Kocatepe Mah. Hatay Sok. 4/12 Kızılay Ankara 0312 4190204 info@bigdata.com.tr

Bulut Depolama Alanlarının Adli İncelenmesi

 

Bulut hizmetlerinden ve sosyal ağlardan elde edilen veriler, adli makamlarca soruşturmanın güçlendirilmesine yardımcı olabilecek son derece önemli delil kaynaklarıdır. Birkaç yıl öncesine kadar buluttaki verilere erişim sağlanması ve verilerin adli incelemelerde kullanılması gereksiz görülmekteydi. Ancak mobil cihazlarda güçlü şifreleme algoritmaları kullanılması ile mobil cihazların fiziksel olarak incelenmesi zorlaşmış olup, adli makamlarca incelemesi yapılan vakalardaki bulut verilerinin önemi artmıştır.

Bulut tabanlı deliller, ceza davalarının yanı sıra hukuk davalarıyla da ilgilidir. İşletme belgeleri, Dropbox, Box.com, Microsoft OneDrive, Google ve diğerlerinin sahip olduğu bulut sunucularında giderek daha fazla depolanmaktadır. Birçok kuruluş ve kişiler Slack, Microsoft Teams ve Google Hangouts gibi bulut tabanlı mesajlaşma platformlarını da kullanmaktadır.

Bulut verilerine erişim sağlamanın incelemeci açısından teknik ve hukuki açıdan da bazı sorunları bulunmaktadır. ABD’de dahil olmak üzere bazı ülkelerde, bu durum mahkemeler tarafından sosyal medya ve bulut depolama hesaplarına erişilmesi belirli tarih ve saat aralığı sınırlandırılması gerektiği ve bunun dışındaki erişimlerin aşırı erişim olacağı belirtilmektedir. Adli makamlarca bulut verilerinin ne şekilde, hangi tarih/saat aralığında ve hangi verileri kapsayacağı konularında incelemecilerin yetkilendirilmesi gerekmektedir.  Yetkisiz olarak kişisel verilere erişim sağlamanın suç olduğu unutulmamalıdır. Adli makamlarca yetkilendirilen incelemecilerin adli bilişim alanında kabul görmüş olan yazılımları kullanarak bulut verilerine erişim sağlaması gerekmektedir. Yasal olmayan yöntemlerle yapılan erişimlerden elde edilen delillerin güvenilirliği de sorgulanabilmektedir.

Buluttaki verilerin kullanılabilir ve incelenebilir şekilde alınabilmesi zordur. Her servis sağlayıcının depolamada kullanmış olduğu uygulamalar farklılık göstermekte olup, kendi arayüzünde çalıştırmak için kendine özel veri yapısına sahiptir. Buradan alınan verilerin dönüştürülmesi, endekslenmesi, arama yapılabilmesi ve inceleme yapılabilmesi için adli inceleme araçlarına ihtiyaç duyulmaktadır.  Adli bilişim alanında bulut verilerine erişim sağlayabilen adli bilişim yazılımlarından başlıcaları aşağıda sunulmuştur.

Belkasoft

Belkasoft, bulut verilerine erişimi ve analizini desteklemektedir. Desteklenen bulut veri depolama alanları arasında iCloud (Ajanda, sürücü, fotoğraflar vb.), Google Cloud (Drive, Gmail, Keep ve Zaman Çizelgesi), WhatsApp, Instagram ve birçok web posta hizmeti bulunmaktadır. Ürün, dijital aygıtlardan alınan kullanıcı kimlik bilgileri, onay ekranı ve yenileme belirteçleri gibi çeşitli kimlik doğrulama yöntemleri kullanır. Gmail, Yahoo! WhatsApp, Instagram ve diğerlerinin mesajlaşma servislerinin yanı sıra Mail, Hotmail ve daha fazlası da desteklenmektedir.

■  Cellebrite UFED Cloud Analyzer

UFED Cloud Analyzer, adli incelemelerde bulut verilerine erişim sağlamada ve delillerin çıkarılmasında öncü yazılımlardandır. Yazılım 50'den fazla sosyal medya, mesajlaşma, dosya depolama, web sayfası ve diğer kaynaklar arasında hem genel yayınlardan hem de özel hesaplardan verilerin çıkarılmasını, korunmasını ve analizini desteklemektedir.

Cellebrite, bulut verilerine kullanıcı tarafından verilen giriş bilgileri, incelenen vaka içinden ayıklanan bilgiler ve dijital cihaz giriş bilgileri kullanılarak erişim sağlayabilmektedir. Erişim sağlamada adli makamlarca arama ve el koyma talimatlarına uygun şekilde erişim yeteneğine sahiptir. Bu veriler Facebook, Twitter ve Instagram gibi sosyal medyadan analiz edilebilen herkese açık veriler, paylaşılan konum bilgileri, profiller, resimler, dosyalar ve iletişimleri de içerir.

Ayrıca, iCloud'da yedeklenen iOS cihazlarda Chrome ve Safari metin arama geçmişi, ziyaret edilen sayfalar, sesli arama kayıtları, Google web geçmişinden yabancı dil çevirileri ve Google Konum Geçmişi desteklenmektedir. Yazılım, bu kaynaklardaki verileri dönüştürerek, kullanıcıların Zaman Çizelgesi, Resimleri, Kişiler veya Haritalar'a göre arama, filtreleme ve sıralama yapmalarını sağlar. Erişim ve alınan verilere yapılan işlemler günlüğe kaydedilir, her bir alınan veri parçasının hash değeri hesaplanarak daha sonra orijinali ile karşılaştırılabilmektedir. Son olarak, bulut verilerinin ayıklama işlemleri raporlanabilir ve Cellebrite'nin diğer gelişmiş inceleme araçlarına aktarılabilmektedir.

■  HancomGMD MD-CLOUD

MD-CLOUD Drive, Dokümanlar, Fotoğraf, Takvim, Kişiler, Konum Geçmişi ve daha fazlası, iCloud (Drive, Fotoğraf, Hatırlatma, Not, Takvim, Kişiler vb.), Samsung Cloud (Drive, Fotoğraf), IoT), Gmail, Evernote, Google Paket Servisi, Microsoft OneDrive, Twitter, Instagram, Tumbir ve bazı e-Ticaret uygulamaları dahil IMAP veya POP3 gibi e-postalara ait bulut verilerine erişim sağlayabilmektedir.

Ayrıca, kimlik doğrulama için hem resmi hem de resmi olmayan API'leri kullanarak Çin'deki Baidu Cloud, Kore'deki Naver Cloud ve AI (Yapay Zeka) destekli hoparlörlerden ve akıllı ev kitlerinden IoT veri toplama özelliğini desteklemektedir. API olmadan herkese açık web sayfalarından veri toplanması için web yakalama özelliği de bulunmaktadır.

Kullanıcı kimliği ve parola ile kimlik doğrulama, iki faktörlü kimlik doğrulama, Captcha ve kimlik bilgileri, MD-CLOUD'da, HancomGMD'nin adli veri analiz yazılımı olan MD-RED ile tam olarak entegre  çalışabilmektedir.

MD-CLOUD'un kategori tabanlı bir görüntüleyicisi vardır ve her kategori hesap sahibinin kimlik bilgilerine göre ayrılır. MD-CLOUD, incelemecilerin öğeleri kolayca aramasını ve filtrelemesini sağlayan otomatik etiketleme algoritmasını da destekler. İncelemeciler, çeşitli filtre ve sıralama yapılandırmalarına dayalı olarak birden çok iş istasyonu oluşturabilir. MD-CLOUD, kullanıcıların belirli bir zamanda e-postayı göndermesi, zamana göre birden çok bulut sunucusuna veri yüklemesi gibi her türlü etkinlik akışını görmelerini sağlayan bir Zaman Çizelgesi Görünümü ve Özet Grafiğine sahiptir.

MD-CLOUD, bulut veri dosyalarını dışa aktarmanın yanı sıra PDF ve Excel formatlarında raporlar oluşturabilmektedir.

■  Magnet AXIOM

Bulut toplama ve analiz yetenekleri doğal olarak Magnet AXIOM'a entegre edilmiştir. Magnet AXIOM, mobil cihazlardan kullanıcı kimlik bilgileri veya belirteçleri ve anahtar zincirlerini ayıklayıp inceleyerek inceleyicilerin parolaya gerek olmadan bulut ve sosyal medya hesaplarına erişmelerini sağlayabilmektedir. Ayrıca halka açık bilgileri ve kullanıcı tarafından oluşturulan arşivleri alabilmekte ve analiz edebilmektedir.

Apple, Google, Facebook, Microsoft, Slack, Dropbox ve Twitter dahil olmak üzere adli açıdan ilgili 50'den fazla bulut hizmetinden, MetaData (Üstveriler)  ve denetim günlükleri dahil olmak üzere kullanıcı kimlik bilgileriyle bulut hesaplarına erişim sağlayabilmektedir. Twitter ve Instagram'dan (Bir kullanıcı adı veya hashtag kullanarak) herkese açık bilgileri (Yayınlar, takipçiler / takip vb.) toplayabilmektedir.

Apple iOS 11 ve iOS 12 yedeklemeleri için iCloud yedekleme verilerini kurtarma ve şifresini çözme yeteneğine sahiptir.

AXIOM, pek çok kaynaktan elde edilebildiği veri zenginliği yanı sıra bulut verilerini de delillendirip raporlayarak adli soruşturmaları kolaylaştırmaktadır.

■  Oxygen Forensic Cloud Extractor

 

Oxygen Forensic Cloud Extractor; iCloud,Google, Microsoft, Samsung, Huawei, Mi Cloud hesapları, E-posta sunucuları ve Facebook, Twitter, Instagram, Dropbox, WhatsApp, Telegram gibi diğer hizmetlere erişim sağlayabilmektedir.

Oxygen Forensic Cloud Extractor; WhatsApp yedeklerinin şifresini çözerek veri çıkarmada özel bir yeteneğe sahiptir. Desteklenen bulut depolama hizmetlerine erişim sağlamak için hesap kimlik bilgilerini veya anahtarları kullanarak bağlanabilmektedir.

Oxygen Forensic Detective hesap kimlik bilgilerini ve anahtarları doğrudan mobil cihazlardan çıkarmakta ve Oxygen Forensic KeyScout şifre ve anahtarları Windows tabanlı bilgisayarlardan toplayabilmektedir. Bu değerli veriler daha sonra incelenen ilgili bulut hizmeti hesaplarından veri toplamak ve çıkarım için kullanabilmektedir.

Oxygen Forensic Cloud Extractor; 77 bulut, sosyal medya ve Microsoft, Google, Samsung Cloud , Huawei Cloud, iCloud, Mi Cloud, Facebook, Twitter, Instagram, Amazon Alexa, WhatsApp dahil e-posta hizmetlerini destekler, WickrMe, Viber, Line, Telegram, IMAP e-posta sunucuları ve daha fazlasını desteklemektedir.

Kimlik bilgilerini doğruladıktan ve verileri ayıklamak için oturum açtıktan sonra, Oxygen Forensic Cloud Extractor belirli bir zaman aralığına göre veri toplayabilir. Veri alımı tamamladıktan sonra ayrıntılı çıkarma kayıtları oluşturmaktadır.

Bulut verilerinin alınmasının ardından, Oxygen Forensic Cloud Extractor verilerini analiz için elde edilen diğer mobil ve bilgisayar delilleriyle birleştirebilmektedir.

Veriler, haritalar, sosyal grafikler, zaman çizelgeleri, yüz tanıma ve görüntü kategorileri ve diğerleri de dahil olmak üzere farklı görünümde görüntülenebilmekte, sıralanabilmekte ve filtrelenebilmektedir. Ayrıca PDF, XLS, XML ve diğer formatlarda dışa aktarılarak raporlanabilmekte veya adli makamlarla paylaşmak üzere yedeklenerek kaydedilebilmektedir.

Adreslerimiz:
         Ankara    : Meşrutiyet Cad. Hatay Sok. Sabancı İş Merkezi No:4/12 Kızılay/Ankara
Mobil    : (505) 9760930
         Tel        :  (312) 4190204  - (212) 2603440