Odatv davasının sanıkları dosyadaki delil niteliğindeki dijital verilerin virüs yoluyla gönderildiğini iddia etti. Bunun üzerine davanın görüldüğü İstanbul 16. Ağır Ceza Mahkemesi, TÜBİTAK’tan rapor istedi. Odatv’ye ait 1 bilgisayar ile sanıklar Barış Pehlivan ve Müesser Yıldız’a ait toplam 3 bilgisayarı inceleyen TÜBİTAK hazırladığı raporu mahkemeye gönderdi. Ancak mahkeme TÜBİTAK’tan gelen raporun yeterli olmadığını belirterek yeniden rapor hazırlamasına karar verdi. Mahkeme, TÜBİTAK’tan yargılama konusu belgelerin sanıkların bilgisayarlarına virüs yoluyla gönderilip gönderilmediğini daha net ifadelerle anlatan yeni bir rapor hazırlatılmasını istedi.
AÇIK BİR DİLLE İFADE EDİLDİ
Yaklaşık 1 ay önce istenen rapor bugün mahkemeye ulaştı. 84 sayfalık rapor 3 kişiden oluşan bir bilirkişi heyetinin imzasını taşıyor. Mahkemeye gönderilen ek raporda yapılan inceleme sonucunda oluşan kanının açık bir dille ifade edildiği belirtildi.
84 SAYFALIK RAPOR SORU – CEVAP ŞEKLİNDE HAZIRLANDI
84 sayfalık rapor soru cevap şeklinde hazırlandı. TÜBİTAK öncelikli olarak mahkemenin kendisine gönderdiği 10 soruya cevap verdi.
Mahkemenin 1. sorusu
Dosyaların anılan bilgisayarlarda kesin olarak oluşturulup oluşturulmadığı, değiştirilip değiştirilmediğinin tespitinin mümkün olup olmadığı? Kesin olarak tespitinin mümkün olmaması halinde bunun nedenlerinin yalın ve açıklayıcı bir şekilde belirtilmesinin istenmesi?
TÜBİTAK: DOSYALAR YÜKSEK İHTİMALLE USB İLE TAŞINMIŞ
Herhangi bir dosyanın bir bilgisayarlarda oluşturulup oluşturulmadığı, değiştirilip değiştirilmediğinin kesin tespiti mümkün değildir. Bunun sebebi bir dosyanın bir bilgisayarda oluşturulduğuna veya değiştirildiğine işaret eden dijital bulguların kesinlik ifade etmemesi ve bilgi sahibi bir kullanıcı tarafından değiştirilebilir olmasıdır. İncelemelerde yazar alanında “soner”, “Barış”, “pc” ve “Your User Name”, son değiştiren alanında ise “Sys” ofis kullanıcı isimlerinin geçtiği dokümanlara rastlanmıştır.
“Sys” Delil 1(Oda tv bilgisayarı) bilgisayarındaki ofis kullanıcı ismidir. Bu şartları sağlayan dokümanlarda ofis üst verileri ve dosya sistemi üst verileri incelendiğinde, bu dokümanların yüksek ihtimalle Delil 1 bilgisayar kullanıcısı tarafından değiştirildiği kanaatine varılmıştır.
Dosyaların Delil 1(Oda tv bilgisayarı) ve Delil 2(Barış Pehlivan’ın bilgisayarı) bilgisayarlarına, bahse konu olan zararlı yazılımlar ile yüksek ihtimalle gönderilmediği de göz ününde bulundurulduğunda; yazar alanında ofis kullanıcı ismi “soner” olan dokümanların) yüksek ihtimalle “Soner Yalçın” isimli şahsa ait farklı bir bilgisayarda oluşturulduğu, yazar alanında “Barış” yazan dokümanların da yüksek ihtimalle “Barış Pehlivan” isimli şahsa ait farklı bir bilgisayarda oluşturulduğu ve daha sonra ilgili bilgisayarlara CD/DVD, USB tarzı veri depolama cihazları ile taşındığı değerlendirilmektedir.
Mahkemenin 2. sorusu
İlk raporda belirtilen dosyaların anılan bilgisayarlarda ‘açıldığına dair bulguya rastlanılmadığı’ olgusunun yalın bir şekilde açıklanması, belgenin açıldığına dair izlerin nerede ve ne şekilde bulunacağının açıklanması, ‘bu tür bulguya rastlanmamış olmasının kullanıcı tarafından kesin olarak açılmadığı anlamına gelmeyeceği’ belirlemesinin yine yalın bir şekilde açıklanması, kesin olarak belirleme yapılamamasının nedenlerinin hangi olasılıklardan kaynaklandığının ayrıntılı bir şekilde belirtilmesi?
TÜBİTAK: “ İZLERİ SİLMEK İÇİN KULLANILAN PROGRAMA RASTLANILDI”
İzlerin bir kısmı geçici izlerdir (zaman geçtikçe bu izler silinip üzerlerine yeni açılan dokümanların izleri gelebilir). Aynı zamanda bu izler bilgili bir kullanıcı tarafından elle veya çeşitli yardımcı programlar vasıtasıyla (Ccleaner gibi) silinebilir.
Delil 2(Barış Pehlivan’ın) bilgisayarında bu tür izleri silmek için kullanılan “Ccleaner” uygulamasına ait izlere rastlanmıştır. Araştırma sonucunda yukarıda bahsi geçen “Ccleaner” uygulamasıyla ilgili çeşitli izlere Delil 2 bilgisayarında rastlanılmıştır. Dava kapsamında incelenen Delil 2 bilgisayarında $LogFile sistem dosyasında, EK-1 dosyalarının birçoğunun ismi geçmesi, bununla birlikte dosya içeriklerine ve MFT kayıtlarına dair hiçbir izin bulunmamasının sebebi, dosyaların “Ccleaner” ile temizlenmiş olması olabilir.
TÜBİTAK: “İZLERE RASTLANILMASI AÇILDIĞINA İŞARET”
Yukarıda ayrıntılı bir şekilde açıklandığı üzere dosyaların açılmasıyla alakalı izlere rastlanmamış olması, ilgili dokümanların açılmadığını kesin olarak göstermemektedir. Bu izlere rastlanılması ise kuvvetli bir ihtimalle bu dokümanların açıldığına işaret etmektedir. Ek olarak “Hanefi.doc” dosyasının oluşturma tarihi ile son erişim tarihleri arasında yaklaşık 6 ay, “Sn.Komutanım.doc” dokümanı için yaklaşık 5 ay, “toplantı.doc” dosyası için yaklaşık 8 ay fark bulunmaktadır. Bunun anlamı “Hanefi.doc” dosyasının en az 6 ay, “Sn.Komutanım.docö dosyasının en az 5 ay ve “toplantı.docö dosyasının en az 8 ay silinmeden önce ilgili bilgisayarda kullanıcının erişebileceği bir konumda bulunmuş olmasıdır.
“BAZI DOSYALARDA KULLANICI TARAFINDAN İŞLEM YAPILDIĞI DEĞERLENDİRİLMEKTEDİR”
Delil 1(oda tv) ve 2(barış pehlivan) bilgisayarlarına, dosyaların yüksek ihtimalle zararlı yazılımlar ile gönderilmediği göz önünde bulundurulduğunda, bu üç dosyanın yüksek ihtimalle kullanıcı bilgisi dâhilinde Delil 1 bilgisayarında bulunduğu ve erişim tarihlerindeki güncellemelerden ötürü bu dosyalar üzerinde kullanıcı tarafından bir işlem yapıldığı değerlendirilmektedir. Aynı şekilde Cevap 8’de açıklandığı üzere, yüksek ihtimalle Delil 2 bilgisayarında değiştirilmiş olan “SY.doc” ve “prj_60.doc” dosyalarının, Delil 2 bilgisayar kullanıcısı tarafından yüksek ihtimalle açıldığı değerlendirilmektedir. Diğer dosyalar için ise bu tür bir yargıya varabilmek için yeterli veri mevcut değildir.
Mahkemenin sorusu İlk raporda belirtilen dosyaların anılan bilgisayarlarda ‘zararlı bir yazılım tarafından gönderildiğine veya değiştirildiğine dair bir bulguya rastlanmamıştır’ olgusunun yine yalın bir şekilde açıklanması? Yine raporda geçen ‘Dosyanın zararlı bir yazılım tarafından kesin olarak gönderilmemiş veya değiştirilmemiş olduğu anlamına gelmemektedir’ ibaresinin yalın bir şekilde açıklanması?
TÜBİTAK: DOSYALARIN OLUŞTURMA TARİHİ ZARARLI YAZILIMDAN ÖNCE
Bu inceleme sonucunda ilgili belgelerin zararlı yazılımlar vasıtasıyla gönderilip gönderilmediği hususuyla alakalı tespit edilen bulgular şu şekildedir:
1- İlgili bilgisayarlara hedefli olarak uzaktan yönetim özelliği bulunan zararlı yazılımlar gönderilmiştir.
2- Bu zararlı yazılımların ilgili bilgisayarlarda çalışmış olduğu tespit edilmiştir.
3 – EK-3 tablolarında, davaya konu dosyalarla alakalı, delil bilgisayarlarında tespit edilen üst veri türleri gösterilmektedir. Bu tablolardan da anlaşılacağı üzere, dosyaların çoğunun dosya sistemi zaman üst verilerine ulaşılmıştır.
4- Erişilen bu dosya sistemi tarih üst verilerine göre, dosyaların oluşturulma zamanları, ilgili zararlı yazılımların gönderilme zamanlarından öncedir.
Sonuç olarak yukarıdaki bulgular doğrultusunda, Delil 1(oda tv) ve Delil 2(barış pehlivan) bilgisayarlarında EK-1 listesinde bulunan dokümanların yüksek ihtimalle bahse konu olan zararlı yazılımlarla bu bilgisayarlara gönderilmediği değerlendirilmektedir.
Mahkemenin Sorusu
Her üç bilgisayardaki Güvenlik önlemlerinin, uzaktan dosya gönderme özelliğine sahip zararlı yazılımların çalışmasını engelleyip engellemeyeceğinin ayrıntılı olarak açıklanması?
TÜBİTAK: ANTİ-VİRÜS YAZILIMLARI İLE TESPİT EDİLMESİ VEYA SİLİNMESİ MÜMKÜN DEĞİLDİR
Uzaktan dosya gönderme özelliğine sahip bir zararlı yazılımın gönderdiği, resim, ofis dosyası, vb. gibi içerisinde herhangi bir zararlı kod parçası içermeyen dosyalar, bilgisayar üzerindeki antivirüs yazılımı tarafından tespit edilemez ve engellenemezler. Antivirüs yazılımının tespit edip, engellemesi ancak uzaktan gönderilen dosyalar içerisinde antivirüs yazılımı tarafından tanınan zararlı kodların olması durumunda mümkün olabilir. Bu sebeple herhangi bir zararlı yazılım parçası içermeyen EK-1 listesinde belirtilen dosyaların, anti-virüs yazılımları ile tespit edilmesi veya silinmesi mümkün değildir. Zararlı yazılımların gönderildiği tarihte, delil bilgisayarlarında o zamanki güvenlik ürünleri tarafından tespit edilebilmeleri ve engellenmeleri mümkün olmamıştır.
Mahkemenin sorusu:
Raporun 215. sayfasında belirtilen her 3 bilgisayarda da kurulu olduğu ve kullanıcı numaraları ile kullanıldığı belirtilen Teamviewer isimli uzaktan bağlantı ve yönetim programı ve özellikleri hakkında açıklamada bulununuz? Bu program aracılığıyla uzaktan erişim ile bilgisayara dosya gönderilebilir mi?
TÜBİTAK:
Teamviewer uygulaması, uzaktaki başka bir bilgisayarı internet üzerinden yönetmeye yarayan bir araçtır. Odatv ve Barış Pehlivana ait bilgisayarlarda kurulu olan Teamviewer uygulamasında aynı parolanın kayıtlı olduğu görülmüştür. Bu sayede kullanıcıların birbirlerinin bilgisayarına aynı parola ile uzaktan bağlanabildikleri ve yönetebildikleri düşünülmektedir. Bu nedenle, davaya konu dosyaların ilili hard disklere Teamviwer aracılığıyla gelmiş olması ihtimaller arasındadır.
TÜBİTAK, ayrıca sanıklar Hanefi Avcı ve Soner Yalçın’ın da sorularına yanıt verdi. (dha)
