D J TAL KANIT ARAfiTIRMA YÖNTEMLER

D J TAL KANIT ARAfiTIRMA YÖNTEMLER Servet YET M* I- ADL B L MLER T p, fen ve sosyal bilimler alan ndaki bilgilerin adaletin hizmetine sunulmas ile ilgilenen bilim dallar n n tamam adli bilimleri oluflturur. 1 Bilim ve teknolojideki geliflmeler sonucunda toplumlar n sosyal hayatlar nda oluflan sorunlar çözme, suçlar önleme ve suçlular cezaland rma ad - na yasa koyucu adli bilimler ile ilgili daima yeni düzenlemeler yapmak zorundad r. Bu yasal düzenlemeler sonucunda ceza hukukuna yeni kavramlar ve terimler girmektedir. Yasa uygulay c s yap lan yeni yasalar uygulad s rada suçun unsurlar n n oluflup oluflmad n tespit ederken teknik konularda adli bilimlere müracaat etmektedir. Gün geçtikçe hukuk biliminin teknik konularda yard m n talep etti i bilim dallar n n say s artarak adli bilimlere yeni bilim dallar eklenmektedir. Adli patoloji, adli psikoloji, adli toksikoloji, adli seroloji, adli travmatoloji, adli hemogenetik, adli otomotiv, balistik, adli belge incelemesi, adli odontoloji, adli osteoloji, adli entomoloji, adli mikrobiyoloji, adli arkeoloji, adli sosyoloji, adli genetik, adli mühendislik ve adli antropolojiyi, adli bilimlerin bafll ca çal flma alanlar olarak saymak mümkündür 2. Son zamalarda h zl bir flekilde geliflen di er bir adli bilim dal da adli biliflimdir. Adli biliflimi flimdilik kendi alan nda bilgisayar, network, sunucular, depolama ayg tlar, yaz c, taray c, dijital video, dijital fotograf, mobil telefon, e-posta, internet vb. fleklinde ay rmak mümkündür. Teknolojinin bu alanda h zla geliflmesinden dolay yukar da say lan alt bilim dallar n s n rlamak mümkün olmayacakt r. Gün geçtikçe yeni alt bilim dal eklenectir. Mevcut uygulmalara göre; adli bilimlerde, uzmanl olmayan t p doktorlar ile Adli T p Kurumu nda ya da üniversitelere ba l Adli T p Ana Bi- (*) Tetkik Hâkimi, Yarg tay Birinci Baflkanl Bilgi fllem Merkezi (1) Hamit,. Hanc, (20/04/2004), Adli T p ve Adli Bilimler Analiz Raporu http://home.tiscalinet.en/s.alcinkaya/hamidhanci.htm (2) Hamit,. Hanc, (20/04/2004), Adli T p ve Adli Bilimler Analiz Raporu http://home.ti scalinet.ch/s.alcinkaya/hamidhanci.htm

1202 STANBUL BAROSU DERG S Cilt: 82 Say : 3 Y l 2008 lim Dallar ndan uzmanl k alm fl olan adli t p uzmanlar ndan faydalan lmaktad r. Adli T p Kurumu Kanunu nda yap lan de ifliklikle 4.3.2003 de yürürlü e giren 4810 say l Adli T p Kurumu Kanununda De ifliklik Yap lmas na Dair kanunun 1. maddesinde; Adli T p Kurumu na adalet ifllerinde bilirkiflilik görevi yapman n yan nda ayr ca adli t p uzmanl ve yan dal uzmanl programlar ile görev alan na giren konularda sempozyum, konferans vb. etkinlikleri düzenlemek ve bunlara iliflkin e itim program uygulamak hususunda yetki vererek adli bilimlerin gelifltirilmesi ve uzman yetifltirilmesi ad na önemli bir düzenleme yap lm flt r. Bütün bu düzenlemelerin mazisi çok yeni olmas na karfl n adli biliflim ile ilgili herhangi bir kanuni düzenleme mevcut de ildir. Öncelikle bu konu ile ilgili bir düzenleme yap lmak suretiyle Adli T p Kurumu Kanunu nda köklü bir de iflikli in yap lmas na gerek bulunmaktad r. Kanunda yap lacak de ifliklikle öncelikle kanunun ad Adli Bilirkiflilik Kurumu Kanunu fleklinde olmal d r. Adli T p Kurumu Kanunu nun ilk düzenlemesinde sadece t bbi alanlarda bilirkiflilik ihtiyaçlar - n n giderilmesi amac yla Adalet Bakanl na ba l bir kurum olarak kurulmufl iken daha sonra birimin ana yap s içinde yer alan ihtisas Kurullar na htisas Daireleri de eklenerek morg, fizik, kimya, gözlem, trafik, biyoloji vb. ihtisas daireleri kurulmufltur. Kurum sadace t bbi alanlarda bilirkiflilik yapma fonksiyonundan h zla uzaklaflm fl olmas na ra men birimin ad n n de ifltirilmesi gerekti i yönünde bir giriflimde bulunulmam flt r. Di er ihtisas dairelerinde oldu u gibi flimdi de dijital delillerin sa l kl bir flekilde toplanmas amac yla kanunun ad da de ifltirilmek suretiyle Adli Biliflimi bütün boyutlar ile içine alacak bir Adli Biliflim htisas Kurulu nun kurulmas gerekmektedir. Kurulacak olan bu birimde çal flacak olan adli biliflim uzmanlar belli bir sertifika pro ram na dâhil edilmek suretiyle ilk aflamada klasik delil toplama yöntemleri konusunda e itim verilmeli, sonra da adli biliflim alan nda gerekli e itimler verilmelidir. Bu alanda uzmanl klar n kan tlam fl olan kifller taraf ndan bilirkiflilik faaliyetleri yürütülme, bilgisayar teknolojilerinin h zla geliflmesinden dolay dijitital delillerin niteliklerinin artmas söz konusu oldu undan burada çal flacak olan adli biliflim uzmanlar devaml surette geliflen teknolojilere uygun olarak mesleki geliflim e itimlerine tabi tutulmal d r. 3 Bu birimde çal flacak olan uzmanlar özellikle fizik ihtisas dairesi ile yak n iletiflim içinde olmal d rlar. Adli T p htisas kurullar nda oldu u gibi Adli Biliflim htisas Kurulunda da, yaz l mdan, donan mdan, veri taban yönetiminden, veri kurtarmadan ve network yönetiminden anlayan uzman kifliler olmal d r. Bu birimde çal flacak olan uzmanlar n adli olayalar n çözümünde istifade edecekleri son derece ileri düzey labarotuar kurulmal d r. Dijital delillerin ni- (3) Anderson, Michael R., (14.05.2007), Defending Against Junk Science http://www.forensicsintl.com/art20.html

Dijital Delil Araflt rma Yöntemleri Servet Yetim 1203 teli i itibariyle al nan imaj ve yedeklerin uzun zaman diliminde saklanmas gerekece inden bu ihtiyaçlar giderici mahiyette yedekleme üniteleri bulunmal d r. II- ADL B L fi M Adli biliflim; bir bilgisayarda, yan bileflenlerinde veya biliflim sisteminde bulunan dijital delillerin araflt rma ve analiz teknikleri kullan larak incelenip irdelenmesi sonucu ortaya ç kart lan verilerin mahkemede suçlulu un veya suçsuzlu un ispat nda ya da hukuk davalar ndaki anlaflmazl klar gidermek üzere incelenmesidir. Adli biliflimin amac ; özel teknikler kullan larak, kimlik denetimi, analiz, fiil ile bilgisayar kullan c - s ve veri aras nda ne gibi ba lant lar n bulundu unun analiz ve edilmesidir. Adli biliflim alan nda uzman olan kiflinin amac bir k s m teknikler kullanmak suretiyle normal veri ile bu veriler üreten son kullan c ya veya destek veren personele ulaflmak ve aralar ndaki ba lant y çözmektir. K saca dijital durum ile olay aras ndaki ba lant y çözmektir. Bu araflt rman n içeri i biliflim sisteminde yasa d fl ya da izinsiz olarak kullan lmay tan mlamakt r. Uzmanlar n genelde çal flma alanlar n harddisk, CD, DVD, flash Bellek, vb. depolama ayg tlar ve di er dijital ayg tlar oluflturmaktad r. 4,5 K saca adli biliflim; yarg lama s ras nda kullan labilecek potansiyel delillerin belirlenmesi için biliflim teknolojilerinin kullan lmas d r. Adli biliflim, bilgisayar kullan larak ne, kim, nerede, ne zaman ve nas l sorular na cevap bulunmaya çal fl lan yeni bir bilim dal d r. Bilgisayardan elde edilen deliller, dijital sesler, dijital videolar, mobil telefonlar, dijital fotograf makineleri, dijital faks makinalar vb. nitelikteki bütün delilleri kapsad ndan adli biliflimle ilgili bu çal flmada bilgisayardan elde edilen adli delil 6,7,8 kavram yerine dijital delil kavram kullan lacakt r. Fiziksel delillerde oldu u gibi dijital delillerde de sadece önemli görülen cihazlar labaratuarlara gönderilir ve iflletim sistemlerinin imajlar gerekli programlar vas tas yla al n r. fiayet deliller üzerinde parmak izi inceleme vb. flekilde bir inceleme yap lacaksa bu amaçla labaratuara gönderilir. Bilgisayar sistemlerinde önemli olan üzerinde ifllem yap lan iflletim sistemi ve bu iflletim sisteminde tutulan verilerdir. Sistemde bulunan (4) http://en.wikipedia.org/wiki/computer_forensics (5) Computer Forensics FAQ (Frequently Asked Questions), (14.05.2007), http://www.computerforensic.ca/computer-forensics-faq.htm#q2 (6) Gary R. Gordon.; Chet D. Hosmer.; Christine Siedsma.; Don Rebovich., (17.03.2007), Assessing Technology, Methods, and Information for Committing and Combating Cyber Crime, http://www.ncjrs.gov /pdffiles1/nij/grants/198421.pdf (7) Whitcomb, Carrie Morgan., (14.05.2007), An Historical Perspective of Digital Evidence: A Forensic Scientist s View, http://www.utica.edu/academic/institutes/ecii/publications/articles/9c4e695b- 0B78-1059-3432402909E27BB4.pdf (8) Carrie Morgan Whitcomb., (14.05.2007), An Historical Perspective of Digital Evidence: A Forensic Scientist s View, http://www.utica.edu/academic/institutes/ecii/publications/articles/9c4e695b- 0B78-1059-3432402909E27BB4.pdf

1204 STANBUL BAROSU DERG S Cilt: 82 Say : 3 Y l 2008 bütün cihazlara el konulmas n n ve laboratuarlara götürülmesinin pratik anlamda bir yarar bulunmamaktad r. Fakat özellikle fiziksel delilleri elde etme amac yla dijital delillerin fotograflar n n çekilmesi, kullan lan cihazlar n marka, model, seri numaras, ba l bulundu u network sistemlerinin ve di er çevre birimlerinin durumlar n n kay t alt na al nmas ve raporlanmas önem arz etmektedir. 9 III- B L RK fi L K KURUMU VE YASAL DAYANAKLARI Tüm bilim dallar birbirleri ile etkileflim içerisinde bulundu undan her hangi bir temel bilim dal yan bilim dallar ndan faydalanarak, araflt - r lacak konu ve olaylarda daha kolay, çabuk ve net çözümler bulmaya çal flmaktad r. Herhangi bir ana bilim dal n n baflka bir bilim dal ndan faydalanmas, yard m isteyen bilim dal n n güçsüzlü ünü ve yetersizli ini göstermez. Tam tersine o bilim dal n güçlendirir, güvenilirli ini art r r. Herhangi bir bilim dal nda çal flan uzman kifli di er bilim dallar hakk nda yeteri kadar bilgi sahibi olmayabilir. Ayr ca bu kadar çeflitli bilim dallar n n mevcut bulundu u, ça n bilgi ça oldu u bir dönemde her bilim dal hakk nda yeteri kadar bilgi sahibi olmak mümkün de ildir. Kapsaml bilim dallar ndan birisi olan hukuk ta kendi içinde birçok alt kollara ayr lmakta olup, bunlardan bir tanesi de ceza hukukudur. Ceza hukuku uzmanlar da çal flt klar bilim dal nda kendi bilgilerinin yetersiz kald durumlarda ceza hukukuna yard mc bilim dallar nda çal flan uzman kiflilerin bilgi, beceri ve görgülerinden yararlanmaktad rlar. Hukuka yard mc yan bilim dallar nda çal flan ve olaylar n çözümü için özel ve teknik bilgi ve görgüsüne müracaat edilen kiflilere hukuk dilinde bilirkifli denmektedir 10. Yarg lamas devam eden bir davada çözümü hâkim taraf ndan bilinmeyen, özel ve teknik bilgiyi gerektiren genel ve hukuki bilgi ile çözümlenmesi mümkün olmayan bir durumda hâkim taraf ndan, haz rl k soruflturmas s ras nda; gecikmesinde sak nca bulunan hallerde cumhuriyet savc s taraf ndan, normal koflullarda da hâkim taraf ndan görüflüne baflvurulacak kifli bilirkiflidir. Bilirkiflilik kurumu Hukuk Usulü Muhakemeleri Kanunu nun 275-286. maddeleri aras nda Ehlivukuf bafll alt nda düzenlemesi yap lan, deliller aras nda takdiri deliller s n f na dahil olan bir kurumdur. Ceza Muhakemesi Kanunu nun 62-73. maddeleri aras nda Bilirkifli ncelemesi bafll alt nda düzenlenmifltir. Her iki usul kanununda da çözümü özel ve teknik bilgiyi gerektiren hallerde bilirkiflinin oy ve görüflüne müracaat edilebilece i fleklinde düzenleme mevcut bulunup, HUMK un 276/1. maddesine göre; bilirkifli seçimini taraflar yapabildi i halde, (9) Carrier, Brian., Spafford, Eugene h., (14.05.2007), Getting Physical With The Digital Investigation Process, http://www2.tech.purdue.edu/cpt/courses/tech581a/physical.pdf (10) Hamit,. Hanc, (2003), Bilirkiflilik ve Çapraz Sorgu, 1. Bask, s.9, Seçkin Yay nevi, Ankara

Dijital Delil Araflt rma Yöntemleri Servet Yetim 1205 CMK ya göre taraflar n yahut flüphelinin bilirkifliyi seçme hakk bulunmay p hâkim taraf ndan bilirkifli resen seçilmektedir. Bilirkifli; mahkemeler, hâkimlikler ve savc l klar taraf ndan gönderilen olaylar hakk nda görüfl bildirmekle görevli olup, ayr ca sorulan hukuki konu ile ilgili delilleri takdir yetkileri yoktur. Bilirkifliler taraf ndan tanzim edilen raporlar hâkim serbestçe takdir hakk na sahiptir. Hâkim, al - nan bilirkifli raporunu yeterli bulmazsa ek rapor isteyebilece i gibi ayr ca baflka bir bilirkifliye de müracaat edebilir. fiayet bilirkifli haz rl k soruflturmas s ras nda yahut duruflmada dinlenip mütalâas na müracaat edilmifl ve derhal mütalaas n verebilecek durumda ise beyan zapta geçirilir, ayr ca yaz l beyan na gerek yoktur. Yaz l mütalâa vermesi gereken durumlarda ise iflin niteli ine göre en geç iki ay içerisinde yaz l mütalâas n bildirmek zorundad r. Hâkimin delilleri serbestçe takdir hakk bulundu undan bilirkifli raporu ile ba l de ildir. Bilirkifli raporlar n n hâkimi ba lay c l kabul edilirse, hâkimin takdir yetkisi ile birlikte hâkimlik yetkileri önemli ölçüde k s tlan r. Hâkimi adeta bilirkifli raporlar ile hüküm aras nda bir vas ta veya arac durumuna düfler. 11 Bilirkifliye baflvurmada, al nan raporlar de erlendirmede, bilirkifliye müracat n gerekip gerekmedi ini de erlendirmede, gerekçesini göstermek flart yla al nan rapora itibar edip etmeme hususlar nda hâkimin takdir yetkisinin varl kabul edilmelidir. Adli biliflim de tamamen uzmanl k gerektiren bir alan olup, bu alanda kullan lan araç ve teknolojiler çok h zla de iflmekte oldu undan biliflim sistemi üzerinden suç ifllenmesi ya da biliflimin suçta vas ta olarak kullan lmas durumunda adli biliflim uzmanlar taraf ndan tatmin edici raporlar n düzenlenmesi gereklidir. IV- ADL RAPOR Adli rapor, hukuk bilimince çözümlenmesi gereken bir adli olayla ilgili; mahkemeler, hâkimlikler ve Cumhuriyet savc l klar taraf ndan yap - lan talepler üzerine Adli T p Kurumu, hükümet tabipleri, sa l k oca hekimleri, sa l k merkezi ve hastahanelerde görevli hekimler ve adli tabiplerin ve (çözümlenecek olay n niteli ine göre) di er kamu kurumlar n n adli olayla ilgili sorulan sorulara cevaben bilimsel ve teknik görüfllerini sunduklar sözlü ya da yaz l beyanlard r. Adli raporun istenece i konular çok çeflitlidir. Hukuk ve ceza davalar nda teknik ve bilimsel bilgi gerektiren konular n çözümlenmesi için adli raporlar istenmektedir. Adli rapor istenilecek konular n bafll calar n ; etkili eylemler, farik ve mümeyyizlik durumlar n n tespiti, hukuki ve cezai sorumlulu un tespiti, ruhsal muayeneler, yafl saptamas, zehirlenme ve benzerleridir. Adli raporlar mutlaka yarg organlar nca yap lmakta (11) Polat, O uz, (2000), Adli T p, s.415, Der Yay nlan, stanbul

1206 STANBUL BAROSU DERG S Cilt: 82 Say : 3 Y l 2008 olan ya da yap lacak bir soruflturmaya ya da yap lmakta olan yarg lamaya konu olan bir kusur veya suçun varl nda düzenlenir. Adli raporu kurumdan ilgili mahkeme, hâkimlikler ve Cumhuriyet savc l klar ile Ceza Muhakemesi Kanunu gere ince Cumhuriyet savc s n n emri alt nda çal - flan ve talimatlar do rultusunda hareket eden polis ve jandarma karakollar ile emniyet müdürlüklerinin ilgili flubeleri de isteyebilir. 14.04.1982 tarih ve 2659 Say l Adli T p Kurumu Kanunu ile kuruma dahil Adli T p Kurumu Baflkanl, Adli T p Baflkanlar Kurulu, Adli T p Genel Kurulu, Adli T p htisas Kurullar, Adli T p Kurumu Grup Baflkanl klar ve Adli T p fiube Müdürlükleri kurulmufltur. Kurumda morg, gözlem, kimya, biyoloji, fizik ve trafik olmak üzere alt adet ihtisas dairesi bulunmaktad r. 14.04.1982 tarih ve 2659 say l Adli t p Kurumu Kanunu nda, 04.03.2003 tarih ve 4810 say l Adli T p Kurumu Kanunu nda De ifliklik Yap lmas na Dair Kanun ile birçok de ifliklik yap lm flt r. Bu de iflikliklerin bafl nda Adli T p Kurumu nun görev alan geniflletilerek Adli T p Kurumu na; adli t p ile ilgili konularda bilimsel ve teknik görüfl bildirmenin yan nda adli t p uzmanl ve yan dal uzmanl vermek, adli t p ve adli bilimler ile ilgili çal flmalar yürütüp seminer sempozyum, konferans vb. yaparak adli t p ile ilgili e itim programlar n n yap lmas nda ve yürütülmesinde yard mc olmak ve adli t p hizmetlerinin görülmesi s ras nda yap lmas zorunlu sa l k hizmetleri verme görevini de vermifltir. Adli biliflim uzmanlar n n yetifltirilmesi için düzenlenecek sertifika programlar bu çerçevede verilebilir. Hatta bu sertifika programlar na biliflim suçlar ile etkin bir flekilde mücadele edebilmek için güvenlik görevlileri, site yöneticileri, network altyap s ile u raflanlar, sistem yöneticileri, servis sa lay c lar vb. ifllerle u raflan meslek gruplar na da verilmesinde yarar vard r. 12 V- D J TAL DEL LLER 1- Dijital Delillerin Güvenli i ve Güvenilirli i Fiziksel delillerin toplanmas nda, delillerden sonuç ç kart lmas nda olay yerinin herhangi bir etkiye maruz kalmadan delillerin toplanmas, olay yerinin olay araflt ranlara karfl ve üçüncü kiflilere karfl güvenli inin sa lanmas nas l hayati önem tafl yorsa, dijital delillerin toplanmas nda ve sonuç ç kart lmas nda da sunulan deliller aç s ndan ayn hassasiyetin gösterilmesi gerekmektedir. Olay yeri incelemede asla dokunma, deliller dokümante edilinceye kadar asla de ifltirme, ölçme, kimliklendirme ve tan mlama iflemlerini yap, olay yerini foto rafland r, mümkünse video kay tlar n al, olay yerindeki delillerden herhangi bir tanesi hareket etti inde bu durum kesinlikle yeniden orjinal haline kavuflturulamaya- (12) http://www.certificationcity.com/html/computer-forensics-training.html, (16.03.2007)

Dijital Delil Araflt rma Yöntemleri Servet Yetim 1207 cakt r fleklinde bir alt n kural vard r. 13 Dijital delillerin toplanmas nda, paketlenmesinde, naklinde özel koruyucu tedbirler al nmal d r. Dijital deliller statik elektrik üretti inden elektromayetik alanlardan, m knat slardan, radyo dalgalar vb. manyetik alanlardan etkilenebilirler. 14,15 Bu disiplinlere mutlaka uyularak; delil toplama, nakil ve de erlendirme aflamas nda dijital delillerin bozulmas na sebebiyet verilmemeli, aleyhine deliller kullan lacak kiflilerin itirazlar n kuvvetlendirecek hiçbir eylem yap lmamal d r. 1) Bütün toplanan delillerin paketlenmeden önce dokümante edildi- inden, etiketlendi inden ve kayd yap ld ndan emin olunmal d r. 2) Hassas veya örtülü/gizli delillere özel dikkat gösterilmeli ve korumaya yönelik tedbirler al nmal d r. 3) Manyetik medyalar anti statik paketlerle veya statik plastik çantalarla paketlemeli, standart plastik çantalar gibi statik elektrik üreten materyallerin kullan m ndan kaç n lmal d r. 4) Disket, CD-ROM ve manyetik bantlar gibi bilgisayar medyalar n kaz maktan, bükmekten ve katlamaktan kaç n lmal d r. 5) Elde edilen delillerin kondu u kutular n etiketlendi inden emin olunmal d r. 6) maj al nan verilerin hash de erleri SHA veya MD5 16 hesaplama yöntemleri ile tespit edilmelidir. Buradaki amaç incelenen imajlar n d ifltirilme olas l n n bulunmas ve ilerde meydana gelebilecek olan itirazlar n ortadan kald r lmas d r. 7) E er çoklu bilgisayar sistemleri topland ysa her bir sistem kendi içerisinde etiketlenmelidir. Çünkü sistem o bilgiler ile tekrar çal fl r hale getirilebilmelidir. 17 8) Yedekleme cihazlar nda daha önceden veri kalmam fl olmas na dikkat edilmelidir. Dosyalar n formatlar de ifltirilmifl olabilir, bu ihtimal- (13) Horenbeeck, Maarten Van., (19.05.2007 ), IT Crime Investigation http://www.daemon.be/maarten/forensics.html (14) Lunsford, Philip., (27.05.2007), Computer Forensics For Law Enforcement, http://www.infosecwriters.com/text_resources/pdf/forensics_hstacy.pdf (15) Clarke, Nathan., (20.05.2007), Digital Forensic, http://www.digitalforensic.jp/resume2005/richard.pdf (16) fiifreleme algoritmalar na yard mc olmak amac yla kullan labilecek bir HASHING / FINGERPRINTING algoritmas d r ve yaln zca 128-bit lik (16-bayt) bir ç kt üretir. Bu öncelikle bir verinin (dosyan n) do ru transfer edilip edilmedi i veya de ifltirilip de ifltirilmedi ini kontrol etmek için kullan lan bir yöntemdir. (Md5 Nedir?, http://www.supermeydan.net/forum/forum439/thread3935.html, (15.03.2007)) (17) fien, Osman Nihat., (30.04.2007), Biliflim Suçlar nda Araflt rma Yöntemleri, Delillerin Toplanmas ve Suçlar n n Tespiti, http://www.taa.gov.tr/duyurularana/130606/bilisimsempozyum/sunum/arastirmayontemleri.pdf

1208 STANBUL BAROSU DERG S Cilt: 82 Say : 3 Y l 2008 leri ortadan kald rmak için dosya uzant lar de ifltirilmek suretiyle deneme yap lmal d r. 18,19 9) flletim sistemlerinde dosyalar üzerine yeni kay tlar yap lmas ve eski kay tlar n silinmesi çok kolay oldu undan evraklar n oluflturulduklar tarihlerin de ifltirilmemifl olmas çok önem tafl maktad r. Delil toplama aflamas nda delillerin bu yönüyle zarar görmemesine özellikle dikkat edilmelidir. 20 Dijital delillerin araflt r lmas nda ortaya ç kan sonuçlar n güvenilirli- i fizilsel delillerin güvenilirli i kadar sa lamd r, yeterki delil toplama s - ras nda gerekli güvenlik tedbirleri al n p uluslaraaras standartlar ve araflt rma teknikleri kullan larak araflt rmalar yerine getirilsin. Bilirkifliler taraf ndan haz rlanan raporlara itiraz edilmesi durumunda kullan lan teknikler test edilebilir ve güvenilir olmal d r. Kullan lan teknikler ayn zamanda kabul edilebilir teknikler olmal d r. Kullan lan teknikler dijital delillerin sorgulanmas na sebebiyet vermeyecek nitelikte ve aç kl kta olmal d r. Kullan lan tekniklerden ve yöntemlerden raporlarda mutlaka bahsedilmelidir. 21,22 Bilimsel ve t bbi delillerde oldu u gibi digital delillerde güvenilir olmal d r. Önemli olan bilirkiflinin flahsi kanaati olmay p bilimsel olarak ortaya konan olgulard r. Dijital delillerin de ifltirilmesi ve bozulmas di er fiziksel delillerin tahrip edilmesinden daha kolay ve daha k sa zamanda gerçeklefltirilebilir. Buna sebebiyet vermemek için daha fazla hassasiyet gösterilmelidir. Dijital delillerin güvenilirli ini sa lamak için araflt rma sonuçlar ; basit ve anlafl labilir bir düzende sunulmal, daima do ru olmal, delillerin araflt rma yöntemleri sorgulanabilir nitelikte olmal, araflt rma sonucu ortaya konan neticeler tart flmaya ve tahminlere yer vermeyecek derecede aç k ve net olmal, deliller ve araflt rmac lar daima sorgulanmaya haz r olmal, raporlada sorulan sorular dikkatli ve aç k bir flekilde cevapland r lmal, delillerden ç kan sonuçlar n nas l ç kart ld da delillendirilebilme- (18) Sherman, Shayne., (06/05/2007), A Digital Forensic Practitioner s Guide To Giving Evidence In A Court Of Law, http://scissec.scis.ecu.edu.au/wordpress/conference_proceedings/2006/forensics/sherman%20-%20a%20digital%20forensic%20practitioners%20guide%20to%20giving%20evidence%20in%20a%20court%20of%20law.pdf (19) Gordon, Gary R., Hosmer, Chet D., Siedsma, Christine., Rebovich, Don., (14.05.2007), Assessing Technology, Methods, and Information for Committing and Combating Cyber Crime http://www. ncjrs.gov/pdffiles1/nij/grants/198421.pdf (20) Gordon, Gary R., Hosmer, Chet D., Siedsma, Christine., Rebovich, Don., (14.05.2007), Assessing Technology, Methods, and Information for Committing and Combating Cyber Crime http://www. ncjrs.gov/pdffiles1/nij/grants/198421.pdf (21) Sherman, Shayne., (06/05/2007), A Digital Forensic Practitioner s Guide To Giving Evidence In A Court Of Law, http://scissec.scis.ecu.edu.au/wordpress/conference_proceedings/2006/forensics/sherman%20-%20a%20digital%20forensic%20practitioners%20guide%20to%20giving%20evidence%20in%20a%20court%20of%20law.pdf (22) Sansurooah, Krishnun., (08/05/2007) Taxonomy of Computer Forensics Methodologies and Procedures for Digital Evidence Seizure., http://scissec.scis.ecu.edu.au/wordpress/conference_proceedings/2006/forensics/sansurooah%20-%20taxonomy%20of%20computer%20forensics%20methodologies%20and%20procedures%20for%20digital%20evidence%20seizure.pdf

Dijital Delil Araflt rma Yöntemleri Servet Yetim 1209 li, dedikodu yerine bilirkifli kendi deneyimlerinden yararlanarak delilleri de erlendirmelidir. Deliller; fotograflar, diagramlar, video görüntüleri vb. yöntemler de kullan larak dikkatli bir flekilde takdim edilmelidir. 23 2- Dijital Delil Araflt rma Yöntemleri Dijital delillerdeki araflt rma yöntemleri ile fiziksel delillerdeki araflt rma yöntemleri ço u yönü ile birbirine benzer. Fiziksel suç dellerinin araflt r lmas nda birçok parça içinden delil araflt rmas yap l r. 24 Bilgisayarlar ve di er dijital cihazlar, bu cihazlar n suçlular taraf ndan suçu ifllemede araç olarak kullan lmas veya herhangi bir suçun ifllenmesinde do rudan olmasa dahi suçlular n kendi aralar ndaki iletiflimi veya ifllemleri kolaylaflt rmak ve bilgileri yedeklemek için bilgisayarlar kullanmalar durumunda adli biliflime konu olmaktad rlar. Günümüzde hemen herkes taraf ndan her türlü ifl yap l rken bilgisayarlar veya di er elektronik cihazlar kullan ld düflünülürse, sadece biliflim suçlar n n araflt r lmas ve soruflturulmas nda de il, belki birçok suç türünün araflt rma ve soruflturmas nda adli biliflim tekniklerinden yararlanmak gerekmektedir. Bilgisayar teknolojileri; ifllenen suçlar n araflt r lmas nda kullan lan ayg tlar olabilece i gibi bu cihazlar n kullan lmas ile de birçok suç ifllenebilmektedir. Adam öldürme eyleminin silahla ifllenmesi ile doland r c l k eyleminin biliflim vas ta k l nmak suretiyle ifllenmesi aras nda farkl l k bulunmamaktad r. Olay yerini inceleyen ilk müdahale ekibi öncelikle delil toplamada kullan lacak ayg tlar haz r etmeli, kendi güvenli inden emin olmal, olay yerinin güvenli ini sa lamal daha sonra da olay yerindeki dijital olan ve olmayan bütün delillerin sa laml n ve bütünlü ünü koruma alt na almal d r. Olay yeri incelemesinde afla daki ifllemler dikkatli bir flekilde yerine getirilmelidir. 25, 26, 27 1) Delillerin de ifltirilme ihtimaline binaen elle dokunulmaktan kaç - n lmal. 2) Denetleme ve gözetleme zinciri kurulmal ve takip edilmeli. (23) Sherman, Shayne., (06/05/2007), A Digital Forensic Practitioner s Guide To Giving Evidence In A Court Of Law, http://scissec.scis.ecu.edu.au/wordpress/conference_proceedings/2006/forensics/sherman%20-%20a%20digital%20forensic%20practitioners%20guide%20to%20giving%20evidence%20in%20a%20court%20of%20law.pdf (24) Carrier, Brian, Spafford, Eugene H., (07/05/2007) Getting Physical With The Digital Investigation Process, https://www.cerias.purdue.edu/tools_and_resources/bibtex_archive/archive/2003-29.pdf (25) Carrier, Brian., Spafford, Eugene H., (16.03.2007), Getting Physical with the Digital Investigation Process, https://www.cerias.purdue.edu/tools_and_resources/bibtex_archive/archive/2003-29.pdf, (16.03.2007) (26) Methods Employed in Computer Forensics http://free-backup.info/computer-forensic-siezing-the-evidence.html, (14.05.2007), (27) Sherman, Shayne., (06/05/2007), A Digital Forensic Practitioner s Guide To Giving Evidence In A Court Of Law, http://scissec.scis.ecu.edu.au/wordpress/conference_proceedings/2006/forensics/sherman%20-%20a%20digital%20forensic%20practitioners%20guide%20to%20giving%20evidence%20in%20a%20court%20of%20law.pdf

1210 STANBUL BAROSU DERG S Cilt: 82 Say : 3 Y l 2008 3) Hiçbir zaman orjinal delil (hard disk, cd, disket, vb.) üzerinde çal flma yap lmamal, duruma göre orjinal delil (çal flan sistemler) üzerinde inceleme yap lacaksa, bu çal flma konunun uzman kiflilerce yap l r ve yap lan bütün ifllemler dokümante edilmeli. 4) Toplanan delillerde delil inceleme aflamas na geçilmeden önce imaj alma ifllemleri gerçeklefltirilmelidir. maj almada afla da say lan hususlara dikkat edilmelidir. 28, 29, 30 a) maj alma program ile orjinaldelilin birebir (bit-to-bit, sectorby-sector) kopyas n almal, (raw image) veya birebir kopya ve ek bilgileri (tarih-saat, imaj alan kiflinin ismi, olay n ismi, vb.) beraberce alabilmeli. b) maj alma iflleminde geçerli asgari adli biliflim standartlar sa lanarak kullan lan program orjinal medyada herhangi bir de ifliklik yapmamal. c) Program her türlü disk arabirimi (IDE, SCSI, ATA, vb.) ile çal - flabilmeli, program orjinal diske ait imaj bir baflka diske alabilece i gibi usb disk veya benzeri harici medyaya alabilmeli ve al nan imaj bir dosya halinde tutabilece i gibi kullan c n n belirtece i ve teknolojinin müsaade edece i büyüklükte parçalar halinde alabilmeli. d) Program ar zal disklere ait imaj alabilmeli ve imaj alma s ras nda meydana gelen bütün hata mesajlar n loglayabilmeli. e) Veri yedekleme ünitleri kolay zarar görmeyecek ünitelerden seçilmeli, mümkünse imaj alma ifllemleri video ile kay t alt na al nmal. f) Herhangi bir sistemin imaj al n rken ba ms z baflka bir bilgisayar kullan lmal. g) Harddisk vb.ayg tlar n tamam yla suretleri ç kart lmal. h) Dosya sisteminin suretini almadan ziyade bölüm bazl kullan m mevcut ise kullan c eriflim alanlar ayr ayr al nmal. i) Al nan imajlar sürücülerle efllefltirilmeli ve birbirine kar flt r lmamal. j) Orijinal sürücüler güvenli bir ortamda saklanmal. (28) %20A%20digital%20forensic%20practitioners%20guide%20to%20giving%20evidence%20in%20a%20court%20of%20law.pdf http://scissec.scis.ecu.edu.au/wordpress/conference_proceedings/2006/forensics/sherman%20-%20a%20digital%20forensic%20practitioners%20guide%20to%20giving%20evidence%20in%20a%20court%20of%20law.pdf (29) Examining and Presenting Computer Forensic Evidence in Court, http://csam.montclair.edu/~robila/security/f2004_p/p6/finalcomputerforensics.doc (30) 11. C.D. 2005/6376 E., 2007/2551 K. ve 16.04.2007 tarihli karar

Dijital Delil Araflt rma Yöntemleri Servet Yetim 1211 k) maj alma s ras nda mümkün oldu u kadar sald r lara daha az maruz kalan ve uzun süre bilgileri muhafaza edebilen tape üniteleri tercih edilmeli. 5) Bir bilgisayar n hard diskinin yede i al n rken bilgisayardaki mevcut iflletim sistemi mümkün mertebe kullan lmamal, temiz bir aç l fl disketi ve CD si kullan larak ifllemler yap lmal. 6) Hedef depolama ayg t n n içeri inin temizli inden emin olunmal, mümkünse daha önceden kullan lmam fl olan depolama ayg tlar kullan lmal. 7) Hedef ayg ta istenmeyen verilerin yaz lmas engellenmeli. 8) Hedef ayg tta bozuk kesimin olmamas na dikkat edilmeli. 9) Yap lan ifllemlerin tutanaklar tutularak ç kt lar al nmal. 10) Araflt rma yap ld ve imaj al nd s rada sistem saati mutlaka kontrol edilmeli, sistem saati araflt rma yap lan yerdeki yerel saat ile uyumlu de il ise bu durum tespit edilmek suretiyle kay t alt na al nmal - d r. Çünkü dosyalar üzerinde yap lan de ifliklik, silme ve dosyalara ulaflamada sistem saatindeki bilgiler kullan lmaktad r. 31,32 11) Bütün deliller toplanmadan sistem kapat lmamal, çal flan sistemlerde mevcut olan programlara güvenmemek temel bir ilkedir; bu yüzden CD ile güvenilir programlar kullanmak gerekmektedir. CD den çal flt r lan programlar, sisteme kurulmadan çal flt r labiliyor olmal. 33,34 12) Telefon hatlar ndaki ça r lardan ya da internet servis sa lay c - dan elde edilebilecek delil olup olmad kontrol edilmeli. 13) Modemler, ça r kutular gibi bilgisayara telefonla ba lanan cihazlar tespit edilmeli, bu tür cihazlar dokümante edilmeli, sökülmemeli sadece etiketlenmeli, ayr ca LAN/Ethernet, kablosuz, k z lötesi, firewire ba lant varsa bunlar da ayn flekilde tespit edilip etiketlenmeli. (31) Gordon, Gary R., Hosmer, Chet D., Siedsma, Christine., Rebovich, Don., (14.05.2007), Assessing Technology, Methods, and Information for Committing and Combating Cyber Crime http://www. ncjrs.gov/pdffiles1/nij/grants/198421.pdf (32) Gordon, Gary R., Hosmer, Chet D., Siedsma, Christine., Rebovich, Don., (14.05.2007), Assessing Technology, Methods, and Information for Committing and Combating Cyber Crime http://www. ncjrs.gov/pdffiles1/nij/grants/198421.pdf (33) Carrier, Brian., Spafford, Eugene H., (16.03.2007), Getting Physical with the Digital Investigation Process, https://www.cerias.purdue.edu/tools_and_resources/bibtex_archive/archive/2003-29.pdf, (34) Lim, Mark Jyn-Huey., Negnevitsky, Michael., Hartnett, Jacky, http://scissec.scis.ecu.edu.au/wordpress/conference_proceedings/2006/forensics/lim%20et%20al%20-%20a%20fuzzy%20approach%20for%20detecting%20anomalous%20behaviour%20in%20e-mail%20traffic.pdf, (15.03.2007) Lim, Mark Jyn-Huey., Negnevitsky, Michael., Hartnett, Jacky, (15.03.2007), http://scissec.scis. ecu.edu.au/wordpress/conference_proceedings/2006/forensics/lim%20et%20al%20- %20A%20Fuzzy%20Approach%20For%20Detecting%20Anomalous%20Behaviour%20in%20E-mail%20Traffic.pdf,

1212 STANBUL BAROSU DERG S Cilt: 82 Say : 3 Y l 2008 14) Klavyede, farede, disketlerde, cd ve dvd lerde ve di er bilgisayar biliflenlerinde parmak izi veya di er fiziksel deliller varsa muhafaza edilmeli. 15) Kimyasal madde kullan m cihaza ve verilere zarar verebilece inden gizli izler dijital deliller kurtar ld ktan sonra toplanmal. 16) Önce varsa fiziksel delillerin tespiti yap lmal, olay mahalline mümkün ise fiziksel delil toplama ekipleri de haz r bulunmal, daha sona çal flan sistemler üzerinde delil toplama ifllemleri yap lmal. 17) Kullan lan lisanslardan, çevre birimlerinden ve bilgisayar parçalar ndan fatura bilgilerine ulaflma yöntemleri araflt r lmal. 18) Yaz flma ve haberleflmelerde kullan lan dil, lehçe, yaz m hatalar vb. kullan lmak suretiyle kiflisellefltirme yap lmal. 19) Elde edilen delillerin tehlikeli virüsler, elektromanyetik yahut mekanik zarara u ram fl olabilir, ya da tuzak içerebilir. Dijital delillerin araflt r lmas s ras nda bu hususlara dikkat edilmeli. 20) Bir k s m araflt rmalarda dijital delillerin araflt r laca yer sahipleri delilleri araflt r lmas na izin vermeyecektir, bu delillilerin araflt r lmas nda hukuki prosedürlerin zaman nda yerine getirilmesi sa lanmal. 21) Olay yerinde elde edilen notlara flifreler yahut planlar n gizlenmifl olmas ihtimaline binaen bunlar dikkatli bir flekilde incelenerek bilflim sisteminde araflt r lan olayla ba lant s araflt r lmal d r. Suçun ifllenmesinde kullan lan metodlardan hareketle zanl n n profilinin ortaya ç kart lmas mümkün olabilir. Suçun ifllenmesinde kullan - lan metodlar olaya kar flma ihtimali hedef kitleyi tespit etmede faydal olabilir. 35 Araflt r lacak dijital delili bar nd ran sistem halen aktif ise son aç lan uygulamalar kaydedilmelidir. fiayet makinada suç örgütleri ile haberleflme yap l yorsa bu bilgiler donan mda kay tl olmayabilir. Bilgiler sadece Ram de tutuldu undan Ram deki ifllemlere son verildikten sonra bu son verme ifllemi öncesi kullan lan verilere ulaflmak mümkün olmayacakt r. Temel amaç Ram kapat lmadan önce çal flan uygulamalar n tespitine yönelik olmal d r. Bir k s m donan mlar kendili inde kapat ld nda önceki verileri silmeye ayarlanm fl olabilir. deal olan uygulamalar kapatmadan önce gerekli çal flmalar yap larak delil toplama iflleminin tamamlanmas - d r. Örne in çal flan uygulamalar, uygulamalarda yap lan faaliyetler, en son girilen internet siteleri vb. gibi uygulamalar n tespiti yap lmal d r. 36 (35) Sherman, Shayne., (06/05/2007), A Digital Forensic Practitioner s Guide To Giving Evidence In A Court Of Law, http://scissec.scis.ecu.edu.au/wordpress/conference_proceedings/2006/forensics/sherman%20-%20a%20digital%20forensic%20practitioners%20guide%20to%20giving%20evidence%20in%20a%20court%20of%20law.pdf (36) http://en.wikipedia.org/wiki/computer_forensics

Dijital Delil Araflt rma Yöntemleri Servet Yetim 1213 Ram ler güçlerini kaybettikten sonra her ne kadar besleme zaman ndaki kadar olmasa da içerikleri analiz edilebilir. Ram deki veriler uzun bir periyotta statik bir alanda durduklar ndan bir k s m metodlar kullan larak alg lanabilir. flletim sisteminin s cakl ve süreklili i bu verilerin kurtar lmas n art ran faktörlerdendir. Besleme olmadan -60C den daha afla bir ortamda muhafaza edilen Ram lerden veri kurtar lma flans vard r. 37 Delil araflt rma s ras nda olay yerindeki aç k olan biliflim sistemlerinde sistemin kapat lmas s ras nda olay n failleri bir k s m verilerin kayb - na sebebiyet verecek scripler çal flacak flekilde sistemi ayarlanm fl olabilirler. Bu durumda da haf zadaki bilgiler ya da harddiskteki bilgiler zarara u rayabilir. Bu ifllem de iflik iflletim sistemlerinde de iflik yöntemler kullan larak yap l yor olabilir. Uçucu veriler (volatile) olabilir, ayr ca beslemenin kapat lmas durumunda dosya sistemi zarar görebilece i gibi bir k s m hayati verilerin kayb na da sebebiyet verilebilecektir. 38 Araflt rma s - ras nda bu olas l klar göz önünde bulundurulmal d r. Sisteme izinsiz girmeye karfl kendili inden çal flan ve kendisini yok eden mekanizmalar kurulmufl olabilir. Bu durumda da bir k s m veriler zarar görbilir. Bu verilerden de bir k sm kurtar labilir. Bu sistemlerde özellikle veri depolama ayg tlar na, bataryalara, al fl lm fl n d fl nda biliflim sisteminin yan nda bulunan ayg tlara dikkat edilmelidir. Bunlar patlay c maddelerde olabilir. Yine araflt rma s ras nda kablosuz ba lant lara dikkat edilmelidir. CMOS (Bütünleyici Metal Oksit Yar iletken) bataryalar n kullan lmas durumunda anakart n kendili inden bilgi depolama durumu sözkonusu olabilir. Bu ataryalar n kald r lmas ndan kaç n lmal d r. 39 Delilleri tespit etme s ras nda; dijital delillerin tan mlanmas ve belirlenmesi, belirlenen tüm dijital deliller foto raflanarak üzerine ilgili tan mlay c bilgiler yaz larak etiketlenmesi ve fiziksel olmayan delil say labilecek bilgilerin not edilmesi, dijital deliller tespit edilirken, olay yerinde bulunan potansiyel bilgi bulunabilecek bütün dijital cihazlar; bilgisayarlar, cep telefonlar, el bilgisayarlar, dijital foto raf makinalar, dijital kameralar, flash kartlar, usb ürünler, modemler, a cihazlar, a sunucular, disk alanlar, ç kar labilir depolama araçlar, taray c lar, yaz c lar, ses kay t cihazlar, fax makinalar, vb. gözönünde bulundurulmal d r. Olay yerinde hemen her fley çok dikkatle incelenmelidir. lk bak ld - nda farkl gözüken birçok cihaz n bilgisayar veya bilgisayar çevre birimi olabilece i hat rdan ç kart lmamal d r. Dijital deliller, di er klasik deliller gibi dikkatle toplanmal ve gerçek de erini koruyacak flekilde hareket edilmelidir. Bu hareket sadece ö elerin fiziksel bütünlü ü için de il, bun- (37) http://en.wikipedia.org/wiki/computer_forensics (38) http://en.wikipedia.org/wiki/computer_forensics (39) http://en.wikipedia.org/wiki/computer_forensics

1214 STANBUL BAROSU DERG S Cilt: 82 Say : 3 Y l 2008 lar n içinde bulunan veriler içinde ayn hassasiyet gösterilmelidir. 40 Delillerin bozulmas na sebep olacak toplama teknikleri (parmak izi al nmas için kimyasal madde kullan m gibi) dijital delillerin kurtar lmas ndan sonraya b rak lmal d r. Dijital deliller toplan rken araflt rmada ve incelemede faydas olacak dijital olmayan di er delillerin toplanmas na da dikkat edilmelidir. Küçük kâ tlara yaz lm fl sistem bilgileri, kullan c adlar, flifreler, el yazmas notlar, bask l yaz lm fl bofl kâ tlar, donan m ve yaz l m kullan c belgeleri, ajandalar, eserler, yaz l veya grafiksel yaz c ç kt lar, foto raflar, IP adresleri, vb. bu türden bilgilerdir. Sisteme/sistemlere ait afla daki bireysel bilgiler al nmal d r. Dijital delillerin sahipleri ve/veya kullan c lar, flifreleri, kullan c adlar ve internet servis sa lay c lar sistemdeki yaz l m ve verilere ulaflabilecek flifreler (bireysel flifreler, BIOS, sistem login, network veya ISP, uygulama dosyalar, kriptolu veriler, mailler vb.) dikkatli bir flekilde araflt r lmal d r. 41 Analiz s ras nda flifrelerin ortaya ç kart lmas önemlidir. Bu amaçla flüphelinin ad -soyad, di er nüfus bilgileri, adresi, telefon numaras, yak n akrabalar n n isimleri, sigorta bilgileri, sosyal güvenlik bilgileri, araç plakas, çal flt kuruma ait bilgiler gibi kiflinin flahs na ait bilgilerden faydalan labilinir. 42 Üzerinde delil araflt rmas yap lan sistemde, sistemin herhangi bir güvenlik plan veya cihazlar y k c tedbirlerle korunup korunmad, gizli bir veri depolama ayg t n n bulunup bulunmad, sistemde bulunan donan m ve yaz l m aç klay c herhangi bir doküman n olup olmad araflt r lmal d r. 3- Networkte Delil Araflt rma Yöntemleri; Network üzerinde yap lan araflt rmalarda öncelikle networkün topo rafyas ç kart lmal d r. Hangi bilgisayar hangisi ile haberleflmifl, kullan - lan sunucular, çevrebirimleri, hublar, switcler ve routerlar n kullan lm fl oldu u tespit edilmelidir. Bir k s m verilerin loglar elektrik kesintileri s - ras nda uçarak kaybolaca ndan bu de erli verilerin kaybolmas engellenmelidir. Bunu engellemenin yolu da bu çal flmalar yap ld s rada gereken dikkat ve özeni göstermektir. Delil toplamada h zl hareket etmek de çok önemlidir. H zl hareket edildi inde delillerin karart r lmas daha fazla önlenebilecektir. Network analizi yap lmas s ras nda traffic analizi, oturumlar, sistem ve firewall kay tlar, DS analizleri, birlikte incelenerek (40) fien, Osman Nihat., (30.04.2007), Biliflim Suçlar nda Araflt rma Yöntemleri, Delillerin Toplanmas ve Suçlar n n Tespiti, http://www.taa.gov.tr/duyurularana/130606/bilisimsempozyum/sunum/arastirmayontemleri.pdf (41) Noblett, Michael G., Presley, Lawrence A., Pollitt, Mark M. (14.05.2007), Recovering and Examining Computer Forensic Evidence, http://www.fbi.gov/hq/lab/fsc/backissu/oct2000/computer.htm (42) Gordon, Gary R., Hosmer, Chet D., Siedsma, Christine., Rebovich, Don., (14.05.2007), Assessing Technology, Methods, and Information for Committing and Combating Cyber Crime http://www. ncjrs.gov/pdffiles1/nij/grants/198421.pdf

Dijital Delil Araflt rma Yöntemleri Servet Yetim 1215 aralar ndaki ba lant lar araflt r lmal d r. Bu analiz çal flmalar s ras nda hangi tür verilerin gönderildi i, de ifltirilmifl oldu u, kimdem kime gönderilmifl oldu u ve hangi sunucular aras nda veri al flverifli yap ld ortaya ç kart lmal d r. Network üzerindeki bilgi al flverifllerinde, baflta gönderen ve alan kiflilerin P adresleri olmak üzere birçok bilgiye eriflilebilir. 43, 44 Yaz c üreten firmalar n ürettikleri yaz c lardan al nan ç kt larda iz ve iflaret b rakmas hususunda gizli servislerin özel bir çal flmas olmas ndan dolay, yaz c lardan delil inceleme konusundan özel olarak bahsedilmifltir. Yaz lardan ç kt al nmas s ras nda her yaz c ka t üzerinde kendi yap s na has izler b rakmaktad r. Bu izler ka tlar n tepsilere al nmas s ras nda b rak lan izler, kullan lan toner içindeki mürekkebin kimyasal yap s ve yaz lar n yaz ld s rada meydana gelen karekteristik yap lard r. Bu özelliklerden faydalan lmak suretiye ç kt al nan yaz c n n marka ve modeli tespit edilebilece i gibi flayet flüpheli yaz c lar aras nda da inceleme yap labilirse ilgili yaz c n n tespiti mümkün olacakt r. Buradaki incelemeyi balistik incelemeye benzetmek mümkündür. Hatta burada yap lacak inceleme baz durumlarda balistik incelemeden de kolay olabilir. Çünkü sadece ç kt al nan ka tlardan yola ç k lmak suretiyle yaz c n n marka ve modelinin tespiti mümkün olabilir. Ayr ca bir k s m yüksek kalitede ç kt al nabilen yaz c ve fotokopi makinalar nda üretici firmalar taraf ndan gelifltirilen sistemle yaz c lar otomatik olarak her bir ç kt üzerine yaz c n n tam olarak kimli ini ortaya koyacak izler b rakabilmektedir. 45 Bu sistemle ka t ç kt lar üzerine yaz - c dan ç kt s n n al nd tarih, (gün, ay, y l), saat, (saat, dakika) ve seri numaras vb. bilgileri beyaz fl kta ç plak gözle görülemeyecek flekilde noktalar veya iflaretler olup, bunlar sar noktalar halinde sadece mor fl kta ya da bilgisayar mikroskoplar nda tespit yap labilecek flekilde iflaretler koymaktad r. 46, 47, 48, 49, 50 Bu iflaretlerin kullan c taraf ndan istenmeden ya da haberi olmadan konmas n n haberleflme hürriyeti aç s ndan ayr ca (43) Gordon, Gary R., Hosmer, Chet D., Siedsma, Christine., Rebovich, Don., (14.05.2007), Assessing Technology, Methods, and Information for Committing and Combating Cyber Crime http://www.ncjrs.gov/pdffiles1/nij/grants/198421.pdf (44) Kent, Karen., Chevalier, Suzanne., Grance, Tim., Dang Hung., (27.05.2007), Guide to Integrating Forensic Techniques into Incident Response, http://csrc.nist.gov/publications/nistpubs/800-86/sp800-86.pdf (45) Bu tip yaz c lar n listesi http://www.eff.org/privacy/printers/list.php adresinde bulunmaktad r. (46) Forensic dentification, http://en.wikipedia.org/wiki/computer_printer, (20.05.2007), (47) Is Your Printer Spying On You?, http://www.eff.org/cgi/search-proxy.py?q=printer, (20.05.2007) (48) Musgrove, Mike., (20.05.2007) Sleuths Crack Tracking Code Discovered in Color Printers http://www.washingtonpost.com/wp-dyn/content/article/2005/10/18/ar2005101801663.html (49) Watermarks in Color Laserjet Printers, http://www.bunniestudios.com/wordpress/?p=48, (20.05.2007) (50) Leyden, John., (20.05.2007), Is Your Printer Spying On You? http://www.theregister.co.uk /2005/07/29/printer_spy_fears/ http://www.pcworld.idg.com.au/index.php/id;1002274598, Dutch Track Counterfeits Via Printer Serial, (20.05.2007)

1216 STANBUL BAROSU DERG S Cilt: 82 Say : 3 Y l 2008 tart fl lmas gerekir. Çünkü bu tür ürünlerin sat lmas s ras nda bu özelliklerinden tan t c ve kullan c dökümanlar nda herhangi bir aç klma yer almamaktad r. 4- Dijital Delil nceleme Adli biliflim uzmanlar bilgisayardaki her dosyay teker teker inceleyemeye zaman bulamayabilirler. Günümüzde disk boyutlar sürekli büyümekte ve diskler içerisinde on binlerce hatta yüz binlerce dosya bulunmaktad r. Bu dosyalar çeflitli türlerde (resim, görüntü, yaz, vb.) dosyalar olabilmektedir. Adli biliflim uzmanlar dosya inceleme ifllemini h zland racak ve uzmanlara yard mc olacak programlar kullanma ihtiyac hissetmektedirler. Delil inceleme programlar bu ihtiyac karfl lamak üzere haz rlanm fl programlard r. Delil inceleme programlar n üç ayr kategoride incelemek mümkündür. Bunlar dosya listeleme programlar, kelime arama programlar, dosya tan mlama/görüntüleme programlar d r. Dijital delillerin araflt r lmas na hataya sebebiyet vermemek için birden fazla delil inceleme yöntemi kullan lmak suretiyle ortaya ç kart lan deliller do rulanmal d r. 51 Dejital delillerin incelenmesi s ras nda her zaman yedeklenen deliller üzerinde çal flma yap lmal d r. Kesinlikle orijinal deliller üzerinde çal flma yap lmamal d r. 5- Dijital Delillerden Bilgi Ç kartma Delil ç kartma, imaj alma programlar ile al nan imaj dosyalar ndan delil olabilecek verilerin bulunmas d r. Delil ç kartma s ras nda, mevcut dosyalar n çeflitli programlarla aranmas ve listelenmesi yap ld gibi, silinmifl ve gizlenmifl dosyalar aranarak iflletim sistemlerinden birçok bilgi toplanmaktad r. Delil ç kartma ifllemleri; 1) Mevcut dosya aramas, 2) Silinmifl dosya aramas, 3) Unallocated alandan dosya aramas, 4) Kelime aramas, 5) Internet ifllemlerinde arama, 6) Link dosyalar, 7) Print spool dosyalar, 8) Registry incelemesi, 9) Dosya imza analizi, 10) Hash analizi, (51) Michael R., Anderson., Defending Against Junk Science Attacks, http://www.forensics-intl.com/ art20.html, (16.03.2007)

Dijital Delil Araflt rma Yöntemleri Servet Yetim 1217 11) Geri dönüflüm kutusu kurtarma, 12) Swap dosyas, 13) Kullan lmayan disk yüzeyi inceleme, 14) Otomatik çal flan programlar inceleme, 15) Saklanm fl bölümlerde inceleme, (hidden partitions) 16) Silinen verilerin araflt r lmas, 17) Elektronik postalar n takibi ile dijital delillere ulaflma, 52 ana bafll klar alt nda 53, 54, 55, 56 s ralanabilir. 6- Dijital Delillerin Organizesi ve Raporlama Suç araflt rmalar nda delillerin iyi organize edilmesi (raporlanmas ) her zaman önemlidir. Delil organize ifllemi hem dijital olmayan deliller hem de dijital deliller için geçerlidir. Dijital deliller organize edilirken ço- u zaman dijital olmayan delillere de ihtiyaç duyulmaktad r. Deliller organize edilirken bu durumlar n gözönünde bulundurulmas ve hangi delilin hangi konuyla ilgili oldu unun çok iyi belirlenmesi gerekmektedir. Konunun geliflimi ço u zaman hem dijital hem de dijital olmayan delillerin do ru s raya konmas ile anlafl labilmektedir. Özellikle dijital delillerin yo unlu u ve iyi organize edilmemifl deliller günümüzde araflt rmac lar n delil inceleme safhas nda bo ulmalar na ve do ruyu bulamamalar na veya geç bulmalar na sebep olmaktad r. Adli biliflimin bütün aflamalar kurallara uygun olarak geçilmeli, deliller mant k s ras na uygun olarak organize edilmeli ve mahkemeye tatmin edici raporlar sunulmal d r. (52) Al fl lm fl n d fl nda, hatlar belirsiz, beklenene ters düflen tuhaf ve uygunsuz e-posta trafiklerinin incelenmesi ile sonuç ç kart lmas, s k s k e-posta adresi de ifltirme, görüfltü ü kifliler ve s kl, elektronik posta trafi i, bu bilgileri e-posta bafll ndaki bilgileri geniflleterek zenginlefltirebiliriz.gönderen, alan, gön-alma tarihleri, konusu, vb. ABD de bulunan Enron flirketindeki doland r c l k olay çal flan kiflilerin e-postlar izlemeye al narak haberleflme al flkanl klar ndaki de iflikllikler takip edilmek süretiyle flirketteki doland r c l k olaylar ortaya ç lart lm flt r. 151 Enron çal flan taraf ndan gönderilen 252,759 e-posta mesaj sadece e-postay gönderen, alan, ve gönderilme tarihleri ile e-posta adreslerindeki de ifliklikler incelenerek di er bigiler takip edilmekdizin ba lant lar ortaya ç kart lm flt r. Ayr ca bu çal flmada çoklu al c d olan e-postalar da hariç tutularak incelenmifltir. (Jyn, Mark., Lim, Huey., Negnevitsky, Michael., Hartnett, Jacky., (15.03.2007), http://scissec.scis.ecu.edu.au/wordpress/conference_proceedings/2006/forensics/ Lim%20et%20al%20-%20A%20Fuzzy%20Approach%20For%20Detecting%20Anomalous%20Behaviour%20in%20E-mail%20Traffic.pdf, (53) fien, Osman Nihat., (30.04.2007), Biliflim Suçlar nda Araflt rma Yöntemleri, Delillerin Toplanmas ve Suçlar n n Tespiti, http://www.taa.gov.tr/duyurularana/130606/bilisimsempozyum/sunum/arastirmayontemleri.pdf (54) Gordon, Gary R., Hosmer, Chet D., Siedsma, Christine., Rebovich, Don., (14.05.2007), Assessing Technology, Methods, and Information for Committing and Combating Cyber Crime http://www. ncjrs.gov /pdffiles1/nij/grants/198421.pdf (55) Digital Evidence, https://www.theiai.org/disciplines/digital_evidence/index.php, (14.05.2007) (56) fien, Osman Nihat., (30.04.2007), Biliflim Suçlar nda Araflt rma Yöntemleri, Delillerin Toplanmas ve Suçlar n n Tespiti, http://www.taa.gov.tr/duyurularana/130606/bilisimsempozyum/sunum/arastirmayontemleri.pdf

1218 STANBUL BAROSU DERG S Cilt: 82 Say : 3 Y l 2008 Araflt rma sonucu haz rlanacak raporda afla daki bilgilerin bulunmas 57, 58, 59 gereklidir. 1) Araflt rmay yapan kurumla ilgili bilgiler, 2) Olayla ilgili bilgiler, 3) Araflt rmaya bafllama ve bitifl tarihi, 4) El konan ve inceleme yap lan dijital delillerle ilgili bilgiler, 5) Araflt rmada kullan lan donan m ve yaz l mla ilgili bilgiler, 6) Araflt rmada izlenen yol ve kullan lan metod ve yöntemler, 7) Gözetim zinciri (hangi delil hangi tarihte kimden kime aktar ld ), 8) Araflt rma sonuç bulgular, 9) fiüpheli kiflinin e itim durumu ve bilgisayar kullanma becerisi, 10) Görevlendirmenin yap ld ve raporun haz rland tarih, 11) Araflt rma yap lan cihazlara ait marka, model seri numaras, bilgisayar ad, kullan c ad, elektronik posta adresleri, mac adresleri, ba l bulundu u sistemde paylafl ma aç k olan cihazlar, paylafl ma aç k olan cihazlar kullanan di er hedef kitle bilgileri, 12) flletim sisteminin sürüm bilgisi, ilgili yaz l mlar ve sürümleri ve yamalar, Dijital deliller incelenerek rapor haz rlamada amaç; sorulan konular n tamam n kapsayacak bir flekilde aç k, özlü, elefltirilere mahal vermeyecek bir yap da mümkün oldu u kadar bilgiler de ifltilmeden en kolay yöntemler kullan larak rapor sunulmal d r. 60 Araflt rma sonucunda; ulafl lan kanaat, bu kanaate ulaflmak için kullan lan yöntemler, imaj almada kullan lan yöntemler, kaç adet imaj n al nm fl oldu u, inceleme s ras nda kullan lan yöntemler ve ek olarak araflt r lan konular, araflt rmada kullan lan programlar, kurtar lan dosyalar, özel olarak incelenen ve deliller ulafl lan dosyalar, incelemeyi destekleyen di er dosyalar, ipuçlar, kilit kelime arama sonuçlar, kelime arama sonuçlar, internet, e-posta, network, gizli dosyalar, dosya isimlerindeki anormallikler, flifreli dosyalar, flüphelinin bilgisayar kullanmadaki beceri ve al flkanl klar, network trafi i, web site analizleri, sohbet loglar, geçici dosya sonuçlar, önbellek inceleme sonuçlar, haber gruplar (57) Faulk, Charles J., (15.05.2007), Forensic Examination of Digital Evidence: A Guide for Law Enforcement, www.ncjrs.gov/pdffiles1/nij/199408.pdf (58) fien, Osman Nihat., (30.04.2007), Biliflim Suçlar nda Araflt rma Yöntemleri, Delillerin Toplanmas ve Suçlar n n Tespiti, http://www.taa.gov.tr/duyurularana/130606/bilisimsempozyum/sunum/arastirmayontemleri.pdf (59) fien, Osman Nihat., (30.04.2007), Biliflim Suçlar nda Araflt rma Yöntemleri, Delillerin Toplanmas ve Suçlar n n Tespiti, http://www.taa.gov.tr/duyurularana/130606/bilisimsempozyum/sunum/arastirmayontemleri.pdf (60) Guidelines For Best Practice In The Forensic Examination Of Digital Technology, (14.05.2007), www.enfsi.org

Dijital Delil Araflt rma Yöntemleri Servet Yetim 1219 ile olan iliflkiler, kiflinin tahmini olarak teknolojiyi kullanma seviyesi, bilgisayar teknolojileri ile ilgili e itim durumu, internet hizmet sa lay c bilgileri, sonuç kanaat vb. kay tlar yer almal d r. 61 SONUÇ Adli biliflim bütün dünyada oldu u gibi ülkemizde de son zamanlarda h zla geliflen bir bilim dal olup biliflim teknolojileri kullan larak ifllenen suçlarla mücadele büyük önem tafl maktad r. Biliflim teknolojisi kullan larak ifllenen suçlar n tahribat çok büyük olabilmekte ve birden fazla kifli ya da kurumu ilgilendirebilmektedir. Bu alanda mevzuat aç s ndan gerekli çal flmalar k sa zamanda tamamlanarak teflkilatlanmaya gidilmeli, uzman kadro k sa zamanda yetifltirilmelidir. Biliflim teknolojileri hayat n bütün alanlar nda kullan lmakta oldu undan k sa zamanda sonuç al nabilmesi için yayg n bir teflkilatlanmaya ihtiyaç duyulmaktad r. Adli T p Kurumu nun ad Adli Bilirkiflilik Kurumu olarak de ifltirilmelidir. UYAP kapsam nda ilk derece mahkemelerine hizmet vermek üzere Adalet Bakanl na ba l olarak kurulan Bilgi fllem Müdürlükleri, gerekli donan nlar n sa lanmas ve mevzuat aç s ndan gerekli düzenlemelerin yap lmas durumunda bilirkiflilik teflkilat olarak görev yapabilecektir. KAYNAKÇA Amenya, Malack., (27.05.2007), Recovering, Examining and Presenting Computer Forensic Evidence in Court, http://csam.montclair.edu/~robila/secu- RITY/F2004_P/P6/finalcomputerforensics.doc Anderson, Michael R., (14.05.2007), Defending Against Junk Science Carrie Morgan Whitcomb., (14.05.2007), An Historical Perspective of Digital Evidence: A Forensic Scientist's View, http://www.utica.edu/academic/institutes/ecii/publications/articles/9c4e695b-0b78-1059-3432402909e27bb4.pdf Carrier, Brian, Spafford, Eugene H., (07/05/2007) Getting Physical With The Digital Investigation Process, https://www.cerias.purdue.edu/tools_and_resources/bibtex_archive/archive/2003-29.pdf Clarke, Nathan., (20.05.2007), Digital Forensic, http://www.digitalforensic.jp/resume2005/richard.pdf Computer Forensics FAQ (Frequently Asked Questions), (14.05.2007), Digital Evidence, https://www.theiai.org/disciplines/digital_evidence/index.php, (14.05.2007) Faulk, Charles J., (15.05.2007), Forensic Examination of Digital Evidence: A Guide for Law Enforcement, www.ncjrs.gov/pdffiles1/nij/199408.pdf Forensic dentification, http://en.wikipedia.org/wiki/computer_printer, (20.05.2007), (61) Faulk, Charles J., (15.05.2007), Forensic Examination of Digital Evidence: A Guide for Law Enforcement,

1220 STANBUL BAROSU DERG S Cilt: 82 Say : 3 Y l 2008 Gary R. Gordon.; Chet D. Hosmer.; Christine Siedsma.; Don Rebovich., (17.03.2007), Assessing Technology, Methods, and Information for Committing and Combating Cyber Crime, http://www.ncjrs.gov/pdffiles1/nij/grants/ 198421.pdf Gordon, Gary R., Hosmer, Chet D., Siedsma, Christine., Rebovich, Don., (14.05.2007), Assessing Technology, Methods, and Information for Committing and Combating Cyber Crime http://www.ncjrs.gov/pdffiles1/nij/grants/ 198421.pdf Guidelines For Best Practice In The Forensic Examination of Digital Technology, (14.05.2007), www.enfsi.org Hamit,. Hanc, (20/04/2004), Adli T p ve Adli Bilimler Analiz Raporu Hamit,. Hanc, (2003), Bilirkiflilik ve Çapraz Sorgu, 1. Bask, Seçkin Yay nevi, Ankara Horenbeeck, Maarten Van., (19.05.2007 ), IT Crime Investigation http://en.wikipedia.org/wiki/computer_forensics http://free-backup.info/computer-forensic-siezing-the-evidence.html, (14.05.2007), http://home.ti scalinet.ch/s.alcinkaya/hamidhanci.htm http://www.certificationcity.com/html/computer-forensics-training.html, (16.03.2007) http://www.computerforensic.ca/computer-forensics-faq.htm#q2 http://www.daemon.be/maarten/forensics.html http://www.eff.org/privacy/printers/list.php http://www.forensics-intl.com/art20.html http://www.pcworld.idg.com.au/index.php/id;1002274598, Dutch Track Counterfeits Via Printer Serial, (20.05.2007) http://www.supermeydan.net/forum/forum439/thread3935.html, (15.03.2007)) http://www.washingtonpost.com/wp-dyn/content/article/2005/10/18/ar2005101801663.html Is Your Printer Spying On You?, http://www.eff.org/cgi/search-proxy.py?q =printer, (20.05.2007) Jyn, Mark., Lim, Huey., Negnevitsky, Michael., Hartnett, Jacky., (15.03.2007), http://scissec.scis.ecu.edu.au/wordpress/conference_proceedings/2006/forensics/lim%20et%20al%20%20a%20fuzzy%20approach%20for%20detecting%20anomalous%20behaviour%20in%20e-mail%20traffic.pdf Kent, Karen., Chevalier, Suzanne., Grance, Tim., Dang Hung., (27.05.2007), Guide to Integrating Forensic Techniques into Incident Response, http:// csrc.nist.gov/publications/nistpubs/800-86/sp800-86.pdf Kuru, Baki, (1994), Medeni Usul Hukuku, s.407, Yetkin Yay nevi, Ankara Leyden, John., (20.05.2007), Is Your Printer Spying On You? http://www.theregister.co.uk/2005/07/29/printer_spy_fears/ Lim, Mark Jyn-Huey., Negnevitsky, Michael., Hartnett, Jacky, http://scissec.scis.ecu.edu.au/wordpress/conference_proceedings/2006/forensics/lim%20et%20al%20%20a%20fuzzy%20approach%20for%20detecting%20anomalous%20behaviour%20in%20e-mail%20traffic.pdf, (15.03.2007)