Güvenlik / Security Makaleleri - Eski Donanımlar Bilgilerinizi Tehdit Ediyor

Eski sabit diskinizi satmak isterken, silindi sandığınız bilgileri de sattığınızın farkında mısınız?
Senelik geliriniz, aylık giderleriniz veya ödediğiniz vergiler... Tüm bunlar başkalarının bilmesini istemeyeceğiniz kadar özel bilgiler. Hepsi bu kadar da değil; kişisel sohbet kayıtlarınız, resimleriniz veya videolarınız da gizli tutulması gereken dosyalardan birkaçı. Ancak bütün bu veriler farkında olunmadan açık artırma siteleri üzerinden satışa çıkarılıyor. Her gün yüzlerce USB bellek, sabit disk, hafıza kartı ve cep telefonu internet üzerinde el değiştiriyor. Tüm bunların arasından en büyük tehlikeyi ise tabii ki sabit diskler oluşturuyor. Çünkü USB bellekte veya hafıza kartında kişisel bilgilerinizin bir kısmını tutabilirken, sabit diskiniz bu dosyaların asıl kaynağı.

Çoğu satıcı, sabit diskini satmadan önce içindeki herşeyi sildiğinden emin olur. Farkında olmadıkları noktaysa, "basit" yöntemlerle sildikleri dosyaların kolayca tekrar geri getirilebileceğidir. İnternette bulunabilen ve çoğu ücretsiz olarak dağıtılan kurtarma araçları ile bunu gerçekleştirmek gerçekten çocuk oyuncağı.

Biz de, bir açık artırma sitesinden satın aldığımız farklı donanımları (sabit diskler, USB bellekler, dijital kameralar, hafıza kartları ve cep telefonları) detaylı olarak inceledik. Sonuçlar gerçek anlamda şaşırtıcı oldu, çünkü donanımlarda birçok gizli sayılabilecek dosyanın izine rastladık. Tatil fotoğrafları, korsan yazılımlar, telefon rehberleri ve vergi işlemleriyle ilgili formlar bu dosyalardan sadece birkaçı. Kısacası, satıcılar önlem almadıkları için özel hayatlarına dair birçok veriye ulaşabildik.

Eski donanımlarınızı satıp paraya çevirmeden önce, verilerinizi gerçekten silip silmediğinizden emin olmalısınız. Sadece sabit diski veya belleği formatlamak (biçimlendirmek) maalesef yeterli değil. Yapmanız gereken eski verilerin üstüne yenilerini yazarak, eskilerin izini yok etmek. 200 GB'lık bir sabit diskte bu işlem saatler sürebilir, ama hiç kuşkusuz, bu zamanı ayırmak özel hayatınızı açık etmekten daha iyi bir çözüm olacaktır.

Kullanılmış USB belleklerin fiyatları oldukça uygun olduğu gibi veri kaynağı olarak da oldukça verimliler. Araçlarımız çoğu bellekte silinmiş dosyaları, örneğin MP3 dosyalarını ve korsan yazılımları bulmayı başardı. Satın aldığımız 128 MB kapasiteli bir USB bellekte teorik olarak her şey silinmişti. "Restoration" isimli küçük yazılım ile yaptığımız tarama sonunda 115 adet dosyanın izine rastladık. Bunlardan 41 tanesi kullanılmaz haldeken, diğerleri az hasar görmüş dosya kalıntılarıydı. Bulduklarımız arasında WinDVD 7 programının çalışır halde korsan bir kopyası da bulunuyordu. Ayrıca yine aynı USB bellekte bulduğumuz "keygen.exe" dosyası ile seri numarası oluşturup programı kurabildik.

Bir başka markanın 1 GB kapasiteli USB belleğindeki dosyalara ulaşmak daha zor oldu, çünkü sahibi belleği satmadan önce formatladığı için, Restoration RAW taraması yapamadı ve dolayısı ile bit kalıbına uygun silinmiş dosyaları ve veri sinyallerini bulamadı. Restoration normalde incelemelerini dosya tablosundaki dosya isimlerinden yola çıkarak yapıyor, ancak yeni formatlanan bir bellekte bu liste yok olduğu için araç görevini yapamıyor.

Bu yüzden ikinci bellekte daha özel bir araç olan "FormatRecovery"yi kullandık. FormatRecovery, Restoration'dan farklı olarak dosya isimlerini de tekrardan oluşturabiliyor. FormatRecovery belleği taradıktan sonra bütün dosyaları bir bir ortaya çıkarmayı başardı. Sonuç mu? Aerosmith'den Xavier Naidoo'ya kadar 170 şarkıdan oluşan geniş bir MP3 arşivine sahip olduk.

Sabit disk satıcıları güvenlik konusunda USB bellek satıcılarına göre daha hassaslar. Ancak buna rağmen, eski bir 80 GB Maxtor sabit diskte birçok dosyanın izine rastlamayı başardık. Diski IDE kablosuna bağladığımızda disk boş gözüküyordu, içerisinde hiçbir veri yoktu ve bölümler (partiton) bile ortadan kaldırılmıştı. Daha sonra "Test Disk" isimli araç ile yaptığımız taramada olayın iç yüzünün farklı olduğunu gördük. Araç, sabit diskte birincil bir başlangıç bölümü (partition) ve bir başka bölümdeyse üç mantıksal sürücü buldu. Çıkardığımız sonuca göre, bu sabit disk basit bir bölümle programı tarafından veya Windwos üzerinden boşaltılmış.

Test Disk, silinmiş sürücüleri "deleted" kelimesinden gelen "D" ile belirtiyor. Ancak sürücler "logical" ı simgeleyen "L" sembolü ile değiştirilebiliyor ve "Write" ile tekrar eski haline getirilebiliyor. Bilgisayarı baştan başlatınca, Maxtor sabit diskteki bölümlerin tekrar görülebilir hale geldiğini gördük, ama içindeki dosyalar hala görünmüyordu. Çünkü sabit diskin bir önceki sahibi diske format atmadan önce dosyaları elle de silmiş. Zekice bir davranış olsa da, bizi durdurmak için bu da yeterli olmadı. Çünkü şimdi de belleklerde yaptığımız gibi veri kurtarma araçları ile analiz yapıp, bulduğumuz dosyaları tekrar eski haline getirebildik. Bunu yaparken, sabit diski harici bir disk olarak bilgisayara tanıttık; yani birincil disk yapmadık ve üstüne Windows kurmadık. Eğer eski verilerin üzerine Windows kursaydık o verileri tamamen kaybedebilirdik.

Linux altında da (örneğin Knoppix) sabit diskteki eski dosyaların izini sürmek mümkün. Ancak Linux altında çalışan ücretsiz "Fatback" ve "NTFSundelete" gibi kurtarma araçlarının sadece komut satırlarıyla çalışıyor olması bir dezavantaj. Eğer çok fazla dosyayı onarıp eski haline getirmek istiyorsanız, bu iş komut satırlarıyla çok uzun sürecektir. Bu yüzden ücretli bir Linux yazılımını tercih etmeniz gerekiyor. Prosoft'un "Data Rescue" yazılımı da bunlardan birisi.

Yazılımın kullanımı oldukça kolay. Sadece kuruyorsunuz, bilgisayarı baştan başlatıyorsunuz ve aygıtı taratıyorsunuz. Data Rescue'nun diğer bir avantajı sizi sabit diskteki hatalara karşı uyarması. Bilgisayarı doğrudan düğmesine basarak kapatmak bazı verilerin kaybolmasına neden olabilir. Data Rescue, böyle bir durumda bütün diski imaj, yani kalıp olarak kopyalayabilir. Daha sonra imajdan dosyalar kurtarılıp eski haline getirilebiliyor. Aslında bu, veri kurtarma uzmanlarının kullandığı yöntemin de ta kendisi.

Data Rescue, tarama sonrasında bini aşkı eski dosyayı karşımıza getirmeyi başardı. Diskin bir bölümünde 6. His filminin korsan bir kopyasını bulduk, diğer bir imaj dosyasındaysa komple bir Windows kuruluydu. Kısacası sabit diski satın alınca, yanında hazır bir Windows'a ve 6. His filmine de sahip olmuş olduk.

Daha da ilginç olan, sabit diskin önceki sahibi hakkındaki bilgileri içeren dokümanlar. Kurtarma turumuz sırasında rastladıklarımız: Bölümlerden birinde "Backup" isimli bir klasör içinde birçok 2005 yılının vergi formlarını, matraflarını v.s göstern birçok PDF dökumanına ulaştık. Sizin de gördüğünüz gibi Maxtor sabit diskin eski sahibi oldukça dikkatsiz davranmış, çünkü kişisel bilgilerini ele geçirebildik.

"Eraser" gibi veri imha programlarından birini kullanarak bilgisayarınızdaki tüm verileri bir daha geri dönülmeyecek şekilde silebilirsiniz. Eraser, ilk olarak diskteki boş alanların üzerine anlamsız veriler yazıyor, çünkü bu alanlar eski verilerin izlerini taşıyan yerler. İkinci adımda hala diskte bulunan klasör ve dosylar siliniyor.

Bu nokta biraz sorunlu bir noktadır. Kamera belleği genellikle üst üste veri yazımına izin vermez. Eraser gibi veri imha edici araçlar bile çok seyrek olarak çalışırlar, çünkü kamerada Windows yüklü olmadığından belleğe erişim haklarını kaybederler. Her ne kadar dijital kameraların menülerinde bütün resimlerin silinmesine yarayan fonksiyonlar bulunsa da, bunun Windows'un basit silme özelliğinden bir farkı yok. Yani, siz silseniz de bütün fotoğraflar hala bellekte kayıtlıdır, sadece görünmezler. Nitekim satın aldığımız 16 MB dahili bellekli Nikon Coolpix L6'da yaptığımız aramada birçok dosyanın izine rastladık.

Kamerayı bilgisayara USB kablosu ile bağladıktan sonra, fotoğraf kurtarmada uzman bir açık kaynak yazılımı olan "Photorec" ile yaptığımız taramada karşımıza altı adet yüksek çözünürlüklü JPEG dosyası çıktı. Sizin için çok özel olan birkaç fotoğrafın yabancılar tarafından da görülmesi herhalde pek hoş bir durum olmayacaktır. Bizim bulduğumuz 6 adet fotoğrafın kötü niyetli insanların eline geçebileceği ihtimali de asla akıldan çıkartılmamalı.

Eski dijital kameralarda dahili bellek bulunmuyordu, görüntüler doğrudan bellek kartlarına kaydediliyordu. Bellek kartlarından silinen görüntüleri tekrar geri getirmekse çok kolaydır. Yapmanız gereken prensipte USB bellekte yapılanla aynıdır. Zaten kullanılan dosya sistemi de USB belleklerle aynı, yani FAT.

Yine bir açık artırma sitesinden satın aldığımız bellek kartında yaptığımız taramada, eski sahibi olan ailenin yaz tatilinde çekilmiş fotoğraflarını bulduk. 1 GB kapasiteli SD kartta, yaklaşık 104 adet fotoğrafın izine rastladık. Bunların bir kısmı TIF, bir kısmı JPEG formatındaydı ve hepsi de yüksek çözünürlüklü ve iyi kalitede çekilmişti. Ancak baştan belirtmekte yarar var, fotoğrafları geri getirmek sabır isteyen bir iş: Photorec'in bütün fotoğrafları onarması yaklaşık 1 saat sürdü. SD kart ile gerçekleştirdiğimiz bu deneme, tabii ki diğer bellek kartı modelleri için de aynen geçerli.

Bellek kartlarında, USB belleklerdeki gibi Eraser yazılımını kullarak resimleri, videoları ve diğer verileri karttan tamamen uzaklaştırabilirsiniz. Dijital kameranın dahili belleğini silmenin yolu ise, başta da belirttiğimiz gibi yok. Yapılacak en iyi şey, belleği kişisel olmayan, anlamsız resimlerle doldurmak.

Akıllı telefonlardaki kurtarma metodlarını satın aldığımız bir Nokia E61 üzerinden anlatacağız. Windows telefon veri transferi modundayken, Nokia E61'i otmatik olarak tanıyor ve sürücü gibi görüyor. Dolayısı ile bütün kurtarma araçlarını akıllı telefon üzerinde kullanabiliyorsunuz. Bu işlemin böylesine kolay olmasının nedeni, telefonun içinde Symbian OS işletim sisteminin çalışması ve FAT dosya sistemine izin vermesi. Bir kurtarma aracı akıllı telefonun dahili belleğini okumak için daha fazla ne isteyebilir ki?

Smartphone kategorisindeki diğer kurbanımız Sony Ericsson oldu. K750i modelini bilgisayara bağladık ve beraberinde gelen PC–Suite yazılımını çalıştırdık. PC Suite çalışıtığı sürece, herhangi bir Windows uygulamasından cep telefonuna gayet rahat ulaşabildik.

"PC Inspector File Recovery" isimli yazılım, telefondaki deniz kenarında çekilmiş ve sonra silinmiş fotoğrafları ve videoları kolayca buldu. Bütün görüntüler, genelde cep telefonlarının otomatik olarak görüntüleri kaydettiği "100 MSCDF" klasöründe yer alıyordu.

Windows'un sürücü olarak algılamadığı cep telefonlarında veri kurtarmak biraz zordur. Her cep telefonunda başka bir işletim sistemi bulunuyor, hatta üreticiler kendi içlerinde bile farklı modellere farklı işletim sistemleri yükleyebiliyor. Bu yüzden cep telefonlarındaki silinmiş verileri kurtarmaya yarayan özel bir kurtarma yazılımı ne yazıl ki yok.

Ancak bu noktada, verilerin kurtarılması için mahkeme ve adli tıp kurumuna ait bilgisayarlarda çalışan programlardan (Computer-Forensic gibi) bahsedilebilir. Bu programlar çok pahalı ve genelde soruşturma ofisleri ya da veri kurtarma labaratuarlarında hizmet veriyorlar. Bu alanda lider olan Kroll Ontrack (Ayrıntılı bilgi için: Paraben isimli şirketin (Ayrıntılı bilgi için: bir yazılımını kullanıyor. Kurtarma yazılım paketi "Paraben's Device Seizure Toolbox"un ücreti 800 dolar. Bu paket çoğu bilinen cep telefonu modeli için eklentiler sunuyor. Yazılım, silinmiş dosyaların izini cep telefonuna göre değişmekle birlikte "Physical Plugin" üzerinden sürüyor. Bunun için önce cep telefonu hafızasının çok detaylı bir imajını alıyor, daha sonra bir Hex-Editor yardımıyla bu imajı değerlendiriyor.

Akıllı telefonlar ve cep telefonları - IIICep telefonundaki verileri kurtarabilmek için önce telefonun USB sürücüsünü yüklemek gerekli, çünkü Device Seizure sadece kablo üzerinden çalışabilen bir yazılım, yani Bluetooth veya kızılötesi üzerinden çalışmıyor. Daha sonra oluşturacağınız bir "Case" ile programın tarama fonksiyonunu çalıştırabiliyorsunuz. Cep telefonuna erişimi destekleyen "Physical Plugin" destekli bu yazılım sayesinde, cep telefonundaki bütün verilere ulaşmak mümkün. Bu program ile kullanılmış bir Motorola E1000 cep telefonunda silinmiş kısa mesajları ve rehbere kayıtlı birçok telefon numarasını ortaya çıkartmayı başardık.

Cep telefonundaki verilerin başkaları tarafından ele geçirilmesinin önüne geçmek gerçekten zor. Hangi harici yazılım cep telefonun dahili belleğinin üzerine veri yazabilir ki? Şu an için bu işi yapacak Eraser'a benzer bir araç bulunmuyor. Tabii bunun yanında cep telefonlarındaki kayıp verilerin tekrar ortaya çıkarılmasına yarayan yazılımlar (Computer-Forensic gibi) çok yüksek fiyatlı olduğu için, telefonunuzu alan kişinin verilerinizi ele geçirmesi pek olası değil.

Yine de güvenliği elden bırakmamak için, cep telefonunuzu satacaksanız içindeki bütün verileri sildikten sonra telefonunuza anlamsız resimler, videolar yükleyerek eski verilerden kalan izleri silin. Böylece telefonu satın alan kişi, eski verilerinizi ele geçiremeyecektir.

Windows altında bir dosyayı sildiğinizde, onu Geri Dönüşüm Kutusu'na gönderirsiniz. Geri Dönüşüm Kutusu'nu boşalttığınızda, dosyayı tamamen sildiğinizi sanırsınız ama o hala ordadır, sadece siz göremiyorsunuzdur.

Basit durum: Windows Geri Dönüşüm Kutusu'ndaki bir dosyayı silince aşağıdakiler gerçekleşir:

1. XP, bölüm (partition) tablosun iki Byte'ını değiştirir: Bu dosya silindi.
2. Diğer bütün değerler, örneğin dosya ismi saklı kalır.
3. Bu yüzden kurtarma araçları bölüm tablosundan dosyanın hangi kümede (cluster) bulunduğunu öğrenir. Bu alan "Dataruns" olarak adlandırılır ve dosyanın kaç küme kapladığı, kaç parçadan oluştuğu ve hangi kümede başladığı hakkında bilgiler içerir. Bu bilgilerden yola çıkarak her kurtarma aracı dosyayı tekrar eski haline getirebilir.

Zor durum: Eğer Windows bölüm tablosundaki girişlerin üstüne başka bir veri yazdıysa veya sürücü formatlanırken bölüm tablosu silinmişse durum biraz daha karmaşıklaşır. Böyle durumlarda kurtarma aracı kendi dosya alanını taramak ve elde ettiği dosya kalıbıyla dosyanın neye benzediğini ve kaç kümeden oluştuğunu anlamak zorundadır. Her ne kadar karmaşık gibi gözükse de, bu çoğu zaman mümkündür. Bir JPEG dosyası için örnek verecek olursak: Gerçek resim dosyalarının başlığı "JFIF" ile başlar ve dosyalar "EOI" (End of Image) işaretiyle biter. Kurtarma aracı, bu tanıma uymayan dosyaları pas geçecektir.