Gündem

Savunmanın işi kesin bir delil olmadığını göstermek…

Yazan: Güventürk Görgülü Yusuf Kasuto
Ertan Önsel

Bilgi Üniversitesi Öğretim Görevlisi Chris Stephenson'a göre dijital verilerin güvenilir bir delil olarak ele alınması son derece zor

Bilgisayar verilerinin ceza yargılamasında delil olarak kabul edilebilmesi için kime ait olduğunun belirlenmesi ve üzerinde daha sonra oynama yapılıp yapılmadığının açıklığa kavuşturulması gerekiyor. Teknik olarak son derece güç ve tartışmalı olan bu konuyu İstanbul Bilgi Üniversitesi Bilgisayar bilimleri Bölümü öğretim görevlisi Chris Stephenson’a sorduk.



HaberVs: OdaTv iddianamesine dayanak oluşturan ve OdaTv bilgisayarlarından elde edildiği öne sürülen word belgelerinin kullanıcıların bilgisi dışında virüs yoluyla gönderildiği ve geriye dönük olarak tarihlerinin değiştirildiği yönünde birbiri ardına bilirkişi raporları açıklandı. Örneğin ODTÜ’de Müyesser Uğur’a ait imaj kopyası üzerinde yapılan çalışma bu belgelerin neredeyse kesin olarak kullanıcının bilgisi dışında bilgisayara yüklendiğini gösteriyor. Bu tür belgelerin delil olabilmesi mümkün mü?

Stephenson: Çok dikkatli ve muhafazakar bir dille yazılmış, ama o rapor, yüzde 99  ihtimalle, bu dosyaların bilgisayar sahibinin haberi olmadan yüklendiğini söylüyor. Bunu yapmak için kesin olarak hangi yöntemin kullanıldığı belli değil ama dosyaların durumu için en basit açıklama, dosyaların dışarıdan ya fiziksel bir aletten ya da internetten bilgisayarlara yüklenmiş olması. Kendi bilgisayarına şifre koymayan bir insan bunları yapabilecek durumda değil. Yani bir insan kendi bilgisayarına bir veri yükleyecek, ama sanki başka biri tarafından dikkatsiz bir şekilde yüklenmiş gibi bir iz bırakacak, o tabii ki mümkün ama sokaktaki bir insan için bunun olasılığı yüzde 0,01 öbürünün olasılığı yüzde 99,99. Bu rapor çok net bir şekilde bunu ortaya koyuyor.

Burada iki tane olasılıktan bahsediliyor. Bir tanesi imaj alınırken yüklenebilir, bir tanesi de bir truva atıyla yüklenebilir. Sizce hangisi? Virüsle yüklenmiş olma ihtimali mi daha güçlü?

İkisi de olabilir. Ama tabii ki birincisinde kim gelip bu imajı aldıysa, imajı almadan hemen önce  bu işi yapmıştır. Değiştirilmez bir şey yok bilgisayarda. Dolayısıyla bütün delilleri yok etmek mümkün ama bir beceri meselesi. Becerikli biri, yeterli vakti olan, hazırlıklı giden biri bütün delilleri değiştirebilir. Bilgisayarı açtın, onun hard diskini başka bir bilgisayara bağlamışsın, o anda o bilgisayarın tam kontrolü senin elinde. Yapmak istediğini yapabilirsin. Fakat biz, tabii ki böyle bir suçlama yapamayız. Dolayısıyla önceden internetten yapılması bana daha mümkün geliyor çünkü yani o zaman bunu yapanın daha fazla vakti var. Yani işte o bilgisayar açık duruyor, internete bağlı, giriyorsun istediğin değişikliği yapıyorsun.

Bu durumda belgelerin yeterince güvenilir olmadığından ve ceza yargılamasında delil olarak dikkate alınamayacağından söz edilebilir mi?

Mahkemede savunma açısından tabii ki Türk adli sistemini tam bilmiyorum ama burada savunmanın işi bunların kesin bir delil olmadığını göstermek. Yani başka bir açıklama yaratmak zorunda değilsin. Yani mücevher çalındı, müvekkilim orada değildi, dolayısıyla o çalmadı. Ondan sonra hakim ve savcının sana “O zaman kim çaldı?” diye sormaya hakkı yok. “Banane, ben polis miyim” diyebilirsin.

Bu tür belgeleri yaratmak için nasıl bir truva atı veya virüs yazılımı kullanılır? Yani bu tür dosyalar ne yapar?

Bütün bu trojan virus proglamlarının ilk yapacağı şey o dosyanın kendileriyle ilgili olan kayıtlarını silmek. Ondan sonra işi bitince kendisini de siliyor. Yani delil bırakmamak için. Dolayısıyla burada yine de yasal olarak her zaman tartışılabilir ama burada bu rapora bakarken çok net olan şey bu. Bu belgeler delil olamaz. Kimse mantıklı bir şüphe bulamaz. Bu bu belgeler bilgisayarın sahibi tarafından normal şekilde oluşturulmamış.

Özel olarak bu iş için yazılmış bir truva atının herhangi bir virus tarama programı tarafından tanınması mümkün müdür?

Fotoğraf: Ertan Önsel

Fotoğraf: Ertan Önsel

Bu programlar iki şekilde çalışıyor. Birincisi genel olarak bir şeyler yapıldı mı diye bakıyorlar. Ama özellikle neyi tarıyorlar; tanınmış virüs imzalı olarak bilinen bir paterni arıyorlar. Ama zararlı yazılımlar her zaman işletim sistemini kontrol altına alıyorlar ve kendilerini göstermiyorlar. Dolayısıyla virus programları yüzde 100 başarılı değiller. Kandırılabilirler ve bunun için özel bir virus yazmaya da hiç gerek yok.

Peki bilgisayara şifre koymak fark eden bir şey mi? Yani bilgisayarda şifre olsaydı olmaz mıydı böyle bir şey?

Yok, alakası yok. Burada raporda yazıyor… Şifre çok basit bir şey, o şifre pek korumuyor. Sadece kullanıcının acemiliğinin göstergesi bu. Çünkü, aslında şifreli bir bilgisayar da güvenli değil. İşletim sistemi update edilmemiş. Dolayısıyla Microsoft’un bir sürü güvenlik açığı mevcut. Vista, çok güvenli bir şey değil. Bu, genellikle dükkandan aldığın Vista bilgisayar, çok tehlikeli bir alet yani internete bağlanmamalı. Yarım saat bilgisayara bağlı kalırsa bulaşır. Bulaşma olasılığı yüksek. Bir sürü virus programı tespit edilmiş, herhangi biri bu işi yapmış olabilir.

Bir de şunu soralım. Şimdi Ahmet Şık’ın bilgisayarındaki bir kitap dosyası ODA TV’nin bilgisayarında çıktı deniyor. Ahmet “oraya nasıl gittiğini bilmiyorum” diyor. Onlar da “biz de nasıl geldiğini bilmiyoruz” diyorlar. Dolayısıyla o da bir şekilde oradan oraya transfer edildi. Peki bizim okuldan böyle bir şey yapmak mümkün mü?

Evden yapmak daha kolay. Çünkü okulun bir firewall’u var,  bütün okulun ağına bağlı olan. Dolayısıyla dışarıdan makinalara genellikle erişim vermiyor. Yani bir hocanın masasındaki makinaya doğrudan, dışarıdan erişilmesi mümkün olmamalı ama o da yapılır. Ama  ben o işi yapacaksam Ahmet’in evinden yaparım. Evden sadece onun IP’sini bulacaksın ve bu çok zor değil. Ahmet’in evindeki ADSL’nin sabit IP ya da değişken IP olup olmadığını öğrenmek lazım. Ondan sonra adresi biliyorsan ve mesela TTNET’in içinde bir adamın varsa,  hangi IP blokunda olacağını bulursun. Mesela, 50 bilgisayar aynı blokta, orada bir havuz var, 50 bilgisayar bağlandığında kendisine bir IP numarası veriyor ve bu işi yapmak için bütün bu 50 bilgisayara gidip Ahmet’in bilgisayarı olup olmadığını kontrol etmek çok kolay. Somut bir dosya arıyorsun ve etrafına bakıyorsun böyle bir dosya var mı diye. Eğer varsa hemen alıyorsun. Kötü hacker olan bir insan bile yapabilir.

Mail trafiği sırasında bir şey çalınabilir mi? Yani Gmail’den birbirimize bir şey gönderdik diyelim, güvenli midir o anlamda?

Yani süper emniyetli değil. Sadece senin şifreni çalmak yeterli. Senin şifreni çalmak o kadar zor bir şey değlil. Bir Gmail erişiminin SSL olup olmadığını biliyor musun? Güvenli bir kanaldan gitmiyorsun. Yani o network bağlantının herhangi bir yerinden erişim varsa senin bütün e-maillerini okumak mümkün, ama olabilir de olmayabilir de…  Bu tür websiteleri artık SSL erişime geçiyorlar. İkinci şey, tabii ki şifre çalınması; şifre çalmak çok kolay. Bizim birinci sınıf öğrencileri bunu yapabiliyorlar.

Bir de, bütün iddianamede, dosyaların, Windows üzerinde görülen tarihleri ve kullanıcılarıyla hareket ediliyor. Yani “Soner adlı kullanıcı tarafından şu tarihte oluşturulduğu sabittir” diye ifadeler var. O verinin öyle bir kesinlikle söylenmesi mümkün müdür?.

Uzman olmadan Microsoft Word’ü aç, yazanı değiştir, değişiklik yapanları değiştir ya da bütün bu tarihleri sil. Yapmak istediğini yap.  Sadece iyi bir Microsoft Word kullanıcısı olmak yeterli. Bir hacker olmaya hiç gerek yok.

Sonuçta dijital bir verinin güvenilirliği hiç bir zaman yüzde 100 olamıyor. Dijital imza olsa belki …

Dijital imza da tam güvenilir değil. Benim bilgisayarımı ele geçiren, benim gibi belgelere imza da atabilir. Çünkü o dosya şifreli halde bu bilgisayarda kayıtlı. O imza uzun bir rakam ben aklımda tutamam, kimse tutamaz.

Yorum yazın