FETÖ/PDY Davalarını aşağıdaki başlıklar altında kategorize etmek mümkündür.

ByLock Suçlamaları

ByLock Uygulamasını kullanmak suçlaması ile ilgili olarak kişilerin, CGNAT kayıtlarının varlığı yeterli olmaktadır. Ancak, CGNAT kayıtları, ByLock Sunucularına erişim taleplerini gösteren kayıtlar olması nedeni ile ByLock Uygulaması kullanımı sonucu mu yoksa başka bir nedenle mi ortaya çıktıkları CGNAT kayıtlarının incelenmesi ile tespit edilememektedir.

Bu konudaki incelemeler, öncelikle ByLock Uygulamasının VPN aracılığı ile kullanılmaya başlandığı 17/11/2014 tarihi öncesi ve sonrasına ait olup olmadıkları, bir iletişim programının sahip olması gereken türde ardıl süreklilik gösterip göstermedikleri, MIT ByLock Uygulaması Teknik Raporu, EK:10’ da yer alan, Uygulama Sunucusunda Engellenen IP Adresleri listesinde yer alan Major IP Bloklarına ait olup olmadıkları benzeri noktaların incelenmesi gerekmektedir.

Kişiye ait olduğu iddia edilen Tespit ve Değerlendirme Tutanağı ile kişi arasındaki bağın teknik bir incelemeye mi yoksa bir kanaate mi dayandığı, kesin bir tespitin söz konusu olabilmesi için teknik bir tespitin yapılmış olması gerektiği bilinmekte ancak pek çok dosyada kanaate dayalı tespitlerin yapıldığı görülmektedir.

Son dönemde, CGNAT kayıtları ile HTS/GPRS ve hatta HTS/İletişim Kayıtlarının arasındaki uyumluluğun incelendiği görülmekte, CGNAT kayıtları ile HTS/İletişim kayıtları arasındaki uyumluluğu veya uyumsuzluğun mümkün olması, CGNAT kayıtları ile HTS/GPRS kayıtları arasında ise uyumluluğun teknik bir zorunluluk olması nedeni ile bu kıyaslamanın kişilerin ByLock kullanıcısı olup olmadığı noktasında bir tespit niteliği bulunmamaktadır. (CGNAT ile HTS/GPRS kayıtları arasındaki uyumsuzluğun istisnası mümkündür.)

Ankesör Ardışık Aranma Suçlamaları

Örgüt tarafından kullanılan sabit ve ankesörlü telefonlardan örgüt üyelerinin ardışık olarak aranmaları ve bir araya geldikleri iddia edilmektedir.

Aranan kişilerin bir araya gelmiş olabilmeleri için yapılan aranmaların teyit edilebilir, yani aranan kişiye ulaştığının kesin olarak tespit edilmesi gerekmektedir.

Kişilerin ifade tutanaklarında ve Ankesör Büfe Sorgu Raporlarında ardışık aranma iddiaları yer almakta, aranma iddialarının tüm irtibat ve HTS kayıtları aracılığı ile teyit edilebilirlikleri incelenebilmektedir.

Süresi olsa dahi pek çok aranmanın aranan kişiye ulaşmamış olduğu, arama yapılan sabit hat üzerinde eş zamanlı arama yapmaya imkan veren santral kurulu olması ve ardışık aranan kişilerin aslen farklı kişiler tarafından aranmış olması gibi tespitler inceleme sonucu belirlenebilmektedir.

Operasyonel Hat Kullanma Suçlamaları

Aynı kişi tarafından kullanılan şahsi ve örgütsel amaçlı kullanılan ikinci bir GSM hattına ait iletişim kayıtları incelenmektedir.

Bu iki hattın aynı kişi tarafından kullanıldığına dair bilirkişi raporu düzenlenmektedir. Bu raporda, hatların birlikte hareket ettiklerinin tespiti için şehirler arası geçişler, baz istasyonları arası geçişler incelenmektedir.

Pek çok dosyada baz birlikteliği, bas istasyonu yakınlığı 600 metre mesafe ve 20 dakika içerisindeki iletişim kayıtlarına ve baz istasyonları arasındaki mesafeye bakılarak yapılmaktadır.

Baz istasyonunun türüne bağlı olarak özellikle konumu itibariyle 600 metreden daha uzak mesafelerde de kullanılabilir olması veya GSM hatlarının farklı operatörlere ait olması sonucu tespitlerde bulunulabilmektedir.

İki GSM hattının ortak noktaları aynı kişi tarafından kullanıldığına dair tespitler iken farklılık tespitleri ise farklı kişiler tarafından kullanıldığı anlamına gelebilecektir.

BankAsya Suçlamaları

17/25 Aralık olayları göz önünde bulundurularak hesap sahiplerinin, örgütün BankAsya’ ya para yatırma tarihi olan 15/01/2014 tarihi göz önünde bulundurularak bilirkişiler (ve MASAK) tarafından raporlandığı görülmektedir.

İlgili tarihler itibariyle ülkemizdeki katılım bankacılığının durumu, yatırım araçlarının getiri oranları ve kişilerin hesaplarındaki birikimleri ne şekilde tutuyor oldukları açılarından incelenmektedir.

Askeri Sınavlar Şifreleme Suçlamaları

Hava Astsubay Meslek Yüksek Okulu (HAMYO), Hava Harp Okulu (HHO), Deniz Astsubay Meslek Yüksek Okulu (DAMYO), Deniz Harp Okulu (DHO) sınavlarında farklı yıllarda adayların, TC Kimlik numaraları, aday numaraları ve bunların arasındaki ilişkilerin incelenerek, sınavda başarılı olan adayların, aday numaralarına müdahale edilerek her yıl için farklı olmak üzere belirli şifreler uygulanarak kazanan adaylara avantaj sağlandığı iddialarına dayanmaktadır.

Bilirkişiler tarafından incelemede, khi-kare testi olarak isimlendirilen ve belirli anlamlılık seviyelerinde şifrelemeler ile kazanan adaylar arasındaki ilişkilerin tespit edildiği, tespitlerde faz-1 faz-2 olmak üzere iki kademeli analizlerin yapıldığı bilinmektedir.

Ancak, istatistiki olarak düzgün ve normal dağılıma uyumluluk beklentisi üzerine yapılan, aday numaralarının üretilme süreçlerini, aday kabul ve yerleştirme süreçlerini göz önünde bulundurmaması nedeni ile güvenilirliği düşük tespitlerin olduğu ve tekrar inceleme ile tespitlerde bulunulabildiği görülmüştür.

Özellikle, istatistiki olarak beklenen ve gözlenen değerler arasındaki farkın, şifrelemenin tespitine neden olarak kullanılması ve bu değerler arasındaki fark kadar müdahale mümkünken, gözlenen değerdeki tüm adayların şifrelenmiş olduğu kabulü güvenilirliği düşürdüğü görülmüştür.

Garson SD Kart Suçlamaları

Süreç GARSON (K) Kod Adlı gizli tanığın, 18.04.2017 tarihinde Ankara CBS’ na teslim ettiği dijital materyallerin Ankara Cumhuriyet Başsavcılığı 2017/68532 sayılı soruşturması kapsamında Ankara 5. Sulh Ceza Hakimliği 2017/2920 sayılı kararı ve Kaçakçılık ve Organize Suçlarla Mücadele Daire Başkanlığının talebi ile Siber Suçlarla Mücadele Daire Başkanlığı’ nın 05/06/2018 tarihli İnceleme Raporu düzenlendiği görülmüştür.

Cep telefonunda yer alan bulgu ve tespitlerin konumuz ile ilgisi olmamasından dolayı incelemesi yapılmamış, Samsung marka SD kartta her ne kadar herhangi bir bulgu veya tespitte bulunulmamış olsa da bulgu ve tespitlerin yapıldığı Lexar marka SD kart ile birlikte incelenmiş olmasından dolayı, mevcut veriler ışığında incelenmesi ve değerlendirmesi yapılmıştır.

Cihaz İmaj İnceleme Konulu Suçlamalar

Adli bilişim alanında yapılan tüm inceleme ve analizler orijinalinde herhangi bir değişiklik meydana gelmemesi için delillerin birebir kopyaları üzerinde yapılır. Birebir kopya alma aşamasında özel yazılım ve donanımlara ihtiyaç duyulmaktadır. Birebir kopya delilin üzerindeki bütün verilerin kopyasının alınması anlamına gelmektedir. Alınan birebir kopya, mevcut verileri, silinmiş verileri, gizli bölümlerini, veri depolama biriminde bulunan diğer verileri de kapsar. Kullanılan “birebir aynısı” terimi, orijinal medyanın her sektör ve byte’ ının kopyalanması anlamındadır. Birebir kopyada orijinal medyada bulunmayan en ufak bir bilgi olmamalıdır. İdeal bir kopyalama işlemi orijinal medya üzerinde herhangi bir değişiklik meydana getirmemelidir. Birebir kopyalama çeşitli birebir kopyalama cihazları veya yazılımların kullanılması ile yapılabilmektedir.

Birebir Kopyalama Cihazları Kullanılarak Kopya Alınması: Adli bilişim uzmanları hem olay yerinde hem de laboratuvar ortamında çok çeşitli kopyalama donanımları kullanabilmektedir. Bu yöntemde söz konusu kopyalama cihazının bir tarafına yazma korumalı olarak delil, diğer tarafına yazma koruması kullanılmaksızın kopyanın alınacağı veri depolama birimi yerleştirilir ve ekran veya tuşlar yardımıyla kopyalama işlemi yapılır.

Yazılımlar Kullanılarak Kopya Alınması: Yazılımsal olarak kopya alınmasında, adli amaçlı olarak kullanılan yazılımlar, işletim sistemini kullanmadan medya ile bağlantı kurmakta ve medyaya istenen işlemleri yaptırmak suretiyle kopyalarının alınmasını sağlamaktadırlar.

İmaj almak adli bilişim suçlarının incelenmesinde ve suçların çözümünde olmazsa olmazlardandır. Bir adli bilişim suçu işlendiğinde suçun işlendiği cihaz üzerinde genelde canlı inceleme yapma imkanımız bulunmaz. İnceleme yapılacak cihazın birebir kopyaları oluşturulur ve bu kopyalar üzerinden inceleme işlemi yapılır. Oluşturulan bu kopyalara imaj (görüntü) denir. İnceleme yapılacak cihazın fiziksel veya mantıksal imajı alınır. Cihazın çalıştırılabilir bir kopyasını oluşturmak için fiziksel imaj, disk bölümleri üzerinde inceleme yapmak için mantıksal imaj alınır. İmaj alınırken dikkat edilmesi gereken en önemli özellik HASH’ dir. HASH imajı alan kişinin inceleme yapılacak cihaz üzerinde değişiklik yapmadığının ispatıdır.

İncelemeye başlamadan önce delil toplama aşamasındayken hem olay yerinde hem de laboratuvar ortamında imaj oluşturmada kullanılabilecek birçok donanım bulunmaktadır. Bu donanımların olmazsa olmazı yazma korumalı olmalarıdır. Bu donanımlardan bazıları doğrudan analiz bilgisayarına bağlanabilmekte bazıları ise Firewire veya USB portları aracılığı ile işlem yapmaktadır. İmaj oluşturma cihazlarının bir tarafına yazma korumalı olarak delil, diğer tarafına imajın oluşturulacağı veri depolama birimi yerleştirilerek imaj oluşturma işlemi gerçekleştirilir.

×