Yalçın'dan TÜBİTAK'a zor sorular!
Odatv davasının görüldüğü İstanbul 16. Ağır Ceza Mahkemesi 7 ay sonra mahkemeye ulaşan TÜBİTAK raporunun çelişkili olduğunu belirterek TÜBİTAK’tan yeni bir rapor istemişti. Mahkemenin bu kararının ardından davanın tutuklu sanıklarından gazeteci Soner Yalçın’ın avukatları mahkemeye dilekçe vererek TÜBİTAK’a bazı soruların sorulmasını istedi.
İşte o sorular:
1- Dosyanın kullanıcı tarafından açılmamış olması ne anlam ifade etmektedir ? Bu durumun adli bilişim açısından yorumlanması yapılırsa hangi sonuca ulaşılabilir?
2- Dokümanlar ile silinmiş olarak tespit edildikleri bilgisayarlarda kurulu MS Office sürümünün versiyonları nedir?
3- Müyesser Yıldız’ın kullandığı bilgisayarda, özel hedefli sosyal mühendislik saldırısının sonucu olarak aktif olarak çalıştığı tespit edilen ve dosyaların yüklenmesinde kullanıldığı düşünülen virüs/kötü amaçlı yazılım ile diğer bilgisayarlarda özel hedefli sosyal mühendislik saldırısının sonucu olarak bulunan ve aktif olarak çalıştığı tespit edilen virüs/kötü amaçlı yazılım isimleri nelerdir? Sistem üzerindeki etkileri ve kabiliyetleri nelerdir?
4- İncelemeye konu hard diskler içerisinde özel hedefli sosyal mühendislik saldırısı sonrası zararlı yazılımların bulunması, bilimsel olarak bu hard disklerin güvenilir olmadığını söylemek için yeterli midir?
5- 3 ayrı delil bilgisayarına (Odatv, Barış Pehlivan ve Müyesser Yıldız’ın bilgisayarları), aynı tarihte (5 Şubat 2011), aynı kaynaktan (Jangomail), aynı trojan türüyle (Bandook RAT), aynı virüsle (Svchost.exe), aynı kabiliyete sahip zararlı yazılımla (uzaktan yönetim ve dosya atma) özel hedefli sosyal mühendislik saldırısının yapılması vekullanıcılar tarafından hiçbir işlem gerçekleştirmemiş olması düşünüldüğünde; ilgili dosyaların tüm delil bilgisayarlarına zararlı yazılım aracılığıyla gönderilmesi ihtimalini güçlü kılar mı?
6- “sy.doc” ve “prj_60.doc” dosyalarının Delil 1 bilgisayarlarındaki üst verilerinden hareketle ilgili dosyaların “TOSHIBA” isimli bir bilgisayarda değiştirildiği ama aynı dosyaların kullanıcı adı “TOSHIBA” olan Delil 2’ye geliş saatlerinin, ilgili dosyaların Delil 1’de görünen son değiştirme saatinden saatler sonra gibi görünmesi, yine aynı dosyaların Delil 2’de açılmamış olması bu dosyaların Delil 2’de değiştirilmediği anlamına gelmez mi?