Cellebrite UFED, GrayKey ve Oxygen Forensic: Mobil Adli İnceleme Araçları Karşılaştırması
Mobil adli incelemede üç isim öne çıkar: Cellebrite UFED, GrayKey ve Oxygen Forensic Detective. Hangisi kilit açmada, hangisi veri çıkarma genişliğinde, hangisi analizde güçlü? Mantıksal, dosya sistemi ve fiziksel çıkarma arasındaki fark, cihaz/sürüm desteğinin neden sürekli değiştiği ve bu araçların yalnızca yetkili kullanım gerçeği, kaynaklı ve dürüst bir karşılaştırma.
Cellebrite UFED, GrayKey ve Oxygen Forensic: Mobil Adli İnceleme Araçları Karşılaştırması
Hızlı Cevap: Mobil adli incelemede üç araç ailesi öne çıkar. Cellebrite UFED, en geniş cihaz desteği ve kilit açma/veri çıkarma kapasitesiyle sektörün fiili lideridir ve çıkarma ile analizi tek ekosistemde birleştirir. GrayKey (artık Magnet Forensics bünyesinde), özellikle iPhone passcode açma ve derin çıkarmaya odaklanmış, dar ama derin bir araçtır. Oxygen Forensic Detective ise gücünü kilit açmadan çok, çıkarılan verinin analizinde, bulut verileri, uygulama yorumlama ve çapraz ilişkilendirmede gösterir. Hiçbiri her cihazı açan sihirli bir kutu değildir: desteklenen modeller, işletim sistemi sürümleri ve yama düzeyleri sürekli değişir, ve bu araçlar yalnızca kolluk ve yetkili adli laboratuvarlara lisanslanır. Doğru araç, incelenecek cihaza ve amaca göre değişir.
Mobil cihaz, bugün çoğu soruşturmanın merkezindedir, çünkü bir telefon kişinin mesajlarını, konumunu, fotoğraflarını ve uygulama verisini taşır. Ama modern telefonlar güçlü şifrelemeyle korunur; bu yüzden veriye ulaşmak özel araçlar gerektirir. Bu araçların genel çerçevesini ve neden modern şifrelemenin işi zorlaştırdığını kilitli ve şifreli telefondan veri kurtarma yazımızda anlattık. Cellebrite UFED'in tek başına ne olduğunu ve Türkiye'deki kurumsal kullanımını Cellebrite UFED nedir ve Cellebrite UFED Türkiye kurumlar lisans yazılarımızda ele aldık. Bu yazı, üç büyük aracı yan yana koyup farklarını dürüstçe karşılaştırır.
Önce kavram: çıkarma türleri
Araçları karşılaştırmadan önce, mobil adli incelemenin üç temel veri çıkarma seviyesini anlamak gerekir, çünkü bir aracın "gücü" çoğunlukla hangi seviyeyi yapabildiğine bağlıdır.
- Mantıksal çıkarma (logical): Cihazın normal arayüzünden eriştiği veriler, yani rehber, mesajlar, arama kayıtları, bazı uygulama verileri. En kolay ama en yüzeysel seviyedir; silinmiş veriyi genelde getirmez.
- Dosya sistemi çıkarma (file system): Cihazın dosya sistemine erişip uygulama veritabanlarını, önbellekleri ve daha fazla ayrıntıyı alır. Mantıksaldan derindir, silinmiş kayıtların bir kısmına (örneğin veritabanı boşluklarına) ulaşabilir.
- Fiziksel çıkarma (physical): Cihaz belleğinin bit-bit kopyası. En derin seviyedir, silinmiş veriyi en iyi bu kurtarır, ama modern şifreli cihazlarda passcode olmadan elde edilse bile şifrelidir. Bu yüzden fiziksel çıkarma artık çoğu güncel cihazda zorlaşmıştır.
Bir aracın değeri, hedef cihazda bu seviyelerden hangisine, hangi sürümde ulaşabildiğiyle ölçülür.
Cellebrite UFED: en geniş kapsam
Cellebrite UFED, mobil adli incelemenin en yaygın ve en geniş cihaz desteğine sahip platformudur. Çok sayıda Android ve iOS cihaz, ayrıca eski ve niş cihazlar için çıkarma yöntemleri sunar; belirli cihaz/sürüm kombinasyonları için kilit açma yetenekleri içerir. Cellebrite ekosistemi, çıkarma (UFED) ile analiz (Physical Analyzer ve sonrasında gelen ürünler) arasında bütünleşik bir akış sağlar, yani veriyi alıp aynı ortamda inceleyebilirsiniz.
Güçlü yönü kapsam ve bütünleşmedir: en çok cihazı destekler ve uçtan uca bir iş akışı sunar. Sınırı ise her araçla aynıdır: en güncel cihazlar güçlü passcode ile her zaman açılamaz ve desteklenen yöntemler üreticinin güvenlik güncellemeleriyle sürekli değişir.
GrayKey: dar ama derin, iPhone odaklı
GrayKey, Grayshift tarafından geliştirilen ve sonradan Magnet Forensics çatısı altına giren, özellikle iPhone passcode açma ve derin veri çıkarma konusunda uzmanlaşmış bir araçtır. Cellebrite kadar geniş bir cihaz yelpazesi hedeflemez; gücünü belirli (özellikle Apple) cihazlarda derinliğe ve kilit açma kabiliyetine yoğunlaştırır. Android desteği de vardır, ama GrayKey çoğunlukla iPhone bağlamında anılır.
Güçlü yönü, hedeflediği cihazlarda derin erişim ve passcode çözme odağıdır. Sınırı yine sürüm bağımlılığıdır: bir iOS sürümünde işe yarayan yöntem, bir sonraki güvenlik güncellemesiyle kapanabilir, bu da araç ile üretici arasında sürekli bir yarış demektir. GrayKey de tipik olarak yalnızca kolluğa ve yetkili kurumlara sağlanır.
Oxygen Forensic Detective: analizde güçlü
Oxygen Forensic Detective, gücünü kilit açmadan çok, veriyi anlamlandırmada gösterir. Cihazdan ya da yedeklerden çıkarılan veriyi alıp, yüzlerce uygulamayı yorumlar, bulut hesaplarından (uygun yetkiyle) veri toplar, kişiler arası ilişkileri, konum geçmişini ve zaman çizelgelerini görselleştirir. Yani Oxygen'in öne çıktığı yer, "veriyi nasıl alırım" değil, "aldığım veriyi nasıl bağlarım ve anlarım" sorusudur.
Güçlü yönü, geniş uygulama desteği, bulut çıkarma ve analitik görselleştirmedir. Pratikte birçok laboratuvar, çıkarmayı bir araçla (örneğin Cellebrite ya da GrayKey) yapıp, derin analizi Oxygen ya da Magnet AXIOM gibi bir araçla yürütür; araçlar rakip olduğu kadar tamamlayıcıdır.
Yan yana karşılaştırma
| Araç | Öne çıkan güç | Tipik odak | Sınır |
|---|---|---|---|
| Cellebrite UFED | En geniş cihaz desteği, çıkarma+analiz bütünleşik | Android + iOS geniş yelpaze | Güncel cihaz güçlü passcode'da her zaman açılmaz |
| GrayKey | iPhone passcode açma, derin çıkarma | Özellikle Apple cihazlar | Sürüm bağımlı, dar yelpaze |
| Oxygen Detective | Analiz, uygulama yorumlama, bulut | Çıkarılmış veriyi anlamlandırma | Kilit açma gücü ikincil |
Bu tablo bir an için doğrudur; sektörün gerçeği, bu yeteneklerin sürekli değişmesidir. Bu yüzden "hangisi en iyi" sorusunun tek doğru cevabı yoktur: incelenecek cihaza, işletim sistemi sürümüne ve amaca (kilit açma mı, geniş çıkarma mı, derin analiz mi) göre değişir.
Yetki ve hukuk: en kritik nokta
Bu araçların tamamı, yalnızca yetkili kullanım içindir. Cellebrite, GrayKey ve Oxygen, bireysel tüketiciye satılmaz; kolluk kuvvetleri, adli laboratuvarlar ve yetkili kurumlara lisanslanır. Bir cihazın bu araçlarla incelenmesi, yalnızca cihazın sahibinin ya da yetkili bir makamın (mahkeme, savcılık) talebiyle, yazılı yetkiyle yapılabilir. Aksi, hem hukuka aykırıdır hem de elde edilen verinin delil değerini yok eder. Adli sürecin hukuki çerçevesini, delil zincirini ve KVKK boyutunu adli bilişim süreci, KVKK ve delil zinciri yazımızda ele aldık.
DSET olarak yaklaşımımız dürüstlüktür: bir cihazın hangi araçla, hangi seviyede incelenebileceği, cihaz model ve sürümüne bağlıdır ve her zaman önceden garanti edilemez. Önce cihaz tespit edilir, gerçekçi bir beklenti verilir, ve işlem yalnızca yetki çerçevesinde yapılır.
Sıkça Sorulan Sorular
Cellebrite mi GrayKey mi daha iyi? Tek bir cevap yoktur. Cellebrite en geniş cihaz desteğini ve bütünleşik akışı sunar; GrayKey özellikle iPhone passcode açmada derinleşir. Doğru seçim, hedef cihaza ve amaca bağlıdır.
Oxygen Forensic kilit açar mı? Oxygen'in asıl gücü kilit açmadan çok, çıkarılmış veriyi yorumlama ve analizdir. Birçok laboratuvar çıkarmayı başka bir araçla yapıp analizi Oxygen ile yürütür.
Bu araçları kişisel olarak satın alabilir miyim? Hayır. Cellebrite, GrayKey ve Oxygen kurumsal ve yetkili kullanım içindir; kolluk ve adli laboratuvarlara lisanslanır, bireysel tüketiciye satılmaz.
Bu araçlar her telefonu açar mı? Hayır. Desteklenen cihazlar, işletim sistemi sürümleri ve yama düzeyleri sürekli değişir; en güncel cihazlar güçlü passcode ile çoğu zaman açılamaz.
Kaynaklar
- Cellebrite (resmi): https://cellebrite.com/
- Magnet Forensics, GrayKey (resmi): https://www.magnetforensics.com/products/magnet-graykey/
- Oxygen Forensics (resmi): https://oxygenforensics.com/
- NIST SP 800-101 Rev 1, Mobil Cihaz Adli İncelemesi Kılavuzu: https://csrc.nist.gov/pubs/sp/800/101/r1/final
Bir cihazın hangi araç ve yöntemle, hangi seviyede incelenebileceğine dair dürüst bir değerlendirme için DSET ile iletişime geçin.
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.