Mobil Cihaz Şifrelerinin Adli Bilişim Perspektifinden Kırılması ve Veri Çıkarma Yöntemleri

Mobil cihazlar, günümüz dünyasında bireylerin kişisel ve profesyonel yaşamlarına dair kapsamlı veriler barındırmaktadır. Bu durum, adli soruşturmalarda dijital delil elde etme süreçlerinde cep telefonu şifrelerinin kırılması ve içeriklerine erişilmesi ihtiyacını ortaya çıkarmaktadır. Ancak, modern mobil işletim sistemlerinin (iOS ve Android) gelişmiş güvenlik mimarileri, bu tür erişimleri son derece zorlu hale getirmektedir. Bu rapor, telefon şifrelerini kırmanın adli bilişim açısından mümkün olup olmadığını, kullanılan yöntemleri, karşılaşılan zorlukları, mevcut araçları ve Türkiye'deki yasal çerçeveyi detaylı bir şekilde incelemektedir.

Mobil Cihaz Şifreleme Teknolojileri ve Güvenlik Mekanizmaları

Akıllı telefonlar, kullanıcı verilerini yetkisiz erişime karşı korumak için çeşitli katmanlı güvenlik önlemleriyle donatılmıştır. Bu önlemler, donanım tabanlı güvenlik modüllerinden yazılımsal şifreleme algoritmalarına kadar geniş bir yelpazeyi kapsar.

Tam Disk Şifrelemesi (FDE) ve Dosya Tabanlı Şifreleme (FBE)

Modern akıllı telefonların büyük çoğunluğu, veri güvenliğini sağlamak amacıyla varsayılan olarak şifrelenmiş gelmektedir. Disk şifrelemesi, bir diskteki veya disk birimindeki her bir veri bitini şifrelemek için yazılım veya donanım kullanır. Bu teknoloji, verilerin yetkisiz kişiler veya süreçler tarafından kolayca çözülemeyecek bir koda dönüştürülerek korunmasını sağlar. Tam Disk Şifrelemesi (FDE), önyükleme kodunu içeren ana önyükleme kaydı (MBR) gibi alanlar hariç, diskin tamamının şifrelendiği anlamına gelir. Dosya tabanlı şifreleme (FBE) ise daha granüler bir kontrol sunarak her dosyanın ayrı ayrı şifrelenmesine olanak tanır.

Şifreleme, verilerin yetkisiz kullanıcılar tarafından okunamayacak şekilde karıştırılması işlemidir. Dosya şifreleme, bir dosyanın içeriğini çözülemez ve okunamaz bir biçime dönüştürerek çalışır. Bu dönüşüm, bir şifreleme algoritması ve kriptografik anahtarlar içerir. Algoritmada, verileri karıştırmak için ikame etme, kaydırma, değiştirme ve karıştırma gibi dosya içeriğinin permütasyonunu veya yeniden düzenlenmesini gerçekleştiren adımlar bulunur. Kriptografik anahtarlar, gerçekleştirilecek sırayı veya belirli işlemleri belirlemek için kullanılır, böylece tüm şifreleme işlemi bir dosyanın şifresini çözmek için tekrarlanabilir veya tersine çevrilebilir. Doğru parola/anahtar dosyaları veya doğru şifreleme anahtarları kullanılmadan şifreli bir birimde depolanan hiçbir veri okunamaz (şifresi çözülemez). Şifreli bir birim içindeki tüm dosya sistemi (dosya adları, klasör adları, dosya içerikleri ve diğer meta veriler dahil) şifrelenir. Bu, özellikle takas alanı ve geçici dosyalar gibi hassas verileri içerebilecek her şeyin şifrelendiği anlamına gelir.

Güvenli Donanım Bileşenleri (Secure Enclave ve TEE)

Mobil cihazların güvenlik mimarisinin temelini, hassas verileri ve kriptografik işlemleri koruyan özel donanım bileşenleri oluşturur.

Apple Secure Enclave

Secure Enclave, Apple'ın sistem yongası (SoC) üzerine entegre edilmiş özel ve güvenli bir alt sistemdir. Ana işlemciden izole edilmiştir ve Uygulama İşlemcisi çekirdeği tehlikeye atılsa bile hassas kullanıcı verilerini güvende tutmak için ek bir güvenlik katmanı sağlar. Secure Enclave İşlemcisi, Secure Enclave için ana işlem gücünü sağlar ve en güçlü izolasyonu sağlamak için yalnızca Secure Enclave kullanımına adanmıştır. A11 ve S4'ten başlayarak, Secure Enclave İşlemcisi, bellek korumalı bir motor, anti-replay yetenekli şifreli bellek, güvenli önyükleme, özel bir rastgele sayı üreteci (TRNG) ve kendi AES motorunu içerir.

Secure Enclave, cihazın DRAM belleğinin özel bir bölgesinden çalışır. Cihaz başladığında, Secure Enclave Önyükleme ROM'u, Bellek Koruma Motoru için rastgele, geçici bir bellek koruma anahtarı oluşturur. Secure Enclave, kendi özel bellek bölgesine her yazdığında, Bellek Koruma Motoru, bellek bloğunu AES ile Mac XEX (xor-encrypt-xor) modunda şifreler ve bellek için bir Şifre Tabanlı Mesaj Kimlik Doğrulama Kodu (CMAC) kimlik doğrulama etiketi hesaplar. Bellek okunduğunda, kimlik doğrulama etiketi doğrulanır; eşleşmezse, Bellek Koruma Motoru Secure Enclave'e bir hata sinyali verir. Bu işlem, Secure Enclave'e şeffaf bir şekilde gerçekleşir; Secure Enclave, belleği normal şifrelenmemiş DRAM gibi okur ve yazar, ancak Secure Enclave dışındaki bir gözlemci yalnızca belleğin şifrelenmiş ve kimliği doğrulanmış sürümünü görür.

Secure Enclave, her cihaz için benzersiz olan bir UID (Unique ID) kök kriptografik anahtarı içerir. Bu UID, üretim sırasında SoC'ye rastgele oluşturulur ve Apple veya tedarikçileri tarafından erişilemez veya depolanamaz. Secure Enclave, rastgele kriptografik anahtar, rastgele anahtar çekirdeği veya diğer entropi oluşturması gerektiğinde TRNG'yi kullanır. Bu mimari, parola değişikliği, biyometrik kimlik doğrulama (Optic ID, Face ID, Touch ID) etkinleştirme/devre dışı bırakma, Apple Pay kartı ekleme/kaldırma ve tüm içerik ve ayarları silme gibi hassas işlemlerin güvenliğini sağlar.

Android TrustZone (TEE)

Trusty, Android için Güvenilir Yürütme Ortamı (TEE) sağlayan güvenli bir İşletim Sistemidir (OS). Trusty OS, Android OS ile aynı işlemci üzerinde çalışır, ancak hem donanım hem de yazılım ile sistemin geri kalanından izole edilmiştir. Trusty ve Android paralel çalışır; Trusty, cihazın ana işlemcisinin ve belleğinin tam gücüne erişebilir, ancak tamamen izoledir. Bu izolasyon, onu kullanıcı tarafından yüklenen kötü amaçlı uygulamalardan ve Android'de keşfedilebilecek potansiyel güvenlik açıklarından korur. ARM sistemlerinde Trusty, ARM'ın TrustZone'unu kullanarak ana işlemciyi sanallaştırır ve güvenli bir TEE oluşturur. Intel x86 platformlarında da benzer destek Intel'in Sanallaştırma Teknolojisi kullanılarak sağlanır.

TEE, çalıştırılan kodun ve erişilen verinin gizlilik (hiç kimsenin verilere erişememesi) ve bütünlük (hiç kimsenin kodu ve davranışını değiştirememesi) açısından izole edildiği ve korunduğu bir ortamdır. TEE'ler, biyometrik kimlik doğrulama yöntemlerini (yüz tanıma, parmak izi sensörü, sesli yetkilendirme) uygulamak, biyometrik algoritmayı, kullanıcı kimlik bilgilerini ve ilgili verileri depolamak için cihaz içindeki kaynakları izole etmek için çok uygundur. Ayrıca mobil cüzdanlar, eşler arası ödemeler veya temassız ödemeler gibi mobil e-ticaret uygulamalarında kimlik bilgilerini ve hassas verileri depolamak ve yönetmek için kullanılabilirler. Samsung'un TEEGRIS'i, Qualcomm'un QSEE'si ve Huawei'nin iTrustee'si gibi farklı TEE uygulamaları bulunmaktadır.

Kaba Kuvvet (Brute-Force) Saldırılarına Karşı Korumalar

Telefon şifrelerini kırmak için yaygın bir yöntem olan kaba kuvvet (brute-force) saldırıları, her olası şifre kombinasyonunu denemeyi içerir. Ancak, modern mobil cihazlar bu tür saldırılara karşı güçlü koruma mekanizmalarına sahiptir.

iOS cihazlarda, geçersiz parola veya PIN girişinden sonra giderek artan gecikme süreleri uygulanır. Bu gecikmeler Secure Enclave tarafından uygulanır ve cihaz zamanlanmış bir gecikme sırasında yeniden başlatılsa bile sayaç geçerli süre için baştan başlatılır ve gecikme uygulanır. Örneğin, 3. yanlış denemede gecikme yokken, 4. denemede 1 dakika, 5. denemede 5 dakika, 9. denemede 8 saate kadar gecikme uygulanır. 10 veya daha fazla yanlış denemeden sonra cihaz devre dışı bırakılır ve bir Mac veya PC'ye bağlanması gerekir. Ek olarak, "Verileri Sil" seçeneği etkinleştirilirse (Ayarlar >, veya ve Parola), art arda 10 yanlış parola girişiminden sonra tüm içerik ve ayarlar depolamadan kaldırılır. Parola veya parola, cihazın UID'si ile ilişkilidir, bu nedenle kaba kuvvet denemeleri saldırıya uğrayan cihaz üzerinde yapılmalıdır. Her denemeyi daha yavaş hale getirmek için büyük bir yineleme sayısı kullanılır; bu, bir denemenin yaklaşık 80 milisaniye sürmesini sağlayacak şekilde kalibre edilmiştir.

Android cihazlar da benzer korumalar sunar. Kısa veya tahmin edilmesi kolay PIN'ler kaba kuvvet saldırılarına maruz kalabilirken, başarılı bir kaba kuvvet kimlik doğrulama girişimi için gereken süreyi doğrudan artırmak amacıyla cihaz kilit açma kodlarının uzunluğu, karmaşıklığı ve rastgeleliği artırılmalıdır. Yanlış kilit açma kodu girildiğinde giderek artan gecikmeler uygulayan mobil cihazların kullanılması, kaba kuvvet saldırılarının süresini uzatır. Ayrıca, cihazın belirli sayıda (örneğin 10) art arda başarısız kilit açma girişiminden sonra tüm cihaz verilerini silmek üzere yapılandırılması, başarılı bir kaba kuvvet saldırısı olasılığını azaltır. Araştırmalar, Android desen kilitlerinin video görüntüleri kullanılarak %95'in üzerinde başarı oranıyla kırılabileceğini göstermiştir, bu da karmaşık desenlerin bile beklenenden daha az koruma sağlayabileceğini ortaya koymaktadır.

Uçtan Uca Şifreleme (E2EE)

Uçtan uca şifreleme (End-to-End Encryption - E2EE), dijital iletişimde en yüksek düzeyde gizliliği sağlayan bir güvenlik protokolüdür. Bu protokol, iletişimde bulunan taraflar arasındaki verilerin, başlangıçtan hedefe ulaşana kadar her aşamada şifrelenerek korunmasını sağlar. WhatsApp gibi mesajlaşma uygulamalarında yerleşik olarak bulunan bu özellik, mesajların, fotoğrafların, videoların, sesli mesajların, belgelerin, canlı konumun, durum güncellemelerinin ve aramaların yanlış kişilerin eline geçmesini engeller.

E2EE'nin çalışma prensibi, iletişimde bulunan her iki tarafın özel bir anahtar çiftine (biri açık anahtar, diğeri özel anahtar) sahip olmasına dayanır. Bu sayede, araya giren herhangi bir üçüncü tarafın mesajları görmesi veya içeriğini değiştirmesi engellenir, böylece iletişimin gizliliği ve güvenliği sağlanır. Bu teknoloji, veri bütünlüğünü korur ve kişisel verilerin korunmasıyla ilgili yasal düzenlemelere (örneğin GDPR) uyum sağlamak için önemli bir araçtır.

Ancak, E2EE, kolluk kuvvetlerinin yasal yollarla dahi belirli verilere erişimini engellediği için "delil geçirmez şifreleme" olarak da adlandırılan önemli bir tartışma konusudur. Hükümetler ve kolluk kuvvetleri, terörle mücadele ve çocuk istismarı gibi ciddi suçların soruşturulmasında şifreli verilere erişim ihtiyacını dile getirirken, teknoloji şirketleri ve gizlilik savunucuları, "arka kapı" (backdoor) oluşturmanın tüm kullanıcıların güvenliğini tehlikeye atacağını ve tehlikeli bir emsal teşkil edeceğini savunmaktadır. FBI, şifrelemeye karşı olmadığını, ancak sağlayıcıların yasal bir emirle şifresi çözülmüş içerik sağlayabileceği "sorumlu bir şekilde yönetilen şifrelemeyi" desteklediğini belirtmektedir. Apple gibi şirketler ise hükümetlerin şifreli verilere erişim taleplerine karşı çıkarak, bu tür bir "arka kapının" siber sömürü için ciddi bir güvenlik açığı yaratacağını ve uluslararası anlaşmaları ihlal edebileceğini belirtmişlerdir. Bu durum, kişisel gizlilik ile ulusal güvenlik arasındaki ilişkinin sürekli bir gerilim alanı olduğunu göstermektedir.

Adli Bilişimde Telefon Şifresi Kırma ve Veri Çıkarma Yöntemleri

Adli bilişim incelemesi, elektronik olarak depolanan verilerin adli olaylarda delil olarak kullanılabilmesi için analiz edilmesine denir. Cep telefonu adli bilişim incelemesi de aynı şekilde cep telefonu ve akıllı telefonların içeriklerinde bulunan verilerin, içeriklere ve cihazlara zarar vermeden, veri bütünlüğünü bozmadan analiz edilerek mahkemelerde delil olarak kullanılmasını sağlamak için raporlaştırılması işlemidir.

Adli Bilişim İnceleme Süreci

Adli bilişim incelemesi dört ana yöntemden oluşan bir süreçtir: Tanımlama, İnceleme, Analiz ve Raporlama. Bu süreçte toplanan veri kaynaklarının birebir kopyalarının alınması ve konuyla ilgili araştırmanın bu kopyalar üzerinde yapılması esastır. Dijital delilin toplanması ve muhafaza edilmesi aşaması, delil bütünlüğünün sağlanması açısından kritik öneme sahiptir. Bu aşamada delilin zarar görmesi veya yok olması oldukça muhtemel olduğundan, işi bilen bir adli bilişim uzmanının delil elde etme işlemini sürdürmesi gerekmektedir.

Veri Çıkarma Teknikleri

Mobil cihazlardan veri çıkarma teknikleri üç ana kategoriye ayrılabilir: manuel, mantıksal ve fiziksel veri çıkarma.

Mantıksal Veri Çıkarma

Mantıksal veri çıkarma teknikleri, dosya sistemine erişerek cihazda bulunan verilere ulaşır. Bu yöntemler, genellikle cihazın işletim sistemi üzerinden erişilebilen verileri (adres defteri, arama kaydı, SMS, fotoğraf dosyaları, video/ses dosyaları, internet geçmişi, takvim, hatırlatıcılar vb.) içerir. Mantıksal teknikler genellikle Root erişimi gerektirmez, ancak Root erişimi, elde edilebilecek veri miktarını ve türünü önemli ölçüde etkiler. En çok kullanılan yöntemlerden biri ADB pull komutları kullanmaktır. Mantıksal veri modelleri, iş etkinliklerini ve bu etkinlikler için gerekli olan bilgi veya veriyi tasvir eder; iş akışlarını teknik olarak yapılandırılmış bir şekilde görselleştirmeye yarar.

Fiziksel Veri Çıkarma

Fiziksel veri çıkarma, mantıksal çıkarmadan daha karmaşık bir yöntemdir ancak daha fazla sonuç verir. Özellikle mobil cihazlardaki gizli veya silinmiş bilgileri kurtarmak için kullanışlıdır. Bu yöntem, telefonun depolama cihazının (flaş bellek) düşük seviyeli, bit-bit kopyasını üretir. Fiziksel çıkarma, cihazın İşletim Sistemini (OS) atlayarak, cihaz açıldığında ilk başlayan önyükleyici (Bootloader) aşamasında gerçekleştirilir. Önyükleyiciler kullanılarak, sistem kilitleri ve parolalar atlanarak silinmiş parolalar, dosyalar, fotoğraflar, videolar, metin mesajları, arama kayıtları, GPS etiketleri ve diğer kanıtlar çıkarılabilir. Fiziksel çıkarma tamamlandıktan sonra, incelemeye dair herhangi bir iz kalmaz ve veriler adli olarak sağlam kalır.

Gelişmiş fiziksel veri çıkarma yöntemleri şunları içerir:

• JTAG (Joint Test Action Group): Bu yöntemde, cihazın Test Erişim Portları (TAP'lar) CPU'ya erişmek için kullanılır. TAP'lar belirlenir, kablo uçları uygun bağlantı pimlerine lehimlenir veya JTAG jigleri/adaptörleri kullanılır. Güç uygulandıktan sonra NAND flaşın tam bir ikili bellek dökümü çıkarılabilir ve ham bir

  .bin dosyası oluşturulur. Bu teknikler genellikle uygulanması zor ve büyük hassasiyet ve deneyim gerektiren yöntemlerdir.

• Chip-off: Bu, verileri ayıklamak için flaş çiplerin cihazdan fiziksel olarak çıkarıldığı bir veri çıkarma türüdür. NAND flaş çiplerinin cihazdan çıkarıldığı ve veri elde etmek için incelendiği bir yöntemdir. JTAG gibi, bu da büyük hassasiyet ve deneyim gerektirir.

• Rooting/Jailbreaking: Bu yöntemler, cihaz üzerinde tam yetki (root erişimi) elde etmeyi sağlar. Root erişimi, araştırmacının cihazdaki tüm dosyalara erişmesini ve dizin yapısını koruyarak kritik bilgilere ulaşmasını sağlar.

Profesyonel Adli Bilişim Araçları

Adli bilişim uzmanları, mobil cihazlardan veri çıkarmak ve analiz etmek için özel yazılımlar ve donanımlar kullanır.

• Cellebrite UFED: İsrailli Cellebrite firması tarafından geliştirilen UFED, kolluk kuvvetleri tarafından mobil cihazlardan veri çıkarma ve analizi için yaygın olarak kullanılan bir ürün serisidir. Geniş mobil cihaz desteği sayesinde, hem kolluk kuvvetleri hem de özel adli bilişim laboratuvarları tarafından tercih edilir. UFED, Android ve iOS cihazlarda genişletilmiş SoC (System on Chip) ve iOS sürüm desteği sunar. Özellikle A7-A11 çipsetli (iPhone 5S'ten iPhone X'e kadar) ve iOS 12.3 – 15.8.1 aralığındaki Apple cihazlar için Checkm8 yöntemiyle tam dosya sistemi erişimi sağlamaktadır. Ayrıca Samsung S22 Exynos, Huawei Kirin 620-9000, MediaTek Dimensity 8100-9300 ve Qualcomm Snapdragon gibi birçok Android çipsetini destekler. UFED Physical Analyzer uygulaması, alınan imaj dosyaları üzerinde adli analiz yapılmasına olanak tanır.

• GrayKey: GrayKey, kolluk kuvvetleri tarafından akıllı telefonların kilidini açmak ve soruşturmalar için veri çıkarmak amacıyla kullanılan bir adli bilişim aracıdır. Metin mesajlarından fotoğraflara, uygulama verilerinden meta verilere kadar zengin bilgi alabilir. Hem iOS hem de Android cihazları destekler. GrayKey'in "Anında Kilidi Açma" özelliği, kaba kuvvetin desteklenip desteklenmediğine bakılmaksızın telefonların kilidini anında açmayı sağlar. Ayrıca "Before First Unlock" (BFU) ve "After First Unlock" (AFU) durumlarındaki cihazlardan da veri çıkarabilir. GrayKey, yazılım güvenlik açıklarını kullanarak güvenlik özelliklerini aşar. Ancak, iOS 18 ve üzeri gibi yeni iOS sürümlerinde ve Android'in parçalı ekosistemindeki (örneğin Pixel cihazlarda AFU durumu gerekliliği) gelişmiş güvenlik özellikleri önemli zorluklar yaratmaktadır. Apple, USB Kısıtlı Modu ve otomatik yeniden başlatmalar gibi güvenlik güncellemeleriyle GrayKey gibi araçlara karşı sürekli olarak sistemlerini güçlendirmektedir.

• Diğer Araçlar: X-Ways Forensics, çeşitli dijital unsurlarla etkileşimde bulunmaya olanak tanıyan bir araçtır. Magnet AXIOM, GrayKey ile entegre olarak mobil veri kaynaklarından kanıt tespiti ve analizi sağlar, silinen veriler dahil mümkün olan en fazla mobil kanıtı elde etmeye imkan tanır. HELIX3 ise canlı CD tabanlı bir dijital adli bilişim paketi olup kullanıcı hesapları, ağ yapılandırması, fiziksel bellek, Windows kayıt defteri, sohbet kayıtları, ekran görüntüleri, tarayıcı geçmişi gibi birçok bilgiyi çekmeye yarar.

Zorluklar ve Sınırlamalar

Telefon şifresi kırma ve veri çıkarma süreçleri, birçok teknik ve operasyonel zorlukla karşı karşıyadır:

• Gelişen Güvenlik Önlemleri: Mobil cihaz üreticileri, güvenlik özelliklerini sürekli olarak geliştirmekte ve adli bilişim araçlarının kullandığı güvenlik açıklarını kapatmaktadır. Bu durum, "kedi fare oyunu" olarak adlandırılan sürekli bir mücadeleyi beraberinde getirir. Yeni iOS sürümlerinde (örn. iOS 18), GrayKey gibi araçlar kısmi erişimle veya hiç erişim sağlayamayarak zorlanmaktadır.

• Şifreli Uygulamalar ve Meta Veri Silme: Suçlular tarafından kendilerini gizlemek amacıyla kullanılan Mappr (konum verilerini değiştirme), Cryptophone (şifreli aramalar), Telegram (şifreli mesajlaşma), Wickr (kendi kendini imha eden mesajlar, meta veri silme) ve SSE Universal Encryption (metin, dosya şifreleme ve güvenli silme) gibi uygulamalar, adli incelemeyi daha da zorlaştırmaktadır.

• Cihaz Durumu (AFU/BFU): Cihazın "İlk Kilit Açıldıktan Sonra" (AFU) veya "İlk Kilit Açılmadan Önce" (BFU) gibi farklı durumları, adli araçların erişebileceği veri miktarını etkiler. Özellikle AFU durumu, bazı cihazlarda tam erişim için kritik bir ön koşul olabilir.

• Fiziksel Müdahale Gerektiren Yöntemlerin Zorluğu: JTAG ve Chip-off gibi fiziksel veri çıkarma teknikleri, cihaz üzerinde hassas donanımsal müdahaleler gerektirir. Bu yöntemler, yüksek düzeyde uzmanlık, özel ekipman ve büyük bir dikkat gerektirir; yanlış bir uygulama cihazın kullanılamaz hale gelmesine veya delillerin bozulmasına neden olabilir.

Yasal ve Etik Boyutlar (Türkiye Perspektifi)

Türkiye'de mobil cihazlar üzerinde adli inceleme yapılması, belirli yasal süreçlere ve şartlara tabidir. Bu süreçler, delillerin hukuka uygunluğunu ve geçerliliğini sağlamak açısından hayati öneme sahiptir.

Arama ve El Koyma Kararı

Ceza Muhakemesi Kanunu'nun (CMK) 134. maddesi uyarınca, bir suç soruşturmasında somut delillere dayanan kuvvetli şüphe varsa ve başka yollarla delil elde etme imkanı yoksa, hakim ya da gecikmesinde sakınca bulunan durumlarda Cumhuriyet savcısı, şüphelinin kullandığı bilgisayar ve bilgisayar kütüklerinde arama yapılmasına karar verebilir. Telefonlar da bilgisayar niteliğinde kabul edildiği için bu kural geçerlidir.

Önemle belirtmek gerekir ki, kolluk amiri telefon araması ve incelemesi için emir ve talimat veremez. Arama kararı olmadan yapılan inceleme ve aramalardan elde edilen deliller hukuka aykırı sayılır ve hükme esas alınamaz. Yargıtay kararları da bu durumu desteklemekte olup, şüphelinin rızası bulunsa dahi hakim kararı olmaksızın telefonun incelenip, içeriğindeki mesaj ve benzeri bilgilerin kayıt altına alınamayacağını vurgulamaktadır. Arama kararında, aramanın nedenini oluşturan fiil, aranılacak kişi, aramanın yapılacağı yerin adresi veya eşya ve karar veya emrin geçerli olacağı zaman süresi açıkça belirtilmelidir. Ayrıca, ev ya da iş yerindeki tüm bilgisayarların aranması hukuka uygun değildir; suç şüphesi olan bilgisayar özelleştirilmeli ve arama bu bilgisayara yoğunlaşmalıdır.

Delil Bütünlüğü ve Zinciri

Dijital delillerin ceza yargılamasında kullanılabilmesi, veri bütünlüğünün korunmuş olmasına bağlıdır. Elektronik delilin bütünlüğünün bozulması, onun geçerliliğini olumsuz etkiler ve ispat fonksiyonunu ortadan kaldırabilir. Bu nedenle, delilin elde edildiği andan itibaren delil takip formuna yapılan işlemlerin işlenmesi işlemine "delil zinciri" veya "koruma zinciri" denilmektedir. Koruma zinciri, hem dijital delil hem de dijital delilin bulunduğu bilişim cihazıyla ilişkili bir kavramdır.

Dijital delil toplama ve muhafaza aşamasında uyulması gereken temel ilkeler şunlardır:

• Uzmanlık: Delil kaybına neden olmaksızın (veya mümkün olan en az kayıpla) elektronik delili toplayabilmek için adli bilişim uzmanının delil elde etme işlemini sürdürmesi gerekmektedir.

• Belgeleme: Elektronik delilin elde edilmesiyle ilgili tüm işlemler belgelenmeli (tutanağa bağlanmalı) ve yeni bir inceleme için kullanılabilir halde korunmalıdır. Tutanaklar, kovuşturma aşamasında delile yöneltilen itirazlar karşısında tarafsız uzman bilirkişi raporu alınmasında kolaylık sağlar.

• Kopyalama: İnceleme, orijinal delil üzerinde değil, alınan birebir kopyalar üzerinde yapılmalıdır. Disk seviyesinde yapılan kopyalama ile orijinal diskin birebir kopyası alınabilir, bu da silinmiş veya kısmen silinmiş dosyaların kurtarılmasına olanak tanır.

• Cihaz Durumu: Olay yerinde bulunan ve delil olarak değerlendirilmesi muhtemel kapalı bilişim sistemlerinin açılmaması gerekmektedir.

Uzman Mütalaası ve Bilirkişi Raporu

Adli olaylarda dosyada bulunan dijital verilerin incelenmesi için mahkeme kararı genellikle gereklidir. Ancak, mahkeme dosyasına delil olarak girmemiş ve taraflardan birisinin delil olarak girmesini istediği durumlarda, alanında uzman bilirkişi tarafından düzenlenecek ve tüm adli bilişim şartlarının sağlanmasıyla oluşturulacak adli bilirkişi raporlarında mahkeme kararları aranmamaktadır. Uzman bilirkişinin dijital veri üzerinde yapacağı inceleme uluslararası düzeyde kullanılan programlarla yapılacağından, verinin delil olarak kabulü için gereken tüm bilgileri (zaman/tarih/kişi vb.) içerecektir.

Gizlilik ve Güvenlik Dengesi

Telefon şifrelerinin kırılması ve verilere erişim, bireysel gizlilik hakları ile kamu güvenliği ve suçla mücadele arasındaki hassas dengeyi gündeme getirmektedir. Kolluk kuvvetleri, şifreli iletişimin suçlular tarafından kullanılması nedeniyle "yasal erişim" ihtiyacını vurgularken , teknoloji şirketleri ve sivil toplum kuruluşları, "arka kapı" oluşturma taleplerinin tüm kullanıcıların güvenliğini tehlikeye atacağını ve temel gizlilik haklarını ihlal edeceğini savunmaktadır. Bu tartışma, teknolojinin ilerlemesiyle birlikte sürekli evrilen, karmaşık bir hukuki ve etik alanı temsil etmektedir.

Sonuç ve Değerlendirme

Telefon şifrelerini kırmak, adli bilişimsel olarak mümkün olmakla birlikte, bu süreç cihazın modeli, işletim sistemi sürümü, uygulanan güvenlik mekanizmaları ve kullanılan adli bilişim araçlarına bağlı olarak büyük ölçüde karmaşıklık göstermektedir. Modern mobil cihazların tam disk şifrelemesi, Secure Enclave ve TEE gibi donanımsal güvenlik modülleri ve kaba kuvvet saldırılarına karşı artan gecikme süreleri gibi korumaları, yetkisiz erişimi son derece zorlaştırmaktadır. Özellikle uçtan uca şifreleme kullanan uygulamalar, verilerin sadece gönderici ve alıcı tarafından okunabilmesini sağlayarak, üçüncü tarafların erişimini engellemektedir.

Adli bilişim uzmanları, bu zorluklara rağmen Cellebrite UFED ve GrayKey gibi gelişmiş profesyonel araçlar ve mantıksal, fiziksel (JTAG, Chip-off) veri çıkarma tekniklerini kullanarak şifreli cihazlardan veri elde etmeye çalışmaktadır. Ancak, bu alandaki gelişmeler sürekli bir "kedi fare oyunu" şeklinde ilerlemekte, cihaz üreticileri güvenlik önlemlerini artırırken, adli bilişim araçları yeni yöntemler geliştirmektedir.

Türkiye'deki yasal mevzuat, mobil cihazlar üzerinde yapılacak adli incelemeler için hakim kararı veya Cumhuriyet savcısının yazılı emri gibi sıkı şartlar öngörmektedir. Delil bütünlüğünün ve koruma zincirinin sağlanması, elde edilen dijital delillerin hukuken geçerli sayılması için kritik öneme sahiptir. Bu nedenle, telefon şifresi kırma ve veri çıkarma işlemleri, yalnızca yetkili adli bilişim uzmanları tarafından, belirlenmiş yasal çerçeve ve metodolojilere uygun olarak gerçekleştirilmelidir. Bireysel gizlilik ile kamu güvenliği arasındaki denge, bu alandaki teknolojik ve hukuki tartışmaların merkezinde yer almaya devam edecektir.

İPHONE 16 ŞİFRESİNİ KIRMAK MÜMKÜN MÜDÜR?

iPhone 16'nın ekran kilidi şifresini adli bilişim açısından kırmak, oldukça zorlu bir süreçtir. Apple'ın sürekli gelişen güvenlik mimarisi, bu tür girişimlere karşı güçlü korumalar sunar.

İşte iPhone 16 özelinde bu konudaki detaylar:

1. iPhone 16'nın Güvenlik Mimarisi:

   • A18 Çip ve Secure Enclave: iPhone 16 ve iPhone 16 Plus modelleri, Apple Intelligence için tasarlanmış yeni A18 çipiyle birlikte gelir. iPhone 16 Pro modellerinin ise A18 Pro çipini kullanması beklenmektedir. Tüm modern iPhone'larda olduğu gibi, iPhone 16 da Secure Enclave adı verilen özel bir güvenli alt sisteme sahiptir. Bu donanım bileşeni, ana işlemciden izole edilmiştir ve şifre doğrulama, Face ID ve Touch ID gibi hassas kullanıcı verilerini ve kriptografik işlemleri korur. Secure Enclave, kriptografik anahtarların cihaz dışına çıkarılmasını veya manipülasyonlarla erişilmesini son derece zorlaştırır.   

     
     

   • Artan Gecikme Süreleri ve Veri Silme: iPhone'lar, yanlış şifre girişlerinden sonra giderek artan gecikme süreleri uygular. Bu gecikmeler Secure Enclave tarafından yönetilir ve cihaz yeniden başlatılsa bile devam eder. Örneğin, 10 veya daha fazla yanlış denemeden sonra cihaz devre dışı bırakılır ve bir Mac veya PC'ye bağlanması gerekir. Ayrıca, "Verileri Sil" seçeneği etkinleştirilirse (Ayarlar > Face ID & Parola), 10 ardışık yanlış parola girişiminden sonra tüm içerik ve ayarlar depolamadan kaldırılır. Bu mekanizmalar, kaba kuvvet (brute-force) saldırılarını pratik olarak imkansız hale getirir.   

     
     

   • Mühürlü Anahtar Koruması (SKP): Apple cihazları, kriptografik materyalin cihaz dışında kullanılamamasını veya işletim sistemi sürümü ya da güvenlik ayarları yetkisizce değiştirilirse kullanılamaz hale gelmesini sağlayan Sealed Key Protection (SKP) teknolojisini destekler. Bu, şifreleme anahtarlarına ek bir koruma katmanı sağlar.

   • Çalınan Cihaz Koruması (iOS 17.3 ve Üzeri): iOS 17.3 ile tanıtılan bu özellik, bir bilgisayarla güvenilir eşleştirme gibi hassas işlemler için şifreye ek olarak biyometrik kimlik doğrulama (Face ID veya Touch ID) gerektirir. Bu, cihaz sahibinin fiziksel olarak bulunmadığı durumlarda mantıksal veri çıkarma girişimlerini büyük ölçüde engeller.

   • Otomatik Yeniden Başlatmalar (iOS 18 ve Üzeri): iOS 18 ve sonraki sürümler, cihazların uzun süre kilitli kalması durumunda otomatik olarak yeniden başlatılmasını sağlayan yeni bir güvenlik koruması içerir. Bu, fiziksel arayüzler üzerinden yapılabilecek saldırılar için zaman penceresini daha da daraltır.

2. Adli Bilişim Araçlarının Durumu:

   • Cellebrite UFED: Cellebrite UFED, mobil cihazlardan veri çıkarma ve analizi için yaygın olarak kullanılan bir araçtır. Ancak, sızdırılan belgelere göre Cellebrite'ın iOS 17.4 ve üzeri sürümlerde çalışan iPhone'ların kilidini güvenilir bir şekilde açamadığı ve bu cihazlar için "Araştırma Aşamasında" olduğu belirtilmektedir. iPhone 16'nın iOS 18 ile piyasaya sürülmesi göz önüne alındığında, Cellebrite'ın bu cihazlar üzerindeki yetenekleri sınırlı olacaktır. Mevcut bilgilere göre, Cellebrite'ın en son iOS sürümlerinde (iPhone XR ve XS'ten daha eski cihazlar hariç) herhangi bir açık (exploit) bulunmamaktadır.   

     
     

   • GrayKey: GrayKey, en yeni iOS ve Android cihazlara "aynı gün erişim" sağladığını iddia etse de, sızdırılan belgeler iOS 18 ve iOS 18.0.1 çalıştıran iPhone'larda zorlandığını göstermektedir. Bu cihazlarda genellikle yalnızca "kısmi erişim" (şifrelenmemiş dosyalar, meta veriler ve klasör yapıları) sağlanabilmekte, şifreli içeriğe erişilememektedir. iOS 18.1 beta sürümleri ise tamamen erişilemez durumdadır. Apple, USB Kısıtlı Modu ve otomatik yeniden başlatmalar gibi güvenlik güncellemeleriyle GrayKey gibi araçlara karşı sistemlerini sürekli olarak güçlendirmektedir, bu da bir "kedi fare oyunu"na yol açmaktadır.   

     
     

Sonuç olarak, iPhone 16'nın gelişmiş donanım (A18 çip, Secure Enclave) ve yazılım (iOS 18) güvenlik özellikleri, ekran kilidi şifresinin adli bilişim araçları kullanılarak kırılmasını son derece zorlaştırmaktadır. Apple'ın sürekli güvenlik güncellemeleri, bu tür girişimleri giderek daha karmaşık ve başarısız hale getirmektedir. Adli bilişim uzmanları, bu tür cihazlardan veri elde etmek için sürekli yeni yöntemler geliştirmeye çalışsa da, Apple'ın güvenlik önlemleri genellikle bir adım önde seyretmektedir.