mütalaa Garson (K)’dan Elde Edilen SD Kart Teknik Raporlarının Analizi

[MSA 7.768]

Aşağıda belirtilen teknik rapor analizi dosyamıza intikal eden siber raporunun çözümü olup rapor kapsamındaki teknik analizlerin veri inceleme raporları kapsamında tüm dosyalara faydalı olması ve yargılamalara ışık tutması amacı ile hazırlanmıştır.

 

Raporda gerek adli bilişim tanımları, uygulamaları, imaj alma, dosya tarih ve zaman bilgilerinin önemi, şifreleme, şifre çözümleme, süre hesapları, dijital verilerde manipülasyon, hash değeri ve önemi, hazırlanan raporlar ve eksiklikleri gibi konulara yer verilmiş olup aşağıda maddelere halinde tespit ve değerlendirmelere yer verilmiştir.

Adli bilişim, elektronik ortamlardan elde edilen bulguların, çeşitli teknik donanım ve yazılımlar kullanılarak hukuki delillere dönüştürülme sürecidir. Yapılan işlemler uluslararası uygulamalar ile standart özellikler taşımalıdır. Uygulamalardaki en çok önem verilen ortak hususlardan birisi veri güvenliğinin sağlanması olmuştur.  

Dijital materyaller üzerinde doğrudan inceleme yapılamaz.(Write block kullanımı hariç) İmaj (adli kopya) alma işlemi bitirildikten sonra imaj dosyası üzerinde inceleme yapılır. Böylelikle veri güvenilirliğinin gerektirdiği işlemlerden biri sağlanmış olur aksi halde dijital veri içerisine ekleme, çıkarma, silme gibi işlemlerin yapılmadığının ispatı mümkün olmayacaktır.

Unutulmamalıdır ki tarih ve zaman bilgisinde rahatlıkla manipülasyon yapılabilir. Gerek harici bir program kullanılmak suretiyle gerek işletim sistemi tarih ve zaman bilgilerinin değiştirilmesi suretiyle oluşturulan dosyaların tarih ve saat bilgileri kolaylıkla değiştirilebilir. Bu durum uluslararası adli bilişim uygulamalarında artık bilinen sıradan bir bilgidir.

İmaj alma işlemi sırasında veya sonrasında olabileceği gibi yalnızca inceleme raporlarında da manipülasyon yapılabilir. Bu durumun en zayıf halkası ilgili bölümde bahsedildiği gibi kontrol sisteminin olmamasıdır. İşlem süreçleri sonrasında ise mahkemece delillerin ortaya konulması gerekmektedir. Delillerin ortaya konulmasından maksat, tanıkların ve bilirkişilerin dinlemesi, keşif yapılması ve diğer ispat araçlarının ileri sürülmesi, açıklanması, incelenmesi ve tartışılır lığının sağlanmasıdır. Ortaya konulup tartışılmayan bir delil CMK.nun 217/1. maddesi uyarınca hükme esas alınamaz (Sayfa 15-16) 

Garson (k) isimli gizli tanık, 18.04.2017 tarihinde Ankara Cumhuriyet Başsavcılığına 2 adet sd kart 1 adet cep telefonu teslim etmiştir. Siber Suçlarla Mücadele Daire Başkanlığı Adli Bilişim Şube Müdürlüğünce hazırlanan inceleme raporunun 2.sayfasında, söz konusu iki adet SD karttan Lexar Marka 64 Gb kapasiteli kartın imajının 19.04.2017 tarihinde alındığı belirtilmektedir. Bu materyale ait imaj dosyasının incelenerek KOM daire başkanlığına gönderilmesi ise 05.06.2018 tarihinde yapılmıştır. Ancak haklarında fişleme bilgileri olduğu öne sürülerek 9103 polis memurun görevden uzaklaştırılma tarihi ise 26.04.2017 tarihidir.  

Yukarıda yer verilen maddeler bağlamında, imaj dosyası daha incelenmeden içeriğini görmüş olmaları gibi mantık dışı bir sonuç ortaya çıkmaktadır. Örnek vermek gerekirse, yerin kaç metre altında olduğu bilinmeyen bir sandığın varlığı tespit edilmiş, daha kazı çalışmaları başlamadan sandığın içerisinde iç içe 6 adet sandık olduğu ve içerisinde sayıları ve türlerine yer verilen mücevherler olduğu iddia edilerek, değerleri belirlenmiş, satışı yapılmış daha sonra kazı çalışmalarına başlanmıştır. Görüleceği üzere benzetme yöntemiyle verilen bu örnekte olduğu gibi, söz konusu sd kart la ilgili olarak da 6 aşamadan oluşan (imaj alma, imaj içeriğinde Linux işletim sisteminin olduğunu görme, bunun içerisinde de sanal Windows işletim sistemlerinin olduğunu görme, bunun içerisinde de trueCrypt ile şifrelenmiş disk alanlarının olduğunu görme, bunun içinde de klasörler içerisinde excel dosyalarının olduğunu görme ve export-dışa aktarım işlemleri yapıldığı hazırlanan raporlardan anlaşılmaktadır.) ve tüm süreçlerde ulaşılmak istenen alan-veri-dosya-sistemlerin şifreli olduğu belirtilmiş ve ancak 05.06.2018 tarihinde nihayete eren bir çalışma neticesinde elde edilen veriler, nasıl oluyorsa 26.04.2017 tarihinden önce elde edilerek, inceleme ve analiz yapılmak suretiyle, listeler hazırlanarak resmi yazışmalar yapılarak 9103 polis memuru görevden uzaklaştırılmıştır.

Dijital materyalin imaj içeriği incelenmeden, verinin ne olduğu bilinemez. Kaldı ki imaj dosyası içeriğine hızlıca bakıp verileri görüp daha sonra inceleme raporu tanzim etmek gibi bir durum olsa bile söz konusu sd kart için bunun mümkün olmayacağı, siber suçlarla mücadele daire başkanlığı adli bilişim şube müdürlüğünce hazırlanan inceleme raporundan anlaşılmaktadır. Zira raporun ilgili sayfalarında açıklandığı üzere, sd kart içinde Linux işletim sistemi, bu işletim sistemi içerisinde sanal Windows işletim sistemlerinin bulunması, bu işletim sistemlerinden birinin içerisinde de şifreli (true crypt) disk alanı olduğu ve imajının alındığı daha sonra elde edilen imaj dosyasının incelendiği ve işletim sistemleri başta olmak üzere neredeyse tüm verilerin şifreli olduğu göz önüne alındığında, inceleme raporu bitmeden imaj dosyasına bakılarak verilere ulaşmak mümkün değildir.

Söz konusu sd kart içerisinde yer aldığı iddia edilen excel dosyaları içerisinde, tüm emniyet teşkilatı personelinin fişlendiği belirtilmektedir. Ancak Sd kartı teslim eden garson kod adlı gizli tanık ve kart içindeki dosyalar ile ilgili olarak adli makamlarca soruşturma, kovuşturma ve karar aşamaları beklenmemiş yani dijital dosyalarınverilerin delil olup olamayacağı konusunda bir karar beklenmesine gerek duyulmamış, etraflıca araştırmak, verilerin elde edilişi şeklinin tespit edilmesi, verileri elde eden kişilerin tespit edilmesi ve olaya bütüncül olarak bakılarak maddi gerçeğe ulaşmak gibi bir gayret, tutum ve davranış yapılmamıştır. Adeta alelacele işlemler yapılmış oldubitti ye getirilmiştir. Gerek KOM gerek Siber suçlar birimlerinin adli bilişim büroları (dijital veri incelemeye haiz birimler) inceledikleri dijital materyallerde, öncelikli olarak soruşturma kapsamında olmak üzere, suç unsuru olabileceği değerlendirilebilecek verileri, tanzim ettikleri inceleme raporunda yer vermek üzere tamamlanan raporu adli makamlara sunmakla görevlidirler. Hukuken yasama, yürütme, yargı erklerinin birbirine üstünlüklerinin olmadığı görev ve yetkilerinin ayrı olduğu ve bu hususların anayasa, yasa ve kanunlar ile düzenleyici işlemlerle belirlenmesi gibi, kolluk kuvvetleri de suç önleme, suçüstü ve suç sonrası durumlarda yetki ve görevlidirler. Bu bağlamda yargı alanına giren ve bir şeyin delil olup olamayacağı kararına yalnızca mahkemelerin karar verebileceği bir hususla ilgili olarak, kollukça açıkça fonksiyon gaspı (görev gaspı) yapılmıştır.

Yukarıda yer verilen hususla ilgili olarak, kolluk tarafından ilgili birimlerce yapılan dijital incelemelerde, tespit edilen bulgulara istinaden hiçbir zaman, hiçbir idari merci tarafından gerek idari yaptırım adı altında gerek idari önlem adı altında şimdiye kadar bir işlem tesis edilmemiştir. Örnek vermek gerekirse; Tehdit-şantaj suçu nedeniyle şüpheli hakkında verilen yakalama, arama-el koyma kararına istinaden, kolluk görevlilerince elde konulan dijital materyalin incelenmesi esnasında, resim ve video dosyaları bulunduğu, bu dosyalardan soruşturmaya konu olabileceği 

değerlendirilebilecek dosyaların olduğu ve bunların yanı sıra çocuğun cinsel istismarı içerikli videolar oluğunu varsayalım. Video dosyasında istismarı gerçekleştiren kişinin adı, soyadı ve unvanı gibi bilgilerin de başka bir kişi tarafından açıkça söylendiğini, söz konusu kişinin Mili Eğitim bakanlığında görevli bir memur olduğunun konuşmalardan anlaşıldığını varsayalım. Bu durumda kolluk görevlileri söz konusu memurla ilgili olarak Milli Eğitim bakanlığına bildirip ve bakanlığında ilgili kişiyi görevden uzaklaştırdığını varsayalım. Görüleceği üzere böyle bir işlem ne yasalarımızca ne de çağdaş hukuk devletinin gerekleri ile bağdaşmayacaktır. Yapılması gereken ise, tespit edilen bulguların adli makamlara intikal ettirilmesi ve yargı kararlarının sonucunun beklenmesidir. Aksi halde her dijital materyal içerisinde bulunan veri ile ilgili idari işlem yapılacaksa o halde soruşturma ve kovuşturma makamlarına ne gerek vardır. Zira yapılan işlem (sd kart içerisindeki excel belgeleri içerisinde olduğu iddia edilen ve anayasal suç teşkile eden fişleme bilgilerine istinaden 9103 polis memurunun görevden uzaklaştırılması ve sırf görevden uzaklaştırıldığı için, başka bir idari işlem olan 8 Temmuz 2018 tarihinde KHK ile ihraç edilen polis memurları) idare tarafından yapılan yargısız infaz ve peşin hüküm işlemidir.  

Raporun 39, 40 ve 41.sayfalarında yer verildiği üzere, sd kart içerisinde olduğu iddia edilen ve anayasal suç teşkil eden fişleme bilgilerinin yer aldığı excel dosyalarına ait;  Metada Bilgileri (üst veri): Dosya adı, türü, oluşturma tarihi, değiştirme tarihi, son erişim tarihi, sahiplik bilgileri(Teknik bilgi dışında bir veri söz konusu olmadığından gizlilik içeren bir veri olduğu öne sürülemez)ne KOM ve SİBER birimlerince yer verilmediği, dijital materyale ait imaj alma işlemlerini içeren log dosyasına yer verilmediği, konu ile ilgili olarak yapılan yargılamalarda mahkemelere dahi ne dosya içeriğinin (gizlilik kaydı bulunduğu gerekçesiyle) ne de dosyalara ait yukarıda yer verilen teknik özelliklerinin yer verilmediği, aksine şeffaflıktan çok uzak işlem süreçlerinin ısrarla gizlilik bahanesiyle saklandığı görülmektedir. Tüm hususlar göz önüne alındığında anlaşılacağı üzere tek mantıklı açıklaması; teslim edilen SD kart, imaj alma işlemi yapılmadan incelenmiş, bu itibarla dosyaların erişim bilgileri ve değiştirme tarihi bilgileri değişmiş olduğundan, gerek KOM gerek SİBER daire başkanlıklarınca hazırlanan raporlarda dosyalara ait teknik bilgilere yer verilmemiştir. Çünkü bu durumda yani tarih ve saat bilgilerinin değiştiği söz konusu olunca, dosya içerisine bakmakla, içerisine veri eklemek, çıkarmak veya değiştirmek arasında hiçbir fark yoktur (son erişim tarihi açısından).   Bununla beraber söz konuş işlemler gerçekleştiğinde elbette “son değiştirme tarihi” bilgisi de değişecektir. Hal böyle olunca gerek inceleme gerek export raporlarında bu duruma yer vermek dijital verilerin güvensiz, değiştirilmiş ve geçersiz olduğunu belirtmekle aynı anlama gelecektir. Ayrıca şifreli verilerin çözülüp çözülmediğinin, çözüldüyse nasıl çözüldüğünün veya çözülmediyse şifrenin nasıl elde edildiğinin belirtilmemesi, netice de her halükarda şifrenin ne olduğunun, kaç basamaklı ve kaç farklı karakter grubundan oluştuğunun yani şifre çözümleme raporlarının olmaması da söz konusu dijital materyalin (SD kart) teslim edildiği tarihten itibaren süre gelen ve devam eden süreç boyunca şaibeler ve gayri resmi işlemler şüphesini güncel tutmaya devam edecektir.

Tüm bu hususlar göz önüne alındığında; Öncelikle belirtmek gerekir ki; bu raporda yer verilen hususlarla ilgili olarak yapılan işlemlerin en baştan denetlenmesi, incelenmesi ve hiçbir mağduriyete yer vermemek, mağduriyetleri gidermek ve kasten yahut hata ile yapılan eylemlerin müsebbibi olan görevlileri ortaya çıkararak adli makamlara intikal ettirmek adalet ve güvenirliğin, tarihe ve geleceğe örnek bir davranış sergilemenin gereğidir.

Adil Yargılanma kapsamında; iki adet SD kartın çözüm raporundaki en önemli hata olan hash bilgileri (dijital imza, hash’i hesaplanan veriye özel ve parmak izi gibi benzersiz bir değerdir), metadata olarak bilinen tarih ve zaman bilgileri, veriyi oluşturan, son erişen ve değiştiren kullanıcıların kim yada kimler olduğu, tarih gibi bilgileri ve en önemlisi ise imaj alma işlemine ait log dosyasına yer verilmemiştir. Bu doğrultuda ise CMK 217 kapsamında, sanık ve müdafi ine Yargıtay kararları doğrultusunda delilin elde ediliş şeklinin okutulması neticesinde verilecek beyan kapsamında hazırlanan bu raporda; Veri bütünlüğünün bozulması ve raporda bahsettiğimiz diğer hususlar neticesinde ilgili delilin elde edilişinde hukuka ve adli bilişim kurallarına aykırı işlem tesis edilmesi neticesinde Anayasa 38/6 Ceza Muhakemesi Kanunu m.206/2-a, 217/2, 230/1-b maddeleri uyarınca hukuka aykırı delil kapsamında değerlendirilmelidir.

https://www.khkhaber.com/garson-kdan-elde-edilen-sd-kart-teknik-raporlarinin-analizi-av-mesut-can-tarim/

Avukat / Adli Bilirkişi
Mesut Can TARIM

 

Garson (K)’dan Elde Edilen SD Kart Teknik Raporlarının Analizi.docx Garson (K)’dan Elde Edilen SD Kart Teknik Raporlarının Analizi.pdf