Dijital Adli Bilişim (Digital Forensics)

1. Giriş

Siber saldırılar gerçekleştikten sonra en kritik aşamalardan biri, olayın nasıl gerçekleştiğini anlamaktır. Dijital adli bilişim (digital forensics), saldırı sonrası sistemlerdeki izleri inceleyerek delil toplama, analiz etme ve raporlama sürecidir. Bu alan, hem siber güvenlik hem de hukuki süreçler açısından büyük önem taşır.

---

2. Dijital Adli Bilişim Nedir?

Dijital ortamlarda (bilgisayarlar, diskler, ağlar, mobil cihazlar) bulunan verilerin bozulmadan incelenmesi ve delil niteliği taşıyacak şekilde analiz edilmesi sürecidir.

Amaçlar:

• Saldırının nasıl gerçekleştiğini belirlemek

• Saldırganın izlerini tespit etmek

• Delil toplamak

• Hukuki süreçlere destek sağlamak

---

3. Adli Bilişim İlkeleri

3.1 Veri Bütünlüğü (Integrity)

Toplanan veriler kesinlikle değiştirilmemelidir.

3.2 Zincirleme Delil (Chain of Custody)

Delilin kim tarafından, ne zaman, nasıl alındığı kayıt altına alınır.

3.3 Tekrarlanabilirlik

Aynı analiz başka biri tarafından yapıldığında aynı sonuç elde edilmelidir.

---

4. Adli Bilişim Türleri

4.1 Disk (Disk Forensics)

• Silinmiş dosyaların kurtarılması

• Dosya sistemlerinin analizi (NTFS, EXT4)

4.2 Bellek (Memory Forensics)

• RAM analizi

• Çalışan süreçlerin incelenmesi

• Şifre ve anahtarların tespiti

4.3 Ağ Adli Bilişimi (Network Forensics)

• Paket analizi

• Trafik inceleme

• Saldırı akışının belirlenmesi

4.4 Mobil Adli Bilişim

• Telefon verileri

• Uygulama kayıtları

• Mesajlaşma verileri

---

5. Disk İmajı Alma (Forensic Imaging)

Adli analizde ilk adım, sistemin birebir kopyasını almaktır.

Özellikler:

• Bit-by-bit kopyalama

• Orijinal veri korunur

• Analiz kopya üzerinde yapılır

Örnek:

dd if=/dev/sda of=image.dd bs=4M

---

6. Hash Kullanımı

Hash değerleri veri bütünlüğünü doğrulamak için kullanılır.

Örnek:

sha256sum image.dd

İmaj alındıktan sonra hash alınır ve değişmediği doğrulanır.

---

7. Dosya Sistemi Analizi

İncelenen noktalar:

• Silinmiş dosyalar

• Gizli dosyalar

• Zaman damgaları (timestamps)

MAC Times:

• Modified

• Accessed

• Created

Bu bilgiler olay zaman çizelgesi oluşturmak için kullanılır.

---

8. Bellek (RAM) Analizi

RAM, saldırgan aktivitelerinin en net görüldüğü yerdir.

Analiz edilenler:

• Running processes

• Network connections

• Injected code

Araç:

• Volatility

---

9. Timeline (Zaman Çizelgesi) Oluşturma

Tüm olaylar kronolojik sıraya dizilir.

Amaç:

• Saldırı başlangıcı

• Yetki yükseltme

• Veri sızdırma zamanı

---

10. Artefact Analizi

Artefact = sistemde bırakılan izler

Örnek artefact’lar:

• Browser geçmişi

• Registry kayıtları

• Log dosyaları

• Prefetch dosyaları

---

11. Anti-Forensics Teknikleri

Saldırganlar izlerini gizlemek ister.

Teknikler:

• Log silme

• Time stomping

• Rootkit kullanımı

• Şifreleme

---

12. Incident Sonrası Analiz

Sorulması gereken sorular:

• Nasıl giriş yapıldı?

• Hangi açık kullanıldı?

• Hangi sistemler etkilendi?

• Veri sızdırıldı mı?

---

13. Raporlama

Adli rapor şu bölümleri içerir:

• Olay özeti

• Kullanılan yöntemler

• Bulgular

• Teknik analiz

• Sonuç ve öneriler

---

14. Kullanılan Araçlar

• Autopsy

• FTK (Forensic Toolkit)

• EnCase

• Volatility

• Wireshark

---

15. Gerçek Senaryo

1. Sistem ele geçirilir

2. Loglar silinir

3. Disk imajı alınır

4. RAM dump incelenir

5. Silinmiş dosyalar kurtarılır

6. Timeline oluşturulur

7. Saldırganın yöntemi ortaya çıkarılır

---

16. Sonuç

Dijital adli bilişim, siber saldırıların arka planını ortaya çıkaran kritik bir disiplindir. Sadece saldırıyı tespit etmek değil, aynı zamanda kanıtlamak için gereklidir. Bu alan, teknik bilgi ile birlikte dikkat, sabır ve metodolojik yaklaşım gerektirir.