SlideShare une entreprise Scribd logo

Adli Bilişim ve Adli Bilişim Araçları

Télécharger en tant que PPTX, PDF
Ahmet Gürel
Ahmet Gürel

Bu döküman Adli Bilişim Nedir?,Adli Bilişim Uzmanı ne yapar?,Nasıl Adli Bilişim Uzmanı olunur ve hangi sertifakalar alınır gibi temel konuları anlatmak için hazırlanmıştır.Sunumda Adli Bilişimde kullanılan araçların isimlerinide yer verilmiştir.Umarım işinize yarar. www.gurelahmet.com ve ahmetgurel.yazilim@gmail.com üzerinden ulaşabilirsiniz.

Technologie
1  sur  41
Adli Bilişim 101 Ahmet Gürel Adli Bilişim Nedir? Computer/Digital Forensics
Sunum Kazanımları Adli Bilişim Nedir? Adli Bilişimin Kullanım Alanları Adli Bilişim Dalları Adli Bilişim Uzmanlığı ve Sertifikasyonları Adli Bilişimde Delil Türleri Adli Bilişim Olayı İncelenmesi ve Raporu Adli Bilişimde Kullanılan Araçlar Adli Bilişim Hukuku
Adli Bilişim Nedir? Yurt dışında Digital Forensics olarak geçen ve Türkiyede Adli Bilişim olarak yerleşmiş bir Siber Güvenlik alanıdır. Adli bilişim, elektromanyetik ve elektrooptik ortamlarda muhafaza edilen veya bu ortamlarca iletilen ses, görüntü, veri, bilgi veya bunların birleşiminden oluşan her türlü bilişim nesnesinin, mahkemede sayısal delil niteliği taşıyacak şekilde tanımlanması, elde edilmesi, saklanması, incelenmesi ve mahkemeye sunulması çalışmaları bütünüdür. Adli bilişim olarak geçmesine rağmen bu alan her zaman adli,idari bir vaka olmak zorunda değil.Örneğin günümüzde çocuğunun bilgisayarını inceleyip neler yaptğını merak,eden hangi sitelere girip kimlerle konuştuğunu öğrenmek içinde adli bilişimden ve adli bilişim uzmanlarından faydalanabilir.
Adli Bilişimin Kullanım Alanları ●Hukuksal uyuşmazlık veya yargılamalarla ilgili incelemeler ●Veri saklama(Koruma) ●Veri silme(Geri getirilemeyecek şekilde imha etme) ●Veri kurtarma(yanlışlıkla silme, veya yazılımsal veya donanımsal arızalardan dolayı veri kaybı gibi durumlarda) ●Şifreleme(verinin güvenli bir şekilde taşınmasını/muhafazasını sağlama) ●Şifre Çözme(şifrelenmiş ve ulaşılamayan veriye ulaşmayı sağlama) ●Gizlenmiş dosya bulma
Adli Bilişimin Kullanım Alanları ●Stenografi(Veri altına gizlenen verinin tespiti) ●Suiistimal önleme, tespit ve inceleme çalışmaları ●Soruşturmalar (Yasal / Şirket içi) ●Finansal denetimler ●İç Denetim Çalışmaları ●İç Kontrol Çalışmaları ●Kontrol testleri ●Ticari anlaşmazlıkların incelenmesi ve analizi ●Fikri haklar ile ilgili uyuşmazlıklar ●Performans ölçümleri
Adli Bilişim(Digital Forensics) Dalları * Bilgisayar Adli Bilimi (Computer Forensics) * Dosya Sistemi Adli Bilimi (File System Forensics) - FAT12, FAT16, FAT32 Forensics - NTFS Forensics - exFAT Forensics - HFS+ Forensics - EXT2, EXT3, EXT4 Forensics * İşletim Sistemi Adli Bilimi (OS Forensics) - Windows Adli Bilimi (Windows Forensics) - Unix&Linux Adli Bilimi (Unix&Linux Forensics) - MacOSx Adli Bilimi (MacOSx Forensics) * Ağ Adli Bilimi (Network Forensics) * Mobil Cihaz Adli Bilimi (Mobile Forensics) * Kötü Yazılım Adli Bilimi (Malware Forensics) * Geçici Bellek Adli Bilimi (Memory Forensics) * Medya Aygıtları Adli Analizi (Media Device Forensics) * Sosyal Ağ Adli Bilimi (Social Network Forensics)
Adli Bilişim Uzmanlığı ve Bilirkişi Adli bilişim uzmanlığı bir kere olunacak ve öyle kalacak durağan bir şey değil.Sürekli kendini geliştirip yenilikleri ve teknolojiyi sürekli takip etmesi gerekiyor. Bundandır ki Adli Bilişim ile ilgili verilen sertifikaların çoğu belirli periyodlarla yenilenmektedir.Yeniden sınava girip güncel halini almalıdırlar.
Adli Bilişim Uzmanından Beklenenler: Bu alanda çalışıp Adli Bilişim uzmanı olmak için yüzlerce farklı program,uygulama,protocol,dosya sistemi,format,data tipi,algoritma,cihaz bilmek gerekiyor. Bu alan onun için bir çok alanı içinde barındaran bir alandır.(Sistem bilgisi,Ağ bilgisi,Veritabanı bilgisi,Kripto ve şifreleme gibi alanları bilmesi ve öğrenmesi gerekir.) Bir kişinin bu alanların hepsinde uzman olması neredeyse imkansız onun için işine yaracak seviye bilip kullanması sürekli yeni şeyler öğrenmesi önemlidir.
Adli Bilişim Uzmanından Beklenenler: · Veri kurtarma · Veri imha etme · Veri saklama · Veri dönüştürme · Şifreleme · Şifre çözme · Gizlenmiş dosya bulma
Adli Bilişim Sertifikasyonları: Adli Bilişim alanında çalışan kişilerin uzmanlığını ve bilgi düzeyini kanıtlamak için kullandığı sertifikasyonlar vardır. 1-EnCase Certified Examiner (ENCE) Guidance Software’in EnCase yazılımı tüm dünyaca kabul görmüş ve kanun uygulayıcılar tarafından en çok tercih edilen dijital delil inceleme yazılımlarından bir tanesidir.Firmanın bu belgesi 2 aşamalı sınav ile yazılımın kullanımını sertifikalamaktadır.3 yıl süre ile geçerlidir daha sonra yeniden girmeniz gerekmektedir. 2- Certified Forensic Computer Examiner (CFCE)
Adli Bilişim Sertifikasyonları: 3-AccessData Certified Examiner (ACE) 4-Certified Computer Examiner (CCE) 5-Computer Hacking Forensic Investigator (CHFI) (KIMSE ALMASIN :) Bilişim güvenliği alanında çalışmalar yapan profesyonellerin çok iyi bildiği başta CEH gibi Etik Hacker eğitim serisi ve sertifikasyonu haricinde başka birçok bilişim güvenliği sertifikasyonu sunan EC-Council organizasyonunun Adli Bilişim alanında uzmanları tasdik eden sertifikasyonu da CHFI dir.
Adli Bilişim Sertifikasyonları: 6-Certified Computer Crime Investigator (CCCI) 7-Certified Cyber Forensics Professional – (CCFP) 8-GIAC Certified Forensic Analyst and Examiner (GCFA & GCFE)
Adli Bilişimde Delil Türleri ve İncelenmesi DİJİTAL DELİL ÖZELLİKLERİ: Kolaylıkla ve hızla sınırları aşabilir Kolaylıkla değiştirilebilir, zarar verilebilir veya silinebilir Zamanla sınırlıdır
Bilgisayar Sistemleri (desktop, laptop, server) Bilgisayar Bileşenleri (HDD, Memory) Erişim Kontrol Araçları (Smart kartlar, dongle, biometrik tarayıcılar) PDA ve Palm Cihazları Harici Harddiskler Hafıza Kartları Adli Bilişimde Delil Türleri
Adli Bilişimde Delil Türleri Network Araçları (Modem, Switch, Router) Yazıcılar,Tarayıcılar ve fotokopi makinaları Çıkarılabilir Yedekleme Üniteleri (Disket, CD, DVD, USB) Kredi Kartı Okuyucuları Dijital Saatler, Dijital Kameralar Çağrı Cihazları, Telefonlar, GPS
Adli Bilişim Süreçleri: İnceleme (Examination) Toplama (Collection) Çözümleme (Analysis) Raporlama (Reporting)
Olay Yeri İnceleme ve Tanımlama Aşaması ●Tüm açılardan bilgisayarın resimleri ve bilgisayarın bağlı olduğu ağa ait bağlantıların ve ortamın resimleri çekilmedir. ●Tüm ağlantılar etiketlenmelidir ki herhangi bir simülasyon-benzetim sürecinde ortamın aynısı oluşturulabilsin. ●Bilgisayar eğer bir ağa bağlı ise ağdan ayrılmalı ve güvenli bir bölgeye götürülmelidir.
Olay Yeri İnceleme ve Tanımlama Aşaması ●Önemli bir nokta şüpheli bilgisayarın tekrardan başlatılması ve herhangi bir uygulamanın çalıştırılma sürecidir. Çünkü sistemin düzgün olarak yeniden başlatılamaması BIOS ve tarih/saat gibi önemli bilgilerin değişmesine neden olabilir. Yeniden başlama sürecinde bazı önemli dosyaların yeniden oluşmasını ya da kapatılmamış bir dosyanın kaydedilmeden ortadan kalkmasını yada Windows’a ait ‘swap’ dosyaların yok olmasına neden olabilir. Yani bilgisayarın yeniden başlatılması kanıt olarak sunacağımız delillerin yok olmasına neden olabilir. ●Başka önemli bir nokta ise bilgisayarın laboratuara götürülürken nasıl kapatılacağıdır. Fiş çekilerek de kapatılabilir ya da uygun prosedürler yapılarak da kapatılabilir bu da birçok delilin yok olmasına neden olacak bir süreç olarak karışımıza çıkmaktadır.
Olay Yeri İnceleme ve Tanımlama Aşaması ●Araştırmacı hiç bir delilin zarar görmediğinden ya da yok olmadığından emin olmalıdır. ●Kanıtlar; yazıcı çıktı gibi fiziksel sunular olabileceği gibi CD, flaş bellek, zip dosyası ya da herhangi bir sayısal veri olarak ta sunulabilir. ●Şüpheli bilgisayardaki tüm deliller uygun bir şekilde kopyalanmalı ve yeterli bir diskte yedeklenmelidir. Bu nedenle kopyalama aşamasından herhangi bir eksik veri kaydedilmemesi ya da veri kaybı olmaması için yedeklenecek diskin şüpheli bilgisayar diskinden büyük olması gerekmektedir. ●Araştırmacı haricinde hiç kimse şüpheli bilgisayara erişememelidir. ●Veriler düzgün bir şekilde klon edilmelidir bunun için birçok program bulunmaktadır. ●Klon edilen verilerin ‘hash’leri alınmalıdır. a.SHA b.MD5
Delil Toplama Aşaması Bu aşama ise, kanıtların toplanması ve yeni kanıtların elde edilmesi aşamasıdır.
Delil Toplama Aşaması ●Öncelikli olarak klonlanmış veri, bu verilere erişim yetkileri ve bütünlüğü kontrol edilmelidir. ●Bu aşama silinmiş verilerin yeniden kurtarılması ve şifrelenmiş verilerin şifre çözme aşamasını içermektedir. ●Tüm analiz ve incelemeler orijinal kaynağın doğruluğunun korunması için klon edilmiş veriler üzerinden yapılmalıdır ●Analizci doğu kanıtları bulabilmek için tüm dosyaları analiz etmelidir. oNormal dosyalar oSilinmiş dosyalar oGizli dosyalar oŞifreli dosyalar o Şifre korumalı dosyalar oGeçici, ‘swap’ ya da uygulama ve uygulamaların kullandığı dosyalar oİşletim sistemi dosyaları ●Eğer şüpheli dosyalar biliniyorsa bunlar içinde de arama yapılmalıdır. Mesela txt dosyaları içinde aramalar yapılmalıdır bunun için birçok program mevcuttur (Powergrep vb.). Pornografi amaçlı deliller aranıyorsa görüntü ya da video dosyaları aranmalıdır ki, bu sürenin kısalmasını sağlayacaktır.
Çözümleme-Analiz Aşaması ●Tüm analizler kanıt elde edilmek için kullanılan bilgisayardan farklı bir bilgisayarda yapılmalıdır. ●Sadece klonlanmış kanıtlar kullanılmalıdır. ●Orijinal veri ile elde edilen deliller arasında bütünlük ve içerik doğrulama sağlanmalıdır. ●Analiz sürecinde kullanılan her yazılım, donanımınn ve aracın uygun bir şekilde ne amaçla kullandıkları dâhil olmak üzere dökümante edilmelidir. ●Şüpheli bilgisayardan elde edilen tüm dosya, program, uygulama tarih ve saat bilgisi de yazılarak kayıt altına alınmalıdır. ●En çok aranan nesneler için bir liste oluşturulmalıdır. Tüm hard disk ve diskler için yapılacak delil arama sürecinde bu anahtar sözcüklerle yeniden arama yapılmalıdır
Raporlama Aşaması Adli bilişim sürecindeki son aşama toplanmış kanıtların adli makamlara sunulması aşamasıdır. ●Her şeyden önce kanıtların delil olarak kabul edilmesi için bulunan kanıtlar adlı kurallara uygun olmalı ve yasal örneklerden oluşmalıdır. ●Mahkemece kabul edilmesi için en büyük öncelik delillerin bütünlük ve doğruluğudur. ●Analizci tüm delillerin şüpheli bilgisayardan alındığını bu işlem sırasında hiçbir yasadışı sürecin yaşanmadığını raporlar halinde adli makamlara sunmalıdır. ●Tüm deliller çok net ve açık olmalıdır. ●Tüm araştırma sonucunda verilecek raporda en başındaki süreç de dahil olmak üzere her bir an raporlanmalı ve bu rapor da mahkemeye sunulmalıdır
Adli Bilişim Rapor Örneği
Adli Bilişimde Kullanılan Araçların Özellikleri 1- Bit-stream imaj alabilmeli 2- Orjinal diskte değişiklik yapmamalı 3- Kullanımı basit ve kolay öğrenilir olmalı 4- IDE, SCSI ve SATA arabirimlerine ulaşabilmeli 5- Disk imaj dosyalarının bütünlüğünü doğrulayabilmeli 6- İnceleme programları tarafından kullanılabilir olmalı 7- Girdi-Çıktı Hataları (I/O Errors) gösterebilmeli 8- Hızlı imaj almayı desteklemeli 9- Sıkıştırma fonksiyonları olmalı 10- Raporlaması anlaşılır olmalı **Analiz için kullanacağınız araçların Adli Bilişim kurallarına göre bu özellikleri sağlaması gerekmektedir.
Imaj Almak Neden Önemli? Öncelik ile neden format atılmış bir diskin imajını alıp recovery yapıyoruz da, direkt olarak bu diskimizin üzerinde recovery programlarını kullanmıyoruz ? Recovery programları diskteki verilerin adreslerini belirten metedata bilgilerini değiştirmektedir.Bu yüzden kullandığınız programlar ile orjinal diskte işlem yaparsanız farklı bir program ile kurtarabileceğiniz datanızın metadata bilgisini silip, o veriye hiç ulaşamayabilirsiniz. Bunun için imaj alıp o imaj uzerinde programları deneyerek en doğru şekilde en çok veriyi kurtarabilir,analiz edebiliriz.
Adli Bilişim Araçları SOFTWARE IMAGE PROGRAMLARI: Safeback v3 **Encase v 4.20 Forensic Replicatorv 3.1 PDA Seizure v 3.0.1.35 Pdd (Palm dd, Windows, Free) Forensic Toolkit (FTK) v 1.50 WinHex v 12.0NTI Image (DOS) SMART (Linux Redhat) ByteBack (DOS) v 3 Anadisk v 2.10 ILook v 8.0.8AIR-(Linux-Free) Automated Image & Restore Forensic Explorer Sans
Linux’ta DD ile İmaj Alma DD Hakkında Bir sabit diskin veya usbflash, cd dvd imajını sistemlerde dd ve cat kullanarak alabilirsiniz. ve aynı şekildede yükleyebilirsiniz… dd alt seviyede kopyalama yaptığından dosya sistemi ve dosyalarla ilgilenmeksizin sabit diskin en başından itibaren bit bit tüm diski boş alanlarda dahil olmak üzere kopyalar. yani kopyaladığımız alanın büyüklüğü ne kadarsa imaj boyutuda o olacaktır. ikilik düzeyde yapılan bir yapıdadır. disklerde hedef ve kaynak aynı boyutta olmalıdır. DD komutu if ve of olmak üzere iki temel parametre alır. Diğer parametreler ise isteğe bağlıdır. If bilgisi burada kaynak aygıt/partition u, of ise hedefi göstermektedir.
Linux’ta DD ile İmaj Alma Disk Bölümlerini sudo fdisk -l ile görebilirsiniz. # dd if=/dev/sda of=/home/ahmet-gurel/Desktop/disk.img # dd if=/dev/sdb of=/home/ahmet-gurel/disk.img bs=10M --Bs saniyede kaç byte ile işlemin gerçekleştirileceğini belirtmektedi # dd if=/dev/sda of=home/ahmet-gurel/Desktop/disk.img conv=noerror Conv= hata olursada kopyalamaya devam et
Linux’ta Cat ile Imaj Alma Disk imajı alma : cat /dev/sdc/ > ~/backup.iso Iso surucuye aktarma : cat backup.iso > /dev/sdb5 **Bu yöntem genellikle tercih edilmez.**
Adli Bilişim Araçları HARDWARE IMAGE CİHAZLARI: DIBS RAID (Rapid Action Imaging Device) Image MASSter Solo III Logicube Tableau SİLİNMİŞ DOSYALARIN KURTARILMASI: ** ENCASE **FTK Restorer R-Studio PC Inspector™ File Recovery Active Partition Recovery Scalpel
Adli Bilişim Araçları UNALLOCATED ALANDA YER ALAN DOSYALARIN ÇIKARILMASI: **ENCASE **FTK Restorer R-Studio Autopsy Smart GİZLİ BİLGİLERİN BULUNMASI: **Encase **FTK FILTER_I V.4.1 GETSLACK, GETFREE TextSearch Plus
Adli Bilişim Araçları ENCRYPT(ŞIFRELI) DOSYALAR BULMAK İÇİN: **FTK Accent P.R. John The Ripper Rixler Office P.R. Elcomsoft Ophcrack GİZLENMİŞ VERİLERİ BULMAK İÇİN: FILTER_I V.4.1 **FTK GETSLACK, GETFREE TextSearch Plus * *Encase
Adli Bilişim Araçları STEGONAGRAFI(VERİ GİZLEME) UYGULANMIŞ VERİLERİN TESBİTİ: BlackYard DriveCrypt EzStego S-Tools Image Hide Hide and Seek
Adli Bilişim Araçları
Adli Bilişim Araçları ZARARLI KODLARI İNCELEMEK İÇİN: **Encase **FTK QuickView Plus PSTools ChkRootKit Fport ve Netstat Pedestal Software Camuflage
Adli Bilişim Hukuku Arama, Kopyalama ve Elkoyma Hakkında Kanun 5271 S.lı Ceza Muhakemesi Kanunu MADDE 134 (1) Bir suç dolayısıyla yapılan soruşturmada, başka surette delil elde etme imkânının bulunmaması halinde, Cumhuriyet savcısının istemi üzerine şüphelinin kullandığı bilgisayar ve bilgisayar programları ile bilgisayar kütüklerinde arama yapılmasına, bilgisayar kayıtlarından kopya çıkarılmasına, bu kayıtların çözülerek metin hâline getirilmesine hâkim tarafından karar verilir. (2) Bilgisayar, bilgisayar programları ve bilgisayar kütüklerine şifrenin çözülememesinden dolayı girilememesi veya gizlenmiş bilgilere ulaşılamaması halinde çözümün yapılabilmesi ve gerekli kopyaların alınabilmesi için, bu araç ve gereçlere elkonulabilir. Şifrenin çözümünün yapılması ve gerekli kopyaların alınması halinde, elkonulan cihazlar gecikme olmaksızın iade edilir. (3) Bilgisayar veya bilgisayar kütüklerine elkoyma işlemi sırasında, sistemdeki bütün verilerin yedeklemesi yapılır. (4) İstemesi halinde, bu yedekten bir kopya çıkarılarak şüpheliye veya vekiline verilir ve bu husus tutanağa geçirilerek imza altına alınır. (5) Bilgisayar veya bilgisayar kütüklerine elkoymaksızın da, sistemdeki verilerin tamamının veya bir kısmının kopyası alınabilir. Kopyası alınan veriler kâğıda yazdırılarak, bu husus tutanağa kaydedilir ve ilgililer tarafından imza altına alınır.
Bu aşamada olarak içinde silinmiş dosyalar olan bir usb belleğin imajını alarak önce imajını inceleyeceğiz. Daha sonra bu imajdan silinmiş dosyaları kurtaracağız. DEMO
SORULAR?
Zaman ayırdığınız için Teşekkürler... Ahmet Gürel Blog: www.gurelahmet.com Linkedin: https://tr.linkedin.com/in/ahmetgurell Github: https://github.com/ahmetgurel Sunumlar: http://www.slideshare.net/AhmetGrel1 Mail: ahmet@gurelahmet.com | ahmetgurel.yazilim@gmail.com
Faydalandığım Kaynaklar: 1-https://tr.wikipedia.org/wiki/Adli_bili%C5%9Fim 2-http://www.telepati.com.tr/agustos12/konu8.htm 3-http://kaabus.wordpress.com/2009/06/01/adli-bilisim-programlari 4-http://www.ekizer.net/adli-bilisim-sertifikasyonlari/ 5-http://www.ekizer.net/adli-bilisim-computer-forensics/

Recommandé

Arp protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyetiArp protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyeti
BGA Cyber Security
 
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İnceleme
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İncelemeBilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İnceleme
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İnceleme
BGA Cyber Security
 
10 Adımda Sızma Testleri
10 Adımda Sızma Testleri10 Adımda Sızma Testleri
10 Adımda Sızma Testleri
BGA Cyber Security
 
Temel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş DökümanıTemel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş Dökümanı
Ahmet Gürel
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
BGA Cyber Security
 
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonAçık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
BGA Cyber Security
 
Adli Bilişim İnceleme Süreçleri
Adli Bilişim İnceleme SüreçleriAdli Bilişim İnceleme Süreçleri
Adli Bilişim İnceleme Süreçleri
İsmail ŞEN
 
Kaynak Kod Analiz Süreci
Kaynak Kod Analiz SüreciKaynak Kod Analiz Süreci
Kaynak Kod Analiz Süreci
PRISMA CSI
 

Recommandé

Arp protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyetiArp protokolu ve guvenlik zafiyeti
Arp protokolu ve guvenlik zafiyeti
BGA Cyber Security
 
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İnceleme
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İncelemeBilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İnceleme
Bilişim Sistemlerinde Adli Bilişim Analizi ve Bilgisayar Olayları İnceleme
BGA Cyber Security
 
10 Adımda Sızma Testleri
10 Adımda Sızma Testleri10 Adımda Sızma Testleri
10 Adımda Sızma Testleri
BGA Cyber Security
 
Temel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş DökümanıTemel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş Dökümanı
Ahmet Gürel
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
BGA Cyber Security
 
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonAçık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
BGA Cyber Security
 
Adli Bilişim İnceleme Süreçleri
Adli Bilişim İnceleme SüreçleriAdli Bilişim İnceleme Süreçleri
Adli Bilişim İnceleme Süreçleri
İsmail ŞEN
 
Kaynak Kod Analiz Süreci
Kaynak Kod Analiz SüreciKaynak Kod Analiz Süreci
Kaynak Kod Analiz Süreci
PRISMA CSI
 
BGA Pentest Hizmeti
BGA Pentest HizmetiBGA Pentest Hizmeti
BGA Pentest Hizmeti
BGA Cyber Security
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği Temelleri
BGA Cyber Security
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
BGA Cyber Security
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
BGA Cyber Security
 
BGA CTF Ethical Hacking Yarışması Çözümleri
BGA CTF Ethical Hacking Yarışması ÇözümleriBGA CTF Ethical Hacking Yarışması Çözümleri
BGA CTF Ethical Hacking Yarışması Çözümleri
BGA Cyber Security
 
WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ
BGA Cyber Security
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
BGA Cyber Security
 
Uygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
Uygulamalı Ağ Güvenliği Eğitimi Lab ÇalışmalarıUygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
Uygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
BGA Cyber Security
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Caldera İle Saldırı Simülasyonu
Caldera İle Saldırı SimülasyonuCaldera İle Saldırı Simülasyonu
Caldera İle Saldırı Simülasyonu
BGA Cyber Security
 
OWASP ZAP
OWASP ZAPOWASP ZAP
OWASP ZAP
Alper Başaran
 
BTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi SunumuBTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
BGA Cyber Security
 
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
BGA Cyber Security
 
Kesif ve Zafiyet Tarama
Kesif ve Zafiyet TaramaKesif ve Zafiyet Tarama
Kesif ve Zafiyet Tarama
Ferhat Ozgur Catak
 
Kablosuz Ağlara Yapılan Saldırılar
Kablosuz Ağlara Yapılan SaldırılarKablosuz Ağlara Yapılan Saldırılar
Kablosuz Ağlara Yapılan Saldırılar
BGA Cyber Security
 
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerGüvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
BGA Cyber Security
 
Web Servislerine Yönelik Sızma Testleri
Web Servislerine Yönelik Sızma TestleriWeb Servislerine Yönelik Sızma Testleri
Web Servislerine Yönelik Sızma Testleri
BGA Cyber Security
 
Metasploit Framework Eğitimi
Metasploit Framework EğitimiMetasploit Framework Eğitimi
Metasploit Framework Eğitimi
BGA Cyber Security
 
Siber Saldırılar i̇çin Erken Uyarı Sistemi
Siber Saldırılar i̇çin Erken Uyarı SistemiSiber Saldırılar i̇çin Erken Uyarı Sistemi
Siber Saldırılar i̇çin Erken Uyarı Sistemi
BGA Cyber Security
 
Halil Öztürkçi - Dijital iz sürme sanatı adli bilişim
Halil Öztürkçi - Dijital iz sürme sanatı adli bilişimHalil Öztürkçi - Dijital iz sürme sanatı adli bilişim
Halil Öztürkçi - Dijital iz sürme sanatı adli bilişim
Kasım Erkan
 
Siber Güvenlik ve Etik Hacking Sunu - 6
Siber Güvenlik ve Etik Hacking Sunu - 6Siber Güvenlik ve Etik Hacking Sunu - 6
Siber Güvenlik ve Etik Hacking Sunu - 6
Murat KARA
 

Contenu connexe

Tendances

Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği Temelleri
BGA Cyber Security
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
BGA Cyber Security
 
BTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi SunumuBTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerGüvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
BGA Cyber Security
 

Tendances (20)

BGA Pentest Hizmeti
BGA Pentest HizmetiBGA Pentest Hizmeti
BGA Pentest Hizmeti
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği Temelleri
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
 
BGA CTF Ethical Hacking Yarışması Çözümleri
BGA CTF Ethical Hacking Yarışması ÇözümleriBGA CTF Ethical Hacking Yarışması Çözümleri
BGA CTF Ethical Hacking Yarışması Çözümleri
 
WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
 
Uygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
Uygulamalı Ağ Güvenliği Eğitimi Lab ÇalışmalarıUygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
Uygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
 
Caldera İle Saldırı Simülasyonu
Caldera İle Saldırı SimülasyonuCaldera İle Saldırı Simülasyonu
Caldera İle Saldırı Simülasyonu
 
OWASP ZAP
OWASP ZAPOWASP ZAP
OWASP ZAP
 
BTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi SunumuBTRisk Adli Bilişim Eğitimi Sunumu
BTRisk Adli Bilişim Eğitimi Sunumu
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
 
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
 
Kesif ve Zafiyet Tarama
Kesif ve Zafiyet TaramaKesif ve Zafiyet Tarama
Kesif ve Zafiyet Tarama
 
Kablosuz Ağlara Yapılan Saldırılar
Kablosuz Ağlara Yapılan SaldırılarKablosuz Ağlara Yapılan Saldırılar
Kablosuz Ağlara Yapılan Saldırılar
 
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerGüvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
 
Web Servislerine Yönelik Sızma Testleri
Web Servislerine Yönelik Sızma TestleriWeb Servislerine Yönelik Sızma Testleri
Web Servislerine Yönelik Sızma Testleri
 
Metasploit Framework Eğitimi
Metasploit Framework EğitimiMetasploit Framework Eğitimi
Metasploit Framework Eğitimi
 
Siber Saldırılar i̇çin Erken Uyarı Sistemi
Siber Saldırılar i̇çin Erken Uyarı SistemiSiber Saldırılar i̇çin Erken Uyarı Sistemi
Siber Saldırılar i̇çin Erken Uyarı Sistemi
 

Similaire à Adli Bilişim ve Adli Bilişim Araçları

Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651
Osman do?n
 
Trusted Computing
Trusted ComputingTrusted Computing
Trusted Computing
eroglu
 
Biricikoglu Islsisguv Sunum
Biricikoglu Islsisguv SunumBiricikoglu Islsisguv Sunum
Biricikoglu Islsisguv Sunum
eroglu
 

Similaire à Adli Bilişim ve Adli Bilişim Araçları (20)

Halil Öztürkçi - Dijital iz sürme sanatı adli bilişim
Halil Öztürkçi - Dijital iz sürme sanatı adli bilişimHalil Öztürkçi - Dijital iz sürme sanatı adli bilişim
Halil Öztürkçi - Dijital iz sürme sanatı adli bilişim
 
Siber Güvenlik ve Etik Hacking Sunu - 6
Siber Güvenlik ve Etik Hacking Sunu - 6Siber Güvenlik ve Etik Hacking Sunu - 6
Siber Güvenlik ve Etik Hacking Sunu - 6
 
Zafiyet tespiti ve sizma yöntemleri
Zafiyet tespiti ve sizma yöntemleriZafiyet tespiti ve sizma yöntemleri
Zafiyet tespiti ve sizma yöntemleri
 
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim SistemiISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
 
Siber Güvenlik ve Etik Hacking Sunu - 13
Siber Güvenlik ve Etik Hacking Sunu - 13Siber Güvenlik ve Etik Hacking Sunu - 13
Siber Güvenlik ve Etik Hacking Sunu - 13
 
Uç Nokta Güvenliği
Uç Nokta GüvenliğiUç Nokta Güvenliği
Uç Nokta Güvenliği
 
Yapılan ağ saldırılarına karşı önlemler
Yapılan ağ saldırılarına karşı önlemlerYapılan ağ saldırılarına karşı önlemler
Yapılan ağ saldırılarına karşı önlemler
 
Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651
 
29 iso27001 isms
29 iso27001 isms29 iso27001 isms
29 iso27001 isms
 
Securiskop
SecuriskopSecuriskop
Securiskop
 
Kisisel Bilgi Guvenligi by Cagri POLAT
Kisisel Bilgi Guvenligi by Cagri POLATKisisel Bilgi Guvenligi by Cagri POLAT
Kisisel Bilgi Guvenligi by Cagri POLAT
 
Siber Güvenlik ve Etik Hacking Sunu - 1
Siber Güvenlik ve Etik Hacking Sunu - 1Siber Güvenlik ve Etik Hacking Sunu - 1
Siber Güvenlik ve Etik Hacking Sunu - 1
 
Threat data feeds
Threat data feedsThreat data feeds
Threat data feeds
 
Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018
Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018
Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018
 
Trusted Computing
Trusted ComputingTrusted Computing
Trusted Computing
 
Biricikoglu Islsisguv Sunum
Biricikoglu Islsisguv SunumBiricikoglu Islsisguv Sunum
Biricikoglu Islsisguv Sunum
 
14. Ege Bilgi Guvenligi Etkinligi By Cagri Polat
14. Ege Bilgi Guvenligi Etkinligi By Cagri Polat14. Ege Bilgi Guvenligi Etkinligi By Cagri Polat
14. Ege Bilgi Guvenligi Etkinligi By Cagri Polat
 
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliğiBilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
 
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux 2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
 
Siber Guvenlik ve Etik Hacking -1-
Siber Guvenlik ve Etik Hacking -1-Siber Guvenlik ve Etik Hacking -1-
Siber Guvenlik ve Etik Hacking -1-
 

Plus de Ahmet Gürel

Plus de Ahmet Gürel (6)

Scada Sistemleri ve Güvenliği
Scada Sistemleri ve GüvenliğiScada Sistemleri ve Güvenliği
Scada Sistemleri ve Güvenliği
 
Mobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim DökümanıMobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim Dökümanı
 
Liselere Yazılım ve Siber Güvenlik Farkındalığı Sunumu
Liselere Yazılım ve Siber Güvenlik Farkındalığı SunumuLiselere Yazılım ve Siber Güvenlik Farkındalığı Sunumu
Liselere Yazılım ve Siber Güvenlik Farkındalığı Sunumu
 
Man in the Middle Atack (Ortadaki Adam Saldırısı)
Man in the Middle Atack (Ortadaki Adam Saldırısı)Man in the Middle Atack (Ortadaki Adam Saldırısı)
Man in the Middle Atack (Ortadaki Adam Saldırısı)
 
Temel Linux Kullanımı ve Komutları
Temel Linux Kullanımı ve KomutlarıTemel Linux Kullanımı ve Komutları
Temel Linux Kullanımı ve Komutları
 
Linux'a Giris ve VirtualBox a Ubuntu Kurulumu
Linux'a Giris ve VirtualBox a Ubuntu KurulumuLinux'a Giris ve VirtualBox a Ubuntu Kurulumu
Linux'a Giris ve VirtualBox a Ubuntu Kurulumu
 

Adli Bilişim ve Adli Bilişim Araçları

  • 1. Adli Bilişim 101 Ahmet Gürel Adli Bilişim Nedir? Computer/Digital Forensics
  • 2. Sunum Kazanımları Adli Bilişim Nedir? Adli Bilişimin Kullanım Alanları Adli Bilişim Dalları Adli Bilişim Uzmanlığı ve Sertifikasyonları Adli Bilişimde Delil Türleri Adli Bilişim Olayı İncelenmesi ve Raporu Adli Bilişimde Kullanılan Araçlar Adli Bilişim Hukuku
  • 3. Adli Bilişim Nedir? Yurt dışında Digital Forensics olarak geçen ve Türkiyede Adli Bilişim olarak yerleşmiş bir Siber Güvenlik alanıdır. Adli bilişim, elektromanyetik ve elektrooptik ortamlarda muhafaza edilen veya bu ortamlarca iletilen ses, görüntü, veri, bilgi veya bunların birleşiminden oluşan her türlü bilişim nesnesinin, mahkemede sayısal delil niteliği taşıyacak şekilde tanımlanması, elde edilmesi, saklanması, incelenmesi ve mahkemeye sunulması çalışmaları bütünüdür. Adli bilişim olarak geçmesine rağmen bu alan her zaman adli,idari bir vaka olmak zorunda değil.Örneğin günümüzde çocuğunun bilgisayarını inceleyip neler yaptğını merak,eden hangi sitelere girip kimlerle konuştuğunu öğrenmek içinde adli bilişimden ve adli bilişim uzmanlarından faydalanabilir.
  • 4. Adli Bilişimin Kullanım Alanları ●Hukuksal uyuşmazlık veya yargılamalarla ilgili incelemeler ●Veri saklama(Koruma) ●Veri silme(Geri getirilemeyecek şekilde imha etme) ●Veri kurtarma(yanlışlıkla silme, veya yazılımsal veya donanımsal arızalardan dolayı veri kaybı gibi durumlarda) ●Şifreleme(verinin güvenli bir şekilde taşınmasını/muhafazasını sağlama) ●Şifre Çözme(şifrelenmiş ve ulaşılamayan veriye ulaşmayı sağlama) ●Gizlenmiş dosya bulma
  • 5. Adli Bilişimin Kullanım Alanları ●Stenografi(Veri altına gizlenen verinin tespiti) ●Suiistimal önleme, tespit ve inceleme çalışmaları ●Soruşturmalar (Yasal / Şirket içi) ●Finansal denetimler ●İç Denetim Çalışmaları ●İç Kontrol Çalışmaları ●Kontrol testleri ●Ticari anlaşmazlıkların incelenmesi ve analizi ●Fikri haklar ile ilgili uyuşmazlıklar ●Performans ölçümleri
  • 6. Adli Bilişim(Digital Forensics) Dalları * Bilgisayar Adli Bilimi (Computer Forensics) * Dosya Sistemi Adli Bilimi (File System Forensics) - FAT12, FAT16, FAT32 Forensics - NTFS Forensics - exFAT Forensics - HFS+ Forensics - EXT2, EXT3, EXT4 Forensics * İşletim Sistemi Adli Bilimi (OS Forensics) - Windows Adli Bilimi (Windows Forensics) - Unix&Linux Adli Bilimi (Unix&Linux Forensics) - MacOSx Adli Bilimi (MacOSx Forensics) * Ağ Adli Bilimi (Network Forensics) * Mobil Cihaz Adli Bilimi (Mobile Forensics) * Kötü Yazılım Adli Bilimi (Malware Forensics) * Geçici Bellek Adli Bilimi (Memory Forensics) * Medya Aygıtları Adli Analizi (Media Device Forensics) * Sosyal Ağ Adli Bilimi (Social Network Forensics)
  • 7. Adli Bilişim Uzmanlığı ve Bilirkişi Adli bilişim uzmanlığı bir kere olunacak ve öyle kalacak durağan bir şey değil.Sürekli kendini geliştirip yenilikleri ve teknolojiyi sürekli takip etmesi gerekiyor. Bundandır ki Adli Bilişim ile ilgili verilen sertifikaların çoğu belirli periyodlarla yenilenmektedir.Yeniden sınava girip güncel halini almalıdırlar.
  • 8. Adli Bilişim Uzmanından Beklenenler: Bu alanda çalışıp Adli Bilişim uzmanı olmak için yüzlerce farklı program,uygulama,protocol,dosya sistemi,format,data tipi,algoritma,cihaz bilmek gerekiyor. Bu alan onun için bir çok alanı içinde barındaran bir alandır.(Sistem bilgisi,Ağ bilgisi,Veritabanı bilgisi,Kripto ve şifreleme gibi alanları bilmesi ve öğrenmesi gerekir.) Bir kişinin bu alanların hepsinde uzman olması neredeyse imkansız onun için işine yaracak seviye bilip kullanması sürekli yeni şeyler öğrenmesi önemlidir.
  • 9. Adli Bilişim Uzmanından Beklenenler: · Veri kurtarma · Veri imha etme · Veri saklama · Veri dönüştürme · Şifreleme · Şifre çözme · Gizlenmiş dosya bulma
  • 10. Adli Bilişim Sertifikasyonları: Adli Bilişim alanında çalışan kişilerin uzmanlığını ve bilgi düzeyini kanıtlamak için kullandığı sertifikasyonlar vardır. 1-EnCase Certified Examiner (ENCE) Guidance Software’in EnCase yazılımı tüm dünyaca kabul görmüş ve kanun uygulayıcılar tarafından en çok tercih edilen dijital delil inceleme yazılımlarından bir tanesidir.Firmanın bu belgesi 2 aşamalı sınav ile yazılımın kullanımını sertifikalamaktadır.3 yıl süre ile geçerlidir daha sonra yeniden girmeniz gerekmektedir. 2- Certified Forensic Computer Examiner (CFCE)
  • 11. Adli Bilişim Sertifikasyonları: 3-AccessData Certified Examiner (ACE) 4-Certified Computer Examiner (CCE) 5-Computer Hacking Forensic Investigator (CHFI) (KIMSE ALMASIN :) Bilişim güvenliği alanında çalışmalar yapan profesyonellerin çok iyi bildiği başta CEH gibi Etik Hacker eğitim serisi ve sertifikasyonu haricinde başka birçok bilişim güvenliği sertifikasyonu sunan EC-Council organizasyonunun Adli Bilişim alanında uzmanları tasdik eden sertifikasyonu da CHFI dir.
  • 12. Adli Bilişim Sertifikasyonları: 6-Certified Computer Crime Investigator (CCCI) 7-Certified Cyber Forensics Professional – (CCFP) 8-GIAC Certified Forensic Analyst and Examiner (GCFA & GCFE)
  • 13. Adli Bilişimde Delil Türleri ve İncelenmesi DİJİTAL DELİL ÖZELLİKLERİ: Kolaylıkla ve hızla sınırları aşabilir Kolaylıkla değiştirilebilir, zarar verilebilir veya silinebilir Zamanla sınırlıdır
  • 14. Bilgisayar Sistemleri (desktop, laptop, server) Bilgisayar Bileşenleri (HDD, Memory) Erişim Kontrol Araçları (Smart kartlar, dongle, biometrik tarayıcılar) PDA ve Palm Cihazları Harici Harddiskler Hafıza Kartları Adli Bilişimde Delil Türleri
  • 15. Adli Bilişimde Delil Türleri Network Araçları (Modem, Switch, Router) Yazıcılar,Tarayıcılar ve fotokopi makinaları Çıkarılabilir Yedekleme Üniteleri (Disket, CD, DVD, USB) Kredi Kartı Okuyucuları Dijital Saatler, Dijital Kameralar Çağrı Cihazları, Telefonlar, GPS
  • 16. Adli Bilişim Süreçleri: İnceleme (Examination) Toplama (Collection) Çözümleme (Analysis) Raporlama (Reporting)
  • 17. Olay Yeri İnceleme ve Tanımlama Aşaması ●Tüm açılardan bilgisayarın resimleri ve bilgisayarın bağlı olduğu ağa ait bağlantıların ve ortamın resimleri çekilmedir. ●Tüm ağlantılar etiketlenmelidir ki herhangi bir simülasyon-benzetim sürecinde ortamın aynısı oluşturulabilsin. ●Bilgisayar eğer bir ağa bağlı ise ağdan ayrılmalı ve güvenli bir bölgeye götürülmelidir.
  • 18. Olay Yeri İnceleme ve Tanımlama Aşaması ●Önemli bir nokta şüpheli bilgisayarın tekrardan başlatılması ve herhangi bir uygulamanın çalıştırılma sürecidir. Çünkü sistemin düzgün olarak yeniden başlatılamaması BIOS ve tarih/saat gibi önemli bilgilerin değişmesine neden olabilir. Yeniden başlama sürecinde bazı önemli dosyaların yeniden oluşmasını ya da kapatılmamış bir dosyanın kaydedilmeden ortadan kalkmasını yada Windows’a ait ‘swap’ dosyaların yok olmasına neden olabilir. Yani bilgisayarın yeniden başlatılması kanıt olarak sunacağımız delillerin yok olmasına neden olabilir. ●Başka önemli bir nokta ise bilgisayarın laboratuara götürülürken nasıl kapatılacağıdır. Fiş çekilerek de kapatılabilir ya da uygun prosedürler yapılarak da kapatılabilir bu da birçok delilin yok olmasına neden olacak bir süreç olarak karışımıza çıkmaktadır.
  • 19. Olay Yeri İnceleme ve Tanımlama Aşaması ●Araştırmacı hiç bir delilin zarar görmediğinden ya da yok olmadığından emin olmalıdır. ●Kanıtlar; yazıcı çıktı gibi fiziksel sunular olabileceği gibi CD, flaş bellek, zip dosyası ya da herhangi bir sayısal veri olarak ta sunulabilir. ●Şüpheli bilgisayardaki tüm deliller uygun bir şekilde kopyalanmalı ve yeterli bir diskte yedeklenmelidir. Bu nedenle kopyalama aşamasından herhangi bir eksik veri kaydedilmemesi ya da veri kaybı olmaması için yedeklenecek diskin şüpheli bilgisayar diskinden büyük olması gerekmektedir. ●Araştırmacı haricinde hiç kimse şüpheli bilgisayara erişememelidir. ●Veriler düzgün bir şekilde klon edilmelidir bunun için birçok program bulunmaktadır. ●Klon edilen verilerin ‘hash’leri alınmalıdır. a.SHA b.MD5
  • 20. Delil Toplama Aşaması Bu aşama ise, kanıtların toplanması ve yeni kanıtların elde edilmesi aşamasıdır.
  • 21. Delil Toplama Aşaması ●Öncelikli olarak klonlanmış veri, bu verilere erişim yetkileri ve bütünlüğü kontrol edilmelidir. ●Bu aşama silinmiş verilerin yeniden kurtarılması ve şifrelenmiş verilerin şifre çözme aşamasını içermektedir. ●Tüm analiz ve incelemeler orijinal kaynağın doğruluğunun korunması için klon edilmiş veriler üzerinden yapılmalıdır ●Analizci doğu kanıtları bulabilmek için tüm dosyaları analiz etmelidir. oNormal dosyalar oSilinmiş dosyalar oGizli dosyalar oŞifreli dosyalar o Şifre korumalı dosyalar oGeçici, ‘swap’ ya da uygulama ve uygulamaların kullandığı dosyalar oİşletim sistemi dosyaları ●Eğer şüpheli dosyalar biliniyorsa bunlar içinde de arama yapılmalıdır. Mesela txt dosyaları içinde aramalar yapılmalıdır bunun için birçok program mevcuttur (Powergrep vb.). Pornografi amaçlı deliller aranıyorsa görüntü ya da video dosyaları aranmalıdır ki, bu sürenin kısalmasını sağlayacaktır.
  • 22. Çözümleme-Analiz Aşaması ●Tüm analizler kanıt elde edilmek için kullanılan bilgisayardan farklı bir bilgisayarda yapılmalıdır. ●Sadece klonlanmış kanıtlar kullanılmalıdır. ●Orijinal veri ile elde edilen deliller arasında bütünlük ve içerik doğrulama sağlanmalıdır. ●Analiz sürecinde kullanılan her yazılım, donanımınn ve aracın uygun bir şekilde ne amaçla kullandıkları dâhil olmak üzere dökümante edilmelidir. ●Şüpheli bilgisayardan elde edilen tüm dosya, program, uygulama tarih ve saat bilgisi de yazılarak kayıt altına alınmalıdır. ●En çok aranan nesneler için bir liste oluşturulmalıdır. Tüm hard disk ve diskler için yapılacak delil arama sürecinde bu anahtar sözcüklerle yeniden arama yapılmalıdır
  • 23. Raporlama Aşaması Adli bilişim sürecindeki son aşama toplanmış kanıtların adli makamlara sunulması aşamasıdır. ●Her şeyden önce kanıtların delil olarak kabul edilmesi için bulunan kanıtlar adlı kurallara uygun olmalı ve yasal örneklerden oluşmalıdır. ●Mahkemece kabul edilmesi için en büyük öncelik delillerin bütünlük ve doğruluğudur. ●Analizci tüm delillerin şüpheli bilgisayardan alındığını bu işlem sırasında hiçbir yasadışı sürecin yaşanmadığını raporlar halinde adli makamlara sunmalıdır. ●Tüm deliller çok net ve açık olmalıdır. ●Tüm araştırma sonucunda verilecek raporda en başındaki süreç de dahil olmak üzere her bir an raporlanmalı ve bu rapor da mahkemeye sunulmalıdır
  • 25. Adli Bilişimde Kullanılan Araçların Özellikleri 1- Bit-stream imaj alabilmeli 2- Orjinal diskte değişiklik yapmamalı 3- Kullanımı basit ve kolay öğrenilir olmalı 4- IDE, SCSI ve SATA arabirimlerine ulaşabilmeli 5- Disk imaj dosyalarının bütünlüğünü doğrulayabilmeli 6- İnceleme programları tarafından kullanılabilir olmalı 7- Girdi-Çıktı Hataları (I/O Errors) gösterebilmeli 8- Hızlı imaj almayı desteklemeli 9- Sıkıştırma fonksiyonları olmalı 10- Raporlaması anlaşılır olmalı **Analiz için kullanacağınız araçların Adli Bilişim kurallarına göre bu özellikleri sağlaması gerekmektedir.
  • 26. Imaj Almak Neden Önemli? Öncelik ile neden format atılmış bir diskin imajını alıp recovery yapıyoruz da, direkt olarak bu diskimizin üzerinde recovery programlarını kullanmıyoruz ? Recovery programları diskteki verilerin adreslerini belirten metedata bilgilerini değiştirmektedir.Bu yüzden kullandığınız programlar ile orjinal diskte işlem yaparsanız farklı bir program ile kurtarabileceğiniz datanızın metadata bilgisini silip, o veriye hiç ulaşamayabilirsiniz. Bunun için imaj alıp o imaj uzerinde programları deneyerek en doğru şekilde en çok veriyi kurtarabilir,analiz edebiliriz.
  • 27. Adli Bilişim Araçları SOFTWARE IMAGE PROGRAMLARI: Safeback v3 **Encase v 4.20 Forensic Replicatorv 3.1 PDA Seizure v 3.0.1.35 Pdd (Palm dd, Windows, Free) Forensic Toolkit (FTK) v 1.50 WinHex v 12.0NTI Image (DOS) SMART (Linux Redhat) ByteBack (DOS) v 3 Anadisk v 2.10 ILook v 8.0.8AIR-(Linux-Free) Automated Image & Restore Forensic Explorer Sans
  • 28. Linux’ta DD ile İmaj Alma DD Hakkında Bir sabit diskin veya usbflash, cd dvd imajını sistemlerde dd ve cat kullanarak alabilirsiniz. ve aynı şekildede yükleyebilirsiniz… dd alt seviyede kopyalama yaptığından dosya sistemi ve dosyalarla ilgilenmeksizin sabit diskin en başından itibaren bit bit tüm diski boş alanlarda dahil olmak üzere kopyalar. yani kopyaladığımız alanın büyüklüğü ne kadarsa imaj boyutuda o olacaktır. ikilik düzeyde yapılan bir yapıdadır. disklerde hedef ve kaynak aynı boyutta olmalıdır. DD komutu if ve of olmak üzere iki temel parametre alır. Diğer parametreler ise isteğe bağlıdır. If bilgisi burada kaynak aygıt/partition u, of ise hedefi göstermektedir.
  • 29. Linux’ta DD ile İmaj Alma Disk Bölümlerini sudo fdisk -l ile görebilirsiniz. # dd if=/dev/sda of=/home/ahmet-gurel/Desktop/disk.img # dd if=/dev/sdb of=/home/ahmet-gurel/disk.img bs=10M --Bs saniyede kaç byte ile işlemin gerçekleştirileceğini belirtmektedi # dd if=/dev/sda of=home/ahmet-gurel/Desktop/disk.img conv=noerror Conv= hata olursada kopyalamaya devam et
  • 30. Linux’ta Cat ile Imaj Alma Disk imajı alma : cat /dev/sdc/ > ~/backup.iso Iso surucuye aktarma : cat backup.iso > /dev/sdb5 **Bu yöntem genellikle tercih edilmez.**
  • 31. Adli Bilişim Araçları HARDWARE IMAGE CİHAZLARI: DIBS RAID (Rapid Action Imaging Device) Image MASSter Solo III Logicube Tableau SİLİNMİŞ DOSYALARIN KURTARILMASI: ** ENCASE **FTK Restorer R-Studio PC Inspector™ File Recovery Active Partition Recovery Scalpel
  • 32. Adli Bilişim Araçları UNALLOCATED ALANDA YER ALAN DOSYALARIN ÇIKARILMASI: **ENCASE **FTK Restorer R-Studio Autopsy Smart GİZLİ BİLGİLERİN BULUNMASI: **Encase **FTK FILTER_I V.4.1 GETSLACK, GETFREE TextSearch Plus
  • 33. Adli Bilişim Araçları ENCRYPT(ŞIFRELI) DOSYALAR BULMAK İÇİN: **FTK Accent P.R. John The Ripper Rixler Office P.R. Elcomsoft Ophcrack GİZLENMİŞ VERİLERİ BULMAK İÇİN: FILTER_I V.4.1 **FTK GETSLACK, GETFREE TextSearch Plus * *Encase
  • 34. Adli Bilişim Araçları STEGONAGRAFI(VERİ GİZLEME) UYGULANMIŞ VERİLERİN TESBİTİ: BlackYard DriveCrypt EzStego S-Tools Image Hide Hide and Seek
  • 36. Adli Bilişim Araçları ZARARLI KODLARI İNCELEMEK İÇİN: **Encase **FTK QuickView Plus PSTools ChkRootKit Fport ve Netstat Pedestal Software Camuflage
  • 37. Adli Bilişim Hukuku Arama, Kopyalama ve Elkoyma Hakkında Kanun 5271 S.lı Ceza Muhakemesi Kanunu MADDE 134 (1) Bir suç dolayısıyla yapılan soruşturmada, başka surette delil elde etme imkânının bulunmaması halinde, Cumhuriyet savcısının istemi üzerine şüphelinin kullandığı bilgisayar ve bilgisayar programları ile bilgisayar kütüklerinde arama yapılmasına, bilgisayar kayıtlarından kopya çıkarılmasına, bu kayıtların çözülerek metin hâline getirilmesine hâkim tarafından karar verilir. (2) Bilgisayar, bilgisayar programları ve bilgisayar kütüklerine şifrenin çözülememesinden dolayı girilememesi veya gizlenmiş bilgilere ulaşılamaması halinde çözümün yapılabilmesi ve gerekli kopyaların alınabilmesi için, bu araç ve gereçlere elkonulabilir. Şifrenin çözümünün yapılması ve gerekli kopyaların alınması halinde, elkonulan cihazlar gecikme olmaksızın iade edilir. (3) Bilgisayar veya bilgisayar kütüklerine elkoyma işlemi sırasında, sistemdeki bütün verilerin yedeklemesi yapılır. (4) İstemesi halinde, bu yedekten bir kopya çıkarılarak şüpheliye veya vekiline verilir ve bu husus tutanağa geçirilerek imza altına alınır. (5) Bilgisayar veya bilgisayar kütüklerine elkoymaksızın da, sistemdeki verilerin tamamının veya bir kısmının kopyası alınabilir. Kopyası alınan veriler kâğıda yazdırılarak, bu husus tutanağa kaydedilir ve ilgililer tarafından imza altına alınır.
  • 38. Bu aşamada olarak içinde silinmiş dosyalar olan bir usb belleğin imajını alarak önce imajını inceleyeceğiz. Daha sonra bu imajdan silinmiş dosyaları kurtaracağız. DEMO
  • 40. Zaman ayırdığınız için Teşekkürler... Ahmet Gürel Blog: www.gurelahmet.com Linkedin: https://tr.linkedin.com/in/ahmetgurell Github: https://github.com/ahmetgurel Sunumlar: http://www.slideshare.net/AhmetGrel1 Mail: ahmet@gurelahmet.com | ahmetgurel.yazilim@gmail.com