Bu makalenin hazırlanmasında daha önce Adli Bilişim Uzmanları T. Koray Peksayar ve Levent Mazılıgüney tarafından hazırlanıp yayımlanan “Dijital Materyal İncelemelerinde Tespit Edildiği Sıklıkla İddia Edilen “Kakaotalk” Uygulamasının Kalıntılarına Yönelik İnceleme” (https://www.patreon.com/posts/dijital-materyal-25200031) isimli uzman görüşünde belirtilen teknik bilgilerden ve yararlanılmış, bazı bölümler aynen kullanılmıştır. Konunun anlaşılması için teknik bilgi gerekliliği de göz önünde tutularak teknik bilgilerin ayrıntıları yalın bir dille açıklanmaya çalışılmıştır. Bilirkişi mevzuatından kaynaklı sorumluluklar ve iletişim uygulamalarının kullanımının tek başına delil niteliği ayrı tartışma konuları olduğundan makale kapsamında değinilmemiştir.
1. Dijital Materyallerin Adli Bilişim İncelenmesinde Kalıntı Kavramı
Güncel yargılamalarda el konulan dijital cihazların imaj ve çıkarım dosyalarının Savcılık veya Mahkeme talepleriyle incelenmesiyle düzenlenen Bilirkişi Raporlarında sıklıkla muhtelif uygulamaların “kalıntı” dosyalarına rastlanıldığı görülmektedir. Maalesef bilirkişi raporlarında özellikle ByLock uygulaması açısından kalıntı dosyalarının uygulamanın kesin olarak kullanıldığı şeklinde yorumlandığı da gözlemlenmektedir.
Adli bilişim terminolojisinde kullanılan “kalıntı” teriminin hukuk çevrelerinde anlaşılması ve ByLock başta olmak üzere, soruşturma ve kovuşturmalara konu olan uygulamaların kalıntılarının doğru değerlendirilmeleri masumiyet karinesi, adil yargılanma ve şüpheden sanığın yararlanması ilkeleri açısından önem arz etmektedir.
“Kalıntı” kavramını doğru anlamak için Fransız Kriminolog Edmond Locard’on ortaya koyduğu “etkileşim prensibi” olarak da anılan delil dinamiklerini hatırlamak gereklidir. Edmond Locard’a göre,
i. İz bırakmayan suç yoktur.
ii. İki nesne arasında ilişki/temas varsa, etkileşim vardır.
iii. Her ilişki/temas iz bırakır.
Dijital ortamda yapılan her işlemde dijital cihazlarla etkileşim vardır. Dijital cihazlarla her türlü etkileşim asgari olarak cihazlar üzerinde ve varsa etkileşimin üçüncü tarafları ya da izlediği yollar (örneğin sunucular, bulut ortamlar, vb.) üzerinde iz bırakır. Dijital cihazlar/ortamlar üzerinde bırakılan her türlü iz “kalıntı” olarak ifade edilebilir. Bu izler bütün bir dosya, silinmiş bir dosyadan geri getirilebilen bölüm ya da dosya isimleri ya da içeriğinde geçen ifadeler olabilir.
Ceza muhakemelerinde delil niteliği taşıyan bulgular, her türlü şüpheden uzak, kesin ve tartışmasız veriler olma özelliğine haiz olmalıdır. Bir diğer ifadeyle öncelikle veriler “bilgi” niteliğinde olmalıdır. Bilgi niteliği olmayan verilerin delil niteliklerinden bahsedilemez.
Sayısal ortamda depolanan veriler, istenilen şekilde; istenilen zamanı gösterecek, istenilen bilgiyi içerecek, istenilen içeriğe sahip olacak, istenilen kişi tarafından oluşturulduğu izlenimini verecek şekilde, herhangi bir kişi veya kişiler tarafından oluşturulabilir. Bu durumun mahkemelere yansımış çok sayıda örneği mevcuttur. Güvenlik seviyeleri üst düzeyde olan banka sistemlerinde dahi açıklar bulunabilmekte ve kredi kartları başta olmak üzere çok farklı konularda usulsüzlükler, yolsuzluklar olabilmektedir.
“Dolayısıyla, verinin anlam kazanması için elde edilen verinin, 5N1K sorularını, yani “Ne? Ne zaman? Nerede? Nasıl? Neden? Kim?” sorularını cevaplayabiliyor olması gereklidir.
Diğer bir deyişle, “hangi veri, ne zaman, hangi sistemde ve veri depolama ortamında, ne şekilde ve tipte, hangi veriyle ilişki kuracak şekilde, kim tarafından oluşturulmuştur” olarak açıklanabiliyor olması gereklidir.
Sayısal verilere her aşamada müdahale mümkün olduğundan tek bir dijital kaynaktan elde edilen verilerin bilgi nitelikleri şüphelidir. Nitekim Yargıtay 16. Ceza Dairesi Ergenekon Davasına ilişkin 2015/4672 E. 2016/2330 K. numarası ile verdiği bozma kararında da dijital delili; “…CD, DVD, flash bellek, disket, harici ve dahili harddisk, bilgisayar özelliği içeren noktaları bakımından akıllı telefon ve benzerlerinden elde edilen ve tamamı “dijital delil” olarak adlandırılan, suistimale müsait olan verilerin…” şeklinde tanımlamak suretiyle verilerin güvenilirliği hususuna dikkat çekmiştir.
Dolayısıyla dijital cihazların adli bilişim incelemesinde tespit edilen kalıntıların gerçekte neyi işaret ettiği teknik olarak herhangi bir şüpheye yer vermeyecek şekilde ortaya konulmalıdır.
Güncel soruşturma/kovuşturma dosyalarında bilirkişi raporlarının genellikle bu şartları sağlamadığı gözlenmektedir. Genellikle terim araması sonucu aranan ifadelerin bulunduğu alanların ekran görüntüleri verilmekte ve “kalıntı” olarak belirtilmektedir. Bilirkişi raporlarının çoğunluğunda bulunan kalıntılar ilgili uygulamanın kullanıldığının göstergesi olarak belirtilmekte ve gerekçeli kararlara da bu durum yansımaktadır.
2. ByLock Uygulamasının Kullanımından Nasıl Emin Olunur?
ByLock adlı uygulamanın kullanıldığından teknik olarak herhangi bir şüpheye yer vermeyecek şekilde söz edilmesi için sırayla;
i. ByLock uygulamasının cep telefonu veya uygun özelliklerde bir akıllı cihaza kurulması,
ii. Bu uygulama kullanılarak kullanıcı kaydı oluşturulması,
iii. Kullanıcı kaydı oluşturulduktan sonra iletişim kurulacak kişilerin kullanıcı numaralarının (user ID) adres defterine eklenmesi,
iv. Uygulama kullanılarak haberleşme yapılması adımlarının gerçekleştirilmesi ve bu adımların eksiksiz olarak gerçekleştirildiğinin tespit edilmesi gereklidir.
Bu durum anılan diğer uygulamalar için de hemen hemen aynıdır.
Bu adımların gerçekleştirilerek ByLock uygulaması kullanılarak ByLock sunucusuna gerçekten bağlantı kurulduğunun ve kullanıma devam edildiğinin eksiksiz tespitinin yapılması için akıllı cep telefonu incelemesinin, operatör bağlantı (CGNAT) kayıtları incelemesinin ve ByLock sunucusundan elde edilmiş verilerden (User Id içeren Tespit ve Değerlendirme Tutanağı) yapılan içerik ve kullanıcı kaydı sorgulamasının yapılması gereklidir.
Bu unsurların birlikte varlığında ve aralarında çelişki olmaması durumunda iletişim uygulamasının kullanıldığı herhangi bir şüpheye yer vermeyecek şekilde tespit edilebilir. Anılan tespitin kesinleşmesi sonrasında ise içerikte yer alan hususlardan ve somut eylemlerle ilişkilerinden faydalanılarak olası bir suçun niteliğinin belirlenebileceği değerlendirilmektedir. Güncel dosyalar kapsamında belirtilen hususlardan bir veya birkaçı genellikle eksik olduğundan, isnatlara konu uygulamaların kullanıldığının teknik olarak kesinliğinden bahsedilemeyeceği değerlendirilmektedir.
Yalnızca dijital cihaz incelemesinden elde edilen kalıntılar ile ByLock ya da başka bir uygulamanın teknik olarak herhangi bir şüpheye yer vermeyecek şekilde “kullanıldığından” bahsedilemeyeceği açıktır.
3. “library.db” Dosyalarının İncelenmesi
Güncel dava dosyalarında ByLock ya da başka uygulamalara yönelik en sık karşılaşılan kalıntılar “library.db” dosyalarıdır. Herhangi bir uygulama bir dijital cihaza yüklendiğinde tek bir alanda değil çok sayıda alanda dosya oluşur.
Android bir cihazda Google Play veritabanı dosyalarının incelenmesinde tek bir dizinin kontrol edilmesi yanıltıcı olabilir. Bu husus Adli Bilişim Uzmanı T. Koray PEKSAYAR tarafından (https://koray.peksayar.org/bir-cep-telefonu-incelemesinde-yapilmasi-gerekenler-bolum-1-android/) açıklanmış ve yayınlanmıştır. İlgili yayında da belirtildiği şekilde, cihaz dosya sisteminin kullanıcı bölümünde “/apps/com.android.vending/db” dizininde bulunan SQLite veritabanı dosyaları Android işletim sistemi kurulu akıllı cihazların kullanıcının GMail hesap ayarını yaparak ilk kullanıldığı andan itibaren cihazda kurulu olan ve daha sonra kurulan tüm uygulamaların bazı kayıtlarını tutar. Bu dosyalar şunlardır:
i. “localappstate.db”: Cihazda yerel olarak kurulu uygulamalar hakkında bilgi saklar.
ii. “suggestions.db”: Tanımlı GMail hesabıyla Play uygulaması üzerinden aratılan uygulamalara ait bilgi saklar.
iii. “package_verification.db”: Cihaza kurulumuş ve kaldırılmış uygulamaların doğrulanması ve güncellemeler hakkında bilgi saklar.
iv. “library.db”: Tanımlı GMail hesabıyla kullanılan tüm cihazlara kurulmuş uygulamalar hakkında bilgi saklar.
Soruşturma ve kovuşturma aşamalarında Savcılık ve Mahkemelerin talebiyle düzenlenen Bilirkişi Raporları kapsamında “library.db” dosyaları haricinde genellikle veri bulunmadığı görülmektedir.
Android işletim sistemine sahip mobil cihazlarda libray.db dosyaları e-posta ile tanımlanan hesap ayarları kurulduğu andan itibaren indirilen ve/veya kullanılan uygulama verilerini tutar ve aynı e-posta ile tanımlı android hesabıyla kullanılan tüm cihazlarda bu veriler görülebilir. İndirmiş ama hiç kullanmamış bir kişinin mobil cihazında bu dosya bulunabileceği gibi şu şekilde bir senaryo da mümkündür. A kişisi, B kişisinin cihazında kendi android hesabıyla oturum açtığında, B kişisinin cihazında yüklü uygulamalar ile A kişisinin android hesabı arasında da ilgi kurulur ve “library.db” dosyaları oluşabilir. Anılan senaryoda herhangi bir uygulamayı hiç indirmemiş ve hiç kullanmamış bir kişide de uygulamayı işaret eden “library.db” dosyalarının kurulması imkan dahilindedir.
Yukarıda belirtilen açıklamalar kapsamında, “library.db” veya diğer dosyalarda herhangi bir uygulamaya ait kayıtların incelenen cihazda bulunmuş olması söz konusu uygulamanın bu cihazda kullanıldığına dair kesin bulgu değildir.
4. Örnek Yargıtay Kararı ile Uygulamayı İndirme, Kurulum ve Kullanma Kavramları
Yargıtay 16. Ceza Dairesi’nin 04.04.2018 tarihli, 2017/3923 E. ve 2018/1565 K. sayılı kararı hemen her iletişim uygulaması için geçerli olduğu şekilde ByLock uygulaması için indirme, kurulum ve kullanma kavramlarını açıklamıştır. Anlan bozma kararının ilgili bölümleri aşağıda aynen sunulmuştur.
“Ayrıntıları Yargıtay Ceza Genel Kurulunun 26.09.2017 tarih, 2017/16.MD-956 E, 2017/370 sayılı kararı ile onanarak kesinleşen Dairemizin ilk derece mahkemesi sıfatıyla verdiği 24.04.2017 tarih, 2015/3 esas, 2017/3 sayılı kararında açıklandığı üzere; ByLock iletişim sistemi, FETÖ/PDY silahlı terör örgütü mensuplarının kullanmaları amacıyla oluşturulan ve münhasıran bu suç örgütünün bir kısım mensupları tarafından kullanılan bir ağ olması nedeniyle; örgüt talimatı ile bu ağa dahil olunduğunun ve gizliliği sağlamak için haberleşme amacıyla kullanıldığının, her türlü şüpheden uzak, kesin kanaate ulaştıracak teknik verilerle tespiti halinde, kişinin örgütle bağlantısını gösteren bir delil olacaktır.
ByLock uygulaması programını indirmek, mesajlaşmak/haberleşmek için yeterli değildir. Öncelikle kayıt esnasında kullanıcının bir kullanıcı adıyla parola üretmesi, mesajlaşma için ise kayıt olan kullanıcılara sistem tarafından otomatik olarak atanan ve kullanıcıya özel olan ID (kimlik) numarasının bilinmesi ve karşı tarafça onaylanması gerekmektedir. Karşılıklı ekleme olmaksızın iletişime geçilme imkanı bulunmamaktadır.
ByLock iletişim sisteminde bağlantı tarihi, bağlantıyı yapan IP adresi, hangi tarihler arasında kaç kez bağlantı yapıldığı, haberleşmelerin kimlerle gerçekleştirildiği ve içeriğinin ne olduğu tespit edilebilmektedir. Bağlantı tarihinin, bağlantıyı yapan IP adresinin tespit edilmesi ve hangi tarihler arasında kaç kez bağlanıldığının belirlenmesi, kişinin özel bir iletişim sisteminin bir parçası olduğunun tespiti için yeterlidir.
ByLock kullanıcı tespitleri ByLock sunucusunda kayıtlı IP adresleri üzerinden tespit edilebilmektedir. ByLock sunucusunda kaydı olan kullanıcıların User-ID (Kullanıcı No) tespiti yapılabilmekte ve mesaj içeriklerinin çözümü gerçekleştirilebilmektedir. Bu nedenle ByLock tespit değerlendirme tutanağında yer alan User-ID (Kullanıcı No), şifre ve gruba kayıtlı kişilerin tespiti bu kişilerin birbirleriyle olan ilişki ve irtibatların ortaya konulması sanığın hukuki durumunun belirlenmesi bakımından önemlidir. ByLock kullanıcılarının tespitleri açısından operatörler tarafından tutulan CGNAT (HIS) kayıtları bir çeşit üst veridir. CGNAT kayıtları özet veri olması nedeniyle bir iz ve emare niteliğinde olduğundan tek başına kişinin gerçek ByLock kullanıcısı olduğunu göstermez.
Bu nedenle ancak operatör kayıtları ve User-ID eşleştirmesi doğru yapılabilen kişilerin gerçek ByLock kullanıcısı olduklarının kabulü gerekeceğinden, kişinin örgütsel gizliliği sağlamak ve haberleşmek amacıyla ByLock sistemine girdiğinin ve bu sistemi kullandığının, User-ID, şifre ve grup elemanlarını içerir ByLock tespit değerlendirme tutanağı ve CGNAT kayıtlarını içeren belgeler ile kesin olarak kanıtlanması zorunludur.
Somut olayda; sanığın “Başka biri tarafından hattının takılı olduğu telefonuna ByLock yüklendiği ancak bu programı çalıştırmadığı ve hiç kullanmadığı” yönündeki beyanı ile birlikte yukarıda yapılan açıklamalar birlikte değerlendirildiğinde; sanığın Bylock programının telefonuna yüklü olduğu yönündeki beyanının suçun sübutu açısından yeterli olmayıp, ayrıca Dairemizce aranan “Sanığın örgütün talimatıyla ağa dahil olmak” ve “Gizliliği sağlamak için haberleşme amacıyla kullanılmak” şeklindeki koşulların birlikte bulunduğunun teknik verilerle tespit edilmesinin suçun sübutu açısından belirleyici nitelikte olması karşısında, istinaf aşamasından sonra dosyaya gönderildiği anlaşılan bylock tespit ve değerlendirme tutanağı, anılan tutanak içeriği ile HIS (CGNAT) kayıtları CMK’nın 217. maddesi uyarınca duruşmada sanık ve müdafiine okunarak diyecekleri sorularak değerlendirildikten sonra bir karar verilmesi gerekirken eksik araştırma ile yazılı şekilde hüküm kurulması, Kanuna aykırı, sanık müdafiinin temyiz itirazları bu itibarla yerinde görülmüş olduğundan, bu sebepten dolayı hükmün CMK'nın 302/2. maddesi uyarınca BOZULMASINA”
Aynı veya benzer ifadeler Yargıtay 16. Ceza Dairesinin 2018/1773 E. ve 2018/1630 K. sayılı, 2018/816 E. ve 2018/1974 K. sayılı, 2018/3328 E. ve 2018/844 K. sayılı ve 2018/1952 E. ve 2018/1756 K. sayılı, vb. kararları ile tekrar edilmiş ve karar istikrar kazanmıştır.
ByLock uygulamasının yukarıda da tarif edilen indirme, kurma (kayıt) ve kullanma aşamaları Yargıtay kararında da açıklanmıştır. Sanığın uygulamanın indirildiğine dair ikrarı olmasına karşın, yine sanığın programı çalıştırmadığı ve kullanmadığı beyanları karşısında aksini gösterir bir delil dosya kapsamında olmadığı için sanık hakkında verilen silahlı terör örgütü üyeliğinden cezalandırma yönündeki ilk derece mahkemesi kararı bozulmuştur. Yargıtay kararının katılmadığımız bölümleri ayrı bir tartışma konusudur.
Benzer şekilde dijital cihazların adli bilişim incelemesinde tespit edilen kalıntı dosyaları ByLock ya da başkaca bir uygulamanın teknik olarak herhangi bir şüpheye yer vermeyecek şekilde kullanımını gösterebilir nitelikte değildir. Kalıntı dosyaları yukarıda belirtilen şartları sağladığında uygulamanın indirildiğini gösterebilir. Ancak kurulum (kayıt) ve kullanım farklı aşamalardır.
5. Örnek Anayasa Mahkemesi Kararında ByLock Kalıntısı
Anayasa Mahkemesi 2016/14597 başvuru numaralı Mustafa Özterzi kararının 108 ve 109 numaralı paragraflarında kalıntı konusuna yer vermiştir. Anılan paragraflar aşağıda aynen belirtilmiştir.
“108. Soruşturma mercileri ayrıca aramalarda ele geçirilen materyaller ve dijital veriler üzerindeki incelemelerde söz konusu terör örgütünün propagandasını yaptığı bilinen sosyal medya hesapları ve internet sitelerine ait izlerin bulunması, FETÖ/PDY’yi övücü nitelikte olduğu değerlendirilen resimler ve değişik gazetelerden örgütle ilgili çok sayıda haberin tablete kaydedilmiş olması ve ByLock uygulamasının kurulumuna dair izlerin başvurucunun kullanmakta olduğu cep telefonunda kayıtlı bulunan mail adresinde yer almasına dayanmıştır. Ele geçirilen dijital verilerle ilgili inceleme raporundan başvurucunun örgüt yöneticisi ve üyelerinin hesaplarını ve yayın organlarını takip ettiği anlaşılmıştır. Yine sanığa ait olduğunda tereddüt bulunmayan e-mail hesabında ByLock isimli programın kalıntılarına rastlandığı tespit edilmiştir.
109. ByLock uygulamasının özellikleri gözönüne alındığında kişilerin bu uygulamayı kullanmalarının veya kullanmak üzere elektronik/mobil cihazlarına yüklemelerinin soruşturma makamlarınca FETÖ/PDY ile olan ilgi bakımından bir belirti olarak değerlendirilebileceği kabul edilmektedir (Aydın Yavuz ve diğerleri, §§ 106, 207). Bununla birlikte anılan kararda da açıklandığı üzere ByLock’a ilişkin veriler ancak bu uygulamanın kullandığının veya kullanılmak üzere telefona yüklendiğinin tespit edilmesi halinde kuvvetli belirti olarak kabul edilebilir. Somut olayda soruşturma mercilerince başvurucunun anılan programı kullandığına veya kullanmak üzere telefonuna indirdiğine dair bir iddiada bulunmamıştır. Başvurucuya ait olduğu ifade edilen bir elektronik posta adresinde bu uygulamaya ait izler bulunduğu belirtilmişse de kapsamı ve mahiyeti anlaşılmayan bu izlerin başvurucunun söz konusu uygulamayı kullandığını ya da yüklediğini ortaya koymadığı anlaşılmaktadır. Nitekim ilk derece mahkemesinde de anılan izlerin ByLock kullanımı bakımından yeterli bir veri olarak kabul edilmediği görülmektedir (bkz. § 30).”
Anayasa Mahkemesi de örnek kararından anlaşılacağı şekilde ByLock kalıntılarını krurulum ve kullanım için yeterli bir veri olarak görmemektedir.
Değerlendirmeler ve Öneriler
Ceza muhakemelerinde delil niteliği taşıyan bulgular, her türlü şüpheden uzak, kesin ve tartışmasız veriler olma özelliğine haiz olmalıdır.
Yürütülen soruşturma ve kovuşturmalar kapsamında düzenlenen Bilirkişi Raporlarında yer alan kalıntı tespitlerinin teknik olarak herhangi bir şüpheye yer vermeyecek şekilde yükleme ve kullanım gösteremeyeceği değerlendirilmiştir.
Yalnızca terim araması ile bulunan kalıntıların herhangi bir uygulamanın indirilmiş ve kullanılmış olduğunun kanıtı olarak değerlendirilmesinin teknik ve hukuki olarak doğru olmadığı anlaşılmaktadır.
Yargıtay 16. Ceza Dairesinin istikrar bulan kararlarında belirtilen değerlendirmelerin dikkate alınması zaruridir ve yukarıda alıntılanan değerlendirme kapsamında yalnızca incelenen Bilirkişi Raporları üzerinden kişilerin ByLock kullanımına yönelik kesin sonuca ulaşılması mümkün görülmemektedir.
Suçun sübutu için "örgütün talimatıyla ağa dâhil olmak" ve "gizliliği sağlamak için haberleşme amacıyla kullanmak" şeklindeki koşulların birlikte bulunduğunun teknik verilerle tespit edilmesinin belirleyici olduğu vurgulanmıştır. Suçun sübutu için iletişim içeriğinde bu hususların varlığının aranması hususu Sayın Mahkemelerin takdirinde olmakla birlikte, içerik ve operatör kayıtlarının bulunmadığı durumlarda teknik bir eşleşme yapılamayacaktır.
Dolayısıyla, anılan Yargıtay kararlarında da belirtildiği şekilde Bilirkişi Raporları dikkate alınarak isnada konu uygulamaların yüklenmiş olduğu bir an için kabul edilse dahi, kullanımın kesinleşmesi ancak başkaca eşleşmeler ile mümkün olabilecektir. Güncel dosyaların genelinde ise eşleşme veya iletişim içeriği veya yükleme ve/veya kullanımın kesinliği bulunmamaktadır.
Library Database (library.db) olarak adlandırılan dizinde yer alan dosya kalıntılarının incelenen telefonda yükleme göstermeyeceği, diğer bağlantılı cihazlarda ise herhangi bir şüpheye yer vermeyecek şekilde kullanım gösteremeyeceği değerlendirilmiştir.
Mahkemelerce belirlenen bilirkişilerin tespit ettiklerini belirtikleri kalıntı dosyalarının gerçekte neye işaret ettiğini 5N,1K sorularının yanıtlanabilen cevaplarıyla birlikte açıklaması gereklidir. Teknik olarak herhangi bir şüpheye yer vermeyecek kesinlikte tespiti yapılamamış kalıntı veya her türlü dijital verinin ceza yargılamasında kesin delil gibi hükme gerekçe yapılması şüpheden sanık yararlanır ilkesine ter düşecek ve adil yargılanma hakkının ihlali olacaktır.