CyberFlow Logo CyberFlow BLOG
Forensics Analysis

SQLiteBrowser ile Veritabanı Analizi ve Adli İnceleme Eğitimi

✍️ Ahmet BİRKAN 📂 Forensics Analysis

SQLiteBrowser ile veritabanı analizi ve adli inceleme süreçlerini adım adım öğrenin.

SQLiteBrowser ile Veritabanı Analizi ve Adli İnceleme Eğitimi

SQLiteBrowser, siber güvenlik alanında kritik verileri analiz etmek için güçlü bir araçtır. Bu blog yazısında veritabanı analizi ve adli inceleme adımlarını keşfedin.

Giriş ve Konumlandırma

SQLiteBrowser ile Veritabanı Analizi ve Adli İnceleme

Siber güvenlik alanında, dijital delil toplama ve analizi, adli bilişimin en kritik bileşenlerinden biridir. Bu bağlamda, SQLite veritabanları sıkça karşılaşılan bir yapı taşını temsil eder. SQLite, hafif ve taşınabilir bir veritabanı çözümü olduğundan, birçok uygulama ve mobil cihaz tarafından verileri saklamak için tercih edilmektedir. Ancak, bu durum aynı zamanda adli inceleme süreçleri için önemli bir zorluk oluşturur. SQLiteBrowser, bu tür veritabanlarını analiz etmek ve incelemek için güçlü bir grafik arayüz sunan bir araçtır.

Neden Önemli?

SQLite veritabanları, bulundukları ortamda çeşitli kullanıcı bilgileri, uygulama ayarları ve diğer verilerle doludur. Dolayısıyla, bu verilerin analiz edilmesi, adli bilişim uzmanlarının kişinin dijital varlıkları hakkında bilgi edinmelerini sağlar. Bir siber saldırı sonrası veya bir suç olayıyla ilgili olarak, bu veritabanları kritik deliller barındırabilir. Örneğin, bir uygulama üzerinden gerçekleştirilen mesajlaşma geçmişi, kullanıcı davranışları hakkında ipuçları verebilir.

SQLiteBrowser ile yapılan analiz, zaman kaybını engelleyerek ve verilerin güvenli bir biçimde incelenmesini sağlayarak profesyonel adli incelemelerin temelini oluşturur. Adli bilişimde veri bütünlüğünü sağlamak, kanıtların geçerliliği açısından hayati öneme sahiptir. Bu da, SQLite veritabanlarını 'salt okunur' modda açarak yapılmalıdır. Böylece yanlışlıkla veri kaybı veya değişikliği riski ortadan kalkar.

Siber Güvenlik, Pentest ve Savunma Açısından

Siber güvenlik perspektifinden, SQLite veritabanlarının analizi, saldırganların elde ettiği verileri tespit etme ve geri alma süreçlerinde bir avantaj sağlar. Penetrasyon testleri kapsamında, SQLite veritabanları artan performans gereksinimleri ve mobil uygulama gelişimi nedeniyle daha fazla kullanılmaktadır. Sızma testleri esnasında, SQLite veritabanları üzerinden kritik bilgilere ulaşmak, güvenlik açıklarını tespit etmek için önemlidir.

Örneğin, bir mobil uygulamada saklanan kullanıcı bilgileri ve mesajlaşma verileri üzerinde gerçekleştirilen bir inceleme, uygulamanın güvenliği hakkında önemli bilgiler sağlayabilir. Ayrıca, bu sürecin doğru bir şekilde yönetilmesi, veri sızıntılarını ve yetkisiz erişimleri önlemek için kritik bir rol oynamaktadır.

Teknik İçeriğe Hazırlık

SQLiteBrowser, kullanıcı dostu arayüzü ile hem teknik hem de yeni başlayanlar için etkili bir araçtır. Uygulama, veritabanlarının analiz edilmesi, SQL sorgularının yürütülmesi ve CSV verilerinin içe aktarılması gibi işlemleri kolaylaştırır. Veritabanlarının nasıl açılacağını ve analiz edileceğini anlamak, teknik becerilerin geliştirilmesine yardımcı olur. Aşağıda, SQLiteBrowser ile yapılan bazı temel işlemler hakkında örnekler verilmiştir.

Bir SQLite veritabanını açmak için kullanılan temel komut aşağıdaki gibidir:

sqlitebrowser evidence.db

Bu komut sayesinde belirli bir veritabanı dosyasını açabilir ve üzerinde çalışmaya başlayabilirsiniz. Ancak veritabanının tüm verilerine zarar vermemek için 'salt okunur' modda açmanız önerilir:

sqlitebrowser -R evidence.db

SQLiteBrowser'ın sunduğu bir diğer önemli özellik de, bir SQL betiği ile otomasyon yapma kolaylığıdır. Bu, belirli sorguları hızlı bir şekilde çalıştırmanızı sağlar ve büyük veri setleri üzerinde çalışırken zaman kazandırır:

sqlitebrowser data.db --script script.sql

Aynı zamanda, kişi veya olay bazlı veri analizi gerçekleştirmek için CSV dosyalarını içe aktarmak da mümkündür:

sqlitebrowser --import-csv logs.csv

Veritabanı güvenliğini sağlamak için önerilen yöntemleri özümsemek, yalnızca mevcut verilerinizi korumakla kalmaz, aynı zamanda gelecekteki tehditlere karşı hazırlanmanıza yardımcı olur. Bu yazıda ele alacağımız adımlar sayesinde, SQLiteBrowser kullanarak veritabanı analizi ve adli inceleme süreçlerini etkili bir şekilde gerçekleştirebilirsiniz. Bu bilgiler, hem siber güvenlik uzmanlarına hem de adli bilişim uzmanlarına rehberlik edecek nitelikte olacaktır.

Teknik Analiz ve Uygulama

Giriş

SQLiteBrowser, SQLite veritabanları üzerinde inceleme ve analiz yapmayı mümkün kılan grafik tabanlı bir araçtır. Özellikle adli bilişim alanında, veritabanlarının incelenmesi gereken durumlarda kritik öneme sahiptir. Bu bölümde, SQLiteBrowser ile teknik analiz yapma sürecini detaylandıracağız.

Uygulamayı Başlatma

SQLiteBrowser'ı başlatmak için terminal üzerinden sqlitebrowser komutu kullanılabilir. Bu komut, uygulamanın grafik arayüzünü açarak kullanıcı onayını bekleyen boş bir pencere açar.

sqlitebrowser

Uygulama açıldığında, kullanıcıdan analiz etmek istediği SQLite veritabanı dosyasını seçmesi istenir.

SQLite Verilerinin Bulunduğu Yerler

Siber güvenlik operasyonlarında SQLite dosyaları genellikle belirli konumlarda kritik veriler barındırır. Örneğin, mobil uygulamalarda mesajlaşma geçmişi, cihaz konum bilgileri ve daha fazlası SQLite formatında saklanabilir. Bunun yanı sıra, web tarayıcıları kullanıcı geçmişi ve çerez bilgilerini SQLite veritabanlarında tutar. Adli bilişim analizleri yaparken bu veriler oldukça değerlidir.

Adli Bilişim Modu (Read-Only)

Adli bilişim çalışmalarında en temel kural, kanıtın bozulmamasıdır. Bu nedenle, veritabanını 'Salt Okunur' modda açmak, yanlışlıkla veri silinmesini ya da değişiklik yapılmasını engeller. Bunu sağlamak için terminalde şu komutu kullanabilirsiniz:

sqlitebrowser -R evidence.db

Yukarıdaki komut, evidence.db dosyasını salt okunur modda açmayı sağlar. Bu modda yapılan işlemler, veritabanının bütünlüğünü korur.

SQL Betiği ile Otomasyon

SQLiteBrowser, grafik arayüzünün yanı sıra, önceden hazırlanmış bir SQL sorgu dosyasını açılışta çalıştırma olanağı sunar. Bu özellik, binlerce satır veri arasında hızlıca sonuç almayı sağlar. Bir SQL dosyası çalıştırmak için şu komut kullanılabilir:

sqlitebrowser data.db -s script.sql

Burada script.sql SQL sorgularını içeren dosyadır ve data.db ise üzerinde işlem yapılacak veritabanı dosyasını ifade eder.

CSV Verilerini İçe Aktarma

Adli inceleme aşamalarında, bazen elinizde ham bir SQLite veritabanı olmayabilir. Farklı bir araçtan çıkartılmış CSV dosyaları ile çalışmak zorunda kalabilirsiniz. Bu tür durumlarda SQLiteBrowser, CSV dosyalarını yeni bir veritabanına aktarmak için kullanılabilir. Örneğin, logs.csv dosyasını yeni bir veritabanına aktarmak için aşağıdaki komut kullanılmalıdır:

sqlitebrowser --import-csv logs.csv

Bu komut, logs.csv dosyasının içeriğini alarak SQLite veritabanı formatına dönüştürerek analiz sürecine katkıda bulunur.

SQLite Güvenlik ve Korunma

Veritabanı güvenliğini sağlamak ve sızıntıları önlemek için bazı teknik yöntemler uygulanmalıdır. Bu yöntemler arasında şifreleme, doğru dosya izinlerinin ayarlanması ve veri kalıntılarının temizlenmesi yer alır. Örneğin, veritabanı dosyasını SQLCipher gibi bir eklenti kullanarak şifrelemek, yetkisiz erişimleri önlemede etkili bir yöntemdir.

Bunların yanı sıra, veri kalıntılarını silmek ve kalıcı olarak temizlemek için VACUUM komutunu kullanabilirsiniz:

VACUUM;

Bu komut, silinen verilerin yer kaplamasını engelleyerek veritabanının performansını artırmayı sağlar.

Sonuç

SQLiteBrowser, adli bilişim ve veri analizi süreçlerinde oldukça önemli bir araçtır. Bu makalede, uygulamanın nasıl başlatıldığı, Salt Okunur modda verilerin nasıl açıldığı, SQL betikleriyle otomasyon ve CSV dosyalarının nasıl import edileceğine dair teknik bilgiler verilmiştir. Ayrıca, veritabanı güvenliğine dair temel prensiplerin gözden geçirilmesi, adli bilişim alanında verilerin korunması açısından kritik öneme sahiptir. Bu yöntemleri malzeme olarak kullanarak, veritabanı analizini daha etkili bir hale getirebilirsiniz.

Risk, Yorumlama ve Savunma

Veri Güvenliği ve Zafiyetler Üzerine Yorumlama

SQLite veritabanları, genellikle web tarayıcıları, mobil uygulamalar ve IoT cihazları gibi farklı platformlardan veri saklamakta kullanılır. Bu veritabanları, kullanıcı bilgilerini, mesajlaşma geçmişini ve uygulama ayarlarını tutarak, siber güvenlik açısından önemli riskler barındırabilir. Bu bağlamda, SQLiteBrowser kullanarak yapılan bir veritabanı analizi, olası zafiyetleri ve yanlış yapılandırmaları anlamak için kritik bir adım sunar.

Yanlış Yapılandırmaların Etkisi

SQLite veritabanlarının yanlış yapılandırılması, veri sızıntısı ve yetkisiz erişim gibi riskleri artırabilir. Örneğin, bir veritabanı dosyası şifrelenmeden kullanılıyorsa, kötü niyetli bir kullanıcı, dosyayı ele geçirip içindeki hassas bilgilere erişebilir. Bu tür durumlarda, kullanıcı verilerinin gizliliği tamamen tehlikeye girmiş olur.

Bu bağlamda, VACUUM komutunun eksik kullanımı, silinen verilerin veri kalıntısı haline dönüşmesine yol açabilir. Yani, bir veri silinmiş görünse bile fiziksel olarak veritabanında var olmaya devam edebilir. Bu veriler, uygun araçlarla geri getirilebilir ve bu durum, özellikle adli bilişim araştırmalarında önemli bir tehlike oluşturur.

Sızan Verilerin Anlamı ve Etkisi

Güvenlik açısından, sızan verilerin kapsamı ve içeriği büyük bir öneme sahiptir. Örneğin, kullanıcı oturum bilgileri, tarayıcı geçmişi ve ikincil bilgilerin ele geçirilmesi durumunda, siber saldırganlar, kullanıcının kimliğini taklit edebilir, dolandırıcılık yapabilir veya ağda daha fazla hasara yol açabilirler. SQLite verileri üzerinden yapılan analizde, bu tür bilgilere ulaşmak için izlenmesi gereken aşağıdaki adımları özetlemek mümkündür:

SELECT * FROM users WHERE password IS NOT NULL;

Yukarıdaki SQL sorgusu, veritabanında kullanıcı adları ve şifreleri gibi hassas bilgilere erişimi sağlar. Bu tür sorguların kötü niyetli kişiler tarafından kullanılmaması için veritabanında doğru güvenlik önlemlerinin alınması esastır.

Profesyonel Önlemler ve Hardening Önerileri

SQLite veritabanları için uygulanan güvenlik önlemleri, sistemin genel güvenlik yapısının bir parçasıdır. Bu nedenle, aşağıdaki uygulamalar, veritabanı güvenliğini sağlamada kritik rol oynar:

  1. Şifreleme Uygulamaları: Veritabanındaki verilerin tamamını şifreleyerek, yetkisiz erişimi zorlaştırmak mümkündür. Örneğin, SQLCipher gibi eklentiler kullanarak, verilerin şifrelenmesi sağlanabilir.

  2. Dosya İzinlerinin Düzenlenmesi: chmod ve chown komutları ile dosya sisteminde doğru izinlerin tanımlanması, yetkisiz erişimi önlemek açısından önemlidir. Bu adımlar, özellikle uygulama sunucularında kritik roller oynar.

chmod 600 /path/to/database.db

Bu komut, yalnızca dosya sahibi tarafından okunabilir ve yazılabilir hale getirilmesini sağlar.

  1. Veri Kalıntısını Temizleme: Veritabanındaki silinmiş verileri ortadan kaldırmak için düzenli olarak VACUUM komutunu kullanmak, gereksiz veri kalıntılarını temizler ve geri kazanım riskini azaltır.

Sonuç

SQLite veritabanı analizi, siber güvenlik operasyolarında yaşanabilecek birçok riski anlamak için temel bir süreçtir. Yanlış yapılandırmalar, yetkisiz erişim ve veri sızıntıları gibi durumlar, detaylı bir inceleme sayesinde tespit edilebilir. Alınacak önlemler ve güvenlik uygulamalarıyla, bu riskler minimuma indirilebilir. Siber güvenlik uzmanları, zafiyetleri ve yanlış yapılandırmaları belirleyerek, sistemlerini daha dayanıklı hale getirmelidirler. Bu bağlamda, sürekli eğitim ve güncellemeler de büyük bir öneme sahiptir.