Bu makalemizde, günümüzde oldukça sık kullanılan anti forensics tekniklerinden birisi olan uzak lokasyonlarda verinin saklanmasına ilişkin detayları ele alacağız. Bu tarz bir servisin şüpheli kişiler tarafından kullanılması durumunda şüpheli bilgisayarlar üzerinde ne tür izlerin yer alabileceği, adli bilişim uzmanlarının bu bilgisayarları inceleyerek ne tür delillere ulaşılabileceğini detaylı şekilde inceleyeceğimiz bu makalede üç farklı servisi ele alacağız.
Bunlardan birincisi Dropbox. www.dropbox.com üzerinden oluşturulan bir kullanıcı hesabı sayesinde 2 GB’a kadar herhangi bir ücret ödemeden bu servis kullanılabiliyor ve internete erişimin olduğu her yerden kişinin dosyalarına ulaşması mümkün. Bu servisi kullanmak için istemci bilgisayarlara yüklenen bir istemci yazılımı üzerinden dosya ve klasörlerin senkronizasyonu gerçekleştiriliyor. Kurulum sırasında seçilen ana klasör baz alınarak bu klasörün altına atılan dosya ve dizinlerin internetteki saklama lokasyonuna gönderilmesini ve bir kopyasının orada saklanmasının sağlanması mümkün. Aşağaki ekran görüntüsünde benim kişisel bilgisayarımda yer alan dropbox’ın senkronizasyonunda kullanılan dizini görebilirsiniz.
Dropbox uygulaması kurulduğunda sistemde yapılan değişikliklerin neler olduğunu tespit etmek adına regshot uygulamasını kullanarak izleme gerçekleştirdiğimizde aşağıda özeti verilmiş aktivitelerin gerçekleştiğini görüyoruz.
C:\Documents and Settings\UserName\Application Data\Dropbox\bin\Dropbox.exe C:\Documents and Settings\UserName\Application Data\Dropbox\bin\DropboxExt.14.dll C:\Documents and Settings\UserName\Application Data\Dropbox\bin\itag C:\Documents and Settings\UserName\Application Data\Dropbox\bin\msvcp71.dll C:\Documents and Settings\UserName\Application Data\Dropbox\bin\msvcr71.dll C:\Documents and Settings\UserName\Application Data\Dropbox\bin\Python25.dll C:\Documents and Settings\UserName\Application Data\Dropbox\bin\Uninstall.exe C:\Documents and Settings\UserName\Application Data\Dropbox\config.db C:\Documents and Settings\UserName\Application Data\Dropbox\filecache.db C:\Documents and Settings\UserName\Application Data\Dropbox\host.db C:\Documents and Settings\UserName\Application Data\Dropbox\installer\l\4dd0e9a9 C:\Documents and Settings\UserName\Application Data\Dropbox\l\4dd0e9b0 C:\Documents and Settings\UserName\Application Data\Dropbox\l\4dd0e9b2 C:\Documents and Settings\UserName\Application Data\Dropbox\l\4dd0e9e5 C:\Documents and Settings\UserName\Application Data\Dropbox\shellext\l\4dd0e9b0 C:\Documents and Settings\UserName\Application Data\Dropbox\shellext\l\4dd0e9b4 C:\Documents and Settings\UserName\Application Data\Dropbox\shellext\l\4dd0e9b7 C:\Documents and Settings\UserName\Application Data\Dropbox\sigstore.db C:\Documents and Settings\UserName\Application Data\Dropbox\unlink.db
Dropbox’ın kurulduğu zaman bilgisine HKEY_CURRENT_USER\Software\Dropbox anahtarının Last Write Time bilgisine bakılarak ulaşılabilir. Çalışan bir sistem üzerinde bu bilgiye ulaşmak için ilgili registry anahtarını registry editör (Regedit) aracılığı ile txt formatında Export edip açmamız yeterli. Aşağıda HKEY_CURRENT_USER\Software\Dropbox anahtarının export edildikten sonra Notepad yardımıyla açılmış halini görebilirsiniz.
Canlı bir sistemde yapılan registry analizinde ilgili registry anahtarlarına ilişkin Last Write Time değerini Windows ile birlikte gelen Regedit yardımıyla göremeyiz. Bu durumda ya kendi yazılımımızı yada scriptimizi yazıp bu bilgiyi registry içinden çekmemiz gerekiyor ya da bu özelliğe sahip üçüncü parti bir yazılımı kullanmamız gerekiyor. Aşağıda Registrar Registry Manager(www.resplendence.com) isimli uygulama kullanılarak ilgili registry anahtarının Last Write Time değerinin ne olduğu gösterilmiştir.
Dropbox’ın kurulumu ile ile gelen registry anahtarları bize adli bilişim açısından çok bilgi sunmamaktadır. Bunun başlıca sebebi Dropbox’ın kendi tanımlarını kurulum dizini içinde yer alan veritabanı dosyalarında saklaması ve bu veritabanlarını kullanarak işlem yapması. Dropbox’ın konfigürasyon bilgileri config.db isimli SQLite formatındaki veritabanında saklanıyor. Bu veritabanı dosyasını Firefox’un eklentilerinden olan SQLite Manager ile açtığımızda içinde sadece config isimli tek bir tablonun yer aldığını görüyoruz. Aşağıdaki ekran görüntüsünde bu tabloda yer alan alanların neler olduğu ve bu alanlardaki değerlerin benim kurulumum için neler olduğu bilgisi görülebilir.
Bu tablodaki dropbox_path alanında Dropbox’ın kurulu olduğu dizin bilgisi, email alanında Dropbox kullanıcı adı bilgisi yer alır. Dropbox’ın kimlik doğrulama ile ilgili olarak bu bilgiyi değil, bunun yerine host_id alanındaki değeri kullandığını ortaya çıkaran Derek Newton’un http://dereknewton.com/2011/04/dropbox-authentication-static-host-ids/ adresindeki yazısına göre herhangi bir kişinin Dropbox hesabına ulaşmak için o kişinin bilgisyarındaki config.db dosyasını ele geçirmek yeterli. Bu kullanıcı Dropbox hesabının şifresini değiştirse bile config.db dosyasına sahip olan bir kişi o kullanıcının dosyalarına erişebiliyor.Gerçekleştirdiğimiz testlerde bu iddaa’yı doğrulayan sonuçları biz de elde ettik. Bu noktada adli bilişim açısından şunu söyleyebiliriz. Şüphelinin bilgisayarında yapılan inceleme sonucunda elde edeceğimiz config.db dosyasını kullanarak bu kişinin Dropbox hesabına ulaşmak mümkün. Fakat bir noktanın altını çizmek istiyorum. Bu şekilde bir erişimin gerçekleşmesi durumunda karşı tarafın kişisel verilerine izinsiz ulaştığınız gibi bir durum ortaya çıkabilir ve bu durum sizi zor durumda bırakabilir.
Config.db veritabanındaki config isimli tabloda yer alan recently_changed3 isimli alanda, Dropbox hesabına ait en son değişiklik yapılan son beş dosyaya ait bilgiler yer almaktadır. Aşağıdaki şekilde benim kendi hesabıma ilişkin en son değişiklik yapılan beş dosyaya ait bilgiler görülebilir. Buradaki bilgiler içinde bizim için en önelmli olanı N ile başlayan satırların üzerindeki dosyaların silinmiş dosyalar olduğudur.
Dropbox’ın config.db dosyasının olduğu klasörde uzantısı db ile biten başka veritabanı dosyaları da mevcuttur. Bu dosyalardan filecache.db dosyası da SQLite formatında bir veritabanıdır ve içerisinde 7 adet tablo bulundurur. Bu tablolardan file_journal tablosu bu kullanıcının Dropbox hesabında yer alan dosyalar hakkında bilgiler barındırır. Aşağıda file_journal tablosundaki alanların listesi gösterilmiştir.
Bu alanlardan local_filename alanında kullanıcının Dropbox hesabına kendi bilgisayarından yolladığı dokümanların isimleri yer almaktadır.Local_size alanında yer alan değer, ilgili dosyanın byte olarak boyutunun ne kadar olduğunu gösteriyor.local_mtime ilgili dosyanın güncelleme zamanını, local_ctime ise ilgili dosyanın oluşturulma zamanını yerel saat baz alınarak gösterir. Epoc formatında tutulan bu değerleri normal zaman formatına dönüştürmek için kendi yazacağınız ufak kod parçalarını kullanabileceğiniz gibi, internet üzerinde bu işi sizin adınıza yapacak, http://www.esqsoft.com/javascript_examples/date-to-epoch.htm adresinde bir örneğini bulabileceğiniz yararlı sayfalardan da faydalanabilirsiniz. Aşağıda benim kendi Dropbox hesabıma ilişkin filecache.db dosyasında yer alan file_journal tablosunun içeriği yer almaktadır.
Not: İncelemeler Dropbox 1.1.31 versiyonu ile gerçekleştirilmiştir.
İkinci olarak inceleyeceğimiz servis GMail Drive. Gmail Drive Storage olarak da bilinen bu servis aslında kullanıcıların kendi gmail hesaplarını dosya saklamak için kullanmaktan öte birşey değil. Gmail kullanıcılarının http://www.viksoe.dk/code/gmail.htm adresinden indirebilecekleri bir eklentiyi işletim sistemlerine yükleyerek kullanıma başlayabilecekleri bu servis Google tarafından desteklenmiyor. Bu eklentinin yüklendiği bir bilgisayarda aşağıdaki ekran görüntüsünde gösterildiği şekliyle bir sürücü oluşturulmaktadır.
Bu sürücüyü kullanabilmek için ilgili Gmail hesabı ile uygulama üzerinden bir oturum açılmalıdır. Oturum açma ekranı aşağıdaki şekilde gösterilmiştir.
Oturum açtıktan sonra kullanıcı istediği dosya sağ tıklayıp Send to->GMail Drive yolunu izleyerek ilgili dosya yada klasörü Gmail hesabına gönderebilir. Kullanıcının Gmail hesabında bu dosyalar aşağıdaki şekilde gösterildiği gibi görünecektir.
Kullanıcı tarafından yapılan bütün bu işlemler sonucunda iz olarak elde edebileceklerimiz ise şunlardır. Gmail eklentisi kurulduğunda ilgili kullanıcının bilgisayarında aşağıdaki registry değerleri oluşturulur.Bu değerlerden “Last User” değeri kullanıcının en son hangi Gmail hesabını kullandığını gösterir. Bunun yanında eğer “Auto Login” seçeneği aktifse incelenen sistem üzerinde bu kullanıcının GMail Drive’ına erişim gerçekleştirilirken bir oturum açma durumu söz konusu olmaz ve inceleme yapılan bilgisayardan sorunsuz şekilde bu kullanıcının Gmail hesabında sakladığı dosyalara erişim gerçekleştirilebilir.
HKU\UserSID\Software\Viksoe.dk\GmailFS\Last User: "halilozturkci" HKU\UserSID\Software\Viksoe.dk\GmailFS\Auto Login: 0x00000000 HKU\UserSID\Software\Viksoe.dk\GmailFS\Preserve Filenames: 0x00000001 HKU\UserSID\Software\Viksoe.dk\GmailFS\Use Draft: 0x00000000 HKU\UserSID\Software\Viksoe.dk\GmailFS\Secure HTTP: 0x00000001 HKU\UserSID\Software\Viksoe.dk\GmailFS\Compat Warned: 0x00000001 HKU\UserSID\Software\Viksoe.dk\GmailFS\Use Proxy: 0x00000000
Analiz çalışmamızı derinleştirip daha fazla iz tespit etme yönünde yaptığımız çalışmalarda incelenen bilgisayardaki aktif ağ bağlantıları listelediğimizde explorer.exe prosesi tarafından Gmail’in sunucularına bir bağlantı gerçekleştirildiği görüyoruz. Browserlara ilişkin geçmiş dosyaları üzerinde yaptığımız analiz çalışmalarında da elle tutulur bir veriye rastlayamıyoruz.
Network üzerinden gerçekleştirilen iletişim ise aşağıdaki şekilde gösterildiği üzere tamamen kriptolu şekilde gerçekleştirildiğinden dolayı network forensics yapılarak da GMail Drive’ın kullanılıp kullanılmadığının öğrenilmesi imkansız.
Sonuç olarak incelenen bilgisayarda GMail Drive’ın kullanılıp kullanılmadığı ve GMail Drive içinde hangi dosya veya klasörlerin yer aldığı gibi bilgileri ancak kullanıcı oturumu açıksa ve GMail Drive üzerinden Gmail’e oturum açmışsa elde etmemiz mümkün. Bunun haricinde elde edebileceğimiz bilgi çok sınırlı.
Windows Live SkyDrive, Microsoft’un sunduğu bir çevrimiçi dosya depolama ve paylaşma hizmetidir. Kullanıcılar, Windows Live hesapları ile bağlanabildikleri SkyDrive hesaplarına tarayıcılarını kullanarak dosya gönderip, internet erişimi olan her yerden bağlanabilmektedirler. Tek seferde gönderilebilecek dosya boyutunun 50 MB ile sınırlı olduğu bu serviste kullanıcı başına 25 GB gibi bir alan tahsis ediliyor.
SDExplorer (http://www.cloudstorageexplorer.com/) gibi bir araç yardımıyla kullanıcıların kendi SkyDrive’larına Windows Explorer arayüzü üzerinden erişmeleri ve yerel bir diskte çalışıyormuşcasına işlem yapmaları mümkün. Aşağıdaki ekran görüntüsü SDExplorer’un Base versiyonunun yüklü olduğu bir bilgisayardan alınmıştır.
Kullanıcının öncelikli olarak SDExplorer üzerinden aşağıdaki şekilde gösterilen oturum açma ekranını kullanarak Windows Live ID’si ile oturum açması gerekmektedir.
Bu uygulamaya ilişkin registry’deki değerleri incelediğimizde karşımıza aşağıdaki şekilde gösterilen değerler çıkmaktadır.
Yapılan incelemede bu uygulamanın Windows Live ID’sini bu registry anahtalarının altında saklamadığı yada en azında clear-text formatta saklamadığı tespit edilmiştir. Bu uygulamanın ağ üzerinden iletişimini nasıl gerçekleştirdiğine baktığımızda ise karşımıza aşağıdaki şekilde gösterilen sonuçlar çıkmıştır. dllhost.exe servis host uygulamasının bütün iletişimini HTTPS üzerinden gerçekleştirdiğini görüyoruz.
Sonuç olarak, bu üç farklı yöntem kullanılarak uzak lokasyonlarda veri saklama işlemi gerçekleştirildiği takdirde bu işlemlerin izini sürmek, hangi dosyaların bu uzak lokasyonlarda saklandığını tespit etmek ve gerektiğinde bu dosyalara ulaşmak adli bilişm uzmanları açısında biraz zorlu bir süreç olarak karşımıza çıkıyor. Bunun yanında bu tür olayları aydınlatmak için sadece yukarıda anlattığımız yöntemlerin kullanılmadığını da belirtmek lazım. Kullanılacak başka adli bilişm yöntemleri ile şüpheli bilgisayarlarındaki delilleri farklı formatlar elde etmemiz mümkündür.
