ve firmware güncelleme programının tersine mühendisliği ile analiz edilebilir.

Ürün Yazılımı Güncelleme Protokollerine Dayalı Android Fiziksel Edinimi

Adli bakış açısından, kullanıcı verilerini içeren flash bellek, veri edinimi sırasında ana hedeftir. Bu işlem, mantıksal bir edinim yöntemi yerine tüm flash belleği elde etmek için fiziksel bir edinim yöntemini gerektirir. Üretici yazılımı, güncelleme işlemi sırasında, Android OS ya da S/W sorunlarını gidermek için flash belleğine yazılır. Flaş belleğine doğrudan S / W aracılığıyla erişmenin tek yolu bir firmware güncelleme protokolüdür ve bundan dolayı firmware güncelleme işleminde kullanılan komutları analiz ederek yeni bir fiziksel bellek edinme yöntemi türetebiliriz.

Şimdiye kadar var olan adli edinim/imaj alma araçlarının sorunlarını çözmek için yazılım güncelleme protokollerini analiz eden bir araştırma yoktu. Bu çalışmada, LG, Pantech ve Samsung akıllı telefonları tarafından kullanılan üretici yazılımı güncelleme protokollerini analiz ettik. LG ve Pantech modellerinde, flash belleğe doğrudan erişim ve yazma komutlarının yanı sıra flash belleğin kopyasını çıkartmak için kullanılabilecek okuma komutlarının da yer aldığını gördük. Samsung modellerinde, flash belleğin dökümünü almak için daha önceden okuma komutlarının bulunduğunu doğruladık, ancak yeni versiyonlarda kaldırıldığını gördük. Bu analitik sonuçlara dayanarak, Android akıllı telefonlar için yeni bir fiziksel edinim yöntemi öneriyoruz.

Firmware Güncelleme Protokolü

Bir Android akıllı telefon açıldığında veya yeniden başlatıldığında, ROM’un 0. Adresinden itibaren yüklü bir proses çalıştırılır ve CPU yapılandırması da dahil olmak üzere başlatma işlemleri gerçekleştirilir. Sonra, önyükleyici belleğe yüklenir ve H/W (donanımlar) başlatılır ve NAND ve USB gibi bileşenler kullanım için yapılandırılır. Bootloader uygulaması, Initial BootLoader (IBL), Primary BootLoader (PBL), Secondary BootLoader (SBL) gibi bir çok aşamadan geçerek Android modeline bağlı olarak SBL önyükleme yükleyicisinde veya ABOOT önyükleme yükleyicisinde bir firmware güncelleme protokolü çalıştırılır.

Bir tersine mühendislik aracını kullanarak, önyükleme yükleyicisini analiz etmek ve firmware güncellemeleri için kullanılan komutları tanımlamak mümkündür. Yazılımı güncellemek veya flash belleğe erişerek veri edinmek için akıllı telefon normal önyükleme modundan ziyade yazılım güncelleme modunda olmalıdır. Bu modda yalnızca önyükleyici ve USB modülü etkinleştirildiğinden, edinilen verilerin bütünlüğü, fiziksel edinme işleminden sonra bile birçok kez garanti edilir. Dolayısıyla, incelemesi yapılan kanıt telefonu, güç kapalıyken bellenim güncelleme modunda önyüklenir ve daha sonra fiziki edinme yapılırsa, flaş belleğin bir görüntüsünü almak için bütünlük korunabilir. Şekil. 1, Samsung, LG ve Pantech akıllı telefonlar yazılım güncelleme modunda önyüklendiğindeki ekran görüntülerini göstermektedir. Üretici yazılımı güncelleme moduna girerken kullanılan yazılım güncelleme modunu ve yöntemlerini belirten terimler, üreticiler arasında farklılık gösterir.


Şekil 1 – Firmware güncelleme modları (Samsung, LG, Pantech)

Tablo 1, bir akıllı telefon önyükleme yapıldığında firmware güncelleme moduna girme yöntemlerini göstermektedir. USB Jig, akıllı telefonlar için firmware güncelleme moduna giren basit bir devredir. Samsung ve LG akıllı telefonlar, microUSB konektörünün 4 ve 5 numaralı pinleri arasında 300 K ve 910 KOhm’luk dirençlere (XDA geliştiricileri, 2012a, 2012b) göre yazılım güncelleme moduna girilebilir. Bu USB İzolasyon kabloları, Orijinal Donanım Üreticisi (OEM) kilidini açmak gibi mevcut sınırlamaların üstesinden gelmek için kullanılamaz.

LG Firmware Güncelleme Protokollerinin Analizi

LG akıllı telefonlar için, LG tarafından sağlanan önyükleyici ve güncelleme programını (LG Software & Tools Download, 2014) ayrıştırarak firmware güncelleme süreçlerini ve komutlarını analiz ettik ve flaşın kopyasını almak için kullanılan okuma komutunu tespit ettik.

LG Firmware Güncelleme Komutları

LG firmware güncelleme protokolü, bir komut paketi gönderme ve bir cevap paketi alma şeklinde çalışır. Paketler, HDLC bayrağı (0x7E) ve ardından paket veri ve Döngüsel Yedekleme Kontrolü (CRC) -16’dan başlayan ve HDLC bayrağı (0x7E) ile biten Üst Düzey Veri Bağlantısı Kontrolü (HDLC) çerçeve yapısını kullanır. Şekil. 2 LG telefonlarının firmware güncelleme komutunu yapısını göstermektedir.

Model Modun adı Tuş bileşimi
Samsung Galaxy ODIN Aynı anda, Ses Azaltma, Ev ve Güç tuşuna basıp basılı tutun (ardından Ses Seviyesini Artır tuşuna basın) veya 300 Kohm USB Jig bağlayın
LG Optimus DOWNLOAD Sesi Açma tuşunu basılı tutun telefonu mikroUSB kablosuyla bilgisayara takın veya 910 K ohm USB Jig bağlayın
Pantech Vega PDL Download Ses Seviyesini Arttır, Ses Azalt, Ev ve Güç tuşuna aynı anda basılı tutun
Google Nexus 4/5 DOWNLOAD Sesi Açma tuşunu basılı tutun telefonu mikroUSB kablosuyla bilgisayara takın veya 910 K ohm USB Jig bağlayın.

Tablo 1 – Firmware güncelleme (download) moduna girme yöntemleri


Şekil 2 – LG Firmware güncelleme komut yapısı

LG firmware güncelleme moduna girdikten sonra, cihaz bilgilerini, GUID Partition Table (GPT) bölüm bilgilerini ve hafıza bilgilerini edinme komutları kullanılabilir. Tablo 2 LG firmware güncelleme komutlarını göstermektedir.

LG firmware güncelleme işlemleri aşağıdaki gibidir.

  1. Cihaz bilgisini alın: 0x00.
  2. İndirme moduna geç: 0x3A.
  3. Sorgu özellikleri (Protokol ver., Vb.): 0x2F.
  4. Partition bilgisini alın: 0x30.
  5. Fabrika bilgilerini alın: 0xFA.
  6. Sektör yazın (Birincil GPT): 0x39.
  7. Bölümü yazmaya devam edin: 0x39.
  8. İndirme tamamlandı: 0x38.
  9. Sistemi yeniden başlatın: 0x0A.
      1. LG flash bellek döküm komutu

Önyükleme yükleyicisinde firmware güncelleme komutlarının tersine mühendisliği ile elde edilen sonuçlara dayanarak, Tablo 2’de gösterilenlere ek olarak flaş bellek için okuma komutlarını belirledik. Şekil 2 LG Optimus G modelinde (LG-E975) SBL3 önyükleme yükleyicisinin tersine mühendislikle elde edilen flash bellek için okuma komutunu (0x50) göstermektedir.

Firmware güncelleme moduna Tablo 1’de açıklanan işleme göre girildikten sonra, flash bellek ve GPT bölüm bilgisi boyutunu elde etmek için flash bellek bilgisi edinme (0x30) komutu gönderilir. Elde edilen bilgi, flash bellek boyutunu, bölüm sayısını, başlangıç ​​adresini, bitiş adresini ve her bir bölümün adını içerir. Flash bellek (0x50) için okuma komutu başlangıç ​​adresi ve döküm boyutu ile gönderilir ve daha sonra istenen boyut kadar flaş bellek verilerisi elde edilebilir.

Komut Açıklama
0x00 Cihaz bilgisini al (model, derleme tarihi)
0x3A Download moduna git
0x2F Protokol ve algoritma versiyonunu getir
0x30 MMC ve bölüm tablosu bilgisini getir
0xFA Fabrika bilgilerini getir (IMEI, MAC adresi)
0x12 RAM belleği oku
0x39 Flash belleği yaz
0x0A Sistemi resetle

Tablo 2 – LG firmware güncelleme komutları


Şekil 3 – . LG SBL3 ön yükleyicisinin tersine mühendislik yapılması



Şekil 4- LG okuma komutu formatı (0x50)

Şekil 4, flaş belleğin içini okuma komutunun (0x50) biçimini gösterir. Şekil 5, bir veri toplama örneğini göstermektedir. Tüm modellerin fiziksel olarak edinilmesi, Android işletim sisteminden ve çekirdek sürümünden bağımsız olarak okuma komutu kullanılarak gerçekleştirilebilir. Dahası, yazılım güncelleme modunda önyükleme yapıldığından, döküm görüntüsünün bütünlüğü daima korunur.

Android’in Fiziksel Edinimi

Makalede önerilen edinim yöntemini kullanarak, C++ ‘da Android Physical Dump (APD) adlı bir edinim aracı geliştirdik. Şekil 10 APD aracını göstermektedir. Bir USB kablosuyla bağlandıktan sonra fiziksel olarak edinme butonları tıklanır.

Desteklenen Modeller

APD aracı şu anda en yeni Android modellerinin 80’inden fazlasını destekliyor. Şu anda, APD, LG Optimus, Pantech Vega ve Google Nexus modellerinden fiziksel çöplükler yapabilir. Desteklenen modellerin temsili örnekleri şunlardır: LG G3, G2, G, Pantech R3, Iron2, Nexus 4/5 ve G Watch.


Şekil 10 – Android Physical Dump (APD)

Firmware Güncelleme Modunda Başlatma

İlk fiziksel döküm adımında, cihaz yazılım güncellemesi modunda önyüklenir. Akıllı telefonlar, AT komutu veya indirme modu komutu aracılığıyla firmware güncelleme moduna girebilir. Bununla birlikte, fiziksel bellek döküm alma işlemi, normal bir önyükleme sonrasında gerçekleştirilirse, edinilen verilerin hash değeri değişebilir. Bu nedenle, telefon ele geçtikten sonra kapatılması ve ürün yazılımı güncelleme moduyla önyüklemesi yapılmalıdır.

Telefona Bağlanma ve Model Bilgisini Edinme

Bir USB kablosu kullanarak akıllı telefona bağlayın. USB sürücüsü önceden kurulmuş olmalıdır. USB sürücüsü üreticinin web sayfasından indirilebilir. Bir USB kablosu bağladıktan sonra, Model ve GPT bilgilerini al düğmesini seçin. Kullanıcı yalnızca üreticiyi seçerse, akıllı telefon model adı otomatik olarak görüntülenir.

Model bilgilerini aldıktan sonra, GPT bölüm bilgisi komutu gönderilerek bölüm bilgisi elde edilir. Şek. 10’da, pencere her bölüm için bölüm adını, başlangıç ​​adresini ve bitiş adresini sunar.

Fiziksel Edinim

APD aracı, bir bölüm dökümünü ve tüm flash bellek dökümünü gerçekleştirmek için uygulanmıştır. Seçilen Bölümleri edinme düğmesi tıklandıktan sonra, ilgili bölümün fiziksel bir dökümü gerçekleştirilir. Döküm işlemi bittikten sonra, döküm görüntüsünün döküm süresi ve MD5 hash değeri Döküm Günlük penceresinde görüntülenir.

Full Dump butonu tüm flash belleği almak için seçilir. Fiziksel edinme işlemi, edinilen GPT bölüm bilgisindeki flash belleğin başlangıç ​​ve bitiş adreslerini kullanarak yürütülür. Edinim işlemi tamamlandıktan sonra, araştırmacı bilgileri, edinim aracı bilgileri ve döküm bilgisi Şekil 10’da gösterildiği gibi görüntülenir. Döküm bilgileri, hesaplanan MD5 hash değerini ve döküm görüntüsünün başlangıç ​​zamanı ve bitiş süresini gösterir. Hash değerinin hesaplanması, döküm imajının bütünlüğünü kontrol etmek için önemlidir.

APD aracını kullanarak elde edilen dosya ham veri formatıdır ve akıllı telefon adli araçları (Cellebrite UFED Fiziksel Analiz Cihazı 2015, Rehberlik EnCase, 2014, R-Linux, 2014) aracılığıyla analiz edilebilir.

Denemeler

Android adli bilişim alanında en önemli faktörler, desen kilidi ve kullanıcı şifresi nedeniyle adli imajının bütünlüğünü, hızlı kanıt toplama ve alınan flash imajının bütünlüğünü garanti altına almaktadır. Bu üç faktöre dayanarak, bu çalışmada önerilen APD aracını en yeni Android akıllı telefonlarını kullanarak mevcut edinim yöntemleriyle karşılaştırdık. Karşılaştırılan araçlar arasında, özel kurtarma görüntüsünü temel alan iyi bilinen Cellebrite UFED 4PC, döküm yöntemi ve root’la istismarı yoluyla ADB fiziksel dökümü ve JTAG tabanlı edinim vardı. Tablo 5, elde edilen deneysel sonuçları göstermektedir. G3 (F400S, D851), Optimus G (F180S, E975), R3 (IM-A850S), Iron2 (IM-A910S) ve Nexus 4/5 (E960, D821) gibi farklı modeller kullanılmıştır. Flaş belleğini APD aracı ile dışarı alma işlemini tamamladıktan sonra, alınan imajın kalitesini belirlemek için elde edilen imaj Cellebrite UFED Fiziksel Analiz Cihazı (2015) kullanarak karşılaştırılmıştır.

Elde Edilmiş Görüntünün Bütünlüğünü Koruma

Bir önceki çalışmada (Son ve ark., 2013), kullanıcı verileri bütünlüğü bir JTAG tabanlı edinim yöntemi ile kontrol edildi. Bu yöntem, kullanıcı verilerinin bütünlüğünü sağlar, çünkü yalnızca özel imajı flash belleğe yazılmıştır. Bununla birlikte, flash belleğin kurtarma bölümü değiştirildiğinden, tüm flash belleğin bütünlüğü hasar görür. Edinim işlemi sırasında kullanılan Cellebrite UFED 4PC ile bütünlük de hasar görüyor çünkü edinim işlemi normal açılıştan sonra gerçekleştirilmektedir.

Buna karşılık, önerilen erişim yöntemi, tüm flash belleğin bütünlüğünü korumaktadır. Yazılım güncelleme modunda önyüklenir ve fiziksel bilgi edinme, flash bellek okuma komutunu kullanarak gerçekleştirilir. Böylece, tüm flash belleğin bütünlüğünün muhafaza edilip edilmediğini teyit etmek için JTAG tabanlı edinim yöntemini karşılaştırrılabilir. Sonuçların doğruluğunu sağlamak için, deney işlemi bir önceki çalışmada olduğu gibi yerine getirilmiştir (Son ve ark., 2013). Beş kez flash bellek edinimi gerçekleştirildikten sonra edinilen görüntülerin karma değerleri karşılaştırılmıştır.

Edinme Hızı

Akıllı telefonların kullanımındaki hızlı artış nedeniyle, analiz edilmesi gereken akıllı telefonların sayısı da hızla artıyor. İncelenmesi gereken telefonlarının sayısı büyük olduğundan, alanda 8 saati aşan bir edinme zamanı gerektiren JTAG tabanlı erişim yöntemini kullanmak kolay değildir. Bu nedenle, hızlı S/W tabanlı edinim yöntemleri sıklıkla kullanılır. Tüm flash bellek için edinme süresini karşılaştıran sonuçlar Tablo 5’te gösterilmiştir. Sonuçlar, 8 modelin edinme sürelerinin ortalama değerlerini temsil etmektedir. Önerilen yöntem, verileri bir bilgisayara göndermek için akıllı telefonun maksimum boyutunu ayarlayabildiğinden, diğer yöntemlerle edinme süresinden yaklaşık dört kat daha hızlıdır. 32 GB flaş bellek elde etmek için ortalama olarak 30 dakika gerekiyordu.

Açıklanan yöntem Cellebrite
UFED 4P
Özel kurtarma modu Root’larak ADB ile döküm alma JTAG yöntemi
Bütünlük garantisi 0 0 X X 0
Imaj alma hızı (32GB) 30 dk. 120 dk. 120 dk. 180 dk. 480 dk. a
Ekran kilitli akıllı telefonun imajı alma 0 0 X X 0
a JTAG tabanlı edinme yönteminde cihazı sökme ve adaptörü bağlantı süresi hariç tutulmuştur

Tablo 5 – Deney sonuçları

Ekranı Kilitli Akıllı Telefonlardan Fiziksel Olarak Edinme (USB Debug devre dışı)

Çoğu S/W tabanlı adli araç, fiziksel edinim için ADB protokolünü kullanır. ADB protokolünü kullanmak için akıllı telefonda USB hata ayıklamasının etkinleştirilmesi gerekir. Bununla birlikte, tüm Android akıllı telefonlar güvenlik nedenlerinden ötürü varsayılan olarak USB hata ayıklaması devre dışı bırakılmış olarak teslim edilir. Böylece, mevcut kazanım yöntemlerini uygulamak için USB hata ayıklamasının etkinleştirilmesi gerekir. Bu nedenle, bir desen veya kullanıcı şifresi tarafından kilitlenmiş (USB hata ayıklamalı devre dışı bırakılmış) bir akıllı telefondaki mevcut yöntemlerden birini kullanarak fiziksel edinimi gerçekleştirmek imkansızdır. Bu eksiklik, Android’in fiziksel edinimi alanında çözülmesi gereken önemli bir konudur. Bununla birlikte, önerilen yöntem bu sorunun üstesinden gelmektedir. Ekranı kilitli bir akıllı telefon olsa bile, telefon kapalıyken ve firmware güncelleme modunda yeniden başlatıldıktan sonra fiziksel olarak edinme gerçekleştirmek mümkündür.

Forensic Aracı Açık
Kaynak
Kullanıcı
Dostu
Ekran Kilitli Cihazdan Kurtarma Bütünlük Bölüm Dışarı
Veri
Aktarma
Adli Bilişim Süreçleri
Uyumu
Genel Amaçlı
LiME E H Bilgi yok Yüksek H TCP SD Kart H H
AMExtractor E H H Yüksek H TCP H H
APD H H E E E Bilgi yok H H
Hawkeye H H H E E Bilgi yok H H
ANDROPHSy E H E E E TCP E E
ADA E E H E H SD Kart H H
UFED H H E E H SD Kart, USB Flash Bellek E H
Oxygen H E E E H USB bağlantısı, Bluetooth E H
MSAB
XRY/XACT
H E E E H USB Bağlantısı E H
DS H E E E H USB Bağlantısı E H
MOBILedit! H E H E H USB Kablo, TCP E H
ViaExtract H E E Bilgi Yok H Bilgi Yok E H
MPE+ H E E H H Kablolar, Infrared, Bluetooth E H

Tablo -1: Adli Bilişim Araçlarının Karşılaştırmalı Tablosu

MOBİL CİHAZ YÖNETİM (MDM) YAZILIMI İLE DELİL ELDE ETME

MDM , Mobile Device Management (Mobil Cihaz Yönetimi) ifadesinin kısaltması olup, işletmelerin bilgi güvenliği için kullandığı en önemli teknolojidir. Mobil Cihaz Yönetim yazılımı akıllı telefonların yaygınlaşması ile birlikte kurumların cihazlarının güvenliğini sağlamak için tercih ettiği yazılımlardan olmuştur. Bir MDM yazılımı cihazın uzaktan izlenebilmesine ve yönetilebilmesine olanak tanır. Diğer taraftan MDM, akıllı telefon endüstrisinin bıraktığı güvenlik boşluklarına hitap eden hızla gelişen bir satış sektörüdür. Hükümetler ve endüstrideki mobil cihaz eğilimleri göz önüne alındığında, bir işletmede akıllı telefonu güvence altına alma gerekliliği ortaya çıkmaktadır. Bir kuruluşta güvenilmeyen cihazlara izin verilmesinin doğasında olan riskler nedeniyle MDM sistemlerine olan ihtiyacı artmaktadır. Kuruluşlar, mobil cihaz risklerini azaltmak için mobil cihaz güvenlik politikalarının sıkı bir şekilde uygulanmasına ihtiyaç duymaktadır.

MDM, dağıtım, güvenceye alma, izleme ve entegrasyon işlemlerinin yapıldığı idari alandır ve işletmelere temel olarak, iş yerlerindeki mobil aygıtların (akıllı telefon, tablet, vb.) yönetimine dair hizmetler sunar. Aşağıdaki işlevler sayesinde işletmeler, kullanıcıların çalışmalarını kesintiye uğratmadan, kablosuz bağlantı yoluyla mobil cihazları hızlı ve etkin bir şekilde yönetebilir:


a) Güvenlik Yönetimi:
Mobil cihazın çalınması veya kaybedilmesi halinde, güvenlik önlemi olarak tüm kurumsal veriler uzaktan kaldırılabilir ve silinebilir.

b) Politika Yönetimi: Kurumsal verileri (kamerayı kapatmak, ekran görüntüsü aldırmamak, ekran kilidi ve parola kilidini zorunlu kılmak, vb. yoluyla) güvence altına almak amacıyla işletmelere yönelik bilgi güvenliği düzenlemelerini mobil cihazlara otomatik olarak dağıtır.

c) Yazılım Dağıtımı: İşletmelerin, uyguladıkları bilgi güvenliği politikasını esas alarak, kurulum için gerekli uygulamaları mobil cihazlara dağıtmasına olanak sağlar ve tekil kurulum yapma zorluğundan kurtarır.

d) Envanter Yönetimi: Cihazdaki yazılım ve donanım verilerini düzenli olarak toplar ve kullanıcıların uygulamaları nasıl kullandıklarını izler.

Birkaç lider MDM ürünü üzerine yapılan araştırma, kurumsal düzeyde Android cihazlardan otomatik olarak adli veri koleksiyonları elde etmede genel bir özellik eksikliği ortaya çıkardı. Bu verilerin bulunması, olayların yanıtı, güvenlik denetimi, proaktif güvenlik izleme ve adli soruşturmalar da dahil olmak üzere kuruluşlar arasında bulunan ortak güvenlik uygulamalarına yardımcı olacaktır. 2010/2011 Bilgisayar Güvenlik Enstitüsü Bilgisayar Suçları ve Güvenliği Anketi’ne göre, çeşitli şirketlerden gelenlerin %61.5’i iç denetimlerin bir güvenlik mekanizması olarak kuruluşlarında yapıldığını bildirdi. Buna ek olarak,%44 veri-kayıp önleme ve kullanıcı içerikli izleme programlarının bulunduğunu bildirmiştir (Richardson, 2010). Bu istatistikler, birçok organizasyonun içeriden öğrenebilecekleri tehditlerle ilgili kurumsal risklerin farkında olduğunu ve bunları hafifletmek için gerekli önlemleri aldıklarını göstermektedir; Ancak, Android akıllı telefonu izlemek için teknoloji eksikliği göz önüne alındığında, bu cihazlarda gerçekleştirilen birçok işlem denetlenmemektedir. İzleme seçeneklerinin olmaması, bu verilerin iç soruşturmalarda yaratacağı önemli etkiyle birlikte, bu çalışmanın konusu olan DroidWatch adlı bir prototip çözüm önerisi ve geliştirilmesine yol açtı.
Bu makale, politika ihlalleri, fikri mülkiyet hırsızlığı, yanlış kullanım, zimmete para geçirme, sabotaj ve casusluk da dahil olmak üzere iç soruşturmalar için kullanışlı verilerin toplanmasını otomatikleştiren bir Android uygulamasının (“uygulaması”) tasarlanması ve uygulanması üzerine odaklanmaktadır. Veriler, Gingerbread 2.3.6 çalıştıran bir Samsung Galaxy S II Epic 4G Dokunmatik Android akıllı telefonundan toplandı. Ardından PHP, MySQL, Apache ve Splunk çalıştıran uzak bir Ubuntu sunucusuna gönderildi. Anti-virüs, kök algılama ve uygulamanın sonlandırılmasına veya kaldırılmasına karşı korunma gibi özellikler, sistem ve kurumsal güvenlik için gereklidir, ancak bu araştırmanın kapsamı dışındadır. Uygulanan çalışma ile toplanan tüm veriler, kurumsal veya resmi ağlarda yaygın olanlara benzer bir kullanıcı onayı vasıtasıyla gerçekleşir. Veriler, köklü ayrıcalıklar veya Android mimarisinin kullanılmasıyla elde edilemez.

Android Uygulama Geliştirme Terminolojisi

Android uygulama bileşenleri, bir uygulamanın davranışını tanımlamaya yardımcı olan Android çerçeve bloklarından oluşur (framework blocks) (Google. (N.d.). Uygulama temelleri). DroidWatch içinde şu uygulama bileşenleri kullanılmaktadır: etkinlikler, hizmetler, içerik sağlayıcıları, yayın alıcıları, içerik gözlemcileri ve alarmlar. Aşağıda açıklanan her bileşen, farklı ve kullanışlı bir amaca hizmet eder.

Etkinlikler (Activities)

Bir kullanıcı arabirimini uygulayan bağımsız ekranlardır. Bilgi görüntüler, kullanıcı etkileşimini ister ve diğer etkinlikleri başlatırlar (Google. (N.d.). Uygulama temelleri). DroidWatch’da etkinlikler nadiren kullanılır; Genel kullanıcı deneyimini etkilememek için, çalışmaların çoğu arka planda gerçekleşir.

Hizmetler (Service)

Kullanıcı etkileşimi gerektirmeyen uzun süre devam eden işlemlerdir. Etkinlikler gibi diğer uygulama bileşenleri, diğer uygulamalar ve hizmetler çalışırken bile hizmet başlatabilir ve devam ettirebilir (Google. (N.d.) Uygulama temel bilgileri). DroidWatch, veri koleksiyonlarını ve aktarımları gerçekleştirmek için sürekli olarak bir servis kullanır.

İçerik sağlayıcıları (Content Providers)

Uygulama verisinin erişimini ve paylaşımını yöneten uygulama bileşenidir. Ön tanımlı tekil kaynak tanımlayıcıları (URI) aracılığıyla içerik sağlayıcılarıyla arabirimlenerek kullanılır (Google. (N.d.). Uygulama temelleri). DroidWatch içerik sağlayıcıları iki şekilde kullanır:

1. Diğer uygulamalar içinde saklanan verileri okurken

2. DroidWatch uygulaması içinde depolanan verileri okuyup yazar iken

Yayın alıcıları (Broadcast Receiver)

Bir Android cihazdaki yayın sistemi olaylarını işleyen ve bunlara yanıt veren uygulama bileşenleri (Google. (N.d.). Uygulama temelleri) ‘dir. Gelen Kısa Mesaj Servisi (SMS) mesajları ve uygulama yüklemesi gibi olayları tespit etmek için DroidWatch da kullanılırlar.

İçerik gözlemcileri (Content Observers)

İçerik sağlayıcılarla ilişkili olduğunda, hedeflenen bir veritabanı altında yatan veri kümesinin içeriği değiştiğinde bildirim alırlar (Google. (N.d.) ContentObserver). DroidWatch bunu verilerin gerçek zamanlı değişikliklerini algılamak için kullanır.

6.1.6. Alarmlar (Alarms), periyodik olarak içerik sağlayıcıları sorgulamak ve yeni veriler çekmek için DroidWatch’ta yapılandırılan, cron işlerine (cronjobs) benzer şekilde zamanlanmış işlemlerdir. Güvenilirdir ve yalnızca belirlenen zamanlarda çalışırlar.

Android Uygulama Güvenliği

Google’ın Android uygulamaları güvenlik modeli, bir uygulamanın AndroidManifest.xml dosyasında (daha sonra “AndroidManifest” olarak anılacaktır) izin beyanını içerir. Varsayılan olarak, istenen izinlere sahip olmayan bir uygulama, “diğer uygulamaları, işletim sistemini veya kullanıcıyı olumsuz yönde etkileyecek her hangi bir işlemi gerçekleştiremez” (Google. (N.d.) İzinler). Bu, bir uygulamanın diğer uygulamaların özel verilerine erişememesi, şebeke servislerini kullanamaması, dahili / harici hafızaya yazamaması veya diğer temel işlevleri yerine getirememesi anlamına gelir. Yeni indirilen bir uygulama, yüklenmeden önce kabul edilmiş olması için kullanıcıya bildirilen izinlerini sunmalıdır. Bu durum Android 5 ile değişmiştir. Yeni güvenlik modeline göre önemli (tehlikeli kategorideki) izinlerin çoğu uygulama ilgili izini gerektiren bir işlem yaptığı sırada talep edilir. Böylece işletim sistemi çalışma zamanında kullanıcıdan ilgili işlem için izin vermesini ister.

Kökleme (Rooting)

Köklendirme, kullanıcıların normal kullanıcı kipi altında normalden daha yüksek ayrıcalıklı işlevler gerçekleştirmesine olanak tanır. Yasal veya gayri meşru amaçlar için kullanılabilir. Kullanıcılar, güvenlik kısıtlamalarını atlamak veya DroidWatch gibi bir uygulama aracılığıyla toplanan verilere müdahale etmek isteyebilir. Kök erişimi meşru olarak da kullanılabilir.( J. Grover / Digital Investigation 10 (2013) S12-S20 S13 adli araştırmacılar tarafından bir cihazdan veri çıkarılması) Ancak, mümkün olduğunca bundan kaçınılmalıdır. Süreç tipik olarak belirli bir aygıtta veya işletim sisteminde bir güvenlik açığını kullanır ve daha fazla güvenlik açıklarına neden olabilir. Köklendirme, bir cihazın bölümlerini de değiştirir (adli bilişim uygulamalarıyla çelişen bir eylem); Bununla birlikte, gerekli koşulların ve verilerin türüne bağlı olarak köklenme kaçınılmaz olabilir (Vidas ve diğerleri, 2011). Kök erişimi, DroidWatch gibi bir uygulamanın özellik sayısını artırabilir; bunun sonucu olarak sistemin güvenliğini zayıflatabilir, birlikte çalışabilirliği düşürebilir ve akıllı telefon sağlayıcının garantisini tehlikeye sokabilir.

Akıllı Telefon Araştırmaları

Suçları araştırmaya ve hassas hükümet bilgilerini yetkisiz erişimden korumak için yetkilendirilmiş mobil güvenlikte birincil oyuncular kolluk kuvvetleri ve devlet kurumlarıdır. Şirketler ayrıca ticari casusluk, finansal hırsızlık ve fikri mülkiyet hırsızlığına karşı kendilerini korumak için mobil güvenlikle çok ilgilidirler. Boşanma kararları, velayet savaşları, emlak anlaşmazlıkları vb. alanlardaki özel menfaatler de bu alandaki ilerlemelerden kazançlı çıkmaktadır (Hoog, 2011). Sonuç olarak, akıllı telefonların izlenmesinden menfaat sağlayacak soruşturma türleri, kanun uygulama soruşturmaları, iç soruşturmalar ve özel soruşturmalardır. Bu araştırma, potansiyel politika ihlallerini, fikri mülkiyet hırsızlığını, kötüye kullanım, zimmete para geçirme, sabotaj, casusluk ve diğer soruşturmaları araştırmak için bir organizasyonda sözleşmeli veya başka bir şekilde (örneğin, adli olay inceleyicileri, güvenlik denetçileri vb.) personel tarafından gerçekleştirilen dahili soruşturmalar üzerine yoğunlaşmaktadır. Dahili araştırmacıların kolluk soruşturmalarının sıkı adli muamele ve koruma prosedürlerine uymaları gerekmez, ancak genellikle yaygın olarak uygulanan adli bilişim tekniklerine ve kurallarına uymaya çalışılmalıdır. Dahili araştırmalar için değerli akıllı telefon verileri elde etmek için, geleneksel olarak bir cihaza fiziksel olarak erişmek gereklidir. Buna bir istisna olan EnCase Enterprise, Ekim 2012 tarihinden itibaren bir ağ üzerinden Android cihazların uzaktan adli görüntülerini çıkarabilimektedir. Bazı MDM’ler ayrıca sınırlı izleme, ancak araştırmacıların ihtiyaçlarını etkin bir şekilde ele alacak kadar yeterli değildir. Bir mobil cihazın fiziksel olarak alındığı varsayılarak, araştırmacılar, cihazın mevcut durumunun mantıksal veya fiziksel anlık görüntüsünü almak için çeşitli araçlar kullanabilirler. Andrew Hoog, (Hoog, 2011), Android akıllı telefonlardan bilgi toplamak için mevcut araçların çoğunu listeliyor. Cihazların bazıları taşınabilir donanım aygıtları ve diğerleri yazılım ürünleridir; Bununla birlikte, hepsi evrensel bir seri veri yolu (USB) bağlantısı üzerinden çalışır ve çalışması için akıllı telefona fiziksel erişim gerektirir. Buna ek olarak, araçların birçoğu kök erişim gerektirir (Valle, 2013).

Gizlilik endişeleri

DroidWatch, kullanıcıları gizlilik beklentileri hakkında bilgilendirmek ve onaylarını almak için bir telefonun önyükleme işlemi sırasında bir kullanıcı onayı bayrağı görüntüler (izin kartı afişinin uygulanmasına ilişkin daha fazla ayrıntı Bölüm 4.1.2’de bulunur). Bu, uygulamanın bir casus yazılım sınıflandırmasını önlemesine yardımcı olur ve sistem hatalarını engelleyebilir. Tablo 1’de, geçerli bazı mobil cihaz gizlilik davaları listelenmiştir. Kullanıcıları DroidWatch’ta izleme politikaları hakkında bilgilendirmek için istenen izinlerin kabul edilebilir kullanımı, ABD v. Ziegler’de (ABD Temyiz Mahkemesi, 2007) karar veren ABD Temyiz Mahkemesinden alınabilir. Potansiyel BYOD etkileri ile ilgili argümanlar, ABD Büyük Anayasa Mahkemesi davası Ontario v. Quon kararından (ABD Yüksek Mahkemesi, 2010) alınarak yapılabilir.

Sonuç olarak, bir organizasyon, DroidWatch gibi izleme uygulamalarını, şahsen sahip olunanlar da dahil olmak üzere tüm kurumsal akıllı telefonlara kurma hakkına sahip olduğunu düşünebilir; çünkü telefonlar özel olarak kontrol edilen ağında çalışırlar. Carrier IQ davası, bu yazının yazıldığı tarih itibariyle halen beklemede olmasına rağmen, kullanıcı verilerinin kullanıcı onayı olmadan akıllı telefonda izlenmesinden kaynaklanabilecek yasal sorunlara örnek teşkil etmektedir (Davis, 2012).

Ticari MDM Ürünleri

Üçüncü taraf MDM ürünleri mobil cihazlarla bir şirketin genel güvenliğini artırır; Bununla birlikte, çoğu MDM’de derinlemesine kullanıcı izleme özellikleri yoktur. Zenprise, AirWatch ve MobileIron gibi bazı önde gelen MDM seçenekleri, sınırlı izleme yetenekleri (ör., GPS izleme ve SMS izleme) sunmaktadır, ancak dahili araştırmalara yardımcı olan diğer mevcut veri setlerini toplamayı başaramamaktadır. Araştırılan MDM ürünlerinin Juniper Pulse Mobil Güvenlik Paketi (v.3.0R3) en çok kullanıcı izleme yetenekleri sundu ve bu araştırmanın bir parçası olarak değerlendirildi. Bulgular, ürünün DroidWatch’ta kapsanan veri kümelerinin yaklaşık %50’sini topladığını gösterdi; Bununla birlikte, verilerin depolanması ve Juniper kontrollü sistemler tarafından barındırılması gerekir. Bu, bir kuruluşun denetim verilerini dahili olarak saklama şartını engelleyebilir.

Kişisel “casus” uygulamalar (örn., Mobistealth, StealthGenie, FlexiSpy ve Mobile Spy) gibi piyasada bulunan diğer ürünler, DroidWatch ile aynı veri kümelerinin çoğunu toplayabilir, ancak yükseltilmiş ayrıcalıklar için gereksinimler ve eksiklikler gibi sınırlayıcı faktörlere sahiptir. Ayrıca kurumsal depolama ve analiz yetenekleri açısından kullanıcı bilgisi olmadan kişisel bilgiler toplayan, genellikle casus yazılım olarak sınıflandırılırlar (Juniper Networks, 2012).

U.S. v Ziegler (2007) Kullanıcıların politikadan haberdar olması durumunda bir kuruluş kendi ekipmanını izleme hakkına sahiptir
City of Ontario v. Quon
(2010)
Denetlemeler, bir çalışan tarafından ödenen ek ücret ödemeleri bile şirket tarafından sağlanan bir cihaz üzerinde gerçekleştirilebilir
Carrier IQ Mevcut değil. Bekliyor.

Tablo-1: Mobil cihaz mahremiyet davaları
Uzaktan kurumsal adli delil toplama araçları da kuruluşun güvenliğini artırmayı hedeflemektedir. Google Rapig Response (GRR), adli araştırmacılara ve olaya müdahale eden kişilere, adli olarak bir ağ üzerinden çok sayıda makinadan kanıt elde etmesini sağlar (Cohen ve diğerleri, 2011). GRR’ye benzer ticari çözümler EnCase Enterprise, AccessData Enterprise, F-Response Enterprise Edition ve Mandiant Intelligent Response‘dır. EnCase Enterprise, Android’i desteklerken, diğerleri şu anda bunu desteklemez. Sözü edilen uzaktan adli araçlar, verileri sürekli olarak toplamayıp depolamadıkları için DroidWatch’tan farklıdır. Bunun yerine, operatöre talimat verildiğinde verilerin bir kerelik fotoğraflarını çekerler. DroidWatch kodu bu araçların yeteneklerini genişletmek için kullanılabilir.

DroidWatch MDM Yazılımı

Bu araştırmayı çeşitli bilimsel çabalar şekillendirmiştir. Lee ve diğerleri tarafından önerilen bir sistem; bir akıllı telefondan Android Uygulama Programlama Arayüzünü (API) kullanarak aynı SDCard’a hızlıca veri çıkarmak için bir Secure Digital Card (SDCard) üzerinde bulunan bir Android uygulamasını kullanıyor (Lee ve ark., 2009 ). Verilerin toplanmasına yönelik bu mantıklı yaklaşım, sisteminin bir cihazı sürekli olarak izlemesi dışında DroidWatch’a benzer. Bununla birlikte, çalışma sırasında kök ayrıcalıkları olmadan elde edilebilen çeşitli veri setlerini vurgulamaktadır. ViaForensics tarafından açık kaynaklı ürün olarak piyasaya sürülen AFLogical benzer bir yaklaşım benimser. Ayrıca, özel bir SDCard kullanır ve alınan veri kümelerinin sayısını genişletir (Hoog, 2010). Yang ve ark.’nın takip çalışmaları SDCards için bulut bilgi işleminin yerini almasını önerdi; Bununla birlikte, araştırmaları bir cihaza fiziksel olarak erişmeyi gerektirir ve sürekli veri toplamaz (Yang ve Lai, 2012).

Villan ve ark. , Sanal bir ağ bilgisine (VNC) benzer gerçek zamanlı izleme gerçekleştiren yerli bir Android uygulamasını, bir akıllı telefon üzerinde kök ayrıcalıkları kullanmadan gerçekleştirdi (Villan ve Esteve, 2011). Araştırma kullanıcıların ekranını kullanılabilirlik amacıyla uzak bir yere akıtmayı (yani, kurumsal yardım masalarında kullanmak için) akıtmayı içerir ancak bir kullanıcının ekranını izleyebilme özelliği DroidWatch’ta gelecekteki bir özellik olarak uygulanabilir. Shields ve ark. Tarafından sunulan araştırma. Yeni bir nesne parmak izi yaklaşımı (Shields ve ark., 2011) kullanarak sürekli ve proaktif bir şekilde bir ağ üzerinden gerçek adli bilişim edinimlerini gerçekleştiren ilk sistem olan Proaktif Nesne Parmak İzi ve Depolama (PROOFS) adında bir edinim ve izleme sistemi başlattı. PROOFS, Android akıllı telefonlarda çalışmazken, bir izleme aracının adli olarak kabul edilmesi gereken kriterlerini vurgulamaktadır. DroidWatch ile ilgili gelecekteki çalışmalar, bu kriterlerden bazılarının dahil edilmesini içerir.

Android platformundaki eski anti-adli bilişim çalışması, DroidWatch’ın nasıl tehlikeye atıldığını veya engelleneceğini değerlendirmede etkili oldu. Birkaç genel anti-adli kavramlar, Distefano ve diğerleri tarafından Android’e aktarıldı ve DroidWatch uygulamasının anti-adli değerlendirmesi sırasında bir rehber olarak görev yaptı (Bölüm 4.3) (Distefano ve ark., 2010). Azadegan ve arkadaşlarının yaptığı araştırma. Ek anti-adli bilişim konsepti sundu ve ayrıca yukarıda anılan DroidWatch değerlendirmesine dahil edildi (Azadegan ve ark., 2012).

droidwatch_art

Şekil-1: DroidWatch sistem mimarisi

Broadcast Receiver →Content Observer→Alarm

Şekil-2: Tasarım Stratejisi

Strateji, göreceli olarak kolay uygulanabilirlik, gerçek zamanlı bildirimleri işleme yeteneği ve yanlış pozitif ve çoğaltılması konularına odaklanmaktadır. İlk önce, sistem yayınları üretip üretmediğini belirlemek için veri setleri analiz edilmelidir. Eğer yaparlarsa, yayın alıcıları koleksiyonlar için uygulama bileşeni olarak düşünülmelidir. Yayınlar mevcut değilse, içerik gözlemcilerini uygulamaya geçirmeyi düşünün. Yayınlar ve içerik gözlemcileri hedeflenen veri koleksiyonları için kullanılamıyor veya etkisiz ise alarmlar kullanılmalıdır.

Yerel depolama

Tüm toplanan veriler telefonda yerel bir SQLite veritabanında geçici olarak saklanır ve sadece DroidWatch uygulaması tarafından erişilebilir olacak şekilde yapılandırılır. Standart Yapısal Sorgulama Dili (SQL) veritabanı fonksiyonları, özel bir DroidWatch içerik sağlayıcısı tarafından işlenir. Bu, her bir DroidWatch koleksiyonunun iş parçacığına göre güvenli ve yapılandırılmış bir biçimde gerçekleştirilmesini sağlar. Zamanlanmış bir alarm periyodik olarak yerel SQLite veritabanı dosyasını güvenli köprü metni aktarım protokolü (HTTPS) POST üzerinden işlenmek üzere kuruluş sunucusuna aktarır. Aktarım işlemi, veritabanı dosyasının nispeten küçük boyutunun (ortalama 75 kilobayt) yardımıyla bir kullanıcının deneyimine en az etkisi olan arka planda çalışacak şekilde tasarlanmıştır.

6.7.8. Şirket sunucusu

Toplanan verilerin aktığı kurumsal sunucu prototipi, Apache, PHP, MySQL ve Splunk çalıştıran özel yerel bir ağdaki Ubuntu sanal makinesidir. Apache kendinden imzalı bir güvenli soket katmanı (SSL) sertifikasıyla yapılandırılmış ve DroidWatch uygulaması içinde bir varlık dosyası olarak dahil edilmiştir. Bu, bir HTTPS bağlantısı üzerinden veri aktarılmasına izin verir. PHP kodu, SQLite dosya yüklemelerini yönetir ve olayları bir MySQL veritabanına ayıklar. Splunk, periyodik olarak MySQL veritabanından veri çeker ve analiz ve raporlama için olayları arabiriminde kullanılabilir duruma getirir.

6.7.9. Veri Akış Süreci

DroidWatch uygulaması içindeki veri akış süreci (Şekil 3) sürekli bir işlemdir, transferler her 2 saatte bir denenir (bu değer konfigüre edilebilir). Kurumsal sunucuya başarılı bir şekilde aktarıldıktan sonra, aktarmadan önce tarihli olaylar yerel telefon veritabanından silinir ve bu da o veritabanının boyutunu en aza indirir. Başarısız olan dosya aktarımları günlüğe kaydedilir ve herhangi bir etkinliğin silinmesine yol açmaz.

data_process_flow

Şekil-3: Veri İşleme Akış Diyagramı

 

Cihaz hesabı bilgileri, DroidWatch hizmeti başlatıldıktan sonra doğrudan Android API üzerinden toplanır.

Data set App component used
Broadcast
receiver
Content
observe
Alarm
App install/removal x
Browser navigation x
Browser search x
Calendar event x
Call log x
Contact list x
Device acconta
Device ID x
GPS location x
GPS location setting x
MMS x x
Pictre gallery x
Screen lock stats x
SMS x x
Third-party app log x

a Cihaz hesabı bilgileri, DroidWatch hizmeti başlatıldığında doğrudan Android API aracılığıyla toplanır
Tablo-2: Toplanan Veri Seti

Veri Kümeleri

Tablo 2, DroidWatch tarafından toplanan veri setlerini listeler. Bu veri setleri, mevcut içerik sağlayıcıları, iç araştırma için ihtiyaçlar ve erişilebilirlik seviyesine (yani kök gerekmez) bağlı olarak seçildi. Her veri kümesi, derleme aralıklarının ayarlanmasını sağlayan (yani, sistemin koleksiyonlar arasında ne kadar süre beklediğini) uygulama kaynak kodundaki bir varlık dosyası olan droidwatch.properties aracılığıyla yapılandırılabilir. Kuruluşlar, karşılık gelen aralık değerini sıfıra ayarlayarak bir veri kümesinin atlamasını seçebilirler. On beş benzersiz veri setine erişilebilir; İki veri kümesi ve hesap şifresi araştırılmıştır ancak kullanılmamıştır (aşağıda açıklanmıştır). E-posta uygulamasına erişmek için kullanılan mekanizmalar standart Android Yazılım Geliştirme Seti’nin (SDK) parçası değildir (CommonsWare, 2010). Buna ek olarak, e-posta uygulaması, üçüncü parti uygulamaların özel verilere erişmesini yasaklayan bir signatureOrSystem izniyle sınırlandırılmıştır (Android Open Source Project, 2008). Hesap şifreleri benzer korumalarla korunmaktadır; Arama uygulaması, AndroidManifest’te AUTHENTICATE_ACCOUNTS yetkisine izin vermeli ve kullanıcı kimliğini istediğiniz hesaba (Google (N.D.). Hesap Yöneticisi) eşleştirmelidir. Bazı veri setleri, koleksiyonları gerçekleştirmek için birden fazla uygulama bileşeni kullanıyordu. Örneğin, Multimedya Mesaj Servisi (MMS) mesajları, bir yayın alıcısı ve bir alarm kullanılarak algılanır; Kullanılan bileşen mesaj odaklıdır.

Analiz ve Değerlendirme

Bu bölüm, DroidWatch denemesinin sonuçlarını açıklar ve bunları iç araştırmanın yardımcı olabileceği durumlara uygular. Senaryo dosyası deneyleri, mevcut veri kümelerine ve yazarın önceki iş deneyimine dayanır. Tüm sonuçlar tek bir cihazdan ve kullanıcıdan elde edilmiştir. Splunk’ın maliyeti (günlük 500 megabite kadar ücretsiz) nedeniyle bu araştırma için kullanıldığını unutmayın, diğer ürünler benzer işlevleri yerine getirebilir.

Şekil 4, Splunk’ta kaydedilen günlük olayların sayısını, veri seti ile ayrılmış olarak, tek bir gün aralığı boyunca göstermektedir. Örnek, bir cihaz tarafından üretilen 442 gün içeriyor ve kaydedilen nispeten az sayıda olayı vurguluyor. Günlük toplamlar kullanım alışkanlıklarına göre değişir; Ağır biçimde kullanılan bir cihaz, günlük toplamda bir artış görür. Deney sırasında kullanıcı deneyimi veya artan pil tüketimi üzerinde olumsuz bir etkisi yoktur.

Genel Kullanım Eğilimleri

Splunk’teki “Ekran Kilidi Açılmamış” arama, etkin telefon kullanımını gösteren kullanıcı eylemlerinin zaman çizelgesini (örn. PIN kodu, hareket veya parola girdileri) görüntüler. Birkaç güne kadar elde edilen sonuçlar Şekil 2’de görülebilir. Bu veriler belirli bir zamanda telefon etkinliğini belirlemek, maskeli kullanıcıları (ilk atanmış kullanıcı dışındaki kullanıcılar) bulmak veya çalışanlar için kullanım desenleri oluşturmak için kullanılabilir.

Şüpheli Kişiler ve İletişim

Bir kuruluşu riske atan kişilerin veya telefon numaralarının adlarını, arama yaparak veya bunları Splunk tetikleyicilerine (Splunk Enterprise’da bulunur) bulabilirsiniz. Bunlar, bir şirketin telefon defterinin dışındaki numaralar veya kara listeye girmiş insanlar olabilir. Kaydedilen SMS ve MMS içeriği de şüpheli etkinlikler için aranabilir. DroidWatch’te gelen SMS, zaman damgasını ham SMS olarak işleyerek üçüncü parti bir zaman kaynağı olarak da hizmet edebilir. SMS yapısında gömülü olan zaman, telefonun zamanına bağlı değildir (Casey, 2009). Bu verilerin analizi sırasında karşılaşılan bazı sorunlar şunlardı:

detected_screen_unlocks
Şekil-5 :Algılanan ekran kilidi açma aksiyonları (Splunk)

• Birden fazla kişiye gönderilen mesajlar, günlüklerde yalnızca bir alıcı listeledi.

• Gelen SMS’lerde saat dilimleri eksik.

• MMS mesaj metni mevcut değildi.

Bir fotoğraf cihaz kamerasıyla çekilip hemen MMS ile gönderildiğinde, etkinlik koşullara bağlı olarak daha fazla soruşturma yapılmasını gerektirebilir. Şekil 6, 22 Aralık 2012 Cumartesi günü 03.20’de çekilen bir resim günlüğünü gösteren bir aramayı göstermektedir. Kullanıcının ofiste ve yalnız olduğunu tespit edilirse (muhtemelen GPS izleme yoluyla) bir veri sızıntısının olup olmadığını belirlemek için daha fazla analiz gerekli olabilir.


Şekil-4: 24 saatte kaydedilen olaylar

 

Şekil-6: Fotoğraf ve MMS arama sonuçları

Konum izleme

DroidWatch tarafından kaydedilen bilinen son konumlar arasında cihaz kimliği, enlem, boylam ve yakalama süresi bulunur. DroidWatch’ın konumları toplamak için kullandığı yaklaşım pil ömrünü korur ancak kaydedilen yerlerin seyrek kaydedilmesine neden olur. Yedi günlük süre boyunca yalnızca dört yer olduğu bildirildi. GPS sağlayıcı ayarı etkinleştirilmiş olsa da, GPS aktif olarak kullanılmadıkça bilinen en son konumlar bir cihazda saklanmaz (diğer bir deyişle, Google Haritalar uygulaması mevcut konumu görüntülemek için açılır). Ayrıca bir telefonun son bilinen konum değeri, cihazın yeniden başlatılması üzerine silinir ve kaydedilen bir koordinat kümesinin kaydedilmeden önce kaybolmasına neden olur.

Konum sağlayıcı ayarında yapılan değişiklikler izleme için de kullanılabilir. Telefonun fiziksel konum verileri daha güvenilir hale gelirse, bu veriler potansiyel olarak yararlı olur. GPS ayarı manuel olarak kapatıldığında bir cihazın konumunun tanımlanmasına izin verir.

Kaydedilen takvim olayları araştırmacılara da faydalıdır. Bir kullanıcının randevuları için yapılan aramalar, geçmişteki kontrol, gözetim planlaması veya seyahat planlarını belirleme konusunda yardımcı olabilir.

İnternet geçmişi

DroidWatch, yerleşik Android Web tarayıcısı içinde gerçekleştirilen etkinlikleri toplar ve kullanılabilir duruma getirir. Bir İnternet geçmişi etkinliği, alınan eylemi (ör. Göz atma veya arama), arama terimini veya URL’yi, etkinlik saatini ve ilişkilendirilmiş cihaz kimliği içerir. Bu bilgiler, bir şirkette şüpheli tarayıcı kullanımını tanımlamak için kullanılabilir (örneğin, fikri mülkiyetlerin harici web sitelerine yüklenmesi). Tarayıcı aramaları, tespit edilen işlemlerin ardındaki kullanıcının olası niyetlerini daha iyi tahmin edebilmek için ayrıştırılabilir.

Kötü amaçlı uygulamalar

Yüklü uygulamalar için bir denetim, bir cihazın kötü amaçlı yazılım veya diğer endişe uyarıları içerdiğini ortaya çıkarabilir. Bu, dahili bir soruşturma sırasında ek endişeler ve güvenlik önlemleri alınmasını garanti eder. Sağlanan DroidWatch sonuç alanlarına, uygulamanın adı, gerçekleştirilen eylem ve kurulum / kaldırma tarihi dahil. Üçüncü taraf uygulama günlükleri de DroidWatch tarafından toplanır. Birkaç filtreleme mekanizması, günlükleri, yalnızca telefonda yerleşik olmayan uygulamalar tarafından üretilenlere sınırlar. Filtreleme mükemmel olmadığı halde, toplanan uygulama günlüklerinin toplam miktarı, gün başına 337 günlük (10.000’i aşan) daha yönetilebilir bir ortalamaya düşürüldü.

Adli bilişim

İzleyen bölümler, anti-adli bilişim kategorileri, Android antiforensi alanında yapılan önceki çalışmalardan alınmış ve anti-adli olabilecek güvenlik açıkları için DroidWatch uygulamasını değerlendirmek için kullanılıyor. Kanıtları gizleme (Bölüm 4.3.2), kanıt kaynaklarını değiştirme (Bölüm 4.3.3), kanıtları taklit etme (Bölüm 4.3.4) ve adli bilişim araçlarını tespit etme (Kısım 4.3.5) kategorileri kanıtları yok ediyor (Bölüm 4.3.1) (Distefano ve diğerleri, 2010; Azadegan ve diğerleri, 2012). DroidWatch’in mevcut haliyle, kök saldırılarına, uygulamanın kaldırılmasına ve işlem sonlanmalarına karşı tamamen duyarlı olduğunu unutmayın. Kök algılama ve uygulama yükleme politikalarının uygulanması gibi MDM’ler tarafından sunulan dış koruma, DroidWatch’ta veri bütünlüğünü sağlamaya dayanır.

Delilleri yok etme

Yayın alıcıları ve içerik gözlemcileri aracılığıyla toplanan veri setleri, olay ortaya çıktıkça her olayın kopyası DroidWatch’ın özel saklama alanına kaydedildiğinden, kanıt imha yöntemlerine karşı muhtemel değildir. Bununla birlikte, kanıtları kaldırmak mümkün olabileceğinden (örneğin, giden MMS mesajları, üçüncü taraf uygulama günlükleri, takvim etkinlikleri, tarayıcı gezintileri, tarayıcı aramaları ve bilinen en son GPS konumları) alarmlardan alınan veri setleri tahribat taktiklerinden etkilenir. Bir sonraki planlanan koleksiyona başlamadan önce. DroidWatch ile ilgili endişe, uygulamaların yükleme sonrasında özel niyet filtresi öncelikleri için kayıt yapabilmesidir. Maksimum maksat filtre öncelik değeri olan 231-1 kullanan bir uygulama, başka bir uygulama tarafından yayınlanmadan önce yayını engelleme ve bırakma özelliğine sahiptir. DroidWatch, bir araştırma prototibi olarak durumundan dolayı varsayılan intent-filter öncelik değerini kullanır.

Kanıt gizleme

Zamanlanmış alarmlar yoluyla toplanan veri setleri veri gizleme taktiklerinden etkilenenler arasındadır. Son gönderilen birkaç MMS iletisini gizlemek isteyen bir kullanıcı, bunları DroidWatch toplama işleminden yönlendirmek için el ile aktarma yöntemlerini kullanabilir. Yukarıda bahsedilen uygulamalar için özel amaçlı filtre öncelikleri kaydetme özelliği, benzer bir şekilde, uygulamanın yayınların engellenmesi ve yeniden yönlendirilmesi yoluyla verileri gizleyebilmesini sağlar. Örneğin, meşru bir üçüncü parti SMS uygulaması olan GoSMS, gelen SMS mesajlarını aktarmak ve sistem bildirimlerinin çoğaltılmasını ortadan kaldırmak için olası en üst düzey filtre önceliğini kaydetmektedir (Kovacevic, 2011).

Kanıt kaynaklarını değiştirme

Kanıt kaynaklarını değiştirmek, bir veri kümesini bir toplama işlemini engellemek için değiştirmeyi içerir (Distefano ve diğerleri, 2010). Bu, DroidWatch için başka bir endişe alanı. Alarmlar tarafından toplanan veriler duyarlıdır çünkü süreçler, mevcut bir veri setinde belirli değerlere dayanır. Örneğin, yeni giden mesajlar için MMS içerik sağlayıcısı aracılığıyla tarama yapılırken “msg_box” alanı, gönderilen / giden MMS’i temsil eden “2” ile iletinin yönünü belirtir. Bu alanın değeri “5” olarak değiştirilirse, ileti toplama işlemi sırasında yoksayılır.

Taklit kanıtları

Mobil cihazlardaki sahteciliğe dayalı kanıt, araştırmacıların kafasını karıştırmak veya kaçmak için mevcut veri setlerine hayali veri ekleme işlemlerini içerir. DroidWatch koleksiyonları bu açıdan savunmasızdır, çünkü sahte girişleri gerçek olanlardan ayırmak için herhangi bir kontrol gerçekleştirilmez. DroidWatch için bir başka endişe olan hizmet reddi saldırısında kısa sürede büyük miktarda hayali veri eklenmesi. Yeterli veri bir telefona yüklenirse, uygulamanın düzgün çalışması durabilir.

6.7.22. Adli bilişim araçlarının tespit edilmesi

Adli bilişim araçları tarafından gerçekleştirilen adli bilişim araçlarının araştırılmasının doğrudan DroidWatch için geçerli olmadığı tespit edildi (Azadegan et al., 2012). Onlar, Android telefonlarında bazı tanınmış adli bilişim araçlarının ilk bağlantı imzalarını dinlemeye odaklandı. DroidWatch, geleneksel adli bilişim araçlarının aksine izlemeyi gerçekleştirir ve bir cihaza fiziksel olarak erişmek için herhangi bir ilk bağlantı imzası veya gereksinimi yoktur. Bununla birlikte, imza tespit fikri, DroidWatch’ın tarifeli transferlerine uygulanabilir.

AndroidWatch İleri Araştırma

DroidWatch ile ilgili gelecekteki araştırmalar, uygulama ve kurumsal sunucu üzerinde çalışmayı içerir. Yaklaşan bölümler, ek veri setleri toplamak (Bölüm 5.1) ve anti-sabotaj mekanizmalarını uygulamak için önerilen gelişmeleri kapsar (Bölüm 5.2).

DroidWatch’ın gelecekteki iyileştirmelerinin yanı sıra DroidWatch’ın bir MDM çözümü içine entegrasyonu, Android güvenlik topluluğu için çok değerli olacaktır. Mevcut MDM sistemleri, dahili soruşturmalara yardımcı olabilecek kullanıcı izleme özelliklerine sahip değildir. Sağlam politikanın uygulanmasını, uzaktan cihaz yönetimini ve Android cihazlarda kapsamlı bir kullanıcı izlemesi kombinasyonu sağlayan genel kurumsal güvenlik sistemi, Android akıllı telefon dağıtımlarını düşünen hükümet ve endüstri kuruluşları arasındaki güvenlik endişelerini azaltmaya yardımcı olacaktır.

Ek veri setleri

Android adli bilişimi, her yeni işletim sistemi sürümüyle değişen gelişen bir alandır. Yeni veri setleri ve özellikleri ortaya çıktıkça, muhtemel bir izleme sistemine dahil edilmeleri için bunların bir araştırmaya katma değeri değerlendirilmelidir. Gelecekteki DroidWatch içerikleri şunları içerir: USB hata ayıklama ayarları, telefon yeniden başlatma, sesli posta günlükleri ve dumpsys, dumpstate ve dmesg’den ek uygulama ve çekirdek günlükleri.

Koruma önleyici mekanizmalar

Toplanan ve bir telefonda saklanan veriler, kullanıcıların ve uygulamaların müdahale etmesini önlemek için halihazırda Android yerleşik güvenlik modeli (Kısım 2.2) üzerinde çalışıyor. DroidWatch’ı daha sıkı hale getirmek için bazı yetenek önermeleri şunları içerir:

• Veritabanı olaylarının şifrelenmesi (sağlama toplamı ile)

• Yüksek niyetli filtre öncelik değerleri

• Log günlüğünü tutma

• Etkinliğe dayalı koleksiyonlar ve transferler

• Veritabanı karması

DroidWatch, veritabanındaki olayları şifrelemek, kullanıcıların önceden toplanan olayları görüntülemesine veya müdahalesini engellemeye yarayan bir mekanizma. Her olay bir sağlama toplamıyla eşleştirilebilir ve bir ortak anahtar altyapısı kullanılarak şifrelenebilir (kurumsal sunucuda depolanan özel anahtar ile). AndroidManifest’e maksimum niyet filtre öncelik değerlerini kaydetmek, iki uygulamanın aynı öncelik değerine kaydolması durumunda ne olacağını belirlemek için daha fazla araştırmaya ihtiyaç duyulmasına rağmen, uygulamaların sistem yayınlarını engellemesine engel olabilir. DroidWatch veritabanına “canlı tutma” mesajlarının periyodik olarak günlüğe kaydedilmesi servis kesintilerini vurgulamaktadır. Kütükler arasında zamandaki boşluklar varsa kurcalamaya neden olabilir. Olay tabanlı tetikleyiciler, daha rasgele bir aktarım kalıbı sağlayabilir ve zamanlanmış operasyonlara karşı zaman esaslı engeller girişimleri önleyebilir; Bununla birlikte, bu kabiliyetin etkinliği hakkında daha fazla araştırmaya ihtiyaç vardır.

SONUÇ

Fiziksel adli bilişim araçlarındaki artış ve Android akıllı telefonlarının pratik kullanımıyla birlikte, bu makale, yeni araçları mevcut araçlar ile karşılaştırmak isteyen araştırmacılar için ölçütler belirlemiştir. Aynı zamanda, araştırmacıları veya uygulayıcıları, güvenilir ve uygun fiziksel adli araçlar seçerek, fiziksel imajları elde etmek için daha etkili, interaktif ve uygun bir yol sağlar. Oxygen ve Cellebrite UFED gibi ticari adli araçlar, güvenilir, kullanımı kolay, birçok Android sürümünde kullanılabilir ve tüm adli bilişim süreçlerini destekler. Ancak, her Android akıllı telefonda, özellikle de hedef akıllı telefon kilitli olduğunda bunlar geçerli değildir. Dahası, kişisel kullanım için uygun değildir. Açık kaynak araçları ise genellikle kullanıcı dostu değil, sadece imaj edinim aşamasına odaklanır, ve Android akıllı telefonların sınırlı sürümünde kullanılabilir, ancak yine de güvenilirdir. Bir ilgi çekici açık kaynak kodlu adli bilişim aracı da ANDROPHSY, özellikleri ile ticari adli araçlar ile rekabet edebilir. Herhangi bir sürüm Android akıllı telefonun tüm belleğini elde etmek için kullanılmak üzere tasarlanmıştır. Bu mobil cihaz adli yaşam döngüsünü destekleyen ilk açık kaynak araçtır.


Android akıllı telefonların firmware güncelleme protokollerini analiz ederek tüm flash belleği elde etmek mümkündür. Üreticiler tarafından sağlanan firmware güncelleme protokolleri önyükleme yükleyicisindeki açıklıklar kullanılarak bu yapılabilir. Üretici yazılımı güncelleme protokollerinin analitik sonuçlarına dayanarak, bazı flash bellek güncelleme protokollerinde flaş bellek okuma komutlarının yer aldığını ve dolayısıyla fiziksel edinimin gerçekleştirilebilmesi mümkündür. Bu yeni edinme yöntemine dayanarak, 80’in üzerinde en yeni Android modellinin flash belleğinin fiziksel olarak dışarı aktarılmasını destekleyen bir edinme programı geliştirilmiştir. Bu araç mevcut yöntemlerle karşılaştırıldığında, yeni yöntemin tüm flash belleğin bütünlüğünü koruduğu ve yüksek hızla edinimi gerçekleştirildiği kanıtlanmıştır. En güzel yanı; edinip yapılırken bir desen veya kullanıcı parolası ile ekran kilitlemesine bağlı kısıtlamaya takılmaksızın fiziksel edinme yapılabilir.

Kötü yanı her yeni Android akıllı telefonun güncelleme protokolünün analiz edilmesi gerektiğidir. Bununla birlikte, üretici yazılımı güncelleme protokolü tüm Android akıllı telefonların önyükleme yükleyicisinde uygulanır ve diğer taraftan her üretici tüm modellerine aynı üretici yazılımı güncelleme protokolünü uygular. Bu şekilde edinme yöntemi analiz edilerek üreticilerin tüm modelleri için fiziksel edinme gerçekleştirilmesine izin veren yazılım güncelleme protokolü bulunabilir. Bu nedenle, bu alanda sürekli araştırma yapılması gerekmektedir.

Mobil cihaz yönetimi aracılığıyla, Android sistemin kök ayrıcalıkları olmaksızın kurumsal ortamlarda sürekli Android cihazların izlenmesi ve korunması mümkündür. DroidWatch, türünün ilk açık kaynak sistemidir; Ancak, yeteneklerini genişletmek ve geliştirmek için daha fazla geliştirilmesi gerekmektedir. Güvenliği artırmak için anti-sabotaj mekanizmalarının da uygulanması gereklidir. Belirtildiği gibi, toplanan veri setleri çeşitli nedenlerle çeşitli iç tetkik türleri için yararlıdır. Bu araştırma, Android uygulamaları bileşenlerini izleme için önceliklendirmek adına kullanılabilecek, yeni bir geliştirme tasarım stratejisine katkıda bulunmaktadır. Son olarak, bu çalışma, varsayılan Android API aracılığıyla erişilebilen veri kümelerine erişmek için bir rehber işlevi görür.

Son çalışmada ise Android mobil uygulamalarının gizliliğini incelenmiş ve değerlendirilmiştir. Özellikle, açık kaynaklı adli bilişim araçlarını kullanarak Android mobil cihazların uçucu belleğindeki kimlik doğrulama bilgilerinin keşfedilip keşfedilemeyeceğini gösterilmiştir. Sonuçların analizi, incelenen Android uygulamalarının çoğunun uçucu bellekteki kimlik doğrulama bilgilerini kurtarma konusunda savunmasız olduğunu ortaya koydu. Mobil bankacılık uygulamaları gibi güvenlik öncelikli uygulamaların bile savunmasız olduğu kanıtlandı. Dahası, uçucu belleğin yalnızca kimlik doğrulama bilgilerini içermediğini cihazı yeniden başlatıldığında veya pilini çıkartıldığında dahi gözlemlendi. Ayrıca, uygulamanın kimlik doğrulama bilgilerinin tam olarak bir bellek dökümünde nerede bulunduğunu gösteren kalıp ve ifadelerin varlığını kanıtlanmıştır. Son olarak, kullanıcıların çeşitli web sitelerinde ve uygulamalarda aynı şifreyi tekrar kullanma eğiliminde olduklarını göz önüne alarak; tüm geliştiricilerin, uygulamanın kritikliğine bakılmaksızın, doğru ve güvenli programlama teknikleri ve yönergelerini kullanmaları gerektiği sonucuna varılmıştır. Kimlik doğrulama bilgisi keşfini engellemek ve mobil platformlar tarafından sağlanan gizlilik düzeyini arttırmak için, incelenen senaryolardan yararlanılmalıdır.

Referanslar

[1] T. B. Tajuddin and A. A. Manaf, “Forensic investigation and analysis on digital evidence discovery through physical acquisition on smartphone,” in 2015 World Congress on
Internet Security (WorldCIS), Dublin, 2015
[2] L. Cai, J. Sha, and W. Qian, “Study on forensic analysis of physical memory,” in Proc. of 2nd International Symposium on Computer, Communication, Control and Automation
(3CA 2013), 2013.
[3] H. Yang, , J. Zhuge, H. Liu, and W. Liu,”A tool for volatile memory acquisition from Android devices,” in Advances in Digital Forensics XII, New Delhi, Springer International
Publishing, 2016, pp. 365-378.
[4] J. Sylve, A. Case, L. Marziale, and G.G. Richard, “Acquisition and analysis of volatile memory from android devices,” Digital Investigation, vol. 8, no. 3, pp. 175-184, 2012.
[5] I. Kollár, “Forensic RAM dump image analyser,” MCS thesis, Charles Univ., Prague, Czech Republic, 2010.
[6] M. Guido, J. Buttner, and J. Grover, “Rapid differential forensic imaging of mobile devices,” Digital Investigation, vol. 18, pp. S46-S54, 2016.

[7] L. Spector, “USB 3.0 speed: real and imagined,” PCWorld,
2014. [Online]. Available: http://www.pcworld.com/article/2360306/usb-3-0-speedreal-and-imagined.html. Accessed: Oct. 17, 2016.

[8] C. A. Jayasinghe, “Android smart phone contact analyzer”,
MSIS dessirtation, 2015. Android Open Source Project.
[10]Azadegan S, Yu W, Sistani M, Acharya S. Novel anti-forensics approaches for smart phones. In Hawaii International Conference on System Sciences (pp. 5424–5431). Maui, HI: IEEE; 2012, January 4.
[11] Casey E. Top 7 ways investigators catch criminals using mobile device forensics. http://computer-forensics.sans.org/blog/2009/07/01/top-7-ways-investigators-catch-criminals-using-mobile-device-forensics; 2009, July 1.
[12] Citrix. IT organizations embrace bring-your-own devices.

http://www.citrix.com/site/resources/dynamic/additional/Citrix_BYO_Index_report.
pdf; 2011, July 22.
[13] Cohen MI, Bilby D, Caronni G. Distributed forensics and incident response
in the enterprise. In: Digital forensics research workshop 2011. New Orleans, LA: Elsevier; 2011S101–10; August 2011.
[14] CommonsWare. Access Android emails through content provider.
http://stackoverflow.com/questions/3811608/access-androidemails-through-content-provider; 2010, September 28.

D:\Documents And Settings\Downloads\4a4d916c8288dd55f7f55885e3032ccd374a8c6b (1).jpg

Gazi Gelecektir

BİLİŞİM SİSTEMLERİ ÜZERİNE ARAMA VE EL KOYMA TEDBİRİNE İLİŞKİN MEVZUAT VE UYGULAMADA YAŞANAN SORUNLAR

Tezin ilk bölümünde, genel olarak dijital delil ve dijital delil ile ilgili kavramlara değinilmiştir. Bilişimin sisteminin terminoloji ve uygulamadaki tanımlarına kısaca yer verilmiştir. Dijital delil tanımı, hash değeri önemi ve özelliklerinden bahsedilmiştir. Bununla ilgili terminolojik yaklaşımlarda bulunulmuştur. Devamında, bilişim sistemlerinin sağladığı avantaj ve dezavantajlar konusunda bilgi verilmiştir. Özellikle tezin ana konusunun temelini oluşturan bilişim suçu kavramı, tanımı, bu suç ile ilgili işleniş biçimleri ve bir takım örnekler verilmiştir.

Tezin ikinci bölümünde ise Türk Hukukunda ki bilişim suçları üzerinde durulmuştur.
Kanun koyucunun bilişim suçu olarak hangi eylemleri kabul ettiği, hangi eylemlere bilişim
vasıtalı suçlar olarak tanımladığı üzerinde durulmuştur. Bilişim suçlarının tanımları yapılarak,
madde metinlerinin neyi ifade ettiği ayrıntılı bir şekilde açıklanmıştır. Özellikle öğretide bu
suçlarda yaşanan bir takım tartışmaların neler olduğu konusuna değinilmiştir.

Tezin üçüncü bölümünde adli bilişim kavramı ve adli bilişim sürecinde yaşananlar anlatılmıştır. Adli bilişim alanında belli bir Standardizasyonun olup olmadığı, mevcut
durumun ne şekilde devam ettiği açıklanmıştır. Olay mahalline gidilmeden önce yapılması
gerekenler ile olay mahallinde ve sonrasında teknik açıdan yapılması gerekenlerin neler
olması gerektiği hususuna değinilmiştir. Adli bilişim evreleri tanımlanmıştır.

Tezin son bölümünde ise ana konumuz olan Ceza Muhakemesi açısından bilişim sistemleri üzerine arama ve el koyma mevzuatı irdelenmiştir. Özellikle Ceza Muhakemesi Kanunu 134. Maddesinde 6526 sayılı kanun ile yapılan son değişikler ve mevcut yasal düzenlemelerin yerinde olup olmadığı açıklanmaya çalışılmıştır. Mevcut kanun maddesinde yer alan hükümlerin hangi hususlarda yetersiz kaldığı, ne şekilde değiştirilmesi gerektiği yorumlanmıştır. Ayrıca CMK 134. Maddesi ile ilgili olarak yönetmelik maddeleri incelenmiş
ve mevcut hali ile neden yetersiz kaldığı açıklanmıştır. Bunun haricinde, Kanun maddeleri
ile uygulamada yaşanan sorunlar üzerinde durulmuştur. Emsal Yargıtay kararlarından kısaca
örnekler verilerek yan mevzuatlar incelenmiştir. Son olarak; haksız bir şekilde arama ve el
koyma tedbirine maruz kalan bir kişinin başvurabileceği hukuki haklarından bahsedilerek
tezin değerlendirme ve sonuç kısmına geçilmiştir.

Android Adli Bilişim – Otomatikleştirilmiş veri toplama ve raporlama

Bu araştırmada, olaya müdahale eden, güvenlik denetçilerini, proaktif güvenlik izleyicilerini ve adli araştırmacıları ilgilendiren birçok veri setini sürekli olarak toplamak üzere Android akıllı telefonlar için kurumsal bir prototip izleme sistemi geliştirilmiştir. Kapsanan birçok veri seti, mevcut diğer kurumsal izleme araçlarında bulunamadı. Prototip sistemi ne kök ayrıcalıklarını ne de doğru işlem için Android mimarisinin çözümlemesini gerektirmez, böylece Android cihazları arasındaki birlikte çalışabilirliği artırır ve sistem için casus yazılım sınıflandırmasını önler. Kurcalamaya karşı savunmasız alanları belirlemek ve daha da güçlendirmek için sistemde bir anti-adli analiz yapıldı. Bu araştırmanın katkıları, türünün ilk açık kaynaklı Android kurumsal izleme çözümü, yükseltilmiş ayrıcalıklar olmadan koleksiyon amaçlı kullanılabilecek veri setlerinin kapsamlı bir rehberinin ve çeşitli Android uygulama bileşenlerini sahada uygulamak için yararlı yeni bir tasarım stratejisinin kullanıma sunulmasını içermektedir.

Akıllı Android Telefonlar İçin Fiziksel Adli Imaj Edinim Araçları

ÖZET

Cep telefonları, özellikle de akıllı telefonlar hayatımızda önemli bir rol oynamaktadır. Mobil cihaz pazarının muazzam büyümesiyle, onları suç faaliyetinde kullanma imkânı da sürekli artacak. Android, piyasadaki son derece rekabetçi platformlardan biridir. Birçok üretici tarafından kullanılan Android, farklı modelleri çalıştırmak için kullanılıyor ve bu da güçlü bir çeşitliliğe neden oluyor. Böylece, Android tabanlı akıllı telefonların fiziksel imaj ediniminin zorluğu, özellikle son Android sürümünün kaynak kodu çok geç yayınlanması ile ortaya çıkıyor. Sonuç olarak, en yeni sürüm belleğe sahip mevcut akıllı telefonlar, mevcut akıllı telefon adli araçları kullanılarak edinilemez. Bu yazıda, fiziksel olarak edinme olanağı sunan bazı mobil cihaz adli araçlarının kapsamlı bir perspektifi verilmektedir. Bu araçların karşılaştırmalı analizi, maliyet, bütünlük, veri kurtarma, kullanışlılık, adli veri aşamalarını dışa aktarma yolları ve genelleştirilmiş android akıllı telefonları destekleme yöntemlerini içeren farklı parametrelere dayanarak gerçekleştirilmiştir.

Android akıllı telefonların firmware(bellenim) güncelleme protokollerine dayalı yeni bir edinim yöntemi

Android 6’nın piyasaya sürüldüğü şu zamanlarda pazardaki iOS payı artmış olsa da, akıllı telefon pazarında, Android hakim işletim sistemi olmaya devam ediyor. Piyasaya sürülen çeşitli Android akıllı telefonlar için veri toplama ve analizini gerçekleştiren adli çalışmalar
yürütülmektedir. Bununla birlikte, yeni Android güvenlik teknolojilerinin uygulanması ile
mevcut adli yöntemleri kullanarak veri edinmek daha zor hale gelmektedir. Bu sorunu çözmek için, Android akıllı telefonların firmware (bellenim) güncelleme protokollerini analiz etmeye dayalı yeni bir inceleme yöntemi önermekteyiz. Android akıllı telefonların fiziksel olarak edinilmesi ile önyükleme yükleyicisinde (bootloader) yer alan firmware güncelleme protokolü, tersine mühendislik yapılarak flash bellek okuma işlemi gerçekleştirilebilir (imaj alma).


Deneysel sonuçlarımız, önerilen yöntemin ekran doğrulama kilidi aktif akıllı telefonlarla (USB
hata ayıklama devre dışı bırakılmış [USB Debug] olsa dahi) bütünlük garantisi, edinim hızı ve
fiziksel döküm açısından mevcut adli bilişim yöntemlerine göre daha üstün olduğunu
göstermektedir.

 

Adli Bilişim Açısından Android Mobil Uygulamalarının Gizliliğini Değerlendirmek

Bu çalışmada Android işletim sisteminin RAM adı verilen geçici/uçucu belleğinde yer alan çeşitli Android uygulamalarına ait kimlik doğrulama verilerinin elde edilmesine yönelik teknikler hakkında incelemeler yapılmıştır. Çalışma sırasında tamamen açık kaynak kodlu inceleme araçlarından yararlanılmıştır.  Birinci bölümde hassas kullanıcı verisi içerebilecek çeşitli kategorilerde 13 farklı Android uygulamasının kimlik doğrulama bilgileri, 30 farklı senaryo altında, mobil aygıtın fiziksel belleğinden ayıklanarak hassas verileri elde edilmiştir. İkinci bölümde elde edilen bellek dökümleri içerisinde, ilgili uygulamaların hassas verilerinin yer aldığı bellek konumları tespit edilmiştir.  Üçüncü bölümde ise toplanan veriler  ışığında Android mobil uygulamaların ve cihazların mahremiyeti ile ilgili bir dizi kritik gözlem sonucu ortaya koyulmuştur.

Bitcoin Özelinde Kripto Para Gerçeğinin Hukuki Açıdan İncelenmesi

BitCoin Özelinde Kripto Para Gerçeğinin Hukuki Açıdan İncelenmesi

V1
T.C Gazi Üniversitesi

Bilişim Enstitüsü
Adli Bilişim Anabilim Dalı
Ankara, Aralık 2015

Yazan: Özgür KOCA, ([email protected] / www.tankado.com),
Danışman: Doç. Dr. Osman Dolu, Gazi Ü. Bilişim Enstitüsü ([email protected])

Özet

Kripto para, son yıllarda özellikle online suç çevrelerinde oldukça yaygınlaşan, güvenli hızlı ve anonim bir ödeme yöntemi sunan yeni bir teknolojidir. Özellikle anonimlik sağlama özelliği ile internet üzerinden yapılan ödemelerdeki kullanılma sıklığı önemli ölçüde artımıştır. Global ölçekte kullanılan ilk kripto para olan BitCoin’in ardından yüzlerce benzeri çıkmış ve hayatı hem iyi hem de kötü yönde hızla değiştirmeye devam etmektedir.

Kripto para denilen olgu sadece bir sayısal değerden ibarettir. Bir kripto para ait olduğu matematiksel algoritma/formülasyonun doğal sonucu olarak; herhangi bir merkezi para yönetim otoritesine bağlı olmayan, takip edilemeyen, yok edilemeyen ve yoktan da var edilemeyen bir maddi değer sunar. Kripto para bir ödeme aracı olarak kullanılabilildiği gibi aracı firmalar tarafından da herhangi bir finansal değere (USD, EURO vb) de kolaylıkla dönüştürülebilir.
Bu çalışmada kripto paranın değerinin nasıl oluştuğu, değerlemesinin nasıl gerçekleştiği, bu değer üzerinden yaratılan hizmet ve mal alım faliyetlerinin sosyal, ekonomik ve hukki açıdan yarattığı sorunlar ve faydalar üzerine odaklanılmıştır.

Kripto para nedir?

Kripto para sadece sayısal bir değere karşılık gelen dijital bir veriden ibarettir. Ama bu veri herhangi bir değer değildir. Bu sayısal değer bağlı olduğu algoritmaya özel matematiksel fonksiyonların işletilmesi ile üretilen, üretilmesi (elde edilmesi) belli bir bilgi işlem sürecini zorunlu kılan sayısal bir değerdir, yani ortaya çıkan sonuç bir kıymettir. Bu kıymetler, miktarına göre üretilme süresi önceden öngörülebilen ama kendisi önceden öngörülemeyen bir yapıya sahiptir. Yani kripto para algoritması, belli miktar kıymetin üretilebilmesi için aynı oranda bir bilgi işlem gücünü/sürecini zorunlu kılar. Diğer tabirle ilgili kriptografi algoritması bu değeri üretmenin pratik bir yolunun olmamasını da garanti eder[1].
Kripto parayı somutlaştırmak için; en meşhur kripto paralardan birisi olan bir BitCoin parasının (verisinin) temsili görünümü aşağıdaki gibi sayısal bir değere karşılık gelmektedir (hash).[2]

Şekil 1 – Bir BitCoin parasının temsili hash değeri

Kripto para üretim süreci coin madenciliği olarak bilinir. Burada coin kripto parayı, maden ise bu paranın kompleks işlemler yapılarak üretileceği (çıkartılacağı) ham malzemeyi, madeni ifade eder. Bitcoin kripto parası üretim süreci bitcoin ağı denilen otonom bir yapı tarafından açık şekilde yürütülür ve kontrol edilir. Herhangi bir kişi para üretimine bu ağda kendisine sanal bir kimlik (cüzdan) oluşturarak başlar. Bu cüzdan sahip olunan kripto paraları barındırmak, kripto para göndermek ve almak için kullanılan özel bir kimliktir. Bu kimlik aynı zamanda açık anahtarlı şifreleme mimarisindeki (public cryptography) açık anahtara da karşılık gelir. Bu anahtar kripto para aktarımlarında gönderilecek olan parayı şifrelemek için kullanılır. Böylece kripto parının kendisini sadece ilgili açık anahtarın özel anahtarına sahip olan kişi çözebilir.

Bitcoin kripto parasını üretmek isteyen kişi ya da yazılım, ilk önce bitcoin ağıdan üzerinde işlem yapılacak sıradaki bir veri bloğunu talep eder (maden) bu veri bloğu eldeki bilgi işlem olanakları ile algoritmanın öngördüğü kompleks işlemler ile işlenir ve algoritmanın çıktısına ulaşılarak ortaya kripto para çıkartılır. Daha sonra bu kripto para çıkartan kişinin özel anahtarı (parolası) ile şifrelenerek ağa geri gönderilir ve onay istenilir. Onayın ardından üretilen kripto para, para havuzundaki ilişkili veri zincire bağlanarak yerini alınır. Bu veri zinciri, madeni işleyen herkesin ulaşabileceği bir veridir ancak ancak sadece parolayı (özel anahtarı) bilen paranın sahibi olduğunu kanıtlayabilir, içeriğini elde edebilir veya onu bir başka cüzdana aktarabilir.

Bu açıdan sahip olunan kripto paraların özel anahtarları çok iyi saklanmalıdır. İnternete bağlı olmayan bir konumda saklanması tavsiye edilir. Keza sırf bu anahtarları hedef alan internet kurtçukları (worm) üretilmştir.

loT (internet things) adı verilen ve ağ bağlantılı TV, router, access point, NAS ve hatta ağa bağlı buzdolabı gibi cihazlara bulaşarak, bu cihazların işlemcisini kripto para verimadenciliği yapmak için kullanan birçok kurtçuk türemiştir [3].

Diğer taraftan cüzdan hizmeti veren ve ödeme mekanizması olarak kripto para kullanan birçok işletme saldırıya uğramış ve özel anahtarlarını dolayısıyla kripto paralarını kurtarılamaz şekilde kaybetmiş saldırganlara kaptırmışlardır. Bunlardan en büyük zarara uğrayan ve iflas açıklamak zorunda kalan şirket Mt. Gox (Mounts Gox)’dır. İlk defa Tokyo’da kurulmuş olan kripto para borsa şirketi Mt. Gox müşterilerinin $490 milyon dolar değerindeki kripto parasını çaldırdıktan sonra iflas ettiğini açıklamıştır [4].

Bu konudaki bir diğer ilginç haber ise bir Harvard Üniversitesi öğrencisi gencin, üniversite öğrencilerinin araştırma projelerinde kullanılan 14.000 çekirdekli bir süper bilgisayarı kripto para (Bitcoin) üretmek için kullandığı tespit edilmiş. Senato kararıyla öğrencinin üniversitedeki tüm bilgisayar sistemlerini kullanması yasaklanmıştır[5].

Kripto paranın teknik maliyeti nedir?

Kripto para ilk başlarda masaüstü ve diz üstü bilgisayarların işlemcileri kullanılarak üretilmekteydi. Kripto paraya artan talep bu konuda yeni teknolojik gelişmelerin oluşmasına neden olmuştur.

Bilgisayarların işlemcilerinin yanında daha hızlı kripto para üretmek için tek görevi bu olan mikro bilgisayarlar üretilmiştir (asic miners) [6]. Bu cihazlar sadece kripto para üretmek için tasarlanmış elektronik donanıma sahip oldukları için bir çok pc tabanlı bilgisayara göre daha hızlı üretim yapabilmektedir.

https://i.kinja-img.com/gawker-media/image/upload/bq34da3gtmhe2a8arjoa.jpg

Şekil 2- Butterflyes firmasının crypto miner ürünleri

Kripto para, para birimi değiştokuşu ile avantajlarından yararlanmayı sağlarken (gerçek para ile ödeyip kripto para satın alınması) üretilmesi noktasında da ciddi çabalara şahit olmuştur. Dünyada bu işin geleceğine inanan birçok girişimci ciddi yatırımlar yaparak kripto para üretim tesisleri bile kurmuştur. [7]
https://mediad.publicbroadcasting.net/p/kplu/files/styles/x_large/public/201404/040414TB_BitcoinMine.jpg

Şekil 3 – Amerikada bir kripto para üretim tesisi

Kripto para mekanizması özünü oluşturan kripto algoritmaları açısından önemli bir savunma mekanizmasını da sahiptir. Kripto para üretmeye karar veren birisi bu işe ciddi donanım alt yapısı ile girişebilir, hatta bu konuda süper bilgisayar benzeri sistemlerde kurulmuştur. Ancak bu durumda ilgili kripto para ağı bir savunma geliştirerek kripto para üretim mekanizmasının zorluğunu artırır. Bu açında canlı bir metabolizma gibi değerlendirilebilecek kripto para kendi içinde bir regülasyona da sahiptir. Algoritmatnın kendini zorlaştırması ile ilgili olarak internette sıkça karşılaşılabiliecek bir örnekde, ilk BitCoin üretenlerden birisi olan kişi yaklaşık 3000 BitCoin’e internetten pizza siparişi vermiştir. Bu günki, üretim zorluğu ve değeri düşünüldüğünde kişi yaklaşık olarak $1.185.000’a pizzayı satın almıştır. Tabiki günümüz donanım alt yapısı ile bu değerde ve hızda kripta para üretmek mümkün değildir, sistem kendisini otomatik olarak zorlaştırarak yavaşlatmıştır.

Diğer taraftan üretimin donanımsal zorluğu kişileri çoğunlukla kripto para üretme yerine ilerisi için bir yatırım aracı olarak kripto para satın almaya da sevk etmektedir. Oluşan arz sabit süreler için sabir bir üretim sınırına sahip olan kripto paranın piyasa değerini yükselmesine neden olmaktadır.

Ayrıca günümüzde ancak kuramsal temelleri atılan kuantum bilgi işlem mimarisi ile (ışık hızında çalışan bilgisayarlar) öngörülenden (bitcoin için 2140 yılı) daha kısa sürede tüm kripto paraların üretilmesi tamamlasa dahi havuzdaki mevcut kripto para kendi sanal borsası ile değerlenmeye veya değer kaybetmeye devam edebilecektir. Bu açıdan teknik olarak kripto parayı yok etmek mümkün değildir. İlk çıktığı yıllarda birkaçbin BitCoin üreten kişiler şuanda $395 değerinde olan BitCoin ile zengin olmuş durumdadırlar.

Günümüzde kripto paranın özellikle BitCoin’in bir ev kullanıcısı tarafından kişisel bilgisayarlar ile üretilmesi elektrik maliyeti ve zaman açısından rantabl değildir. Çünkü BitCoin algoritması üretim hızını dengelemek için madenin işlenme zorluğunu otomatik olarak artırmaktadır. Kullanıcılar ne kadar çok kripto para madenciliğine zaman ve kaynak ayırırsalar algoritma kendini düzenleyerek maden işleme sürecinin zorluk katsayısını artırmaktadır. Bu durumda kripto para madeni çıkarmak isteyen kullanıcılar bir araya gelerek havuzlar oluşturmakta ellerindeki donanımları (pc ve asic miner’lar) birleştirerek ortak çalışmakta ve verdikleri katkı oranında çıkan madenden pay almaktadırlar. Bu durum meşhur olmuş ve çok kullanılan kripto paralar da böyledir ancak yeni çıkmış ve henüz az kişi tarafından kullanılan kripto paraların üretim işlemi kısmen kolay yapılabildiğinden ilgili üreticiler daha çok güçlerini birleştirmek yerine kişisel olarak çalışmaktadırlar.

Kripto paranın toplumsal ve hukusal maliyeti?

Günümüzde yaygınlaşma aşamasında olan kripto paranın önemli bir kısmı gerçek para ile satın alınarak kullanılmaktadır. Alış verişlerinde anonimlik sağlamak isteyen kullanıcılar bir kripto para satıcısından gerçek para ödeyerek kripto para satın almakta ve bunu illegal amaçlarını gerçekleştirmek için kullanabilmektedir.

Özellikle BitCoin ve diğer altcoin’lerin gelecekteki amacı kripto parayı diğer para birimlerinden dönüştürülen bir finans aracı olarak değil tek başına kullanılabilecek bir ödeme aracı olmasını sağlamaktadır. Bu olduğunda devletlerden ve herhangi bir otoriteden bağımsız yok edilemez, sınırlandırılamaz ve ödeme işlemi üzerinden takip edilemez bir finas aracı yaratılmış olacaktır.

Bunun toplumsal maliyeti, kripto paranın merkeziyetçi özelliğinin olmamasından dolayı ve kontrol edilebilirlik özelliği olmadığından tam olarak kestirilememektedir.

Ama bu durumun suçluların suistimale tamamen açık yapıda olması online ve fiziksel suçların yaygınlaşmasını ve kolay bir finans aracı olarak kullanılabileceğini bilinmektedir.

Kripto paranın kullanımını/üretimini engellemek çekirdeğinin oluşturan matematiksel fonksiyonların çökertemedikçe mümkün olamayacaktır. İnternet’in tamamen ve kalıcı olarak kapatılması da teknik olarak mümkün olmadığı için kripto paranın şuanki kullanımını engellemenin pratik ve kesin bir yolu gözükmemektedir.

Kripto paranın varlığını bir anda yok etmenin silmenin bir yolu yoktur. Çünkü tüm kripto para verisini veritabanında tutan tüm düyaya yayılmış on milyonlarca bağımsız ve kişisel kullanıcı söz konusudur. Ancak devletler kripto paranın gerçek para veya mal ve hizmete dönüştürülmesiyle ilgili yaptırımlarda bulunabilirler. Tüm dünyaya yayılmış ve gücünü her bir kullanıcısından alan bu finansal sistemi yok etmek küresel düzeyde bir organizasyonu, çabayı ve kararlılığı gerektirir.

Tamamen spekülatif bir değerleme sistemine sahip olan kripto paranın kullanımına devletler tarafından getirilecek yaptırım ve cezalar ile bir borsa gibi çalışan kripto para ağında umutsuzluk oluşturularak değerini kaybetmesi ve sonunda yok olması sağlanabilir ama böyle bir anonimiteye sahip bir ödeme aracına özellikle suç çevrelerinden duyulan ihtiyaç önündeki en büyük engeldir. Kaldiki BitCoin ile başlayan örnek ardından yüzlerce kripto para alternatifini de doğurmuştur.

Kontrol edilemeyen yapısı nedeniyle kripto paranın oluşturduğu değerin maddi ve menkul kıymet açısından bir karşılığı yoktur. Tamamen kullanıcılarının eğilimleri üzerinden spekülatif olarak değerlenen kripto paranın ülke ekonomileri açısından bir delik ve parasal kayıp olarak değerlendirilmesi mümkündür.

Devletler açısından hem bir maddi kayıp hem de suç çevreleri tarafından anonim bir ödeme aracı olarak kullanılan kripto para suçun önlenmesi ile ilgili yapılan yaptırımları sekteye uğratıcı niteliktedir.

Uluslararası para aktarımında önemli bir role sahip olan SWIFT organizasyonu swift kodu ile aktarım noktalarını tanımlayan ve takip eden bir role sahip olduğundan tüm aktarımların kaynağı ve hedefi izlenebilmekte ve kayıt altına alınabilmektedir. Devletlerin lehine olabilecek bir bakış açısıda bu konuyla ilgilidir Zaman zaman devletlerin birbirleri üzerinde siyasal ve maddi nedenlerle ekonomik ambargoları olabilmektedir. Doğal yapısı itibariyle herhangi bir otoriteye sahip olamayan kripto para bu durumlarda devletler tarafından bir çıkar yol olarak kullanılabilir.

Bir ödeme aracı olarak kripto paranın teknik, sosyal ve hukuki açıdan sağladığı avantaj ve dez avantajlar özetle şöyle değerlendirlebilir:

Kripto paranın avantajları?

Kripto para teknik ve sosyal açından değerlendirildiğinde aşağıdaki özelliklere sahip olduğu söylenebilir[8]. Tabiki bunların bazıları doğal sonuçları itibariyle hukuki açıdan suç da oluşturmaktadır.[9] Bu yönüyle kripto para ilerleyen bölümlerde incelenecektir.

  1. Piyasa sirkülasyonunu kontrol eden merkezi bir yönetimi yoktur.
  2. Fiziksel bir varlığığa sahip değildir. Paranın kendisi çok küçük hacimlere sığdırılabilir ve çok hızlı bir şekilde başka bir noktaya aktarımı gerçekleştirilebilir.
  3. Emtiya alışverişlerinde kullanılabilir, genellikle bir havale ücreti (transfer) istenmez.
  4. Bir ödeme aracı olarak alan ve satan açısından anonim kalma özgürlüğü sağlar. Kredi kartlarında olduğu gibi kart numaranız ile isim ve adres bilgileriniz ilişkili değildir. Dilerseniz büyük oranda anonim kalabilirsiniz.
  5. Yapılan tüm transferler ve üretimler anından herkes tarafından izlenebilir. Kendini bilinçli ifşa etmeyen hiçbir kullanıcının yaptığı kripto para işlemleri takip edilemez ve sahip olduğu kripto para miktarı bilinemez.
  6. Kripto para kullanıcısının sanal cüzdanının kimliği ifşa olsa bile yenisi herhangi bir kayıp olmadan kolaylıkla üretilebilir. Bu kripto paranın mahremiyetini sağlayan en güçlü özelliğidir.
  7. Devletlerin kanunsal yaptırımlarına tabi değildir. (Vergi, kayıt ve beyan zorunluluğu)
  8. Herhangi bir devlet otoritesi kripto paraya kullanıcın izni olmadan vergi kesintisi uygulayamaz.
  9. Uluslararası bir ödeme aracıdır. Visa/Master ürünlerinin kullanım ve harç sınırlılıklarına tabi değildir.
  10. Kripto para veritabanlarının çok fazla kopyası (kripto para verisinin geri döndürülemez şifreli hali) mevcut her kullanıcıda olduğu için devlet otoriteleri herhangi bir kullanıcının kripto para servetine el koyamaz, bu açıdan kripto para tamamen özgürdür.

Kripto paranın dez avantajları?

Kripto para tüm avantajlarının yanında bir ödeme mekanizması olarak bazı sosyal ve ekonomik dez avantajlara da sahiptir. [10]

  1. Kripto para hala küçük sayılabilecek bir kitle tarafından bir ödeme aracı olarak kullanılmaktadır. Devletlerin ödeme aracılarını kripto para ürününü portföylerine almamaları için baskıları söz konusudur.
  2. Kripto para dijital bir cüzdan da (kişinin şifreleme anahtarının depolandığı bir dosya) saklandığı için kaybedilmesi durumunda geri getirilmesi mümkün değildir.
  3. Kripto para tamamen spekülatif gelişmelere açıktır. Belli bir piyasa regülatesine sahip olmadığı için kısa zamanlar içinde değeri sebepsiz olarak azalabilir ve artabilir. Bu durumdan çok zarar edilebileceği gibi kar da edilebilir. Örneğin 2011 yılında bir BitCoin piyasalar açısından $9.9 olarak değerlenmişken, bundan altı ay önce $1’ın altında bir değere sahipti. Bu durum kripto parayı ödeme aracı olarak kullanan kuruluşların ürün ve hizmetlerinin fiyatları sıkça güncellemelerine de sebep olur. Bu durum özellikle ürün ve hizmetlerin müşteri tarafından geri iadesi söz konusu olduğunda, büyük maduriyetlere neden olur.
  4. Kripto para ile gerçekleştirilen dolandırılmalarda parayı geri kurtarmanın yolu yoktur. Bu durumu çözmek için bazı aracı hizmet kuruluşları bulunmaktadır fakat bu kuruluşlar bir banka gibi çalıştıklarından kripto paranın doğal avantajlarını sekteye uğratmaktadır. (Bir önceki başlıkta listelenen avantajlardan en önemlisi olan anonimlik)
  5. Teknik kusur riski. Kripto paralarda zaman zaman suistimale açık teknik (alogoritmik veya cüzdan güvenliği hakkında) zaafiyetler tespit edilebilmektedir. Kripto paranın tüm Dünyada yaygın olarak kullanılması durumunda bu zaafiyetlerden yararlanmayı başaran kişilerin muazzam ölçüde zengin olabilme riskleri vardır.
  6. Kripto paralar hali hazırda bünyelerinde deflasyonist bir nitelik barındırılar. Her kripto para algoritmasının sınırlı sayıda para üretme kapasitesi vardır. Bu da deflasyona, yani tüm paralar üretildiğinde mevcut paraların aşırı değerlenmesine neden olabilir.
  7. Kripto parayı yöneten merkezi bir otorite bulunmadığından hiç kimse minimum değerini garanti edemez.

Kripto paranın geleceği

Kripto paranın üretilmesi veri madenciliği (mining) adı verilen ve güçlü bilgisayarlar ile karışık algoritmaların çözülmesi sürecine dayanan bir işlemi gerektirir. Dünyada her 10 dakikada 25 Bitcoin üretildiği tahmin edimektedir. Bitconin özelinde bu kripto paranın mevcut kapasitesi 21 milyon bitcoin’e karşılık gelmekte ve 2140 yılına kadar üretiminin tamamlanacağı öngörülmektedir.[11]

Bitcoin’in merkezi olmayan yapısı ve işlemlerdeki anonimleştirme özelliği, özellikle yasadışı aktivitelerde favori parabirimi olmasını sağlamaktadır. Bu özelliği ile Finansal Suç Ağının da (FinCEN: Financial Crimes Enforcement Network) dikkatini çekmiştir.
Bitcoin küçük sorunlarının yanında başarısı ve artarak büyüyen bilinirliği ve popülaritesi, benzer birçok para biriminin de türemesine yol açmıştır. Bu para birimleri kripto para mefhumunun tüm özelliklerine sahipken farklı kripto algoritmaları ile üretildiği için tamamen farklı para birimleri olarak değerlendirilir. Bunun yanında internette farklı kripto para birimleri arasında komisyyon karşılığı takas yapan (exchange) sitelerde oluşmuştur.

Şuanda en çok tercih edilen kripto para türü olan BitCoin 6 milyar dolarlık bir piyasa hacmine sahiptir. Aralık 2015 itibariyle bir BitCoin $395 üzerinden değerlenmiştir ve günlük iş hacmi 45 milyon dolar civarındandır.

Şekil 4 – Bitcoin’in bir yıllık işlem hacmi (2015)
Kripto para tamamen spekülatif gelişen bir doğaya sahiptir. Avantajlarının yanında insanları kripto para üretmeye ve kullanmaya teşvik etmek aynı zamanda onun bir maddi değere kavuşmasına da neden olur.

Kripto para türleri arasında Bitcoin üretim anlamında en zor yani en fazla bilgi işlem zamanına ihtiyaç duyan kripto paradır. Hem üretim zorluğu hem de üretim kapasitesi anlamında belli bir doygunluğa ulaşmış olduğundan birçok girişimci kripto parada gelecek görerek yeni kripto para türlerini ortaya çıkarmıştır. Bunlar altcoin (alternatives of cryptocurrencies) olarak bilinir.[12]

Bitcon’in ardından türeyen en popüler kullanıma sahip kripto para birimleri şunlardır:

Ripple: BitCoin’den sonra en büyük market kapasitesine sahip olan Ripple para birimi 2012 yılında yayınlanmıştır. [13] Yüzlerce BitCoin kopyasının yanında Ripple hem bir parabirimi hem de kripto para aktarım prosedürünü tanımlayan bir protokol olarak ortaya çıkmıştır.

Litecoin: 2011 yılında Charles Lee tarafından ortaya atılmış ve Bitcoin’in emtiya değerinin düşük bir alternative olarak ortaya çıkmıştır. Charles Lee bu anlamıyla Bitcoin’i altın ile eşdeğer tutarken Litecoin’i gümüş olarak nitelendirmiştir. Bir Litecoin’in piyasa değeri şuan (Aralık 2015) $3.5 civarındadır. Piyasa kapasitesi ise 155 milyon dolar civarındadır. [14]Litecoin’in aktarım süresi 10 dakika olan Bitcoin’e göre daha kısadır[15].

Dogecoin: Özellikle yer altı dünyasında para transferi ve ödeme yapmada popülerlik kazanmış olan DogeCoin şuanda $15 milyon market kapasitesine sahiptir ve günlük $350.000’lık bir para trafiğine sahiptir. Deep web’de çok kullanılan bu para birimi daha çok yasadışı faaliyetler yapanlar arasında bir ödeme mekanizması olarak rağbet görmekte.

Bunların dışında on milyon doların altında piyasa kapasitesine sahip 150’den fazla altcoin vardır: BitSharesX , Namecoin, Bytecoin, MaidSafeCoin, Darkcoin, Dogecoin

Kripto paranın finansal sistemlere etkisi

Kriptopara elde etme ya da üretme sürecinin kendisinin bir maliyeti vardır. Elde edilen kripto paranın sağlayacağı piyasa değerinin yanında üretim maliyeti önemli bir değer oluşturmakta ve bu maliyeti üretim için kullanılan bilgisayar sistemleri, elektrik enerjisi ve personel giderleri teşkil etmektedir. Ulusal boyutta düşünülecek olursa ülkeler sahip oldukları altın rezervi karşılığında (değerinde) para üretmeyi (basmayı) ekonomik bir kural olarak benimsemişlerdir. Fakat kripto paranın üretim maliyeti gerçek paraya (kağıt) oranla daha fazla olmakla birlikte herhangi bir maddi değere (ülkelerin altın rezervi gibi) karşılık gelmemektedir. Bu boyutuyla mal alım satımı için kullanılan kripto para bir ülkenin ekonomik düzeni açısından bir kayıp olarak değerlendirilebilir. Diğer taraftan kripto paranın üretilmesi için kullanılan donanım, yazılım ve personel olanakları ayrı bir sektörü de finansal olarak teşvik ve sübvanse ettiği için dolaylı bir olumlu katkı olarak değerlendirilebilir.

BIS (Bank for International Settlements) ‘in raporuna göre kripto para gelecekte ülkelerin merkez bankalarının para üzerindeki otoritesini yok eden bir hal alma potansiyeline sahiptir. [16] Diğer taraftan mevcut market kapasitesi ve bir ödeme aracı olarak mevcut finansal sektörde yeni bir teknolojik girişim olması açısından şuandaki payı ile küresel finansal bir tehdit olarak değerlendirilmemektedir. [17]

2.1. Türkiye’de kripto para kullanımı

Kriptoparanın ülkemizde kullanımı diğer ülkelere göre çok düşük değerlerde yer almaktadır. Bitnodes[18] sitesinin küresel düzeyde yaptığı raporlamaya göre; ülkemiz bitcoin üretiminde ve kullanımında kilit öneme sahip sunucu (node) sayısı sadece 8 dir. Bunun yanında Türkiye’de kripto para alanında hizmet veren onlarca internet sitesi ve forum bulunmaktadır. Ancak bu internet sitelerinin herhangi bir resmi kurusal kimliğe haiz bir karşlıkları yoktur.

Türkiye’deki “Kripto Para Bitcoin” adıyla Murat Kitapevi ve Yayınevinden çıkan ilk kitap kitapçılarda satılmaktadır.[19]

Kripto paranın artan potansiyeli üzerine T.C İş Bankası’da bir BitCoin piyasa analiz raporu hazırlayıp yayınlamıştır. [20] Kripto para dünya da saygın alış veriş ve hizmet kuruluşları tarafından bir ödeme aracı olarak kullanılırken Türkiye’de henüz bilinen kurumsal bir kullanımı yoktur. Bununla ilgili önemli bir gelişme olarak dünyadaki ilk Bitcoin ATM (otomatik para çekme makinası) makinalarından birisi İstanbul Atatürk Hava Limanında açılmıştır. [21] ATM ile dış hat yolcuları ellerinde kalan bozuk paraları BitCoin’e çevirebilmekte dilerlerse bağış yapabilmektedirler fakat BitCoin’i bozduramamaktadırlar. Bu açıdan ATM aslında bir satın alma kiosk’u olarak değerlendirilebilir.

https://cdn.eticaretmag.com/wp-content/uploads/2013/12/bitcoin-atm-istanbul-e1385979822591.jpg

Şekil 5 – Atatürk Havalimanı Bitcoin ATM’si

Türkiye’de kripto paraya doğrudan kullanım imkanı tanıyan resmi bir şirket olmasa da aracı firmaları kullanarak Türkiye’de BitCoin ile alışveriş yapmak mümkün. Abine adındaki kişisel gizlilik şirketi BitCoin parasının harcanabilmesi için MaskedCard adında sanal kredi kartları oluşturarak komisyon alıyor [22]. Kişi siteye üye olarak BitCoin cüzdanını sitedeki hesabına bağlıyor ve her yerde geçerli bir sanal kredi kartına sahip oluyor.

Microsoft’un 2014 yılında BitCoin ile ödeme kabul edeceğini açıklaması [23](sadece uygulama marketinde geçerli) ve dünyanın en büyük ödeme aracısı PayPal’ın kişilerin paypal hesaplarını BitCoin cüzdanları ile entegre edebilme özelliğini devreye alması, kripto paranın gelecekte daha da yaygınlaşmasını sağlayacak büyük adımlar olarak görülmektedir.

Türkiye’de kripto para ençok ikili alışverişlerde tercih edilen bir ödeme yöntemi olarak göze çarpmaktadır. Kripto para sahibi parasını internette birçok sitede ürün ve hizmet satın almak için kullanabileceği gibi kripto parayı diğer kişilerden yasal veya yasadışı ürün ve hizmet alımı/satımı içinde kullanabilir. Yasadışı işlem söz konusu olduğunda kişiler genellikle kamuya açık internet forumları veya eposta aracılığı ile iletişim kurmakta ürün ve hizmetlerini pazarlayarak ödemelerini kripto para cüzdanları aracılığı ile tahsil etmektedirler.

Dünya’da anonymous[24] ve Türkiye’de redhack[25] gibi marjinal hacker grupları bağış olarak bitcoin türevleri gibi kripto paraları kabul etmekteler. Truva atı veya sipariş üzerine çeşitli dijital güvenlik sistemlerinin aşılması, sistemler üzerinde değişiklik yapılması ve bilgi çalınması ile ilgili faaliyetlerinin tahsilatını kripto para ile yapmaktadırlar.

Türk hukuk sisteminde kripto paranın yeri

Kripto paranın Türk hukuk sisteminde henüz bir yeri yoktur. Bankalar birliğinin para transferi, üretimi ve transferi ile ilgili mevzuatında her hangi bir yeri yoktur.

Kripto para doğası gereği herkes tarafından üretilebilmekte ve anonim olarak istenilen sanal cüzdana aktarılabilmektidir. Türkiye’deki bankacılık mevzuatına göre para üretimi ve transferi ile ilgili yetki sahibi kuruluşlar ve çalışma şekilleri net tanımlandığından herhangi bir kontrol mekanizmasına sahip olmayan kripto paranın yasadışı olduğunu söylemek de doğru olmaz. Çünkü bununla ilgili bir yasal düzenleme yoktur. Diğer taraftan suçsuz ceza, cezasız da suç olmayacağı için kripto parayı tek başına bir suç olgusu olarak değerlendirmek doğru değildir.

Bu konuyla ilgili olarak BDDK Türkiye’deki internet kullanıcılarının ödeme aracı olarak kripto paraya rağbetinin artmasından dolayı “Böyle bir sanal para biriminden haberdarız ancak bu konuda yaşayacağınız olası mağduriyetlerden biz sorumlu değiliz.” anlamına gelen bir açıklama yapmıştır.[26] [27]

Ancak kripto kötüye kullanımından doğacak zararlar kripto paranın bir suç aracı olarak ortaya çıkmasına sebep olabilecektir. Diğer taraftan Türkiye’nin finansal sistemi içerisinde bir ödeme aracı kullanım bulması ülke ekonomisine zarar olarak yansıyacaktır. Çünkü kripto paranın üretim süreci ve kaynağı herhangi bir gerçek maddi değere karşılık gelmemekte tamamen arz talep dengesi üzerinden değerlenmektedir.

Kripto paranın bir suç aracı olarak değerlendirilmesi şu gerekçelere dayandırılabilir:

  • Kaynağı ve hedefi belli olmayan para transferlerinin suç finansmanı olarak kullanılması.
  • Altın rezervleri oranında üretilen resmi para temsilinin kripto para ekosistemin de bir değere karşılık gelmemesi ülke ekonomisi için bir kayıp olması.
  • Alış veriş işlemlerinde bir para aracılı olarak kullanılan kripto paranın kaynak ve hedef açısından takip edilememesi, sadece kişilerin beyanına dayalı olarak ispatlanabilmesi vergi kayıplarına yol açacaktır.
  • Kripto para üretim ve transferlerine aracılık yapanların, kripto paranın doğası gereği BDDK gibi bir kurum tarafından denetlenemesi ve regüle edilmemesi ülke ekonomisi açısından zarar oluşturacaktır. Bu nedenle devletin para akışını kontrol etmek için kripto para ile ilgili mevzuatları çıkartması gereklidir.
  • Aynı şekilde kripto para üretim ve aktarımlarında oluşabilecek mağduriyetlerin herhangi bir şekilde tanzim edilmesini, geril alınmasının veya iptal edilmesinin mümkün olmaması devletlerin doğal otorite ve teminat kaynağı olma niteliğini yerine getirememesine neden olacaktır.

Kripto para ve kara para aklama


Kripto para bilgisayar ortamında açık kaynak yazılımlar ile üretilebilen bir değer olduğu için isteyen herkes tarafından üretilebilir, ayrıca kripto para borsaları aracılığı ile gerçek para ödenerek istenilen miktarda da satın alınabilir. Bu açıdan kişiler diledikleri miktarda kripto para servetine sahip olabilir. Kripto paranın doğası gereği kaynağının ve hedefinin belirlenememesi böyle bir servetin edinilme şekli itibariyle de oluşabilecek herhangi bir suça somut delil sağlayamaz.

Bu açıdadan değerlendirildiğinde kaynağı kanunlarla tanımlanmış suç olan faaliyetler sonucu oluşan para kolaylıkla kripto para satın alınması için kullanılabilir. Böyle bir durumda kripto paranın üretilerek mi elde edildiği yoksa kara para aklamak suretiyle mi elde edildiği de kripto paranın teknik doğası gereği kanıtlamaz durumdadır.

Suç faaliyetlerinden elde edilen para bir başkasından kripto para satın almak için kullanılabilir. Kripto para satın alma faaliyeti tamamen ikili ilişki ile gerçekleştirilmek durumundadır. Bir kripto para borsası veya aracı şirket kullanılarak satın alınan kripto para için ödenecek nakit devletlerin para takip mekanizmalarına takılabilecektir. Örneğin böyle bir alışverişte kredi kartı veya swift/eft yöntemi kara paranın devletler nezdinde kayda girmesine ve sorgulanabilmesine olanak tanır. Bunu engellemek için kara para sahibi kişi kripto para satın alacağı kişi ile aracısız olarak elden aktarım yapmak zorundadır. Bu aktarım gerçekleştikten sonra sahip olunan kripto paranın kaynağı anonim yapı nedeniyle berlirsiz olacağından kişi sahibi olduğu kara parayı kripto para satın alarak aklamış olur. Kaynağı belli olmayan kripto parayı yasal borsalarda bozdurabilir (diğer para birimlerine çevirebilir) veya ürün ve hizmet satın alabilir. Kripto paranın kaynağı sorulduğunda da belirsiz bir tarihte kendisi tarafından bilgisayar ortamında üretildiği ve kripto para borsasında alım satım süretiyle karlandırıldığı da söylenebilir. Bunun aksi kanıtlanamaz durumdadır, çünkü kripto para akışını kontrol eden ve denetleyen bir mekanizma söz konusu değildir.

Anonimite özelliği nedeniyle kripto paranın alım satımının ve üretilmesinin suç olarak tanımlanması mümkün değildir. Sonuç olarak kripto para kişilerin ilgisi üzerine değerlenebilen veya değer kaybeden üretilmiş değerli bir veri statüsündedir. Bu nendenle kripto paranın kendisini bir suç aracı veya suç kaynağı olarak değerlendirmek mümkün değildir. Kaldiki insanlar gerçek para veya sanal para kendi başına bir suç unsuru olmadığı halde onu kötü amaçları için kullandıklarında suç işlemiş olurlar.

3.1. Kripto paranın suç amaçlı kullanılması

Kanunlarlaca faaliyetleri veya alım satımı yasaklanmış ürün ve hizmetlerin kişiler arasında elde değiştirmesi için kripto para biçilmiş bir kaftandır. Bu amaçla suç çevreleri kripto paranın tüm nimetlerinden sonuna kadar yararlanmaktadırlar.

Bu faaliyetlerin bir kısmı internet üzerinden herkese açık web siteleri aracılığı ile gerçekleştirilirken önemli bir kısmı da suçun ciddiyetine göre mahremiyete daha fazla önem vererek mümkün olduğunca anonim kalmaya çalışmaktadır. İnternette anonim olarak var olmanın yeni yolu günümüzde deep web (derin web) terimi ile adlandırılmaktadır. Deep web doğrudan arama motorları veya WWW bağlantıları aracılığı ile ulaşılamayacak online iletişim noktalarını (web sitelerini) tarif etmektedir.

Suçluların anonim mekanı “Dark Web”

Bilindiği gibi intenetin bilgi kaynakları olan web sitelerine yapılan iletişim açık ve şifresiz şekilde gerçekleşmektedir. Teknik imkanı olan herkes veya devletler bu iletişimi rahatlıkla takip edebilir ve kayıt altına alabilir. Durum böyle iken suç çevreleri internet ortamında aynı kripto para da olduğu gibi anonimlik üzerine kurulu mahremiyete çok yüksek düzeyde özen gösteren eşler arası şifreli bir iletişim ağı kurmuşlardır. Bu iletişim ağı görünen web’in dışında olduğu için “Deep Web” [28] veya “Dark Net” [29] olarak adlandırılmaktadır. Deep web denildiğinde ilk olarak akla Tor Network gelmektedir. Tor network tor istemcisi yüklü bilgisayarların aralarındaki iletişimi şifreli olarak gerçekleştirmesi prensibine dayanır, diğer önemli özelli ise yüksek düzeyde anonimlik sağlayan dolabaçlı yapısıdır. Tor network üzerinde gidip gelen veri paketleri her seferinde rastgele patikaları takip ederek iletişimin geriye doğru izinin sürülmesini son derece zor hale getirir. Böylece eşler aradaki patikadan dolayı birbirlerinin gerçek adreslerini bilemezler.

Tor ağının web hizmetlerini kullanmanın en kolay yolu sırf bu iş için üretilmiş olan Tor Browser’i kullanmaktır. [30]Tor Browser standart bir web tarayıcısı olmasının yanında sadece deep web’de geçerli olan .onion uzantılı adresleri de çözer ve web sitelerine ulaşmayı sağlar. Tor tarayıcısı torproject.org sitesiden herhangi bir işletim sistemi için indirilebilecek açık kaynak kodlu bir projedir. Proje iki önemli bileşene sahiptir. Tor client, tor ağı üzerinde anonimiteyi sağlar, Firefox Web Browser ise yükseltilmiş anonimite ayarları ile iz bırakmamayı temin eder.

Dark Web arama motorları

Bundan sonraki bölümlerde bitcoin ödeme yöntemi ile kanunlarca suç olarak tanımlanmış ürün ve hizmetlerin tor ağı üzerinden araştırılması gerçekleştirilecektir. Bölümlerde geçen adres ve içerikler 13.12.15 saat 01:00 (GMT+2) tarihine ait ekran görüntüsü ve adresleri içermektedir. Tor ağı üzerindeki aramalara kaynak oluşturan arama motorları aşağıdaki gibidir:

Arama motoru: DuckDuckGo

Adresi: http://3g2upl4pq6kufc4m.onion/

Dizin: The Hidden Wiki
Adresi: http://ev3h5yxkjz4hin75.onion/wiki/index.php/Darknet_Markets

Arama motoru: AHMIA.FI – Tor Hidden Service (.onion) Search

Adresi: https://ahmia.fi/

Dizin adı: DeepDotWEB

Adresi: http://deepdot35wvmeyd5.onion/

Arama motoru: Grams Search
Adresi: http://grams7enufi7jmdl.onion/

Ayrıca Darknet Market’lerin düzenli bir listesini şu Tor sitesinden bulmak mümkündür: http://ev3h5yxkjz4hin75.onion/wiki/index.php/Darknet_Markets

Bitcoin kullanarak uyuşturucu satın alma

Tor browser ile deep web’in en ünlü arama motorlarından olan ahmia.fi adresinden drug (ilaç) kelimesi aratıldığında ilaç satışı yapan yaklaşık 510 onion sitesi listelenmektedir. Bu sonuçlardan bir tanesine girilip üye olunduğunda aşağıdaki market görüntüsü elde edilmiştir. [31]

Şekil 6 – Uyuşturucu satışı yapan bir onion sitesi

pms5n4czsmblkcjl.onion adresli sitenin ürün portföyünde çeşitli miktarlarda insülin ve eroin yer almaktadır. “Buy” (satınal) düğmesine tıklandığında BitCoin cüzdanınızdan direk ödeme yapabileceğiniz bir sayfaya yönlendirilmektesiniz.

Şekil 7 – 10cc insülin ve 1 gr eroinin fiyatı 0.4 Bitcoin

Sitenin FAQ sayfasında pazartesi, Çarşamba ve cuma günleri 8’den sonra, açık adres yazıldığı takdirde gönderim yapıldığı yazmaktadır.

Ayrıca yakın tarihte 2. Versiyonu da FBI tarafından kapatılan “Silkroad” adlı yasadışı market 3.0 sürümü ile yayında olmasına rağmen kendini bakım çalışmaları nedeniyle Crypto Market [32] adıyla cryptp3hbt43v5hl.onion adresinde hizmet veren domain’e yönlendirmştir. (12.12.15) Site birçok uyuşturucu, silah ve yasadışı alet ve cihazların satıldığı bir market durumundadır. Marketin çalışmasını ülkemizdeki gittigidiyor.com veya sahibinden.com’a benzetebiliriz. Siteye üye olan dükkanlar sitenin teknik alt yapısını kullanarak kendi ürünlerini satmaktadırlar. Ayrıca marketin ana ve tek ödeme aracı BitCoin olarak görülmüştür.

Şekil 8 – CryptoMarket (silkroad) ödeme aracı BitCoin

CryptoMarket üzerinde yapılan kısa incelemenin neticesinde ağırlıklı olarak şu ürünlerin satışının yapılmakta olduğu görülmüştür:

  • Saf kokain
  • Eroin
  • DMT, LSD ve 2C olarak kodlanmış sentetik uyuşturucular ve haplar
  • Steroid (body building ile uğraşanlar için)
  • Çalıntı VISA/MASTER CARD bilgileri
  • Kırılmış bilgisayar yazılımları

Yukarıdakilerin dışında ilgili markette katil kiralama, silah ve terörizm odaklı ürünlerin satışına rastlanmamış ancak bomba ve patlayıcı yapımını anlatan pdf formatlı elektronik kitapların satıldığı görülmüştür.

Ayrıca tochka3evlj3sxdv.onion/marketplace sitesi ise kullanıcı sözleşmesine sadece doğal uyuşturucuları koyması dikkati çekmiştir. Bu sitede sentetik uyuşturucuların satılması yasaktır.

Şekil 9 – Doğal uyuşturucu marketi

Bitcoin ile katil kiralama

Ahmia.fi ve xmh57jrzrnw6insl.onion arama motorlarından “mafia” (mafya) ve “killer” (katil) anahtar kelimeleri kullanılarak yapılan aramada çıkan 800 dolayındaki adresten çokça tekrarlananlardan biri olan oiiuv2gwl2jhvg3j.onion sitesinde bir kişiyi öldürmenin ücreti $14000, kaza süsü vermenin ise $20000 olarak ücretlendirildiği görülmüştür, ayrıca kişiyi sakat bırakma, uzuvlarından birini kesme gibi seçeneklerinde farklı fiyatlar üzerinden tariflendirildiği görülmüştür.

Şekil 10 – Kiralık katil hizmeti veren onion sitesi

Çocuk pornosu

Önceki bölümde verilen dizin ve adresler üzerinde “child porn” anahtar kelimeleri ile yapılan aramada çok fazla sayıda yayın yapan onion sitesi olduğu tespit edilmiştir.

Diğer yasadışı ürünlerin satışı

Nucleus Market [33] adlı sitede satılan ve rahatlıkla suç amaçlı kullanılabiliecek bazı ilginç ürünler aşağıda listelenmiştir:

Şekil 11 – Kontor yüklü halde sahte kimlikle kaydedilmiş SIM kartlar

Şekil 12 – Gizli kamera monte edilmiş duvar saati

Şekil 13 – Manyetik kart kopyalama cihazı

Şekil 14 – Çok tehlikeli bir kimyasal olan kloroform

Sonuç ve değerlendirme

Bu çalışmada BitCoin özelinde kripto paranın teknik ve hukuki unsurları incelenmiştir. Kripto paranın teknik alt yapısından dolayı takip edilemez ve kontrol edilemez bir yapıda olması suç çevreleri tarafından bir ödeme aracı olarak kullanılmasını sağlamaktadır. Kripto para’nın bu yönüyle suç unsuru oluşturduğunu söylemek mümkün değildir, ancak kripto para piyasasının bir para birimi gibi işlev görmesi ve herhangi bir maddi rezerve karşılık gelmemesi nedeniyle dünya ekonomisi için kayıp bir değer niteliği taşımaktadır. Kripto para’nın kullanımıyla ilgili dünyada yasal bir düzenleme bulunmazken, toplumsal hayatta kendine hızlıca yer bulan kripto para hakkında yasal düzenlemelerin yapılması kaçınılmaz bir durum olarak gözükmekteyken kripto paranın doğası gereği bunun mümkün olmadığı görülmüştür. Bu gerçekten yola çıkarak kanun koyucular tarafından ancak kripto para kullanımının sınırlandırılması için toplumu bilinçlendirici çalışmalar yapılarak kripto paranın özendirilmesiyle ilgili toplumsal yaptırımlar düzenlenebilir. Tabiki bu durum ülkeler nezdinde değil global ölçekte bir tutumun geliştirilmesini gerektirmektedir. Bu yapılabilirse kripto para piyasası negatif yönde speküle edilerek paranın değer kaybetmesi ve kullanımının azaltılarak ortadan kaldırılması sağlanabilir.

Mobil Cihazlarda Adli Bilişim İncelemesinin Yapılması (Oxygen Forensic)

Bu makalede mobil aygıtların disk görüntüsünün alınarak, disk görüntüsü üzerinde adli bilişim analizlerinin yapılması konusunda temel bir inceleme gerçekleştirilmiştir. İnceleme için NIST’in derecelendirmesine göre mantıksal seviyede analiz yapan yazılımlardan biri olan Oxygen Forensic adlı yazılım kullanılmış, çalışmanın sonuç kısmında elde edilen verilerin çeşitli örnek adli olaylarda delil olarak nasıl kullanılabileceğine değinilmiştir.

Makaleyi indirmek için tıklayınız.

Diğer yazılarım için tıklayınız.

Açık Kaynak Araçlar Kullanılarak Adli Bilişim

Adli bilişim oldukça zorlu bir alandır. Adli bilişim, adli bilişimin kaideleri açısından olduğu kadar bu sürece yardımcı olan araçlar açısından da önemlidir. Bu makalede adli bilişimde kullanılan açık kaynak kodlu araçlar, iki ticari alternatifi ile avantaj ve dez avantajları yönünden akademik olarak karşılaştırılmıştır. Çalışmanın kapsamı ve gerekliliği iki akademisyen tarafından desteklenen dört kişilik kıdemli öğrencinin oluşturduğu bir ekip tarafından tanımlanarak, açık kaynak yazılımların kullanılması hakkında üç örnek üzerinde durmuş, herbir yazılım aracının (açık kaynak/ticari) performans değerlendirmesi yapılmıştır. Ekip farklı zorluk seviyelerinde aynı sonucların elde edilmesini sağlayan üç ayrı yazılım aracını incelemiştir. Sonuçlar, Açık Kaynak araçların diğer ürünler kullanılarak elde edilen delillerin doğrulanması açısından çok iyi bir başarıma sahip olduğunu göstermiştir.

1. Sunuş
Açık Kaynak Adli Bilişim alanında iyi bilinen uzman bir isim olan Brian Carrier, hali hazırda kullanılan birkaç ticari adli bilişim yazılımının, Açık Kaynak alternatifleri ile bir karşılaştırmasını yayınlamıştır [1]. Carrier’ın Bu yayını SC Magazine’in Eylül 2000 sayısında [2], ve NationalInstitute of Standards and Technology (NIST) ‘nin 2001 tarihli Adli Bilişim Araçları Testi (Computer Forensic Tool Testing [CFTT]) adlı çalışmasında yer almıştır [3,4]. NIST tarafından yayınlanan en son çalışma, güncellenmiş bir sınama testi ile sayısal veri toplama araçları için bir uygunluk kriteri metodolojisinin oluşturulması için katkı sağlamıştır [5]. Diğer taraftan, NIST’in daha önce analiz araçlarını sınamak için geliştirdiği bir metodoloji yer almamaktadır. Proje ekibi Sleuth Kit ve Atuopsy gibi açık kaynak alternatifler ile hali hazırda kullanılan EnCase ve FTK gibi ticari ürünlerin incelemesini gerçekleştirmiştir. Proje ekibi bu üç aracı kullanım kolaylığı, sağlamlığı, güvenilirliği ve doğrulanabilirliği açılarından incelemiştir. Ekip üç aracın göreceli başarımını ölçmek için aynı disk görüntüsünün kullanıldığı üç örnek çalışma yapmıştır. FTK Imager ile elde edilen disk görüntüsü ve sonuçlar üç araç arasında da karşılaştırılmıştır. İşletim sistemi kayıt veritabanı dosyaları (Registry)’nın yanında, disk görüntüsündeki diğer dosyalar da analiz edilmiştir. Parola korumalı çalışma sayfaları (Excel Worksheet) ve çalışma kitapları (Excel Workbook) içeren bir disk görüntüsü oluşturulmuştur. Şüpheli disk görüntüsüne ait ana dizine fotoğraf dosyaları, “Program Files” klasörü ve “Documents and Settings” de klasörü dahil edilmiştir. Çalıştırılabilir dosyalar, analiz sırasında dosya uzantısı uyuşmazlığını tetiklemek için bir metin dosyası uzantısı ile (.txt) değiştirilerek yeniden adlandırılmıştır. Tracks Eraser Pro gibi şüpheli bir program ile içeriği bozulmuş (shredded) bir çok dosya da eklenmiştir. Geri dönüşüm kutusu (Recycle Bin) boşaltıldıktan sonra dosya içerikleri bozulmuştur. Sistemde iki e-posta hesabı oluşturulduktan sonra parolanın hatırlansın seçeneği aktifleştirilerek oturum açılmış ve parolanın sisteme kaydedilmesi sağlanmıştır. Sonuçların tüm araçların aynı bilgileri tespit etmesi açısından inandırıcılığını yansıtması amaçlanmıştır. Sonuçlar ile araçların elde ettiği aynı bilgilerin çeşitli zorluk derecelerindeki inandırıcılık değerileri ortaya koyulmuştur. Örneğin, Autopsy ile SAM veritabanı ayrıştırılırken RegViewer’a, çerezler (Cookies) ve URL adres bilgilerini görüntülemek için ilgili Registry (işletim sistemi kayıt veritabanı) anahtarları içe aktarılmıştır. Oluşturulan disk görüntüsü üç üründe de incelenmiştir. Sleuth Kit ve EnCase yazılımları disk görüntüsünü kısmen makul bir sürede içe aktarmıştır. Diğer taraftan FTK ile tercih edilen seçeneklere bağlı olarak uzun bir içe aktarma süresi geçmiştir. Her üç ürün de MD5 sağlama değerini (Hash) sunmakla beraber SHA1 sağlama değeri sadece Sleuth Kit ve FTK tarafından sunulmaktadır. Sleuth Kit ve FTK incelemeyi yapan adli bilişim uzmanının tüm işlemlerini kayıt altına alırken, EnCase bunu yapmamaktadır. Proje ekibi tarafından, FTK’nın etkili analizler için sezgisel bir grafik kullanıcı arayüzüne (GUI) sahip olduğu EnCase’in ise inceleyicinin daha fazla zamanını alan bir arayüze sahip olduğu tespit edilmiştir. Sleuth Kit içinde kullanılan Autopsy Gezgini (Browser), sadece Windows’a aşina olan ekip üyeleri tarafından kullanılmıştır. Disk bölümü üzerindeki arama, hızlı ve verimli bir şekilde gerçekleştirilebilmelidir.

EnCase’in arama özellikleri diğer iki alternatifi ile karşılaştırıldığında çok daha güçlüdür fakat tüm özelliklerinin kullanılması inceleyicinin daha fazla zamanını almaktadır. EnCase ileri düzey katar (String) ifadeleri, EnCase Scripts (EnCase Betikleri) ve EGREP ile gelişmiş arama özelleştirmeleri yapılmasına izin vermektedir. Bu anlamda proje ekibi bu üç ürünün akademik olarak incelenmesine karar vermiştir

Diğer makalelerim için tıklayın.

Adli Bilişim Açısından, Tam Disk Şifrelemesine (FDE) Sahip Bilgisayarlardan Ağ Trafiğinin Koklanması (Sniffing) Yoluyla Delil Elde Edilmesi

Bu çalışmada tam disk şifrelemesine (FDE: Full Disk Encryption) sahip olay yeri bilgisayarlarından delil elde etmede kullanılan teorik ve pratik yöntemler araştırılarak, şifreli disklerden adli delil elde etmede karşılaşılabilecek engellerin nasıl aşılabileceği incelenmiş ve uygulamalı olarak örneklendirilmiştir.

Adli bilişim ve olay yeri incelemeleri açısından ülkelerin mevzuatlarına ve adli bilişim uzmanlarının eğitimlerine göre değişen çeşitli delil elde etme pratikleri uygulanır. Bilgisayar çalışıyorsa ve oturum kilitli değilse ilk yapılması gerekenlerden biri bilgisayarın sürücülerinde bir disk şifreleme yazılımının çalışıp çalışmadığının araştırılmasıdır. Eğer varsa RAM’in kopyası alınarak şifreleme anahtarının elde edilmesi yoluna gidilir. Ancak bundan sonra disk imajı üzerinde bir adli inceleme gerçekleştirilmesi mümkün olabilir. Şifreleme anahtarı olmayan disk imajlarının şifrelerinin çözülmesi, kullanılan şifreleme türüne ve anahtarın uzunluğuna bağlı olarak çoğu zaman imkansız olmaktadır.

Olay yeri bilgisayarlarına ait disklerin TrueCrypt, PGP, BitLocker, eCryptfs ve EFS1 gibi disk şifreleme yazılımları ile şifrelenmiş olduğu durumlarda, eğer bilgisayar oturumu kilitli ise, olay yeri inceleyicisinin şifreleme anahtarını elde etmeye yönelik uygulayacağı olağan senaryo büyük oranda sekteye uğrar.

Ancak böyle durumlara karşı kilitli ve çalışan sistemlerden şifreleme anahtarının elde edilmesi için uygulanabilecek birçok yöntem bulunmaktadır.

Bu çalışmada kilitli oturuma sahip FDE korumalı olay yeri bilgisayarlarından şifreleme anahtarını elde etmeye yönelik çok geniş bir literatür araştırması yapılmış, teorik ve pratik karşılığı olan ve uygulanan bir çok tekniğe yer verilmiş, yeni sayılabilecek bir teknik olan ağ trafiğinden delil elde edilmesi konusu örneklendirilerek gösterilmiştir.

Diğer makalelerim için tıklayın.