Hash Değeri

Bakmakta olduğum bir ceza davasında sanık vekiliyim.Talebimiz ile Mahkeme dijital veri üzerinde bilirkişi incelemesi yaptırmıştır.Bilirkişi raporunda geçen şu cümleden ne anlamak gerekmektedir.

‘Hash’ değeri sadece uygulandığı verinin değişip değişmediğini ortaya koyar, geçmişe yönelik, ne zaman değiştirildiği hakkında bilgi vermez. Üretildiği tarihten sonrasına yönelik kullanılabilir.”

Yani bizim sunduğumuz dijital delil her ne kadar HASH değeri alınarak tespit edilmiş ise de bu durumda şüpheye mi uğrar.Mağdur vekili bu verinin geçmişte bir zamanda değiştirilmiş olabileceğini iddia etmiştir.devamla;

Bilgisayar disklerine evde el konduğu an ile bizim gözetimimiz dışında işlenmeye başlandığı yani “Acquisition Hash”ın hesaplandığı an arasında bazen saatler, bazen de günler vardır. Dolayısıyla, el konulan bilgisayarlara ” Acquisition Hash” değerleri hesaplanmadan bir ekleme yapılıp sonra “Acquisition Hash” hesaplanabilir. Bu yapıldıktan sonra “Acquisition Hash” ile “Verification Hash”ın aynı olmasının bilgisayara ekleme yapılmadığının bir kanıtı olarak hukuki değeri yoktur.

Alıntı: Yazan furugferruhzad Bakmakta olduğum bir ceza davasında sanık vekiliyim.Talebimiz ile Mahkeme dijital veri üzerinde bilirkişi incelemesi yaptırmıştır.Bilirkişi raporunda geçen şu cümleden ne anlamak gerekmektedir. ‘Hash’ değeri sadece uygulandığı verinin değişip değişmediğini ortaya koyar, geçmişe yönelik, ne zaman değiştirildiği hakkında bilgi vermez. Üretildiği tarihten sonrasına yönelik kullanılabilir.” Yani bizim sunduğumuz dijital delil her ne kadar HASH değeri alınarak tespit edilmiş ise de bu durumda şüpheye mi uğrar.Mağdur vekili bu verinin geçmişte bir zamanda değiştirilmiş olabileceğini iddia etmiştir.devamla; Bilgisayar disklerine evde el konduğu an ile bizim gözetimimiz dışında işlenmeye başlandığı yani “Acquisition Hash”ın hesaplandığı an arasında bazen saatler, bazen de günler vardır. Dolayısıyla, el konulan bilgisayarlara ” Acquisition Hash” değerleri hesaplanmadan bir ekleme yapılıp sonra “Acquisition Hash” hesaplanabilir. Bu yapıldıktan sonra “Acquisition Hash” ile “Verification Hash”ın aynı olmasının bilgisayara ekleme yapılmadığının bir kanıtı olarak hukuki değeri yoktur.

T.C. YARGITAY

11.Ceza Dairesi
Esas: 2005/6376
Karar: 2007/2551
Karar Tarihi: 16.04.2007


BİLGİSAYAR SİSTEMİNE ZARAR VERMEK SUÇU - SİSTEMİ ENGELLEME BOZMA VERİLERİ YOK ETME VEYA DEĞİŞTİRME - IP ADRESİNİN BİLİRKİŞİ RAPORLARI DOĞRULTUSUNDA TESPİTİ - BULUNACAK ADRESİN SANIKLA İLGİSİNİN BELİRLENMESİ GEREĞİ

ÖZET: Bilgisayardaki virüslü dosya veya dosyaların orijinallerinin korunup korunmadığı, birebir yedeklerinin alınıp alınmadığı hususlarının araştırılması, e-posta veya e-postaları gönderenin IP adresinin bilirkişi raporları doğrultusunda tespiti, bulunacak adresin sanıkla ilgisinin belirlenmesi, olay tarihinde katılan dışındaki diğer şirket ortakları ile Yurdanur Çavdar'ın tanık sıfatı ile dinlenmeleri ve toplanan deliller bir bütün halinde değerlendirildikten sonra sonucuna göre sanığın hukuki durumunun takdir ve tayini gerekir.


(5237 S. K. m. 244) (5271 S. K. m. 134)

Bilgisayar Sistemine Zarar Vermek suçundan sanık M….. (Ç…..) Ü….'ın yapılan yargılaması sonunda: Beraatine dair Adana 5. Asliye Ceza Mahkemesinden verilen 25.11.2004 gün ve 2003/741 Esas, 2004/1570 Karar sayılı hükmün süresi içinde Yargıtay'ca incelenmesi katılan vekili tarafından istenilmiş olduğundan dava evrakı C.Başsavcılığının onama isteyen 18.07.2005 tarihli tebliğnamesi ile daireye gönderilmekle incelerek gereği görüşüldü:

Sanığın suç tarihinde kendi adına kayıtlı bilgisayar adresinden virüs göndererek katılan M….. E..'in, yetkilisi olduğu E..... İnşaat Sanayi ve Ticaret Limitet Şirketi'ndeki bilgisayarların sistemine zarar verdiğinin iddia olunması, sanığın ise <kendisinin daha önce söz konusu şirkette satış ve pazarlama müdürü olarak çalıştığını, ancak bu şirketteki bilgisayarlara e-mail yoluyla virüs göndererek zarar vermediğini ve suçu kabul etmediğini> savunması, katılanın, <adı geçen şirketin sahibi ve genel müdürü olduğunu, olay tarihinden önce şirkette müdür ve tercüman olarak çalışan sanığın, kendisinin yol açtığı hesap açığını kapatmak için kendi e-mail numarasından virüs göndererek şirkete ait bilgisayarların sistemlerine zarar verdiğini ve şikayetçi olduğunu> belirtmesi, tanık Ş.... K....'ın, <kızkardeşi olan sanığın daha önce söz konusu şirkette çalıştığını, daha sonra işinden ayrıldığını, şirkete ait bilgisayar sistemine zarar verdiğine dair bilgisinin olmadığını, sanık olan kızkardeşini isteyen katılanın evlenme isteği kabul edilmeyince annesini iteklediğini, bu olaylar nedeniyle karakola müracaat edildiğini,> diğer tanık S.... U....'ın, arkadaşı olan sanığın, üç kardeşin ortak olduğu E..... İnşaat Sanayi ve Ticaret Limited Şirketi'nde pazarlama müdürü olarak görev yaptığı sırada, kriz nedeniyle ortaklardan ikisi tarafından işten çıkarıldığını, diğer ortak katılanın işe tekrar dönmesini istemesine rağmen, onun kabul etmediğini, bu nedenle iftira etmiş olabileceklerini, bilgisayara zarar verdiğini görmediğini beyan etmesi, Ç...... Üniversitesi Bilgisayar Bilimleri Uygulama ve Araştırma Merkezi Müdür Yardımcısı Bilirkişi Yrd. Doç. Dr. B...... M.....'ın, 06.08.2004 günlü raporunda, <dava dosyasının ekinde mevcut diskete, 21.03.2002 tarihinde şirket ana bilgisayarından bilirkişi bilgisayar teknisyeni İ...... Ç..... tarafından tespit edilerek kaydedilen ve içinde VBS/Haptime.gen@MM virüsünü barındıran 26 KB büyüklüğündeki SZSCS.HTM isimli dosyanın virüs içermesi nedeniyle disketin orijinalliğini bozmamak için kopyasını alıp söz konusu dosyanın kaynak kodu üzerinde yaptığını belirttiği incelemede, öncelikle bilirkişi İ…… Ç…..'ın 25.03.2002 tarihli raporunda dökümünü verdiği e- postanın yazıcı çıktısının 02.03.2002 tarihli olup bilirkişi tespitinden önce yazdırılmış olduğunu, söz konusu e-posta çıkışlı olmakla E..... İnşaat Sanayi ve Ticaret Limitet Şirketi'ne ait aedltd@mynet.com adresine 03.01.2002 tarihinde gönderildiğini, gönderenin <meltem cavdar> olarak görüldüğünü, ancak <Kimden> alanına yazılan bu isim, adres defteri veri tabanından otomatik olarak alınarak buraya yazıldığını ve bu veri tabanını bilgisayarı kullananların el ile değiştirebilmelerinin mümkün olduğunu, kaynak kodu içinde yaptığı aramada, bilirkişi İbrahim Çağlar'ın raporunda ve dava dosyasında muhtelif yerlerde sanığa ait olduğu söylenen mcde@yahoo.de, mcde70@yahoo.de, mcde71@yahoo.de e-posta adreslerinin hiçbirine rastlayamadığını, kişilere ücretsiz e-posta adresi veren sitelerden biri olan Y.... internet sitesinin people.yahoo.com arama sayfasında, meltem çavdar kelimelerini aratarak mcde70@yahoo.de e-posta adresinin olduğunu tespit ettiğini, bu e-posta adresinin adı ve soyadı alanlarına meltem çavdar girilerek Almanya Y.... ücretsiz e-posta adresi sağlayan servis sağlayıcısından alındığını, bu adresin kendisine ait olup olmadığının sanıktan, aynı adresle ilgili daha detaylı kimlik bilgisi için de, ancak yahoo.de internet sitesi yöneticilerinden sorularak öğrenilebileceğini, ancak bu adresin izine virüslü SZSCS.HTM dosyasında rastlanılamadığını, bunun yerine sadece bir yerde <Kimden> alanında veri tabanından otomatik olarak alınarak yazılan <meltem cavdar> bilgisine rastlanıldığını, söz konusu e-postada bulunan VBS/Haptime.gen@MM virüsü ile ilgili antivirüs firmalarından olan M.... şirketinin sitesinden elde ettiği bilgilere göre bu virüsün, kendisini web sayfası dosyalarına ekleme, .DLL ve .EXE uzantılı sistem dosyalarını silme, web sayfaları halinde hazırlanmış e-postaların içinde kendisini otomatik olarak yayarak bulaştırma özelliklerine sahip bir virüs olduğu, Microsoft Outlook Express isimli e-posta programı kullanılarak gönderilen e-postalar aracılığıyla gizlice kendisini yaymaya çalıştığı, ayrıca, bulaştığı bilgisayarın çalıştığı tarihteki günün ve ayın toplamı 13 ise aktifleşerek sistemde bulunan, .DLL ve .EXE uzantılı sistem dosyalarını silerek sisteme zarar verdiğini, buna göre, e-posta ile gönderilen virüsün özelliğinden dolayı, hiçbir ekli dosyayı çalıştırmaya gerek kalmadan okunur okunmaz 03.01.2002 tarihinde bilgisayar sistemine bulaşmış olması gerektiğini, şirketinin ilk keşif istediği tarih olan 20.03.2002 tarihine kadar, 12.01.2002 Cumartesi, 11.02.2002 Pazartesi ve 10.03.2002 Pazar günleri virüsün çalışarak sistem dosyalarını sileceğini, sisteme ait olan dosyalar silindikçe de sistemin açılmasının zorlaşacağını ve bir süre sonra da hiç açılamaz hale geleceğini, virüs içeren bir e-posta veya e-postaların E..... İnşaat Sanayi ve Ticaret Limitet Şirketi'nin bilgisayarlarına virüs bulaştırması sonucu doğacak zararın, şirketin gönderdiği e-postalar aracılığıyla başka adreslere virüs göndererek başka bilgisayarlara zarar vermesi ve kendi bilgisayarlarının sistem dosyalarını silerek çalışamaz duruma getirip iş ve zaman kaybına neden olması olduğunu, virüslü veya virüssüz bir e-postayı gönderen bilgisayarı bulmanın mümkün olduğunu, e-postayı gönderen bilgisayarın IP numarası, e-postayı gönderen sunucu bilgisayarın IP numarası, gönderici ve alıcı adreslerinin, e-posta almayı ve göndermeyi sağlayan e-postanın sunucu bilgisayarlarının tuttuğu günlük kayıtlarında saklandığını, servis sağlayıcı firmaların bir süre sonra bu kayıtların olduğu dosyaları silebildiğini, bu bilgilerin servis sağlayıcı firmalardan resmi yollarla istenilerek öğrenilebileceğini, bu davada 03.01.2002 tarihinde saat 16.19'da E..... İnşaat Sanayi ve Ticaret Limitet Şirketi'nin aedltd@mynet.com e-posta adresine virüslü e-posta gönderilerek bilgisayar sistemlerine zarar verilmesinin söz konusu olduğunu, M.... şirketinin günlük kayıtları mevcutsa gönderici e-posta adresini, e-postanın yazılıp yola çıkarıldığı ilk bilgisayarın IP numarasını ve IP numarasının sahibi servis sağlayıcı firmanın isminin bulanabileceğini, servis sağlayıcı firmadan da, günlük kayıtları mevcutsa verilen tarih ve saat için bu IP numarasının kullanıcısının öğrenilebileceğini, şayet e-postanın yola çıkarıldığı sistemin IP numarası M.... şirketinden öğrenilemezse ve e-postayı gönderen adres mcde70@yahoo.de olarak bulunursa Y.... şirketinden, başka bir adres çıkarsa o e-posta adresini sağlayan servis sağlayıcıdan, bu adresi kullanan kişinin sistemde kayıtlı kimlik bilgileriyle, mevcutsa günlük kayıtlarından bu adres aracılığıyla e-posta gönderip almak için sisteme erişildiğindeki tarih ve saatler ile erişilen IP numaralarının öğrenilebileceğini ve bu kullanıcı telefonla bağlanan bir ev kullanıcısı ise bağlanılan telefon numarasından kimliğinin kolaylıkla bulunabileceğini, sonuç olarak, sanığın E..... İnşaat Sanayi ve Ticaret Limited Şirketi'nin bilgisayarlarına virüs gönderdiğinin kesin olmadığını, ancak virüs bulaştıran e-postanın gönderildiği kaynağın araştırılması gerektiğini, e-posta nedeniyle bulaşan virüsün bilgisayar sistemi bozarak iş ve zaman kaybına neden olduğunu, virüslü e-postayı gönderen bilgisayarın tespit edilmesinin, e-postanın yola çıkarıldığı bilgisayarın IP numarasının bulunmasıyla mümkün olabileceğini açıklaması karşısında, gerçeğin kuşkuya yer vermeyecek şekilde belirlenmesi açısından; öncelikle e-posta yolu ile virüs göndererek sistemine zarar verilmiş bir bilgisayarda incelemenin, olayın hemen akabinde yapılması ya da inceleme yapılacak bilgisayarın veya bilgisayara ait veri içeren ünitelerin, olaydan sonra inceleme yapılana kadar hiç kullanılmaması gerektiği, incelenecek bilgisayarın diskine bazı bilgilerin yazılması, değişmesi veya silinebilmesini önlemek ve söz konusu diskin bütünlüğünü sağlamak için bilgisayarda virüslü dosya üzerinde inceleme yaparken ilk işlem olarak, söz konusu dosyanın birebir (sector-by-sector) yedeğinin alınması (yani incelemenin orijinal dosya üzerinde yapılmaması), daha sonra ikinci olarak alınan birebir yedeğin değiştirilip değiştirilmediğini tespite yarayacak zaman ve bütünlük kontrolü imkanı sağlayan değerin (hash) belirlenmesi, bir e-postanın kimden geldiğinin tespiti için de, ilk olarak e-postayı gönderen IP adresinin bulunması (örneğin; şikayetçiye gelen e-postanın seçeneklerinden e-posta üst bilgisinin belirlenmesi ve bu üst bilginin uzman kişiler tarafından incelenmesi veya şikayetçiye gelen e-postanın göndericisinin ya da alıcısının e-posta sunucusunun sahibi şirkete belirtilen tarih ve saatte bahse konu e-postanın hangi IP adresinden gönderildiğinin sorulması ile), daha sonra da bulunan IP adresinin belirtilen tarih ve saatte hangi abone tarafından kullanıldığının ve o abonenin açık adres ve kimlik bilgilerinin talep edilmesi, bulunan IP adresini kullanan abonenin sanıkla bağlantısının araştırılması gerektiği hususları da göz önüne alınarak, bilgisayardaki virüslü dosya veya dosyaların orijinallerinin korunup korunmadığı, birebir yedeklerinin alınıp alınmadığı hususlarının araştırılması, e-posta veya e-postaları gönderenin IP adresinin bilirkişi raporları doğrultusunda tespiti, bulunacak adresin sanıkla ilgisinin belirlenmesi, olay tarihinde katılan dışındaki diğer şirket ortakları ile Yurdanur Çavdar'ın tanık sıfatı ile dinlenmeleri ve toplanan deliller bir bütün halinde değerlendirildikten sonra sonucuna göre sanığın hukuki durumunun takdir ve tayini gerektiği gözetilmeden eksik inceleme ile yazılı şekilde beraatine hükmolunması,

Sonuç: Yasaya aykırı, katılan vekilinin temyiz itirazları bu itibarla yerinde görülmüş olduğundan hükmün bu sebepten dolayı, 5320 sayılı Kanunun 8/1. maddesi gereğince uygulanması gereken 1412 sayılı CMUK. nun 321. maddesi uyarınca BOZULMASINA, 16.04.2007 gününde oybirliği ile karar verildi. (¤¤)

Sinerji Mevzuat ve İçtihat Programı


Altı Çizili yer hash değerinin ne demek olduğunu açıklamaktadır.

Teşekkürler...