Forensik Gerekler !
Kurumsal Bilişim Güvenliği çerçevesinde ilgili yönetimin zaman zaman uğraşmak zorunda kaldığı işlerden biri kurum dahilindeki bazı “ihlallerin” veya varlığından şüphe edilen “ihlallerin” araştırılması ve incelenmesidir. Bu gerek; doğrudan kurumsal yönetim unsurlarının talebiyle oluşabileceği gibi kamu otoritelerinin ya da adli mercilerin resmi istekleri çerçevesinde de BT yöneticisinin önünde belirebilir.Talebe konu olay veya duyumun özelliklerine göre teknik alanda yapılması gereken işlemler ile kullanılması gereken yöntem ve araçlar her zaman sorunlu ve zahmetli olmuştur ve bu olumsuzluk, teknolojinin ilerlemesi ve kullanıcıların “öğrenme” hızı nedeniyle giderek yükselen bir eğilim taşımaktadır.
Kurum ağı ve BT ekipmanlarında bir olay gerçekleştikten sonra onunla ilgili delil ve kanıtların bulunup incelenmesi olan BT forensiğinin, çok geniş ve “derin” alanının her yönüyle bir BT yöneticisi tarafından bilinmesi, hele hele kurumun iş kanadı yöneticilerince bilinmesi şüphesiz beklenemez.
Öte yandan konunun hukuki yönü de teknik yönü kadar önem taşımaktadır. Ölçekli kurumlarda BT ya da BT Güvenlik sorumlularının yasal konularla ilgili danışabileceği birimler bulunabilse de, orta ölçek ve daha küçük organizasyonlarda bu tür bir olanak yoktur. Bu alt ölçekte, BT yöneticisi işin hukuki tarafını el yordamıyla, sağa sola başvurarak öğrenmek ve uygulamaya çalışmak zorundadır.
Her durumda BT yönetimi etik olarak, hem kendisini, hem kurumu, hem de forensik incelemeye tabii olacak ekipmanın kullanıcısı olan çalışanın özlük ve yasal haklarını korumak ve gözetmek durumundadır. Bu da takdir edilebilir ki, hem içinde birbiriyle çelişebilir öğeler barındırdığından hem de bu tür incelemelerde mevcut “panik” ve zaman basınçlarından dolayı çok kolay gerçekleştirilebilir bir iş değildir.
Bu genel çerçeveden hareketle en temel uygulamalardan birine bakalım: Disk Kopyalama. “…Bilgisayar disklerine el kondu.., ya da bilgisayar diskleri kopyalandı…” gibi tümcelerle medyada da yoğun bir şekilde bahsi geçen konu aslında ,kurumsal BT forensiğinde de sık sık rastlanılan bir olgudur.
Bu işlemlerde yukarıda belirtilen üç ana unsurun, (kurum ,BT yönetimi, ve çalışan) yasal ve özel haklarının korunabilmesi için gelişmiş ülkelerin BT forensiğinde ve bu işlemler sonucu elde edilen kanıt veya delilerin (ya da bir kanıt bulunamadığının) hem yasal, hem de kurumsal zeminde ifade edilmesinde temel aranan şart; kanıtların dayandığı elektronik ortamın “ellenmemiş” ve “orijinal halde” ve “zamanda” olduğunun da kanıtlanmasıdır.
İster kurumsal BT tarafından isterse de dış kaynak uzmanlar ya da adli merciler tarafından getirilsin bir elektronik ortamda bu temel şart sağlanmamışsa elde edilen ortamın geçerliliği yoktur. Aksi durumda bahsettiğimiz üç unsurun da başına adli/mali açıdan bir çok şey gelebilir. Tabii gelişmiş örnekleri kastettiğimizi tekrar söyleyelim.
Bu alanda kullanılan (ve de kullanılması gereken) genel teknik “kriptografik hash” tekniğidir. Başka bir deyimle “checksum” tekniklerinin daha gelişmişi de diyebiliriz. Bu teknikte şüpheli veri toplamı orijinal kaynağında iken bir algoritmaya tabii tutulur ve bir “hash “değeri elde edilir. Veri ortamı yerinden alınsa da “kopyalansa” da veriye (yani mevcut her türlü dosyaya” ya da diskin gizli alanlarına müdahale edilmedikçe , aynı algoritmanın tekrar çalıştırılması aynı sonucu verir. Böylece kanıtların “oynanmamış” olduğu ileri sürülebilir.
Şüphesiz her hangi bir algoritma bu iş için yeterli değildir. Checksum’lar başka tekniklerle aldatılabilir veya oynanabilir özellikler taşırlar. O nedenle “kriptografik hash” deyimini kullandık. Kriptografik hash yöntemleriyle elde edilen çıktı da bir seri karakterdir (string). (Teorik olarak ayrı iki veri bloğundan aynı algoritma ile aynı karakter dizinini elde etmek olasılığı 2 üzeri 65 de bir civarlarında bu günlerde.)
Yine günümüzün en popüler iki algoritmasının dahi bazı istismar edilebilecek bazı güvenlik açıkları olduğu bilinmekte. Ancak yukarıdaki olasılık rakamının çok düşük olması nedeniyle bu durum -biraz da mecburen - göz ardı edilmekte.
En popüler iki algoritmaya gelince; bazı güvenlik açıklarına karşın bunlardan en yaygını MD5 (Message Digest Algorithm) ve 1990 lardan beri kullanımda. Diğeri ise Amerikan NSA’nın (National Security Agency ) geliştirdiği MD5 e alternatif bir algoritma ailesi olan SHA (Secure Hash Algorithm). Bu grup MD5 den daha güvenli olmasına karşın SHA-1 serisinde de bir güvenlik açığı bulunmuştu. (Bu işlerde %100 güvenlik diye bir şey yok malum.)
Bu tür “sağlama” ve “güvenilirlik” işlerine ülkemizde bu gün gereken önem verilmiyor olabilir. Ama yarın ?
(*) Konuya yabancı olabilecekler için MD5′den bir örnek verelim:
MD5 Hash: (”Computer Forensics”) = 7e48ea010d29aa81311d0fa10afa9ea4
MD5 Hash: (”computer forensics”) = 982952ca09c9f9a6e11f0db4ed4c1b39
Görüldüğü üzere sadece “C ve F ” harfleri büyükten küçüğe dönüşse bile hash değeri çok farklı olarak çıkıyor.
