BYLOCK KULLANICI TESPİTLERİ VE YARGILAMALARA ETKİSİ ÜZERİNE DEĞERLENDİRMELER

BYLOCK KULLANICI TESPİTLERİ VE YARGILAMALARA ETKİSİ ÜZERİNE DEĞERLENDİRMELER

 

Gizay DULKADİR Ali AKTAŞ
Avukat Avukat
   
   
T. Koray PEKSAYAR Levent MAZILIGÜNEY
Adli Bilişim Uzmanı

 

Hukukçu, Mühendis, İktisatçı

 

İÇİNDEKİLER

 

  1. GİRİŞ 2
  2. TEMEL TEKNİK KAVRAMLAR VE DEĞERLENDİRMELER 3

2.1. Sayısal Veri ve Sayısal Delil Kavramları, Elektronik Ortamda Depolanan Verilerin Belge Niteliği. 3

2.2. Sayısal Verinin Kaynağı ve İlliyet Bağı. 6

2.3.  Zaman Damgası  7

2.4. İmaj Kavramı. 8

2.5.  Özüt Değeri – Kriptografik Özüt (Hash)  11

2.6.  Üst veri (Meta data)  12

  1. CGNAT SİSTEMİ VE GERÇEK KULLANICILARA ULAŞMADA KARŞILAŞILAN PROBLEMLER 16
  2. GENİŞ ÖLÇEKLİ AĞ DÖNÜŞTÜRME (CGNAT) TEKNİĞİ VE 5651 SAYILI KANUN 24
  3. YARGITAY KARARI BYLOCK BÖLÜMÜNÜN TEKNİK AÇIDAN DEĞERLENDİRMESİ 31
  4. SİLİNEN LOG KAYITLARI VE VPN KULLANILAN DÖNEMLER. 33
  5. KABLOSUZ İNTERNET ORTAK KULLANIMI / PAYLAŞIMI 36
  6. TÜRK CEZA HUKUKUNDA DELİL VE ELEKTRONİK DELİLLER 39

8.1.  Türk Ceza Hukukunda Delil Kavramı ve Türleri  39

8.2.  Elektronik Delil Nedir?  41

8.3.  Elektronik Delillerin Güvenilirliği Sorunu  43

8.4.  CMK 134 md. Kapsamında Dijital Veriler  44

8.5.  Bylock Verilerinin Dosyalara Kazandırılma Biçimine Yönelik Değerlendirmeler  49

  1. SONUÇ VE ÖNERİLER 52

 

 

 

 

 

 

 

BYLOCK KULLANICI TESPİTLERİ VE YARGILAMALARA ETKİSİ ÜZERİNE DEĞERLENDİRMELER

1.            GİRİŞ

15 Temmuz 2016 hain darbe girişimi sonrası ByLock mobil iletişim uygulaması kamuoyunun gündemine gelmiş ve sonrasında gerçekleştirilen idari ve adli işlemlerde önemli bir rol oynamıştır. ByLock mobil iletişim uygulamasının FETÖ/PDY yargılamalarının merkezinde yer aldığını söylemek yanlış olmayacaktır.

ByLock mobil iletişim uygulamasının tespiti ve uygulamanın veri tabanının bulunduğu sunucuda (server) yer alan verilerin elde edilmesi önemli ve de ödüllendirilmesi gereken bir başarıdır. Ancak, yargılamaların merkezine yerleşen ByLock uygulaması ve dijital verilerin incelenmesi ve yorumlanması hem teknik hem de hukuk bilgisi gerektiren bir uzmanlık konusudur. Yürütülen haklı mücadelenin ulusal ve uluslararası meşruiyetinin korunması suçsuz kişilerin mağdur olmasının önlenmesiyle mümkündür. Her türlü eyleminde kendi üyelerini perdeleme amacı güden ve bilişim alanında profesyonel olduğu tartışmasız bir örgütle mücadele yürütürken mağduriyet oluşmaması için azami dikkat gösterilmesi gereklidir. Teknik ve hukuk uzmanlıklarının bir arada çalışması ve hukukun evrensel ilkelerine her aşamada uygun hareket edilmesi de mücadelenin meşruiyetinin korunması açısından önem arz etmektedir.

Raporda yer alan tüm bilgiler kapsamında, FETÖ/PDY’nin ByLock uygulaması ile ilki “kendi tabanını konsolide tutmak ve kontrol edebilmek”, ikincisi “üyelerini perdelemek”, üçüncüsü “olası tespitlerde oluşacak mağduriyetlerden faydalanmak” şeklinde üç temel amacının olduğu değerlendirilmektedir.

27 Aralık 2017 tarihinde Ankara Cumhuriyet Başsavcılığınca 11.480 kişinin iradeleri dışında ByLock sunucularının kullandığı IP’lere yönlendirildiğinin tespit edildiği açıklaması söz konusu tespitimizi doğrulayan bir husustur. Kamuoyunda Morbeyin uygulamaları veya ByLock zokası olarak bilinen tuzaklar bitmemiştir ve geride hala çok sayıda mağdur olduğu değerlendirilmektedir.

Morbeyin tuzak uygulamalarının ortaya çıkarılmasında katkısı olmaktan mutluluk duyan kişiler olarak, ByLock kullanıcı tespitleri ve yargılamalara etkisi üzerine görüş ve değerlendirmelerimizin bir rapor kapsamında yayınlanmasının, yürütülen mücadeleye katkı sağlayacağını değerlendirdik. Hazırlanan bu raporu ilgili tüm tarafların görüşüne açıyor ve konunun tüm yönleriyle şeffaflık içinde tartışılması gereğine inanıyoruz.

Rapor kapsamında hatalar olması muhtemeldir, olağandır. Konunun ilgili taraflarından gelecek düzeltmeler ve öneriler memnuniyetle karşılanacaktır. İlerleyen zamanlarda raporda eklemeler, eksiltmeler veya yeniden düzenlemeler olabilecektir.

Çalışmanın faydalı olacağı inancı ve umuduyla saygılarımızı sunuyoruz.

 

2.            TEMEL TEKNİK KAVRAMLAR VE DEĞERLENDİRMELER

ByLock kullanıcı tespitlerinin ve devamındaki soruşturma ve kovuşturma faaliyetlerinin doğru anlaşılabilmesi için öncelikle bazı temel teknik kavramların açıklanmasının faydalı olacağı değerlendirilmiştir. İlerleyen alt başlıklarda temel teknik kavramlar ve bunların ByLock ile ilgisi kısaca açıklanmaya çalışılmıştır.

2.1. Sayısal Veri ve Sayısal Delil Kavramları, Elektronik Ortamda Depolanan Verilerin Belge Niteliği

Bilgisayar bilimlerinin en önemli temellerinden biri verinin (data) her zaman anlamlı bilgi (intelligence) olmadığı olgusudur. Verinin bilgi olarak kabul edilebilmesi için iç ve dış tutarlılığının yanı sıra, anlamlı olması da gereklidir.

 

Sayısal verinin bilgi niteliği taşıyabilmesi için bulunduğu ortamdaki diğer benzer veriyle tutarlı bir bütün oluşturması gereklidir. Buna iç tutarlılık da denebilir.

 

Benzer şekilde, verinin varsa dış ortamlarda yer alan diğer benzer verilerle de tutarlı olduğunun doğrulanması gereklidir. Buna da dış tutarlılık denebilir.

 

Bir sayısal kütüğün aynı zamanda bir veritabanı olduğu düşünülürse, bu veritabanına belirli şartlarla ve kurallarla erişildiği varsayıldığında anlamlı bilgi içerdiğinden emin olunabilir.

 

Veritabanı üzerinde kayıt tutan bir muhasebe yazılımını örnek verilirse veritabanındaki alacak verileri tek başlarına borç verileriyle kıyaslandıklarında sadece incelenen dönemdeki alacak borç dengesi hesaplanabilir. Bu veriler ancak müşteri verileriyle ilişkilendirildiğinde anlamlı borç alacak bilgisine ulaşılabilir.

 

Veritabanındaki müşteri kayıtlarında sadece müşteri numaraları da hiçbir anlamlı bilgi içermemektedir. Bu veri bir dış veriyle yorumlandığında anlamlı bilgiye erişilmektedir. Bir işlemin kimin tarafından yapıldığının belli olmaması durumu da yine anlamsal bütünlüğün bozulmasına sebep olur.

 

Bir kaydın hangi kullanıcı tarafından girildiği bilgisi olmadığında bu kayıt ve tüm ilgili kayıtlar da geçersiz olacaktır ve sistemin bütününde kararsızlık oluşacağı için anlamlı bilgi de bu durumdan etkilenmiş olacaktır.

 

Sistem üzerindeki bir açıktan faydalanılmak suretiyle sistem güvenliği aşılarak, parolası elde edilerek ya da zaten kullanıcı girişi yapılmış olan bir sisteme veri kaydedilerek yapılan işlemlerde de ortaya çıkan sonuç verinin tutarsızlığıdır.

 

Kavramları muhasebe örneğini genişleterek açıklamak gerekirse, bir suç örgütü tarafından kullanılan muhasebe yazılımı örneği açıklayıcı olacaktır. Suç işleyerek ve Devletten haksız kazanç sağlayarak kazanılan parayı üyelerine aktararak aklayan bir suç örgütünün bilgisayar ortamında kayıt tutan bir muhasebe yazılımının ve veritabanının ele geçirildiğini düşünelim. Suç örgütünün para aktardığı kişileri muhasebe yazılımında borçlu olarak kayıt altına aldığını ve bunun tespit edildiğini düşünelim.

 

Devletin ilgili ve yetkili birimleri, örgüt üyelerinden haksız elde ettikleri kazançları geri almak istemektedir. Ancak, yalnızca bu veritabanındaki içerik kullanılarak borçlu görünenlerden borçlarını yani haksız kazançlarını geri ödemelerini istemek ne kadar doğru olabilir?

Öncelikle muhasebe yazılımında yer alan kayıtların kendi içinde tutarlı olup olmadığı kontrol edilmelidir.  Veritabanında birden fazla kayıt bölümü varsa, yani muhasebe örneğinden devamla alacaklı kaydı, borçlu kaydı, banka hareketleri kaydı vb. farklı kayıtlar kendi içinde tutarlılık analizine tabi tutulmalıdır. Borç ve alacak kayıtları başta olmak üzere ilgili tüm veriler birbirleriyle tutarlı olmalıdır. Kaydı yapan, kaydın gerekçesi vb. verilerin de tutarlı olması gereklidir. Bu durumun kontrol edilmesine “iç tutarlılık kontrolü” denebilir. Aynı veritabanı içindeki benzerleriyle tutarlı olan veriler için bir sonraki aşamaya geçilebilir. İç tutarlılığı olduğu tespit edilen veriler dış verilerle birlikte tutarlılık analizine tabi tutulmalı ve birlikte yorumlanmalıdır.

 

Örneği genişleterek devam edecek olursak; muhasebe kayıtlarının sadece müşteri numarası ve banka hesap numaralarından (IBAN) oluştuğunu düşünelim. Müşteri numaralarının karşılarında hangi hesap numaralarından hangi tarihlerde müşterilere banka üzerinden para transferi yapıldığı ve borçlandırıldığı belirtilmiş olsun. Bu aşamada yapılması gereken hesap numaralarının kime ait olduğunu bankalara sormaktır. Böylelikle, muhasebe yazılımındaki müşteri numaraları ile gerçek kişilerin eşleştirilebilmesi yoluna gidilebilir.

 

Ancak, yalnızca muhasebe veritabanı ve banka veritabanındaki müşteri hesap numaralarının tutarlı olması borçlanma işleminin doğru olduğunu da göstermez. Banka veritabanındaki transfer edilen para miktarı, transfer zamanı, transferi yapan kişi vb. bilgilerin de tutarlı olması gereklidir. Bu verilerden herhangi birindeki tutarsızlık bilgiye ulaşmamızı engelleyecektir. Muhasebe kayıt verilerinin dış veri olan banka kayıt verileri ile kontrolüne “dış tutarlılık kontrolü” denebilir.

 

Muhasebe kayıtları ve banka kayıtları müşteri numaraları ve para transferleri açısından karşılıklı tutarlı ise, bankaların verdiği müşteri isimlerini kullanarak tespit edilen kişilerden borçlarını ödemelerini talep edilebilir mi?

 

Muhasebe verilerinin banka verileriyle kontrol edilmesi bizi bilgiye bir adım daha yaklaştırmakla birlikte, kişilerin doğru tespit edilmesi muhasebe kayıtlarının ve banka kayıtlarının bir arada doğru olmasına bağlıdır. Yani banka kayıtlarının da doğru ve tutarlı olmasına bağlıdır. Bankalar şayet aynı hesap numarasını birden fazla kişiye vermiş ise, kayıtları sağlıklı değilse elde edilen veri yine bir anlam ifade etmeyecektir. Bankalar, hesap numaralarını sabit tutmayıp, zaman içinde değiştirebiliyor veya her işlemde ayrı bir hesap numarası kullanıyor ve bunu zamana bağlı olarak kaydediyorsa, muhasebe yazılımı ve banka kayıtlarının zaman senkronizasyonunun da sağlanması bilgiye ulaşmak için zorunludur.

 

Diyelim ki, muhasebe kayıtları ve banka kayıtları tamamen tutarlı; ancak borçlu olduğu iddia edilen kişi hayatında hiç o banka şubesine uğramamış ise, hesap kendi adına başkası tarafından açılmış ise ve bu durumun tespiti de mümkün ise bu kontrolün yapılması da zorunluluktur. Örnekler çoğaltılabilir. Özetle, ilgili tüm veriler tutarlı ve anlamlı ise bilgiden bahsetmek ve bilgi doğrultusunda işlem tesis etmek gereklidir ve hukuka uygun olandır.

 

Dolayısıyla, verinin anlamlı bilgi olarak kabul edilebilmesi için aynı ortamda bulunan diğer benzer veriyle tutarlılık oluşturması, kararlı çalışan, güvenliği sağlanmış olan bir sistemde depolanması, bu sisteme belirli kurallar ve şartlarla erişimin sağlanıyor olması gereklidir. Tutarlılığına bakılan dış sistemdeki veriler de aynı özellikleri sağlamalıdır. Özetle hem incelenen hem kıyaslanan sistem kendi içinde tutarlı, diğer sistemle tutarlı ve anlamsallığı olan sistemler olmalıdır ki verilerin bilgi olarak kabulü mümkün olabilsin.

 

Sayısal ortamda depolanan veriler, istenilen şekilde; istenilen zamanı gösterecek, istenilen bilgiyi içerecek, istenilen içeriğe sahip olacak, istenilen kişi tarafından oluşturulduğu izlenimini verecek şekilde, herhangi bir kişi veya kişiler tarafından oluşturulabilir. Bu durumun mahkemelere yansımış çok sayıda örneği mevcuttur. Güvenlik seviyeleri üst düzeyde olan banka sistemlerinde dahi açıklar bulunabilmekte ve kredi kartları başta olmak üzere çok farklı konularda usulsüzlükler, yolsuzluklar olabilmektedir.

 

Bu verinin doğruluğu ve geçerliliği[1] günümüz şartlarında sayısal imzalar kullanılarak sağlanır.

 

Dolayısıyla, verinin anlam kazanması için elde edilen verinin, 5N1K sorularını, yani “Ne? Ne zaman? Nerede? Nasıl? Neden? Kim?” sorularını cevaplayabiliyor olması gereklidir.

 

Diğer bir deyişle, “hangi veri, ne zaman, hangi sistemde ve veri depolama ortamında, ne şekilde ve tipte, hangi veriyle ilişki kuracak şekilde, kim tarafından oluşturulmuştur” olarak açıklanabiliyor olması gereklidir.

 

Yukarıda sıralanan şartlar sağlandığında kayıtlı veri anlamlı bilgi içermektedir ve belge niteliği taşımaktadır yorumu yapılabilir.

 

Yukarıda açıklanan tüm teknik hususlar ve örnekler ve ileride belirtilecek değerlendirmeler esasında sayısal delilin illiyet bağının önemini ortaya koymaktadır. Sayısal verilerin delil olarak kullanılabilmesi illiyet bağının tam olarak kurulabilmesiyle mümkündür.

 

Litvanya’da bulunan bir şirketten kiralanan ByLock sunucusundan alınan veriler örneğimizdeki muhasebe kayıtlarına benzetilebilir. Sunucu kayıtlarında çok sayıda kayıt bölümü yer almaktadır ve bunlar arasında bizi gerçek kullanıcıya götürebilecek kayıt sadece bir tek tabloda bulunan Genel IP bilgisidir ki bu da örneğimizdeki müşteri hesap numarasına benzetilebilir. Operatörler ise örneğimizdeki bankalara benzetilebilir. Sunucuda yer alan verilerden gerçek kullanıcı bilgisine ulaşmanın tek yolu operatörlerdeki verilerle eşleştirerek olabilir. Bunun için temel şartlar:

  1. Hem ByLock sunucusu hem de operatörlerdeki verilerin kendi içinde ve birbirleriyle tutarlı olmaları,
  2. Her iki veritabanındaki kayıtların da kararlı çalışan, güvenliği sağlanmış olan bir sistemde depolanması,
  • Bu sistemlere belirli kurallar ve şartlarla erişimin sağlanıyor olması
  1. İki sisteminde zaman senkronizasyonun sağlanabiliyor olması

 şeklinde sıralanabilir.

Bu şartlar sağlandığında veriler bilgi olarak kabul edilebilir ve kullanıcı bilgisinden bahsetmek mümkün olabilir.

Bunlarla birlikte, dava dosyalarına dahil edilen,

  1. Emniyet Birimlerince hazırlandığı ve ByLock sunucusu kaynaklı olduğu değerlendirilen Tespit ve Değerlendirme Tutanağı,
  2. BTK tarafından hazırlanan ancak operatör verilerine dayanan CGNAT (HIS) kayıtları,
  • BTK tarafından hazırlanan ancak operatör verilerine dayanan GPRS/WAP kayıtları,
  1. BTK tarafından hazırlanan ancak operatör verilerine dayanan İletişimin Tespiti / HTS kayıtlarının

kendi içinde ve birbirleriyle tutarlılığı kontrol edilmeli, zaman senkronizasyonu ve konum bilgisi başta olmak üzere farklı sistemlerin farklı işleyişinden kaynaklı olabilecek farklılıklar tekniğine uygun olarak açıklanmalıdır.

 

2.2. Sayısal Verinin Kaynağı ve İlliyet Bağı

Sayısal ortamda depolanan veriler, istenilen şekilde; istenilen zamanı gösterecek, istenilen bilgiyi içerecek, istenilen içeriğe sahip olacak, istenilen kişi tarafından oluşturulduğu izlenimini verecek şekilde, herhangi kişi ya da kişiler tarafından oluşturulabilir.

5271 sayılı Ceza Muhakemesi Kanunu’nun “Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El koyma” konusunu düzenleyen 134. maddesinde de;

“(1) Bir suç dolayısıyla yapılan soruşturmada, başka surette delil elde etme imkânının bulunmaması halinde, Cumhuriyet savcısının istemi üzerine şüphelinin kullandığı bilgisayar ve bilgisayar programları ile bilgisayar kütüklerinde arama yapılmasına, bilgisayar kayıtlarından kopya çıkarılmasına, bu kayıtların çözülerek metin hâline getirilmesine hâkim tarafından karar verilir.” denilmektedir.

Yukarıda yapılan teknik tespit ve alıntılanan yasa maddesi sayısal delilin illiyet bağının önemini ortaya koymaktadır. Yasaya göre esas olan aramanın “şüphelinin kullandığı bilgisayar ve bilgisayar programları ile bilgisayar kütüklerinde” yapılmasıdır. Günümüzde bilgisayar ve diğer bilgi işlem sistemleri çeşitlilik arz etmekte, bu sistemler artık tek başlarına çalışmaktan ziyade dışarıya kapalı[2] ve dışarıya açık[3] ağlarla etkileşimde bulunmaktadırlar.

Bu sebeple oluşturulmuş her sayısal verinin aidiyeti, kullanıcı tarafından kullanıldığı bilinen bir bilgisayar kütüğünde kayıtlı bulunsa bile, denetlenebiliyor ve kaynağı incelenerek açıklanabiliyor olmalıdır. Örneğin; internete bağlı bir bilgisayarda bulunabilecek bir resim dosyasının kullanıcının normal kullanıcı davranışları dâhilinde gezdiği bir web sitesindeki bir reklamdan kaynaklanması olasıdır.

Dışarıya açık ağlarla bağlantılı sistemlerde kullanıcı istemi dışında durumlar da oluşabilir. Buna örnek olarak kullanıcının bir uygulama yazılımında var olduğunu bilmediği ve bilmesine imkân olmayan program hatasının 3. şahıslarca tespit edilerek bu program hatasının sebep olduğu zafiyetin kullanılmasıdır.

Kullanıcı istemi dışında oluşan durumların bir diğer örneği de, görünür işlevinden başkaca amaçlar taşıyan kötü amaçlı yazılımların sistemde çalışmasıyla ortaya çıkar. Örneğin, bir oyun ya da ekran koruyucu olarak çalışan bir yazılım, çalıştığı sistemde bir arka kapı açarak bu sistemin kullanıcının bilgisi dışında dışarıdan kontrol edilmesine, sistemden dosya indirilmesine ve sisteme dosya yüklenmesine olanak sağlayabilir.[4]

Salt okunur ve arşiv niteliği olan (CD, DVD gibi) kütüklerin oluşturulduğu sistemlerin bilgi işlem cihazları olmaları sebebiyle içlerindeki dosyalarda bu çeşit yazılımların ve diğer başka izlerin bulunması da mümkündür.

Kullanıcı istemi dışında farklı uygulama veya sitelere yönlendirmeler de illiyet bağını bozan bir etken olacaktır. Kamuoyuna yansıyan haliyle ByLock sunucu IP’lerine kullanıcı istemi dışında yönlendirme yapan Morbeyin uygulamaları (8 ayrı uygulama) veya Namaz Vakitleri ve Kıble Pusulası gibi uygulamalar nedeniyle tespit edilen bağlantı talebi kayıtlarında da illiyet bağı tamamen ortadan kalkmıştır. Hâlihazırda 10 ayrı uygulamanın ByLock sunucularına kullanıcı isteği dışında yönlendirme yaptığı tespit edilmiştir.

Sayısal verilerde kaynak belirsiz olduğunda ya da şüpheli illiyet bağı kesildiğinde, veri bir anlam ifade etmeyecektir.

2.3.     Zaman Damgası

5070 sayılı Elektronik İmza Kanunu’nda da bir sayısal verinin, temin edildiği zamanın ve değişmezliğinin sağlanması için ne gibi önlemler alınması gerektiği, özellikle zaman damgasından bahsedilen bölümlerde yer almaktadır. Elektronik imza, Elektronik İmza Kanunu’nun 3. maddesinde “Başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veri” olarak tanımlanmıştır.

 

Zaman Damgası ise aynı madde kapsamında, “Bir elektronik verinin, üretildiği, değiştirildiği, gönderildiği, alındığı ve/veya kaydedildiği zamanın tespit edilmesi amacıyla, elektronik sertifika hizmet sağlayıcısı tarafından elektronik imzayla doğrulanan kayıt” olarak tanımlanmıştır. Zaman damgası elektronik ortamda her türlü belge ve sözleşme gibi önemli elektronik verilerin, belirli bir zamandan önce var olduğunu kanıtlamak için kullanılır.

 

Zaman damgası, özellikle bir kütükten elde edilen verilerin başka bir ortamdaki verilerle dış tutarlılığının kontrolünde son derece önemlidir. Özellikle zamana bağlı olarak değişebilen verilerin kontrolünde zaman damgası tutarlılık kontrolünün olmazsa olmazı sayılabilir. IP adresleri büyük çoğunlukla dinamik (değişken) oldukları için, IP ve internet ortamı bağlantılı verilerin kontrolünde de zaman damgası son derece önemlidir.

 

Zaman damgası aynı zamanda adli imaj alınması ve inceleme aşamalarında da önemlidir ve bu hususa aşağıda ilgili maddelerde değinilmiştir.  Zaman damgası konusunun İnternet Servis Sağlayıcılar (İSS) (veya operatörler) tarafından tutulan CGNAT kayıtları konusunda da değinilmiştir.

 

2.4. İmaj Kavramı

İmaj, veri depolanan bir aygıtın ya da ortamın tam kopyasına verilen isimdir.

Tam kopyası çıkarılan bir aygıtın içindeki tüm veri imaj alınma işlemiyle bir sayısal dosyaya kaydedilir. Adli bilişim incelemesi öncesi sayısal delil toplanması sırasında imaj alma gerekliliğinin teknik nedeni, veri depolanan bir aygıtın fiziksel hasara uğrama olasılığının bertaraf edilmesidir.

Yasalarımızda bu konudaki en önemli madde 5271 sayılı Ceza Muhakemesi Kanunu’nun “Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El koyma” konusunu düzenleyen 134. maddesidir.

Bu maddede;

“(1) Bir suç dolayısıyla yapılan soruşturmada, başka surette delil elde etme imkânının bulunmaması halinde, Cumhuriyet savcısının istemi üzerine şüphelinin kullandığı bilgisayar ve bilgisayar programları ile bilgisayar kütüklerinde arama yapılmasına, bilgisayar kayıtlarından kopya çıkarılmasına, bu kayıtların çözülerek metin hâline getirilmesine hâkim tarafından karar verilir.

(2) Bilgisayar, bilgisayar programları ve bilgisayar kütüklerine şifrenin çözülememesinden dolayı girilememesi veya gizlenmiş bilgilere ulaşılamaması halinde çözümün yapılabilmesi ve gerekli kopyaların alınabilmesi için, bu araç ve gereçlere el konulabilir. Şifrenin çözümünün yapılması ve gerekli kopyaların alınması halinde, el konulan cihazlar gecikme olmaksızın iade edilir.

(3) Bilgisayar veya bilgisayar kütüklerine el koyma işlemi sırasında, sistemdeki bütün verilerin yedeklemesi yapılır.

(4) İstemesi halinde, bu yedekten bir kopya çıkarılarak şüpheliye veya vekiline verilir ve bu husus tutanağa geçirilerek imza altına alınır.

(5) Bilgisayar veya bilgisayar kütüklerine el koymaksızın da, sistemdeki verilerin tamamının veya bir kısmının kopyası alınabilir. Kopyası alınan veriler kâğıda yazdırılarak, bu husus tutanağa kaydedilir ve ilgililer tarafından imza altına alınır.”

hükümleri kayıtlıdır.

Ayrıca 5070 sayılı Elektronik İmza Kanunu’nda da bir sayısal verinin, temin edildiği zamanın ve değişmezliğinin sağlanması için ne gibi önlemler alınması gerektiği, özellikle zaman damgasından bahsedilen bölümler yer almaktadır.

Genelde veri depolama ortamlarından veri kopyalanırken kaynak veri, yazma korumalı olarak okunur ve özgün veri ile kopyanın birebir aynı olduğu denetlenir. “İmaj alma” işlemi özel yazma korumalı aygıtlar kullanılarak bilgisayarda veya bu iş özel tasarlanmış cihazlarla kaynak veri depolama ortamından kopyanın alınacağı veri depolama ortamına doğrudan yapılabilmektedir.

Kopyalama işleminden sonra özgün veri ile kopyalanan verinin birebir aynı olduğunun sağlaması yapılmalıdır. Bunun için özgün delilin her bitinin[5], kopyalanmış olan veride de aynı olduğunun tespiti ve sağlaması kriptografik özet fonksiyonları kullanılarak özüt değerleri elde edilir.

Elde edilen özüt değerleri eşit olduğunda kopya ile özgün ortamın aynı oldukları tespit edilmiş olur. Delil toplama aşamasında tespit edilen özüt değerleri ilerleyen aşamalarda delil bütünlüğü sağlamasının yapılması amacıyla da kullanılır.

Adli bilişimde delil bütünlüğünün sağlanabilmesi için delilin toplama aşamasından inceleme aşamasının sonuna kadar değişmediğinin sağlanması gereklidir.

Böylece, inceleme yapacak uzmanlar, özgün delilin fiziksel halinde değil, onun bir kopyasında gerekli incelemeyi yapmış olurlar. Bu konu delilin değişmezliği prensibinin en önemli adli bilişim uygulamasıdır.

İnceleme öncesi uzmanlar kendilerine verilen kopyanın özüt değerlerini hesaplayarak, bu değerin delil toplanması sırasında elde edilen özüt değeriyle eşitliğini, yani kopya ile özgün delilin eşitliğini tespit etmelidir. Bu denetleme sonucu eşitlik elde edilemezse delilin bütünlüğünün sağlanamaması dolayısıyla bir inceleme yapmak da mümkün olmayacaktır.

İmaj alınması sonrası özgün kütüğün sahibine iade edilmesi gerekli ve önemlidir.

Bilişim cihazlarının türlerinin farklılığından kaynaklanan güvenli olarak depolanmaları için gerekli şartların geçerli mevzuatta eksik olduğu ve birçok durumda bu şartların sağlanamayarak kırılma, bozulma, çizilme gibi fiziksel hasarla sonuçlanan talihsiz durumların oluşması teknik insanlarca da hukukçularca da bilinen bir gerçektir.

Günümüzde bilgi işlem cihazlarının yaygınlığı ve insan hayatındaki önemi göz önüne alındığında, bu cihazlarda depolanmış olan verinin kişilerin iş ve sosyal hayatlarının devamı için gerekliliği düşünüldüğünde, depolama cihazlarının imaj kopyasının çıkarılarak saklanmasının ve  depolama cihazının ya da bilgi işlem cihazının kendisine el konulmamasının öneminin arttığı düşünülebilir.

Bu durumun istisnası ve günümüzdeki uygulaması yetişkin olmayan bireylerin yer aldığı/kullanıldığı açık saçık görüntüler, ticareti yapılması yasak olan maddelerle ilgili suçlar ve devlet sırrı içermesi durumudur.

CD, DVD, BluRay gibi veri depolama optik ortamlarının imaj dosyaları 0 (sıfır) numaralı yazılamayan izdeki bilgiyi içermezler. Bu bilgilere erişilebilmesi veri depolama ortamının üretim tarihi ve veri kaydedilme tarihlerinin kıyaslanabilmesine olanak verebilir ve delil geçerliğinin tespiti için önemli olabilir.

Bundan dolayı, bu izde yer alması olası yazılabilir veri depolama optik ortamlarının üreticisi ve üretim tarihi gibi bilgilere erişilemez.

Aynı şekilde optik veri ortamlarının kayıt oturumlarının kapatıldığı ya da daha sonra ekleme için açık bırakıldığı bilgileri de optik ortamının iç özellikleri olduğu ve imaja yansımayabildiği için tespit edilmesi mümkün olmayabilir.

Soruşturma aşamasında ideal olan arama esnasında dijital malzemelere hiç el konulmadan doğrudan imajının alınması ve alınan bir imajdan şüpheli veya vekiline teslim edilmesidir. Arama esnasında imaj almanın mümkün olmaması halinde dijital malzemeler tutanak tutularak delil torbasına konulmalı ve delil torbası usulüne uygun olarak kapatılmalıdır.

El konulan dijital malzemelerin imajı mümkün olduğunca kısa sürede alınmalı ve malzemeler ile alınan imajların birer kopyası şüpheli veya vekiline teslim edilmelidir. İmaj almak amacıyla delil torbasının açılmasından önce şüpheli veya vekiline işlemlere nezaret için tebligat yapılmalı ve hazır bulunmaları talep edilmelidir. Şüpheli veya vekilinin hazır bulunmaması halinde, delil torbasının açılması ve imaj alma işlemi kamera kaydı ile gerçekleştirilmelidir.

El konulan orijinal malzemenin ve imajının özüt değerlerinin aynı olduğu kontrol edilmeli ve tutanak altına alınmalıdır. İnceleme imaj üzerinde yapılacağından orijinal malzeme yeniden delil torbasına kaldırılmalı ve delil torbası yine usulüne uygun olarak kapatılmalıdır. Orijinal malzemenin hiçbir koşulda müdahaleye açık olarak kontrolsüz bulunmasına izin verilmemelidir.

İmajın alınması ve incelenmesi mümkünse peşpeşe gerçekleştirilmelidir. Hemen incelemenin mümkün olmaması halinde, imajın kaydedildiği dijital malzemenin de incelemeye kadar kontrolsüz ve/veya müdahaleye açık olarak bulunmasına izin verilmemelidir. İmajın kaydedildiği malzeme de, incelemeye kadar tutanakla delil torbasına usulüne uygun olarak konulabilir ve bu şekilde muhafaza edilebilir. İmajdan bir kopya mutlaka şüpheli/sanık veya vekiline tutanakla teslim edilmelidir.

İnceleme başlangıcında yeniden özüt değer kontrolü yapılmalı ve tutanağa geçirilmelidir. Yapılan her işlemde en az iki kişinin bulunması ve tutanakları imza altına alması sağlanmalıdır. Özüt değeri kontrolü delilin değişmediğinin anlaşılması için en önemli ispat aracıdır.

El konulan orijinal dijital malzemenin ve imajın dışarıdan müdahaleye açık olmayacak ve zarar görmeyecek şekilde muhafazası ve özüt değerlerinin her aşamada kontrolü delil bütünlüğünün ve değişmezliğinin sağlanması için zorunludur. Bunun sağlanamaması halinde illiyet bağından söz etmek mümkün olmayacaktır.

2.5.     Özüt Değeri – Kriptografik Özüt (Hash)

Kriptografik özet[6] fonksiyonu, çeşitli güvenlik özelliklerini sağlayan bir özet fonksiyonudur. Kriptografik özet fonksiyonu veriyi belirli uzunlukta bir bit dizisine, (kriptografik) özet değerine, dönüştürür. Kısaca, uzun bir verinin sayısal temsilini daha kısa bir veriye dönüştürerek yapar. Bu dönüşüm verideki herhangi bir değişiklik durumunda özüt (hash) değerini[7]  değiştirir.

Örneğin bir kriptografik özet fonksiyonu olan SHA1’in çeşitli girdiler için ürettiği özet değerleri aşağıda Resim 1’de temsil edilmektedir. Girdi üzerindeki en küçük değişiklik bile özetin değerini önemli ölçüde değiştirmektedir. Bu durum çığ etkisi olarak adlandırılır.

 

Resim 1: SHA1 Kriptografik Özet Örnekleri

 

Özetlenecek veri mesaj, özet değeri ise mesaj özeti veya kısaca özet olarak da adlandırılır.

Kriptografik özet fonksiyonları, bilgi güvenliği konuları olan sayısal imza, mesaj doğrulama kodu ve diğer doğrulama yöntemlerinde yaygın olarak kullanılmaktadır. Sıradan özet fonksiyonları gibi veriyi komut çizelgesine eşlemede, eşdeğer veri bulmada, dosyaları tekil olarak tanımlamada ve veri bütünlüğü sağlamasında da kullanılır. Bilgi güvenliği konularında kriptografik özet fonksiyonları, terim anlamları farklı olsa da sayısal parmak izi, sağlama, özüt değeri veya özet değeri ile benzer anlamlarda kullanılır.

Güvenli özetlerin önemli kullanım alanlarından birisi dosya (mesaj) bütünlüğü doğrulamasıdır. Bu doğrulama tek bir dosya için olabileceği gibi, bir bilgisayar kütüğünün tamamının imaj dosyası için de olabilir. Bir mesajda (veya dosyada) değişiklik olup olmadığının kontrolü, gönderim veya bir başka olaydan önce ve sonra hesaplanan özetlerin karşılaştırılması ile mümkündür. Çoğu sayısal imza algoritması tüm mesaj yerine yalnızca özetin doğrulamasını yapmaktadır. Özetin özgünlüğünün doğru olması mesajın kendisinin özgün olduğunu gösteren yeterli bir kanıt olarak kabul edilmektedir.

Adli bilişimde birinci derecede önem arz eden konu delilin değişmezliğidir. Adli bilişim incelemelerinde, değişmezliğin sağlamasının yapılması için sayısal ortamda bulunan dosyaların ve veri depolanan cihazların imaj kopyalarının özüt değerleri çıkarılarak tutanak altına alınır.

Kriptografik özet fonksiyonlarının yukarıda anlatılan özellik gereksinimi, birbirinden farklı veri kümelerinin aynı kriptografik özet fonksiyonundan geçirildiğinde farklı özet değerlerinin elde edileceği sonucunu doğurur. Ancak bazı kriptografik özet fonksiyonlarının çalışma şekillerinden dolayı rastlantısal olarak düşük olasılıkta olsa bile, farklı veri kümelerinin aynı özet değerini verdiği durumlarla karşılaşıldığı bilinmektedir. Bu duruma çakışma denilmektedir ve pratik adli bilişim uygulamasında bu durumun bertarafı en kolay bulunan ve en hızlı çalışan 2 ya da daha fazla kriptografik özet fonksiyonu kullanılarak özüt sonucu not edilir.

En çok kullanılan kriptografik özet fonksiyonları MD5 ve SHA1’dir.

2.6.        Üst veri (Meta data)

Üst veri, en kolay anlaşılabilecek haliyle; bir veri bütünü ya da bir dosya hakkındaki veridir.

Üst veriler teknik olarak 3 şekilde bulunurlar:

  1. Bağımsız üst veri: Veriyi oluşturan uygulama yazılımı tarafından oluşturulan, veri bütününü oluşturan dosya içeriğindeki değişiklikler, yorumlar, dipnotlar gibi, insan tarafından anlaşılabilen, çeşitli öğeleri saklayan üst veridir.
  2. Sistem üst verisi: İşletim sistemleri ya da dosyalama sistemleri tarafından oluşturulan, dosya sistemi, veritabanı gibi yapılarda tutulan, veri bütününü oluşturan dosyanın diskteki konumu, oluşturulma, değişiklik, erişim ve kullanıcı sahipliği gibi verilerini saklayan üst veridir.
  • Gömülü üst veri: Veriyi oluşturan uygulama yazılımı tarafından oluşturulan, veri bütününü oluşturan dosya hakkındaki dosyayı oluşturan kullanıcı, değişik yapan kullanıcı, uygulama adı, içeriğindeki metin miktarı, oluşturulma tarihi, resim dosyaları için resim çözünürlüğü, oluşturan cihaz gibi verileri saklayan üst veridir.

 

Bu 3 üst veri tipi de farklı kategorilerde, veri bütününün özet bilgisini sağlar. Örneğin, Microsoft Office dosya tiplerinde saklanan (gömülü) üst veriler:

  • Başlık
  • Konu
  • Dosyayı oluşturanın adı
  • Anahtar sözcükler
  • Yorumlar
  • Şablon adı
  • Dosyayı son kaydedenin adı
  • Değişiklik sayısı
  • Oluşturan uygulama adı
  • Dosyanın son yazdırılma tarihi
  • Dosyanın oluşturulma tarihi
  • Dosyanın son değişiklik tarihi
  • Toplam düzenleme süresi
  • Sayfa sayısı
  • Sözcük sayısı
  • Karakter sayısı
  • Boşluk dahil karakter sayısı
  • Güvenlik durumu
  • Kategorisi
  • Biçimi
  • Yönetici
  • Şirket adı
  • Bayt boyutu
  • Satır sayısı
  • Paragraf sayısı
  • Slayt sayısı
  • Not sayısı
  • Gizli slayt sayısı
  • Görüntü/ses öğelerinin sayısı
  • Dış bağlantılar

olarak sıralanır.

Microsoft Office’in sayılan bu standart üst verileri dışında;

  • Word’ün zaman damgası olarak dosyanın son kaydedilme tarihini,
  • Word’ün uygulama sürümünü,
  • Word 2000 ve önceki sürümlerinin dosyada çalışan son 10 kullanıcı adı ve dosyanın kaydedildiği dizin kaydını,
  • Excel’in dosyayı yazma hakkıyla açan son kullanıcı adını,
  • Excel 2002 ve daha yeni sürümlerinin de Excel sürüm numarasını

dosya içinde özet veri olarak sakladıkları bilinmektedir.

Microsoft Office ve Microsoft Office ile uyumlu diğer programlar tarafından oluşturulan ve değiştirilen dosyalarda tutulan üst verilerde sağlanan kullanıcı bilgileri dosya içeriğinden bağımsızdır. Dosyayı oluşturan ya da değiştiren kişi dosya içeriğine kendi adını yazabilir, fakat bu içerik oluşturan ya da değiştiren kullanıcı üst verisini kesinlikle değiştirmez.

Bir dosyanın gömülü üst verileriyle sistem üst verileri arasındaki tutarlılık, dosyanın geçerli veri içerip içermediği ve dosya üzerinde yapılan işlemler hakkında ipucu sağlar.

Elektronik ortamda saklanan her veri gibi, üst veri içeren dosyalar da uzman olan ya da olmayan kişilerce, istenilen şekilde; istenilen zamanı gösterecek, istenilen bilgiyi içerecek, istenilen içeriğe sahip olacak, istenilen kişi tarafından oluşturulduğu izlenimini verecek şekilde, oluşturuldukları uygulama yazılımları (Word, Excel, Powerpoint gibi) kullanılarak oluşturulabilir ve değiştirilebilir.

Microsoft Office ve Microsoft Office ile uyumlu diğer (OpenOffice.org, LibreOffice, AbiWord gibi) programlar kullanılarak bir dosya üzerinde çalışılırken kullanıcı adı, firma gibi bilgilerin program ayarlarında değişiklik yapılarak dosyanın hiç bir hata almadan kaydedilebildiği bilinmektedir. Aynı şekilde dosyaların istatistik bilgileri de hiç bir hata alınmadan sıfırlanabilmektedir.

Dosyalarda yapılan değişiklik işlemi herhangi bir ikili sayı düzeni düzenleyicisiyle de (binary editor) mümkündür. Bu değişiklikler var olan bir dosyanın üst verilerini saklayan bölümlerinin sıfırdan oluşturularak dosyaya yerleştirilmesiyle de mümkündür.

Office uygulamaları tarafından oluşturulan dosyalarda, Microsoft Office ve Microsoft Office ile uyumlu diğer programlarda söz konusu değişikliklerin yapılmasını engelleyen bir koruma mekanizması bulunmamaktadır. Bu tip dosyalarda kullanılabilecek tek koruma yöntemi parola kullanımıdır. Fakat, parola korumalı dosyaların üst verilerinin de uzman yöntemlerle değiştirilebileceği bilinmektedir.

Ayrıca ilgili uygulama yazılımları (Word, Excel, Powerpoint gibi) kullanılmadan dosyalar üzerinde değişikliğe olanak sağlayan birçok yazılım bilinmektedir.

Üst veri içeren dosyalardaki üst verilerin kolayca oluşturulması ve değiştirilmesi mümkün olduğundan, bu üst verilerden elde edilen bilgilerin sadece güvenilir bir sistem ya da kaynaktan sağlandığına emin olunması şarttır.

Dolayısıyla maddi gerçeğe ulaşılabilmesi için, bu bilgilerin geçerli ve gerçek bilgiler olduğunun sağlamasının yapılabilmesi için kullanılabilecek, dosyaların oluşturuldukları düşünülen bilgi işlem sisteminden ya da ağından elde edilmesi olası, ikincil veriye ihtiyaç vardır.

Dosyaların kendisini oluşturan bilgisayarın noksan olduğu durumlarda üst verilerden elde edilen bilgilerin yorumlanması teknik olarak imkânsızdır ve dolayısıyla tek başlarına sağlıklı, tutarlı ve güvenilir delil olarak kullanılmaları mümkün olmayabilir.

Elektronik ortamda saklanan her veri gibi, üst veri içeren dosyalar da uzman olan ya da olmayan kişilerce, istenilen şekilde; istenilen zamanı gösterecek, istenilen bilgiyi içerecek, istenilen içeriğe sahip olacak, istenilen kişi tarafından oluşturulduğu izlenimini verecek şekilde, oluşturuldukları uygulama yazılımları kullanılarak oluşturulabilir ve değiştirilebilir. Bu kurala üst veriler de dâhildir.

ByLock kullanıcı tespitleri açısından önemli olan husus, operatörler tarafından tutulan CGNAT kayıtlarının bir çeşit üst veri olduğudur. Bu konu farklı açılardan tartışılabilir olmakla birlikte, önemli olan CGNAT kayıtlarının üst verilerde olduğu gibi özet veri olması dolayısıyla neticede bir iz veya belirti olduğudur. Ayrıca müdahaleye açık olup olmadığı ve orijinalliğinin ve veri bütünlüğünün nasıl kontrol edilebileceği konusu da problemlidir, tartışılmalıdır. Nihayetinde özet veri olan kayıtlar doğru tutulmuş olsa dahi, operatör, TİB/BTK veya erişebilecek/müdahale edebilecek başka kurum ve kuruluşlarda görevli art niyetli kişilerin bulunması veya kurumlar dışından bu alanlarda uzman olan başkaca art niyetli kişilerce kayıtlara müdahale edilip edilmediği, edildiyse bunun kontrolünün nasıl sağlanabileceği konusu tartışılmalı ve şüpheye yer vermeyecek şekilde netleştirilmelidir. İstanbul Anadolu 4. Ağır Ceza Mahkemesinin kamuoyunda “Balyoz davası” olarak bilinen 2014/188 Dosya No ve 2015/143 Karar No.lu Gerekçeli Kararında üst verilerin delil niteliği bilirkişi görüşleri de dikkate alınarak değerlendirilmiş ve detaylı açıklamalara yer verilmiştir. Üst verilerin tek başına delil niteliği olamayacağına dair yeterli açıklamaların yer aldığı söz konusu yargılamada ve kararla Balyoz davası sanıklarının tamamı beraat etmiştir.

Özetle, CGNAT veya diğer operatör kayıtları da verinin kendisi değil, özetidir (üst veridir), meta datadır ve operatörlerin yasal yükümlülüklerinden ziyade faturalandırma amacıyla tuttukları kayıtlardır. Herhangi bir şekilde ilgili uygulama ile gerçekleştirilen iletişime ait içerik bilgisine işaret etmez. Bu nedenle nihayetinde bir iz veya belirti olarak kabul edilebilir. İlliyet bağı açısından da kesinliği bulunmamaktadır. Teknik olarak müdahaleye açık olan ve veri bütünlüğü ve doğruluğu açısından hatalı olduğu örnekleri ile bilinen operatör kayıtlarının delil niteliğinin bu açıdan da tartışılması gereklidir.

3.    CGNAT SİSTEMİ VE GERÇEK KULLANICILARA ULAŞMADA KARŞILAŞILAN PROBLEMLER

 

  1. ByLock kullanıcı tespitleri ByLock sunucusunda kayıtlı IP adresleri üzerinden tespit edilebilmektedir ve ilk kullanıcı listelerinin sunucu kaynaklı olduğu açık kaynaklara yansıyan bilgiler arasındadır. Sunucuda kaydı olan kullanıcıların genellikle User-ID (kullanıcı no) tespiti yapılabilmekte ve mesaj içerikleri çözülebilmektedir. Ancak, ilk liste de dahil olmak üzere tüm tespitler operatör verilerine dayanmaktadır. Nitekim BTK’dan gelen kayıtların hemen altında veya “Uyarılar” başlığı altında yazan “Bu sayfadaki bilgiler, işlem tarihinde ilgili işletmecilerden BTK’ya gönderilen veriler esas alınarak hazırlanmıştır” (işletmeciden kasıt operatörlerdir) şeklindeki notla da belirtilmektedir. Mahkemelere gönderilen MİT’in ByLock Raporunda da bu hususa değinilmiş ve “Elektronik haberleşme sektöründe hizmet veren operatörlerin, öncelikle tabi oldukları Bilgi Teknolojileri ve İletişim Kurumu mevzuatı kapsamında vermeleri gereken bilgi ve belgeyi “doğru” ve “noksansız” şekilde vermeleri gerekmektedir.” denilmiştir. Çünkü IP adresi tespiti üzerinden gerçek kullanıcıya ulaşılmasında büyük teknik problemler bulunmaktadır ve dünya genelinde bu tespitin kesin olarak yapılmasının imkânsıza yakın olduğu kabul edilmektedir.
  2. Konuyu teknik detaylara boğmadan IP adresi ve BTK’dan gelen CGNAT kayıtları açıklanmaya çalışılacaktır. IP adresi/numarası telefon numarasına benzetilebilir. IP adresi kişiler ve/veya sunucular arasında veri alışverişini sağlamak için kullanıcılara atanan numaradır. Ancak, tıpkı geçmişte ülkemizde telefon numaralarının 5 haneli olması gibi, IP adresleme sistemi ilk tasarlandığı/oluşturulduğu 1983 yılında IPv4 olarak isimlendirildiği şekilde 4 numara blokundan oluşacak şekilde tasarlanmıştır. Mevcut IP adresleme sistemi nedeniyle tüm dünyada teorik olarak 4.3 milyar civarında (4.294.967.296) IP adresi oluşturulabilmektedir. Fakat bunların yaklaşık 590 milyonu rezerve olduğundan ve geri kalanları da blok halinde dağıtıldıklarından (örneğin bir üniversite kendisine tahsisli 65.536 adet IP Adresinin ancak on bin tanesini kullanıyordur, bu durumda elli beş bin IP adresi boştadır ama üniversiteye tahsisli olduğundan başkası da kullanamaz) belki reel olarak 1-2 milyar civarında IP Adresi kullanımdadır. Dünyadaki mevcut internet kullanımı göz önüne alındığında, bu sistemin, tüm kullanıcılara bir IP adresi dağıtılmasına yeterli gelmediği ortadadır. Dolayısıyla adına NAT (Network Adress Translation-Ağ Adresi Çevrimi) denilen dahili telefon sistemi gibi bir sistem oluşturulmuştur. Bu sistemde aynı ağ içerisindeki bilgisayarların ağ içerisinde kendilerine özel IP adresleri bulunur, ama dışarıya karşı ortak bir genel IP adresi kullanırlar. Bu sistemin geniş ölçekli olanına da CGNAT (Carrier Grade Network Address Translation-Operatör Seviyesinde Ağ Adresi Çevrimi) denilmektedir.
  • CGNAT sistemi, telefon santralleri gibi çalışır. Telefon santrali olan bir binada 10 tane normal telefon numarası, 100 tane dâhili telefon numarası olabilir. Dışarıyı aramak isteyen birisi ahizeyi kaldırdığında, santral o kişiye bir hat verir. Telefon kapandığında hat serbest kalır. Sonra bir başkası aradığında o kişiye aynı hat verilebilir. Telefon kapandığında hat gene serbest kalır. Telefon santrali olan bir binadan dışarısı arandığı zaman, arayanın bilinmesi için iki şey gereklidir. a) Dâhili arama kayıtlarını kaydeden bir sistem. b) Arama zamanının tam ve doğru olarak tespiti. CGNAT sistemi için de aynı şartlar geçerlidir. CGNAT için harici telefon numarası “Genel IP” adresi ile, dâhili telefon numarası ise “Özel IP” adresi ile özdeş sayılabilir.
  1. CGNAT sistemi, dâhili hat kullanan telefon santrallerine büyük oranda benzemekte ise de, arada bazı farklılıklar vardır. Bunlardan birisi, dâhili telefon numarasının (yani Özel IP adresinin) daima değişmesidir. Yani kişi binaya girdiğinde kendisine tahsis edilen dâhili hat (=kişi internete bağlandığında kendisine tahsis edilen Özel IP Adresi), kişi binadan ayrılınca boşa çıkmakta ve bir arkasından gelen kişiye tahsis edilmektedir. Ayrıca santralin çıkış numarası da (yani Genel IP adres) tek değil, yüzlercedir ve kişi binaya her girdiğinde (=kişi internete bağlandığında kendisine tahsis edilen Genel IP Adresi) bu yüzlerce numaradan biri kendisine tahsis edilir; binadan çıkıp tekrar girdiği (=internet bağlantısını kapatıp açtığı) her seferde bu tahsis işlemleri tekrarlanır. Dolayısıyla, CGNAT sistemi hem dış hattın (Genel IP) hem de dahili hattın (Özel IP) her giriş çıkışta değiştiği bir telefon santraline benzetilebilir.
  2. Dolayısıyla belirli bir zamanda, belli bir IP Adresinin tahsis edildiği kişinin tam olarak tespit edilebilmesi için, Genel IP Adresi / Özel IP Adresi ve Zaman bilgilerinin tam ve doğru bir şekilde tutulduğu bir kayıt sistemi gerekmektedir. Bu kayıt sistemindeki en kritik veri de zaman bilgisidir ve birkaç insanın saatlerinin dahi saniye dâhil aynı zamanı göstermesinin son derece zor olması gibi; farklı sistemlerde zaman bilgisinin tutarlılığını sağlamak da kolay bir işlem değildir.
  3. Günümüzde internet erişim sağlayıcılarının abone sayısı zamanla logaritmik olarak artmakta, fakat abonelerine atamaya hakları olan IP adreslerinin sayısı sabit kalmaktadır. Özellikle mobil operatörler yeterli sayıda İnternet IP’sini abonelerine sağlayamamaktadır. 2016 yılı açık kaynak verileri esas alındığında Türkiye’deki IP adreslerinin adedi (Operatör başına tahsisli IP numarası adedi) tüm Türkiye için: 15.534.000 dir. Operatör başına dağılımı ise, Türk Telekom 6.930.000, Turkcell 2.228.000, Vodafone 1.655.000, Avea – 811.000, Tellcom 664.000, Superonline 545.000, Türksat (Uydunet) 459.000, Digitürk 410.000 adettir. Operatörlerin abone sayıları ise yaklaşık Turkcell için 35 milyon, Vodafone için 20 milyon, Avea için ise 15 milyon mertebesindedir. Dolayısıyla, Avea’da 18.5 kişiye (1) IP, Turkcell’de 15 kişiye (1) IP, Vodafone’da 12 kişiye (1) IP düşmektedir. Bu hatların yarısı kadar gerçek kullanıcı olsa, internet kullanıcı sayısı bunun yarısı olsa, onların da aynı anda interneti açık olanlar yarısı olduğu varsayılsa da, aynı IP’nin birden fazla kullanıcıya tahsis edilme zorunluluğu açıktır ve IP adresleme sistemi sadece ülkemizde değil, tüm dünyada bu şekilde kurgulanmıştır.
  • Günümüzde artan abone sayısını karşılayabilmek için büyük erişim sağlayıcıların ihtiyacı olması sebebiyle Ağ Adresi Dönüştürme tekniğinin geliştirilmiş hali olan Geniş Ölçekli Ağ Dönüştürme (CGNAT) ortaya çıkmıştır. Bu teknikte çok sayıdaki abone birbirine kapalı ağlara ayrılarak, özel IP adresleri atanarak bu kapalı ağlardan açık ağ olan İnternet’e bağlanmaları sağlanmaktadır. Örneğin bir özel IP aralığı olan ve 172.16.0.0 ile tanımlanan ağda 65534 aboneye IP adresi ataması yapılarak yönlendiricilerle İnternet’e bağlanması sağlanabilmektedir. CGNAT sisteminin temel hedefi, az kaynak kullanarak çok sayıda müşteriye (kullanıcıya) hizmet sağlamaktır.
  • Bu şekilde yüzlerce kullanıcıya serbestçe atanabilen özel IP adresleri atanır. Bu özel IP adreslerinden gelen internet bağlantı istekleri sadece 1 İnternet IP’sine sahip yönlendirici ile İnternet bağlantılarına dönüştürülür. Bu nedenle birbirinden haberi olmayan yüzlerce kullanıcının İnternette eriştikleri servise aynı IP adresi üzerinden bağlanıyorlarmış gibi görünebilmektedir.
  1. Ülkemiz CGNAT teknolojisini kendi üretmemekte, ABD ve AB ülkelerinden ithal etmektedir. Avea firması da bu sistemi ABD menşeli F5 firmasından satın almış ve kurdurmuştur. Avea’nin CGNAT sisteminin altyapısını kuran ABD de bulunan (401 Elliott Ave W 98119 Seattle) şirketin kendi internet sitesinden yaptığı açıklamanın orijinal hali aşağıdaki bağlantıda mevcuttur: https://f5.com/solutions/customer-stories/avea-achieves-25-percent-subscriber-growth-with-f5

Söz konusu açıklamada özetle “Avea’nın 800.000 IPv4 adresine sahip olduğu ve bu nedenle ağında 800.000 aboneyi destekleyebildiği, IPv4 adreslerinin küresel olarak tükenmesi ve yasalardan kaynaklanan kısıtlamalar nedeni ile Avea’nın büyüme umutlarında sıkıntı oluştuğu, bu kısıtlamayı aşmak için F5 VIPRION çözümüne başvurdukları” anlatılmaktadır. Avea’nın “bu platform sayesinde mevcut sistemlerini değiştirmeden müşteri sayısını 1 milyondan 16 milyona kadar esnettiği ve bunu yaparken de sistemin Deterministik NAT özelliğini kullandıkları için depolama kapasitelerini artırmadan kayıt tutabildikleri ve bu sayede 1 milyon dolar kazandığı” da ayrıca belirtilmiştir.

  1. Burada bahsedilen Deterministik NAT sistemi, normal şartlarda çok fazla yer tutacak olan CGNAT kayıtlarının kapsadığı alanı azaltmak için icat edilmiş bir kayıt tutma yöntemidir. Bu sistem, “Birebir kayıt” tutmak yerine, belli algoritmalar ve kodlamalar ile kayıt tutar. Deterministik NAT’ın çalışma prensipleri: https://tools.ietf.org/html/rfc7422 adresinde tarif edilmektedir. CGNAT tekniği hakkında en önemli yayın 7422 numaralı “Deterministic Address Mapping to Reduce Logging in Carrier-Grade NAT Deployments” başlıklı bir çeşit rehber doküman olan standart taslağı öneri metnidir. Türkçesi: “Geniş Ölçekli Ağ Adresi Dönüştürme Kurulumlarında Bağlantı Kaydı Girdilerini Azaltmaya Yönelik Belirlemeci Adres Eşleme“dir. Bu standart taslağı çoğu CGNAT cihazı üreticisi tarafından uygulanan bir tekniği anlatmakta ve matematiksel olarak
    formüle dökmektedir. Bu belgede anlatıldığı şekliyle, CGNAT tekniği kullanılan uygulamalarda abone kendisine verilengenel port” aralığı ile kayıt altına alınır. Bu port atamalarının mümkün olduğu kadar az sayıda olması en büyük miktarda aboneyi İnternet’e bağlamak
    için önemlidir. Bu RFC’de özetle şunlar anlatılmaktadır:
  • Bazı durumlarda kanunlar İnternet Servis Sağlayıcılarının, abonelerin özel ve genel IP adresleri arasındaki bağlantıları gösterecek şekilde kayıt (log) tutmalarını gerektirmektedir.
  • Pek çok CGNAT kayıt tutma çözümü, IP adres çevrimlerinin dinamik olarak kaydedilmesini gerektirmektedir.
  • CGN’ler (CGN: Carier-Grade Network – Operatör Ölçekli Ağ) portları genelde bağlantı başına tahsis ederler, fakat bazen havuz gibi bir port aralığı tahsis ettikleri de olur.
  • Bağlantı başına port tahsislerinin kaydedilmesi (muazzam bir hard disk kapasitesi gerektireceğinden) pek çok ticari Servis Sağlayıcı için kaldırılamayacak kadar ağır bir yüktür.
  • CGN kayıtları ile ilgili yapılan laboratuar testlerinde, 1 adet log kaydının NAT444 sistemi için 150 Byte, DSLite sistemi için 175 Byte olduğu görülmüştür. ABD’deki operatörlerin verdiği verilere göre, 1 kullanıcı günlük ortalama 33.000 bağlantı kurmaktadır. Bu da kişi başına günlük 5 MB, yıllık 1.8 GB veri hacmine ve 23 Mbps veri yolu tahsisine denk gelmektedir. 1 milyon kişi için normal kayıt tutulduğu takdirde, 1.8 Petabyte depolama alanı gerekmektedir. Bu da yüksek bir maliyettir.
  • Bu problemi çözmek için öngördüğümüz sistemde, kullanıcılara port aralıkları atanacak ve sadece yeni port atamaları olduğu takdirde bunların kaydı tutulacaktır. Bu da veri hacimlerini büyük oranda düşürecektir. Bu sistemde çıkış portları sunucuda, karşı portlar ise CGN’de kaydedilecektir. Fakat bu sistemde de kayıt tutma ve kayıtlar üzerinde arama yapma konusunda problemler oluşabilecektir.
  • Bunun yerine CGN’ler iç adresleri {dış adresler+port aralığı} ile deterministik olarak eşleştirecek ve bu eşleştirmeyi algoritmalar yoluyla hesaplayacak şekilde tasarlanabilirler. (Burada İç Adresler = Özel IP Adresleri; Dış Adresler = Genel IP Adresleri). Bu sistemde sadece girdilerin ve algoritma ayarlarının kaydedilmesi yeterlidir.
  • RFC’nin devamında sistemin teknik detayları daha ayrıntılı olarak anlatılmaktadır. Özeti şudur: Normal satır satır kayıt tutma yerine, Özel IP’leri, Genel IP ve Port Havuzları ile eşleştiren algoritmalar ve bu algoritmalara göre tutulan özet kayıtlar vardır. Detaylı loglar gerektiğinde, tek yönlü fonksiyonlar vasıtasıyla bu kayıtlar ileri veya geri doğru çözümlenmektedir.
  1. Her yazılımda olduğu gibi, F5 VIPRION cihazları tarafından kullanılan bu Deterministik NAT sisteminde de pek çok problem (bug) çıkmıştır. Bu problemlerden bir tanesi, 23 Temmuz 2013’te yayınlanan ve 13 Mart 2017’de güncellenen https://askf5.f5.com/csp/article/K14526 linkinde tarif edilmiştir. Burada özetle şu anlatılmaktadır:

Bilinen Problem: CGNAT Sanal Sunucuları için Deterministik NAT Adres çevrimlerinde hata olabilir.

Bu problem aşağıdaki koşulların birisi gerçekleştiğinde oluşur:

  • Farklı kaynak adres aralığı kullanan birden fazla CGNAT sunucusu, deterministik modelde ayarlanmış aynı LSN havuzu ile eşleştirilirse;
  • Kaynak adres ağı /16’dan yüksek olan bir CGN sanal sunucusu, deterministik modelde ayarlanmış bir LSN havuzu ile eşleştirilirse.

Semptom:

Deterministik NAT adres çevrimleri başarısız olur veya doğru olarak çevrilmeyen eşleştirmeler oluşur.

Özetle, F5 firması demektedir ki, bahsedilen koşullar gerçekleştiğinde sistemde bir problem (bug) oluşur ve yanlış eşleştirmeler olabilir. Bunun da anlamı açıktır. Genel IP Adreslerinden Özel IP Adreslerine yapılan çevrimlerde, hatalar oluşabilmektedir.

Gerçek kullanıcı bilgilerinin Özel IP Adreslerinden çıkarıldığı göz önüne alınırsa, bunun da anlamı açıktır. ByLock sunucusundan çıkan Avea’ya ait bir IP’nin gerçekte kime ait olduğu Avea’ya sorulduğunda, Deterministik NAT sisteminde oluşabilen çevrim hatalarından ötürü, Avea yanlış kişileri ByLock IP Adresi ile eşleştirebilmektedir.

Özellikle dikkat çeken “Avea” kaynaklı mağduriyetlerin bir kısmının bu F5 VIPRION Deterministik NAT sisteminden ve bunların hatalı çözümlerinden kaynaklandığını düşünmekteyiz.

Diğer operatörlerde de benzer CGNAT sistemlerinin kullanıldığı ve aynı problemin diğer operatörler için de geçerli olacağını değerlendiriyoruz. Nitekim, Vodafone kaynaklı CGNAT kayıtlarında Genel IP Genel Port bilgilerinin boş olduğu çok sayıda örnek mevcuttur. Bu tür kayıtların da açık bir şekilde CGNAT sisteminin yanlış yapılandırılmasından kaynaklandığı değerlendirilmektedir.

  • CGNAT sistemi ve kayıtları üzerinden gerçek kişiye ulaşılamaması problemi sadece F5 ve Avea için geçerli değildir, tüm dünyanın problemidir. Avrupa Polis Teşkilatı (Europol) resmi internet sitesinden yaptığı 02 Şubat 2017 tarihli açıklamanın orijinal hali aşağıdaki linkte mevcuttur:

https://www.europol.europa.eu/newsroom/news/closing-online-crime-attribution-gap-european-law-enforcement-tackles-carrier-grade-nat-cgn

Söz konusu açıklamada özetle;

31 Ocak 2017’de, Europol’un Lahey’deki karargâhında Avrupa’daki kolluk kuvvetleri siber suçlarla mücadele uzmanlarının bir toplantı düzenlediği, bu toplantıda İnternet Servis Sağlayıcılarının CGNAT kullanımı ile ilişkili artan soruna değinildiği belirtilmiştir.

Güvenlik güçleri, CGN sistemlerinin operatörler tarafından yaygın olarak kullanımından endişe duymaktadır. Yakın bir zamanda yapılan araştırmada, mobil internet erişim sağlayıcılarının % 90’ının bireysel aboneleri tanımlamak için CGN sistemleri kullandıkları tespit edilmiştir.

Europol’un 2016 yılında yaptığı bir araştırmada, Siber suçlarla ilgili soruşturmaların % 80’inde CGNAT kullanımıyla ilgili sorunlarla karşılaşıldığı ve bu sorunların soruşturmaların durmasına veya geciktirilmesine neden olduğu ifade edilmiştir.

Bu problem gittikçe büyümekte olduğundan, Europol harekete geçerek CGN üzerine Güvenlik Güçleri Uzmanları Avrupa Ağı diye bir inisiyatif başlatmıştır. Bu ağ sayesinde CGN kaynaklı eşleştirme yapamama veya yanlış eşleştirme yapma vakaları sistematik olarak belgelenecek ve bu problemlerin aşılması ve CGN arkasındaki IP adreslerinin takip edilebilirliğini artırmak için İnternet Servis Sağlayıcılarla ortak çalışılacaktır.”  denilmektedir.

Özetle, Europol CGNAT sistemi kullanan operatörlerde gerçek kullanıcıya ulaşmak istediklerinde % 80 oranında problemlerle karşılaştığını belirtmektedir.

Türkiye’deki tüm operatörlerin CGN kullandığı göz önüne alınırsa, bizde de CGNAT çözümlerinde pek çok hatanın oluşacağı açıktır.

  • Europol benzer şekilde 17 Ekim 2017 tarihinde bir açıklama daha yapmıştır ve bağlantısı aşağıda verilmiştir;

https://www.europol.europa.eu/newsroom/news/are-you-sharing-same-ip-address-criminal-law-enforcement-call-for-end-of-carrier-grade-nat-cgn-to-increase-accountability-online

Söz konusu açıklamada özetle, bir suçlu ile aynı IP adresini kullanıyor olabilirsiniz; internet üzerinde hesap verilebilirliği artırmak için CGNAT sisteminden vazgeçmeye çağırıyoruzdenilmekte ve (tıpkı geçmişte 5 rakamlı olan telefon numaralarının 7 rakama çıkmasında olduğu gibi) IPv6 sistemine geçilmesini her iki açıklamada önermektedir. Bu sisteme geçildiğinde herkesin T.C. Kimlik No.su gibi benzersiz bir IP adresi olabilecektir.

CGN sistemlerinin mucidi olan Avrupa, bu sistemlerin tutarsız olduğunu ve bu sistemlere dayanarak gerçek kişilere ulaşmakta problemler olduğunu ilan ederken, bizim bu sistemlerin kayıtlarını tek başına yeterli delil olarak kabul etmemiz büyük bir problemdir.

  • Son olarak, İngiltere’nin önemli telekomünikasyon şirketlerinden (İngiltere’nin BTK’sı gibi düşünülebilir) Inter Connect Communications Ltd., CGNAT sisteminde tutulan kayıtlardan yola çıkarak gerçek kullanıcıya ulaşılmasında karşılaşılan problemleri detaylı bir şekilde açıklamıştır. Bu resmi raporun orijinal hali aşağıdaki bağlantıda mevcuttur:

https://www.ofcom.org.uk/ data/assets/pdf file/0020/37802/cgnat.pdf

Söz konusu raporun bazı sayfalarında özetle aşağıdaki ifadelere yer verilmiştir:

Sayfa 4: CGNAT, İnternet Servis Sağlayıcıları (İSS) için loglama veya izlenen trafik için yasal isteklere cevap vermeyi zorlaştırabilir. IP adresleri paylaşıldığı için son kullanıcıyı artık benzersiz olarak tanımlayamaz.

Sayfa 26: CGNAT sisteme dâhil olduğunda kayıtlar önemli ölçüde daha karışık hale gelir. CGNAT’da, IP adresi trafik kaynaklarını tanımlamak için yeterli değildir. Bunun nedeni, IP adreslerinin birçok abone arasında paylaştırılmasıdır. CGN’nin arkasındaki belirli bir aboneyi tanımlamak için servis sağlayıcı, abonenin dahili kaynak IP adresini ve dahili kaynak portunu, abone tarafından kullanılan her oturum için CGN’nin harici kaynak IP adresine ve harici kaynak portuna eşleyebilmelidir. Kolluk kuvvetlerinin abonenin kimliğini talep edebilmeleri için servis sağlayıcısı, bir IP adresini ve kaynak bağlantı noktasını ve bir olayın gerçekleştiği zamanı doğru olarak sağlamalıdır.

Sayfa 47: Harici adres ve port kombinasyonunu izlemek için loglama işlemi doğru şekilde zaman damgalı olmalıdır.

Sayfa 54: Doğru zamanlama hem İSS hem de uygulama sağlayıcıları için kritik olacaktır. Zaman uyuşmazlığı varsa, farklı bir İSS abonesi izlenmesi gerekenin IPv4 adresini kullanıyor olabilir. Suçsuz şahıslar gerçekleştirmedikleri eylemlerden dolayı suçlanabilirler.

Sayfa 73: CGNAT ile ilgili olarak teknik analizde anlatıldığı gibi GSM sektöründeki bulgular, aboneleri güvenle belirlemek için kayıtları gerekli ayrıntı düzeyinde tutmanın mümkün olmadığını göstermektedir.

Sayfa 76: Sektöre ilişkin anekdot kanıtları, birçok sağlayıcının hâlihazırda mevcut veri saklama yükümlülüklerini yerine getirmekte başarısız olabileceğini gösteriyor. CGNAT, depolanması gereken parametrenin sayısı arttıkça, başarısızlığı daha görünür hale getirecektir. Birçok İSS, CGN’nin arkasında yeterli sayıda loglama yapmadıklarını söylemektedir.

Biraz uzun olmakla birlikte, özetle rapor kapsamında CGNAT sistemi kullanılan sistemlerde gerçek kullanıcıya ulaşmanın fiilen çok zor olduğu ve bu konuda pek çok problemlerle karşılaşıldığı anlatılmaktadır.

  1. Avea veya diğer operatörler doğru kayıt tutmak istiyorsa yukarıda belirtildiği şekilde her bir milyon abone için 1,8 petabyte depolama alanı sağlamalıdır. 1,8 petabyte günümüzde yaygın olan 1 terabyte kapasiteli harici hard disklerden 1800 adet eder. Avea’nın yaklaşık 15 milyon abonesi olduğu düşünüldüğünde, yalnızca bir yıllık kayıt verisi için 27.000, kanuni kayıt tutma süresi olan 2 yıl için de 54.000 adet 1 terabyte kapasiteli harici disk gereklidir. Bunun yanında log verileri için ayrıca 6900 Mbps sınırsız bir hat genişliği de ayrılması gerekmektedir. Diğer operatörler de benzer şekilde her bir milyon abone ve bir yıllık kayıt için 1800 terabyte depolama alanına ihtiyaç duyacaktır. Bunlar büyük maliyetlere yol açtığı için, “Birebir Kayıt” yöntemleri yerine, “Deterministik NAT” gibi farklı kayıt yöntemleri kullanılmaktadır.
  • Deterministik CGNAT sisteminin doğru çalışabilmesi için kişiye atanan port aralıklarının dışına çıkılmaması ve belirlenen algoritmaya tam olarak uyulması gereklidir. Bu husus ise günümüz uygulamalarında oldukça güçtür; çünkü günümüz uygulamaları performans için çok sayıda bağlantıyı aynı anda açmakta ve her bağlantı için bir port kullanmaktadır. Yukarıda atıf yapılan Ofcom ve InterConnect Communications raporunda (bir örneği 20. sayfasında) bu konuda örnekler mevcuttur. Türkiye’de yaygın ziyaret edilen bir basın kuruluşunun sadece ana sayfasının açılarak baştan aşağı sayfaya bir kez bakılması tam 412 uzak sunucu bağlantısı oluşmuş, yani 412 adet port kullanıma geçmiştir.
  • Cep telefonlarında veya tabletlerde kullanılan hemen tüm uygulamaların internet üzerinden çalıştığı gerçeği dikkate alındığında, kullanıcılara atanmış binlerle ifade edilebilecek portun sürekli kullanımda olacağı değerlendirilmektedir. Dolayısıyla, örneğin 2000 aralığı port atanmış bir kullanıcı atanan tüm portlarını meşgul edebilecektir. Bu durumda sistemin depo portlarını kullanıcıya ataması ve bu portları o anda kimin kullandığını ayrı bir kayıt tablosunda detaylı olarak saklaması ve kayıtlar geriye döndürülürken dikkate alması gereklidir. Operatörlerin veya BTK’nın yasal zorunluluk olduğu açık olan bu hususu nasıl gerçekleştirdiklerine yönelik herhangi bir bilgi bulunmamaktadır.
  • Sistemin hatalı çalışması sonucu başkasının kullanması gereken port aralıklarının atanması da mümkündür. Pratikte ve sunulan hizmet açısından herhangi bir soruna neden olmayan bu durum, adli vakalarda tersine IP takibi yapıldığında ulaşılmak istenen kullanıcıdan farklı bir kullanıcıya ulaşılmasına neden olabilir.
  • Özellikle, yukarıda da atıf yapılan F5 firmasının VIPRION platformundan kaynaklı ve yazılım hatası olarak da adlandırılabilecek problem nedeniyle, bu sistemi satın alan ve kullanan operatörün (AVEA), (F5 firması internet sitesi kayıtlarına göre son hatalı yazılım sürümü ilk başlangıç tarihi 18/12/2014 olduğundan)[8] 2014 sonuna kadar olan kayıtlarının önemli ölçüde hatalı olabileceği değerlendirilmektedir.
  1. Gerek ByLock sunucusundan elde edilen IP Adreslerinin çözümü, gerekse BTK’nın sonradan oluşturduğu listelerdeki ByLock sunucusuna bağlanan IP Adreslerinin çözümü, CGN sistemlerinin tuttuğu kayıtlara dayanmaktadır.
  • Yukarıda bahsedildiği gibi, Türkiye’deki tüm operatörler CGN sistemlerini kullanmaktadır. Bunlar arasında Avea’nın (ve muhtemelen diğer operatörlerin de) Deterministik NAT kayıt tekniklerini kullandığı ve bundan ötürü Genel IP / Özel IP kayıtlarını algoritmik olarak tuttuğu ve bu algoritmaların çözümlenmelerinde problemler yaşadığı açıktır.
  • Ayrıca kayıtlardaki “Zaman” eşleştirmelerinde de problemler vardır. Tam doğru sonuçlar elde edilebilmesi için, ByLock sunucusunun ve Türkiye’deki tüm operatör modemlerinin ve CGNAT kayıtları tutan tüm sunucuların, aynı saat diliminde ve aynı saniyeyi gösterecek şekilde senkronize olması gerekmektedir. Bu ise mümkün görünmemektedir.
  • Eski bilgisayarların ana kartlarında genellikle quartz tipi çalışan bir saat devresi ve bilgisayar kapalı olduğunda bu devreye enerji sağlayan CR2032 tipi CMOS pilleri bulunurdu. Güncel anakartlarda saat devreleri Southbridge çipi içerisindedir ve şekilleri değişmiş olsa da, CMOS pilleri bulunmaktadır. Bu saatler de zaman içerisinde normal saatlerin ayarlarının bozulması gibi ileri veya geri gitmekte, bazen de pil veya devre problemlerinden ötürü sıfırlanmakta veya ileri/geri gitmektedir. Bunun çözümü olarak NTP denilen zaman eşitleme protokolleri icat edilmiş ve yaygın olarak kullanılmıştır. Fakat Windows sunucuların bir önceki zaman standardı, NTP protokollerini dikkate almamış ve sunucular arasında 5 dakikaya kadar zaman farklarına müsaade edecek şekilde ayarlanmıştır. Bu durum ancak Windows Server 2016’dan sonra 1ms ayarlı hale getirilerek düzeltilmiştir. Windows Server 2016 ise göreceli olarak yeni bir işletim sistemidir. Diğer yazılım/donanım problemleri de değerlendirildiğinde, tüm sunucuların aynı saniyeyi gösterecek şekilde senkronize olmasının mümkün olmadığı açıktır. Bilgisayar kullanan çoğu kişi de, bilgisayar saatlerinin zaman zaman ileri veya geri gittiğine ve bu durumda bu saatleri senkronize etmeleri gerektiğine şahit olmuştur.
  • Türkiye’nin değişken yaz saati uygulamalarından kaynaklı olarak pek çok bilgisayarın yerel saatleri bazen (yaz saatli) GMT +2 bazen de (yaz saatsiz) GMT+3 olarak tanımlanmıştır. Kayıtlar ise UTC+0 ile tutulduğundan, farklı sunucuların kayıtlarında yaz saati ve yerel saat ayarlarındaki tutarsızlıklar yüzünden 1 veya 2 saatlik farklar görülebilmektedir.
  • Saat dilimleri aynı olduğunda da zaman senkronizasyonu problemleri yüzünden sunucu saatleri arasında farklılıklar ve bundan kaynaklı hatalar oluşabilmektedir. Bunun sonucunda bir kişi, operatör kayıtlarına göre aynı anda hem İstanbul’da, hem de Adana’da görünebilmekte; aynı zamanda hem telefon hem internet görüşmesi yaptığına (ki 2G ve 3G’de mümkün değildir) dair kayıtlar olabilmektedir. Bu konuda medyaya yansıyan farklı vakalar vardır ve bunların hepsi, kişi tespitlerinin doğru yapılabilmesi için kayıtlarda Zaman Damgası tutulmasının ve sunucu saat dilimlerinin doğru ve zamanlarının senkronize olmasının gerekliliğini göstermektedir.
  • Yukarıda detayları ile izah edildiği üzere, hem CGNAT kayıtlarının çözümünde, hem Deterministik NAT çevrimlerinde, hem de zaman problemlerinden kaynaklı hatalar yüzünden, IP kayıtlarının doğrulukları asla %100 olarak ileri sürülemeyeceğinden, ayrıca IP kayıtları sadece hat bilgisini gösterdiğinden ve hattın gerçek kullanıcısına ulaşmak çok zor olduğundan, IP kayıtlarının Ceza Yargılamalarında kesin delil gibi kullanılmaları doğru değildir. Bu husus dünyanın pek çok ülkesinde de böyle değerlendirilmektedir. Kesin tespit mümkün görülmemekle birlikte, nihayetinde yapılan tespit suç mahallinde görülen bir aracın plakasıdır ve aracın ruhsat sahibinin kesin suçluluğunu belirtmez.
  • Bu noktada bir kritik husus da şudur. Her ne kadar kimi ByLock kullanıcıları, programa yüzlerce kez bağlanmış olsalar da, FETÖ’nün ByLock tespitlerini zorlaştırmak amacıyla 17 Kasım 2014 tarihi sonrasında ByLock kullanımı için VPN şartı getirmesi yüzünden, ByLock sunucusunda bulunan 17 Kasım 2014’ten sonraki IP adresleri büyük oranda VPN adreslerinden oluşmaktadır. Dolayısıyla kişi tespitlerinin, 17 Kasım 2014 öncesi IP adreslerine dayandığı değerlendirilmektedir. Ama 17 Kasım 2014 tarihlerini kapsayan bu adresler çoğu kullanıcı için birkaç adettir. Dolayısıyla (örneğin) 100 bağlantısı olan bir ByLock kullanıcısının 2 bağlantısı Türkiye’deki operatör IP adreslerinden, 98 bağlantısı VPN adreslerinden oluşabilmektedir. Bu kişinin kimliği de sadece baştaki (17 Kasım 2014 öncesi) 2 adet IP adresine dayanılarak çıkarılmaktadır.
  • Her ne kadar MİT raporunda, ByLock kullanıcılarının tespitlerinde en az 3 farklı günde bağlantı yapanların değerlendirildiği söylenmişse de, yukarıdaki örnekte verilen kişi MİT raporuna göre 100 bağlantı gerçekleştirmiş görünmektedir. Buradaki önemli fark şudur: MİT, bir kullanıcının gerçekten örgüt üyesi olup olmadığını, kullanıcının kullanım frekansı ve sıklığına göre değerlendirmiştir. Bu başka bir şeydir; yoğun ByLock kullanıcısı olan birinin kimlik tespitinin 2 tane IP adresi üzerinden yapılması başka bir şeydir. Burada gerçek kişinin (gerçek kullanıcının) örgüt üyesi olduğunda şüphe olmayabilir ama 2 adres üzerinden doğru kişiye ulaşılıp ulaşılamayacağı şüphelidir. Bu kadar hataya açık bir kayıt sisteminde, 2 tane IP adresi üzerinden kişi tespiti yapılması bir çok problemlere yol açmıştır. Yine bazı CGNAT kayıtlarında uygulama kullanımını mümkün kılmayacak şekilde tek gün tek veya iki satırlık kayıtlar gözlemlenmiştir ve bu da MİT raporunda değinilen kullanıcı tespitinde uygulanan en az 3 farklı gün bağlantı kriterinin dahi doğru uygulanmadığını göstermektedir.
  • Fakat bütün bu problemlerin yanında, ByLock gibi FETÖ üyelerinin tespitinde ve örgütün çözülmesinde büyük rol oynayan bir bulgunun göz ardı edilmesi de doğru değildir. Dolayısıyla burada yapılması gereken, ByLock kullanımının bir “Kuvvetli Şüphe” / “Delil Başlangıcı” / “Emare” gibi ele alınması ve örgüt üyeliğinin haberleşme içerikleri ve harici delillerle destekli olarak değerlendirilmesi gerekliliğidir.

Anayasa Mahkemesinin de bu bağlamda 2016/22169 Başvuru numaralı kararında ByLock uygulamasına dair yaptığı değerlendirme aynı görüşü ileri sürmektedir. Anılan karara ilerleyen bölümlerde daha detaylı değinilecektir.

4.    GENİŞ ÖLÇEKLİ AĞ DÖNÜŞTÜRME (CGNAT) TEKNİĞİ VE 5651 SAYILI KANUN

 

  1. 5651 sayılı “İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun”un 2. Maddesinde şu tanımlar yapılmaktadır:

d) Erişim: Bir internet ortamına bağlanarak kullanım olanağı kazanılmasını,”

e) Erişim sağlayıcı: Kullanıcılarına internet ortamına erişim olanağı sağlayan her türlü gerçek veya tüzel kişileri,

g) İnternet ortamı: Haberleşme ile kişisel veya kurumsal bilgisayar sistemleri dışında kalan ve kamuya açık olan internet üzerinde oluşturulan ortamı,

j) Trafik bilgisi: İnternet ortamında gerçekleştirilen her türlü erişime ilişkin olarak taraflar, zaman, süre, yararlanılan hizmetin türü, aktarılan veri miktarı ve bağlantı noktaları gibi değerleri,

Yine aynı kanunun erişim sağlayıcının yükümlülüklerini düzenleyen 6. maddesinin b bendinde:

b) Sağladığı hizmetlere ilişkin, yönetmelikte belirtilen trafik bilgilerini altı aydan az ve iki yıldan fazla olmamak üzere yönetmelikte belirlenecek süre kadar saklamakla ve bu bilgilerin doğruluğunu, bütünlüğünü ve gizliliğini sağlamakla yükümlüdür.” denilmektedir.

  1. Bu alıntılanan hususlar göz önüne alındığında erişim sağlayıcının kişisel veya kurumsal bilgisayar sistemleri dışında kalan alana yapılan erişimleri 6 aydan az ve 2 yıldan fazla olmamak üzere yönetmelikte belirlenecek süre kadar saklamakla ve bu bilgilerin doğruluğunu, bütünlüğünü ve gizliliğini sağlamakla yükümlü olduğu açıktır.
  • Geniş Ölçekli Ağ Adresi Dönüştürme kullanılan durumda binlerce abonenin erişimi aynı İnternet IP adresinden yapılıyormuş gibi görüneceği için, sadece yönlendiricinin dış bacağından İnternet’e yapılan bağlantıların kayıt altına alınmasının ve sadece dış bacaktan alınan kayıtların bağlantının kurulduğuna dair kesin bilgi olarak kullanılmasının yanıltıcı olacağı açıktır.
  1. Bu yanıltıcı durumun bertaraf edilmesi için abone tarafından, yönlendiricinin iç bacağına yapılan ve İnternet’e yönlendirilen bağlantı isteklerinin hangi IP adresi ve porta yapıldığının kayıt altına alınması, gerçekte hangi abonenin hangi tarihte hangi servise erişim kurduğunun tespit edilebilmesi için şarttır.
  2. MİT tarafından hazırlandığı ifade edilen “ByLock Uygulaması Teknik Raporu”nun 12. sayfasında:

“3.2 ByLock Uygulaması IP/Alan Adı Analizi Söz konusu uygulamaya ait internet trafiğinin incelenmesi neticesinde, ByLock uygulamasının sunucu sistemine çoğunlukla doğrudan IP adresi üzerinden erişildiği, bazı sürümlerde ise (Örn. ByLock 1.1.3 sürümü) “bylock.net” alan adı üzerinden aynı sunucuya bağlanmak suretiyle iletişim kurulduğu görülmüştür.”,

  1. sayfasında:

Uygulamanın bağlandığı IP adreslerinin tespit edilmesi amacıyla farklı zamanlarda tekrarlanan
testlerde, uygulamanın farklı sürümlerinin farklı birer IP adresine bağlandığı görülmüştür. Uygulama sunucusunda geliştiricisinin uygulamaya özgü oluşturup imzaladığı bir sertifika (self-signed SSL certificate) ile HTTPS güvenlik protokolü kullanıldığı görülmüştür. Ayrıca tespit edilen sertifikaya yönelik çalışmalar neticesinde Litvanya’da sunucu kiralama hizmeti veren “Baltic Servers” isimli firmaya tahsisli 9 adet IP adresinin ByLock uygulamasının çeşitli sürümlerince kullanıldığı tespit edilmiştir:

46.166.160.137          46.166.164.178          46.166.164.181          46.166.164.176

46.166.164.179          46.166.164.182         46.166.164.177          46.166.164.180

46.166.164.183

‘censys.io’ isimli web sitesinde (söz konusu sitede tüm IPv4 adres uzayını kapsayan, geçmişe dönük çeşitli taramalar ve bunların sonuçlarına ait veriler sunulmaktadır) yayınlanan bilgiler kullanılarak çalışma teyit edilmiştir.

Tespit edilen IP adreslerinin incelenmesi kapsamında bu IP adreslerinin ByLock’un etkin olduğu
tarihlerde hangi alan adı veya adları ile ilişkilendirildiği sorgulanmıştır. Bu kapsamda 1 Eylül 2015 – 9 Ekim 2016 tarihleri arasında anılan IP adreslerinden yalnızca 46.166.160.137 adresinin bylock.net alan adı ile kullanıldığı, diğer IP adreslerinin herhangi bir alan adı ile eşleşmediği bulgusuna ulaşılmıştır. Açık kaynaklarda yapılan araştırmalardan çıkan sonuçlar da bu durumu destekler niteliktedir. virustotal.com, whois.domaintools.com, ptrarchive.com gibi web sitelerinde yapılan sorgulamalarda ByLock sunucularının aktif olduğu döneme ait başka bir alan adı kullanımına rastlanılmamıştır. (Ek-4)”,

  1. sayfasında:

Uygulamanın 1.1.3 ve 1.1.7 sürümlerine ait kurulum dosyalarında sırasıyla;
https://bylock.net:443/SHU-Server

https://46.166.164.181:443/App-Server

alan adlarının yer aldığı tespit edilmiştir.”,

  1. sayfasında:

ByLock uygulamasının, “46.166.160.137” IP adresine sahip sunucu üzerinden hizmet sunduğu
görülmüştür. Bahsi geçen sunucunun dashjohn@yandex.com isimli e-posta adresi kullanılarak
kiralandığına dair e-posta içeriğine aşağıda yer verilmiştr. Bahsi geçen sunucunun, Litvanya’da
hizmet veren “Baltic Servers” isimli firmanın kiraladığı sunuculardan biri olduğu görülmüştür.

Uygulama sunucusu yöneticisinin, uygulamayı kullananların tespitini nispeten zorlaştırmak amacıyla 8 adet ilave IP adresi (46.166.164.176, 46.166.164.177, 46.166.164.178, 46.166.164.179, 46.166.164.180, 46.166.164.181, 46.166.164.182, 46.166.164.183) kiralamıştır. Kiralanan IP adreslerine ilişkin elde edilen e-posta içeriğine aşağıda yer verilmiştir.” ifadeleri yer almaktadır.

MİT teknik raporuna Ek-2 olan 59. sayfasında uygulamanın sürümleri ve çıkış tarihleri de verilmektedir.

  1. Kişinin bu ve benzer sistemleri kullandığından bahsedilebilmesi için sırasıyla aşağıdaki akışın oluştuğunun tespit edilmesi gereklidir:
  • Kullanıcı sahip olduğu akıllı telefona uygulamayı kurar,
  • Akıllı telefon erişim sağlayıcı tarafından atanan IP adresi üzerinden İnternet’e bağlantı kurar,
  • Uygulama sürümüne göre ilgili sunucu IP adresinde 443 numaralı (HTTPS) portta çalışan uygulama sunucusuyla bağlantı kurar,
  • Uygulama kullanılarak sistemde kullanıcı kaydı oluşturulur,
  • Uygulama kullanılarak sisteme kullanıcı girişi yapılır,
  • Uygulama kullanılarak sistemde mesajlaşma ve diğer işlevler kullanılır.

 

  • Dolayısıyla, işlendiği iddia edilen fiilin ispat edilebilmesi sadece bu mesajlaşma sistemiyle bağlantı kurulduğunun fiilin işlendiği tespiti iddia edilen tarihte veya tarih aralıklarında;
  • BTK kayıtlarından abonenin ilgili sunucu IP adreslerine 443 numaralı (HTTPS) porta bağlantı kurulup kurulmadığının,
  • Erişim sağlayıcı kayıtlarından abonenin ilgili sunucu IP adreslerine 443 numaralı (HTTPS) porta bağlantı kurup kurmadığının,

sorularak ayrıntılı iletişim tespiti raporlarının alınması ile mümkündür ve bu raporların özellikle “İnternet Erişim Sağlayıcılarının IP Atama ve Bağlantı Yönlendirme Yöntemleri” bölümünde anlatılan hususlara dikkat edilerek irdelenmesi gereklidir.

  • Bu doğrultuda, BTK’dan gelen dökümlerde sorulan IP adresinin sorulan portuna yapılan bağlantı kayıtları görülüp, ziyaret edilen adres (yani yararlanılan hizmetin türü) ve aktarılan veri miktarı noksan olduğu durumda, bu dökümlerin 5651 sayılı kanunda saklanması emredilen bilgileri içermemektedir ve ayrıntılı iletişim tespiti raporu sayılamaz.
  1. Örnek olarak;
  • Aynı IP adresi üzerinde binlerce web sitesinin sanal web barındırma yöntemiyle yayınlandığı düşünüldüğünde; geçmişte 46.166.160.137 IP adresinde bir veya daha çok web sitesinin yayın yapması olasılığını da göz önünde bulundurarak, 46.166.160.137 IP adresinde yapan herhangi bir siteye girildiğinde,
  • Bir web sayfasında bulunan https://46.166.160.137 linkine tıklandığında,
  • Bir başka web sayfasını web sayfası içinde göstermeye yarayan “iframe” olarak anılan öğenin gösterdiği web sayfası https://46.166.160.137 olduğunda

ByLock sunucusuna bağlantı kurulmuş gibi görülecektir, fakat bu durum Bylock uygulamasının kullanıldığına işaret etmemektedir.

Morbeyin ekibinin ve Yasin Alpen’in tuzak uygulamalar yoluyla kişileri iradeleri dışında söz konusu IP’lere yönlendirmiş olmaları bu durumun en bariz örneklerinden biridir. 10 ayrı tuzak uygulama tespit edilmiş olması, onbirinci tuzak uygulamanın olmayacağı anlamına gelmez. Bilakis, çok daha fazla uygulama olabilir veya yönlendirme yapan çok sayıda internet sitesi bulunabilir.

  1. Uygulamanın 1.1.3 sürümü “https://bylock.net:443/SHU-Server” URL adresindeki uygulama sunucusuna bağlantı kurarak çalışmaktadır. MİT raporundan yapılan alıntılara göre bylock.net alan adı 46.166.160.137 IP adresiyle ilişkilendirilerek kullanılmıştır. Tüm uygulama sunucuları çeşitli işlevler için yayın yaptıkları adrese gerçekleştirilecek işleve göre kelime
    eklenerek oluşturulan adresler üzerinden çalışır. Örneğin uygulamanın 1.1.7 sürümünde bu adresler uygulamanın kaynak kodunda “net/client/by/lock/f/p.java” dosyasında tanımlanmıştır ve bir kaçı aşağıda verilmiştir:
  • Kullanıcı girişi: “https://46.166.164.181:443/App-Server/Login
  • Mesaj okuma: “https://46.166.164.181:443/App-Server/ReadMail
  • Mesaj gönderme: “https://46.166.164.181:443/App-Server/SendMail

Bu nedenlerle, mevcut dava dosyalarına eklenen mahiyetteki/dökümdeki kayıtlar ByLock uygulamasıyla anılan IP adresinde yayın yapan bir uygulama sunucusuna bağlantı kurulduğunu göstermez.

  1. 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun’un 2. Maddesinde yapılan tanımlar ve erişim sağlayıcının saklamakla yükümlü olduğu bilgi “İnternet ortamında gerçekleştirilen her türlü erişime ilişkin olarak taraflar, zaman, süre, yararlanılan hizmetin türü, aktarılan veri miktarı ve bağlantı noktaları gibi değerleri,” olarak tanımlanmakta, trafik bilgisinin ayrıntılarının saklanması gerektiği açıkça belirtilmektedir/emredilmektedir.

Uygulamaya ait işlevlere işaret eden adreslerin ve oluşan trafik hacminin (yani transfer edilen verinin miktarının) noksanlığı durumunda, bu noksan bilgiye sahip dökümün doğruluğu ve tamlığından bahsedilemez.

  • MİT’ten Ankara Cumhuriyet Başsavcılığı’na gönderilen 09/12/2016 tarihli, 10.2.001.01.000.390.1960.249-2236/691-92452/57 sayılı “Müsteşar a. Hukuk Müşaviri” sıfatıyla imzalanmış yazı ekinde gönderilen açıklamada “2. BYLOCK LİSTESİ” olarak anılan listenin gerçekten operatör verileri esas alınarak hazırlandığını doğrulamaktadır. Açıklama sayfasının ilgili bölümü aşağıda sunulmuştur.

Resim 2: MİT Raporu Açıklama Sayfası İlgili Bölümü

 

Bu metinde söz konusu listenin operatör verilerinin tam ve eksiksiz olduğu ön kabulü ile hazırlandığı açıkça belirtilmektedir.

  • Ancak, inceleme için iletilen ve geçmişe dönük olarak 2014, 2015 ve 2016 yıllarına ait, operatörlerden BTK’ya iletilen söz konusu operatör verilerinin (CGNAT verileri) neredeyse tamamında 5651 sayılı yasaya uyulmadan kayıt tutulduğu, çelişkiler içerdiği ve doğru olarak yorum yapılabilmesi için gerekli birden fazla veri sütununu (alınan veri, gönderilen veri, oturum süresi, ziyaret edilen adres) içermediği görülmüştür.

Dolayısıyla; MİT Raporunda ve rapora ek “Açıklama” metninde söz edilen “veri doğrulama/tutarlılık yöntemleri”nin kullanılmış olmasının mümkün olmadığı değerlendirilmektedir.

Bu nedenle, operatör verilerinin tam ve eksiksiz olduğu ön kabulü ile hazırlanan ByLock kullanıcı listelerinin güvenilirliği tartışmalıdır ve bu konu kamuoyunca birçok haberle de duyulmuştur.

  • ByLock denilen sistemin işlevlerini (mesajlaşma, grup mesajlaşma ve dosya aktarımı gibi) gerçekleştirirken kullanıcıya bildirimde bulunması, yani sistemin kullanıcıyı haberdar etmesi için ilgili uygulama sunucusuna kendiliğinden bağlantı kurduğu bilinmektedir.

Bu bilgi, MİT teknik raporunun 19. ve diğer sayfalarında da aşağıdaki şekilde yer almaktadır.

Resim 3: MİT Raporu 19. Sayfasından alıntı.

 

Örneğin, uygulama sunucusu her bildirimde bulunduğunda, uygulama bildirimi aldığını sunucuya bildirmek için en az 1 ve bildirim konusu olayla (yeni mesaj gelmesi gibi) ilgili ayrıntı almak için en az 1 kez olmak üzere her olayda sunucuya en az 2 kez bağlantı kuracaktır.

Bu bağlantılar denetim bağlantıları olarak adlandırılabilir. Bu denetim bağlantıları sonrasında mesaj alışverişi ve diğer işlevler gerçekleştirilmek üzere çok miktarda bağlantı kurulması normal olan durumdur. Bu durumun diğer mesajlaşma uygulamalarında da benzer şekilde gerçekleştiği tecrübe dâhilinde bilinmektedir.

  1. Vaka çalışması olarak; aynı konuda incelenen başka bir olayda, bir itirafçı sanığın ByLock sunucusundan elde edilmiş olan kullanıcı ayrıntılarıyla birlikte CGNAT kayıtları gelmiştir. Bu kayıtlar 25/08/2014 tarihinden başlayarak 16/09/2015 tarihine kadar (son tarih dahil) farklı tarihlerde 23 günü kapsayan 23542 (yirmi üç bin beş yüz kırk iki) kayıttan oluşmaktadır. Bu bağlantı miktarı da günlük yaklaşık 1000 bağlantıya denk gelmektedir. Vaka çalışmasına dair söz konusu bu kayıtlar incelendiğinde günlük en az 225 olmak üzere, günlük ortalaması 1000’e
    yakın sayıda CGNAT bağlantı kayıtlarının olduğu görülmektedir.

Uygulamanın sunucuyla kendiliğinden bağlantı kurduğu da bu dökümde net olarak görülmektedir. Bu vaka çalışmasında yapılan incelemeyle uygulamanın ortalama 36 saniyelik periyodlarla sunucuya kendiliğinden bağlantı kurduğu tespit edilmektedir. Bu bağlantılar denetim bağlantıları olarak nitelendirilebilir. Bu denetim bağlantıları sonrasında mesaj alışverişi
ve diğer işlevler gerçekleştirilmek üzere çok miktarda bağlantı kurulmaktadır. Bu sistematiğe uymayan CGNAT kayıtlarıyla söz konusu sitemin kullanılmasının mümkün olmayacağı değerlendirilmektedir.

  • İncelenen kayıtlarda çok sık rastlanan bir problem çok büyük olasılıkla kullanılan CGNAT sisteminde oluşan hatalar sonucunda başkasına ait trafik verilerinin diğer abonelerin kayıtlarına yansımasıdır. Bu eşleştirmede bir hata olursa başka birine ait trafik kaydı başka birininmiş gibi görünecektir.
  • Benzer şekilde yaygın bir hata nedeni olan kurulan bağlantıların bir uygulama veya bir web sitesinden yönlendirme ile olduğunun tespiti için dökümde bağlantı kurulduğu gözüken zaman bilgilerinden hemen öncesinden bağlantı zamanına kadar ve bağlantı zamanından hemen sonrasında olan bağlantı kayıtlarının BTK’dan sorulması gereklidir. Böylece bu IP adresi bağlantılarının öncesinde hangi servise bağlanıldığı, sonrasında da aynı veya benzer bir servise bağlantı kuruluyorsa bağlanılan 2. servisin bu yönlendirmenin çalışıp çalışmadığının denetimini yaptığı anlaşılmış olacaktır.
  • CGNAT sisteminden kaynaklanan hataların tespiti için de bağlantı kurulan günlere ait tüm CGNAT bağlantı kayıtlarının BTK’dan sorulması gereklidir. Her iki kaydın incelenmesiyle CGNAT sisteminden kaynaklı hataların anlaşılması da sağlanabilir.
  • Bir diğer önemli husus ise, CGNAT kurulumlarında dolaşımda olan bilgiler içerisinde telefon numarası, IMSI, IMEI, baz istasyonu gibi bilgiler bulunmaz. CGNAT sistemi işlevleri, daha önce de ayrıntılandırıldığı üzere, sadece IP adresleri ve port bilgileriyle ilgilidir. CGNAT kaydı diye görünen kayıtlar abone veritabanı, yönlendirici yönetim sistemleri ve diğer sistemlerin ürettiği bilgilerle eşleştirilerek oluşturulmaktadır. Yani, BTK tarafından gönderilen CGNAT kayıtlarındaki IP adresleri ve port bilgileri haricinde kalan bilgiler farklı kayıt sistemlerinden eşleştirme yöntemiyle doldurulan hanelerdir.
  1. ByLock kullanıcı tespitlerinin yalnızca operatör kayıtları ile yapıldığı ve sunucu üzerinden herhangi bir tespit yapılmadığı durumlarda “Tespit ve Değerlendirme Tutanağı” olması mümkün değildir. Tespit ve Değerlendirme Tutanağı ancak hem ByLock sunucusunda hem de operatör kayıtlarında yer alan verilerin doğru eşleştirilmesi ile düzenlenebilecek bir belgedir. Ancak bunun için her iki sistemin veri bütünlüğünün sağlanmış olması zorunluluğu da dikkate alınmalı, tereddütleri engellemek için tespitlerin nasıl ve hangi aşamalardan geçilerek elde edildiği net bir şekilde ortaya konulmalıdır.
  • 27 Aralık 2017 tarihinde Ankara Cumhuriyet Başsavcılığınca açıklandığı şekliyle iradeleri dışında ByLock sunucularına yönlendirilen 11.480 kişinin tamamının CGNAT kayıtlarının olduğu gerçeği akıldan çıkarılmamalıdır. Bu kişilerin tamamının CGNAT kayıtlarına göre ByLock uygulamasının IP’lerine bağlantı talebinde bulunmuştur. Tek başına bu husus dahi, CGNAT kayıtlarının tek başına kullanım delili olamayacağının göstergesi niteliğindedir.

 

5.    YARGITAY KARARI BYLOCK BÖLÜMÜNÜN TEKNİK AÇIDAN DEĞERLENDİRMESİ

 

  1. Yargıtay Ceza Genel Kurulunca ByLock uygulamasını değerlendiren ve ilk derece mahkemelerince de uygulanan en geniş kararın künyesi aşağıda belirtilmiştir.

“ESAS : 2017/16.MD-956, KARAR : 2017/370, TARİH : 26.09.2017, (5271 s. Ceza Muhakemesi K m. 135, 217) (2937 s. MİT K m. 4, 6) (3713 s. TMK m. 1, 3, 4, 7) (5237 s. TCK m. 6, 30, 220, 257, 314)”

  1. Söz konusu kararın tam metni internet ortamında çok sayıda sitede yayımlanmıştır. YCGK’nın anılan kararının “4- ByLock İletişim Sisteminin Özellikleri” başlıklı 4’üncü bölümünde Bylock uygulamasına dair teknik bilgiler de yer almaktadır. Ancak söz konusu Teknik bilgilerde MİT raporu ve birçoğu açık kaynaklardan erişilebilen uygulamanın teknik özellikleri ile de çelişen bazı hususlar yer almaktadır. Gerek ilk derece mahkemelerde görevli hakim ve savcıların, gerekse de yüksek yargı üyelerinin teknik konulara vakıf olmaları beklenen bir durum değildir ve bu nedenle de bilirkişilik müessesesi geliştirilmiştir. İlerleyen dönemlerde verilebilecek kararlarda da faydalanılabilmesi amacıyla, YCGK’nın anılan kararında teknik açıdan çelişkili olduğu değerlendirilen bazı hususlara bu bölümde değinilmiştir.
  • ByLock mobil iletişim uygulaması özel bir kurulum veya kayıt olma işlemi gerektirmemektedir. Muadili sayılabilecek birçok mobil iletişim uygulamasına göre de daha düşük seviyede güvenlik ve doğrulama gereksinimi olduğu değerlendirilmektedir. Bu husus MİT raporu 10. Sayfasında aşağıdaki resimde yer aldığı şekliyle ifade edilmiştir.

 

Resim 4: MİT raporu 10. Sayfa ekran görüntüsü

 

  1. ByLock uygulamasının, uygulama mağazalarında yer almasıyla ilgili YCGK anılan kararında geçen bölüm şu şekildedir:

2014 yılı başlarında işletim sistemlerine ait uygulama mağazalarında yer alıp bir süre herkesin ulaşımına açık olan ByLock’un, bu mağazalardan kaldırılmasından sonra örgüt mensuplarınca harici bellek, hafıza kartları ve bluetooth yoluyla yüklenildiği yürütülen soruşturma ve kovuşturma dosyalarındaki ifadeler, mesaj ve e- POSTALARDAN ANLAŞILMIŞTIR.”

MİT raporu 59. Sayfasında Google Market uygulama istatistiklerini tutan AppBrain sitesi kaynak olarak gösterilerek, ByLock uygulamasına yönelik version, yükleme sayısı ve tarih bilgilerine yer verilmiştir. MİT raporuna ve kaynak gösterdiği siteye göre Bylock uygulaması Google Markete 11 Nisan 2014 tarihinde (NewApp/YeniUygulama) olarak konulmuştur.  Yani uygulamanın Google Markette/Mağazasında herkese açık şekilde yayınlanma tarihi en geç 11 Nisan 2014’tür. Uygulama 4 Mayıs 2014 tarihinde 1.000+ yüklemeye, 20 Mayıs 2014’de 5.000+ yüklemeye, 1 Haziran 2014’de 10.000+ yüklemeye, 24 Ağustos 2014’de 50.000+ yüklemeye, 19 Ocak 2015’de 100.000+ yüklemeye ulamıştır. Programın Google Marketten yayından kaldırılma (Unpublish) tarihi ise 3 Nisan 2016’dır.

Uygulamanın Şubat 2016 sonuna kadar kullanılabildiği, ancak sonrasında sunucu hizmeti son bulduğu için yüklü olsa veya yeni yüklense dahi kullanılamadığı Google Markette yer alan uygulama sayfasındaki çok sayıdaki yorumdan anlaşılmaktadır.[9]

ByLock uygulamasının iOS sürümü ile ilgili olarak AppStore uygulama marketinden belirli bir tarihe kadar indirilebildiği ifade edilmişse de tarih belirtilmemiştir. Fakat AppAnniee gibi açık kaynak bilgilerine göre uygulama 7 Eylül 2014 tarihinde uygulama AppStore marketinden kaldırılmıştır.

  1. ByLock mobil iletişim uygulaması toplamda 9 (dokuz) ayrı IP adresi kiralamıştır. Bunlardan yalnızca 46.166.160.137 IP adresini değil, diğerlerini de değişen tarih aralıklarında kullandığı anlaşılmaktadır. YCGK anılan kararında diğer 8 IP adresinin yalnızca uygulamayı kullananların tespitini zorlaştırma amacıyla kiralandığı yönünde anlaşılabilecek ifadenin bu kapsamda değerlendirilmesi uygun olacaktır.
  2. Uygulamanın birden fazla IP adresini kiralamış olması, ödemelerin anonimlik sağlayan Paysera yöntemiyle yapılmış olması, kayıt esnasında e-posta veya SMS doğrulaması kullanmaması, karşılıklı ekleme olmaksızın iletişime geçilememesi, haberleşme içeriklerinin belirli bir süre sonunda kendiliğinden silinmesi, gerçek isimlerden farklı kullanıcı adı kullanımı, otorite imzalı SSL yerine kendine imzalı (self-signed) SSL kullanımı vb. özellikleri ByLock uygulamasına özgü olmayıp, muadili birçok mobil iletişim uygulamasında yer alabilen özelliklerdir.
  • YCGK anılan kararında veya buna benzer başkaca karar veya raporlarda yorum niteliğinde sayılabilecek ifadeler yerine istatistik bilgileri verilmesinin ve muadilleri ile kıyaslama yönteminin tercih edilmesinin uygun olacağı değerlendirilmektedir.
  • ByLock uygulamasında asgari şifre standardı bulunmadığı ve bu durumun önemli bir güvenlik açığı olduğu değerlendirilmektedir. Ayrıca uygulamanın kullanıcı rehberlerini (roster tablosu) veri tabanında kullanıcıyı ve rehberdeki kişileri açıkça tanımlayacak bilgilerle (kullanıcı notlarıyla) birlikte saklamış olmasının da önemli bir güvenlik açığı olduğu değerlendirilmektedir. Bu yöntem gizlenme amacı olan bir örgütün olası davranış tarzı ile uyumlu değildir.
  1. YCGK anılan kararında değinilen ve aşağıda alıntılanan bölümün son derece önemli olduğu değerlendirilmektedir.

“ByLock iletişim sisteminde, kriptolu anlık mesajlaşma, e-posta gönderimi, ekleme yoluyla kişi listesi oluşturma, grup içi mesajlaşma, kriptolu sesli görüşme, görüntü veya belge gönderebilme ÖZELLİKLERİ BULUNMAKTADIR. Böylece kullanıcıların, örgütsel mahiyetteki haberleşmelerini başka herhangi bir haberleşme aracına ihtiyaç duymadan gerçekleştirmesine OLANAK SAĞLANMIŞTIR. Kullanıcıların tüm iletişimlerinin ByLock sunucusu üzerinden yapılması, buradaki grupların ve haberleşme içeriklerinin uygulama yöneticisinin denetim ve kontrolünde olmasını da mümkün HALE GETİRMİŞTİR.”

YCGK bu paragraf kapsamında FETÖ/PDY’nin ByLock mobil iletişim uygulamasını sempatizanları ve üyeleri arasında yaygınlaştırmasının olası gerekçelerinden birini açıkça ifade etmiştir. Bu gerekçe iletişimin “uygulama yöneticisinin denetim ve kontrolünde olması” şeklinde özetlenebilir. MİT Raporundan ve açık kaynak bilgilerden de anlaşılabileceği gibi, ByLock muadili uygulamalara kıyasla avantajlı veya ekstra özellikler sunan bir uygulama değildir. Günümüzde kriptolu mesajlaşma uygulaması demek, direksiyonlu araba demek kadar tuhaftır.

MİT raporu 48. Sayfadan anlaşıldığı şekilde tüm özel anahtarlar veri tabanında açık halde saklanmıştır. Bu sayede ByLock’ta gönderilen tüm mesajlar uygulamanın sahipleri tarafından okunabilmiştir. MİT’in de bu sayede içerikleri rahatça çözebildiği değerlendirilmektedir.

Raporda yer alan tüm bilgiler kapsamında, FETÖ/PDY’nin ByLock uygulaması ile ilki “kendi tabanını konsolide tutmak ve kontrol edebilmek”, ikincisi “üyelerini perdelemek”, üçüncüsü “olası tespitlerde oluşacak mağduriyetlerden faydalanmak” şeklinde üç temel amacının olduğu değerlendirilmektedir.

6. SİLİNEN LOG KAYITLARI VE VPN KULLANILAN DÖNEMLER

  1. FETÖ/PDY davalarına yönelik iddianamelerde “kullanıcılara ait kimlik bilgilerini ve iletişimlerinin gizlenmesini sağlamak amacıyla 17/11/2014 tarihinden sonra VPN şartına bağlanmış olması” ve 15/11/2014 tarihinden önceki erişim loğlarını silmiş olmaları şeklinde belirtilen husus MİT raporunda da aşağıda yer alan resimlerdeki şekliyle yer almaktadır.

Resim 5: MİT raporu 15/11/2014 tarihi ve VPN kullanımı hakkında yer alan bölüm.

Resim 6: MİT raporu 15/11/2014 tarihi ve VPN kullanımı hakkında yer alan bölüm.

 

Engellenen IP adres blokları MİT raporu EK-10’da yer almaktadır.

  1. MİT raporunda belirtildiği şekilde 15 Kasım 2014’e kadar olan log kayıtlarının ByLock veri tabanından silindiği belirtilmektedir. Ancak dava dosyalarına eklenen ve Emniyet Birimlerince hazırlanan Tespit ve Değerlendirme Tutanaklarında 15 Kasım 2014 öncesine ait log kayıtları ve muhtelif bilgiler yer almaktadır.
  • Silinen verilerin geri getirilmesi mümkün olmakla birlikte, verilerin güvenli silinmesi veya silinen alanların üzerine yeniden veri yazılması halinde geri getirme mümkün değildir. ByLock veri tabanındaki veriler güvenli silinmemiş olsa dahi, 15 Kasım 2014 sonrası defalarca üzerine yeni veri yazılması teknik olarak zorunluluktur.
  1. Dolayısıyla 15 Kasım 2014 öncesi kullanımlara yönelik veri tabanından geri getirilen verilerin nasıl elde edildiğinin ilgili ve yetkili birimlerce açıklanması gereklidir. Açıklama yapılmaması, MİT raporu ile kamu kurumları arasında çelişki olduğu algısına neden olabilmektedir.
  2. VPN kullanımının zorunlu hale gelmesi tam olarak şu demektir: Türkiye’deki GSM operatörleri (veya İSS’ler) veya TİB/BTK, bu tarihten itibaren VPN kullanılarak ByLock uygulaması sunucusuna yapılan bağlantılarda “Hedef IP” olarak VPN IP’lerini görebilir, dolayısıyla ByLock sunucu IP’lerini görememesi gereklidir. Operatörler, kullanıcıların VPN IP’lerine bağlandığını görürken, kullanıcılar VPN üzerinden dilediği uygulamaya bağlanabilirler. Ancak, dava dosyalarına eklenen BTK kaynaklı CGNAT kayıtlarında, 17 Kasım 2014 sonrasına ait, MİT raporunda engellenen listesinde yer alan IP’lerden ByLock sunucu IP’lerine kayıtlar görülmektedir. O zaman buradan çıkan sonuç, 17 Kasım 2014 tarihinden itibaren ByLock programını gerçekten kullanan hiçbir kullanıcının IP erişim kaydı, operatörde veya TİB/BTK’da da mevcut değildir veya hatalıdır.
  3. VPN şartının olduğu 17 Kasım 2014 tarihi sonrasında engellenen IP’lerden CGNAT kaydı bulunanlar için, bu kaydın nasıl oluşturulduğu operatörler ve BTK tarafından yorumdan uzak teknik gerçekliklerle açıklanması gereken bir husustur. Açıklama yapılmaması, MİT raporu ile kamu kurumları arasında çelişki olduğu algısına neden olabilmektedir.
  • 17 Kasım 2014 sonrası kayıtlar için şüpheli veya sanıkların VPN kullanıp kullanmadığı da araştırılması gereken bir husus olarak değerlendirilmektedir. Şüpheli veya sanık VPN kullanmamış ise, engellenen IP’ler üzerinden ByLock sunucusuna bağlanması da mümkün olmayacaktır. Fakat elbette ki ülkemizde yaygın olarak kullanılması nedeni ile bu durumun tersi, yani sanığın VPN kullanıyor olması da, ByLock kullanıcısı olmasının bir emaresi olarak görülmemeldir.
  • Bir diğer önemli husus ise, kullanıcılarda olduğu gibi, uygulamalar veya siteler için de aynı anda aynı IP adresinin kullanılıyor olma ihtimalidir. ByLock uygulamasınca kullanılan IP adresleri başka site veya uygulamalar tarafından da kullanılabilir. Örneğin, ByLock uygulamasının en çok bilinen IP adresinin 46.166.160.137 IP adresini ByLock sunucusunun aktif olduğu zamanlarda, farklı tarihlerde kullanmış bazı yabancı siteler[10] ve sunucunun aktif olmadığı dönemde kullanan bir Türk firması ticari sitesi[11] “domaintools” (whois.domaintools.com)[12] sorgusu yoluyla bulunabilmektedir. Bu durumda ByLock sunucusuna ait olduğu iddia edilen IP’lere bağlantı yapıldığı iddia edilen tarih aralığında bu IP’lerin sadece ve sadece ByLock uygulaması için kullanıldığının şüpheye yer vermeyecek şekilde ispat edilmesi gerekir.
  1. MİT raporu 13. Sayfada da ByLock Ip adreslerinin virustotal.com, whois.domaintools.com, otrarchive.com gibi web sitelerinden sorgulandığı belirtilmektedir. Ancak bu sitelerin sürekli değil, belirli veya belirsiz aralıklarla arşivleme yapmış olması ve bazı sitelerin arşiv kaydına girmemiş olması olasıdır.
  2. Burada belirtilen farklı site ve/veya uygulama ihtimalleri VPN zorunluluğu olan dönemde ByLock sunucu IP’lerine yönelik CGNAT kaydı oluşmasının olası nedenlerinden biri olabilir.

 

7.    KABLOSUZ İNTERNET ORTAK KULLANIMI / PAYLAŞIMI

 

  1. Kişilerin evlerinde veya işyerlerinde ortak ADSL/Wi-Fi internet aboneliklerini kullanması ve bu abonelikleri komşuları veya iş arkadaşlarıyla paylaşmasının 15 Temmuz 2016 tarihine kadar oldukça yaygın olduğu bilinen bir husustur.
  2. Asker ve polisler arasında başta olmak üzere, cep telefonlarının Wi-Fi HotSpot özelliği açılarak, yani cep telefonları erişim noktası haline getirilerek ortak internet kullanımının 15 Temmuz 2016 tarihine kadar oldukça yaygın olduğu da bilinen bir başka husustur. Özellikle bazı mahrumiyet bölgelerinde veya özel görevlerde bulunan asker ve polislerin bu şekilde ortak internet kullanımı yoluyla aileleri ile iletişim kurduğu, hatta asker ve polislerin cep telefonlarında bu özelliğin sürekli açık olmasının da yaygın olduğu değerlendirilmektedir.
  • Ortak internet kullanımı nedeniyle çok sayıda kişinin ByLock kullanıcı listelerinde yer aldığı da kamuoyuna yansıyan yaygın bir mağduriyet nedenidir.
  1. Ankara Ağır Ceza Mahkemelerinden birine verilen cevap kapsamında BTK tarafından 23/10/2017 tarihli, Sayı: 401.01.01-2017-565163 sayılı ve “Tespit talebi” konulu yazısının ilgili bölümünün ekran görüntüsü aşağıdaki resimde yer almaktadır.

Resim 7: BTK yazısı ilgili bölümü.

  1. Yukarıdaki resimden görüleceği üzere, ilgili ve yetkili kurum olan BTK tarafından trafik bilgisi bulunmadığı resmi yazı ile mahkemelere bildirilmiştir. Dolayısıyla ADSL/WiFi ortak kullanımı nedeniyle oluşan mağduriyetlerin bir an evvel giderilmesi gerektiği değerlendirilmektedir.
  2. Benzer şekilde Ankara Ağır Ceza Mahkemelerinden birine verilen cevap kapsamında Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele Daire Başkanlığının 10/04/2017 tarihli ve Sayı:25984256-54684-(63044) sayılı ve “Görüş” konulu yazısının ilgili bölümünün ekran görüntüsü aşağıdaki resimde yer almaktadır.

Resim 8: EGM yazısı ilgili bölümü

  • Yukarıdaki resimden görüleceği üzere, cep telefonlarının mobil erişim noktasının etkin hale getirilmesi, yani WiFi-HotSpot özelliğinin açılması durumunda, internete bağlantı kuran diğer cihazların tespiti çoğu zaman mümkün olamamaktadır. Dolayısıyla cep telefonu hattına kayıtlı internetin ortak kullanımı nedeniyle oluşan mağduriyetlerin bir an evvel giderilmesi gerektiği değerlendirilmektedir.
  • MİT tarafından Cumhurbaşkanlığı, Başbakanlık, Adalet Bakanlığı ve Hakimler ve Savcılar Kurulu’na dağıtımlı ve 27 Mayıs 2017 tarihli bir Bilgi Notu hazırlanmış ve söz konusu bilgi notu, Adalet Bakanlığınca 13/07/2017 tarihli, Sayı:33600850-663-07-06-0309-2017/E.306/46752 sayılı ve “İstihbari Yazı” konulu yazı ekinde 139 ağır Ceza Merkezi Cumhuriyet Başsavcılıklarına gönderilmiştir. Söz konusu yazı ve bilgi notu çok sayıda dava dosyasına eklenmiştir. Yazının ilgili bö lümünün ekran görüntüsü aşağıdaki resimde sunulmuştur.

 

Resim 9: MİT Bilgi Notu ilgili bölümü.

 

  1. Yukarıdaki resimden de görüleceği üzere, ByLock kullanıcı tespitlerinde en etkili kurum olarak değerlendirilebilecek MİT, özellikle ADSL aboneliklerİ üzerinden düzenlenen listelerde yer alan kişilere doğrudan adli işlem yapılmasını eleştirmekte ve bu durumun (FETÖ/PDY mücadelesi kapsamında olduğu değerlendirilen) gerçekleştirilen iş ve işlemleri itibarsızlaştırdığını belirtmektedir.
  2. Nitekim sadece ADSL/WiFi kullanımı üzerinden oluşturulan listeler değil, GSM operatör verilerinin tam ve eksiksiz olduğu ön kabulü ile hazırlanan listelerin de güvenilirliği tartışmalıdır ve bu konu kamuoyunca birçok haberle de duyulmuştur.
  3. MİT, son paragrafta: “ByLock uygulamasına ilişkin adli işlemlerde kullanıcı tespitinin yapılması amacıyla inceleme yapılması, gerekli hallerde mahallinden tetkik/tahkikat yapılarak uygulamanın kullanımına dair iddia ve itirazların, her bir somut olaya özgü şekilde ele alınarak çözümlenmesi gerekliliğinin gerçekleştirilen adli işlemler sırasında nazara alınması önem arz etmektedir” cümlesiyle son derece önemli bir husus vurgulamaktadır.
  • Tüm tespitler doğru olsa dahi, tespit edilen husus suça karışmış bir aracın plakası niteliğindedir ve plaka ruhsat sahibinin kesin suçlu olduğunu kanıtlar nitelikte değildir. Dolayısıyla, her somut olayda mutlaka olaya özgü araştırma yapılması gereklidir. Listeler üzerinden adli işlem tesis edilmesi ve mahkemelerce hüküm oluşturulmasının doğru olmadığı, bu yöntemin mağduriyetleri artıracağı ve artan mağduriyetlerin FETÖ/PDY mücadelesini olumsuz etkileyeceği açıktır.

 

 

8.    TÜRK CEZA HUKUKUNDA DELİL VE ELEKTRONİK DELİLLER

 

8.1.        Türk Ceza Hukukunda Delil Kavramı ve Türleri

  1. Türk Ceza Hukuku anlamında delil; cezai uyuşmazlığın konusu olan olayı temsil eden, olayın mahkeme önünde canlandırılmasına yarayan araçtır.[13] Delillerin akılcı ve bilim tarafından kabul edilir nitelikte olması gerekmektedir.[14]
  2. Ayrıca ceza muhakemesi hukukunda belirli konuların belirli delillerle ispat edilmesi zorunlu değildir.[15] Çünkü cezai uyuşmazlıklarda kişilerin özel hukukta olduğu gibi bir uyuşmazlık ihtimaline binaen önceden deliller hazırlaması söz konusu olmadığı gibi tersine kişiler tarafından suç delilleri yok edilmeye çalışılmaktadır.[16] İşte ceza muhakemesinde delilleri elde etmenin zorluğu sebebiyle delillerin sınırlandırılmasından vazgeçilerek bir konunun her türlü delille ispatını mümkün kılan delil serbestisi ilkesi kabul edilmiştir. [17]
  • Ceza muhakemesinde delil serbestisi ilkesi ve deliller üzerinde hakimin takdir yetkisi bulunmakta ise de, bu serbesti sınırsız olmayıp, delil sayılabilecek hususların kimi özelliklere sahip olunması aranmaktadır.[18]
  1. Delil sayılabilecek hususların taşıması gereken temel özellikler ise şu şekilde sıralanabilir;
  • Her şeyden evvel delil gerçekçi olmalıdır.
  • Delil ceza muhakemesinin doğası gereği geçmişte yaşanmış ve yargılama konusu edilmiş olayı temsil edici yani olayın bütününe ya da bir kısmına ilişkin açıklayıcı veriler taşımalıdır.
  • Deliller akılcı olmalıdır. Delillerin falcının kehaneti, yaygınlıkla inanılan safsatalar gibi akıl yolu ile izah edilemeyen bilim tarafından kabul edilmeyen nitelikte olması ve hâkimin hükmünü buna dayandırması mümkün olmayacaktır. [19]
  • Delilerin elde edilebilir olması gerekli olup, somut olarak elde edilerek mahkemenin takdirine sunulması imkan dahilinde olmalıdır. [20] Delillerin elde edilebilirliği hususu delilin türü bakımından farklılık arz etmektedir. İşbu çalışmanın temel konusu olan elektronik deliller-ByLock verileri noktasında delillerin elde edilebilirliği hususu diğer delillere nazaran delilin muhteviyatı gereği farklılıklar barındırmakta olup, aşağıda detaylı biçimde izah edilecektir.
  • Deliller kanuna uygun olmalıdır. Bu kanuna uygunluk iki biçimde ortaya çıkmaktadır. Buna göre deliller hem kanuna uygun nitelikte delillerden, hem de kanuna uygun yollardan elde edilen delillerden olmalıdır.[21] Delillerin kanuna uygunluğu, delil serbestisi ilkesinin en önemli kriterlerinden biridir. Bir hukuk devletinde, salt delil serbestisi ilkesinin varlığına dayanılarak, her iki biçimde de kanuna aykırı nitelikte olan verilerin delil kabul edilmesi suretiyle hüküm kurulması mümkün değildir. Nitekim yüksek yargı da delil serbestisine ilişkin her kararında kanuna uygunluk ilkesine atıf yapmış, ancak kanuna uygunluk şartının sağlanması halinde delil serbestisinin mümkün olabileceğini açıkça dile getirmiştir. Örnek vermek gerekirse Yargıtay 11.Ceza Dairesi 05.02.2013 gün ve Esas No:2012/11-1086, Karar No: 2013/40 sayılı kararında Turhal Sulh Ceza Mahkemesinin “Bedelsiz Senedi Kullanma” olayı ile ilgili delil serbestîsi ilkesinden hareketle “… “Ceza muhakemesinde delil serbestîsi bulunmakta olup, hukuka uygun olmak kaydıyla her türlü delil hangi aşamada sunulmuş olursa olsun değerlendirilebilir…”[22] şeklinde hüküm kurmuştur.

 

  • Deliller müşterek olmalıdır. Burada müştereklikten kasıt delilin yargılamanın tüm taraflarına açık olması ve delilin mahkeme huzurunda tartışılmasıdır. Yargılamanın tarafları delili bütün olarak inceleyebilmeli, üzerinde her türlü itirazda bulunabilmeli ve taraflara inceleme bakımından her türlü imkân sağlanmalıdır. İşbu çalışmanın temel konusu olan ByLock verilerinde ise kovuşturma aşamasında yaşanan en temel sıkıntılardan biri de müştereklik ilkesinin uygulanmaması, daha doğrusu yerel mahkemeler tarafından oldukça dar yorumlanmasıdır. Bu sebeple, aşağıda işbu konuya “ByLock verilerinin dosyalara kazandırılma biçimine yönelik değerlendirmeler” bölümünde detaylı olarak yer verilecektir.

 

  1. Tüm bu özelliklere sahip olması hasebiyle delil kabul edilen bulgular, dosyalarda incelenmeden ve tartışılmadan evvel muhakkak sınıflandırılmalıdır. Zira delillerin doktrinde kabul görmüş biçimiyle sınıflandırılmaları neticelerinde ortaya çıkan durum, başlı başına delilin somut olaya ve dosyanın esasına ilişkin sahip olduğu etkiye dair hâkimi yönlendirici özelliğe sahip olabilmektedir. İşbu çalışmanın konusu ByLock verilerinde durum tam olarak böyledir. ByLock verileri esasen bir elektronik delil mahiyetinde olmasına rağmen, yapılan yargılamalarda kendisine atfedilen önem, işbu sınıflandırma neticesi ile uyumsuzluk içerisinde olup, hakimlerin hakikatten, somut gerçeklikten uzaklaşmak suretiyle hüküm kurmasına sebebiyet vermektedir.
  2. Doktrinde çeşitli açılardan değişik sınırlandırmalar yapılmakla birlikte, Kunterin yaptığı bir ayrıma göre delilerin üç çeşidi olup, bunlar “beyan”, “belge” ve “belirti”den ibarettir. “Beyan” ve “belge” delilleri somut olaya özgü, onu doğrudan ispat etmeye yarayan deliller olup, beyanlarkendi içinde “sanık / şüpheli beyanı, tanık beyanı” ve “sanıktan başka tarafların beyanı” (katılan, malen sorumlu vs.) olarak üçe; belgeler ise yine kendi içinde, “yazılı belgeler”, “şekil tespit eden belgeler” ve “ses tespit eden belgeler” olarak üçe ayrılmaktadır. Delillerin üçüncü türünü oluşturan belirtilerde yine kendi içinde, “doğal belirtiler” (örneğin kan, sperm) ve “yapay belirtiler” (örneğin giyilen üniforma, eşyanın kime ait olduğunu gösteren harfler) şeklinde ikiye ayrılmaktadır.[23]
  • Muhakemeye konu olayın maddi yönüne ilişkin yapılan açıklamalar beyan delilini oluşturur. Bu açıklamalar sanığa, suçtan zarar görene ya da tanığa ait olabilecektir. Belge delilleri ise somut bir olayı temsil eden insan ürünü olan ispat vasıtalarıdır. Belgeler yazılı açıklamalar şeklinde olabileceği gibi ses veya görüntü kaydeden araçlarla yapılan açıklamalar şeklinde de olabilir. Belirti delilleri olaydan geriye kalan her türlü iz ve eserdir. Failin iradesi haricinde olaydan arda kalan mesela tabanca üzerindeki izler ve olay yerindeki ayak izleri gibi iz ve eserlere tabii (doğal) belirti denir. Failin iradesiyle ya da bir insan tarafından belirli bir amaçla hazırlanmış olan mesela olay yerinde bulunan düğme, tabanca, bıçak gibi nesnelere ise suni (yapay) belirti denir.[24]
  • İşbu çalışmanın konusu olan ByLock verileri (delilin elde edilme biçimi, dosyalara kazandırılma şekli gibi itirazlardan bağımsız olarak değerlendirildiğinde) gibi deliller mahiyeti gereği “elektronik delil” sınıfındadır. Bu noktada önemli olan, yargı sistemimizde nispeten yeni bir kavram olan elektronik delilin klasik delil sınıflandırması içerisinde nerede olacağıdır. Zira, bilindiği üzere işbu veriler üzerinden yapılan yargılamalar da sanıklara isnat edilen suç silahlı terör örgütü üyeliğidir. Yargıtay ise işbu çalışmaya konu olan kararında ByLock verilerini, her hangi bir şüpheye yer vermeyecek kesinlikte teknik verilerle tespiti halinde sanıkların FETÖ/PDY silahlı terör örgütü üyesi olduğu noktasında yeterli bir delil olarak kabul etmektedir.

 

8.2.        Elektronik Delil Nedir?

  1. Elektronik delil, elektronik bir cihaz üzerinde saklanabilen veya bu cihazlar aracılığıyla iletilebilen muhakeme bakımından değeri olan bilgi ya da verilerdir.[25]
  2. Elektronik delil daha geniş bir ifadeyle; “iddia edilen bir fiilin ispatında kullanılmak istenen veya kullanılan; elektronik ortamda oluşan/ oluşturulan, değiştirilen, iletilen veya saklanan veri, kayıt ve belgeler” olarak ifade edilmektedir. Bu bağlamda, “elektronik delil” ikrar, tanık beyanı vb. gibi belli bir delil tipini değil, delilin özünü veya bir özelliğini ifade etmektedir. [26]
  • Elektronik delil tanımlardan da anlaşılacağı üzere, her türlü elektronik ortamdan elde edilen verilerden oluşmaktadır. Bu noktada şunu belirtmek isteriz ki, elektronik ortam; kullanıcısın erişebilmesi için, elektronik veya elektromekanik enerji kullanan her türlü ortamı ifade etmektedir. Bu anlamda elektronik ortam, sabit (basılı) ortamın, (yani gazete, kitap, senet gibi fiziki varlığı olan ortamlar) karşı grubunu oluşturmaktadır. Her elektronik cihazda saklama, yaratma, değiştirme vb. fonksiyonları çeşitli elektronik bileşenler tarafından gerçekleştirildiği için, delil olarak kullanılabilecek verilere etkisi olan her türlü elektronik cihaza da elektronik ortam diyebiliriz.[27]
  1. Elektronik ortam hususunda elektronik delillerin klasik delillerden farklı olarak soyut bir yapıya sahip olmaları sebebiyle delil niteliğini haiz olan bilginin bilgisayar ya da ekran çıktısı değil, elektronik ortamdaki bilginin kendisidir. Bu durum bizi muhakeme açısından esas delil niteliğini haiz olanın, donanım ya da yazılım vasıtalarının kendisinin değil, içerisinde bulunan elektronik nitelikteki bilginin olduğu sonucuna da götürecektir.[28] Dolayısıyla işbu çalışmanın konusu olan ByLock verileri bakımından da aynı durum geçerlidir. Elbette elektronik delillerin gözle görülemez, gizli (latent) yapıları elde edilme ve değerlendirilme süreçlerinde çeşitli cihazlar ve ölçü aletlerinin kullanılmasını gerektirmektedir. Çünkü genellikle makine dili ile kodlanmış olan bilgiler yine bir makine tarafından yorumlanmayı gerekli kılmaktadır. Donanım ve yazılımdan oluşan bu vasıtalar sayesinde elektronik ortamda yer alan bilgiler bilgisayar çıktısı ya da ekran çıktısı şeklinde beş duyu organımızla algılanabilecek niteliğe kavuşmakta ve muhakeme makamı tarafından temas edilebilir hale gelmektedir. [29] Netice itibariyle yürütülmekte olan FETÖ/PDY konulu soruşturma ve kovuşturmalarda kriter kabul edilen ByLock kullanıcısı olma iddiaları bakımından da aynı durum geçerli olacak yani, önem arz eden husus ByLock verilerinin doğrudan elektronik ortamda bulunan hali yani ilgili elektronik verinin kendisi olacaktır. Bu nedenle ByLock kullanıcısı olma iddiaları kapsamında değerlendirilmesi ve sınıflandırılması gereken temel husus aslında elektronik veri olmalıdır.
  2. Elektronik veriler ise, en kısa tanımıyla, elektronik ortamda var olan verilerdir. Veri kavramından bahsederken belge anlaşılmamalıdır. Belge, bir gerçekliğe tanıklık eden yazı, resim, film vb. vesikadır. Belge, başlı başına bir anlam bütünlüğüne sahip olan, bir “şey”i ifade eden, tanımlayan, varlığına işaret eden, açıklayan bir araçtır. Belge, çeşitli verilerden oluşur, veri ise tek başına bir belge değildir. Maddenin atomlardan oluşması gibi, belge de çeşitli verilerden oluşmaktadır. Elektronik ortamlardaki her türlü bilgi parçası, diğer bir ifade ile her türlü birler ve sıfırlar, birer veridir. Zira, verinin var olması ve kullanılabilir nitelikte olması için belge gibi kendi içinde bir anlam bütünlüğünde olması gerekmez. Ayrıca bunun içindir ki kural olarak veri, belgenin aksine başlı başına bir delil oluşturamaz. Veriler, diğer delillerin oluşmasında veya değerlendirilmesine yardımcı birer araçtırlar. Bu verilerden şartlar gerçekleştiği takdirde emare olarak yararlanmak da mümkün olmalıdır. [30]
  3. Bu noktada gündeme gelmesi gereken husus şudur; elektronik veriler delil sınıflandırmasının neresinde yer almaktadır. Bu sorunun cevabı aslında verilerin bulunduğu, yani elde edildiği ortamın değerlendirilmesi neticesinde cevaplandırılacaktır. Yukarıda da açıkladığımız üzere, elektronik veri elektronik ortamdan elde edilen veridir. Bilindiği üzere ByLock (sunucu) verileri Litvanya’da bulunan Baltics Servers isimli firmanın sunucularındaki, ByLock uygulamasına ayrılan 109 GB büyüklüğündeki verinin temini suretiyle elde edilmiştir. Sunucu; veri depolama, işleme ve sunma işlemlerini yerine getiren müstakil bilgisayar ya da makine olarak tanımlanabilir. Sunucular ise çalışma prensibi gereği analog değil dijital bir elektronik ortamı ifade etmektedir. Bu ayrım önemlidir. Zira, analog sinyaller sürekli bir ölçekte iken, dijital sinyal sürekli olmayan bir ölçekte bulunmaktadır. Keza analog cihazlar sinyalleri doğrudan işlerken, dijital sinyaller sayılara çevrilerek işlenmektedir. Dolayısıyla analog cihazların yarattığı ve sakladığı veriler büyük ölçüde göz veya kulak gibi duyu organlarıyla (örneğin fotoğraf makinesi) algılanabildikleri halde, dijital cihazlarda veri sayısal halde oluşturulduğu ve depolandığı için verilerin orijinalliğinden bahsedebilmek teknik olarak mümkün değildir. Buradaki orijinalliğe ilişkin farkı, medenî hukukta tüzel kişi ile gerçek kişi arasındaki farka benzetmek yanlış olmayacaktır. Yani, “tüzel kişi” ne kadar “kişi” ise, “dijital delil” de o kadar “delil”dir.[31] Zira, analog Türkçe anlamıyla benzeşimler yani bir nevi suret olarak tanımlanabilir. Dijital ise bu analog suretin sayısal hale getirilmesidir yani bir nevi suretin sayısal verilere dönüştürülmesiyle yeni bir suret elde edilmesi halidir.
  • Tüm bu açıklamalar ışığında dijital veriler “ispat edilecek olayın kanıtlanmasına dolaylı olarak yardımcı olan ve vakıa ve iz şeklinde tanımlanan bir belirti” olarak tanımlanabilir.[32]
  • Belirti en basit tanımıyla olaydan geriye kalan her türlü iz ve eserdir. Failin iradesi haricinde olaydan arda kalan mesela tabanca üzerindeki izler ve olay yerindeki ayak izleri gibi iz ve eserlere tabii (doğal) belirti denir. Failin iradesiyle ya da bir insan tarafından belirli bir amaçla hazırlanmış olan mesela olay yerinde bulunan düğme, tabanca, bıçak gibi nesnelere ise suni (yapay) belirti denir. [33]
  1. Dijital verilerin işbu belirti özelliği, ByLock verilerinin tek başına bir delil olarak kabulünü mümkün kılmamaktadır. Zira nasıl ki tabanca üzerinde kalan izin faile ait olduğunun şüpheye yer bırakmayacak şekilde kesin şekilde belirlenememesi yine olay yerinde bulunan bir bıçağın yargılama konusu olayla ilişkilendirilememesi halinde işbu verilerin delil niteliği taşımasından söz edilemeyecekse, ByLock verilerinin de sanıkla ilişkilendirilememesi veya ilişkilendirilmekle birlikte mevcut verilerin silahlı terör örgütü üyeliğine işaret etmemesi halinde de ortada bir delil olduğundan söz etmek mümkün olmayacaktır.
  2. Bu noktada ise ortaya çıkan en temel sorun verilerin somut gerçekliği işaret eder yönde olup olmadığı yani güvenilirliği sorunudur.

 

8.3.        Elektronik Delillerin Güvenilirliği Sorunu

  • Yukarıda da beyan ettiğimiz üzere, bir delili delil yapan temel unsur gerçekçi olmasıdır. Bu gerçekçilikle birlikte bir delilin yargılama konusu olayın esasına ilişkin fikir verici nitelikte olması her şeyden evvel delilin tahrip edilmemiş, bozulmamış yani orijinalliğini yitirmemiş olmasına bağlıdır. Elektronik veriler, hassas yapıları gereği delil olarak kabulü mümkün diğer bulgulara oranla dışarıdan müdahale edilmesi yani tahrip edilmesi çok daha olası delillerdir. Bu durum elektronik verilerin dosyalarda konu edilmesinden beri yüksek yargı tarafından da kabul edilmektedir.
  • Nitekim, Yargıtay 11. Hukuk Dairesinin 23.06.2008 tarihli 2007/6429 E., 2008/8326 K. İçtihat Metninde özetle;

“ … banka nezdinde açılmış olan hesapta bulunan paranın davacının bilgisi ve izni dışında internet yolu ile yapılan işlemler sonucu… havale işleminin gişe işlemi olarak değil, internet ortamı üzerinden elektronik işlem olarak gerçekleştirildiği sabittir…

… taraf, havale işleminde kullanılan kişisel bilgilerinin 3. kişiler tarafından bankanın güvenliksiz internet sisteminden öğrenilmiş veya bankanın ilgili personelinin 3. kişilere haber sızdırmasından kaynaklanmış olabileceğini, davalı bankanın 3. kişilere karşı kendisini uyarmadığını, destek vermediğini, bilgilendirmediğini, …

…davacının kullandığı ve özenle saklaması gereken sisteme giriş bilgilerinin hangi yoldan elde edilmiş bulunduğu hususları açıklığa kavuşturulduktan sonra tarafların sorumluluğunun sağlıklı bir şekilde tayin ve takdiri mümkün olacağından, öncelikle internet, bilgisayar, internet üzerinden yapılan işlemler ve güvenlik sistemleri, … uyuşmazlığı aydınlatacak tüm unsurlar değerlendirilmeden, bu bağlamda tarafların hukuki sorumluluğu tayin ve takdir edilmeden eksik incelemeye, yetersiz bilirkişi raporuna dayalı olarak yazılı şekilde hüküm tesisi doğru görülmemiş, kararın bu nedenle davacı yararına bozulması gerekmiştir. ” Diyerek elektronik ortamda yapılan işlemlerin güvensizliğine dikkat çekmekte ve bu tür delillerin en zayıf noktası olan sarih olup olamadığı ile dışarıdan müdahale yapılıp yapılamadığı, uyuşmazlığı ortaya çıkaracak olan tüm unsurlar ortaya çıkarılmadan ve yetersiz bilirkişi raporu ile karar verilmesine vurgu yapılarak kararın davacı yararına bozulmasına karar vermiştir. [34]

  • Nitekim Yargıtay 16. Ceza Dairesi Ergenekon Davasına ilişkin 2015/4672E. 2016/2330k. numarası ile verdiği bozma kararında da dijital delili; “…CD, DVD, flash bellek, disket, harici ve dahili harddisk, bilgisayar özelliği içeren noktaları bakımından akıllı telefon ve benzerlerinden elde edilen ve tamamı “dijital delil” olarak adlandırılan, suistimale müsait olan verilerin…” şeklinde tanımlamak suretiyle verilerin güvenilirliği hususuna dikkat çekmiştir.
  • Bu noktada önem kazanan husus pek tabi verinin CMK 134’de belirtilen usule uygun biçimde elde edilmesi ve elde edildikten sonra doğru biçimde çözümlenmesi hususudur.

 

8.4.        CMK 134 md. Kapsamında Dijital Veriler

  1. Bilindiği üzere dijital verilerin temini maksadıyla elektronik ortamlarda arama ve el koyma işlemi CMK md.134’te düzenlenmiştir. Buna göre;

“(1) Bir suç dolayısıyla yapılan soruşturmada, somut delillere dayanan kuvvetli şüphe sebeplerinin varlığı ve başka surette delil elde etme imkânının bulunmaması halinde, Cumhuriyet savcısının istemi üzerine şüphelinin kullandığı bilgisayar ve bilgisayar programları ile bilgisayar kütüklerinde arama yapılmasına, bilgisayar kayıtlarından kopya çıkarılmasına, bu kayıtların çözülerek metin hâline getirilmesine hâkim tarafından karar verilir.

(2) Bilgisayar, bilgisayar programları ve bilgisayar kütüklerine şifrenin çözülememesinden dolayı girilememesi veya gizlenmiş bilgilere ulaşılamaması halinde çözümün yapılabilmesi ve gerekli kopyaların alınabilmesi için, bu araç ve gereçlere elkonulabilir. Şifrenin çözümünün yapılması ve gerekli kopyaların alınması halinde, elkonulan cihazlar gecikme olmaksızın iade edilir.

(3) Bilgisayar veya bilgisayar kütüklerine elkoyma işlemi sırasında, sistemdeki bütün verilerin yedeklemesi yapılır.

(4) Üçüncü fıkraya göre alınan yedekten bir kopya çıkarılarak şüpheliye veya vekiline verilir ve bu husus tutanağa geçirilerek imza altına alınır.

(5) Bilgisayar veya bilgisayar kütüklerine elkoymaksızın da, sistemdeki verilerin tamamının veya bir kısmının kopyası alınabilir. Kopyası alınan veriler kâğıda yazdırılarak, bu husus tutanağa kaydedilir ve ilgililer tarafından imza altına alınır.”

  1. Bilgisayarda Arama ve El Koyma tedbirinin amacı, bilişim sistemleri üzerinde bulunan delillerin elde edilmesidir. Ancak, bilgisayardaki verilerin ilk bölümlerde de açıkladığımız hassas yapısı ve bunların elde edilmesindeki zorluk, verilerin kolayca değiştirilip yok edilebilme ihtimali gibi hususlar nedeniyle, bu tedbir genel arama ve el koyma rejiminden ayrılarak, ayrı bir hüküm ile düzenlenmiştir.[35]
  • CMK m.134 hükmü açıkça hükmün uygulanması için gerekli şartları da içerisinde barındırmaktadır. Buna göre işbu hükmün uygulanabilmesi için;
  • Öncelikle bir suç soruşturmasının varlığı gerekmektedir. Ancak, bu şartı dar anlamda yorumlamamak gerekir. Zira, kovuşturma aşamasında eksik deliller söz konusu ise, elbette bu aşamada da CMK m. 134 uyarınca koruma tedbiri kararı verilebilir.[36]
  • Bunun yanı sıra, soruşturmada her türlü delil elde etme yönteminin uygulanması, ancak artık başka surette delil elde etme imkanının bulunmaması gerekmektedir. Bir başka deyişle, bilgisayarlarda arama ve el koyma işleminin yapılması delil elde etme açısından son çare olmalıdır.
  • CMK m. 134, bilgisayarda önce yerince inceleme (arama) yapılmasını, bu şekilde delil elde edilmesi mümkün olmazsa (bilgisayar, bilgisayar programları ve bilgisayar kütüklerine şifrenin çözülememesinden dolayı girilememesi veya gizlenmiş bilgilere ulaşılamaması halinde) bilgisayarlara el konulmasını öngörmektedir. Ancak, bu hüküm teknik olarak hatalıdır. Zira, bilgisayarda yerinde inceleme yapılması çoğu kez mümkün olmayıp, tedbirin doğru uygulanışı delilleri koruyucu ve şüphelinin mağduriyetini önleyici tüm önlemlerin alınarak, bilgisayara el konulması ve teknik uzmanlar tarafından laboratuvar ortamında incelenmesidir.[37]
  • Nihayet, CMK m. 134’ün uygulanabilmesi için Cumhuriyet savcısının istemi ile tedbire hâkimin karar vermesi gerekmektedir. Burada karar verecek olan sulh ceza hakimidir. Diğer koruma tedbirlerinin aksine, suçüstü veya gecikmesinde sakınca bulunan hallerde dahi Cumhuriyet Savcısı bu kararı veremez.[38]
  1. Şüphesiz ki, bir dijital verinin delil niteliği taşıması için CMK 134’e uygun biçimde elde edilmiş olması tartışmasız bir husustur. Bu hususa aykırı davranılması halinde ortaya çıkan verinin bir delil kabul edilmesi ve sanıklar aleyhine kullanılması mümkün olmayacaktır. Nitekim yukarıda da bahsettiğimiz üzere, esasen FETÖ/PDY yapılanmasının başta şerefli Türk subayları olmak üzere, toplumumuzda cumhuriyetçi, vatanperver kimliğiyle tanınan, salt bu nedenle FETÖ/PDY için bir tehlike unsuru olarak görülen kimselere karşı bir kumpas davası olarak kurguladığı olan Ergenekon yargılamalarında, CMK 134’ün önemi net biçimde anlaşılmıştır. Yargıtay 16. Ceza Dairesi ilgili hükmü ilişkin verdiği bozma kararında konuyla alakalı olarak;

“Ceza muhakemesinde deliller kanuna uygun olmalı ve kanuna uygun yöntemlerle elde edilmelidir. Adil yargılanmanın sağlanabilmesi, soruşturma ve kovuşturma aşamalarında toplanan bulguların delil değeri taşıyabilmesi için, şüpheli veya sanıktan elde edilen dijital verilerin, yasa ile sınırları belirlenmiş teknik gerekliliklere uygun olarak toplanması ve sonucunda yargılama makamlarına eksiksiz, bozulmamış halde sunulması gerekmektedir. Yasa koyucunun, CMK’nın 134. maddesini ayrıntılı olarak düzenlemesinin amacı da budur. Dijital delillere harici müdahalenin teknik olarak mümkün olması, çoğu zaman kim tarafından hangi tarihte müdahale yapıldığının da belirlenememesi karşısında, güvenli bir şekilde el konulup incelenebilmesi için mahallinde imaj alındıktan sonra orijinal medyanın şüpheliye bırakılması gerekmekte ise de bu şart soruşturma yapan kolluk personelinin teknik yetersizliği, ekipman yokluğu, ortamın incelemeye elverişli olmaması gibi nedenlerle yerine getirilememektedir.

Bu itibarla arama ve elkoymanın özel bir hali olarak CMK’nın 134. maddesinde düzenlenen ve özel hayatın gizliliğine daha fazla müdahale içermesi nedeniyle yasa koyucu tarafından genel arama ve elkoymadan daha sıkı koşullara tabi tutulan bilgisayarlarda, bilgisayar programlarında ve kütüklerinde arama ve elkoymanın bu özelliği gözardı edilmek suretiyle, aramayı gerçekleştiren kişilerce elkoyma işlemine geçildiği sırada sistemdeki verilerin yedeklemesi (imaj-adli kopya) yapılmadan ve yedekten bir kopya alınıp şüpheli veya vekiline verilmeden, ya da yukarıda yazılı nedenlerden dolayı mahalde yedekleme ve yedekten kopya verme olanağının bulunmadığının objektif olarak kabulünde zorunluluk bulunan hallerde, aramayı yapan kolluk birimince dijital delillere müdahaleyi önleyecek şekilde, seri numaraları tutanağa yazılmak suretiyle usulüne uygun olarak zapt edilip mühürlenmeden, şüpheli veya müdafiinin istemesi halinde nezaret etme ve denetleme imkanı sağlanarak inceleme mahalline kadar eşlik etmesi sağlanmadan ve bu yerde şüpheli veya müdafiinin hazır bulunmasına imkan verildikten sonra mümkün olan en kısa süre içinde mühür açılıp, dijital medyanın derhal imajının alınarak ilgilisine de imajlardan bir kopya ve orijinal medya teslim edilmeden, yine sanık veya müdafiinin mühür açma işlemi sırasında hazır bulunmasının mümkün olmadığı hallerde, mühür açma işleminin arama ve el koyma kararını veren hakimin huzurunda açılarak imaj alma işleminin bu sırada yapılması yoluna gidilmeden inceleme yapılması halinde arama ve elkoyma işleminin yasaya ve hukuka uygunluğundan bahsetmek mümkün olmadığı gibi bu yolla elde edilen delillerin de hukuka uygunluğu tartışılır hale gelecek ve yargılama makamınca hükme esas alınması mümkün olamayacaktır.” demiştir.

  1. Hal böyle iken, işbu çalışmanın konusu olan ByLock verilerinin nasıl elde edildiğinin incelenmesi gerekmektedir. Yargıtay 16. Ceza Dairesinin ilgili kararında ByLock verilerinin Milli İstihbarat Teşkilatı tarafından Litvanya’da bulunan Baltics Server isimli firmadan temini hususu;
  • “…teşkilata özgü teknik istihbarat usul araç ve yöntemleri kullanılmak suretiyle ByLock uygulamasına ait sunucular üzerindeki veriler ile uygulama sunucusunun ve IP adreslerinin satın alındığı, e-posta adreslerinin içerikleri başta olmak üzere muhtelif veriler elde edildiği, düzenlenen teknik analiz raporu ve dijital materyallerin Ankara Cumhuriyet Başsavcılığına ve Emniyet Genel Müdürlüğüne ulaştırıldığı…” şeklinde açıklanmıştır.

 

  1. Kararda verinin elde edilmesi ile birlikte Ankara Cumhuriyet Başsavcılığının verinin çözümlenmesine ilişkin yürüttüğü süreç ise;

 

“MİT’in yasal olarak elde ettiği dijital materyaller ve teknik analiz raporunun Ankara Cumhuriyet Başsavcılığına ulaştırılması ile birlikte artık adli sürecin başlatılması ve bu noktadan sonra CMK hükümlerine göre soruşturma işlemlerinin yapılması zorunludur. Nitekim Ankara Cumhuriyet Başsavcılığının, yürütülen soruşturmalar kapsamında Mili İstihbarat Teşkilatı tarafından FETÖ/PDY silahlı terör örgüt üyeleri tarafından kullanılan kapalı devre iletişim programı olan ByLock ile ilgili dijital materyallerin teslim edilmesi üzerine adli süreci başlattığı, 2016/104109 sor. Ve 2016/180056 numara üzerinden CMK 134.maddesine göre gönderilen dijital materyallerle ilgili inceleme, kopyalama, çözümleme işlemini yapmaya karar vererek 09/12/2016 tarih ve 2016/104109 soruşturma sayılı yazısı ile Ankara 4. Sulh Ceza Hakimliğine, Milli İstihbarat Teşkilatınca gönderilen; 1-1 adet Sony marka HD-B1 model, üzerinde bBW3DEK69121056 seri numaralı ve ön yüzünde 1173d7a09195cf0274ce24f0d69ede96 yazılı harddisk, 2-1 adet Kingston marka DataTraveler, uç kısmında DTIG4/8GB 04570-700.A00LF5V 0S7455704 yazılı flash bellek üzerinde, CMK 134.maddesi gereğince inceleme yapılmasına, 2 adet kopya çıkartılmasına, kopya üzerinde kayıtların çözülerek M. haline getirilmesine karar verilmesini istendiği, Ankara 4. Sulh Ceza Hakimliği talebi kabul ederek 09.12.2016 tarih 2016/6774 D.İş nolu kararı ile; dijital materyaller üzerinde inceleme yapılması, kopya çıkarılması ve kopya üzerinde bilirkişi incelemesi yapılarak M. haline getirilmesi için bir kopyasının Ankara Cumhuriyet Başsavcılığına gönderilmesine karar verildiği tespit edilmiştir. Ankara Cumhuriyet Başsavcılığı tarafından Emniyet Genel Müdürlüğü Kaçakçılık ve Organize Suçlarla Mücadele Daire Başkanlığına yazılan 16/12/2016 tarih ve 2016/180056 soruşturma sayılı yazı ile; Ankara 4. Sulh Ceza Hakimliğinden CMK 134.maddesi gereğince alınan inceleme, kopyalama ve çözümleme kararına istinaden içerisinde ByLock verilerinin tamamını içeren harici haddisk ve abonelik listesinin bulunduğu flash belleğinin imajını içerir 1 Seagate marka Z9A4E09G seri numaralı harddisk gönderilerek ByLock ile ilgili yazışmaların Ankara Cumhuriyet Başsavcılığının 2016/180056 soruşturma sayılı dosyası üzerinden sağlanması ve talimat doğrultusunda bir komisyon aracılığıyla gerekli araştırma ve soruşturma işlemlerinin yapılarak, ulaşılan tespitleri içerir raporun gönderilmesinin istendiği tespit edilmiştir.” şeklinde özetlenmiştir.

  • Yargıtay 16. Ceza Dairesi bilindiği üzere işbu verilerin hukuka uygun biçimde elde edilmiş olduğu, dolayısıyla delil niteliği taşıdığı yönünde hüküm kurmuştur. İşbu hükmünün hukuki gerekçeleri ise özetle;

 

  • MİT’in yabancı bir ülkeden elde ettiği anlaşılan ByLock adlı iletişim sisteminin sunucusunun (server’ının) delil olma niteliğini tartıştığı, bu sunucunun MİT tarafından elde edilip adli makamlara sunulmasında hukuki sakınca olup olmadığını incelediği, bu çerçevede MİT Kanunu m.4, 6 ile adli mercilerin yalnızca Devlet sırlarına karşı ve casusluk suçlarında delil isteyebileceği ve bunun dışında MİT’den bilgi, belge ve delil isteyemeyeceğine dair 26.04.2014 tarihinde yürürlüğe giren 6532 sayılı Kanunun 11. maddesiyle eklenen 2937 sayılı Kanunun ek 1. maddesini tartıştığı ve bu maddenin ne anlama geldiği hakkında yorum yaptığı, ancak bu yorumu geniş tutup MİT tarafından elde edilen delillerin adli makamlarca alınıp değerlendirilmesinde sakınca olmayacağı, zaten istihbarat ve önleyicilik faaliyetlerinde bulunan MİT’in görevi sırasında kullandığı yetkilerden dolayı elde ettiği bilgi, belge, veri ve kayıtları, 2937 sayılı Kanunun 4. maddesinde sayılan idari teşkilatlar ile gerekli kuruluşlara ulaştırmakla yükümlü olduğu, MİT’in görev ifası sırasında elde ettiği veya rastladığı suç delili olabilecek unsurları da görmezden gelemeyeceği, bunlara dokunmadan adli makamlarla paylaştığı ve adli makamların da delil değerlendirmesi yaptığı, yani alt çalışmalarını savcılık ve adli kolluğun gerçekleştirmesi suretiyle değerlendirilen delillerin hukuka aykırı sayılamayacağı şeklindedir. [39]

viii. Özetle Yargıtay, MİT tarafından elde edilen bu veriler her ne kadar istihbari çalışma niteliğinde olsa da, veri MİT tarafından Ankara Cumhuriyet Başsavcılığına aynen teslim edildiği ve verinin çözümlenmesine ilişkin süreç yine Ankara Cumhuriyet Başsavcılığı tarafından CMK 134’e uygun biçimde gerçekleştirildiği için hukuka uygunluk sorunu bulunmadığına hükmetmiştir.

  1. İşbu hükmün, dijital verilere bakış açısı sebebiyle tartışmalı olduğu değerlendirilmektedir. Zira, yukarıda da izah ettiğimiz üzere, dijital veriler hassas ve dışarıdan müdahaleye açık yapıları gereği güvenilirlikleri tartışmalı verilerdir. İşbu güvenilirlik sorununun aşılmasındaki en önemli husus ise, verinin elde ediliş aşamasında uygulanacak usul kurallarıdır. Zira işbu usul kurallarının temel maksadı verinin bozulmasını engellemektir. Yani, mühim olan, Yargıtay’ın hükmünün aksine, veri elde edildikten sonra usule uygun biçimde çözümlenmesi değil, verinin usule uygun biçimde elde edildikten sonra usulüne uygun olarak çözümlenmesidir. Zira zaten bozulmuş, tahrip edilmiş bir dijital veri, usule uygun biçimde çözümlense dahi, çözümleme sonucunda ortaya çıkan sonuç hatalı olacaktır.
  2. Yine Yargıtay, ilgili kararında verinin MİT tarafından elde edilip edilmemesi hususunun oldukça üzerinde durmuş ve özetle MİT’nın ulusal güvenliği ilgilendiren böylesi bir hususta başka türlü davranmak yönünde bir seçeneği olamayacağını defalarca dile getirmiştir. Lakin, veriyi ilk elde eden Ankara Cumhuriyet Başsavcılığının veriyi değerlendirme biçimini sadece Sulh Ceza Hakimliğinden alınan usulüne uygun kararın mevcudiyeti çerçevesinde tartışmıştır. Oysa ki veri Litvanya’dan yani yabancı bir ülkeden elde edilmiştir. Konunun bu yönü ise Yargıtay tarafından hiç tartışılmamıştır.
  3. Bilindiği üzere, Avrupa Konseyi tarafından bilişim suçları özelinde “Sanal Ortamda İşlenen Suçlar Sözleşmesi hazırlanmıştır. Bu sözleşme 23 Kasım 2001 tarihinde imzaya açılmış ve 1 Temmuz 2004 tarihinde yürürlüğe girmiştir. Sözleşme ilk olarak Budapeşte’de imzaya açıldığı için Budapeşte Sözleşmesi olarak da anılmaktadır Budapeşte Sözleşmesi siber suçlara dair ilk uluslar arası sözleşmedir. Türkiye, iç hukuk düzenlemelerini tamamlamak maksadıyla bu sözleşmeyi dokuz yıl sonra 10 Kasım 2010 tarihinde imzalanmıştır. 6533 sayılı “Sanal Ortamda İşlenen Suçlar Sözleşmesinin Onaylanmasının Uygun Bulunduğuna Dair Kanun” çekinceler ve beyanlar ile birlikte TBMM tarafından 22.04.2014 tarihinde kabul edilmiş ve 02.05.2014 tarihli Resmi Gazete’de yayınlanarak yürürlüğe girmiştir.
  • Budapeşte Sözleşmesinin 35. Maddesi ile Avrupa Konseyi üyelerinin tamamında Kovuşturma ve soruşturma süreçlerinde, ülkeler arasında irtibatı sağlamak maksadıyla çalışan temas noktaları oluşturulmuştur. Bu uygulamada Sözleşmeye taraf olan ülkeler, oluşabilecek bir suç durumunda hızlı bir şekilde hareket edilebilmesi maksadıyla bu bağlantı noktalarını kurmak zorundadır. Türkiye’de ise bağlantı noktası olarak, 2011 yılında Bakanlar Kurulu Kararı ile Emniyet Genel Müdürlüğü’ne bağlı “Bilişim Suçlarla Mücadele Daire Başkanlığı” kurulmuştur. 2013 yılında, İçişleri Bakanlığının oluru ile dairenin adı “Siber Suçlarla Mücadele Daire Başkanlığı” olarak değiştirilmiştir.
  • Bilindiği üzere gerek Türkiye ve gerekse Litvanya Avrupa Konseyi üyesidir. Yine her iki ülke de Budapeşte sözleşmesine taraf ülkelerdir. Türkiye’nin sözleşmenin 35. Maddesi gereği Siber Suçlarla Mücadele Daire Başkanlığı vasıtasıyla Litvanya’dan işbu verileri temini mümkündür. Bu noktada Ankara Cumhuriyet Başsavcılığı verinin bu suretle yeniden ve gerek hukuka gerekse dijital verilerin tahrip edilmeden elde edilebilmesi için öngörülen usule uygun olarak temini yoluna gitmemiştir. Bu nedenle de zaten bir dijital veri olması sebebiyle güvenilirliği tartışmalı olan işbu veriyi daha da tartışmalı hale getirmiştir.

8.5.        Bylock Verilerinin Dosyalara Kazandırılma Biçimine Yönelik Değerlendirmeler

  1. Yukarıda da izah ettiğimiz üzere, işbu çalışmanın konusu olan ByLock verileri bir elektronik veri niteliği taşıdığından delil olması muhtemel husus verinin kendisi yani orijinal hali olacaktır. Lakin elbette işbu verilerin olduğu gibi dosyaya aktarılması, verilerin anlaşılmasına ve neyi ifade ettiği üzerinde tartışılmasına imkân vermeyecektir. Zira veriler elektronik veri olması sebebiyle soyut nitelikte olduklarında somut yani gözle görünür hale getirilmeleri gerekmektedir.
  2. Özetle, Elektronik delilden soruşturma veya organlarınca doğrudan yararlanılması delilin bulunduğu ortam ve niteliği itibariyle mümkün olmadığından, bu delillerin inceleme ve değerlendirmeye elverişli hale getirilmesi, yani sanal dünyadan gerçek dünyaya aktarılması Örneğin Yargıtay, insan öldürme suçuna ilişkin olarak önüne gelen bir dosyada, “… soruşturma aşamasında temin edilen olay anı ve öncesine ilişkin görüntüleri içeren güvenlik kamerası görüntülerinin bilirkişiye çözümlettirilmesi ile çözüm tutanaklarının duruşma sırasında taraflara okunması ve diyeceklerinin sorulması gerektiğine” işaret etmiş ve “duruşma heyetince ne zaman ve nerede incelendiği tutanaklardan anlaşılmayan görüntülere istinaden mahkumiyet kararı verilemeyeceğine” hükmetmiştir. (1. CD, 16.01.2012, 2008/10249, 2012/48) [40]
  • Elektronik delillerin sanal dünyadan gerçek dünyaya aktarılması ise esasen bir adli bilişim çalışmasıdır. Disketlerden, sabit disklerden ve çıkartılabilir disklerden delil elde etme amacıyla veri kurtarma işlemi olan ve elektronik delillerin muhteva ettiği bilgileri, delil inceleme süreçlerini, hukuki ve etik sorumlulukları göz önünde bulundurarak, delilin bütünlüğünü koruyarak ve maddi gerçeği açığa çıkarmak amacıyla; kopyalama, belirleme, çözümleme, yorumlama ve belgeleme süreçlerinin bütününe adli bilişim adı verilmektedir.[41] Bu veriler, bilgi saklamak amacıyla kullanılan medyaların aktif alanlarında, silinmiş alanlarında veya artık alanlarında bulunmaktadır.[42]
  1. Adli bilişimde olay yerinin incelenmesinden, elde edilen delillerin adli makamlara sunulmasına kadar birçok aşama bulunmaktadır. Ancak, adli bilişim aşamaları, genel olarak ön inceleme ve olay yeri tespiti, delil toplama, analiz ve raporlama olmak üzere dört ana başlıkta değerlendirilmektedir.[43] İşbu çalışmanın konusu olan ByLock verilerinin elde edilme biçimi ile alakalı olan ön inceleme ve olay yeri tespiti ile delil toplama aşamalarının CMK 134’e uygunluk açısından değerlendirmemizi yukarıda yapmıştık. Bu aşamada ise incelenecek olan ByLock verilerinin analiz ve raporlama aşamasının delillerin müşterekliği bakımından incelenmesi olacaktır.
  2. Adli bilişim sürecindeki son aşama, CMK da ve ilgili yönetmeliklerde öngörülen usul kurallarına uygun olarak toplanmış delillerin, yapılan inceleme sonrasında değerlendirilerek, savcılık makamına sunulmasını içeren raporlama aşamasıdır. Bu aşamada dikkat edilmesi gereken teknik hususlar şunlardır:
  • Öncelikle, delillerin, kanuna uygun ve ceza muhakemesine esas alınabilecek nitelikte delil olarak kabul edilmesi için, bulunan deliller kanun ve yönetmelikte düzenlenen kurallara uygun olmalı, bir başka deyişle bir sonraki bölümde açıklayacağımız şekilde, CMK da öngörülen usullerin tamamına uyularak toplanmış ve incelenmiş olmalıdır.
  • Bir delilin, muhakeme makamları olan savcılık ve mahkemece kabul edilmesi için en büyük önceliği, bütünlük ve doğruluğunun sağlanmasıdır. [44]
  • Analizci, tüm delillerin şüphelinin bilgisayarından alındığını ve bu işlem sırasında kanunda öngörülen tüm sürece ve usul kurallarına uygun hareket edildiğini, raporlar halinde adli makamlara sunmalıdır.
  • Tüm deliller, net ve açık olmalı, aşağıda değineceğimiz delillerin gerçek olayı temsil edici özelliğini yansıtmalıdır.
  • Tüm araştırma sonucunda verilecek raporda, en başındaki süreç de dahil olmak üzere, bütün süreçler raporlanmalıdır.[45] Zira, analizci muhakeme sürecinde, savcılık yahut mahkeme önünde bu delillerle ilgili ifade verebileceğinden ve muhakemenin ilerleyen safhalarında buna ilişkin detayların unutulması ihtimali bulunduğundan, inceleme ve raporlama aşamalarında bütün detaylar yazılmalı ve yeterli belgelendirme yapılmalıdır.
  1. Bilindiği üzere işbu çalışmanın konusu olan ByLock verileri dosyalara “Tespit-Değerlendirme Tutanağı” adı altında düzenlenen ve muhteviyatında şahısların User Id’si, şifresi, kimlerle görüştükleri, kaç mesaj atıp-aldıkları, kaç sesli görüşme yaptıkları, kaç mail atıp-aldıkları, kaç gruba dahil oldukları ve işbu görüşmelerin içerikleri gibi bilgileri içermektedir.
  • Esasen işbu tespit ve değerlendirme tutanaklarının hazırlanması ve dosyalara kazandırılması yukarıda da açıkladığımız sebeplerle gayet olağandır. Lakin problemli olan nokta tutanakların muhteviyatı ve delilin kendisinin dosyalarda mevcut olmamasıdır. Tutanaklarda, yukarıda belirttiğimiz üzere delilin elde edilmesinde çözümlenmesine yani raporlanmasına kadar geçen aşamadan hiç bahsedilmemektedir. Yine delilin çözümlenmesi noktasında sırasıyla; hangi işlemlerin, kim tarafından, hangi ortamda gerçekleştirildiği de belli değildir. Öyle ki kovuşturma aşamasındaki pek çok tespit-değerlendirme tutanağının altına “çıktısını alan” ibaresi yazılarak polis memurlarınca imzalandığı görülmektedir. Bu noktada delilin müşterekliği ilkesine uygun olduğundan bahsetmek mümkün değildir.
  • Delillerin müşterekliği bunların duruşmaya getirilerek tarafların tartışmasına açılması ile mümkün olmaktadır.[46] Bunun için tarafların delillere ulaşabilmesi ve ileri sürülen delillerin karşı tarafa bildirilmesi gerekmektedir. Bu bakımdan hâkim hükmünü huzuruna getirilen ve huzurunda tartışılan delillere dayandırabilecektir[47]. Yalnızca muhakeme makamı tarafından bilinen değil tarafların da bilmesinin sağlandığı deliller hükme esas teşkil edecektir. Delillerin müşterekliğinden amaç ise söz konusu bir delilin taraflarca çürütülebilme ve delil hakkında tarafların düşüncelerini açıklayabilmelerine fırsat verilmesidir[48]. Zira hâkim şahsi bilgisine dayanarak hüküm tesis etmeyecektir.
  1. Delillerin müşterekliğinin CMK’na yansıması 217. Madde ile olmuştur. CMK m. 217/1: “Hâkim, kararını ancak duruşmaya getirilmiş ve huzurunda tartışılmış delillere dayandırabilir. Bu deliller hâkimin vicdanî kanaatiyle serbestçe takdir edilir.” Buradaki deliller kelimesi alelade yazılmış bir kelime değildir. Kast edilenin delilin kendisi olduğu açıktır. ByLock verileri bakımından ise verinin dosyalara kazandırılan evrak esasen verinin kendisi değil, nasıl elde edilip kim tarafından hangi yöntemler kullanılarak hazırlandığı belli olmayan bir tutanaktır. Bu noktada savunma makamının verinin doğru çözümlenip çözümlenmeyeceğini, işbu tutanağın Müvekkiline ait olup olmadığını araştırma, inceleme imkânı yok edilmektedir. Tutanakta bir hata olup olmadığı şayet var ise bu hatanın nereden kaynaklandığını tespit etmek mümkün olmamaktadır. Zira tutanağın kaynağı olduğu iddia olunun veri dosyalarda mevcut değildir. Tutanaklara geçen haliyle tespit edilen ve sunucudan elde edilen verilerdeki iç tutarsızlıklardan veya verilerin eksik veya bozulmuş olma ihtimalinden oluştuğu değerlendirilen hatalar ise veriler dosyalarda mevcut olmadığından kontrol edilememektedir.
  2. ByLock verilerinin dosyalara kazandırılması bakımından kullanılan bu tutanak usulü savunma hakkının kısıtlanmasından da öte, tutanağın adeta kutsallaştırılması halini almıştır. Zira, delilin aslını göremeyen tek suje savunma değildir. Dosyadaki tarafların hiç biri yani iddia, savunma ve karar merciinin tamamı delilin kendisini görememektedir. Tutanaklarda zaman zaman ortaya çıkan tutarsızlıklara ilişkin savunmalar araştırılamamaktadır. Bazen ise tutanaklardaki bilgi eksikliği sebebiyle esasen tutanak sanığa hiçbir suretle atfedilebilir bir özellikte olamamasına rağmen sanığa ait olduğu kabul edilerek karar verilmektedir. Bu noktada hâkimin ByLock kullanımına ilişkin hazırlanan tespit ve değerlendirme tutanakları sebebiyle kurduğu hükmün CMK md. 217’ye uygun olduğunu söylemek mümkün değildir.

 

9.    SONUÇ VE ÖNERİLER

 

  1. Anayasa Mahkemesinin 2016/22169 Başvuru numaralı kararında ByLock uygulamasına dair yaptığı değerlendirme aşağıdaki resimde sunulmuştur.

Resim 10: AYM kararı ByLock bölümü.

  1. AYM, yukarıdaki resimde görüldüğü gibi ByLock uygulamasının kullanımını FETÖ/PDY ile olan ilgi bakımında bir belirti olarak kabul etmiştir ve belirtinin derecesi için aşağıdaki kreiterleri sıralamıştır.
  • Uygulamanın ilgili kişi tarafından kullanılıp kullanılmadığı,
  • Kullanım şekli,
  • Kullanım sıklığı,
  • Haberleşme yapılan kişilerin FETÖ/PDY içindeki konumu ve önemi,
  • Haberleşmenin içeriği.

 

  • AYM tarafından belirtilen bu kriterlerin yalnızca ne derece şüpheli olduğu yukarıda detaylı bir şekilde açıklanan CGNAT kayıtları ile değerlendirilemeyeceği açıktır. Bu kriterlerin değerlendirilebilmesi için mutlaka içerik bilgisi gereklidir.

 

  1. Nitekim, User ID (kullanıcı no) ve şifre bir uygulama için kapı anahtarı niteliğindedir ve anahtar olmaksızın kilitli bir kapıdan girilmesi mümkün değildir. Kapıdan giren kişi, “bir arkadaşına bakıp çıkan” tarzında meraktan da girmiş ve kısa sürede çıkmış da olabilir. Kapıdan girenin, içeride gerçekleştirdiği eylemler de terör örgütü üyeliği gibi ağır bir suçlama için belirleyici olmalıdır.

 

  1. Türkiye Cumhuriyeti Devleti ne yazık ki, ilk defa bir terör örgütü ile karşı karşıya değildir. Kuruluşundan bu yana terör örgütleriyle mücadele etmek zorunda kalan Devletimizin üç erkinden biri olan Yargı organlarının terör örgütü üyeliğine yönelik çok sayıda yerleşik içtihadı bulunmaktadır.

 

  1. Silahlı Terör Örgütü üyeliği; Örgüte katılmayı, bağlanmayı, örgüte hakim olan hiyerarşik gücün emrine girmeyi ifade eder. Örgüte üye olmak kişinin rızasıyla örgütün hiyerarşik yapısına dahil olması, örgütle organik bağ kurup faaliyetlerine katılması halidir. Organik bağ, canlı, etkin, faili emir ve talimat almaya açık tutan ve hiyerarşik konumunu tespit eden bağ olup, üyeliğin en önemli unsurudur.

 

  • Yargıtay 9. Ceza Dairesinin yerleşik uygulamasında; “silahlı örgüte üyelik suçunun oluşabilmesi için örgütle organik bağ kurulması, süreklilik, çeşitlilik ve yoğunluk gerektiren eylem ve faaliyetlerin bulunması aranmaktadır. …” hususu defalarca yinelenmiştir.

 

  • Dolayısıyla sadece operatör (CGNAT) kayıtları üzerinden değil, ancak operatör kayıtları ile User ID eşleştirmesi doğru yapılabilen şüpheliler için kovuşturma aşamasına geçilmesi gerektiği değerlendirilmektedir. Kovuşturma aşamasında da içeriklerin sorgulanması ve terör örgütü üyeliği için mevzuatımızda ve içtihatlarımızda yer alan manevi unsur (kasıt) ve hiyerarşi içinde yer alma, süreklilik, çeşitlilik ve yoğunluk kriterlerinin de aranması gerektiği değerlendirilmektedir.

 

  1. Raporda yer alan tüm bilgiler kapsamında, FETÖ/PDY’nin ByLock uygulaması ile ilki “kendi tabanını konsolide tutmak ve kontrol edebilmek”, ikincisi “üyelerini perdelemek”, üçüncüsü “olası tespitlerde oluşacak mağduriyetlerden faydalanmak” şeklinde üç temel amacının olduğu değerlendirilmektedir.

 

  1. Son söz olarak, Ceza Yargılamasındaki temel ilkeyi tekrar hatırlatmak istiyoruz. Bir insanın suçlu olduğuna %90 kanaat getirilse dahi, o insan delil yetersizliğinden serbest bırakılır. Zira Ceza Yargılamasında %100 aranır. Şüpheler, sanık lehine değerlendirilir. Bunun da gerekçesi şudur: Hukuk Felsefesi, 1 masumu haksız yere cezalandırmaktansa, 9 suçluyu cezalandırmamayı tercih eder. “Bir masumun cezalandırılmasındansa, bir suçlunun cezasız kalması tercih edilir” (Cesare Beccaria).

 

  1. ByLock konusunda mahkemelere ve uzmanlara/bilirkişilere yansıyan pek çok vakada hatalar olduğu açıktır. Bu hataları en aza indirmek ve masum yurttaşların haklarını korumak da Devletin en temel vazifesidir. Biz de bu vazifenin hakkıyla yapılması ve gerçek suçlular ile masumların ayrılması için elimizden gelen her türlü desteği vermeye hazırız.

 

“Adalet mülkün (Devletin) temelidir” (Hz. Ömer).

 

Saygılarımızla.

 

Gizay DULKADİR Ali AKTAŞ T. Koray PEKSAYAR Levent MAZILIGÜNEY
Avukat Avukat Mühendis, Adli Bilişim Uzmanı Hukukçu, Mühendis, İktisatçı

 

 

 

 

 

[1]                                     Bu kavrama “reddedilmezlik” de denir.

[2]                                     Yerel ağ sistemleri. Intranet sistemleri ve benzerleri

[3]                                     İnternet bağlantılı sistemler gibi

[4]                                     Bkz: “Bu Kitabı Çalın II” İnternet güvenliği üzerine yazılmış ücretsiz e-kitabın 66. Sayfası.

[5]                                     Bit: Sayısal veriyi oluşturan en küçük parçaya verilen isim. Sayısal veri boyutunu ölçmek için kullanılan en küçük birim.

 

[6]                                     Türkçe VikiPedi’nin “Kriptografik özet fonksiyonu” maddesinden alıntılanmıştır. https://tr.wikipedia.org/wiki/Kriptografik_%C3%B6zet_fonksiyonu

 

[7]                                     İngilizce: Hash value

[8]                                     Manual: BIG-IP Systems: Upgrading 11.x Software,

https://support.f5.com/kb/en-us/products/big-ip_ltm/manuals/product/bigip-11xsoftware-upgrade-11-5-0.html

[9]                                     Söz konusu yorumlara internet ortamında açık kaynaklardan ulaşmak mümkündür. Yorumlarda çok sayıda özel isim yer aldığı için bu rapor kapsamında yeniden paylaşılmamıştır.

 

[10]                                   homepicketfence.com, playaauflorida.net, jobexitplan.com, politicalattractions.com

[11]                                   Firmaya ticari bir zarar verilmemesi amacıyla açık olarak yazılmamıştır. Ayrıca, IP adresi ByLock uygulamasının kullanılamadığı 2016 yılında kullanılmaya başlanmıştır.

[12]                                   İnternetteki alan adları ve IP adresleri üzerinde birçok analiz ve sorgulamalar yapmayı sağlayan web sitesi.

[13]                                   Arş. Gör. Şenel Sarsıkoğlu, CEZA MUHAKEMESİNDE DELİL VE İSPAT HUKUKU AÇISINDAN

ELEKTRONİK DELİL (E-DELİL) KAVRAMI, TAAD, Yıl;6, Sayı;22, Syf;431 (Temmuz 2015), Centel ve Zafer, s. 209; Özbek, Kanbur, Doğan vd., Ceza Muhakemesi Hukuku, s. 657; Koca,

  1. 207.

[14]                                   Sarsıkoğlu, Syf;431, Erem, s. 349.

[15]                                   Sarsıkoğlu, Syf;432, Erem, s. 361; Centel ve Zafer, s. 209; Öztürk, Tezcan, Erdem vd., s. 294.

[16]                                   Sarsıkoğlu, Syf;432, Yurtcan, s. 247; Centel ve Zafer, s. 209; Toroslu ve Feyzioğlu, s.169.

[17]                                   Sarsıkoğlu, Syf;432, Tosun, s. 725; Erem, s. 352; Yurtcan, s. 51; Öztürk, Tezcan, Erdem vd., s. 295.

[18]                                   Prof. Dr. Muharrem Özen-Gürkan Özocak, Adli Bilişim, Elektronik Deliller ve Bilgisayarlarda Arama ve El Koyma Tedbirinin Hukuki rejimi (CMK M.134), Ankara Barosu Dergisi, 2015/1, Syf. 57, Toroslu/Feyzioğlu, s. 170 vd.; Tosun, C. I, s. 586-587.

[19]                                   Sarsıkoğlu, Syf;434, Kunter, Yenisey ve Nuhoğlu, s. 1329.

[20]                                   Özen-Özocak, Syf.57

[21]                                   Özen-Özocak, Syf.58

[22]                                   Ferhat Karabulut-Ersin Karapazarlıoğlu-Hamza Tosun, Ceza Muhakemesinde Delil Kavramı ve Kovuşturma Sürecinde Hakimlerin Delil Algısı, TBB Dergisi 2015 (120) Syf.390, Y.11.CD 05.02.2013 2012/11-1086 E., 2013/40 K., https://emsal.yargitay.gov.tr/VeriBankasi IstemciWeb/ GelismisDokumanAraServlet, (17.11.2014)

[23]                                   Çetin Arslan, Dijital Delil ve İletişimin Denetlenemsi, CHKD, Cilt;3, Sayı;2, 2015, Syf,255

[24]                                   Sarsıkoğlu, Syf;442-443

[25]                                   Sarsıkoğlu, Syf;439Keser Berber, Adli Bilişim (Computer Forensic), s. 46; Özocak, s. 114; Değirmenci, s. 127;

Osman Gazi Ünal, Bilgisayarlarda Bilgisayar Programlarında ve Kütüklerinde Arama Kopyalama

ve  Elkoyma, Gazi Üniversitesi Sosyal Bilimler Enstitüsü Ceza ve Ceza Usul Hukuku

Anabilim Dalı, Yayımlanmamış Yüksek Lisans Tezi, Ankara 2011, s. 16.

[26]                                   Mustafa Göksu, Hukuk Yargılamasında Elektronik Delil,  T.C. ANKARA ÜNİVERSİTESİ SOSYAL BİLİMLER ENSTİTÜSÜ ÖZEL HUKUK (MEDENİ USUL VE İCRA-İFLAS HUKUKU) ANABİLİM DALI, Ankara 2010, Syf;29.

[27]                                   Göksu, Syf;10-11.

[28]                                   Sarsıkoğlu, Syf;440, Bkz. aynı yönde Özocak, s. 114.

[29]                                   Sarsıkoğlu, Syf;440

[30]                                   Göksu, Syf;15

[31]                                   Arslan, Syf;256

[32]                                   Arslan, Syf;256

[33]                                   Sarsıkoğlu, Syf; 443, Nurullah Kunter ve Feridun Yenisey, Muhakeme Hukuku Dalı Olarak Ceza Muhakemesi Hukuku 2005 Eki, Arıkan Yayınevi, İstanbul 2005, s.227.

[34]                                   Karabulut-Karapazarlıoğlu-Hamza Tosun Syf.401, Y.11.HD., 23.06.2008, 2007/6429 E., 2008/8326 K https://emsal.yargitay.gov.tr/ Veri BankasiIstemciWeb/Gelismis Dokuman Ara Servlet (24.06.2015)

 

[35]                                   Özen-Özocak Syf.62, Özbek, Veli Özer / Kanbur, M. Nihat / Doğan, Koray / Bacaksız, Pınar / Tepe, İlker; Ceza Muhakemesi Hukuku, Ankara, 2012, s. 381.

[36]                                   Özen-Özocak Syf.62, Baştürk, İhsan; “Bilgisayar Sistemleri ile Verilerinde Arama, Kopyalama ve El Koyma”, Fasikül, S. 9, Ağustos 2010, s. 25.

[37]                                   Özen-Özocak Syf.62-63

[38]                                   Özen-Özocak Syf.63, Özen/Baştürk, s. 150.

[39]                                   Prof. Dr. Ersan Şen, MİT’in Elde Ettiği Bilgi ve Belgelerin Delil Değeri 1.Kısım, 17 Temmuz 2017, http://www.hukukihaber.net/mitin-elde-ettigi-bilgi-ve-belgelerin-delil-degeri-5-kisim-makale,5365.html

[40]                                   Arslan, Syf.261

[41]                                   Özen-Özocak Syf.44-45, Barry, Sean; “Smoking Microchips Tells It All : Computer Forensic Experts Mine Hard Drives For Data That Too-Clever Users Thought Long Deleted”, http://www.dataforensics. com/articles/ smoking_microchip_tells_it_all.pdf, (15.04.2014); Keser Berber, Leyla; Adli Bilişim, Ankara, 2004, s. 39.

[42]                                   Özen-Özocak Syf.45, Say, Kubilay; Bilişim Suçlarında Elde Edilen Delillerin Olay Yerinden Toplanması ve Laboratuvarda İncelenmesi, Ankara, 2006, s. 16 (Yayımlanmamış yüksek lisans tezi).

[43]                                   Özen-Özocak Syf.52

[44]                                   Özen-Özocak Syf.55, Abboud, G. / Marean, J. / Yampolskiy, R.V., “Steganography and Visual Cryptography in Computer Forensics”, 2010 Fifth International Workshop on Systematic Approaches to Digital Forensic Engineering, 2010.

[45]                                   Özen-Özocak Syf.55, Rogers, M.K., Seigfried, K., “The future of computer forensics: a needs analysis survey”, Elsevier Computers & Security, 23/12-16, 2004; Ekizer, Ahmet Hakan; “Adli Bilişim”, http://www.ekizer.net/content/view/16/1/ (01.05.2014).

[46]                                   Sarsıkoğlu, Syf 435, Kaymaz, s. 227.

[47]                                   Sarsıkoğlu, Syf 436, Toroslu ve Feyzioğlu, s.172.

[48]                                   Sarsıkoğlu, Syf 436