Odatv davasında sanıkların suç unsuru verilerin bilgisayarlara virüslerle gönderildiği yönündeki iddialarına ilişkin, TÜBİTAK'tan ikinci kez bilirkişi raporu mahkemeye ulaştı. Raporda herhangi bir dosyanın bir bilgisayarlarda oluşturulup oluşturulmadığı, değiştirilip değiştirilmediğinin kesin tespitinin mümkün olmadığı belirtildi. Rapora göre Odatv'deki bilgisayarlarda söz konusu verilerin açıldığı ve temizleme programıyla da temizlenmiş olabileceği kaydedildi. Raporda, dosyaların oluşturulma zamanlarının söz konusu bilgisayarlara zararlı yazılımların gönderilme tarihinden önce olduğu ifade edildi.
Odatv'ye ait 1 bilgisayar ile sanıklar Barış Pehlivan ve Müesser Yıldız'a ait toplam 3 bilgisayarı inceleyen TÜBİTAK hazırladığı ilk raporu İstanbul 16. Ağır Ceza Mahkemesi'ne göndermişti. Ancak mahkeme, gelen raporun yeterli olmadığını belirterek TÜBİTAK'tan yeniden rapor hazırlamasını istemişti. Mahkeme, TÜBİTAK'tan yargılama konusu belgelerin sanıkların bilgisayarlarına virüs yoluyla gönderilip gönderilmediğini daha net ifadelerle anlatan yeni bir rapor hazırlamasını talep etmişti. TÜBİTAK'ta görevli 3 bilirkişinin hazırladığı 84 sayfalık yeni rapor mahkemeye ulaştı. Yeni rapor mahkemenin soruları üzerine, soru cevap şeklinde tanzim edildi. İşte mahkemenin soruları ve TÜBİTAK'ın verdiği cevaplar:
Mahkemenin sorusu: “Dosyaların anılan bilgisayarlarda kesin olarak oluşturulup oluşturulmadığı, değiştirilip değiştirilmediğinin tespitinin mümkün olup olmadığı? Kesin olarak tespitinin mümkün olmaması halinde bunun nedenlerinin yalın ve açıklayıcı bir şekilde belirtilmesinin istenmesi?”
TÜBİTAK'ın cevabı: “Herhangi bir dosyanın bir bilgisayarlarda oluşturulup oluşturulmadığı, değiştirilip değiştirilmediğinin kesin tespiti mümkün değildir. Bunun sebebi bir dosyanın bir bilgisayarda oluşturulduğuna veya değiştirildiğine işaret eden dijital bulguların kesinlik ifade etmemesi ve bilgi sahibi bir kullanıcı tarafından değiştirilebilir olmasıdır. İncelemelerde yazar alanında “soner”, “Barış”, “pc” ve “Your User Name” son değiştiren alanında ise “Sys”ofis kullanıcı isimlerinin geçtiği dokümanlara rastlanmıştır. “Sys” Delil 1 (Oda tv bilgisayarı) bilgisayarındaki ofis kullanıcı ismidir. Bu şartları sağlayan dokümanlarda ofis üst verileri ve dosya sistemi üst verileri incelendiğinde, bu dokümanların yüksek ihtimalle Delil 1 bilgisayar kullanıcısı tarafından değiştirildiği kanaatine varılmıştır.
Dosyaların Delil 1(Oda tv bilgisayarı) ve Delil 2 (BarışPehlivan'ın bilgisayarı) bilgisayarlarına, bahse konu olan zararlı yazılımlar ile yüksek ihtimalle gönderilmediği de göz önünde bulundurulduğunda; yazar alanında ofis kullanıcı ismi “soner” olan dokümanların yüksek ihtimalle “Soner Yalçın” isimli şahsa ait farklı bir bilgisayarda oluşturulduğu, yazar alanında “Barış” yazan dokümanların da yüksek ihtimalle “BarışPehlivan” isimli şahsa ait farklı bir bilgisayarda oluşturulduğu ve daha sonra ilgili bilgisayarlara CD/DVD, USB tarzı veri depolama cihazları ile taşındığı değerlendirilmektedir.”
Mahkemenin sorusu: “İlk raporda belirtilen dosyaların anılan bilgisayarlarda‘açıldığına dair bulguya rastlanılmadığı' olgusunun yalın bir şekilde açıklanması, belgenin açıldığına dair izlerin nerede ve ne şekilde bulunacağının açıklanması,‘bu tür bulguya rastlanmamış olmasının kullanıcı tarafından kesin olarak açılmadığı anlamına gelmeyeceği' belirlemesinin yine yalın bir şekilde açıklanması, kesin olarak belirleme yapılamamasının nedenlerinin hangi olasılıklardan kaynaklandığının ayrıntılı bir şekilde belirtilmesi?”
TÜBİTAK'ın cevabı: “İzlerin bir kısmı geçici izlerdir (zaman geçtikçe bu izler silinip üzerlerine yeni açılan dokümanların izleri gelebilir). Aynı zamanda bu izler bilgili bir kullanıcı tarafından elle veya çeşitli yardımcı programlar vasıtasıyla (Ccleaner gibi) silinebilir. Delil 2(Barış Pehlivan'ın) bilgisayarında bu tür izleri silmek için kullanılan “Ccleaner” uygulamasına ait izlere rastlanmıştır. Araştırma sonucunda yukarıda bahsi geçen “Ccleaner” uygulamasıyla ilgili çeşitli izlere Delil 2 bilgisayarında rastlanılmıştır. Dava kapsamında incelenen Delil 2 bilgisayarında $LogFile sistem dosyasında, EK-1 dosyalarının birçoğunun ismi geçmesi, bununla birlikte dosya içeriklerine ve MFT kayıtlarına dair hiçbir izin bulunmamasının sebebi, dosyaların “Ccleaner” ile temizlenmiş olması olabilir.”
“Dosyaların açılmasıyla alakalı izlere rastlanmamış olması, ilgili dokümanların açılmadığını kesin olarak göstermemektedir. Bu izlere rastlanılması ise kuvvetli bir ihtimalle bu dokümanların açıldığına işaret etmektedir. Ek olarak “Hanefi.doc” dosyasının oluşturma tarihi ile son erişim tarihleri arasında yaklaşık 6 ay, “Sn.Komutanım.doc” dokümanı için yaklaşık 5 ay,“toplantı.doc” dosyası için yaklaşık 8 ay fark bulunmaktadır. Bunun anlamı “Hanefi.doc” dosyasının en az 6 ay, “Sn.Komutanım.doc” dosyasının en az 5 ay ve “toplantı.doc” dosyasının en az 8 ay silinmeden önce ilgili bilgisayarda kullanıcının erişebileceği bir konumda bulunmuş olmasıdır.”
“Delil 1(oda tv) ve 2(barış pehlivan) bilgisayarlarına, dosyaların yüksek ihtimalle zararlı yazılımlar ile gönderilmediği göz önünde bulundurulduğunda, bu üç dosyanın yüksek ihtimalle kullanıcı bilgisi dâhilinde Delil 1 bilgisayarında bulunduğu ve erişim tarihlerindeki güncellemelerden ötürü bu dosyalar üzerinde kullanıcı tarafından bir işlem yapıldığı değerlendirilmektedir.”
Mahkemenin sorusu: “İlk raporda belirtilen dosyaların anılan bilgisayarlarda ‘zararlı bir yazılım tarafından gönderildiğine veya değiştirildiğine dair bir bulguya rastlanmamıştır' olgusunun yine yalın bir şekilde açıklanması? Yine raporda geçen ‘Dosyanın zararlı bir yazılım tarafından kesin olarak gönderilmemiş veya değiştirilmemiş olduğu anlamına gelmemektedir' ibaresinin yalın bir şekilde açıklanması?”
TÜBİTAK'ın cevabı, “Bu inceleme sonucunda ilgili belgelerin zararlı yazılımlar vasıtasıyla gönderilip gönderilmediği hususuyla alakalı tespit edilen bulgular şu şekildedir:
1- İlgili bilgisayarlara hedefli olarak uzaktan yönetim özelliği bulunan zararlı yazılımlar gönderilmiştir.
2- Bu zararlı yazılımların ilgili bilgisayarlarda çalışmış olduğu tespit edilmiştir.
3 - EK-3 tablolarında, davaya konu dosyalarla alakalı, delil bilgisayarlarında tespit edilen üst veri türleri gösterilmektedir. Bu tablolardan da anlaşılacağı üzere, dosyaların çoğunun dosya sistemi zaman üst verilerine ulaşılmıştır.
4- Erişilen bu dosya sistemi tarih üst verilerine göre, dosyaların oluşturulma zamanları, ilgili zararlı yazılımların gönderilme zamanlarından öncedir.
Sonuç olarak yukarıdaki bulgular doğrultusunda, Delil 1(oda tv) ve Delil 2(barış pehlivan) bilgisayarlarında EK-1 listesinde bulunan dokümanların yüksek ihtimalle bahse konu olan zararlı yazılımlarla bu bilgisayarlara gönderilmediği değerlendirilmektedir.”
Mahkemenin sorusu: “Her üç bilgisayardaki Güvenlik önlemlerinin, uzaktan dosya gönderme özelliğine sahip zararlı yazılımların çalışmasını engelleyip engellemeyeceğinin ayrıntılı olarak açıklanması?
TÜBİTAK'ın cevabı, “Uzaktan dosya gönderme özelliğine sahip bir zararlı yazılımın gönderdiği, resim, ofis dosyası, vb. gibi içerisinde herhangi bir zararlı kod parçası içermeyen dosyalar, bilgisayar üzerindeki antivirüs yazılımı tarafından tespit edilemez ve engellenemezler. Antivirüs yazılımının tespit edip, engellemesi ancak uzaktan gönderilen dosyalar içerisinde antivirüs yazılımı tarafından tanınan zararlı kodların olması durumunda mümkün olabilir. Bu sebeple herhangi bir zararlı yazılım parçası içermeyen EK-1 listesinde belirtilen dosyaların, anti-virüs yazılımları ile tespit edilmesi veya silinmesi mümkün değildir. Zararlı yazılımların gönderildiği tarihte, delil bilgisayarlarında o zamanki güvenlik ürünleri tarafından tespit edilebilmeleri ve engellenmeleri mümkün olmamıştır.”
Mahkemenin sorusu: “Raporun 215. sayfasında belirtilen her 3 bilgisayarda da kurulu olduğu ve kullanıcı numaraları ile kullanıldığı belirtilen Teamviewer isimli uzaktan bağlantı ve yönetim programı ve özellikleri hakkında açıklamada bulununuz? Bu program aracılığıyla uzaktan erişim ile bilgisayara dosya gönderilebilir mi?
TÜBİTAK'ın cevabı: “Teamviewer uygulaması, uzaktaki başka bir bilgisayarı internet üzerinden yönetmeye yarayan bir araçtır. Odatv ve Barış Pehlivana ait bilgisayarlarda kurulu olan Teamviewer uygulamasında aynı parolanın kayıtlı olduğu görülmüştür. Bu sayede kullanıcıların birbirlerinin bilgisayarına aynı parola ile uzaktan bağlanabildikleri ve yönetebildikleri düşünülmektedir. Bu nedenle, davaya konu dosyaların ilili hard disklere Teamviwer aracılığıyla gelmiş olması ihtimaller arasındadır.”
