Adli Bilişim nedir? Adli Bilişim İnceleme Süreci ve Yöntemleri nelerdir?
Adli Bilişim nedir? Adli Bilişim İnceleme Süreci ve Yöntemleri nelerdir?
Adli bilişim, İngilizce adıyla ”Computer Forensics”, Forensic kelimesi “mahkemeyle ilgili, adli” anlamına gelmektedir. Forensic Medicine, Adli Tıp demektir. Adli Bilişim ülkemizde genellikle “Computer Forensics” kelimesinin çevrilmiş bir anlamıdır.
Adli bilişim, bilişim sistemleri üzerinden genellikle veri olarak elde edilen delillerin toplanması, saklanması,derlenmesi ve analizi konusunda ilke ve standartlar oluşturan özverili ve disiplinli yapıda yeni bir bilim dalıdır
Teknik Olarak Adli Bilişim anlamı, elektromanyetik ve elektro optik ortamlarda muhafaza edilen veya bu ortamlarca iletilen ses, görüntü, veri, bilgi veya bunların birleşiminden oluşan her türlü bilişim nesnesinin, mahkemede sayısal delil niteliği taşıyacak şekilde tanımlanması, elde edilmesi, saklanması, incelenmesi ve mahkemeye sunulması çalışmaları bütünüdür.
Adli Bilişim Nedir
Adli Bilişim (Computer forensic), çok geniş bir alan olup her konuda uzman olmak (bilgi sahibi olmak değil)günümüz koşullarında çok talep edilen fakat pratik olarak pek de mümkün olmayan bir durumdur.
Adli Bilişim nedir? mahkemeye intikal etmiş bir olayla ilgili olarak, olayda ele geçirilmiş ve el konulmuş olan bilişim cihazlarının incelenmesi isteğiyle ilgili olarak bu cihazlara yönelik kriminalistik prensiplerin uygulanmasıdır. Burda söz konusu bilişim cihazlarının veri depolama özelliği olduğunu düşünerek bunlara da “sayısal delil” diyelim. Sayısal delili ise ise bilgilerin sayısal olarak saklandığı veya iletildiği, ispat kuvveti olan bilgi olarak tanımlayalım.
Sayısal delil, kısaca el konulan sabit disk, CD, DVD, disket, usb disk, flash disk, cep telefonu, dijital kamera, fotoğraf makinesi,PDA, GPS,Pocket PC vs gibi üzerinde veri depolama özelliği olan cihazlarda bulunma potansiyeli olan bilgidir.
Adli Bilişim konularında kanun maddeleri ve hükümleri Türk Ceza Kanunu içinde yer almaktadır.Adli Bilişim İncelemeleri, adı üzerinde adli bir işlem olduğundan ve sonucunda bir rapor mahkemeye sunulacağından incelemeler hukuk mevzuatına uygun yapılmalıdır.
Ülkemizde çok az sayıda Adli Bilişim Uzmanı vardır. Adli Bilişim ile ilgili bir olayda, “Mahkeme kararıyla” el konulan bir bilgisayarda yada herhangi bir suç delili sayılacak elektronik cihazların“savcılık” nelerin araştırılacağını bildirecek ve inceleme bu hususlara göre yapılacaktır. Sonuçta inceleme yapılan bilgisayar v.b artık bir delildir. Dolayısıyla burada mevzuat bilgisi hukuk maddeleri ve teknik bilgi seviyesi önem arz etmektedir.
Adli Bilişim Hukuk Mevzuat Kanun Maddeleri
Adli Bilişimi ilgilendiren bir olayda şüpheliye ait materyalde Adli Bilişim incelemesi yapılabilmesi için Ceza Muhakemesi Kanunu 134. Madde gereğince ilgili mahkeme kararı olması gerekmektedir. Mahkeme kararı olmadan şüphelinin kullandığı dijital cihazların inceleme yapılması mümkün değildir. Mahkeme kovuşturma aşamasında kendi başına karar verebileceği gibi, soruşturma evresinde de cumhuriyet savcısının talebi ile de bu kararı verebilir.
Türk Ceza Kanunu içinde yalnızca şüpheliye ait materyallerden bahisle bu kararın alınması gerektiği belirtilmiştir. Mağdur, müşteki, maktul ve diğer taraflarla ilgili bir hüküm mevcut değildir. Ancak gerekli Adli Bilişim incelemesinin yapılabilmesi için cumhuriyet savcısı, materyal sahiplerinin rızası ve talebi ile inceleme talimatı verebilmektedir. Aslında bu durum kanunun bir boşluğu olarak görülmektedir. Bu durumda nasıl bir yol izleneceği net olarak mevzuatta belirtilmemiştir.
CMK’nin 134. Maddesinde yalnızca “bilgisayar ve bilgisayar programları ile bilgisayar kütüklerinde” ibaresi geçmektedir. Bu durum cep telefonlarının bilgisayar olarak değerlenip değerlendirilemeyeceği tartışmasına yol açmıştır. Cep telefonlarının da bilgisayarın kabiliyetlerine tamamen sahip olduğu düşünülerek şüpheliye ait cep telefonları için de Adli Bilişim incelemesi için mahkeme kararı aranması gerektiği genel görüş ve uygulamadır.
Aslında CMK’nin 134. Maddesinde metnine bakıldığında öngörülen bu uygulama bir İNCELEME olarak değil ARAMA olarak öngörülmüştür. Yapılan işlem “bilgisayar ve bilgisayar programları ile bilgisayar kütüklerinde” arama işlemidir. İlgili suç ile ilgili delillerin aranmasını öngörmektedir. Ancak yapılan bu delil arama işlemi ADLİ BİLİŞİM İNCELEMESİ olarak adlandırılmaktadır.
Mevzuat Nedir?
Ceza Muhakemesi Kanunu Madde 134 tam metni
Bilgisayarlarda, bilgisayar programlarında ve kütüklerinde arama, kopyalama ve elkoyma
- Madde 134-1. Bir suç dolayısıyla yapılan soruşturmada, başka surette delil elde etme imkânının bulunmaması halinde, Cumhuriyet savcısının istemi üzerine şüphelinin kullandığı bilgisayar ve bilgisayar programları ile bilgisayar kütüklerinde arama yapılmasına, bilgisayar kayıtlarından kopya çıkarılmasına, bu kayıtların çözülerek metin hâline getirilmesine hâkim tarafından karar verilir.
- Madde 134-2. Bilgisayar, bilgisayar programları ve bilgisayar kütüklerine şifrenin çözülememesinden dolayı girilememesi veya gizlenmiş bilgilere ulaşılamaması halinde çözümün yapılabilmesi ve gerekli kopyaların alınabilmesi için, bu araç ve gereçlere elkonulabilir. Şifrenin çözümünün yapılması ve gerekli kopyaların alınması halinde, elkonulan cihazlar gecikme olmaksızın iade edilir.
- Madde 134-3. Bilgisayar veya bilgisayar kütüklerine elkoyma işlemi sırasında, sistemdeki bütün verilerin yedeklemesi yapılır.
- Madde 134-4. İstemesi halinde, bu yedekten bir kopya çıkarılarak şüpheliye veya vekiline verilir ve bu husus tutanağa geçirilerek imza altına alınır.
- Madde 134-5. Bilgisayar veya bilgisayar kütüklerine elkoymaksızın da, sistemdeki verilerin tamamının veya bir kısmının kopyası alınabilir. Kopyası alınan veriler kâğıda yazdırılarak, bu husus tutanağa kaydedilir ve ilgililer tarafından imza altına alınır.
Adli ve Önleme Aramaları Yönetmeliği Madde 17
Bilgisayarlarda, bilgisayar programlarında ve kütüklerinde arama, kopyalama ve elkoyma
- Madde 17 – Bir suç dolayısıyla yapılan soruşturmada, başka surette delil elde etme imkânının bulunmaması hâlinde, Cumhuriyet savcısının istemi üzerine şüphelinin kullandığı bilgisayar ve bilgisayar programları ile bilgisayar kütüklerinde arama yapılmasına, bilgisayar kayıtlarından kopya çıkarılmasına, bu kayıtların çözülerek metin hâline getirilmesine hâkim tarafından karar verilir.
Bilgisayar, bilgisayar programları ve bilgisayar kütüklerine şifrenin çözülememesinden dolayı girilememesi veya gizlenmiş bilgilere ulaşılamaması hâlinde çözümün yapılabilmesi ve gerekli kopyaların alınabilmesi için, bu araç ve gereçlere elkonulabilir. Şifrenin çözümünün yapılması ve gerekli kopyaların alınması hâlinde, elkonulan cihazlar gecikme olmaksızın iade edilir.
Bilgisayar veya bilgisayar kütüklerine elkoyma işlemi sırasında, sistemdeki bütün verilerin yedeklemesi yapılır. Bu işlem, bilgisayar ağları ve diğer uzak bilgisayar kütükleri ile çıkarılabilir donanımları hakkında da uygulanır.
İstemesi hâlinde, bu yedekten elektronik ortamda bir kopya çıkarılarak şüpheliye veya vekiline verilir ve bu husus tutanağa geçirilerek imza altına alınır.
Bilgisayar veya bilgisayar kütüklerine elkoymaksızın da, sistemdeki verilerin tamamının veya bir kısmının kopyası alınabilir. Kopyası alınan verilerin mahiyeti hakkında tutanak tanzim edilir ve ilgililer tarafından imza altına alınır. Bu tutanağın bir sureti de ilgiliye verilir.
Bilişim Sızmaları MADDE 243
- MADDE 243-1. Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren ve orada kalmaya devam eden kimseye bir yıla kadar hapis veya adli para cezası verilir.
- MADDE 243-2. Yukarıdaki fıkrada tanımlanan fiillerin bedeli karşılığı yararlanılabilen sistemler hakkında işlenmesi halinde, verilecek ceza yarı oranına kadar indirilir.
- MADDE 243-3. Bu fiil nedeniyle sistemin içerdiği veriler yok olur veya değişirse, altı aydan iki yıla kadar hapis cezasına hükmolunur.
Sistemi engelleme, bozma, verileri yok etme veya değiştirme MADDE 244
- MADDE 244-1. Bir bilişim sisteminin işleyişini engelleyen veya bozan kişi, bir yıldan beş yıla kadar hapis cezası ile cezalandırılır.
- MADDE 244-2. Bir bilişim sistemindeki verileri bozan, yok eden, değiştiren veya erişilmez kılan, sisteme veri yerleştiren, var olan verileri başka bir yere gönderen kişi, altı aydan üç yıla kadar hapis cezası ile cezalandırılır.
- MADDE 244-3. Bu fiillerin bir banka veya kredi kurumuna ya da bir kamu kurum veya kuruluşuna ait bilişim sistemi üzerinde işlenmesi halinde, verilecek ceza yarı oranında artırılır.
- MADDE 244-4. Yukarıdaki fıkralarda tanımlanan fiillerin işlenmesi suretiyle kişinin kendisinin veya başkasının yararına haksız bir çıkar sağlamasının başka bir suç oluşturmaması hâlinde, iki yıldan altı yıla kadar hapis ve beşbin güne kadar adlî para cezasına hükmolunur.
Banka veya kredi kartlarının kötüye kullanılması MADDE 245
- MADDE 245-1. Başkasına ait bir banka veya kredi kartını, her ne suretle olursa olsun ele geçiren veya elinde bulunduran kimse, kart sahibinin veya kartın kendisine verilmesi gereken kişinin rızası olmaksızın bunu kullanarak veya kullandırtarak kendisine veya başkasına yarar sağlarsa, üç yıldan altı yıla kadar hapis cezası ve adlî para cezası ile cezalandırılır.
- MADDE 245-2. Sahte oluşturulan veya üzerinde sahtecilik yapılan bir banka veya kredi kartını kullanmak suretiyle kendisine veya başkasına yarar sağlayan kişi, fiil daha ağır cezayı gerektiren başka bir suç oluşturmadığı takdirde, dört yıldan yedi yıla kadar hapis cezası ile cezalandırılır.
Tüzel kişiler hakkında güvenlik tedbiri uygulanması MADDE 246
- MADDE 246-1. Bu bölümde yer alan suçların işlenmesi suretiyle yararına haksız menfaat sağlanan tüzel kişiler hakkında bunlara özgü güvenlik tedbirlerine hükmolunur.
Adli Bilişim Suçları
Bilişim, kelime anlamı bilim ve işleme kelimelerinin birleşimi olarak algılandığında, insanların teknik, ekonomik ve toplumsal alanlardaki iletişimlerinde kullandıkları, bilimin dayanağı olan bilginin, özellikle elektronik cihazlar aracılığıyla düzenli ve akılcı biçimde işlenmesi, bilginin elektronik cihazlarda toplanması ve işlenmesi biliminin genel adıdır.
Bilişim Suçu Nedir ? Herkes tarafından kabul edilen net bir tanımı olmamakla birlikte Avrupa Ekonomik Topluluğu Uzmanlar Komisyonunun Mayıs 1983 tarihinde Paris Toplantısında aşağıdaki şekilde tanımlamıştır.
Bilişim Suçu : ”Bilgileri otomatik işleme tabi tutan veya verilerin nakline yarayan bir sistemde gayri kanuni, gayri ahlaki veya yetki dışı gerçekleştirilen her türlü davranış”
Avrupa Ekonomik Topluluğu bilişim suçlarını 5’e ayırmıştır.
- Bilgisayarda mevcut olan kaynağa veya herhangi bir değere gayri meşru şekilde ulaşarak transferini sağlamak için kasten bilgisayar verilerine girmek,bunları bozmak, silmek, yok etmek,
- Bir sahtekarlık yapmak için kasten bilgisayar verilerine veya programlarına girmek, bozmak, silmek, yok etmek,
- Bilgisayar sistemlerinin çalışmasını engellemek için kasten bilgisayar verilerine veya programlarına girmek, bozmak, silmek, yok etmek,
- Ticari manada yararlanmak amacı ile bir bilgisayar programının yasal sahibinin haklarını zarara uğratmak,
- Bilgisayar sistemi sorumlusunun izni olmaksızın, konulmuş olan emniyet tedbirlerini aşmak sureti ile sisteme kasten girerek müdahalede bulunmaktır.
Bilişim Suçları Kavramları Çoğu zaman birbiri yerine kullanılsa da aralarında farklılıklar bulunan çeşitli kavramlar:
- Bilgisayar suçu,
- Bilgisayarla ilgili suç,
- Bilgisayar suçluluğu,
- Elektronik suç,
- Bilgisayar vasıtası ile işlenen suçlar,
- Bilişim suçları ya da suçluluğu,
- Bilişim ihlali.
Adli Bilişim İnceleme Süreci ve Yöntemler
Adli Bilişim İnceleme ve yöntemleri iyi bilinmeli. Çünkü artık her suçun mutlaka bilişim ayağı olmaktadır. İnsanların basit sebeplerden dolayı suçlanması ya da basit bilgisizliklerden dolayı suçtan kaçmalarına sebep olabilir.
Sanal ortamlarda delil bırakma veya delilleri silme daha kolaydır. Sadece suç açısından değil bir ağ ortamında güvenlikle ilgili problemlerin çözümünde de yardımcı bir konudur.
Adli Bilişim İncelemesi, bir süreçtir ve 4 ana yöntemi vardır.
- Tanımlama
- İnceleme
- Analiz
- Raporlama
1.Tanımlama
Adli Bilişim İnceleme Tanımlama süreci incelemeye alınacak potansiyel veri depolama özelliği olan kaynakların (sayısal delil) belirlenmesiyle ve toplanmasıyla başlar. Tipik veri kaynakları olarak bilgisayarlara takılı sabit diskler, CD,DVD, usb diskler, flash diskler,hafıza kartları(mmc, sd) ,disket, gps, cep telefonunu sayabiliriz. Kaynaklar bununla sınırlı mı? Elbette ki hayır. Bir manyetik kart kopyalayıcı, bir veritabanı uygulaması, bir web sitesi logları, bir telefon görüşmesi trafiği gibi veriler de kaynak olabilir.
2.İnceleme
Toplanan veri kaynaklarının birebir kopyalarının alınması ve konu ile ilgili araştırmanın bu kopyalar üzerinde yapılması inceleme sürecidir. Burada incelenen delilin veri bütünlüğününü korunması esastır. Yani delile ilk el konduğu andan itibaren delil muhafaza edilmelidir. Çalışan bir bilgisayar ile kapalı bir bilgisayardan veri toplanması işlemleri farklıdır. Bu anlatımda varsayılan kapalı bir bilgisayara müdahaledir. Açık olan sistemler, bilgisayarlar ve hatta uygulamalara yapılacak müdahaleyi sonra ele alacağız ve tartışacağız.
3.Analiz
Bu süreçte artık incelenen delilin birebir kopyasından konuyla ilgili veriler çıkarılır.
4.Raporlama
Analiz sürecinde elde edilen bilgilerin sunumunun yapıldığı süreç raporlama sürecidir. Raporlama, raporu okuyan kişinin anlayabileceği netlik ve açıklıkta olmalı ve iddialardan ziyade değerlendirmeler içermelidir.
Elbetteki yukarıda sayılan bu 4 süreç yaygın olarak uygulanan süreçtir. Süreç tanımlanan kaynaklara göre esneklik gösterebilir. Örneğin 2000-3000 adet istemcinin olduğu bir sistemde sistemdeki bütün bilgisayarların birebir kopyalarını almak pratik bir çözüm değildir. Ya da yine binlerce istemcinin kullandığı bir veritabanı uygulamasını incelemek için bütün sistemi kapatmak da mantıklı değildir. Dolayısıyla sistemlerin özelliğine göre müdahale yöntemi de değişecektir. Bazı kaynakların belki de hiç birebir kopyası alınmayacak, inceleme sistem çalışır durumda iken yapılacaktır.
Adli Bilişim İnceleme Türleri
Bu temel başlıkların altında özel başlıklar mevcuttur. Android forensic, ios forensic, SQL forensic, log forensic gibi.
Ülkemizde soruşturmayı yürüten Jandarma ve Emniyet Genel Müdürlüğü’dür.
Emniyet Genel Müdürlüğünde bilişim suçları ile ilgilenen daire Siber Suçlarla Mücadele Daire Başkanlığı’dır. Daha önceleri büro amirliği, şube müdürlüğü olarak hizmet veren kurum en sonunda daire başkanlığı olarak hizmet vermektedir.
2011 yılında kurulmuştur. 2013 Yılında Bilişim Suçlarıyla Mücadele adını Siber Suçlarla Mücadele olarak değiştirmiştir.
İl bazında teşkilatlanması devam etmektedir.
Kaynaklar
- TC Edirne Barosu
- Bilgi Güvenliği Akademisi
- T.Özal Üniversitesi Bilgi Teknolojileri
- Avrupa Ekonomik Topluluğu Bilişim Bölümü