Adli bilişim incelemesi; tanımlama, inceleme, analiz ve raporlama süreçlerinde delillerin kopyaları aracılığıyla gerçekleştirilir. Cihazlar üzerindeki verileri birebir kopyalayarak delillerin bozulmaması ve verilerin laboratuvar ortamında sağlıklı olarak incelenebilmesi için farklı programlar ve araçlar kullanılır. Bu alanda yaygın olarak faydalanılan ücretli ve ücretsiz yazılımlardan bazılarını bir rehber oluşturması amacıyla listeledim.
Açık ve kapalı kaynak kodlu yazılımların birbirleri üzerinde yetkin olduğu bazı noktalar olsa da kullanılacak olan araçların seçimi, gün sonunda iş üzerinde ulaşılmak istenen sonuca göre farklıklar göstermektedir. İnternet üzerinde de sıkça tartışıldığı üzere imaj alma sürelerini karşılaştırarak yazılımların iyi ya da kötü olduğu kararı verilemez. Bu nedenle yazılımların yetkinlikleri, kararlılıkları ve platform bağımlılıkları göz önünde bulundurularak işe göre tercih yapabilirsiniz. Sürekli olarak gelişen ve güncellenen teknoloji karşısında aşırı marka sevicilik ve tek bir programa bağlı kalmak adli bilişim uzmanları tarafından sahip olunmaması gereken bir özelliktir.
FTK Imager – AccessData
Tüm dünyada kullanılan popüler bir yazılım olan FTK Imager, sadece okunabilir bir şekilde delilleri kopyalayarak analiz yapılmasına imkan sağlıyor. Erişilen içeriklerin birçok veri doğrulama türünde (MD5 veya SHA hash) sonucunu oluşturabilmektedir. Veri kurtarma özelliğine sahip değil fakat üzerine veri yazılmamış bloklardan silinmiş içeriklerin bir kısmını gösterebiliyor. Windows ve Linux üzerinde çalıştırılabilen araç kurulumsuz (portable) çalışan bir FTK Imager Lite sürümüne sahiptir. E-mail analizi, dosya şifreleme, file carving, web ve veri görüntüleme gibi öne çıkan özellikleri bulunmaktadır. Siber suçları incelemek için kullanılan diğer Forensic Toolkit ürünlerini detaylı olarak görüntülemek için accessdata.com adresini ziyaret etmenizi öneriyorum.
Guymager
Açık kaynak kodludur ve Linux üzerinde çalışır. Erişilebilen içeriklerin E01 (Expert Witness Format) formatında kopyalarının alınmasına yardımcı olur. Ücretsiz ve hızlı olması geniş kitleler tarafından kullanılmasına yol açmıştır. Farklı analiz araçlarının keşif formatlarına uygun şekilde çıktılar sağlaması ve dış ortam ile bağımsız Linux dağıtımlarında çalışabiliyor olması Guymager yazılımını tercih edilir hale getirmiştir. Anlık veri doğrulama ve hashing özelliğine sahiptir. İnceleme aşamasındayken medya ortamları ile alakalı hızlı ve geniş bilgiler sunar.
EnCase
ABD menşeli forensic yazılımı EnCase, uluslararası mahkemelerde kritik bilişim suçlarının sonuca ulaşmasında kullanılmasıyla birlikte tüm dünya tarafından akredite olarak kabul edilmektedir. Sadece bu işi yapmak için tasarlanmamış olmasına rağmen mobil cihazlarda ve işletim sistemlerinde (Apple iOS ve Google Android) ek araçlara ihtiyaç duymaksızın derinlemesine keşif imkanı sunar. Kendi içerisinde EnScript olarak adlandırılan ve tekrarlayan operasyonları otomatize etmeye yarayan macrolar kodlayarak adli tanımlama sonrasında giriş seviyesindeki süreçleri fazlasıyla hızlandırabilirsiniz.
The Sleuth Kit – Autopsy
Farklı işletim sistemleri üzerinde çalıştırılabilen ve TSK olarak kısaltılan yazılım, açık kaynak kodludur. Sabit diskleri ve akıllı telefonları analiz etmek için geliştirilmiştir. Yönelimler ve iş alanlarına göre kişiselleştirilebilir bir yapı sunar. Analiz edebileceği formatlar geniştir. (RAW, DD, EWT, AFF dosya sistemi ve disk görüntüleri.) The Sleuth Kit, komut satırı ve terminal üzerinden işlemlerini gerçekleştirir. Autospy ise TSK’nın görselleştirilmiş hali, GUI tabanlı özel modül oluşturucudur. Bağımsız geliştiriciler tarafından kodlanmıştır ve ücretsizdir.
DEFT Linux
Açılımı Digital Evidence & Forensics Toolkit olan tak çalıştır işletim sistemi DEFT, siber istihbarat ve ağ incelemesi yapmak için belli başlı açık kaynak kodlu araçları içerisinde barındıran bir Linux dağıtımıdır. Veri doğrulama, zararlı analizi yapma, ağ trafiğini inceleme ve raporlama gibi konularda kullanılan İtalya menşeli hafif ve ücretsiz bir yazılımdır. Yeni araçların eklenmesi ve özelliklerinin geliştirilmesi noktasında bir hayli aktiftir.
CAINE
Küçük bir İtalyan ekip ile kodlanan, kullanıcı dostu olma ve anlaşılabilirlik gibi geliştirme metalarına sahip CAINE bir tak çalıştır Linux dağıtımıdır. (Bakınız: Linux Live Distro) Diğer tak çalıştır forensic araçlarına göre daha hızlı ve kullanıcıyı yönlendiren bir yapıya sahiptir. Adli bilişim incelemesine yeni başlayacak uzman adayları için yazılım, açık kaynak kodlu araçları kurcalamak ve anlamak adına giriş seviyesi bir rehber olabilir. FTK Imager Lite, Hex Editor, QuickHash gibi popüler bazı araçlar içerisinde hazır olarak gelmektedir.
Wireshark
Kurulu bilgisayar üzerindeki ağ trafiğini incelenebilir şekilde görselleştirebilen, bağlı olan ağ kartlarına gelen ve giden tüm paketleri analiz edebilen bir yazılım. Zararlı analizi yapmak ya da simüle edilen sistemler üzerindeki trafiği değerlendirmek için yaygın olarak kullanılmaktadır. Gelişmiş filtreleme sistemi ve mantıksal operatörler vasıtasıyla ağ trafiği üzerinde aramalar yapabilir, kurallar oluşturarak incelemeler gerçekleştirebilirsiniz.
Nmap
Ücretsiz bir network mapper yani ağ haritalayıcısı, ağ eşleyicisidir. Port tarama, sistem keşfi ve güvenlik duvarı testlerinde kullanıldığı gibi eş zamanlı yürütülen bilişim suçlarının tespitinde de kullanılabilmektedir. Özgür bir yapıya sahip olup neredeyse günümüzdeki bütün işletim sistemlerinde çalışmaktadır. Sızma testi (penetrasyon test) için kullanılan, BackTrack yapımcıları tarafından oluşturulmuş Kali Linux dağıtımında kurulu olarak gelmektedir.
Bu yazı içinde değindiğim yazılımlar sektörde aktif olarak kullanılan ve dünya çapında karşılıkları bulunan araçlardır. Liste detaylandırmak istenildiğinde uzayıp gider lakin adli bilişim incelemesi yapmak isteyen ya da bu mesleğe aday kişiler için ücretli ve ücretsiz program arayışı noktasında bir ışık oluşturacaktır. Computer Forensics ile alakalı özet bir bilgilendirme için Adli Bilişim Nedir? başlıklı yazımı okuyabilirsiniz.
Cellebrite reader unutmuşsunuz.