Bulut Ortamında Adli Bilişim: Sorunlar ve Çözümler

Adli bilişim kavramının ortaya çıkması

Adli bilişim kavramı, bilgisayar teknolojilerinin gelişmesine ve suç işlemede bir unsur olmaya başlamasına paralel olarak 1980’li yılların sonlarına dayanmaktadır. Ancak adli bilişim uygulamalarından biri olan veri kurtarma işlemini de dikkate aldığımızda, aslında 1970’lerin ilk dönemlerine kadar gitmemiz gerekir. İlk olarak farklı şekillerde ifade edilse de (forensic computing, computer forensics, cyber forensics etc.)sayısal verilerin birçok ortamda üretilir, işlenir ve tutulur olması düşünüldüğünde günümüzde gelinen nokta itibariyle adli bilişim kavramının tam karşılığı İngilizce tabiriyle “digital forensics” ifadesidir. 

Günümüzde kullanılan ya da anlaşılması gereken şekliyle tanımlayacak olursak, adli bilişim; konusu suç oluşturan eylemlerde, bu suçlarla ilişkili kişilerin kullandıkları elektronik ortamlardan elde edilen sayısal verilerin, işledikleri suçlarla bağlantılarını ortaya çıkarmak ve suç delillerini ilgili adli makamlara sunmak amacıyla güvenlik birimleri ya da ehliyetli kişi/kurumlarca yapılan analiz işlemleri bütünüdür diyebiliriz. Adli bilişim uygulamalarında yapılan işlemler birbirlerine çok yakın olmakla birlikte, işlenen suçun türü, söz konusu elektronik ortam, elektronik ortamın yapısı, delillerin kalıcı-uçucu olması, suç şüphelilerinin uyguladıkları karartma teknikleri ve yapılan işlemlerin zamanı gibi faktörlere bağlı olarak farklı adli bilişim türleri ortaya çıkmıştır.

Bu makalede, bulut bilişim teknolojilerindeki gelişmelerle doğru orantılı olarak genişlemeye devam eden bulut adli bilişimini(cloud forensics)  adli bilişim türü olarak kabul edebiliriz. Bulut adli bilişimi, mimarisi itibariyle ağlardan ve ağa bağlı cihaz ve sistemlerden oluşması nedeniyle ağ adli bilişiminin bir alt disiplini olarak kabul edilmektedir. Özetle adli bilişim türlerinin her birinden etkilenmiş karma, farklı, özgün bir adli bilişim türüdür.

Bulut Adli Bilişim Zorlukları ve Çözümleri

Bulut bilişim hizmetleri yıllardır kullanılmasına rağmen, bulut adli bilişiminin evrimi henüz gelişme aşamasındadır. Bazı araştırmalar, bulut hizmeti sağlayıcılarına güvenmeden bulut ortamında araştırma ve keşif gerçekleştirmenin zor olacağını bizlere gösterdi. Adli bilişim aşamaları göz önünde bulundurularak tespit edilen bir takım zorlukları aşağıda inceleyeceğiz.

1.Delillerin toplanması ve elde edilmesi

Bulut altyapısının dinamik doğası nedeniyle, araştırmacıların bu adımı gerçekleştirmelerini engelleyen birkaç engel var:Genel olarak Bulut ekosisteminin çok farklı kaynaklara sahip olması nedeniyle delil elde etme sürecinde bir takım sıkıntılar yaşanmaktadır.Aslında bir çok vakada bulutta bulunan delillerin nerede bulnuduğu hususunda bilgi sahibi olamıyoruz.. Sistem log kayıtlarının müşterinin sahip olduğu sınırlı erişim nedeniyle SaaS ve PaaS modellerinde elde etmek her zaman mümkün değildir ; oysa IaaS modelinde kısmen de olsa istemcinin erişebileceği şekilde ayarlanabilir. SaaS ve PaaS modelleri için bir takım çözümler ileri sunulmuştur.Bunlardan bir tanesi, local olarak istemci tarafında ayrı bir günlük tutmayı ve benzersiz kimlikler ve zaman damgaları gibi bilgileri kullanarak CSP (Bulut Bilişim Sağlayıcısı-Cloud service Provider) günlükleriyle senkronize etmeyi amaçlamaktadır. Bu nedenle, araştırmacıların SaaS’taki kullanıcı etkinliklerini CSP desteği olmadan kontrol etmelerini sağlar. Bununla birlikte, günlük içeriğine karşılaştırılması durumlarında yine CSP’ler tarafından karar verilir. 

Sanallastırılmıs bulut ortamında yer alan bazı veriler uçucu nitelikte olabilmektedir. Bu da bir takım verilerin geri getirilemez olmasına neden olmaktadır.

2.Uçucu Verilerin Elde Edilmesinde Yöntem Farklılıkları

Klasik adli bilişimde bilgisayarlardan delil toplanırken öncelikle bilgisayarın açık olup olmamasına göre değerlendirme yapılır. Açık bir bilgisayarda öncelikle uçucu veriler tespit edilir ve toplanmaya çalışılır. Daha sonra bilgisayarın elektrik bağlantısı kesilerek kapalı bir bilgisayarda yapılacak delil toplama adımları uygulanır. Bulut depolama uygulamalarını kullanan bilgisayarlarda ise ilk aşamada bilgisayar analiz edilirken bulut servis sağlayıcıların uygulamalarının bulunup bulunmadığı da araştırılmalıdır. Bilgisayar açıksa tespit edilecek uçucu veriler sayesinde parolalar, kullanıcı oturum bilgileri veya yetkileri tespit edilebilmektedir. Elde edilen bu bilgiler sayesinde bulut depolama alanındaki verilere erişim sağlanabilmekte burada bulunan delillere ulaşılabilmektedir.

3.Zaman Farklılıkları ve Deliller Arasındaki Korelasyonun Sağlanamaması:

 Bulut ortamındaki çeşitli cihaz, sistem ve uygulamadan elde edilecek veriler arasındaki korelasyonun ortaya konabilmesi gerekmektedir. Bazen bir bulut hizmeti için belki bir hizmet sunucu, diğer bir hizmet sunucuya ve o da bir diğerine bağımlı durumda olabilecektir. Tüm bu hizmet sağlayıcılardan elde edilecek örneğin günlük kayıtlarının (logs) birbirleriyle hem format ve hem de zamanlama (synchronization) olarak ne kadar uyumlu olacağı büyük bir soru işaretidir. Buradan taşınan sorunlarla, örneğin bu kayıtlar ya da elde edilmiş başka veriler üzerinde, verilerin oluşturulma, değiştirilme ve hatta silinmelerine ilişkin olarak yapılacak bir analiz sağlıklı olmayacaktır. 

4. Şifreleme:

Kamuya açık bir ağa, hassas verilerini göndermek bulut bilişim kullanıcılarını endişelendirmektedir. Altyapının internete açık olması, paylaşılarak kullanılan kaynaklar veri güvenliği üzerinde risk oluşturmaktadır. Bu nedenle kullanıcılar, verilerini bulut ortamına göndermeden önce şifreleme yoluna gitmektedir. Bu durum veri güvenliğini arttırmakta ancak, adli bilişim soruşturmalarında potansiyel delillerin çözümlenmesini zorlaştırmaktadır.

5. Sınırları Aşan Suçlardaki Belirlsizlik:

Genel bulut mimarisinde veriler ülke sınırları dısında yer alan veri merkezlerinde de tutulabilmektedir. Bulut hizmetinin kullanıldığı ülkede suç teskil eden bir durum, is sürecinin üzerinde gerçeklestiği veri merkezlerinin sınırları içinde bulunduğu ülke yasalarınca suç sayılmayabilir. Bu gibi durumlarda adli bilisim sorusturmaları ve uygulanacak yaptırımlar için uluslararası isbirliklerine gerek duyulmaktadır. Bulut sistemler yapısı gereği kullanıcı verilerini kaybolmaması için birden fazla sunucuya yedeklendiğinden verileri tek bir merkezden toplamak mümkün olmayıp, bu sunucuların farklı coğrafi konumlarda olabilmelerinden ötürü delil toplanırken yasal sınırlamalarla karşılaşılmaktadır

Hem müşteriler hem de araştırmacılar, sistemi kontrol altında tuttukları için, dijital kanıtları bulut bilişim ortamından toplamada CSP’ye büyük ölçüde bağımlıdır. Bu bağımlılık CSP’nin güven ve kanıt bütünlüğünün ciddi sorunlarını ortaya koymaktadır. Ayrıca, teknik olarak bir CSP’nin tüketiciye adli olarak sağlıklı bir şekilde ve zamanında bir şekilde istenen kanıtı vermesini engellemenin birçok nedeni vardır. 

6. Hizmet Seviyesi Anlaşmalarındaki Eksiklikler:

Bulut bilişim hizmetinden faydalanmak isteyen bir kullanıcı ile hizmet sağlayıcı arasında, hizmetin içeriği ve kapsamına ilişkin bir anlaşma yapılması gerekmektedir. Bu anlaşmaya hizmet seviyesi anlaşması (Service Level Agreement – SLA) adı verilmektedir. Çoğu zaman hizmet sağlayıcının asıl amacı para kazanmak ve hizmetten faydalanmak isteyen kullanıcının da bir an önce işlerini yoluna koymak olduğundan, anlaşmanın adli bilişime ilişkin hususları göz ardı edilmektedir. Bu durum da, özellikle hizmet sağlayıcının konuyla alakalı bir hazırlığı yoksa ya da yeterli değilse, adli bilişim faaliyetlerinin gerçekleştirilmesi esnasında karmaşaya neden olmaktadır.

Hizmet sağlayıcılar hizmetleri paylaşımlı ortamlarda şifreli olarak tutmaktadırlar. Ancak zaman zaman veriler ya denetim elemanlarınca ya da kurum yönetimince doğrudan denetime alınmak istenebilir. Böyle durumlarda veriler başkalarına ait verilerle tutulduğu için, bunlar üzerinde yapılacak incelemeler diğer verilere de zarar verebilir ya da görülmesi istenmeyen veriler, bu tür incelemeler sırasında açığa çıkabilir. Bu nedenle, yapılacak sözleşme veya hizmet düzeyi anlaşmalarında bu hususlara yer verilerek, gerektiğinde hizmet sağlayıcının size ait verilere sadece sizin erişmenize imkân tanıması ve başkalarının bu verilere erişebilme olanaklarını ortadan kaldırması istenmelidir.

Sonuç

Bulut adli bilişim tekniklerine olan gereklilik, bulut bilişim alanında meydana gelen hızlı gelişim ve dünyada meydana gelen bulut kaynaklı suç oranları nedeniyle artmaktadır. Gittikçe artan sayıda kurum ve kişi, bilgileri, uygulamaları ve hizmetleri için bulut bilişimden hizmet almaktadır. Bulut bilişim kullanımının bu genişlemesi araştırmacılar için birçok zorluğu da beraberinde getirmiştir. Bu makalede, bulut adli bilişim alanında karşılaşılan zorluklar özetlenmiş ve bazı teknik zorlukların üstesinden gelmek için öneriler sunulmuştur. Sunulan önerilerin uygulanması mahkemede kanıtların kabul edilebilirliğini güçlendirebilir ve zaman ve maliyet dâhil daha iyi kaynak kullanımını sağlayacaktır. Bulut bilişim hizmeti bilişim alanında en yaygın teknolojilerin başında gelmektedir. Anacak bu hizmeti kullanımı esnasında meydana gelen vakalarda elde edilecek delillerin elde edilmesi sürecinde bir takım sıkıntılar yaşanmaktadır. Adli soruşturmalarda delil elde etme konusunda kullanıcı ve bulut servis sağlayıcıları arasında ilişki ve sorumluluklar adli bilişim araştırmacıları için büyük önem teşkil etmektedir. Adli bilişim araştırmacıları bu alanda ortaya çıkan zorluklar üzerinde yeni modeller sunarak çözüm üretme noktasında kolluk birimlerini desteklemelidir.

Bakınız…

Blok Zincir(Blockchain) Teknolojisinin Uygulama Alanları

Kaynakça:

  1. Adem EMEKCİ, Emin KUĞU1, Murtaza TEMİZTÜRK ADLİ BİLİŞİM EZBERLERİNİ BOZAN BİR DÜZLEM: BULUT BİLİŞİM, Uluslararası Bilgi Güvenliği Mühendisliği Dergisi, Cilt:2, No:1, S:8-14, 2016
  2. Keyun Ruan, M. C., Carthy, J., Kechadi, T.,Crosbie, M., (2011), Cloud forensics : an overview, vol.361, Springer, Berlin-Heidelberg, 2011, pp.35-47.
  3. https://www.udemy.com/adli-bilisim-uzmaniligi/learn/lecture/10862596#overview (Erişim:23 Mayıs 2019)
  4. Saad Alqahtany Nathan Clarke Steven Furnell Christoph Reich Cloud Forensics: A Review of Challenges, Solutions and Open Problems
  5. Barbaros, İ.,(2016) Bulut Depolama Uygulamalarını Kullanan Bilgisayarların Adli Bilişim Açısından İncelenmesi, Fen Bilimleri Anabilim Dalı Yüksek Lisans Tezi, 33-34.
  6. Josiah Dykstra, Alan T. Sherman, Understanding Issues in Cloud Forensics: Two Hypothetical Case Studies, ADFSL Conference on Digital Forensics, Security and Law, 2011
  7. Özcan Rıza YILDIZ, Bilişim Dünyasının Yeni Modeli:Bulut Bilişim (Cloud Computıng)Ve Denetim, Sayıştay Dergisi ,Sayı: 74-75