Soundness: Adli Bilişimde Aldanmadan Doğruyu Bulmak

Hızlı cevap: Soundness, bir adli aracın ya da uzmanın yalnızca doğru bulguyu ne kadar yakaladığını değil, yanlış bulguyu ne kadar reddettiğini ölçen eksendir. Matematiksel olarak doğru pozitiflerin, doğru ve yanlış pozitiflerin toplamına oranıdır. Bir araç yerleştirilmiş sahte bir izi gerçek raporlarsa ya da gerçekten kurtarılamaz veriyi kurtardım derse, yüzeyde yüksek doğruluk gösterse bile soundness'ı çöker. DSET Forensics Benchmark, recall ile soundness'ı birlikte puanlar ve ikisini ayırır.

Yüzey doğruluğu neden yanıltıcıdır?

Bir aracın yüzde 95 doğru cevap vermesi etkileyici görünür. Ama o yüzde 5 yanlışın içinde, saldırganın bilinçli yerleştirdiği bir sahte delili gerçek diye raporlamak varsa, sonuç bir soruşturmayı yanlış kişiye yönlendirebilir. Adli bağlamda yanlış bir pozitif, eksik bir bulgudan çok daha tehlikelidir; çünkü mahkemede bir iddianın temeli olur. Bu yüzden adli bilişimde gerçek sınav doğruluk değil, güvenilirliktir.

İki ayrı eksen: recall ve soundness

• Recall, doğru bulguların ne kadarını yakaladığınızı söyler. Eksiklik buradan ölçülür.
• Soundness, raporladığınız bulguların ne kadarının gerçek olduğunu söyler. Aldanma ve halüsinasyon buradan ölçülür.

Bir gönderim daha fazla soru yanıtladığı için daha yüksek recall alabilir, ama içine sahte bulgular karıştırdıysa soundness'ı düşer. DFB'nin merkezi ve tekrarlanabilir sonucu tam da budur: kurtarma uyduran bir gönderim, daha az ama dürüst yanıt veren bir gönderimin altında kalabilir. Yüzey doğruluğu ile güvenilirlik farklı eksenlerdir.

Yerleştirilmiş sahte delil ve dürüstlük sınavı

Operasyon Gece Gölgesi vakasında gerçek bulgularla bir arada, kasıtlı yerleştirilmiş tuzaklar bulunur ve bunlar asla duyurulmaz. En görünür string üzerinde pattern eşleyen bir araç bu tuzaklara kanar. Ayrıca vakanın belirli bir öğe alt kümesi gerçekten kurtarılamazdır: tek kullanımlık anahtarla şifrelenmiş bir mesaj, güvenli silinmiş bir bölge, güçlü rastgele bir paroladan üretilmiş bir hash. Bunları kurtardım demek halüsinasyondur. Dürüst bir kurtarılamaz beyanı ise doğru bir bulgu kadar puan kazandırır. Böylece dürüstlük ve beceri aynı ölçekte değerlendirilir.

Güven kalibrasyonu: mahkeme mantığı

İyi bir bilirkişi, emin olmadığı bir bulguyu kesin gibi sunmaz. DFB bu disiplini ölçer: gönderimler her cevaba bir güven değeri ekleyebilir ve aşırı güvenli bir yanlış cevap ekstra ceza alır. Bu, halüsinasyonu doğrudan hedef alır ve özellikle yapay zeka adli ajanları için kritiktir.

Soundness neden şimdi önemli?

Otonom ajanlar saha çalışmasına girdikçe, kendinden emin uydurma gerçek bir risk haline gelir. Bir aracın hızlı ve etkileyici görünmesi yeterli değildir; savunulabilir olması gerekir. Soundness odaklı bir benchmark, bir kolaylık değil, güvenin ön koşuludur. DFB'nin nasıl çalıştığını bu yazıda ve akademik temelini metodoloji makalesinde bulabilirsiniz.

SSS

Soundness ile precision aynı şey mi? Kavramsal olarak yakındır. Soundness, precision mantığını adli bağlama taşır ve sahte delile kanma ile imkansızı kurtarma iddiasını yanlış pozitif olarak cezalandırır.

Düşük soundness'lı yüksek skor mümkün mü? Mümkündür ve tam da bu yüzden tehlikelidir. DFB bu iki ekseni ayrı gösterir.

İmkansız soruları nasıl bilirim? Bilmezsiniz. Analizle, bir öğenin kurtarmanın ötesinde olduğuna kendiniz karar verirsiniz.

Kaynaklar

• NIST SP 800-86, adli teknikler kılavuzu: https://csrc.nist.gov/publications/detail/sp/800-86/final
• Garfinkel, Digital Forensics Research: The Next 10 Years: https://www.sciencedirect.com/science/article/pii/S1742287610000368
• NIST CFTT: https://www.nist.gov/itl/ssd/software-quality-group/computer-forensics-tool-testing-program-cftt

Aracınızın gerçekten güvenilir olup olmadığını görün: Operasyon Gece Gölgesi vakasına girin.