CyberFlow Logo CyberFlow BLOG
Digital Forensics Acquisition

Guymager ile Adli İmaj Alma Sürecini Anlayın

✍️ Ahmet BİRKAN 📂 Digital Forensics Acquisition

Guymager ile adli imaj alma yöntemlerini öğrenin. Veri bütünlüğü, hash hesaplamak ve çoklu izlek kullanımı gibi konulara dair temel bilgiler.

Guymager ile Adli İmaj Alma Sürecini Anlayın

Guymager, adli imaj alma alanında önemli bir araçtır. Bu yazıda, imaj alma sürecinde dikkat edilmesi gereken adımlar, veri bütünlüğü ve koruma yöntemleri hakkında bilgi veriyoruz.

Giriş ve Konumlandırma

Guymager, dijital adli bilişim alanında kritik bir rol oynamaktadır ve adli imaj alma sürecinde kullanılan uzman bir araç olarak öne çıkmaktadır. Bu süreç, siber güvenlikteki ihlalleri ya da dijital delilleri analiz etmek için gerekli olan verilerin korunmasını ve bütünlüğünü sağlamak amacıyla gereklidir. Adli imaj alma, dijital cihazlardan (hard diskler, USB bellekler gibi) ham verilerin elde edilmesi işlemi olup, bu süreçte her adımın dikkatlice yönetilmesi gerekmektedir.

Neden Önemlidir?

Siber güvenlik alanında, adli imaj alınması yalnızca bir veri alma işlemi değil, aynı zamanda kanıtların yasal geçerliliğinin sağlanması açısından da kritik bir süreçtir. Olay sonrası incelemelerde elde edilen dijital deliller, hukuki süreçlerde önemli bir yere sahiptir. Veri bütünlüğü sağlanmadığında, elde edilen bilgiler geçerliliğini yitirir ve bu durum, yasal süreçlerde olumsuz sonuçlar doğurabilir. Guymager, bu süreçteki en temel araçlardan biri olarak, kullanıcıların verileri güvenli bir şekilde imaj almasını ve işlemesini sağlamaktadır.

Siber Güvenlik ve Pentesting Bağlamında

Pentesting (penetrasyon testi), sistemlerin güvenliğini sınamak için gerçekleştirilen simüle edilmiş saldırılardır. Adli imaj alımı, pentest sırasında elde edilen verilerin analiz edilmesi ve yorumlanmasında kritik bir bileşen olarak varsayılan saldırı sonrası delillerin sağlıklı bir şekilde sunulabilmesini sağlayarak, sistemlerin güvenlik zafiyetlerini gözler önüne serer. Bu bağlamda, Guymager gibi araçların kullanılması, siber güvenlik uzmanlarının veri toplama ve analiz sürecini kolaylaştırmaktadır.

Teknik İçeriğe Hazırlık

Guymager ile adli imaj alma süreci birkaç adımda açıklanabilir. İlk olarak, Guymager'ın yetkili bir şekilde başlatılması gerekmektedir. Bunun için 'pkexec' aracı kullanılmalıdır. Örnek bir komut şu şekildedir:

pkexec guymager

Bir sonraki adımda ise, imaj formatlarının seçilmesi önemlidir. Guymager, üç ana formatı desteklemektedir: .dd, .E01 ve AFF. Bu formatlar, veri bütünlüğü sağlamak açısından farklı avantajlar sunar:

  • Linux dd (.dd): Diskin birebir ham kopyasıdır. Genel olarak her araçla uyumludur.
  • EWF (.E01): Expert Witness Format. Veriyi sıkıştırarak içinde meta veri barındırır.
  • AFF: Advanced Forensic Format, açık kaynaklı ve esnek bir yapıya sahiptir.

Veri bütünlüğünün sağlanması için imaj alma sırasında hash algoritmalarının kullanımı kritik öneme sahiptir. Guymager, aynı anda birden fazla hash hesaplayabilme yeteneği ile işlem sürecini daha güvenilir hale getirir. Hash hesaplama için sıklıkla MD5 ve SHA-256 gibi standart algoritmalar kullanılmaktadır.

İşlem kaydı da temel bir bileşen olarak öne çıkar. İmaj alma işlemine başlamadan önce 'Case Number', 'Examiner' ve 'Evidence Number' gibi bilgilerin girilmesi, imajın yanında bulunan .info dosyasına kaydedilmesi gerekmektedir.

Adli imaj alım sürecindeki bir diğer kritik nokta ise, veri edinimi sırasında hedef diske yanlış bir yazma işlemi gerçekleştirilmemesidir. Bu tür bir hata, kanıtın hukuki geçerliliğini tamamen yok edebilir. Bu nedenle, güvenlik önlemleri almak adına yazma engelleyici donanımlar (hardware write blocker) kullanılabilir.

Son olarak, Guymager, işlemci çekirdeklerini paralel kullanarak imaj alma hızını artırma özelliğine sahiptir. Çok büyük disklerde bu özellik sayesinde zaman kazanmak mümkündür.

Bu giriş bölümü ile birlikte, Guymager ile adli imaj alma sürecinin teknik detaylarına dair bir anlayış oluşturduk. Sonraki bölümlerde, her adımın detayları ve uygulama aşamaları üzerinde daha kapsamlı olarak duracağız.

Teknik Analiz ve Uygulama

Adım 1: Guymager'ı Yetkili Olarak Başlatma

Guymager, adli imaj alma işlemlerinde kritik bir öneme sahiptir. Programın doğru çalışabilmesi için öncelikle root yetkileriyle başlatılması gerekmektedir. Bu, diske doğrudan erişim sağlamak ve ham verileri okumak için zorunludur. Aşağıdaki komutla Guymager'ı başlatmak mümkündür:

pkexec guymager

Bu komut, kullanıcıdan root yetkilerini istemekte ve Guymager uygulamasını grafik arayüzü ile başlatmaktadır.

Adım 2: İmaj Formatlarını Tanıma

Guymager, adli imaj alma işlemleri sırasında farklı imaj formatlarını desteklemektedir. Üç ana format şunlardır:

  1. Linux dd (.dd): Sıkıştırılmamış bir format olup, diskin birebir ham kopyasını içerir. Her türlü forensik araçla uyumludur.
  2. EWF (.E01): Expert Witness Format, veriyi sıkıştırır ve içinde meta veri barındırır. Bu format, EnCase standardını esas alır.
  3. AFF: Advanced Forensic Format, açık kaynaklı ve esnek bir adli imaj formatıdır.

Bu formatların her biri, özellikle adli bilişimde veri bütünlüğü sağlamak ve taşınabilirliği artırmak için önemli avantajlar sunar.

Adım 3: Veri Bütünlüğü ve Hash (Özet)

Veri bütünlüğü, adli imaj alma işleminin en kritik unsurlarından biridir. İmaj alırken, orijinal diskin içeriğinin değişmediğini kanıtlamak için hash algoritmaları kullanılmaktadır. Guymager, aynı anda birden fazla hash hesaplama yeteneğine sahiptir. Standart olarak kullanılabilecek hash algoritmaları arasında MD5 ve SHA-256 bulunmaktadır.

Bu hash değerleri, imaj alma sürecinin güvenilirliğini sağlamak ve sonraki incelemelerde veri bütünlüğünü doğrulamak amacıyla kullanılır.

Adım 4: İşlem Kaydı (Metadata)

İmaj alma işlemi başlamadan önce, imajın kaydedilmesi gereken bazı temel bilgilerin belirlenmesi gerekir. Bu bilgiler arasında "Case Number" (Dosya Numarası), "Examiner" (İncelemeci) ve "Evidence Number" gibi veriler bulunmaktadır. Bu bilgiler, imajın yanı sıra oluşturulan .info dosyasına kaydedilir.

İşlem kayıtları, her adli sürecin izlenebilirliğini güvence altına almak ve doğru bilgilerin kaydedilmesini sağlamak için zorunludur.

Adım 5: Donanımsal vs Yazılımsal Koruma

Veri edinimi sırasında, hedef diske yanlışlıkla bir bayt bile yazılması, kanıtın hukuki geçerliliğini yok edebilir. Bu nedenle, fiziksel ve yazılımsal koruma yöntemleri kullanmak son derece önemlidir.

  1. Hardware Write Blocker: Fiziksel olarak yazma komutlarını engelleyen en güvenilir donanımdır. Adli bilişimde sıklıkla tercih edilir.
  2. Software Write Block: İşletim sistemi seviyesinde diski "Salt Okunur" (Read-Only) olarak bağlamak için kullanılır.

Bu koruma yöntemleri, kanıtların bozulmadan alınmasını sağlar ve adli inceleme süreçlerinde güvenilirliği artırır.

Adım 6: Çoklu İzlek (Thread) Kullanımı

Guymager, işlemci çekirdeklerini paralel şekilde kullanarak imaj alma hızını artırabilmektedir. Özellikle büyük disklerde bu özellik zaman kazanmak için oldukça faydalıdır. Özel bir yapılandırma dosyası ile 4 iş parçacığı kullanarak Guymager’ı başlatmak için aşağıdaki gibi bir komut kullanılabilir:

guymager cfg=custom.cfg CompressionThreads=4

Bu komut, işlemci çekirdeklerinin etkin bir şekilde kullanılmasını sağlar ve imaj alma süresini kısaltır.

Sonuç

Guymager ile adli imaj alma süreci, detaylı bir teknik anlayış ve dikkat gerektiren bir süreçtir. Yukarıda bahsedilen adımlar, imaj alımının nasıl gerçekleştirilmesi gerektiği üzerine kapsamlı bir bakış sunmaktadır. Veri bütünlüğü ve güvenlik konuları, her zaman önceliklidir; bu nedenle doğru adımların atılması, adli incelemelerde hayati önem taşımaktadır.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında, özellikle adli bilişimde, elde edilen verilerin yorumlanması ve bu verilerin doğruluğu kritik öneme sahiptir. Guymager uygulaması ile yapılan adli imaj alma işlemi sırasında, çeşitli riskler ve zafiyetler göz önünde bulundurulmalıdır. Bu bağlamda, yapılan her bir adımın sonuçları dikkatlice değerlendirilmelidir.

Verilerin Anlamı ve Yanlış Yapılandırmalar

Guymager uygulamasıyla elde edilen verilerin güvenlik anlamı, incelenen verilerin bütünlüğü ile doğrudan ilişkilidir. Örneğin, adli imaj alma işlemi sırasında orijinal diske yanlış bir yazım yapılması durumunda, bu işlemin hukuki geçerliliği tamamen geçersiz hale gelebilir. Bu, kanıtların değerlendirilebilirliğini etkileyen büyük bir risk oluşturmaktadır.

Yanlış yapılandırmalar, özellikle hash hesaplamaları ve metadata bilgileri gibi kritik unsurları içerdiğinde, siber güvenlikte ciddi sonuçlar doğurabilir. Yanlış bir hash algoritması kullanılması veya meta verilerin eksik bırakılması, elde edilen görüntünün doğruluğunu sorgulanabilir hale getirir. Aşağıda örnek bir yapılandırma ile Guymager'ı başlatan bir hata durumu gösterilmektedir:

pkexec guymager cfg=wrong_config.cfg

Bu komut, yanlış bir yapılandırma dosyası kullanıldığında, imaj alma sürecinin hatalı bir şekilde gerçekleşmesine yol açabilir. Bu nedenle, doğru yapılandırma dosyasının belirlenmesi ve kullanılması esastır.

Sızan Veriler ve Topoloji

Guymager ile yapılan imaj alma işlemi sonrasında elde edilen verilerin analizi, sızan veri türleri, sistem topolojisi ve hizmetlerin tespiti açısından önemlidir. Elde edilen imajlar, sistemdeki fiziksel ve mantıksal yapıyı incelemek için kullanılmaktadır. Örneğin, bir sistemde yazılımsal veya donanımsal bir zafiyet tespit edildiğinde, bu zafiyetin hangi verileri etkilediği ve bu verilerin ne ölçüde sızdırıldığı değerlendirilmelidir.

Profesyonel Önlemler

Adli imaj alma sürecinde gerçekleştirilecek hardening (sertleştirme) önerileri şu şekilde sıralanabilir:

  1. Donanım Yazma Engelleyici Kullanımı: Fiziksel yazma engelleyicilerin (Hardware Write Blockers) kullanılması, orijinal disk üzerinde herhangi bir değişiklik olma riskini ortadan kaldırır. Bu, hukuki geçerlilik açısından oldukça önemlidir.

  2. Veri Bütünlüğü için Hash Kullanımı: İmaj alma işlemi esnasında en az iki farklı hash algoritması (MD5 ve SHA-256 gibi) ile veri bütünlüğü sağlanmalıdır. Bu, alınan imajın orijinal diskle karşılaştırılması için gereklidir.

  3. Çoklu İzlek (Thread) Kullanımı: Guymager, işlemci çekirdeklerini paralel kullanarak imaj alma işlemini hızlandırabilir. Bu özellik, büyük boyutlu disklerde süreçlerin daha hızlı tamamlanmasını sağlar. Örneğin, aşağıdaki gibi bir komutla 4 izlek kullanabilirsiniz:

guymager cfg=custom.cfg CompressionThreads=4
  1. Güvenli İmaj Formatları: Guymager tarafından desteklenen imaj formatları olan .dd, .E01 ve AFF kullanılmalıdır. Bu formatlar, veri kaybını minimize eder ve ihlal durumlarında verilerin geri kazanımını kolaylaştırır.

Sonuç Özeti

Guymager ile yapılan adli imaj alma işlemlerinde, veri güvenliğinin ve hukuki geçerliliğin sağlanması için dikkat edilmesi gereken birçok faktör bulunmaktadır. Yanlış yapılandırmalar, hash hataları ve yanlış veri işlemleri kontrollerle minimize edilmelidir. Profesyonel önlemler ve protective measures almak, siber güvenliğin en önemli unsurlarından biridir. Verilerin güvenliği ve etkili bir siber savunma stratejisi geliştirmek için bu adımlar titizlikle uygulanmalıdır.