Delil zinciri (chain of custody) nedir?

Delil zinciri, bir dijital delile el koymadan mahkemeye kadar kimin, ne zaman ve neden temas ettiğini gösteren belgelenmiş ve kesintisiz kayıttır. Herhangi bir boşluk delili kabul edilemez kılabilir.

Neden elde etme öncesi ve sonrası özet (hash) alınır?

İmaj alınmadan önce alınan bir SHA-256 özeti ile sonrasında alınan aynı özet, kopyalama sırasında tek bir bitin bile değişmediğini kanıtlar. Eşleşen özetler, bütünlüğün ve kabul edilebilirliğin matematiksel temelidir.

Orijinal medya üzerinde neden asla çalışılmaz?

Uzmanlar her zaman adli bir kopya üzerinde çalışır ve orijinale yazma engelleyici (write-blocker) bağlar. Orijinale yapılan herhangi bir yazma delili değiştirir ve bütünlüğünü yok eder, bu nedenle mahkeme delili reddeder.

Bu kontrol listesi hangi standardı izler?

ISO/IEC 27037'nin dört aşamasını izler: tanımlama, toplama, elde etme ve koruma. Mahkemede kabul edilebilirliği en çok etkileyen adımlar kritik olarak işaretlenmiştir.

Delil Zinciri (Chain of Custody) Kontrol Listesi · DSET

Dijital deliliniz için ISO/IEC 27037 uyumlu, size özel bir delil zinciri kontrol listesi oluşturun, her adımı takip edin ve mahkemeye hazır bir özet yazdırın. Kabul edilebilirliği belirleyen kritik adımlar vurgulanır.

Delil turu

Dosya/Soruşturma referansı

El koyma tarihi

İşlemi yapan

0 / 11 adım tamamlandı (%0)

Kabul edilebilirlik için kritik adımlar: 0 / 7. Bunlardan herhangi birinin eksikliği zinciri mahkemede koparabilir.

Tanimlama (Identification)

Olay yeri ve delilin konumu fotoğraflandı (genel ve yakın çekim) (kritik)
Locard ilkesi gereği her temas iz bırakır. Olay yeri kayıtları, delilin bağlamını ve bulunduğu durumu mahkemede doğrulamayı sağlar.
Delil benzersiz bir etiket/numara ile tanımlandı (marka, model, seri no)
Benzersiz tanımlama olmadan delilin sonraki aşamalarda aynı delil olduğu kanıtlanamaz; karıştırma veya yer değiştirme iddiası açılır.

Toplama (Collection)

Orijinal medya ÜZERİNDE asla çalışılmadı; tüm işlemler kopya/imaj üzerinde yapıldı (kritik)
Orijinal üzerinde yapılan herhangi bir yazma, delili değiştirir ve bütünlüğünü yok eder. Mahkeme değiştirilmiş delili kabul etmez.
Yazma engelleyici (write-blocker) kullanıldı (donanım veya yazılım) (kritik)
Write-blocker, işletim sisteminin orijinal diske yazmasını fiziksel/mantıksal olarak engeller. Olmadan disk bağlamak delili kirletir.

Elde Etme (Acquisition)

İmaj alınmadan ÖNCE kaynak medyanın SHA-256 özeti hesaplandı ve kaydedildi (kritik)
Ön-hash, delilin başlangıç parmak izidir. Bu değer olmadan sonradan bütünlüğün korunduğu matematiksel olarak ispatlanamaz.
Bit-bit (adli) imaj alındı (E01/dd), kısmi kopya değil
Mantıksal kopya silinmiş alanları ve slack space'i kaçırır. Tam imaj, bütün delil havuzunu korur ve tekrar doğrulanabilir kılar.
İmaj alındıktan SONRA SHA-256 özeti hesaplandı ve ön-hash ile EŞLEŞTİ (kritik)
Ön-hash ile son-hash'in birebir eşitliği, kopyalama sırasında tek bir bitin bile değişmediğini kanıtlar. Mahkemede kabul edilebilirliğin temelidir.

Koruma (Preservation)

Delil ve etiketleri fotoğraflandı (seri no okunabilir şekilde)
Görsel kayıt, delilin teslim anında hangi fiziksel durumda olduğunu sabitler ve sonradan hasar/müdahale iddialarını önler.
Delil kurcalamaya karşı torbalandı ve mühürlendi (tamper-evident) (kritik)
Mühür, depolama sırasında erişim olup olmadığını gösterir. Kırık mühür, zincirde kopukluk anlamına gelir ve delili şüpheli kılar.
Delil zinciri kaydına her devir-teslim işlendi (kim, kime, ne zaman, neden) (kritik)
Kesintisiz delil zinciri kaydı, delilin el değiştirdiği her anı belgeler. Tek bir boşluk bile karşı tarafın delili geçersiz kılmasına yeter.
Delil erişimi sınırlı, kayıtlı bir kasada/depoda saklandı
Kontrollü depolama, yetkisiz erişimi engeller ve delil zinciri kaydının bütünlüğünü fiziksel olarak destekler.

Yazdırılabilir özet

Delil türü: Sabit Disk / HDD-SSD

Dosya referansı: (girilmedi)

El koyma tarihi: (girilmedi)

İşlemi yapan: (girilmedi)

Tamamlanma: 0/11 (%0)

Bu kontrol listesi ISO/IEC 27037 aşamalarını (tanımlama, toplama, elde etme, koruma) izler. Mahkemede kabul edilebilirliği belirleyen kritik noktalar şunlardır: orijinal üzerinde asla çalışmamak, elde etme öncesi ve sonrası özet (hash) almak ve bunları eşleştirmek, kesintisiz bir delil zinciri kaydı tutmak ve Locard ilkesini unutmamak, her temas bir iz bırakır.

Dijital delili mahkemede kabul edilebilir kılan nedir

Kabul edilebilirlik nadiren analizin kendisinde kaybedilir; süreçte kaybedilir. Belirleyici noktalar, yalnızca adli bir kopya üzerinde çalışmak (orijinalde asla), elde etme öncesi ve sonrası SHA-256 özeti almak ve bunların eşleştiğini göstermek, ve kesintisiz bir delil zinciri kaydı tutmaktır. Locard'ın ilkesi her temasın bir iz bıraktığını hatırlatır; belgelemenin önemi tam da buradadır. Rapor tarafı için adli bilişim raporu uluslararası standart format şablonu yazımıza bakın.

ISO/IEC 27037'nin dört aşaması

Tanımlama delili bulur ve etiketler, toplama yazma engelleyici ile fiziksel olarak güvenceye alır, elde etme doğrulanmış bit-bit imaj oluşturur, koruma ise mühürler, kaydeder ve saklar. Konuya daha derin girmek için adli bilişim yazımıza göz atın.

Adli bilişim uzmanı mı lazım?

Mahkemeye gidebilecek bir delille çalışıyorsanız, belgelenmiş bir delil zinciri tercih değil zorunluluktur. Ekibimiz el koyma, imaj alma ve raporlamayı uçtan uca yürütür. adli bilişim ve dijital delil hizmetimize bakın.

Delil Zinciri (Chain of Custody) Kontrol Listesi Üretici