Anasayfa/ Makale/ Adli Bilişim Sistemlerinde Uçucu Bellek Analizi

Makale

Adli bilişim incelemelerinde uçucu bellek (RAM) analizi, bilgisayar sistemleri kapatıldığında kaybolan hayati nitelikteki dijital delillerin elde edilmesini sağlayan kritik bir süreçtir. Bu makale, geçici hafızada yer alan verilerin hukuki uyuşmazlıklardaki ispat gücünü ve adli soruşturmalardaki stratejik önemini incelemektedir.

Adli Bilişim Sistemlerinde Uçucu Bellek Analizi

BİLİŞİM HUKUKU

Günümüz modern hukuk sistemlerinde, suçun aydınlatılması ve maddi gerçeğe ulaşılması amacıyla adli bilişim biliminden yoğun bir şekilde faydalanılmaktadır. Bilişim denilince akla ilk gelen donanımlardan biri olan bilgisayarlarda yer alan veriler, sabit veya geçici (uçucu) ortamlarda depolanabilmektedir. Hukuk uygulamalarında genellikle sabit diskler gibi kalıcı veri depolama birimleri üzerindeki incelemelere odaklanılsa da, uçucu bellek analizi çoğu zaman göz ardı edilmektedir. Oysa bir bilgisayarın çalışır durumdayken fişinin çekilmesi veya sistemin kapatılması, o an arka planda işlenen çok kritik dijital delillerin kalıcı olarak yok olmasına sebebiyet verebilir. Uçucu belleğin anlık ve dinamik yapısı, cihazın açık olduğu süre boyunca gerçekleşen eylemlerin izini taşıdığından, yetkili adli merciler veya siber güvenlik uzmanları tarafından cihaz kapatılmadan önce bellek imajının alınması şarttır. Bu sayede, geleneksel sabit disk analizleriyle ulaşılamayacak düzeydeki hayati bilgilere erişilerek hukuki süreçlerde güçlü ispat araçları yaratılır.

Uçucu Bellek (RAM) Nedir ve Adli Bilişimdeki Yeri

Bilgisayar sistemlerinde kısa süreli veri saklama imkanı sunan donanımlara genel olarak uçucu bellek (RAM - Random Access Memory) adı verilmektedir. Enerji kesildiği anda üzerindeki tüm veriyi kaybeden bu donanımlar, işlemcilerin çalıştırdığı programlara ve bu programların verilerine doğrudan, sırasız ve hızlı bir şekilde erişim imkanı tanır. Hukuk davaları ve ceza soruşturmalarında bilişim suçları kapsamında sıklıkla karşılaşılan dijital deliller, yalnızca sabit disklerde değil, aynı zamanda cihazın açık olduğu andaki bu geçici depolama alanında da varlığını sürdürür. Bu doğrultuda, adli bilişim uzmanları tarafından olay yerine müdahale edildiğinde, bilgisayarın enerjisi kesilmeden önce bellekteki uçucu verilerin birebir kopyasının, yani bellek imajının usulüne uygun şekilde alınması hukuki delil bütünlüğü açısından büyük önem taşır. Kapatılmış sistemlerin yeniden başlatılması veya yanlış müdahaleler, bellekteki kritik izlerin silinmesine ve dolayısıyla maddi gerçeğin karartılmasına yol açabilir.

Bellek İncelemesi ile Elde Edilebilecek Kritik Hukuki Deliller

Bir bilgisayar sisteminin uçucu belleği üzerinden yapılacak derinlemesine incelemeler, mahkemelerde sayısal delil niteliği taşıyacak çok çeşitli bilgilere ulaşılmasını sağlar. Sabit disk analizleriyle çoğu zaman elde edilemeyen anlık veriler, şüphelilerin niyetini, tasarlamasını veya somut eylemlerini kanıtlamak açısından kritik eşiktedir. Örneğin, internet tarayıcıları üzerinden girilmiş ancak diske kaydedilmemiş sosyal medya parolaları ve e-posta şifrelerine RAM analizi ile ulaşmak mümkündür. Benzer şekilde, komut satırından sisteme girilmiş komut geçmişleri, o an aktif veya sonlandırılmış ağ bağlantı bilgileri, geçici panoda (clipboard) tutulan kopyalanmış metinler ve hatta bilgisayarın anlık ekran görüntüleri bellek üzerinde yer alır. Elde edilen bu izler, bilişim avukatları ve adli makamlar için uyuşmazlığın çözümünde şüpheden uzak, somut ispat araçları olarak değerlendirilmektedir.

Bellek İmajı Alma Sürecinde Dikkat Edilmesi Gereken Hukuki Standartlar

Uçucu verilerin hukuken geçerli bir delil vasfı taşıyabilmesi için, adli bilişim prosedürlerine eksiksiz riayet edilmesi gerekir. Açık durumdaki bir bilgisayardan bellek imajı oluşturulurken sisteme en az müdahaleyle işlemin gerçekleştirilmesi kuralı esastır. Bu kapsamda, çalışan süreçleri değiştirmeyen, kurulum gerektirmeyen ve bellekte minimum yer kaplayan yazılımların (örneğin DumpIt, Belkasoft Live RAM Capturer vb.) tercih edilmesi, orijinal dijital delil üzerinde değişiklik yapıldığı iddialarının önüne geçer. Alınan bellek kopyası üzerinden gerçekleştirilecek incelemelerde ise zaman çizelgesi oluşturma tekniği ile cihazda olay anında yürütülen işlemlerin kronolojik sıralaması çıkarılır. Bu yöntem, bir saldırının veya hukuka aykırı fiilin hangi saatte, hangi uygulamalar ve ağ portları kullanılarak yapıldığını net bir şekilde ortaya koyarak yargılamanın seyrini değiştirecek nitelikte veriler sunar.

Uçucu Hafızada Bulunan Sayısal Delil Türleri

İşlemci tarafından anlık olarak işlenen birçok veri, programlar kapatılmış olsa dahi belleğin kapasitesine bağlı olarak sistem hafızasında tutulmaya devam edebilir. Davaların seyrine etki edebilecek ve uçucu bellekten çıkarılabilecek temel veriler şu şekilde sıralanabilir:

  • İşletim sistemine, sosyal medya ağlarına ve e-posta hesaplarına ait parola bilgileri
  • Ziyaret edilen web sitelerinin geçmişleri ve anlık olarak kurulan ağ bağlantıları
  • Şifreli disk alanlarını (örneğin TrueCrypt, BitLocker) açmaya yarayan şifreleme anahtarları (Master Keys)
  • Pano (clipboard) belleğine kopyalanmış anlık metinler veya kredi kartı numaraları
  • Cihazın o anki durumunu gösteren pencere ekran görüntüleri ve açık dokümanlar

Bu bilgilerin tamamı, suç teşkil eden fiillerin hazırlık veya icra hareketlerini tespit etmede hukuki makamlara somut ve reddedilemez bir ispat zemini oluşturur.

4 dk okuma Yayınlanma: Güncelleme: