CyberFlow Logo CyberFlow BLOG
Digital Forensics Analysis

Autopsy ile Dijital Adli Analiz: Adım Adım Rehber

✍️ Ahmet BİRKAN 📂 Digital Forensics Analysis

Autopsy ile dijital adli analiz sürecini öğrenin. Adımlarla nasıl doğru raporlar oluşturacağınızı ve verileri nasıl analiz edeceğinizi keşfedin.

Autopsy ile Dijital Adli Analiz: Adım Adım Rehber

Dijital adli analiz, düzgün bir rapor oluşturmak için gereklidir. Autopsy kullanarak, hem kanıt bütünlüğünü doğrulama hem de etkili bir vaka yönetimi sağlayabilirsiniz. Bu makalede, Autopsy ile adım adım rehber sunuyoruz.

Giriş ve Konumlandırma

Dijital adli analiz, günümüz siber güvenlik alanında kritik bir rol oynamaktadır. Bilgi güvenliğinin sürekli bir tehdit altında olduğu bu dönemde, dijital delillerin toplanması, korunması ve analiz edilmesi büyük bir öneme sahiptir. Bu bağlamda, Autopsy yazılımı, siber olaylara karşı yapılan yatırımlar arasında önemli bir araç olarak öne çıkmaktadır. Autopsy, dijital delilleri hızlı bir şekilde incelemek ve suçun aydınlatılmasında yardımcı olmak için tasarlanmış, açık kaynaklı bir adli analiz platformudur.

Dijital Adli Analizin Tanımı ve Önemi

Dijital adli analiz, özellikle dijital cihazlardan elde edilen verilerin incelenmesini kapsar. Savcılıklardan özel sektöre kadar birçok farklı alan, dijital delillerin adli süreçlerdeki önemini kavramıştır. Örneğin, bir siber saldırı sonrasında analiz yapmak, saldırının failini belirlemek ve zarar tespitinde adli analiz zorunludur. Bu süreçler, yalnızca suçluların tespiti ile sınırlı kalmaz; aynı zamanda organizasyonların iç güvenliğini ve itibarını korumak için de gereklidir.

Autopsy, bu sürecin hızlı ve etkili bir biçimde yürütülmesinde yardımcı olacak pek çok özellik sunar. Arayüzü ve güçlü modülleri ile analistlerin işlerini kolaylaştırmakta, dolayısıyla zaman ve maliyet tasarrufu sağlamaktadır.

Siber Güvenlik ve Pentesting Bağlamında Autopsy

Siber güvenlik alanında, dijital adli analizin yeri özellikle hilkat garibesi sorunlar ve cybercrime (siber suç) konularında ön plana çıkar. Pentest (penetrasyon testi) süreçlerinin sonunda ortaya çıkan zayıf noktaların değerlendirilmesi, sadece güvenlik açığı kapatma ile sınırlı kalmaz. Aynı zamanda, bu tür testlerin sonuçları üzerinden verilerin nasıl kötüye kullanılabileceğine dair öngörülerde bulunmak için de dijital adli analiz uygulanmalıdır.

Özellikle önemli verilerin ve kullanıcı bilgilerinin hedef alındığı günümüzde, bu tür vpentesting analizlerinde Autopsy gibi araçların kullanılması, olayların takip edilmesi ve öğrenilenlerin bir sonraki savunma stratejisine entegre edilmesi açısından kritik öneme sahiptir.

Autopsy ile Başlarken

Autopsy ile dijital adli analize başlamak için öncelikle gerekli izinlerin alınması ve güvenliğin sağlanması gerekir. Yazılım, fiziksel disk bölümlerine erişebilmek için yetkilendirme gerektirir. Kali Linux üzerinde sudo autopsy komutunu kullanarak yazılımı başlatabilirsiniz:

sudo autopsy

Bu komutu çalıştırdığınızda, genellikle localhost:9999 adresinde web tabanlı arayüze erişebilirsiniz. Buradan yeni bir olay oluşturmak için gerekli adımları takip edeceksiniz.

Olay Yönetimi ve Kanıt Bütünlüğü

Dijital adli süreç, iyi organize edilmiş bir olay yönetimi ile başlar. İlk adım, bir "case" (vaka) oluşturmak ve bunun etrafında tüm analitik süreci geliştirmektir. Vaka oluşturma süreci, vakanın adı, dosya numarası gibi temel bilgilerin tanımlanmasını içerir.

Ayrıca, kanıtların bütünlüğünü korumak oldukça önemlidir. İmaj dosyası içe aktarılırken, dosyanın bozulmadığını veya değiştirilmediğini kontrol etmek için hash değerleri kullanılması gerekmektedir. MD5 veya SHA algoritmaları gibi hash yöntemleri, analizin doğru bir şekilde yapılabilmesi için kritik veriler sunar.

Bu temel kavramların yanı sıra, Autopsy'nin en güçlü yanlarından biri olan Ingest Modülleri, arka planda otomatik olarak analiz işlemlerini gerçekleştirme yeteneğidir. E-postalar, web geçmişi ve silinmiş dosyalar gibi pek çok farklı veri türü, bu modüller aracılığıyla incelenebilir. Bu, analistlerin daha verimli çalışmasına ve daha kapsamlı sonuçlar elde etmesine yardımcı olur.

Autopsy ile dijital adli analiz süreçlerinde dikkat edilmesi gereken önemli bir diğer nokta da raporlama aşamasıdır. Analiz tamamlandığında, elde edilen bulguların bir araya getirilerek mahkemeye veya üst yönetime sunulacak bir rapor formatında düzenlenmesi gerekmektedir. Raporların HTML veya PDF formatında oluşturulması, bulguların daha anlaşılır ve etkili bir biçimde sunulmasını sağlar.

Sonuç olarak, Autopsy ile dijital adli analiz yapmak, sadece bir araç kullanmakla sınırlı değildir. Bu süreçte kazandığınız deneyimler, siber güvenlik alanındaki yetkinliğinizi artıracak ve sizi daha dayanıklı bir siber savunma mühendisi yapacaktır. Adım adım ilerleyeceğimiz bu rehberde, Autopsy'nin sunduğu tüm özellikleri ve uygulamaları ele alacağız.

Teknik Analiz ve Uygulama

Adım 1: Autopsy'i Yetkili Olarak Başlatma

Dijital adli analiz sürecinin ilk adımı, Autopsy uygulamasını yetkili bir kullanıcı olarak başlatmaktır. Kali Linux ortamında, bunu yapmak için terminalde aşağıdaki komutu kullanmalısınız:

sudo autopsy

Bu komut, Autopsy'yi süper kullanıcı olarak başlatır ve genellikle localhost:9999 adresinde bir URL sağlar. Bu URL üzerinden web tarayıcınızda analiz arayüzüne erişebilirsiniz.

Adım 2: Vaka (Case) Yönetimi

Autopsy sistemi kullanırken her şey bir vaka oluşturma ile başlar. Vaka oluşturmak, tüm analiz verilerinin ve günlüklerin düzenli bir şekilde tutulmasını sağlar. Bir vakanın temel bileşenleri şunlardır:

  • Vakanın adı: Analiz edilen olayın kimliğini belirler.
  • Dosya numarası: Belirli bir referansa ihtiyaç duyulduğunda kullanılır.
  • Ana dizin: Analiz dosyalarının saklanacağı klasör.

Bu adımları takip ederek yeni bir vaka oluşturabilirsiniz. Arayüzde 'New Case' seçeneğini bulup, gerekli bilgileri girmeniz yeterlidir.

Adım 3: Kanıt Bütünlüğünü Doğrulama

Bir imaj dosyası içe aktarılmadan önce, dosyanın herhangi bir bozulma veya değişikliğe uğramadığını doğrulamak için hash değerlerini kontrol etmek önemlidir. İmaj dosyanızı içe aktarırken MD5 veya SHA gibi hash algoritmalarını kullanarak bu değerleri doğrulamanız gerekecektir. Örneğin, belirli bir imajın hash değerini kontrol etmek için kullanılacak komut genel olarak şu şekildedir:

hashdeep -a -m <image_filename>

Bu, dosyanın bütünlüğünü sağlamak ve hukuki geçerliliğini korumak açısından kritik öneme sahiptir.

Adım 4: Ingest Modülleri (Otomatik Analiz)

Autopsy'nin en güçlü özelliklerinden biri, "Ingest Modules" olarak bilinen modüllerdir. Bu modüller, analiz sürecini otomatikleştirir ve birçok farklı veri kaynağını tarar. Örneğin, e-postaları, web geçmişini, kayıt defterini ve silinmiş dosyaları tarayabilir.

Bu modüller arasında en çok bilineni, dosyaların hash değerlerini bilinen suç veritabanlarıyla karşılaştıran modüldür. Tarama işlemi bittikten sonra, sol menüdeki 'Views' kısmından farklı veri türlerine ulaşabilirsiniz. Bu, analiz sürecinin çeşitlenmesine ve derinleşmesine olanak tanır.

Adım 5: Kanıt Türleri ve Analiz

Analiz süreci tamamlandığında, Autopsy, farklı veri türlerine ve kanıt kategorilerine göre ayrılmış bir analiz sunar. Örneğin, aşağıdaki bilgileri incelemek mümkündür:

  • Timeline: Dosyaların oluşturulma, erişilme ve silinme tarihlerinin kronolojik sırasıdır.
  • Deleted Files: Silinmiş ama hala dosya sisteminde kalan dosyalardır.
  • Keywords: Özel terimlerin veya veri parçalarının aranması için kullanılan anahtar kelimelerdir.

Bunlar, delil bulma ve analiz yapma sürecinde kritik roller oynar.

Adım 6: Raporlama (Final)

Analiz tamamlandığında, bulgularınızı raporlayarak resmi bir belge haline getirmeniz gerekir. Autopsy, analiz sonuçlarınızı mahkemeye veya üst yönetime sunulabilecek şekilde 'HTML' veya 'PDF' formatında rapor oluşturmanıza olanak tanır. Rapor oluşturmak için, "Generate Report" menü seçeneğini takip ederek gerekli ayarlamaları yapmalısınız.

Yukarıda bahsedilen adımlar, Autopsy ile dijital adli analiz sürecinin temel yapı taşlarını oluşturmaktadır. Bu süreçte dikkat edeceğiniz en önemli noktalar, kanıtın bütünlüğünü korumak ve elde edilen verileri kapsamlı bir şekilde analiz yapmaktır. Bu teknik bilgileri doğru bir şekilde uygulamak, başarılı bir dijital adli analiz için gereklidir.

Risk, Yorumlama ve Savunma

Dijital adli analiz süreçlerinde "Risk, Yorumlama ve Savunma" aşaması, elde edilen bulguların güvenlik boyutunu anlamak ve gerekli önlemleri almak açısından kritik bir öneme sahiptir. Bu bölümde, elde edilen bulguların yorumlanması, olası risklerin değerlendirilmesi ve bu risklere karşı alınabilecek önlemler üzerinde durulacaktır.

Elde Edilen Bulguların Güvenlik Anlamı

Dijital adli analiz, belirli bir olaya ilişkin verilerin toplanması, analiz edilmesi ve yorumlanmasını kapsar. Bu süreçte, Autopsy gibi araçlar yardımıyla elde edilen veriler, siber güvenlik açısından kritik bilgilere dönüşebilir. Örneğin, bir sızma olayında analiz edilen sistem logları, kimlerin ne zaman sisteme erişim sağladığını ve hangi dosyaların açıldığını gösterir. Aşağıda bu bulguların bazıları ve güvenlik anlamları daha detaylı incelenecektir.

Örnek: Sızma Olayı

Bir sızma olayı kaynaklı log dosyaları şu şekilde yorumlanabilir:

2023-10-01 10:00:00 User: admin logged in
2023-10-01 10:01:00 File access: sensitive_data.txt
2023-10-01 10:02:00 User: admin logged out

Bu tür log kayıtları, yetkisiz erişimlerin tespitinde ve potansiyel risklerin değerlendirilmesinde önemli bir rol oynar. Örneğin, "admin" kullanıcısının dikkat çekici bir dosyaya erişimi, bu kullanıcının kötü niyetli biri tarafından ele geçirilmiş olabileceğini düşündürebilir.

Yanlış Yapılandırma veya Zafiyet Etkileri

Herhangi bir siber güvenlik olayında, sistemlerdeki yanlış yapılandırmalar veya mevcut zafiyetler büyük riskler oluşturabilir. Özellikle ağ topolojisi ile ilgili hatalar, saldırganların ağda ilerlemesini kolaylaştırabilir.

Aşağıdaki örnek, bir yanlış yapılandırmanın etkisini göstermektedir:

Router Configuration:
- Port 22 open for external connections
- No access control lists implemented

Bu yapılandırma, uzaktan erişim için SSH (Port 22) kullanımını sağlarken aynı zamanda yetkisiz erişimlere de kapı aralamaktadır.

Sonuçlar: Sızan Veri, Topoloji ve Servis Tespiti

Elde edilen veri ve bulgular, sızma olayında nelerin etkilendiğini belirlemede önemli bir rol oynar. Örneğin, bir analiz sürecinde belirli dosyaların (şifreler, kişisel bilgiler) ifşa olması durumunda, risk düzeyi hızla artar. Ayrıca, ağ topolojisi gözden geçirildiğinde hangi servislerin potansiyel olarak hedef alınabileceği tespit edilebilir.

Bu nedenle, şunları göz önünde bulundurmak önemlidir:

  • Sızan Verilerin Türü: Kişisel hesap bilgileri, ödeme bilgileri veya gizli belgeler.
  • Ağ Topolojisi: Hedef alınabilecek zayıf noktalar (açık portlar, yetersiz güvenlik duvarı konfigürasyonları).
  • Hizmetlerin Durumu: Analize tabi tutulan hizmetlerin, güncel güvenlik yamaları ile korunup korunmadığı.

Profesyonel Önlemler ve Hardening Önerileri

Elde edilen bulguların analizi ve yorumlanması sonrasında, sistemin güvenliğini artırmak için çeşitli önlemler alınmalıdır. Aşağıda bazı profesyonel önlemler sıralanmaktadır:

  1. Güçlü Parola Politikaları: Kullanıcı hesapları için karmaşık parolalar belirlenmeli ve periyodik olarak güncellenmelidir.

  2. Erişim Kontrollerinin Uygulanması: Her kullanıcı için gerekli olan minimum erişim yetkileri ayarlanmalı ve düzenli aralıklarla gözden geçirilmelidir.

  3. Ağ Segmentasyonu: Network'deki kritik sistemler ve kullanıcılar birbirinden ayrılmalı, bu da saldırganların hareket alanlarını kısıtlar.

  4. Güvenlik Duvarı ve IDS/IPS Sistemleri: Bu sistemler, şüpheli aktiviteleri tespit etmek ve engellemek için kullanılmalıdır.

  5. Düzenli Güncellemeler: Tüm sistemlerde güncellemeler düzenli olarak kontrol edilmeli ve uygulanmalıdır.

Sonuç Özeti

Dijital adli analiz sürecinde elde edilen bulgular, potansiyel riskler ve bunlara karşı alınması gereken önlemler konusunda önemli bilgiler sunar. Yanlış yapılandırmalar ve zafiyetler, siber saldırılara zemin hazırlamakta ve bu nedenle sivil müdahale gerektirmektedir. Analiz sürecinde belirlenen sızma olayları ve veri kayıpları, sistemlerin güvenliğini artırmak için bir fırsat olarak değerlendirilmeli, profesyonel savunma stratejileri ile desteklenmelidir.