Baransu’nun savcılara teslim ettiği 19 CD’den 10 tanesinin hash değeri adliyede bulunduğu süre içinde değişmiş!
Bir CD’nin içindeki belgelerden tek bir tanesine tek bir nokta bile eklerseniz (ya da çıkarırsanız) o CD’nin hash değeri tamamen değişiyor. Tam da bu nedenle, dijital bir kanıtın kanıt bütünlüğünün korunup korunmadığını anlamanın tek yolu, kanıtın ele geçtiği zamanki hash değerini aynen muhafaza edip etmediğine bakmak.
29.01.2010 tarihinde Baransu 19 CD’yi bavul içinde Beşiktaş Adliyesi’ne teslim ediyor.
30.01.2010 tarihinde adliyede bu CD’lerin imaji alınıyor. İmaj alma tutanağında CD’lere ait imajların hash değerleri belirtiliyor. Tutanağı görmek için buraya tıklayın (Klasör no. 2, dizin no. 76-83).
28.05.2010 tarihinde TÜBİTAK’ın ikinci raporu için hazırlanan bilirkişi görevlendirme tutanağında, aynı CD’lerin TÜBİTAK görevlileri tarafından alınan imajlarına ait hash değerleri belirtiliyor. Görmek için buraya tıklayın (Klasör no. 52, dizin no. 261-264).
İki tutanaktaki hash değerlerini karşılaştırdığımızda:
- 1, 4, 6, 8, 15, ve 18 no.lu CD’ler için belirtilen hash değerlerinin birebir aynı olduğunu, ancak,
- 2, 3, 5, 7, 11, 12, 13, 14, 16, ve 17 no.lu CD’ler için hash değerlerinin tamamen farklı olduğunu gorüyoruz.
Adliyeye teslim edilen CD’lerden 10 tanesinin hash değeri dört aylık süre zarfında içinde değişmiş. Suç unsuru barındıran ve sahte olan 11, 16, 17 no.lu Balyoz CD’lerin üçü de hash değerleri değişen CD’ler arasında.
Şimdi bir varsayım üzerinden fikir yürütelim: diyelim ki sahte olan CD’leri hazırlayanların dikkatsizliği sonucu bu CD’lerin üstverilerinde bir tutarsızlık görünüyordu (örneğin 5 Mart 2003’de oluşturulmuş gibi görünen 11 no.lu CD’nin içindeki bir belgenin kaydedilme tarihi 5 Mart 2003’den daha ileri bir tarihti). Bu durumda adli süreçte birilerinin bu üstverileri tutarlı hale getirecek şekilde bir manipülayson yapmadığından emin olabilir miyiz? Olamayız, çünkü sahte CD’lerin adliyede alınan ilk hash değerleri ile ikinci TÜBİTAK incelemesi için alınan hash değerleri birbirini tutmuyor. (Hash değerlerinin kıyaslamasını ilk TÜBİTAK raporuna konu olan CD’ler için yapamıyoruz, zira ilk TÜBİTAK raporunda imajların hash değerleri hiç belirtilmemiş.)
Bilindiği gibi, CD’lerin üstverileri bilgilerinin tutarlı olması CD’lerin gerçek olduğuna dair kanıt teşkil etmiyor (ve biz sahte CD’lerin en erken 2008 yılı sonunda oluşturulduğunu biliyoruz). Buna ek olarak sahte üç CD’nin savcılığa teslim edildikten sonra hash değerlerinin değişmesi, bu CD’lerin içeriğinin ya da üstverilerinin bu süreçte değiştirildiği konusunda da şüpheler doğuruyor.
Balyoz Davası ve Gerçekler 
04 Kasım 2010 23:33
Savcılık hakkında delillerin karartılması nedeiyle suç duyurusunda bulunmak gerekmiyor mu?
05 Kasım 2010 11:08
Burada farklı bir teknik problem olabilir. Dikkat ederseniz ilk raporda iki çeşit disk bilgisi var. Birinci tipte dosya boyu vb. bilgiler ver ikinci tipte ise “Drive Type CD-ROM” vb. alanlar var. Hash değeri tutan tüm diskler bu ikinci tipte raporlanmış. Hash değeri tutmayan disklerise birinci tipte. Farklı alanlar ve farklı dosya/dizin isimleri bu imajların iki farklı şekilde alındığını ve/veya incelendiğini gösteriyor.
Biraz araştırma yapınca CD-R disklerin farklı programlarla incelendiğinde farklı hash değerleri verdiğini gösteren bir çalışmaya rastladım: http://www.informaworld.com/smpp/section?content=a779634912&fulltext=713240928 (Journal of Digital Forensic Practice, Volume 1, Issue 4 December 2006 , pages 297 – 307)
Hash değerleri tutmayan disklerde EnCase 4.20 sürürümü adli bilişim programı kullanılmış. TÜBİTAK ise analizini Encase 6.16.1.4 sürümü ile gerçekleştirmiş. Yukarıdaki araştırmada, diskin yazılış biçimine göre EnCase 4 ve 5 sürümleri arasında fark olabileceği gösteriliyor. İmajların alınması sırasında yapılan seçimler de hash değerlerinin farklı şekilde hesaplanmasına yol açabilir.
Zaten adli tıp incelemelerinde tüm adımların titizlikle ve detaylı kaydedilmesi bu nedenle büyük önem taşımakta. Ne yazık ki TÜBİTAK ve Emniyet raporlarında bu detayı görmek mümkün değil.
Saygılarımla …
06 Kasım 2010 04:15
Can Bey verdiginiz bilgiler icin tesekkur ederim. Demek ki farkli hash degerleri illa ki CD’lere sonradan ekleme/cikarma yapildigini gostermiyor, incelemede farkli programlarin kullanilmasi gibi basit bir aciklama da bu duruma yol acabilir. Post’da ya bilgisizlikten, ya da kasitli olarak bu noktaya deginilmeden sanki bu durum CD’ler uzerinde manipulasyon yapildiginin bir kanitiymis gibi gosterilmeye calisilmis. Sayin Fenerant gibi -normal olarak- bu konularda teknik bilgisi yuksek olmayan bir cok okurun savciligin delil kararttigi gibi bir yanlis sonuca varmasina neden olabilecek bir (kasitli ya da kasitsiz) dezenformasyonu onlediniz. Adli tip incelemelerinin daha titizlikle yapilmasi konusundaki elestirinize de katilmamak mumkun degil.
06 Kasım 2010 05:44
Sayın merttalay,
Her iki cümlesinden biri şüphe ve ima dolu ifadeler içeren birisi olarak başkalarını dezenformasyon ile suçlamanız gerçekten ilginç. Defalarca yazdığınız konularda bilginiz olmadığını kanıtladınız. Öncelikle yazdığınız yorumları bir okuyup asıl şüphe, kuşku ve dezenformasyon kaynağının nerede olduğunu düşünmenizi rica ediyorum.
Hash değerlerinin CD-ROM sürücüleri için farklı programlarca farklı hesaplanabileceği genel bir bilgi değil. Hatta, bu konuda akademik makale yayınlanmasına yol açacak kadar sıradışı bir durum. Yazarların kasıtlı olarak yanıltma peşinde olduğuna inanmıyorum. Zaten ortaya koydukları deliller raporların sonradan üretilmiş olduğunu defalarca kanıtlıyor. Fazladan delil yaratmaya ihtiyaçları da yok.
Hash değerlerinin aynı olması, delilin değiştirilmediğini garantiler. Değerlerin tutmaması ise mutlaka araştırılması ve açıklanması gereken bir durumdur. Hashler tutmadığı durumda yapılan incelemelerin geçerli sayılması başka türlü mümkün değildir.
Burada, eğer sorun gerçekten kullanılan programlardaysa, TÜBİTAK imajı diğer sürüm programla tekrar alıp aynı hash değerini elde edebildiğini göstermelidir. Alternatif olarak, inceleme ilk seferde kaydedilen imajlar veya onların bir kopyası üzerinden yapılmalıdır. Bu imajların kaydedildiği format CD-ROM formatı gibi belirsizlikler içermediği için imajlar üzerinde değişiklik yapılmadığı sürece farklı programlar kullanılsa da hash hesaplamasında hata olmayacaktır.
Bu durumu TÜBİTAK’ın her iki incelemesinde de gözden kaçırmış olması üzücü. Ne yazık ki adli bilişim konularında yeterince tecrübe sahibi olmadıklarını defalarca gösterdiler. Bu konuda önemli olan sadece teknik bilgi değil. TÜBİTAK’ta çok sayıda zeki ve teknik düzeyi yüksek araştırmacı var. Ancak adli bilişim konusunda cok düzenli, sistematik ve prosedürlere harfiyen uyarak çalışmak, her adımı kayıt altına almak teknik bilgi düzeyi kadar önemli. Ne yazık ki TÜBİTAK defalarca bu konuda yetersiz kaldı.
Yapılan her hatanın özgürlükleri belki de haksız olarak kısıtlanmış insanların daha uzun süre tutuklu kalmalarına yol açtığını hatırlatırım.
Saygılarımla …
06 Kasım 2010 09:35
Can Bey yorumlariniz icin tekrar tesekkur ederim. Zaten benim de dikkat cekmek istedigim husus bu kadar karmasik bir konunun (hash degerlerinin farkli programlarca farkli hesaplanabilecegi) sanki cok net bir durummus gibi sunulup suphelerin savcilik uzerine cekilmek istenmesi. Burada uygun olan davranis bu kadar teknik bir konuda suclayici yorumlarda bulunmadan once yeterince arastirma yapilmasi olsa gerek. Dediginiz gibi TUBITAK’in bu konuyu aydinlatma ihtiyaci da ortadadir.
Kisisel ve dava ile ilgili genel yorumlariniza gelirsem, evet supheci ve kuskucuyum ve bunda bir gariplik gormuyorum. Yorum yaptigim konularin hicbirinde de bilgili oldugum gibi bir savim olmadi, sadece supheci/rasyonel bir tavirla okuduklarimi yorumluyorum. “Zaten ortaya koyduklari deliller raporlarin sonradan uretilmis oldugunu defalarca kanitliyor” demissiniz, evet sunulan olgular ortaya konulduklari sekli ile bu yone isaret ediyor, fakat bu sunusun olgulari ne kadar dogru yansittigindan nasil emin olabiliyorsunuz anlamis degilim. Ornegin sizin yorumunuz olmasa bu post da gayet guzel bir sekilde CD’lerde oynama yapildigina dair bir “delil” olacakti. Sunum bunu gosteriyor, fakat gercegin boyle olmayabilecegini yorumunuz ortaya koymus durumda. Sunulan diger “delillerde” de bu tarz yakalamasi cok zor ayrintilarin olmadiginin garantisi nedir? Bunun icin durusmalari beklemek ve iddia makaminin ne tarz bir tepki verecegini gormek en saglikli durus olsa gerek. Saygilar.
06 Kasım 2010 12:29
“Sunulan diger “delillerde” de bu tarz yakalamasi cok zor ayrintilarin olmadiginin garantisi nedir?”
mertalay
Sorduğunuz soruyu TUBİTAK ve iddia makamlarına sormanız gerekir yoksa savunan tarafa değil. Savunan taraf ortadaki çelişkileri haklı olarak ortaya koymaktadır. Bu çelişkileri gidermekte TUBİTAK ve iddia makamının görevidir.
Aynı soruyu ben size sorayım. Iddia makamı çelişkiler doğuracak ve mahmekenin akışını tamamen değiştirecek ve sanıklar aleyhinde olan bu durumu niçin delil olarak ortaya koymaktadır? Delilerin şüpheye mahal vermeyecek durumda olması gerekmiyor mu? Siz savunan taraf olmuş olsa idiniz savınız ne olurdu?
06 Kasım 2010 18:19
Sayın merttalay,
Şüpheci ve kuşkucu olmak bir şey, imalı ifadeler kullanıp başkalarını zan altında bırakmak başka bir sey. Eğer amacınız bu değil ise üslubunuzu gözden geçirmeniz doğru olacaktır.
Lütfen yazdıklarınız üzerinde bir düşünün. Diğer deliller için de açıklama olabilir demişşiniz. Raporda kullanılan isimler raporun yazıldığı idda edilen tarihten sonra ortaya çıkmışşa bunun nasıl bir açıklaması olabilir? Zaman makinesi? Şüpheciliğin bu kadarı saflık oluyor.
Size başka bir senaryo. İlk mesajımdaki gözlem ile başlayacağım:
“Burada farklı bir teknik problem olabilir. Dikkat ederseniz ilk raporda iki çeşit disk bilgisi var. Birinci tipte dosya boyu vb. bilgiler ver ikinci tipte ise “Drive Type CD-ROM” vb. alanlar var. Hash değeri tutan tüm diskler bu ikinci tipte raporlanmış. Hash değeri tutmayan disklerise birinci tipte. Farklı alanlar ve farklı dosya/dizin isimleri bu imajların iki farklı şekilde alındığını ve/veya incelendiğini gösteriyor.”
“Hashleri tutmayan CD’lerin imajları farklı bir ekip tarafından alınmış ve bilirkişiye verilmiş olabilir. Bu ekip, muhtemelen, adli incelemenin imajlar üzerinden yapılacağını varsaymış, kaynak CD’leri değiştirmeye ihtiyaç duymamış veya fırsat bulamamıştır. CD’lerin teslim edilmesi ile imaj alınması arasında geçen bir günlük süre bu tarz bir değişikliğe imkan sağlayacak bir süredir.”
Bu gözlemi de imajları ve diskler ayrı ayrı analiz ederek, ve imajı alan bilirkişilerle görüşerek kontrol etmek mümkün.
Başka bir gözlem:
“TÜBİTAK raporunda 9 ve 10 numaralı CD’lerin imajlarının ilk incelemede alındığı ancak ikinci incelemede alınamadığı, bu disklerin eski imajlardan inceleneceği yazıyor (sayfa 2). Ancak 9 numaralı CD’nin imajı deliller teslim edilirken de alınamamış.”
Bu durumda acaba birileri TÜBİTAK’a farklı CD mi gönderiyor dersiniz?
İşte hash değerlerinin aynı çıkmaması tüm bu olasılıkları, geçerli kılıyor. Bunu çözmesi gereken TÜBİTAK. Bu tutarsızlıkları baştan farketmesi gereken de onlar. En azından savcılığın raporu okuduğunda “bu değerler tutmuyor” diyebilmesi gerekmez mi.
Elektronik verileri değiştirmek, sahte delil oluşturmak, tarihleri veya üstbilgileri değiştirmek o kadar kolay ki. Destekleyen fiziksel deliller olmadan tek başlarına delil olarak kabul edilmiş olmaları bile başlı başına bir problem. Bu delillerin incelenmesinde yapılan hatalar veya ihmaller ile bu problem giderek büyüyor. Şüpheli durumdan sanığın faydalanması gerekmez mi? Hukuk devletinde herkes aksi ispat edilene kadar masum sayılmıyor mu?
İddia makamının ve bilirkişilerin yaptığı bütün bu hataların bedelini tutuklu sanıklar ödüyor.
Saygılarımla …
06 Kasım 2010 18:42
Teknik ayrıntılarla esas kaçıyor sanırım. Zaten bilgisayar ve digital ortam çıktı mertlik bozuldu, kötü niyetlilere kolaylıklar çıktı. Yapılan ihbarlar e-posta ile veya belge denen şeyler digital ortamda yazılmış yazılar çünkü kim yazmış? kime ait? belli olmuyor.
“Hash” değerine gelinceye kadar elektronik imza taşımayan yazılar belge sayılıp bu şuna aittir, gerçektir denmesi saçma çünkü herkes itina ile “yasadışı” bir şeyler yazabilir. Bu CD ler steril ortamlarda mı üretilmiş hiç parmak izi yok mu? İzler varsa kime ait? sorusu da cevaplanmalı.
Şimdi biz şu noktadayız: sarı çizmeli Mehmet Ağanın ürettiği CD ler gerçektir (nasıl gerçek oluyor?) ve gerçek olan CD ler sonradan değiştirildi mi? Önce iddia makamı gerçek olduğunu ispatlasın ki sonrası bir anlam taşısın.
Yine de teknik konu ve lisan ile konuyu netleştiremeyenler için hash değeri (algoritması): Digital ortamdaki bir içeriği benzersiz şekilde şifreleyerek (her yazılım kendi usülleriyle) elde edilen bir değerdir. Maksat belgenin o andaki fotoğrafını çekmek gibidir. Adliyede imaj alanlar bu imajların hash değerinide alarak (nasıl aldığını açıklayarak) bir yerde mühürlemişler. Elinde bir imaj olup da bunun adliyedeki ile aynısı mıdır? şüphesi olan varsa aynı program ve sürümü ile hash değeri üretmesi gerekiyor.
08 Kasım 2010 04:25
farzedelim ki siz bir ülkede iktidarı elinde bulunduran siyasi bir güçsünüz (iç ve dış desteklerle beraber)ve rejimi değiştirmek istiyorsunuz,o ülkenin hangi kurumundan işe başlarsınız ve neler yaparsınız ?
08 Kasım 2010 04:27
bu davalarda savcıların yaptıklarına hata demek tehlikeyi küçümsemektir…