Odatv davasının görüldüğü İstanbul 16. Ağır Ceza Mahkemesi TÜBİTAK’tan gelen raporun yeterli olmadığını belirterek yeniden rapor hazırlamasına karar vermişti. Bu kararın ardından davanın tutuklu sanığı Soner Yalçın’ın avukatları Duygun Yarsuvat ve Hüseyin Ersöz, TÜBİTAK’a sorulması için 6 soru hazırladı. İstanbul 16. Ağır Ceza Mahkemesi’nde sunulan dilekçede, “Mahkemeniz tarafından TÜBİTAK'a yeniden müzekkere yazılarak söz konusu 35 dijital dokümanın kesin suretle "virüs" yoluyla gönderilip- gönderilmediğinin sorulması karara bağlanmıştır. Bu soru başlı başına Adli Bilişim esaslarına aykırıdır. Çünkü dijital ortamda hiçbir tespit kesinlik içermemektedir" denildi. Maddi gerçeğin ortaya çıkması için bazı sorular hazırladıklarını belirten avukatlar, dilekçeleri ile birlikte TÜBİTAK’a sorulmasını istedikleri soruları da mahkemeye sundu.


İşte Yalçın’ın avukatlarının TÜBİTAK’a sorulmasını istediği 6 soru;


1- Dosyanın kullanıcı tarafından açılmamış olması ne anlam ifade etmektedir ? Bu durumun adli bilişim açısından yorumlanması yapılırsa hangi sonuca ulaşılabilir?


2- Dokümanlar ile silinmiş olarak tespit edildikleri bilgisayarlarda kurulu MS Office sürümünün versiyonları nedir?


3- Müyesser Yıldız'ın kullandığı bilgisayarda, özel hedefli sosyal mühendislik saldırısının sonucu olarak aktif olarak çalıştığı tespit edilen ve dosyaların yüklenmesinde kullanıldığı düşünülen virüs/kötü amaçlı yazılım ile diğer bilgisayarlarda özel hedefli sosyal mühendislik saldırısının sonucu olarak bulunan ve aktif olarak çalıştığı tespit edilen virüs/kötü amaçlı yazılım isimleri nelerdir? Bu virüsler/kötü amaçlı yazılımlar tanınmış anti-virüs üreticilerince nasıl sınıflandırılmakta ve ne isimlerle anılmaktadır ? Söz konusu virüs/kötü amaçlı yazılımların sistem üzerindeki etkileri ve kabiliyetleri nelerdir ? Bu unsurların özellikleri aktif olarak çalıştıkları sistemi nasıl etkilemekte, sistem üzerinde tam olarak ne gibi işler yapabilmektedirler?


4- İncelemeye konu hard diskler içerisinde özel hedefli sosyal mühendislik saldırısı sonrası zararlı yazılımların bulunması, bilimsel olarak bu hard disklerin güvenilir olmadığını söylemek için yeterli midir? Konuyu delil sağlığı ve güvenilirliği açısından irdeleyiniz?


5- 3 ayrı delil bilgisayarına (Odatv, Barış Pehlivan ve Müyesser Yıldız'ın bilgisayarları), aynı tarihte (5 Şubat 2011), aynı kaynaktan (Jangomail), aynı yöntemle (e-mail), aynı trojan türüyle (Bandook RAT), aynı virüsle (Svchost.exe), aynı kabiliyete sahip zararlı yazılımla (uzaktan yönetim ve dosya atma) özel hedefli sosyal mühendislik saldırısının yapılması ve bu saldırı sonrası zararlı yazılımların aynı işlevi görmesiyle (aktif olarak çalışması) Müyesser Yıldız'ın bilgisayarındaki dosyaların (24 Ağustos 2012 tarihli TÜBİTAK raporundaki Ek-1 listesindeki dosyalar) zararlı yazılımla gönderildiğinin düşünülmesi; Müyesser Yıldız'ın bilgisayarlarındaki ilgili dosyaların diğer delil bilgisayarlarında da (Odatv ve Barış Pehlivan'ın bilgisayarları) bulunması ve bu dosyalar üzerinde ilgili bilgisayar kullanıcıları tarafından hiçbir işlem gerçekleştirmemiş olmaları toplu olarak düşünüldüğünde; ilgili dosyaların tüm delil bilgisayarlarına zararlı yazılım aracılığıyla gönderilmesi ihtimalini güçlü kılar mı?


6- "sy.doc" ve "prj_60.doc" dosyalarının Delil 1 bilgisayarlarındaki üst verilerinden hareketle ilgili dosyaların "TOSHIBA" isimli bir bilgisayarda değiştirildiği ama aynı dosyaların kullanıcı adı "TOSHIBA" olan Delil 2'ye geliş saatlerinin, ilgili dosyaların Delil 1'de görünen son değiştirme saatinden saatler sonra gibi görünmesi, yine aynı dosyaların Delil 2'de açılmamış olması bu dosyaların Delil 2'de değiştirilmediği anlamına gelmez mi?


SG (MK)