TÜBİTAK'tan mahkemeye Odatv raporu

Raporun sonunda, ''Dosyaların zararlı yazılımlar vasıtasıyla geldiğine veya gelmediğine dair kesin bir yargıya varılamamıştır'' denildi.

Mahkemeye gönderilen, 339 sayfalık bilirkişiler Osman Pamuk, Ünal Tatar ve Emin Çalışkan'ın imzalarını taşıyan raporda, Delil 1, Delil 2 ve Delil 3 numaralı sabit disklerin imajlarında, EK-1 dosya listesinde belirtilen dosyaların, ''kime ait olduğu'', ''ilgili bilgisayarlara nereden gelmiş olduğu'', ''bilgisayarlara zararlı yazılımlar vasıtasıyla mı geldiği'' hususlarının araştırıldığı belirtildi.

- ''Zararlı yazılımların çalışmış olduğu kanısına varıldı'' -

İlgili bilgisayarlarda çok sayıda zararlı yazılımın izine rastlandığı belirtilirken, şöyle denildi:

''Tespit edilen bu izlerin büyük çoğunluğunun aktif olma şansı bulamamış veya uzaktan dosya atma özelliği bulunmayan zararlı yazılımlara ait olduğu görülmüştür. Geri kalan zararlı yazılım izleri içinden de imajları incelenen bilgisayarların kullanıcılarını özel olarak hedef almış olan zararlı yazılımlara ait izler ayrıntılı bir şekilde incelenmiştir. Bu incelemenin sonucunda, uzaktan dosya atabilme özelliğine sahip ve ilgili bilgisayar kullanıcılarını hedef almış olan zararlı yazılımların çalışmış olduğu kanısına varılmıştır.''

EK 1 dosya listesinde belirtilen dosyaların belge üstverileri, dosya sistemi üstverileri ve işletim sistemi izleri üzerinde de inceleme yapıldığı kaydedilirken, şöyle denildi:

''EK 1'de listelenen dosyalardan 'sy.doc' ve 'prj_60 doc' dosyaları dışındakilerin ilgili bilgisayarlarda oluşturulduğuna veya değiştirildiğine dair bir bulguya rastlanmamıştır. ''sy.doc'' ve 'prj_60.doc' dosyalarının Delil 2 bilgisayarında değiştirilmiş olma ihtimali mevcuttur. Bu iki dosya dışındaki dosyaların bilgisayar kullanıcıları tarafından açıldığına, işletim sistemi üzerinde oluşabilecek izler incelenmiş ve ilgili bilgisayar kullanıcıları tarafından açıldıklarına dair kuvvetli bir bulgu olmadığı tespit edilmiştir. Dosya üstverileri arasında uyumsuzluklar araştırılmış ve sadece Delil 3 üzerindeki 4 dosya için normal kullanıcı davranışları ile oluşması zor, dosya sistemi üstverilerinde bulunan bir uyumsuzluğa rastlanmıştır. Bu uyumsuzluğun normal koşullarda oluşma ihtimalinin düşük olduğu değerlendirilmektedir. Bunun yanında bu uyumsuzluğun dosya sistemi üstverilerinin dışarıdan bir müdahale ile değiştirilmesi sonucu oluşması ihtimali ise daha kuvvetlidir. Bu müdahale zararlı bir yazılım aracılığıyla uzaktan erişim yöntemi ile gerçekleştirilebileceği gibi, bilgili bir kullanıcı tarafından da gerçekleştirilme ihtimali mevcuttur. Delli 3 bilgisayarını bu yetkinliğe sahip bir kullanıcının da kullandığına dair izlere rastlanmıştır. Delil 1 ve Delil 2 hakkında hazırlanmış bilirkişi raporlarının, EK-1 dosya listesindeki dosyaların üstverilerinde ve dosya sistemi izlerinde bulunduğunu ve zararlı yazılımlar vasıtasıyla oluşmuş olduğunu savundukları uyumsuzluk iddiaları ayrıntılı bir şekilde incelenmiştir. Bu inceleme sonucunda, dosya üstverilerinde ve dosya sistemi izlerinde iddia edilen herhangi bir uyumsuzluğun olmadığı ve delillerde tespit edilen zararlı yazılımlar ile ilişkilendirilemeyeceği açıklanmıştır.''

-''Dosyalar nereden gelmiş olabilir?''-

EK-1 listesinde yer alan dosyaların nereden gelmiş olabileceğine ilişkin soruya ise raporda şöyle cevap verildi:

''Listedeki dosyaların büyük çoğunluğunun oluşturma tarihinin sadece saniye seviyesinde saklandığı, FAT formatındaki bir sürücüden kopyalanmış olması ve ''zip'', 'rar' benzeri arşiv dosyalarından çıkarılmış olması veya CD, DVD tarzı bir veri aygıtından gelmiş olma olasılığı mevcuttur. Özellikle Delil 2'de EK-1 dosya lisktesinde ismi geçen bir çok dosyanın 'rar' uzantılı dosyalardan çıkarılmış olduğuna işaret eden dosya sistemi izlerine rastlanmıştır. Fakat bu arşiv dosyalarına erişilemediği için nereden gelmiş olabilecekleri hususunda bir fikir yürütülememektedir. Bunun yanında Delil 1 ve Delil 2 bilgisayarında aynı USB veri depolama cihazlarının kullanılmış olduğu ve üç bilgisayarda da 'teamvivwer' uygulamasının kurulu olduğu ve bu programın kayıtlarında ortak bağlantı adreslerinin de olduğu tespit edilmiştir. Dosyaların bu bilgisayarlara aktarılması için bu USB veri depolama cihazları veyahut 'teamviwer' uygulaması da kullanılmış olabilir.''

-Sonuç-

Raporun sonuç bölümünün son paragrafında ise şu ifadeler yer aldı:

''Delil 3'teki dosya sistemi üstveri uyumsuzlukları ve bu bilgisayar kullanıcısına başarılı bir şekilde gerçekleştirilmiş olduğu değerlendirilen hedefli zararlı yazılım gönderme saldırısının zamanlaması, Delil 3 bilgisayarındaki dosyaların zararlı yazılım vasıtasıyla gönderilmiş olma ihtimalini güçlendirmektedir. Delil 1 ve Delil 2 bilgisayarlarında da, özel hedefli sosyal mühendislik saldırıları ile gönderilen, uzaktan dosya atma özelliği bulunan zararlı yazılımların çalışmış olduğu tespit edilmiştir ve Ek-1 dosya listesindeki dosyalar üzerinde ilgili bilgisayar kullanıcıları tarafından bir işlem gerçekleştirildiğine dair tatmin edici izlere rastlanmamıştır. Bunun yanında Ek-1 dosya listesindeki dosyaların üstverilerinde ve işletim sistemi izlerinde, bu dosyaların zararlı yazılımlar vasıtasıyla bu bilgisayarlara gönderilmiş olduğuna dair herhangi bir bulguya da rastlanmamıştır. Bu sebeple bu dosyaların zararlı yazılımlar vasıtasıyla geldiğine veya gelmediğine dair kesin bir yargıya varılamamıştır.''