DELİL ZİNCİRİNİN EN ZAYIF HALKASI; BYLOCK

2396

 

DELİL ZİNCİRİNİN EN ZAYIF HALKASI; BYLOCK

 

Bu makale de; iki resmi belge ile ortaya konulduğu üzere, Bylock verilerinin imajının hakim kararıyla alınmadığı ve verilerin hukuka aykırı hale gelmesi nedeniyle delil olarak da kullanılamayacakları anlatılmıştır.

1. Hakim Kararı Olmadan İmaj Alınamaz

Bilgisayar, programları ve kütüklerinde arama, kopyalama (imaj alma) ve el koyma işlemlerinin nasıl yapılacağı CMK’nın 134. maddesinde düzenlenmiş olup, madde; “bir adli soruşturma kapsamında” şüpheli tarafından kullanılan ya da kullanılmış olan bilişim sistemleri üzerinde hakim veya gecikmesinde sakınca bulunan hallerde C. savcısı kararıyla arama yapılmasına, kayıtlardan imaj alma ve bunlara el konulmasına imkan tanımaktadır.

Madde gereğince, dijital bir materyalin imajının alınabilmesi için bu konuda verilmiş bir arama kararının bulunması ve yapılan arama sonucu imajı alınacak dijital materyalin ele geçirilmesi gerekir.[1] Yani, arama ya da el koyma kararı olmadan ele geçirilen bir dijital materyalle ilgili sonradan imaj alma kararı verilemez. Çünkü, bu işlemler bir bütündür ve bölünemezler. Kısaca, arama, kopyalama ve el koyma işlemlerinin yapılabilmesi için mutlaka bir hakim kararı bulunmalıdır.

2. Bylock Verilerinden İmaj Alınması İçin Verilmiş Bir Hakim Kararı Var mıdır?

Bylock verileri, CMK’nın 134. maddesinin aradığı şekilde adli bir soruşturma kapsamında değil, MİT’in yaptığı istihbari çalışma neticesinde elde edilmiştir. Ancak, verilerin elde edilme zamanıyla ilgili resmi bir açıklama yapılmadığından, bu husus tam olarak bilinmemektedir. Fakat basına yansıyan haberlerden[2] ve MİT’in 06/4/2017 tarihli açıklamasından[3] anlaşılacağı üzere, Bylock verileri 2016 yılı başında ele geçirilmiş ve veriler üzerinde uzun bir süre çalışan MİT, 2016 yılı Mayıs ayı itibariyle Bylock’la ilgili tespitlerini ilgili kurumlarla paylaşmıştır.

Ancak, MİT’in tespitlerini ilgili kurumlarla paylaştığı tarih itibariyle, Bylock ile ilgili bir soruşturma olmadığı gibi Bylock verileri ele geçirilirken verilmiş bir arama, imaj alma ve el koyma kararı da yoktur. Peki biz bunu nereden anlıyoruz?

Bunu, Yargıtay 16. Ceza Dairesi ve Ceza Genel Kurulu’nun Bylock’u “hukuka uygun” delil kabul ettikleri kararlarından anlıyoruz.[4] Zira bu kararlarda şu hususlara yer verildiğini görmekteyiz; Ankara Cumhuriyet Başsavcılığınca yürütülen 09.12.2016 gün ve 2016/104109 sayılı soruşturma dosyasında, söz konusu dijital materyallerle ilgili CMKnın 134 üncü maddesi uyarınca gerekli işlemlerin yapılması için talepte bulunması üzerine Ankara 4. Sulh Ceza Hakimliğince 09.12.2016 gün ve 2016/6774 değişik iş sayı ile; dijital materyaller üzerinde CMKnın 134 üncü maddesi gereğince inceleme yapılabilmesi için iki adet kopya çıkartılmasına, kopya üzerinde bilirkişi incelemesi yapılarak metin haline getirilmesi için bir kopyasının Ankara Cumhuriyet Başsavcılığına gönderilmesine karar verildiği..”

Kararda bahsi geçen 2016/104109 sayılı soruşturmanın başlangıç tarihi 18/7/2016’dır. Bylock ise bu soruşturmaya 09/12/2016 tarihinde ilave edilmiştir. Yani, CMK’daki usul tersine çevrilerek, “yürütülmekte olan bir soruşturma kapsamında” elde edilmesi gereken Bylock verileri, “elde edildikten sonra” bir soruşturmaya dahil edilmiştir. Bu husus bile tek başına Bylock verilerinin hukuka aykırılığının göstergesidir.

Yine Yargıtay’ın kabul ettiği şekliyle, Bylock verileri ele geçirilmeden önce verilmiş bir arama ve el koyma kararı olmasa da, verilerin imajı Ankara 4. Sulh Ceza Hakimliğinin 09/12/2016 tarihli kararıyla alınmış ve bu tarih “milat” sayılmıştır. Yani, Yargıtay’a göre CMK’nın 134. maddesinde düzenlenen arama ve el koyma kararına gerek olmadan imaj alınabilir.

Ancak, bu kabulün hiçbir hukuki karşılığı yoktur ve Yargıtay’ın uydurduğu usule göre değil, sadece CMK’nın 134. maddesine uygun şekilde imaj alınabilir. Fakat Yargıtay’da bilmektedir ki, Bylock verileri ele geçirilmeden verilmiş bir arama ve el koyma kararı yoktur. Ancak, Bylock’un hukuki bir delil olduğuna karar verilmesi de gerekmektedir! O zaman ne yapılmalıdır? Bylock verilerinin ele geçirilmesinden bir yıl sonra verilen imaj alma kararı “geçmişe dönük arama” kabul edilmeli ve Bylock en güçlü delil olarak piyasaya sürülmelidir! Ama “geçmişe dönük arama” gibi bu uydurma tabir de CMK’da yoktur ve bu tabir arama müessesesinin mantığına da aykırıdır. Zira arama geçmişe değil, “geleceğe dönük” sonuç doğurur ve ancak arama kararından sonra dijital materyal üzerinde 134. maddedeki işlemler yapılabilir.

3. Ankara Cumhuriyet Başsavcılığı Tarafından Aldırılan Bilirkişi Raporu

Yargıtay, CMK’nın 134. maddesine aykırı olarak Bylock’un elde ediliş yöntemini hiç sorgulamamış ve “Bylock hukuka uygun delildir” demiştir. Bu kabul gereğince de, Bylock verilerinin imajının ancak 09/12/2016 tarihli hakim kararından sonra alınmış ve bu tarihten önce bu verilere müdahale edilmemiş olması gerekir. Zira Bylock’un hukuka uygun delil olduğuna ilişkin kabul, tamamıyla bu karar üzerine inşa edilmiştir.

a. 113 GB Veri Üzerinde 26/10/2016’da Değişiklik Yapılmıştır

Ancak, Bylock ile ilgili gerçeklik hiç te böyle değildir. Zira 09/12/2016 tarihli karardan sonra Ankara C. Başsavcılığı, bilirkişilere bu verileri 13/12/2016’da teslim etmiş ve bilirkişiler de 12/7/2017’de çalışmalarını tamamlayarak raporlarını sunmuşlardır. Fakat bu raporda, Bylock verilerinin hukuka aykırı delil olduğuna ve yargılamaları temelden sarsacak tespit ve değerlendirmelere yer verilmiştir. Şöyle ki;  Raporun 25. sayfasında, incelemesi yapılan 113 GB verinin yer aldığı dosyanın 26/10/2016 tarihinde değiştirildiği belirtilmiştir.

(Ankara C. Başsavcılığınca aldırılan bilirkişi raporunun 25. Sayfası)

Yani, Bylock verilerinin imajının alınmasına ilişkin -sonradan verilen- 09/12/2016 tarihli hakim kararından ve verilerin bilirkişilere tesliminden 1,5 ay önce dijital materyal üzerinde değişiklik yapılmış ve veriler orijinalliğini kaybetmiştir.

b. Üzerinde Çalışılan Verilerden İsim Listesi Çıkarılmıştır

Bitmedi! Aynı sayfada; Adliye.xl.xs” isimli dosyanın şifrelenmiş olduğu görülmüş, dosya içeriğinin Bylock listelerinin olduğu bildirildiğinden dolayı söz konusu dosya ile ilgili her hangi bir çalışma yapılmamıştır” denilmek suretiyle, veriler üzerinde aylarca çalışıldığı ve hatta listeler oluşturulduğu itiraf edilmiştir. Başka bir ifadeyle, Bylock verileri üzerinde uzun süre çalışanlar, Adliye.xl.xs” isimli ve içinde Bylock kullanıcı listelerinin olduğu excel tablosu oluşturmuşlar, bu dosyayı şifrelemişler ve dosyada “isim listesi” olduğunu bilirkişilere söylemeyi de ihmal etmemişlerdir! Bilirkişiler de, bu hususları olduğu gibi rapora geçirerek adeta Bylock verilerini “çöpe” atmışlardır.

c. Bilirkişilere Teslim Edilmeden Önce Verilerde Değişiklik Yapılmıştır

Rapordaki tek skandal bu da değildir. Zira raporun 24. sayfasında, 13/12/2016’da bilirkişilere teslim edilen 7,2 GB’lık sabit disk içindeki veriler üzerinde, bu veriler teslim edilmeden 1 gün önce değişiklik yapıldığını da belirtilmiştir.

(Ankara C. Başsavcılığınca aldırılan bilirkişi raporunun 24. sayfası)

d. Bylock Verilerinin Yapısı Bozuktur ve Kurtarma İşlemine Tabi Tutulmuştur

Yine, bilirkişiler raporun sonuç ve değerlendirme kısmında; Bylock verilerinin bozuk olduğunu ve dosya içeriğindeki nesnelere erişmek için kurtarma işlemine başvurduklarını belirtmişler ve bu suretle Bylock’un hukuka aykırılığını açıkça ortaya koymuşlardır.

(Ankara C. Başsavcılığınca aldırılan bilirkişi raporunun 39. sayfası)

e. Bilirkişi Raporunun Önemi

Ankara C. Başsavcılığının elindeki Bylock verileriyle ilgili bu zamana kadar aldırılan “ilk ve tek resmi bilirkişi raporu”  özelliği taşıyan bu belge, Bylock verilerine Yargıtay’ın “milat” kabul ettiği 09/12/2016 tarihinden önce müdahale edildiğinin en açık ve somut örneğidir.[5] İşte bu nedenle, Ankara savcılığı ve diğer savcılıklar CMK’nın 160/2. maddesine aykırı olarak bu raporu başka hiçbir dosyaya sunmamakta, aynı hukuksuzluğun başka bilirkişilerce tespitinden çekinen mahkemeler de, tüm taleplere rağmen silahların eşitliği ve çekişmeli yargılama ilkelerine aykırı olarak, Bylock verilerini kimseye inceletmemekte ve ilgililerin adil yargılanma haklarını ihlal etmektedirler.

4. Bylock Kronoloji Raporu

Yargıtay Ceza Genel Kurulu, 26/9/2017 tarihli kararında,[6] Bylock imajlarının 09/12/2016 tarihli hakim kararıyla alındığını ve Bylock ile ilgili hukuki sürecin bu tarihte başladığını belirtse de, 20/12/2018 tarihinde verdiği kararında,[7] aslında Bylock ile ilgili çalışmaların 09/12/2016’da değil, bu tarihten daha önce yapılıp bitirildiğini ve üzerinde her türlü inceleme yapılıp orijinalliğini kaybeden veriler üzerinden imaj alındığını ortaya koymak suretiyle tarihi bir itirafta bulunmuştur.

Kararın ilgili kısmı şöyledir;

“Ankara Cumhuriyet Başsavcılığınca bilgilendirme amacıyla Yargıtay Ceza Genel Kuruluna sunulan Emniyet Genel Müdürlüğü Kaçakçılık ve Organize Suçlarla Mücadele (KOM) Daire Başkanlığının 11.12.2018 tarihli ByLock Kronoloji Raporunda,

– MİT tarafından Ankara Cumhuriyet Başsavcılığına kurulan bilgisayarda yer alan BYLOCK VERİLERİNİN 29.11.2016 TARİHİNDE KOM GÖREVLİLERİNCE İMAJI ALINARAK KOM Daire Başkanlığına gönderildiği,

– Bu verilerin incelenerek adli soruşturma ve kovuşturmalarda kullanılabilmesi için rapor hazırlanması amacıyla 01.12.2016 tarihinde KOM, Terörle Mücadele (TEM), İstihbarat ve Siber Suçlarla Mücadele Daire Başkanlıklarınca görevlendirilen personelden oluşan çalışma grubu kurulduğu ve 02.12.2016 tarihinde verilerin incelenmeye başlandığı,

– Ankara Cumhuriyet Başsavcılığının talimatıyla ByLock sunucusuna ait 9 IP adresine bağlanan abonelere ilişkin 129.862 satırlık ByLock abone listesi ve MİT tarafından hazırlanan 88 sayfalık MİT teknik raporu”nun 16.12.2016 tarihinde KOM Daire Başkanlığınca teslim alındığı…

a. Hakim Kararından 10 Gün Önce İmaj Alınmıştır

“Bylock kronoloji raporu” olarak adlandırılan bu bilgi notundan da anlaşılacağı üzere, Bylock’la ilgili dijital materyalden 09/12/2016 tarihli imaj alma kararından 10 gün önce KOM görevlilerince zaten imaj alınmış, veriler incelenmiş ve imaj alınması için 4. Sulh Ceza Hâkimliğince verilen karar üzerine de bu karardan önce oluşturulan Bylock kullanıcı listeleri 16/12/2016’da KOM Daire Başkanlığına teslim edilmiştir.

b. Bylock’la İlgili Adli Süreç Daha Önce Başlamıştır

Ayrıca, Yargıtay 16. Ceza Dairesi ve Ceza Gene Kurulu kararlarında, Bylock bilgilerinin 09/12/2016’da Başsavcılığa teslim edildiği ve bu tarihte adli sürecin başladığı belirtilse de, Bylock verilerinin bu tarihten önce Başsavcılığa teslim edildiği anlaşılmaktadır. O zaman sormak gerekmez mi, Ankara C. Başsavcılığının aldırdığı bilirkişi raporunun 24. sayfasında yer verildiği şekliyle, Bylock verileri üzerinde, bu veriler bilirkişilere teslim edilmeden kimler, hangi değişiklikleri yapmıştır?

Sonuç

Ankara C. Başsavcılığının aldırdığı bilirkişi raporu ve Yargıtay Ceza Genel Kurulu kararında yer verilen “Bylock kronoloji raporu”ndaki hususlar açıkça göstermiştir ki; Bylock verilerinin elde edilmesi ve imajlarının alınmasından önce verilmiş bir hâkim kararı yoktur. Hakim kararı olmadan imajı alınıp üzerinde her türlü çalışmanın yapıldığı bu veriler orijinalliklerini yitirmiştir. Dolayısıyla, bu veriler Anayasa’nın 38/4., CMK’nın 148/4., 217/2. ve 230/1-b maddeleri gereğince hukuka aykırı delildir ve bu verilerin yargılamada kullanılması mümkün değildir. Ancak, güncel yargılamalar da kullanıldıkları için ilgililerin, Anayasa’nın 20 ve 36. ve Avrupa İnsan Hakları Sözleşmesi’nin 6 ve 8. maddelerinde düzenlenen hakları ihlal edilmiştir.

Ayrıca, yukarıda yer verdiğimiz resmi belgeler, Bylock verilerinin hukuka aykırı hale geldiğini gösteren iki önemli delil olsa da, 15/7/2016 ila 09/12/2016 tarihleri arasında haklarında soruşturma açılan kişilerin dosyaları incelense, benzer nitelikte sayısız delil elde edileceğinde şüphe yoktur.

 

Dipnotlar

[1] CMK’nın 134/1. maddesinde öngörülen imaj alma, bir diskin verileri ve bölümleriyle birlikte olduğu gibi kopyalanmasıdır. Kopyalama yapılmadan önce “mutlaka” veri ve dosyaların özet (hash) değeri alınmalıdır. Özet değeri, bir diskte yer alan ya da başka bir suretle elde edilen belge, bilgi ve kayıtların mevcut durumunun özetini ifade eder. Bu yönüyle özet değer, dijital verinin “parmak izi” ya da “DNA” sıdır. Bir defa hash değeri alınan dijital verinin, bu değer alındıktan sonra bir harfinin veya en küçük bir sembolünün bile değişmesi ile alınan özet değerinin en az yarısı değişir.

Özet değerin alınmasından sonra kopyalama işlemi yapılır ve yapılan bu işlemin ardından da alınan kopyanın özet değeri alınarak kopyalama öncesinde alınan özet değerle karşılaştırılır ve bu sayede veriler mevcut durumlarıyla adeta mühürlenir. Alınan kopyaya herhangi bir veri eklenmesi, silinmesi veya değiştirilmesi durumunda bu mühür bozulacağından ve önceki özet değeri alınamayacağından veri üzerindeki değişiklikler kolayca anlaşılır. Özet değer, sayfalarca uzunlukta olmayıp bir nevi “doğrulama kodu” niteliğindeki bir kaç satırlık rakamsal ifadedir. Yargıtay’da verdiği bir kararında, kopyası alınan dijital verinin orijinalliğinin korunması açısından zaman ve bütünlük kontrolü sağlayan özet değerinin mutlaka alınması gerektiğini belirtmiştir.

İçerisinde delil olabilecek veri bulunan bir disk ele geçirildiğinde, bu diskin nerede, ne zaman, kimden ele geçirildiği, ele geçiren kişi, yapılan işlemin hukuki dayanağı, diskin ne şekilde kopyalandığı, kopyalamada hangi yöntemlerin kullanıldığı gibi hususlar ayrıntılı olarak tutanağa bağlanmalıdır. Ayrıca, ele geçirilen dijital verilerin en az iki kopyası alınmalı, bunların da özet değeri alınmalı ve bir sureti şüpheliye verilmelidir. Bu işlemin yapılmasındaki amaç, ilk ele geçirilen disk ya da bilişim sisteminin orijinalliğini kaybetmesi halinde, yapılacak çalışmaya özet değeri alınmış kopya üzerinden devam edilebilmesini sağlamaktır.

Yargıtay 16. Ceza Dairesi, kamuoyunda “Ergenekon davası” olarak bilinen dava kapsamında imajın usulüne uygun alınmış sayılması için şu hususlara dikkat edilmesi gerektiğini belirtmiştir;

1- El koyma işlemine geçildiğinde sistemdeki veriler yedeklenmeli (imaj-adli kopya alınması),

2- Yedekten bir kopya alınıp şüpheli veya vekiline verilmeli,

3- Mahallinde yedekleme ve yedekten kopya verme olanağı bulunmuyorsa objektif olarak bunun sebebi açıklanmalı,

4- Mahallinde imaj alma mümkün değilse, dijital delillere müdahaleyi önleyecek şekilde seri numaraları tutanağa yazılmak suretiyle dijital veriler usulüne uygun olarak zapt edilip mühürlenmeli,

5- Şüpheli veya vekilinin istemesi halinde, nezaret etme ve denetleme imkânı için inceleme mahalline kadar eşlik etmesi sağlanmalı,

6- İnceleme yerinde şüpheli veya müdafinin hazır bulunmasına imkân verildikten sonra, mümkün olan en kısa sürede mühür açılıp dijital medyanın imajı alınmalı,

7- İmaj alındıktan hemen sonra, imajlardan bir kopya ve orijinal medya ilgilisine derhal teslim edilmeli,

8- Sanık veya müdafinin mühür açma işlemi sırasında hazır bulunmaması halinde, mühür arama ve el koyma kararını veren hâkimin huzurunda açılmalı, imaj alma işlemi de hâkim huzurunda gerçekleştirilmelidir.”

[2]     SELVİ Abdülkadir, “Bylock ve Eagle’de Yeni Gelişmeler Var, Hürriyet Gazetesi, 15/11/2016; “FETÖ/PDY yapılanmasının önemli katmanları MİTin 2015 sonu-2016 başında Litvanyadaki Bylock sunucusuna teknik imkanlarıyla nüfuz edip, veri tabanındaki bilgileri çekmesi sonucu deşifre edilmiştir. ERGİN Sedat, “Bylock Meselesini Doğru Çerçeveye Oturtmak, Hürriyet Gazetesi, 09/01/2018.

[3]    https://www.mit.gov.tr/basin60.html

[4]   Yargıtay 16. Ceza Dairesinin 24/04/2017 T., 2015/3 E., 2017/3 K. sayılı kararı; Yargıtay Ceza Genel Kurulunun 26/9/2017 T., 2017/956 E., 2017, 2017/370 K. sayılı kararı.

[5]  Bilirkişi raporuna şu linkten ulaşabilirsiniz; https://www.drgokhangunes.com/wp-content/uploads/2021/09/ANKARA-CBS-BILIRKISI-RAPORU.pdf

[6]    Yargıtay Ceza Genel Kurulunun 26/9/2017 T., 2017/956 E., 2017, 2017/370 K. sayılı kararı.

[7]     Yargıtay Ceza Genel Kurulunun 20/12/2018 T., 2018/16-419 E., 2018/661 K. sayılı kararı. Karar metnine https://www.adaletbiz.com /images/upload/YARGITAY_CEZA_GENEL_KURULU_E._2018_16-419_K._2018_661_T._20.12.2018-1.pdf