Cellebrite UFED Nedir? Mobil Adli Bilişim Araçlarının Lideri ve Alternatifleri
Cellebrite UFED (İsrail, 1999), mobil adli bilişimin lideri. UFED Touch 2, 4PC, Premium, Endpoint Inspector. Logical/File System/Physical extraction. iOS BFU/AFU + Android EDL/Download/BROM. Premium Advanced Services - kilitli iPhone bypass. Rakipler: Magnet AXIOM, Oxygen Forensic Detective, MSAB XRY, ElcomSoft. Açık kaynak: MVT (Pegasus), ALEAPP/iLEAPP. KVKK m.28 + CMK m.116 yasal çerçeve.
Cellebrite UFED Nedir? Mobil Adli Bilişim Araçlarının Lideri ve Alternatifleri
Mobil adli bilişim dünyasında bir araç ismi diğerlerinden çok daha sık duyulur: Cellebrite UFED. Polis teşkilatları, savcılıklar, istihbarat servisleri ve özel adli bilişim laboratuvarları yıllardır kilitli telefonlardan veri çıkarmak için ilk olarak bu çözüme başvurur. Peki UFED tam olarak nedir, nasıl çalışır, hangi cihazları açabilir ve gerçekten her telefonu kıran sihirli bir kutu mudur? Bu rehberde Cellebrite UFED ekosistemini, rakiplerini, açık kaynak alternatiflerini ve Türkiye'deki yasal kullanım çerçevesini ayrıntılı şekilde inceliyoruz.
Cellebrite Kimdir, UFED Nereden Geliyor?
Cellebrite, 1999 yılında İsrail'de kurulmuş bir mobil yaşam döngüsü ve dijital istihbarat şirketidir. İlk yıllarda operatörlere telefon değişiminde rehber aktarma çözümü sunan firma, kolluk kuvvetlerinin mobil cihazlardan delil çıkarma ihtiyacını fark edince UFED hattını geliştirdi. UFED, "Universal Forensic Extraction Device" yani "Evrensel Adli Veri Çıkarma Cihazı" anlamına gelir.
Bugün şirket cellebrite.com üzerinden 150'den fazla ülkede kolluk kuvvetleri ve özel sektör adli bilişim laboratuvarlarına hizmet veriyor. Cellebrite'ın gücü tek bir donanımdan değil, sürekli güncellenen geniş bir cihaz profili veritabanından ve yıllar içinde biriken jailbreak, bootloader ve chipset bypass araştırmalarından geliyor. Şirket 2021'de NASDAQ'a CLBT sembolüyle açıldı, böylece finansal şeffaflığı arttı.
Mobil adli bilişim sürecinin tamamına bakmak istiyorsanız önce Adli Bilişim Süreci 2026: KVKK, Delil Zinciri ve Mahkeme yazımızı okumanızı öneririz. UFED bu zincirin yalnızca "veri çıkarma" adımında devreye girer, öncesi ve sonrası daha az teknik ama en az o kadar kritiktir.
UFED Ürün Ailesi: Touch 2, 4PC, Premium ve Endpoint Inspector
Cellebrite tek bir ürün değil, birbirini tamamlayan bir araç ailesi sunar. Türkiye'deki adli bilişim laboratuvarlarında en çok karşılaştığımız bileşenler şunlardır.
UFED Touch 2
Taşınabilir, kendi ekranı ve dokunmatik arayüzü olan tablet benzeri bir donanım. Saha operasyonları, gözaltı merkezleri ve gümrük noktaları için tasarlanmıştır. Bilgisayar olmadan çalışır, harici depolamaya doğrudan çıkarım yapar. Tipik kullanım senaryosu: olay yerinde el konulan bir telefonun mantıksal kopyasını dakikalar içinde almak ve cihazı orijinal sahibine bağlamadan deliller bütününe eklemek.
UFED 4PC
Aynı yazılımın masaüstü/dizüstü bilgisayar üzerinde çalışan versiyonu. Laboratuvar ortamında tercih edilir, çünkü daha fazla RAM ve disk alanı ile fiziksel çıkarımları daha hızlı tamamlar. Lisans dongle'a bağlıdır.
Cellebrite Premium
UFED'in en güçlü ve en pahalı bileşeni. Premium, üreticisi tarafından kapatılan yeni nesil iPhone'lara ve son sürüm Android cihazlara erişim için kullanılır. BFU (Before First Unlock) ve AFU (After First Unlock) durumlarında farklı saldırı yüzeyleri kullanılır. Premium'un bir kısmı tesise kurulu çalışır, bir kısmı ise "Advanced Services" adı altında Cellebrite'ın kendi laboratuvarlarına gönderim modelinde sunulur.
Endpoint Inspector
Yalnızca mobil değil; bilgisayar, bulut hesapları ve uzaktaki uç noktalardan delil toplamak için kullanılır. UFED ile birlikte kullanıldığında, telefondaki bir oturumla bulutta tutulan yedek arasındaki bağı kurmaya yarar.
Lisans modeli kurumsal segmentte yüksek maliyetlidir, yıllık abonelik artı modül başına eklenti şeklinde çalışır. Bu yüzden UFED'i bireysel kullanıcıların bir mağazadan alıp evde çalıştırması mümkün değildir; ekosistem, sertifikalı kullanıcı eğitimi ve denetim zorunluluğu ile birlikte gelir.
Logical, File System ve Physical: Üç Çıkarım Seviyesi
UFED'in en sık karıştırılan kavramı çıkarım seviyeleridir. Aynı telefondan üç farklı derinlikte veri alınabilir ve hangi seviyenin mümkün olduğu cihazın modeline, işletim sistemi sürümüne ve kilit durumuna bağlıdır.
Logical extraction en yüzeysel seviyedir. Telefonun kendi yedekleme API'lerini ve iTunes/MTP protokollerini kullanarak rehber, çağrı kaydı, SMS, fotoğraf ve bazı uygulama verilerini alır. Hızlıdır, neredeyse her cihazda çalışır ama silinmiş verilere ve uygulama içi şifreli veritabanlarına ulaşamaz.
File System extraction dosya sistemine erişerek uygulama veritabanları, önbellek, log dosyaları ve kısmen silinmiş kayıtlar dahil daha geniş bir veri kümesi sunar. iOS tarafında jailbreak veya geliştirici tüneli, Android tarafında ADB üzerinden ayrıcalıklı yedek mekanizması kullanılır.
Physical extraction ham flash bellek imajını çıkarır. Silinmiş veriler, swap alanları, unallocated alanlar ve şifreli bölüm yapısı dahil her bayta erişim verir. Eski Android cihazlarda Qualcomm EDL (Emergency Download Mode), Samsung Download Mode, MediaTek BROM gibi düşük seviye protokollerle bootloader üzerinden alınır. Modern iPhone'larda Secure Enclave ve dosya bazlı şifreleme nedeniyle saf "physical" çıkarım pratik değildir, onun yerine "full file system" denilen ayrıcalıklı dosya sistemi çıkarımı yapılır.
Bir adli bilişim bilirkişi raporu yazılırken hangi seviyede çıkarım yapıldığı mutlaka belirtilir, çünkü mahkeme aynı cihazdan farklı zamanlarda alınan iki rapor arasındaki kapsam farkını bu bilgi olmadan anlayamaz.
iOS Desteği: BFU ve AFU Farkı
Apple her iOS sürümünde güvenlik mimarisini sıkılaştırdığı için UFED'in iPhone'lara erişimi sabit değildir; dalgalı bir yarıştır. Cellebrite haftalık veya iki haftalık güncellemelerle yeni iOS sürümlerine destek ekler ya da kaybeder.
Burada iki önemli kavram BFU ve AFU'dur.
BFU (Before First Unlock): Telefon yeniden başlatıldıktan sonra hiç açılmamış durumdadır. Şifrelenmiş kullanıcı verisinin büyük kısmı erişilemez. UFED bu durumda yalnızca cihazın kimlik bilgileri, bağlantı geçmişi ve bazı sistem dosyalarını alabilir.
AFU (After First Unlock): Kullanıcı en az bir kez parolayı girmiş, anahtarlar belleğe yüklenmiş durumdadır. Telefon sonradan tekrar kilitlense bile birçok anahtar RAM'de tutulur. AFU durumunda UFED Premium çok daha geniş bir veri kümesini çıkarabilir.
Bu yüzden olay yerinde el konulan bir iPhone'un fişten çekilmesi ve kapatılması, ironik biçimde delil değerini düşürebilir. Doğru pratik telefonu Faraday torbasına alıp şarjda tutmak ve laboratuvara AFU durumunda teslim etmektir.
WhatsApp delil olur mu sorusunun cevabı da bu mimariye bağlıdır. iOS'ta WhatsApp veritabanı dosya bazlı şifreli olduğu için yalnızca AFU + full file system çıkarımıyla okunabilir hâle gelir.
Android Desteği: EDL, Download Mode ve BROM
Android dünyası parçalı yapısı nedeniyle daha karmaşıktır. Cellebrite her büyük chipset üreticisi için farklı düşük seviye yöntem tutar.
Qualcomm EDL (9008 mode): Cihazın bootloader'ı bozulduğunda kullanılan acil indirme modu. UFED, üreticiye özel imzalı "programmer" dosyalarıyla ham flash imajı çekebilir. Çoğu Xiaomi, OnePlus ve eski Samsung Qualcomm modellerinde işe yarar.
Samsung Download Mode (Odin protokolü): Exynos tabanlı Samsung'larda kullanılır. Belirli model ve bootloader sürümlerinde fiziksel çıkarıma izin verir, modern One UI sürümlerinde kapsam daralmıştır.
MediaTek BROM: MediaTek SoC'lerinde donanımsal okuma modu. Daha eski cihazlarda kilitli ekrandan bile fiziksel çıkarım mümkündür. Yeni MediaTek çipleri "secure boot" ile bu yolu büyük ölçüde kapatmıştır.
Modern Pixel ve Samsung amiral gemilerinde Titan M2 ve Knox Vault gibi donanım anahtarlıkları devreye girdiği için UFED bile her zaman başarılı olamaz. Bu noktada Cellebrite Premium'un "Advanced Services" hattı devreye girer; telefon mühürlü kanıt çantasında Cellebrite laboratuvarına gönderilir, orada özelleştirilmiş bir saldırı zinciriyle açılmaya çalışılır.
Casus Yazılım Tespitinde UFED'in Rolü
UFED yalnızca delil çıkarma aracı değil, aynı zamanda bir tespit aracıdır. Telefonda casus yazılım belirti ve tespit süreçlerinde, çıkarılan dosya sistemi içindeki süreç listeleri, kalıcılık mekanizmaları ve şüpheli sertifika profilleri analiz edilir. Pegasus, Predator ve benzeri ticari gözetim yazılımlarının iz bıraktığı dosyalar, UFED ile alınan imaj üzerinde MVT (Mobile Verification Toolkit) gibi açık kaynak araçlarla taranır.
Cellebrite'ın kendi analiz arayüzü Physical Analyzer/Inspector da benzer indikatörleri tarar, ancak Amnesty International ve Citizen Lab gibi insan hakları kuruluşlarının ürettiği MVT, Pegasus iz tespitinde fiilî standart konumundadır.
Rakipler: Magnet AXIOM, Oxygen Detective, MSAB XRY
UFED tek seçenek değildir, ciddi rakipleri vardır ve gerçek bir laboratuvar genelde birden fazlasını birlikte kullanır.
Magnet AXIOM: magnetforensics.com tarafından geliştirilen AXIOM, özellikle bulut ve bilgisayar entegrasyonunda güçlüdür. Telefondan alınan UFED imajını AXIOM'a aktarıp aynı kişinin iCloud, Google Takeout ve sosyal medya yedekleriyle korelasyon kurmak yaygın bir akıştır.
Oxygen Forensic Detective: oxygenforensics.com, uygulama içi veri parsing'i konusunda çok iyidir. Özellikle Telegram, Signal, WeChat gibi mesajlaşma uygulamalarının ve drone uçuş loglarının çözümünde tercih edilir.
MSAB XRY: İsveç merkezli msab.com, Avrupa kolluk kuvvetlerinde yaygın kullanılır. UFED'e göre daha sade bir arayüz ve agresif raporlama otomasyonu sunar.
ElcomSoft iOS Forensic Toolkit: Daha küçük ama çok yetenekli bir oyuncu. Özellikle eski iOS sürümlerindeki keychain ve şifre çıkarımında referans noktasıdır.
Pratikte UFED bir laboratuvarın "ana kapı açıcısı" görevini görürken, AXIOM ve Oxygen daha çok analiz ve görselleştirme tarafında devreye girer. Boşanma davalarında dijital delil gibi tarafların aynı veri kümesine itiraz ettiği davalarda iki farklı araç kullanarak doğrulama yapmak rapor güvenilirliğini büyük ölçüde arttırır.
Açık Kaynak Tarafı: MVT, ALEAPP, iLEAPP
Tüm laboratuvarlar Cellebrite lisansına sahip değildir ve olması da şart değildir. Açık kaynak araçlar UFED imajlarını ya da doğrudan cihaz yedeklerini girdi olarak alıp ücretsiz analiz sunar.
MVT (Mobile Verification Toolkit): Pegasus ve diğer gözetim yazılımlarının izlerini taramak için fiilî standart.
ALEAPP / iLEAPP: Android ve iOS Logs Events And Protobuf Parser. Python tabanlı, sürekli güncellenen, topluluk geliştirmesi yapılan parser'lardır. UFED'den alınan tam dosya sistemi çıktısını ALEAPP/iLEAPP'a verdiğinizde, uygulama bazlı zaman çizelgesi, konum geçmişi, bildirim arşivi ve daha onlarca artefakt otomatik olarak tablolanır.
Andriller, libimobiledevice: Daha hafif, hızlı ve betikle entegre edilebilen yardımcı araçlar.
DSET olarak ticari araçlar yanında bu açık kaynak zinciri de aktif kullanıyoruz, çünkü topluluk parser'ları yeni uygulama sürümlerine bazen ticari ürünlerden daha hızlı uyum sağlıyor.
Standartlar: ISO/IEC 27037 ve NIST CFTT
Aracın gücü tek başına raporu mahkeme önünde değerli kılmaz. Hangi standardı izlediğiniz, hangi araçların hangi sürümle kullanıldığı ve bütünlüğün nasıl korunduğu en az araç kadar önemlidir.
ISO/IEC 27037, dijital delilin tanımlanması, toplanması, edinilmesi ve korunması kılavuzudur. UFED Touch 2 ile sahada çıkarım yaparken kullanılan adımlar, raporda bu standarda atıfla anlatılır.
NIST CFTT (Computer Forensics Tool Testing) programı, cftt.nist.gov üzerinden mobil adli araçların test sonuçlarını yayınlar. Cellebrite UFED, Magnet AXIOM ve diğer büyük araçların hangi cihazlarda hangi veri tiplerini başarıyla çıkardığı bu raporlarda bağımsız olarak ölçülmüştür. Bir raporda "UFED 4PC sürüm 7.x ile X marka Y model üzerinde NIST CFTT prosedürüne göre logical çıkarım yapılmıştır" demek, ürünün ismini söylemekten çok daha güçlüdür.
Türkiye'de Erişim ve Yasal Çerçeve
Cellebrite UFED Türkiye'de doğrudan satış kanalı ve yetkili bayiler üzerinden, yalnızca kurumsal alıcılara (kolluk, savcılık, askeri birimler, sertifikalı özel laboratuvarlar) ulaştırılır. DSET olarak laboratuvarımız UFED hattını lisanslı şekilde kullanıyor ve hem bireysel başvurularda hem de avukat aracılığıyla gelen kurumsal dosyalarda mobil çıkarımları bu altyapı üzerinden yürütüyoruz.
Yasal çerçeve açısından kritik nokta şudur: Bir kişinin telefonundan UFED ile veri çıkarmak için CMK m.116 ve devamı çerçevesinde verilmiş bir arama ve elkoyma kararı ya da veri sahibinin açık rızası gereklidir. KVKK m.28'deki istisnalar (suç soruşturması, kovuşturması) kişisel veri işleme yasağını gevşetir ancak hâkim/savcı kararı şartını ortadan kaldırmaz. Cihaz mahkeme kararı olmadan çıkarılırsa, üretilen rapor "hukuka aykırı delil" kapsamına girer ve hükme esas alınamaz.
Ankara adli bilişim bilirkişi süreçleri yazımızda Ankara mahkemelerinin UFED tabanlı raporlara nasıl baktığını ve hangi format eksiklerinin sıkça itiraza konu olduğunu detaylandırıyoruz.
UFED Hangi Vakalarda Yeterli, Hangilerinde Değil?
UFED güçlü ama her şeye kadir değil. Birkaç tipik durum.
Yeterli olduğu vakalar:
- Açık ya da kullanıcının parolasını verdiği telefonlar (her seviye çıkarım mümkün).
- Eski Android cihazlar (EDL ile fiziksel çıkarım çoğu zaman kolay).
- AFU durumda yakalanan iPhone'lar (Premium ile full file system mümkün).
- WhatsApp, Telegram, sosyal medya, çağrı, SMS, konum analizi gibi yaygın iletişim verisi.
Sınırlı kaldığı vakalar:
- BFU durumda son nesil iPhone (Premium bile her sürümde başarılı olmuyor).
- Donanımsal hasarlı cihazlar. Örneğin iPhone suya düştüyse, önce mantık kartının onarımı veya chip-off işlemi gerekir; UFED bu fiziksel kurtarmayı yapmaz.
- Donanım çipinden sökülerek okunması gereken (chip-off) çok eski feature phone'lar.
- Şifrelenmiş 3. parti container'lar (örneğin Signal'in yeni sürümlerindeki sealed sender mesajları).
Bu yüzden mobil adli bilişim sadece "UFED'i çalıştırmak" değil, hangi yöntemin hangi cihazda nereye kadar gideceğini bilen bir uzmanın yönetimindeki çok katmanlı bir süreçtir.
Sık Sorulan Sorular
1. Cellebrite UFED her telefonu açabilir mi? Hayır. Modern iPhone'larda BFU durumu, donanımsal hasar veya çok yeni iOS sürümleri UFED'in başarısını sınırlayabilir. Cellebrite Premium ve Advanced Services hattı bu sınırı genişletir ama %100 garanti vermez.
2. UFED'i bireysel olarak satın alabilir miyim? Hayır. Lisans modeli kurumsal segmentte yüksek maliyetlidir ve yalnızca kolluk, savcılık, askeri birim ya da sertifikalı özel adli bilişim laboratuvarına satılır.
3. UFED ile alınan rapor mahkemede tek başına yeterli midir? Yeterli değildir. Raporun mahkeme kararına dayanması, delil zincirinin ISO/IEC 27037'ye uygun belgelenmesi ve hash değerleriyle bütünlüğün ispatlanması gerekir.
4. Logical çıkarım yapıldığında silinmiş WhatsApp mesajlarına ulaşılır mı? Çoğunlukla hayır. Silinmiş mesajlar için file system veya full file system çıkarımı gerekir, çünkü WhatsApp veritabanının WAL günlüğü ve önbellek dosyaları ancak bu seviyede okunabilir.
5. UFED Türkiye'de yasal mı? Aracı kullanmak yasaldır, ancak kullanım koşulları sıkıdır. CMK kapsamında mahkeme kararı veya veri sahibinin açık rızası olmadan çıkarım yapılması, üretilen veriyi hukuka aykırı delil hâline getirir.
6. UFED ile Magnet AXIOM arasındaki temel fark nedir? UFED daha çok cihazdan veri çıkarmaya, AXIOM ise çıkarılan veriyi analiz etmeye ve bulut/bilgisayar verisiyle korelasyona odaklanır. İkisi rakip değil, sıklıkla birlikte kullanılan tamamlayıcı araçlardır.
7. Pegasus tespitinde UFED yeterli mi? UFED tam dosya sistemi çıkarımı yaparak gerekli imajı üretir, ancak Pegasus iz tespitinde fiilî standart Amnesty International'ın MVT aracıdır. İkisi birlikte kullanılır.
8. UFED kullanan her laboratuvar güvenilir midir? Hayır. Aracın kendisi güvenilir olsa bile, kullanan uzmanın eğitimi, lisans güncelliği, NIST CFTT prosedürlerine uygunluk ve raporlama disiplini güvenilirliği belirler.
DSET ile Mobil Adli Bilişim
DSET Hacettepe Teknokent Ankara'daki laboratuvarımızda Cellebrite UFED ile mobil cihaz adli bilişim hizmeti veriyoruz. Logical, file system ve mümkün olan vakalarda full file system seviyesinde çıkarım yapıyor, raporlarımızı ISO/IEC 27037 çerçevesi ve NIST CFTT prosedürleriyle uyumlu biçimde sunuyoruz. Açık ya da kilitli cihazınız, suya düşmüş telefonunuz veya casus yazılım şüpheniz varsa süreci tek bir uzman ekiple yürütmenin avantajını yaşayabilirsiniz.
İletişim için +90 536 662 38 09 numaralı hattımızı arayabilir, randevu alarak Hacettepe Teknokent'teki ofisimizde mobil cihazınızın delil değerini birlikte değerlendirebiliriz.
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.