Anasayfa/ Makale/ Adli Bilişim Süreci: İmaj Alma, Hash ve Veri Analizi

Adli Bilişim Süreci: İmaj Alma, Hash ve Veri Analizi

Adli bilişim süreci, dijital ortamdaki izlerin bilimsel yöntemlerle toplanması, imaj alma ile kopyalanması, hash değeriyle bütünlüğünün doğrulanması ve elde edilen verilerin hukuki perspektifle analiz edilerek adli makamlara sunulması aşamalarını kapsayan kritik bir faaliyettir.
search
5 dk okuma Yayınlanma: Güncelleme:

Günümüzde suç ve suçluların dijital dünyada sıkça iz bırakmaları, maddi gerçeğin ortaya çıkarılmasında adli bilişim bilimini vazgeçilmez bir hale getirmiştir. Fiziksel olay yerlerindeki biyolojik veya kimyasal deliller gibi, bilişim sistemleri üzerinde yer alan manyetik olarak kodlanmış verilerin de bilimsel standartlarda toplanması ve incelenmesi zorunludur. Bir bilişim hukuku avukatı perspektifiyle değerlendirildiğinde, elektronik verilerin hukuka uygun bir delil niteliği kazanabilmesi, tamamen uluslararası standartlara uygun bir adli bilişim sürecinin işletilmesine bağlıdır. Bu süreç; elektronik delile ilk temas edildiği andan itibaren delilin değiştirilmeden muhafaza edilmesini, teknik uzmanlık gerektiren yöntemlerle kopyalanmasını ve mahkemeye sunulmak üzere detaylı bir analize tabi tutulmasını ifade etmektedir. İşlemlerin her aşamasında uyulması gereken katı kurallar, delil bütünlüğünün sağlanması ve savunma makamının olası itirazlarının bertaraf edilmesi açısından hayati öneme sahiptir.

Adli Bilişimde İmaj Alma (Birebir Kopyalama) İşlemi

Elektronik verilerin incelenmesi aşamasında en temel kural, incelemenin kesinlikle orijinal delil üzerinde yapılmamasıdır. Orijinal materyal üzerinde yapılacak doğrudan bir inceleme, elektronik delilin zarar görmesine veya verilerin geri dönülemez şekilde değişmesine yol açabilir. Bu riski ortadan kaldırmak hukuki açıdan zorunlu olduğundan, veri depolama birimi üzerindeki tüm verilerin alt seviye bit bazında kopyasının alınması işlemi olan imaj alma (birebir kopyalama) yöntemi uygulanmaktadır. Günlük kullanımdaki standart dosya kopyalamasından farklı olarak imaj alma işlemi, mevcut dosyaların yanı sıra sistemdeki silinmiş verileri, gizli bölümleri ve boş disk alanlarını da birebir yansıtmaktadır. Hukuk davalarında veya ceza yargılamalarında, uzman bilirkişilerin sadece bu adli kopya (forensic duplicate) üzerinden inceleme yapması, orijinal delilin güvenliğini garanti altına almaktadır. İmaj alma işlemleri, olay yerinin durumuna ve delilin niteliğine göre donanımsal araçlarla veya özel bilgisayar yazılımları ile gerçekleştirilebilmektedir.

Veri Bütünlüğünün Teminatı: Hash Değeri

Elektronik delilin yargılama sürecindeki en büyük handikaplarından biri, verilerin kolaylıkla değiştirilebilir veya tahrif edilebilir olduğu yönündeki iddialardır. Bu iddiaların hukuken ve teknik olarak bertaraf edilmesi, ancak hash (veri bütünlük) değerinin doğru kullanılmasıyla mümkündür. Hash fonksiyonu, değişken uzunluktaki bir veriyi algoritmik bir işlemden geçirerek ona özgü ve benzersiz bir değer üretir. Veri üzerinde tek bir karakterin bile değişmesi, elde edilecek hash değerinin tamamen değişmesine neden olmaktadır. Olay yerinde elde edilen diskin imajı alınırken üretilen MD5 veya SHA algoritmalarına dayalı hash değeri ile inceleme veya yargılama aşamasındaki imajın hash değeri aynı ise, delile hiçbir şekilde müdahale edilmediği ispatlanmış olur. Adeta elektronik verinin dijital mührü işlevini gören bu değer, delilin olay yerinden mahkeme salonuna kadar uzanan koruma zincirini (chain of custody) hukuken sağlamlaştıran en önemli dayanaktır.

Elektronik Delilin Analizi ve Hukuki Değerlendirme

Alınan adli kopyalar üzerinden yürütülen elektronik delil analizi, ham ve gizli durumdaki dijital verilerin ayıklanarak mantıklı, yararlı ve soruşturmaya konu suçu aydınlatmaya yarayacak bir formata dönüştürülmesi aşamasıdır. Bu süreçte adli bilişim uzmanları, teknik incelemeler neticesinde ortaya çıkan bulguları, hukuki bir değer kazanacak şekilde yorumlarlar. İnternet geçmişinin tespiti, yazıcı dosyalarının kontrolü, elektronik posta içeriklerinin ve steganografi yöntemiyle gizlenmiş verilerin gün yüzüne çıkarılması bu aşamanın temel adımlarındandır. Bir bilişim hukuku avukatı olarak şunu belirtmek gerekir ki; analiz sürecinde elde edilen teknik bulguların, mahkeme heyetinin ve tarafların anlayabileceği açık bir dille adli makamlara raporlanması esastır. Hukuka uygun yöntemlerle toplanmayan, bütünlüğü ispatlanamayan veya teknik içeriği net bir şekilde hukuki bir temele oturtulamayan analiz raporları, ceza yargılamasında hükme esas teşkil edemez. Adli bilişim sürecinde analiz işlemlerinin sağlıklı yürütülebilmesi ve maddi gerçeğe ulaşılabilmesi için uzmanlar tarafından şu adımların titizlikle uygulanması gerekmektedir:

  • Farklı isimlerle oluşturulmuş ancak içerik ve hash değeri aynı olan duplike dosyaların analizi.
  • Sistem dosyalarındaki değişiklikleri saptamaya yarayan zararlı kodların (malware) tespiti.
  • Belgenin oluşturulma, değiştirilme ve erişim tarihlerini gösteren üst veri (metadata) bilgilerinin incelenmesi.
  • Disk üzerinde silinmiş gibi görünen verilerin artık alan boşluklarından kurtarılması.
Polisin bilgisayarımı alıp içini doğrudan kurcalaması yasal mı? expand_more
Dijital delillerin incelenmesi aşamasında en temel kural, incelemenin kesinlikle orijinal delil üzerinde yapılmamasıdır. Orijinal materyal üzerinde doğrudan yapılacak bir inceleme, elektronik delilin zarar görmesine veya verilerin geri dönülemez şekilde değişmesine yol açabileceği için hukuka uygun değildir. Bu riski ortadan kaldırmak hukuken zorunlu olduğundan, veri depolama birimi üzerindeki tüm verilerin alt seviye bit bazında kopyasının alınması işlemi olan imaj alma yöntemi uygulanmalıdır. Hukuk davalarında veya ceza yargılamalarında, uzman bilirkişilerin orijinal delilin güvenliğini garanti altına almak adına sadece bu adli kopya (forensic duplicate) üzerinden inceleme yapması gerekmektedir.
Bilgisayarıma sonradan suçlayıcı dosya yüklemediklerini nasıl ispatlarım? expand_more
Elektronik delilin yargılama sürecinde değiştirilebilir veya tahrif edilebilir olduğu yönündeki iddiaların hukuken ve teknik olarak bertaraf edilmesi, hash (veri bütünlük) değerinin kullanılmasıyla mümkündür. Olay yerinde elde edilen diskin imajı alınırken üretilen hash değeri, adeta elektronik verinin dijital mührü işlevini görerek delilin koruma zincirini hukuken sağlamlaştırır. Veri üzerinde tek bir karakterin bile değişmesi, algoritmik işlemden geçen bu benzersiz hash değerinin tamamen değişmesine neden olmaktadır. İnceleme veya yargılama aşamasındaki imajın hash değeri ile ilk alınan değer aynı ise, cihaza hiçbir şekilde müdahale edilmediği ispatlanmış olur.
Sildiğim mesajlar veya gizlediğim dosyalar mahkemede karşıma çıkar mı? expand_more
Evet, sildiğinizi düşündüğünüz veya çeşitli yöntemlerle gizlediğiniz veriler adli bilişim teknikleriyle tespit edilerek mahkemede karşınıza çıkabilir. İmaj alma işlemi, cihazdaki yalnızca mevcut dosyaları değil, aynı zamanda silinmiş verileri, gizli bölümleri ve boş disk alanlarını da birebir yansıtmaktadır. Elektronik delil analizi aşamasında uzmanlar, disk üzerinde silinmiş gibi görünen verileri artık alan boşluklarından kurtarabilir ve steganografi yöntemiyle gizlenmiş verileri gün yüzüne çıkarabilir. Bu süreçte elde edilen teknik bulgular hukuki bir değer kazanacak şekilde yorumlanarak soruşturmayı aydınlatmak üzere adli makamlara sunulur.
Rapordaki teknik terimleri hakim anlamazsa dava aleyhime mi sonuçlanır? expand_more
Adli bilişim analiz sürecinde elde edilen teknik bulguların, mahkeme heyetinin ve yargılama taraflarının anlayabileceği açık bir dille raporlanması esastır. Ham ve gizli durumdaki dijital veriler, uzmanlar tarafından mantıklı, yararlı ve soruşturmaya konu suçu aydınlatmaya yarayacak bir formata dönüştürülmelidir. Hukuka uygun yöntemlerle toplanmayan, bütünlüğü ispatlanamayan veya teknik içeriği net bir şekilde hukuki bir temele oturtulamayan analiz raporları, ceza yargılamasında hükme esas teşkil edemez. Bu doğrultuda, anlaşılamayan veya somut bir hukuki temeli bulunmayan raporlara itiraz ederek aleyhinize bir karar çıkmasının önüne geçebilirsiniz.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir