Dijital Delil ve Adli Bilişimdeki Rolü
Dijital çağda suçların şekli değişti, haliyle suçların izleri de fiziksel kanıtların ötesine geçti. Elektronik cihazlardan elde edilen tüm veri parçaları, sanal dünyada gerçekleşen eylemlerin ispatı olarak kabul edilir. Buna dijital delil denir. Telefonlar, bilgisayarlar, router’lar, e-posta hesapları, log dosyaları ve sosyal medya profilleri; hepsi farklı türde dijital delil kaynağı olabilir.
Dijital delillerin en kritik avantajı, olayın zamanını, yerini ve kim tarafından gerçekleştirildiğini net şekilde ortaya koyabilmesidir. Klasik deliller genelde sadece sonuç verirken, dijital delil sürecin kendisini de anlatır. Üstelik silinmiş veriler, eski log dosyaları ve ağ hareket kayıtları incelenerek geri dönük analiz yapılabilir. Bu yüzden ceza davalarında ve siber saldırı incelemelerinde dijital kanıtın mahkemede sunulması ciddi önem taşır. Tabii bunun için delilin güvenli ve prosedüre uygun şekilde toplanmış olması şarttır.
Dijital Delil Toplama Nasıl Yapılır?
Dijital delilin toplanması, “aman bi bakayım ne varmış” diyerek yapılabilecek bir iş değil. Uygunsuz bir müdahale tek bir byte’lık değişiklik bile yaratsa delil mahkemede çöp olabilir. Bu nedenle süreç belli aşamalara bölünmüş durumdadır.
Olay Yerinde İlk Müdahale
Uzman ekip önce olay ortamını kontrol altına alır. Cihazların kapatılması mı yoksa açık durumda bellek verisinin önce alınması mı gerektiğine olayın ciddiyetine göre karar verilir. RAM içeriği uçucudur; sistem kapanırsa o anki canlı veriler yok olur.
Veri Kopyalama ve Orijinalin Korunması
Adli bilişimde altın kural: Orijinale dokunma. Cihazın birebir kopyası alınır, buna disk imajı denir. Bu klonlama işlemi bittikten sonra veri bütünlüğünü garanti etmek için MD5 veya SHA-256 gibi hash algoritmaları hesaplanır. Orijinal veri mühürlenerek saklanır ve sadece kopya üzerinde çalışma yürütülür.
Delil Kaynakları
Dijital delilin tek türü yoktur. Farklı kaynaklardan çekilir:
- Depolama birimleri (HDD, SSD, flash bellek)
- Ağ trafiği
- RAM içerikleri
- E-posta ya da mesajlaşma kayıtları
Bu işlemler sırasında özel yazılımlardan yararlanılır. Örneğin Autopsy adli analiz için, FTK Imager disk imajı oluşturma için, Wireshark ise ağ paketlerini incelemek için kullanılır.
Dijital Delilin Analiz Süreci
Delil toplama tamamlandıktan sonra işin mutfağı başlar: analiz. Analistler gerçek suçun nasıl işlendiğini bulmak için verinin içine dalar.
Dosya Sistemi Analizi
NTFS ya da FAT32 gibi dosya sistemleri üzerinden silinen dosyaların izleri araştırılır. Zaman damgaları, metadata ve kullanıcı aktiviteleri sistemli şekilde incelenir.
Log Dosyalarının İncelenmesi
Sistem günlükleri çoğu zaman suçlunun bıraktığı ayak izidir. Windows Event Log, Linux syslog, uygulama kayıtları; hepsi zaman çizelgesinin parçalarını oluşturur.
Malware Analizi
Bir sızma, zararlı kod veya arka kapı varsa bunun ne olduğu anlaşılır. Gerekirse zararlı yazılım parçalanıp tersine mühendislik uygulanır.
E-posta İnceleme
Dolandırıcılık, kimlik avı ve spam saldırıları çoğunlukla e-posta ile yürütülür. Header bilgileri, gönderim zinciri ve mesaj içeriği özellikle önemlidir.
Bu analizlerde profesyonel araçlar devreye girer. Volatility bellek analizi için, EnCase kurumsal incelemelerde, X-Ways Forensics ise hızlı disk taramalarında sık kullanılır.
Dijital Delilin Hukuki Niteliği
Topladığın veriyi “ben buldum abi” diye mahkemeye taşıyamıyorsun. Dijital kanıtın kabul edilmesi için üç temel prensip uygulanır:
- Bütünlük: Veri üzerinde oynama yapılmış olmamalı. Hash değerleri bu yüzden kritik.
- Zincirleme Muhafaza: Veriye kimin, ne zaman, nasıl dokunduğu kayıt altına alınmalı.
- Bilimsel Doğruluk: Kullanılan yöntemler kabul edilmiş standartlara uygun olmalı.
Türkiye’de dijital delillerle ilgili hukuki zemin Türk Ceza Kanunu’nun 134–138. maddeleri, 5651 sayılı kanun ve KVKK kapsamında düzenlenmiştir. Eğer delil hukuka aykırı şekilde elde edildiyse mahkeme onu yok hükmünde sayabilir.
Adli Bilişim Uzmanlarının Dikkat Etmesi Gerekenler
Bu işte hata affetmez. Profesyonellerin takip etmesi gereken bazı temel uygulamalar vardır:
- Orijinali saklayıp yalnızca kopya üzerinde çalışmak,
- Bütünlük kontrolü için hash değerlerini düzenli kaydetmek,
- Chain of custody prosedürünü belgelemek,
- Uluslararası standart araçlar tercih etmek,
- Yasal gerekliliklere tam uyum sağlamak.
Teknoloji her gün değişiyor. Dolayısıyla adli bilişim uzmanları da kendini güncellemek zorunda. Eğitimler, sertifikalar ve saha tecrübesi bu alanda ilerlemek için kilometre taşıdır.
Dijital Adli Bilişimin Amaçları
Bu disiplin hem devletin suç soruşturmasını destekler hem özel sektörün güvenliğini güçlendirir. Temel hedefler arasında:
- Veri kurtarma ve analizini sağlayarak mahkemede sunulacak kanıtların hazırlanması,
- Delilin bozulmaması için toplama protokollerinin uygulanması,
- Silinen, şifrelenen veya saklanan kritik verilerin geri kazanılması,
- Failin kimliğinin belirlenmesi ve saldırının sebep-sonuç ilişkisinin ortaya çıkarılması,
- Soruşturmayı başlatacak analiz raporlarının üretilmesi,
- Delil bütünlüğünün kesintisiz biçimde korunması yer alır.
Dijital Adli Bilişim Süreci
Bu alan yalnızca teknik bilgi değil; sistematik işlem yönetimi de ister. Süreç beş ana aşamada ilerler:
- Tanımlama: Hedefler belirlenir, hangi veri ve hangi cihazın inceleneceği netleştirilir.
- Koruma: Veriler izole edilir ve değişiklik ihtimali ortadan kaldırılır.
- Analiz: Cihaz ve kullanıcıya ait veriler detaylı şekilde incelenir.
- Belgeleme: Elde edilen bulgular, olay yeri ve süreç adımlarıyla birlikte kayıt altına alınır.
- Raporlama: Sonuçlar, kullanılan yöntem ve tekniklerle birlikte profesyonel bir rapor hâline getirilir.
Adli Bilişimde Kullanılan Araç Türleri
Zamanla adli analiz için özel araçlar geliştirildi. Günümüzde uzmanların elindeki araçlar oldukça geniştir:
- Fiziksel disk görüntüleme ve şifreli veri tespiti yapan yakalama araçları,
- Dosya analiz ve görüntüleme yazılımları,
- Windows kayıt defterinden kullanıcı izlerini alan yardımcı uygulamalar,
- İnternet trafiğini analiz eden ve kullanıcı aktivitelerini izleyen araçlar,
- E-posta analiz sistemleri,
- Mobil cihazlardan veri çıkaran ve bellek görüntüsü alan çözümler,
- macOS üzerinde metadata ve disk görüntüleme imkanı sunan araçlar,
- Veritabanı inceleme ve raporlama araçları.
Dijital Delil Türleri
Elektronik verinin saklandığı her ortam potansiyel kanıttır. Örnekler oldukça geniştir:
- Fotoğraf, ses ve video gibi medya dosyaları,
- Kullanıcı adları, şifreler ve profil bilgileri,
- E-posta içerikleri ve ekleri,
- Tarayıcı geçmişi,
- Telefon ve görüntülü aramalar,
- Veritabanı kayıtları,
- Muhasebe yazılımlarındaki veri dosyaları,
- Windows registry içerikleri,
- RAM çıkartma dosyaları,
- Metin, PDF, excel vb. her tür dijital dosya,
- Ağ cihazlarının logları,
- ATM işlem bilgileri,
- GPS konum kayıtları,
- Kartlı geçiş sistemleri,
- CCTV görüntüleri,
- Şifrelenmiş ve saklı veriler,
- Yazıcı ve faks kayıtları,
- Bilgisayar yedeklemeleri.
Adli Bilişim (Computer Forensics) Nedir? Delil Nasıl Toplanır?