Adli Bilişim Bilimi: Metodoloji, Hukuki Çerçeve ve Uygulama Alanları Üzerine Kapsamlı Bir İnceleme

Yorum bırakın / Mevzuat ve Hukuk / Yazan
unnamed

Özet

Adli bilişim, elektronik ortamda bulunan verilerin, hukuki prosedürlere uygun olarak toplanması, saklanması, analiz edilmesi ve raporlanması sürecini kapsayan multidisipliner bir bilim dalıdır. Bu makale, adli bilişimin temel prensiplerini, ISO/IEC 27037 standartlarına dayalı inceleme sürecini, Türk hukukundaki (CMK 134) yerini ve modern soruşturmalardaki kritik rolünü teknik ve akademik bir dille irdelemektedir.

1. Giriş

Teknolojinin suç işleme aracı veya suçun ispatı niteliğinde olması, geleneksel kriminalistik yöntemlerinin dijital dünyaya evrilmesini zorunlu kılmıştır. Adli bilişim (Digital Forensics); bilgisayar bilimi, hukuk ve kriminalistik disiplinlerinin kesişim noktasında yer alır. Temel amacı, dijital bir olayı “ne oldu, ne zaman oldu, nasıl oldu ve kim yaptı?” soruları ekseninde, mahkemede delil niteliği taşıyacak şekilde yeniden inşa etmektir.

Edmond Locard’ın “Her temas bir iz bırakır” prensibi, dijital dünyada da geçerliliğini korumaktadır. Bir sisteme girildiğinde, bir dosya silindiğinde veya bir e-posta gönderildiğinde arkada dijital parmak izleri (loglar, metadata, registry kayıtları) kalır.

2. Adli Bilişim Metodolojisi ve Süreçleri

Adli bilişim süreci rastgele bir inceleme değildir; uluslararası standartlara (özellikle ISO/IEC 27037 ve NIST SP 800-86) tabi olan katı bir prosedürdür. Bu süreç dört ana aşamada incelenir:

2.1. Tanımlama ve Olay Yeri Müdahalesi

İlk aşama, potansiyel dijital delillerin tespit edilmesidir. Sadece bilgisayarlar değil; IoT cihazları, akıllı saatler, sunucular ve bulut hesapları da bu kapsama girer.

2.2. Koruma ve Toplama (Preservation & Collection)

Bu aşamanın en önemli kuralı “Orijinal delil üzerinde asla inceleme yapılmaz” ilkesidir.

  • İmaj Alma (Forensic Imaging): Depolama ünitesinin (HDD, SSD, USB) bit seviyesinde (bit-by-bit) kopyasının alınması işlemidir. Bu işlem, sıradan bir kopyalama değildir; silinmiş alanlar (unallocated space) ve dosya artıkları (slack space) dahil olmak üzere diskin fiziksel kopyasını içerir.
  • Yazma Koruma (Write Blocking): İmaj alma sırasında orijinal delilin bütünlüğünün bozulmaması için donanımsal veya yazılımsal yazma koruyucular kullanılır.
  • Hash Değeri (Dijital Parmak İzi): Alınan imajın orijinali ile birebir aynı olduğunu kanıtlamak için matematiksel özetleme algoritmaları (MD5, SHA-1, SHA-256) kullanılır.

2.3. Analiz (Examination & Analysis)

Adli bilişim uzmanları, alınan imaj üzerinde özel yazılımlar (EnCase, FTK, X-Ways, Autopsy) kullanarak veri madenciliği yapar.

  • Silinen Verilerin Kurtarılması: Dosya sistemi tablosundan silinen ancak diskin manyetik yüzeyinde hala duran verilerin kurtarılması (Data Carving).
  • Zaman Çizelgesi (Timeline) Analizi: İşletim sistemi zaman damgası verileri kullanılarak kullanıcının aktivitelerinin kronolojik sıraya dizilmesi.
  • Kayıt Defteri (Registry) ve Artifact Analizi: USB takıp çıkarma geçmişi, son girilen web siteleri ve çalıştırılan programların tespiti.

2.4. Raporlama (Reporting)

Elde edilen teknik bulguların, teknik bilgisi olmayan savcı, hakim ve avukatların anlayabileceği sade bir dille raporlanmasıdır. Rapor, tekrarlanabilir (repeatable) olmalı; yani başka bir uzman aynı delillerle aynı yöntemleri izlediğinde aynı sonuca ulaşabilmelidir.

3. Adli Bilişimin Alt Dalları

Adli bilişim artık tek bir başlık altında toplanamayacak kadar genişlemiştir:

Alt DalAçıklama
Bilgisayar Adli BilişimiHard diskler, SSD’ler ve USB bellekler üzerindeki verilerin incelenmesi.
Mobil Cihaz Adli BilişimiCep telefonları, tabletler ve SIM kartlardan (arama kayıtları, GPS verisi, WhatsApp mesajları) veri kurtarma.
Ağ Adli BilişimiAğ trafiğinin (paket analizi) izlenmesi ve saldırı kaynaklarının tespiti.
Bellek (RAM) Adli BilişimiBilgisayar açıkken RAM üzerindeki uçucu verilerin (şifreler, çalışan süreçler) analizi.
Malware AnaliziZararlı yazılımların davranışlarını ve kod yapısını tersine mühendislik ile inceleme.

4. Hukuki Boyut ve Delil Zinciri

Türkiye’de adli bilişim incelemeleri hukuki meşruiyetini Ceza Muhakemesi Kanunu (CMK) Madde 134‘ten alır. Bu maddeye göre:

  1. Bilgisayarlarda arama ve kopyalama yapabilmek için “başka surette delil elde etme imkanının bulunmaması” gerekir.
  2. Hakim kararı şarttır (Gecikmesinde sakınca bulunan hallerde savcı emri yetmez, mutlaka hakim onayı gerekir).

Delil Zinciri (Chain of Custody): Delilin olay yerinden alınıp mahkemeye sunulana kadar geçen sürede kimlerin eline geçtiği, nerede saklandığı ve ne zaman işlem yapıldığının kayıt altına alınmasıdır. Zincirdeki bir kırılma, delilin hukuka aykırı sayılmasına ve davanın seyrinin değişmesine neden olabilir.

5. Karşılaşılan Zorluklar ve Anti-Forensics

Günümüzde adli bilişim uzmanlarını en çok zorlayan konular “Anti-Forensics” (Adli Bilişime Karşı Koyma) teknikleridir:

  • Şifreleme (Encryption): BitLocker, VeraCrypt gibi araçlarla disklerin şifrelenmesi, anahtar olmadan veriye erişimi imkansız hale getirebilir.
  • Veri Yok Etme (Wiping): Verinin üzerine defalarca rastgele 1 ve 0 yazılarak manyetik izlerin tamamen silinmesi.
  • Steganografi: Verinin, bir resim veya ses dosyasının içine gizlenmesi tekniği.

6. Sonuç

Adli bilişim, suçla mücadelede vazgeçilmez bir bilim dalı haline gelmiştir. Geleneksel delillerin yerini dijital baytların aldığı bu çağda, adli bilişim uzmanlığı sadece teknik bir beceri değil, aynı zamanda hukuki bir sorumluluktur. Teknolojinin gelişimiyle birlikte bulut bilişim (Cloud Forensics) ve yapay zeka destekli analiz yöntemleri, bu alanın gelecekteki çalışma sahalarını oluşturacaktır. Soruşturmaların selameti açısından, “delil bütünlüğü” ve “hukuka uygunluk” kavramları, teknik analiz kadar hayati öneme sahiptir.

Kaynakça ve Referanslar

  • Kanun: 5271 Sayılı Ceza Muhakemesi Kanunu (Madde 134).
  • Standart: ISO/IEC 27037:2012 – Guidelines for identification, collection, acquisition and preservation of digital evidence.
  • Standart: NIST (National Institute of Standards and Technology) SP 800-86 – Guide to Integrating Forensic Techniques into Incident Response.
  • Akademik Literatür: Casey, E. (2011). Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet. Academic Press.
  • Konsept: Locard, E. (1920). L’enquete criminelle et les methodes scientifiques. (Locard Değişim Prensibi).

Related Posts

Yorum bırakın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Subscribe
Subscribe

Powered by
Necessary cookies enable essential site features like secure log-ins and consent preference adjustments. They do not store personal data.
None
Functional cookies support features like content sharing on social media, collecting feedback, and enabling third-party tools.
None
Analytical cookies track visitor interactions, providing insights on metrics like visitor count, bounce rate, and traffic sources.
None
Advertisement cookies deliver personalized ads based on your previous visits and analyze the effectiveness of ad campaigns.
None
Powered by