Adli Bilişim Yüksek Lisans Programı Çalışma Soruları

Katıldığım derslerden çıkarttığım bazı sorular bu sayfada yer alıyor. Sayıları ve türleri artırılabilir. Siz de soru gönderirseniz yayınlamaktan mutlu olurum. Muhtemelen bu durum hocaların hoşuna gitmeyecek. Neden  paylaşıyorum? Çünkü bu sorulara ulaşmak hiç de zor değil. Deneyim ettim ki aynı sorular yıllarca kullanılmakta. Amacım odur ki öğretimi pozitif yönde etkileyecek, öğrenme çıktılarını özgün ve güncel soru kalıpları ile etkin olarak ölçen sorular üretilebilsin. Bu hocalarımıza tabi ki fazladan bir yük bindirecek ama amaç gerçekleşirse memleket için daha iyi olacak.

Adli Bilişim ve Tebligat Hukuku Dersi

  1. Muhtara yapılan tebligat ile eski adrese yapılan tebligat arasındaki farklar
  2. Usulsüz tebligat ve geçersiz tebligat arasındaki farkı örneklendirmek
  3. Tebligat hukuku ile adil yargılanma hürriyeti arasındaki ilişki?
  4. Tebligat hukuku ile hukuki dinlenilme arasındaki ilişkiyi anlatınız?
  5. Tebligat kanunu 35. Madde ve 21. Madde tebligat usullerinin farkları
  6. Muhtara yapılan tebligat veya kolluk gücüne tebligat
  7. İlanen tebligat nedir açıklayınız?
  8. Hukuki dinlenilme hakkı konusunun tebligat hukuku açısından önemi
  9. İlanen tebligat nedir
  10. Elektronik yolla yapılan tebligat nedir?
  11. Hak arama hürriyeti ile tebligat ilişkisini açıklayınız.
  12. Tebligat hukukunun usul ekonomisi ilkesi ile ilişkisini açıklayınız? (Güncelleme: 11.17)

Hukukun Temel Kavramları Dersi

  1. Hukuk nedir? Hayatımızda ki önemini anlatınız.
  2. Normlar hiyerarşisini geniş bir biçimde anlatınız.
  3. Kamu hukuku ve Özel Hukuk’un farklılıklarını Ceza hukukunu göz önüne alarak anlatınız.
  4. Mesleğinizin hukukla ilişkisini anlatınız.

Ceza Muhakemesi Dersi Soruları

  1. Sorgu ve İfade kavramlarını açıklayanız.
  2. Fiziki kimlik tespitini açıklanız.
  3. Haberleşmenin tespitini açıklanız.

Sosyal Medya Siyasal Şiddet Dersi

  1. Sosyal medyanın 3 temel özelliğini açıklayın.
  2. Sosyal medyayı çekici kılan unsurlar nelerdir.

Fikri Haklar Dersi

  1. Fikri hakların diğer haklar arasındaki konumunu sema ile göstermenizi
  2. Fikri olarak maddi manevi haklar nelerdir
  3. Fikri haklarin ülkemizde ve dünyadaki gelişimi

E-Devlet Dersi

  1. Dijital vatandaşın boyutları nelerdir örnekle açıklayın.
  2. Türkiyenin e-devlet gelişmişlik endeksinde sonlarda olmasının nedenleri nelerdir?
  3. Toplumda siber savaş algısı nasıl olmalıdır örnekle açıklayınız
  4. Sosyal ağlarda Arap baharı alakalı bir soru.

Bilirkişilik Dersi

  1. Hakem bilirkişi ve bilirkişi nedir?
  2. Bilirkişiliğin delik sistemindeki yeri nedir?
  3. Bilirkişi ve özellikleri hakkında bildiklerinizi yazın?
  4. Bilirkişi delilinin deliller arasındaki yerini tartisiniz?
  5. Bilirkişi delili ile hakem bilirkişi delilini karşılaştırınız?
  6. Bilirkişiligin ve Bilirkişinin niteliği hakkında bildiklerinizi yazınız?
  7. Bilirkişiliğin hukuki sorumluluğu nedir?
  8. Bilirkişilik ve bilirkişiliğin niteliği?
  9. Bilirkişi raporunun hazırlanması ve mahkemeye sunulması?

Suç Teorileri Dersi

  1. Anomi teorilerinde Durkheim’a göre anomi anlatınız.
  2. Gerilim teorilerinde metronun klasik gerilim teorileri ve Merton’un uyum modelleri nelerdir
  3. Alt kültür teorilerinde trasher ve çete leri anlatınız.
  4. Rutin aktiviteler teorileri nedir aciklayiniz
  5. 1960 lı yıllardan bu yana süregelen pozitivistik akımdan neo klasik akıma geçiş sürecinde yaşanan ceza adalet sistemi üzerindeki geçişi izah ederek, günümüzdeki ceza adalet sisteminin siber suçlarla mücadele ile ilgili durumu rasyonel tercih ve caydırıcılık teorilerine bağdaştırarak acıklayınız?
  6. Psikolojik görüşler çerçevesinde Piegat in ahlaki gelişim modeli ve Kohlberg in ahlak modelini açıklayarak, hacker ın analizini bu modellemelere dayandırarak nasıl izah edersinz?
  7. Korsan yazılım sahteciliğini en iyi hangi suç teorisiyle anlatırsınız? Savunduğunuz görüşün güçlü yönlerini ve karşıt görüşlerin zayıf noktalarını karşılaştırarak yazınız?
  8. İnsan niçin suç işlemez?
  9. 1960 lı yıllardan bu yana süregelen pozitivistik akımdan neo klasik akıma geçiş sürecinde yaşanan ceza adalet sistemi üzerindeki geçişi izah ederek, günümüzdeki ceza adalet sisteminin siber suçlarla mücadele ile ilgili durumu rasyonel tercih ve caydırıcılık teorilerine bağdaştırarak acıklayınız?
  10. Günümüzde suç ceza ve adalet sistemini bir teoriye dayandırarak anlatınız.

Adli Bilişim ve Bilirkişilik Dersi

  1. Adli bilirkişilik ve bilirkişiliğin niteliği hakkında bildiklerinizi yazınız.
  2. Bilirkişinin hazırladığı rapor nasıl olmalıdır
  3. Bilirkişinin yükümlülükleri nelerdir
  4. Adli Bilişimde Bilirkişilik2016 Final1- bilirkişi delilinin Adli bilişimde önemi2- delil sistemlerinde bilirkişiliğin önemi3- keşif delili ile bilirkişi delilinin karşılaştırılması örneklerleBütünleme Yok2015 final1- Bilirkişiliği ve Bilirkişinin niteliklerini açıklayınız.2- Bilirkişiliğin sorumluluklarından, hukuki sorumluluğu açıklayınız.3- Bilirkişi raporunun takdim ve raporun incelenmesini açıklayınız.2015 bütünleme1- Bilirkişiliği ve Bilirkişinin niteliklerini açıklayınız.2- Bilirkişiliğin sorumluluklarından, disiplin sorumluluğu açıklayınız.3- Bilirkişi raporunun takdim ve raporun incelenmesini açıklayınız.

Adli Bilişim Uygulamaları Dersi

  1. Olay yeri incelemesi öncesinde yapılması gereken hazırlıkları yazınız?
  2. Dijital delillerin yapısal özelliklerini yazınız?
  3. İmaj alma ve kopyalama arasındaki farklı adli bilişim açısından yazınız?
  4. Mobil inceleme araçları nelerdir, bilgi veriniz?
  5. Final1. Dijital delil araştırma süreçleme modeli ?2. Elektronik Delillerin yapısal özellkleri ?3. Olay yerine gitmeden yapılacak hazırlıklar ?4. Mobil Cihaz imaj alma yazılımlar ?5. Klasik kopyalama ile imaj alma arasındaki farklar nelerdir?Bütünleme1- Harddiks çeşitleri nelerdir? açıklayınız2- Adli bilişim çalışma alanları nelerdir?3- Adli bilişim çalışmalarında yapılan hatalar nelerdir?4- NIST e göre imaj alma ekipmanlarının olması gereken özellikler nelerdir?5- İmaj alma programları nelerdir?

Bilgi Güvenliği Dersi

  1. Risk ve risk yönetimi nedir açıklayınız?
  2. Puko modeli nedir açıklayınız?
  3. Kriptoloji, kriptograf ve kriptoanaliz nedir açıklayınız?
  4. Risk yönetimi yöntemleri nelerdir bilgi veriniz?
  5. Bilgi güvenliği yönetim standartları standartları nelerdir?
  6. Risk ve tehdit arasındaki farkı açıklayarak yazınız?
  7. Bilgi güvenliği nedir nasıl sağlanır anlatınız?
  8. Dahili tehdit unsurları nedir açıklayınız?

Bilişim Suçları Önleyici Tedbirler / Mücadele

  1. Bilişim suçları türleri nelerdir?
  2. Bilişim suçları işleme yöntemleri nelerdir?
  3. Virüs türleri hakkında bilgi veriniz?
  4. Şifre sağlama yöntemleri nelerdir? Dikkat edilecek noktalar nelerdir?
  5. “BURADAHERHANGİBİRMETİNVAR” metnini “DAHAKISABİRMETİN” anahtarını kullanarak sütun transpozisyonu yöntemi ile şifreleyiniz?
  6. Bilişim suçları ile mücadelede teknik ve altyapı sorunları nelerdir?
  7. Bilişim yoluyla işlenen suçlar nelerdir?
  8. Sahte hesap oluşturma kanun olarak bilişim suçu bakımından açıkla?
  9. 5651 log yönetimini anlatınız?
  10. Kimlik hırsızlığı ve oltalama saldırı çeşitleri nelerdir? Açıklayınız.(2018/Büt)
  11. Bilişim suçu işleme yöntemleri nelerdir?(2018/Büt)
  12. Bilişim suçları ile mücadelede teknik ve yöntemler nelerdir?(2018/Büt)
  13. Virüs çeşitleri nelerdir? Açıklayınız.(2018/Büt)
  14. Ülkemizde Siber Güvenlik çalışmalarını açıklayınız.(2018/Büt)
  15. Suç işleme yöntemleri nelerdir?
  16. Ülkemizde siber suçlar ile ilgili tedbirler?
  17. Bilişim suçları için alınması gereken tedbirler nelerdir?
  18. Kimlik hirsizligi ve ortalama nedir aciklayiniz?
  19. Bilişim Suçları ve Mücadele2015 final 1- Bilişim suçları nelerdir?2- Bilişim suçları ile mücadelede karşılaşılan sorunlar nelerdir?3- Sahte hesap açmanın kanuni yaptırımı nedir?4- 5651 sayılı kanun ve loglama açıklayınız

Düşük Düzeyli Programlama (Assembly) Dersi

  1. Program nedir?
  2. Yazılım nedir?
  3. İşletim sistemi ile BIOS arasındaki farklar ?
  4. L1 bellek, L2 bellek, L3 bellek, kaydediciler,ana bellek hızları nedir, şekilde göstererek açıklayınız
  5. Assembler dilinin avantajları nelerdir?
  6. Gruplar, Talimlatlar tablosu ile ilişkili bir soru.
    Aşağıdaki kelimelerden talimat olanların karşısına T, komut olanların karşısına K yazınız.
    Örn: ENDP: T, MOV:K, CODE:T, DEC:K
  7. Assembler’da küçük bir programın icrası sonrası Ax=0, Bx=4, DX=?
  8. Eğer Ax 0 ise Cx’e 10 ekleyen değilse Dx’den 10 çıkartan assembly programını yazınız.
  9. Bir assembler kodu verilmiş, adreslemede kaç byte tuttuğu hesaplanmalı.
  10. Aşağıdaki listelerin bellekte kaç yer kaplar yanlarına yazınız?
    LISTE DB 5,05,00,0,?,??,45,27,125, -128, +127,
    LISTE DB 5,05,00,0,?,??,45,27,125, -128, +127, 345
    A5 = 1010 0101 , 0= 0000 0000 , 00= 0000 0000 şeklinde bellek te yer alır.
    VERI DB 5,5,5,5 yerine VERI DB 5 DUP (5) yazılmalı anlamı 5 tane 5 koy demek.
    VERI DB 5 DUP(5 DUP(3 DUP(10h), 2 DUP(12h))))
  11. Küçük bir program verilmiş buna göre AX te kaç vardır?
    Aşağıdaki program çalıştıktan sonra Ax kaydedicisinin ve C bayrağının değerleri ne olur? (Bence Ax=42h, C Flag=0 ;)
    MOV Ax, 16h
    MOV Cx, 3h
    LOOP
    ADD AX, 1Fh
    DEC Cx
    JNE LOOP
    ENDP

Güvenli Yazılım Geliştirme Dersi

  1. Güvenli yazılım geliştirme süreç ve fiillerini şekil üzerinde açıklayın
  2. Virüs nedir? Bir betik virüsü olarak Trojan Horse’u açıklayın?
  3. PHP, ASP.NET ve JSP hangi sunucularda çalışır güvenliğini sağlamak için neler yapılır?
  4. Ençok kullanılan veritabanları nelerdir? SQL Injection’a örnek verin?
  5. Güvenli yazılım nedir geliştirme süreçleri hakkında bilgi verin?
  6. SAMM modeli ve alt aşamaları hakkında bilgi verin?
  7. OWASP hakkında bilgi veriniz?
  8. Yazılımların son 25 yıldaki değişimi ve gelişimini günümüzün internet ve teknoloji  dünyasında tartışınız?
  9. Yazılım mimarı nedir, görev ve sorumluluklarını açıklayın?
  10. Use case, akış diyagramı ve sınıf yapısını açıklayınız?
  11. Spiral model ve akış modeli(waterfall) i karşılaştırarak açıklayınız?
  12. Alfa ve beta testlerinin güvenli yazılım geliştirmedeki önemini anlatın.
  13. Virüs nedir ? Malware nedir ? Fiziksel ve yazılımsal firewall’ları karşılaştırın.
  14. Android işletim sistemindeki uygulamalara yönelik güvenlik tedbirleri nelerdir.
  15. Web sunucularında kullanılan veritabanları, saldırı ve korunma yöntemlerini yazın

İleri Web Programcılığı Dersi

  1. Statik ve dinamik web sayfaları ve bu sayfaları oluşturmakta kullanılan programlama dilleri ve araçları hakkında bilgi vererek karşılaştırma yapınız?
  2. Web 1.0, Web 2.0 ve Web 3.0 ı teknik açıdan karşılaştırarak farklarını yazınız?
  3. MySQL de veri tabanı bağlantısı yapma, kayıt listeleme, sıralama, ekleme vb. İşlemlerinin nasıl yapıldığını örnek kod yazarak gösteriniz?

İşletim Sistemleri Dersi

  1. Bir işletim sisteminin dosya sistemi kullanmasının temel amacı nedir? Açıklayınız
  2. Dosya sisteminde kullanıcı sınıfları nelerdir? Niçin kullanılır?
  3. Ext dosya sistemini kısaca açıklayınız
  4. NTFS dosya sistemini ext ile karşılaştırarak kısaca açıklayınız
  5. Dosya sistemindeki Blok bağlantısı nedir? Niye böyle bir yapıya ihtiyaç vardır? Açıklayınız.
  6. Çekirdeğin fonksiyonlarını açıklayınız (5 adet)
  7. Dispatcher’In görevlerini açıklayınız.
  8. Zamanlayıcı algoritmaların 4 çeşidini yazınız.
  9. Bir işletim sisteminde olması gereken özelliklerden en az 6 tanesini yazınız.
  10. Pardusun kamu kuruluşlarında kullanımının uzun vadede avantaj ve dez avantajlarını tartışın
  11. Semafor nedir?
  12. Deadlock nedir 3 örnek ile açıklayınız?
  13. İşletim sisteminin görevlerinden 5 tanesini yazınız?
  14. Görev yöneticisi nedir?
  15. Deadlock nedir, nasıl olur açıklayınız?
  16. Semafor nedir açıklayınız?
  17. Zamanlama algoritmalarını yazınız?
  18. Virüs antivirüs ve zararlı yazılım nedir açıklayınız?
  19. Wait ve Signal’i basit bir örnek vererek açıklayınız.
  20. Firewall nedir ?
  21. Bellek yönetimi nedir? Açıklayınız.
  22. Bir işletim sisteminde olması gereken özelliklerden 6 tanesini yazınız?
  23. Sanal bellek nedir? Açıklayınız.
  24. Semafor nedir? Açıklayınız.

İşletim Sistemleri Güvenliği Dersi

  1. İşletim sistemleri saldırı yöntemlerinden 4 tanesini yazarak açıklayınız?
  2. İşletim sistemi özelliklerinden 6 tanesini yazarak açıklayınız?
  3. İşletim sistemi çekirdeğinin sahip olması gereken özelliklerden 4 tanesini yazarak açıklayınız?
  4. Kablosuz güvenlik önlemlerinden 6 tanesini yazınız (sadece adları yazılacak, açıklama yapmaya gerek yok)
  5. Virüs, worm, zararlı yazılım nedir açıklayınız?
  6. 2016 Final1. Isletim sisteminin ozellikleri nelerdir. 5 tane yaz2. Cekirdegin görevleri nelerdir acikla 3. Kablosuz aglarda guvenlik nasil saglanir4. virus, truva ati ve kötücül yazilim nedir aciklayin5. devlet kurumlariyla alakali yorum sorusu6. Isletim sistemi saldiri türlerinden 4 tanesini acikla2015 Final1-semafor kavramını açıklayınız.2-deadblock durumuna örnek 3 durum belirtiniz.3-dispatcher nedir? Görevleri nelerdir?4-işletim sisteminden beklenen özellikler nelerdir?5-çekirdek bölümünün görevleri nelerdir?6-görev yönetiminde kullanılan zaman planlaması algoritmaları nelerdir?7- virüs, trojen, zararlı yazılım nedir?

Mobil Güvenlik Dersi

  1. Manet ağların kritik güvenlik alt yapısı hakkında bilgi veriniz?
  2. Sosyal ağ nedir, analizi nasıl yapılır?
  3. Manet ağlara güvelik özellikleri ve saldırıları hakkında bilgi veriniz?
  4. Mobil kötücül yazılım tespit yöntemleri nelerdir açıklayınız?
  5. Twitter spam tespit yöntemleri nelerdir, açıklayınız?
  6. Malware dönüşüm teknikleri nelerdir açıklayınız?
  7. 1G-4G geçen süreci güvenlik açısından karşılaştırınız?
  8. Güvenli mobil yazılım geliştirme hakkında bilgi veriniz?

Yapay Zeka Dersi

  1. Adli Bilişim ya da güvenlikle alakalı bir problemi graf teorisiyle çözünüz .
  2. YZ’nin alt dallarını sıralayın
  3. Biometrik yöntemler nelerdir ve kullanım alanlarını sıralayın
  4. Farkettirmeden bir bilgi nasıl gizlenir ve geri nasıl elde edilir.
  5. Genetik algoritmanın çalışmasındaki unsurları açıklayınız

Bilişim Sistemleri

  1. Bilişim (enformasyon) sistemi nedir?
  2. Veri ve Bilgi nedir? İlişki ve farkları nelerdir?
  3. Elektronik ve mobil ticaret sistemleri
  4. Yazılım ve uygulama Arasındaki farklar
  5. Veri tabanı nedir?
  6. internet, intranet,extranet tanımı
  7. Yönetim Bilişim Sistemleri nedir?

Bilgi Çağında Pazarlama Eğitimi Dersi

  1. Bütünleşik Pazarlama İletişimi,
  2. Medya stratejisi nasıl olmalıdır
  3. Üçüncü soruyu hatıramadım

Modern Karar Verme Teknikleri Dersi

  1. İlk iki ünitedeki hesaplamalardan sorabilirim dedi.
  2. ahp ile topsis arasında ki farklar
  3. analitik network sürecini diger yöntemlerden ayıran özellikler
  4. Prometee ile elektro ayıran özellikler nedir

Yazılım Geliştirme Modelleri Dersi

  1. Yazılımların son 25 yıldaki değişimi ve gelişimini günümüzün internet ve teknoloji dünyasında tartışınız
  2. Yazılım mimarı nedir, görev ve sorumluluklarını açıklayın
  3. Use case, akış diyagramı ve sınıf yapısını açıklayınız
  4. Spiral model ve akış modeli(waterfall) i karşılaştırarak açıklayınız

Meslek Etiği Dersi

  1. YBS tanımı örneklerle yapınız?
  2. Etik kavramının tanımı yapıp, ahlak kavramı ile farklarını açıklanız.
  3. Meslek Etiğinin Türkiyede ki gelişimi ve 1980 sonrası meydana gelen değişikliklerden bahsedeniz.

Kriptoloji Dersi (Ödev Konuları ile beraber)

  1. Güvenlik Amacıyla kullanılan Firewall nedir? En yaygın olarak kullanılan bir Firewall hakkında ayrıntılı bilgi veriniz. Kendi kurumunuzdan örnek vererek açıklayınız
  2. IP spoofing saldırısı nedir? Korunma yöntemleri nelerdir? Örneklerle anlatınız.
  3. GPRS Mimarisi nasıldır ve Güvenliği nasıl sağlanmaktadır.
  4. Elektronik imza nedir? Elektronik imzanın hukuksal boyutu. Güvenlik nasıl sağlanır.
  5. WiMAX ağlarda güvenlik nasıl sağlanmaktadır.
  6. IPv6 mimarisi nasıldır ve güvenliği nasıl sağlanmaktadır? Avrupa birliğinin konuya ilişkin çalışmaları nelerdir.
  7. Kartlı ödeme sistemleri nasıl çalışmaktadır ve güvenlik nasıl sağlanmaktadır?
  8. e-posta güvenliği için kullanılan yöntemler nelerdir?
  9. IDS nedir, türleri nelerdir, ne amaçla ve nasıl kullanılırlar, güvenliğe etkileri nelerdir?
  10. Elektronik delil nedir. Hukukda yeri nedir. Örnekler ile açıklanması
  11. VoIP(Voice over IP) güvenliği nasıl sağlanmaktadır.
  12. 3G Mimarisi Nasıldır ve Güvenliği nasıl sağlanmaktadır?
  13. Biyometrik sistem içeren ağlarda güvenlik nasıl sağlanmaktadır.
  14. Ağ Güvenliği için Web filteleme yaklaşımı nedir güvenlik nasıl sağlanır
  15. Bilişim suçları içinde kriptoloji nasıl ve ne şekilde kullanılır, Dava örnekleri ile açıklayalım (Dava bilgileri verilmeden).
  16. RFID ağlarda Güvenlik nasıl sağlanmaktadır?
  17. GPS Güvenliği Nasıl sağlanmaktadır.
  18. Bilişim Suçları Türkiye ve Dünyanın durumu (Ödev konusu hakkında mail ile görüşelim)
  19. Asimetrik şifreleme yöntemleri nelerdir? Seçtiğiniz bir tanesini ayrıntılı olarak açıklayınız.
  20. İnternet Yönlendirme Saldırısı (Internet Routing Attack) nedir? Korunma yöntemleri nelerdir?
  21. IDS nedir, türleri nelerdir, ne amaçla ve nasıl kullanılırlar, güvenliğe etkileri nelerdir?
  22. Bilişim suçları ve etik. Adli olarak incelenmesi. Hukukta örnek davalardan sunumlar.
  23. IPv6 mimarisi nasıldır ve güvenliği nasıl sağlanmaktadır?
  24. WiMAX ağlarda güvenlik nasıl sağlanmaktadır.
  25. Çapraz Site Betikleme saldırıları nedir, türleri nelerdir ve korunma yolları nelerdir?
  26. ZigBee ağların çalışma yapısı nasıldır, güvenlik nasıl sağlanır?
  27. Ülkemizde kripto cihazı üreten firmalar ve kripto cihazlarının tanıtımı. Kripto cihazı üretim durumumuzun dünya pazarındaki yeri.
  28. Ağ İzleme ve Kontrol programları nelerdir, nasıl çalışırlar, Seçtiğiniz bir tanesini ayrıntılı olarak açıklayınız.
  29. Akıllı TV’lerdeki güvenlik nasıl sağlanmaktadır.
  30. WWW’de güvenlik nasıl sağlanmaktadır. Sakıncalı kaynaklara ve kötü amaçlı yaklaşımlara karşı neler yapılmaktadır.

Bilgisayar ve Ağ Güvenliği Dersi

  1. Bilgisayar güvenliği nedir açıklayınız?
  2. Bilgisayar güvenliğinin zorlukları nelerdir?
  3. OSI’yi ağ güvenliği açısından inceleyiniz?
  4. Saldırı ağacını açıklayınız?
  5. Simetrik şifreleme ve simetrik blok şifreleme algoritmaları nelerdir, açıklayınız?
  6. Simetrik ve asimetrik şifreleme arasındaki farklar nelerdir?
  7. Açık anahtar  şifreleme (public cryptogprahy) hakkında bilgi veriniz?
  8. Ağ erişim kontolü yöntemleri hakkında bilgi veriniz?
  9. Kablosuz ağ güvenliği hakkında bilgi veriniz?
  10. Web güvenlik yaklaşımlarını yazınız?

Bilimsel Araştırma Yöntemleri Dersi

  1. Bilimsel araştırmalarda, bilgi kaynaklarından Bilimi hangi amaçla açıklayınız?
  2. Örnekleme yöntem ve tekniklerini açıklayınız?
  3. Özgünlük, Önem ve Yaygın Etkiyi açıklayınız?
  4. Nicel Araştırmalarda Hata, Güvenilirlik, Geçerlik, Güç, Anlamlılık ve Etki Büyüklüğünü açıklayınız?
  5. Etik ihlal davranışları açıklayınız?

Bilgisayar Ağları Dersi Çalışma Soruları

  1. Anahtarlamalı ağlar nelerdir? Açıklayınız. Birbirleri ile karşılaştırınız?
  2. Web Cache nedir? Açıklayınız.
  3. OSI’nin taşıma katmanında (transport layer) yapılan işleri detaylı açıklayınız?
Bilgisayar Ağları1-OSI referans modelini detaylı açıklayınız.2-Paket anahtarlamalı ağlarda düğümler arası gecikmeyi açıklayınız.3-DNS nedir? Detaylı açıklayınız.

Veri Madenciliği Dersi Çalışma Soruları

  1. Veriden bilgi keşfini açıklayınız?
  2. Karar ağacı nedir? Nasıl oluşturulur? Küçük bir veri kümesi örneği veriniz?
  3. Birliktelik kurallarını açıklayınız?
  4. Veri ön işleme adımları nelerdir?
  5. Sınıflandırma nedir açıklayınız. Örnek veriniz
  6. Bilgi keşfi nedir? Adımları nelerdir?
  7. Veriden bilgi keşfini açıklayınız?
  8. Demetleme K Means algoritmasını açıklayınız. Örnek veriniz

Adli Bilisim Inceleme Süreçleri

1. Adli bilisim nedir?
2. Delil poseti uzerinede yazilmasi gerekenleri maddeler ile yaziniz?
3. Raid 1 nedir? Sekil ile ciziniz.

Kriptoloji Dersi Çalışma Soruları

  1. Bilgi nedir?
  2. Kriptografi nedir?
  3. Kripto analiz nedir?
  4. Kripto nedir?
  5. Stenografi nedir?
  6. Kripto Haberleşme emniyeti nasıl sağlanır?
  7. Kripto güvenliği nasıl sağlanır?
  8. Dijital imzayı neden kullanırız?
  9. Simetrik algoritmalar ile asimetrik algoritmalarını karşılaştırınız?
  10. Vejenere tablosu çözümü?
  11. Günümüzde kullanılan kriptografik sistemler nelerdir? Örnek vererek açıklayınız?
  12. Sifreleme anahtarının 13 olduğu bir simetrik şifrelemede örn: “ABCDEFG….” metnini deşifre ediniz?

Ses ve Görüntü İnceleme Dersi (Düz: 11.17)

  1. Görüntü montaj tespiti incelemelerinde kullanılan kriterlerde 5 tanesini yazını ?
  2. Suça konu olmuş konuşmacıyı teşhis işlemlerinde işitsel incelemelerden 5 ölçüt yazınız ?
  3. Sesin süre frekans ve şiddet özelliklerini bir arada incelemeye yarayan çözümleme yöntemine ne ad verilir ?
  4. Adli görüntü ve fotoğraf karşılaştırmalarında , daha özelde ise yüz karşılaştırmalarında genel olarak kullanılan temel yöntemler nelerdir ?
  5. Adli ses teşhisi ne zamanlar gereklidir?
  6. Ses ve Görüntü İncelemeleri2016 Final1- Adli ses kaydı nedir ? Konuşmacı tespitinde kullanılan yazılımlara 3 örnek veriniz.2- Ses kaydı güvenilirliği nedir ? Görsel ve nümerik inceleme kriterleri nelerdir maddeler halinde yazınız3- Görüntü montaj tespitinde kullanılan yöntemleri maddeler halinde yazınız.4- Fotoğraf ve kişi yüz analizinde kullanılan yöntemleri maddeleri halinde yazınız.5- Görüntü bulgularını olay yerinde toplanması ve lab götürülürken dikkat edilmesi gereken hususlardan 3 madde yazınız6- Görsel Subliminal mesaj nedir ? Hangi amaçla kullanılır ?
  7. Ses ve Görüntü İncelemeleri 2017 Ocak Final Soruları1-Adli ses kaydı nedir? Konuşmacı tespitinde kullanılan yazılımlara 3 örnek veriniz.2-Ses kaydı güvenilirliği nedir? Görsel ve nümerik inceleme kriterleri nelerdir maddeler halinde yazınız.3-Görüntü montaj tespitinde kullanılan yöntemleri maddeler halinde yazınız.4-Fotoğraf ve kişi yüz analizinde kullanılan yöntemleri maddeler halinde yazınız.5-Görüntü bulgularının olay yerinde toplanması ve lab götürülürken dikkat edilmesi gereken hususlardan 3 madde yazınız.6-Görsel subliminal mesaj nedir? Hangi amaçla kullanılır?

Nesne Yönelimli Programlama Dersi

  1. İstisna nedir? Açiklayiniz ?
  2. 1-60 arasi 5’ser 5’ser yazan programi while kullanarak yapiniz?
  3. Bir program parçacigi veriliyor. çiktisi soruluyor ?
  4. Private kapsüllemeyi anlatiniz ve örnek veriniz. basarilar.
  5. public abstract ve public class arasındaki fark nedir? (Ocak 2018)
  6. Bir program bloğu verildi ve çıktısı soruldu (Ocak 2018)
  7. Kalıtım yoluyla nesne oluşturma nedir örnekle açıklayınız (Ocak 2018)
  8. for döngüsüyle yazılacak ufak bir program soruldu (Ocak 2018)

Android Sistemlerden Delil Amaçlı İz Tespit Etme Yöntemleri

 

ÖZET

Cep telefonları, özellikle de akıllı telefonlar hayatımızda önemli bir rol oynamaktadır. Mobil cihaz pazarının muazzam büyümesiyle, onları suç faaliyetinde kullanma imkânı da sürekli artmaktadır. Android, piyasadaki son derece rekabetçi platformlardan biridir. Birçok üretici tarafından kullanılan Android, farklı cihaz modellerini çalıştırmak için kullanılmakta ve bu da güçlü bir çeşitliliğe neden olmaktadır. Böylece, Android tabanlı akıllı telefonların fiziksel imaj ediniminin zorluğu, özellikle son Android sürümünün kaynak kodunun çok geç yayınlanması ile daha da anlam kazanıyor. Sonuç olarak, en yeni sürüm işletim sistemine sahip mevcut akıllı telefonların, mevcut akıllı telefon adli araçları kullanılarak edinilmesi de güçleşiyor. Bu çalışmada, mantıksal ve fiziksel olarak edinme olanağı sunan (imaj alma) adli mobil cihaz araçlarının kapsamlı bir perspektifi verilmektedir. Ayrıca yazılım araçları kullanılarak gerçekleştirilen edinimlerin sınırlılıklarını aşmak için iki yeni yöntem de incelenmiştir. Birinci yöntem firmware güncelleme protokolünün zafiyetleri kullanılarak fiziksel imaj elde etmeyi incelerken, ikinci yöntemde anti-adli bilişim tedbirleri uygulanmış bir Android mobil cihazdan delil elde etmek için cihaz yönetim yazılımı Droidjack araştırılmıştır. Son olaradak da adli araştırmacının hedefinde olan veri setlerini / delil izlerini üreten Android uygulamaların programlama teknikleri açısında sunduğu veri mahremiyetleri incelenerek bir anti-adli bilişim perspektifi ortaya koyulmuştur.

Android Sistemlerden Delil Amaçlı İz Tespit Etme Yöntemleri

Dosyayı İndir Android-Sistemlerden-Delil-Amaçlı-İz-Tespit-Etme-Yöntemleri.pdf – 1 MB

 

 

İçindekiler Tablosu

1. GİRİŞ 1

2. ANDROID’İN MİMARİSİ 3

2.1. Linux Çekirdeği 3

2.2. Kütüphane ve Android Runtime 3

2.3. Uygulama Çerçevesi 3

2.4. Uygulama 4

3. VERİ EDİNİM PROSEDÜRLERİ 5

3.1. Erişim Kontrolü Prosedürü Olmadan Akıllı Telefonun Veri Edinimi 5

3.2. Erişim Kontrol Prosedürüyle Akıllı Telefonun Veri Edinimi 5

4. FİZİKSEL EDİNİM 7

4.1. Linux Bellek Çıkarıcı (LiME) 7

4.2. Android Fiziksel Döküm (APD) 8

4.2.1. Hawkeye 8

4.2.2. Adroid Memory Extractor (AMExtractor) 9

4.2.3. Androphsy 9

4.2.4. Android Digital Autopsy (ADA) 10

4.2.5. Cellebrite UFED 10

4.2.6. Oxygen Forensic Suite 10

4.2.7. XRY Physical 11

4.2.8. Device Seizure 11

4.2.9. MOBILedit! Forensic 11

4.2.10. ViaExtract 12

4.2.11. Examiner Plus (MPE +) 12

5. FİRMWARE PROTOKOLÜNE DAYALI EDİNİM 13

5.1. Ürün Yazılımı Güncelleme Protokollerine Dayalı Android Fiziksel Edinimi 16

5.2. Firmware Güncelleme Protokolü 16

5.3. LG Firmware Güncelleme Protokollerinin Analizi 17

5.4. LG Firmware Güncelleme Komutları 18

5.5. Android’in Fiziksel Edinimi 20

5.6. Desteklenen Modeller 21

5.7. Firmware Güncelleme Modunda Başlatma 21

5.8. Telefona Bağlanma ve Model Bilgisini Edinme 22

5.9. Fiziksel Edinim 22

5.10. Denemeler 23

5.11. Elde Edilmiş Görüntünün Bütünlüğünü Koruma 23

5.12. Edinme Hızı 24

5.13. Ekranı Kilitli Akıllı Telefonlardan Fiziksel Olarak Edinme (USB Debug devre dışı) 25

6. MOBİL CİHAZ YÖNETİM (MDM) YAZILIMI İLE DELİL ELDE ETME 27

6.1. Android Uygulama Geliştirme Terminolojisi 28

6.1.1. Etkinlikler (Activities) 29

6.1.2. Hizmetler (Service) 29

6.1.3. İçerik sağlayıcıları (Content Providers) 29

6.1.4. Yayın alıcıları (Broadcast Receiver) 29

6.1.5. İçerik gözlemcileri (Content Observers) 29

6.2. Android Uygulama Güvenliği 30

6.3. Kökleme (Rooting) 30

6.4. Akıllı Telefon Araştırmaları 31

6.5. Gizlilik endişeleri 32

6.6. Ticari MDM Ürünleri 32

6.7. DroidWatch MDM Yazılımı 33

6.7.1. Yerel depolama 35

6.7.2. 6.7.8. Şirket sunucusu 36

6.7.3. 6.7.9. Veri Akış Süreci 36

6.7.4. Veri Kümeleri 37

6.7.5. Analiz ve Değerlendirme 38

6.7.6. Genel Kullanım Eğilimleri 38

6.7.7. Şüpheli Kişiler ve İletişim 38

6.7.8. Konum izleme 40

6.7.9. İnternet geçmişi 40

6.7.10. Kötü amaçlı uygulamalar 41

6.7.11. Adli bilişim 41

6.7.12. Delilleri yok etme 42

6.7.13. Kanıt gizleme 42

6.7.14. Kanıt kaynaklarını değiştirme 42

6.7.15. Taklit kanıtları 43

6.8. AndroidWatch İleri Araştırma 43

6.9. Ek veri setleri 44

6.10. Koruma önleyici mekanizmalar 44

7. SONUÇ 46

GİRİŞ

Mobil cihazların kullanımı, özellikle akıllı telefonların kullanımındaki artış ile dijital suçlar da arttı. Akıllı telefonların ortaya çıkışı, insanların yaşama, çalışma ve oyun yapma biçimini tamamen değiştirmiştir. Bununla birlikte, suç işlemede akıllı telefon kullanım oranının artması ile adli araştırmacıların kanıt elde etmek için zanlıların akıllı telefonlarını mahkemelerde kullanımları da artmıştır. Akıllı telefonlardan elde edilen kanıtlar, mahkeme salonunda diğer kanıt şekillerinden farklı olarak, kabul edilebilmeleri için güvenilir olmalıdır.

Son birkaç yılda Android akıllı telefonları hedef alan önemli miktarda bellek edinimi araştırması yapıldı. Edinme amacı, silinen veriler de dahil olmak üzere yararlı bilgiler toplamak ve daha fazla analiz etmek ve mahkemeye sunmaktır. Adli mobil cihazlar için iki temel edinim yöntemi vardır: fiziksel ve mantıksal. Fiziksel edinme, silinen veriler de dahil olmak üzere tüm fiziksel depolama alanının bit kopyasıdır. Mantıksal edinim, bir dosya sisteminin bir parçası gibi mantıksal depolamayı elde eder. Yani elde edilen veriler edinim yapılan sistemin dosya sistemi tablosunun sağladıklarıdır. Akıllı telefonlarda saklanan veriler kırılgan olabilir, çünkü veriler üzerine yazılabilir veya silinebilir. Bu nedenle, silinen verileri elde etmek ve ayıklamak için mantıksal edinim yerine fiziksel edinim kullanma ihtiyacı vardır [1].

Fiziksel edinim araçları, sabitleştirilmiş ve yazılım tabanlı araçlara sınıflandırılmıştır. Donanım tabanlı yöntem, işletim sistemini fiziksel bir aygıtla bypass etmektir. Böylece hedef sistemin dosya yerleşim tablosunun sağlamadığı veriler gibi dez avantajlar ortadan kalkar. Özel bir iletişim portu, dahili belleği kopyalamak için özel bir donanımla açılır [2]. Android akıllı telefonlarda, JTAG test pinleri bir cihazın dahili belleğini almak için kullanılabilir [3]. Bununla birlikte, tüm Android akıllı telefonlarda JTAG test pinleri bulunmamaktadır. Yazılım tabanlı yöntem, dahili belleği elde etmek için hedef işletim sistemi üzerinde çalışan bir yazılım kullanmayı gerektirir [2]. Android akıllı telefonlarda bir seçenek de /dev/mem aygıtlarından veri edinmektir [3]. Maalesef bu yöntem yalnızca en fazla 896 MB RAM’li akıllı telefonlar için geçerlidir [4]. Kollar [5], fmem adında fiziksel edinim için /dev/mem aygıtını kullanan yüklenebilir bir çekirdek modülü geliştirdi. Ancak, bu modül tüm Android akıllı telefonlar için geçerli değildir [4].

Android akıllı telefonlardan fiziksel olarak veri edinmek için, genellikle akıllı telefonun, özel önyükleyici, özel kurtarma modu veya kök erişimi olan normal modda [6] önyüklemesi yapılmalıdır. Ardından, donanım cihazına veya sunucusuna (ör. Dizüstü veya masaüstü) imaj verisi göndermek için akıllı telefonda ilgili kodu çalıştırılır [6].

Akıllı telefon işlemci hızları, kullanılan kablo türleri ve aktarılan veri miktarı nedeniyle fiziksel olarak edinme süreci zaman alıcı olabilir. Bazen fiziki edinimin tamamlanması saatler alır. UFED ve Oxygen Forensic gibi ticari araçların çoğu USB üzerinden veri gönderir. Bununla birlikte, kopyalanan verilerin iletim hızı, USB’nin maksimum iletim hızını kullanmaz. Örnek vermek gerekirse, USB 2.0, maksimum 480 Mbps iletim hızına sahiptir, ancak en fazla 320 Mbps alır [7]. 2016’da piyasadaki en büyük Android akıllı telefonlar 128 GB’tır. Akıllı telefonlar büyümeye devam ederken, fiziksel olarak onları edinim süreleri de artacaktır [6].

Bu makalede, Android akıllı telefonlar için birçok farklı fiziksel edinim aracını analiz ettik ve maliyetleri, bütünlüğü, veri kurtarma, kullanışlılık, adli veri aşamalarını dışa aktarma yolları ve genel Android akıllı telefonu destekleme yöntemlerini karşılaştırdık.

ANDROID’İN MİMARİSİ

Android’in iç tasarımını ve mimarisini anlamak, Android’in esnekliğinden dolayı adli bir soruşturmada en önemli konulardan biridir. Android platformu, yeni sürümlerle zaman içinde değişiyor. Sürümler arasındaki farklılıklara göre, mimari de farklılaşmaktadır. Bununla birlikte, Android mimarisinin ana çekirdek bileşenleri aynıdır. Android mimarisi, Şekil-1’de gösterildiği gibi dört ana katmandan oluşur:

Linux Çekirdeği

Android çekirdeğini anlamak en önemli unsurdur, çünkü Android mimarisinin temelini oluşturmaktadır [8]. Bellek, ağ ve süreç yönetimi ve güvenlik gibi temel hizmetleri destekler. Ayrıca neredeyse tüm donanım için çeşitli sürücüler de barındırır [8, 9].

Kütüphane ve Android Runtime

Android, C/C++ [8] ile yazılmış kütüphaneler seti içerir. Standart CSystem Kütüphanesi, Medya Kütüphaneleri, 3D Kütüphaneler gibi kütüphaneler, sistem bileşenleri tarafından Uygulama Çerçevesi katmanı [9] vasıtasıyla kullanılır. Android çalışma zamanı (runtime) bölümü, Android için özel olarak tasarlanmış ve optimize edilmiş bir tür Java Sanal Makinesi olan Dalvik Sanal Makinesi (DVM) adı verilen önemli bir bileşen sunmaktadır [8]. Ayrıca, geliştiricilerin standart Java programlama dili [8] kullanarak Android uygulamaları yazabilmesini sağlayan çekirdek kütüphaneleri seti de sağlar. Çekirdek kütüphanelerin ve DVM’nin bir kümesi, çalışan her uygulamanın DVM’nin kendi örneğini bulundurduğu ve kendi işlemi içinde yürüdüğü bir Android çalışma zamanı oluşturur [9].

Uygulama Çerçevesi

Bu katman, Java uygulamalarına istismar edilebilecek birçok üst düzey hizmet sunmaktadır [8, 9]. Uygulama geliştiricileri, Çerçeve tarafından uygulanan güvenlik kısıtlamalarına her zaman saygı duyan geniş bir Uygulama Programlama Arabirimi (API) seti aracılığıyla hizmet sunabilir ve bunları sağlayabilirler [9].

Uygulama

En üst katman, Java Programlama Dili [10] ile yazılmış bir program demetini (ör. Iletişim yöneticisi, takvim, SMS programı, web tarayıcısı, bir e-posta istemcisi) içerir.


Şekil 1 – Android Mimarisi

 

VERİ EDİNİM PROSEDÜRLERİ

Adli incelemecilerin benimseyebileceği, Android akıllı telefonlardan veri toplama sürecinin farklı uygulama senaryoları vardır. Uygun prosedürü kullanarak, adli bilişim uzmanları akıllı telefondan maksimum bilgiyi alabilir, böylece elde edilen verilerin mümkün olduğunca daha güvenli ve en az müdahaleci bir şekilde analiz edip belgelendirilebilir. Adli inceleyici, hedef akıllı telefonda kayıtlı verileri korumak için gerekli prosedürleri izlemelidir [11].

Erişim Kontrolü Prosedürü Olmadan Akıllı Telefonun Veri Edinimi

En basit olan bir durum, çıkarılabilir hafıza kartı ile kilitli olmayan bir akıllı telefonun edinimidir. Daha önce de belirtildiği gibi, inceleyici ilk önce hafıza kartlarından veri çıkardıktan sonra kopyaları alınan adli inceleme kartlarını akıllı telefona tekrar takmalıdır. Ardından inceleyici Android akıllı telefonda süper kullanıcı ayrıcalıklarının durumunu kontrol etmelidir (super su, root). Etkinleştirilirse, inceleyici USB hata ayıklama aracı ADB’yi kullanarak dahili belleğinin bir kopyasını oluşturarak kısıtlama olmaksızın akıllı telefondaki depolanmış verilere erişebilir. Ancak, akıllı telefonda süper kullanıcı ayrıcalıkları devre dışı bırakılırsa, bu durumda bazı Android akıllı telefonlar bootloader modu veya kurtarma modu kullanılarak edinilebilir. İnceleyici, bu teknikleri bu tür akıllı telefonlara uygulama imkânını değerlendirmelidir. İncelemeciler tarafından kullanılabilen mevcut mobil cihaz adli araçları, Cellebrit UFED ve Oxygen Forensic gibi verileri edinmek için kullanıcı ayrıcalıklarını kullanmazlar. Bunun yerine Cellebrit UFED, bootloader modunu kullanır. Dahili belleğin tam bir kopyasını kurtarmak için etkili bir mobil aygıt adli aracı seçmek, adli bilişim görevlisine kalmıştır.

Erişim Kontrol Prosedürüyle Akıllı Telefonun Veri Edinimi

Android çalışma zamanı bölümü, Android için özel olarak tasarlanmış ve optimize edilmiş bir Java Sanal Makinesi türü olan Dalvik Sanal Makinesi (DVM) adı verilen önemli bir bileşen sunmaktadır [8]. Ayrıca, geliştiricilerin standart Java programlama dili [8] kullanarak Android uygulamaları yazabilmesini sağlayan çekirdek kütüphaneleri seti de sağlıyor. Çekirdek kütüphanelerin ve DVM’nin bir kümesi, çalışan her uygulamanın DVM’nin kendi örneğini bulundurduğu ve kendi işlemi içinde yürüdüğü bir Android çalışma zamanı oluşturur [9]. Android akıllı telefon, bir şifre veya desen gibi erişim kontrolü kullanarak kilitlenebilir. NIST’e göre [12], kilitli akıllı telefonlara erişmenin üç yolu vardır:

  1. Araştırmacının olası geçerli parolaları istediği araştırma yöntemi.
  2. Araştırmacının akıllı telefona erişmek için yıkıcı olmayan bir prosedürü gerçekleştirmesi gereken donanım yoluyla erişim. Bu yöntem üreticilerin ve yetkili servis merkezlerinin desteğini gerektirmektedir.
  3. Yazılımsal erişim yöntemleri, mobil cihaz modeline ve Android sürümüne bağlı olsa da genellikle en kolay yoldur.

İnceleyici kanıttan ödün vermekten kaçınmak için en az müdahaleci yöntemi kullanmalıdır. Akıllı telefon ele geçirildiğinde şifre veya model elde edilmişse, test edilmelidir. İnceleme başarılı olmazsa, akıllı telefonun bir ADB aracı kullanarak USB hata ayıklama bağlantılarını kabul edecek şekilde yapılandırılıp yapılandırılmadığını kontrol etmelidir. Başarılı olursa, edinme sürecini devam ettirmek için süper kullanıcı erişim denetimi ayrıcalıkları kazanmaya çalışmaktadır. Akıllı telefona süper kullanıcı erişim kontrolü için herhangi bir ayrıcalık olmadığında bile, denetçi, erişim kontrol sistemini atlamak için ADB aracı aracılığıyla uygulamalar yükleyebilir. Erişim kontrol sistemini atlamak mümkün olmadığı veya USB hata ayıklama erişiminin devre dışı bırakıldığı durumlarda, akıllı telefona takılabilen çıkarılabilir hafıza kartından veriler alınabilir.

FİZİKSEL EDİNİM

Daha önce bahsedildiği üzere edinimi gerçekleştirilecek cihazın kendi işletim sistemine ait dosya sistemi içerik sağlayıcısı aracılığı ile elde edilen edinimler mantıksal edinim olarak adlandırılır. Bu yöntemle edinilecek veriler disk ortamında bulunan verilerin birebir karşıklıkları değil işletim sisteminin sunduklarıdır. Böyle bir edinimde doğal olarak kullanıcı tarafından silinmiş dosyalar edinilemez.

Fiziksel edinim ise verilerin kayıt edildiği disk ortamına (RAM, eEPROM, ROM vb) işletim sistemi fonksiyonlarını devreden çıkartarak doğrudan erişmeyi ifade eder. Bu yöntemde dosya sistemi bilgileri kullanılsa da elde edilebilecek veri miktarı çok daha fazladır ve sistem hakkında birçok bilgi sunar. Fiziksel edinimde edinimi gerçekleştiren araç doğrudan disk verisini kendisi okur.

Linux Bellek Çıkarıcı (LiME)

LiME aracı 2012’de J. Sylve ve diğerleri tarafından piyasaya sürülmüştür. [4]. Android’den, uçucu belleği elde (RAM) etmek için kullanılan açık kaynaklı bir adli araçtır. LiME, bellek sayfalarını adli olarak sağlam bir şekilde elde edebilen dmd adlı yeni bir yüklenebilir çekirdek modülünü temel almaktadır. Akıllı telefondaki SD’ye veya ağ üzerinden hafızayı almayı destekler. Dmd modülü şööyle gibi çalışır: sistem RAM’inin fiziksel bellek adres aralıklarını öğrenmek, her bellek sayfasında fiziksel adresleri sanal adreslere çevirmek, tüm bellek sayfalarını okumak ve TCP soketinin SD’sine yazmak için çekirdek yapısını ayrıştırır. LiME aracı önemli özellikler sunar [13]: edinme yani hedef cihaza aktarmak için sadece dmd modülü gereklidir, bellek dökümü için çok az sayıda çekirdek işlevi gereklidir, dmd modülünün yüklenmesi asgari ayak izi oluşturur ve kullanıcı alanı ile minimum etkileşimi kurar. Sonuçlar sayfaların yaklaşık %99.46’sının TCP bağlantısı üzerinden doğru olarak yakalandığını ve sayfaların % 99.15’i SD karta doğru yazıldığını gösteriyor. Önerilen modül tüm Android cihazlarını destekliyor ancak yine de genel bir modül olarak değerlendirilmiyor. Ayrıca, Wächter [14], modelin belirlenmesi, Android sürümünün belirlenmesi, ekranı kilitleme, süper kullanıcı yetki istismarı, kaynakların kullanılabilirliği, çekirdek konfigürasyonu ve kanıt erozyonu nedeniyle LiME aracının kollukta adli olmasının pek çok nedenden dolayı mümkün olmadığı sonucuna varmıştır.

Android Fiziksel Döküm (APD)

APD, S. Yang ve ark. Tarafından geliştirilmiştir. [15]. Bu araç, Android akıllı telefonların bellenim güncelleme protokollerini analiz etmeye dayanmaktadır. Bu nedenle, Android cihazların önyükleme yükleyicisinin Android güncelleme protokolleri aracılığıyla dahili belleğe erişir. Hem bölüm hem de tüm belleğin dökümünü almayı destekliyor. APD’yi kullanarak edinilen verilerin biçimi, akıllı telefon adli analiz araçları aracılığıyla analiz edilebilen ham verilerdir. Yazarlar, önerilen yöntemin edinilen verilerin bütünlüğünü garanti ettiğini ispatladı. APD’nin veriyi yüksek hızda aldığını gösterdiler; UFED 4PC ortalama 120 dakika sürerken, 32 GB belleğin dökümünü almak yaklaşık 30 dakika aldı. APD, ekran kilidi nedeniyle kısıtlamaya rağmen yürütülebilir; Normal önyükleme modundan ziyade telefonu kapatarak ve bellenim güncelleme modunda yeniden başlatarak. APD aracı, en yeni Android modellerinin 80’inden fazlasını destekler. Bununla birlikte, yöntemin en büyük dezavantajı, yeni Android akıllı telefonlar her başlatıldığında üretici yazılımı güncelleme protokolünü analiz etmeyi gerektirmesidir.

Hawkeye

Hawkeye, Guido ve ark. Tarafından 2016 yılında fiziksel edinim amaçları için önerildi. [6]. Hawkeye’nin amacı, fiziksel edinim sırasında aktarılması gereken veri miktarını ve gereksiz verileri azaltmaya odaklanıyor. Böylece, toplam edinim süresini azaltır. Hawkeye, Android akıllı telefonları fiziksel döküm elde etmek için özel açılış veya kurtarma kipinde çalıştırıyor. Araç, tescilli marka aracını geçici olarak hedef akıllı telefonun RAM belleğine yükler. Araç temel hash ve bölümlerin bir listesini de sağlar. Araç, daha sonra USB aracılığıyla arka uç PMF mimarisine gerekli veri bloklarını belirleyip gönderecektir. Yazarlar birkaç nedenden ötürü PMF’yi seçtiler: resimleri otomatik olarak geri yazarak ham formata çevirme. Araç, bir bölümü veya akıllı telefonun dahili belleğini tam olarak alabilir. Hawkeye 16GB boyutunda dahili belleği 7 dk içinde başarıyla elde edebildi.

Adroid Memory Extractor (AMExtractor)

AMExtractor [3], Android cihazlardan uçucu hafıza (RAM) elde etmek için kullanılan bir araçtır. AMExtractor çekirdek alanında kod yürütmek için /dev/kmem aygıtını kullanır. Bu, yüklenebilir çekirdek modülünün kısıtlamasını önleyecek ve herhangi bir değişiklik yapmadan en son stok ROM’larda çalışma olanağı sağlayacaktır. AMExtractor hedef akıllı telefonun kaynak koduna ihtiyaç duymaz ve çoğu Android işletim sistemi sürümüyle uyumludur. Diğer araçların aksine AMExtractor, hedef akıllı telefonlar üzerinde minimum etkiye sahip olduğu için çekirdek modunda çalışır. Ayrıca, cihazı çekirdek modunda çalıştırmak, veri kopyalamayı en aza indirir ve gizli verileri kullanıcı modunda iken inceler. H. Yang ve ark. [3], AMExtractor kullanılarak elde edilen verilerin, LiME’yi kullanarak elde edilen verilerle neredeyse aynı olduğunu gösterdi.

Androphsy

ANDROPHSY, 2015 yılında I. Akarawita ve ark. tarafından geliştirilen açık kaynaklı bir araçtır. [16]. Dijital adli süreçlerin tüm safhalarını destekleyen ilk açık kaynak araçtır. ANDROPHSY mimarisi dört ana modülden oluşur: vaka işleme, edinme, analiz desteği ve raporlama modülü. Vaka işleme modülünde, özel durum için vaka oluşturma ve yedek arşiv işlevleri sağlanmaktadır. Edinim modülü fiziksel ve mantıksal edinim sağlar. Analiz modülünde, çıkarılan verilerin tam bir inceleme ve analizi. Ve son olarak raporlama modülü, PDF formatında bir rapor oluşturmayı sağlar. Bu aracı kullanmak için tek bir .jar dosyası ve yapılandırma komut dosyası ayrı ayrı kurulmalıdır. Bu araç ile fiziksel edinime odaklanan yazarlar, dd ve Android Debug Bridge (adb) komutları gibi düşük seviyeli Linux ve Android dahili adli işlevlerini ağırlıklı olarak kullanmışlardır. Adb komutları, Android akıllı telefonu ve USB üzerinden bağlı iş istasyonu arasındaki bağlantı ve iletişim süreçlerini yönetmek ve gerçekleştirmek için kullanılır. Dd komutu, ham görüntüleri fiziksel sürücülerden kurtarmak için kullanılan yerleşik bir komut satırı yardımcı programıdır. ANDROPHSY, veri değişimini en aza indirgemek için Linux çekirdeğini kök erişimi kazanmak için kullanır. Kimlik doğrulama ve gizlilik için kullanıcı erişim kontrolü ve vaka yönetimi sağlar. SD kartı edinim hedefi olarak kullanmaz. Bunun yerine, veriler TCP bağlantısı üzerinden aktarılır.

Android Digital Autopsy (ADA)

ADA, 2016 yılında R. Fasra ve diğerleri tarafından geliştirilen, açık kaynak kodlu bir dijital adli araçtır. [17]. Araç, fiziksel, mantıksal ve dosya sistemi edinimi gerçekleştirir. Yazarlar multimedya kartı (MMC) bölüm düzenine sahip bir cihaz kullandılar. Fiziksel edinme sürecini otomatikleştirmek için geliştirilmiş bir komut dosyası yazıldı. Komut dosyası veri bloklarını tanımlar, daha sonra kök erişimini kazandıktan sonra blokların RAW görüntülerini elde etmek için dd komutunu kullanır. Elde edilen veriler, daha sonra harici bir hafıza kartına, yani SD karta depolanmaktadır. Önerilen araçla birlikte, yazarlar ADA Analiz Aracı’nı geliştirdiler, ancak ne yazık ki bu mantıksal edinim içindir.

Cellebrite UFED

Cellebrite UFED [18], Android gibi çeşitli cihazlar ve platformlarda fiziksel, mantıksal, dosya sistemi ve şifre alımını gerçekleştiren ticari bir adli araçtır. Ayrıca, çözme, analiz ve raporlama da gerçekleştirir. UFED, tüm Android işletim sistemi sürümlerinden veri edinebilir.

Oxygen Forensic Suite

Oksijen Forensic Suite [19], çok çeşitli akıllı telefonları destekleyen önde gelen adli tıp araçlarından biridir. Bu, tüm dünyada 50’den fazla ülkede Yasa Uygulayıcılar, ordu, polis departmanlrı ve diğer hükümet yetkilileri tarafından kullanılır. Araştırmacılar, Android akıllı telefonlarının fiziksel olarak edinilmesini, gelişmiş incelemesini ve akıllı telefondan çıkarılan ham görüntülerin ve cihaz görüntülerinin analizini yapmalarını sağlar. Desteklenen akıllı telefonların tamamen otomatik bir şekilde edinilmesi ve analiz edilmesine olanak tanır. Yaklaşık 45 dakika içinde 16 GB akıllı telefon edinebilir. Akıllı telefon faaliyetlerini özetleyen denetmen için iyi tanımlanmış bir rapor sunar.

XRY Physical

MSAB [20], özütleme, analiz etme ve raporlama için ürünler sağlar. XRY Fiziksel araç, hedef cihazı değiştirmeden dahili belleğin ve çıkarılabilir medyanın çıkarılmasını destekler. Ayrıca, kullanıcıların bellek imajının karma değerlerini ve ayrıca tek tek çözülen dosyaları oluşturmalarına olanak tanır. XRY Fiziksel, işletim sistemini atlayarak hedef akıllı telefondan ham verileri kurtarır ve silinen verileri hedef akıllı telefondan daha derinlemesine gidip kurtarma şansı sunar. Fiziksel özütleme iki ayrı aşamaya ayrılır: ilk veri tabanı, ham veriler akıllı telefondan alınır ve kod çözme aşaması, burada araç veriyi otomatik olarak anlamlı bilgiler haline getirir. Çıkarılan veriler XAMN Spotlight tarafından görüntülenebilir.

Device Seizure

DS [21] fiziksel, mantıksal, dosya sistemi ve şifre elde etmeyi desteklemektedir. Edinilen tüm veriler hakkında eksiksiz bir analiz ve rapor sunar. Geniş platform ve cihaz yelpazesini destekler. Android için 4.4.2’ye kadar fiziksel imaj alımlarını destekler (sürüm 3 hariç). DS minimum sistem gereksiniminin düşük olması nedeniyle herhangi bir cihazda çalışabilir. Önemli kanıtlar için akıllı telefonun bellek dökümünü arayabilir [22].

MOBILedit! Forensic

MOBİLedit! Forensic [23], birkaç tıklamayla akıllı telefonda saklanan silinmiş veriler de dahil olmak üzere tüm verileri almak, aramak ve görüntülemeye izin verir. Bu araç, Android ve iOS tarafından desteklenen tüm akıllı telefonları destekleyebilir. Sıklıkla güncellenir ve daha fazla akıllı telefonu desteklemek için yeni özellikler eklenir. Araç, bu kanıtların elde ediliş şekli ve sunulması biçimini değiştirmiştir. Mahkeme salonunda sunulmaya hazır ayrıntılı adli raporlar üretir. Rapor herhangi bir dilde üretilebilir.

ViaExtract

ViaExtract [24] ViaForensics tarafından oluşturulan fiziksel ve mantıksal bir çıkarma aracıdır. Android akıllı telefonlar için rehberli veri toplama, güçlü analiz ve esnek raporlama özellikleri sunar. ViaExtract, yalnızca bir düğmeyi tıklatarak çoğu akıllı telefonun kök erişimini elde etmek için cihaz root’lama sihirbazını kullanır. Bu araç, incelemecilerin dahili ve harici depolamadan veri çıkarmak için şifreyi kırmalarına izin verir. Hızlı ve kullanımı kolay bir global arama özelliği sunar. Bu özellik, denetleyicinin, halihazırda açık olan tüm incelemelerde çıkarılan tüm içerik türlerini bir kerede aramasına izin verir. ViaExtract popüler Android akıllı telefonların çoğunda çalışır.

Examiner Plus (MPE +)

MPE + [25] gelişmiş akıllı telefon edinme ve analiz özelliklerine sahip bir mobil cihaz inceleme aracıdır. Geniş platform ve cihaz yelpazesini desteklemektedir. İncelemecilerin veriyi hızlı bir şekilde toplamasına, kolayca tespit etmesine ve etkili bir şekilde elde etmesine izin verir. DS gibi, MPE + da önemli bir kanıt için bir akıllı telefonun bellek dökümünü arayabilir [22]. Piyasada bulunan diğer araçlardan %30 daha hızlı iOS ve Android cihazlarından veri edinebilir. MPE +, sağlam ve üstün bir analiz araçları kümsesi içerir. Fiziksel edinimi gerçekleştirmek için, hedef telefona takılması gereken boş bir adli SD kartı, MPE + ‘nın ajanını geçici olarak saklar. Root yetkisi kazanmak için 3. Parti araçlara ihtiyaç duyar.

FİRMWARE PROTOKOLÜNE DAYALI EDİNİM

2014 yılının üçüncü çeyreğinde Android işletim sistemi, akıllı işletim sistemi pazar payının yaklaşık %84’ünü oluşturdu (Smartphone OS Pazar Payı 2014 yılının 3. çeyreği). Android akıllı telefon pazarının boyutu artık PC pazarınınkini aşıyor, sürekli olarak kişisel ve iş kullanımı için çeşitli teknolojiler ortaya çıkıyor (Bring your own device, 2014). Bu eğilim, silinen dosyaların geri getirilmesine ve analiz edilmesine yardımcı olmak için flash belleğin fiziksel olarak edinilmesine yönelik araştırmaların özellikle gerekli olduğu Android forensics’in önemini de arttırmaktadır.

Mevcut Android fiziksel edinim yöntemleri şu sorunlara sahiptir: İlk olarak, çoğu adli araç, Android çekirdeğinin güvenlik açıklarını suistimal ederek veya özel image (işletim sistemi) (Rooting (Android OS), 2014; Vidas ve diğerleri, 2011) kullanarak akıllı telefonlardan veri toplamaktadır. Bununla birlikte, bu güvenlik açıkları sürekli olarak kapatılmakta ve çoğunlukla fiziksel bellek dökümü zafiyetlerinin giderildiği daha güvenlikli sürümler haline gelmekte. Ayrıca güvenlik teknolojilerinin son uygulamaları (Secure boot, 2014; Samsung KNOX, 2014) akıllı telefonlardan veri edinmeyi daha da zorlaştırıyor. İkinci olarak, özel kurtarma görüntüsünün (recovery image) değiştirilmesine dayanan döküm yöntemi (Son ve ark., 2013), kullanıcı verilerinin bütünlüğünü dikkate alan tek yaklaşımdır. Bununla birlikte, bu yöntem, özel kurtarma görüntüsünü cihaza yazmayı gerektirdiğinden, tüm flash bellek dökümünün bütünlüğünü garanti etmemektedir. Üçüncüsü, mevcut adli araçlar, akıllı telefonlardan veri edinmek için Android Hata Ayıklama Köprüsü (ADB) protokolünü kullanıyor. Bu nedenle, ekran deseni veya kullanıcı şifresi ile kilitlenmiş akıllı telefonlardan veri edinmek zordur (USB hata ayıklama devre dışı). Bu sorunları çözmek için, Android akıllı telefonların firmware güncelleme protokollerini analiz etmeye dayanan yeni bir fiziksel edinim yöntemi önermekteyiz.

Yazılım (S/W) tabanlı ve donanım (H/W) tabanlı edinme yöntemleri esas olarak Android akıllı telefonlardan veri edinmek için kullanılmaktadır. S/W tabanlı edinme yöntemleri, mantıksal edinim ve fiziksel edinim olarak ikiye ayrılmıştır. Mantıksal edinim yöntemleri, bir akıllı telefonda depolanan kullanıcı verilerini ADB Yedekleme (Android Backup Extractor, 2014) veya İçerik Sağlayıcı (Hoog, 2011) aracılığıyla edinir. Bununla birlikte, bu yöntem yalnızca arama geçmişi ve resimler gibi kayıtlı dosyaları alır ve silinen dosyaları elde etmek için kullanılamaz. Fiziksel edinme yöntemleri, genel olarak USB kablosunu taktıktan sonra verileri doğrudan akıllı telefonun flash belleğinden çıkarır. Flaş belleğinin fiziksel olarak dökümünü gerçekleştirmek için öncelikle bir yönetici ayrıcalığı edinmek için root’lama işlemi gerçekleştirilmelidir. Root’lamaya dayalı edinim çalışmaları, bilimsel çalışmalarda ortaya konmuştur (Hoog, 2009; Lessard and Kessler, 2010). Bu çalışmalar, HTC akıllı telefonlarını geliştiren ve ADB kabuğu kullanan edinim yöntemleri de dahil olmak üzere Android adli bilişim konularını tartışır. Bununla birlikte bu yöntemler yalnızca USB hata ayıklama modu etkinleştirildiğinde veri edinmek için kullanılabilir. Ticari adli araçlar (Oksijen Forensic, 2014; AccessData MPE+, 2014; MSAB XRY, 2015) de bu yöntemi kullanmaktadır. Ancak, akıllı telefon açıldıktan sonra root’lama işlemi gerçekleştirildiğinden; Veri edinildiğinde bütünlük zarar görür. Buna ek olarak, Android işletim sistemi yeni bir sürümle güncellendiğinde, root’lamaya izin veren mevcut güvenlik açıklarına düzeltme eklenir ki bu nedenle, Android OS güncellendiğinde yeni bir root’lama tekniği bulunmalıdır. Cellebrite UFED 4PC (2015), kötüye kullanma yoluyla (exploit) temelde bir ADB fiziksel bellek dökümünü desteklerken bazı Samsung modelleri, özel bir önyükleme yükleyicisi aracılığıyla fiziksel bellek dökümünü desteklemektedir. Bununla birlikte, bu yöntemde, her modelin fiziksel bellek dökümü için ortak bir yükleyici yüklemek yerine farklı bir önyükleyici yüklenmesinin gerektiği bir sorunu vardır.

Bununla birlikte, USB hata ayıklama genellikle devre dışı olduğu için, desen kilidi veya kullanıcı şifresi ayarlandıysa bu yöntem geçerli değildir. Dahası, Secure Boot ve Samsung KNOX teknolojileri son zamanlarda Android’e uygulandığında, gelecekte bu edinim yöntemini kullanırken zorlaşacak olan özel imajların yazılması konusunda kısıtlamalar gelecektir.

Flash cihazları (RIFF Box, 2014, ORT aracı, 2014; Z3X box, 2014) mobil cihazlardan veri çıkarmak için de kullanılır. Bununla birlikte, bu araçların ana işlevi S/W hasarına uğramış kırılmış telefonları düzeltmektir. Dolayısıyla bu araçlar genel adli araçlar olarak düşünülmez.

H/W tabanlı edinme yöntemleri, JTAG tabanlı edinimi (Kim ve ark., 2008; Breeuwsma ve ark., 2007) ve Chip-off tabanlı edinimi (Jovanovic, 2012) içerir. JTAG tabanlı erişim yöntemi, akıllı telefonun PCB kartı üzerindeki JTAG hata ayıklama ara yüzünü kullanarak verileri flaş bellekten okur ve kopyasını çıkartır. Chip-off tabanlı yöntem, flash bellek yongalarını akıllı kartların PCB kartından fiziksel olarak ayırmayı ve flash belleğin ham verisini kopyalamayı temel alır. JTAG tabanlı edinme yöntemi sorunludur çünkü tüm akıllı telefonlar JTAG soketine sahip değildir ve veri edinmek uzun sürer. Chip-off tabanlı bilgi toplama yöntemi, flash belleği ayırdığı için sınırlı durumlarda kullanılır ve uygulanması ayrı bir uzmanlık gerektirir.

Flash bellek, esasen akıllı telefonlara veri depolamak için kullanılır. Flaş bellek fiziksel olarak küçük olduğundan ve çok miktarda veri depolayabildiğinden, akıllı telefonlar ve gömülü cihazlarda yaygın olarak kullanılmaktadır. Son zamanlarda, NAND flaşının ve bir denetleyiciyi ile aynı pakete entegre edildiği bir gömülü Multi-Media Card (eMMC), EXT4 dosya sistemini kullanarak depolanan verileri yönetmektedir. Ayrıca, BOOT, RECOVERY, SYSTEM ve USERDATA gibi bölümleri kurar ve çalıştırır. Tüm flash belleğin fiziksel dökümünden önce bir yönetici ayrıcalığı edinilmelidir. Yönetici ayrıcalığını elde etmek için BOOT bölümünde özel bir image üzerine yazılır ve bir uygulama (SuperUser.apk) veya bir binary dosya (/system/su) SİSTEM bölümüne kaydedilir. Buna ek olarak, yönetici ayrıcalığı, kurtarma modunda elde edilen root yetkisi ile veya Android işletim sistemindeki güvenlik açıklarından yararlanma yoluyla elde edilir. Genel olarak, Google’ın FASTBOOT (Android software development-fastboot, 2014) adlı özel bir imajı flash’a yazma için kullanılır. Her bir üretici kendi firmware güncelleme programlarını (Samsung Kies, 2014; Samsung Odin, 2014; LG Yazılım ve araçları İndirme, 2014; Pantech SelfUpgrade, 2014; HTC Sync Yöneticisi, 2014; Sony PC Companion, 2014; Xiaomi Xiaomi Smartphone için MiFlash’i İndirin) , 2015) kullanır. Google tarafından sağlanan FASTBOOT aracılığıyla basitçe firmware yazılmasını önlemek için bir protokol yayınlanmamış olduğundan sadece orijinal üretici yazılımı flash’a yazabilir. Ürün yazılımı güncelleme işlemi, yalnızca akıllı telefonlar yazılım güncelleme veya indirme modu adı verilen özel bir mod’a girdiğinde çalışır. Bu modda yalnızca ön yükleyici ve USB işlevi çalışabilir ve yeni bir sistem firmware’i (ya da işletim sistemi) yazılabilir. Güncelleme işlemleri ve komutları, IDA Pro (HexRays, 2015) gibi bir araç kullanarak önyükleyici (boot loader) ve firmware güncelleme programının tersine mühendisliği ile analiz edilebilir.

Ürün Yazılımı Güncelleme Protokollerine Dayalı Android Fiziksel Edinimi

Adli bakış açısından, kullanıcı verilerini içeren flash bellek, veri edinimi sırasında ana hedeftir. Bu işlem, mantıksal bir edinim yöntemi yerine tüm flash belleği elde etmek için fiziksel bir edinim yöntemini gerektirir. Üretici yazılımı, güncelleme işlemi sırasında, Android OS ya da S/W sorunlarını gidermek için flash belleğine yazılır. Flaş belleğine doğrudan S / W aracılığıyla erişmenin tek yolu bir firmware güncelleme protokolüdür ve bundan dolayı firmware güncelleme işleminde kullanılan komutları analiz ederek yeni bir fiziksel bellek edinme yöntemi türetebiliriz.

Şimdiye kadar var olan adli edinim/imaj alma araçlarının sorunlarını çözmek için yazılım güncelleme protokollerini analiz eden bir araştırma yoktu. Bu çalışmada, LG, Pantech ve Samsung akıllı telefonları tarafından kullanılan üretici yazılımı güncelleme protokollerini analiz ettik. LG ve Pantech modellerinde, flash belleğe doğrudan erişim ve yazma komutlarının yanı sıra flash belleğin kopyasını çıkartmak için kullanılabilecek okuma komutlarının da yer aldığını gördük. Samsung modellerinde, flash belleğin dökümünü almak için daha önceden okuma komutlarının bulunduğunu doğruladık, ancak yeni versiyonlarda kaldırıldığını gördük. Bu analitik sonuçlara dayanarak, Android akıllı telefonlar için yeni bir fiziksel edinim yöntemi öneriyoruz.

Firmware Güncelleme Protokolü

Bir Android akıllı telefon açıldığında veya yeniden başlatıldığında, ROM’un 0. Adresinden itibaren yüklü bir proses çalıştırılır ve CPU yapılandırması da dahil olmak üzere başlatma işlemleri gerçekleştirilir. Sonra, önyükleyici belleğe yüklenir ve H/W (donanımlar) başlatılır ve NAND ve USB gibi bileşenler kullanım için yapılandırılır. Bootloader uygulaması, Initial BootLoader (IBL), Primary BootLoader (PBL), Secondary BootLoader (SBL) gibi bir çok aşamadan geçerek Android modeline bağlı olarak SBL önyükleme yükleyicisinde veya ABOOT önyükleme yükleyicisinde bir firmware güncelleme protokolü çalıştırılır.

Bir tersine mühendislik aracını kullanarak, önyükleme yükleyicisini analiz etmek ve firmware güncellemeleri için kullanılan komutları tanımlamak mümkündür. Yazılımı güncellemek veya flash belleğe erişerek veri edinmek için akıllı telefon normal önyükleme modundan ziyade yazılım güncelleme modunda olmalıdır. Bu modda yalnızca önyükleyici ve USB modülü etkinleştirildiğinden, edinilen verilerin bütünlüğü, fiziksel edinme işleminden sonra bile birçok kez garanti edilir. Dolayısıyla, incelemesi yapılan kanıt telefonu, güç kapalıyken bellenim güncelleme modunda önyüklenir ve daha sonra fiziki edinme yapılırsa, flaş belleğin bir görüntüsünü almak için bütünlük korunabilir. Şekil. 1, Samsung, LG ve Pantech akıllı telefonlar yazılım güncelleme modunda önyüklendiğindeki ekran görüntülerini göstermektedir. Üretici yazılımı güncelleme moduna girerken kullanılan yazılım güncelleme modunu ve yöntemlerini belirten terimler, üreticiler arasında farklılık gösterir.


Şekil 1 – Firmware güncelleme modları (Samsung, LG, Pantech)

Tablo 1, bir akıllı telefon önyükleme yapıldığında firmware güncelleme moduna girme yöntemlerini göstermektedir. USB Jig, akıllı telefonlar için firmware güncelleme moduna giren basit bir devredir. Samsung ve LG akıllı telefonlar, microUSB konektörünün 4 ve 5 numaralı pinleri arasında 300 K ve 910 KOhm’luk dirençlere (XDA geliştiricileri, 2012a, 2012b) göre yazılım güncelleme moduna girilebilir. Bu USB İzolasyon kabloları, Orijinal Donanım Üreticisi (OEM) kilidini açmak gibi mevcut sınırlamaların üstesinden gelmek için kullanılamaz.

LG Firmware Güncelleme Protokollerinin Analizi

LG akıllı telefonlar için, LG tarafından sağlanan önyükleyici ve güncelleme programını (LG Software & Tools Download, 2014) ayrıştırarak firmware güncelleme süreçlerini ve komutlarını analiz ettik ve flaşın kopyasını almak için kullanılan okuma komutunu tespit ettik.

LG Firmware Güncelleme Komutları

LG firmware güncelleme protokolü, bir komut paketi gönderme ve bir cevap paketi alma şeklinde çalışır. Paketler, HDLC bayrağı (0x7E) ve ardından paket veri ve Döngüsel Yedekleme Kontrolü (CRC) -16’dan başlayan ve HDLC bayrağı (0x7E) ile biten Üst Düzey Veri Bağlantısı Kontrolü (HDLC) çerçeve yapısını kullanır. Şekil. 2 LG telefonlarının firmware güncelleme komutunu yapısını göstermektedir.

ModelModun adıTuş bileşimi
Samsung GalaxyODINAynı anda, Ses Azaltma, Ev ve Güç tuşuna basıp basılı tutun (ardından Ses Seviyesini Artır tuşuna basın) veya 300 Kohm USB Jig bağlayın
LG OptimusDOWNLOADSesi Açma tuşunu basılı tutun telefonu mikroUSB kablosuyla bilgisayara takın veya 910 K ohm USB Jig bağlayın
Pantech VegaPDL DownloadSes Seviyesini Arttır, Ses Azalt, Ev ve Güç tuşuna aynı anda basılı tutun
Google Nexus 4/5DOWNLOADSesi Açma tuşunu basılı tutun telefonu mikroUSB kablosuyla bilgisayara takın veya 910 K ohm USB Jig bağlayın.

Tablo 1 – Firmware güncelleme (download) moduna girme yöntemleri


Şekil 2 – LG Firmware güncelleme komut yapısı

LG firmware güncelleme moduna girdikten sonra, cihaz bilgilerini, GUID Partition Table (GPT) bölüm bilgilerini ve hafıza bilgilerini edinme komutları kullanılabilir. Tablo 2 LG firmware güncelleme komutlarını göstermektedir.

LG firmware güncelleme işlemleri aşağıdaki gibidir.

  1. Cihaz bilgisini alın: 0x00.
  2. İndirme moduna geç: 0x3A.
  3. Sorgu özellikleri (Protokol ver., Vb.): 0x2F.
  4. Partition bilgisini alın: 0x30.
  5. Fabrika bilgilerini alın: 0xFA.
  6. Sektör yazın (Birincil GPT): 0x39.
  7. Bölümü yazmaya devam edin: 0x39.
  8. İndirme tamamlandı: 0x38.
  9. Sistemi yeniden başlatın: 0x0A.
      1. LG flash bellek döküm komutu

Önyükleme yükleyicisinde firmware güncelleme komutlarının tersine mühendisliği ile elde edilen sonuçlara dayanarak, Tablo 2’de gösterilenlere ek olarak flaş bellek için okuma komutlarını belirledik. Şekil 2 LG Optimus G modelinde (LG-E975) SBL3 önyükleme yükleyicisinin tersine mühendislikle elde edilen flash bellek için okuma komutunu (0x50) göstermektedir.

Firmware güncelleme moduna Tablo 1’de açıklanan işleme göre girildikten sonra, flash bellek ve GPT bölüm bilgisi boyutunu elde etmek için flash bellek bilgisi edinme (0x30) komutu gönderilir. Elde edilen bilgi, flash bellek boyutunu, bölüm sayısını, başlangıç ​​adresini, bitiş adresini ve her bir bölümün adını içerir. Flash bellek (0x50) için okuma komutu başlangıç ​​adresi ve döküm boyutu ile gönderilir ve daha sonra istenen boyut kadar flaş bellek verilerisi elde edilebilir.

KomutAçıklama
0x00Cihaz bilgisini al (model, derleme tarihi)
0x3ADownload moduna git
0x2FProtokol ve algoritma versiyonunu getir
0x30MMC ve bölüm tablosu bilgisini getir
0xFAFabrika bilgilerini getir (IMEI, MAC adresi)
0x12RAM belleği oku
0x39Flash belleği yaz
0x0ASistemi resetle

Tablo 2 – LG firmware güncelleme komutları


Şekil 3 – . LG SBL3 ön yükleyicisinin tersine mühendislik yapılması



Şekil 4- LG okuma komutu formatı (0x50)

Şekil 4, flaş belleğin içini okuma komutunun (0x50) biçimini gösterir. Şekil 5, bir veri toplama örneğini göstermektedir. Tüm modellerin fiziksel olarak edinilmesi, Android işletim sisteminden ve çekirdek sürümünden bağımsız olarak okuma komutu kullanılarak gerçekleştirilebilir. Dahası, yazılım güncelleme modunda önyükleme yapıldığından, döküm görüntüsünün bütünlüğü daima korunur.

Android’in Fiziksel Edinimi

Makalede önerilen edinim yöntemini kullanarak, C++ ‘da Android Physical Dump (APD) adlı bir edinim aracı geliştirdik. Şekil 10 APD aracını göstermektedir. Bir USB kablosuyla bağlandıktan sonra fiziksel olarak edinme butonları tıklanır.

Desteklenen Modeller

APD aracı şu anda en yeni Android modellerinin 80’inden fazlasını destekliyor. Şu anda, APD, LG Optimus, Pantech Vega ve Google Nexus modellerinden fiziksel çöplükler yapabilir. Desteklenen modellerin temsili örnekleri şunlardır: LG G3, G2, G, Pantech R3, Iron2, Nexus 4/5 ve G Watch.


Şekil 10 – Android Physical Dump (APD)

Firmware Güncelleme Modunda Başlatma

İlk fiziksel döküm adımında, cihaz yazılım güncellemesi modunda önyüklenir. Akıllı telefonlar, AT komutu veya indirme modu komutu aracılığıyla firmware güncelleme moduna girebilir. Bununla birlikte, fiziksel bellek döküm alma işlemi, normal bir önyükleme sonrasında gerçekleştirilirse, edinilen verilerin hash değeri değişebilir. Bu nedenle, telefon ele geçtikten sonra kapatılması ve ürün yazılımı güncelleme moduyla önyüklemesi yapılmalıdır.

Telefona Bağlanma ve Model Bilgisini Edinme

Bir USB kablosu kullanarak akıllı telefona bağlayın. USB sürücüsü önceden kurulmuş olmalıdır. USB sürücüsü üreticinin web sayfasından indirilebilir. Bir USB kablosu bağladıktan sonra, Model ve GPT bilgilerini al düğmesini seçin. Kullanıcı yalnızca üreticiyi seçerse, akıllı telefon model adı otomatik olarak görüntülenir.

Model bilgilerini aldıktan sonra, GPT bölüm bilgisi komutu gönderilerek bölüm bilgisi elde edilir. Şek. 10’da, pencere her bölüm için bölüm adını, başlangıç ​​adresini ve bitiş adresini sunar.

Fiziksel Edinim

APD aracı, bir bölüm dökümünü ve tüm flash bellek dökümünü gerçekleştirmek için uygulanmıştır. Seçilen Bölümleri edinme düğmesi tıklandıktan sonra, ilgili bölümün fiziksel bir dökümü gerçekleştirilir. Döküm işlemi bittikten sonra, döküm görüntüsünün döküm süresi ve MD5 hash değeri Döküm Günlük penceresinde görüntülenir.

Full Dump butonu tüm flash belleği almak için seçilir. Fiziksel edinme işlemi, edinilen GPT bölüm bilgisindeki flash belleğin başlangıç ​​ve bitiş adreslerini kullanarak yürütülür. Edinim işlemi tamamlandıktan sonra, araştırmacı bilgileri, edinim aracı bilgileri ve döküm bilgisi Şekil 10’da gösterildiği gibi görüntülenir. Döküm bilgileri, hesaplanan MD5 hash değerini ve döküm görüntüsünün başlangıç ​​zamanı ve bitiş süresini gösterir. Hash değerinin hesaplanması, döküm imajının bütünlüğünü kontrol etmek için önemlidir.

APD aracını kullanarak elde edilen dosya ham veri formatıdır ve akıllı telefon adli araçları (Cellebrite UFED Fiziksel Analiz Cihazı 2015, Rehberlik EnCase, 2014, R-Linux, 2014) aracılığıyla analiz edilebilir.

Denemeler

Android adli bilişim alanında en önemli faktörler, desen kilidi ve kullanıcı şifresi nedeniyle adli imajının bütünlüğünü, hızlı kanıt toplama ve alınan flash imajının bütünlüğünü garanti altına almaktadır. Bu üç faktöre dayanarak, bu çalışmada önerilen APD aracını en yeni Android akıllı telefonlarını kullanarak mevcut edinim yöntemleriyle karşılaştırdık. Karşılaştırılan araçlar arasında, özel kurtarma görüntüsünü temel alan iyi bilinen Cellebrite UFED 4PC, döküm yöntemi ve root’la istismarı yoluyla ADB fiziksel dökümü ve JTAG tabanlı edinim vardı. Tablo 5, elde edilen deneysel sonuçları göstermektedir. G3 (F400S, D851), Optimus G (F180S, E975), R3 (IM-A850S), Iron2 (IM-A910S) ve Nexus 4/5 (E960, D821) gibi farklı modeller kullanılmıştır. Flaş belleğini APD aracı ile dışarı alma işlemini tamamladıktan sonra, alınan imajın kalitesini belirlemek için elde edilen imaj Cellebrite UFED Fiziksel Analiz Cihazı (2015) kullanarak karşılaştırılmıştır.

Elde Edilmiş Görüntünün Bütünlüğünü Koruma

Bir önceki çalışmada (Son ve ark., 2013), kullanıcı verileri bütünlüğü bir JTAG tabanlı edinim yöntemi ile kontrol edildi. Bu yöntem, kullanıcı verilerinin bütünlüğünü sağlar, çünkü yalnızca özel imajı flash belleğe yazılmıştır. Bununla birlikte, flash belleğin kurtarma bölümü değiştirildiğinden, tüm flash belleğin bütünlüğü hasar görür. Edinim işlemi sırasında kullanılan Cellebrite UFED 4PC ile bütünlük de hasar görüyor çünkü edinim işlemi normal açılıştan sonra gerçekleştirilmektedir.

Buna karşılık, önerilen erişim yöntemi, tüm flash belleğin bütünlüğünü korumaktadır. Yazılım güncelleme modunda önyüklenir ve fiziksel bilgi edinme, flash bellek okuma komutunu kullanarak gerçekleştirilir. Böylece, tüm flash belleğin bütünlüğünün muhafaza edilip edilmediğini teyit etmek için JTAG tabanlı edinim yöntemini karşılaştırrılabilir. Sonuçların doğruluğunu sağlamak için, deney işlemi bir önceki çalışmada olduğu gibi yerine getirilmiştir (Son ve ark., 2013). Beş kez flash bellek edinimi gerçekleştirildikten sonra edinilen görüntülerin karma değerleri karşılaştırılmıştır.

Edinme Hızı

Akıllı telefonların kullanımındaki hızlı artış nedeniyle, analiz edilmesi gereken akıllı telefonların sayısı da hızla artıyor. İncelenmesi gereken telefonlarının sayısı büyük olduğundan, alanda 8 saati aşan bir edinme zamanı gerektiren JTAG tabanlı erişim yöntemini kullanmak kolay değildir. Bu nedenle, hızlı S/W tabanlı edinim yöntemleri sıklıkla kullanılır. Tüm flash bellek için edinme süresini karşılaştıran sonuçlar Tablo 5’te gösterilmiştir. Sonuçlar, 8 modelin edinme sürelerinin ortalama değerlerini temsil etmektedir. Önerilen yöntem, verileri bir bilgisayara göndermek için akıllı telefonun maksimum boyutunu ayarlayabildiğinden, diğer yöntemlerle edinme süresinden yaklaşık dört kat daha hızlıdır. 32 GB flaş bellek elde etmek için ortalama olarak 30 dakika gerekiyordu.

Açıklanan yöntemCellebrite
UFED 4P
Özel kurtarma moduRoot’larak ADB ile döküm almaJTAG yöntemi
Bütünlük garantisi00XX0
Imaj alma hızı (32GB)30 dk.120 dk.120 dk.180 dk.480 dk. a
Ekran kilitli akıllı telefonun imajı alma00XX0
a JTAG tabanlı edinme yönteminde cihazı sökme ve adaptörü bağlantı süresi hariç tutulmuştur

Tablo 5 – Deney sonuçları

Ekranı Kilitli Akıllı Telefonlardan Fiziksel Olarak Edinme (USB Debug devre dışı)

Çoğu S/W tabanlı adli araç, fiziksel edinim için ADB protokolünü kullanır. ADB protokolünü kullanmak için akıllı telefonda USB hata ayıklamasının etkinleştirilmesi gerekir. Bununla birlikte, tüm Android akıllı telefonlar güvenlik nedenlerinden ötürü varsayılan olarak USB hata ayıklaması devre dışı bırakılmış olarak teslim edilir. Böylece, mevcut kazanım yöntemlerini uygulamak için USB hata ayıklamasının etkinleştirilmesi gerekir. Bu nedenle, bir desen veya kullanıcı şifresi tarafından kilitlenmiş (USB hata ayıklamalı devre dışı bırakılmış) bir akıllı telefondaki mevcut yöntemlerden birini kullanarak fiziksel edinimi gerçekleştirmek imkansızdır. Bu eksiklik, Android’in fiziksel edinimi alanında çözülmesi gereken önemli bir konudur. Bununla birlikte, önerilen yöntem bu sorunun üstesinden gelmektedir. Ekranı kilitli bir akıllı telefon olsa bile, telefon kapalıyken ve firmware güncelleme modunda yeniden başlatıldıktan sonra fiziksel olarak edinme gerçekleştirmek mümkündür.

Forensic AracıAçık
Kaynak
Kullanıcı
Dostu
Ekran Kilitli Cihazdan KurtarmaBütünlükBölümDışarı
Veri
Aktarma
Adli Bilişim Süreçleri
Uyumu
Genel Amaçlı
LiMEEHBilgi yokYüksekHTCP SD KartHH
AMExtractorEHHYüksekHTCPHH
APDHHEEEBilgi yokHH
HawkeyeHHHEEBilgi yokHH
ANDROPHSyEHEEETCPEE
ADAEEHEHSD KartHH
UFEDHHEEHSD Kart, USB Flash BellekEH
OxygenHEEEHUSB bağlantısı, BluetoothEH
MSAB
XRY/XACT
HEEEHUSB BağlantısıEH
DSHEEEHUSB BağlantısıEH
MOBILedit!HEHEHUSB Kablo, TCPEH
ViaExtractHEEBilgi YokHBilgi YokEH
MPE+HEEHHKablolar, Infrared, BluetoothEH

Tablo -1: Adli Bilişim Araçlarının Karşılaştırmalı Tablosu

MOBİL CİHAZ YÖNETİM (MDM) YAZILIMI İLE DELİL ELDE ETME

MDM , Mobile Device Management (Mobil Cihaz Yönetimi) ifadesinin kısaltması olup, işletmelerin bilgi güvenliği için kullandığı en önemli teknolojidir. Mobil Cihaz Yönetim yazılımı akıllı telefonların yaygınlaşması ile birlikte kurumların cihazlarının güvenliğini sağlamak için tercih ettiği yazılımlardan olmuştur. Bir MDM yazılımı cihazın uzaktan izlenebilmesine ve yönetilebilmesine olanak tanır. Diğer taraftan MDM, akıllı telefon endüstrisinin bıraktığı güvenlik boşluklarına hitap eden hızla gelişen bir satış sektörüdür. Hükümetler ve endüstrideki mobil cihaz eğilimleri göz önüne alındığında, bir işletmede akıllı telefonu güvence altına alma gerekliliği ortaya çıkmaktadır. Bir kuruluşta güvenilmeyen cihazlara izin verilmesinin doğasında olan riskler nedeniyle MDM sistemlerine olan ihtiyacı artmaktadır. Kuruluşlar, mobil cihaz risklerini azaltmak için mobil cihaz güvenlik politikalarının sıkı bir şekilde uygulanmasına ihtiyaç duymaktadır.

MDM, dağıtım, güvenceye alma, izleme ve entegrasyon işlemlerinin yapıldığı idari alandır ve işletmelere temel olarak, iş yerlerindeki mobil aygıtların (akıllı telefon, tablet, vb.) yönetimine dair hizmetler sunar. Aşağıdaki işlevler sayesinde işletmeler, kullanıcıların çalışmalarını kesintiye uğratmadan, kablosuz bağlantı yoluyla mobil cihazları hızlı ve etkin bir şekilde yönetebilir:


a) Güvenlik Yönetimi:
Mobil cihazın çalınması veya kaybedilmesi halinde, güvenlik önlemi olarak tüm kurumsal veriler uzaktan kaldırılabilir ve silinebilir.

b) Politika Yönetimi: Kurumsal verileri (kamerayı kapatmak, ekran görüntüsü aldırmamak, ekran kilidi ve parola kilidini zorunlu kılmak, vb. yoluyla) güvence altına almak amacıyla işletmelere yönelik bilgi güvenliği düzenlemelerini mobil cihazlara otomatik olarak dağıtır.

c) Yazılım Dağıtımı: İşletmelerin, uyguladıkları bilgi güvenliği politikasını esas alarak, kurulum için gerekli uygulamaları mobil cihazlara dağıtmasına olanak sağlar ve tekil kurulum yapma zorluğundan kurtarır.

d) Envanter Yönetimi: Cihazdaki yazılım ve donanım verilerini düzenli olarak toplar ve kullanıcıların uygulamaları nasıl kullandıklarını izler.

Birkaç lider MDM ürünü üzerine yapılan araştırma, kurumsal düzeyde Android cihazlardan otomatik olarak adli veri koleksiyonları elde etmede genel bir özellik eksikliği ortaya çıkardı. Bu verilerin bulunması, olayların yanıtı, güvenlik denetimi, proaktif güvenlik izleme ve adli soruşturmalar da dahil olmak üzere kuruluşlar arasında bulunan ortak güvenlik uygulamalarına yardımcı olacaktır. 2010/2011 Bilgisayar Güvenlik Enstitüsü Bilgisayar Suçları ve Güvenliği Anketi’ne göre, çeşitli şirketlerden gelenlerin %61.5’i iç denetimlerin bir güvenlik mekanizması olarak kuruluşlarında yapıldığını bildirdi. Buna ek olarak,%44 veri-kayıp önleme ve kullanıcı içerikli izleme programlarının bulunduğunu bildirmiştir (Richardson, 2010). Bu istatistikler, birçok organizasyonun içeriden öğrenebilecekleri tehditlerle ilgili kurumsal risklerin farkında olduğunu ve bunları hafifletmek için gerekli önlemleri aldıklarını göstermektedir; Ancak, Android akıllı telefonu izlemek için teknoloji eksikliği göz önüne alındığında, bu cihazlarda gerçekleştirilen birçok işlem denetlenmemektedir. İzleme seçeneklerinin olmaması, bu verilerin iç soruşturmalarda yaratacağı önemli etkiyle birlikte, bu çalışmanın konusu olan DroidWatch adlı bir prototip çözüm önerisi ve geliştirilmesine yol açtı.
Bu makale, politika ihlalleri, fikri mülkiyet hırsızlığı, yanlış kullanım, zimmete para geçirme, sabotaj ve casusluk da dahil olmak üzere iç soruşturmalar için kullanışlı verilerin toplanmasını otomatikleştiren bir Android uygulamasının (“uygulaması”) tasarlanması ve uygulanması üzerine odaklanmaktadır. Veriler, Gingerbread 2.3.6 çalıştıran bir Samsung Galaxy S II Epic 4G Dokunmatik Android akıllı telefonundan toplandı. Ardından PHP, MySQL, Apache ve Splunk çalıştıran uzak bir Ubuntu sunucusuna gönderildi. Anti-virüs, kök algılama ve uygulamanın sonlandırılmasına veya kaldırılmasına karşı korunma gibi özellikler, sistem ve kurumsal güvenlik için gereklidir, ancak bu araştırmanın kapsamı dışındadır. Uygulanan çalışma ile toplanan tüm veriler, kurumsal veya resmi ağlarda yaygın olanlara benzer bir kullanıcı onayı vasıtasıyla gerçekleşir. Veriler, köklü ayrıcalıklar veya Android mimarisinin kullanılmasıyla elde edilemez.

Android Uygulama Geliştirme Terminolojisi

Android uygulama bileşenleri, bir uygulamanın davranışını tanımlamaya yardımcı olan Android çerçeve bloklarından oluşur (framework blocks) (Google. (N.d.). Uygulama temelleri). DroidWatch içinde şu uygulama bileşenleri kullanılmaktadır: etkinlikler, hizmetler, içerik sağlayıcıları, yayın alıcıları, içerik gözlemcileri ve alarmlar. Aşağıda açıklanan her bileşen, farklı ve kullanışlı bir amaca hizmet eder.

Etkinlikler (Activities)

Bir kullanıcı arabirimini uygulayan bağımsız ekranlardır. Bilgi görüntüler, kullanıcı etkileşimini ister ve diğer etkinlikleri başlatırlar (Google. (N.d.). Uygulama temelleri). DroidWatch’da etkinlikler nadiren kullanılır; Genel kullanıcı deneyimini etkilememek için, çalışmaların çoğu arka planda gerçekleşir.

Hizmetler (Service)

Kullanıcı etkileşimi gerektirmeyen uzun süre devam eden işlemlerdir. Etkinlikler gibi diğer uygulama bileşenleri, diğer uygulamalar ve hizmetler çalışırken bile hizmet başlatabilir ve devam ettirebilir (Google. (N.d.) Uygulama temel bilgileri). DroidWatch, veri koleksiyonlarını ve aktarımları gerçekleştirmek için sürekli olarak bir servis kullanır.

İçerik sağlayıcıları (Content Providers)

Uygulama verisinin erişimini ve paylaşımını yöneten uygulama bileşenidir. Ön tanımlı tekil kaynak tanımlayıcıları (URI) aracılığıyla içerik sağlayıcılarıyla arabirimlenerek kullanılır (Google. (N.d.). Uygulama temelleri). DroidWatch içerik sağlayıcıları iki şekilde kullanır:

1. Diğer uygulamalar içinde saklanan verileri okurken

2. DroidWatch uygulaması içinde depolanan verileri okuyup yazar iken

Yayın alıcıları (Broadcast Receiver)

Bir Android cihazdaki yayın sistemi olaylarını işleyen ve bunlara yanıt veren uygulama bileşenleri (Google. (N.d.). Uygulama temelleri) ‘dir. Gelen Kısa Mesaj Servisi (SMS) mesajları ve uygulama yüklemesi gibi olayları tespit etmek için DroidWatch da kullanılırlar.

İçerik gözlemcileri (Content Observers)

İçerik sağlayıcılarla ilişkili olduğunda, hedeflenen bir veritabanı altında yatan veri kümesinin içeriği değiştiğinde bildirim alırlar (Google. (N.d.) ContentObserver). DroidWatch bunu verilerin gerçek zamanlı değişikliklerini algılamak için kullanır.

6.1.6. Alarmlar (Alarms), periyodik olarak içerik sağlayıcıları sorgulamak ve yeni veriler çekmek için DroidWatch’ta yapılandırılan, cron işlerine (cronjobs) benzer şekilde zamanlanmış işlemlerdir. Güvenilirdir ve yalnızca belirlenen zamanlarda çalışırlar.

Android Uygulama Güvenliği

Google’ın Android uygulamaları güvenlik modeli, bir uygulamanın AndroidManifest.xml dosyasında (daha sonra “AndroidManifest” olarak anılacaktır) izin beyanını içerir. Varsayılan olarak, istenen izinlere sahip olmayan bir uygulama, “diğer uygulamaları, işletim sistemini veya kullanıcıyı olumsuz yönde etkileyecek her hangi bir işlemi gerçekleştiremez” (Google. (N.d.) İzinler). Bu, bir uygulamanın diğer uygulamaların özel verilerine erişememesi, şebeke servislerini kullanamaması, dahili / harici hafızaya yazamaması veya diğer temel işlevleri yerine getirememesi anlamına gelir. Yeni indirilen bir uygulama, yüklenmeden önce kabul edilmiş olması için kullanıcıya bildirilen izinlerini sunmalıdır. Bu durum Android 5 ile değişmiştir. Yeni güvenlik modeline göre önemli (tehlikeli kategorideki) izinlerin çoğu uygulama ilgili izini gerektiren bir işlem yaptığı sırada talep edilir. Böylece işletim sistemi çalışma zamanında kullanıcıdan ilgili işlem için izin vermesini ister.

Kökleme (Rooting)

Köklendirme, kullanıcıların normal kullanıcı kipi altında normalden daha yüksek ayrıcalıklı işlevler gerçekleştirmesine olanak tanır. Yasal veya gayri meşru amaçlar için kullanılabilir. Kullanıcılar, güvenlik kısıtlamalarını atlamak veya DroidWatch gibi bir uygulama aracılığıyla toplanan verilere müdahale etmek isteyebilir. Kök erişimi meşru olarak da kullanılabilir.( J. Grover / Digital Investigation 10 (2013) S12-S20 S13 adli araştırmacılar tarafından bir cihazdan veri çıkarılması) Ancak, mümkün olduğunca bundan kaçınılmalıdır. Süreç tipik olarak belirli bir aygıtta veya işletim sisteminde bir güvenlik açığını kullanır ve daha fazla güvenlik açıklarına neden olabilir. Köklendirme, bir cihazın bölümlerini de değiştirir (adli bilişim uygulamalarıyla çelişen bir eylem); Bununla birlikte, gerekli koşulların ve verilerin türüne bağlı olarak köklenme kaçınılmaz olabilir (Vidas ve diğerleri, 2011). Kök erişimi, DroidWatch gibi bir uygulamanın özellik sayısını artırabilir; bunun sonucu olarak sistemin güvenliğini zayıflatabilir, birlikte çalışabilirliği düşürebilir ve akıllı telefon sağlayıcının garantisini tehlikeye sokabilir.

Akıllı Telefon Araştırmaları

Suçları araştırmaya ve hassas hükümet bilgilerini yetkisiz erişimden korumak için yetkilendirilmiş mobil güvenlikte birincil oyuncular kolluk kuvvetleri ve devlet kurumlarıdır. Şirketler ayrıca ticari casusluk, finansal hırsızlık ve fikri mülkiyet hırsızlığına karşı kendilerini korumak için mobil güvenlikle çok ilgilidirler. Boşanma kararları, velayet savaşları, emlak anlaşmazlıkları vb. alanlardaki özel menfaatler de bu alandaki ilerlemelerden kazançlı çıkmaktadır (Hoog, 2011). Sonuç olarak, akıllı telefonların izlenmesinden menfaat sağlayacak soruşturma türleri, kanun uygulama soruşturmaları, iç soruşturmalar ve özel soruşturmalardır. Bu araştırma, potansiyel politika ihlallerini, fikri mülkiyet hırsızlığını, kötüye kullanım, zimmete para geçirme, sabotaj, casusluk ve diğer soruşturmaları araştırmak için bir organizasyonda sözleşmeli veya başka bir şekilde (örneğin, adli olay inceleyicileri, güvenlik denetçileri vb.) personel tarafından gerçekleştirilen dahili soruşturmalar üzerine yoğunlaşmaktadır. Dahili araştırmacıların kolluk soruşturmalarının sıkı adli muamele ve koruma prosedürlerine uymaları gerekmez, ancak genellikle yaygın olarak uygulanan adli bilişim tekniklerine ve kurallarına uymaya çalışılmalıdır. Dahili araştırmalar için değerli akıllı telefon verileri elde etmek için, geleneksel olarak bir cihaza fiziksel olarak erişmek gereklidir. Buna bir istisna olan EnCase Enterprise, Ekim 2012 tarihinden itibaren bir ağ üzerinden Android cihazların uzaktan adli görüntülerini çıkarabilimektedir. Bazı MDM’ler ayrıca sınırlı izleme, ancak araştırmacıların ihtiyaçlarını etkin bir şekilde ele alacak kadar yeterli değildir. Bir mobil cihazın fiziksel olarak alındığı varsayılarak, araştırmacılar, cihazın mevcut durumunun mantıksal veya fiziksel anlık görüntüsünü almak için çeşitli araçlar kullanabilirler. Andrew Hoog, (Hoog, 2011), Android akıllı telefonlardan bilgi toplamak için mevcut araçların çoğunu listeliyor. Cihazların bazıları taşınabilir donanım aygıtları ve diğerleri yazılım ürünleridir; Bununla birlikte, hepsi evrensel bir seri veri yolu (USB) bağlantısı üzerinden çalışır ve çalışması için akıllı telefona fiziksel erişim gerektirir. Buna ek olarak, araçların birçoğu kök erişim gerektirir (Valle, 2013).

Gizlilik endişeleri

DroidWatch, kullanıcıları gizlilik beklentileri hakkında bilgilendirmek ve onaylarını almak için bir telefonun önyükleme işlemi sırasında bir kullanıcı onayı bayrağı görüntüler (izin kartı afişinin uygulanmasına ilişkin daha fazla ayrıntı Bölüm 4.1.2’de bulunur). Bu, uygulamanın bir casus yazılım sınıflandırmasını önlemesine yardımcı olur ve sistem hatalarını engelleyebilir. Tablo 1’de, geçerli bazı mobil cihaz gizlilik davaları listelenmiştir. Kullanıcıları DroidWatch’ta izleme politikaları hakkında bilgilendirmek için istenen izinlerin kabul edilebilir kullanımı, ABD v. Ziegler’de (ABD Temyiz Mahkemesi, 2007) karar veren ABD Temyiz Mahkemesinden alınabilir. Potansiyel BYOD etkileri ile ilgili argümanlar, ABD Büyük Anayasa Mahkemesi davası Ontario v. Quon kararından (ABD Yüksek Mahkemesi, 2010) alınarak yapılabilir.

Sonuç olarak, bir organizasyon, DroidWatch gibi izleme uygulamalarını, şahsen sahip olunanlar da dahil olmak üzere tüm kurumsal akıllı telefonlara kurma hakkına sahip olduğunu düşünebilir; çünkü telefonlar özel olarak kontrol edilen ağında çalışırlar. Carrier IQ davası, bu yazının yazıldığı tarih itibariyle halen beklemede olmasına rağmen, kullanıcı verilerinin kullanıcı onayı olmadan akıllı telefonda izlenmesinden kaynaklanabilecek yasal sorunlara örnek teşkil etmektedir (Davis, 2012).

Ticari MDM Ürünleri

Üçüncü taraf MDM ürünleri mobil cihazlarla bir şirketin genel güvenliğini artırır; Bununla birlikte, çoğu MDM’de derinlemesine kullanıcı izleme özellikleri yoktur. Zenprise, AirWatch ve MobileIron gibi bazı önde gelen MDM seçenekleri, sınırlı izleme yetenekleri (ör., GPS izleme ve SMS izleme) sunmaktadır, ancak dahili araştırmalara yardımcı olan diğer mevcut veri setlerini toplamayı başaramamaktadır. Araştırılan MDM ürünlerinin Juniper Pulse Mobil Güvenlik Paketi (v.3.0R3) en çok kullanıcı izleme yetenekleri sundu ve bu araştırmanın bir parçası olarak değerlendirildi. Bulgular, ürünün DroidWatch’ta kapsanan veri kümelerinin yaklaşık %50’sini topladığını gösterdi; Bununla birlikte, verilerin depolanması ve Juniper kontrollü sistemler tarafından barındırılması gerekir. Bu, bir kuruluşun denetim verilerini dahili olarak saklama şartını engelleyebilir.

Kişisel “casus” uygulamalar (örn., Mobistealth, StealthGenie, FlexiSpy ve Mobile Spy) gibi piyasada bulunan diğer ürünler, DroidWatch ile aynı veri kümelerinin çoğunu toplayabilir, ancak yükseltilmiş ayrıcalıklar için gereksinimler ve eksiklikler gibi sınırlayıcı faktörlere sahiptir. Ayrıca kurumsal depolama ve analiz yetenekleri açısından kullanıcı bilgisi olmadan kişisel bilgiler toplayan, genellikle casus yazılım olarak sınıflandırılırlar (Juniper Networks, 2012).

U.S. v Ziegler (2007)Kullanıcıların politikadan haberdar olması durumunda bir kuruluş kendi ekipmanını izleme hakkına sahiptir
City of Ontario v. Quon
(2010)
Denetlemeler, bir çalışan tarafından ödenen ek ücret ödemeleri bile şirket tarafından sağlanan bir cihaz üzerinde gerçekleştirilebilir
Carrier IQMevcut değil. Bekliyor.

Tablo-1: Mobil cihaz mahremiyet davaları
Uzaktan kurumsal adli delil toplama araçları da kuruluşun güvenliğini artırmayı hedeflemektedir. Google Rapig Response (GRR), adli araştırmacılara ve olaya müdahale eden kişilere, adli olarak bir ağ üzerinden çok sayıda makinadan kanıt elde etmesini sağlar (Cohen ve diğerleri, 2011). GRR’ye benzer ticari çözümler EnCase Enterprise, AccessData Enterprise, F-Response Enterprise Edition ve Mandiant Intelligent Response‘dır. EnCase Enterprise, Android’i desteklerken, diğerleri şu anda bunu desteklemez. Sözü edilen uzaktan adli araçlar, verileri sürekli olarak toplamayıp depolamadıkları için DroidWatch’tan farklıdır. Bunun yerine, operatöre talimat verildiğinde verilerin bir kerelik fotoğraflarını çekerler. DroidWatch kodu bu araçların yeteneklerini genişletmek için kullanılabilir.

DroidWatch MDM Yazılımı

Bu araştırmayı çeşitli bilimsel çabalar şekillendirmiştir. Lee ve diğerleri tarafından önerilen bir sistem; bir akıllı telefondan Android Uygulama Programlama Arayüzünü (API) kullanarak aynı SDCard’a hızlıca veri çıkarmak için bir Secure Digital Card (SDCard) üzerinde bulunan bir Android uygulamasını kullanıyor (Lee ve ark., 2009 ). Verilerin toplanmasına yönelik bu mantıklı yaklaşım, sisteminin bir cihazı sürekli olarak izlemesi dışında DroidWatch’a benzer. Bununla birlikte, çalışma sırasında kök ayrıcalıkları olmadan elde edilebilen çeşitli veri setlerini vurgulamaktadır. ViaForensics tarafından açık kaynaklı ürün olarak piyasaya sürülen AFLogical benzer bir yaklaşım benimser. Ayrıca, özel bir SDCard kullanır ve alınan veri kümelerinin sayısını genişletir (Hoog, 2010). Yang ve ark.’nın takip çalışmaları SDCards için bulut bilgi işleminin yerini almasını önerdi; Bununla birlikte, araştırmaları bir cihaza fiziksel olarak erişmeyi gerektirir ve sürekli veri toplamaz (Yang ve Lai, 2012).

Villan ve ark. , Sanal bir ağ bilgisine (VNC) benzer gerçek zamanlı izleme gerçekleştiren yerli bir Android uygulamasını, bir akıllı telefon üzerinde kök ayrıcalıkları kullanmadan gerçekleştirdi (Villan ve Esteve, 2011). Araştırma kullanıcıların ekranını kullanılabilirlik amacıyla uzak bir yere akıtmayı (yani, kurumsal yardım masalarında kullanmak için) akıtmayı içerir ancak bir kullanıcının ekranını izleyebilme özelliği DroidWatch’ta gelecekteki bir özellik olarak uygulanabilir. Shields ve ark. Tarafından sunulan araştırma. Yeni bir nesne parmak izi yaklaşımı (Shields ve ark., 2011) kullanarak sürekli ve proaktif bir şekilde bir ağ üzerinden gerçek adli bilişim edinimlerini gerçekleştiren ilk sistem olan Proaktif Nesne Parmak İzi ve Depolama (PROOFS) adında bir edinim ve izleme sistemi başlattı. PROOFS, Android akıllı telefonlarda çalışmazken, bir izleme aracının adli olarak kabul edilmesi gereken kriterlerini vurgulamaktadır. DroidWatch ile ilgili gelecekteki çalışmalar, bu kriterlerden bazılarının dahil edilmesini içerir.

Android platformundaki eski anti-adli bilişim çalışması, DroidWatch’ın nasıl tehlikeye atıldığını veya engelleneceğini değerlendirmede etkili oldu. Birkaç genel anti-adli kavramlar, Distefano ve diğerleri tarafından Android’e aktarıldı ve DroidWatch uygulamasının anti-adli değerlendirmesi sırasında bir rehber olarak görev yaptı (Bölüm 4.3) (Distefano ve ark., 2010). Azadegan ve arkadaşlarının yaptığı araştırma. Ek anti-adli bilişim konsepti sundu ve ayrıca yukarıda anılan DroidWatch değerlendirmesine dahil edildi (Azadegan ve ark., 2012).

droidwatch_art

Şekil-1: DroidWatch sistem mimarisi

Broadcast Receiver →Content Observer→Alarm

Şekil-2: Tasarım Stratejisi

Strateji, göreceli olarak kolay uygulanabilirlik, gerçek zamanlı bildirimleri işleme yeteneği ve yanlış pozitif ve çoğaltılması konularına odaklanmaktadır. İlk önce, sistem yayınları üretip üretmediğini belirlemek için veri setleri analiz edilmelidir. Eğer yaparlarsa, yayın alıcıları koleksiyonlar için uygulama bileşeni olarak düşünülmelidir. Yayınlar mevcut değilse, içerik gözlemcilerini uygulamaya geçirmeyi düşünün. Yayınlar ve içerik gözlemcileri hedeflenen veri koleksiyonları için kullanılamıyor veya etkisiz ise alarmlar kullanılmalıdır.

Yerel depolama

Tüm toplanan veriler telefonda yerel bir SQLite veritabanında geçici olarak saklanır ve sadece DroidWatch uygulaması tarafından erişilebilir olacak şekilde yapılandırılır. Standart Yapısal Sorgulama Dili (SQL) veritabanı fonksiyonları, özel bir DroidWatch içerik sağlayıcısı tarafından işlenir. Bu, her bir DroidWatch koleksiyonunun iş parçacığına göre güvenli ve yapılandırılmış bir biçimde gerçekleştirilmesini sağlar. Zamanlanmış bir alarm periyodik olarak yerel SQLite veritabanı dosyasını güvenli köprü metni aktarım protokolü (HTTPS) POST üzerinden işlenmek üzere kuruluş sunucusuna aktarır. Aktarım işlemi, veritabanı dosyasının nispeten küçük boyutunun (ortalama 75 kilobayt) yardımıyla bir kullanıcının deneyimine en az etkisi olan arka planda çalışacak şekilde tasarlanmıştır.

6.7.8. Şirket sunucusu

Toplanan verilerin aktığı kurumsal sunucu prototipi, Apache, PHP, MySQL ve Splunk çalıştıran özel yerel bir ağdaki Ubuntu sanal makinesidir. Apache kendinden imzalı bir güvenli soket katmanı (SSL) sertifikasıyla yapılandırılmış ve DroidWatch uygulaması içinde bir varlık dosyası olarak dahil edilmiştir. Bu, bir HTTPS bağlantısı üzerinden veri aktarılmasına izin verir. PHP kodu, SQLite dosya yüklemelerini yönetir ve olayları bir MySQL veritabanına ayıklar. Splunk, periyodik olarak MySQL veritabanından veri çeker ve analiz ve raporlama için olayları arabiriminde kullanılabilir duruma getirir.

6.7.9. Veri Akış Süreci

DroidWatch uygulaması içindeki veri akış süreci (Şekil 3) sürekli bir işlemdir, transferler her 2 saatte bir denenir (bu değer konfigüre edilebilir). Kurumsal sunucuya başarılı bir şekilde aktarıldıktan sonra, aktarmadan önce tarihli olaylar yerel telefon veritabanından silinir ve bu da o veritabanının boyutunu en aza indirir. Başarısız olan dosya aktarımları günlüğe kaydedilir ve herhangi bir etkinliğin silinmesine yol açmaz.

data_process_flow

Şekil-3: Veri İşleme Akış Diyagramı

 

Cihaz hesabı bilgileri, DroidWatch hizmeti başlatıldıktan sonra doğrudan Android API üzerinden toplanır.

Data setApp component used
Broadcast
receiver
Content
observe
Alarm
App install/removalx
Browser navigationx
Browser searchx
Calendar eventx
Call logx
Contact listx
Device acconta
Device IDx
GPS locationx
GPS location settingx
MMSxx
Pictre galleryx
Screen lock statsx
SMSxx
Third-party app logx

a Cihaz hesabı bilgileri, DroidWatch hizmeti başlatıldığında doğrudan Android API aracılığıyla toplanır
Tablo-2: Toplanan Veri Seti

Veri Kümeleri

Tablo 2, DroidWatch tarafından toplanan veri setlerini listeler. Bu veri setleri, mevcut içerik sağlayıcıları, iç araştırma için ihtiyaçlar ve erişilebilirlik seviyesine (yani kök gerekmez) bağlı olarak seçildi. Her veri kümesi, derleme aralıklarının ayarlanmasını sağlayan (yani, sistemin koleksiyonlar arasında ne kadar süre beklediğini) uygulama kaynak kodundaki bir varlık dosyası olan droidwatch.properties aracılığıyla yapılandırılabilir. Kuruluşlar, karşılık gelen aralık değerini sıfıra ayarlayarak bir veri kümesinin atlamasını seçebilirler. On beş benzersiz veri setine erişilebilir; İki veri kümesi ve hesap şifresi araştırılmıştır ancak kullanılmamıştır (aşağıda açıklanmıştır). E-posta uygulamasına erişmek için kullanılan mekanizmalar standart Android Yazılım Geliştirme Seti’nin (SDK) parçası değildir (CommonsWare, 2010). Buna ek olarak, e-posta uygulaması, üçüncü parti uygulamaların özel verilere erişmesini yasaklayan bir signatureOrSystem izniyle sınırlandırılmıştır (Android Open Source Project, 2008). Hesap şifreleri benzer korumalarla korunmaktadır; Arama uygulaması, AndroidManifest’te AUTHENTICATE_ACCOUNTS yetkisine izin vermeli ve kullanıcı kimliğini istediğiniz hesaba (Google (N.D.). Hesap Yöneticisi) eşleştirmelidir. Bazı veri setleri, koleksiyonları gerçekleştirmek için birden fazla uygulama bileşeni kullanıyordu. Örneğin, Multimedya Mesaj Servisi (MMS) mesajları, bir yayın alıcısı ve bir alarm kullanılarak algılanır; Kullanılan bileşen mesaj odaklıdır.

Analiz ve Değerlendirme

Bu bölüm, DroidWatch denemesinin sonuçlarını açıklar ve bunları iç araştırmanın yardımcı olabileceği durumlara uygular. Senaryo dosyası deneyleri, mevcut veri kümelerine ve yazarın önceki iş deneyimine dayanır. Tüm sonuçlar tek bir cihazdan ve kullanıcıdan elde edilmiştir. Splunk’ın maliyeti (günlük 500 megabite kadar ücretsiz) nedeniyle bu araştırma için kullanıldığını unutmayın, diğer ürünler benzer işlevleri yerine getirebilir.

Şekil 4, Splunk’ta kaydedilen günlük olayların sayısını, veri seti ile ayrılmış olarak, tek bir gün aralığı boyunca göstermektedir. Örnek, bir cihaz tarafından üretilen 442 gün içeriyor ve kaydedilen nispeten az sayıda olayı vurguluyor. Günlük toplamlar kullanım alışkanlıklarına göre değişir; Ağır biçimde kullanılan bir cihaz, günlük toplamda bir artış görür. Deney sırasında kullanıcı deneyimi veya artan pil tüketimi üzerinde olumsuz bir etkisi yoktur.

Genel Kullanım Eğilimleri

Splunk’teki “Ekran Kilidi Açılmamış” arama, etkin telefon kullanımını gösteren kullanıcı eylemlerinin zaman çizelgesini (örn. PIN kodu, hareket veya parola girdileri) görüntüler. Birkaç güne kadar elde edilen sonuçlar Şekil 2’de görülebilir. Bu veriler belirli bir zamanda telefon etkinliğini belirlemek, maskeli kullanıcıları (ilk atanmış kullanıcı dışındaki kullanıcılar) bulmak veya çalışanlar için kullanım desenleri oluşturmak için kullanılabilir.

Şüpheli Kişiler ve İletişim

Bir kuruluşu riske atan kişilerin veya telefon numaralarının adlarını, arama yaparak veya bunları Splunk tetikleyicilerine (Splunk Enterprise’da bulunur) bulabilirsiniz. Bunlar, bir şirketin telefon defterinin dışındaki numaralar veya kara listeye girmiş insanlar olabilir. Kaydedilen SMS ve MMS içeriği de şüpheli etkinlikler için aranabilir. DroidWatch’te gelen SMS, zaman damgasını ham SMS olarak işleyerek üçüncü parti bir zaman kaynağı olarak da hizmet edebilir. SMS yapısında gömülü olan zaman, telefonun zamanına bağlı değildir (Casey, 2009). Bu verilerin analizi sırasında karşılaşılan bazı sorunlar şunlardı:

detected_screen_unlocks
Şekil-5 :Algılanan ekran kilidi açma aksiyonları (Splunk)

• Birden fazla kişiye gönderilen mesajlar, günlüklerde yalnızca bir alıcı listeledi.

• Gelen SMS’lerde saat dilimleri eksik.

• MMS mesaj metni mevcut değildi.

Bir fotoğraf cihaz kamerasıyla çekilip hemen MMS ile gönderildiğinde, etkinlik koşullara bağlı olarak daha fazla soruşturma yapılmasını gerektirebilir. Şekil 6, 22 Aralık 2012 Cumartesi günü 03.20’de çekilen bir resim günlüğünü gösteren bir aramayı göstermektedir. Kullanıcının ofiste ve yalnız olduğunu tespit edilirse (muhtemelen GPS izleme yoluyla) bir veri sızıntısının olup olmadığını belirlemek için daha fazla analiz gerekli olabilir.


Şekil-4: 24 saatte kaydedilen olaylar

 

Şekil-6: Fotoğraf ve MMS arama sonuçları

Konum izleme

DroidWatch tarafından kaydedilen bilinen son konumlar arasında cihaz kimliği, enlem, boylam ve yakalama süresi bulunur. DroidWatch’ın konumları toplamak için kullandığı yaklaşım pil ömrünü korur ancak kaydedilen yerlerin seyrek kaydedilmesine neden olur. Yedi günlük süre boyunca yalnızca dört yer olduğu bildirildi. GPS sağlayıcı ayarı etkinleştirilmiş olsa da, GPS aktif olarak kullanılmadıkça bilinen en son konumlar bir cihazda saklanmaz (diğer bir deyişle, Google Haritalar uygulaması mevcut konumu görüntülemek için açılır). Ayrıca bir telefonun son bilinen konum değeri, cihazın yeniden başlatılması üzerine silinir ve kaydedilen bir koordinat kümesinin kaydedilmeden önce kaybolmasına neden olur.

Konum sağlayıcı ayarında yapılan değişiklikler izleme için de kullanılabilir. Telefonun fiziksel konum verileri daha güvenilir hale gelirse, bu veriler potansiyel olarak yararlı olur. GPS ayarı manuel olarak kapatıldığında bir cihazın konumunun tanımlanmasına izin verir.

Kaydedilen takvim olayları araştırmacılara da faydalıdır. Bir kullanıcının randevuları için yapılan aramalar, geçmişteki kontrol, gözetim planlaması veya seyahat planlarını belirleme konusunda yardımcı olabilir.

İnternet geçmişi

DroidWatch, yerleşik Android Web tarayıcısı içinde gerçekleştirilen etkinlikleri toplar ve kullanılabilir duruma getirir. Bir İnternet geçmişi etkinliği, alınan eylemi (ör. Göz atma veya arama), arama terimini veya URL’yi, etkinlik saatini ve ilişkilendirilmiş cihaz kimliği içerir. Bu bilgiler, bir şirkette şüpheli tarayıcı kullanımını tanımlamak için kullanılabilir (örneğin, fikri mülkiyetlerin harici web sitelerine yüklenmesi). Tarayıcı aramaları, tespit edilen işlemlerin ardındaki kullanıcının olası niyetlerini daha iyi tahmin edebilmek için ayrıştırılabilir.

Kötü amaçlı uygulamalar

Yüklü uygulamalar için bir denetim, bir cihazın kötü amaçlı yazılım veya diğer endişe uyarıları içerdiğini ortaya çıkarabilir. Bu, dahili bir soruşturma sırasında ek endişeler ve güvenlik önlemleri alınmasını garanti eder. Sağlanan DroidWatch sonuç alanlarına, uygulamanın adı, gerçekleştirilen eylem ve kurulum / kaldırma tarihi dahil. Üçüncü taraf uygulama günlükleri de DroidWatch tarafından toplanır. Birkaç filtreleme mekanizması, günlükleri, yalnızca telefonda yerleşik olmayan uygulamalar tarafından üretilenlere sınırlar. Filtreleme mükemmel olmadığı halde, toplanan uygulama günlüklerinin toplam miktarı, gün başına 337 günlük (10.000’i aşan) daha yönetilebilir bir ortalamaya düşürüldü.

Adli bilişim

İzleyen bölümler, anti-adli bilişim kategorileri, Android antiforensi alanında yapılan önceki çalışmalardan alınmış ve anti-adli olabilecek güvenlik açıkları için DroidWatch uygulamasını değerlendirmek için kullanılıyor. Kanıtları gizleme (Bölüm 4.3.2), kanıt kaynaklarını değiştirme (Bölüm 4.3.3), kanıtları taklit etme (Bölüm 4.3.4) ve adli bilişim araçlarını tespit etme (Kısım 4.3.5) kategorileri kanıtları yok ediyor (Bölüm 4.3.1) (Distefano ve diğerleri, 2010; Azadegan ve diğerleri, 2012). DroidWatch’in mevcut haliyle, kök saldırılarına, uygulamanın kaldırılmasına ve işlem sonlanmalarına karşı tamamen duyarlı olduğunu unutmayın. Kök algılama ve uygulama yükleme politikalarının uygulanması gibi MDM’ler tarafından sunulan dış koruma, DroidWatch’ta veri bütünlüğünü sağlamaya dayanır.

Delilleri yok etme

Yayın alıcıları ve içerik gözlemcileri aracılığıyla toplanan veri setleri, olay ortaya çıktıkça her olayın kopyası DroidWatch’ın özel saklama alanına kaydedildiğinden, kanıt imha yöntemlerine karşı muhtemel değildir. Bununla birlikte, kanıtları kaldırmak mümkün olabileceğinden (örneğin, giden MMS mesajları, üçüncü taraf uygulama günlükleri, takvim etkinlikleri, tarayıcı gezintileri, tarayıcı aramaları ve bilinen en son GPS konumları) alarmlardan alınan veri setleri tahribat taktiklerinden etkilenir. Bir sonraki planlanan koleksiyona başlamadan önce. DroidWatch ile ilgili endişe, uygulamaların yükleme sonrasında özel niyet filtresi öncelikleri için kayıt yapabilmesidir. Maksimum maksat filtre öncelik değeri olan 231-1 kullanan bir uygulama, başka bir uygulama tarafından yayınlanmadan önce yayını engelleme ve bırakma özelliğine sahiptir. DroidWatch, bir araştırma prototibi olarak durumundan dolayı varsayılan intent-filter öncelik değerini kullanır.

Kanıt gizleme

Zamanlanmış alarmlar yoluyla toplanan veri setleri veri gizleme taktiklerinden etkilenenler arasındadır. Son gönderilen birkaç MMS iletisini gizlemek isteyen bir kullanıcı, bunları DroidWatch toplama işleminden yönlendirmek için el ile aktarma yöntemlerini kullanabilir. Yukarıda bahsedilen uygulamalar için özel amaçlı filtre öncelikleri kaydetme özelliği, benzer bir şekilde, uygulamanın yayınların engellenmesi ve yeniden yönlendirilmesi yoluyla verileri gizleyebilmesini sağlar. Örneğin, meşru bir üçüncü parti SMS uygulaması olan GoSMS, gelen SMS mesajlarını aktarmak ve sistem bildirimlerinin çoğaltılmasını ortadan kaldırmak için olası en üst düzey filtre önceliğini kaydetmektedir (Kovacevic, 2011).

Kanıt kaynaklarını değiştirme

Kanıt kaynaklarını değiştirmek, bir veri kümesini bir toplama işlemini engellemek için değiştirmeyi içerir (Distefano ve diğerleri, 2010). Bu, DroidWatch için başka bir endişe alanı. Alarmlar tarafından toplanan veriler duyarlıdır çünkü süreçler, mevcut bir veri setinde belirli değerlere dayanır. Örneğin, yeni giden mesajlar için MMS içerik sağlayıcısı aracılığıyla tarama yapılırken “msg_box” alanı, gönderilen / giden MMS’i temsil eden “2” ile iletinin yönünü belirtir. Bu alanın değeri “5” olarak değiştirilirse, ileti toplama işlemi sırasında yoksayılır.

Taklit kanıtları

Mobil cihazlardaki sahteciliğe dayalı kanıt, araştırmacıların kafasını karıştırmak veya kaçmak için mevcut veri setlerine hayali veri ekleme işlemlerini içerir. DroidWatch koleksiyonları bu açıdan savunmasızdır, çünkü sahte girişleri gerçek olanlardan ayırmak için herhangi bir kontrol gerçekleştirilmez. DroidWatch için bir başka endişe olan hizmet reddi saldırısında kısa sürede büyük miktarda hayali veri eklenmesi. Yeterli veri bir telefona yüklenirse, uygulamanın düzgün çalışması durabilir.

6.7.22. Adli bilişim araçlarının tespit edilmesi

Adli bilişim araçları tarafından gerçekleştirilen adli bilişim araçlarının araştırılmasının doğrudan DroidWatch için geçerli olmadığı tespit edildi (Azadegan et al., 2012). Onlar, Android telefonlarında bazı tanınmış adli bilişim araçlarının ilk bağlantı imzalarını dinlemeye odaklandı. DroidWatch, geleneksel adli bilişim araçlarının aksine izlemeyi gerçekleştirir ve bir cihaza fiziksel olarak erişmek için herhangi bir ilk bağlantı imzası veya gereksinimi yoktur. Bununla birlikte, imza tespit fikri, DroidWatch’ın tarifeli transferlerine uygulanabilir.

AndroidWatch İleri Araştırma

DroidWatch ile ilgili gelecekteki araştırmalar, uygulama ve kurumsal sunucu üzerinde çalışmayı içerir. Yaklaşan bölümler, ek veri setleri toplamak (Bölüm 5.1) ve anti-sabotaj mekanizmalarını uygulamak için önerilen gelişmeleri kapsar (Bölüm 5.2).

DroidWatch’ın gelecekteki iyileştirmelerinin yanı sıra DroidWatch’ın bir MDM çözümü içine entegrasyonu, Android güvenlik topluluğu için çok değerli olacaktır. Mevcut MDM sistemleri, dahili soruşturmalara yardımcı olabilecek kullanıcı izleme özelliklerine sahip değildir. Sağlam politikanın uygulanmasını, uzaktan cihaz yönetimini ve Android cihazlarda kapsamlı bir kullanıcı izlemesi kombinasyonu sağlayan genel kurumsal güvenlik sistemi, Android akıllı telefon dağıtımlarını düşünen hükümet ve endüstri kuruluşları arasındaki güvenlik endişelerini azaltmaya yardımcı olacaktır.

Ek veri setleri

Android adli bilişimi, her yeni işletim sistemi sürümüyle değişen gelişen bir alandır. Yeni veri setleri ve özellikleri ortaya çıktıkça, muhtemel bir izleme sistemine dahil edilmeleri için bunların bir araştırmaya katma değeri değerlendirilmelidir. Gelecekteki DroidWatch içerikleri şunları içerir: USB hata ayıklama ayarları, telefon yeniden başlatma, sesli posta günlükleri ve dumpsys, dumpstate ve dmesg’den ek uygulama ve çekirdek günlükleri.

Koruma önleyici mekanizmalar

Toplanan ve bir telefonda saklanan veriler, kullanıcıların ve uygulamaların müdahale etmesini önlemek için halihazırda Android yerleşik güvenlik modeli (Kısım 2.2) üzerinde çalışıyor. DroidWatch’ı daha sıkı hale getirmek için bazı yetenek önermeleri şunları içerir:

• Veritabanı olaylarının şifrelenmesi (sağlama toplamı ile)

• Yüksek niyetli filtre öncelik değerleri

• Log günlüğünü tutma

• Etkinliğe dayalı koleksiyonlar ve transferler

• Veritabanı karması

DroidWatch, veritabanındaki olayları şifrelemek, kullanıcıların önceden toplanan olayları görüntülemesine veya müdahalesini engellemeye yarayan bir mekanizma. Her olay bir sağlama toplamıyla eşleştirilebilir ve bir ortak anahtar altyapısı kullanılarak şifrelenebilir (kurumsal sunucuda depolanan özel anahtar ile). AndroidManifest’e maksimum niyet filtre öncelik değerlerini kaydetmek, iki uygulamanın aynı öncelik değerine kaydolması durumunda ne olacağını belirlemek için daha fazla araştırmaya ihtiyaç duyulmasına rağmen, uygulamaların sistem yayınlarını engellemesine engel olabilir. DroidWatch veritabanına “canlı tutma” mesajlarının periyodik olarak günlüğe kaydedilmesi servis kesintilerini vurgulamaktadır. Kütükler arasında zamandaki boşluklar varsa kurcalamaya neden olabilir. Olay tabanlı tetikleyiciler, daha rasgele bir aktarım kalıbı sağlayabilir ve zamanlanmış operasyonlara karşı zaman esaslı engeller girişimleri önleyebilir; Bununla birlikte, bu kabiliyetin etkinliği hakkında daha fazla araştırmaya ihtiyaç vardır.

SONUÇ

Fiziksel adli bilişim araçlarındaki artış ve Android akıllı telefonlarının pratik kullanımıyla birlikte, bu makale, yeni araçları mevcut araçlar ile karşılaştırmak isteyen araştırmacılar için ölçütler belirlemiştir. Aynı zamanda, araştırmacıları veya uygulayıcıları, güvenilir ve uygun fiziksel adli araçlar seçerek, fiziksel imajları elde etmek için daha etkili, interaktif ve uygun bir yol sağlar. Oxygen ve Cellebrite UFED gibi ticari adli araçlar, güvenilir, kullanımı kolay, birçok Android sürümünde kullanılabilir ve tüm adli bilişim süreçlerini destekler. Ancak, her Android akıllı telefonda, özellikle de hedef akıllı telefon kilitli olduğunda bunlar geçerli değildir. Dahası, kişisel kullanım için uygun değildir. Açık kaynak araçları ise genellikle kullanıcı dostu değil, sadece imaj edinim aşamasına odaklanır, ve Android akıllı telefonların sınırlı sürümünde kullanılabilir, ancak yine de güvenilirdir. Bir ilgi çekici açık kaynak kodlu adli bilişim aracı da ANDROPHSY, özellikleri ile ticari adli araçlar ile rekabet edebilir. Herhangi bir sürüm Android akıllı telefonun tüm belleğini elde etmek için kullanılmak üzere tasarlanmıştır. Bu mobil cihaz adli yaşam döngüsünü destekleyen ilk açık kaynak araçtır.


Android akıllı telefonların firmware güncelleme protokollerini analiz ederek tüm flash belleği elde etmek mümkündür. Üreticiler tarafından sağlanan firmware güncelleme protokolleri önyükleme yükleyicisindeki açıklıklar kullanılarak bu yapılabilir. Üretici yazılımı güncelleme protokollerinin analitik sonuçlarına dayanarak, bazı flash bellek güncelleme protokollerinde flaş bellek okuma komutlarının yer aldığını ve dolayısıyla fiziksel edinimin gerçekleştirilebilmesi mümkündür. Bu yeni edinme yöntemine dayanarak, 80’in üzerinde en yeni Android modellinin flash belleğinin fiziksel olarak dışarı aktarılmasını destekleyen bir edinme programı geliştirilmiştir. Bu araç mevcut yöntemlerle karşılaştırıldığında, yeni yöntemin tüm flash belleğin bütünlüğünü koruduğu ve yüksek hızla edinimi gerçekleştirildiği kanıtlanmıştır. En güzel yanı; edinip yapılırken bir desen veya kullanıcı parolası ile ekran kilitlemesine bağlı kısıtlamaya takılmaksızın fiziksel edinme yapılabilir.

Kötü yanı her yeni Android akıllı telefonun güncelleme protokolünün analiz edilmesi gerektiğidir. Bununla birlikte, üretici yazılımı güncelleme protokolü tüm Android akıllı telefonların önyükleme yükleyicisinde uygulanır ve diğer taraftan her üretici tüm modellerine aynı üretici yazılımı güncelleme protokolünü uygular. Bu şekilde edinme yöntemi analiz edilerek üreticilerin tüm modelleri için fiziksel edinme gerçekleştirilmesine izin veren yazılım güncelleme protokolü bulunabilir. Bu nedenle, bu alanda sürekli araştırma yapılması gerekmektedir.

Mobil cihaz yönetimi aracılığıyla, Android sistemin kök ayrıcalıkları olmaksızın kurumsal ortamlarda sürekli Android cihazların izlenmesi ve korunması mümkündür. DroidWatch, türünün ilk açık kaynak sistemidir; Ancak, yeteneklerini genişletmek ve geliştirmek için daha fazla geliştirilmesi gerekmektedir. Güvenliği artırmak için anti-sabotaj mekanizmalarının da uygulanması gereklidir. Belirtildiği gibi, toplanan veri setleri çeşitli nedenlerle çeşitli iç tetkik türleri için yararlıdır. Bu araştırma, Android uygulamaları bileşenlerini izleme için önceliklendirmek adına kullanılabilecek, yeni bir geliştirme tasarım stratejisine katkıda bulunmaktadır. Son olarak, bu çalışma, varsayılan Android API aracılığıyla erişilebilen veri kümelerine erişmek için bir rehber işlevi görür.

Son çalışmada ise Android mobil uygulamalarının gizliliğini incelenmiş ve değerlendirilmiştir. Özellikle, açık kaynaklı adli bilişim araçlarını kullanarak Android mobil cihazların uçucu belleğindeki kimlik doğrulama bilgilerinin keşfedilip keşfedilemeyeceğini gösterilmiştir. Sonuçların analizi, incelenen Android uygulamalarının çoğunun uçucu bellekteki kimlik doğrulama bilgilerini kurtarma konusunda savunmasız olduğunu ortaya koydu. Mobil bankacılık uygulamaları gibi güvenlik öncelikli uygulamaların bile savunmasız olduğu kanıtlandı. Dahası, uçucu belleğin yalnızca kimlik doğrulama bilgilerini içermediğini cihazı yeniden başlatıldığında veya pilini çıkartıldığında dahi gözlemlendi. Ayrıca, uygulamanın kimlik doğrulama bilgilerinin tam olarak bir bellek dökümünde nerede bulunduğunu gösteren kalıp ve ifadelerin varlığını kanıtlanmıştır. Son olarak, kullanıcıların çeşitli web sitelerinde ve uygulamalarda aynı şifreyi tekrar kullanma eğiliminde olduklarını göz önüne alarak; tüm geliştiricilerin, uygulamanın kritikliğine bakılmaksızın, doğru ve güvenli programlama teknikleri ve yönergelerini kullanmaları gerektiği sonucuna varılmıştır. Kimlik doğrulama bilgisi keşfini engellemek ve mobil platformlar tarafından sağlanan gizlilik düzeyini arttırmak için, incelenen senaryolardan yararlanılmalıdır.

Referanslar

[1] T. B. Tajuddin and A. A. Manaf, “Forensic investigation and analysis on digital evidence discovery through physical acquisition on smartphone,” in 2015 World Congress on
Internet Security (WorldCIS), Dublin, 2015
[2] L. Cai, J. Sha, and W. Qian, “Study on forensic analysis of physical memory,” in Proc. of 2nd International Symposium on Computer, Communication, Control and Automation
(3CA 2013), 2013.
[3] H. Yang, , J. Zhuge, H. Liu, and W. Liu,”A tool for volatile memory acquisition from Android devices,” in Advances in Digital Forensics XII, New Delhi, Springer International
Publishing, 2016, pp. 365-378.
[4] J. Sylve, A. Case, L. Marziale, and G.G. Richard, “Acquisition and analysis of volatile memory from android devices,” Digital Investigation, vol. 8, no. 3, pp. 175-184, 2012.
[5] I. Kollár, “Forensic RAM dump image analyser,” MCS thesis, Charles Univ., Prague, Czech Republic, 2010.
[6] M. Guido, J. Buttner, and J. Grover, “Rapid differential forensic imaging of mobile devices,” Digital Investigation, vol. 18, pp. S46-S54, 2016.

[7] L. Spector, “USB 3.0 speed: real and imagined,” PCWorld,
2014. [Online]. Available: http://www.pcworld.com/article/2360306/usb-3-0-speedreal-and-imagined.html. Accessed: Oct. 17, 2016.

[8] C. A. Jayasinghe, “Android smart phone contact analyzer”,
MSIS dessirtation, 2015. Android Open Source Project.
[10]Azadegan S, Yu W, Sistani M, Acharya S. Novel anti-forensics approaches for smart phones. In Hawaii International Conference on System Sciences (pp. 5424–5431). Maui, HI: IEEE; 2012, January 4.
[11] Casey E. Top 7 ways investigators catch criminals using mobile device forensics. http://computer-forensics.sans.org/blog/2009/07/01/top-7-ways-investigators-catch-criminals-using-mobile-device-forensics; 2009, July 1.
[12] Citrix. IT organizations embrace bring-your-own devices.

http://www.citrix.com/site/resources/dynamic/additional/Citrix_BYO_Index_report.
pdf; 2011, July 22.
[13] Cohen MI, Bilby D, Caronni G. Distributed forensics and incident response
in the enterprise. In: Digital forensics research workshop 2011. New Orleans, LA: Elsevier; 2011S101–10; August 2011.
[14] CommonsWare. Access Android emails through content provider.
http://stackoverflow.com/questions/3811608/access-androidemails-through-content-provider; 2010, September 28.

D:\Documents And Settings\Downloads\4a4d916c8288dd55f7f55885e3032ccd374a8c6b (1).jpg

Gazi Gelecektir

Android Adli Bilişim – Otomatikleştirilmiş veri toplama ve raporlama

Bu araştırmada, olaya müdahale eden, güvenlik denetçilerini, proaktif güvenlik izleyicilerini ve adli araştırmacıları ilgilendiren birçok veri setini sürekli olarak toplamak üzere Android akıllı telefonlar için kurumsal bir prototip izleme sistemi geliştirilmiştir. Kapsanan birçok veri seti, mevcut diğer kurumsal izleme araçlarında bulunamadı. Prototip sistemi ne kök ayrıcalıklarını ne de doğru işlem için Android mimarisinin çözümlemesini gerektirmez, böylece Android cihazları arasındaki birlikte çalışabilirliği artırır ve sistem için casus yazılım sınıflandırmasını önler. Kurcalamaya karşı savunmasız alanları belirlemek ve daha da güçlendirmek için sistemde bir anti-adli analiz yapıldı. Bu araştırmanın katkıları, türünün ilk açık kaynaklı Android kurumsal izleme çözümü, yükseltilmiş ayrıcalıklar olmadan koleksiyon amaçlı kullanılabilecek veri setlerinin kapsamlı bir rehberinin ve çeşitli Android uygulama bileşenlerini sahada uygulamak için yararlı yeni bir tasarım stratejisinin kullanıma sunulmasını içermektedir.

Android Adli Bilişim - Otomatikleştirilmiş veri toplama ve raporlama (DroidJack)

Dosyayı İndir Android-Adli-Bilişim-Otomatikleştirilmiş-veri-toplama-ve-raporlama.pdf – 697 KB

Andorid Forensic - Automated data collection and reporting (DroidJack)

Dosyayı İndir Andorid-Forensic-Automated-data-collection-and-reporting.pdf – 542 KB

Android akıllı telefonların firmware(bellenim) güncelleme protokollerine dayalı yeni bir edinim yöntemi

Android 6’nın piyasaya sürüldüğü şu zamanlarda pazardaki iOS payı artmış olsa da, akıllı telefon pazarında, Android hakim işletim sistemi olmaya devam ediyor. Piyasaya sürülen çeşitli Android akıllı telefonlar için veri toplama ve analizini gerçekleştiren adli çalışmalar
yürütülmektedir. Bununla birlikte, yeni Android güvenlik teknolojilerinin uygulanması ile
mevcut adli yöntemleri kullanarak veri edinmek daha zor hale gelmektedir. Bu sorunu çözmek için, Android akıllı telefonların firmware (bellenim) güncelleme protokollerini analiz etmeye dayalı yeni bir inceleme yöntemi önermekteyiz. Android akıllı telefonların fiziksel olarak edinilmesi ile önyükleme yükleyicisinde (bootloader) yer alan firmware güncelleme protokolü, tersine mühendislik yapılarak flash bellek okuma işlemi gerçekleştirilebilir (imaj alma).


Deneysel sonuçlarımız, önerilen yöntemin ekran doğrulama kilidi aktif akıllı telefonlarla (USB
hata ayıklama devre dışı bırakılmış [USB Debug] olsa dahi) bütünlük garantisi, edinim hızı ve
fiziksel döküm açısından mevcut adli bilişim yöntemlerine göre daha üstün olduğunu
göstermektedir.

Android akıllı telefonların firmware(bellenim) güncelleme protokollerine dayalı yeni bir edinim yöntemi

Dosyayı İndir Android-akıllı-telefonların-firmwarebellenim-güncelleme-protokollerine-dayalı-yeni-bir-edinim-yöntemi.pdf – 716 KB

New acquisition method based on firmware update protocols for Android smartphones

Dosyayı İndir New-acquisition-method-based-on-firmware-update-protocols-for-Android-smartphones.pdf – 2 MB

 

Mobil Cihazlarda Adli Bilişim İncelemesinin Yapılması (Oxygen Forensic)

Bu makalede mobil aygıtların disk görüntüsünün alınarak, disk görüntüsü üzerinde adli bilişim analizlerinin yapılması konusunda temel bir inceleme gerçekleştirilmiştir. İnceleme için NIST’in derecelendirmesine göre mantıksal seviyede analiz yapan yazılımlardan biri olan Oxygen Forensic adlı yazılım kullanılmış, çalışmanın sonuç kısmında elde edilen verilerin çeşitli örnek adli olaylarda delil olarak nasıl kullanılabileceğine değinilmiştir.

Makaleyi indirmek için tıklayınız.

Diğer yazılarım için tıklayınız.

Açık Kaynak Araçlar Kullanılarak Adli Bilişim

Adli bilişim oldukça zorlu bir alandır. Adli bilişim, adli bilişimin kaideleri açısından olduğu kadar bu sürece yardımcı olan araçlar açısından da önemlidir. Bu makalede adli bilişimde kullanılan açık kaynak kodlu araçlar, iki ticari alternatifi ile avantaj ve dez avantajları yönünden akademik olarak karşılaştırılmıştır. Çalışmanın kapsamı ve gerekliliği iki akademisyen tarafından desteklenen dört kişilik kıdemli öğrencinin oluşturduğu bir ekip tarafından tanımlanarak, açık kaynak yazılımların kullanılması hakkında üç örnek üzerinde durmuş, herbir yazılım aracının (açık kaynak/ticari) performans değerlendirmesi yapılmıştır. Ekip farklı zorluk seviyelerinde aynı sonucların elde edilmesini sağlayan üç ayrı yazılım aracını incelemiştir. Sonuçlar, Açık Kaynak araçların diğer ürünler kullanılarak elde edilen delillerin doğrulanması açısından çok iyi bir başarıma sahip olduğunu göstermiştir.

1. Sunuş
Açık Kaynak Adli Bilişim alanında iyi bilinen uzman bir isim olan Brian Carrier, hali hazırda kullanılan birkaç ticari adli bilişim yazılımının, Açık Kaynak alternatifleri ile bir karşılaştırmasını yayınlamıştır [1]. Carrier’ın Bu yayını SC Magazine’in Eylül 2000 sayısında [2], ve NationalInstitute of Standards and Technology (NIST) ‘nin 2001 tarihli Adli Bilişim Araçları Testi (Computer Forensic Tool Testing [CFTT]) adlı çalışmasında yer almıştır [3,4]. NIST tarafından yayınlanan en son çalışma, güncellenmiş bir sınama testi ile sayısal veri toplama araçları için bir uygunluk kriteri metodolojisinin oluşturulması için katkı sağlamıştır [5]. Diğer taraftan, NIST’in daha önce analiz araçlarını sınamak için geliştirdiği bir metodoloji yer almamaktadır. Proje ekibi Sleuth Kit ve Atuopsy gibi açık kaynak alternatifler ile hali hazırda kullanılan EnCase ve FTK gibi ticari ürünlerin incelemesini gerçekleştirmiştir. Proje ekibi bu üç aracı kullanım kolaylığı, sağlamlığı, güvenilirliği ve doğrulanabilirliği açılarından incelemiştir. Ekip üç aracın göreceli başarımını ölçmek için aynı disk görüntüsünün kullanıldığı üç örnek çalışma yapmıştır. FTK Imager ile elde edilen disk görüntüsü ve sonuçlar üç araç arasında da karşılaştırılmıştır. İşletim sistemi kayıt veritabanı dosyaları (Registry)’nın yanında, disk görüntüsündeki diğer dosyalar da analiz edilmiştir. Parola korumalı çalışma sayfaları (Excel Worksheet) ve çalışma kitapları (Excel Workbook) içeren bir disk görüntüsü oluşturulmuştur. Şüpheli disk görüntüsüne ait ana dizine fotoğraf dosyaları, “Program Files” klasörü ve “Documents and Settings” de klasörü dahil edilmiştir. Çalıştırılabilir dosyalar, analiz sırasında dosya uzantısı uyuşmazlığını tetiklemek için bir metin dosyası uzantısı ile (.txt) değiştirilerek yeniden adlandırılmıştır. Tracks Eraser Pro gibi şüpheli bir program ile içeriği bozulmuş (shredded) bir çok dosya da eklenmiştir. Geri dönüşüm kutusu (Recycle Bin) boşaltıldıktan sonra dosya içerikleri bozulmuştur. Sistemde iki e-posta hesabı oluşturulduktan sonra parolanın hatırlansın seçeneği aktifleştirilerek oturum açılmış ve parolanın sisteme kaydedilmesi sağlanmıştır. Sonuçların tüm araçların aynı bilgileri tespit etmesi açısından inandırıcılığını yansıtması amaçlanmıştır. Sonuçlar ile araçların elde ettiği aynı bilgilerin çeşitli zorluk derecelerindeki inandırıcılık değerileri ortaya koyulmuştur. Örneğin, Autopsy ile SAM veritabanı ayrıştırılırken RegViewer’a, çerezler (Cookies) ve URL adres bilgilerini görüntülemek için ilgili Registry (işletim sistemi kayıt veritabanı) anahtarları içe aktarılmıştır. Oluşturulan disk görüntüsü üç üründe de incelenmiştir. Sleuth Kit ve EnCase yazılımları disk görüntüsünü kısmen makul bir sürede içe aktarmıştır. Diğer taraftan FTK ile tercih edilen seçeneklere bağlı olarak uzun bir içe aktarma süresi geçmiştir. Her üç ürün de MD5 sağlama değerini (Hash) sunmakla beraber SHA1 sağlama değeri sadece Sleuth Kit ve FTK tarafından sunulmaktadır. Sleuth Kit ve FTK incelemeyi yapan adli bilişim uzmanının tüm işlemlerini kayıt altına alırken, EnCase bunu yapmamaktadır. Proje ekibi tarafından, FTK’nın etkili analizler için sezgisel bir grafik kullanıcı arayüzüne (GUI) sahip olduğu EnCase’in ise inceleyicinin daha fazla zamanını alan bir arayüze sahip olduğu tespit edilmiştir. Sleuth Kit içinde kullanılan Autopsy Gezgini (Browser), sadece Windows’a aşina olan ekip üyeleri tarafından kullanılmıştır. Disk bölümü üzerindeki arama, hızlı ve verimli bir şekilde gerçekleştirilebilmelidir.

EnCase’in arama özellikleri diğer iki alternatifi ile karşılaştırıldığında çok daha güçlüdür fakat tüm özelliklerinin kullanılması inceleyicinin daha fazla zamanını almaktadır. EnCase ileri düzey katar (String) ifadeleri, EnCase Scripts (EnCase Betikleri) ve EGREP ile gelişmiş arama özelleştirmeleri yapılmasına izin vermektedir. Bu anlamda proje ekibi bu üç ürünün akademik olarak incelenmesine karar vermiştir

Açık-Kaynak-Araçlar-ile-Adli-Bilişim-Düzenleme-3.pdf

Dosyayı İndir Açık-Kaynak-Araçlar-ile-Adli-Bilişim-Düzenleme-3.pdf – 781 KB

Diğer makalelerim için tıklayın.