Makale
Adli bilişim süreci, dijital ortamdaki izlerin bilimsel yöntemlerle toplanması, imaj alma ile kopyalanması, hash değeriyle bütünlüğünün doğrulanması ve elde edilen verilerin hukuki perspektifle analiz edilerek adli makamlara sunulması aşamalarını kapsayan kritik bir faaliyettir.
Adli Bilişim Süreci: İmaj Alma, Hash ve Veri Analizi
Günümüzde suç ve suçluların dijital dünyada sıkça iz bırakmaları, maddi gerçeğin ortaya çıkarılmasında adli bilişim bilimini vazgeçilmez bir hale getirmiştir. Fiziksel olay yerlerindeki biyolojik veya kimyasal deliller gibi, bilişim sistemleri üzerinde yer alan manyetik olarak kodlanmış verilerin de bilimsel standartlarda toplanması ve incelenmesi zorunludur. Bir bilişim hukuku avukatı perspektifiyle değerlendirildiğinde, elektronik verilerin hukuka uygun bir delil niteliği kazanabilmesi, tamamen uluslararası standartlara uygun bir adli bilişim sürecinin işletilmesine bağlıdır. Bu süreç; elektronik delile ilk temas edildiği andan itibaren delilin değiştirilmeden muhafaza edilmesini, teknik uzmanlık gerektiren yöntemlerle kopyalanmasını ve mahkemeye sunulmak üzere detaylı bir analize tabi tutulmasını ifade etmektedir. İşlemlerin her aşamasında uyulması gereken katı kurallar, delil bütünlüğünün sağlanması ve savunma makamının olası itirazlarının bertaraf edilmesi açısından hayati öneme sahiptir.
Adli Bilişimde İmaj Alma (Birebir Kopyalama) İşlemi
Elektronik verilerin incelenmesi aşamasında en temel kural, incelemenin kesinlikle orijinal delil üzerinde yapılmamasıdır. Orijinal materyal üzerinde yapılacak doğrudan bir inceleme, elektronik delilin zarar görmesine veya verilerin geri dönülemez şekilde değişmesine yol açabilir. Bu riski ortadan kaldırmak hukuki açıdan zorunlu olduğundan, veri depolama birimi üzerindeki tüm verilerin alt seviye bit bazında kopyasının alınması işlemi olan imaj alma (birebir kopyalama) yöntemi uygulanmaktadır. Günlük kullanımdaki standart dosya kopyalamasından farklı olarak imaj alma işlemi, mevcut dosyaların yanı sıra sistemdeki silinmiş verileri, gizli bölümleri ve boş disk alanlarını da birebir yansıtmaktadır. Hukuk davalarında veya ceza yargılamalarında, uzman bilirkişilerin sadece bu adli kopya (forensic duplicate) üzerinden inceleme yapması, orijinal delilin güvenliğini garanti altına almaktadır. İmaj alma işlemleri, olay yerinin durumuna ve delilin niteliğine göre donanımsal araçlarla veya özel bilgisayar yazılımları ile gerçekleştirilebilmektedir.
Veri Bütünlüğünün Teminatı: Hash Değeri
Elektronik delilin yargılama sürecindeki en büyük handikaplarından biri, verilerin kolaylıkla değiştirilebilir veya tahrif edilebilir olduğu yönündeki iddialardır. Bu iddiaların hukuken ve teknik olarak bertaraf edilmesi, ancak hash (veri bütünlük) değerinin doğru kullanılmasıyla mümkündür. Hash fonksiyonu, değişken uzunluktaki bir veriyi algoritmik bir işlemden geçirerek ona özgü ve benzersiz bir değer üretir. Veri üzerinde tek bir karakterin bile değişmesi, elde edilecek hash değerinin tamamen değişmesine neden olmaktadır. Olay yerinde elde edilen diskin imajı alınırken üretilen MD5 veya SHA algoritmalarına dayalı hash değeri ile inceleme veya yargılama aşamasındaki imajın hash değeri aynı ise, delile hiçbir şekilde müdahale edilmediği ispatlanmış olur. Adeta elektronik verinin dijital mührü işlevini gören bu değer, delilin olay yerinden mahkeme salonuna kadar uzanan koruma zincirini (chain of custody) hukuken sağlamlaştıran en önemli dayanaktır.
Elektronik Delilin Analizi ve Hukuki Değerlendirme
Alınan adli kopyalar üzerinden yürütülen elektronik delil analizi, ham ve gizli durumdaki dijital verilerin ayıklanarak mantıklı, yararlı ve soruşturmaya konu suçu aydınlatmaya yarayacak bir formata dönüştürülmesi aşamasıdır. Bu süreçte adli bilişim uzmanları, teknik incelemeler neticesinde ortaya çıkan bulguları, hukuki bir değer kazanacak şekilde yorumlarlar. İnternet geçmişinin tespiti, yazıcı dosyalarının kontrolü, elektronik posta içeriklerinin ve steganografi yöntemiyle gizlenmiş verilerin gün yüzüne çıkarılması bu aşamanın temel adımlarındandır. Bir bilişim hukuku avukatı olarak şunu belirtmek gerekir ki; analiz sürecinde elde edilen teknik bulguların, mahkeme heyetinin ve tarafların anlayabileceği açık bir dille adli makamlara raporlanması esastır. Hukuka uygun yöntemlerle toplanmayan, bütünlüğü ispatlanamayan veya teknik içeriği net bir şekilde hukuki bir temele oturtulamayan analiz raporları, ceza yargılamasında hükme esas teşkil edemez. Adli bilişim sürecinde analiz işlemlerinin sağlıklı yürütülebilmesi ve maddi gerçeğe ulaşılabilmesi için uzmanlar tarafından şu adımların titizlikle uygulanması gerekmektedir:
- Farklı isimlerle oluşturulmuş ancak içerik ve hash değeri aynı olan duplike dosyaların analizi.
- Sistem dosyalarındaki değişiklikleri saptamaya yarayan zararlı kodların (malware) tespiti.
- Belgenin oluşturulma, değiştirilme ve erişim tarihlerini gösteren üst veri (metadata) bilgilerinin incelenmesi.
- Disk üzerinde silinmiş gibi görünen verilerin artık alan boşluklarından kurtarılması.