ODTÜ'lü uzmanların raporu: Suça konu dosyalar virüsle yüklenmiş

ODTÜ'lü uzmanların raporu: Suça konu dosyalar virüsle yüklenmiş
T24- OdaTv Davası'nın tutuklu sanıklarından Gazeteci Müyesser Yıldız'ın bilgisayarında elde edilen ve suça konu olan dosyaların uzman raporlarına göre Yıldız'ın bilgisi dışında yüklendiği ortaya çıktı. Ortadoğu Teknik Üniversitesi'nin bilgisayar mühendisleri tarafından hazırlanan raporda, delil klasöründe bulunan "Ulusal Medya 2010.doc", "SY.doc", "Hanefi.doc", "Yalçın Hoca.doc" isimli dosyaların, Yıldız'ın bilgisayarına virüs aracılığıyla aktarıldığı ve zamanlarının değiştirildiği bilgisine yer verildi. Avukat Nebi Doğan, müvekkili Müyesser Yıldız'ın evindeki bilgisayarda ele geçirilen ve iddianamenin delil klasöründe yer alan "Ulusal Medya 2010.doc" , "SY.doc" , "Hanefi.doc" , "Yalçın Hoca.doc" isimli dosyalar için uzman görüşü aldı. ODTÜ Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü Öğretim Üyeleri Prof. Dr. Göktürk Üçoluk ve Araştırma Görevlisi Gökdeniz Karadağ tarafından hazırlanan rapora ANKA ulaştı. Mahkemeye sunulacak raporda uzmanlar, "Yakalama ev arama ve el koyla tutanağında" 72. maddede belirtilen MD5 değeri olan diske ait olduğu belirtilen disk imajını Accessdata firması tarafından üretilen ve Adalet Bakanlığı'nca da adli bilişim incelemesinde kullanılması için önerilen FTK Imager yazılımıyla incelemesini gerçekleştirdi. Hard diskteki dosyaların kriptolama yapılarak koruma altına alınmadığının belirtildiği raporda, "İmaj alan cihazın yazılımında veya donanımında yapılan değişiklikler sayesinde imaj alınmasında kullanılan cihazın imaj alma işlemi öncesi veya sırasında, almakta olduğu imaja dosya eklemesi yapması mümkündür. Böylece imajın MD5 değeri alındığında imaja aslında çoktan dosya eklenmiş olması sağlanabilir. Bunun yanında, imaj alınırken orijinal kaynağın da uygun biçimde değiştirilmesi mümkündür" denildi. Dosyalar uzman kişiler tarafından değiştirilmişİmaj alma cihazının herhangi bir sertifikasyon sürecinden geçtiğine dair bir bilginin, ürünün web sayfasında bulunmadığına dikkat çekilen raporda, uzmanlar delil klasöründe yer alan dosyaların tarihlerine ilişkin ilginç değerlendirmelerde bulunuldu: "Dosya sisteminde bulunan oluşturulma, değiştirilme ve erişim tarihleri, çeşitli araçlar kullanılarak değiştirilebilecek, güvenilir olmayan tarihlerdir. Ancak bu tarihlerde veya dosyada bir değişiklik yapıldığında, dosya sisteminin kullanıcıya sunulmayan kendi iç kayıtlarındaki bir tabloda dosyayla ilgili kayıtlar güncellenir. Bilgisayarın ilgili dizinindeki yüzlerde dosya arasından sadece bu 4 dosyada, normal dosyalarda olmayan ve dosyalara sadece ortalama bilgisayar kullanıcıların bilemeyeceği yöntemlerle erişildiğinde "veya dosyada değişiklik yapıldığında' oluşabilecek tarih verileri bulunmaktadır. Aynı dosya sisteme sahip bir diskte bir dosya yaratılmış, yaratılan dosyanın bahsedilen tarih kayıtlarına sahip olmadığı görülmüştür."Dosyalar kullanıcı bilgisi olmadan yüklendi Raporda yer alan bilgiye göre, "Ulusal Medya 2010.doc" isimli dosyanın görünürde oluşturulma tarihi 04 Ekim 2010. İnceleme yapan uzmanlar ise sözkonusu dosyanın MFT kayıt tarihinin (değiştirilme tarihi) OdaTv'ye baskının yapıldığı 14 Şubat 2011 olduğuna dikkat çekti. Raporda yer alan bilgiye göre, "SY.doc" dosyasının görünürde oluşturulma tarihi ise 01 Ağustos 2010. Bu dosya üzerinde yapılan incelemede kaydının yine baskının yapıldığı gün ve saatlerde değiştirildiği ortaya çıktı. "Hanefi.doc" ve "Yalçın Hoca.doc" isimli dosyaların kayıtlarının değiştirilme tarihleri ise yeni OdaTv'ye polis tarafından baskının yapıldığı gün. Raporda, bu değişimin kullanıcının bilgisi dışında ve bilgisayar konusunda özel bilgiye sahip olan uzmanlar tarafından yapılabileceğine dikkat çekilerek şu değerlendirmeye yer verildi:"Bu dosyaların hepsinin tarihinin değiştirilmiş olması, "Ulusal Medya 2010.doc' dışındakilerin tarih değişikliğinden önceki tarihlerin saniyeler mertebesinde yakın olması, "SY.doc' dışındakilerin tarihlerinin değiştirildiği zamanın dakikalar mertebesinde birbirine yakın olması, bu dosyaların normal bilgisayar kullanımı dışında (kullanıcının bilgisi ve haberi olmadan) kalan bir süreç aracılığıyla imajı incelenen diske yerleştirildiğini ve tarihlerinin sonradan değiştirildiğini göstermektedir. Diğer taraftan normal bir bilgisayar kullanıcı bu tür değişiklikleri yapacak bilgisel donanıma sahip olamaz. Bu tip değişiklikleri yapabilmek için uzman seviyesinde bilgisayar ve işletme sistemi bilgisine sahip olmak gerekir."CHP adıyla gönderilen mailler virüs çıktı Dijital belgelerin kimin tarafından oluşturulduğunun kesin olarak tespit etmenin mümkün olmadığına dikkat çekilen raporda, "Bilgisayar "uzaktan yardım bağlantıların ve uzaktan denetime' izin verilecek şekilde ayarlanmıştır. Dışarıdan bilgisayara erişebilen kişi ya da kişiler kullanıcı hesabının şifreli olmamasından ötürü bilgisayara uzaktan erişim sağlayabilir ve bilgisayar uzaktan kontrol edebilir" denildi. Uzmanlardan Yıldız'ın mail adreslerinin de incelenmesi istendi. Yıldız'ın mail adresine "CHP TBMM [email protected]" adresinden gelen "3.Kayseri Dosyası' isimli maili inceleyen uzmanlar, "Normalde gmail.com uzantılı bir adresten gelen e-postaların, hizmeti sağlayan Google şirketine ait sunucular üzerinden gelmesi beklenir. Ancak bu madde incelenen e-posta (jangomail.com) sunucularından gelmiştir. Bu da e-postanın gmail.com üzerinden gönderilmesi halde gmail.com uzantılı bir adresten geliyormuş gibi gösterilmeye çalışıldığına işaret eder" değerlendirmesinde bulundu. Yine aynı adresten gelen Kayseri2 isimli dosyanın ise virüs olduğu tespitine yer verilen raporda, "[email protected]" adresinden gelen diğer maillerin de incelendiği, bunların Google firması tarafından gönderildiğinin belirlendiği belirtildi. Virüslü dosyaların başında "CHP TBMM" isminin büyük harflerle yazıldığı, partiden gönderilen maillerde de küçük harflerin kullanıldığı kaydedildi. Raporda, uzman olmayan bilgisayar kullanıcılarının çoğunun internetten dosya indirmesi işlemini web tarayıcılarla yaptığı, bunları kullanılarak dosya indirildiğinde tarayıcıların, dosyalardaki "Alternate Data Stream" adlı alana dosyanın internetten geldiğini gösteren bilgiler bulunduğunu ancak ilgili dosyalarda, yaygın bir web tarayıcısı kullanarak indirildiklerine ilişkin bir bilgi bulunmadığı belirtildi. Raporda, Yıldız'a gönderilen dosyanın ya internetten indirilmediği ya internetten indirilip sonra ilgili bilginin silindiğini ya da bilinen web tarayıcıları dışında bir yöntemle indirildiği vurgulandı. 4 dosya bilgisayara virüsle aktarıldı Raporun son kısmında ise şu değerlendirme yapıldı: "Anılan disk imajındaki dosyaların bilgisayarda oluşturulup oluşturulmadığını ya da hangi yollarla (e-posta, USB, DİSK, CD, DVD) o bilgisayara aktarıldığına ilişkin iddianamedeki gibi kesin bir yargıya ulaşmak olanaksızdır. Bundan öte dosyalardaki zaman izlerine ilişkin teknik verilen ışığında oluşan uzman kanaati, dört dosyanın bilgisayara virüs tarafından aktarıldığı ve zamanlarının değiştirildiği yönündedir."Avukat Nebi Doğan ise Yıldız'ın soruşturmanın tüm safhasında iddianamede delil klasörü içinde bulunan "word dosyalarının" kendi bilgisayarına nasıl girdiği konusunda hiçbir fikri olmadığını, bu dosyaları ilk defa bu soruşturma sebebiyle öğrendiğini, bu dosyaların bilgisayarına kendi bilgisi dışında başkaları tarafından yüklenmiş olabileceğini beyan ettiğini anımsatarak, raporda yer alan bilgiler nedeniyle müvekkilinin tahliyesini isteyeceklerini belirtti.