Adli bilişim ne anlama gelir?
Adli bilişim, dijital ortamlarda oluşan verilerin, kayıtların, kullanıcı hareketlerinin ve sistem izlerinin teknik yöntemlerle incelenerek anlamlı bulguya dönüştürülmesi sürecidir. Günümüzde birçok olay, fiziksel delilden çok dijital iz üzerinden anlaşılır hale gelmektedir. Bir cihaza erişim, bir dosyanın oluşturulması, silinmesi veya taşınması, bir kullanıcının oturum açması, bir sistemin hata vermesi ya da bir kaydın zaman ilişkisindeki tutarsızlık çoğu zaman ancak teknik inceleme ile doğru okunabilir.
Bu nedenle adli bilişim, sıradan cihaz kontrolü ile karıştırılmamalıdır. Bir klasöre bakmak, bir telefonu açıp uygulamalar arasında gezinmek veya yalnızca görünür içeriği incelemek adli bilişim yaklaşımı değildir. Asıl mesele, verinin hangi bağlamda oluştuğunu, ne kadar güvenilir olduğunu, nasıl korunması gerektiğini ve ne ölçüde açıklanabilir hale getirilebileceğini ortaya koymaktır.
Adli bilişim hangi veri ve sistemlerle ilgilenir?
Adli bilişim yalnızca bilgisayar ve telefonla sınırlı değildir. İnceleme konusu olayın niteliğine göre çok farklı veri kaynakları ön plana çıkabilir.
Sık karşılaşılan veri kaynakları
- Bilgisayarlar ve harici depolama aygıtları
- Mobil cihazlar ve uygulama verileri
- Sunucular ve işletim sistemi kayıtları
- Log kayıtları
- Kamera sistemleri ve kayıt cihazları
- Bulut servisleri ve eşzamanlı dosya yapıları
- E-posta sistemleri ve kullanıcı oturum geçmişleri
- Ağ cihazları, erişim kayıtları ve güvenlik katmanı olayları
Burada önemli olan cihazın adı değil, olayla ilişkili iz taşıyıp taşımadığıdır. Bazen en güçlü bulgu dosyanın kendisinde değil, o dosyaya ne zaman erişildiğini gösteren sistem kaydında bulunur. Bazen görünür içerik sınırlıdır; fakat zaman damgaları, meta veriler, kullanıcı ilişkileri ve sistem davranışı çok daha büyük bir tabloyu ortaya çıkarır.
Dijital delil neden merkezî öneme sahiptir?
Adli bilişimin merkezinde çoğu zaman dijital delil bulunur. Ancak her dijital veri, otomatik olarak güçlü delil anlamına gelmez. Bir verinin teknik ağırlığı; nasıl elde edildiğine, değişmeden korunup korunmadığına, olayla bağının kurulup kurulmadığına ve başka verilerle desteklenip desteklenmediğine göre değişir.
Örneğin bir ekran görüntüsü dikkat çekici olabilir; fakat tek başına sınırlı kalabilir. Buna karşılık log kayıtları, zaman bilgileri, dosya meta verileri ve kullanıcı işlem izleri birlikte değerlendirildiğinde çok daha güçlü bir teknik çerçeve kurulabilir. Bu yüzden adli bilişimde asıl mesele yalnızca veri bulmak değil, o verinin değerini doğru okuyabilmektir.
Adli bilişim inceleme süreci nasıl ilerler?
Sağlam bir inceleme çoğu zaman aşamalı ilerler.
1. Kapsam belirleme
Önce olayın sınırları çizilir. Hangi zaman aralığı incelenecek, hangi cihazlar ve hangi kullanıcılar olayla ilişkilendiriliyor, hangi iddialar test edilecek; bunlar netleşmeden teknik çalışma dağılır.
2. Veri koruma
En kritik aşamalardan biridir. Olayla ilişkili cihaz veya kayıt üzerinde gelişi güzel işlem yapmak, sonradan en değerli teknik izlerin bozulmasına neden olabilir. Bu nedenle önce koruma, sonra inceleme yaklaşımı esastır.
3. Teknik inceleme
Bu aşamada veri kaynakları uygun yöntemlerle değerlendirilir. Dosya sistemi analizi, kullanıcı etkinliği incelemesi, zaman çizelgesi kurma, log korelasyonu, uygulama kalıntıları ve gerektiğinde NVR/DVR kayıtlarının incelenmesi gibi alt başlıklar devreye girebilir.
4. İlişkilendirme
Tek bir veri çoğu zaman tek başına yeterli olmaz. Güçlü sonuç, farklı kaynaklardan gelen teknik izlerin birbiriyle uyumlu biçimde değerlendirilmesiyle oluşur.
5. Raporlama
Teknik bulgu, iyi aktarılmadığında etkisini kaybeder. Bu nedenle inceleme sonunda teknik raporlama disiplini büyük önem taşır.
Uygulamada en sık yapılan hatalar
Adli bilişim süreçlerinde en çok yapılan hata, dijital sistemi sıradan kullanıcı mantığıyla ele almaktır. Cihazı açmak, klasörleri dolaşmak, dosyaları başka ortama taşımak ya da sisteme normal şekilde giriş yapmak bazı kayıtları değiştirebilir.
Sık görülen hatalar
- Olayla ilişkili cihaza normal kullanıcı gibi müdahale edilmesi
- Tek veri kaynağına aşırı güvenilmesi
- Saat ve zaman damgası ilişkilerinin göz ardı edilmesi
- Görünür içeriğin, teknik bağlamdan bağımsız yorumlanması
- Süreç iyi yürütülse bile sonucun zayıf raporlanması
Özellikle zaman bilgisi çok kritik bir alandır. Bir cihazın saati, bir sunucunun saati ve kullanıcının anlattığı saat birbiriyle uyumlu değilse yanlış yorum riski doğar. Bu nedenle adli bilişim yalnızca veri okuma değil, zaman ve bağlam okuma işidir.
Hangi durumlarda adli bilişim yaklaşımı gerçekten gereklidir?
Aşağıdaki durumlarda adli bilişim yaklaşımı belirgin biçimde önem kazanır:
- Yetkisiz erişim şüphesi
- Veri silme veya değiştirme iddiası
- Kullanıcı hareketlerinin açıklanması gereken durumlar
- Kamera kayıtları, cihaz logları veya sistem zaman çizelgesinin değerlendirilmesi
- Teknik olarak savunulabilir rapor ihtiyacı
- Dijital delilin bozulmadan ele alınması gereken olaylar
Adli bilişim yalnızca suç soruşturması için gerekli değildir. Bazen amaç fail bulmak değil, teknik gerçeği açıklamaktır. Bazen ise amaç belirli bir iddianın mümkün olup olmadığını, sistem kayıtlarıyla ne ölçüde desteklenebildiğini ortaya koymaktır.
Sık sorulan sorular
Adli bilişim yalnızca mahkeme veya soruşturma için mi kullanılır?
Hayır. Kurumsal olayların açıklanmasında, teknik uyuşmazlıklarda, erişim şüphelerinde ve kayıt bütünlüğü gereken birçok durumda da kullanılır.
Her telefon veya bilgisayar incelemesi adli bilişim sayılır mı?
Hayır. Sıradan kontrol ile yöntemli teknik inceleme aynı şey değildir. Adli bilişim, süreç disiplini ve teknik doğrulama gerektirir.
Adli bilişimde en kritik unsur nedir?
Verinin varlığından çok, verinin nasıl korunduğu, nasıl ilişkilendirildiği ve ne ölçüde güvenilir biçimde raporlandığıdır.
Adli bilişim, dijital dünyanın görünmeyen izlerini anlamlı hale getiren yöntemli bir uzmanlık alanıdır. Değeri, yalnızca cihaz incelemekten değil; teknik gerçeği bozmadan yakalayabilmekten gelir. Bir olayın içinde dijital veri varsa asıl soru, verinin var olup olmadığı değil, o verinin nasıl okunabildiğidir. Çünkü çoğu zaman doğru sonucu belirleyen şey veri miktarı değil, doğru yöntemle ele alınmış veridir.