View
4
Download
0
Category
Preview:
Citation preview
ĠSTANBUL 16 NOLU CEZA MAHKEMESĠ BAġKANLIĞI’NA
Dosya No :2011/14 Esas Ġddianame No:2011/425
Sanık :Hanefi AVCI
Konu : Davaya Dosyasında Bulunan Dijital Word
dosyaları hakkında Tubitak da çalıĢan uzmanların verdiği raporlar hakkında
hazırladığım savunmam yerine geçerli sununum
Tubitak asıl ve ek raporları hakkında hazırladığım 103 sayfalık sunum
çıktıları ve bir adet CD ekte sunulmuĢtur. Arz ederim 27.12.2012
Hanefi AVCI
• Sanık
Odatv davasındaki dosyaların hukuki durumu
• Ġddia: Bu dosyalar suçun delilidir
• Savunmamız; Bu dosyalar bize yapılan iftiranın
delilidir
• Eğer iddia doğru olsa idi bu dosyaların benzerleri en
azında sanıklardan Soner YALÇIN, Prof.Dr Yalçın
KÜÇÜK, BarıĢ TERKOĞLU, Doğan YURDAKUL vd
.. Sanıklarda da olması gerekirdi
• Savunmaya göre; Bilgisayar saldırısı var ise
saldırıya uğrayan Soner YALÇIN, BarıĢ TERKOĞLU
bilgisayarlarında da bu dosyalardan olması gerekirdi
Davadaki Ģüpheli dosyalarla ilgili inceleme yapan
TÜBĠTAK’da görevli bilirkiĢilerin yaptığı tespitler
• Raporun her dosya ile ilgili kısmında
• Nedim.doc ile ilgili 47,
• Yalcın hoca.doc ile ilgili 179,
• Hanefi.doc ile ilgili 199. sayfada
• .. vb benzeri her dosya ile ilgili yaptığı tekrarlanan tespitlerde,
• “ Dosyanın ilgili bilgisayar kullanıcısı tarafından oluĢturulmadığı veya değiĢtirilmediği değerlendirilmektedir.”
• “ ĠĢletim sistemi izlerinin incelenmesi sonucunda dosyanın kullanıcı tarafından açıldığına dair bir bulguya rastlanılmamıĢtır. “
Davadaki Ģüpheli dosyalarla ilgili inceleme yapan
TUBĠTAK’da görevli bilirkiĢilerin yaptığı tespitler
• Raporun sonuç bölümü 292. sayfa son paragrafta genel tespiti aynısı ile
• “Ek-1 de listelenen dosyalardan SY.doc ve prj_60.doc dosyaları
dışındakilerin ilgili bilgisayarlarda oluşturulduğuna veya
değiştirildiğine dair bir bulguya rastlanmamıştır. .. bilgisayar
kullanıcıları tarafından açıldıklarına dair kuvvetli bir bulgu olmadığı
tespit edilmiştir. “ denmektedir.
• Bu tespitleri açarak maddeleĢtirir isek
1. Bu dosyalar bulundukları bilgisayarlarda ( Odatv ) değil, hepsi baĢka
bilgisayarlarda yazılıp sonra buraya taĢınmıĢtır,
2. Bu dosyalar üzerinde Odatv bilgisayarlarında hiç düzeltme iĢlemi
yapılmamıĢtır ( baĢka yerde onlarca düzeltme yapılmıĢtır)
3. Bu dosyalar üzerinde odatv bilgisayarlarında ki kullanıcılar tarafında
açılıp okunduğu veya baĢka iĢlem yapıldığına dair bulgu elde
edilememiĢtir.
(SY.doc ve prj_60.doc ayrıca ilerde bilgi verilecektir)
BaĢarılı Bilgisayar Saldırısı için ġartlar Rapor 292.
• “..Dosyaları ilgili bilgisayara koyabilmek için;”
• İlgili bilgisayar kullanıcısını özel olarak hedef almış olan bir sosyal
mühendislik saldırısının düzenlenmesinin,
• Bu saldırı ile uzaktan kontrol ve dosya atma özelliği olan bir zararlı
yazılımın gönderilmesinin,
• Gönderilen bu zararlı yazılımın kurban bilgisayarda başarılı bir
şekilde çalışmasının,
• Gerekli olduğu belirtilmektedir. Yani bu üç husus yapılmış ise
şüpheli dosyalar bilgisayarlara konabilir demektedir. ..
TÜBĠTAK’da görevli bilirkiĢilerin düzenlediği ilk raporun
sonuç bölümünde genel kanaat özetlenirken
• 292. sayfa 3. paragraf son cümle aynısı ile
• “ .. Bu inceleme sonucunda, uzakta dosya atma özelliğine sahip ve ilgili bilgisayar kullanıcılarını hedef almıĢ olan zararlı yazılımların çalıĢmıĢ olduğu kanısına varılmıĢtır. “
• 293. sayfa son paragraf son cümle aynısı ile
• “.. Hedefli zararlı yazılım gönderme saldırısının zamanlaması, Delil 3 bilgisayarındaki dosyaların zararlı yazılım vasıtasıyla gönderilmiş olma ihtimalini güçlendirmektedir. Delil 1 ve Delil 2 bilgisayarlarında özel hedefli sosyal mühendislik saldırısı ile gönderilen uzakta dosya atma özelliği bulunan zararlı yazılımların çalışmış olduğu tespit edilmiştir ve Ek- 1 dosya listesindeki dosyalar üzerinde ilgili bilgisayar kullanıcıları tarafından bir işlem gerçekleştirildiğine dair tatmin edici izlere rastlanmamıştır .. bu dosyaların zararlı yazılımlar vasıtasıyla geldiğine veya gelmediğine dair kesin bir yargıya varılmamıştır.” Denmektedir.
Dosyaların hukuki durumu • 1- Bilgisayarlara Ģüpheli dosyaları dıĢarıdan kötü niyetle
koymak için gereken tüm Ģartlar sağlayan bir bilgisayar saldırısı kesin olarak yapılmıĢ olduğu teknik olarak tespit edilmiĢtir.
• 2- Odatv bilgisayarlarındaki Ģüpheli dosyalar üzerinde yazma, düzeltme, okuma gibi bir iĢlemin bu bilgisayarları kullananlar tarafında yapılmamıĢtır,
• 3- Ancak bu tespitlere rağmen bu dosyaların zararlı yazılımla gönderildiğini veya gönderilmediği kesin olarak ifade edilemez demektedir.
• Aslında kesin ifade edecek teknik tesbitler yapılmıĢtır. Ancak bu tür olaylarda kanaat belirtmek için sadece teknik tespitler yeterli değildir teknik tespitler diğer hususlarla birlikte değerlendirildiğinde makul kanaate varılabilir
• Bizim olayımıza bu açıdan bakarsak .
Teknik veriler, ancak dosyadaki diğer verilerle
birlikte değerlendirildiğinde kanaat edinilir
• Nasıl bir bilgisayar saldırısı olmuĢtur
• Bilgisayarlara yapılan Saldırı türleri
1. Amaçlı ama Hedefsiz; Herkese gönderilip kim
oltaya kim takılırsa bir virüs herkese gönderilir
kim saf olup cevap verirse
2. Belli bir kiĢi- kurum hedefli saldırı direk bir
kiĢiye yönelik direk bir saldırı belli kiĢiye direk
virüs gönderilir
3. Hedefli sosyal mühendislik çalıĢması sonucu
saldırısı
Saldırlar öncesi sosyal mühendislik çalıĢması ne demektir
• Hedef kiĢiyi teknik zafiyetten çok aldatmaya yönelik yöntemler
kullanılarak sistemlerin ele geçirilmesi yöntemlerine denir
• Bunun için hedefin iĢi, ilgi sahası, mesleği, yaĢam biçimi, sık
iliĢkide olduğu çevreler vs araĢtırılarak sosyal iliĢki çevresi
belirlenerek
• Hedefin garip karĢılamayacağı, dikkatini çekmeyeceği,
sıradan her zaman benzerlerini aldığı sosyal çevresinden
geliyor gibi kabul edeceği sahte göndericiler yaratıp onlardan
geliyor gibi gözüken mesaj vs ile saldırının planlanması
faaliyetlerine sosyal mühendislik çalıĢması denir.
• Örneğin bir doktora ilaç firmalarından sık sık gelen ilaç tanıtıcı mesaj gibi
gözüken sahte bir mesaj eki dosya ile saldırı yapmak için yapılan
çalıĢmalar gibi
Uzaktan bilgisayar kontrolü
• Büyük sistemlerde teknik elemanlar her yeri dolaĢmadan tek merkezden bilgisayarlara uzaktan eriĢerek Yeni Program yükleme, tamir bakım, ayar vs yaparlar bunun için kullanılan yazılımlar yüklenir ve ayarlar yapılır
• KiĢiler arası haberleĢmede karĢılıklı bağlantı ve belli iĢlemleri yapma dosya kaynak paylaĢma için sınırlı kontrol veren yazılımlar
• Kötü niyetli kiĢiler bu amaçla olan yazılımları kendileri değiĢtirerek bilgisayarların kontrol ve denetimini ele geçirip uzaktan o bilgisayar üzerinde iĢlem yapar veya o bilgisayara iĢlem yaptırır
Uzaktan bilgisayar kontrolü ile ne yapılabilir
• Kullanıcısının yapacağı her Ģey yapılabilir
• Dosyalar silinebilir, değiĢtirilebilir, yeni dosyalar yüklenebilir, dosyaların tüm bilgileri değiĢtirilebilir
• Sistemin ayarları değiĢtirilerek bilgisayarların baĢka türlü çalıĢması sağlanabilir
• Bilgisayarlarda belli programlar çalıĢtırılabilir
• Bilgisayarın kamerası açılıp seyredilebilir
• Bilgisayarın mikrofonu varsa açılıp dinleme yapılabilir
• Bilgisayarın anlık ekran görüntüleri alınabilir
• Yazılımla Kullanıcısının yapabileceği her Ģey yapılabilir.
Odatv Bilgisayarlarına nasıl saldırı yapılmıĢtır
• sıradan bir saldırı değildir geniĢ imkanlara sahip bir grubun sosyal mühendislik çalıĢması sonrası yapılan tespitlere göre yaptığı çok sofistike bir saldırıdır.
• Saldırganlar önce ciddi bir hazırlık yapmıĢlardır bunun için hedeflerin kullandığı
• sonery@hurriyet.com.tr, sonery@odatv.com, barısp@odatv.com, barıst@odatv.com, info@odatv.com,
• muyesseryıldız@yahoo.com ve muyesserugur@mynt.comisimli e-posta adreslerini tespit etmiĢler,
• Sonra sosyal mühendislik çalıĢmaları sonunda onların sık mesaj aldığı çevrelerin e-postalarına benzer
• kemalizm1919@yahoo.com, dhayuırt@dha.com.tr, basınbirimi@chp.org.tr disk@disk.org.tr, info@leman.com.trgibi hedeflerin dikkatini çekmeyeceği, daha öncede sık e-posta aldıkları adresler zannedilen asıllarından kolay fark edilemeyecek sahte e-posta kutuları temin etmiĢlerdir..
saldırı öncesi yapılan hazırlıklar• Sonra virüs-trojan gibi zararlı yazılım içeren mesajlar
gönderdiklerinde dönüĢ e-posta adresi olarak jangomail sitesinde
• winnerr5@jangomail.com, winnerr51@jangomail.com, winnerr7@jangomail.com, isimli e-postaları almıĢlar,
• Sonra bilgisayarları uzakta kontrol etmek için Torkojan- RAT ve Bandook-RAT denen ( RAT= Remote Administration Tool= uzaktan kontrol etme yazılımı)
• Sonra kullanıcıların dikkati çekmeyip her gün karĢılaĢtıkları türden mesaj eki zannedecekleri Atatürk_Ekrankoruma.scr, Duyuru.pdf, AKP_oncesi-sonrası.pdf, AKPkarikaturleri.zıp, RssReader2.1.zıp haber izleme yazılımı vs gibi mesaj ekler içerisine gizleme iĢlemlerini yapmıĢlar
• Yazılım firmalarının güncelleme sitelerine benzeyen ABD de internet üzerinde dosya yükleme için driver.myftp.org, antivirus.myftp.org ve adobupdate.serveftp vb isimlerde web sayfaları temin etmiĢlerdir.
Saldırı safhaları
• Bu sahtelerin asıllar aslında çok
benzememekle birlikte faklıdır
• CHP e-postalar aslında farklı yapıdadır …
• Disk e-postaları bunlardan aslında farklıdır
• kemalizim1919@googlegroups.com değil
• kemalizim1919@groups.google.com vb dir
• ABD sitelerden adobupdate.serveftp
değil resmi adobe sitesi Adobe Updates
bir haf değiĢtirilerek aldatıcı hale gelmiĢtir.
Tubitak asıl rapor 230. sayfa tüm saldırılar 1. ekran
Tubitak asıl rapor 230. sayfa tüm saldırılar 2. ekran
Ek rapor 25. sayfa Delil 1 de soner@odatv, barip@odatv, barist@odatv ve
info@odatv gelen e-postalarına tek BarıĢ Pehlivanın baktığı anlaĢılıyor
Ek rapor 26. sayfa Delil 1 soner@odatv, barip@odatv, barist@odatv ve
info@odatv ye gelen e-postalara BarıĢ PEHLĠVAN’ın baktığının ispatı birinci
mesaj barist@odatv ve soner@odatv ikinci mesaj info@odatv ait
Ek rapor 28 sayfa delil 2 de BarıĢ PEHLĠVAN ev
bilgisayarında Outlook ekranı birden çok e-postaya ayarlı
Ek rapor 29. sayfa Delil 2 de barist@odatv BarıĢ TERKOĞLU’na, gelen e-
postalara da baĢarısız olan saldırı virüsü
Ek rapor 30. sayfa Delil 2 de barist@odatv BarıĢ TERKOĞLU’na, gelen
e-postalara da baĢarılı olan saldırı virüsü görülüyor
Delil 1 Ek Rapor 52 Sayfa Tablo 11 saldırılar, virüs ve ABD dosya
yükleme siteleri ekranı 1. ekran
Delil 1 için Ek Rapor 52-53 Sayfa Tablo 11 saldırılar, virüs ve ABD dosya
yükleme siteleri ekranı 2. ekran
Ek rapor 30 sayfa delil 2 barisp@odatv BarıĢ Pehlivana yönelik saldırı e-
postaları sayfa 1
Ek rapor 30 sayfa Delil 2 barisp@odatv BarıĢ Pehlivan’a yönelik saldırı
e-postaları sayfa 2
Ek rapor 27. sayfa Truva atının Delil 2 ye, 4 defa yüklendiğini (Duyuru(2)
ve Duyuru(3) ekinin) gösteren ekran sayfa 1
Ek rapor 28. sayfa Truva atının Delil 2 ye 4 defa yüklendiğini (Duyuru(4))
gösteren ekran sayfa 2.
Rapor 332. sayfa Truva atının Delil 2 ye 4 defa yüklendiğini imaj
üzerinde (Duyuru(4)) gösteren ekran
Rapor 333. sayfa Truva atının Delil 2 ye 4 defa yüklendiğini imaja
güncel Antivirüs uygulaması sonucu Duyuru(4) gösteren ekran 1
Rapor 333. sayfa Truva atının Delil 2 ye 4 defa yüklendiğini Güncel
Antivirüs uygulaması sonucu Duyuru(4) gösteren ekran 2
Delil 3 de Virüs Trojan varlığı sayfa 34 ekran 1
Delil 3 de Virüs Trojan varlığı sayfa 38 ekran 2
Delil 3 de Virüs Trojan varlığı sayfa 39 ekran 3
Delil 3 de Virüs Trojan varlığı sayfa 41 ekran 4
Delil 1 de virüs Trojan çalıĢması ekran 1
Delil 1 de virüs Trojan çalıĢması ekran 2
Delil 1 de virüs Trojan çalıĢması ekran 3
Delil 3 deki trojan çalıĢması Tubitak rapor sayfa 248
Delil 3 deki trojan çalıĢması Tubitak rapor sayfa 248
Delil 1 gelen saldırı e-postalarının güvenlik ve anti virüs
uyarıları ekran 2 Ek rapor sayfa 40 sonu, 41 baĢı
Delil 1 gelen saldırı e-postalarının güvenlik ve anti virüs
uyarıları ekran 2 Ek rapor sayfa 40 sonu, 41 baĢı
Delil 2 gelen saldırı e-postalarının güvenlik ve anti virüs yazılıları
uyarıları ekranı sayfa Ek rapor sayfa 41
Delil 3 gelen saldırı e-postalarının güvenlik ve anti virüs yazılımı
uyarıları ekran Ek rapor sayfa 41
Delil 1 Ek Rapor 52 Sayfa Tablo 11 saldırılar, virüs ve ABD dosya
yükleme siteleri ekranı 1. ekran
Delil 1 için Ek Rapor 52-53 Sayfa Tablo 11 saldırılar, virüs ve ABD dosya
yükleme siteleri ekranı 2. ekran
Delil 1 BaĢarılı saldırının GerçekleĢtiği ispatı Tübitak rapor
233 sayfa
Delil 3 de bulunan dosyaların durumu rapor sayfa 272
Delil 3 de bulunan dosyaların durumu sayfa 293
Delil 3 de bulunan dosyaların durumu sayfa ek
rapor 23
Delil 3 içeriğine göre manası
• Delil 3 de bulunan Hanefi.doc, Yalcın hoca.doc, SY.doc ve Uusal Medya 2010.doc isimli 4 dosya bulunmuĢtur. Hem TUBĠTAK'da görevli bilirkiĢilerin hazırladığı hem de ODTU raporunda kesin verilere göre bu dosyalar müyesser YILDIZ’ın bilgisayarına 14.02.2011 günü saat 07:30:27 gelmiĢ ancak aynı gün bu dosyaların tarihlerine müdahale edilerek
• Hanefi.doc 17.08.2010 09:51:12
• SY.doc 01.08.2010 17:35:12
• Yalcın hoca.doc 09.09.2010 12:21:22
• Ulusal medya 2010.doc 04.10.2010 14:41:51
• Tarihinde geldi Ģeklinde gösterildiği kesin olarak tespit edilmiĢtir.
• Ancak dosyaların gerçek geldiği/ gönderildiği 14.02.2011 tarihi ODATV operasyonun ilk baĢladığı gün olup ODATV merkezine ve Soner YALÇIN ile diğer çalıĢanların evlerine baskın yapılıp hepsinin gözaltına alındıkları tarihtir.
• Yani bu tarihte ne Soner YALÇIN nede ODATV de çalıĢan bu dosyayı gönderme ve aynı gün tarihlerini değiĢtirme Ģansları fiilen yoktur, Çünkü kendileri o gün sabah 07:00 de gözaltına alınmıĢlar ve iĢ yerinde ve evlerinde bulunan tüm bilgisayarlara dijital araçlarına el konmuĢtur. Ġsteseler de gönderemezler.
• Müyesser YILDIZ Soner Yalçın ve ODATV çalıĢanlarının gözaltına alındığı 14.02.2011 tarihinden 18 gün sonra 03.03.2011 tarihinde gözaltına alınmıĢtır
• Soner ve arkadaĢlarıyla böyle bir irtibatı olsa o dosyaları o gün bilgisayara yüklemek değil var ise silmesi yok etmesi gerekir idi,
• 14.02.2011 günü gelmiĢ /yüklenmiĢ ancak aynı gün tarihleri değiĢtirilerek 2010 yılında gelmiĢ gösterilmiĢtir.
• Ancak bu tarih değiĢikliklerinin manası nedir bu tarihleri içerikleri ile birlikte değerlendirdiğimizde iĢin sırrı aydınlanacaktır. Ġlk dosya:
Delil 3 deki Hanefi.doc ilk tanzim edilen
rapor K-43 dizin 422
Hanefi.doc içeriğine göre tarihlerin yorumu•
• Hanefi.doc dosyası içeriğine baktığımızda ise “Ağustos 2010 tarihinde piyasaya çıkan Haliçte YaĢayan Simonlar Dün Devlet Bugün Cemaat isimli kitabımın yazılması öncesi Ergenekon, Balyoz vs davalarda yargılanan kiĢilerin kitap da yer almasını istedikleri konular içerdiği ve Soner Yalçın tarafından yazıldığı kitabın yazım aĢamasında kullanılmak üzere hazırlandığı” izlenimini vermeye çalıĢtığı görülmektedir. Hanefi.doc Dosyası içerisinde
• “ Hanefi’nin Kitabı ne durumda, referandum öncesi yetiĢtirmeli ..
• … Sabih üstat da Ġlhan Cihaner olayı kitapta muhakkak iĢlenmeli … diyor
• … Doğu Hanefi’nin ağzından Ergenekon’un boĢ bir dava .. anlatılması ..
• … Çetin DOĞAN’ın verdiği bilgiler muhakkak kitapta yer almalı … “
• Gibi güya Haliçte YaĢayan Simonlar isimli kitabımdaki bazı konuları Ergenekon, Balyoz gibi davalarda yargılanan veya bu kiĢilerle irtibatlı gözüken çevrelerin istedikleri üzerine kitapta yer aldığı ima edilmektedir. ..
Hanefi.doc içeriğine göre tarihlerin yorumu
• Bu dosyadan dolayı Müyesser YILDIZ’a Emniyet ve Savcılık ifadelerinde “evinizde bulunan dijital verilerden” diyerek baĢlayan sorulan üç soruda
• … Kitabın yazımına ne tür katkınız oldu ..
• … 03.09 tarihli görüĢmede Hanefi AVCI’ya hangi mesajları ilettiniz
• … Hanefi AVCI ile ilgilenmeye devam etsin .. gibi soruları sorulmuĢtur.
•
• Dava iddianamesi 124. sayfada bu konuyla ilgili olarak Müyesser YILDIZ’a aynısı ile “Tüm bu dokümanlar birlikte değerlendirildiğinde; şüpheli Müyesser Uğur’un ifadesinde konuyla ilgili Hanefi Avcı’nın “Haliçte Yaşayan Simonlar Dün Devlet Bugün Cemaat” isimli kitabından, kitap yayınlandıktan sonra haberinin olduğu, Hanefi Avcı ile kitap hakkında röportaj yapmak maksatlı görüştüğü şeklindeki beyanlarının gerçeği yansıtmadığı, Hanefi Avcı’nın kitabından, kitap yayınlanmadan çok öncesinde bilgisi olduğu, Hanefi Avcı ile görüşmesinin ise Soner Yalçın’nın talimatları doğrultusunda olduğu açıkça anlaşılmaktadır. “ Ģeklinde suçlamalar yapıldığı görülmektedir.
Hanefi.doc içeriğine göre tarihlerin yorumu
• Tubitak’da görevli bilirkiĢilerin ve ODTU raporuna göre kesin olarak Bu dosya Müyesser YILDIZ bilgisayarına 14.02.2011 de 07:30:27 zamanında gelmiĢ daha sonra 14.02.2011 de 18:36:29 zamanında ise oluĢturma, değiĢtirme ve eriĢim zamanları değiĢtirilerek 17.07.2010 da geldi gösterilmiĢtir.
• Kitap Ağustos 2010 tarihinde yayınlandığına göre 6 ay önce yayınlanmıĢ bir kitabın içeriği Ģöyle olsun, böyle olsun Ģeklindeki tavsiyelerin kitabın yayınından aylar sonra ( 14.02.2011 ) gönderilmesi gerçek amacı buysa manasız bir iĢlemdir.
• Eğer bu dosya gerçekten 14.07.2010 tarihinde Müyesser YILDIZ bilgisayarına gelmiĢ olsa idi yukarıdaki gibi Hanefi AVCI, Müyesser YILDIZ Soner YALÇIN arasında sanki kitabın yazılmasıyla ilgili bir çalıĢma var gibi görülür hatta örgütsel faaliyetin delili vs Ģeklinde yoruma uygun olabilirdi,
• Ancak Bu dosyanın kesin geliĢ tarihi 14.02.2011 07:30:27 olmasına rağmen aynı gün tarihi değiĢtirilerek Sanki 17 Temmuz 2010 tarihinde Müyesser YILDIZ’A gelmiĢ ġekline dönüĢtürülür ve emniyet bilirkiĢilerince bu tarih te gelmiĢ gibi rapor tanzim edilirse o zaman; Müyesser YILDIZ, Soner YALÇIN, Hanefi AVCI arasında örgütsel faaliyetin varlığı ile ilgili, iftiranın delili olur. Birilerinin böyle bir iftirayı çok ustaca hazırladığı kesin olarak ortaya çıkmıĢ olur. ġuanda ortay çıkan ve inkar edilemez biçimde teknik olarak ispatlanan da budur.
Hanefi.doc içeriğine göre tarihlerin yorumu
• Ancak bu durum cevaplanması gereken soruları çok arttırmaktadır.
• Bu dosyayı Müyesser YILDIZ’a Soner Yalçın veya ODATV çalıĢanlar göndermediği/gönderemeyeceğine göre, Bu dosyayı kimler göndermiĢtir, demek ki bu dosya aslında 3. kiĢilerce üretilmiĢtir.
• Aynı Ģekilde TUBĠTAK'da görevli bilirkiĢilerin ve onu teyit eden ODTU teknik raporları kesin olarak belirtildiği üzere Hanefi.doc dosyası gibi yine Müyesser YILDIZ’ın bilgisayarında bulunan benzeri içerikte bir örgütsel faaliyetin varlığını Ağustos 2010 tarihinde olduğu havasını vermeye çalıĢan Sy.doc, Ulusal Medya.doc, Yalcın hoca.doc dosyaları Ġftira amaçlı olarak 14.02.1011 de ODATV operasyonun baĢladığı tarihte gönderilmiĢ ve gönderme sonrası tekrar eriĢilerek üst verilerinin tarihleri benzeri Ģekilde değiĢtirilerek sanki eski tarihte gönderilmiĢ gibi gösterilmeye çalıĢılmıĢtır.
• Aynı iĢlemler bu dosyalar için de yapılmıĢtır. Aynı dosyalar ODATV bilgisayarların da aynı içerik ve benzeri üst verilerle bulunmaktadır.
• Diğer SY.doc ve Yalçın hoca.doc durum
• Yalcinhoca.doc’un zararlı yazılımla Delil3’e
yüklendiği raporda nettir.
• Ġddianamenin 125. sayfasının 4 ve 5.
paragrafında Yalcin.doc dosyasının Soner
tarafından gönderildiği ve Müyesser’in
değiĢtirildiği söylenmekte, değiĢtirenin
“user” isimli delil3 kullanıcısı olduğu
söylenerek Müyesser Yıldız’ın değiĢtirdiği
iddia edilmektedir.
• Demek ki zararlı yazılımı gönderenler
dosyaları gönderirken “Soner yazdı
Müyesser değiĢtirdi” izlenimi vermek
istemiĢtir.
• Çünkü 14 ġubat 2011 günü Müyesser’e
gelen bu dosya raporda görüldüğü gibi hiç
iĢlem görmemiĢtir. AçılmamıĢ ve
değiĢtirilmemiĢtir. Bu kesin bir tespittir.
Sahteciliği göstermektedir.
Yalcın hoca.doc dosyası Delil 1 de sayfa 178-179 ve delil 3 de sayfa 180-181
özellikleri cetveli Revizyon no 17 ve 16
SY.doc Delil 1 de sayfa 187-188
SY.doc Delil 3 de ancak karakter sayısı dosya büyüklüğü
farklı ama revizyon aynı gözüküyor
Sy.doc Delil 1 ve delil 3 KarĢılaĢtırma makul olmayan veriler
Delil 3 dosyaların diğer delil 1 ve delil 2 iliĢkisi
• Delil 3 de bulunan 4 dosya zararlı yazılımla ile
gelmiĢ ise onların bire bir aynı olan delil 1 ve delil
2 de ki dosyaların da zararlı yazılımla gönderildiği
anlaĢılmaktadır.
• Ayrıca bu dosyalarla aynı anda delil 2 ve delil 3
gelen diğer dosyalarda aynı Ģekilde gelmiĢ sayılır
• Bu dosyalarla aynı klasörde bulunan dosyalarda
aynı Ģekilde gelmiĢ sayılacağı açıktır
Deli 3 deki Hanefi.doc ile 4 dosya, SY.doc ve Yalcın
hoca.doc ile 5 dosyaları delil1 de beraber iĢlem görmüĢtür.
K-45 dizin 33 de bulunan dosya listesi
K-45 dizin 36 delil 1 bilgisayarı listesi
Dosyalar nasıl gelmiĢtir Tubitak rapor her dosya ile
ilgili açıklama
Dosyalar nasıl gelmiĢtir sayfa 181
Dosyalar nasıl gelmiĢtir
K-45 dizin 25
K-45 dizin 24
Rapor sayfa 180
K-43 dizin 23
Rapor 63 sayfa
Rapor 189
Rapor sayfa 64
Rapor sayfa 65
Ek rapor 27 sayfada trojan taĢıyan Duyuru ekin 4
defa yüklendiği hatırlanırsa
Dosyalar toplu olarak rar uzantılı arĢiv dosyası ile gelmiĢtir
• ġüpheli dosyaların üst verilerinde diğer normal kullanıcı dosyalarından faklı olarak mili saniye kısımlarının olmadığı, bunun sebebinin de winrar gibi bir arĢivleme dosyaları ile geldiklerinde olabileceği her dosya ile ilgili açıklama bölümlerinde ve netice bölümünde raporda tekrar eden açıklamalar halindedir,
• B Ģüpheli dosyalardan bir kısmının .rar uzantılı arĢiv dosyalarından çıktığı bunlardan 08_07(2).rar isimli dosyadan asıl adının 08_07.rar olduğunu ancak web, internette dosya benzeri dosyalar indirildiğinde böyle (2) rakamı verilerek indirme için sistemin birinciyi silmeden numaralandırarak kayıt ettiği raporun 64-65. sayfa bilgileri ile sabittir. Deneme ile de aynısı görülmüĢtür.
• Yani bu dosyalar internetten .rar uzantılı olarak sıkıĢtırılmıĢ olarak gelip bilgisayarda açılarak yerleĢtirilmiĢ olduğu mükerrer indirilmeye kalkındığında oluĢan bu dosya ile de bellidir. Aynı bilgisayarda bu özelliklere benzeyen sadece bu Ģüpheli dosyalar vardır. Buda bu dosyaların zararlı yazılımla geldiğinin delilidir.
Dosyaların zararlı yazılımla
geldiğini gösteren hususlar
Dosyalar delil 1 e toplu olarak gelmiĢtir örnek 08.07.2010
16:17:14 de 100 den fazla dosya aynı saniyede gelmiĢtir K-
45 dizin 37
Dosyalar delil 1 e toplu gelmiĢtir K-45 dizin 35
Dosyalar delil 1 toplu olarak gelmiĢtir. K-45 dizin 34
Delil 2 için örnek toplu gelmeler K-45 dizin 31
Delil 2 için örnek toplu gelmeler K-45 dizin 29
Delil 2 için örnek toplu gelmeler K-45 dizin 28
Dosyaların delil 1 ve delil 2 de oluĢturulmadığı
değiĢtirilmediği rapor 292 sayfa son paragraf
Dosyaların delil 1 ve delil 2 de iĢleme tabi
tutulmadığı rapor 294 sayfa son paragraf
Ek rapor 84 ve 85. sayfalar Delil 1 için dosyaların
tamamı silinmiĢ görülüyor
Ek rapor Delil 1 için dosyaların tamamı silinmiĢ
görülüyor 84 sayfa devamı
Ek rapor Delil 2 için dosyaların tamamı silinmiĢ görülüyor
85 sayfa
Ek rapor Delil 2 için dosyaların tamamı silinmiĢ görülüyor
85. sayfa devamı
Dosyalarla ilgili Toplu iĢlem neden yapılmıĢtır
• Dosyalar bu bilgisayarlarda oluĢturulmamıĢ veya değiĢtirilmemiĢtir
• Dosyalar toplu olarak yüklenmiĢ
• Dosyalar üzerinde bir iĢlem yapıldığına dair hiçbir iz yoktur
• Dosyaların hepsi silinmiĢtir
• O zaman hiçbir iĢle yapmayacak ise bu dosyaları yükleyen niçin yüklemiĢtir ayrıca
• Bu bilgisayarlarda uzakta dosya atma imkanı olan çok sofistike bir zararlı yazılımın yüklenip ve çalıĢtırıldığı teknik verilerle sabittir.
• Bu Ģekilde bilgisayarları uzakta kontrol ederek her Ģey yapmak mümkün ise
• Zararlı yazılım mükerrer yüklendiği sabittir. Dosyalarında aynı saniyelerde mükerrer iĢlem gördüğü sabittir
• Dosyaların bu bilgisayarlarla zararlı yazılımla gönderildiği akıl ve mantığın gereği olduğu çok açıktır.
Tubitak Raporunda doğru olmayan
ihtimal yorumlar
• SY.doc dosyasının delil 2 değiĢme ihtimali vardır
• ġüpheli dosyaların gelme zamanı zararlı yazılımın gelme
zamanına uymamaktadır
• Dosyalar CD- DVD, USB ile gelebilir
• Dosyalar Teamviewer bağlantısı ile de gelebilir
• Vs varsayım yorumları
• Teknik değeri olmayan hususlardır çünkü ;
Sayfa 189 SY.doc SY.rar da çıktığının iĢareti
SY.doc Delil 2 de değiĢmiĢ olamaz rapor 188 sayfa
SY.doc delil 2 de değiĢmiĢ olamaz
• SY.doc dosyası için sadece düzelten kısmında TOSHĠBA yazması ve bunun BarıĢ Pehlivan bilgisayarında kullanıcı ismi olmasına dayanarak bu kanata varmıĢ ancak TUBĠTAK’da görevli bilirkiĢilerin hazırladığı raporun her dosyanın tek tek incelendiği kısmında SY.doc dosyasını incelerken 188 sayfada yazdığı aynısı ile
• “Dosyayı en son değiştiren kullanıcı adının TOSHİBA .. Barış Pehlivan bilgisayarındaki kullanıcı adı olduğu görülmektedir. Bu bulgu “SY.doc dosyasının en son olarak o bilgisayarda değiştirilmiş olabileceği ihtimalini doğurmaktadır. Fakat “SY.doc” dosyası üstverisinde belge son değiştirme zamanı olarak geçen 26 Temmuz 2010 tarihi “06:05:00” saatinde Delil 2 bilgisayarının açıldığına ve çalışır durumda olduğuna dair bir bulgu mevcut değildir. Bunun yanında ilgili tarihte .. Barış Pehlivan’ın bilgisayarında da “SY.doc” dosyasının işlem gördüğüne dair aşağıda belirtilen bulgular 26 Temmuz 20120 tarihi 23:05:31 saati gibi ileri bir saatte “SY.doc” dosyasının “SY.rar ” dosyasından gelmiş olabileceğini işaret etmektedir. Bu sebeple “SY.doc” dosyasının son olarak Barış Pehlivan bilgisayarında düzeltildiği şüphelidir. “
• Yani “SY.doc” dosyası BarıĢ Pehlivan bilgisayarına 26. Temmuz 2010 saat 23:05:31 gelmiĢ olan “SY.rar ” arĢiv dosyasında çıkmıĢtır, bundan dolayı bu dosyanın aynı tarihten önce aynı gün sabah saat “06:05:00” değiĢtirildi gözüken üst veri bilgisi doğru olamaz, Böylece rapor sonuç kısmı ile içeriği çeliĢkili olup, kendi iddiasını yine kendi baĢka bir bulgusu ile çürütmektedir.
Zararlı yazılımla geldiği kesin olan SY.doc delil 3
de değiĢmiĢ gösterilmiĢtir.
Dosyaların gelme zamanları zararlı yazılımın
gelem zamanına uymuyor iddiası
• ġüpheli dosyaların gönderilme ihtimali zayıf derken gerekçe olarak dosyaların oluĢturma tarihlerinin Zararlı yazılımların gelme tarihlerinden daha eski olduğunu söylemektedir.
• Bu çok komik bir gerekçe olup hiçbir ekstra teknik imkan sahip olmadan Cezaevi bilgisayarında bile 2012 yılında 2006 ve 2014 yılına ait dosyaları oluĢturmuĢ ve bu tarihli dosya öreklerini mahkemeye sunmuĢtum
• Dosyaların tarihleri farklı yöntemlerle değiĢtirilebilir bunardan en basit yöntemle; herkes bilgisayarının tarih ve saatini istediği zamana
• Dosyaların hem üst veri bilgisi hem de her türlü sistem bilgisini $LongFaile, MFT dosya bilgilerini de eski tarihli oluĢturmuĢ olur,
• Saldırıyı düzenleyen kiĢiler için bu sorun bile değildir daha farklı yöntemlerde kullanabilirler
• Bbu açıdan dosya tarih bilgilerine dayanarak bu yorum yapılamayacağı çok açıktır.
Eski tarihli dosya oluĢturmayla ilgili daha öncede
mahkemeye sunduğum örnek 2006 ve 214 tarihli dosyalar
2014 tarihli dosya özellikleri ekranı 2012 de
oluĢturuldu ama 2014 gözüküyor
• dosyaların kullanıcısı tarafından ilgili zaman değiĢikliklerinin yapılmıĢ olması ihtimali de mevcuttur. Diyerek insanın kendi kendisini suçlamak için iĢlem yapma ihtimalini dahi sayabilmektedir.
• Aynı Ģekilde ek raporun 43 ila 45 sayfalarında ise Müyesser YILDIZ’ın oğlu Ġlim’in bu dosya bilgileri değiĢtirecek seviyede bilgisayar bildiği o bilgisayarlarda yaptığı bazı yazılım bilgilerini örnek göstererek .. bu Ģekilde de dosya tarih bilgilerinin değiĢmiĢ olabileceğini ihtimal arasında sayarak oğlun anneyi suçlayacak delil üretebileceğini ihtimal olarak saydığı görülmektedir.
• Yine bu raporun 47-50. sayfalarında herkesin bilgisayarında SKYP üzerinde konuĢma, çet yazıĢması amacıyla bulunduğu gibi BarıĢ Pehlivan’ın kendi iĢ yeri ile evi arasında kendisinin kullandığı bilgisayarlar arasında olan Teamviewer yazılımı ile de bu Ģüpheli dosyalar gelmiĢ olabilir gibi ihtimallerin sayılmıĢ olması; TUBĠTAK'da görevli bilirkiĢiler teknik tespitlerle uyumlu lehe makul yorumları yapmaz iken aleyhe ise en olmayacak, insanın kendini suçlaması veya çocuğunun aleyhine delil üretmesi gibi ihtimalleri bile saydığı görüldüğünde aslında dolaylı etkilerle gerçek yorumun yapılmadığı anlaĢılmaktadır.
Dosyaların zararlı yazılımla geldiğine dair diğer
hususular
• Bilgisayarlardaki diğer dosyalar genellikle her bilgisayarda olduğu gibi Belgelerim altında kullanıcı klasörlerinde olmasına rağmen, Ģüpheli bu dosyalar normal kullanıcıların arasalar bile zor bulacakları alt klasörler içine özellikle gizlenmiĢ “D:\\yedek\ desktop\ .. “ gibi
• Sanıklara ait tüm bilgisayarlara ve dijital verilere, tüm evrak defter ve belgelere el konmasına rağm bu Ģüpheli dosyaların bir benzeri, onların parçası veya onların taĢınması, hazırlanmasında kullanılan emareye rastlanmamıĢtır, eğer bu dosyaları bu kiĢilerle alakalı olsa mutlaka bunların bir parçası ile aynı olan veya onu tamamlayan not doküman vs bulunması gerekirdi.
• Örgütsel bir faaliyette gizlilik, kodlama Ģifreleme olması gerekir iken Ģahıslar adına Nedim.doc. Hanefi.doc, Yalcın hoca.doc gibi Ģahıs ismine dosya açılması, hatta Nedim, S U diyerek isme klasör açılması, dosya içeriklerinin hiçbir örgütsel faaliyette iĢe yarar bir içeriği olmamasına rağmen 2-3 satırlık dosyaların içerisinde 5-6 ismin özellikle yazılıp sadece kiĢileri suçlamak amaçlı hazırladığı çok açık bellidir.
– Arz ederim 27.12.2012 Hanefi Avcı
Sanık
Recommended