Zaman Çizelgelerinin Ötesinde – Göreceli Zamanda Dayanak Noktaları – Mark G. Spencer

ZAMAN ÇİZELGELERİNİN ÖTESİNDE – GÖRECELİ ZAMANDA DAYANAK NOKTALARI – Mark G. Spencer

“GÖRECELİ ZAMAN OLAYLARIN BELİRLİ BİR DÜZEN İÇİNDE MEYDANA GELDİĞİ ZAMAN ANLAMINA GELİR. ANCAK BU OLAYLAR İLE BAĞLANTILI TARİH VE ZAMANLARDAN EMİN OLAMAYIZ.”

Delilimizdeki kritik tarih ve zamanların gŭvenilir olmadığına inanmamiz için nedenlerimiz varsa, hatta bunlar tutarlı bir șekilde yanlış değillerse, zaman çizelgelerimize ne olur? Mark Spencer açıklıyor…

Adli bilişim ve vakalara karşılık verme (DFIR) uygulayıcıları şüpheli faaliyetleri etkin bir şekilde saptamak ve daha iyi anlamak amacıyla zaman çizelgeleri kullanırlar.

Zaman çizelgelerinin kullanılması DFIR analizinin her zaman temel bir bileşeni olmuştur. (bakınız Clifford Stoll’un “İzinsizdağıtılan mp3 parçaları”ndaki çalışması).

Ancak geçen birkaç yıl boyunca zaman çizelgelerinin önemi araştırma (1), yazılım (2) ve eğitimde (3) giderek artan bir şekilde vurgulanmıştır.

Zaman çizelgelerinin temellerinin tarihler ve zamanlar üzerine kurulduğu açıktır.

Doğru tarih ve zamanlar üzerine kurulu zaman çizelgelerini tercih ederiz ancak, devamlı olarak doğru olmayan tarih ve zamanların, küçük kümeler halinde bile olsa, son derece yararlı oldukları görülebilir.

Dosya sistemlerinden ve günlüklerden elde edilen, belgeler içine gömülü olan ve benzeri şekillerde elde edilen, kritik bir öneme sahip olan tarih ve zamanlara güvenilemeyeceğine ve hatta devamlı olarak yanlış olduklarına inanmak için makul sebeplerimiz olduğunda zaman çizelgelerinin durumu ne olacaktır?

Geleneksel zaman çerçevesi analizinin yararlarının sorgulanmasına yol açacak derecede yaygın bir şekilde tarih ve zaman tahrifatının yapıldığı vakalar ile karşılaştık.

Bu gibi durumlarda daha derinlemesine bir araştırma yapılması gerektiğini fark ettik ve hem meşru hem de gayrimeşru dayanak noktalarının göreceli zamanda saptanması uygulamasını formalize etmeye başladık.

Göreceli zamanda meşru ve gayrimeşru olmayan dayanak noktalarını saptama konseptini ayrıntılı bir analize tabi tutalım.

Meşru ve meşru olmayan dayanak noktaları (dayanak noktaları, basitçe, güvenebileceğimiz somut vakalardır) bazen kesin olarak doğru tarihler ve zamanların elde bulunmasının sağlayacağı yarar olmaksızın yada ortada hiçbir bağlantılı tarih ve zaman olmaksızın ya meşru ya da gayrimeşru olduğuna güvenebileceğimiz ve ilave analizimizi dayandırabileceğimiz vakalardır. Geçmişte kullanılan meşru dayanak noktaları Microsoft Windows işletim sisteminin yüklenmesi, çalışmaya başlatılmasını ve kapatılmasını içermiştir.

Saptadığımız gayrimeşru dayanak noktaları, kötü amaçlı yazılım ve antiadli bilişim araçlarının (çoğu zaman veri sürtücüleri) ve/veya bunların uygulanma artıklarının devreye sokulmasını içermiştir.

Göreceli zaman kavramı hadiselerin belirli bir düzen içinde meydana geldiği zaman anlamına gelir ancak bu hadiseler ile bağlantılı tarih ve zamanların mevcut olduğunu varsaysak bile bu tarih ve zamanların kesin olarak doğru olduğundan emin olamayız. Gerçekte çoğu zaman bu hadise ve vakalar ile ilişkili tarih ve zamanların kesin olarak doğru olmadığından emin oluruz.

Bu makalenin odaklandığı nokta elektronik kanıtlarınız içindeki (yani dahili kanıtlar) dayanak noktalarıdır ancak kanıtlar bir boşluk içinde yüzmezler ve daha ziyade mahkeme emirleri,video çekimler, tarihsel vakalar gibi ögeleri içerebilecek dış dayanak noktaları bağlamında varolur.

Meşru ve gayrimeşru dayanak noktalarının tespit edilmesine vaka hakkında öğrendiğiniz şeyler ve kanıtlarınız hakkında öğrendiğiniz şeyler kılavuzluk etmeli ve destek sağlamalıdır. Bu noktada aşırı dozda mantıklılık kontrollerinin yapılması önem taşır, örneğin kanıtlarınız içindeki tarih ve zamanların dış kaynaklardan (web tarayıcısının kalıntıları içinde vb.) geliştirilmesi ve güçlendirilmesi. Bunun yanında bu dayanak noktalarının göreceli zamana uygulanması için bunların hangi düzen içinde meydana geldiklerinden emin olmamız gerekir ve bu amaçla, yalnızca adli bilişim araçları tarafından çok sık olarak sergilenmeyen belirli tipteki verilere güvenebiliriz.

GÖRECELİ ZAMANDA DAYANAK NOKTALARININ TİPLERİ

Arsenal vakalar ile bağlantılı tarih ve zamanlara bakmasızın vakaların meydana geldiği düzeni belirlemede Microsoft’un NTFS dosya sistemi (NTFS) ve Windows olay günlüğü servisi tarafından üretilmiş olan bilgilerin özellikle yararlı olduğunu tespit etmiştir. Bu bilgiler aşağıda sıralanan ögeleri içerir :

• NTFS’nin $log dosyası metadosyasından (“$LogFile”) alınan Log Sıra Numarası (“LSN’ler)
• NTFS’nin $MTF meta dosyasından (“MTF”) alınan ve yeniden kullanılmamış olan kayıt numaraları
• Windows Olay Log hizmeti tarafından yaratılan olaylardan alınan kayıt kimlikleri (EventRecordIDs)

$LogDosyası LSN’ler denilen benzersiz belirteçler kullanmak suretiyle NTFS’e yenileme ve geri alma işlevselliği sağlayan bir işlem kaydıdır. Bir başka deyişle Günlük Dosyası dosya sistemi işlemlerini gerektiğinde yenilenmelerine ya da geri alınmalarına olanak sağlayacak bir şekilde takip eder. LSN’ler, bağlantılı tarih ve zamanlarına bakmaksızın sıralı bir şekilde (dosya, klasör ve bunların meta verileri üzerindeki değişikliklerin gerçekleştiği sıra düzeni içinde meydana gelerek) artar.

mark_spencer_makale-1

LSN’ler Joakim Schicht’ın LogDosyası Ayrıştırıcısı [4] ve G-C Partners’ın İleri NTFS jurnal ayrıştırıcısı [5] gibi araçlar kullanılarak ekspoze edilebilir.

$MFT NTFS’ye dosyaları ve klasörlerinin isimleri, mevkileri, tarihleri ve zamanları hakkındaki bilgileri muhafaza etmek suretiyle bu dosya ve klasörleri takip etme olanağını ve buna ilaveten daha birçok işleri yerine getirme olanağını sağlar. Her bir MFT kaydına (gündelik dil ile ifade edecek olursak her bir dosya ve klasöre) bir kayıt numarası ve bunun yanında o kaydın zaman içinde yeniden kullanılmış olup olmadığını saptayan bir sıra numarası verilir. Kayıtlar yalnızca bir kez kullanılmış ise , yani sıra numarası “1” ise, kayıt numaraları, bağlantılı tarih ve zamanlara bakmaksızın dosya ve klasörlerin yaratıldığı düzen içinde meydana gelerek sıralı bir şekilde artar. $MFT kayıt numaraları ve bunların sıra numaları Schicht’ın mft2csv [6]’sı, yukarıda bahsedilen G-C Partners’ın İleri NTFS Jurnal Ayrıştırıcısı ve David Kovar’ın analyzeMFT [7]’ı gibi araçlar kullanılarak ekspoze edilebilir. Microsoft (8) gereğince: “Vaka Log
hizmeti, sistemin, sistem bileşenlerinin ve uygulamalarının vakaları kaydetmek
için kullandığı bir dizi vaka kaydı tutar.

Kayıt kimlikleri Windows Vaka Log hizmeti tarafından yaratılan olaylara tahsis edilmiş benzersiz numaralardır ve bunlar ile bağlantılı tarih ve zamanlara bakılmaksızın (vakaların meydana geliş düzeni içinde meydana gelerek) sıralı bir şekilde artar.

Kayıt kimlikleri Harlan Carvey’ın “lsevt.pl” Perl script.”aracı gibi araçlar kullanılarak ekspoze edilebilir.

Göreceli Zamanda Dayanak Noktalarının Türkiye’deki Ergenekon Davasına Uygulanması

Göreceli zamanda dayanak noktalarını Türkiye’de Balyoz davası (özellikle Türk Deniz Kuvvetleri Komutanlığında el konulan “5 Numaralı Hard Disk”) ve Ergenekon davası adı ile bilinen önemli kamu davalarına uyguladık. Balyoz davası Türkiye’de bir İslamcı siyası partinin (Adalet ve Kalkınma Partisi , AKP) seçilmesine tepki olarak bir askeri darbe planlandığı iddiasını içermektedir.

Ergenekon davası Türkiye’de ordu, üniversite dünyası, sivil toplum kuruluşları ve medya içinde bağlantıları olan bir derin devletin (9) mevcut olduğı iddiasını içermektedir. İzleyiciler Amerika ve yurtdışındaki adli bilişim uzmanları tarafından son derece şoke edici ve şiddetli tartışmalara açık olduğu teyid edilen bulgularımıza atıfta bulunmuşlardır.

mark_spencer_makale-2

mark_spencer_makale-3

mark_spencer_makale-4

Türkiye’de faaliyet gösteren bir sivil toplum kuruluşu olan Çağdaş Yaşamı Destekleme Derneği’nin (ÇYDD) eski yöneticileri Ergenekon davası sanıkları içinde en çok tartışma konusu olanlardır.

ÇYDD 1989 yılında kadınların çağdaş eğitim olanaklarına sahip olma haklarını koruma misyonu ile kurulmuştur. Savcılar ÇYDD yöneticilerinin Ergenekon adı verilen terör örgütüne yeni üyeler topladığını, Türk ordusu içine sızdığını ve bir darbenin temellerini attıklarını iddia etmişlerdir.

Hükümetin ÇYDD yöneticilerine karşı davada ileri sürdüğü kanıtlar esas olarak ÇYDD sabit sürücüsünden elde edilen belgelere dayanmaktadır.

ÇYDD sabit sürücüsü 13 Nisan 2009 tarihinde Türk polisi tarafından ÇYDD’nin Kadıköy ofisinde (ana bilgisayarın içindeyken) elkonulmuştur.

ÇYDD sabit sürücüsünden 5 Ağustos 2013 tarihinde alınan adli görüntünün bir suretini aldık. Adli görüntü içindeki meta veriler bunun 15 Ağustos 2009 tarihinde elde edildiğini gösteriyordu ki böyle bir şey ÇYDD sabit sürücüsüo tarih itibariyle ele geçmemiş olması vb. nedenlerle imkansızdı.

Bu noktayı şüpheli bulduk (Diğer hususlar yanında çalışmamızı belgeleyen film gösterime sunulduğu zaman daha fazla ayrıntı ortaya konulacaktır) ve ÇYDD sabit sürücüsünde göreceli zamanda meşru ve gayrimeşru dayanak noktalarının mevcut olup olmadığın araştırmaya başladık.

Bu örnekte, çalışmalarımızı meşru ve gayrimeşru dayanak noktalarını saptamak amacıyla $LogDosyasında kaydedilmiş olan dosya sistemi işlemleri üzerinde odakladık.

ÇYDD Sabit Sürücüsü üzerindeki Windows’un son olarak 10 Nisan 2009 günü saat yaklaşık 08:48:17’de kapatılmış olmasının meşru bir dayanak noktası teşkil ettiğini tespit ettik.
(Not: bu maddede bahsedilen bulgularımız ile ilişkili tarih ve zamanlar Türkiye zamanı cinsinden verilmiştir).

Bu bağlantı noktasının seçimini daha da sağlamlaştırmak için Windows olay günlüğü hizmeti tarafından yaratılan olayları kullandık (Örneğin son olay günlük hizmetinin kapatılması (olay kimliği 6006) = 2009 04-10 20:48:12) ve kayıt
defteri (örneğin sistemde kapanma süresi ControlSet1001/Vontrol/Windows = 200904-10 20:48:17) değerlerini kullandık.

Tablo 1’deki LSN’ler son derece önemlidir.

Bunlar ÇYDD sabit sürücüsü üzerinde yapılan son meşru dosya işlemlerini temsil ederler. Başka bir deyişle bu vakalar Windows’un kapatılırken ve kritik sistem
dosyalarına yazarken gerçekleştirdiği nihai hareketleri temsil eder.

Daha önce bahsedilmiş olduğu gibi bazı durumlarda gayrimeşru dayanak noktaları kötü amaçlı yazılım ya da antiadli bilişim verileri içerebilir.

Bu örnekte, $Log dosyasında gayrimeşru bir dayanak noktası olduğu oldukça aşikardı. Tablo 2’deki LSN’lere yakından dikkat edin ve onları Tablo 1’deki LSN’Ler ile karşılaştırın.
LSN’lerin bağlantılı tarih ve zamanlarına bakmaksızın sıralı olarak arttıklarını ve tablo 1’deki LSN’lerin Windows’un ÇYDD sabit sürücüsü üzerinde son kez kapatılmasını temsil ettiğini unutmayın.

mark_spencer_makale-5

mark_spencer_makale-6mark_spencer_makale-7Tablo 2’de (LSN103816248ile başlayan) dosya sistemi işlemleri, LSN’lerinin ÇYDD sabit sürücüsü üzerinde Windows en son olarak Tablo 1’de kapatıldığı zaman ilişkili olanlardan daha yüksek olmaları nedeniyle yabancı bir “eski durumuna getirme” noktasının yaratılmasını temsil eder. Bir başka deyişle bir “eski duruma getirme” noktası halihazırda son kez kapatılmış olan ÇYDD sabit sürücüsü üzerindeki Windows tarafından değil ÇYDD sabit sürücüsünü kendi bağımlı birimi olarak yerleştirmiş olan bir diğer Windows OS tarafından yaratılmıştır (yardımcı yada ikincil kütük).

Belki de en aleyhte olan nokta bu eski durumuna getirme noktasının işlem log’unun (değişiklik log’u) içeriklerinin ÇYDD sabit sürücüsü üzerindeki Windows’un yapmayacağı ancak buna karşılık Windows’u çalıştıran başka bir bilgisayar sisteminin yapacağı bir şekilde ÇYDD sabit sürücüsüne “HarddiskVolume6” olarak atıfta bulunmasıdır.

Bu hususu zaman içinde “Mounted Devices” ve “Disk Devices” tescil bilgilerini gözden geçirmek için tescil gözlemlemesini kullanarak ve ÇYDD sabit sürücüsünün tahsis edilmiş ve edilmemiş alanını aramak suretiyle teyid ettik.

Artık bir yabancı “eski durumuna getirme” noktasının yaratılması ile ilişkili olarak gayrimeşru bir bağlantı noktası (LSN 103816248) tespit etmiş olduğumuz için şimdi $Log dosyası içine daha derinlemesine girelim.

LSN 103816248’den ileriye doğru (Log dosyası ayrıştırıcısı v.1..0.0.16 tarafındanayrıştırıldığı üzere) 74,408 dosya sistemi işlemi mevcuttur.

LSN 103816248’den ileriye doğru 74,408 şlemin tümü ÇYDD sabit sürücüsü üzerindeki Windows’un son kez kapatılmasından sonra ve ÇYDD sabit sürücüsünün bir başka Windows sürücüsüne son kez bağlanmasından sonra meydana gelmeleri nedeniyle gayirimeşrudurlar.

Bu 74,408 işlem içinde hükümetin ÇYDD yöneticilerini suçlaması içinde zikredilen belgelerin her biri önce oluşturulmuş ve sonra silinmiştir.

Örneğin hükümetin ÇYDD sanıklarına karşı açtığı davadaki en önemli belgelerin üçü Tablo 3’de oluşturulduğu ileri sürülebilir ve keza Tablo 3’deki LSN’lere ve bunların Tablo 1 ve 2’deki LSN’ler ile olan ilişkilerine yakından dikkat edin.

Bu belge hükümetin açtığı dava açısından kritik bir öneme sahiptir çünkü ÇYDD ve Ergenekon arasında varolduğu iddia edilen bağlantıları ortaya koymaktadır. Daha spesifik olarak ifade edecek olursak, “TÜRKANSAYLAN3.doc” ÇYDD ve Emekli Deniz Albay Aydın Ortabaş ile Ergenekon davasında suçlanan diğer muvazzaf deniz subayları arasında bağlantı kurmaktadır.

“Mektup (Türkan Saylan).doc” belgesi (belirli konularda toplum önderi olmak üzere üniversite öğrencileri seçen bir ÇYDD programı olan) “Deniz Yıldızı” gibi popüler ÇYDD projeleri ile gayrimeşru faaliyetler ve Ergenekon davasında gösterilen deniz subayları arasında bir bağlantı kurmakta ve keza ”listeaaçıklama.doc” belgesi iddia edildiğine göre Ergenekon için eleman toplamak amacıyla ÇYDD’den burs kazanan kız öğrenciler ile denizcilik okullarındaki erkek öğrenciler arasında bağlantı kurmaktadır.

ÇYDD sabit diski bize tüm tarihler ve zamanların aşırı bir şüphe ile muamele edilmesini gerektiren bir ortam sunmuştur.

En sonunda en önemli tarih ve zamanların çoğuna güvenilemeyeceği açıkça ortaya çıkmıştır.

Önemli hadiselerin meydana geliş sırasını saptamak amacıyla göreceli zamanda meşru ve gayrimeşru bağlantı noktalarını güçlendirdik ve sonunda ÇYDD sabit diskinin tahrif edildiği sonucuna vardık.

ÇYDD sabit diski üzerindeki $LogDosyası analizimiz ile ilgili bulgularımız hakkında daha fazla ayrıntı www.Arsenallexperts.com sitesinde sunulacaktır.

Bu bağlantı noktaları, ilgili hadiselerin artık bildiğimiz meydana geliş sırası içinde dava ile ilişkili hadiseler (dış bağlantı noktaları) ile Tablo 5’te ilgili bağlam içine yerleştirildiği zaman bunların önemi olsa olsa sadece artar.

Olayların meydana geliş sırası ile ilgili olarak cevapsız kalan ve kırmızı renk ile vurgulanmış olan yegane soru tahrifat işleminin baskından hemen önce mi yoksa baskından sonra mı gerçekleştirildiğidir.

SONUÇ

ÇYDD sabit sürücüsü üzerinde yaptığımız analiz bizden önce başkalarının yapmış olduğu gibi hemen erişilebilir tarih ve zamanlara dayanmış olsa idi mevcut hali ile deliller bizi yanıltılmış olabilirdi.

Bunun yerine sonuçları bugün bile tam olarak anlaşılmamış olan delillerde tahrifatı ortaya çıkarmak için göreceli zaman içinde meşru ve gayrimeşru bağlantı noktalarını güçlendirmek suretiyle daha derinlenesine bir analiz yaptık.

Ancak açıkça ortada olan husus şudur ki elektronik kanıtlar ile ilişkili tarih ve zamanlar umutsuz bir şekilde güvenilir olmaktan uzak olduğu zaman herşey kaybolup gitmez. Bu makalede bahsedilmiş olan bağlantı noktası tiplerini sağladığınız zaman olaylar ile bağlantılı tarih ve zamanların sizi neye inanmaya sevkettiğine bakmaksızın olayların meydana geliş sırasını ve düzenini kavrayacaksınız.

Tabloları izlemek için bunları birbiri ile çelişkili bağlantı noktalarının yeniden gözlemlenmesini sağlayacak bir şekilde yeniden oluşturduk.

REFERANSLAR
1. Mastering the Super Timeline With log2timeline, Kristinn Guojónsson, June 29, 2010
2. Plaso (http://plaso.kiddaland.net/), 4n6time (http://log2timeline.kiddaland.net/usage/4n6time)
3. SANS FOR508.3: Timeline Analysis (Advanced Computer Forensic Analysis and Incident Response)
4. https://code.google.com/p/mft2csv/wiki/LogFileParser
5. http://hackingexposedcomputerforensicsblog.blogspot.com/
6. https://code.google.com/p/mft2csv/
7. https://github.com/dkovar/analyzeMFT
8. http://technet.microsoft.com/en-us/library/dd315601(v=ws.10).aspx
9. http://en.wikipedia.org/wiki/Deep_state

YAZARIN ŐZGEÇMiŞİ

Mark G. Spencer, hukuk firmaları, kurumlar ve hükümet kuruluşları için adli bilişime müteallik görevleri yönettiği Arsenal Consulting’in, başkanıdır.

Aynı zamanda adli bilişim araçlarının geliştirilmesine rehberlik yaptığı Arsenal Recon’un başkanıdır.

Mark emniyet teşkilatı ve özel sektör kuruluşlarında adli bilişim konusunda onbeş yılı aşan bir deneyime sahiptir.

Boston’daki Bilişim Güvenliği Kurumu ve Bunker Hill Community College’de ders vermiştir.

Mark fikri mülkiyet hakları hırsızlığından yabancı terörist kuruluşlar ve askeri darbe planlamasına destek olmak amacıyla delillerin karartılmasına kadar uzanan ve önemli sonuçları olan bir dizi önemli vakada Arsenal ekibini yönetmiştir.

Arsenal Consulting and Recon’un merkezi, Boston, Massasuchets’in hemen dışında, bir zamanlar USS Kuruluşu için silah depolanan tarihi bir askeri yapı olan Chelsea Donanma Cephaneliğinde bulunmaktadır.

Yorumlar

comments

Yorum Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Yorum onaylama sistemi etkin; yorumunuzun yayınlanması biraz zaman alabilir.

Translate »

T. Koray Peksayar Blog is Stephen Fry proof thanks to caching by WP Super Cache