Adli Bilişim İnceleme Süreci ve Yöntemler
Adli Bilişim İnceleme ve yöntemleri iyi bilinmeli. Çünkü artık her suçun mutlaka bilişim ayağı olmaktadır. İnsanların basit sebeplerden dolayı suçlanması ya da basit bilgisizliklerden dolayı suçtan kaçmalarına sebep olabilir.
Sanal ortamlarda delil bırakma veya delilleri silme daha kolaydır. Sadece suç açısından değil bir ağ ortamında güvenlikle ilgili problemlerin çözümünde de yardımcı bir konudur.
Adli Bilişim İncelemesi, bir süreçtir ve 4 ana yöntemi vardır.
1.Tanımlama
Adli Bilişim İnceleme Tanımlama süreci incelemeye alınacak potansiyel veri depolama özelliği olan kaynakların (sayısal delil) belirlenmesiyle ve toplanmasıyla başlar. Tipik veri kaynakları olarak bilgisayarlara takılı sabit diskler, CD,DVD, usb diskler, flash diskler,hafıza kartları(mmc, sd) ,disket, gps, cep telefonunu sayabiliriz. Kaynaklar bununla sınırlı mı? Elbette ki hayır. Bir manyetik kart kopyalayıcı, bir veritabanı uygulaması, bir web sitesi logları, bir telefon görüşmesi trafiği gibi veriler de kaynak olabilir.
2.İnceleme
Toplanan veri kaynaklarının birebir kopyalarının alınması ve konu ile ilgili araştırmanın bu kopyalar üzerinde yapılması inceleme sürecidir. Burada incelenen delilin veri bütünlüğününü korunması esastır. Yani delile ilk el konduğu andan itibaren delil muhafaza edilmelidir. Çalışan bir bilgisayar ile kapalı bir bilgisayardan veri toplanması işlemleri farklıdır. Bu anlatımda varsayılan kapalı bir bilgisayara müdahaledir. Açık olan sistemler, bilgisayarlar ve hatta uygulamalara yapılacak müdahaleyi sonra ele alacağız ve tartışacağız.
3.Analiz
Bu süreçte artık incelenen delilin birebir kopyasından konuyla ilgili veriler çıkarılır.
4.Raporlama
Analiz sürecinde elde edilen bilgilerin sunumunun yapıldığı süreç raporlama sürecidir. Raporlama, raporu okuyan kişinin anlayabileceği netlik ve açıklıkta olmalı ve iddialardan ziyade değerlendirmeler içermelidir.
Elbetteki yukarıda sayılan bu 4 süreç yaygın olarak uygulanan süreçtir. Süreç tanımlanan kaynaklara göre esneklik gösterebilir. Örneğin 2000-3000 adet istemcinin olduğu bir sistemde sistemdeki bütün bilgisayarların birebir kopyalarını almak pratik bir çözüm değildir. Ya da yine binlerce istemcinin kullandığı bir veritabanı uygulamasını incelemek için bütün sistemi kapatmak da mantıklı değildir. Dolayısıyla sistemlerin özelliğine göre müdahale yöntemi de değişecektir. Bazı kaynakların belki de hiç birebir kopyası alınmayacak, inceleme sistem çalışır durumda iken yapılacaktır.
