Emrullah Öztürk / TİMETURK
Ergenekon operasyonlarında polisin el koyduğu bilgisayarlardaki bilgilerin 'kopyası şüpheliye verilmediği için' delil olmayacağı iddiası boş çıktı. Polis kayıtlarına göre, el konulan bilgisayarların kendisi delil olarak savcılığa ya da mahkemeye sunulmuyor. Harddisklerin 'imaj'ı yani 'kopya görüntü' delil olarak kaydediliyor. Harddiskte herhangi bir işlem yapılmıyor, bilgilerin deşifre işlemleri 'imaj' üzerinde gerçekleşiyor...
Hürriyet gazetesinin 9 Temmuz'da manşetten verdiği haberde Ergenekon soruşturmasında savcılığın iddialarını dayandırdığı birçok bilgisayar kaydının delil sayılamayacağı öne sürülmüştü.
Haberde, yeni CMK'ya, 'Elektronik ortamdaki kayıt veya bilgisayarlara el konulacak ise yedeği alınır, adli makamlar veya polisce mühürlenip kişiye veya avukatına verilir' hükmünü koydurtan CHP'li Tacidar Seyhan, el konulan CD ve bilgisayarlara 'geçmiş tarihli' bilgi eklenebileceğini belirtmiş ve yedeği alınmadığı için, el konulan verilerin delil olmaktan çıktığını savunmuştu.
DELİL OLARAK BİLGİSAYAR DEĞİL, 'İMAJ' ALINIYOR
Ancak, operasyonlarda Hürriyet gazetesinin iddia ettiği gibi bilgisayarlar ya da harddiskleri alınıp delil olarak kullanılmıyor. TİMETÜRK'ün yetkililerden edindiği bilgiye göre; 'Polisin, operasyonlar sırasında ele geçirdiği bilgisayarlardaki verilerin delil olarak baz almadığı o an da makinenin 'image'nin alındığı ortaya çıktı. İmage (imaj) alma yani bir diskin daha sonra kullanmak üzere görüntüsünün bir kopyasının alınması işlemi... Bu bilgiyi İstihbarat Dairesi Başkanlığı Bilgi İşlem Şube Müdürü Basri Aktepe EMNİYET PERSONELİNİN BİLGİSAYAR VE BİLGİSAYAR İLİNTİLİ SUÇLARLA MÜCADELEDE DİKKAT ETMESİ GEREKEN HUSUSLAR (ADLİ TIP ESASLARINA UYGUN OLARAK DELİLLENDİRME) başlıklı raporunda da anlatıyor.
Operasyon sırasında bilgilsayarların alınarak, verilerin değiştirileceği iddialarına karşılık raporda yer alan şu ifadeler Emniyet'in bu konuda ne kadar titiz çalıştığını ve olayın ne kadar çarpıtıldığını gözler önüne seriyor:
1.DELİLLERİN KABULLENİLMESİ, ONAYLANMASI;
Yapılan inceleme ve delil toplanması faaliyetlerinden sonra en önemli hususlardan biri de toplanan delillerin delil olarak kabul edilebilecek şekilde hazırlanmasıdır. Özellikle mahkeme sürecinde sanık avukatları bu delillerin geçersizliği ile ilgili savları mutlaka öne süreceklerdir.
Toplanan deliller muhafaza altına alındıktan sonra analiz aşaması için hazır durumdadırlar. Bu durumda ;
a. Yapılan tüm işlemler kayıt altına alınmış olmalıdır.
b. Delil niteliğindeki disk, yedekleme medyaları, gibi bilgi içeren medyalara zaman noktaları (Time stamping) atılabilir. Yani o medyadan elde edilen bilgilerin o tarihte elde edildiğini gösterir bir tekniktir.
c. Hash algoritmaları kullanılarak üretilen değerler, daha sonra yapılacak işlemlerde kullanılarak delillerin elde edildiği zamanki içeriklerinde herhangi bir değişikliğin olmadığı ispat edilmiş olur. Bu işlem herhangi bir olayın tekilliğini (unique) ifade etmektedir. Yani, DNA?nın insanları tekil olarak ifade ettiği gibi bu işlemlerde delilin tekilliği sağlanmaktadır. Elektronik parmak izi olarak da adlandırmak mümkündür. MD5, SHA türünde hash algoritmaları otoriteler tarafından da kabul gören uygulamalardır.( Computer Forensics , Kruse-Heiser, 2002)
2. DELİLLERİN ANALİZİ, DEĞERLENDİRİLMESİ
Yukarıda sıralanan tüm işlemler analiz çalışmalarına başlamadan yapılması gereken hususları detaylı olarak tarif etmiştir. Çünkü bu işlemlerdeki herhangi bir eksiklik veya atlama daha sonra yapılacak analiz çalışmalarını tamamen boşa çıkarabilir. Bu nedenle işlemlerin tam olarak yerine getirilmesi çok önemlidir.
Analiz çalışmalarında ilk yapılacak şey orijinal medyaların fiziksek yedeklerinin alınmasıdır. Silinen dosyaların, oluşturulacak yedekte de yer alması ancak bire-bir (bit-for-bit veya drive-to-drive) kopyalama ile mümkündür.
Bire-bir fiziksel yedeğin alınmasından sonra hashing uygulaması ile orijinal iki adet imaj çıkartılmalıdır. Hiçbir işlem yapmadan hash uygulaması ile üretilen değerleri bir yere yazarak üretilecek raporda kullanılması, ilerde gelebilecek itirazların önünün alınması ve tüm analizde elde edilebilecek bilgilerin (dataların) delillerden üretildiğinin ortaya konması açısından önemlidir.
Hiçbir işlemin orijinal medya üzerinde yapılmaması birinci şarttır. Tüm çalışmalar alınan imaj üzerinden yürütülmelidir. Küçük görünen bir hata bile delil olacak bir hususun yok olmasına sebep olabilir. İmaj üzerinde yapılan çalışmada hata olsa bile, orijinal veriler yeni bir imajın üretilmesinde kullanılabilir. Ticari olarak hem fiziksel yedek ve hem de imaj çıkartılması için değişik donanım ve yazılımlar mevcuttur.
