ĠSTANBUL 12. AĞIR CEZA MAHKEMESĠ BAġKANLIĞINA
27 OCAK 2014
DOSYA NO : 2010/34
SANIK
: Ümit METİN
KONU
: Talepler
1. TÜBİTAK; 5 Numaralı Hard Diske ait 20 Ocak 2014 tarihli Dijital Adli Analiz
Raporu’nda Mahkemenin sorduğu sorulardan sadece bir kısmına açık cevap vermiş,
bir kısmını üstü örtülü cevaplamış, bir kısım sorulara ise cevap vermemiştir.
2. Bahse konu raporda tespit edilen hususlar şunlardır:
a. Adli Bilişimde dijital delil bölümünde (sf.8) “Dijital deliller dava ve
soruĢturmalarda destekleyici delil olarak kabul edilmektedirler” beyanı evrensel
standardı göstermektedir. Bu davanın iddianamesinde hakkımda dijital verilerden
başka delil yoktur. Bu davada TÜBİTAK Raporu’nda açık olarak belirtilen evrensel
kurala aykırı olarak yargılanmaktayım.
b. Adli Bilişimde dijital delil bölümünde (sf.6) “Bir dijital verinin belli bir
bilgisayar kullanıcısına aidiyeti konusunda; ilgili dijital verinin bilgisayarda
oluĢturulduğu çeĢitli izler, üst veriler, ilgili dijital veriyi çalıĢtıran bilgisayar
programında oluĢan kayıt verileri ve bu programın bilgisayarda yüklü olan
diğer program ve uygulamalarla olan iliĢkisine dair kayıt verileri analiz edilerek
yorum yapılır.” Tespiti yer almaktadır. Bu rapora göre; bir dijital verinin üst veri
bilgisinde bir kimsenin isminin yazması bu dijital verinin o kişiye ait olduğunu
göstermez, ancak, anılan kişinin bilgisayarının incelenip, bilgisayarda o dijital veriye
ait iz bulunması durumunda anılan dijital verinin kimin hazırladığı tespit edilebilir.
c. 5 nolu hard disk için muhtemel üretim tarihi Ekim 2003 olarak bulunmuştur.
Bu hard disk hizmete sokulmasından Temmuz 2005 tarihine kadar Deniz Kuvvetleri
Komutanlığı’nda Mehmet Ali ŞEN astsubay tarafından ve Temmuz 2005-Nisan 2008
arası Donanma Komutanlığı MEBS Başkanlığı’nda yine Mehmet Ali ŞEN Astsubay
tarafından ve 01 Mayıs 2008-28 Temmuz 2009 arası İstihbarat Başkanlığı’nda Erdinç
1
YILDIZ astsubay tarafından kullanılmıştır. Bu hard diski 01 Mayıs 2008 tarihi
öncesinde kullanan Astsb. Mehmet Ali ġEN 15 Ekim 2012 tarihinde mahkeme
huzurunda yaptığı tanıklık esnasında Ġstihbarat BaĢkanlığına teslim etmeden
evvel formatlandığını açıklamıĢtır. Bu formatlama yapılma işlemi Donanma
Komutanlığı Askeri Savcılığı Birikişi Raporunda ve Adli Bilirkişi Tevfik Koray
PEKSAYAR’ın 10 Mayıs 2012 tarihli bilirkişi raporunda da yer almaktadır. Astsubay
Mehmet Ali ŞEN’in Donanma Komutanlığı Askeri Savcılığı tarafından 21.11.2011
tarihinde alınan ifadesinde Astsubay Mehmet Ali ŞEN “Ben de diğer tahsis edilen
bilgisayarlara yapıldığı gibi bilgisayarı vermeden önce formatlayarak bilgisayarı
Ġstihbarat ġubede görevli Erdinç YILDIZ astsubaya teslim edildi.” demiştir.
TÜBİTAK Raporunda sf.13’te “Bu bilgiler ışığında diske imaj kopyalaması
yapılmadıysa, sistem saati 01.01.2001 olan bir bilgisayarda biçimlendirildiği
(formatlandığı), ardından WINDOWS XP işletim sisteminin kurulması esnasında
kullanıcıya sorulan tarih ve saatin kurulumu yapan kullanıcı tarafından düzenlendiği
anlaşılmaktadır” tespiti yapılmıştır. Raporun 12. Sayfasında ĠĢletim Sistemi
Kurulum Zamanı: 09 Nisan 2008 saat 11.50.40 olarak tespit edilmiştir. Bu tespitlere
göre; anılan hard disk 09 Nisan 2008 tarihinde iĢletim sistemi kurulmadan önce
formatlanmıĢtır.
TÜBİTAK Raporuna göre; Mart 2003 tarihine kadar oluşturulmuş olan
dosyalar(sf. 486-494 arası), 08 Nisan 2004 tarihinde hepsi aynı anda hard diske
kopyalanmış gözükmekte, ancak bu dosyaların hard diskte hiç açılmadığı rapordan
anlaşılmaktadır. Anılan raporda bu dosyaların silinmediği de görülmektedir.
Eğer bu dosyalar 08 Nisan 2004 tarihinde bu hard diske yüklendiyse bu
hard disk 2008 yılında formatlandıktan sonra hiç silinmemiĢ gibi nasıl
görünebilir?
Bu durum; ancak TÜBĠTAK Raporu’nda da belirtildiği gibi anılan hard
diskin; sistem saati geriye çekilmiĢ bir bilgisayara bağlanarak, bu dijital
verilerin 5 numaralı hard diske aktarılması ile mümkündür. Hakkımda delil
olduğu iddia edilen tüm dijital veriler 5 numaralı hard diske kötü amaçlı kiĢiler
tarafından bu Ģekilde yüklenmiĢtir.
ç. Raporun 15 ve 16. Sayfalarında: “Sabit diskin ilk bölümünde bulunan
iĢletim sisteminde açılan doküman izleri” başlıklı bölümde: “Bu bağlamda, disk
üzerinde bulunan işletim sisteminde bir dokümanın açıldığına dair iz bulunmaması o
dokümanın hiç açılmadığını göstermez. Bu, disk üzerindeki işletim sisteminin aktif
2
olarak çalıştığı durumda o dokümanın açılmadığını gösterir. Raporun 3. Klasöründe
1220. Sayfasında “İşletim Sisteminde Açıldığına Dair İzler Bulunan Dokümanlar”
başlığı altında verilen listede iddianamede benimle ilgili olduğu iddia edilen dijital
verilerin hiçbirisi bu listede yer almamaktadır. Bunun anlamı bu veriler bu hard
disk üzerindeki iĢletim sistemi ile hiç açılmamıĢtır.
d. Raporun 20. Sayfasında “Bulgulara Dayalı Değerlendirmeler” başlığı altında
“Bölüm 2.3.4.2.de açıklandığı üzere bazı dosyaların 28.07.2009 (Diskin Donanma
Komutanlığı İstihbarat Şubede kullanıldığı bilgisayarda son erişim tarihi) tarihinden
sonra,
sistem
saati
daha
eski
olan
bilgisayardan
aktarıldığı
değerlendirilmektedir. Bu bilgiler ıĢığında kullanıcının dosya alıĢveriĢi yaptığı
bilgisayarlar arasında, yukarıdaki laboratuar çalıĢmalarında gösterildiği gibi
sistem saatleri güncel olmayan bilgisayarların olma ihtimali vardır.” Sonucuna
ulaşılmaktadır. Burada hangi dijital verilerin bu özellikte olduğu ya da davalara konu
olan 144 dijital verilerin bu listede olduğu bilgisine yer verilmemiştir. Ancak, Arsenal
ve PEKSAYAR raporlarında bu dijital verilerin isimleri açıklanmıştır ve iddianamede
yer alan benimle ilgili olduğu iddia edilen dijital veriler bu listeye dahildir.
e. Raporun 25. Sayfasında “NTFS dosya sisteminde zaman bilgileri” başlığı
altında “NTFS dosya sistemi, dosyaların zaman bilgilerini çeşitli kurallara göre
güncellemekte ve bu güncellemeler sonrasında dosya oluşturma zamanı, değiştirme
zamanı, erişim zamanı sıralaması değişebilmektedir. Bu tarihler sıralı olmak
zorunda değildir. Bu nedenle bilgisayarda normal bir kullanıcı davranışıyla
oluşturulan bir dosyanın değiştirme zamanı, oluşturma zamanından eski olabilir.
Örnek
vermek
oluşturduğumuz
gerekirse,
bir
NTFS
dosya,
dosya
bulunduğu
sistemi
bir
bulunan
klasörden
bir
başka
bilgisayarda
bir
klasöre
kopyalandığında dosyanın oluşturma zamanı kopyalama işleminin yapıldığı zaman
olacaktır. Bu işlem dizisine göre değiştirme zamanı, oluşturma zamanından eski
olacaktır.” Sonucuna varılmıştır.
Davalara konu olan dijital verilerin zaman bilgileri incelendiğinde Son
DeğiĢtirme Zamanı hem OluĢturma Zamanından hem de MFT Girdisi DeğiĢim
Zamanından daha küçük bir tarihtir. OluĢturma Zamanı, Son EriĢim Zamanı ve
MFT Girdisi DeğiĢim Zamanı tüm dosyalar için aynı tarih değeridir. Dava
konusu dosyaların yer aldığı 2004 klasörünün OluĢturma Zamanı 18 Ağustos
2004, Son DeğiĢtirme, Son EriĢim ve MFT Girdisi DeğiĢim Zamanı ise hepsi
aynı tarih olmak üzere 08 Nisan 2004’tür. 2004 klasörünün içinde yer aldığı ĠKK
3
klasörünün zaman bilgilerine bakıldığında OluĢturma tarihinin 06 Mayıs 2008,
Son DeğiĢtirme, Son EriĢim ve MFT Girdisi DeğiĢim Zamanı ise hepsi aynı tarih
olmak üzere 08 Nisan 2004’tür.
Buradan şu sonuç ortaya çıkmaktadır:
(1)
2004 klasörü görünürde 18 Ağustos 2004 tarihinde İKK Klasörü
içinde oluşturulmuş ve her nasılsa 08 Nisan 2004 tarihinde son kayıt yapılmıştır.
Oysa İKK Klasörünün Oluşturma Zamanı 06 Mayıs 2008’dir. Bu durum çelişki
yaratmaktadır.
(2)
2004 klasörünün Son Değiştirme, Son Erişim ve MFT Girdisi
Değişim Zamanları da Oluşturma Zamanından 4 ay önce 08 Nisan 2004’tür. Oysaki
NTFS’nin çalışma biçiminden dolayı; ilk defa 18 Ağustos 2004 tarihinde oluşturulan
bir klasöre son kayıtların dört ay önce yapılması hayatın olağan akışına aykırıdır.
Benzer şekilde bir klasör yaratılmadan önce MFT Girdisinde de değişiklik söz konusu
olamaz.
(3)
Dava konusu dosyaların NFTS zaman bilgilerine bakıldığında
MFT Girdisi Değişim Zamanlarına göre bu dosyalar 2004 klasörü oluşturulmadan
yaklaşık 3 dakika önce 2004 klasörünün altına kopyalanmış görünmektedir.
(4)
Sonuç olarak davaya konu dijital verilerin TÜBİTAK Raporunun
20. ve 27. Sayfasında tespit edildiği üzere “kullanıcının dosya alıĢveriĢi yaptığı
bilgisayarlar arasında sistem saatleri güncel olmayan bilgisayarlar arasında
yapıldığı” kesindir.
f. Raporun 27. Sayfasında “İncelemeye konu olan sabit diskin “DATA” etiketine
sahip ikinci bölümü MFT kayıtlarındaki: MFT kayıt sırası, MFT güncelleme kayıt
sırası, logfile sıra numarası ve MFT kayıtlarındaki zaman üst verileri incelenmiştir. Bu
inceleme sonucunda, ilgili disk bölümüne, 28.07.2009 tarihinden sonra dosya
aktarıldığı değerlendirilmektedir. SİSTEM isimli bölümün dosya sistemi üst verileri
incelendiğinde ise diskteki WINDOWS XP işletim sisteminin son olarak 28.07.2009
tarihinde kullanıldığı tespit edilmiştir. Bunlar, diskin iĢletim sisteminin son
kullanma tarihinden sonra baĢka bilgisayarda ikincil disk olarak kullanıldığını
göstermektedir. Bölüm 2.3.3.7’de açıklandığı üzere kullanıcının veri alışverişi
yaptığı bilgisayarlar arasında sistem tarihi güncel olmayan bilgisayarların bulunması
muhtemeledir. Dosya sistemi üst verileri incelendiğinde de 28.07.2009 tarihinden
sonra sabit diskin ikincil disk olarak kullanıldığı bilgisayarın sistem tarihlerinin
28.07.2009 tarihinden geride olduğu tespit edilmiştir.” Sonuçlarına ulaşılmaktadır.
4
Bilirkişinin haklı ve bilimsel gerçeklere uygun tespitinin kamuoyuna açıklanmayan tek
kısmı, bu dijital verilerin, davalarda aleyhimize kullanılan 144 dijital veri olduğu ve bu
dosyaların 28.07.2009 tarihinden sonra 5 numaralı hard diske sistem saati
değiştirilmiş bir bilgisayardan kopyalandığıdır.
g. Raporun 29. Sayfasında “İncelenen 5 no’lu sabit diskte dosyaların sahiplik
bilgisi incelendiğinde bazı dosyaların Builtin/Administrators kullanıcısına ait olduğu
görülmektedir.” Sonucuna ulaşılmıştır. Raporun 14. Sayfasında ise incelenen hard
diskin SİSTEM isimli ilk bölümünde var olan kullanıcılar sıralanmaktadır. Bu
kullanıcılar arasında Builtin/Administrator kullanıcısı yoktur. Raporun 28.
Sayfasında MSWin-5 isimli bulguda Builtin/Administrators kullanıcısının Windows
2000 Server ya da Windows 2003 Server’da olduğu incelenen hard diskin işletim
sistemi olan Windows XP’de olmadığı tespitine yer verilmektedir. Bu raporda
iddianamede
yer
alan
hakkımda
delil olduğu
iddia
edilen
dijital
verilerin
Builtin/Administrators isimli bu kullanıcıya ait olup olmadığına ilişkin bir bilgi mevcut
değildir. Donanma Komutanlığı’nın 14 Ocak 2011 tarihli ve Tevfik Koray
PEKSAYAR’ın 10 Mayıs 2012 tarihli raporlarda hakkımda delil olduğu iddia
edilen dijital verilerin Builtin/Administrators kullanıcısı tarafından bu hard diske
yüklendiği tespit edilmiĢtir.
Sonuç olarak Builtin/Administrators kullanıcısı, incelenen hard diskin
28.07.2009 tarihinden sonra dosya aktarımı için ikincil disk olarak kullanıldığı,
sistem tarihi güncel olmayan bilgisayarda kullanılan kullanıcı bilgisidir.
Dolayısıyla bu davada hakkımda suç delili olduğu iddia edilen dijital verilerin
sahte oldukları çok açıktır.
ğ.
Raporun
30.
Sayfasında
“MICROSOFT
OFFICE
PROGRAMI
ÖZELLİKLERİ” başlığı altında; “Microsoft Office yazılımı ile oluşturulmuş bir
dijital dosyanın hangi bilgisayarda oluştuğunun tespiti için yalnızca üst
verilerin incelenmesi yeterli olmayacaktır. Bazı dijital dosyalar oluşturdukları
bilgisayara ait Bilgisayara Adı, MAC Adresi gibi verileri saklarlar. Bu gibi üst verilerin
kullanılıyor
olması
incelemesi
yapılan
dijital
dosyanın
hangi
bilgisayarda
oluşturulduğuna dair fikir verecektir. Dijital dosyaların hangi bilgisayarda açıldığı ve
düzenlendiği ile ilgili ilave bilgilere gerek duyulursa belgelerin düzenlendiği işletim
sisteminde kurulu olan yazılımların sürümlerine ve yakın geçmişte açılmış dosya
izlerine (recent dokuments) de bakılabilir.”
5
Bilirkişilerin raporunda belirtmediği bir diğer gerçek ise: dava konusu dijital
verilerde herhangi bir MAC adres bilgisine rastlanmamıĢ olduğudur. Oysaki 5
numaralı hard disk üzerinde mevcut, Builtin/Administrators kullanıcısına ait
olmayan birçok MS Office dosyasında 5 numaralı hard diskin kullanıldığı
bilgisayara ait olduğu değerlendirilen “00 09 6B 97 99 B6” adlı MAC adresi
mevcuttur. (Donanma Komutanlığı Bilirkişi raporu sf.6)
h. Raporun 32. Sayfasında “Office dokümanlarının üst verileri dosyayı işleyen
yazılımın atayacağı değerlere sahip olur. Bir Office dosyası Microsoft Office
yazılımları dıĢında baĢka bir uygulama ile de değiĢtirilebilir ve düzenlenebilir.”
Bilgisini vermektedir. Bu durumu, yargılamalar esnasında 02 Mayıs 2012 tarihinde
yapılan duruşmada mahkeme huzurunda hayali bir site olan Şen Yuva sitesinin
bahar şenlikleri hazırlıkları konusunda hayali isimler kullanarak 2023 yılına ait 40 adet
dijital veriyi üstveri bilgileri ve içerikleri dâhil 3 dakika gibi kısa bir sürede oluşturarak
ispatlamıştım. Aynı veya benzer programlarla bizim isimlerimizi kullanıcı adı olarak
yazıp 2003 yılına veya 2008 yılına ait dijital verilerin kolayca oluşturulabileceği
aşikârdır. TÜBĠTAK raporu bu sahteciliğin yapılabileceğini açık ve net bir
Ģekilde ortaya koymuĢtur.
ı. Bu bilgiye paralel olarak 68. Sayfada “Laboratuar çalışmaları sonucunda
Microsoft Office programı tarafından oluşturulan dosya iç üst verilerinin (düzenleme
kaydı, belgenin revizyon sayısı, son on kullanıcının listesi, yazdırma tarihi vb.) farklı
durumlar incelenmiştir. Bu durumların normal kullanıcı davranışları ile oluşabileceği
görülmüştür. İncelenen sabit diskteki Microsoft Office dokümanlarında da olan bu gibi
dosya iç üst
verilerinin normal kullanıcı davranışları çerçevesinde olduğu
değerlendirilmektedir.” Çalışmalar sadece üst verilerle sınırlı olarak yapılırsa
Microsoft Office programının normal kullanım ve belge üretim süreci dışında
oluşturulmuş dosyaların tespiti mümkün değildir. Ancak, Microsoft Office Word
dosyalarının binary formatında “Word Document Stream” olarak adlandırılan bölgenin
başındaki FIB bloğundaki 3CA ve 3D adreslerindeki veri, bahse konu word belgesinin
nasıl oluşturulduğu bilgisini vermektedir. Bu yöntemle yapılan analiz neticesinde;
ODTÜ bilirkişi heyeti tarafından hazırlanan raporun 8. Sayfasında “113 dosyanın,
Microsoft Office programının normal kullanım ve belge üretim sürecinden farklı
bir süreçten geçtiği ve bu süreçte değiĢtirilmiĢ olabileceği” tespiti yapılmaktadır.
i.
TÜBİTAK Raporunun 71. Sayfasında “Taterf zararlı yazılımı her
çalıştırıldığında
mevcut
disk
bölümlerinde
6
kendi
kopyasını
(r6r.exe)
oluşturmaktadır. Dosya sistemi zaman üst verisinde, MFT Değiştirme zamanı
üst verisinin, diğer zaman üst verilerden eski olduğu görülmektedir. Bu
sebeple, zararlı yazılımın 28 Temmuz 2009 tarihinden sonra takıldığı sistem
saati güncel olmayan bilgisayarlardan birine de bulaştığı ve MFT değiştirme
zaman bilgisinin eski tarihi gösterecek şekilde değiştiği değerlendirilmektedir.”
Tespiti yer almaktadır. Bu ifade virüsün bulaşma sırasına göre 28 Temmuz 2009
tarihinden sonra 08 Nisan 2004 tarihli bir dosyaya bulaşmasını açıklamak için
yazılmıştır. Bu da sahte dijitallerin hard disk hurdaya ayrıldıktan sıonra hard diske
yüklendiğini kanıtlamaktadır.
j. Bu husus Arsenal Raporu’nda da dosya isimleri ile birlikte
belirtilmektedir. Adli bilişim konusunda uluslararası tecrübeye sahip Arsenal
firmasının hazırladığı 5 Numaralı hard disk ile ilgili 28 Mart 2012 tarihli BilirkiĢi
Raporu’nda;
(1) “5 nolu hard disk (samsung sabit diski) Microsoft Windows XP
(“Windows”) işletim sistemini ve NTFS dosya sistemini ihtiva etmektedir. NTFS,
Windows tarafından kullanılan dosya ve klasörlerin kaydını tutmak için MFT (master
file table) kullanır. Windows, MFT’yi saklar, ancak adli bilişim araçları ile MFT’ye
erişmek ve çözümlemek mümkündür. Her NTFS yığını kendi MFT’sine sahiptir.
MFT, dosya ve klasörlerin isimleri ve çeşitli ilgili tarih ve zaman bilgilerini de içeren
önemli bir hacimde üstveri ihtiva eder. Her MFT kaydına tahsis edilmiş bir kayıt
numarası ile birlikte, bu kayıt numarasının tekrar kullanılıp kullanılmadığını belirleyen
bir sıra numarası da vardır.” Yazmaktadır.
(2) Arsenal’in data MFT’de tespit ettiği tarih ve zaman aykırılıkları
tarihleri geriye çekilmiş dosya ve klasörlerin samsung sabit diskin data bölümüne
yazıldığını göstermektedir. Örneğin, Samsung sabit diskin data bölümüne en son
yazılan 120 dosya ve klasör, 08 Nisan 2004’de oluşturulmuş gibi görünmektedir. Bu
mümkün değildir, zira samsung sabit disk 28 Temmuz 2009’a kadar kullanımda
kalmıştır ve samsung sabit disk’in data bölümüne “8 Nisan 2004”de yazılan 120
dosya ve klasörden önce en son yazılan dosya ve klasörler 15 Temmuz
2009’da oluĢturulmuĢtur.
k. Aynı husus Donanma Komutanlığı Askeri Savcılığı’nın 14 Ocak 2011
tarihli BilirkiĢi Raporu’na göre;
(1) Yapılan incelemede; 5 numaralı hard disk içerisinde normal kullanıcı
isimlerinden farklı bir adla (builtin/administrators) kaydedilmiş ve kullanıcı ifadelerinde
7
kendilerine ait olmadığı beyan edilen, görev fonksiyonlarıyla bağlantısı olmayan
toplam 943 dosya ve 114 klasör tespit edilmiĢtir.
(2) Teknik veriler ile desteklenen bilgilere istinaden tamamının 5
numaralı hard diske 28 Temmuz 2009 sonrasında, muhtemelen sistem
tarih/saati değiĢtirilmiĢ baĢka bir bilgisayardan aktarılarak kaydedilmiĢ olduğu
değerlendirilen bu dosya ve klasörler “manipulatif” olarak nitelendirilmiĢtir.
l.
Bu hususta 2010 yılından günümüze İstanbul Adli Yargı Ġlk Derece
Mahkemesi BilirkiĢi listesinde bilgi teknolojileri konusunda kayıtlı yeminli
bilirkiĢi Tevfik Koray PEKSAYAR’ın 10 Mayıs 2012 tarihli bilirkişi raporunun sonuç
bölümünde;
(1) 5 Numaralı sabit diskin 1. bölümü olan C sürücüsünde bulunan virüs, diskin
takılı olduğu sistemin başka bir sistemden her işleviyle kontrol edilmesine olanak
sağladığı düşünülmektedir.
a. Bulunan virüsün davranışları hakkında yapılan araştırma sonucunda söz
konusu sistemin 11.05.2008 olarak tespit edilen ilk bulaşma tarihinden, son
kullanıldığı tarih olan 28.07.2009 tarihine kadar büyük olasılıkla dışarıda bulunan ve
tespiti mümkün olmayan herhangi bir sistemden idare edilebildiği, sisteme işletim
sistemi özellikleri ve işletim sistemi müdahalesi dışında kalan, sistem seviyesinde
dosya kopyalama dahil, işlemler yapılabileceği tespit edilmiştir. Diskin 2. bölümü
olan D sürücüsünde sistem saatinin geri alınması veya baĢka bir
yöntemle tarih değiĢikliği yapılarak kopyalama iĢlemiyle oluĢturulan
dosya ve dizinler bulunduğu tespit edilmiĢtir.
b. Bu tarih manipülasyonunun bir başka ispatı da D: sürücüsündeki
r6r.exe virüs dosyasının sisteme ilk bulaĢma tarihi 11.05.2008
olmasına ve virüs sistem her açılıĢında kendini güncellemesine
rağmen, yapılan analizde son eriĢim ve değiĢiklik tarihinin
08.04.2004 olmasıdır. r6r.exe sisteme bulaştığında, sistem kayıt defterine
herhangi bir dizine her girişte kendisini çalıştıracak şekilde bir kayıt yazar. Ayrıca
sistem üzerinde çalışmasının devamlılığını sağlamak için kendisinin kopyasını çıkarır.
D: sürücüsünde bulunan r6r.exe de kendi kopyasını çıkarmıĢ, ancak
zaman manipülasyonu dolayısıyla oluĢturulma zamanı 08.04.2004
halini almıĢtır.
c. Kopyalamanın diskin başka bir sisteme takılarak yapıldığı düşünüldüğünde,
r6r.exe’nin oluşturulma zamanının 08.04.2004 halini alması, r6r.exe’nin bu tarihi
gösterecek şekilde kendisini güncellediğini ve dolayısıyla kopyalamanın yine
8
Windows kurulu bir sistemle yapıldığını göstermektedir. Bu tarih bilgisi ıĢığında,
tarih manipülasyonuyla dosya kopyalama iĢleminin tarihinin 08.04.2004
gösterecek Ģekilde yapıldığı tespit edilmiĢtir.
(2) İnceleme yapılan dosyalar arasında disk üzerinde oluşturulma tarihi
birbiriyle aynı birçok dosya olduğu tespit edilmiştir:
a. Disk üzerinde oluĢturulma tarihi 08.04. 2004 saat 19;35;26 olan
(1) İKK/2004/YEDEK/Gelenler/İzmir/ekim raporu.doc
(2) İKK/2004/YEDEK/Gelenler/İzmir/kasım raporu.doc
(3) İKK/2004/YEDEK/PLAN Hazırlık/EGAYDAAK/Bilgi.doc
b. Disk üzerinde oluĢturulma tarihi 08.04.2004 saat 19;35;27 olan
(1) İKK/2004/YEDEK/Çalışma/BİLGİ NOTU/ EK-D.doc
(2) İKK/2004/YEDEK/Çalışma/tevkif tebliği.doc
(3) İKK/2004/YEDEK/Çalışma/tevkif tebli EK.doc
(4) İKK/2004/YEDEK/ PLAN Hazırlık/EGAYDAAK/ÇGBilgiNotu.doc
(5) İKK/2004/YEDEK/ PLAN Hazırlık/EGAYDAAK/ÇGrubuPer.doc
(6) İKK/2004/YEDEK/ PLAN Hazırlık/EGAYDAAK/Toplantı Tutanğı.doc
(7) İKK/2004/YEDEK/ PLAN Hazırlık/EGAYDAAK/Saha_EKİ.doc
c. Ayrıca disk üzerinde oluĢturma tarihi 03.10.2008 saat 19;17;52 olan 2
adet dosya tespit edilmiĢtir;
(1) İKK/Öğrenci Tefriki/Özel Öğrenci Tefriki Hakkında.doc
(2) İKK/Öğrenci Tefriki/ülkü öztürk hakkında.doc
(3) Listelenen bu dosyaların sahibi
sistemde ön tanımlı
BUILTIN/Administrators grubudur. Bu dosyaların iĢletim sistemi
özellikleri kullanılmadan, uzaktan yükleme veya diskin bağlı olduğu
sistemden sökülüp baĢka bir sisteme takılarak kopyalanarak disk
üzerinde doğrudan oluĢturuldukları tespit edilmiĢtir.
Tespitleri yer almaktadır.
m. TÜBĠTAK BilirkiĢi Raporu, Arsenal BilirkiĢi Raporu, Donanma
Komutanlığı BilirkiĢi Raporu ve Tevfik Koray PEKSAYAR BilirkiĢi Raporu birlikte
değerlendirildiğinde;
08 Nisan 2004 tarihinde bu hard diske kaydedilmiĢ gibi görünen
iddianamede hakkımda dijital delil olduğu iddia edilen dijital verilerinde içinde
bulunduğu davalarda konu edilen dijital veriler; aslında 28 Temmuz 2009
tarihinden sonra, yani 5 nolu hard disk, bağlı olduğu bilgisayardan sökülüp
9
hurdaya ayrıldıktan sonra; sistem saati geriye alınmıĢ baĢka bir bilgisayara
ikincil disk olarak bağlanarak kaydedildiği tespit edilmiĢtir. Burada saydığım
tüm raporlar bu sahteciliği kanıtlamaktadır.
n. Sonuç olarak TÜBİTAK Raporu;
(1)
Dijital verilerin ancak yardımcı delil olabileceğini,
(2)
Dijital
verilerin
aidiyetinin
tespit
edilebilmesi
için
oluĢturuldukları bilgisayardaki izlerinin araĢtırılması gerektiğini,
(3)
5 numaralı hard diske hurdaya ayrıldığı, 28 Temmuz 2009
tarihinden sonraki bir tarihte, sistem saati geriye çekilmiĢ bir bilgisayardan veri
aktarıldığı konularını tespit etmiĢtir.
Bu rapor; diğer bilirkiĢi raporları ile birlikte değerlendirildiğinde ve
tanık ifadeleri dikkate alındığında: hakkımda delil olduğu iddia edilen dijital
verilerin hem delil olarak kullanılamayacağını ve hem de bu dijital verilerin
sistem saati geriye alınmıĢ Ģüpheli bir bilgisayardan yüklendiğini açıklayarak
masumiyetimi kanıtlamıĢtır.
3. TALEPLER;
- BilirkiĢi Heyetinin Mahkeme Huzuruna çağrılarak, raporunu
Mahkeme Heyeti önünde açıklamasını ve raporda müphem olarak
görünen konular hakkında soracağımız soruları cevaplamasını,
- 5 Nolu hard diskte iddianamede suç unsuru teĢkil ettiği
değerlendirilen “Dijital Verilerin” Mahkeme huzurunda, bilirkiĢi
heyetinin katılımıyla tek tek incelenmesini,
- Beraatımı talep ediyorum. 27 Ocak 2014
Ümit METĠN
10
Download

İSTANBUL 12