Röportajın ilk bölümünü Halil Öztürkci : Şirketler Kötü Bir Tecrübe Yaşamadan Güvenlik Alanına Yatırım Yapmıyorlar – 1 başlığı altında okuyabilirsiniz.
turk-internet.com : Gelen bir şikayet için gerekli verilerin toplanması her zaman için mümkün olabiliyor mu?
Halil Öztürkci : Aslında gelen şikayetin türüne göre ve ele alınan her bir olaya göre bu sorunuzun cevabı değişir. Örneğin Türkiyedeki bir şirket’in web sitesinin servis dışı bırakma saldırısına maruz kaldığını tesbit ettiniz ve yaptığınız incelemede gelen saldırı paketlerinin Çin merkezli zombi bilgisayarlardan geldiğini ortaya çıkardınız. Bu bilgileri elde etmenizin aslında çok bir öneminin olmadığını görürsünüz sonrasında. Çünkü bu zombi bilgisayarlar genellikle Amerika’da bulunan bir master server tarafından kontrol edilmekte ve bu master server’a Almanya’daki bir sunucu üzerinden bağlanan bir Rus hacker tarafından kontrol edilmektedir.
Böyle bir soruşturma genellik sonuçsuz kalıyor. Ama başka bir örnek vermek gerekirse Türkiye’de yaşayan birisine yine Türkiye’de yaşayan birisi tarafından hakaret içeren bir e-posta gönderilmişse ya da Türkçe içerikli ve Türkiye’deki markalarını kötülemeye ve tüketicileri yanıltmaya yönelik bir mail gönderilmişse genellikle ISP’ler ve içerik sağlayıcılar ile birlikte hareket edilip bu e-postaların kaynağının kim olduğu, kimin tarafından gönderildiği tesbit edilebilmektedir.
turk-internet.com : Son zamanlarda bilgisayarlara el koymalar arttı. Bu durumda, el konulan kişisel veriler korunuyor mu?
Halil Öztürkci : El konulan disklerde yapılan incelemeler, sadece şüpheli olayın aydınlatılmasına yardımcı olacak bilgileri çıkarmaya yönelik incelemelerdir ve bu incelemelerde olayla ilgisi olmayan kişisel verilerin dışarı sızmaması için azami özen gösterilir.
Delillerin bulunduğu bir bilgisayara yada dijital delil’in bulunduğu bir çevre birimine ne kadar süre ile el konulacağı Ceza Muhakemesi Kanunu’nunda “Bilgisayarlarda, bilgisayar programlarında ve kütüklerinde arama, kopyalama ve elkoyma” başlığı altında yer alan 134. maddenin ikinci fıkrasında açıkca belirtilmiştir. 134. maddenin ikinci fıkrası şu şekildedir;
(2) Bilgisayar, bilgisayar programları ve bilgisayar kütüklerine şifrenin çözülememesinden dolayı girilememesi veya gizlenmiş bilgilere ulaşılamaması halinde çözümün yapılabilmesi ve gerekli kopyaların alınabilmesi için, bu araç ve gereçlere elkonulabilir. Şifrenin çözümünün yapılması ve gerekli kopyaların alınması halinde, elkonulan cihazlar gecikme olmaksızın iade edilir.
turk-internet.com : Bir siyasi partinin lideri, bir süre önce tüm partililerden, polisin olası bir el koyması durumuna karşı bilgisayarları yedeklemelerini istemişti. Böyle bir şeye neden ihtiyaç var?
Halil Öztürkci : Burada yedeklemeyi kimin yaptığı ve nasıl bir yedekleme yapıldığı önem kazanıyor. Eğer yedekleme kişinin kendisi tarafından yapılmışsa adli merciler tarafından bu yedeğin içeriği delil olarak kabul edilmez. Bu konuyla ilgili olarak Ceza Muhakemesi Kanunu’nunda “Bilgisayarlarda, bilgisayar programlarında ve kütüklerinde arama, kopyalama ve elkoyma” başlığı altında yer alan 134. maddenin ilk fıkrasında konuya açıklık getirilmiş durumda. 134. maddenin ilk fıkrası şu şekildedir;
(1) Bir suç dolayısıyla yapılan soruşturmada, başka surette delil elde etme imkânının bulunmaması halinde, Cumhuriyet savcısının istemi üzerine şüphelinin kullandığı bilgisayar ve bilgisayar programları ile bilgisayar kütüklerinde arama yapılmasına, bilgisayar kayıtlarından kopya çıkarılmasına, bu kayıtların çözülerek metin hâline getirilmesine hâkim tarafından karar verilir.
Aynı maddenin 3 ve 4. fıkrasında da yedekleme (computer forensic jargonuyla imaj almanın)konusuna açıklık getirilmiştir.
(3) Bilgisayar veya bilgisayar kütüklerine elkoyma işlemi sırasında, sistemdeki bütün verilerin yedeklemesi yapılır.
(4) İstemesi halinde, bu yedekten bir kopya çıkarılarak şüpheliye veya vekiline verilir ve bu husus tutanağa geçirilerek imza altına alınır.
Buradan da anlaşılacağı üzere hukuki bir süreçte incelenmek için bilgisayarların yedeklerini alma, diğer bir ifadeyle bilgisayar disklerinin imajlarını alma işlemi kanun uygulayıcılar tarafından gerçekleştirilmek zorunda. Bunun yanında el konulan dijital delilin sonradan değiştirilip değiştirilmediği yani sizin sorunuzdaki el konulma işlemdinden sonra yapılacak bir ‘yanlışlık’ın tesbiti mümkün. İmaj alma işlemi sırasında dijital deliller üzerinde çalıştırılan hash fonssiyonları sayesinde delillerin bütünlüklerini korumak ve daha sonra bu delillerin bütünlüklerini test etmek mümkün.
Kaynak : 