Günümüzde işlenen neredeyse her suç geride dijital bir ayak izi bırakıyor. İster bir finans kurumuna yönelik karmaşık bir siber saldırı ister dolandırıcılık gibi geleneksel bir suç olsun; kritik deliller giderek artan bir şekilde cihazlarımızın içine gizleniyor.
İşte bu noktada adli bilişim (digital forensics) devreye giriyor. Özünde bu alan; elektronik verilerin mahkemede kabul edilebilir bir delil olarak kullanılabilmesi amacıyla ortaya çıkarılmasını, analiz edilmesini ve korunmasını sağlayan bilimsel bir süreçtir.
“Hacker” Peşinde Koşmaktan Çok Daha Fazlası
İnsanlar adli bilişim dendiğinde, genellikle anonim bilgisayar korsanlarının (hacker’ların) peşine düşen siber müfettişleri hayal eder. Siber suçları araştırmak bu işin çok büyük bir parçası olsa da, adli bilişim geleneksel adli soruşturmalar ve kolluk kuvvetleri için de en az o kadar hayatidir. Akıllı telefonlarımız, dizüstü bilgisayarlarımız, yönlendiricilerimiz ve hatta GPS sistemlerimiz; fiziksel suçların çözülmesinde, yasadışı ağların izinin sürülmesinde ve kurumsal casusluğun ortaya çıkarılmasında genellikle kilit rol oynar.
Bu nedenle adli bilişim, 1990’lardaki niş bir BT (Bilişim Teknolojileri) uzmanlığından çıkarak günümüzde kritik ve çok disiplinli bir alana dönüşmüştür. Bugün bu alan; bilgisayar mühendisliği, ceza hukuku ve soruşturma etiği hakkında derin bir anlayış gerektirmekte ve ağ, mobil cihaz ve bellek adli bilişimi gibi spesifik alt dallara ayrılmaktadır.
Bir Soruşturmanın Anatomisi
Genel siber güvenlik önlemleri saldırıları önlemeye odaklanırken, adli bilişim olaydan sonra ne olduğunu ortaya çıkarmakla ilgilenir. Şüphelilerin aktif olarak gizlemeye, silmeye veya yok etmeye çalıştığı verileri kurtarmak üst düzey uzmanlık becerileri gerektirir.
Standart bir adli bilişim soruşturması genel olarak üç katı aşamayı takip eder:
- Koruma (Muhafaza): Bu, en kritik adımdır. Uzmanlar cihazı güvenliğe almalı ve orijinal kaynağı hiçbir şekilde değiştirmeden verilerin imajını (birebir kopyasını) titizlikle almalıdır. Orijinal veriler en ufak bir şekilde değişirse, deliller mahkemede geçersiz sayılabilir.
- Analiz: Araştırmacılar, gelişmiş yazılımlar ve bilimsel teknikler kullanarak sistemin derinliklerine iner. Silinmiş dosyaları kurtarır, bellek dökümlerini inceler, ağ etkinliklerinin izini sürer ve olayın tam olarak nasıl gerçekleştiğini birleştirir.
- Raporlama: Son olarak analistler, elde ettikleri karmaşık teknik bulguları hakimlerin, jürilerin ve avukatların kolayca anlayıp değerlendirebileceği net ve güvenilir raporlara dönüştürür.
Gelecekte Bizi Neler Bekliyor?
Teknoloji geliştikçe suçlular da gelişiyor. Adli bilişim uzmanları; bulut bilişim, gelişmiş şifreleme yöntemleri, karmaşık meta veriler ve soruşturmaları sekteye uğratmak için özel olarak tasarlanmış “anti-adli bilişim (anti-forensics)” taktiklerine ayak uydurmak için sürekli bir yarış içindedir.
Bu engellerin üstesinden gelmek; suçlular izlerini nereye saklamaya çalışırsa çalışsın, delillerin her zaman gün ışığına çıkarılabilmesini sağlamak adına sürekli eğitimi, standartlaştırılmış kılavuzları (NIST tarafından yayınlananlar gibi) ve en yeni teknolojileri kullanmayı gerektirmektedir.