Adli Bilişim Analizi
Adli bilişim analizi (digital forensics); bilgisayar, akıllı telefon, sunucu, ağ cihazı veya bulut sistemi gibi dijital ortamlardaki verilerin, delil bütünlüğü hash değeriyle (MD5 + SHA-256) korunarak bilimsel yöntemlerle toplanması, incelenmesi ve mahkemeye sunulması disiplinidir. Türk hukukunda bulgular CMK m.63 bilirkişi raporu veya HMK m.293 uzman mütalaası olarak sunulabilir; cihaza el koyulabilmesi için ise CMK m.134 kapsamında hâkim kararı zorunludur. Temel soruları: Kim? Ne zaman? Nerede? Nasıl? ve Ne için?
GaisSecurity, BilişimAcademy ve PwC gibi rakip sayfalar adli bilişimi eğitim içeriği veya kurumsal hizmet kataloğu düzeyinde ele almaktadır. Hiçbirinde mobil cihaz elde etme seviyeleri, iOS ile Android arasındaki forensik protokol farkları, RAM dump kritikliği, CMK m.134 Yargıtay içtihadı, bilirkişi ile uzman ayrımı veya araç karşılaştırması bulunmamaktadır. Bu sayfa, kriminalistik bilirkişi perspektifinden adli bilişim analizinin tüm teknik ve hukuki boyutlarını kapsamlı biçimde ele almaktadır.
Adli Bilişim Nedir?
Adli bilişim; dijital cihazlar üzerindeki verilerin, bir suçun veya hukuki uyuşmazlığın aydınlatılması amacıyla ISO/IEC 27037, NIST SP 800-86 ve SWGDE standartlarına uygun biçimde elde edilmesi, korunması, incelenmesi, analiz edilmesi ve raporlanması bilim dalıdır. “Forensics” kelimesi Latince “forum” kökünden gelir; Roma hukukundaki kamusal tartışma ve yargılama alanını ifade eder. Adli bilişim de özünde bu amacı taşır: dijital veriden üretilen bilimsel kanıtı mahkeme önüne taşımak.
Adli bilişimin temel ilkesi, tekrar edilebilirlik ve doğrulanabilirliktir. Bir adli bilişim uzmanının aynı delil üzerinde yaptığı inceleme, bağımsız başka bir uzman tarafından aynı araçlarla tekrarlandığında aynı sonucu vermelidir. Bu ilke karşılanmadığında mahkemeler delili reddedebilir.
Adli Bilişim — 5 Temel Soru
- Kim? — Eylemi gerçekleştiren kişinin kimliği
- Ne zaman? — Zaman damgası, oturum kaydı, baz verisi
- Nerede? — Coğrafi konum, IP, baz istasyonu
- Nasıl? — Kullanılan yöntem ve araç izleri
- Ne için? — Niyet ve bağlam analizi
Adli Bilişim ile Siber Güvenlik Farkı
- Siber güvenlik: Saldırıyı önler ve sistemleri korur
- Adli bilişim: Saldırı sonrası delil toplar ve analiz eder
- Ortak alan: Olay müdahalesi (DFIR) her ikisini kapsar
- Hukuki boyut: Adli bilişim mahkemeye sunum odaklıdır; siber güvenlik değil
- Metodoloji: Adli bilişimde write-blocker ve hash zorunlu; siber güvenlikte değil
Adli Bilişim Türleri
Rakiplerin hiçbirinde sistematik biçimde ele alınmayan adli bilişim alt disiplinleri aşağıda teknik ve hukuki boyutlarıyla sunulmaktadır.
| Tür | İnceleme Konusu | Başlıca Araçlar | Tipik Hukuki Kullanım |
|---|---|---|---|
| Bilgisayar Adli Bilişimi (Computer Forensics) | Masaüstü, dizüstü, sunucu; HDD, SSD, RAID; işletim sistemi kayıtları | FTK Imager, Autopsy, EnCase, X-Ways | Veri silme, sahte belge, yetkisiz erişim, kurumsal casusluk |
| Mobil Cihaz Adli Bilişimi (Mobile Forensics) | Akıllı telefon, tablet, giyilebilir; SIM kart; uygulama veritabanları | Cellebrite UFED, Magnet AXIOM, Oxygen Forensics | Cinai suçlar, hakaret/tehdit, aile içi şiddet, trafik kazası |
| Ağ Adli Bilişimi (Network Forensics) | Firewall, IDS/IPS, router/switch logları; paket yakalaması; NetFlow | Wireshark, NetworkMiner, Zeek (Bro) | Siber saldırı kaynağı, veri sızdırma, yetkisiz ağ erişimi |
| Bellek Adli Bilişimi (Memory Forensics) | RAM dökümleri; çalışan süreçler; şifrelenmemiş anahtar ve parola izleri | Volatility, Rekall, DumpIt | Zararlı yazılım analizi, şifre çalma, rootkit tespiti |
| Bulut Adli Bilişimi (Cloud Forensics) | AWS/Azure/GCP logları; SaaS verileri; sanal makine imajları | Magnet AXIOM Cloud, AWS CloudTrail, Azure Monitor | Bulut veri ihlali, yetkisiz IAM erişimi, API suistimali |
| Veritabanı Adli Bilişimi (Database Forensics) | SQL/NoSQL veritabanları; transaction logları; silinen kayıt kurtarma | Oracle Log Miner, MySQL Binlog, DBF Viewer | Finansal kayıt tahrifatı, ticari veri çalınması, muhasebe suistimali |
| Gömülü Sistem Adli Bilişimi (IoT/Embedded) | Araç bilgisayarları (OBD), akıllı ev cihazları, güvenlik kameraları, navigasyon | Cellebrite UFED (araç modülü), özel donanım | Trafik kazası hız/konum tespiti, akıllı kilit erişim kaydı |
Adli Bilişim Uzmanları Ne İş Yapar?
Adli bilişim uzmanının rolü, yalnızca veri kurtarmak değildir. Uzman; delili hukuki geçerliliğini yitirmeden elde eden, bütünlüğünü belgeleyen, anlayan ve yargı önünde savunabilen teknik-hukuki köprüdür.
| Görev Alanı | Teknik İçerik | Hukuki Çıktı |
|---|---|---|
| Olay Yeri Müdahalesi | Cihazın açık/kapalı kararı, volatile veri önceliği, Faraday torbasına yerleştirme, ortam fotoğraflaması | Chain of custody (zincir muhafaza) formu başlatılır |
| Adli Kopyalama (Acquisition) | Write-blocker bağlantısı, disk imajı (dd, FTK Imager), MD5+SHA-256 hash hesaplama, imajın ikinci kopyasının saklanması | Orijinal delilin değişmediğinin teknik ispatı; mahkemede itiraz edilemez zemin |
| Veri Analizi ve Kurtarma | Silinen dosya kurtarma (file carving), şifreli alan çözme, fragment analizi, uygulama veritabanı incelemesi | İnceleme raporu bulguları bölümüne eklenir |
| Zararlı Yazılım Analizi | Sandbox ortamında statik+dinamik analiz, tersine mühendislik, C2 sunucu kimlik tespiti, IOC çıkarımı | Saldırganın kimliği ve yöntemi raporlanır; TCK m.243-244 unsurları ortaya konur |
| Zaman Çizelgesi Oluşturma | Çoklu kaynak zaman damgalarının (MFT, syslog, uygulama log, EXIF) normalize edilerek kronolojik dizilimi | Olayın tam sıralaması; alibi doğrulama veya çürütme |
| Raporlama ve Mahkeme Sunumu | Teknik bulguların hâkim ve avukatlara anlaşılır dilde aktarımı; grafik ve tablo destekli rapor | CMK m.63 bilirkişi raporu veya HMK m.293 uzman mütalaası; gerektiğinde sözlü ifade |
İncelemeye Giden Telefonda Nelere Bakılır?
Bu soru Türkiye’de çok sık sorulmaktadır; ancak rakip sayfaların tamamı yüzeysel bir liste vermekle yetinmektedir. Aşağıda, hem incelenen veri kategorileri hem de iOS ile Android arasındaki kritik yöntemsel farklar kriminalistik detayda ele alınmaktadır.
Telefonda İncelenen Veri Kategorileri
| Kategori | İçerdiği Veriler | Kriminalistik Önem |
|---|---|---|
| İletişim Kayıtları | Gelen-giden arama geçmişi, cevapsız aramalar, arama süreleri, FaceTime/video çağrı logları | Şüpheli ile mağdur arasındaki iletişim örüntüsü; suç öncesi/sonrası iletişim kesilmesi |
| SMS / MMS | Gönderilen-alınan mesajlar, silinen mesajlar, medya ekleri, zaman damgaları | Tehdit, hakaret, irtibat kanıtı; mesaj tarih-saat doğrulaması |
| Mesajlaşma Uygulamaları | WhatsApp, Telegram, Signal, iMessage veritabanları; silinen mesajlar; grup üyelikleri; iletme zincirleri | Suç örgütü iletişimi; silinen ancak kurtarılan kritik yazışmalar |
| Konum Geçmişi | GPS koordinatları, Wi-Fi ağ bağlantı yerleri, baz istasyonu kayıtları (Cell-ID), Google/Apple konum geçmişi | Suç tarih-saatinde cihazın bulunduğu coğrafi konumun tespiti; alibi doğrulama/çürütme |
| Fotoğraf ve Video | Çekilen fotoğraf/video, ekran görüntüleri, silinmiş medya, EXIF metadata (GPS, cihaz, tarih-saat) | Suç mahalli kanıtı; sahte tarihleme tespiti; görüntü manipülasyon analizi |
| Uygulama Veritabanları | Kurulu uygulama listesi, kaldırılmış uygulama kalıntıları, uygulama kullanım süre/saat istatistikleri, uygulama içi mesaj/veri | Casus yazılım, illegal içerik uygulaması; uygulama kullanım zamanlaması |
| Tarayıcı Geçmişi | Ziyaret edilen URL’ler, arama sorguları, indirilen dosyalar, web önbelleği, çerezler, kayıtlı şifreler | Suç hazırlığı araştırması (silah, kimyasal, hedef kişi araştırması) tespiti |
| E-posta | Gelen-giden e-postalar, taslaklar, silinen klasör, ekler, başlık bilgileri (X-Originating-IP) | İş e-postası sızdırma (BEC), phishing, yazışma delili |
| Cihaz Güvenlik Ayarları | PIN/şifre deneme geçmişi, cihaz yöneticisi yetkileri, MDM profili, SIM kilidi durumu, jailbreak/root izleri | Yetkisiz cihaz değişikliği; stalkerware kurulum koşulları tespiti |
| Silinen ve Kurtarılan Veriler | Silinmiş ancak üzerine yazılmamış dosya fragmanları; uygulama önbellek kalıntıları; SQLite WAL/journal kayıtları | Delil imha girişiminin tespiti; TCK m.281 kapsamında sorumluluk |
iOS ve Android Forensik Protokol Farkları
Bu tablo, rakip sayfaların tamamında bulunmamakta; ancak uygulayıcılar için kritik önem taşımaktadır.
| Parametre | iOS (iPhone / iPad) | Android |
|---|---|---|
| Veri Elde Etme Seviyesi | Mantıksal (iTunes yedek), Dosya sistemi (AFC2), Tam fiziksel imaj (jailbreak veya checkm8 exploit gerektirir) | Mantıksal, ADB dosya sistemi, fiziksel JTAG/Chip-off, EDL (Emergency Download Mode) |
| Şifreleme Durumu | iOS 8’den itibaren tam disk şifrelemesi varsayılan; kilit açık cihaz zorunlu veya GrayKey/Cellebrite Premium gerekir | Android 6+ için tam disk şifreleme zorunlu değil; üretici ve sürüme göre büyük farklılık |
| Adli Araç Desteği | Cellebrite UFED Premium, GrayKey, Magnet AXIOM — son iOS sürümlerinde kısıtlı; checkm8 yalnızca A11 ve öncesi işlemcilerde çalışır | Cellebrite UFED, Magnet AXIOM, Oxygen Forensics — cihaz markasına göre farklı Fastboot/EDL desteği |
| SIM Kart Verisi | SIM verisi fiziksel çıkarılarak bağımsız analiz edilebilir; IMSI, son arama kaydı, rehber | SIM verisi fiziksel çıkarılarak bağımsız analiz edilebilir; Android cihazlarda eSIM yaygınlaşıyor |
| iCloud / Google Bulut | iCloud yedeği CMK m.135 yazışma gizliliği kapsamında; yasal talep gerektirir; E2E şifreli yedek 2022’den itibaren | Google One yedekleri MLAT anlaşması kapsamında yasal talep; uygulama verileri kısmen dahil |
| Faraday İzolasyonu | Her iki platformda da adli kopyalama öncesi Faraday torbası zorunlu; uzaktan veri silme (remote wipe) engellenmeli | Her iki platformda da Faraday torbası veya uçak modu + WiFi/Bluetooth kapatma gerekli |
| Silinen Mesaj Kurtarma | SQLite WAL (Write-Ahead Log) ve journal dosyaları üzerinden kısmi kurtarma; tam kurtarma giderek zorlaşıyor | YAFFS2/EXT4 dosya sistemi üzerinden kurtarma; root erişimi tam fiziksel imaj için kritik |
Mobil Cihaz Elde Etme Seviyeleri
Rakip sayfaların tamamında bulunmayan bu tablo; elde etme seviyesinin adli delil kapsamını nasıl doğrudan belirlediğini göstermektedir.
| Seviye | Yöntem | Erişilen Veri | Kısıtlamalar | Araç Örneği |
|---|---|---|---|---|
| Manuel | Uzman ekranı inceleyerek fotoğraflar | Yalnızca görünen içerik | Silinen veri erişilemez; metadata kaybı; çok sınırlı | Kamera + not alma |
| Mantıksal (Logical) | USB veya Wi-Fi üzerinden cihaz API ile veri transferi | Rehber, SMS, arama, fotoğraf, takvim — silinen veri dahil değil | Şifrelenmiş bölümlere erişim yok; tam veri değil | Cellebrite UFED (logical), iTunes yedek |
| Dosya Sistemi (File System) | AFC2 protokolü (iOS jailbreak) veya ADB (Android root) | Uygulama veritabanları, önbellek, log dosyaları, kısmen silinen veri | Şifreleme engeli; üretici kısıtlamaları | Cellebrite UFED, Magnet AXIOM |
| Tam Fiziksel (Physical) | Cihaz belleğinin bit-for-bit kopyası; disk imajına en yakın | Silinen tüm veri, uygulama veritabanı fragment, şifreli bölüm | Exploit (checkm8, EDL) gerektirir; her cihazda mümkün değil | Cellebrite UFED Premium, GrayKey |
| Chip-Off | NAND flash bellek çipi fiziksel olarak sökülerek doğrudan okunur | Cihaz tamamen kilitli/hasarlı olsa bile tüm ham veri | Cihaza zarar verir; geri takılamaz; son çare yöntemi | Özel JTAG/BGA donanımı |
Adli Bilişim Araçları Karşılaştırması
| Araç | Kategori | Güçlü Olduğu Alan | Lisans |
|---|---|---|---|
| Cellebrite UFED | Mobil forensik | iOS ve Android geniş cihaz desteği; fiziksel elde etme; Türk mahkemelerinde en yaygın kabul gören | Ticari |
| Magnet AXIOM | Mobil + bilgisayar + bulut | Bulut kayıtları (iCloud, Google, Facebook), uygulama artefakt analizi, otomatik timeline | Ticari |
| FTK Imager | Disk imajı | Hızlı ve güvenilir HDD/SSD imaj alma; adli toplulukta altın standart write-blocker uyumluluğu | Ücretsiz |
| Autopsy | Disk analizi | Açık kaynak; silinen dosya kurtarma; MFT analizi; zaman çizelgesi; mahkemede kabul görmüş | Açık kaynak |
| Volatility | RAM/bellek analizi | Windows/Linux/macOS RAM dumpları; zararlı yazılım process analizi; şifre ve anahtar kurtarma | Açık kaynak |
| Wireshark | Ağ forensiği | Paket yakalama ve protokol analizi; C2 iletişimi tespiti; veri sızdırma kanıtı | Açık kaynak |
| EnCase | Kurumsal forensik | Kurumsal ağ genelinde uzak forensik; büyük ölçekli olay müdahalesi; uluslararası mahkemelerde kabul | Ticari |
| MVT (Mobile Verification Toolkit) | Casus yazılım tespiti | Amnesty International geliştirmesi; Pegasus ve devlet sınıfı casus yazılım IOC analizi; iOS özelinde | Açık kaynak |
Adli Bilişim Analizi Süreci: 6 Adım
-
Olay Yeri Müdahalesi ve Cihaz Güvence Altına AlmaCihazın açık mı kapalı mı olduğuna göre acil karar verilir: Açıksa önce RAM dump alınır, ardından Faraday torbasına konulur. Kapalıysa doğrudan Faraday torbası. Mobil cihazlar için uçak modu + Wi-Fi + Bluetooth kapatma veya Faraday torbası zorunludur; aksi hâlde uzaktan veri silme (remote wipe) riski bulunur. Ortam fotoğraflanır, chain of custody formu başlatılır.
-
Adli Kopyalama (Acquisition) — Write-Blocker ileOrijinal cihaz veya diske write-blocker bağlanır; bu cihaz yazma erişimini fiziksel olarak engelleyen donanımdır. FTK Imager veya dd komutuyla bit-for-bit imaj alınır. MD5 ve SHA-256 hash değerleri hesaplanır; imajın iki ayrı kopyası farklı medyaya yazılır. Hash değerleri zincir muhafaza formuna işlenir. Bu adım, incelemenin orijinal materyali değiştirmediğinin teknik ispatıdır.
-
Tanımlama ve Önceliklendirme (Identification & Triage)İmaj üzerinde; dava türüne göre kritik kategoriler (iletişim kayıtları, konum, finansal işlem, silinen dosyalar) önceliklendirilerek triage incelemesi yapılır. Bu aşamada hızlı bir ilk bulgular listesi çıkarılır; zaman baskısı olan davalarda (ör. gözaltı süresi kısıtlı vakalar) bu adım kritik öneme sahiptir.
-
Derinlemesine Teknik AnalizBelirlenen kategorilerde araç destekli tam analiz yürütülür: Autopsy ile MFT/silinen dosya analizi; Volatility ile RAM döküm incelemesi; Cellebrite/Magnet ile mobil uygulama veritabanı ve silinen mesaj kurtarma; Wireshark ile ağ trafiği analizi; SQLite veritabanı WAL dosyaları üzerinden kurtarma. Her bulgu hash değeri ve kaynak konumuyla belgelenir.
-
Zaman Çizelgesi Rekonstrüksiyonu ve Çapraz DoğrulamaBirden fazla kaynaktan elde edilen zaman damgaları tek bir referans dilgimine (UTC) normalize edilir. MFT kayıtları, uygulama logları, HTS baz verisi ve EXIF metadata çapraz karşılaştırılır. Timestomping (zaman damgası manipülasyonu) tespiti için sistem katmanı ile uygulama katmanı zaman damgaları karşılaştırılır. Tespit edilen tutarsızlıklar delil değeri taşır.
-
Raporlama ve Mahkemeye SunumTüm bulgular CMK m.63 veya HMK m.293 formatına uygun, teknik olmayan okuyucu için de anlaşılır dilde raporlanır. Rapor; metodoloji, kullanılan araçlar, hash değerleri, bulgular ve sonuç bölümlerinden oluşur. Grafik ve tablo destekli sunum hâkimlerin teknik bulguları kavramasını kolaylaştırır. Gerektiğinde uzman mahkemede sözlü ifade verir.
Adli Bilgisayar Bilimi Nedir?
Adli bilgisayar bilimi (computer forensics); adli bilişimin masaüstü bilgisayar, dizüstü bilgisayar ve sunuculara odaklanan alt disiplinidir. Genel adli bilişimden temel farkı: işletim sistemi mimarisine (Windows, Linux, macOS) özgü artefaktların, dosya sistemi yapılarının (NTFS, FAT32, ext4, APFS) ve sistem olay kayıtlarının derinlemesine incelenmesini kapsamasıdır.
| İnceleme Konusu | Teknik Detay | Kriminalistik Kullanım |
|---|---|---|
| MFT (Master File Table) Analizi | NTFS dosya sisteminin her dosyaya ait tam metadata kaydını içerir; silinmiş dosyalar MFT’de kalıntı bırakır | Silinen belge, fotoğraf veya program izinin tespiti; dosyanın asıl oluşturma tarihinin belirlenmesi |
| Windows Olay Günlüğü (Event Log) | Oturum açma/kapama (4624/4634), başarısız giriş denemeleri (4625), USB aygıt bağlantısı (20001), süreç oluşturma (4688) | Yetkisiz cihaz erişimi; hangi kullanıcının ne zaman oturum açtığı; zararlı süreç başlatma zamanı |
| RAM Dump ve Bellek Analizi | Volatility ile; çalışan süreçler, network bağlantıları, şifreli disk anahtarları, parolalar, enjekte edilmiş kod | Rootkit ve fileless malware tespiti; EncryptedDisk (BitLocker/VeraCrypt) anahtar kurtarma |
| Tarayıcı Artefaktları | SQLite history, cookies, cache, form data, download geçmişi; InPrivate/Incognito modda dahi RAM ve swap’ta kalıntı | Suç hazırlığı araştırmaları; hedef kişi araştırması; zararlı içerik erişimi |
| Prefetch / Shimcache / AmCache | Windows’un uygulama çalıştırma performansı için tuttuğu kayıtlar; silinmiş uygulamaların çalıştırma izleri | Kaldırılmış zararlı yazılımın cihazda çalıştırıldığının ispatı |
| $Recycle.Bin ve Silinmiş Dosya Kurtarma | Geri dönüşüm kutusunun INFO2/$I dosyaları, file carving ile fragment kurtarma | Kasıtlı delil imhasının tespiti; silinen belge içeriğinin kurtarılması |
Adli Bilişimin Hukuki Çerçevesi (Türkiye)
| Düzenleme | Kapsam | Adli Bilişim Bağlantısı |
|---|---|---|
| CMK m.134 | Bilişim sisteminde arama, kopyalama ve el koyma | Şüpheli cihaza el konulması için hâkim kararı zorunlu; arama kararı olmadan elde edilen delil muhakemede kullanılamaz (YCGK 26.06.2007 tarih 7-147/159) |
| CMK m.63 | Ceza yargılamasında bilirkişi atanması | Savcılık/mahkeme tarafından atanan bilirkişinin dijital analiz raporu resmi delil; görüşü bağlayıcıdır |
| CMK m.135 | Yazışmaların gizliliğini ihlal etmeksizin iletişim tespiti | Canlı iletişim dinklemesi için hâkim kararı; e-posta ve mesajlaşma içeriklerine erişimde uygulanır |
| HMK m.293 | Hukuk yargılamasında uzman mütalaası | Taraflarca seçilen uzmanın teknik görüşü; hâkim tarafından değerlendirilir; adli bilişim davalarında yaygın |
| 5651 m.6 | Log saklama yükümlülüğü | Erişim sağlayıcılar 1-2 yıl trafik kaydı saklamak zorunda; adli süreçte talep edilebilir |
| KVKK m.12 | Kişisel veri güvenliği ve ihlal bildirimi | Adli bilişim incelemesi kapsamında 3. kişi verisi işleniyorsa hukuki dayanak; ihlal tespitinde 72 saat bildirim |
| TCK m.281 | Suç delillerini yok etme, gizleme, değiştirme | Cihazı yok eden veya factory reset yapan kişinin ek suç riski; adli incelemede delil imha girişiminin tespiti |
| ISO/IEC 27037:2012 | Dijital delil tanımlama, toplama ve koruma uluslararası standardı | Türk mahkemeleri bu standarda uyumlu raporlara daha yüksek güvenilirlik atfeder; uluslararası davaların zeminini oluşturur |
Hizmet Alanları
Ceza Davaları — Mobil ve Bilgisayar Adli İncelemesi
Savcılık soruşturması ve ceza mahkemesi yargılamalarında CMK m.63 bilirkişi raporu veya HMK m.293 uzman mütalaası formatında dijital delil analizi. Mobil cihaz ve bilgisayardan silinen mesaj, konum, belge ve uygulama verisi kurtarma; zaman çizelgesi rekonstrüksiyonu; cihazın suç tarih/saatindeki coğrafi konumunun teknik ispatı. TCK m.125-136-243-244 kapsamındaki tüm bilişim suçlarında teknik bilirkişi desteği.
Hukuk Davaları — Boşanma, Ticari Uyuşmazlık, İş Hukuku
Boşanma ve velayet davalarında dijital delil analizi; mesajlaşma geçmişi, konum verisi ve uygulama aktivitesi kurtarma. Ticaret hukuku davalarında sahte belge tespiti, e-posta yazışma metadata analizi, ticari sır çalınması ve yetkisiz veri erişimi incelemesi. İş hukuku davalarında çalışan cihazı forensik analizi ve şirket verisi sızdırma tespiti. HMK m.293 kapsamında uzman mütalaası hazırlanarak avukatlara ve mahkemelere sunulur.
Kurumsal İç Denetim ve Suistimal Soruşturması
Şirket içinde yaşanan veri sızdırma, yetkisiz erişim, finansal suistimal veya sabotaj şüphelerinde bağımsız adli bilişim incelemesi. Kurumsal cihazların write-blocker ile adli kopyalanması, e-posta sunucu log analizi, kullanıcı aktivite izleme ve zaman çizelgesi rekonstrüksiyonu. Bulguların yönetim kurulu ve hukuk birimine gizlilik esaslı raporlanması. Mevcut iç denetim raporlarına teknik itiraz için karşı uzman mütalaası hazırlanması.
Siber Saldırı Sonrası Olay Müdahalesi (DFIR)
Fidye yazılımı, veri ihlali, web sitesi ele geçirilmesi veya içeriden saldırı (insider threat) sonrasında; saldırı vektörü tespiti, etkilenen sistem ve veri kapsamı belirleme, kill chain analizi ve başlangıç erişim noktasının kriminalistik olarak raporlanması. KVKK m.12 kapsamındaki 72 saatlik veri ihlali bildirimi için teknik rapora altlık oluşturma. Sigortacılık amaçlı siber kayıp belgelemeleri.
Sık Sorulan Sorular
Adli bilişim nedir?
Adli bilişim; bilgisayar, akıllı telefon, sunucu veya bulut sistemindeki verilerin ISO/IEC 27037 standardına uygun biçimde, delil bütünlüğü MD5+SHA-256 hash değeriyle korunarak toplanması, incelenmesi ve mahkemeye sunulması disiplinidir. Temel ilkesi tekrar edilebilirlik ve doğrulanabilirlik olup aynı imaj üzerinde yapılan farklı analizlerin aynı sonucu vermesi beklenir. Türk hukukunda bulgular CMK m.63 bilirkişi raporu veya HMK m.293 uzman mütalaası olarak sunulabilir.
İncelemeye giden telefonda nelere bakılır?
Adli bilişim uzmanı incelemeye alınan telefonda şu kategorilere bakar: arama kayıtları ve SMS/MMS içerikleri, WhatsApp-Telegram-Signal gibi mesajlaşma uygulaması veritabanları, silinen mesajların kurtarılması, GPS-Wi-Fi-baz istasyonu konum geçmişi, fotoğraf ve video EXIF metadata bilgileri, uygulama kurulum ve kullanım geçmişi, tarayıcı ve arama geçmişi, e-posta yazışmaları ile cihaz güvenlik ayarı değişim geçmişi. iOS ve Android için erişilebilir veri kapsamı ve kullanılan araçlar farklılık gösterir.
Adli bilişim uzmanları ne iş yapar?
Adli bilişim uzmanları; olay yeri müdahalesinden başlayarak write-blocker ile adli kopyalama ve hash doğrulaması yapar; silinen ve şifrelenmiş verileri kurtarır; mobil cihaz, bilgisayar, sunucu ve ağ cihazlarını analiz eder; RAM dump ve bellek analizi gerçekleştirir; HTS, IP-log, metadata ve zaman çizelgesi rekonstrüksiyonu üretir; son olarak CMK m.63 bilirkişi raporu veya HMK m.293 uzman mütalaası hazırlar ve gerektiğinde mahkemede teknik tanıklık yapar.
Adli bilgisayar bilimi nedir?
Adli bilgisayar bilimi (computer forensics); adli bilişimin bilgisayar ve sunuculara özgü alt dalıdır. MFT ve inode analizi, silinen dosya kurtarma (file carving), RAM bellek dump ve Volatility ile süreç analizi, Windows Event Log ve Linux syslog incelemesi, tarayıcı artefakt analizi, şifreli disk çözme ve kullanıcı aktivite zaman çizelgesi rekonstrüksiyonu bu alanın başlıca tekniklerini oluşturur. Genel adli bilişimden farkı, işletim sistemi mimarisine (NTFS, ext4, APFS) özgü derin teknik bilgi gerektirmesidir.
Adli bilişim raporu ne zaman gereklidir?
Adli bilişim bilirkişi raporu veya uzman mütalaası şu durumların her birinde gereklidir: bilişim suçu içeren ceza davalarında (TCK m.243-244 vb.), boşanma-velayet-miras davalarında dijital delil sunumunda, ticari sır çalınması ve veri ihlali tazminat davalarında, kurumsal iç denetim ve suistimal soruşturmalarında, KVKK kapsamında veri ihlali tespiti ve bildiriminde, siber saldırı sonrası sigorta tazminat süreçlerinde ve mahkeme tarafından mevcut raporlara itiraz edilmesi gereken durumlarda. Hangi formatta (CMK bilirkişi mi, HMK uzman mı) hazırlanması gerektiğini avukatla birlikte belirlemek en doğru yaklaşımdır.
Adli Bilişim Analizi Uzman Mütalaası ve Bilirkişi Raporu için Aslan Kriminal Bilişim ile iletişime geçebilirsiniz.
Adli Bilişim Analizi ve Kriminalistik Bilirkişi Raporu
Mobil cihaz veya bilgisayar forensik incelemesi, silinen veri kurtarma, RAM analizi, zaman çizelgesi rekonstrüksiyonu veya CMK-HMK uyumlu bilirkişi raporu hazırlanması için İstanbul merkezli adli bilişim ekibimizle iletişime geçin.