SIM Kart Forenziği: 2026 Yılında SIM Kartlardan Veri Çıkarma

1. Giriş: SIM Kartlar Soruşturmalar İçin Neden Önemlidir?

Bir dedektifin şüpheliye ait bir telefona el koyduğunu düşünün. Telefon şifrelenmiş olabilir ve şüpheli iş birliği yapmayı reddedebilir. Bu durumda en etkili adımlardan biri SIM kartı çıkarıp ayrı bir analiz yapmaktır.

SIM kart; son aramalar, SMS mesajları, kişiler ve konum verileri gibi kritik kanıtlar içerebilir. 2026 yılında, eSIM teknolojisinin yaygınlaşmasına rağmen fiziksel SIM kartlar hala yoğun olarak kullanılmaktadır.

2. SIM Kart Nedir ve Hangi Verileri Saklar?

SIM (Subscriber Identity Module), bir aboneyi operatör ağında tanımlayan entegre devreye sahip bir mikroçiptir. Temel işlevleri kimlik doğrulama, veri saklama (rehber, SMS), güvenlik (şifreleme anahtarları) ve taşınabilirliktir.

Saklanan Veri Türleri:

• Kimlik Bilgileri: IMSI (Abone numarası), ICCID (SIM kart seri numarası), MSISDN (Telefon numarası), MCC/MNC (Ülke ve operatör kodları).
• Kullanıcı Verileri: Kişiler (ADN), SMS mesajları, arama geçmişi.
• Sistem Verileri: LAI (Son bilinen konum alanı), yasaklı ağlar, PIN/PUK kodları.

3. SIM Kartın Yapısı: Fizikten Dosya Sistemine

SIM kartlar işlemci, ROM, RAM ve verilerin saklandığı EEPROM (32KB-512KB) birimlerinden oluşur. Dosya sistemi hiyerarşiktir:

• MF (Master File): Kök dizin.
• DF (Dedicated Files): Alt dizinler (GSM, Telekom vb.).
• EF (Elementary Files): Veri dosyaları (ICCID, SMS vb.).

Erişim Koşulları:

• ALW: Her zaman erişilebilir.
• CHV1: PIN1 kodu gerektirir.
• ADM: Sadece operatör erişimi.
• NEV: Asla erişilemez.

4. Veri Çıkarma Yöntemleri

1. Mantıksal Veri Çıkarma (Logical Extraction): Standart ISO 7816-4 komutları kullanılarak verilerin “istenmesi” işlemidir. Hızlıdır ancak silinmiş verileri kurtaramaz.
2. Fiziksel Veri Çıkarma (Physical Extraction): Hafızanın bit-bit tam kopyasının (dump) alınmasıdır. Silinmiş verileri kurtarmaya olanak tanır ancak daha zordur.
3. Telefon Üzerinden Çıkarma: Telefonu bilgisayara bağlayıp AT komutları ile veri almaktır.
4. SIM Klonlama: Orijinal kartın kopyasını oluşturmaktır; adli bilişim süreçlerinde orijinali korumak için kullanılır.

5. 2026 Yılında SIM Kart Forenziği Araçları

• Cellebrite UFED: Endüstri standardıdır; fiziksel ve mantıksal çıkarma yapar.
• MOBILedit Forensic: Rehber, SMS ve arama analizi için uygun maliyetli bir çözümdür.
• SIMCon: Sadece SIM analizine odaklanan uzmanlaşmış bir araçtır.
• pySIM: Python tabanlı, açık kaynaklı bir kütüphanedir.

Kod Örneği (pySIM ile ICCID okuma):

from pySim.commands import SimCardCommands
from pySim.transport.pcsc import PcscSimLink

sl = PcscSimLink()
sc = SimCardCommands(transport=sl)
# ICCID okuma
iccid = sc.read_binary(['3F00', '2FE2'])
print(iccid)

6. Adım Adım Veri Çıkarma Rehberi

1. Hazırlık: Antistatik ekipman, SIM okuyucu ve gerekli yazılımları hazırlayın.
2. Belgeleme: Cihazın durumunu fotoğraflayın, IMEI ve model bilgilerini not edin.
3. Kartı Çıkarma: Cihazı kapatın ve SIM kartı dikkatlice çıkarın (kontaklara dokunmayın).
4. Bağlantı ve Okuma: Kartı okuyucuya takın ve yazılım üzerinden uygun kategorileri seçerek veri çıkarmayı başlatın.
5. Analiz: Çıkarılan rehber, SMS ve konum (LAI) verilerini inceleyin.

Gelişmiş Fiziksel Dump Alma Örneği (Python):

from pySim.commands import SimCardCommands
from pySim.transport.pcsc import PcscSimLink

# SIM'e bağlanma
sl = PcscSimLink()
sc = SimCardCommands(transport=sl)

# Tüm hafızayı okuma
memory_dump = []
for addr in range(0x0000, 0xFFFF):
    try:
        data = sc.read_binary([hex(addr)[2:]])
        memory_dump.append(data)
    except:
        pass

# Dump dosyasını kaydetme
with open('sim_dump.bin', 'wb') as f:
    f.write(b''.join(memory_dump))

7. Veri Türleri ve Adli Değeri

• ICCID: Kartı benzersiz şekilde tanımlar ve operatörle bağlantı kurmayı sağlar.
• IMSI: Abonenin ağdaki kimliğidir; arama detaylarını istemek için kullanılır.
• LAI (Location Area Identity): Son konum bilgisini verir (5-50 km hassasiyetle).
• Silinmiş Veriler: Fiziksel çıkarma ile “unallocated space” analizi yapılarak kurtarılabilir.

HxD üzerinde silinmiş SMS analizi örneği:

offset : 0x0400
Data: 00 00 00 00 48 65 6C 6C 6F ... ← Silinmiş SMS "Hello"

8. Farklı Nesil SIM Kartlar ve eSIM

• 2G/3G/4G/5G: Nesil ilerledikçe hafıza kapasitesi ve güvenlik artmaktadır.
• eSIM: Cihaza gömülü olduğundan fiziksel olarak çıkarılamaz; veriler cihaz hafızası analizi veya operatör talebi ile elde edilir.

9. Hukuki Boyut ve Kanıt Zinciri (Chain of Custody)

Kanıtın el konulmasından mahkemeye kadar olan sürecinin belgelenmesi esastır. Bu, kanıtın değiştirilmediğini kanıtlar.

Kanıt Zinciri Formu Örneği:

KANIT ZİNCİRİ
Dosya No: ___________
Kanıt No: _________
Açıklama: nano-SIM kart, ICCID 89701011234567890123
Tarih/Saat | İşlem | Gönderen | Alan | İmza
--||-|-|-
01.02.2026 | El Koyma | - | İvanov İ | ________

Adli Doğruluk (Forensic Soundness) için Hash Hesaplama:

# 1. Orijinal hash alma
sha256sum /dev/smartcard > sim_original.sha256
# 2. Dump oluşturma
dd if=/dev/smartcard of=sim_dump.bin bs=1
# 3. Dump hash alma
sha256sum sim_dump.bin > sim_dump.sha256

10. Sıkça Sorulan Sorular

• Silinmiş SMS kurtarılabilir mi? Evet, fiziksel çıkarma ile üzerine yazılmadıysa mümkündür.
• PIN kodu engeli nasıl aşılır? Profesyonel araçlar (Cellebrite vb.) özel komutlarla bunu aşabilir; asla deneme-yanılma yapmayın.
• SIM üzerinden konum belirlenebilir mi? Sadece LAI üzerinden yaklaşık bölge belirlenebilir.

Sonuç: En İyi Uygulamalar

2026’da SIM kart forenziği hala kritiktir. Başarılı bir analiz için mutlaka fiziksel ve mantıksal yöntemleri birleştirin, kanıt zincirine uyun ve her zaman verinin bir kopyası (dump) üzerinde çalışın.

Bu konuyu benimle özel mesaj yoluyla daha detaylı olarak görüşebilirsiniz. İletişim bilgilerim bu web sitesinin ilgili bölümünde yer almaktadır.