NETWORK FORENSİC
Bilişim suçlarının araştırılmasında ve yargılanmasındaki en önemli hususlardan birisi dijital delillerdir. Dijital deliller, bir suçun nasıl olduğunu veya suçtaki kritik elemanları adresleyen teorileri destekleyen veya çürüten, bilgisayar sistemleri kullanılarak kayıt edilen veya iletilen veriler şeklinde tanımlanmıştır. Eskiden sadece bilgisayarlar üzerinden dijital delil almaya yönelik araştırmalar yapılırken, günümüzde bir birine entegre edilmiş sistemlerden oluşan bilgisayar ağlarının ve bu ağların gelişmesiyle ortaya çıkan İnternet’in bilişim aktivitelerinin temelini teşkil etmesiyle, bilgisayar ağları üzerinden dijital delil elde etmeye yönelik çalışmalar da yoğunlaşmış ve “Bilgisayar Ağlarına Yönelik Adli Bilişim” kavramı ortaya çıkmıştır.
Bilişim Suçlarındaki her geçen gün artışın bir sonucu olarak da “Adli Bilişim” kavramı son zamanlarda oldukça sık telaffuz edilen kavramlar arasında yerini almıştır. Bilişim suçlarındaki problemlerden birisi olan uluslar arası normlarda ortak tanım ve kanunların bulunmaması sorunu, adli bilişim kavramı için de geçerlidir.
Bu kavramın Türkçe’de de tam olarak karşılığının bulunmasında zorluk yaşanmaktadır. Adli bilişimi aslında bütün bilgi ve iletişim sistemleri üzerinde dijital delil elde etmeye yönelik yapılan araştırmalar olarak ele alırsak, konuyu bazı spesifik alt başlıklara ayırmamız mümkün olacaktır. En sık telaffuz edilen adli bilişim alt başlıklarını şu şekilde sıralayabiliriz.
-Bilgisayar Adli Bilişimi (Computer Forensics) : Daha çok bir bilgisayar üzerinde yapılacak araştırmalarla ilgilenir. Örneğin: Harddisk, RAM, İşletim sistemi üzerinde yapılacak araştırmalar.
-Bilgisayar Ağlarına Yönelik Adli Bilişim (Network Forensics) : Ağ sistemleri ve iletişimine yönelik incelemeyi kapsar.
-Bilgisayar Ağ Cihazlarına Yönelik Adli Bilişim (Network Device Forensics): Yönlendirici, Switch gibi cihazlar üzerinde yapılacak inceleme.
-İnternet Adli Bilişimi (Internet Forensics): Genel olarak internet kaynakları ve internet sistemleri üzerinde yapılan araştırma.
-Bilgi Adli Bilişimi (Information Forensics): Bütün olarak bilgiyi içeren her türlü materyali barındıran sistemler üzerinde yapılan inceleme.
Aslında kavram karmaşasındaki en büyük nedenlerden birisi, sayılan bu alt başlıkların birbirinden kesin çizgilerle ayırt edilememesidir. Örneğin bilgisayar ağlarına yönelik adli bilişim araştırması yaparken mecburen bilgisayar üzerinde, ağ aktif cihazları üzerinde ve İnternet üzerinde de araştırma yapılması gerekecektir.
Bilgisayar ağları üzerinde adli bilişim araştırması yapılabilmesi için öncelikle kablolu ve kablosuz bilgisayar ağ yapılarının çok iyi anlaşılması ve bu ağlardaki iletişimin temelinin iyi bir şekilde öğrenilmiş olması gerekir. Dolayısıyla bu bildiride ilk olarak bilgisayar ağlarındaki katmanlı yapı ile ilgili kısa bir ön bilgi verilecektir. Buna müteakip ardı ardına gelen iki bölümde adli bilişim açısından adresler ve taşıma katmanı değerlendirilecek ve 5. bölümde hedeften kaynağa stratejisi açıklanacaktır. Bölüm 6’ta bilgisayar ağlarına yönelik dijital delil elde edilebilecek yerlere kısaca göz attıktan sonra bölüm 7’de delillerin birleştirilmesi ve korelasyonundan ve bölüm 8’de hedefe ulaşma ve son delillendirme aşamasından bahsedilip sonuç bölümüyle makale sonlandırılacaktır.
KATMANLAR - OSİ ve TCP/IP
Kompleks sistem parçalarının birbirleriyle ilişkilerinin tanımlanması, anlaşılır yapılar oluşturmak, sistemlerin bakımını ve güncelleştirilmesini kolaylaştırmak ve farklı sistemlerin birbirleri ile iletişim kurabilmesi için bir zemin oluşturmak amacıyla bilgisayar ağ yapılarındaki işleyişin ortak bir katmansal yapıda tanımlanması düşünülmüştür.
1980 yılında ISO (International Standarts Organization – Uluslar arası Standartlar Organizasyonu) bu konuda çalışmalara başlamış ve 1984 yılında OSI (Open Systems Interconnection-Açık Sistem Bağlantıları) referans modeli ortaya çıkmıştır. Modelde yedi farklı katman tanımlanmıştır.
- Uygulama Katmanı
- Sunum Katmanı
- Oturum Katmanı
- Taşıma Katmanı
- Ağ Katmanı
- Veri İletişimi Katmanı
- Fiziksel Katman
OSI’ de her katman, bilgisayar ağları iletişiminde çözülmesi gereken problemleri tanımlar. Bu katmanlarda çalışan aygıt ve protokoller ise bu problemlere çözüm getirirler. OSI’ de üst katmanlara çıkıldıkça mantıksal işlemler ön plana çıkarken, alt katmanlara inildikçe fiziksel süreçler fazlalaşır. Dolayısıyla üst katmanlar kullanıcıya daha yakın olan katmanlardır.
Osi Katmanlarında İletişim Şekil 1
İnternet’in temel aldığı TCP/IP protokol kümesi, Amerikan Savunma Departmanı (Department of Defense-DoD) tarafından geliştirilmiştir. İnternet’te kullanılan TCP/IP modelinde ise OSI modelinin daha sadeleştirilmiş bir hali kullanılmaktadır. Bu modelde, OSI’deki oturum ve sunum katmanı da uygulama katmanına dahil edilmiş olup toplam dört katman, fiziksel katmanı da dahil edersek beş katman yer almaktadır.
Kısaca bu katmanların görevlerine bakacak olursak; en alt katman olan fiziksel katman, elektriksel bağlantılar ve sinyallerden oluşur. İkinci katman veri iletişim katmanıdır ve komşu düğümler arasında iletişimden sorumlu olup, çerçeveleme, hatta erişim, akış kontrolü, hata tespiti ve düzeltilmesi gibi servisler sunar. Üçüncü katman ağ katmanıdır. Temel görevi yönlendirme ve adreslemedir. Dördüncü katman uçtan uca iletişimden sorumlu olan taşıma katmanıdır. Bu katmanda genel olarak paketlerin uçtan uca iletişiminde bilgilendirme, tekrar iletişim, akış kontrolü, tıkanıklık kontrolü gibi servisler sunulur. En üst yani beşinci katman ise kullanıcıyla iletişim içinde olan uygulamaların çalıştığı uygulama katmanıdır. Bu katmanda ilgili veriler uygun uygulama tarafından kullanıcının anlayacağı biçime çevrilirler.
Kullanıcı tarafından uygulama katmanından giriş yapılan veriler, belirli anlamsal parçalar içerisine yerleştirilerek hatta aktarılırlar. Bu bir nevi göndereceğimiz mektubu zarf içerisine koymaya benzer. İletişim cihazlarının ağ üzerinden birbirleri ile haberleşmesinde ise biraz önce bahsettiğimiz gibi katmanlı bir yapı söz konusudur. Her katmanın kendine göre bir zarfı ve bu zarf üzerine yazdığı belirli bilgileri vardır. Teknik olarak zarfın içerisindeki bilgiye veri, zarfın kendisine ise başlık ismi verilir. Her katman kendi zarfını bir alttaki katmana iletir. Alttaki katman bu zarfı aldığında, kendi bilgilerini yazabilmek için zarfı tekrar ayrı bir zarf içerisine yerleştirir.
En son zarf hatta aktarılır ve hedef sisteme gönderilir, hedef sistemde, gelen zarf ilk olarak fiziksel katman tarafından alınarak açılmak üzere bir üst katmana aktarılır. Uygulama katmanına kadar zarflar teker teker açılarak en içteki veriler kullanıcıya aktarılır. Açılma esnasında her katman zarf üzerinden kendi ile ilgili olan bilgileri alır ve işler.
Zarf ve zarf içerisindeki bilgilerden oluşan anlamsal parçalar, bulunduğu katmana göre değişik isimler alırlar. Örneğin veri iletim katmanındaki parçaya çerçeve, ağ katmanındaki parçaya datagram veya paket ve taşıma katmanındaki parçaya ise genellikle segment denilmektedir. Biz bu makale boyunca daha anlaşılır olması açısından genel olarak paket kelimesini kullanacağız.
ADLİ BİLİŞİM AÇISINDAN ADRESLER
Ağ ve bilgi sistemleri üzerinden iletişime geçebilmek için, posta sisteminde olduğu gibi bir adresleme mekanizmasına ihtiyaç duyulur. Bu mekanizmada iki önemli adres vardır. Bunlardan birisi fiziksel adres, diğeri de IP adresidir. Fiziksel adres veri iletişim katmanında ele alınır ve asıl haberleşmede kullanılan adrestir. IP Adresi ise üçüncü katman olan ağ katmanında ele alınır. Bilgisayar ağlarına yönelik adli bilişim kapsamında ağ üzerinden yapılan bir bilişim suçunda kaynağa ulaşabilmek için bu iki adresi iyi bir şekilde anlamak büyük önem arz eder.
Günümüzde çoğu İnternet erişimi, önce yerel alan ağlar üzerinden başlar. Bu tip ağlarda iletişim ortak bir kanal (broadcast kanalı) üzerinden gerçekleşir. Dolayısıyla ortak paylaşılan bir kanala gönderilen bir çerçeve (frame), bütün istemcilere (host) ulaşır ama asıl istenen ağdaki sadece belirli bir istemcinin bu çerçeveyi alıp, işleme koymasıdır(veri iletişim katmanına gelen ilgili zarfı açıp ağ katmanına göndermek).
Bu yüzden veri iletişim katmanındaki başlık alanında, hedef makineyi belirtecek bir adrese ihtiyaç duyulmaktadır. Bu adrese fiziksel adres denir. Fiziksel adres yerel alan ağı adresi, Ethernet adresi, Mac adresi gibi değişik isimlerle de telaffuz edilmektedir. Çoğu yerel ağda bu adres 6 bayt, yani 48 bitten oluşmuştur ve onaltılık formatta “3C:5B:34:23:F4:A5” şeklinde yazılır. 48 bit 248 farklı fiziksel adres belirtebileceğimizi gösterir.
Aslında yerel ağdaki her makinenin değil, makine üzerinde bulunan ağ bağdaştırıcı kartının bir fiziksel adresi vardır. Fiziksel adresler biriciktir. Yani her kartın farklı bir fiziksel adresi vardır. Bu adresler ağ bağdaştırıcı kartının üreticisi tarafından kart üzerinde bulunan ROM’a yakılarak yazılırlar. Bu numaraları da IEEE düzenler. Firmaya 224’lük sabit bir numara verirler ve firma geriye kalan 3 baytını kendi kartlarında kullanır.
Peki neden IP adresi denilen ikinci bir adrese ihtiyaç duyuyoruz? Çünkü fiziksel adresler bir paketi, fiziksel olarak arasında bir bağ bulunan bir düğümden başka bir düğüme iletmeye, IP adresleri ise paketleri hedef ağa iletmeye yarar. IP adresinin hiyerarşik bir yapısı vardır. Daha iyi anlamak için posta örneğini düşünelim. Amerika’daki bir tanıdığımıza bir mektup göndereceğimiz zaman mektubun üzerine Amerika’daki adresi yazmamız gerekir. Fakat eğer bu mektubu teslim edece bir postane adresi bilmiyorsak ve etrafta da mektubu atacak bir posta kutusu yoksa o mektubu göndermemiz çok zor olacaktır.
Şimdi tam tersini düşünelim; mektubu verebilmek için gerekli postane adresini biliyoruz, fakat bu sefer de zarfın üzerine herhangi bir adres bilgisi yazmadık. Dolayısıyla mektup yine ilgili yere gönderilemeyecektir. İşte mektubun üzerine yazdığımız ülke, şehir, mahalle, apartman gibi hiyerarşik bir yapıya sahip olan adres IP adresi, postanenin adresi ise fiziksel adrestir.
Bizim için sadece hedef IP’yi ve mektubu vereceğimiz yerin fiziksel adresini bilmemiz yeterlidir. Gönderdiğimiz mektup arada bir çok düğümden geçer. Örneğin yine gerçek dünyadan benzetme yaparsak; Mektubu alan posta şubesi, onu ildeki merkezi şubeye gönderir. Merkezi şube bu mektubu alır ve üzerindeki hedef adresi bakar ve ülke çapındaki başka bir merkeze iletir.
Ülke çapındaki posta merkezi mektubu alır, üzerindeki adrese bakar ve Amerika’ya iletilmek üzere uygun gördüğü (belki de başka ülkede bulunan) bir posta merkezine aktarır ve sonunda posta hedefine ulaşır. Fakat ne postayı alanın, ne de postayı gönderenin arada olup bitenlerden haberi yoktur.
İşte bilgisayar sistemlerinde de durum bundan farksızdır. Uygulamalar birbirlerinin IP adreslerini öğrenirler ve bu adresi ağ katmanındaki zarfın üzerine yazarlar. Daha sonra bu zarfın düğümler arasında elden ele iletilmesini sağlayacak olan veri iletişim katmanında, her düğüm fiziksel olarak iletişimi olan komşu düğümün fiziksel adresini yazmak suretiyle paketi hedef sisteme iletirler.
Anlattığımız bu iletişimde dikkat edilmesi gereken en önemli husus, kaynak sistem ile hedef sistem arasında yer alan her düğüm, paketi alıp bir sonraki düğüme yönlendirirken veri iletim katmanında kaynak fiziksel adresi silip kendi fiziksel adresini paket başlığına yerleştirmektedir. Fakat üçüncü katmanda bulunan kaynak ve hedef IP adresi aynı kalmaktadır.
Bu, paketin cevabının tekrar kaynağa gelebilmesi için gerekli olan bir mekanizmadır. Dolayısıyla dijital delil elde etme anlamında, hedefe gelen paketten kaynağa yönelik elde edeceğimiz tek adres IP adresidir. Son paketten alacağımız fiziksel adres, sadece ve sadece bize paketi en son gönderen düğümün adresi olacaktır.
ADLİ BİLİŞİM AÇISINDAN TAŞIMA KATMANI
Yine dijital deliller açısından başka bir önemli katman da taşıma katmanıdır. Paketlerin taşıma katmanındaki başlığı incelenmek suretiyle iletişim hakkında bir çok bilgi elde edinilebilir. Örneğin kullanılan kaynak ve hedef kapılar incelenerek ilgili paketlerin hangi uygulamalara ait olduğu tespit edilebileceği gibi, bayrakların durumları incelenmek suretiyle ilgili paketlerin iletişime başlama paketi mi, kurulmuş bir bağlantı paketi mi, yoksa iletişimi sonlandırma paketi mi olup olmadığı anlaşılabilir.
Yine ardı ardına gelen paketlerin bayrak durumları incelenmek suretiyle, ilgili iletişimin normal bir iletişim mi, yoksa saldırı içerikli bir iletişim mi olduğu anlaşılabilir. Örneğin şekil 2’ye bakarsak, istemcinin sunucu bilgisayara ardı ardına SYN paketleri gönderip bağlantı isteğinde bulunurken, sunucudan gelen paketlere cevap vermediği görülüyor. Bu iletişim sonucunda istemci bilgisayarın, sunucu bilgisayara doğru bir SYN Saldırısı başlattığı görülmektedir.
Şekil 2
Taşıma katmanı başlığındaki dijital deliller açısında önemli olan başka bir husus da sıra (Seq. No.) ve onay (Ack. No) numaralarıdır. İletişim başlangıcında kaynak ve hedef sistem birbirlerine gönderdikleri ilk paket için rastgele bir sıra numarası belirlerler. İlk paketten sonraki bütün paketlerdeki sıra ve onay numaraları belirli bir kurala göre verilir. Dolayısıyla iletişimdeki bu numaraların da takibi bize bazı konularda ipuçları verebilmektedir.
HEDEFTEN KAYNAĞA
Ağ sistemleri kullanılarak işlenen bir bilişim suçunda, dijital delillendirmeye yönelik bir çok katman tarafından sorgulamaya yön verebilecek önemli bilgiler elde edilebilir. Ama kaynağı tespit etmede kullanılacak en önemli bilgi, ağ katmanındaki IP adres bilgisidir. Dolayısıyla bir suçluyu yakalayabilme adına yapılabilecek şeylerin başında, suçlunun ağ trafiğine yönelik elde edebildiğimiz kadar kaynak IP adresi ve bu IP adreslerinin kullanıldığı tarih ve saat bilgilerini ele etmek ve gerçekleştirilen eylemle ilgili bilgileri not almaktır.
Gün geçtikçe saldırılar daha da karmaşıklaşmaya başlamış ve saldırganların bilgisi de buna paralel olarak artmıştır. Dolayısıyla kaynak IP’yi tespit etmek aslında çok da kolay bir iş değildir. Saldırganlar günümüzde tespit edilmeye güçleştirmek için doğrudan hedefe gitmek yerine, birden fazla nokta üzerinden geçip hedefe yönelmektedirler.
Bu, saldırganın daha önceden ele geçirdiği kurban sistemler üzerinden olabileceği gibi, İnternet’te ücretsiz olarak bulunabilecek vekil (proxy) sistemler sayesinde de çok kolay bir şekilde gerçekleştirilmektedir. Tespit aşamasında izlenecek ilk strateji, hedeften kaynağa doğru geçilen bütün noktaları geriye doğru teker teker izlemektir.
Bu stratejideki en kritik nokta, üzerinden geçilen sistemlerin iyi bir şekilde kayıt tutması ve saat bilgilerinin doğru olması gereksinimidir. Diğer bir strateji ise eğer mümkünse, bir şekilde saldırganın bilgisayarıyla bire bir TCP bağlantısı gerçekleştirecek bir yol bulmak olacaktır. Bu da örneğin bir MSN sohbeti esnasında karşı tarafa bir dosya gönderip, kabul etmesi anında hattın dinlenerek IP adresinin tespit edilmesi şeklinde olabilir.
BİLGİSAYAR AĞLARI İLE İLGİLİ DİJİTAL DELİL KAYNAKLARI
Bilgisayar ağları ile ilgili dijital delilleri birçok yerden elde edebiliriz. Bunlar başlıca şu şekilde gruplandırılabilirler.
CLIENT SİSTEMLER
1- İşletim Sistemi Kayıtları Örneğin Windows işletim sistemindeki olay görüntüleyicisi veya Unix işletim sistemlerindeki syslog mesajları
2- Bellek Durumu Özellikle olay anında alınacak bellek içeriği bize çok değerli bilgiler verebilir.
3- Çalışan Aktif Süreçlerin Durumu
4- Ağ Bağlantılarının Durumu
5- Çalışan Uygulamalardan elde edilebilecek bilgiler Örneğin internet geçmişi, kayıt edilmiş hesaplar, bilgiler
6- Kayıt Alanlarındaki Bilgiler
SERVER SİSTEMLER
- Çalışan Sunucu Programının Kayıt Dosyaları (Web Sayfasına Erişim Kayıtları, Mail Sunucu kayıtları, Gateway NAT Kayıtları,) Bu gibi sistemlerde özellikle hangi IP’nin hangi tarihte ne gibi bir işlem yaptığı bilgisi çok önemlidir.
- Sistem logları (logon başarısızlığı, syslog mesajları) Bir çok işletim sistemi başarısız login girişimlerini kayıt etmektedir.
- Durum Tabloları Özellikle geçit olarak kullanılan sunucular üzerinde bir ağ iletişimine yönelik durum bilgeleri tutulduğu gibi, Windows’taki netstat gibi komutlarla hangi bilgisayarlarla iletişime geçildiği ve iletişimin hangi durumda olduğu bilgisi gibi çok önemli bilgilere ulaşılabilir.
NETWORK AKTİF CİHAZLARI
- Yönlendirici (Sistem aktiviteleri, bağlantıları, yönlendirmeler), Switch
GÜVENLİK SİSTEMLERİ
1- Doğrulama Sistemleri RADIUS, TACACS, VPN
2- Güvenlik Duvarı Sistemleri
3- Saldırı Tespit Sistemleri
4- Kayıt Sistemleri (Audit Systems Ör: Proxy)
5- Dinleme Sistemleri (Sniffer)
EMBEDED (GÖMÜLÜ) SİSTEMLER
Yine gömülü sistemler üzerinden elde edilebilecek deliller de çok önemlidir. Örneğin GPRS, GPS gibi sistemler, araçların nerede olduğunun tespiti için kullanıldığı gibi, araçların üzerine yüklenecek gömülü bilgisayar sistemine sahip modüller sayesinde aracın hızı, frenlerin durumu, etkiden önceki 5 saniye içerisindeki işlevler gibi bir kaza esnasında oldukça yararlı ve kazayı aydınlatıcı bilgilere ulaşılabilmektedir.
BİRLEŞTİRME VE KORELASYON
Mümkün olduğu kadar dijital delil topladıktan sonra yapılacak şey, elde edilen bütün bulguların birleştirilmesi ve arada anlamsal ilişkilerin kurulmasıdır. Bunun sonucunda elde edilecek olan somut şüpheli kayıtlara yönelik yeni bir aşama başlar. Buna İkincil Delil Toplama Aşaması diyebiliriz. İkincil delil toplama aşamasında amaç, hedefe daha çok yoğunlaşılarak yeni ve daha güçlü deliller elde edilmesidir. Birleştirme ve Korelasyon ile tekrar delil toplama aşaması sonuca götürücü kesin deliller elde edene kadar bir döngü şeklinde devam ederler.
HEDEFE ULAŞMA VE SON DELİLLENDİRME AŞAMASI
Elde edilen kesin sonuç ve adreslerden sonra, suça konu olan yere gidilerek cihazlara el konulur ve bunlar üzerinde bilgisayar ve cihaz adli bilişim teknikleri uygulanarak destekleyici delil elde edilmeye çalışılır ve son aşama olarak yapılan işlemler ve elde edilen bütün deliller yargılanmak üzere adli mercilere sevk edilir.
SON OLARAK
İnternet’in de gelişmesiyle birlikte günümüzde bilişim suçlarının bir çoğu bilgisayar ağları üzerinden işlenmektedir. Dolayısıyla bilgisayar ağlarına yönelik yapılacak adli bilişim incelemesi de bu bağlamda oldukça önemlidir. İyi bir inceleme yapabilmek için bilgisayar ağlarının temelleri çok iyi anlaşılmalıdır.
