Yangın ve Güvenlik Dergisi 182. Sayı (Nisan 2016)

KAPAK KONUSU - MAKALE YANGIN ve GÜVENL ø K SAYI 182 42 Lee TOBIN, Ahmed SHOSHA, Pavel GLADYSHEV DigitalFIRE Labs, CASL Institute, University College Dublin, Dublin, Ireland. Bir CCTV Sisteminin Tersine Tasar × m × , Bir Vaka Çal × ü mas × Bir CCTV sisteminin disk görüntüsü standart bir dosya sistemine sahip de ù ildir, o zaman veriler nas × l yorumlan × r? Geçmi ü te özel dosya sistemlerinin tersine tasar × m × ve CCTV sistemlerinden veri ça ù × rma ile ilgili çal × ü malar yap × lm × ü t × r. Ancak CCTV sisteminin kendisi yokken bir disk görüntüsü olmas × durumunda ya da zaman bask × s × olmas × durumunda, bu süreç çok daha zor olmaktad × r. Bu makale verilerin ça ù r × lmas × ile ilgili farkl × bir yakla ü × m aç × klamakta ve bir CCTV disk üzerindeki verilerin nas × l yorumlanaca ù × na ili ü kin bilgi vermektedir. Bu yöntem CCTV sisteminin kapsaml × ü ekilde tersine tasar × m × n × ve hatta CCTV sisteminin kendine eri ü imini bile gerektirmez. Anahtar kelimeler: cctv, tersine mühendislik, özel dosya sistemleri, disk görüntüsü analizi, inceleme, kulak misafiri 1. Giri ü Özel dosya sistemlerinin tersine tasar × m × na yö- nelik teknikler ile ilgili kapsaml × dokümantasyon vard × r ve veriler tek parça halinde ve ü ifrelen- memi ü ise bu yöntem etkilidir. Peki neden bu ko- nuya geri dönüyoruz? Baz × incelemelerde CCTV sisteminin sadece diski ya da disk görüntüsü mevcut olmaktad × r. Bu da inceleme yapan ki ü i CCTV donan × m × na eri ü ime sahip olmad × ù × için inceleme yapan ki ü i taraf × ndan yap × labilecek tersine tasar × m miktar × n × s × n × rlamaktad × r. Bazen bir CCTV sisteminden verilerin ç × kart × lma h × z × en önemli konu olmaktad × r; tersine tasar × m ise çok fazla zaman alabilmektedir. Bu gibi du- rumlarda, analizin derinlik ve do ù rulunu boz- madan tersine tasar × m sürecinin h × zland × r × lmas × tercih edilir. Bu makale bu probleme farkl × bir ü ekilde yak- la ü maktad × r, veri yap × lar × ve ham veriden veri ofsetlerini aç × klamak yerine, problem daha pragmatik ü ekilde çözülmektedir. Bu yakla ü × m × aç × klamak için, bu makalede bir örnek senaryo kullan × lm × ü t × r. Bu senaryo gerçek bir vakada ya- p × lan bir analize dayanmaktad × r. 2. ú lgili Çal × ü ma Wouter S. van Dongen, video kay × tlar × n × n izlerini elde etmek için Samsung CCTV sistemi üzerin- de bir çal × ü ma gerçekle ü tirmi ü tir. CCTV sistemine yönelik bu derin forensik inceleme ayn × zaman- da sistem günlü ù ünü ve ilgili video verilerini de analiz etmektedir. Kullan × lan yöntem bizim yak- la ü × m × m × zdan farkl × d × r çünkü Samsung sistemi s × k kullan × labilen ve tan × nabilir bir dosya sistemi (ext3) içermektedir. Bu, da ù × t × lmam × ü alanda bulunan verilerin geri ça ù r × lmas × na yard × mc × olmak için veri kaz × ma araçlar × n × n kullan × m × n × kolayla ü t × rm × ü t × r. Bu maka- ledeki yakla ü × m, bir yandan forensik özeni mu- hafaza ederken di ù er yandan mümkün olan en k × sa sürede CCTV sisteminin çal × ü ma ü eklini anlamakt × r. Poole ve arkada ü lar × bir CCTV sisteminin detayl × analizini gerçekle ü tirmi ü tir. Bu analiz cihaz × n ter- sine tasar × m × na yönelik olarak kapsaml × test ve deney gerektirmi ü tir. Bu tür analiz, bir yandan çok güvenilir ve eksiksiz olmakla birlikte, zaman al × r CCTV donan × m × na eri ü im gerektirir. E ù er ilgili CCTV sistemi yaz × l × m × bulunamazsa -ki bu, bu makalede anlat × lan yakla ü × m için bir gerekliliktir, bu tür bir analizi ger- çekle ü tirmek daha uygun olacakt × r. 3. Problem Örnek senaryo ü u ü ekildedir: • Bir inceleme uzman × na bir CCTV sisteminden al × nan 500GB disk verilir ancak marka ve model belirtilmemi ü tir. • ú nceleme uzman × ndan belirli bir tarihten önce diske kaydedilmi ü video verisi olup ol- mad × ù × n × tespit etmesi istenir. • ú nceleme uzman × n × n detayl × bir cevap ver- mek ve analiz gerçekle ü tirmek için s × n × rl × süre- si vard × r. 4. Yöntem Bu makalede benimsenen yakla ü × m üzerinde analizin yap × labilece ù i bir bar × nd × r × c × sistem, ba- r × nd × r × c × sistem üzerinde süreçlerin izlenmesine dair bir yöntem ve disk üzerinde verileri görme- ye yönelik bir yöntem (bir dü ü ük seviye disk gö- rüntüleyici) gerektirir. 4.1 Bu Makalede Kullan × lan Yaz × l × m ve Donan × m • Tableau Forensic Bridge – Model T35e • Intel i7 temelli PC, 24 GB RAM • Microsoft Windows 7 Professional SP1 v6.1.7601