Truva atı savunmasıyla karşılaşan iddia makamı, durumun adli bilişim teknikleriyle daha detaylı analizini isteyebilir. Karmaşık görünse de suçlu ile suçsuzun ayrıştırılmasını sağlayacak önemli bulgular elde edilebilir. Sorgulanabilecek ana başlıklar aşağıda sıralanmış durumdadır.
1. Zararlı yazılımın karakteri ve yeteneği
Zararlı yazılımların her geçen gün yeni bilgisayarlara bulaştığı ve uzaktan kontrol edilebildiği gerçeği yadsınamaz209. Kötü niyetli kişilerce başka insanları
zan altında bırakacak ve bu kişilerin kimliklerini gizleyerek yasa dışı faaliyetlerde
208 Konuyla ilgili yaşanan ilk örneklerden biri Aaron Caffrey isimli şahsın kendi bilgisayarından
11608 farklı IP’ye dağıtık servis dışı bırakma saldırısı (DDOS) yaptığına ilişkin görülen davadır. 2003 yılında karara bağlanan görüşmede sanık “böyle bir yetkinliğe sahip olmadığını” savunmuş, bilgisayarında zararlı yazılım bulunmamasına ve çok sayıda DDOS uygulaması bulunmasına rağmen hakkındaki iddialar kabul edilmemiş ve serbest kalmıştır. Detaylı bilgi için bkz. http://www.zdnet.com/the-case-of-the-trojan-wookiee-3039117240, erişim tarihi: 07.01.2013.
bulunmasını neden olacak zararlı yazılımlar, elbette sanığın kendi işlediği suçlardan kurtulması için de kullanılabilecektir.
Böyle bir durumla karşılaşıldığında iddia makamının inceleyebileceği ilk durum, konu edilen bilgisayarda gerçekten zararlı yazılım bulunup bulunmadığıdır. Eğer böyle bir zararlı yazılım tespit edildiyse sonraki aşamaya geçilerek ve zararlı yazılımın yetkinliği araştırılabilir.
Zararlı yazılım bilgisayara hangi tarihte bulaşmıştır? Zararlı yazılım aktif midir? Eğer aktif değilse faaliyetine ne zamana kadar devam etmiştir?
Zararlı yazılımın türü nedir? Bu tip zararlı yazılımların genel amaçları nedir? İncelenmekte olan soruşturmayla ilgili bir konuda etkisi olabilir mi?
Zararlı yazılım bilgisayara nasıl bulaşmıştır? Bu zararlı yazılım özel hedefli bir saldırı sonucunda bulaşan bir Truva atı mıdır, yoksa internette rastgele dağılan bir virüs çeşidi midir?
İlgili zararlı yazılımın etkisi nedir? Soruşturmaya konu edilen duruma net bir etkisi var mıdır? Adli bilişim araştırmaları neticesinde detaylı zaman analizi yapıldığında, zararlı yazılımın bulaştığı ve/veya çalıştığı tarihlerle suç unsuru teşkil eden dosya ve/veya faaliyetlerin mantıksal bir yakınlığı söz konusu mudur210
? Soru listesi uzatılabilir. Bu açıklamalarla varılmak istenen nokta, eğer gerçekten bir zararlı yazılım varsa bu zararlı yazılımın suç teşkil eden unsurlarla ilişkisi olup olmadığının ortaya çıkarılmasıdır. Ortada bir zararlı olmasına rağmen olayla ilişkisi kanıtlanamıyorsa, sanık aleyhine bir durum oluşacaktır.
Zararlı yazılım tespit edilemediği durumlarda ise, bilgisayarda bir delil karartma işleminin uygulanıp uygulanmadığı incelenebilir211
. Böylece sanığın “Bilgisayarımda bulunan zararlı yazılım yasa dışı faaliyetlerden sonra kendini ve olabilecek bütün kanıtları sildi” iddiasına cevap verilebilecektir. Bilgisayarda
210 Zaram analizi hakkında detaylı bilgi için bkz. “Log2timeline”, sf. 24.
211
Delil karartma teknikleri hakkında detaylı bilgi için bkz. “ ”, sf. 82.
delillerin geri döndürülmez şekilde silinmesine neden olan bir uygulama varsa, deliller silinse bile bu programın kendisi kalacaktır. Hatta sonraki aşamada programı kaldırılsa bile, bu sefer programı kaldıran uygulama veya işleme dair izler kalabilecektir. Detaylı adli bilişim incelemeleri sonucunda bu duruma ilişkin kanıtlar tespit edilebilir. Böylece “virüs kendini temizledi” iddiasına cevap aranabilecektir.
2. Kullanıcının bilgisayar bilgisi
İncelenebilecek bir diğer başlık ise kullanıcının bilgisayarlar hakkındaki bilgi seviyesidir. Bazı Truva atı savunmalarında sanıkların bilişim dünyasına uzak olduklarına dair savunmaları olabilmektedir. Kullanıcının bilgisayar bilgi seviyesinin ve olası zararlı yazılım faaliyetlerine karşı yaklaşımı tespit edilebilirse bu durum iddia makamının elini güçlendirebilir.
Bilgisayar bilgisi 2 şekilde etkisini gösterecektir. Bunlardan ilki kullanıcının zararlı yazılımlara karşı tedbir alıp almadığı noktasıdır. Kullanıcı anti virüs programı yüklemiş midir? Güvenlik duvarı ayarlarını yönetebilecek kapasiteye sahip midir? Akademik kariyerinde, iş yaşamında ve özel hayatında hangi bilgisayar yetkinliklerini kullanmaktadır? Zararlı yazılım saldırılarını tespit edebilecek kapasiteye sahip midir? Kullandığı anti virüs yazılımlarını düzenli olarak güncelleştirmekte midir? Bu ve benzeri sorularla kişinin kimliği ve kullanıcı profili çıkarılabilir.
Bilgisayar bilgisinin ikinci etkisi ise, kullanıcının bir savunma amacı olarak kasıtlı şekilde zararlı yazılımın çalışmasına izin verip vermediğidir. Kullanıcı zararlı yazılımı kendisi oluşturmuş olabilir mi? Kendisine ait başka bir bilgisayarda zararlı yazılım oluşturup suç faaliyetini yürüttüğü bilgisayara aktarmış olabilir mi? Kullanıcı bilerek ve isteyerek zararlı yazılım bulaşabilecek siteleri ziyaret etmiş olabilir mi? Aynı şekilde kendi bilgisi dâhilinde eski ve yamasız işletim sistemleri kullanarak bilgisayarını uzaktan erişime açmış olabilir mi? Bu tip sorularla kullanıcının bilgisayar bilgisi tahmin edilebilir ve yeni sorgulama başlıkları oluşturulabilir.
3. Zararlı yazılımla kullanıcının ilişkisi
Zararlı yazılımla kullanıcının ilişkisinin tespiti Truva atı savunması yapılan davalarda önemli bir gelişme olarak kabul edilir. Truva atı savunmalarının temelinde “ben yapmadım başkası yaptı” iddiası bulunmaktadır. Kanıt olarak zararlı yazılımla bilgisayarın ele geçirilmesinden bahsedilir. Zararlı yazılımın kullanıcıyla ilişkisinin tespiti halinde bütün bu iddialar çökebilir. Zararlı yazılımın kaynak kodları veya zararlı yazılıma dair betikler (script) bilgisayarda bulunmakta mıdır? Bu kaynak kodlarının içinde kullanıcının kimliğine dair izler var mıdır? Zararlı yazılımın dinamik analizi 212
yapıldığında hangi IPlerle iletişim kurulmaktadır? Bu IPlerin kullanıcı ile bir ilgisi var mıdır? Zararlı yazılım geliştirmede kullanılan araçlar bilgisayarda bulunmakta mıdır? Eğer varsa, zararlı yazılımın bu araçlarla ilişkisi tespit edilebilmekte midir? Bu ve benzeri sorularla zararlı yazılımın kullanıcı ile ilişkisi sorgulanarak Truva atı savunmasına cevap niteliğinde bulgular elde edilebilir.
4. Kullanıcının itirafı
Truva atı savunmalarında kullanılabilecek bir diğer yaklaşım ise sanığın itiraf etmesini sağlamak olabilir. Dijital adli analizin uzun sürmesi ve zahmetli bir iş olması, bazen sanığın uzun süre tutuklu kalmasına neden olabilmektedir. Bu durum kullanıcının daha sürecin başında böyle bir itirafta bulunmasını zorlaştırabilir. Ancak bununla beraber bilgisayar suçlarının birçoğunun çocuk pornosu ile ilgili olduğu bilinmektedir213
. Çocuk pornosu suçu işleme profilinde ise ağırlıkla daha önce suça bulaşmamış ve eğitimli insanlar olduğu görülmektedir214
. Bu durumdaki sanıkların dava ilerlemeden sorgulanması ve eldeki verilerle hüküm giyme ihtimalinin yüksek olduğunun belirtilmesi durumunda, iddia edilen suçu gerçekten işlemişlerse Truva atı savunması gibi
212Dinamik analiz, zararlı yazılımın bulaştığı ortamın birebir aynısının oluşturulması ve simüle
edilen bu ortamda zararlı yazılım çalıştırılarak etkisinin anlık olarak incelenmesi anlamında gelmektedir. Detaylı bilgi için bkz. Manuel Egele, Thedoor Scholte, Engin Kırda, Christopher Kruegel, A Survey on Automated Dynamic Malware Analysis Techniques and Tools, ABD 2010 ("Egele/Scholte/Kırda/Kruegel").
213 Brenner/Carrier/Henninger, sf. 27.
yola gitmeyecekleri tahmin edilebilir. Truva atı savunmaları oldukça kompleks bir duruma sebebiyet verdiği için detaylı teknik analize başvurmadan konunun çözülebilmesi özellikle iddia makamı ve karar vericiler açısından faydalı olacaktır.