ĠSTANBUL 16 NOLU CEZA MAHKEMESĠ BAġKANLIĞI’NA

Dosya No :2011/14 Esas Ġddianame No:2011/425

Sanık :Hanefi AVCI

Konu : Davaya Dosyasında Bulunan Dijital Word

dosyaları hakkında Tubitak da çalıĢan uzmanların verdiği raporlar hakkında

hazırladığım savunmam yerine geçerli sununum

Tubitak asıl ve ek raporları hakkında hazırladığım 103 sayfalık sunum

çıktıları ve bir adet CD ekte sunulmuĢtur. Arz ederim 27.12.2012

Hanefi AVCI

• Sanık

Odatv davasındaki dosyaların hukuki durumu

• Ġddia: Bu dosyalar suçun delilidir

• Savunmamız; Bu dosyalar bize yapılan iftiranın

delilidir

• Eğer iddia doğru olsa idi bu dosyaların benzerleri en

azında sanıklardan Soner YALÇIN, Prof.Dr Yalçın

KÜÇÜK, BarıĢ TERKOĞLU, Doğan YURDAKUL vd

.. Sanıklarda da olması gerekirdi

• Savunmaya göre; Bilgisayar saldırısı var ise

saldırıya uğrayan Soner YALÇIN, BarıĢ TERKOĞLU

bilgisayarlarında da bu dosyalardan olması gerekirdi

Davadaki Ģüpheli dosyalarla ilgili inceleme yapan

TÜBĠTAK’da görevli bilirkiĢilerin yaptığı tespitler

• Raporun her dosya ile ilgili kısmında

• Nedim.doc ile ilgili 47,

• Yalcın hoca.doc ile ilgili 179,

• Hanefi.doc ile ilgili 199. sayfada

• .. vb benzeri her dosya ile ilgili yaptığı tekrarlanan tespitlerde,

• “ Dosyanın ilgili bilgisayar kullanıcısı tarafından oluĢturulmadığı veya değiĢtirilmediği değerlendirilmektedir.”

• “ ĠĢletim sistemi izlerinin incelenmesi sonucunda dosyanın kullanıcı tarafından açıldığına dair bir bulguya rastlanılmamıĢtır. “

Davadaki Ģüpheli dosyalarla ilgili inceleme yapan

TUBĠTAK’da görevli bilirkiĢilerin yaptığı tespitler

• Raporun sonuç bölümü 292. sayfa son paragrafta genel tespiti aynısı ile

• “Ek-1 de listelenen dosyalardan SY.doc ve prj_60.doc dosyaları

dışındakilerin ilgili bilgisayarlarda oluşturulduğuna veya

değiştirildiğine dair bir bulguya rastlanmamıştır. .. bilgisayar

kullanıcıları tarafından açıldıklarına dair kuvvetli bir bulgu olmadığı

tespit edilmiştir. “ denmektedir.

• Bu tespitleri açarak maddeleĢtirir isek

1. Bu dosyalar bulundukları bilgisayarlarda ( Odatv ) değil, hepsi baĢka

bilgisayarlarda yazılıp sonra buraya taĢınmıĢtır,

2. Bu dosyalar üzerinde Odatv bilgisayarlarında hiç düzeltme iĢlemi

yapılmamıĢtır ( baĢka yerde onlarca düzeltme yapılmıĢtır)

3. Bu dosyalar üzerinde odatv bilgisayarlarında ki kullanıcılar tarafında

açılıp okunduğu veya baĢka iĢlem yapıldığına dair bulgu elde

edilememiĢtir.

(SY.doc ve prj_60.doc ayrıca ilerde bilgi verilecektir)

BaĢarılı Bilgisayar Saldırısı için ġartlar Rapor 292.

• “..Dosyaları ilgili bilgisayara koyabilmek için;”

• İlgili bilgisayar kullanıcısını özel olarak hedef almış olan bir sosyal

mühendislik saldırısının düzenlenmesinin,

• Bu saldırı ile uzaktan kontrol ve dosya atma özelliği olan bir zararlı

yazılımın gönderilmesinin,

• Gönderilen bu zararlı yazılımın kurban bilgisayarda başarılı bir

şekilde çalışmasının,

• Gerekli olduğu belirtilmektedir. Yani bu üç husus yapılmış ise

şüpheli dosyalar bilgisayarlara konabilir demektedir. ..

TÜBĠTAK’da görevli bilirkiĢilerin düzenlediği ilk raporun

sonuç bölümünde genel kanaat özetlenirken

• 292. sayfa 3. paragraf son cümle aynısı ile

• “ .. Bu inceleme sonucunda, uzakta dosya atma özelliğine sahip ve ilgili bilgisayar kullanıcılarını hedef almıĢ olan zararlı yazılımların çalıĢmıĢ olduğu kanısına varılmıĢtır. “

• 293. sayfa son paragraf son cümle aynısı ile

• “.. Hedefli zararlı yazılım gönderme saldırısının zamanlaması, Delil 3 bilgisayarındaki dosyaların zararlı yazılım vasıtasıyla gönderilmiş olma ihtimalini güçlendirmektedir. Delil 1 ve Delil 2 bilgisayarlarında özel hedefli sosyal mühendislik saldırısı ile gönderilen uzakta dosya atma özelliği bulunan zararlı yazılımların çalışmış olduğu tespit edilmiştir ve Ek- 1 dosya listesindeki dosyalar üzerinde ilgili bilgisayar kullanıcıları tarafından bir işlem gerçekleştirildiğine dair tatmin edici izlere rastlanmamıştır .. bu dosyaların zararlı yazılımlar vasıtasıyla geldiğine veya gelmediğine dair kesin bir yargıya varılmamıştır.” Denmektedir.

Dosyaların hukuki durumu • 1- Bilgisayarlara Ģüpheli dosyaları dıĢarıdan kötü niyetle

koymak için gereken tüm Ģartlar sağlayan bir bilgisayar saldırısı kesin olarak yapılmıĢ olduğu teknik olarak tespit edilmiĢtir.

• 2- Odatv bilgisayarlarındaki Ģüpheli dosyalar üzerinde yazma, düzeltme, okuma gibi bir iĢlemin bu bilgisayarları kullananlar tarafında yapılmamıĢtır,

• 3- Ancak bu tespitlere rağmen bu dosyaların zararlı yazılımla gönderildiğini veya gönderilmediği kesin olarak ifade edilemez demektedir.

• Aslında kesin ifade edecek teknik tesbitler yapılmıĢtır. Ancak bu tür olaylarda kanaat belirtmek için sadece teknik tespitler yeterli değildir teknik tespitler diğer hususlarla birlikte değerlendirildiğinde makul kanaate varılabilir

• Bizim olayımıza bu açıdan bakarsak .

Teknik veriler, ancak dosyadaki diğer verilerle

birlikte değerlendirildiğinde kanaat edinilir

• Nasıl bir bilgisayar saldırısı olmuĢtur

• Bilgisayarlara yapılan Saldırı türleri

1. Amaçlı ama Hedefsiz; Herkese gönderilip kim

oltaya kim takılırsa bir virüs herkese gönderilir

kim saf olup cevap verirse

2. Belli bir kiĢi- kurum hedefli saldırı direk bir

kiĢiye yönelik direk bir saldırı belli kiĢiye direk

virüs gönderilir

3. Hedefli sosyal mühendislik çalıĢması sonucu

saldırısı

Saldırlar öncesi sosyal mühendislik çalıĢması ne demektir

• Hedef kiĢiyi teknik zafiyetten çok aldatmaya yönelik yöntemler

kullanılarak sistemlerin ele geçirilmesi yöntemlerine denir

• Bunun için hedefin iĢi, ilgi sahası, mesleği, yaĢam biçimi, sık

iliĢkide olduğu çevreler vs araĢtırılarak sosyal iliĢki çevresi

belirlenerek

• Hedefin garip karĢılamayacağı, dikkatini çekmeyeceği,

sıradan her zaman benzerlerini aldığı sosyal çevresinden

geliyor gibi kabul edeceği sahte göndericiler yaratıp onlardan

geliyor gibi gözüken mesaj vs ile saldırının planlanması

faaliyetlerine sosyal mühendislik çalıĢması denir.

• Örneğin bir doktora ilaç firmalarından sık sık gelen ilaç tanıtıcı mesaj gibi

gözüken sahte bir mesaj eki dosya ile saldırı yapmak için yapılan

çalıĢmalar gibi

Uzaktan bilgisayar kontrolü

• Büyük sistemlerde teknik elemanlar her yeri dolaĢmadan tek merkezden bilgisayarlara uzaktan eriĢerek Yeni Program yükleme, tamir bakım, ayar vs yaparlar bunun için kullanılan yazılımlar yüklenir ve ayarlar yapılır

• KiĢiler arası haberleĢmede karĢılıklı bağlantı ve belli iĢlemleri yapma dosya kaynak paylaĢma için sınırlı kontrol veren yazılımlar

• Kötü niyetli kiĢiler bu amaçla olan yazılımları kendileri değiĢtirerek bilgisayarların kontrol ve denetimini ele geçirip uzaktan o bilgisayar üzerinde iĢlem yapar veya o bilgisayara iĢlem yaptırır

Uzaktan bilgisayar kontrolü ile ne yapılabilir

• Kullanıcısının yapacağı her Ģey yapılabilir

• Dosyalar silinebilir, değiĢtirilebilir, yeni dosyalar yüklenebilir, dosyaların tüm bilgileri değiĢtirilebilir

• Sistemin ayarları değiĢtirilerek bilgisayarların baĢka türlü çalıĢması sağlanabilir

• Bilgisayarlarda belli programlar çalıĢtırılabilir

• Bilgisayarın kamerası açılıp seyredilebilir

• Bilgisayarın mikrofonu varsa açılıp dinleme yapılabilir

• Bilgisayarın anlık ekran görüntüleri alınabilir

• Yazılımla Kullanıcısının yapabileceği her Ģey yapılabilir.

Odatv Bilgisayarlarına nasıl saldırı yapılmıĢtır

• sıradan bir saldırı değildir geniĢ imkanlara sahip bir grubun sosyal mühendislik çalıĢması sonrası yapılan tespitlere göre yaptığı çok sofistike bir saldırıdır.

• Saldırganlar önce ciddi bir hazırlık yapmıĢlardır bunun için hedeflerin kullandığı

• sonery@hurriyet.com.tr, sonery@odatv.com, barısp@odatv.com, barıst@odatv.com, info@odatv.com,

• muyesseryıldız@yahoo.com ve muyesserugur@mynt.comisimli e-posta adreslerini tespit etmiĢler,

• Sonra sosyal mühendislik çalıĢmaları sonunda onların sık mesaj aldığı çevrelerin e-postalarına benzer

• kemalizm1919@yahoo.com, dhayuırt@dha.com.tr, basınbirimi@chp.org.tr disk@disk.org.tr, info@leman.com.trgibi hedeflerin dikkatini çekmeyeceği, daha öncede sık e-posta aldıkları adresler zannedilen asıllarından kolay fark edilemeyecek sahte e-posta kutuları temin etmiĢlerdir..

saldırı öncesi yapılan hazırlıklar• Sonra virüs-trojan gibi zararlı yazılım içeren mesajlar

gönderdiklerinde dönüĢ e-posta adresi olarak jangomail sitesinde

• winnerr5@jangomail.com, winnerr51@jangomail.com, winnerr7@jangomail.com, isimli e-postaları almıĢlar,

• Sonra bilgisayarları uzakta kontrol etmek için Torkojan- RAT ve Bandook-RAT denen ( RAT= Remote Administration Tool= uzaktan kontrol etme yazılımı)

• Sonra kullanıcıların dikkati çekmeyip her gün karĢılaĢtıkları türden mesaj eki zannedecekleri Atatürk_Ekrankoruma.scr, Duyuru.pdf, AKP_oncesi-sonrası.pdf, AKPkarikaturleri.zıp, RssReader2.1.zıp haber izleme yazılımı vs gibi mesaj ekler içerisine gizleme iĢlemlerini yapmıĢlar

• Yazılım firmalarının güncelleme sitelerine benzeyen ABD de internet üzerinde dosya yükleme için driver.myftp.org, antivirus.myftp.org ve adobupdate.serveftp vb isimlerde web sayfaları temin etmiĢlerdir.

Saldırı safhaları

• Bu sahtelerin asıllar aslında çok

benzememekle birlikte faklıdır

• CHP e-postalar aslında farklı yapıdadır …

• Disk e-postaları bunlardan aslında farklıdır

• kemalizim1919@googlegroups.com değil

• kemalizim1919@groups.google.com vb dir

• ABD sitelerden adobupdate.serveftp

değil resmi adobe sitesi Adobe Updates

bir haf değiĢtirilerek aldatıcı hale gelmiĢtir.

Tubitak asıl rapor 230. sayfa tüm saldırılar 1. ekran

Tubitak asıl rapor 230. sayfa tüm saldırılar 2. ekran

Ek rapor 25. sayfa Delil 1 de soner@odatv, barip@odatv, barist@odatv ve

info@odatv gelen e-postalarına tek BarıĢ Pehlivanın baktığı anlaĢılıyor

Ek rapor 26. sayfa Delil 1 soner@odatv, barip@odatv, barist@odatv ve

info@odatv ye gelen e-postalara BarıĢ PEHLĠVAN’ın baktığının ispatı birinci

mesaj barist@odatv ve soner@odatv ikinci mesaj info@odatv ait

Ek rapor 28 sayfa delil 2 de BarıĢ PEHLĠVAN ev

bilgisayarında Outlook ekranı birden çok e-postaya ayarlı

Ek rapor 29. sayfa Delil 2 de barist@odatv BarıĢ TERKOĞLU’na, gelen e-

postalara da baĢarısız olan saldırı virüsü

Ek rapor 30. sayfa Delil 2 de barist@odatv BarıĢ TERKOĞLU’na, gelen

e-postalara da baĢarılı olan saldırı virüsü görülüyor

Delil 1 Ek Rapor 52 Sayfa Tablo 11 saldırılar, virüs ve ABD dosya

yükleme siteleri ekranı 1. ekran

Delil 1 için Ek Rapor 52-53 Sayfa Tablo 11 saldırılar, virüs ve ABD dosya

yükleme siteleri ekranı 2. ekran

Ek rapor 30 sayfa delil 2 barisp@odatv BarıĢ Pehlivana yönelik saldırı e-

postaları sayfa 1

Ek rapor 30 sayfa Delil 2 barisp@odatv BarıĢ Pehlivan’a yönelik saldırı

e-postaları sayfa 2

Ek rapor 27. sayfa Truva atının Delil 2 ye, 4 defa yüklendiğini (Duyuru(2)

ve Duyuru(3) ekinin) gösteren ekran sayfa 1

Ek rapor 28. sayfa Truva atının Delil 2 ye 4 defa yüklendiğini (Duyuru(4))

gösteren ekran sayfa 2.

Rapor 332. sayfa Truva atının Delil 2 ye 4 defa yüklendiğini imaj

üzerinde (Duyuru(4)) gösteren ekran

Rapor 333. sayfa Truva atının Delil 2 ye 4 defa yüklendiğini imaja

güncel Antivirüs uygulaması sonucu Duyuru(4) gösteren ekran 1

Rapor 333. sayfa Truva atının Delil 2 ye 4 defa yüklendiğini Güncel

Antivirüs uygulaması sonucu Duyuru(4) gösteren ekran 2

Delil 3 de Virüs Trojan varlığı sayfa 34 ekran 1

Delil 3 de Virüs Trojan varlığı sayfa 38 ekran 2

Delil 3 de Virüs Trojan varlığı sayfa 39 ekran 3

Delil 3 de Virüs Trojan varlığı sayfa 41 ekran 4

Delil 1 de virüs Trojan çalıĢması ekran 1

Delil 1 de virüs Trojan çalıĢması ekran 2

Delil 1 de virüs Trojan çalıĢması ekran 3

Delil 3 deki trojan çalıĢması Tubitak rapor sayfa 248

Delil 3 deki trojan çalıĢması Tubitak rapor sayfa 248

Delil 1 gelen saldırı e-postalarının güvenlik ve anti virüs

uyarıları ekran 2 Ek rapor sayfa 40 sonu, 41 baĢı

Delil 1 gelen saldırı e-postalarının güvenlik ve anti virüs

uyarıları ekran 2 Ek rapor sayfa 40 sonu, 41 baĢı

Delil 2 gelen saldırı e-postalarının güvenlik ve anti virüs yazılıları

uyarıları ekranı sayfa Ek rapor sayfa 41

Delil 3 gelen saldırı e-postalarının güvenlik ve anti virüs yazılımı

uyarıları ekran Ek rapor sayfa 41

Delil 1 Ek Rapor 52 Sayfa Tablo 11 saldırılar, virüs ve ABD dosya

yükleme siteleri ekranı 1. ekran

Delil 1 için Ek Rapor 52-53 Sayfa Tablo 11 saldırılar, virüs ve ABD dosya

yükleme siteleri ekranı 2. ekran

Delil 1 BaĢarılı saldırının GerçekleĢtiği ispatı Tübitak rapor

233 sayfa

Delil 3 de bulunan dosyaların durumu rapor sayfa 272

Delil 3 de bulunan dosyaların durumu sayfa 293

Delil 3 de bulunan dosyaların durumu sayfa ek

rapor 23

Delil 3 içeriğine göre manası

• Delil 3 de bulunan Hanefi.doc, Yalcın hoca.doc, SY.doc ve Uusal Medya 2010.doc isimli 4 dosya bulunmuĢtur. Hem TUBĠTAK'da görevli bilirkiĢilerin hazırladığı hem de ODTU raporunda kesin verilere göre bu dosyalar müyesser YILDIZ’ın bilgisayarına 14.02.2011 günü saat 07:30:27 gelmiĢ ancak aynı gün bu dosyaların tarihlerine müdahale edilerek

• Hanefi.doc 17.08.2010 09:51:12

• SY.doc 01.08.2010 17:35:12

• Yalcın hoca.doc 09.09.2010 12:21:22

• Ulusal medya 2010.doc 04.10.2010 14:41:51

• Tarihinde geldi Ģeklinde gösterildiği kesin olarak tespit edilmiĢtir.

• Ancak dosyaların gerçek geldiği/ gönderildiği 14.02.2011 tarihi ODATV operasyonun ilk baĢladığı gün olup ODATV merkezine ve Soner YALÇIN ile diğer çalıĢanların evlerine baskın yapılıp hepsinin gözaltına alındıkları tarihtir.

• Yani bu tarihte ne Soner YALÇIN nede ODATV de çalıĢan bu dosyayı gönderme ve aynı gün tarihlerini değiĢtirme Ģansları fiilen yoktur, Çünkü kendileri o gün sabah 07:00 de gözaltına alınmıĢlar ve iĢ yerinde ve evlerinde bulunan tüm bilgisayarlara dijital araçlarına el konmuĢtur. Ġsteseler de gönderemezler.

• Müyesser YILDIZ Soner Yalçın ve ODATV çalıĢanlarının gözaltına alındığı 14.02.2011 tarihinden 18 gün sonra 03.03.2011 tarihinde gözaltına alınmıĢtır

• Soner ve arkadaĢlarıyla böyle bir irtibatı olsa o dosyaları o gün bilgisayara yüklemek değil var ise silmesi yok etmesi gerekir idi,

• 14.02.2011 günü gelmiĢ /yüklenmiĢ ancak aynı gün tarihleri değiĢtirilerek 2010 yılında gelmiĢ gösterilmiĢtir.

• Ancak bu tarih değiĢikliklerinin manası nedir bu tarihleri içerikleri ile birlikte değerlendirdiğimizde iĢin sırrı aydınlanacaktır. Ġlk dosya:

Delil 3 deki Hanefi.doc ilk tanzim edilen

rapor K-43 dizin 422

Hanefi.doc içeriğine göre tarihlerin yorumu•

• Hanefi.doc dosyası içeriğine baktığımızda ise “Ağustos 2010 tarihinde piyasaya çıkan Haliçte YaĢayan Simonlar Dün Devlet Bugün Cemaat isimli kitabımın yazılması öncesi Ergenekon, Balyoz vs davalarda yargılanan kiĢilerin kitap da yer almasını istedikleri konular içerdiği ve Soner Yalçın tarafından yazıldığı kitabın yazım aĢamasında kullanılmak üzere hazırlandığı” izlenimini vermeye çalıĢtığı görülmektedir. Hanefi.doc Dosyası içerisinde

• “ Hanefi’nin Kitabı ne durumda, referandum öncesi yetiĢtirmeli ..

• … Sabih üstat da Ġlhan Cihaner olayı kitapta muhakkak iĢlenmeli … diyor

• … Doğu Hanefi’nin ağzından Ergenekon’un boĢ bir dava .. anlatılması ..

• … Çetin DOĞAN’ın verdiği bilgiler muhakkak kitapta yer almalı … “

• Gibi güya Haliçte YaĢayan Simonlar isimli kitabımdaki bazı konuları Ergenekon, Balyoz gibi davalarda yargılanan veya bu kiĢilerle irtibatlı gözüken çevrelerin istedikleri üzerine kitapta yer aldığı ima edilmektedir. ..

Hanefi.doc içeriğine göre tarihlerin yorumu

• Bu dosyadan dolayı Müyesser YILDIZ’a Emniyet ve Savcılık ifadelerinde “evinizde bulunan dijital verilerden” diyerek baĢlayan sorulan üç soruda

• … Kitabın yazımına ne tür katkınız oldu ..

• … 03.09 tarihli görüĢmede Hanefi AVCI’ya hangi mesajları ilettiniz

• … Hanefi AVCI ile ilgilenmeye devam etsin .. gibi soruları sorulmuĢtur.

•

• Dava iddianamesi 124. sayfada bu konuyla ilgili olarak Müyesser YILDIZ’a aynısı ile “Tüm bu dokümanlar birlikte değerlendirildiğinde; şüpheli Müyesser Uğur’un ifadesinde konuyla ilgili Hanefi Avcı’nın “Haliçte Yaşayan Simonlar Dün Devlet Bugün Cemaat” isimli kitabından, kitap yayınlandıktan sonra haberinin olduğu, Hanefi Avcı ile kitap hakkında röportaj yapmak maksatlı görüştüğü şeklindeki beyanlarının gerçeği yansıtmadığı, Hanefi Avcı’nın kitabından, kitap yayınlanmadan çok öncesinde bilgisi olduğu, Hanefi Avcı ile görüşmesinin ise Soner Yalçın’nın talimatları doğrultusunda olduğu açıkça anlaşılmaktadır. “ Ģeklinde suçlamalar yapıldığı görülmektedir.

Hanefi.doc içeriğine göre tarihlerin yorumu

• Tubitak’da görevli bilirkiĢilerin ve ODTU raporuna göre kesin olarak Bu dosya Müyesser YILDIZ bilgisayarına 14.02.2011 de 07:30:27 zamanında gelmiĢ daha sonra 14.02.2011 de 18:36:29 zamanında ise oluĢturma, değiĢtirme ve eriĢim zamanları değiĢtirilerek 17.07.2010 da geldi gösterilmiĢtir.

• Kitap Ağustos 2010 tarihinde yayınlandığına göre 6 ay önce yayınlanmıĢ bir kitabın içeriği Ģöyle olsun, böyle olsun Ģeklindeki tavsiyelerin kitabın yayınından aylar sonra ( 14.02.2011 ) gönderilmesi gerçek amacı buysa manasız bir iĢlemdir.

• Eğer bu dosya gerçekten 14.07.2010 tarihinde Müyesser YILDIZ bilgisayarına gelmiĢ olsa idi yukarıdaki gibi Hanefi AVCI, Müyesser YILDIZ Soner YALÇIN arasında sanki kitabın yazılmasıyla ilgili bir çalıĢma var gibi görülür hatta örgütsel faaliyetin delili vs Ģeklinde yoruma uygun olabilirdi,

• Ancak Bu dosyanın kesin geliĢ tarihi 14.02.2011 07:30:27 olmasına rağmen aynı gün tarihi değiĢtirilerek Sanki 17 Temmuz 2010 tarihinde Müyesser YILDIZ’A gelmiĢ ġekline dönüĢtürülür ve emniyet bilirkiĢilerince bu tarih te gelmiĢ gibi rapor tanzim edilirse o zaman; Müyesser YILDIZ, Soner YALÇIN, Hanefi AVCI arasında örgütsel faaliyetin varlığı ile ilgili, iftiranın delili olur. Birilerinin böyle bir iftirayı çok ustaca hazırladığı kesin olarak ortaya çıkmıĢ olur. ġuanda ortay çıkan ve inkar edilemez biçimde teknik olarak ispatlanan da budur.

Hanefi.doc içeriğine göre tarihlerin yorumu

• Ancak bu durum cevaplanması gereken soruları çok arttırmaktadır.

• Bu dosyayı Müyesser YILDIZ’a Soner Yalçın veya ODATV çalıĢanlar göndermediği/gönderemeyeceğine göre, Bu dosyayı kimler göndermiĢtir, demek ki bu dosya aslında 3. kiĢilerce üretilmiĢtir.

• Aynı Ģekilde TUBĠTAK'da görevli bilirkiĢilerin ve onu teyit eden ODTU teknik raporları kesin olarak belirtildiği üzere Hanefi.doc dosyası gibi yine Müyesser YILDIZ’ın bilgisayarında bulunan benzeri içerikte bir örgütsel faaliyetin varlığını Ağustos 2010 tarihinde olduğu havasını vermeye çalıĢan Sy.doc, Ulusal Medya.doc, Yalcın hoca.doc dosyaları Ġftira amaçlı olarak 14.02.1011 de ODATV operasyonun baĢladığı tarihte gönderilmiĢ ve gönderme sonrası tekrar eriĢilerek üst verilerinin tarihleri benzeri Ģekilde değiĢtirilerek sanki eski tarihte gönderilmiĢ gibi gösterilmeye çalıĢılmıĢtır.

• Aynı iĢlemler bu dosyalar için de yapılmıĢtır. Aynı dosyalar ODATV bilgisayarların da aynı içerik ve benzeri üst verilerle bulunmaktadır.

• Diğer SY.doc ve Yalçın hoca.doc durum

• Yalcinhoca.doc’un zararlı yazılımla Delil3’e

yüklendiği raporda nettir.

• Ġddianamenin 125. sayfasının 4 ve 5.

paragrafında Yalcin.doc dosyasının Soner

tarafından gönderildiği ve Müyesser’in

değiĢtirildiği söylenmekte, değiĢtirenin

“user” isimli delil3 kullanıcısı olduğu

söylenerek Müyesser Yıldız’ın değiĢtirdiği

iddia edilmektedir.

• Demek ki zararlı yazılımı gönderenler

dosyaları gönderirken “Soner yazdı

Müyesser değiĢtirdi” izlenimi vermek

istemiĢtir.

• Çünkü 14 ġubat 2011 günü Müyesser’e

gelen bu dosya raporda görüldüğü gibi hiç

iĢlem görmemiĢtir. AçılmamıĢ ve

değiĢtirilmemiĢtir. Bu kesin bir tespittir.

Sahteciliği göstermektedir.

Yalcın hoca.doc dosyası Delil 1 de sayfa 178-179 ve delil 3 de sayfa 180-181

özellikleri cetveli Revizyon no 17 ve 16

SY.doc Delil 1 de sayfa 187-188

SY.doc Delil 3 de ancak karakter sayısı dosya büyüklüğü

farklı ama revizyon aynı gözüküyor

Sy.doc Delil 1 ve delil 3 KarĢılaĢtırma makul olmayan veriler

Delil 3 dosyaların diğer delil 1 ve delil 2 iliĢkisi

• Delil 3 de bulunan 4 dosya zararlı yazılımla ile

gelmiĢ ise onların bire bir aynı olan delil 1 ve delil

2 de ki dosyaların da zararlı yazılımla gönderildiği

anlaĢılmaktadır.

• Ayrıca bu dosyalarla aynı anda delil 2 ve delil 3

gelen diğer dosyalarda aynı Ģekilde gelmiĢ sayılır

• Bu dosyalarla aynı klasörde bulunan dosyalarda

aynı Ģekilde gelmiĢ sayılacağı açıktır

Deli 3 deki Hanefi.doc ile 4 dosya, SY.doc ve Yalcın

hoca.doc ile 5 dosyaları delil1 de beraber iĢlem görmüĢtür.

K-45 dizin 33 de bulunan dosya listesi

K-45 dizin 36 delil 1 bilgisayarı listesi

Dosyalar nasıl gelmiĢtir Tubitak rapor her dosya ile

ilgili açıklama

Dosyalar nasıl gelmiĢtir sayfa 181

Dosyalar nasıl gelmiĢtir

K-45 dizin 25

K-45 dizin 24

Rapor sayfa 180

K-43 dizin 23

Rapor 63 sayfa

Rapor 189

Rapor sayfa 64

Rapor sayfa 65

Ek rapor 27 sayfada trojan taĢıyan Duyuru ekin 4

defa yüklendiği hatırlanırsa

Dosyalar toplu olarak rar uzantılı arĢiv dosyası ile gelmiĢtir

• ġüpheli dosyaların üst verilerinde diğer normal kullanıcı dosyalarından faklı olarak mili saniye kısımlarının olmadığı, bunun sebebinin de winrar gibi bir arĢivleme dosyaları ile geldiklerinde olabileceği her dosya ile ilgili açıklama bölümlerinde ve netice bölümünde raporda tekrar eden açıklamalar halindedir,

• B Ģüpheli dosyalardan bir kısmının .rar uzantılı arĢiv dosyalarından çıktığı bunlardan 08_07(2).rar isimli dosyadan asıl adının 08_07.rar olduğunu ancak web, internette dosya benzeri dosyalar indirildiğinde böyle (2) rakamı verilerek indirme için sistemin birinciyi silmeden numaralandırarak kayıt ettiği raporun 64-65. sayfa bilgileri ile sabittir. Deneme ile de aynısı görülmüĢtür.

• Yani bu dosyalar internetten .rar uzantılı olarak sıkıĢtırılmıĢ olarak gelip bilgisayarda açılarak yerleĢtirilmiĢ olduğu mükerrer indirilmeye kalkındığında oluĢan bu dosya ile de bellidir. Aynı bilgisayarda bu özelliklere benzeyen sadece bu Ģüpheli dosyalar vardır. Buda bu dosyaların zararlı yazılımla geldiğinin delilidir.

Dosyaların zararlı yazılımla

geldiğini gösteren hususlar

Dosyalar delil 1 e toplu olarak gelmiĢtir örnek 08.07.2010

16:17:14 de 100 den fazla dosya aynı saniyede gelmiĢtir K-

45 dizin 37

Dosyalar delil 1 e toplu gelmiĢtir K-45 dizin 35

Dosyalar delil 1 toplu olarak gelmiĢtir. K-45 dizin 34

Delil 2 için örnek toplu gelmeler K-45 dizin 31

Delil 2 için örnek toplu gelmeler K-45 dizin 29

Delil 2 için örnek toplu gelmeler K-45 dizin 28

Dosyaların delil 1 ve delil 2 de oluĢturulmadığı

değiĢtirilmediği rapor 292 sayfa son paragraf

Dosyaların delil 1 ve delil 2 de iĢleme tabi

tutulmadığı rapor 294 sayfa son paragraf

Ek rapor 84 ve 85. sayfalar Delil 1 için dosyaların

tamamı silinmiĢ görülüyor

Ek rapor Delil 1 için dosyaların tamamı silinmiĢ

görülüyor 84 sayfa devamı

Ek rapor Delil 2 için dosyaların tamamı silinmiĢ görülüyor

85 sayfa

Ek rapor Delil 2 için dosyaların tamamı silinmiĢ görülüyor

85. sayfa devamı

Dosyalarla ilgili Toplu iĢlem neden yapılmıĢtır

• Dosyalar bu bilgisayarlarda oluĢturulmamıĢ veya değiĢtirilmemiĢtir

• Dosyalar toplu olarak yüklenmiĢ

• Dosyalar üzerinde bir iĢlem yapıldığına dair hiçbir iz yoktur

• Dosyaların hepsi silinmiĢtir

• O zaman hiçbir iĢle yapmayacak ise bu dosyaları yükleyen niçin yüklemiĢtir ayrıca

• Bu bilgisayarlarda uzakta dosya atma imkanı olan çok sofistike bir zararlı yazılımın yüklenip ve çalıĢtırıldığı teknik verilerle sabittir.

• Bu Ģekilde bilgisayarları uzakta kontrol ederek her Ģey yapmak mümkün ise

• Zararlı yazılım mükerrer yüklendiği sabittir. Dosyalarında aynı saniyelerde mükerrer iĢlem gördüğü sabittir

• Dosyaların bu bilgisayarlarla zararlı yazılımla gönderildiği akıl ve mantığın gereği olduğu çok açıktır.

Tubitak Raporunda doğru olmayan

ihtimal yorumlar

• SY.doc dosyasının delil 2 değiĢme ihtimali vardır

• ġüpheli dosyaların gelme zamanı zararlı yazılımın gelme

zamanına uymamaktadır

• Dosyalar CD- DVD, USB ile gelebilir

• Dosyalar Teamviewer bağlantısı ile de gelebilir

• Vs varsayım yorumları

• Teknik değeri olmayan hususlardır çünkü ;

Sayfa 189 SY.doc SY.rar da çıktığının iĢareti

SY.doc Delil 2 de değiĢmiĢ olamaz rapor 188 sayfa

SY.doc delil 2 de değiĢmiĢ olamaz

• SY.doc dosyası için sadece düzelten kısmında TOSHĠBA yazması ve bunun BarıĢ Pehlivan bilgisayarında kullanıcı ismi olmasına dayanarak bu kanata varmıĢ ancak TUBĠTAK’da görevli bilirkiĢilerin hazırladığı raporun her dosyanın tek tek incelendiği kısmında SY.doc dosyasını incelerken 188 sayfada yazdığı aynısı ile

• “Dosyayı en son değiştiren kullanıcı adının TOSHİBA .. Barış Pehlivan bilgisayarındaki kullanıcı adı olduğu görülmektedir. Bu bulgu “SY.doc dosyasının en son olarak o bilgisayarda değiştirilmiş olabileceği ihtimalini doğurmaktadır. Fakat “SY.doc” dosyası üstverisinde belge son değiştirme zamanı olarak geçen 26 Temmuz 2010 tarihi “06:05:00” saatinde Delil 2 bilgisayarının açıldığına ve çalışır durumda olduğuna dair bir bulgu mevcut değildir. Bunun yanında ilgili tarihte .. Barış Pehlivan’ın bilgisayarında da “SY.doc” dosyasının işlem gördüğüne dair aşağıda belirtilen bulgular 26 Temmuz 20120 tarihi 23:05:31 saati gibi ileri bir saatte “SY.doc” dosyasının “SY.rar ” dosyasından gelmiş olabileceğini işaret etmektedir. Bu sebeple “SY.doc” dosyasının son olarak Barış Pehlivan bilgisayarında düzeltildiği şüphelidir. “

• Yani “SY.doc” dosyası BarıĢ Pehlivan bilgisayarına 26. Temmuz 2010 saat 23:05:31 gelmiĢ olan “SY.rar ” arĢiv dosyasında çıkmıĢtır, bundan dolayı bu dosyanın aynı tarihten önce aynı gün sabah saat “06:05:00” değiĢtirildi gözüken üst veri bilgisi doğru olamaz, Böylece rapor sonuç kısmı ile içeriği çeliĢkili olup, kendi iddiasını yine kendi baĢka bir bulgusu ile çürütmektedir.

Zararlı yazılımla geldiği kesin olan SY.doc delil 3

de değiĢmiĢ gösterilmiĢtir.

Dosyaların gelme zamanları zararlı yazılımın

gelem zamanına uymuyor iddiası

• ġüpheli dosyaların gönderilme ihtimali zayıf derken gerekçe olarak dosyaların oluĢturma tarihlerinin Zararlı yazılımların gelme tarihlerinden daha eski olduğunu söylemektedir.

• Bu çok komik bir gerekçe olup hiçbir ekstra teknik imkan sahip olmadan Cezaevi bilgisayarında bile 2012 yılında 2006 ve 2014 yılına ait dosyaları oluĢturmuĢ ve bu tarihli dosya öreklerini mahkemeye sunmuĢtum

• Dosyaların tarihleri farklı yöntemlerle değiĢtirilebilir bunardan en basit yöntemle; herkes bilgisayarının tarih ve saatini istediği zamana

• Dosyaların hem üst veri bilgisi hem de her türlü sistem bilgisini $LongFaile, MFT dosya bilgilerini de eski tarihli oluĢturmuĢ olur,

• Saldırıyı düzenleyen kiĢiler için bu sorun bile değildir daha farklı yöntemlerde kullanabilirler

• Bbu açıdan dosya tarih bilgilerine dayanarak bu yorum yapılamayacağı çok açıktır.

Eski tarihli dosya oluĢturmayla ilgili daha öncede

mahkemeye sunduğum örnek 2006 ve 214 tarihli dosyalar

2014 tarihli dosya özellikleri ekranı 2012 de

oluĢturuldu ama 2014 gözüküyor

• dosyaların kullanıcısı tarafından ilgili zaman değiĢikliklerinin yapılmıĢ olması ihtimali de mevcuttur. Diyerek insanın kendi kendisini suçlamak için iĢlem yapma ihtimalini dahi sayabilmektedir.

• Aynı Ģekilde ek raporun 43 ila 45 sayfalarında ise Müyesser YILDIZ’ın oğlu Ġlim’in bu dosya bilgileri değiĢtirecek seviyede bilgisayar bildiği o bilgisayarlarda yaptığı bazı yazılım bilgilerini örnek göstererek .. bu Ģekilde de dosya tarih bilgilerinin değiĢmiĢ olabileceğini ihtimal arasında sayarak oğlun anneyi suçlayacak delil üretebileceğini ihtimal olarak saydığı görülmektedir.

• Yine bu raporun 47-50. sayfalarında herkesin bilgisayarında SKYP üzerinde konuĢma, çet yazıĢması amacıyla bulunduğu gibi BarıĢ Pehlivan’ın kendi iĢ yeri ile evi arasında kendisinin kullandığı bilgisayarlar arasında olan Teamviewer yazılımı ile de bu Ģüpheli dosyalar gelmiĢ olabilir gibi ihtimallerin sayılmıĢ olması; TUBĠTAK'da görevli bilirkiĢiler teknik tespitlerle uyumlu lehe makul yorumları yapmaz iken aleyhe ise en olmayacak, insanın kendini suçlaması veya çocuğunun aleyhine delil üretmesi gibi ihtimalleri bile saydığı görüldüğünde aslında dolaylı etkilerle gerçek yorumun yapılmadığı anlaĢılmaktadır.

Dosyaların zararlı yazılımla geldiğine dair diğer

hususular

• Bilgisayarlardaki diğer dosyalar genellikle her bilgisayarda olduğu gibi Belgelerim altında kullanıcı klasörlerinde olmasına rağmen, Ģüpheli bu dosyalar normal kullanıcıların arasalar bile zor bulacakları alt klasörler içine özellikle gizlenmiĢ “D:\\yedek\ desktop\ .. “ gibi

• Sanıklara ait tüm bilgisayarlara ve dijital verilere, tüm evrak defter ve belgelere el konmasına rağm bu Ģüpheli dosyaların bir benzeri, onların parçası veya onların taĢınması, hazırlanmasında kullanılan emareye rastlanmamıĢtır, eğer bu dosyaları bu kiĢilerle alakalı olsa mutlaka bunların bir parçası ile aynı olan veya onu tamamlayan not doküman vs bulunması gerekirdi.

• Örgütsel bir faaliyette gizlilik, kodlama Ģifreleme olması gerekir iken Ģahıslar adına Nedim.doc. Hanefi.doc, Yalcın hoca.doc gibi Ģahıs ismine dosya açılması, hatta Nedim, S U diyerek isme klasör açılması, dosya içeriklerinin hiçbir örgütsel faaliyette iĢe yarar bir içeriği olmamasına rağmen 2-3 satırlık dosyaların içerisinde 5-6 ismin özellikle yazılıp sadece kiĢileri suçlamak amaçlı hazırladığı çok açık bellidir.

– Arz ederim 27.12.2012 Hanefi Avcı

Sanık