13/07/2017 Taner KILIÇ'a Ait Telefonun İmajında Yapılan İçerik Araması ve Uzman Görüşü Sayın Av. ..........................., Bu rapor, müvekkiliniz Taner KILIÇ'a ait hat üzerinden bağlantı kurduğu iddia edilen ByLock adlı mesajlaşma sistemi uygulamasının Taner KILIÇ'a ait akıllı telefonda kurulu olup olmadığının, kurulup kaldırıldıysa bu uygulamaya ait izlerin söz konusu telefonda olup olmadığının tespiti talebiniz üzerine kaleme alınmıştır. İnceleme sonucunda karşılaşılan hususlar, teknik bilgiler ve önem arz eden diğer hususlar bu raporla bilgilerinize sunulmuştur. T. Koray Peksayar Makine Müh. Lis. - Bilgi Tekn. Y. Lis. Bilişim ve Adli Bilişim Uzmanı - Yeminli Adli Bilirkişi İTÜ Y. Lis. Dip. No: 76-387 Taner KILIÇ'a Ait Telefonun İmajında Yapılan İçerik Araması ve Uzman Görüşü - T. Koray Peksayar Sayfa 1/40 Bilirkişi Hakkında 1975 İstanbul doğumluyum. Hazırlık, ortaokul ve liseyi Nişantaşı Anadolu Lisesi'nde tamamladım. Nişantaşı Anadolu Lisesi Fen-Matematik bölümünden mezun oldum. İstanbul Üniversitesi Mühendislik Fakültesi Makine Mühendisliği Bölümü'nde lisans eğitimimi tamamladım. İstanbul Teknik Üniversitesi Bilişim Enstitüsü Bilgi Teknolojileri Yüksek Lisans programıyla yüksek lisans eğitimi gördüm. Elektronik, bilgisayar ve ağ sistemleri üzerine çalışmaya ortaokul yıllarında amatör olarak başladım ve lise yıllarının sonunda bu çalışmalarım profesyonelliğe yöneldi. Lisans eğitimimin son 3 yılında ve yüksek lisans eğitimim boyunca bilgisayar ve ağ sistemleri üzerine yaptığım çalışmalara profesyonel olarak devam ettim. Bu süre zarfında birden fazla işletmede, özellikle web uygulamaları, ağ ve intranet sistemleri ve bilişim sistemlerinin iyileştirilmesi konularında çalıştım. 1998 yılından itibaren yazılım geliştirme, yazılım başarımı, sistem başarımı, sistem güvenilirliği ve sistem güvenliği üzerine çalışmaya başladım. Bu çalışmalarım sırasında Windows işletim sisteminin birçok sürümü, popüler uygulama yazılımları ve bu yazılımlarının belgelenmemiş çalışma şekil ve davranışları konusunda deneyim kazandım. 1999 yılından itibaren Windows tabanlı sistemlerin yanı sıra Linux işletim sistemi üzerine yoğunlaştım. 2000 yılından beri kendime ait şahıs firmamla Linux ve diğer UNIX tabanlı işletim sistemlerinin etkin kullanımı, telekomünikasyon, yazılım geliştirme, yazılım başarımı, sistem başarımı, sistem güvenilirliği ve sistem güvenliği konularında hizmet, ürün ve çözüm geliştirmekteyim. 2003 yılından bu yana lisanslı amatör telsizciyim, amatör radyoculukla uğraşmaktayım ve gönüllü acil durum iletişimi konusunda da çalışmaktayım. 2010 yılından beri, uzun yıllar içerisinde edindiğim tecrübe ve aldığım bilimsel eğitimle adalete yardım sunmak amacıyla, sık kullanılan bilgi ve iletişim sistemlerinde karşılaşılan olayların çözümü, benzer konularda inceleme ve çözümleme yapan bağımsız bilim insanı olarak, İstanbul Adli Yargı İlk Derece Mahkemesi Bilirkişi listesinde bilişim konusunda kayıtlı yeminli bilirkişiyim. Halen yeminli bilirkişilik görevine devam etmekteyim ve İstanbul Adli Yargı İlk Derece Mahkemesi 2017 Yılı Ceza Bilirkişi Listesi'nde 230. sayfada 3852 sıra numarası ve 4269 başvuru numarasıyla kayıtlıyım. İstanbul İli Ceza Bilirkişi Listesi'nde kayıtlı haliyle, bilirkişilik yaptığım konular arasında; bilgisayar teknolojileri, bilgi teknolojileri, bilgi teknolojileri iletişim, bilgi işlem, bilişim suçları, bilgisayar programcılığı, bilgisayar yazılım geliştirme, bilgisayar ve güvenlik sistemleri, bilgisayar ağ ve sistem inceleme, CD/DVD çözümleme, dijital delil inceleme, görüntü işleme ve sosyal medya yer almaktadır. 2010 yılında başlayan bilirkişilik görevim zarfında, İstanbul'da kurulu ağır ceza, asliye ceza, asliye hukuk, çocuk, fikri-sınai haklar hukuk, iş ve sulh ceza mahkemelerince resen atanan bilirkişi olarak görev yaptım. 2012 yılından günümüze, savunmanlarca uzman görüşü talep edilen çeşitli davalar için bilimsel incelemelerde bulundum ve bu incelemeler sonucunda rastlanan hususları raporladım. Söz konusu davalar arasında, kamuoyunda bilinen adlarıyla, “Balyoz”, “Ergenekon”, “Poyrazköy”, “Kafes Eylem Planı”, “ÇYDD” ve “Askeri Casusluk ve Şantaj” davaları bulunmaktadır. Özellikle “Balyoz”, “Poyrazköy” ve “ÇYDD” davalarında dijital delillerde rastlanan çelişkileri, teknik usulsüzlükleri ve el koyma sonrası değişiklik şüphelerini tespit eden ilk uzmanlardanım. “Balyoz” davası ile ilgili tüm bulgularım İstanbul Anadolu 4. Ağır Ceza Mahkemesi tarafından görevlendirilen İstanbul Teknik Üniversitesi araştırmacıları tarafından (2. kez) onanmış ve dava beraatle sonuçlanmıştır. Taner KILIÇ'a Ait Telefonun İmajında Yapılan İçerik Araması ve Uzman Görüşü - T. Koray Peksayar Sayfa 2/40 “ÇYDD”, “Kafes Eylem Planı”, “Amirallere Suikast” alt davalarından oluşan “Poyrazköy” davası ile ilgili tüm bulgularım İstanbul Anadolu 5. Ağır Ceza Mahkemesi tarafından görevlendirilen Adalet Bakanlığı Adli Tıp Kurumu Fizik İhtisas Dairesi Bilişim ve Teknoloji Suçları Şubesi araştırmacıları tarafından (3. kez) onanmış ve dava beraatle sonuçlanmıştır. Her iki davada da sahte delilleri oluşturanlar hakkında suç duyurusunda bulunulmuş ve soruşturma yapılması kararı verilmiştir. Sunduğum rapor ve mütalaalardan “Balyoz” davasıyla ilgili olanlar, Anayasa Mahkemesi’nin 2013/7800 müracaat sayılı 18/6/2014 tarihli kararının 24. sayfasında ve İstanbul Anadolu 4. Ağır Ceza Mahkemesi’nin 31/03/2015 tarihli gerekçeli kararının 109., 392., 602., 657., 658., 730. ve 739. sayfalarında anılmaktadır. Sunduğum rapor ve mütalaalardan “Poyrazköy” davasıyla ilgili olanlar, İstanbul Anadolu 5. Ağır Ceza Mahkemesi’nin gerekçeli kararının 31. ve 46. sayfalarında anılmaktadır. Sunduğum rapor ve mütalaalardan “Ergenekon” davasıyla ilgili olanların mahkeme tarafından değerlendirilmemesi ve mahkeme huzurunda dinlenilmemi mahkemenin reddetmesi Yargıtay 16. Ceza Dairesi’nin 21/04/2016 tarihli kararının 56. sayfasında bozma gerekçelerinden sayılmaktadır. Taner KILIÇ'a Ait Telefonun İmajında Yapılan İçerik Araması ve Uzman Görüşü - T. Koray Peksayar Sayfa 3/40 Bilimsel İnceleme ve Uzman Görüşü 1. Amaç ve Kapsam Bu rapor, müvekkiliniz Taner KILIÇ'a ait hat üzerinden bağlantı kurduğu iddia edilen ByLock adlı mesajlaşma sistemi uygulamasının Taner KILIÇ'a ait akıllı telefonda kurulu olup olmadığının, kurulup kaldırıldıysa bu uygulamaya ait izlerin söz konusu telefonda olup olmadığının tespiti talebiniz üzerine telefon yedeğinde yapılan adli bilişim incelemesi sonrasında kaleme alınmıştır. İnceleme sonucunda karşılaşılan hususlar, teknik bilgiler ve önem arz eden diğer hususlar bu raporla bilgilerinize sunulmuştur. Konunun anlaşılması için teknik bilgi gerekliliği de göz önünde tutularak teknik bilgilerin ayrıntıları yalın bir dille açıklanmaya çalışılmıştır. Her ne kadar bu rapor uzman görüşü sunan bir rapor olsa da, yapılan inceleme bir bilirkişi raporuna denk olacak şekilde tarafsızlıkla yapılmıştır ve verilen teknik bilgiler somut gerçekleri yansıtacak şekilde verilmiştir. Raporda sözü geçen bir kısım marka, model ve kullanılan yazılımdan bahsedilmesi; bu raporda izlenen yöntemin net olarak anlaşılabilmesi ve raporun diğer uzmanlarca incelendiğinde sağlamasının kolaylıkla yapılabilmesi amacını taşımakta, bir ürünü veya hizmeti överek, reklamını veya tanıtımını yapmak gibi başkaca amaç gütmemektedir. 2. Genel Bilgiler 2.1. Sayısal Deliller: Elektronik Ortamda Depolanan Dosyaların Belge Niteliği Bilgisayar bilimleriyle ilgili tartışmalarda, bilgi, bilinç ve anlamsallık konuları açıldığında en önemli konulardan biri verinin her zaman anlamlı bilgi olmadığı olgusudur. Sayısal verinin bilgi niteliği taşıyabilmesi için bulunduğu ortamdaki diğer benzer veriyle tutarlı bir bütün oluşturması gerekir. Bir sayısal kütüğün aynı zamanda bir veritabanı olduğu düşünülürse, bu veritabanına belirli şartlarla ve kurallarla erişildiği varsayıldığında anlamlı bilgi içerdiğinden emin olunabilir. Veritabanı üzerinde kayıt tutan bir muhasebe yazılımı örnek verilirse veritabanındaki alacak verileri tek başlarına borç verileriyle kıyaslandıklarında sadece incelenen dönemdeki alacak borç dengesi hesaplanabilir. Bu veriler ancak müşteri verileriyle ilişkilendirildiğinde anlamlı borç alacak bilgisine ulaşılabilir. Veritabanındaki müşteri kayıtlarında sadece müşteri numaraları da hiçbir anlamlı bilgi içermemektedir. Bu veri bir dış veriyle yorumlandığında anlamlı bilgiye erişilmektedir. Bir işlemin kimin tarafından yapıldığının belli olmaması durumu da yine anlamsal bütünlüğün bozulmasına sebep olur. Bir kaydın hangi kullanıcı tarafından girildiği bilgisi olmadığında bu kayıt ve tüm ilgili kayıtlar da geçersiz olacaktır ve sistemin bütününde kararsızlık oluşacağı için anlamlı bilgi de bu durumdan etkilenmiş olacaktır. Sistem üzerindeki bir açıktan faydalanılmak suretiyle sistem güvenliği aşılarak, parolası elde edilerek ya da zaten kullanıcı girişi yapılmış olan bir sisteme veri kaydedilerek yapılan işlemlerde de ortaya çıkan sonuç verinin tutarsızlığıdır. Dolayısıyla, verinin anlamlı bilgi olarak kabul edilebilmesi için aynı ortamda bulunan diğer benzer veriyle tutarlılık oluşturması, kararlı çalışan, güvenliği sağlanmış olan bir sistemde depolanması, bu sisteme belirli kurallar ve şartlarla erişimin sağlanıyor olması gereklidir. Sayısal ortamdaki veriler herhangi bir sistem kullanılarak, herhangi bir kişi tarafından, herhangi bir zamanı gösterecek şekilde oluşturulabilir. Bu verinin doğruluğu ve geçerliliği günümüz şartlarında sayısal imzalar kullanılarak sağlanır. Dolayısıyla, verinin anlam kazanması için elde edilen verinin, 5N1K sorularını “Ne? Ne zaman? Nerede? Nasıl? Neden? Kim?” cevaplayabiliyor olması gereklidir. Taner KILIÇ'a Ait Telefonun İmajında Yapılan İçerik Araması ve Uzman Görüşü - T. Koray Peksayar Sayfa 4/40 Diğer bir deyişle, “hangi veri, ne zaman, hangi sistemde ve veri depolama ortamında, ne şekilde ve tipte, hangi veriyle ilişki kuracak şekilde, kim tarafından oluşturulmuştur” olarak açıklanabiliyor olması gereklidir. Yukarıda sıralanan şartlar sağlandığında kayıtlı veri anlamlı bilgi içermektedir ve belge niteliği taşımaktadır yorumu yapılabilir. 2.2. Sayısal Verilerin Kaynağı Sayısal ortamda depolanan veriler, istenilen şekilde; istenilen zamanı gösterecek, istenilen bilgiyi içerecek, istenilen içeriğe sahip olacak, istenilen kişi tarafından oluşturulduğu izlenimini verecek şekilde, herhangi kişi ya da kişiler tarafından oluşturulabilir. 5271 sayılı Ceza Muhakemesi Kanunu'nun “Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El koyma” konusunu düzenleyen 134. maddesinin 1. bendinde; “Bir suç dolayısıyla yapılan soruşturmada, başka surette delil elde etme imkânının bulunmaması halinde, Cumhuriyet savcısının istemi üzerine şüphelinin kullandığı bilgisayar ve bilgisayar programları ile bilgisayar kütüklerinde arama yapılmasına, bilgisayar kayıtlarından kopya çıkarılmasına, bu kayıtların çözülerek metin hâline getirilmesine hâkim tarafından karar verilir.” denilmektedir. Yukarıda yapılan teknik tespit ve alıntılanan yasa maddesi sayısal delilin illiyet bağının önemini ortaya koymaktadır. Yasaya göre esas olan, aramanın “şüphelinin kullandığı bilgisayar ve bilgisayar programları ile bilgisayar kütüklerinde” yapılmasıdır. Günümüzde bilgisayar ve diğer bilgi işlem sistemleri çeşitlilik arz etmekte, bu sistemler artık tek başlarına çalışmaktan ziyade dışarıya kapalı[1] ve dışarıya açık[2] ağlarla etkileşimde bulunmaktadırlar. Bu sebeple oluşturulmuş her sayısal verinin aidiyeti, kullanıcı tarafından kullanıldığı bilinen bir bilgisayar kütüğünde kayıtlı bulunsa bile, denetlenebiliyor ve kaynağı incelenerek açıklanabiliyor olmalıdır. Örneğin; İnternet’e bağlı bir bilgisayarda bulunabilecek bir resim dosyasının kullanıcının normal kullanıcı davranışları dahilinde gezdiği bir web sitesindeki bir reklamdan kaynaklanması olasıdır. Dışarıya açık ağlarla bağlantılı sistemlerde kullanıcı istemi dışında durumlar da oluşabilir. Buna örnek olarak kullanıcının bir uygulama yazılımında var olduğunu bilmediği ve bilmesine imkan olmayan program hatasının 3. şahıslarca tespit edilerek bu program hatasının sebep olduğu zafiyetin kullanılmasıdır. Kullanıcı istemi dışında oluşan durumların bir diğer örneği de, görünür işlevinden başkaca amaçlar taşıyan kötü amaçlı yazılımların sistemde çalışmasıyla ortaya çıkar. Örneğin, bir oyun ya da ekran koruyucu olarak çalışan bir yazılım, çalıştığı sistemde bir arka kapı açarak, bu sistemin kullanıcının bilgisi dışında dışarıdan kontrol edilmesine, sistemden dosya indirilmesine ve sisteme dosya yüklenmesine olanak sağlayabilir.[3][4] Yapılan bir incelemeye konu olan kütük bir bilgisayar sistemine takıldığı bilinen ya da tespit edilebilen okunabilir ve yazılabilir bir kütükse, bu kütükte bu çeşit bir yazılıma rastlanması durumunda incelenen sayısal delilde bu yazılımın izlerine ve kalıntılarına rastlamak mümkündür. Salt okunur ve arşiv niteliği olan[5] kütüklerin oluşturulduğu sistemlerin bilgi işlem cihazları olmaları sebebiyle içlerindeki dosyalarda bu çeşit yazılımların ve diğer başka izlerin bulunması da mümkündür. 2.3. İmaj Kavramı İmaj, veri depolanan bir aygıtın veya ortamın tam kopyasına verilen isimdir. Tam kopyası çıkarılan bir aygıtın içindeki tüm veri imaj alınma işlemiyle bir sayısal dosyaya kaydedilir. 1 Yerel ağ sistemleri. Intranet sistemleri ve benzerleri 2 İnternet bağlantılı sistemler gibi 3 Bkz: “Bu Kitabı Çalın II” İnternet güvenliği üzerine yazılmış ücretsiz e-kitabın 66. sayfası 4 Bkz: İtalyan HackingTeam firması hakkında haber http://www.hurriyet.com.tr/dunya/29497905.asp 5 CD, DVD gibi Taner KILIÇ'a Ait Telefonun İmajında Yapılan İçerik Araması ve Uzman Görüşü - T. Koray Peksayar Sayfa 5/40 Adli bilişim incelemesi öncesi sayısal delil toplanması sırasında imaj alma gerekliliğinin teknik nedeni, veri depolanan bir aygıtın fiziksel hasara uğrama olasılığının bertaraf edilmesidir. 2.4. İmaj Alma İşleminin Teknik Ayrıntıları Genellikle veri depolama ortamlarından veri kopyalanırken kaynak veri, yazma korumalı olarak okunur ve özgün veri ile kopyanın birebir aynı olduğu denetlenir. “İmaj alma” işlemi özel yazma korumalı aygıtlar kullanılarak bilgisayarda veya bu iş özel tasarlanmış cihazlarla kaynak veri depolama ortamından kopyanın alınacağı veri depolama ortamına doğrudan yapılabilmektedir. Kopyalama işleminden sonra özgün veri ile kopyalanan verinin birebir aynı olduğunun sağlaması yapılmalıdır. Bunun için özgün delilin her bitinin, kopyalanmış olan veride de aynı olduğunun tespiti ve sağlaması kriptografik özet fonksiyonları kullanılarak özüt değerleri elde edilir. Elde edilen özüt değerleri eşit olduğunda kopya ile özgün ortamın aynı oldukları tespit edilmiş olur. Delil toplama aşamasında tespit edilen özüt değerleri ilerleyen aşamalarda delil bütünlüğü sağlamasının yapılması amacıyla da kullanılır. Adli bilişimde delil bütünlüğünün sağlanabilmesi için delilin toplama aşamasından inceleme aşamasının sonuna kadar değişmediğinin sağlanması gereklidir. Böylece, inceleme yapacak uzmanlar, özgün delilin fiziksel halinde değil, onun bir kopyasında gerekli incelemeyi yapmış olurlar. Bu konu delilin değişmezliği prensibinin en önemli adli bilişim uygulamasıdır. İnceleme öncesi uzmanlar kendilerine verilen kopyanın özüt değerlerini hesaplayarak, bu değerin delil toplanması sırasında elde edilen özüt değeriyle eşitliğini, yani kopya ile özgün delilin eşitliğini tespit etmelidir. Bu denetleme sonucu eşitlik elde edilemezse delilin bütünlüğünün sağlanamaması dolayısıyla bir inceleme yapmak da mümkün olmayacaktır. 2.5. Özüt Değeri (Kriptografik Özet) Kavramı K r iptografik özet[6] fonksiyonu, çeşitli güvenlik özelliklerini sağlayan bir özet fonksiyonudur. Kriptografik özet fonksiyonu veriyi belirli uzunlukta bir bit dizisine, (kriptografik) özet değerine, dönüştürür. Kısaca, uzun bir verinin sayısal temsilini daha kısa bir veriye dönüştürerek yapar. Bu dönüşüm verideki herhangi bir değişiklik durumunda özüt değerini[7] değiştirir. Örneğin bir kriptografik özet fonksiyonu olan SHA1'in çeşitli girdiler için ürettiği özet değerleri aşağıdaki grafikte temsil edilmektedir. Girdi üzerindeki en küçük değişiklik bile özetin değerini önemli ölçüde değiştirmektedir. Bu durum çığ etkisi olarak adlandırılır. Özetlenecek veri “mesaj”, özet değeri ise “mesaj özeti” veya kısaca “özet” olarak da adlandırılır. 6 Türkçe VikiPedi'nin “Kriptografik özet fonksiyonu” maddesinden alıntılanmıştır. https://tr.wikipedia.org/wiki/Kriptografik_ %C3%B6zet_fonksiyonu 7 İngilizce: Hash value Taner KILIÇ'a Ait Telefonun İmajında Yapılan İçerik Araması ve Uzman Görüşü - T. Koray Peksayar Sayfa 6/40 İdeal bir kriptografik özet fonksiyonu şu dört özelliği sağlamalıdır: 1. Herhangi bir mesaj için özet hesaplamak kolay olmalıdır. 2. Bir özete karşılık gelecek mesajı oluşturmak zor olmalıdır. 3. Özeti değişmeyecek şekilde mesajı değiştirmek zor olmalıdır. 4. Aynı özete sahip iki farklı mesaj bulmak zor olmalıdır. Kriptografik özet fonksiyonları, bilgi güvenliği konuları olan sayısal imza, mesaj doğrulama kodu ve diğer doğrulama yöntemlerinde yaygın olarak kullanılmaktadır. Sıradan özet fonksiyonları gibi veriyi komut çizelgesine eşlemede, eşdeğer veri bulmada, dosyaları tekil olarak tanımlamada ve veri bütünlüğü sağlamasında da kullanılır. Bilgi güvenliği konularında kriptografik özet fonksiyonları, terim anlamları farklı olsa da “sayısal parmak izi”, “sağlama”, “özüt değeri” veya “özet değeri” ile benzer anlamlarda kullanılır. 2.6. Özüt Değerinin Dosya veya Mesaj Bütünlüğü Doğrulamada Kullanımı Güvenli özetlerin önemli kullanım alanlarından birisi mesaj bütünlüğü doğrulamasıdır. Bir mesajda veya dosyada değişiklik olup olmadığı, gönderim veya bir başka olaydan önce ve sonra hesaplanan özetlerin karşılaştırılması ile mümkündür. Çoğu sayısal imza algoritması tüm mesaj yerine yalnızca özetin doğrulamasını yapmaktadır. Özetin özgünlüğünün doğru olması mesajın kendisinin özgün olduğunu gösteren yeterli bir kanıt olarak kabul edilmektedir. Adli bilişimde birinci derecede önem arz eden konu delilin değişmezliğidir. Adli bilişim incelemelerinde, değişmezliğin sağlamasının yapılması için sayısal ortamda bulunan dosyaların ve veri depolanan cihazların imaj kopyalarının özüt değerleri çıkarılarak tutanak altına alınır. Kriptografik özet fonksiyonlarının yukarıda anlatılan özellik gereksinimi, birbirinden farklı veri kümelerinin aynı kriptografik özet fonksiyonundan geçirildiğinde farklı özet değerlerinin elde edileceği sonucunu doğurur. Ancak bazı kriptografik özet fonksiyonlarının çalışma şekillerinden dolayı rastlantısal olarak düşük olasılıkta olsa bile, farklı veri kümelerinin aynı özet değerini verdiği durumlarla karşılaşıldığı bilinmektedir. Bu duruma çakışma denilmektedir ve pratik adli bilişim uygulamasında bu durumun bertarafı için en kolay bulunan ve en hızlı çalışan 2 ya da daha fazla kriptografik özet fonksiyonu kullanılarak özüt sonucu not edilir. Kolay kullanımı ve hızlı çalışması kriterlerine uyduğu için en çok kullanılan kriptografik özet fonksiyonları MD5 ve SHA1'dir. 2.7. Sayısal Verilerin Delil Özelliği ve Özüt Değerinin Yasalarımızdaki Yeri Yasalarımızda sayısal verilerin delil özelliğinin korunması ve sağlamasının yapılması konusundaki en önemli madde 5271 sayılı Ceza Muhakemesi Kanunu'nun “Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El koyma” konusunu düzenleyen 134. maddesidir. Bu maddede; “(1) Bir suç dolayısıyla yapılan soruşturmada, başka surette delil elde etme imkânının bulunmaması halinde, Cumhuriyet savcısının istemi üzerine şüphelinin kullandığı bilgisayar ve bilgisayar programları ile bilgisayar kütüklerinde arama yapılmasına, bilgisayar kayıtlarından kopya çıkarılmasına, bu kayıtların çözülerek metin hâline getirilmesine hâkim tarafından karar verilir. (2) Bilgisayar, bilgisayar programları ve bilgisayar kütüklerine şifrenin çözülememesinden dolayı girilememesi veya gizlenmiş bilgilere ulaşılamaması halinde çözümün yapılabilmesi ve gerekli kopyaların alınabilmesi için, bu araç ve gereçlere el konulabilir. Şifrenin çözümünün yapılması ve gerekli kopyaların alınması halinde, el konulan cihazlar gecikme olmaksızın iade edilir. (3) Bilgisayar veya bilgisayar kütüklerine el koyma işlemi sırasında, sistemdeki bütün verilerin yedeklemesi yapılır. Taner KILIÇ'a Ait Telefonun İmajında Yapılan İçerik Araması ve Uzman Görüşü - T. Koray Peksayar Sayfa 7/40 (4) İstemesi halinde, bu yedekten bir kopya çıkarılarak şüpheliye veya vekiline verilir ve bu husus tutanağa geçirilerek imza altına alınır. (5) Bilgisayar veya bilgisayar kütüklerine el koymaksızın da, sistemdeki verilerin tamamının veya bir kısmının kopyası alınabilir. Kopyası alınan veriler kağıda yazdırılarak, bu husus tutanağa kaydedilir ve ilgililer tarafından imza altına alınır.” hükümleri kayıtlıdır. Bu hükümler 25/7/2016 tarihli 668 sayılı “Olağanüstü Hal Kapsamında Alınması Gereken Tedbirler İle Bazı Kurum ve Kuruluşlara Dair Düzenleme Yapılması Hakkında Kanun Hükmünde Kararname”nin 3. maddesinin 1. fıkrasının j bendiyle: “5271 sayılı Kanunun 134 üncü maddesi uyarınca bilgisayarlarda, bilgisayar programlarında ve kütüklerinde yapılacak arama, kopyalama ve elkoyma işlemlerine, gecikmesinde sakınca bulunan hallerde Cumhuriyet savcısı tarafından da karar verilebilir. Bu karar, beş gün içinde görevli hâkimin onayına sunulur. Hâkim, kararını elkoymadan itibaren on gün içinde açıklar; aksi halde elkoyma kendiliğinden kalkar. Kopyalama ve yedekleme işleminin uzun sürecek olması halinde bu araç ve gereçlere elkonulabilir. İşlemlerin tamamlanması üzerine elkonulan cihazlar gecikme olmaksızın iade edilir.” şeklinde ek değişikliğe uğramıştır. 5070 sayılı Elektronik İmza Kanunu'nda da bir sayısal verinin, temin edildiği zamanın ve değişmezliğinin sağlanması için ne gibi önlemler alınması gerektiği, özellikle zaman damgasından bahsedilen bölümlerde yer almaktadır. Elektronik imza, Elektronik İmza[8] Kanunu’nun[9] 3. maddesinde “Başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veri” olarak tanımlanmıştır. Zaman Damgası[10], Elektronik İmza Kanunu’nun 3. maddesinde “Bir elektronik verinin, üretildiği, değiştirildiği, gönderildiği, alındığı ve/veya kaydedildiği zamanın tespit edilmesi amacıyla, elektronik sertifika hizmet sağlayıcısı tarafından elektronik imzayla doğrulanan kayıt” olarak tanımlanmıştır. Zaman damgası elektronik ortamda her türlü belge ve sözleşme gibi önemli elektronik verilerin, belirli bir zamandan önce var olduğunu kanıtlamak için kullanılır. 3. IMEI[11] Numaraları Hakkında U l u slararası Mobil Cihaz Kimliği 3GPP standart ailesine[12] üye şebekelerde kullanılan telefonlar, iDEN standardına sahip şebekelerde kullanılan telefonlar ve bir kısım uydu telefonlarını tanımlamak için kullanılan eşsiz sayıdır. Genellikle telefonun pil bölmesinde basılı etikette yazılı olarak bulunur ve telefonların çoğunda “*#06#” tuş kombinasyonu veya akıllı telefon işletim sistemindeki ayarlar menüsündeki ilgili bölümüne girilerek ekranda görüntülenebilir. IMEI yalnızca cihazı tanımlamak için kullanılır ve abone ile kalıcı veya yarı-kalıcı bir ilişkisi yoktur. Bunun yerine abone, herhangi bir mobil cihaza aktarılabilen bir SIM kartında saklanan bir IMSI[13] numarasının iletilmesi ile tanımlanır. Bununla birlikte, bir abone tarafından kullanılan mevcut aygıtı bilerek birçok ağ ve güvenlik özelliği etkinleştirilmiştir. 8 E-imza Portalı http://www.e-imza.gen.tr/ 9 5070 Sayılı Elektonik İmza Kanunu http://www.tbmm.gov.tr/kanunlar/k5070.html 10 Hoşgeldin Zaman Damgası (Makale) http://www.e-imza.gen.tr/index.php?Page=KoseYazisi&YaziNo=30&YazarNo=31 11 Uluslararası Mobil Cihaz Kimliği 12 GSM, UMTS ve LTE 13 Uluslararası mobil abone kimliği (International Mobile Subscriber Identity) Taner KILIÇ'a Ait Telefonun İmajında Yapılan İçerik Araması ve Uzman Görüşü - T. Koray Peksayar Sayfa 8/40 3.1. IMEI ve Yasalar Birçok ülke IMEI'nin cep telefonu hırsızlığından kaynaklı etkileri azaltmada kullanılmasını kabul etmiştir. Örneğin; Birleşik Krallık'ta, “Cep Telefonlarının Yeniden Programlanması Yasası” uyarınca, bir telefonun IMEI'sini değiştirmek veya onu değiştirebilecek donanıma sahip olmak, bazı durumlarda suç olarak değerlendirilmektedir. IMEI engelleme, telefon hırsızlığıyla mücadelede tek yaklaşım değildir. Örneğin; Singapur'daki mobil operatörler, yasa uygulayıcı tarafından IMEI tabanlı veya diğer yöntemle telefon engelleme veya izleme sistemlerini uygulamakla yükümlü değildir. Yasa uygulayıcı, Singapur'daki mobil pazar bağlamında bu tür bir sistemin gerçek etkililiği konusunda şüphelerini dile en başta ortaya koymuştur. Bunun yerine, mobil operatörlerin, servisin derhal askıya alınması ve kaybolma veya çalınma durumunda SIM kartların değiştirilmesi gibi önlemleri alması önerilir. Bazı yasa uygulayıcılar arasında, bir GSM terminali için resmi olarak tahsis edilmiş bir IMEI numarası aralığının varlığının terminalin onaylanmış veya düzenleyici gerekliliklere uygun olduğuna işaret eden bir yanlış anlam bulunmaktadır. Düzenleyici onay ve IMEI tahsisi arasındaki bağlantı Avrupa R&TTE Direktifinin getirilmesi ile birlikte Nisan 2000'de kaldırılmıştır. O tarihten bu yana, IMEI'ler onay için kanıt sağlamaya gerek duymadan GSM terminal üreticilerine atanmak üzere GSM Birliği adına hareket eden bölgesel yönetim kurumları tarafından tahsis edilmektedir. Bir hedef mobil cihaz yasal müdahale[14] için IMEI numarası yanında IMSI ve MSISDN[15] ile de belirtilebilir. 3.2. IMEI ve Çalınan Cihaz Kara Listeleri Mobil cihaz çalındığında veya kaybolduğunda, sahibi operatörün cihazı şebekeden engellenmesi talebi ile kendi yerel operatörüyle bağlantı kurabilir ve operatörün, yetkili mahkemede yasalarca öngörülmüş olması halinde bunu yapması beklenebilir. Yerel operatör bir Cihaz Kimliği Kayıt Defteri'ne (EIR) sahipse cihaz IMEI'sini bu kayıt defterine kaydedebilirse bunu isteğe bağlı olarak Merkezi Cihaz Kimliği Kayıt Defteri (CEIR) gibi diğer operatörlerle paylaşılan kayıtlara iletebilir Bu kara liste uygulamasıyla CEIR kullanan herhangi bir operatörde cihaz kullanılamaz hale gelir, aksi takdirde mobil cihazların çalınmasında bu uygulama çalışmaz. CEIR kara listesini etkili olarak çalışabilmesi için IMEI numarasının değiştirilmesinin kolay olmamalıdır. Ancak durum her zaman böyle değildir. Bir telefonun IMEI numarası özel araçlar ile kolayca değiştirilebilir. Buna ek olarak, IMEI kimliği doğrulanmamış bir mobil tanımlayıcıdır[16] Sahte IMEI numaralarının kullanılması, mobil cihazları takip etmek veya yasalara uygun müdahale amacıyla hedeflemek için tüm olanakları engelleyebilir. 3.3. IMEI ve IMEISV Yapıları[17] I M EI[18] veya IMEISV[19], cihazın menşeyi, modeli ve seri numarası hakkında bilgi içerir. IMEI/SV'nin yapısı 3GPP TS 23.003'te[20] belirtilmiştir. Model ve kaynak IMEI/SV'nin ilk 8 haneli bölümünü içerir. Bu bölüm Tip Tahsis Kodu[21] olarak da bilinir. IMEI'nin geri kalan kısmı üreticinin tanımladığı numara ve sonrasında dizinin en sonunda bir Luhn kontrol rakamına sahiptir. 14 Yer belirleme, telefon dinleme gibi 15 Telefon numarası. 905051234567 formatında (Mobile Station International Subscriber Directory Number) 16 IMSI'nin aksine, yerel olarak ve mobil şebeke tarafından doğrulanır. 17 http://www.gsma.com/newsroom/wp-content/uploads/2012/06/ts0660tacallocationprocessapproved.pdf 18 15 ondalık basamak: 14 basamak artı bir kontrol basamağı 19 16 basamak 20 GSM 02.16 / 3GPP 22.016 standardı: http://www.qtc.jp/3GPP/Specs/22016-330.pdf 21 TAC: Tip Tahsis Kodu (Type Approval Code) Taner KILIÇ'a Ait Telefonun İmajında Yapılan İçerik Araması ve Uzman Görüşü - T. Koray Peksayar Sayfa 9/40 2004 yılında IMEI numarası standardı “AA-BBBBBB-CCCCCC-D” olacak şekilde biçimlenmiştir. IMEISV numaralarında ise Luhn kontrol numarası, Yazılım Sürüm Numarası (SVN) için ek iki basamak yerine “AA-BBBBBB-CCCCCC-EE” biçiminde görülür. AA - BB BB BB - CC CC CC D / EE Eski IMEI TAC FAC (İsteğe bağlı) Luhn kontrol numarası Yeni IMEI TAC Seri numarası Eski IMEISV TAC FAC Yazılım Sürüm Numarası (SVN). Yeni IMEISV TAC 2002'den önce, TAC 6 basamak uzunluğunda olduğu bilinmektedir. TAC'i 2 basamaklı Son Üretim Kodu (FAC) izlemektedir. Bu kod, cihazın üretim yerini belirten üreticiye özel bir koddur. 1 Ocak 2003'ten 1 Nisan 2004'e kadar, tüm cihazlar için FAC 00'dır. 1 Nisan 2004'ten sonra, Son Üretim Kodu IMEI numarasından çıkarılmıştır ve TAC 8 basamak uzunluğa çıkmıştır. Örneğin, eski tip IMEI kodu 35-209900-176148-1 veya IMEISV kodu 35-209900-176148-23 bize aşağıdakileri anlatmaktadır: TAC 35-2099 BABT tarafından verilen kod (35) ve tahsis numarası 2099 FAC 00 Cihaz FAC kodları kullanımdan kaldırılan geçiş döneminde üretilmiştir. SNR 176148 Cihazın seri numarası CD 1 Cihaz GSM Faz 2 ile uyumlu veya daha yeni bir cihazdır SVN 23 Cihaz üzerinde kurulu yazılımın sürüm numarası. 99 numarası özel kullanım içindir. Yeni tip IMEI kodu 49-015420-323751, 8 haneli 49-015420 TAC değerine sahiptir. Yeni CDMA Mobil Cihaz Tanımlayıcısı[22] de IMEI ile aynı temel biçimi kullanmaktadır. 3.4. Kontrol Numarasının Hesaplanması IMEI'nin son hanesi, IMEI Tahsis ve Onay Kuralları'nda tanımlanan Luhn algoritması kullanılarak hesaplanan bir kontrol basamağıdır. Kontrol Numarası Luhn formülüne[23] göre hesaplanır.[24] Kontrol Numarası, IMEI'deki diğer tüm rakamların bir fonksiyonudur. Mobil cihazın Yazılım Sürüm Numarası (SVN) bu hesaplamaya dahil değildir. Kontrol Numarasının kullanılmasıyla, CEIR ve EIR ekipmanına yanlış giriş olasılığına karşı koruma sağlanmaktır. Kontrol Numarasının cihazın etiket ve ambalajı üzerinde basılı ve elektronik halde sunumu çok önemlidir. Barkod okuyucu kullanılarak yapılan taşıma ve lojistik işlemleri ve EIR/CEIR yönetimi paketin dışında ve ME IMEI/Tip Akreditasyon etiketinde basılı olmadığı sürece, kontrol numarasını kullanamazlar. Kontrol Numarası şebekeye iletilmez ve EIR veritabanında herhangi bir noktada depolanmaz. Bu nedenle, bir IMEI'nin son 3 veya 6 hanesine yapılan tüm referanslar, kontrol hanesinin yer almadığı IMEI numarasını belirtir. Kontrol numarası üç adımda doğrulanır: 1. Sağdan başlayarak son hane hariç (Kontrol Numarası hariç) birer atlayarak her basamak 2'yle çarpılır (örn. 2x7 = 14). 2. Elde edilen sayılar toplanır (örneğin, 14 -> 1+4 = 5) 3. Toplamın 10 ile bölünebilir olup olmadığını kontrol edilir. 22 MEID 23 ISO/IEC 7812 standardıyla tanımlanan 24 Ayrıca bakınız: GSM 02.16 / 3GPP 22.016 standardı: http://www.qtc.jp/3GPP/Specs/22016-330.pdf Taner KILIÇ'a Ait Telefonun İmajında Yapılan İçerik Araması ve Uzman Görüşü - T. Koray Peksayar Sayfa 10/40