'Poyrazköy'de Ele Geçirilen Mühimmat" Davası

" Poyrazköy'de ele geçirilen mühimmat" davasının delillerinden olan 5 numaralı sabit diskle ilgili mahkemeye gönderilen ve sanıkların kendi lehlerine olduğu gerekçesiyle davada beraat etmeleri gerektiğini savundukları TÜBİTAK raporunda, "Diskteki bir dosyanın oluşturulduğu tarihin, içeriğindeki verinin tarihinden önce olduğu ve bu durumun, bu dosyanın sistem saati güncel olmayan bir bilgisayarda oluşturulmuş olduğunu gösterdiği" belirtildi.

İstanbul 12. Ağır Ceza Mahkemesinde bugün görülen davada savunma yapan sanıklar, mahkemeye gönderilen 20 Ocak tarihli TÜBİTAK bilirkişi raporunun davayı çökerttiğini ve bu yüzden beraat etmeleri gerektiğini öne sürdü.

Mahkemeye ulaştırılan, "Dijital Adli Analiz Raporu" adlı 20 Ocak 2014 tarihli raporda, Erdem Alparslan, Burak Akoğuz ve Osman Pamuk adlı bilirkişilerin imzası yer aldı.

Raporda, "adli bilişim uzmanı tecrübeli olmalı" vurgusu

Raporda, İstanbul 12. Ağır Ceza Mahkemesinden bu dava kapsamında iletilen 5 numaralı sabit diskin dijital adli analiz incelemesi ile daha önce yazılmış bilirkişi raporlarının değerlendirmelerini de içerecek genel kapsamlı bir çalışma gerçekleştirildiği belirtilerek, adli bilişim uzmanlığıyla ilgili şu bilgilere yer verildi:

"Adli bilişim konusundaki uzman sayısının azlığından dolayı, her bilişim uzmanının ya da bilgisayar/elektronik mühendisinin adli bilişimden de anlıyor olacağına dair doğru olmayan bir kanaat vardır. Bu alanda uzmanlaşmak için dünya standartlarında eğitim ve sertifikasyon hizmeti veren kuruluşlardan etkinlik sertifikası alınmalıdır. Adli bilişim konusunda uzmanlık için sertifikalar yanında adli bilişim uzmanının tecrübesi de önemlidir. Adli bilişim, yetkin kişiler tarafından uygun (onaylı ya da adli bilişim sektörünce kabul görmüş) programlar, araçlar kullanılarak yapılmalıdır."

Dava konusu 5 numaralı sabit diskin üretim tarihinin 2003 yılının ekim ayı olduğu ve 80 GB kapasiteli diskte iki ayrı bölüm bulunduğu aktarılan raporda, disk içindeki iki bölümde de formatlama dosyasının oluşturulma tarihinin 1 Ocak 2001'i gösterdiği, bu tarihin, disk formatlandığı sırada sistem saatinin tarihini gösterdiği veya diskin, direkt, formatlanmadan üzerine hazır bir disk imajından kopyalandığı anlatıldı.

"Sistem saati, işletim sistemi kurulumunda kullanıcı tarafından belirlendi"

Söz konusu diskin, "sistem" adlı ilk bölümünde "Windows XP" işletim sisteminin kurulu olduğunun görüldüğü ve "Service pack 2" adlı bir yamaya sahip olduğu, "Data" adlı diğer bölümünde ise işletim sisteminin bulunmadığı belirtilen raporda, şöyle denildi:

"İncelenen sabit diskte en son işletim sisteminin 9 Nisan 2008 tarihinde kurulduğu anlaşılmaktadır. Sabit diskin üretim tarihi, kesin olmamakla birlikte 2003 yılının ekim ayı olduğu değerlendirilmektedir. İlk dosyanın oluşturulma tarihi 1 Ocak 2001 ve işletim sisteminin kurulma tarihi 9 Nisan 2008 olarak görülmüştür. Bu bilgiler ışığında diske imaj kopyalanmadıysa sistem saati 1 Ocak 2001 olan bir bilgisayarda biçimlendirildiği, ardından Windows XP işletim sisteminin kurulması esnasında kullanıcıya sorulan tarih ve saatin, kurulumu yapan kullanıcı tarafından düzenlendiği anlaşılmaktadır. Tarihin düzenlenmediği kurumlarda işletim sisteminin o sırada sahip olduğu tarih ve saat değerlerini aldığı görülmektedir. Ayrıca kurulum sırasında yapılanların kayıt altına alındığı C:/Windows/setuplog.txt dosyasındaki bilgilere göre, bilgisayarın sistem saati, 'ağ kurulum başlangıcında otomatik olarak güncellemeye ayarlı olduğunu' değil, işletim sistemi kurulumu sırasında kullanıcı tarafından belirlendiğini göstermektedir."

"Diskteki işletim internete hiç bağlanmadı"

Yapılan incelemede diskin ilk bölümünde bulunan işletim sisteminin sistem saatinin değiştirilmediği ve internet üzerinden de güncellenmediğinin tespit edildiği bilgisi verilen raporda, şunlar kaydedildi:

"Ağ geçidi adresinin ayarlanmadığı bir sistemin kendi yerel ağı dışındaki bir ağdan veri alması veya kendi yerel ağı dışındaki bir ağa veri göndermesi mümkün değildir. Bir işletim sistemi internete bağlandığından üzerinde birçok iz oluşmakta ve incelemeler sonucunda tespit edilebilmektedir. Fakat incelemeye konu olan sabit diskte bulunan işletim sisteminin kurulum tarihi olarak değerlendirilen 9 Nisan 2008 tarihinden sonrasına ait herhangi bir internet bağlantı izine rastlanmamıştır. Bu bulgular doğrultusunda ilgili sabit diskte kurulu olan işletim sisteminin internete hiç bağlanmadığı değerlendirilmektedir."

Raporda, işletim sistemleri ve bu işletim sistemi üzerinde çalışan programların çeşitli izler bırakabildiği, sabit diskteki XP işletim sistemi üzerinde bu tip izler bulunduğu belirtilirken, "Bir sabit disk başka bir bilgisayara ister doğrudan ya da çeşitli aparatlarla ekstra disk olarak takılabilir. Ekstra diskin açılmasıyla oluşan izler, diskin o sırada takılı olduğu bilgisayarın işletim sistemi diskinde oluşmaktadır. Bu bağlamda, disk üzerinde bulunan işletim sisteminde bir dokümanın açıldığına dair iz bulunmaması o dokümanın hiç açılmadığını göstermez. Bu, disk üzerindeki işletim sisteminin aktif olarak çalıştığı durumda o dokümanın açılmadığını gösterir" ifadesi yer aldı.

Bilgisayar saatinin marka ve modele göre farklı zamanlar gösterdiğine ilişkin laboratuvar sonuçlarına yer verilen raporda, işletim sisteminin ilk açılmasıyla 1 Ocak 2003 tarihinin gözlendiği, güncellenip kapatıp açıldıktan sonra tarihinin 1 Ocak 2003 olduğunun görüldüğü belirtilerek, "Bilgisayar saatinin marka ve modele göre farklı zamanları gösterdiği tespit edilmiştir. Bilgisayarın tarih ve saatinin Windows XP kurulumu sonrasında değişmediği, BIOS'taki ilk değerini muhafaza ettiği tespit edilmiştir. MFT (format) dosyasının oluşturulma tarihinin yine BIOS'taki tarihe uyumlu olduğu görülmüştür. Bilgisayarın tarihinin Windows XP kurulumu sonrasında değişmediği, 15 Ağustos 2009 olarak kaldığı, BIOS'taki ilk değerini muhafaza ettiği tespit edilmiştir. MFT (format) dosyasının oluşturulma tarihinin yine BIOS'taki tarihe uyumlu olduğu görülmüştür" ifadelerine yer verildi.

Bilgisayarların sistem saatlerinin güncel olmayabileceği ve bazı dosyaların 28 Temmuz 2009 tarihinden sonra, sistem saati daha eski olan bilgisayarlardan aktarıldığının değerlendirildiği kaydedilen raporda, "Kullanıcının dosya alışverişi yaptığı bilgisayarlar arasında, sistem saatleri güncel olmayan bilgisayarların olma ihtimali vardır" denildi.

"Dosyanın oluşturulduğu tarih, içeriğindeki verinin tarihinden öncedir"

Bilirkişi raporunda, sabit diskteki bir dosyayla ilgili, şunlar kaydedildi:

"(yasemin.ppt) dosyasının oluşturulduğu tarih, içeriğindeki verinin tarihinden öncedir. Bu durum, bu dosyanın sistem saati güncel olmayan bir bilgisayarda oluşturulmuş olduğunu göstermektedir. Ayrıca bu dosyanın 28 Temmuz 2009 tarihinden önce sabit diske aktarılmamış olması, kullanıcının dosya alışverişi yaptığı bilgisayarlar arasında sistem saati güncel olmayan bilgisayarların olma ihtimalini kuvvetlendirmektedir."

Sabit diskin NTFS ile formatlandığının tespit edildiği belirtilen raporda, NTFS dosya sisteminde dosyaların şifrelenerek de saklanabildiği, bunun da ekstra bir güvenlik özelliği olduğu, NTFS dosya sisteminde bir dosyanın ilk olarak oluşturulduğunda bu tarihlerin hepsi aynı olduğu, dosyada bir değişiklik yapılmadığı ya da dosyaya erişilmediği sürece bu zaman bilgilerinin birbirinin aynısı olarak kaldığı, NTFS dosya sisteminin, dosyaların zaman bilgilerini çeşitli kurallara göre güncellediği ve bu güncellemeler sonrasında dosya oluşturma, değiştirme, erişim zamanı sıralamasının değişebildiği ve bu tarihlerin sıralı olmak zorunda olmadığı aktarıldı.

"Değiştirme zamanı oluşturma zamanından eski olabilir"

"Bu nedenle bilgisayarda normal bir kullanıcı davranışıyla oluşturulan bir dosyanın değiştirme zamanı, oluşturma zamanından eski olabilir. Bir diskin üretilme ya da piyasaya sürülme zamanı ile içindeki dosyaların tarihleri arasında bir tarih ilişkisi olması beklenebilir" ifadesi kullanılan raporda, teknik olarak diskin içindeki dosyaların tarihlerini, işletim sisteminin tarihinden, işletim sisteminin ise BIOS zamanından aldığı dile getirildi.

Diskin üretim tarihi ile diske yazılan dosyaların tarihleri arasında direkt bir ilişki bulunmadığı belirtilen raporda, "Diskin üretim tarihinden daha eski tarihli bir dosya diskin içinde bulunabilmektedir. Yeni temin edilen diskin üzerinde eski dosya sistemi tarihli dosyaların bulunması normal bir durumdur. Yedekleme ya da eşleme programları, dosyaların içerikleri ile birlikte dosya sistemi üst verilerini de saklayabilmektedir. Yedeği alınan dosyaların yedekten geri dönüldükten sonra eski tarihlerine sahip oldukları görülmektedir" denildi.

"28 Temmuz 2009'dan sonra dosya aktarıldı"

Raporda, Windows işletim sisteminde yapılacak kopyalama işlemlerindeki dosya sisteminin zaman kuralları ile kopyalama amaçlı kullanılabilen programların zaman güncelleme mantıklarının aynı olmayabileceği de vurgulanırken, şunlar belirtildi:

"Bu programlar, bazı durumlarda dosyaların kopyalandığı dosya sistemindeki zaman bilgilerini, yeni dosya üzerine aktarmaktadır. İncelemeye konu olan sabit diskin 'DATA' etiketine sahip ikinci bölümü MFT kayıtlarındaki, MFT kayıt sırası, MFT güncelleme kayıt sırası, logfile sıra numarası ve MFT kayıtlarındaki zaman üst verileri incelenmiştir. Bu inceleme sonucunda ilgili disk bölümünde, 28 Temmuz 2009 tarihinden sonra dosya aktarıldığı değerlendirilmektedir. Sistem isimli bölümün dosya sistemi üst verileri incelendiğinde ise diskteki Windows XP işletim sisteminin son olarak 28 Temmuz 2009 tarihinde kullanıldığı tespit edilmiştir. Bunlar, diskin işletim sisteminin son kullanılma tarihinden sonra başka bilgisayarlarda ikincil disk olarak kullanıldığını göstermektedir.

Kullanıcının veri alışveriyi yaptığı bilgisayarlar arasında, sistem tarihi güncel olmayan bilgisayarların bulunması muhtemeldir. Dosya sistemi üst verileri incelendiğinde de 28 Temmuz 2009 tarihinden sonra sabit diskin ikincil disk olarak kullanıldığı bilgisayarların sistem saatlerinin 28 Temmuz 2009 tarihinden geride olduğu tespit edilmiştir.

5 nolu diskin DATA bölümündeki masaüstü dizininde bulunan 'yasemin.ppt' dosyasının üst verileri incelendiğinde, son değiştirme zamanının 20 Ağustos 2003, 10.00.28. olduğu, incelemeye konu olan diske 20 Ağustos 2008, 10: 27: 39 da taşındığı, en son erişim zamanının ise 9 Temmuz 2009 09: 39: 05 olduğu görülmektedir. Dosyanın içeriğinde 18 Ağustos 2008 tarihine ait bir dekont bulunmaktadır. Bunlar, dosyanın sistem saati güncel olmayan bir bilgisayarda oluşturulup, işletim sisteminin aktif olduğu tarihler arasında incelemeye konu olan sabit diske aktarıldığını ve yine bu tarihler arasında dosyaya erişildiğini göstemektedir."

"Tersine mühendislik ile tespit"

Kullanıcının veri alışverişi yaptığı bilgisayarlar arasında sistem tarihi güncel olmayan bilgisayarların bulunmasının kuvvetle muhtemel olduğu, NTFS dosya sistemi ile dosyaların sahipliklerinin belirlenmesi ve erişim kontrolü ile hangi kişilerin ya da gruplara üye olanların bir dosyaya erişebileceği, o dosyayı değiştirebileceği ya da bir programı çalıştırabileceğinin belli bir sistemle kontrol altına alındığı belirtilen raporda, "Böylece izin verilmediği sürece aynı bilgisayarı kullanabilen farklı kişilere ait dosyalar, aynı sabit disk üzerinde bile olsalar diğer kişiler tarafından erişilemez durumda olmaktadır" denildi.

Microsoft Office programının kapalı kaynak kodlu bir uygulama olduğu ve uygulamanın oluşturduğu dosyanın formatının şirketin kendine has bir formatı olduğu kaydedilen raporda, "Bu formatın detayları ve ne gibi üst verileri tuttuğu Microsoft  tarafından sunulan dokümantasyon haricinde 'tersine mühendislik' yöntemleri ile tespit edilmektedir. Microsoft Office ailesi programlarının davranışı Microsoft şirketi tarafından açıkça dokümente edilip yayınlanmadıkça, bu program içeriği ve nasıl çalıştığı ile alakalı yapılan yorumlar 'tersine mühendislik' ile sınırlı olacaktır" ifadeleri kullanıldı.

TÜBİTAK raporunda, Microsoft Office yazılımı ile oluşturulmuş bir dijital dosyanın hangi bilgisayarda oluşturulduğunun tespiti için yalnızca üst verilerin incelenmesinin yeterli olmayacağı ve bazı dijital dosyaların, oluşturuldukları bilgisayara ait bilgisayar adı, mac adresi gibi verileri sakladıkları belirtilirken, "Bu gibi üst verilerin kullanılıyor olması, incelemesi yapılan dijital dosyanın hangi bilgisayarda oluşturulduğuna dair fikir verecektir. İncelenebilecek başka durumlar da söz konusudur. Bunun için o dijital dosyanın bilgisayara nasıl geldiği konusunda araştırma yapılabilir" değerlendirmesinde bulunuldu.

"Aynı özet değerine sahip dosyanın farklı içerik barındırması imkansızdır"

Başka bilgisayarda oluşturulduğu düşünülen ya da analiz edilmek istenen dosyalar için, bu dosyaların içinde tutulan üst veri bölümlerinde bulunan bilgiler ile dosyanın transfer yoluyla gönderildiğinden şüphelenilen bilgisayarın kullanıcı bilgilerinin karşılaştırılacağı anlatılan raporda, şu ifadeler yer aldı:

"Adli bilişim incelemelerinde özet (hash) değeri dijital verinin bütünlüğünü doğrulayan, değişikliğe uğramadığını garanti eden önemli bir parametredir. Bir dosyanın farklı incelemelerde özet değerleri aynı ise tüm içerik ve dosya iç üst veri bilgileri de aynı olmak zorundadır. Bir dos ya içeriğinde ya da üst verilerinin herhangi birinde yapılan bir karakterlik bir değişiklik bile hesaplanan özet değerinde kolaylıkla fark edilebilir büyük bir değişikliğe neden olacaktır. Bu nedenle farklı incelemelerde aynı hash değerine sahip bir dosyanın farklı içerik ya da üst veri barındırması imkansızdır. Farklı incelemelerde bazı dosyaların tarih üst verilerinde görülen farklılıklar, inceleme yapan araştırmacının doğru saat dilimi kullanmamasından kaynaklanır. İnceleme yapan kişi, olayın vuku bulduğu iddia edilen yerin saat dilimini inceleme yazılımına girdi olarak vermelidir. Ancak bu şekilde hesaplanan tarih verileri gerçeği yansıtacaktır. Aksi takdirde kendi bulunduğu yerin saat dilimini kullanan bir bilirkişi, incelemesinde verinin gerçek saat değerleri ile 24 saate kadar sapmalar görebilecektir."

İncelemeye konu Microsoft Office yazılımının sürümünün 9.0 olarak tespit edildiği ve bu sürümün Microsoft Office 2000 olarak da bilinen bir sürüm olduğu anlatılan raporda, "Bilgisayarlar ağ haberleşmelerini ağ kartları üzerinden yaparlar. Üretilen her ağ kartının üretim sırasında üzerine atanan biricik bir değeri vardır. Bu değer MAC adresi ya da fiziksel adres olarak adlandırılır. Aynı ağda olan bilgisayarlar bu adresi dikkate alarak haberleşirler" denildi.

Microsoft Office 2000 ve öncesi sürümlerde Office uygulamasının, MAC adresini iç haberleşmede kimlik tanımlama amacıyla kullandığı bilgisi verilen raporda, "Microsoft Office Word uygulaması ürettiği yeni dosyaların içerisine MAC adresi değerini koyuyordu. Oluşturulan belgelerin içinde bulunan MAC adres değeri sayesinde, e-posta ekindeki Word belgeleri yoluyla yayılan 'Melissa' virüsünün kim tarafından oluşturulduğu tespit edilmiş ve virüsün yazarı ABD mahkemelerince cezaya çarptıılmıştır. MAC adresi bilgisi Microsoft Word XP ve sonrası sürümlerde yer almamaktadır" ifadelerine yer verildi.

Raporda, incelemeye konu üst veri alanları ve hash değerleri ile ilgili laboratuvar çalışması yapıldığı belirtilirken, uygulanan adımlar sonrası elde edilen sonuçların "laboratuvar bulguları" adıyla sıralandığı görüldü.

"Calibri' kelimesine ilişkin test

Davada dile getirilen Word uygulamasının "Calibri" formatıyla ilgili de uygulanan adımlara ilişkin "Dosya Microsoft Word 12 yazılımı ile açılır. Basit bir değişiklik ardından yeni bir dosya olarak farklı kaydedilir" ifadelerine yer verilen raporda, bununla ilgili elde edilen bulgular da "Yeni oluşan dosya içeriğinde 'Calibri' kelimesine rastlanırken son oluşturma ve değişiklik tarihi ilk dosyanınkinden daha eski bir tarihi göstermektedir" şeklinde anlatıldı.

"Hash değeri ve son değişiklik" adlı çalışmaya da yer verilen raporda, "Dosya Microsoft Power Point 12 yazılımı ile açılır. Hiçbir değişiklik yapılmadan ve kaydedilmeden kapatılır" uygulamasının kullanıldığı, elde edilen bulgulara göre, "Dosya iç üst verilerden son değişiklik tarihi değişmezken özet değerinin değiştiğinin" görüldüğü ifade edildi.

"Farklı durumlar, normal kullanıcı davranışlarıyla oluşabilir"

Raporda, "Laboratuvar çalışmaları sonucunda, Microsoft Office programı tarafından oluşturulan dosya iç üst verilerinin (düzenleme kaydı, belgenin revizyon sayısı, son on kullanıcının listesi, yazdırma tarihi vb.) farklı durumları incelenmiştir. Bu durumların normal kullanıcı davranışları ile oluşabileceği görülmüştür" denilerek, incelenen sabit diskteki Microsoft Office dokümanlarında da olan bu gibi dosya iç üst verilerinin normal kullanıcı davranışları çerçevesinde oluştuğunun değerlendirildiği aktarıldı.

Microsoft Office dosyalarının dosya iç üst verileri ile dosya sistemi üst verileri arasında zamansal öncelik ya da sonralık durumlarının, normal bilgisayar kullanımlarının yanında farklı sistem saatlerinde çalışan bilgisayarda işlemlerinden kaynaklanabildiği belirtilen raporda, şöyle denildi:

"5 nolu sabit diskte güncel anti virüs yazılımları ile gerçekleştirilen virüs taraması sonucunda sabit diskte iki türlü zararlı yazılımın olduğu tespit edilmiştir. Bu zararlı yazılımlar Microsoft tarafından Win32/Ahkarun.A ve Win32/Taterf olarak adlandırılmaktadır. Bu zararlı yazılımların sistemde uzun bir süre aktif olarak çalıştığı ve sistem kapatılana kadar da silinmediği anlaşılmaktadır. Her bilgisayar açılışında Ahkarun zararlı yazılımı, her oturum açılışında da Taterf zararlı yazılımı otomatik olarak işletim sistemi tarafından çalıştırılmaktadır. İşletim sistemi çalıştırdığı her uygulama için prefetch dosyası oluşturmaktadır. İncelenen sistemde zararlı yazılım uygulamalarına ait bu dosyalara rastlanmıştır. Bu dosyaların varlığı ilgili zararlı yazılımların sistemde çalışmış olduğunu göstermektedir. Tespit edilen zararlı yazılımların dikkate değer ortak bir özelliği, taşınabilir veri depolama cihazları ile yayılabilmeleridir. Sabit diskteki kurulu olan işletim sisteminin internet erişimi bulunmamaktadır. Bu sebeple tespit edilen iki zararlı yazılımın da sisteme taşınabilir veri depolama cihazları ile bulaştığı değerlendirilmektedir. Aynı sebeple bu zararlı yazılımlar vasıtası ile

uzaktan sistemi yönetme, sisteme dosya atma veya sistemden dosya alma gibi işlemler mümkün değildir.

Taterf zararlı yazılımına ait dosyalarının, dosya sistemi zaman üst verileri incelendiğinde, r6r.exe dosyasının sisteme 18 Eylül 2008 tarihinde bulaşmış olduğu değerlendirilmektedir. Taterf zararlı yazılımı her çalıştırıldığında mevcut disk bölümlerinde kendi kopyasını oluşturmaktadır. Dosya sistemi zaman üst verilerinde MFT değiştirme zamanı üst verisinin, diğer zaman üst verilerden eski olduğu görülmektedir. Bu sebeple zararlı yazılımının 28 Temmuz  2009 tarihinden sonra takıldığı sistem saati güncel olmayan bilgisayarlardan birine de bulaştığı ve MFT değiştirme zaman bilgisinin eski tarihi gösterecek şekilde değiştiği değerlendirilmektedir." - İstanbul