'Wipe(Kalıcı silme=Data üzerine data yazma)' işleminden sonra veri kurtarılabilir mi?

       

EN KISA ŞEKİLDE CEVAP VERECEK OLURSAK;  
MEVCUT DATA ÜZERİNE DATA KAYDEDİLMESİ SONUCUNDA YOK OLAN ESKİ DATA KURTARILAMAZ.

Hard disk veya benzer nitelikteki başka bir dijital ortama kaydedilen data, disk yüzeyindeki minik manyetik alanlara kaydedilir. Diskteki bu manyetik alanlar, fizisel durumları itibariyle 2 farklı durumda bulunabilir. Diğer bir deyişle, bu manyetik alanlar, 0 veya 1 olarak bilinen iki farklı durumu temsil edebilir. İşte bu manyetik alanların, temsil ettikleri durumları, değişmeden aynı kaldığı sürece o durumun temsil ettiği bilgi de bozulmadan aynen kalmış olur. Ancak eğer ki bu manyetik alanların durumları değişirse, örneğin 1 durumundan çıkarılıp 0 durumuna geçirilirse, değişen manyetik alanın önceki manyetik durumunun ne  olduğu, veri kurtarma programlarıyla bilinemez.  Bu nedenle, işte bu manyetik alanların durumunun değişmesi demek olan "yeni veri yazma' işleminden sonra, kurtarma programlarıyla veri kurtarmak mümkün olmaz. 

Bir alanı tamamıyla veriyle doldurma demek olan wipe işlemini yapan bir yazılım, o alandaki data yazılabilecek tüm manyetik alanlara erişir ve o alanların tümüne data kaydeder(yani o alanların önceki manyetik durumunu değiştirir) ve önceki manyetik durumun iyice belirsiz hale gelmiş olduğundan emin olmak için her bir manyetik alan üzerinden bir çok kez geçer. Bu işlemler sonucunda data yazılan alanların, data yazılmadan önceki manyetik durumlarının ne olduğu anlaşılmayacak şekilde değiştirilmiş olur. Diğer bir ifadeyle, artık eski data güvenli şekilde yok edilmiş olur.

Gerçek bir wipe'dan bahsedebilmek için, wipe işlemini yapan programın diskin gerçekten bütün bölümlerine erişip oralara data yazabilen bir program olduğundan emin olmak gerekir. Aksi takdirde, wipe işlemi yapılmış olmayacaktır.  

İnternette, wipe(kalıcı silme) yaptığını belirten bir çok program, gerçekte diskin tüm bölümlerine erişip data yazamamamaktadır yani gerçekte wipe işlemi yapmamaktadır. Günümüz teknolojisiyle, milyonlarca disk sektörüne bir kaç dakikada data yazılması zaten mümkün değildir. Ortalama kapasitedeki bir hard diskin 'wipe' edilmesi bile saatlerce sürer.  Bu nedenle, kısa sürede wipe işlemini bitiren yazılımların aslında 'wipe' değil, sadece normal dosya silme işlemi yaptığından emin olabilirsiniz. 

Wipe dışında, normal şekilde silinmiş olan dosyalar üzerine başka data yazılması sonrasında, eski dosya üzerine yazılan yeni dosya, eski dosyaya tahsis edilmiş olan alanı tam olarak dolduramayabilir. 

Örnek olarak 100 KB'lık bir dosya hard diskte kaydedilirken 50 KB'lık 2 adet manyetik alana(sektöre) kaydedilmiş olsun. Daha sonra bu dosya silinsin. Hard diske yeniden 60 KB'lık bir dosya kaydedilmek istendiğinde, bilgisayar 50 KB'lık bu 2 adet manyetik kısmı yeni dosyaya tahsis edecektir. Ancak, yeni dosya bu 2 kısma yazıldığında, 100 KB'lık eski dosyanın datasının tamamının 'üzerine yazmış' olmayacağından, önceki dosyadan geriye kalan bir kısım söz konusu olacaktır. İşte yeni dosya tarafından doldurulamayan bu alanda(artık alan) eski dosyaya ait bazı bilgiler bulunabilir. Herhangi bir veri kurtarma yazılımıyla da, bu verilere ulaşılabilir ancak bu işlem wipe edilmiş datanın kurtarılması değildir, çünkü o kısımlar zaten wipe edilmemiştir.

Diğer yandan, kullanıcının 'delete(silme)' tuşuna basarak veya shift+del tuşlarına basarak sildiği eski bir dosyanın diskteki data alanı, artık ihtiyaç olduğunda kullanılabilecek bir alan haline gelir ve doğal olarak bu kısımlara yeni gelen dosyaların dataları yazılabilir. Buna bağlı olarak, kullanıcılar internetten indirdikleri veri kurtarma programlarıyla diski taratarak, bazen eskiden üzerine yazdıklarını bildikleri bir dosyanın dosya isminin hard diskte halen mevcut olduğunu(ancak açılmadığını) ve bu dosyaların üzerine yazılmış olduğu bilgisinin verildiğini görürler. Ancak diğer yandan eğer ki önceki dosya wipe edilmiş ise, dosya isminin nasıl hala diskte bulunduğuna şaşarak wipe sonrasında verinin kurtarılabilir olduğunu düşünmeye başlayabilirler. Oysa ki bu da, wipe edilmiş datanın kurtarılması değildir. Çünkü dosyaların isimleri ile içerik kısımları hard diskte zaten ayrı yerlerde tutulur ve normal şekilde silinmiş(deleted) bir dosyanın data alanları üzerine başka datalar yazılmış olabilirken, dosya ismi üzerine henüz hiç bir data yazılmamış olabilir.


'WIPE' İŞLEMİ VE 'ATOMİK KUVVET MİKROSKOPİSİ' YÖNTEMİ

Wipe(kalıcı silme) işlemi yapıldıktan sonra, wipe edilmiş olan alanlarıın wipe öncesinde hangi konumda oldukları, yani 0 mı yoksa 1 mi oldukları mikroskopla tespit edilebilir” şeklinde bir kuram ortaya atılmış, ve yapılan bazı çalışmalarda eski tip hard disklerde BAZI alanların önceki konumları tespit edilebilmiş ancak sadece bu bazı alanlara dayanarak wipe edilmiş olan dosyaların kurtarılması pratik anlamda mümkün olamamıştır. Diğer bir ifadeyle, 1 veya 0'ların tespit edimiş olması, bir bütün olarak açılır bir dosyanın, pratik anlamda ortaya çıkarılmasına imkan vermemiştir. Çünkü bir dosyayı oluşturan milyonlarca bitten bazıları görülebilmiştir, ki o bitlerin wipe yapılmadan önce ne tip bir dosyaya ait bit'ler olduğunu bilmek de mümkün olamamıştır.  

Görüldüğü gibi, tamamlanması yıllar sürebilecek böyle mikroskopik bir yöntemle veri kurtarma girişiminde, bazı 0'lar veya 1'ler(bit'ler) kurtarılsa dahi elimizde bütün bir dosya değil, sadece bazı bit'ler olacak ancak bu bit'ler kendiliklerinden anlaşılabilir bir içerik(yazı, ses, video) dosyası meydana getirmeyecektir. Örnek vermek gerekirse, önce 8 adet bit doğru şekilde kurtarılacak ve bu bit'lerin sırası da doğru şekilde yerleştirilecek, ki bir byte'lık bilgi elde edilebilsin. Örnek, 11101001 bit'leri A harfi demek ise bu bit'lerden bir tanesi bile doğru sırayla koyulmaz ise, kurtarılan bit'lerin hiç bir anlamı olmayacaktır. Ayrıca kurtarılan 8 adet bit her zaman bir harf olmayıp bir ses veya bir renk veya bir video da olabileceğinden, o bit'in silinmeden önce ne tip bir dosya olduğunu bilmek de şart olacaktır.

Görüldüğü gibi, “Atomik Kuvvet Mikroskopisi” yoluyla bit düzeyinde kurtarma yapılsa dahi, elde edilen bit’lere bakarak o bitlerin bir metin mi yoksa bir ses mi yoksa bir resim dosyasına mı ait olduğunu pratik anlamda çözmek şu an için pek mümkün görünmemektedir. Zaten bu yöntem yeni tip hard diskler için uygulanabilir değildir. Çünkü gelişen teknolojiyle birlikte disklerin veri yazma prensipleri de değişmiştir.

Buna rağmen, internette veya çevrenizde ‘wipe’dan sonra veri kurtarma yapıldığını iddia eden kişiler ya da ürün reklamları görebilirsiniz.

Bu kişiler, ya ‘wipe’ işleminden normal silme işlemini kastediyordur ya da eski data üzerine yeni data yazma(wipe) işleminin ne demek olduğunu bilmiyordur, ya datanın manyetik bir ortama nasıl kaydedildiğiniı bilmiyordur veya aslında bu konularda zaten pek bir şey bilmediği halde kendini biliyor sanan biriyle karşı karşıyasınızdır –ki bu tip insanlardan ülkemizde de fazlasıyla bulunmaktadır.
 Reel yaşamda bugüne kadar gerçekleştirilememiş böyle bir şeyi iddia eden bir kişiyi daha fazla dinleyerek vakit kaybetmenizin bir anlamı yoktur.

MEVCUT DATA ÜZERİNE YENİ DATA YAZILDIKTAN SONRA YOK OLAN ESKİ DATA, VERİ KURTARMA YAZILIMLARI İLE KUR-TA-RI-LA-MAZ. 


Dr. Yunus BALI
Adli Bilişim Uzmanı 
dijitaldeliller@gmail.com