Bilgi Güvenliği Bakış Açısı ile Elektronik Kanıtlar

0
191
views
Söz konusu bilişim suçları olduğunda, bilgi güvenliği uzmanlarının anlaması gereken önemli yasal kavramlardan biri elektronik delillerdir. Bu yazıda elektronik kanıtlar (dijital deliller) bilgi güvenliği bakış açısı ile incelenecektir.

Delil/kanıt, bir gerçeği kanıtlayan somut bir varlıktır. Elektronik / dijital delil ise elektronik formdaki deyimine denir. Elektronik deliller aşağıdaki formlarda olabilir.

  • Medya
  • Bilgi (information)
  • Transaction

 

Elektronik deliller birçok kaynaktan elde edilebilir. Bu kaynaklar aşağıdaki gibi sıralanabilir:

  • Bilgisayarlar
  • Akıllı telefonlar
  • Giyilebilir cihazlar
  • Yazıcılar
  • Router
  • Ağ trafiği

 

A) Kanıtların Karakteristik Özellikleri

Bir delilin hukuki olarak geçerli olabilmesi için aşağıdaki özellikleri sağlaması ve delilin toplaması sırasında da bu özelliklerin bozulmaması gerekir:

  • Özgün (Authentic)
  • Eksiksiz / Tam (Accurate)
  • Doğru (Complete)
  • İkna/Tatmin edici (Convincing)
  • Makul / Kabul edilebilir (Admissible)
  • Amacına / Konuya uygun / Suç ile ilişkili (Relevant)
  • Yasal olarak elde edilmiş (Legally Permissable)

 

B) Dijital Kanıt Toplama İçin En İyi Uygulamalar

SWGDE (Scientific Working Group on Digital Evidence) prensiplerine göre sayısal delil toplama için 6 temel prensip vardır.

  • Genel adli bilişim (forensics) prensipleri uygulanmış olmalıdır. Örneğin,
    • Bazı dijital delillerin ömürleri kısa süreli olabileceği için uçuculuğa göre araştırma yapılmalıdır. Bu sebeple, kanıt toplama sürecine/kurallarına uyulacak şekilde, ömrü en kısa olan delilden başlanacak şekilde, işin ehli/uzmanlar tarafından elde edilmelidir.
  • Üzerinde çalışılan delil bozulmamalıdır. Orjinal delil olası değişikliklere karşı korunarak birebir kopya/ları oluşturularak üzerinde çalışılmalıdır. Örneğin,
    • Bir dosya açıldığında içeriği değişmese bile, dosyaya son erişim tarihinin değişeceği unutulmamalıdır.
  • Çalışmayı yapan kişi(ler) alanında uzman olmalıdır. Yani ilgili bilgi güvenliği/adli bilişim uzman(lar)ı, temel elektronik delil toplama kurallarını anlamış olmalıdır.
  • Yapılan tüm çalışmalar (elektronik delili tanımlama, toplama, erişim, transfer ve koruma gibi) dokümante edilmeli (documented), korunmalı (preserved) ve gözden geçirmeye (preview) uygun olmalıdır.
  • Yapılan tüm çalışmalar için bir muhatap / sorumlu kişi olmalıdır.
  • Yapılan tüm çalışmalar için bir muhatap / sorumlu firma /ajans / kurum olmalıdır.

 

C) Bir Delilin Yaşam Döngüsü

Bir adli olayda delilin toplanmasından kararın verilmesine kadar geçen süreçte delilin de bir yaşam döngüsü vardır. Bu döngü temel olarak 4 aşamadan oluşur.

  • Delillerin toplanması
  • Delillerin saklanması, korunması ve taşınması
  • Delillerin mahkemede sunulması
  • Delillerin teslimi

 

Bu süreçlerin tamamının (özellikle ilk iki adımın) dokümante edilmesi oldukça önemlidir.

 

D) Kanıt Kategorileri

Literatürde deliller aşağıdaki kategorilerde nitelendirilmektedirler:

D.1) Gerçek Kanıt (Real Evidence)

Gerçek kanıt, somut veya fiziksel nesnelerden oluşması ile ilk ve en temel kanıt kategorisidir. Örneğin; geleneksel davalarda suça konu olan bıçak, eldiven,… gerçek kanıtlardandır. Bilişim suçlarında, gerçek kanıtlar genellikle sabit sürücüler, DVD’ler, USB depolama aygıtları veya basılı iş kayıtları gibi fiziksel nesnelerden oluşur.

D.2) Doğrudan Kanıt (Direct Evidence)

Doğrudan delil, bir tanığın beş duyusu (görme, tatma, duyma, dokunma, koklama) ile gerçekte neler yaşandığına ilişkin ifadesidir. Tanıklar, başka bir kişi aracılığıyla dolaylı olarak bilgi edinmek yerine (kulaktan dolma (Hearsay) değildir), doğrudan tanıklık ettiklerini deneyimlemiş olmalıdır.

D.3) İkinci Dereceden Kanıt (Circumstantial Evidence)

Bu kapsamdaki kanıtlar, suça konu belirli hususlara veya diğer kanıtlarla ilgili koşulların oluşturulmasına hizmet eden kanıtlardır. Diğer kanıt türleriyle ilgili varsayımların yapılmasına izin veren koşullara ait ayrıntıları sağlayıp, dolaylı kanıtları sunar ve genellikle bir vakada tek başına kanıt olarak kullanılamaz. Örneğin, bir kişi doğrudan davalının kötü amaçlı yazılım oluşturup dağıttığına tanıklık ederse, bu doğrudan kanıt oluşturur. Sanığın bilgisayarının adli soruşturma sonucunda, kötü amaçlı yazılıma ait kaynak kodun varlığı ortaya çıkması durumu da bu kategorideki ikinci dereceden kanıta işaret eder.

D.4) Doğrulayıcı Kanıt (Corroborative Evidence)

Bir davanın belirli bir olgusunu veya unsurunu güçlendirmek için doğrulayıcı kanıtlara ihtiyaç olabilir. Bu kanıt, kendi başına belirli bir gerçek oluşturmaz, aksine diğer gerçekler için ek destek sağlar.

D.5) Söylenti / İkinci El Kanıt (Hearsay)

Birinin beş duyusu ile tanık olduğu doğrudan kanıtların aksine, kulaktan dolma ile dolaylı olan kanıtlara denir. Bu kategorideki kanıtlar normalde mahkemede kabul edilemez olarak değerlendirilir. Örneğin, Amerika Birleşik Devletleri Federal Kanıt Kuralları (Federal Rule of Evidence) bu kategorideki kanıtların genel olarak kabul edilemezliğine istisnalar getirmektedir. Geçmişte (Rule 802 gibi), iş faaliyeti veya bilgisayar sistemi tarafından oluşturulan kayıtlar (loglar) genellikle kulaktan dolma (hearsay) kanıt olarak kabul edilmekteydi. Ancak mevcut teknolojik gelişmelerden sonra bazı kanun ve kanıt kurallarında yapılan güncellemeler (Rule 803 / 804 / 1001 gibi) ile ticari kayıtların genel kuralında ve bilgisayar sistemleri tarafından oluşturulan veri ve loglar için istisnalar oluşturulmuştur.

D.6) En İyi Kanıt (Best Evidence)

Mahkemeler mümkün olan en iyi kanıtları tercih etmektedir. Orijinal belgeler kopyalara göre tercih edilir, sözlü tanıklığa göre kesin somut nesneler tercih edilir. İmzalı kontratlar, noter onaylı belgeler en iyi kanır niteliğindedir. Çoğu zaman elektronik kanıtlar kopyalarının alınabilmesi sebebi ile (orijinal olamayabileceği için) bu kategoride sayılmaz. Bunun yanında sunulan kopyanın, orijinal kanıtın kopyası olduğu bilirkişi tarafından kanıtlanması durumunda, bu kopyalar da mahkemeler tarafından en iyi kanıt kategorisinde sınıflandırılabilir.

D.7) İkincil Kanıt (Secondary Evidence)

Bilgisayar suçları ve olaylarında en iyi kanıt (best evidence) her zaman elde edilemeyebilir. İkincil kanıt, bilgisayarları içeren vakalarda yaygın olan bir kanıt sınıfıdır. İkincil kanıtlar, orijinal belgelerin ve sözlü açıklamaların kopyalarından oluşur. Bilgisayar tarafından oluşturulan log kayıtları ve belgeler de ikincil kayıtlardandır. Bununla birlikte, ABD Federal Kanıt Kuralları’na göre (Federal Rules of Evidence – 1001. Rule), bir bilgisayardaki verilerin okunabilir raporları ikincil değil, orijinal kanıt olarak tanımlanmıştır.

 

E) Kanıt Bütünlüğü

Bilişim suçlarının adli ve olay müdahale araştırmaları yapılırken, elektronik verilerin elde edilmesi ve analizi sırasında bütünlüğünün korunması önemlidir. Özetleme algoritmaları (hashing), tek yönlü bütünlük sağlama işlevleri bu amaç için yaygın olarak kullanılır ve kanıtların güvenilir (reliable) olmasını sağlar. Özetleme algoritması tüm diski veya görüntüyü (her bir bit) işler ve sonucunda özet sağlama toplamının (checksum) çıktısı elde edilir. Analiz tamamlandıktan sonra tüm diskin tekrar özet değeri elde edilir. Diskin veya görüntünün bir biti bile değiştiyse, sonuçta ortaya çıkan özet değeri ilk alınandan farklı olacaktır. Özetleme algoritmaları ile ilgili detaylı bilgi için kaynaklardaki Siberportal yazısı incelenebilir.

 

F) Gözetim / Emanet Zinciri (Chain of Custody)

Kanıt toplarken ve etiketlerken çok katı ve organize bir prosedür takip edilmelidir. Özet ve checksum değerlerinin kullanımına ek olarak, kanıtların güvenilirliği (reliability) için gözetim zinciri belgeleri oluşturulması ve korunması önem arz etmektedir. Gözetim zinciri, kanıt elde edildikten sonra tüm süreçlerinin tam olarak belgelendirilmesini gerektirir. Bu belge formal yazılmış olmalı ve olabildiğince açık / özet (ve yeterli) bilgi içermelidir.
Söz konusu kanıtların güvenilirliğini sorgulamak için ilgili kanıtın ele alınması (handle) ile ilgili 4 temel soruya cevap aranır.

  • Kiminle (Who handled it?)
  • Ne ile (What did they handle it?)
  • Ne zaman (When did they do with it?)
  • Nerede (Where did they handle it?)

 

Gözetim zinciri formundaki imzalar, imzalayanların bu formda belirtilen rolleri hakkındaki bilgilerin doğruluğunu kanıtlar.

Bu zincir, delillerin toplanması (collecting), analiz edilmesi (analyze), taşınması (transportation) ve korunması (preserve) aşamalarının kayıt altına alınmasındaki süreci belirtir. Bu zincire göre; A kişisi, B kişisine dijital kanıt özelliğindeki bir diski verirse; A kişisi, bu durumu not eder. B kişisi, C kişisine aynı dijital kanıtı verirse; A kişisi, bu durumu da not etmelidir.

 

Elektronik kanıtlar kolayca değiştirilebildiğinden, açıkça tanımlanmış bir gözetim zinciri kanıtların güvenilir olduğunu göstermektedir.

Not: Disk sürücüleri gibi küçük öğelerin saklanması için de kanıt çantaları kullanılabilir.

 

G) Arama İzni ve Kanıtın Geçerliliği

ABD yasalarına göre bir kanıt hukuksuz olarak elde edilmişse, mahkeme tarafından geçersiz sayılır. Örneğin bir hukuki arama emri olmadan yapılan aramalarda, elde edilen kanıtlar geçersizdir. Bunun yanında genel kontrollerde yapılan aramalarda tespit edilen kanıtlar ise yasaldır. Buna ek olarak, hayat kaybına sebep olabilecek veya kanıtın imhasına sebebiyet verilebileceği (bilişim suçları gibi) gibi zorlu koşullarda elde edilen kanıtın güvenilirliği ise hâkim kararına bırakılmıştır.

Çalışanını ilgilendiren ve kolluk kuvvetleri tarafından veya onun adına yürütülen soruşturmalarda, kurumların / firmaların soruşturmalara yardımcı olması da gereklidir.

 

I) Genel Notlar

  • Adli bilişimde bir kanıtın nasıl elde edildiği ve ele alındığı kanıt güvenilirliği için en önemli iki unsurdur.
  • Bir bilişim suçunun açığa çıkması neticesinde, incelemede bazı delil türlerinin diğerlerinden daha baskın olması fark oluşturmaz.
  • Delilin, bir vakanın gerçeklerini kanıtlayıp kanıtlamadığına veya çürüttüğüne bakmaksızın, suça konu tüm deliller sunulmaya çalışılmalı ve delil toplama kıstaslarına uygun olarak süreç işletilmelidir.
  • Mahkeme tarafından kanıtın kabul edilmesi için ne kanıtın bütünlüğünü sağlayan checksum değeri ne de gözetim raporu gereklidir. Bu belgeler, elektronik kanıtların güvenilirliğini (reliability) desteklemek için kullanılır.
  • Ceza muhakemesinde kullanılan klasik deliller gözle görülebilir nitelikte, üzerinde el koyma ve muhafaza altına alma kararları verilerek kolayca elde edilebilir deliller iken, bilişim suçlarında söz konusu olan elektronik deliller, klasik delillerden farklı olarak soyut bir yapıya sahiptirler. Şüphesiz ki, elektronik delillerin içerisinde yer aldığı somut bir donanım aygıtı bulunmakta ise de ceza yargılaması bakımından esas delil teşkil edenler bu donanım aygıtının kendisi değil, içerisinde yer alan dijital nitelikteki delillerdir.

 

Kaynaklar:

https://thorteaches.com/cissp-certification-evidence-for-legal-and-regulatory-issues/
https://www.cram.com/flashcards/cissp-evidence-3347401
(My) CISSP Notes – Legal, regulations , investigations and compliance

CISSP CBK 9 – Law, Investigations & Ethics

Özetleme Algoritmaları ve Kullanım Alanları




https://www.pluralsight.com/courses/investigations-incident-management

 

 

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

This site uses Akismet to reduce spam. Learn how your comment data is processed.