Mobil Cihaz İncelemelerinde Değişmeyen Zorluklar

mobil

Adli bilişim dünyasının en zorlayıcı alt alanlarından biri “Mobil Cihazların” incelenmesi olarak görülmektedir. Bunun en önemli sebebi piyasada çok fazla sayıda marka-modelde cihaz olması ve bunların sürekli olarak güncellenen işletim sistemi versiyonlarıdır. İnceleme esnasında karşılaşılan sorunların en başında da bu cihazları incelemek için gerekli kopyaların (adli imajlarının) alınması gelmektedir.

Bu alanda adli bilişim uzmanlarının en büyük yardımcısı açık kaynak kodlu yazılımların yanı sıra hem yazılım hem de donanım ürünleri sunan ticari şirketler olmaktadır. Üretilen ticari yazılımların en büyük avantajı çok sayıda dava dosyası arasında sıkışıp kalan adli bilişim uzmanlarının işlerini kolaylaştırmak ve hızlandırmaktır. Bir dava dosyasının hızlı ve etkin bir şekilde incelenmesi suçluların yeni eyleme kalkışmadan veya gerçekleştirdikleri bir eylem sonrasında hızlı bir şekilde yakalanmalarına olanak sağlamaktır.

Suçlular yakalanmamak için kendi aralarında çok çeşitli iletişim yolları kullanabilmektedirler. Ancak bu kadar çaba göstermelerine gerek kalmadan teknolojiyi bile yakından takip etmeleri onları bir adım öne geçirmeye yetmektedir. Güncellemeleri yeni yüklenmiş bir telefonun adli incelemesi bazen zorlu bir süreç olabilmektedir. Bu konuyla ilgili olarak Amerika Birleşik Devletleri’nde yakın zamanda bir teröristin telefonunun incelenmesi konusunda üretici firma ile kolluk güçleri arasında yaşanan sorunu ve az önce bahsettiğim adli bilişim alanında ticari hizmetler sunan bir firmadan yardım alındığını hepiniz hatırlamışsınızdır.

Burada adli bilişim uzmanlarının sorunu ellerinde bulunan yazılımın desteklemediği modelde bir telefonun incelenmek zorunda kalınmasıdır. Amerika’da böyle durumlarda üreticiden yardım alınmaktaydı. Ancak son dönemde kendi verilerini istihbarat servisleriyle paylaştığı bilgisi müşteriler arasında olumsuz etki yaratmaya başlayınca üretici firmalar bu konuda biraz daha muhafazakâr davranmaya başlamışlardır.

Peki mobil cihaz incelemesini zorlaştıran unsurlar nelerdir?

Genel olarak baktığımızda uzmanların mobil incelemelerde bilgisayar incelemesinden daha çok zorlanmasının nedenleri;

Üretici firmaların çeşitliliği ve işletim sistemlerinin fazlalığı, IDC’nin 2017 yılı için hazırladığı raporlara baktığımızda,

Mobil telefon üreticileri pazar payları;

image1

İşletim sistemlerine göre pazar payları;

image2

Yukarıdaki pazar paylarını adli bilişim açısından değerlendirdiğimizde; hangi marka, modelde veya işletim sistemine sahip telefonların adli bilişim uzmanları tarafından daha sık inceleneceğine dair bir tahmin de bulunabiliriz. Buna göre de inceleme yazılım ve donanımlarından hangilerine ihtiyaç duyacağımızı öngörebiliriz.

Bağlantı noktası sorunları; eskiden her marka telefonun ayrı bir giriş soketi varken artık USB/miniUSB kabloların daha fazla kabul görmeye başlaması adli bilişim uzmanlarının işini kolaylaştırmış gibi görünmektedir. Ancak her telefonun adli kopyasının (imajının) alınması için farklı yöntemler gerekmesi gerçeği (kablo ile, JTAG, bluetooth üzerinden vb.) değişmemiştir. Bu sebeple halen zorlayıcı bir durum olarak karşımıza çıkmaktadır.

Adli kopya (imaj) çeşidi; mobil incelemelerde mantıksal (dosya sistemi dahil) veya fiziksel (JTAG vb.) olarak farklı iki ana yöntem kullanılabilir durumdadır. Ancak incelenen cihazın marka ve modeline göre değişen bu imaj alma işlemleri arasındaki farklara göz atarsak;

image3

Fiziksel imaj alınması silinmiş verileri de geri getirebilme ihtimalini kapsadığı için en çok tercih edilen yöntemdir. Tabi diğer yöntemlerin de uygulanabilir olduğu durumlarda da çok değerli veriler elde edilerek, soruşturmalara büyük katkılar sağlanabilmektedir. Adli bilişim uzmanı elindeki mevcut imkanlarla en iyi sonucu almak için çaba göstermektedir. Bu konuda tek başına hareket etmek her zaman işleri zorlaştırmakta ve asimetrik bir dengesizlik olarak karşımıza çıkmaktadır.

Sonuç olarak teknoloji çok hızlı değişmekte ve suçlular bunu çok yakından takip etmektedir. İncelemelerde kendi geliştirdiğimiz yöntemleri uygulamaya çalışmak inceleme yükünü büyütmekte ve ticari yazılımlara olan bağımlılığı artırmaktadır. Adli bilişimle uğraşan kişilerin tecrübelerini ve geliştirdikleri yöntemleri hızlı bir şekilde paylaşacakları bir iletişim ağının (küresel düzeyde) olmayışı işleri biraz daha zorlaştırmaktadır. Bunları aşacak bir iş birliği platformunun uluslararası güvenlik teşkilatları bünyesinde hayata geçirilmesi ile biraz olsun bu zorlukların aşılmasına katkı sağlanabileceği değerlendirilmektedir.