Son yıllarda oldukça büyük gelişmeler gösteren adli bilişim, yeni gelişen bir disiplindir954. Bu disiplin içerisinde yer alan ve sık sık kullanılan bazı kavramların bu başlık altında konunun anlaşılması açısından açıklanmasında yarar görülmüştür.
3.6.1. Kesinlik
Bu kavramlardan birincisi kesinlik kavramıdır. Adli bilişim alanında görev alan uygulamacıların, “kesinlik” kavramını bilinçli bir şekilde kullanmaları
951 BAYRAM, Levent; “Adli Bilişim Laboratuvarlarında TS EN ISO/IEC 17025 Standardı Teknik
Gereklilikleri”, Polis Bilimleri Dergisi, C.14, S.1, 2012, s.82.
952 KENNEALLY, Erin E.; “Confluence of Digital Evidence and The Law: On the Forensic
Soundness of Live-Remote Digital Evidence Collection”, Journal of Law and Technology, December, 2005, Vol. 9, http://www.lawtechjournal.com/home/articles/14/, (15.04.2014), prg.23.
953 “Good Practice Guide for Computer–Based Electronic Evidence”, http://www.7safe.com/ electronic_evidence/ACPO_guidelines_computer_evidence.pdf, (18.08.2010), s.9.
gerekmektedir955. Elektronik ortamda bir olgunun çok farklı şekillerde ortaya çıkabileceği her zaman göz önünde bulundurulmalıdır.
Olay mahallinde ve elektronik ortamda tam olarak neyin ne olduğunu ve kimin neyi yaptığını sadece eldeki elektronik veriler ile ortaya koymak oldukça zordur. En azından yapılan eylemin, oluşturulan bir dosyanın kim tarafından yapıldığını kesin bir şekilde ortaya koymak için fiziksel dünyaya ait deliller ile desteklenmesi gerekmektedir. Bu nedenle adli bilişimde “kesinlik” kavramı çok dikkatli bir şekilde kullanılmalıdır956
.
3.6.2. İmaj Alma
Adli bilişim kavramlarından bir diğeri imaj almadır. İmaj alma yerine bilişim sisteminin tamamının incelenmek üzere bir yerden başka bir yere götürülmesi oldukça külfetli olabilmektedir957. Aynı şekilde yapılacak çalışmanın orijinal delil kaynağı üzerinde yapılması da birçok tehlikeyi beraberinde getirmektedir958. İmaj (Forensic İmage) alma, inceleme için alınan birebir kopyaya, bilgisayar kriminalistiğinde verilen isimdir959
. Alınan yedeğin diskte yer alan bütün bitleri içerecek şekilde (bit stream back up) yapılması önemlidir960
. Bu yöntemde sabit disk üzerinde yer alan her bit birebir yedeklenir. Diğer bir ifade ile kopyalanan diskin içeriği aynen elde edilmiş olur961
.
955 CASEY, s.14. 956
CASEY, s.14.
957TANRIKULU, Cengiz, Ceza Muhakemesi Hukukunda Bilişim Sistemlerinde Arama ve Elkoyma,
Adalet Yayınevi, Ankara, 2014, s.92.
958 ÇAKIR-KILIÇ, s.27; Aynı zamanda “imaj çıkarma” ismi de verilmektedir. Bkz.
KUNTER/YENİSEY/NUHOĞLU, s.1101.
959 EKİZER, “Adli Bilişim (Computer Forensics)”, http://www.ekizer.net/content/view/16/1/,
(01.04.2014), s.10.
960 VACCA, s.239.
961 Bilişim Suçlarının Delillendirilmesi, http://www.chip.com.tr/forum/Bilisim-Suclarinin- Delillendirilmesi_t8007.html, (01.04.2014); Normal bir disk kopyalama yazılımı örneğin disk
üzerinde arızalı alan olarak işeretlenen sektörlerdeki (bad sector) gizlenmiş bilgileri kopyalamayacaktır. Diğer taraftan bilgisayarın geri dönüşüm kutusunda (CRC: Computer Recycling Center) yer alan bilgileri de yedeklemeyecektir. Oysa bu alanlarda delil olabilecek bilgiler sıklıkla yer almaktadır.
Aslında imaj alma çalışmaları ilk kez 1980’lerin sonunda virüs saldırılarından korunmak amacıyla yapılmıştır. Verilerin bir kopyası diskte saklanarak virüsten bir şekilde korunma sağlanmıştır. Bir diğer imaj alma sebebi, özellikle şirketler ve kamu kuruluşları tarafından aynı donanıma sahip bilgisayarlarda kurulum işlemlerin tekrar tekrar yapılmaması için kullanılmaktadır. Böylece bir bilgisayara yapılan kurulumun disk imajı alınarak diğer bilgisayarlara hızlı ve güvenli kurulum yapılarak işlem hızlı ve daha az maliyet ile yapılabilmektedir962. Ancak konumuz açısından imaj alma, suça konu olduğu düşünülen, şüphelinin kullandığı bilgisayarın diskinin usulüne uygun şekilde kopyasının alınması, bu diskin belge değeri çıkartılarak imza altına alınmasının sağlanması suretiyle gerçekleştirilmektedir. Böylece inceleme süresinde bilgisayarın elde tutulmasına gerek kalmamakta olup inceleme sonucunda suça konu bir durum tespit edilemez ise zarar azaltılmış olmakta ve orijinal disk üzerinde inceleme yapmanın sakıncalarından kaçınılması sağlanmaktadır.
Elektronik deliller hassas verilerdir963. Bozulmaları, yok edilmeleri ya da değiştirilmeleri ihtimal dâhilindedir964. Bu nedenle, inceleme yapılacak delil kaynağı tutanak ile kayıt altına alındıktan sonra, ileride yargılama aşamasında bu delil kaynağında olmayan bir delilin ileri sürüldüğü veya değiştirildiği iddialarının bertaraf edilmesi açısından imaj alınması hayati öneme sahiptir. Kopyanın iki adet olması uygulamada tercih edilmektedir965
.
İmaj alma iki tür yapılabilmektedir. Bunlardan birincisi donanım kullanarak imaj alma, diğeri ise yazılım yoluyla imaj alma işlemidir966
. İçerisinde özel olarak hazırlanmış yazılım bulunan bir donanım cihazı yardımıyla imaj alma işlemi gerçekleştirilebileceği gibi bir bilgisayar aracılığı ile bu konuda geliştirilmiş özel yazılımlar kullanılarak imaj alınması da mümkündür967. İkinci yöntemde imajı
962 SHINDER,s.561 vd.
963 KESER BERBER, Adli Bilişim, s.46. 964 UZUNAY, “Dijital Delil Araştırma Süreci”,
http://www.caginpolisi.com.tr/eski_sitemiz/50/14-15- 16-17-18.htm, (02.04.2014).
965 “Bilişim Suçlarının Delillendirilmesi”,
http://www.chip.com.tr/forum/Bilisim-Suclarinin- Delillendirilmesi_t8007.html, (01.04.2014).
966AYDOĞAN, Hakan; Adli Bilişimde Yeni Elektronik Delil Elde Etme Yöntemleri, s.34. 967AYDOĞAN, Hakan; Adli Bilişimde Yeni Elektronik Delil Elde Etme Yöntemleri, s.34.
alınacak cihazın bir şekilde bilgisayara bağlantısının sağlanması gerekmektedir. Ancak hiçbir şekilde kopyası alınacak sistemin çalıştırılmaması gerekmektedir968
. Diğer bir ifadeyle imaj alınacak kaynak depolama ünitesi pasif olmalıdır.
Adli bilişimde verilerin yedeğini diske almak, delillerin virüs gibi kontrolsüz şekilde verilerin değişmesine yol açabileceğinden büyük bir risk barındırmaktadır. Bu nedenle yedek optik disk üzerine alınması gerekmektedir969.
Disk imajı, bilgisayar kapatılmadan önce alınmalıdır. Bunun nedeni, bilgisayar açık iken hali hazırda var olan ve kapatıldığında ulaşılamayacak uçucu bilgilerin de yedeğe dâhil edilmesi içindir970
.
3.6.3. Disk Yazma Koruma Sistemleri (Writeblocker)
Sabit disk üzerindeki veriler incelenirken, disk üzerinden yoğun şekilde okuma yapılır; ancak aynı disk üzerine yazma işleminin yapılması istenilmez. Bununla disk üzerindeki verilerin delil niteliğini kaybetmesi önlenmektedir. Uygulamada bunu sağlamak üzere donanım ve yazılım ürünleri kullanılmaktadır. Dolayısıyla disk üzerinden incelenen veriler okunurken kazara dahi yazma işlemine izin verilmez971. Adli bilişimin temel prensiplerinden birisi böylece sağlanmış olur972.
Disk yazma koruma sistemleri, delillerin değişmesini önlediklerinden kullanılması zorunlu sistemlerdir973
. Bilgisayardan imaj alınarak bilgisayarın sahibine iadesi bazı durumlarda bir takım sakıncaları beraberinde getirmektedir. Örneğin çalıntı kredi kartı bilgilerinin bulunduğu ihbarı üzerine gidilen iş yerinde bilgisayarların imajının alındıktan sonra sahibine iadesi bu suç şüphesi açısından
968 DUMAN, Emrah; “Bilgisayarlarda ve Bilgisayar Ağlarında Delil Toplama ve Türkiye’deki
Uygulama Sorunları”, Proje Ödevi, Hacettepe Üniversitesi, Ankara, 2012, s.26.
969 SAY, Kubilay; “Bilişim Suçlarında Elde Edilen Delillerin Olay Yerinden Toplanması ve
Laboratuvarda İncelenmesi”, Ankara Üniversitesi Sağlık Bilimler Enstitüsü, Disiplinlerarası Adli Tıp Anabilim Dalı Yayımlanmamış Yüksek Lisans Tezi, Ankara, s.20.
970 SHINDER, s.555.
971SAY, Delillerin Toplanması, s.65. 972DÜLGER, Bilişim Suçları, s.674 vd. 973SAY, Delillerin Toplanması, s.65.
uygun olmayacaktır974. Aynı şekilde bulundurulması suç teşkil eden içeriklerin imaj alındıktan sonra bilgisayarın sahibine iadesi de böyledir. Bu örnekleri çoğalmak mümkündür.
3.6.4. Uçucu Bilgiler
Bilgisayar diski üzerindeki çalışma mantığından dolayı bazı veriler uzun süre muhafaza edilmezler. Bir kısmı bilgisayarın kapatılmasıyla bir kısmı ise yeni veriler kaydedilmekle yok olur veya erişilmesi çok zor hale gelirler. Bunlar, bellekte yer alan bilgiler, silinmiş veriler, Windows takas alanı, atıl boşluk (slack space), bilgisayarda o anda çalışan programlar ve mevcut ağ bağlantılarıdır. Bu bilgilerin bir an önce korunmaya alınması gerekir975
. Geç kalınması halinde bunların tekrar elde edilmesi için ikinci bir şans bulunmamaktadır976.
Bellek, diskte yer almayan bir takım verileri barındırabilmektedir. Örneğin, şifrelenmiş metinleri çözen bir yazılım çalışıyor ise açık şekilde bellekte bir takım bilgilere ulaşılabilir. Bazı yazılımlar için gerekli şifre (password) bellek içeriğinden elde edilebilmektedir977.