OdaTV davası kapsamında İstanbul 16. Ağır Ceza Mahkemesi'nin TÜBİTAK'tan istediği rapor yedi ay sonra mahkemeye ulaştı.
Ahmet Şık, Nedim Şener, Doğan Yurdakul, Müyesser Yıldız, Coşkun Musluk, Sait Çakır, Ahmet Mümtaz İdil ve İklim Ayfer Kaleli'nin tutuksuz yargılandığı, Soner Yalçın, Yalçın Küçük, Barış Terkoğlu, Barış Pehlivan ve Hanefi Avcı'nın ise bir buçuk yılı aşkın süredir tutuklu yargılandığı OdaTV davasında, İstanbul 16. Ağır Ceza Mahkemesi'nin talebi üstüne TÜBİTAK'a bağlı üç bilirkişi tarafından hazırlanan 339 sayfalık raporda OdaTV'ye ait bir bilgisayar ile sanıklar Barış Pehlivan ve Müyesser Yıldız'a ait toplam üç bilgisayar incelendi.
TÜBİTAK tarafından hazırlanan raporda ilgili bilgisayarlarda çok sayıda zararlı yazılımın izine rastlandığı, yapılan inceleme sonucunda uzaktan dosya atabilme özelliğine sahip ve ilgili bilgisayarlar kullanıcılarını hedef almış olan zararlı yazılımların çalışmış olduğu belirtilirken, raporun sonunda yer alan "Dosyaların zararlı yazılımlar vasıtasıyla geldiğine veya gelmediğine dair kesin bir yargıya varılamamıştır" ifadesi dikkat çekti.
Raporun sonuç bölümü
* İlgili bilgisayarlarda çok sayıda zararlı yazılımın izine rastlanmıştır. Tespit edilen bu izlerin büyük çoğunluğunun aktif olma şansı bulamamış veya uzaktan dosya atma özelliği bulunmayan zararlı yazılımlara ait olduğu görülmüştür. Geri kalan zararlı yazılım izleri içinden de, imajları incelenen bilgisayarların kullanıcılarını özel olarak hedef almış olan zararlı yazılımlara ait izler ayrıntılı bir şekilde incelenmiştir. Bu incelemenin sonucunda, uzaktan dosya atabilme özelliğine sahip ve ilgili bilgisayar kullanıcılarını hedef almış olan zararlı yazılımların çalışmış olduğu kanısına varılmıştır.
* Ek-1 dosya listesinde belirtilen dosyaların belge üstverileri, dosya sistemi üstverileri ve işletim sistemi izleri incelenmiştir. İncelemeler sonucunda Ek-1'de listelenen dosyalardan sy.doc ve prj_60.doc dosyaları dışındakilerin ilgili bilgisayarlarda oluşturulduğuna veya değiştirildiğine dair bir bulguya rastlanmamıştır. sy.doc ve prj_60.doc dosyalarının delil 2 bilgisayarında değiştirilmiş olma ihtimali mevcuttur. Bu iki dosya dışındaki dosyaların bilgisayar kullanıcıları tarafından açıldığında, işletim sistemi üzerinde oluşabilecek izler incelenmiş ve ilgili bilgisayar kullanıcıları tarafından açıldıklarına dair kuvvetli bir bulgu olmadığı tespit edilmiştir.
* Dosya üstverileri arasında uyumsuzluklar araştırılmış ve sadece delil 3 üzerindeki dört dosya için normal kullanıcı davranışları ile oluşması zor, dosya sistemi üst verilerinde bulunan bir uyumsuzluğa rastlanmıştır. Bu uyumsuzluğun normal koşullarda oluşma ihtimalinin düşük olduğu değerlendirilmektedir. Bunun yanında bu uyumsuzluğun dosya sistemi üst verilerinin dışarıdan bir müdahale ile değiştirilmesi sonucu oluşması ihtimali ise daha kuvvetlidir.
* Bu müdahale zararlı bir yazılım aracılığıyla uzaktan erişim yöntemi ile gerçekleştirilebileceği gibi, bilgili bir kullanıcı tarafından da gerçekleştirilme ihtimali mevcuttur. Delil 3 bilgisayarını bu yetkinliğe sahip bir kullanıcının da kullandığına dair izlere rastlanmıştır.
* Delil 1 ve delil 2 hakkında hazırlanmış bilirkişi raporlarının, Ek-1 dosya listesindeki dosyaların üst verilerinde ve dosya sistemi izlerinde bulunduğunu ve zararlı yazılımlar vasıtasıyla oluşmuş olduğunu savundukları uyumsuzluk iddiaları ayrıntılı bir şekilde incelenmiştir. Bu inceleme sonucunda dosya üst verilerinde ve dosya sistemi izlerinde iddia edilen herhangi bir uyumsuzluğun olmadığı ve delillerde tespit edilen zararlı yazılımlar ile ilişkilendirilemeyeceği açıklanmıştır.
* Ek-1 listesinde yer alan dosyaların ilgili bilgisayarlara nereden gelmiş olabileceği incelenmiştir. Listedeki dosyaların büyük çoğunluğunun oluşturma tarihinin sadece saniye seviyesinde saklandığı FAT formatındaki bir sürücüden kopyalanmış olması veya "zip", "rar" benzeri arşiv dosyalarından çıkarılmış olması veya CD, DVD tarzı bir veri aygıtından gelmiş olma olasılığı mevcuttur. Özellikle delil 2'de Ek-1 dosya listesinde ismi geçen birçok dosyanın "rar" uzantılı dosyalardan çıkarılmış olduğuna işaret eden dosya sistemi üzerine rastlanmıştır. Fakat bu arşiv dosyalarına erişilemediği için nereden gelmiş olabilecekleri hususunda bir fikir yürütülememektedir.
* Bunun yanında delil 1 ve delil 2 bilgisayarında aynı USB veri depolama cihazlarının kullanılmış olduğu ve üç bilgisayarda da "TeamViewer" uygulamasının kurulu olduğu ve bu programın kayıtlarında ortak bağlantı adreslerinin de olduğu tespit edilmiştir. Dosyaların bu bilgisayarlara aktarılması için bu USB veri depolama cihazları veyahut "TeamViewer" uygulaması da kullanılmış olabilir.
* Sonuç olarak delil 3'teki dosya sistemi üst veri uyumsuzlukları ve bu bilgisayar kullanıcısına başarılı bir şekilde gerçekleştirilmiş olduğu değerlendirilen hedefli zararlı yazılım gönderme şeklinin zamanlanması, delil 3 bilgisayarındaki dosyaların zararlı yazılım vasıtasıyla gönderilmiş olma ihtimalini güçlenmektedir.
* Delil 1 ve delil 2 bilgisayarlarında da özel hedefli sosyal mühendislik saldırıları ile gönderilen uzaktan dosya alma özelliği bulunan zararlı yazılımların çalışmış olduğu tespit edilmiştir ve ek-1 dosya listesindeki dosyalar üzerinde ilgili bilgisayar kullanıcıları tarafından bir işlem gerçekleştirildiğine dair tatmin edici izlere rastlanmamıştır.
* Bunun yanında Ek-1 dosya listesindeki dosyaların üstverilerinde ve işletim sistemi üzerinde bu dosyaların zararlı yazılımlar vasıtasıyla bu bilgisayarlara gönderilmiş olduğuna dair herhangi bir bulguya da rastlanmamıştır. Bu sebeple bu dosyaların zararlı yazılımlar vasıtasıyla geldiğine veya gelmediğine dair kesin bir yargıya varılamamıştır. (EKN)
