TOPIC:

Maliyet ve İşletim Sistemi tutarlılığı konusunda oldukça başarılı olan Android, Google şirketi tarafından geliştirilmiş ve yaygın olarak kullanılan bir İşletim sistemi (Android OS - Android Operating System)'dir. Android günümüzde her ne kadar Mobil İşletim sistemi olarak adlandırılsada bu tam olarak doğru değildir. Android İşletim Sistemini birçok farklı aygıt içerisinde görebilmemiz mümkündür. (örnek olarak tabletler) Fakat yaygın olarak kullanım alanı mobil cihazlardır. Bu kullanım için yakın bir döndemde IDC şirketinin yaptığı Mobil Pazar araştırması söz konusu kullanımı sayısal olarak ortaya koymaktadır.

resim-1.png
IDC şirketinin 2013 yılı araştırma raporuna göre Mobil kullanımı için belirtilen sonuçlar, 2013 yılı Akıllı Cihaz kullanımı %51.2'lik artışla yükselişte ve Mobil Pazar'da Akıllı Cihazların kullanımları pazarın yarınsından fazlasına hakim. Yine aynı araştırma firmasının 2013 yılında sunmuş olduğu 2012 pazar araştırması raporuna görede, Android işletim sisteminin pazardaki payı %68.8..

Adli-Bilişim
Android cihazların yaygın olarak kullanılması, günümüzdeki bir çok olayın içerisinde karşımıza çıkmalarına sebep oluyor. Yani daha basit bir örnekle söylemek gerekirse, işlenen bir cinayetin zanlısı olarak yakalanan bir suçlunun üzerinden Android işletim sistemi kullanan bir cihaz çıkabilir. Böyle bir durumda bu cinayet soruşturmasının aydınlatılması için yetkili kişilerin bu cihaz üzerinde incelemeler yapması ve cihaz içerisinden topladıkları verilerin soruşturmanın aydınlatılmasında kullanması tam olarak Adli Bilişimi konu almaktadır.

Peki nedir bu veriler? nerede tutulurlar? ve nasıl alınırlar? diye sorulacak olursa, görüşmüş kişilerden, silinen sms'lere alınan e-mail'lerden mevcut resim, video, ses kayıtlarına ilgili kişinin konum verilerine (GPS) hatta bir zaman çizelgesi (timeline) oluşturup zaman/tarih/gps verisi olarak kişinin güzergahına kadar daha nice alanda birleştirme yapılarak elde edilecek veri mevcuttur. Önemli verilerden biri de tarayıcı (browser) verilerinde gezinilen sitelerden kalan kalıntılardır. Örnek bir İnternet adresi (URL) içerisinde myprofile.php?id=45646 olarak bulunabilecek bir bilgi ilgili kişinin o sitedeki profiline kadar uzanmaktadır. Şimdi bu bilgilerin nerede nasıl tutulduklarına bir göz atalım.

Android Veri Saklama Alanları
Mobil Güvenlik başlıkları altında her ne kadar cihazları root hakkını elde etmek için hak yükseltme saldısı yapmayın, kişisel güvenliğinizi riske atmayın diye söyleniyor olsada adli bilişim tarafına geçince durum değişmektedir. Çünkü root'lanmamış bir cihaz koruma altında olduğu için adli bilişim uzmanı için ekstra uğraş ve zaman kaybı demektir. Adli bilişim uzmanının önüne gelen cihazda root hakkına sahipse ise kendisini şanslı hissedecektir.

Android işletim sisteminin veri saklama yapısına bir göz atalım.

resim-2.png
Android İşletim Sistemi üzerinde farklı veri tutma yöntemleri bulunmaktadır. Bu yöntemler üst resimde görüldüğü gibi Internal Storage, External Storage , Shared Preferences, Network ve SQLite olarak 5 ana gruba ayrılmaktadır. Bunlara kısaca değinecek olursak:

Internal Storage - /data/data/ klasörü içerisinde ilgili uygulamanın paket adıyla oluşturulmuş ve uygulama alanıyla erişim sağlanabilinen alanıdır. Normal şartlarda bu alana sadece uygulamaya erişim hakkı verilir, ilgili erişim root yetkisiyle yapılmadıysa görüntülenemez.

External Storage - İlgili cihazın diğer depolama alanlarında güvenlik ilke ve politikaları yüksek seviyede uygulanırken, external storage alanında kısıtlamalar daha düşük seviyededir. Cihaz üzerine dahil edilmiş bir /sdcard üzerinde yazma ve okuma işlemleri rahatlıkla yapabilmektedir.

Shared Preferences - İlgili uygulama alanında bulunan ve XML formatı ile ilgili uygulamaya ait isteğe bağlı dataların saklanmasına olanak tanır, bu alanda genelde uygulama ile ilgili basit ayar bilgileri bulunur.

Network: Android Network üzerinden data saklama imkanıda sağlamaktadır.

SQLite: SQLite veritabanı dosyaları kısıtlama olmaksızın uygulamalar tarafından oluşturulabilir. Tablo mantığı ile veri saklama imkanı sağlarken genellikle /data/data/paketadi/databases dizininde bulunurlar. Bu zorunlu değildir, dilendiği takdirde harici dizinlerde barındırılabilinir.

Bu kısmın çok iyi anlaşılmalıdır. Çünkü yapısal olarak incelenen uygulama ne olursa olsun hep bu yapı çerçevesinde kalacaktır. Daha basit bir örnek vermek gerekirse uygulama odaklı yapılacak incelemelerde farklı yapılarda veri saklama şekil ve teknikleri bulunsada, ilgili yapıların temel erişim prensipleri üst tarafta görmüş olduğunuz 5 ana başlıktan ibarettir.

Rooting
Yukarıda bahsedildiği gibi Android işletim sistemi erişim ve yetki konusunda bazı sınırlar barındırmaktadır. Bu sınırlar arasında root yetkisi bulunmayan cihazlarda Internal Storage alanına erişim sağlamak için bazen cihazları root'lamamız gerekebilir. Cihazları root'lamak olarak kabul edilen bu kavram aslında çok hoş bir durum değildir çünkü root yetkisi kazanabilmek için Android işletim sisteminin güvenlik zaafiyetlerinden yararlanılarak bu sınırları istismar eden zararlı yazılımlar yani exploit'ler kullanımaktadır. Cihazları root'lamak Adli Bilişim Uzmanı için pek hoş olmasada mecburiyet durumunda tercih edilebilmektedir. Böyle bir mecburiyet oluşması durumunda ilgili uzmanın kullanacağı exploit'i analiz ederek uygulanacak cihaza zarar vermeyeceğinden emin olması gereklidir. Uygulama yapılmadan önce backup/yedek alması ve daha sonra uygulaması her açıdan fayda sağlayacaktır. Yapılacak en ufak hata sonucu delil niteliğindeki dataların yok olabileceği unutulmamalıdır. Buradaki her açı kavramını açıklamak gerekmektedir. Exploit'lerin (hatta ve hatta agent-based - ajan bazlı yapılacak müdahalelerinde dahil) cihaz üzerine yükleneceğini, bu yüklemelerinde hafıza üzerinde kullanım alanı kapalayacağını ve silinmiş dataların geri getirilmesinde yaptığınız müdahale alanı kadar veriyi (sektörlerdeki verileri) yok edebileceğini unutmamak gerekir.

Root hakkıyla erişim
Internal Storage olarak adlandırılan alan Türkçe'mize Dahili Depolama alanı olarak girebilir. Bu alanda yukarıda bahsedilmiş olduğu gibi uygulamaların Android işletim sistemi izin ve hak sınırları gereği erişimi sınırlamaktadır. Genel olarak Android uygulamaların tüm dataları bu alanda barındırılır. Örnek teşkil etmesi adına root'lanmış bir cihazda browser uygulamasına root erişimi sağlayarak Shared Preferences (internal storage alanında kalmaktadır) içerisinde bulunan örnek bir datayı göstermek gerekirse:

resim-3.png
İlgili uygulamanın içerisinde bulunan homepage değeri olarak tanımlandığı görülebilir. Her uygulamanın içerisinde benzer bilgiler bu alanda bulunabilir. (Birçok uygulama kullanıcı adı ve şifre barındırır)

Aynı şekilde uygulamarın SQLite ile Internal Storage alanında barındırdıkları datalar bulunmaktadır. Root hakkıyla erişim sağlanılan cihazlarda bu bilgilere ulaşabilmek mümkündür. Örnek teşkil etmesi adına bir uygulamanın SQLite ile Internal Storage alanında tuttuğu bilgilere göz atmak gerekirse:

resim-4.png
Skype uygulamasının SQLite dosyasına göz atmak gerekirse:

resim-5.png
Yukarıda görüldüğü gibi kişinin skype uygulaması ile yapmış olduğu tüm görüşmeler bu alanda tutulmaktadır. Diğer tablolarda gönderilen dosya bilgilerine kadar ulaşmak mümkündür.

Agent-Based
Yukarıda bahsedilen bir çok data'ya erişim sağlarken root yetkisine ihtiyaç duyulmaktadır. Bazı cihazlarda root yetkisi sağlanamamakta veya uzman cihazı root'lamaktan kaçınmaktadır. Bu tarz durumlarda Android işletim sisteminin sağlamış olduğu imkanlardan yararlanarak data alımı yapılmaktadır. Bu datalar nedir. nasıl elde edilir diye sorulursa; görüşme yapılmış kişilerden, smslere, alınan emaillerden mevcut resim,video, ses kayıtlarına, ilgili kişinin gps datalarına vs. hatta bir timeline oluşturup zaman/tarih/gps data olarak kişinin güzargahına kadar ulaşmak yine mümkündür. Fakat diğer uygulama datalarına erişim sağlanamamaktadır. Agent Based örneği için Türkiye'de geliştirilen yerli yazılım SAFT veya piyasada yaygın olarak kullanılan Oxygen Forensic Suite ve benzeri araçlar mobile forensics araçları kullanılabilinir. Örnek bir Agent-Based data alımı aşağıda gösterilmiştir.

resim-6.png
Yukarıda görüldüğü gibi kullanıcının sms, arama kayıtları, kişi rehberi alınmıştır.

Devamı Mobile Forensics - Bölüm 2'de paylaşılacaktır.