Kamu Kurumlarında Dijital Adli Bilişimin Rolü ve Geleceği

by Volkan Yıldız
on Haziran 14, 2025

Kamu Kurumlarında Dijital Adli Bilişim: Temel Kavramlar ve Gelecek

Dijital adli bilişim, suç soruşturmalarında bilgisayarlar, sunucular, akıllı telefonlar ve diğer dijital cihazlardan delil toplama, verileri analiz etme ve bu bulguları yasal süreçlerde kullanacak şekilde raporlama sürecidir. Ben bu alanda çalışırken gördüm ki, delil zincirini (chain-of-custody) koruyarak ve verilerin bütünlüğünü sağlayarak her adımı kaydetmek çok önemlidir. Örneğin olay yerinde bir bilgisayarı incelerken, sürücüsünün birebir kopyasını (“imaj”) alırız ki orijinal veriyi bozmadan analiz edebilelim. Ardından elde edilen verileri özel yazılımlarla inceleyerek, olayın “kim, ne, ne zaman, nasıl” sorularına cevap verecek bulgulara ulaşırız. Kısacası dijital adli bilişimde amaç, dijital izleri toplayıp bilimsel yöntemlerle değerlendirmek ve gerektiğinde mahkemede kullanılabilecek sağlam raporlar hazırlamaktır.

Temel Kavramlar ve İşleyiş

Dijital adli bilişim süreci genel olarak toplama, inceleme, analiz ve raporlama aşamalarından oluşur. Önce olay yerinde ya da şüpheli sistemdeki dijital cihazları ele geçirir, bit-by-bit kopyalarını alırız. Sonra bu kopyalar üzerinde inceleme yapar, silinmiş dosyalar, e-posta kayıtları, internet tarayıcı geçmişi gibi ilgili verileri belirleriz. Analiz aşamasında ise topladığımız delilleri bir araya getirir, zaman çizelgesi çıkarır ve suç mekanizmasını anlamaya çalışırız. Örneğin bir bilgisayarda silinmiş bir dosyayı kurtardığımızda; dosyanın kim tarafından ve ne zaman oluşturulduğunu, kimler tarafından değiştirildiğini tespit ederiz. Son adım olarak da bulguları teknik olmayan kişilerle paylaşmak üzere raporları hazırlarız. Bu raporlar adliyede savcıya veya yargı mensuplarına sunulur.

Bu süreç boyunca hukuki kurallara uygunluk şarttır. Yetkili mahkeme kararı olmadan arama yapılamaz ve kişisel verilere saygı gösterilmesi gerekir. Kamu kurumlarında görevli siber güvenlik ve adli bilişim ekipleri, Ceza Muhakemesi Kanunu (CMK) gibi mevzuata uygun olarak hareket eder. Örneğin CMK’nın ilgili maddeleri, bilgisayar ve elektronik kayıtların nasıl aranacağını, kopyalanacağını ve inceleneceğini düzenler. Delil zinciri, “bu dijital delil kimin elinde, nerede, ne zaman ve nasıl korundu” bilgisini açıkça gösteren bir dokümandır. Benzer şekilde, toplanan verilerde bütünlüğü sağlamak için hash hesapları kullanılır ve tüm işlemler kayıt altına alınır. Kısacası dijital adli bilişimde teknik yöntem kadar yasal prosedürler de başarıyı belirler.

Dijital Adli Bilişim Kategorileri

Adli bilişim uygulamaları konusuna göre farklı dallara ayrılır. Kurumlarda genellikle şu kategoriler üzerinde çalışırız:

  • Disk ve Bellek (HDD/SSD ve RAM) Analizi

    Sabit diskler ve SSD gibi depolama aygıtlarının incelenmesine disk adli bilişimi denir. Disklerde belge, fotoğraf, program dosyaları ve sistem kayıtları gibi pek çok iz bulunur. Birçok durumda suçlu, dosyaları silerek izi saklamaya çalışır ancak bu işlemler diskin alt seviye verilerinde hâlâ iz bırakır. Biz disk imajlarını alıp, silinmiş dosyaların parçalarını birleştirmek için özel araçlar kullanırız. Bellek (RAM) adli bilişimi ise olay anındaki geçici verilerle ilgilidir. Örneğin kötü amaçlı yazılımlar, şifreleme anahtarlarını veya zararlı komut dosyalarını bellekte tutabilir. Ben bir vakada, bir sunucunun RAM dökümünü inceleyerek çalışan zararlı süreci tespit ettim; bu yöntem olası bir saldırının nasıl gerçekleştiğini anlamamıza yardımcı oldu. Disk ve bellek analizlerini bir arada yürütmek çoğu zaman saldırganın tüm izlerini ortaya çıkartır.

  • Ağ (Network) Analizi

    Ağ adli bilişiminde, ağ trafiği ve ağ cihazı logları incelenir. Kurumların güvenlik duvarları, yönlendiricileri ve sunucuları üzerinde bulunan günlük kayıtları (loglar), bir saldırının veya veri sızmasının izlerini taşır. Gerçek zamanlı paket yakalama (packet capture) uygulamaları sayesinde saldırganın nereye bağlantı kurduğunu veya hangi verileri gönderdiğini görebiliriz. Örneğin bir APT saldırısında (Gelişmiş Süreklilik Tehdidi), saldırganın merkezi komuta kontrol sunucusuna (C&C) bağlantı kurmak için kullandığı IP adresini ağ verilerinden tespit ederiz. Birbirini tamamlayan ağ ve cihaz logları, bir olayın zaman çizelgesini çıkarmak ve suçlu trafiği izlemek için çok değerlidir.

  • Mobil Cihaz Forensiği

    Akıllı telefonlar ve tabletler, artık pek çok olayda delil kaynağı. Mobil adli bilişim cihazdaki arama geçmişi, SMS/e-posta mesajları, GPS lokasyon kayıtları, tarayıcı geçmişi ve uygulama verileri gibi bilgileri kapsar. Biz uzmanlar, cihazların verilerini çıkarmak için özel donanım ve yazılımlar (örneğin Cellebrite UFED gibi) kullanırız. Bu araçlar telefonun işletim sistemini “kilitledikten” sonra bile uygulama içi verileri okuyabilir veya silinmiş mesajları kurtarabilir. Örneğin bir vakada Android telefonun şifresini çözmek için özel teknikler uyguladık ve fidye yazılımıyla şifrelenen tüm dosyaları açmayı başardık. Böylece telefonun sahibinin tüm önemli verilerini güvenli şekilde geri aldık. Günümüzde mobil veriler öylesine zengin kanıt kaynağı ki, üzerinde çalıştığımız pek çok dosya ve mesaj, resmi soruşturma için anahtar bilgi olabiliyor.

  • Bulut (Cloud) Forensiği

    Kurum verileri bulut sunucularında barındırıldığında bulut adli bilişimi devreye girer. Fiziksel donanıma erişim olmadığından Amazon AWS, Microsoft Azure veya benzeri servislerden sağlanan log ve imajlar kullanılır. Örneğin sanal makinelerin disk snapshot’ları veya bulut tabanlı veritabanı yedekleri olay analizinde toplanabilir. Bulut ortamında zaman damgaları, kullanıcı aktiviteleri ve ağ bağlantı logları incelenerek saldırı yolları izlenir. Gelecekte “bulut yerleşik adli bilişim (cloud-native forensics)” araçları, bu işlemleri otomatikleştirip hızlandıracak. Benzer olaylarda, buluttaki kimlik doğrulama kayıtlarını incelerken API çıktılarıyla bilgisayar loglarını yan yana getirerek saldırganın rota bulduğu anları tespit ettik.

  • Nesnelerin İnterneti (IoT) Forensiği

    Akıllı cihazların (IoT) sayısındaki hızlı artış, adli bilişimi yeni zorluklarla karşılaştırıyor. IoT adli bilişimi akıllı kameralar, otomasyon sistemleri, giyilebilir teknolojiler gibi özel cihazlardaki verileri inceler. Bu cihazlar genellikle standart olmayan işletim sistemleri kullanır ve çok çeşitli depolama yöntemlerine sahiptir. Cihazların üreticileri tarafından tutulan bulut kayıtları da bazen delil kaynağı olur. Örneğin bir güvenlik kamerası DVR’ın SD kartındaki video kayıtları ya da ağ üzerindeki kontrol ünitesine ulaşan komut logları incelenir. Benzer cihazlar genellikle geçici (uçucu) bellek kullanır; bu nedenle olay anında hızlı müdahale etmek lazım. IoT forensik analizinde çeşitlilik ve yüksek veri hacmi sorun yaratır; her cihazı kendi özel yöntemleriyle ele almak gerekiyor.

İleri Düzey Araçlar

Adli bilişimde birçok güçlü yazılım ve donanım aracı kullanılır. Bunlar arasında en sık rastladıklarımız şunlardır:

  • Autopsy: The Sleuth Kit’in grafik ara yüzü olarak bilinen açık kaynaklı bir adli bilişim platformudur. Disk imajlarını hızlıca analiz eder, dosya sistemlerini inceler ve silinen dosyaları kurtarmada etkilidir. Autopsy aynı zamanda e-posta, tarayıcı geçmişi gibi yaygın delil türleri için eklentilere sahiptir.

  • EnCase Forensic: Ticari bir paket olup adli bilişimde endüstri standardı olarak kabul edilir. EnCase, hard disklerden dosya sistemlerini bütün yönleriyle inceleyebilir; indeksleme ve gelişmiş arama özellikleri sayesinde binlerce dosya arasında delil ayıklamayı kolaylaştırır. Mahkemede kullanılan raporlama yetenekleriyle de bilinir.

  • FTK (Forensic Toolkit): AccessData ürünü olan FTK, özellikle güçlü indeksleme özelliğiyle büyük veri hacimlerinde öne çıkar. Dosya parçalama (file carving), e-posta analizi ve şifre çözme modülleri vardır. Biz FTK ile büyük kurumların depolama sistemlerinden hızlıca önemli verileri çekebiliyoruz.

  • Cellebrite UFED: Mobil cihaz forensik cihazı olarak yaygındır. Akıllı telefonlar ve tabletlerden düşük seviyeli veri çıkarmak, kilitli cihazların içeriğini elde etmek ve uygulama verilerini analiz etmek için kullanılır. Örneğin, WhatsApp yazışmaları, fotoğraf galeri, rehber kayıtları gibi bilgiler bu cihazla alınabilir. Cellebrite gibi araçlar, operatör izni veya şifreli kilitlere rağmen delilleri açığa çıkarabilme yeteneğine sahiptir.

  • Volatility: Bellek (RAM) adli analizine yönelik açık kaynaklı bir çerçevedir. Çalışan süreçleri, açık ağ bağlantılarını, şifreleme anahtarlarını RAM imajından çıkarma konusunda uzmanlaşmıştır. Örneğin olay sırasında çalışan kötü amaçlı bir yazılımın izlerini bellekten bu araçla bulmak mümkün olur.

  • Wireshark: Ağ trafiği analizinde kullanılan açık kaynaklı bir paket dinleme ve analiz programıdır. Gerçek zamanlı ağ paketlerini veya kaydedilmiş paket yakalama dosyalarını incelemeyi sağlar. Ağ forensik analizinde protokolleri detaylı inceleyerek saldırgan aktivitelerini açığa çıkarabiliriz.

Bu araçların yanı sıra pek çok başka açık kaynak veya ticari yazılım bulunur (X-Ways, Sleuth Kit, Belkasoft vb.). Genel olarak her araç farklı bir ihtiyaca cevap verir; bu yüzden biz genellikle olay tipine göre uygun araçları kombine ederek kullanırız.

Karşılaşılan Zorluklar

Dijital adli bilişimde bir de birçok teknik ve hukuki zorluk vardır. Benim gözlemlediğim başlıca problemler şunlardır:

  • Şifreleme ve Kriptografi: Günümüzde veriler ve iletişimler sıkı şifreleme ile korunuyor. Sabit disklerde BitLocker, VeraCrypt gibi disk şifrelemeleri, mesajlaşma uygulamalarında uçtan uca şifreleme bu durumu zorlaştırıyor. Eğer bir delil cihazında şifrelenmiş bölümler varsa, doğru anahtar olmadan verileri okumak imkansız hale gelebilir. Bu yüzden adli bilişim uzmanları sıklıkla şifreli ortamlardaki anahtarları bellekte bulma veya parola kırma yöntemleri geliştirir.

  • Anti-Forensic Yöntemleri: Suçlular izlerini silmek için çeşitli yöntemler kullanır. Örneğin silinen dosyaların üzerine rastgele veriler yazarak artık geri getirilemez hale getiren “karartma” araçları mevcuttur. Başka bir yöntem, dosya zaman damgalarını manuel olarak değiştirmektir (timestamp manipulation). Steganografi ile fotoğrafların içine veya videoların sessiz kayıtlarına gizli veri saklanabilir. Kısacası saldırgan, disk temizleyici yazılımlar, log temizleme araçları veya rootkit’ler kullanarak izlerini örtmeye çalışır. Biz ise farklı kaynaklardan (disk, bellek, ağ) çapraz kontrol yaparak bu tür kandırmacaları aşmaya uğraşırız.

  • Büyük Veri Yönetimi: Bir kamu kurumunda delillenecek veri miktarı inanılmaz büyük olabilir. Yüzlerce bilgisayar, sunucu, yüz binlerce e-posta, log dosyası ve şüpheli mobil veri… Bu devasa veri hacmini elle incelemek çok zaman alır. Bu yüzden otomatik arama, filtreleme ve sıralama araçlarına ihtiyaç var. Büyük veri ortamlarında etkili bir ön eleme ve otomasyon olmadan hayati bir kanıtı kaçırmak mümkün. Ayrıca olay sırasında toplanan verileri güvenli ve hızlı şekilde depolayıp analiz etmek de ayrı bir teknoloji gerektirir.

  • Hukuki ve Prosedürel Engeller: Adli bilişim çalışmalarında kanunlara ve etik ilkelere uymak şarttır. Şüpheli bilgisayarlara el koymak, veri analizine başlamak için yetkili bir mahkeme kararına veya savcı iznine ihtiyaç duyulur. İzinsiz olarak ele geçirilen deliller mahkemede geçersiz sayılabilir. Ayrıca delilleri işlerken gizlilik haklarına riayet etmek gerekir. Özellikle bulut hizmetlerinde tutulan veriler söz konusu ise, farklı ülkelerdeki yasalara uyum sağlamak zor olabilir. Tüm bu sebeplerle adli bilişim uzmanları teknik becerilerinin yanı sıra yasal mevzuat bilgisine de sahip olmalıdır.

Gerçek Vakalar ve Tecrübeler

Bu alanda çalıştıkça çok farklı olayla karşılaşıyorum. Örneğin bir kamu kurumuna yönelik APT tipi saldırı analizinde başıma gelenler hâlâ aklımda. Saldırganlar, kuruma sızmak için uzun süre gizlice çalışmıştı. Diskte hiçbir dosya bırakmamış, sürekli veriyi silip yeniden oluşturmuşlardı. Biz işine kullanışlı bir bellek dökümü aldık ve RAM üzerinde zararlı yazılımın şifreli bir bölümünü yakaladık. Bu şifreli veri, çözülünce saldırganın dış dünyayla iletişim kurduğu C&C sunucusunun adresini ortaya çıkardı. Böylece olayın tüm zincirini baştan sona çıkarabildik. Bir başka gerçek vakada ise mobil fidye yazılımı ile uğraştık. Kriterimiz Android telefon içine gizlenmiş bir virüs telefon kilitlemiş, bütün resimler şifrelenmişti. Biz cihazdan veri çıkarmak için Cellebrite gibi bir cihaz kullandık. Sonrasında bellek imajındaki şifreleme anahtarını elde ederek fidye kodunu çözdük. Sonuçta, telefon sahibinin önemli verileri başarıyla kurtuldu. Bu tür vakalar gösteriyor ki adli bilişim uzmanları olarak her gün yeni teknikler öğreniyoruz ve farklı kaynaklardan kanıt toplayarak olayların arkasındaki gerçeği aydınlatmaya çalışıyoruz.

En İyi Uygulamalar

Adli bilişimde başarılı olmak için bazı yöntemleri rutin hale getirmişizdir. Benim ve ekip arkadaşlarımın benimsediği en önemli uygulamalar şunlardır:

  • Çok Katmanlı Analiz: Verileri bir tek kaynaktan değil, birden çok kaynaktan toplarız. Örneğin disk imajı, bellek dökümü, ağ logları ve mobil cihaz verilerini birlikte karşılaştırmak saldırının tüm seyrini gösterir. Bu sayede bir kaynaktaki eksik bilgi diğerinden tamamlanabilir. Bir olayda disk analizinden kopan bir parça dosya ağ kayıtlarında bulunabilir ya da tersine; bellek incelemesi eksik kalan lojikleri tamamlayabilir.

  • Otomasyon ve Standardizasyon: Büyük veriyle başa çıkmak için otomatik araçlar kullanırız. Örneğin olay dosyalarını önceden yapılandırılmış bir iş akışı içinde tarayan, belirli imza veya anahtar kelime arayan yazılımlar çok işe yarıyor. Ayrıca her adımın kayıt altına alındığı ve tekrarlanabilir olması için standart işletim süreçleri (SOP – Standard Operating Procedures) uygularız. Böylece farklı bir ekip üyesi de bizim adım adım ne yaptığımızı kolayca anlayıp sürece dâhil olabilir.

  • Purple Teaming (Mor Takım): Güvenlik dünyasında “Mor Takım” yaklaşımı, savunma (mavi takım) ve saldırı (kırmızı takım) ekiplerinin birlikte çalışması demektir. Biz adli bilişimciler de benzer şekilde siber saldırıları simüle eden kırmızı ekip üyeleriyle koordineli çalışıyoruz. Bu işbirliği sayesinde, önceden bilinmeyen zayıflıkları tespit edebiliyor ve bu zayıflıkların gerçek bir saldırıda nasıl ortaya çıkacağını adli analiz açısından test edebiliyoruz. Yani saldırganların kullandığı taktikleri öğrenerek biz savunmacılar da bu izleri daha hızlı yakalamayı öğreniyoruz.

  • Eğitim ve Bilinçlendirme: Sürekli değişen teknolojiler karşısında uzmanlar olarak kendimizi sürekli eğitiyoruz. Özellikle siber suçları önlemek isteyen kurumlarda, yazılım ve donanım güncellemeleri ile güvenlik politikalarının uygunluğu çok önemli. Biz bir yandan da kurum personelini şüpheli aktiviteler konusunda bilinçlendirmek için çalışmalar yaparız. Sonuçta iyi bir önleyici tedbir, ortaya çıkabilecek bir olayı büyük ölçüde kolaylaştırır.

Bu uygulamaları birleştirdiğimizde, çok katmanlı ve disiplinler arası bir yaklaşım elde ediyoruz. Hem teknik hem de organizasyonel açıdan hazırlıklı olmak, adli bilişim sürecini sağlam kılıyor.

Geleceğe Dair Öngörüler

Teknoloji hızlı ilerliyor ve adli bilişim de sürekli evriliyor. Gelecekte dikkat etmemiz gereken bazı trendler şunlar:

  • Bulut Tabanlı Forensics: Kurumların veriyi bulutta depolaması arttıkça, bulut ortamları için özel adli araçlar gelişecek. Örneğin AWS veya Azure üzerinde otomatik iz toplama, log korelasyon çözümleri yaygınlaşacak. Yapay zeka destekli bulut güvenlik sistemleri, saldırgan hareketini gerçek zamanlı fark etmemizi sağlayacak ve olaya daha hızlı müdahale edebileceğiz.

  • Blockchain Tabanlı Delil Saklama: Blockchain teknolojisi güvenli, değiştirilemez kayıt tutma imkanı sunduğu için delil zinciri uygulamalarına dahil edilebilir. Düşünün, toplanan her dijital delil bir blok üzerinde saklanıp şifrelenebilir ve kimse bilgileri geriye dönük değiştiremez. Bu, adli raporların güvenilirliğini artıracaktır. Şimdiden bazı projeler delil metadatasını blockchain üzerinden kayıt altına alarak kanıtlara açıklık getirmeyi hedefliyor.

  • Yapay Zeka ve Makine Öğrenimi: Gelecekte adli bilişim analizlerinde otomasyon daha da öne çıkacak. AI, büyük veri yığınlarından anomalileri otomatik bulacak, sesli/video delilleri metne çevirecek. Bir phishing e-postasını veya bilinmeyen bir zararlıyı hızlıca tanımlamak için makine öğrenimi modelleri kullanılacak. Ben birkaç raporlu senaryoda zaten basit otomatik analitik betikler yazdım; bu yöntemler geliştikçe kompleks olayları çok daha hızlı çözebileceğiz.

  • Konteyner ve Sunucusuz (Serverless) Adli Analiz: Bulut bilişimde sunucusuz mimariler ve konteyner kullanımı yaygınlaştıkça, olay incelemeleri de bu teknolojilere uyumlu olacak. Örneğin Docker konteyner imajlarından ve Kubernetes loglarından delil çıkarma yöntemleri gelişecek. Sunucusuz fonksiyon (serverless) incelemede olay zamanlaması kritik olacak; çünkü bu fonksiyonlar çok kısa süre çalışıyor. Bu alanda yeni araçlar ortaya çıkacak.

Adli bilişim uzmanları olarak, bu yeni eğilimleri yakından izliyoruz. Benim gözlemime göre önümüzdeki yıllarda bulut yerleşik forensik araçları yaygınlaşırken, blockchain ve yapay zeka delillerin toplanması ve analizinde devrim yaratacak. En önemlisi, her yenilik bize olayları daha şeffaf ve hızlı çözme imkanı sunuyor. Kamu kurumlarında görev alan bizler için ise bu öngörüler, hem teknolojik altyapımızı hem de eğitim düzeyimizi sürekli güncel tutmamız gerektiğini gösteriyor.

Sonuç olarak, dijital adli bilişim alanında çalışmak dinamik ve zorlu bir süreç. Ben bu alanda edindiğim tecrübelerden gördüm ki, disiplinli bir analiz, güçlü teknik araçlar ve yasal çerçeve bilgisi sayesinde suçları aydınlatmak mümkün oluyor. Gelecekte de biz adli bilişimciler, teknolojik gelişmeleri yakından takip edip yeni yöntemler öğrenerek siber suçlarla mücadelede ön saflarda yer alacağız.

Categories:

Metin

Tags:

Adli AnalizAdli Bilişim AraçlarıAdli Bilişim RaporlarıAdli Bilişim UzmanıAğ ForensiğiAğ Trafiği AnaliziAPT SaldırılarıAutopsyBulut ForensiğiCellebriteCeza Muhakemesi KanunuDelil ZinciriDijital Adli BilişimDijital DelilDijital İzlerDijital SoruşturmaDisk AnaliziDosya KurtarmaE-Devlet GüvenliğiElektronik KanıtlarEnCaseEtik İlkelerForensicsFTKGüvenlik Duvarı LoglarıGüvenlik Politikalarıİleri Düzey Forensicsİnternet GüvenliğiIoT Forensik AnaliziKamu KurumlarıKötü Amaçlı YazılımlarKripto Para ve Adli BilişimKriptografiMobil Cihaz ForensiğiOlay Yeri İncelemePhishingRAM Forensik AnaliziSiber GüvenlikŞifrelemeSteganografiVeri Bütünlüğüveri kurtarmaVeritabanı GüvenliğiWiresharkZaman DamgasıZarar Verici YazılımZayıf Nokta Tespiti

No responses yet

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir