Oda TV için üniversite raporu ne diyordu, TÜBİTAK raporu ne diyor?

Üniversiteden bir grup uzmanın hazırladığı karşılaştırmalı rapor şöyle:

 

ODATV VEYA VİRÜS DAVASI İÇİN TÜBİTAK NE DEDİ?

 

Tutuklu gazetecilerin tutukluluk halinin devamı gerekçeleri arasında, 35 adet manipülatif dijital doküman teker teker sayıldığında, TÜBİTAK Raporu henüz dosyaya girmemişti. Özetle, tutuklu gazeteciler hakkındaki yegane suç ‘delili’ üç adet bilgisayar ve bu bilgisayarlarda bulunduğu öne sürülen sözde örgüt talimatlarıydı.

 

TÜBİTAK Raporu 7 aylık uzun bir bekleyişin ardından geldi.

 

Artık biliyoruz ki, yeni hukuk sisteminde savcıların iddialarını ispatlama yükümlülüğü yok, sanıkların masumiyetlerini ispatlama yükümlülüğü var.Savcılık ve mahkeme aylarca bu sözde delilleri incelettirmezken, sanıklar ülkenin en saygın üniversitelerinden peş peşe raporlar alarak, ‘masumuz’ dediler.

 

Üniversite raporlarında diyordu ki: söz konusu bilgisayarlara virüs gönderilmiştir.

 

TÜBİTAK Raporu ne diyor? ‘Bilgisayarlarda zararlı yazılımlar bulunmuştur’.

 

Bilgisayarınızda bu özelliklerde bir zararlı yazılım tespit edilmişse, bilgisayarınızın işletim sisteminin güvenlik duvarı çökmüş ve dışarıdan her türlü müdahaleye açık hale gelmiş demektir. Bunun bilişimciler arasındaki adı "Zombi Bilgisayar"dır. Artık o bilgisayar sizin kontrolünüzden çıkmış bulunmaktadır. Göremediğiniz ve virüs koruma programları ile tespit edilemeyen bir el size hissettirmeden her türlü işlemi yapma imkanına kavuşmuş demektedir.

 

TÜBİTAK Raporunda yer alan bir başka çarpıcı tespit ise, dokümanların virüs yoluyla gönderilmiş olabileceği yönündeki değerlendirmedir. Bilirkişiler dosyaların virüs yoluyla gönderildiği yönünde bir bulguya ulaşamadıklarını ifade etseler de, böyle bir bulguya ulaşılamamış olmasının, söz konusu dokümanların virüs yoluyla gönderilmediği yönünde kesin bir sonuca götüremeyeceğini belirtmişlerdir. Bir başka ifadeyle bilgisayar korsanları tarafından virüs izlerinin temizlenmiş olacağını ifade etmektedirler.

 

TÜBİTAK  Raporunun en çarpıcı noktası suçlamalara dayanak dijital dokümanların tutuklu gazeteciler tarafından hiçbir şekilde oluşturulmamış, değiştirilmemiş ve erişim sağlanmamış (açılıp okunmamış) olmasıdır. Bu durumun bir başka bilgi ile birlikte ele alınması gerekmektedir. O da söz konusu dijital dokümanların Emniyet, Bilimsel Mütalaalar ve TÜBİTAK tarafından belirtildiği üzere bilgisayarda "silinmiş" vaziyette bulunmalarıdır. Silinmiş bu dokümanlar özel programlar kullanılarak tespit edilmektedir. Bu noktada sorulması gereken soru şudur: Eğer yasal kullanıcılar tarafından bu dokümanlar oluşturulmamış, değiştirilmemiş ve erişim sağlanmamış ise bu dokümanları bilgisayarlara yükleyen ve silen kişiler kimdir? Bu sorunun cevabı gayet açıktır. Bu durum normal olmayan bir kullanıcı davranışıdır ve bizi virüslü e-mailleri göndererek sosyal mühendislik saldırısını gerçekleştiren kişilere götürmektedir.

 

Üniversite raporlarında diyordu ki: virüsler belli bir adresten, abd’den gönderilmiş ve bu bilgisayarlar hedef alınmıştır   

 

TÜBİTAK Raporu ne diyor?

 

‘Barış Pehlivan ve Müyesser Yıldız'ın bilgisayarlarının aynı kaynaktan organize bir zararlı yazılım saldırısına maruz kaldığı görülmektedir. Jangomail adresinden gönderilen ve CHP Genel Merkezi'nden gönderilmiş izlenimi verilen e-mailler yoluyla birisi İstanbul'da diğeri ise Ankara'da bulunan 2 bilgisayar hedef alınmıştır. Bu durum aynı kaynaktan ve planlı olarak sosyal mühendislik amaçlı, Müyesser Yıldız ve Barış Pehlivan'ın bilgisayarlarının hedef alındığını göstermektedir. ‘(s. 230-231)

 

OdaTV ve Müyesser Yıldız'ın bilgisayarlarındaki virüslerin benzerliği ve virüslerin bağlantı kurmaya çalıştığı adreslerin aynı olması nedeniyle, her iki bilgisayara gönderilen virüslerin aynı saldırgan tarafından gönderildiği ihtimali güçlü görülmektedir (s.243. ve 244)

 

Üniversite raporlarında diyordu ki; o dosyalar bilgisayarların kullanıcıları tarafından oluşturulmamış ve açılmamıştır.

 

TÜBİTAK Raporu Ne Diyor?

 

"Ek-1’de listelenen dosyalardan SY.doc ve PRJ_60.doc dosyaları dışındakilerin ilgili bilgisayarlarda oluşturulduğuna veya değiştirildiğine dair bir bulguya rastlanmamıştır. SY.doc ve PRJ_60.doc dosyalarının Delil-2 (B. Pehlivan’ın) bilgisayarında değiştirilmiş olma ihtimali mevcuttur. Bu iki dosya dışındaki dosyaların bilgisayar kullanıcıları tarafından açıldığında, işletim sistemi üzerinde oluşabilecek izler incelenmiş ve ilgili bilgisayar kullanıcıları tarafından açıldıklarına dair kuvvetli bir bulgu olmadığı tespit edilmiştir." (s.292)

Ancak yine TÜBİTAK Raporunun 190 ve 163. sayfalarında şu tespitlere yer verilmiş;

 

“Her üç delil diski için işletim sistemi izlerinin incelenmesi sonucunda dosyanın(SY.doc)

 

kullanıcı tarafından açıldığına dair bir bulguya rastlanmamıştır.”(s.190)

 

“İşletim sistemi izlerinin incelenmesi sonucunda dosyanın kullanıcı tarafından(PRJ_60.doc)

 

açıldığına dair bir bulguya rastlanmamıştır.” (s.163)

 

TÜBİTAK Raporu da o sözde belgelerin açılmadığını tespit ettiğine göre, şunları sormamız gerekiyor:

• Açılmayan bir belge üzerinde değişiklik yapılabilir mi?
• Açılmayan bir belge, aynı zamanda okunmamış demektir. O halde bunlar için ‘örgüt talimatı’, sanık gazeteciler için  ‘örgüt yöneticisi ve üyesi’ denebilir mi?

TÜBİTAK Raporu’nun ‘Zararlı Yazılım Analiz Sonucu’. VEYA ‘Müyesser Yıldız masum, diğerleri suçlu’ mu? Farklılığın Sebebi Nedir?

TÜBİTAK "Zararlı Yazılım Analiz Sonucu"nda şöyle (s. 259) deniyor:

"Bahse konu olan dosyaların, bu yazılımlar vasıtasıyla geldiği veya gelmediği konusunda yorum yapabilmek için dosya üstverilerindeki uyumsuzlukların tespit edilmesi ve dosyaların varlığından kullanıcıların haberdar olduğunu işaret eden işletim sistemi izlerinin de incelenmesi gerekmektedir. Bu konudaki ayrıntılı incelemeler Cevap-5 bölümünde her dosya için ayrı ayrı yapılmıştır."

Cevap-5, incelenmesi TÜBİTAK'tan istenen 35 dosyanın üstverilerinin incelendiği bölümdür. İşte bu çelişki veya farklılığın sırrı da burada gizli.

Müyesser Yıldız’ın bilgisayarından çıkan sözde 4 belgenin (sf. 145-163, 174-192, 197-201) üst verileri (yazan kişi, tarihler gibi bilgiler) incelenirken tarih bilgilerinde ciddi bir uyumsuzluk tespit edilmiş. Bu tarih farkının oluşması konusunda bilirkişiler bazı teknik işlemlere bağlı üç ihtimal bulunduğu kanaatine varmış.

TÜBİTAK, Müyesser Yıldız’ın bu tür işlemleri yapabilecek yetkinlikte olmadığını vurgulamış ve ‘sözkonusu bilgisayarda bu tarihleri değiştirebilecek hazır bir programa ait bir bulgunun da yer almadığını’ belirtmiş.

Ve varılan sonuç:

“Sonuç olarak, Delil-3’teki (Müyesser Yıldız’ın bilgisayarı) dosya sistemi üstveri uyumsuzlukları ve bu bilgisayar kullanıcısına başarılı bir şekilde gerçekleştirilmiş olduğu değerlendirilen hedefli zararlı yazılım gönderme saldırısının zamanlaması, Delil-3 bilgisayarındaki dosyaların zararlı yazılım vasıtasıyla gönderilmiş olma ihtimalini güçlendirmektedir.”

Müyesser Yıldız’ın bilgisayarına ilişkin bu kesinliğe rağmen, Barış Pehlivan ve Odatv bilgisayarları konusundaki belirsizliğin sebebine gelince;

Üç bilgisayara ilişkin tespitlerin tamamı aynı. Tek fark işte bu üstveri incelemesinden kaynaklanıyor.Peki aynı üstveri incelemesi bunlarda niye yapılmamıştır? Çünkü onlarda bulunan dosyaların çoğu silinmiş haldeydi. Bir dosya silindikten sonra bile hard diskte kalır; ama dosya sistemi üstverisi silinir. Bu nedenle silinen dosyalar bile tamamen ya da -silinen dosyanın olduğu hard disk bölgesine bilgisayar yeni bir veri yazdıysa- kısmen kurtarılabilmektedir. Can alıcı ayrıntı; raporun bu silinip, kurtarılan dosyalarla ilgili bölümünün, daha güvenilir olan dosya üstverilerine değil, çok daha kolay değiştirilebilen belge üstverilerine dikkate alınarak hazırlanmış olmasıdır.

Müyesser Yıldız’ın bilgisayarından çıkan sözde belgelerdeki tarih çelişkisinin gözler önüne serilmesi, bu iki üstveri bilgisinin de elde edilebilmiş olmasıyla sağlanmıştır.

Sonuç olarak TÜBİTAK Raporu da diyor ki “…diğer iki bilgisayardaki, yani Oda TV bilgisayarı ile Barış Pehlivan’ın bilgisayarındaki dosyalar için aynı kesinliğe varılamamasının nedeni, bu bilgisayarlarda bulunan dosyaların çoğu “silinmiş” nitelikte olduğundan, ‘bu dosyalara ait “dosya sistemi üstveri bilgilerine” dayalı bir inceleme yapılamamış olmasıdır’

Yine TÜBİTAK  Raporundan bir başka tespit:

‘Dijital dokümanların üst veri bilgilerinde "normal kullanıcı davranışı ile açıklanamayacak" bir takım tutarsızlıklar bulunmaktadır. Bu durum söz konusu bilgisayarlara "normal olmayan" bir müdahalenin gerçekleştirilmiş olduğunu göstermektedir.’ (sf. 145-163, 174-192, 197-201). Bir başka ifadeyle virüs yoluyla müdahalede bulunan kişiler suçlamalara dayanak dijital dokümanların üst veri bilgilerinde oynama yaparak, virüs bulgularını yok etmeye ve söz konusu dokümanları tutuklu gazeteciler ile ilişkilendirmeye çalışmışlardır.

Son olarak,rapor medyada yer aldıktan sonra dokümanların 2010 yılına ait olduğu ancak virüsün 2011 yılında bilgisayarlara gönderildiği şeklinde teknik bilgiden yoksun değerlendirmeler yer almıştır. Herkesin anlayacağı bir dille açıklayalım. Bir dijital dokümanı virüs yoluyla gönderebilmeniz için öncelikle onu kendi bilgisayarınızda yaratmanız gerekmektedir. Sonrasında virüsü sosyal mühendislik saldırısı gerçekleştireceğiniz bilgisayara e-maille gönderirsiniz. Bu durumda zaten dokümanlar virüsten daha eski tarihli olacaktır. Tüm bunlardan ayrı olarak TÜBİTAK, dijital dokümanların üst veri bilgilerinde "normal kullanıcı davranışı olmayan müdahaleler" tespit etmiştir. Bu durum suçlamalara dayanak dijital dokümanların üstveri bilgelerinin yani oluşturma tarihi, değiştirme tarihi ve erişim tarihinin bir müdahaleye uğradığı anlamına gelmektedir.

SONUÇ: Tüm bu teknik izahları bir yana bırakalım. TÜBİTAK ‘delil’ bilgisayarlarda virüs olduğunu belirlemiştir. Bu da o sözde delilleri şüpheli hale getirmeye yetmektedir.

Bir diğer evrensel hukuk kuralları, ‘ŞÜPHEDEN SANIK YARARLANIR’ilkesidir. Şayet yeni hukuk düzeninde, ‘ŞÜPHEDEN SAVCI YARARLANIR’ gibi bir kural daha icat edilmemiş ise artık bir saniye dahi beklenmeden bu tutuklulukların sona erdirilmesi gerekmez mi?

Kamuoyuna saygılarımızla duyurulur. 

 

Oda TV Soruşturması Dijital Adli Analiz Raporu için tıklayın...