Bilgisayar, flash disk,cd,DVD, dijital fotoğraf makinası, hafıza kartları gibi veri depolama özelliği olan sayısal deliller mahkeme kararıyla incelenebilmektedir. Konuyla ilgili kanun maddesi aşağıda verilmiştir.
BİLGİSAYARLARDA, BİLGİSAYAR PROGRAMLARINDA VE KÜTÜKLERİNDE ARAMA, KOPYALAMA VE ELKOYMA
Madde 134 - (1) Bir suç dolayısıyla yapılan soruşturmada, başka surette delil elde etme imkânının bulunmaması halinde, Cumhuriyet savcısının istemi üzerine şüphelinin kullandığı bilgisayar ve bilgisayar programları ile bilgisayar kütüklerinde arama yapılmasına, bilgisayar kayıtlarından kopya çıkarılmasına, bu kayıtların çözülerek metin hâline getirilmesine hâkim tarafından karar verilir.
Burada suçun kapsamı bence gayet geniş olarak verilmiş. Şüpheli bilgisayarı suçun aracı olarak da kullanıyor olabilir, ya da suçun bir parçası,yardımcısı olarak da kullanıyor olabilir. Her iki durumda da bilgisayar kayıtları suçun delillendirilmesinde katkıda bulunacaktır. Ayrıca burada şüphelinin bilgisayarının yanısıra suçun türüne göre mağdurun da bilgisayarına el konulabilir. Ya da mağdur kendi rızası ile bilgisyarının incelenmesini talep edebiliri. Örneğin mağdurun bilgisayarına yerleştirilen bir "casus program" ve ya "keylogger" programı analiz edilebilir.
(2) Bilgisayar, bilgisayar programları ve bilgisayar kütüklerine şifrenin çözülememesinden dolayı girilememesi veya gizlenmiş bilgilere ulaşılamaması halinde çözümün yapılabilmesi ve gerekli kopyaların alınabilmesi için, bu araç ve gereçlere elkonulabilir. Şifrenin çözümünün yapılması ve gerekli kopyaların alınması halinde, elkonulan cihazlar gecikme olmaksızın iade edilir.
Bilgisayarda veri depolama birimi olarak sabit diskler kullanılır. Bilgisayar programları ve bilgisayar kütükleri sabit disk içerisinde yer alır. Sabit diskin içinde mevcut veriler, silinmiş veriler ve gizlenmiş veriler olabilir. Bu verilerin incelenmesi teknik altyapı, özel donanım ve yazılımlar gerektirir.
Şifre her zaman işletim sistemi seviyesinde olmayabilir. Bazan bilgisayarda "pre-boot" dediğimiz ön-açılış seviyesinde disk üzerinde şifre yer alabilir ki günümüzde bir çok dizüstü bilgisayar bu şekilde korunuyor. Yani diske erişim mümkün olmuyor. Ya da diskin tamamı veya bir bölümü de şifrelenmiş olabilir.Dolayısıyla şifrenin çözülememesi durumu mevcuttur.
(3) Bilgisayar veya bilgisayar kütüklerine elkoyma işlemi sırasında, sistemdeki bütün verilerin yedeklemesi yapılır.
Sistemdeki bütün verilerin yedeklemesine imaj alma işlemi yani birebir kopya alınması işlemi diyebiliriz. Bu konuda esneklik esastır. Yani her olayda, olay yerinde imaj alınması işlemi imkansızdır. ABD' de Adalet Bakanlığı tarafından imajların nerede alınacağı sistemin suçun işlenişindeki konumuna göre düzenlenmiştir. Bu düzenleme klavuz niteliğindedir. Şahsi görüşüm duruma göre yedeklemenin olay yerinde değilde laboratuar ortamında yapılması dır. Delilin bir an önce birebir kopyası alınmalı, bütünlüğü hesaplanmalı (hash değeri hesaplanması), yapılan işlemler tutanak altına alınmalı,birebirkopya üzerinde inceleme yapıldıktan sonra delil bir an önce iade edilmelidir.
(4) İstemesi halinde, bu yedekten bir kopya çıkarılarak şüpheliye veya vekiline verilir ve bu husus tutanağa geçirilerek imza altına alınır.
İstenmesi halinde birebir kopyanın bir kopyası şüpheliye veya vekile verilebilir. İstenmese ne olur? Delil üzerinde manipülasyon mu yapılır? Zaten delil iade edildikten sonra tekrar bir imaj alındığında hesaplanan hash değeri önceki hesaplanan hash değeriyle aynı olmaldır. Eğer disk üzerinde bir oynama yapılmamış veya diskte bir arıza meydana gelmemiş ise. Ayrıca her şekilde bir disk üzerinde oynama yapıldığı anlaşılır. Adli Bilişim incelemesinde prensip olarak birebir kopya alınırken delil üzerine hiç bir veri yazılamaz, içerisinde hiç bir veri değiştirelemez. İncelemeler delilin üzerinde değil , birebir kopyası üzerinde yapılır. Sadece bu konu için hazırlanmış donanım ve yazılımlar mevcuttur. Birebir kopyası alınmasa bile delil bu donanım ve yazılımlarla incelendiğinde artık koruma altındadır.
Ayrıca birebir kopyayı alan şüpheli veya vekilin bu kopyayı okuyabilecek teknik bilgiye ve donanıma sahip olmadan bu kopyaların içeriğini görmesi, okuması mümkün değildir.
(5) Bilgisayar veya bilgisayar kütüklerine elkoymaksızın da, sistemdeki verilerin tamamının veya bir kısmının kopyası alınabilir. Kopyası alınan veriler kâğıda yazdırılarak, bu husus tutanağa kaydedilir ve ilgililer tarafından imza altına alınır.
"kopyası alınan veriler kağıda yazdırılarak.." ibaresinde kopyası alınan dosyaların adları ve bunlara ait hash değerleri elbetteki sayfa sayısı da dikkate alınarak yazrılabilir. Bence makul olan bunların da Cd ortamında verilmesidir. Bir deneme yaptım. 668 Gigabyte' ı dolu olan bir disk içinde bulunan dosyaların listesi klasörleriye beraber yaklaşık 90 Megabyte boyutunda excel dosyası tuttu. Bu dosya ise 1300 sayfa tutuyor. Bu kadar sayfanın yazırılmadı da makul değil.Dolayısıyla yazdırma işlemi dosya sayısıyla sınırlı olabilir.
3 ncü maddede belirtmiştik. Bu konuda esneklik esastır. Binlerce makinanın çalıştığı bir ağ ortamında bütün makinalara el koymak gereksizdir. Burada ince nüanslara dikkat edilmelidir ve inceleme alanı küçültülmelidir. Bu sayede bir çok makina gereksiz yere devre dışı bırakılmayacak ve incelenmeyecektir.
Burada ayrıca dikkat edilecek husus, savcılık tarafından inceleme istek formunda belirtilen kriterlere göre inceleme yapılmasıdır. İnceleme esnasında suç ile ilgiliverilerin yanısıra kişisel verilere de erişeleceği göz önüne alınmalıdır. Sonuçta inceleme sonrası yazılan raporda sadece konu ile ilgili verilere değinilmelidir.
Hiç yorum yok:
Yorum Gönder