Kocatepe Mah. Hatay Sok. 4/12 Kızılay Ankara 0312 4190204 info@bigdata.com.tr

Android Cihazlarda ROOT İşleminin Adli Bilişim Açısından Önemi

Android; Google ve özgür yazılım topluluğu tarafından geliştirilen Linux tabanlı ve ücretsiz mobil işletim sistemidir. Android açık kaynak kodlu olsa da çok küçük ancak bir o kadar da önemli bir kısmı Google tarafından kapalı olan bir sistemdir.

Root İşlemi

Android, açık kaynak kodlu ve özgür yazılım olması nedeniyle kullanıcıların ve geliştiricilerin istedikleri gibi değişiklik yapmasına izin vermektedir. Ancak bu özgürlük mobil cihazlar satın alındığında işletim sisteminin tüm detaylarına, gizli bölümlerine erişim hakkının bulunduğu anlamına gelmemektedir. Üreticiler android cihazların tüm yetkilerini kullanıcılara sunmazlar.

Root sözcüğü android işletim sisteminin temelini oluşturan Linux dünyasından gelmektedir. Linux işletim sistemlerinde “Root” en yetkili kullanıcı anlamına gelmektedir. Windows işletim sistemlerinde “Administrator” kullanıcıya denktir.

Cihaza root işlemi yapılması ile işletim sistemi modifiye edilip “Root” kullanıcı hakkı verilir ve sistem üzerinde tam kontrol yetkisine sahip olunur. Bu işlemi de sisteme “SU (SuperUser)” uygulamasını yükleyerek yapmaktadır.

Sistem üzerinde Root işleminin en temel yararı, size sistemin daha önce erişmediğiniz yerlerin detaylarına erişim hakkı (sadece okuma hakkı değil, yazma / değiştirme hakkı da) sunmasıdır. Root yetkisine sahip cihazda işletim sistemindeki tüm sistem dosyaları, önceden silinemeyen uygulamalar silinebilir. Cihaza farklı bir ROM (Android işletim sisteminin üretici firmalar ya da bireysel kullanıcılar tarafından özelleştirilmiş halinin genel adıdır.) yükleme gibi birçok işlemi yapabilme imkanı sağlar.

Root işlemi bazı cihazların garanti dışı kalmasına sebep olabilmektedir. Deneyimsiz ve dikkatsiz kullanıcı tarafından yapılan root işlemi sırasında yanlış bir işlem ile cihaz üzerindeki verilere ve cihaza kalıcı zarar verilebilmektedir. Doğru yapılan root işlemi sonucunda ise çoğunlukla veri bütünlüğü bozulmadan tam yetki sağlanabilmektedir. ROM yükleme ise boot, radio, system ve recovery gibi alanların sıfırlanmasını gerektirdiğinden sonuçta farklı bir android versiyonu kullanılır. Cihazda veri kaybına neden olur.

Root İşleminin Adli Bilişim Açısından Önemi

Adli bilişimde mobil cihazların adli kopyası iki farklı yöntem ile alınabilmektedir. Bunlar Mantıksal (Logical) ve fiziksel (Physical) kopyadır.

Mobil cihaz üzerinde root işlemi yapılmasından sonra kapsamlı veri kurtarma ve inceleme yeteneği kazanılmaktadır. Ancak güncel android işletim sistemine sahip mobil cihazlarda root işlemi yapmak çoğu zaman mümkün olmamaktadır.

Adli inceleme yazılımlarının bazı marka model ve android işletim sistemi versiyonlarını root işlemi yapmadan doğrudan fiziksel adli kopya alma yeteneği bulunmaktadır. Ancak güncel android sürümlerinde bu yetenek oldukça az hatta yok denecek kadardır. Mobil cihaz üzerinde mantıksal adli kopya işlemi sonrasında yapılan incelemede özellikle silinmiş verilere ulaşmak çoğu zaman mümkün olmamaktadır.

Mantıksal kopyada kullanıcıya verilen yetkiler dahilindeki alanlarda kopyalama işlemi yapmaktadır. Bu nedenle unalocated (ayrılmamış) alanlardaki verilerin kopyası alınamaz.

Mobil cihazın fiziksel adli kopyasının alınabilmesi için “Root” yetkisinin verilmesi gerekir. Tam yetkili kullanıcı ile mobil cihazın tüm alanlarının birebir kopyası alınabilir. Mantıksal ve fiziksel adli kopya üzerinde yapılan inceleme sonuçları çoğunlukla çok farklıdır. Fiziksel olarak alınan kopyadan daha fazla veri alma ve kurtarma işlemi yapılabilir. Mantıksal kopyadan elde edemediğimiz rehber, sms, resim, video ve uygulamalara ait şifre, geçmiş, görüşme kayıtları gibi silinmiş verilere fiziksel kopya ile erişebilme imkânı vardır.

Adli bilişim açısından yapılan kopyalama işleminin hangi yöntem kullanılarak yapıldığı çok önemlidir. Delil niteliği taşıyan mobil cihazlarda verilere zarar vermeden kopyalama işleminin yapılması gerekir. Mantıksal adli kopya alma işleminde cihaza herhangi bir müdahale yapılmadan kopyası alınmaktadır. Ancak fiziksel adli kopya alma işleminde cihaza “Root” yetkisinin verilmesi gerekmektedir.

Root işleminde cihaza müdahale yapılarak “SU (SuperUser)” uygulaması yüklenmektedir. Root işlemi her cihazda ve android işletim sistemi versiyonlarında aynı değildir. Bu nedenle yanlış bir işlem delilin bozulmasına neden olabilir. Hatta bazı durumlarda cihaz işlem sonrasında fabrika ayarlarına dönebilmektedir. Fabrika ayarlarına dönmüş cihazda veri kurtarma işlemi daha da zorlaşmaktadır.

İncelemecilerin bir cihazda fiziksel adli kopya almadan önce kullanıcılara veya adli makamlara bu riskten bahsetmesi gerekmektedir. Aksi halde incelemeci herhangi bir veri kaybında zor durumda kalabilmektedir. İncelemecinin tecrübeli olması bu riski en aza indirmektedir. Ehil olmayan kişiler verilerinize kurtarılamayacak şekilde zarar verebilir. Sizin için delil niteliği taşıyan önemli veriyi de kaybetmiş olursunuz.

Adreslerimiz:
         Ankara    : Meşrutiyet Cad. Hatay Sok. Sabancı İş Merkezi No:4/12 Kızılay/Ankara
Mobil    : (505) 9760930
         Tel        :  (312) 4190204  - (212) 2603440