Autopsy - Disk adli analizi

Autopsy - Disk adli analizi

Giriş

Giriş

Siber güvenlik alanında, dijital delillerin toplanması, analizi ve yorumlanması süreci kritik bir öneme sahiptir. Bu süreçte kullanılan araçlardan birisi de "Autopsy" adlı disk adli analizi yazılımıdır. Autopsy, kullanıcıların dijital kanıtları toplamasına ve incelemesine olanak tanıyarak, özellikle suç soruşturmalarında ve güvenlik ihlallerinde önemli bir rol oynamaktadır.

Disk Adli Analizi Nedir?

Disk adli analizi, bilgisayarlardaki veya diğer dijital cihazlardaki verilerin, delil niteliği taşıyan unsurlarının tespit edilmesi ve incelenmesi anlamına gelir. Bu süreç, kaybolan veya silinen dosyaların, e-postaların, tarayıcı geçmişinin ve diğer önemli bilgilerin geri getirilmesini ve analiz edilmesini içerir. Adli analiz, hem hukuki hem de siber güvenlik bağlamında kritik bir rol oynamaktadır.

Neden Önemli?

Giderek dijitalleşen dünyamızda, siber suçlar artmakta ve bu durum, kurumsal güvenlik açığına yol açmaktadır. Adli analiz, bu tür durumların altında yatan nedenleri anlamak ve olayların aydınlatılması için gereklidir. Örneğin, bir şirketin müşteri verilerine yönelik bir saldırı gerçekleştiğinde, saldırının nasıl yapıldığını, saldırganın kimliğini ve zararın boyutunu tespit etmek için disk adli analizi yapılması gerekir.

Kullanım Alanları

Autopsy gibi adli analiz araçları, yalnızca suç soruşturmalarında değil, aynı zamanda veri ihlalleri, iç güvenlik, casusluk veya herhangi bir potansiyel siber saldırıya karşı önlem almak için de kullanılabilmektedir. Örneğin, bir organizasyonda çalışanların cihazlarındaki verilerin denetimi, olası iç tehditleri ortaya çıkarmak için disk adli analizi ile gerçekleştirilebilir. Ayrıca kişisel bilgisayar kullanıcıları, şüpheli aktiviteleri incelemek veya kaybolan dosyalarını kurtarmak için bu tür araçları kullanabilirler.

Siber Güvenlik Bağlamında Yeri

Autopsy, siber güvenlik uzmanlarının delilleri hızlı ve etkili bir şekilde incelemelerine olanak tanır. Bu bağlamda, zarar görmüş veya şüpheli cihazların analiz edilmesi hususunda önemli bir kaynak sağlar. Ayrıca, mevcut tehditleri belirleyerek saldırılara karşı önlem alınmasını sağlar. Özellikle hukuki soruşturmalar sırasında, elde edilen delillerin geçerliliği ve tutarlılığı açısından da önemli bir yere sahiptir.

Örneğin, bir siber saldırı sonrası elde edilen verilerin analizinde, Autopsy aracılığıyla aşağıdaki gibi bir komut çalıştırarak dosya sistemindeki değişiklikleri görebiliriz:

autopsy -analyze /dev/sda1

Bu komut, belirli bir disk bölümünde yapılan değişikliklerin tespit edilmesinde yardımcı olurken, aynı zamanda sistemin genel durumunu da analiz etme imkanı sunar.

Sonuç olarak, Autopsy ve disk adli analizi, dijital delillerin araştırılması ve korunması adına hayati bir rol oynar. Bu nedenle, siber güvenlik profesyonellerinin bu tür araçları etkili bir şekilde kullanabilmeleri, günümüzde her zamankinden daha önemli hale gelmiştir.

Teknik Detay

Autopsy: Disk Adli Analizi

Disk adli analizi, dijital delil toplama ve değerlendirme süreçlerinin temel taşlarındandır. Autopsy, bu bağlamda kullanıcı dostu bir arayüze sahip açık kaynaklı bir araçtır. Linux, macOS ve Windows sistemleri üzerinde çalışabilmesi, onu geniş bir kitle için erişilebilir hale getirir. Bu bölümde Autopsy’nin işleyiş mantığına, teknik bileşenlerine ve analiz yöntemlerine derinlemesine bakacağız.

Autopsy’nin Çalışma Mantığı

Autopsy, dosya sistemlerinin analizi ve veri kurtarma süreçlerini kolaylaştıran bir platform sunar. Analiz, genellikle şu aşamalardan oluşur:

1. Görüntüleme (Image Creation): Hedef diskten, soğuk veya sıcak görüntüleme yöntemleri ile bir imaj alınır. Bu imaj, gerçek zamanlı verilerin veya dosya sisteminin yanlışlıkla değiştirilmesini önler.

2. İmaj Yükleme: Alınan görüntü, Autopsy içerisinde yüklenir. Bu, kullanıcıların verileri yerel bir sistemde incelemesine katkı sağlar.

3. Dosya Sistemi Analizi: Autopsy, çeşitli dosya sistemlerini (NTFS, FAT, exFAT, EXT vb.) destekler. Analiz esnasında, dosya yapılandırmaları, dizin yapıları ve metadatalar gibi unsurlar detaylı olarak incelenir.

Kullanılan Yöntemler ve Teknik Bileşenler

Autopsy, disk adli analizinde birçok teknik bileşeni entegre eder. Aşağıda kullandığı başlıca teknik yöntemler sıralanmıştır:

• Dosya Kurtarma: Silinmiş dosyaların geri kazanımı, Autopsy tarafından gerçekleştirilen sıkça karşılaşılan bir işlemdir. Özellikle silinmiş dosyaların içeriklerini ve metadata bilgilerini analiz etmek kritik öneme sahiptir.

• Zaman Tıklama Analizi (Timeline Analysis): Dosyaların oluşturulma, değiştirilme ve silinme zamanlarıyla ilgili grafik oluşturma, delil sunumu için oldukça faydalıdır. Bu grafikler, olayların kronolojik sıradaki analizine olanak tanır.

# Zaman tıklama grafiklerini oluşturmak için kullanılan temel bir Python örneği
import matplotlib.pyplot as plt
import pandas as pd

# Zaman verisi
timestamps = pd.to_datetime(['2023-10-01', '2023-10-02', '2023-10-03'])
events = [3, 5, 2]

# Grafik oluşturma
plt.bar(timestamps, events)
plt.title('Olay Zaman Çizelgesi')
plt.xlabel('Tarih')
plt.ylabel('Olay Sayısı')
plt.show()

• Arama ve Filtreleme: Anahtar kelimelere dayalı arama ve farklı kriterlere göre filtreleme, yerel ve sistemden alınan verilerin gözden geçirilmesinde hız kazandırır. Aşağıdaki örnek, belirli bir dosya uzantısını bulma işlemidir:

-- Autopsy’de belirli uzantıya sahip dosyaları bulmak için SQL sorgusu
SELECT * FROM files WHERE extension = '.txt';

Dikkat Edilmesi Gereken Noktalar

• Veri Bütünlüğü: Analiz sırasında orijinal verilerin değiştirilmemesi kritik bir konudur. Alınan görüntünün hash değerinin kontrolü, veri bütünlüğünün sağlanmasında önemli bir rol oynar.

• Raporlama ve Delil Sunumu: Autopsy, analiz sonuçlarını raporlamak için çeşitli formatlar sunar (PDF, HTML vb.). Rapor, analiz sonuçları, kullanılan yöntemler ve elde edilen bulguları içermelidir.

Analiz Bakış Açısı

Dijital adli analiz, bir olayın kökenine inilmesi için veri temelli bir yaklaşım gerektirir. Analistin, yalnızca belirli dosyalar üzerinde değil, aynı zamanda dosya bağlantıları, tarihsel veriler ve sistem olayları gibi daha geniş bir çerçevede düşünmesi önemlidir.

Sonuç olarak, Autopsy, veri analizi, dosya kurtarma, zaman tıklama grafik oluşturma ve detaylı filtreleme gibi geniş bir araç yelpazesi sunarak disk adli analizini kolaylaştırmakta ve profesyonel kullanıcılara önemli olanaklar tanımaktadır. Etkili bir analiz süreci için, yukarıda belirtilen teknik unsurlar ve dikkat edilmesi gereken noktalar göz önünde bulundurulmalıdır.

İleri Seviye

Giriş

Disk adli analizi, siber güvenlik alanında kritik bir öneme sahiptir. Olay sonrası analiz süreçlerinde, şifreli dosyaların incelenmesinde ve hatta sızma testlerinde kullanılır. Autopsy, bu bağlamda güçlü bir araç olarak karşımıza çıkmaktadır. Bu bölümde, Autopsy'nin ileri seviye kullanımını, sızma testi yaklaşımını, analiz mantığını ve uzman ipuçlarını ele alacağız.

Autopsy Kurulumu ve Temel Yapılandırma

Autopsy, öncelikle Java ve Elasticsearch gerektirir. Kurulumdan sonra bu bileşenlerin doğru yapılandırıldığından emin olunmalıdır.

Temel Kurulum Adımları

1. Java 8+ ve Elasticsearch'i indirin.
2. Autopsy'yi resmi web sitesinden indirin.
3. Aşağıdaki komutlar ile Elasticsearch'i başlatın:

# Elasticsearch'i başlat
./bin/elasticsearch

4. Autopsy'i başlatın ve gerekli ayarları yapın.

Sızma Testi İçin Autopsy Kullanımı

Sızma testlerinde, hedef sistemin disk imajını analiz etmek için Autopsy'yi nasıl kullanacağınızı anlatacağız.

1. Disk İmajı Ekleme:

   Disk görüntüsü (.dd, .e01, vb.) içe aktarılmalıdır. Bu işlemi gerçekleştirmek için Autopsy arayüzünden "New Case" (Yeni Durum) butonuna tıklayın ve ardından "Add Data Source" (Veri Kaynağı Ekle) seçeneğini kullanın.

2. Veri Analizi:

   Elde edilen veriler üzerinde detaylı analiz gerçekleştirmek önemlidir. Örneğin, silinmiş dosyaları, dosya türlerini ve kullanıcı etkinliklerini inceleyebilirsiniz. Autopsy'de bu tür analizler için otomatik araçlar bulunmaktadır.

   Örneğin, silinmiş dosyaları analiz etme süreci aşağıdaki gibidir:

1. "Data Artifacts" bölümüne gidin.
2. "Deleted Files" seçeneğine tıklayın.
3. Listelenen dosyaları gözden geçirin ve kurtarma işlemi için uygun olan dosyayı seçin.

Gelişmiş Analiz Teknikleri

• Keyword Search (Anahtar Kelime Arama): Özel anahtar kelimelere göre arama yaparak ilgi çekici verileri tespit edebilirsiniz. Örneğin, belirli bir e-posta içeriği veya dosya adı ile ilgili sonuçları filtreleyebilirsiniz.

• Timeline Analysis (Zaman Çizgisi Analizi): Kullanıcı etkinliklerinin zamanlamasını incelemek, olayların nasıl meydana geldiğini anlamada kritik rol oynar. Autopsy, zaman çizelgesi oluşturmanızı sağlar.

Örnek Analiz Scripti

Aşağıdaki Python scripti, analiz sürecinizi otomatikleştirmenize yardımcı olabilir. Örneğin, belirli bir dosya türünü (örneğin, .pdf) bulmak için kullanılabilir:

import os

def search_files(extension, path):
    for root, dirs, files in os.walk(path):
        for file in files:
            if file.endswith(extension):
                print(f'Found: {os.path.join(root, file)}')

# .pdf dosyalarını aramak için
search_files('.pdf', '/path/to/your/image')

Uzman İpuçları

1. Metadata İncelemesi: Dosya sistemindeki meta verileri kontrol ederek kullanıcı etkinliklerini daha iyi anlayabilirsiniz.
2. Ağaç Yapısı Analizi: Dosya ve klasör yapısını inceleyerek, yetkisiz erişimlerin ve anormal değişikliklerin izlerini bulabilirsiniz.
3. Log Dosyalarının Analizi: Sistem loglarını ve kayıtlarını incelemek, daha geniş bir bağlamda olayları anlamanıza yardımcı olacaktır.

Sonuç

Autopsy, disk adli analizi ve sızma testi süreçlerinde güçlü bir araçtır. İleri seviye kullanım, profesyonel analiz yöntemleri ve uzman ipuçları ile birleştiğinde, siber tehditlere karşı etkili bir savunma mekanizması oluşturmanıza olanak tanır. Bu bilgileri uygulayarak, güçlendirilmiş bir adli analiz yeteneği geliştirilebilir.