Adli Bilişim İncelemelerinde Veri Akışı ve Veri Anomalilerinin Önemi
Adli bilişim incelemelerinde sıklıkla başvurulan veri akışı ve veri anomalilerinin önemine ve özelliklerine kısaca değindim.
Adli Bilişim İncelemelerinde Veri Anomalileri ve Veri Akışı
Merhaba sevgili okuyucularım, sizlere bu yazımda Adli Bilişim Mühendisliğinde önemli bir yer tutan incelemelerdeki veri anomalilerinden ve veri akışlarından söz edeceğim. Veri anomalileri vakalarda büyük önem teşkil eden bir kısımdır ayrıca birçok zararlı yazılımın tespiti yine veri trafiğindeki anomalilerden yola çıkılarak yapılmaktadır. Veri anomalilerinden söz etmeden önce anomalilerin tanımından, bu anomalilerin nasıl tespit edileceğinden ve nasıl inceleneceğinden bahsederek başlayalım.
Veri anomalisi, iyi olarak tanımlanan normal davranışlara uymayan verilerdeki paternlerdir.
(Patern: Önceden sistemde belirlenmiş şablon/modellerdir.) Verilerin çoğunluğundan önemli ölçülerde farklılaşırlar ve şüphe uyandırırlar. Veri anomalileri şüpheli ağ üzerindeki trafik kayıtları üzerinde kendini gösterir. Veri trafiği incelendiğinde referans alınan normal değerlere göre oldukça fazla, mantıksız ve dengesiz kayıtlar görüntülenmesi bu ağda bir anomali olduğunu ve en yakın zamanda bu anomalinin araştırılması gerektiğini gösterir.
Veri akışı, bir verinin nereden nereye, hangi zaman aralıklarında, hangi sistem ve servisler aracılığıyla ve nasıl taşındığını ifade eden dijital akıştır.
Anomali tespiti bu anomalilerin gözlemlenmesi ve tanımlanmasıdır, bu kısımda bazı trafik analiz yazılımlarından faydalanmaktayız. Wireshark, PRTG Monitor, Cloud Shark, Sysdig gibi yazılımlar veri ve ağ trafiğini analiz edip incelememize imkan sağlayan yazılımlardır. Anomali tespiti yapılacak ağa ait veri trafiği kayıtları yazılım aracılığıyla çıkartılır ve incelenir, bu inceleme sırasında popüler filtrelere öncelik verilir ardından ağ üzerinde engellenmiş olan ve kayıtlarda sistem tarafından yakalanan bağlantılar incelenir şüpheli veri patlamaları detaylıca analiz edilir.
Elde edilen verilerin dökümleri farklı bir pencerede detaylı incelemeye alınır. Veri patlamaları burada en çok dikkat edilmesi gereken unsurlardır. Örnek vermek gerekirse standart referansında düşük bir veri trafiğine sahip bir sistemde anlık olarak oluşan yüksek veri boyutlu paketler bir anomalidir ve incelenmeye ihtiyaç duyar. Bu inceleme sonucunda ise güvenli veya tehlikeli bir unsur olup olmadığı ortaya çıkar.
Anomalilerden faydalanılarak zararlı yazılımların ve siber saldırıların tespit edilmesi, anomali oluşturan zararlı içeriklere örnek vermemiz gerekirse Keylogger, RAT, bunny paketleri; DDOS ve DoS hizmet engelleme saldırıları bunlara örnek olarak gösterilebilir. Bu saldırı ve yazılımlar kendi paket alış-verişleri için veri trafikleri oluşturmak zorundadır ve ağ kayıtlarında bu anormal paketler kendini fazlasıyla belli ederler.
Sistem incelemesinde bu paketler veri trafiği üzerinden takip edilerek buna sebep olan yazılım veya servise ulaşılır. Bu içeriğin zararlı olup olmamasına göre eğer zararlı ise bulunan içeriğin çalışması engellenip direkt kapatılması ve veri trafiğinin engellenmesi gerekmektedir. Eğer içerik zararsız ise bu veri patlamasına yol açan hata tespit edilip giderilmelidir. Aksi takdirde bu hata daha kötü sonuçlar doğurabilir, sistemin çalışmasını bozabilir, engelleyebilir.
Görsel 1.1 (Ufak bir ağ trafiği kayıt örneği)
Adli bilişim incelemelerinde veri anomalilerinin önemi, veri anomalileri sayesinde dijital ortamda bir takip süreci başlatılabilir ve kayıtlar sayesinde gerekli veriler doğru ve düzenli bir şekilde birbiri ardınca takip edilip incelenebilir, sonrası için saklanabilir veya kopyalanabilir. Veri anomalilerinin oluşturduğu düzensiz akış sayesinde sistemdeki incelemeler kolaylaşır. Sistem üzerinde hali hazırda çalışan zararlı bir yazılım var ise tespit edilip inceleme raporuna eklenir ve bunun sayesinde inceleme hususlar doğrultusunda değerlendirilir örneğin terör suçu ile alakası bulunan bir zanlının sistemi incelendiğinde gerekli veriler doğrultusunda bir zararlı yazılım tarafından sistem üzerinde sahte deliller vasıtasıyla bu kişiyi suçlamaya yönelik terör içerikleri sistemine yüklenmiş ise bu zararlı yazılım bu veri akışı üzerinden tespit edilebilir, geriye dönük kayıtlar incelendiğinde oluşturduğu veri anomalisi sayesinde fark edilebilir. Rapora eklendiğinde bu suçun adli değerlendirmesi gerekli merciler tarafından buna göre yapılır.
Sonuç olarak adli bilişim incelemelerinde fazlasıyla önem teşkil eden veri anomalileri ve veri akışını fazla detaya ve teknik incelemelere değinmeden ele aldık. Yazımızın genelinde fark ettiğimiz gibi ince detaylar büyük suçların çözülmesinde çok önemli roller oynuyor. Veri akışındaki bir anomali veya bir veri patlaması fiziksel ortamda çözülemeyen suçların dijital ortamda kolaylıkla çözülebilmesine imkân sağlıyor.
Yazımda sizlere veri akışı ve veri anomalilerinden, bunların adli bilişim alanındaki kullanımlarında ve öneminden bahsettim. Umarım sizler için faydalı olmuştur. Zaman ayırıp okuduğunuz için teşekkür ederim.