Siber adli tıp veya kriminoloji nedir?
Bazen bilgisayar adli tıp bilimi olarak da adlandırılan bilgisayar adli tıp veya İnternet kriminolojisi, bilgileri yasal işlemlerde kabul edilebilir kılmak için yasal uyumluluk yönergeleriyle veri kurtarmadır. Dijital adli tıp ve siber adli tıp terimleri sıklıkla bilgisayar adli bilimi ile eşanlamlı olarak kullanılmaktadır.
Dijital adli tıp, verinin bütünlüğünü koruyacak şekilde toplanmasıyla başlar. Araştırmacılar daha sonra veriyi veya sistemi analiz ederek değişip değişmediğini, nasıl değiştiğini ve değişiklikleri kimin yaptığını belirler. Adli bilişim veya kriminolojinin kullanımı her zaman suçla ilgili değildir. Adli tıp süreci aynı zamanda çökmüş bir sunucudan, arızalı sürücüden, yeniden biçimlendirilmiş işletim sisteminden (OS) veya sistemin beklenmedik bir şekilde çalışmayı durdurduğu diğer durumlardan veri toplamak için veri kurtarma süreçlerinin bir parçası olarak da kullanılır.
Siber güvenlikte adli tıp neden önemlidir?
Hukuk ve ceza adaleti sisteminde adli bilişim, davalarda sunulan dijital delillerin bütünlüğünün sağlanmasına yardımcı olur. Bilgisayarlar ve diğer veri toplama cihazları hayatın her alanında giderek daha fazla kullanılmaya başlandıkça, dijital deliller ve bunların toplanması, saklanması ve incelenmesi için kullanılan adli süreçler suçların ve diğer hukuki sorunların çözümünde giderek daha önemli hale gelmiştir.
Ortalama bir insan, modern cihazlar tarafından toplanan bilgilerin çoğunu hiçbir zaman görmeyecektir. Örneğin, arabalardaki çipler veya bilgisayarlar, sürücünün haberi olmadan sürücünün ne zaman fren yaptığı, yön değiştirdiği veya hız değiştirdiği hakkında sürekli olarak bilgi toplar. Ancak bu bilgiler hukuki bir meselenin veya suçun çözümünde hayati öneme sahip olabilir ve bilgisayar adli tıp ve siber kriminoloji genellikle bu bilgilerin tanımlanmasında ve korunmasında rol oynar.
Siberkriminoloji veya adli tıp uygulamaları
Dijital kanıtlar yalnızca veri hırsızlığı, ağ ihlalleri ve yasa dışı çevrimiçi işlemler gibi dijital dünyadaki suçların çözümünde yararlı değildir. Ayrıca hırsızlık, saldırı, kaza ve cinayet gibi fiziksel suçların çözümünde de kullanılıyor.
İşletmeler, özel bilgileri güvende tutmak için sıklıkla çok katmanlı bir veri yönetimi, veri yönetimi ve ağ güvenliği stratejisi kullanır. İyi yönetilen ve güvenli verilere sahip olmak, verilerin incelemeye alınması durumunda siber güvenlik adli tıp sürecini kolaylaştırmaya yardımcı olabilir.
İşletmeler ayrıca siber saldırganları tanımlamak ve takip etmek için kullanılabilecek bir sistem veya ağ hakkındaki bilgilerin izini sürmek için bilgisayar adli tıpını da kullanıyor. İşletmeler ayrıca doğal veya başka bir felaket nedeniyle sistem veya ağ arızası durumunda verilerin kurtarılmasına yardımcı olmak için dijital adli tıp uzmanlarından ve süreçlerinden yararlanabilir.
Siber güvenlikte adli tıp türleri
Siber güvenlikte farklı kriminoloji türleri vardır . Her biri bilgi teknolojisinin belirli bir yönü ile ilgilenir. Ana türlerden bazıları şunlardır:
- Veritabanı Adli Bilimi : Veritabanlarında bulunan bilgilerin, hem verilerin hem de ilgili meta verilerin incelenmesi.
- E-posta Adli Bilimi : Programlar ve kişiler gibi e-posta platformlarındaki e-postaları ve diğer bilgileri almak ve analiz etmek.
- Kötü amaçlı yazılım adli bilimi : Potansiyel kötü amaçlı programları tanımlamak ve bunların yüklerini analiz etmek için kodun incelenmesi. Bu tür programlar Truva atlarını, fidye yazılımlarını veya çeşitli virüsleri içerebilir.
- Bellek adli bilimi : Rastgele erişim belleğinde (RAM) ve bilgisayar önbelleğinde saklanan bilgilerin toplanması.
- Mobil Adli Bilimler : Kişiler, gelen ve giden kısa mesajlar, resimler ve video dosyaları da dahil olmak üzere, mobil cihazlarla ilgili bilgileri almak ve analiz etmek için bunların incelenmesi.
- Ağ adli bilişimi : güvenlik duvarları veya izinsiz giriş tespit sistemleri gibi araçları kullanarak ağ trafiğini izleyerek kanıt aramak.
Bilgisayar adli tıp nasıl çalışır?
Siber suç veya adli tıp araştırmacıları genellikle soruşturmanın bağlamına, araştırılan cihaza veya araştırmacıların aradığı bilgilere bağlı olarak değişen standart prosedürleri izler. Genel olarak bu adımlar aşağıdaki üç adımı içerir:
Siberkriminolojide veri toplama
Elektronik olarak saklanan bilgiler, bütünlüğünü koruyacak şekilde toplanmalıdır. Bu genellikle kazara kirlenmediğinden veya kurcalanmadığından emin olmak için araştırılan cihazın fiziksel olarak izole edilmesini içerir. Müfettişler, cihazın depolama ortamının adli görüntü olarak da adlandırılan dijital bir kopyasını çıkarır ve ardından orijinal cihazı, bozulmamış durumunu korumak için güvenli bir konuma veya başka bir güvenli tesise kilitler. İnceleme dijital versiyonunda yapılır. Diğer durumlarda, Facebook gönderileri vb. gibi kamuya açık bilgiler adli amaçlarla kullanılabilir.
Analiz
Araştırmacılar vaka bilgilerini toplamak için depolama ortamının dijital kopyalarını steril bir ortamda analiz ediyor. Bu sürece yardımcı olmak için, sabit sürücüyü incelemek için teknoloji tabanlı bir otopsi ve Wireshark ağ protokolü analizörü de dahil olmak üzere çeşitli araçlar kullanılır. Jiggler Mouse, bir bilgisayarı incelerken, bilgisayarın uyku moduna geçmesini ve bilgisayar uyku moduna geçtiğinde veya güç kesildiğinde kaybolan geçici bellek verilerini kaybetmesini önlemek için de kullanışlıdır.
Sunum
Adli tıp veya siberkriminoloji araştırmacıları, bulgularını bir yargıç veya jürinin davanın sonucuna karar vermek için kullandığı bir yasal işlemde sunar. Bir veri kurtarma durumunda adli tıp araştırmacıları, güvenliği ihlal edilmiş bir sistemden kurtardıkları verileri sunar. Çoğu zaman, bilgisayar adli tıp araştırmalarında ürettikleri sonuçları doğrulamak için birden fazla araç kullanılır .
Siberkriminoloji araştırmacılarının kullandığı teknikler nelerdir?
Araştırmacılar, güvenliği ihlal edilmiş bir cihazın kendi versiyonlarını incelemek için çeşitli özel adli tıp teknikleri ve uygulamaları kullanıyor. Silinen, şifrelenen veya hasar gören dosyaları kopyalamak için gizli klasörleri ve ayrılmamış disk alanını ararlar. Dijital kopyada bulunan herhangi bir kanıt, bir keşif raporuna dikkatlice kaydedilecek ve keşif, ifade verme veya fiili davayı içeren yasal işlemlere hazırlık amacıyla orijinal cihazla doğrulanacaktır. Bilgisayar adli tıp araştırması, tekniklerin ve uzmanlık bilgisinin bir kombinasyonunu kullanır. Bazı yaygın teknikler aşağıdaki gibidir:
Ters Steganografi veya Steganografi
Steganografi, siber suçlarda her türlü dijital dosya, mesaj veya veri akışındaki verileri gizlemek için kullanılan yaygın bir taktiktir. Bilgisayar adli tıp uzmanları, hedef dosyanın içerdiği verilerin karmasını analiz ederek steganografi girişimlerini tersine çevirir. Bir siber suçlu, önemli bilgileri bir görüntünün veya başka bir dijital dosyanın içine gizlerse, eğitimsiz bir göze öncesi ve sonrası aynı görünebilir, ancak görüntüyü temsil eden temel karma veya veri dizisi değişir.
Rastgele adli tıp
Bu siber kriminoloji tekniğinde araştırmacılar, dijital eserleri kullanmadan dijital etkinlikleri analiz eder ve yeniden yapılandırır. Artefaktlar, dijital süreçlerden kaynaklanan istenmeyen veri değişiklikleridir. Artefaktlar, veri hırsızlığı sırasında dosya niteliklerinde meydana gelen değişiklikler gibi dijital bir suça ilişkin ipuçları içerir. Saldırganın içeriden biri olduğunun ve arkasında dijital eserler bırakmamış olduğunun varsayıldığı veri ihlali araştırmalarında sıklıkla rastgele adli tıp kullanılır.
Çapraz sürücü analizi
Siber kriminolojideki bu teknik, bir soruşturmayla ilgili bilgileri aramak, analiz etmek ve korumak için birden fazla bilgisayar sürücüsünde bulunan bilgileri ilişkilendirir ve çapraz referans verir. Şüpheli olaylar, benzerlikleri aramak ve bağlam sağlamak için diğer dürtülere ilişkin bilgilerle karşılaştırılır. Bu teknik aynı zamanda siber güvenlikte anormallik tespiti olarak da bilinmektedir .
Kriminolojide canlı analiz
Bu teknik kullanılarak, bilgisayar veya cihaz çalışırken bilgisayardaki sistem araçları kullanılarak bilgisayar, işletim sistemi içinden analiz edilir. Bu adli teknik, genellikle önbellek veya RAM’de depolanan uçucu verilerin analizini inceler. Uçucu verileri çıkarmak için kullanılan araçların çoğu, delil zincirinin meşruluğunu korumak için adli tıp laboratuvarında bir makine veya bilgisayarın bulunmasını gerektirir.
Adli tıpta silinen dosyaların kurtarılması
Bu teknik, bir konumda kısmen silinmiş ancak cihazın başka bir yerinde iz bırakan dosya parçalarının bilgisayar sisteminde ve hafızasında aranmasını içerir. Bu bazen dosya oyma veya veri oyma olarak bilinir.
Adli teknikler kitabının tanıtımı
Chet Hosmer’in Python Forensics: A Workbench for Inventing and Sharing Digital Forensic Technology adlı kitabında bilgisayar adli analizi hakkında birçok bilgi bulacaksınız. Bu kitap, Python’un ve siber güvenlik teknolojisinin dijital güvenlik için nasıl kullanılacağını gösterir.
Siberkriminoloji örnekleri
Bilgisayar adli bilişimi, 1980’lerden bu yana kolluk kuvvetleri tarafından ve uluslararası ceza ve medeni hukukta delil olarak kullanılmaktadır. Adli tıp kullanılarak siber suç tespitine ilişkin bazı önemli örnekler şunlardır:
Apple’ın ticari sırlarının çalınması
Apple’ın sürücüsüz otomobil bölümünde mühendis olan Xiaolang Zhang, yaşlı annesine bakmak için Çin’e döneceğini söyleyerek emekliliğini açıkladı. Müdürüne Çin’deki bir elektronik otomobil üreticisi için çalışacağını söylemesi onları şüpheye düşürdü.
Federal Soruşturma Bürosu’ndan (FBI) alınan bir beyana göre Apple’ın güvenlik ekibi, Zhang’ın şirket ağındaki faaliyetlerini araştırdı ve istifasından önceki günlerde, erişebildiği gizli şirket veritabanlarından ticari sırları indirdiğini tespit etti. 2018 yılında FBI tarafından suçlanmıştı. Soruşturma FBI’ın adli tıp ekibi tarafından yürütüldü.
Enron en yaygın muhasebe dolandırıcılığı skandallarından biridir
Bir Amerikan enerji, emtia ve hizmet şirketi olan Enron, 2001 yılında iflas etmeden önce milyarlarca dolar gelir elde ettiğini bildirdi ve bu, birçok çalışanın ve şirkete yatırım yapan diğer kişilerin mali zarara uğramasına neden oldu. Bilgisayar adli tıp analistleri, karmaşık dolandırıcılık planını anlamak için birkaç terabaytlık veriyi analiz etti ve verilerin çalınmasının ve manipülasyonunun ardındaki suçluyu buldu.
Google’ın Ticari Sırlarını Çalmak, Anthony Scott Lewandowski
Uber ve Google’ın eski CEO’su, 2019 yılında 33 ticari sır hırsızlığıyla suçlandı. Lewandowski, 2009’dan 2016’ya kadar Google’ın sürücüsüz araba programı üzerinde çalıştı ve burada programla ilgili binlerce dosyayı şifre korumalı bir kurumsal sunucudan indirdi.
New York Times‘a göre Uber’in 2016 yılında satın aldığı sürücüsüz kamyon şirketi Auto’yu kurmak için Google’dan ayrıldı. Lewandowski, bir kez ticari sır hırsızlığı suçunu kabul etti ve 18 ay hapis ve 851.499 dolar para cezası ve tazminat cezasına çarptırıldı. Bu, Google’da yaşanan bilgisayar adli bilişiminin en önemli örneğiydi.
Jackson
Araştırmacılar, Dr. Michael Jackson’ın iPhone’undaki meta verileri ve tıbbi kayıtları kullandı; bu, Dr. Conrad Murray’in, 2009 yılında ölen Jackson’a öldürücü miktarda ilaç yazdığını gösterdi.
Michaela Ay
Moon, 2016 yılında yeni doğan bebeğini Manchester Üniversitesi’ndeki yurt odasının küvetinde boğmuştu. Müfettişler, bilgisayarında onu mahkum etmek için kullanılan “evde kürtaj” ifadesini içeren Google aramaları buldu. Bu aynı zamanda bilgisayar adli biliminin de açık bir örneğiydi.
Bilgisayar Adli İşleri ve Sertifikalar
Bilgisayar adli tıp kendi bilimsel uzmanlığı haline geldi. Salary.com’a göre, giriş seviyesi bir bilgisayar adli tıp analistinin ortalama yıllık maaşı uluslararası olarak 65.000 dolar civarında. Siber adli tıp kariyer yollarının bazı örnekleri şunlardır:
- Adli mühendis veya siber kriminolog : Bu profesyoneller, bilgisayar adli bilişim sürecinin toplama aşaması, veri toplama ve analiz için hazırlama aşamasıyla ilgilenir. Bir cihazın nasıl arızalandığını belirlemeye yardımcı olurlar.
- Adli Muhasebeci : Bu pozisyon, kara para aklama ve yasa dışı faaliyetleri örtbas etmek için yapılan diğer işlemlerle ilgili suçlarla ilgilenir.
- Siber Güvenlik Analisti: Bu pozisyon, verileri toplandıktan sonra analiz eder ve daha sonra bir kuruluşun siber güvenlik stratejisini geliştirmek için kullanılabilecek içgörüleri ortaya çıkarır.
Geçerli adli tıp veya kriminoloji sertifikaları
Bilgisayar adli tıp uzmanları için siber güvenlik veya ilgili bir alan gereklidir. Bu alanda aşağıdakiler de dahil olmak üzere çeşitli sertifikalar vardır:
- CyberSecurity Institute Siber Güvenlik Adli Analisti : Bu sertifika, en az iki yıllık deneyime sahip güvenlik profesyonelleri için tasarlanmıştır. Test senaryoları gerçek vakalara dayanmaktadır.
- Uluslararası Bilgisayar Adli Uzmanları Birliği: Bu adli tıp sertifikası öncelikle bir işletmenin bilgisayar adli tıp kurallarına uymasını sağlamak için gerekli becerileri doğrulamaya odaklanır.
- EC-Council Bilgisayar Korsanlığı Adli Araştırmacısı : Bu sertifika, başvuranın davetsiz misafirleri tespit etme ve mahkemede kullanılabilecek delilleri toplama yeteneğini değerlendirir. Bilgi sistemlerinin aranmasını ve ele geçirilmesini, dijital kanıtlarla çalışmayı ve diğer siber adli tıp becerilerini kapsar.
- Uluslararası Adli Bilgisayar Denetçileri Derneği ( ISFCE ) Sertifikalı Bilgisayar Denetçisi : Bu adli bilişim uzmanı programı, yetkili bir eğitim kampı eğitim merkezinde eğitim gerektirir ve başvuru sahiplerinin ISFCE Etik ve Mesleki Sorumluluk Kurallarını imzalamaları gerekir.
son söz
Adli tıp veya siber kriminoloji, siber güvenlik veya adli tıp uzmanlarının suçun ipuçlarını ve izlerini keşfederek siber saldırıların kaynağını keşfetmeye çalıştığı uygulama ve teknikleri ifade eder. Bu trend şu anda çok popüler ve güvenlik ve ağ eğitiminin önemli bir parçası olarak kabul ediliyor .