Digital Forensics | DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri

WhatsApp Mesaj İçerikleri Sonradan Değiştirilebilir mi?

Samet YILMAZ — Mon, 29 Mar 2021 13:48:21 +0000

Akıllı cep telefonlarının hayatın hemen hemen her alanında ve anında kullanılıyor olması adli olsun ya da olmasın bir olayın ortaya çıkartılmasında birinci delil olarak kabul edilmeye başlandı. Bunun en önemli gerekçesi ise günlük hayatımızdaki pek çok önemli ve özel anların akıllı cep telefonları tarafından kaydediliyor ya da aktarılıyor olmasıdır.Türkiye’de akıllı cep telefonları ile anlık mesajlaşma amacıyla en fazla kullanılan uygulama WhatsApp, Telegram, Signal, Bip gibi uygulamalardır. Son zamanlarda DIFOSE’un hem İstanbul hem de Ankara’daki adli bilişim laboratuvarlarına gelen vakalarda tarafların anlaşamadığı ya da birbirlerinin iddialarının aksini tespit ettirmek amacıyla teknik inceleme talep edenlerin sayısında artış yaşanmaktadır. Adli Bilişim, bir olayı baştan kabulü reddeder ve olayı çeşitli bilimsel deney ve gözlemlere dayanarak incelemeyi amaç edinir. Bir başka deyişle, WhatsApp uygulamasının veri tabanındaki içerik özel bazı uygulamalar ile değiştirilebiliyor ise “artık WhatsApp uygulamasının delil niteliği taşımadığını!” peşinen kabul etmek yerine, bu manipülasyonun nasıl ve ne şekilde yapıldığını tespit ederek sürece katkı sağlamak adli bilişim alanının ve adli bilişim uzmanının en önemli işi olmalıdır. Bu nedenle, DIFOSE Adli Bilişim Laboratuvarları’na gelen vakalardan el edindiğimiz tecrübelerimiz ile akıllı cep telefonlarında kullanılan anlık mesajlaşma uygulamalarının veri tabanları üzerinde üçüncü parti uygulamalarla gerçekleşmesi muhtemel suiistimaller konusunda bir çalışma yaparak toplumu bilgilendirmek ve bu alanda bir farkındalık oluşturmak amacıyla bu yazıyı kaleme aldık.Yazımızda, akıllı cep telefonlarında yer alan anlık mesajlaşma uygulamalarındaki veriler üzerinde karşılaştığımız bir suistimal örneğini bir senaryoya dayanarak canlandırmak suretiyle konuyu ele almaya çalışacağız. Senaryo kapsamında gerçekleşen suistimal olayını ortaya koyduktan sonra, piyasadan ikinci el olarak temin ettiğimiz iOS ve Android işletim sistemleri kurulu iki cep telefonunda senaryoyu baştan tekrar canlandırarak gerçeği bulmaya ve olayı bilimsel bir deney metodu ile aydınlatmaya çalışacağız. Yapacağımız bu çalışma ile WhatsApp uygulamasının veri tabanında yer alan iletişim içeriklerinin nasıl ve ne şekilde değiştirilebileceğini ortaya koyarak, halen ülkemizdeki pek çok anlaşmazlık ve uyuşmazlığa konu olan WhatsApp anlık mesajlaşma vakalarının daha sağlıklı bir zeminde değerlendirilmesine olanak sağlayacağını temenni etmekteyiz.

“Yapacağımız bilimsel deney çalışmasındaki tüm testler piyasasından ikinci el olarak temin ettiğimiz Samsung marka SM-G900FQ (Galaxy S5) model Android 4.4.2 işletim sistemli akıllı telefon ile Apple marka A1457 (iPhone 5s) model iOS 12.4.1 işletim sistemli akıllı telefon üzerinde yapılacaktır. Sonuç olarak adli bilişim incelemelerinde uygulanan bilimsel deney ve metotlar başka bir uzman tarafından da tekrar edildiğinde aynı sonucu elde edecektir.”

Örnek Senaryo

Örnek senaryomuzda; WhatsApp mesajlaşma uygulaması üzerinde müşteri ile satış temsilcisi arasında geçen yazışmayı ve devamında yapılan suiistimali inceleyeceğiz. Müşterinin cep telefonuna ait aşağıda sunulan ekran görüntüsündeki yazışmalarda; “B120CK11” barkod numaralı ürünün fiyatının 3.499 TL olduğu ve en geç 1 hafta içerisinde kapıda ödeme seçeneğiyle müşteriye ulaştırılacağı bilgisi açık bir şekilde görülmektedir.

Müşteri Cep Telefonu Ekran Görüntüsü

Açık ve net bir şekilde görülebilen bu bilgilere rağmen, söz konusu firma ürünü taahhüt ettiği zaman diliminde ve beyan ettiği bedelle göndermediği gibi ürün WhatsApp mesajlaşma uygulaması üzerinde yapılan bu sohbetin üzerinden 1 ay geçtikten sonra müşteriye ulaşmıştır. Aynı şekilde, kargo şirketi tarafından getirilen faturada fiyat bilgisi ekran görüntüsünde görülenin aksine 3.499 TL yerine 5.599 TL olarak yer almaktadır. Karşılaştığı olayda satıcıyı suçlayan müşteri tüketici hakem heyetine müracaat etmiş ve firmadan şikayetçi olmuştur. Tüketici hakem heyeti, müşterinin ve satış temsilcisinin cep telefonlarına ait bire bir kopyaların uzman bilirkişilerce incelenmesine ve ortaya çıkacak maddi gerçeğe göre hareket etmeyi kararlaştırmıştır. Görevlendirilen bilirkişi tarafından cep telefonlarına ait bire bir kopyalar üzerinde yapılan incelemede her iki telefondaki WhatsApp anlık mesajlaşma verileri detaylı bir şekilde incelenmiştir. Bilirkişi, inceleme neticesinde her iki telefonda da mesajlaşma tarih ve saatlerinin birebir aynı olduğunu, ancak fiyat bilgisi ve teslimat sürelerinin belirtildiği satırların telefonlarda farklı şekilde yer aldığını tespit edilmiştir. Şöyle ki; müşterinin cep telefonuna ait bire bir kopya üzerinde fiyat bilgisi 3.499 TL ve teslimat süresi 1 hafta iken, satış temsilcisine ait cep telefonunun bire bir kopyası üzerinde bu bilgiler 5.599 TL ve 1 ay şeklinde görülmektedir. Geri kalan tüm iletişim içerikleri birebir aynı iken sadece fiyat bilgisi ve teslimat süresinin yer aldığı satırlarda farklılık bulunmaktadır.

Peki, uçtan uca şifrelenmiş mesajlaşma özelliği sunan WhatsApp gibi bir uygulamada mesaj içeriklerindeki farklılıklar nasıl açıklanabilir? Bu tür bir tutarsızlık varken bilirkişi ve dolayısıyla tüketici hakem heyeti maddi gerçeğe nasıl ulaşabilir? Cep telefonlarının bire bir kopyalarının bilirkişi tarafından incelenmesi neticesinde ya müşterinin firmaya iftira atmış olduğu ya da satış temsilcisinin müşteriye karşı yalan söylediği anlaşılacaktır. Ancak, WhatsApp uygulaması ile yapılan anlık mesajlaşma görüşme içeriğinin hangi telefon üzerindeki veri tabanında orijinal halde olduğunun tespitini yapmadan verilecek kararın bilimsel olmayacağını belirtmek isteriz. Her iki telefonun bire bir kopyası üzerinde yapılan inceleme sonuçlarını gösteren ekran görüntüleri aşağıda sunulmuştur. Sonraki bölümde yukarıda anlattığımız senaryonun nasıl gerçekleştiğini ve iddia sahiplerinden hangisinin doğruyu söylediğini ortaya çıkarmaya çalışacağız.

Müşteriye ait Cep Telefonu

Satış Temsilcisine ait Cep Telefonu

Olayın ÇözümüYukarıda örnek olarak yazdığımız ve gerçekleşmesi muhtemel senaryoda olayın aydınlatılmasını sağlayacak maddi gerçeklere nasıl ulaşabileceğimizi ve uçtan uca güvenlik vadeden WhatsApp gibi bir uygulamada mesajlar arasındaki tutarsızlığın nasıl meydana gelebildiğini adım adım ilerleyerek ortaya koymaya çalışacağız. Yazımızın başında da belirttiğimiz gibi senaryoyu tekrar canlandırmak amacıyla üzerlerinde bir adet iOS ve bir adet Android işletim sistemleri kurulu iki adet cep telefonunu kullanacağız.Senaryoyu canlandırmak amacıyla öncelikle piyasadan temin ettiğimiz cep telefonlarını fabrika ayarlarına döndürdük ve ardından uygulama mağazalarından WhatsApp anlık mesajlaşma uygulamalarını cep telefonlarına kurduk. Müteakiben WhatsApp anlık mesajlaşma uygulamasında senaryomuzdaki mesajlaşmaları aynen yazarak karşılıklı olarak gönderilmesini sağladık. Daha sonra veri tabanları içerisinde yer alan mesajları karşılaştırdık ve aynı olduğunu gördük. Bu mesajları manuel olarak değiştirmek mümkün olmadığından üçüncü parti bir editör ile değiştirilmesinin mümkün olduğunu, ancak üçüncü parti uygulamalar ile değiştirebilmek içinse cep Android işletim sistemi kurulu telefonda Root işlemi, iOS kurulu telefonda ise Jailbreak işleminin yapılması gerektiği anlaşıldı. Çalışmamızı adım adım tamamlamak için Android yüklü cep telefonuna “Root” işlemi, iOS yüklü cep telefonuna ise “Jailbreak” işlemi yaparak cep telefonları üzerinde yönetici yetkisiyle sistem tarafından korunan dosyalara erişim hakkını elde etmiş olduk. “Root” ve “Jaibreak” işlemleri neticesinde normal şartlarda kullanıcının erişim yetkisi olmayan dosyalara erişmenin yanı sıra bu dosyalar üzerinde değişiklik yapma imkanını da elde etmiş olduk. Bu işlemlerin ardından cep telefonlarına kurduğumuz veritabanı düzenleme (edit etme) uygulamaları ile anlaşmazlığa konu anlık WhatsApp mesajlarının içeriğine eriştik. Veritabanı düzenleme uygulaması ile WhatsApp mesajlarını örneğimizde olduğu gibi elle yeniden düzenledik.

Gerek Android gerekse iOS işletim sistemleri kurulu telefonlardaki WhatsApp mesajlarında istediğimiz değişiklikleri örnek olayımızdaki gibi yaptıktan sonra her iki telefonunda ekran görüntülerini tekrar aldık. WhatsApp anlık mesajlarının ilk hali ile düzenleme uygulamasıyla değişiklik yapıldıktan sonraki halleri aşağıda ekran görüntüsü olarak sunulmuştur.

Ekran görüntülerinde de görüldüğü gibi, her iki cep telefonunda da satış fiyatı bilgisi ile teslimat süresi değiştirilmiştir. Yapılan değişiklikler veritabanı dosyası içerisindeki satırlarda yapıldığından ve bu değişikliğin sistemde herhangi bir iz bırakmaması nedeniyle cep telefonu adli bilişim inceleme yazılımlarının hangi verinin orijinal olduğunu tespit etmesi mümkün değildir. Anlık mesajlaşma WhatsApp uygulamasının sürekli kullanılıyor olması nedeniyle veritabanı dosyasının değiştirilme ve son erişim tarihleri de sürekli güncelleneceği için mesaj içeriklerinin değiştirildiği iddia edilen tarihten sonra asla kullanılmamış olmalı ki veritabanına müdahale edilip edilmediği anlaşılsın. Bu durumda; cep telefonları üzerinde “Root” veya “Jailbreak” işlemleri olup olmadığı hususu incelenmez ise her iki telefonda kurulu olan WhatsApp uygulama içeriklerinin hangisinin orijinal olduğunu anlamak mümkün olmayacaktır. Bir diğer husus ise, içeriğin değiştirilmiş olduğu düşünülen telefonda bu değişikliğin üçüncü parti bir uygulama ile yapılmak zorunda olunması nedeniyle cep telefonunda kurulu halde bulunan ya da kaldırılmış uygulamaların detaylı incelemesi olacaktır. Şayet, şüpheli telefonlardan birisi “Root” ya da “Jailbreak” yapılmış ve telefonda veritabanı içeriğini değiştirmeye yarayan üçüncü parti bir uygulama kurulu ya da kaldırılmış, diğer telefonda “Root” ve “Jailbreak” işlemi yapılmamış ve de veritabanı değiştirmeye yarayan üçüncü parti bir uygulama yüklenmemiş ise orijinal olan içeriğin tespiti mümkün olabilecek ve herhangi bir manipülasyonun yapılmadığı cep telefonunun içeriğinin doğru olduğuna kanaat getirilebilecektir.“Root” ve “Jailbreak” işlemi uygulanmış cep telefonlarında senaryomuz WhatsApp mesajlaşma uygulamasının içeriğinde değişiklik yapılabilmesinin yanı sıra cep telefonunda bulunan pek çok veri ve dosya üzerinde değişiklik yapmak mümkündür. Bu nedenle, cep telefonu adli incelemelerinde izlenmesi gereken en önemli yol, öncelikle incelemeye konu cep telefonu üzerinde “Root” veya “Jailbreak” işlemi yapılıp yapılmadığının tespit edilmesidir. Örnek olayımızda olduğu gibi bir tutarsızlık veya suiistimal olayıyla karşı karşıya kalan bilirkişinin cevabını araması gereken iki önemli soru vardır. Birincisi “Cep telefonu üzerinde Root veya Jailbreak işlemi yapılmış mı?”, ikinci soru ise “senaryomuzdaki örneğe benzer değişikliklerin yapılabileceği herhangi bir düzenleme uygulaması yüklenmiş/kaldırılmış mı?” olmalıdır. İddia sahiplerine veya taraflara ait telefonlarda yapılacak adli incelemelerde bu sorulara verilecek cevapların ardından hangi telefondaki verinin orijinal veya gerçek olduğu ortaya çıkartılabilir.

Yukarıda anlatılan senaryo ülkemizde ve globalde kullanılan en popüler anlık mesajlaşma uygulaması olan Whatsapp üzerinde gerçekleştirilmiştir. Söz konusu senaryoda anlatılan teknikte veritabanı üzerinde yapılan değişiklik söz konusu olduğu ve akıllı telefonlarda tüm uygulama verileri veritabanlarında tutulduğundan telefonda yer alan diğer uygulamalarda da (mesajlar, arama kayıtları, notlar vb.) aynı suistimalin gerçekleşmesi de söz konusudur.

Yapılan laboratuvar çalışmaları neticesinde 17.6.1 iOS işletim sistemine kadar olan iPhone X, iPhone 11, iPhone 12, iPhone 13, iPhone 14 ve iPhone 15 model cep telefonlarında Jailbreak imkanı olduğundan Whatsapp mesajlarının değiştirilmesi işleminin yapılabildiği tespit edilmiştir. Ayrıca telefonlara Jailbreak ve Root işlemi yapıldıktan sonra tekrar kaldırılabilmektedir. Kullanılan Jailbreak yöntemi ve versiyonuna göre; Jailbreak yapılıp yapılmadığına dair iz kalması ya da kalmaması durumları oluşmaktadır.

Adli bilişim laboratuvarlarımıza gelen vakalarda karşılaştığımız önemli olaylara ait teknik hususları buradan paylaşmaya devam edeceğiz.Bir dahaki yazımızda görüşmek dileğiyle esen kalınız.

Samet Yılmaz – Msc. Digital Forensic Engineer – DIFOSE Digital Forensics Services LLC | LinkedIn

www.linkedin.com/in/smtylmz

The post WhatsApp Mesaj İçerikleri Sonradan Değiştirilebilir mi? first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.

Adli Bilişim (Computer Forensics/Digital Forensics)

Şükrü Durmaz — Fri, 29 Nov 2013 18:49:10 +0000

Teknolojinin özellikle son yirmi yılda artan bir hızla gelişmesine paralel olarak bilgisayarlar ve diğer elektronik cihazlar modern hayatın vazgeçilmezi haline gelmiştir. Günlük hayatta hemen hemen her alanda kullanılan bilgi işlem ve iletişim cihazlarının boyutlarının, elde ve cepte taşınacak kadar küçülerek, zaman ve mekan sınırlaması olmadan hemen her yerde kullanılabilir hale gelmesi bu cihazlara olan ilgiyi her geçen gün artırmaktadır.

Bilgi işlem ve iletişim teknolojilerinin kullanım alanlarının artması ve kullanıcı sayısındaki artış suç işlemeyi amaç edinmiş kişilerin de dikkatini çekerek istismar edilebilecek teknik ve yöntem geliştirmeye yöneltmektedir. Bu nedenle olacak ki, bilgisayar ve elektronik araçlar kullanılarak insanlara, organizasyonlara ve mülkiyete karşı suç işleme oranları ile işlenme şekilleri her geçen gün artmaktadır.

Bilgisayar ve diğer elektronik cihazların kötüye kullanımı sonucu ortaya çıkan adli vakalarda klasik delil toplama yöntemlerinin yetersiz kalması nedeniyle bilgisayar ve elektronik cihazların bulunduğu bir vakadaki delillendirme için özel bir metot ve teknikler kullanmak bir zorunluluk halini almıştır. Başta bilgisayarlar ve çeşitli veri depolama aygıtları olmak üzere diğer iletişim ve mobil cihazlar (Cep ve uydu telefonu, SIM kart, PDA, PALM, GPS, telsiz, tablet, navigasyon vb.) adli bir olayın çözümlenmesinde “elektronik delil” olma hüviyetini kazanmıştır. Dolayısıyla bu gelişmeler nedeniyle, soruşturma mahallinde bulunan ve delil niteliği taşıyan elektronik cihaz ve sistemlerin özelliğini ve olaydaki rolünü anlamak, elektronik delile müdahale ve delilin toplanması hususunda yetkililerin nasıl bir yol izleyeceği hususları önem kazanmıştır.

Bilgisayarlar ve diğer elektronik cihazlardaki potansiyel delilleri araştırma işlemi öncelikle A.B.D. ve İngiltere’de bir bilim dalı olarak gündeme gelmiştir. Bu bilim dalı öncelikle bilgisayarlar üzerinde adli inceleme yapmak amacıyla ortaya çıktığından ilk önce “Computer Forensics-Bilgisayar Adli Bilimi) ismi ile anılmış, ancak zaman içerisinde bilgisayarların günlük hayatta kullanım alanları ile iletişim ve haberleşme teknolojisindeki gelişmeler, delillerin bulunduğu ortamdan ziyade bulunuş şeklini (dijital) ön plana çıkarmış ve “Digital Forensics-Dijital Adli Bilimi” isimi kullanılmaya başlanmıştır. “Computer Forensics-Bilgisayar Adli Bilimi” bilgisayar ile ilgili adli olayları kapsarken, “Digital Forensics-Dijital Adli Bilimi) elektronik verinin bulunduğu her türlü olay ve vakayı kapsamaktadır.

Başka bir ifade ile Adli Bilişim; “Adli kurumlara intikal eden ya da kolluk tarafından tesadüfen karşılaşılan vakalarda, olay yerinin keşfi, araştırılması, mukayesesi, kayda alınması, olay yerindeki delillerin kirletilmeden ve kaybolmadan toplanılması, muhafazası ve taşınması, delillerin laboratuvar ortamında incelenmesi ve raporlanması konularında müracaat edilen bilimlerin tamamından oluşan çok disiplinli bilimler topluluğudur.”

Akademik olarak Adli Bilişim’in tanımını yapmak gerekirse; “Elektromanyetik, optik (dijital) ortamlarda bulunan, çalıştırılan veya bu ortamlarca taşınan her türlü data, ses, görüntü, sinyal veya bunların birleşiminden oluşan verinin elektronik (dijital ya da sayısal) delil niteliği taşıyacak şekilde tanımlanması, elde edilmesi, taşınması, saklanması, incelenmesi ve raporlanarak adli mercilere sunulması çalışmalarının bütünüdür.”

Zaman içerisinde Adli Bilişim’de (Digital Forensics) alt dallara ayrılmış ve her bir alt dal için uzmanlık alanları oluşmuştur. Bu alt dalları en popüler olanları aşağıda sıralanmıştır:

* Bilgisayar Adli Bilimi (Computer Forensics)

* Dosya Sistemi Adli Bilimi (File System Forensics)

– FAT12, FAT16, FAT32 Forensics

– NTFS Forensics

– exFAT Forensics

– HFS+ Forensics

– EXT2, EXT3, EXT4 Forensics

* İşletim Sistemi Adli Bilimi (OS Forensics)

– Windows Adli Bilimi (Windows Forensics)

– Unix&Linux Adli Bilimi (Unix&Linux Forensics)

– MacOSx Adli Bilimi (MacOSx Forensics)

* Ağ Adli Bilimi (Network Forensics)

* Mobil Cihaz Adli Bilimi (Mobile Forensics)

* Kötü Yazılım Adli Bilimi (Malware Forensics)

* Geçici Bellek Adli Bilimi (Memory Forensics)

The post Adli Bilişim (Computer Forensics/Digital Forensics) first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.

Abu Dhabi Polythecnic Üniversitesi Adli Bilişim Günleri

Admin — Wed, 26 Jun 2013 17:15:20 +0000

Abu Dhabi Polythecnic Üniversitesi ev sahipliğinde, Contego-Solutions ve First Information Security firmalarının desteği ile düzenlenen Adli Bilişim Günleri 24-26 Haziran 2013 tarihleri arasında düzenlendi.

Difose (Digital Forensics Services) olarak ilk gün Adli Bilişim, ikinci gün Bilgisayar Ağlarında Adli Bilişim (Network Forensic) ve üçüncü gün ise Mobil Cihazlarda adli bilişim eğitimini Abu Dhabi Polisi, Abu Dhabi Emirliği Güvenlik Birimi ve Abu Dhabi Polythecnis Üniversitesi’nden toplam katılan 30 kişilik topluluğa başarıyla verdik. Sonraki eğitimler için yeni davetler alarak yurda döndük.

The post Abu Dhabi Polythecnic Üniversitesi Adli Bilişim Günleri first appeared on DIFOSE Adli Bilişim, Veri Kurtarma ve Elektronik Arama Hizmetleri.