TÜBİTAK'tan Soner Yalçın'a kötü haber

TÜBİTAK bilirkişilerince mahkemeye gönderilen ek raporda, 'Odatv' davasının görüldüğü İstanbul 16. Ağır Ceza Mahkemesi'nin, 'kimi sanıklardan ele geçirilen bilgisayar imajlarıyla ilgili yazılan ilk rapordaki net olmayan ifadelere yanıt verilmesi ve doyurucu bilgi aktarılması yönündeki' sorularına karşılık, dijital doküman incelemelerinin yer aldığı 'yüksek ihtimal'li cevaplar verildi.

Dava kapsamında, Odatv (Delil 1), sanıklar Barış Pehlivan (Delil 2) ve Müyesser Yıldız'dan (Delil 3) ele geçirilen bilgisayarlardaki dijital verilerin incelenmesine ilişkin ikinci kez TÜBİTAK'tan istenilen ve bugün mahkemeye ulaştırılan Osman Pamuk, Ünal Tatar ve Emin Çalışkan imzalı 84 sayfalık ek raporda, ikinci kez incelenen dava konusu dijital verilerle ilgili bilgiler sunuldu.

Kesin yargı belirtir ifadelerden kaçınıldığı gözlenen raporda, sanık avukatlarının 'ele geçirilen bilgisayarlara zararlı yazılımla dava konusu belgelerin aktarıldığı' iddiasına karşılık, dava konusu Delil 1, Delil 2 ve Delil 3 verileriyle ilgili, mahkemenin sorularına detaylı bir şekilde yanıt verildi. Rapordaki bu yanıtların genelinde, 'yüksek ihtimal' ifadesinin kalın puntolarla kullanıldığı da dikkati çekti.

'Analiz soruları', 'incelenen deliller', 'kullanılan araçlar', 'metodoloji' ve 'müzekkere soruları' bölümleri yer alan ek raporun, 'Müzekkere soruları' bölümünde, İstanbul 16. Ağır Ceza Mahkemesi tarafından veri incelemelerinin anlaşılır olabilmesi için hazırlanan 9 soruya, 9 cevap verildiği görülürken, davanın sanıklarından eski Emniyet Müdürü Hanefi Avcı'ya 11, Soner Yalçın'a yönelik de 6 soru ile cevaplar yer aldı.

-'Dosyalar, bu bilgisayarlarda mı oluşturuldu?'

Raporda, mahkemenin, 'dava konusu dijital verilerin, anılan bilgisayarlarda kesin olarak oluşturulup oluşturulmadığı, değiştirilip değiştirilmediğinin tespitinin mümkün olup olmadığı ve tespitin mümkün olmaması halinde nedenlerinin açıklanması'na yönelik ilk sorusuna, 'Herhangi bir dosyanın bir bilgisayarda oluşturulup oluşturulmadığı, değiştirilip değiştirilmediğinin kesin tespiti mümkün değildir. Bir dosyanın bir bilgisayarda oluşturulduğuna veya değiştirildiğine işaret eden dijital bulguların kesinlik ifade etmemesi ve bilgi sahibi bir kullanıcı tarafından değiştirilebilir olmasıdır' cevabı verildi.

Rapordaki yanıtta, şu ifadeler yer aldı:

'Belirtilen dosyaların delil 1 ve 2 bilgisayarlarına, bahse konu olan zararlı yazılımlar ile yüksek ihtimalle gönderilmediği de göz önünde bulundurulduğunda, yazar alanında ofis kullanıcı ismi 'soner' olan dokümanların yüksek ihtimalle 'Soner Yalçın' isimli şahsa ait farklı bir bilgisayarda oluşturulduğu, yazar alanında 'Barış' yazan dokümanların da yüksek ihtimalle 'Barış Pehlivan' isimli şahsa ait farklı bir bilgisayarda oluşturulduğu ve daha sonra ilgili bilgisayarlara CD/DVD, USB tarzı veri depolama cihazlarıyla taşındığı değerlendirilmektedir. Benzer şekilde, son değiştiren kullanıcı alanında 'soner' ve 'Barış' kullanıcı isminin geçtiği dokümanların da sırasıyla 'Soner Yalçın' ve 'Barış Pehlivan' kullanıcılarına ait farklı bilgisayarlarda son olarak değiştirilmiş olma ihtimalinin yüksek olduğu değerlendirilmektedir.

'Prj_60.doc' ve 'SY.doc' dosyaları dışındaki diğer dosyaların Delil 1, 2 veya 3 bilgisayarında oluşturulmuş veya değiştirilmiş olma ihtimali çok düşüktür. İncelemeye konu olan dosyalar için işletim sistemi izleri ve dosya sistemi üst verileri, ofis üst verileri değerlendirildiğinde oluşan kanaati kuvvetlendirmektedir.'

'Dosyaların açılmasıyla alakalı izlere rastlanmamış olması, ilgili dokümanların açılmadığını kesin olarak göstermemektedir. Bu izlere rastlanılması ise kuvvetli bir ihtimalle bu dokümanların açıldığına işaret etmektedir' ifadesi kullanılan raporda, Delil 1 ve Delil 2 bilgisayarlarına, dava konusu dosyaların yüksek ihtimalle zararlı yazılımlarla gönderilmediğinin göz önünde bulundurulması durumunda, dosyaların kullanıcı bilgisi dahilinde Delil 1 bilgisayarında bulunduğu ve erişim tarihlerindeki güncellemelerden ötürü bu dosyalar üzerinde kullanıcı tarafından bir işlem yapıldığının değerlendirildiği bilgisi yer aldı.

-'Dosya oluşturulma ve zararlı yazılımların gönderilme zamanları'-

Raporda, 'ilk raporda belirtilen dosyaların anılan bilgisayarlarda 'zararlı bir yazılım tarafından gönderildiğine veya değiştirildiğine dair bir bulguya rastlanmamıştır' olgusunun yalın bir şekilde açıklanması' şeklindeki bir soruya karşılık da, 'İlgili bilgisayarlara hedefli olarak uzaktan yönetim özelliği bulunan zararlı yazılımlar gönderilmiştir. Bu zararlı yazılımların ilgili bilgisayarlarda çalışmış olduğu tespit edilmiştir. Erişilen dosya sistemi, tarih üst verilerine göre, dosyaların oluşturulma zamanları, ilgili zararlı yazılımların gönderilme zamanlarından öncedir' ifadesi kullanıldı.

Dosyaların bahse konu olan zararlı yazılımlarla gönderilmiş olabilmesi için, tarih üst verilerinin değiştirilmiş ve önceki bir tarihe alınmış olması gerektiği aktarılan raporda, 'Bulgular doğrultusunda Delil 1 ve Delil 2 bilgisayarlarında söz konusu dokümanların yüksek ihtimalle bahse konu olan zararlı yazılımlarla bu bilgisayarlara gönderilmediği değerlendirilmektedir' denildi. Yine, delil 3 bilgisayarıyla ilgili net bir sonuca varabilmek için kullanılabilecek herhangi bir veriye ulaşılamadığı da aktarıldı.

Sorulara karşılık verilen diğer cevaplar ise şöyle sıralandı:

'-Zararlı yazılımların gönderildiği tarihte, delil bilgisayarlarında o zamanki güvenlik ürünleri tarafından tespit edilebilmeleri ve engellenmeleri mümkün olmamıştır.

-Zararlı yazılımla veya kullanıcının kendisi tarafından yapılabilecek bu tür bir manipülasyona ilişkin bir izle ilgili imaja rastlanmadığından, dosya tarih tutarsızlıklarının hangi şekilde oluştuğu net olarak söylenememektedir.

-Bulgulara dayanarak, kullanıcıların Teamviewer uygulamasıyla birbirlerinin bilgisayarlarına uzaktan erişim sağladıkları düşünülmektedir. Bu nedenle davaya konu dosyaların ilgili hard disklere bu program aracılığıyla gelmiş olması ihtimaller dahilindedir.

-Zararlı yazılımlar, önceki raporda belirtilmiştir. Diğer zararlı yazılımların da analiz sonuçları aynı veya rapor sonucu değiştirmeyecek şekilde benzer olduğu için diğer zararlı yazılımların analiz sonuçları raporda belirtilmemiştir.

-'SY.doc' dosyasının 'Soner Yalçın' isimli şahıs tarafından başka bir bilgisayarda, 'prj_60.doc' dosyasının 'Barış Pehlivan' isimli şahıs tarafından başka bir bilgisayarda oluşturulmuş olma ihtimalinin yüksek olduğu, yine bu iki dosyanın Delil 2 bilgisayarında değiştirilmiş olma ihtimalinin de yüksek olduğu değerlendirilmektedir.'

İstanbul 16. Ağır Ceza Mahkemesi, bir önceki celsede dava kapsamında istenilen ve hazırlanan TÜBİTAK raporunu yeterli bulmadığı gerekçesiyle ek rapor düzenlenmesine karar vermişti.