Avrupa Antitröst Adli Bilişim Araçları(EAFIT_TOOLS Project European Antitrust Forensic IT Tools)

Ömer Faruk ÇELİK
Rekabet Kurumu
Rekabet Uzman Yardımcısı
ofcelik@rekabet.gov.tr
 
Fatih ÇİROĞLU
Rekabet Kurumu
Rekabet Uzman Yardımcısı
fciroglu@rekabet.gov.tr 
 

1. KONU


Kurumumuzun da paydaşı olduğu Avrupa Rekabet Ağı (European Competition Network‘ECN’) bünyesinde yer alan Avrupa Antitröst Adli Bilişim Araçları projesinin “EAFIT_TOOLS[1] Project European Antitrust Forensic IT Tools User Training Seminar” konulu seminerine 11-13 Ocak 2016 tarihleri arasında Roma’da Rekabet Uzman Yardımcıları Ömer Faruk ÇELİK ve Fatih ÇİROĞLU tarafından katılım sağlanmıştır.

Bu yazımız kapsamında, proje bünyesinde düzenlenen seminere ilişkin bilgi ve değerlendirmelere yer verilecektir.


2. ELDE EDİLEN BİLGİLER ve YAPILAN DEĞERLENDİRMELER


EAFIT[2] projesi Linux işletim sistemine sahip Deft Zero[3] ve EafitOS isimlerinde iki farklı Linux dağıtımıyla hazırlanmıştır. EAFIT kapsamında hazırlanan araçlarla dijital delillerin elde edilmesi ve incelenmesi mümkün olmaktadır.  

Deft Zero ile sabit ve harici disklerde arama yapma, bu diskler üzerindeki silinmiş öğelerin kurtarılması, verilerin ve klasörlerin md5 formatında hash[4] değerlerinin hesaplanması (Hash değerinin hesaplanması inceleme yapılan teşebbüsten alınan dijital delillerin sonrasında meslek personeli tarafından yapılan incelemede kullanılan dijital delilin aynı ve değiştirilmemiş olduğunu ispatlar.) ve elde edilen verilerin dışa aktarılması işlemlerinde kullanılmaktadır. EafitOS içindeki EDIT aracında ise dışa aktarılan verilerden karakter dizilerinin çıkartılması, indekslenmesi ve indekslenen veri üzerinde anahtar kelime araması yapılması sağlanmaktadır.


2.1.EAFITSCRIPTS BÜNYESİNDEKİ MODÜLLER


Deft Zero Linux dağıtımı EafitScripts olarak adlandırılan araçlar bütününü içermektedir. EafitScripts araçları rekabet otoritelerinin kullanımı için özelleştirilmiş araçlar bütünü olarak tanımlanabilir. EafitScript bünyesindeki modüllerin, daha önce Kurumumuzca da katılım sağlanan toplantılarda proje grubuna sunulan bilgiler ve dönüşler ışığında hazırlandığı vurgulanmıştır. EafitScripts bünyesinde mevcut araçlar:

-          USB Disk Analizi: Bu modül kullanılarak incelenen bilgisayara hangi USB belleğin takıldığı gibi bilgilere erişilebilir.

 

-          İstatistik Hesaplanması: Klasör ve belge istatistikleri iki farklı şekilde hesaplanmakta

olup bu hesaplamalar dosya uzantısına veya MIME’lere(dosya imzalarına) göre yapılmaktadır.  

 

-          Silinmiş Ögelerin Kurtarılması: Bu modül, disk üzerinden silinmiş ögelerin kurtarılması işlemini gerçekleştirmektedir. Bu modül, sadece Windows işletim sistemlerinde kullanılabilir.

 

-          Önemli Belgelerin Elde Edilmesi: Modül önceden belirlenen farklı uzantıdaki (.pdf,

.doc, .pst, …) belgelerin bulunup ve dışa aktarılmasını sağlamaktadır.

 

-          E-Posta Bilgilerinin Elde Edilmesi: Microsoft Outlook veya Thunderbird[5]gibi e-posta istemcileri tarafından e-posta dosyaları (.pst, .mbox, …),  bu modül kullanılarak bulunabilir ve dışa aktarılabilir  

 

-          Otomatik Toplama: Otomatik olarak tüm e-postaları, önemli olduğu düşünülen dosya uzantılarını ve silinmiş belgeleri hiyerarşik ağaç yapısında elde etmek için kullanılmaktadır. Bu modül yukarıda değinilen “Silinmiş Ögelerin Kurtarılması” ve “Önemli Belgelerin Elde Edilmesi” modüllerinin kullanımının birleşiminden oluşmaktadır.

 

-          Hash Hesaplama: Modül kullanılarak, inceleme sonucu elde edilen dijital verilerin hash değeri hesaplanabilir.


2.2. EDIT ARACININ ÖNE ÇIKAN YÖNLERİ


2.2.1. KULLANICI TANIMLARI


EDIT üç ana kullanıcı tanımından oluşmaktadır.

Administrator, EDIT’in en üst yetkiye sahip kullanıcısıdır. Yönetici, kullanıcı ve dosya oluşturabilir; oluşturulan dosyaya kullanıcı atayabilir ve diğer sekmeleri yetki kısıtı olmaksızın kullanabilir. İncelemede elde edilen deliller indeksleme için sunucuya (FIT Expert) tarafından aktarılır. “Rekabet Uzmanı”(Case Handler) arama yapacak kullanıcıdır. Rekabet Uzmanı teknik konularla uğraşmaksızın sadece arama işlemlerini kendine sunulan ekrandan yapabilir.

Kullanıcı tanımlarının yapılmasıyla otorite uzmanları teknik konularla zaman harcamayacak ve sadece kelime aramasına odaklanacaklardır. Ayrıca EDIT, adli bilişim uzmanlarına verinin toplanması ve aktarılması noktasında önemli kolaylıklar sağlamaktadır. İlgili aracın sadece rekabet otoritelerine uygun tasarlanması önem arz etmektedir.

 


2.2.2. SUNUCU – İSTEMCİ MİMARİSİ


EDIT aracı tek bir bilgisayarda, sunucu (Server[6]) olarak çalıştırılabileceği gibi gerekli görüldüğü takdirde Sunucu-İstemci (Server-Client[7]) mimarisinde de kullanılabilir. Sunucu-İstemci mimarisinde, belgeler üzerinden karakter dizileri çıkarılırken birden fazla bilgisayar görev üstlendiği için işlem süreci kısalmaktadır. EDIT’in mevcut sürümünde, indeksleme işlemi yalnızca sunucu bilgisayar üzerinde yapılmaktadır. Aracın yeni versiyonlarında indeksleme aşamasının da dağıtık olarak mimarideki tüm bilgisayarlar üzerinde ortaklaşa bir şekilde gerçekleştirilmesi hedeflenmektedir.  

İncelemede birden fazla bilgisayarın kullanılmasının inceleme süresini önemli ölçüde azaltacağı düşünülmektedir.


2.2.3. ETİKETLEME


İncelenen belgeler, EDIT üzerinde dört farklı şekilde etiketlenebilmektedir. Bu etiketler: Selected, Reviewed, Important, LPP[8]’dir. Aynı dosya üzerinde çalışan birden fazla kullanıcı elde edilen belgeleri etiketleyebilir ve her kullanıcı bir başka kullanıcının etiketlediği belgeyi eş zamanlı olarak görebilir. Ayrıca kullanıcılar etiket tanımlarını özelleştirebilir ve dosyaya uygun etiketleri dosyaya atayabilirler. Etiketlenen veriler tek bir tıklamayla dışarı çıkarılabilir.


2.2.4 ARAMA OPERATÖRLERİ


EAFIT’in öne çıkan önemli bir özelliği de arama operatörleri kullanımındaki yeteneğidir.  Aramalarda AND, OR, NOT gibi arama operatörleri kullanılabileceği gibi bulanık mantıkla arama ve iki kelime arasındaki uzaklığa göre arama gibi özelleştirilmiş aramalar da yapılabilir.


2.2.5 BELGE ARAMA


İndekslenmiş belgelerin(.pdf, .docx, .xlsx vs.) olduğu bölüm sadece belge aramaları için özelleştirilmiştir. Rekabet Uzmanları belgeleri görüntüleyebilir, etiketleyebilir ve dışa aktarabilirler.


2.2.6. E-POSTA ARAMA


Rekabet uzmanları, indekslenmiş e-postaların başlık bilgilerinde, gövdelerinde ve eklerinde; kimden, kime, hangi tarihte gönderildiği gibi alanlar üzerinde anahtar kelime araması yapabilirler. E-postalar uzmanlar tarafından görüntülenebilir, etiketlenebilir ve dışa aktarılabilir.

 


3. SONUÇ


Piyasada daha gelişmiş yeteneklere sahip birçok adli analiz uygulaması olmasına rağmen EDIT’in öne çıkan yönü rekabet otoritelerinin kullanımına uygun olarak hazırlanmış olmasıdır. Ayrıca proje kapsamında hazırlanan yazılımlarla, teşebbüslerde imaj almadan da önemli bilgi ve belgelere ulaşmak mümkündür. Zamanın en önemli kısıt olduğu yerinde incelemelerde, EDIT’in mevcut yetenekleriyle Rekabet Uzmanlarına önemli ölçüde zaman kazandıracağı ve özelleştirilmiş yapısıyla önemli bilgi ve belgelere erişim noktasında faydalı olacağı düşünülmektedir. EDIT’in mevcut halinin bazı eksikleri olsa da açık kaynak kodlu yapısı nedeniyle geliştirilmeye açık olduğu ve ilerleyen zamanlarda ihtiyaçlara daha da fazla cevap vereceği değerlendirilmektedir.

Yasal düzenlemelerin yapıldığı ve EDIT veya benzer imaj alma donanım ve yazılımlarının kullanıldığı senaryolarda yerinde incelemelerde bulunan bilgi ve belgelerin dijital delil noktasında kalitesinin artacağı aşikârdır. 


KAYNAKLAR

[1]http://ec.europa.eu/dgs/home-affairs/financing/fundings/security-and-safeguarding- liberties/projectsdatabase/home_2012_isec_fp_c2_4000003977_en.htm Erişim Tarihi: 05.04.2016

[2] http://www.eafit-tools.eu/ Erişim tarihi: 05.04.2016

[3] http://www.deftlinux.net/ Erişim tarihi: 05.04.2016

[4] http://www.dijitaldeliller.com/hash.htmlErişim tarihi: 05.04.2016

[5] https://www.mozilla.org/tr/thunderbird/Erişim tarihi: 05.04.2016

[6] https://tr.wikipedia.org/wiki/Sunucu_(bili%C5%9Fim)Erişim tarihi: 05.04.2016

[7] http://searchnetworking.techtarget.com/definition/client-serverErişim tarihi: 05.04.2016

[8] Legal Professional Privilege: Yasal mesleki imtiyaz anlamına gelmektedir. Ayrıntılı bilgi için bkz. Sayfa: 46 http://www.rekabet.gov.tr/File/?path=ROOT%2F1%2FDocuments%2FRekabet%2BDergisi%2Fdergi32.pdf Erişim tarihi: 05.04.2016