Odatv davasında sanıkların suç unsuru verilerin bilgisayarlara virüslerle gönderildiği yönündeki iddialarına ilişkin, TÜBİTAKtan ikinci kez bilirkişi raporu mahkemeye ulaştı.
Raporda herhangi bir dosyanın bir bilgisayarlarda oluşturulup oluşturulmadığı, değiştirilip değiştirilmediğinin kesin tespitinin mümkün olmadığı belirtildi.
Rapora göre Odatvdeki bilgisayarlarda söz konusu verilerin açıldığı ve temizleme programıyla da temizlenmiş olabileceği kaydedildi. Raporda, dosyaların oluşturulma zamanlarının söz konusu bilgisayarlara zararlı yazılımların gönderilme tarihinden önce olduğu ifade edildi.
Odatvye ait 1 bilgisayar ile sanıklar Barış Pehlivan ve Müesser Yıldıza ait toplam 3 bilgisayarı inceleyen TÜBİTAK hazırladığı ilk raporu İstanbul 16. Ağır Ceza Mahkemesi'ne göndermişti. Ancak mahkeme, gelen raporun yeterli olmadığını belirterek TÜBİTAKtan yeniden rapor hazırlamasını istemişti. Mahkeme, TÜBİTAK'tan yargılama konusu belgelerin sanıkların bilgisayarlarına virüs yoluyla gönderilip gönderilmediğini daha net ifadelerle anlatan yeni bir rapor hazırlamasını talep etmişti. TÜBİTAKta görevli 3 bilirkişinin hazırladığı 84 sayfalık yeni rapor mahkemeye ulaştı. Yeni rapor mahkemenin soruları üzerine, soru cevap şeklinde tanzim edildi. İşte mahkemenin soruları ve TÜBİTAKın verdiği cevaplar:
Mahkemenin sorusu: Dosyaların anılan bilgisayarlarda kesin olarak oluşturulup oluşturulmadığı, değiştirilip değiştirilmediğinin tespitinin mümkün olup olmadığı? Kesin olarak tespitinin mümkün olmaması halinde bunun nedenlerinin yalın ve açıklayıcı bir şekilde belirtilmesinin istenmesi?
TÜBİTAKın cevabı: Herhangi bir dosyanın bir bilgisayarlarda oluşturulup oluşturulmadığı, değiştirilip değiştirilmediğinin kesin tespiti mümkün değildir. Bunun sebebi bir dosyanın bir bilgisayarda oluşturulduğuna veya değiştirildiğine işaret eden dijital bulguların kesinlik ifade etmemesi ve bilgi sahibi bir kullanıcı tarafından değiştirilebilir olmasıdır. İncelemelerde yazar alanında soner, Barış, pc ve Your User Name son değiştiren alanında ise Sysofis kullanıcı isimlerinin geçtiği dokümanlara rastlanmıştır. Sys Delil 1 (Oda tv bilgisayarı) bilgisayarındaki ofis kullanıcı ismidir. Bu şartları sağlayan dokümanlarda ofis üst verileri ve dosya sistemi üst verileri incelendiğinde, bu dokümanların yüksek ihtimalle Delil 1 bilgisayar kullanıcısı tarafından değiştirildiği kanaatine varılmıştır.
Dosyaların Delil 1(Oda tv bilgisayarı) ve Delil 2 (BarışPehlivanın bilgisayarı) bilgisayarlarına, bahse konu olan zararlı yazılımlar ile yüksek ihtimalle gönderilmediği de göz önünde bulundurulduğunda; yazar alanında ofis kullanıcı ismi soner olan dokümanların yüksek ihtimalle Soner Yalçın isimli şahsa ait farklı bir bilgisayarda oluşturulduğu, yazar alanında Barış yazan dokümanların da yüksek ihtimalle BarışPehlivan isimli şahsa ait farklı bir bilgisayarda oluşturulduğu ve daha sonra ilgili bilgisayarlara CD/DVD, USB tarzı veri depolama cihazları ile taşındığı değerlendirilmektedir.
Mahkemenin sorusu: İlk raporda belirtilen dosyaların anılan bilgisayarlardaaçıldığına dair bulguya rastlanılmadığı olgusunun yalın bir şekilde açıklanması, belgenin açıldığına dair izlerin nerede ve ne şekilde bulunacağının açıklanması,bu tür bulguya rastlanmamış olmasının kullanıcı tarafından kesin olarak açılmadığı anlamına gelmeyeceği belirlemesinin yine yalın bir şekilde açıklanması, kesin olarak belirleme yapılamamasının nedenlerinin hangi olasılıklardan kaynaklandığının ayrıntılı bir şekilde belirtilmesi?
TÜBİTAKın cevabı: İzlerin bir kısmı geçici izlerdir (zaman geçtikçe bu izler silinip üzerlerine yeni açılan dokümanların izleri gelebilir). Aynı zamanda bu izler bilgili bir kullanıcı tarafından elle veya çeşitli yardımcı programlar vasıtasıyla (Ccleaner gibi) silinebilir. Delil 2(Barış Pehlivanın) bilgisayarında bu tür izleri silmek için kullanılan Ccleaner uygulamasına ait izlere rastlanmıştır. Araştırma sonucunda yukarıda bahsi geçen Ccleaner uygulamasıyla ilgili çeşitli izlere Delil 2 bilgisayarında rastlanılmıştır. Dava kapsamında incelenen Delil 2 bilgisayarında $LogFile sistem dosyasında, EK-1 dosyalarının birçoğunun ismi geçmesi, bununla birlikte dosya içeriklerine ve MFT kayıtlarına dair hiçbir izin bulunmamasının sebebi, dosyaların Ccleaner ile temizlenmiş olması olabilir.
Dosyaların açılmasıyla alakalı izlere rastlanmamış olması, ilgili dokümanların açılmadığını kesin olarak göstermemektedir. Bu izlere rastlanılması ise kuvvetli bir ihtimalle bu dokümanların açıldığına işaret etmektedir. Ek olarak Hanefi.doc dosyasının oluşturma tarihi ile son erişim tarihleri arasında yaklaşık 6 ay, Sn.Komutanım.doc dokümanı için yaklaşık 5 ay,toplantı.doc dosyası için yaklaşık 8 ay fark bulunmaktadır. Bunun anlamı Hanefi.doc dosyasının en az 6 ay, Sn.Komutanım.doc dosyasının en az 5 ay ve toplantı.doc dosyasının en az 8 ay silinmeden önce ilgili bilgisayarda kullanıcının erişebileceği bir konumda bulunmuş olmasıdır.
Delil 1(oda tv) ve 2(barış pehlivan) bilgisayarlarına, dosyaların yüksek ihtimalle zararlı yazılımlar ile gönderilmediği göz önünde bulundurulduğunda, bu üç dosyanın yüksek ihtimalle kullanıcı bilgisi dâhilinde Delil 1 bilgisayarında bulunduğu ve erişim tarihlerindeki güncellemelerden ötürü bu dosyalar üzerinde kullanıcı tarafından bir işlem yapıldığı değerlendirilmektedir.
Mahkemenin sorusu: İlk raporda belirtilen dosyaların anılan bilgisayarlarda zararlı bir yazılım tarafından gönderildiğine veya değiştirildiğine dair bir bulguya rastlanmamıştır olgusunun yine yalın bir şekilde açıklanması? Yine raporda geçen Dosyanın zararlı bir yazılım tarafından kesin olarak gönderilmemiş veya değiştirilmemiş olduğu anlamına gelmemektedir ibaresinin yalın bir şekilde açıklanması?
TÜBİTAKın cevabı, Bu inceleme sonucunda ilgili belgelerin zararlı yazılımlar vasıtasıyla gönderilip gönderilmediği hususuyla alakalı tespit edilen bulgular şu şekildedir:
1- İlgili bilgisayarlara hedefli olarak uzaktan yönetim özelliği bulunan zararlı yazılımlar gönderilmiştir. 2- Bu zararlı yazılımların ilgili bilgisayarlarda çalışmış olduğu tespit edilmiştir. 3 - EK-3 tablolarında, davaya konu dosyalarla alakalı, delil bilgisayarlarında tespit edilen üst veri türleri gösterilmektedir. Bu tablolardan da anlaşılacağı üzere, dosyaların çoğunun dosya sistemi zaman üst verilerine ulaşılmıştır. 4- Erişilen bu dosya sistemi tarih üst verilerine göre, dosyaların oluşturulma zamanları, ilgili zararlı yazılımların gönderilme zamanlarından öncedir.
Sonuç olarak yukarıdaki bulgular doğrultusunda, Delil 1(oda tv) ve Delil 2(barış pehlivan) bilgisayarlarında EK-1 listesinde bulunan dokümanların yüksek ihtimalle bahse konu olan zararlı yazılımlarla bu bilgisayarlara gönderilmediği değerlendirilmektedir.
Mahkemenin sorusu: Her üç bilgisayardaki Güvenlik önlemlerinin, uzaktan dosya gönderme özelliğine sahip zararlı yazılımların çalışmasını engelleyip engellemeyeceğinin ayrıntılı olarak açıklanması?
TÜBİTAKın cevabı, Uzaktan dosya gönderme özelliğine sahip bir zararlı yazılımın gönderdiği, resim, ofis dosyası, vb. gibi içerisinde herhangi bir zararlı kod parçası içermeyen dosyalar, bilgisayar üzerindeki antivirüs yazılımı tarafından tespit edilemez ve engellenemezler. Antivirüs yazılımının tespit edip, engellemesi ancak uzaktan gönderilen dosyalar içerisinde antivirüs yazılımı tarafından tanınan zararlı kodların olması durumunda mümkün olabilir. Bu sebeple herhangi bir zararlı yazılım parçası içermeyen EK-1 listesinde belirtilen dosyaların, anti-virüs yazılımları ile tespit edilmesi veya silinmesi mümkün değildir. Zararlı yazılımların gönderildiği tarihte, delil bilgisayarlarında o zamanki güvenlik ürünleri tarafından tespit edilebilmeleri ve engellenmeleri mümkün olmamıştır.
Mahkemenin sorusu: Raporun 215. sayfasında belirtilen her 3 bilgisayarda da kurulu olduğu ve kullanıcı numaraları ile kullanıldığı belirtilen Teamviewer isimli uzaktan bağlantı ve yönetim programı ve özellikleri hakkında açıklamada bulununuz? Bu program aracılığıyla uzaktan erişim ile bilgisayara dosya gönderilebilir mi?
TÜBİTAKın cevabı: Teamviewer uygulaması, uzaktaki başka bir bilgisayarı internet üzerinden yönetmeye yarayan bir araçtır. Odatv ve Barış Pehlivana ait bilgisayarlarda kurulu olan Teamviewer uygulamasında aynı parolanın kayıtlı olduğu görülmüştür. Bu sayede kullanıcıların birbirlerinin bilgisayarına aynı parola ile uzaktan bağlanabildikleri ve yönetebildikleri düşünülmektedir. Bu nedenle, davaya konu dosyaların ilili hard disklere Teamviwer aracılığıyla gelmiş olması ihtimaller arasındadır.
Değerli okuyucumuz,
Yazdığınız yorumlar editör denetiminden sonra onaylanır ve sitede yayınlanır.
Yorum yazarken aşağıda maddeler halinde belirtilmiş hususları okumuş, anlamış, kabul etmiş sayılırsınız.
· Türkiye Cumhuriyeti kanunlarında açıkça suç olarak belirtilmiş konular için suçu ya da suçluyu övücü ifadeler kullanılamayağını,
· Kişi ya da kurumlar için eleştiri sınırları ötesinde küçük düşürücü ifadeler kullanılamayacağını,
· Kişi ya da kurumlara karşı tehdit, saldırı ya da tahkir içerikli ifadeler kullanılamayacağını,
· Kişi veya kurumların telif haklarına konu olan fikir ve/veya sanat eserlerine ait hiçbir içerik yayınlanamayacağını,
· Kişi veya kurumların ticari sırlarının ifşaı edilemeyeceğini,
· Genel ahlaka aykırı söz, ifade ya da yakıştırmaların yapılamayacağını,
· Yasal bir takip durumda, yorum tarih ve saati ile yorumu yazdığım cihaza ait IP numarasının adli makamlara iletileceğini,
· Yorumumdan kaynaklanan her türlü hukuki sorumluluğun tarafıma ait olduğunu,
Bu formu gönderdiğimde kabul ediyorum.
Yorumlar
+ Yorum Ekle