Makale

Bilişim suçlarının veya hukuki uyuşmazlıkların aydınlatılmasında, elde edilen dijital materyallerin doğru bir şekilde incelenmesi büyük bir önem taşımaktadır. E-delillerin incelenmesi, ancak uzman personelin görev yaptığı, gerekli donanım ve yazılımlarla donatılmış özel laboratuvar ortamlarında gerçekleştirilebilir. Adli bilişim sürecinin en kritik aşamalarından birini oluşturan bu inceleme evresi, elde edilen verilerin hukuka uygun bir şekilde analiz edilmesini ve maddi gerçeğin ortaya çıkarılmasını sağlar. Ancak, özellikle inceleme ve doğrulama süreçlerinde hash değeri problemleri gibi karmaşık teknik sorunlarla karşılaşılması muhtemeldir. Bu tür teknik sorunların hukuki düzlemde doğru yorumlanması ve inceleme sonucunda elde edilen tüm bulguların mahkemelerin veya ilgili tarafların anlayabileceği açık, net ve standart bir yapıya sahip raporlarla sunulması, adli bilişim sürecinin başarısını doğrudan etkilemektedir. Hukuki süreçlerin sağlıklı yürütülebilmesi için adli bilişim yazılımlarının kullanılması, donanımların yetkinliği ve hazırlanan raporların resmi usullere uygunluğu vazgeçilmez bir unsurdur.

E-Delillerin Laboratuvar Ortamında İncelenmesi

Dijital cihazlardan toplanan delillerin sağlıklı bir şekilde analiz edilebilmesi ve maddi gerçeğe uygun bulgular elde edilebilmesi için e-delillerin dış etkenlerden izole edilmiş laboratuvarlarda incelenmesi zorunludur. Bu laboratuvarlarda, her türlü ihtimale karşı çeşitli tamir bakım setleri, dönüştürücü cihazlar ve adli bilişim için özel olarak tasarlanmış programlar hazır bulundurulmalıdır. İnceleme sürecinde, genel kabul görmüş ticari adli bilişim yazılımları sıkça tercih edilmektedir. Çünkü bu yazılımların mahkemeler tarafından kabul edilebilirliği oldukça yüksek olup, tutarlı ve tekrar edilebilir sonuçlar vermektedirler. Ücretsiz açık kaynak kodlu yazılımlara kıyasla, teknik destek, görsel raporlama ve hızlı güncellemeler gibi avantajlar sunan ticari araçlar, şifreli dosyaları bulma, silinmiş verileri kurtarma ve zararlı yazılımları analiz etme gibi işlemlerde uzmana büyük kolaylık sağlar. Her suç tipine göre potansiyel e-delil tespiti değiştiğinden, örneğin bir dolandırıcılık vakasında banka günlükleri ve muhasebe kayıtları aranırken, iletişim suçlarında e-postalar ve sohbet günlükleri incelenmelidir.

İnceleme Sürecinde Karşılaşılan Hash Problemleri

Adli kopya alma işlemlerinde veri bütünlüğünün sağlandığını kanıtlayan temel araç hash değeri hesaplamasıdır. Ancak, elektronik delillerin depolandığı aygıtların kısıtlı ömürleri ve karmaşık yapıları nedeniyle inceleme süreçlerinde çeşitli hash uyuşmazlıkları yaşanabilmektedir. Örneğin, optik disklerde zamanla oluşan oksitlenme veya çizilmeler sektörlerin okunamamasına ve dolayısıyla aynı diskten daha sonra alınan kopyaların farklı hash değerleri üretmesine yol açabilir. Benzer şekilde, mekanik sabit disklerde (HDD) bulunan ve fabrikasyon ya da kullanım kaynaklı oluşan bozuk sektörler, disk kontrolcüsü tarafından gizlenip yedek sektörlerle değiştirildiğinde, her okumada farklı veri sonuçları çıkabilir ve hash değerleri uyuşmayabilir. Yeni nesil katı hal sürücülerinde (SSD) ise durum çok daha kritiktir. SSD disklerde yer alan TRIM komutu ve çöp toplama sistemleri, disk yazma korumalı bir donanıma bağlı olsa dahi arka planda çalışarak silinmiş gibi görünen verileri kalıcı olarak yok edebilir veya veri bloklarının yerini değiştirebilir. Bu teknolojik arka plan nedeniyle, orijinal SSD üzerinden sonradan alınacak bir adli kopyanın hash değeri, ilk alınan kopyanın hash değeri ile aynı olmayacaktır.

Hash Sorunlarının Hukuki Açıdan Değerlendirilmesi

Hukuki uyuşmazlıklarda, taraf avukatları tarafından delil bütünlüğünün ihlal edildiği iddiasıyla orijinal elektronik delil üzerinden yeniden hash hesaplatılması talepleri sıklıkla gündeme gelmektedir. Ancak teknik gerçekler ışığında, orijinal aygıtın zamanla veya kendi iç sistemleri nedeniyle veri değişikliğine uğraması, hukuki açıdan delil bütünlüğünün bozulduğu anlamına gelmemelidir. Çalışan sistemlerden veya cep telefonlarından alınan imajlarda olduğu gibi, zamanla değişime uğrayan sabit disk ve SSD'ler de sadece elde edilen ilk adli kopyaları üzerinden değerlendirilmelidir. Bir elektronik delilin bütünlüğünün denetimi, orijinal kaynak cihazın yeniden kopyalanması suretiyle değil, ilk müdahale sırasında alınan kopyanın hash değerinin, halihazırda incelenen adli kopyanın hash değeri ile eşleşip eşleşmediğine bakılarak yapılmalıdır. Bu ayrımın hukuki merciler tarafından doğru anlaşılması, delillerin asılsız yere reddedilmesinin önüne geçecek ve adil yargılanma hakkının korunmasına doğrudan hizmet edecektir.

E-Delillerin Mahkemeye Sunulması ve Raporlama

Tüm teknik analizler tamamlandıktan sonra adli bilişim sürecini taçlandıran ve en zor aşama olan raporlandırma evresine geçilir. Elde edilen son derece karmaşık dijital bulguların, konunun uzmanı olmayan hakimler, savcılar ve taraf avukatları tarafından anlaşılabilir hale getirilmesi şarttır. Hazırlanan rapor, açık, net, varsayımlardan uzak ve somut bilgilere dayanmalı; resmi bir dille kaleme alınmalıdır. Teknik terimlerin kullanılması zorunluysa, mutlaka rapor içerisinde detaylı bir terimler sözlüğü bulundurulmalıdır. İnceleme sonucunda sadece şüphelinin aleyhine olan hususlar değil, lehe olan bulgular da objektif bir şekilde rapora yansıtılmalıdır. Raporun değiştirilemez bir formatta aslı ile muhafaza edilmesi ve hukuki denetime açık olması, ispat süreci açısından son derece mühimdir.

İyi bir adli bilişim raporunda bulunması gereken asgari unsurlar şunlardır:

• İncelemeyi talep eden ve işlemi gerçekleştiren kurum veya şahıs bilgileri,
• İncelenen e-delile ait aidiyet, marka, model ve seri numarası gibi ayırt edici cihaz özellikleri,
• İnceleme sürecinde kullanılan donanım, yazılım ve sürüm bilgileri,
• Adli kopya alımında elde edilen, doğrulanan ve kayıt altına alınan hash değerleri,
• Tespit edilen bulguların dosya isimleri, konumları ve üstveri (metadata) zaman damgaları.