Dijital delil nedir?
Dijital delil, olayla ilişkili dijital verilerin teknik açıdan güvenilir, izlenebilir ve açıklanabilir biçimde değerlendirilmesini mümkün kılan veri grubudur. Ancak bu tanımın önemli bir sonucu vardır: Her dijital veri, otomatik olarak güçlü delil değildir. Bir içeriğin dikkat çekici olması ile teknik açıdan delil niteliği taşıması aynı şey değildir.
Bir ekran görüntüsü, bir mesaj, bir dosya, bir oturum kaydı, bir sistem logu, bir kamera export dosyası veya bir uygulama kalıntısı potansiyel olarak delil değeri taşıyabilir. Fakat asıl belirleyici olan, bu verinin olayla bağının kurulup kurulamadığı, sonradan değişip değişmediğinin anlaşılabilir olup olmadığı ve teknik sürecin ne kadar düzgün yürütüldüğüdür.
Her veri neden aynı ağırlıkta değildir?
Dijital delilin gücü üç ana eksende değerlendirilir:
- verinin kendisi
- verinin bağlamı
- verinin korunma biçimi
Bir dosya tek başına ilginç olabilir, fakat ne zaman üretildiği bilinmiyorsa, kim tarafından oluşturulduğu anlaşılamıyorsa ve başka verilerle desteklenmiyorsa sınırlı kalabilir. Buna karşılık dosyanın meta verileri, sistem kayıtları, erişim izleri ve zaman ilişkisi bir araya geldiğinde çok daha güçlü teknik anlam üretir.
Bu nedenle dijital delilin değeri sadece içerikte değil, o içeriği çevreleyen teknik iskelette ortaya çıkar.
Dijital delilde bütünlük neden kritik önemdedir?
Dijital delil söz konusu olduğunda en kritik kavramlardan biri bütünlüktür. Bütünlük, verinin ilk elde edildiği andaki haliyle sonradan incelenen hali arasında teknik kimliğini koruyup korumadığını anlayabilmeyi sağlar.
Dijital veriler son derece kolay kopyalanabilir, taşınabilir, yeniden adlandırılabilir ve fark edilmeden değiştirilebilir. Hatta bazen sadece dosyayı açmak bile bazı meta verileri etkileyebilir. Daha da önemlisi, bir cihazı normal şekilde çalıştırmak bile arka planda çeşitli kayıtlar üreterek olay zaman çizelgesini dönüştürebilir.
Bu yüzden dijital delilde temel kural şudur: önce koruma, sonra inceleme. Çünkü hızlıca bakmak çoğu zaman iyi sonuç üretmez; tersine, inceleme için en değerli teknik zemini zayıflatabilir.
Hash değeri nedir ve neden kullanılır?
Hash değeri, bir dosyanın veya veri setinin matematiksel özeti gibi düşünülebilir. Aynı veri üzerinde aynı yöntem kullanıldığında aynı hash çıktısı elde edilir. Veri içinde çok küçük bir değişiklik bile hash sonucunu değiştirir.
Bu nedenle hash, bir verinin sonradan değişip değişmediğini anlamak için son derece güçlü bir araçtır. Dijital delil ilk alındığında hash üretilir. Sonradan aynı veri yeniden kontrol edildiğinde aynı hash sonucu elde ediliyorsa, verinin aynı kaldığına dair güçlü teknik destek oluşur.
Hash, dijital delilin güvenilirlik zincirinde çok önemli bir katmandır. Ancak tek başına yeterli değildir. Çünkü veri gelişigüzel alınmışsa, süreç iyi kayıt altına alınmamışsa veya kimlerin eriştiği belirsizse yalnızca hash üretmek bütün süreci kurtarmaz. Hash, disiplinli sürecin doğrulama aracıdır.
Zincirleme muhafaza ne anlama gelir?
Zincirleme muhafaza, delil niteliği taşıyan verinin ilk elde edildiği andan son değerlendirmeye kadar kim tarafından, ne zaman, hangi amaçla ve nasıl taşındığını ya da saklandığını izlenebilir biçimde ortaya koyan süreç bütünüdür.
Bu kavram teorik gibi görünse de uygulamada çok kritiktir. Çünkü dijital delilin değeri sadece içeriğinde değil, hikâyesinde de ortaya çıkar.
Zincirleme muhafaza neden önemlidir?
- Veriye kimlerin eriştiği anlaşılır
- Süreç boyunca müdahale ihtimali değerlendirilir
- Kopya ve orijinal ayrımı korunur
- Sonradan ortaya çıkabilecek itirazlara karşı teknik zemin güçlenir
- Delilin izlenebilirliği sağlanır
Eğer bu süreç belirsizse, teknik olarak değerli görünen veri bile tartışmalı hale gelebilir. Çünkü karşı taraftan gelecek ilk soru genellikle şudur: Bu veri gerçekten ilk haliyle mi karşımızda?
Dijital delilin korunmasında yapılan yaygın hatalar
Uygulamada sık rastlanan hataların başında, delil niteliği taşıyan veriye normal kullanıcı mantığıyla yaklaşmak gelir. Cihazı açmak, klasörleri gezmek, dosyaları farklı yere kopyalamak, hesaba giriş yapmak veya sistem güncellemesi uygulamak iyi niyetli görünse de teknik açıdan riskli olabilir.
En sık görülen hatalar
- Orijinal veri üzerinde doğrudan çalışma
- Çalışma kopyası ile asıl veri ayrımının yapılmaması
- Sürecin kayıt altına alınmaması
- Yalnızca görünür içeriğe odaklanılması
- Delilin meta veri ve zaman ilişkilerinin göz ardı edilmesi
Bir başka önemli hata da ekran görüntüsüne ya da tek belgeye aşırı güvenmektir. Oysa dijital delil çoğu zaman farklı kaynakların birlikte okunmasıyla güç kazanır. Bu noktada log analizi ve gerektiğinde adli bilişim yaklaşımı birlikte düşünülmelidir.
Dijital delilin değeri yalnızca içerikte değildir
Bir belgenin ya da mesajın kendisi önemlidir, ancak çoğu zaman asıl değer onu çevreleyen teknik yapıdadır. Dosya ne zaman oluşturuldu? Ne zaman değiştirildi? Hangi kullanıcı hesabı ile ilişkili? Hangi cihazdan erişildi? Sistem kayıtlarında buna karşılık gelen iz var mı? İşte bu sorular delilin gerçek ağırlığını belirler.
Bazen içerik bulunamasa bile meta veri, zaman damgası, erişim izi veya sistem kaydı çok güçlü anlam üretir. Bu nedenle dijital delil, salt içerik değil; bağlamı korunmuş ve teknik olarak okunabilir veridir.
Sık sorulan sorular
Ekran görüntüsü dijital delil sayılır mı?
Bazı durumlarda evet; ancak tek başına her zaman güçlü delil sayılmaz. Başka verilerle desteklenmesi gerekir.
Hash değeri ne işe yarar?
Bir veri setinin sonradan değişip değişmediğini teknik olarak kontrol etmeye yardımcı olur.
Zincirleme muhafaza neden önemlidir?
Çünkü delilin süreç boyunca kimlerin elinden geçtiğini ve nasıl korunduğunu görünür hale getirir.
Dijital delil, yalnızca dikkat çekici veri değil; bütünlüğü korunmuş, süreç içinde izlenebilir hale getirilmiş ve olayla ilişkisi kurulabilmiş veridir. Teknik değeri de tam olarak buradan gelir. Bir veriyi güçlü kılan şey yalnızca içeriği değil, nasıl ele alındığıdır. Bu nedenle dijital delil yaklaşımı, teknolojik olduğu kadar metodolojik bir disiplindir.