Odatv davasını anlama kılavuzu 2: Dijital dokümanlar virüsle mi geldi?

Odatv davasıyla ilgili yazı dizimizin ikinci kısmını paylaşıyoruz. Bu yazıda Odatv'nin bilgisayarında ele geçirilen dosyaların virüsle gelip gelmedikleri tartışılıyor. Ancak aslına bakılırsa mahkemenin, bu dosyalar virüslü olsa da olmasa da gazetecileri derhal salıvermesi gerekiyor.
Pazartesi, 26 Aralık 2011 09:49

Son olarak gazetecilerin avukatlarının yaptırdığı, ABD'deki bilirkişi incelemesi de tamamlandı. Dokümanlar virüslü denildi. Gerçekten virüslüler mi, değiller mi?

Hepimizin şunun farkına varması gerek: Aslında bu dosyaların virüslü olup olmadıklarının bir önemi yok!

Bir: Hem Ceza Muhakemesi Kanunu'na (CMK) göre, hem de uluslararası hukuk ilkelerine göre herhangi bir bilirkişi raporu alınmadan, dijital delillere dayalı tutuklama yapılamaz. İki: Bilirkişi raporu alsanız dahi, dijital deliller kişinin tutuklanmasına esas oluşturamaz, ancak yan delil olabilirler. Davayla ilgili olarak kendisiyle görüştüğüm Avukat Serkan Günel, "Siz bir insanla ilgili bütün ilişkileri ortaya koyarsınız, ondan sonra bu dijital delilleri destekleyici unsur olarak ele alabilirsiniz" diyor.

İlk yazımızda göstermiştik: iddianame, dönüp dolaşıp dijital dokümanlara atıfta bulunuyor ve bunun dışında bu kişilerin bir "terör örgütü" kapsamında faaliyet yürüttüklerine dair hiçbir somut kanıt ortaya konulamıyor.

Daha iyi anlatmak için, içlerinde en "şüphelenilebilecek" kişiye bakalım: Kaşif Kozinoğlu. Artık başlı başına bir cezalandırma yöntemi haline gelmiş olan uzun tutukluluk süresine -her ne sebeple ise- ömrü yetmeyen Kozinoğlu, bu "örgüte" gizli belgeleri vermekle suçlanıyordu. Ve bunun için eldeki tek delil, Odatv ofisindeki bilgisayarda bulunan dijital dokümanlardan bir klasörün isminin "kozinoğlu3" olması, bir de "koz.doc" isimli word dokümanında "Rusya ve Özbekistan’daki cemaat operasyonları hakkında Kozinoğlu’ndan gelen belgeleri mutlaka gündeme taşıyalım. Kozinoğlu’ndan gelen diğer belgeleri de değerlendirelim" ibaresinin geçmesi. İddianamede, sadece bu dosyaya dayanılarak, "şüpheli Kaşif Kozinoğlu’nun şüpheli Soner Yalçın’la irtibatlı olduğu ve elde ettiği bilgileri Soner Yalçın’a ilettiği anlaşılmıştır" deniliyor.

Soner Yalçın'la ya da bir başkasıyla Kaşif Kozinoğlu arasında hiçbir somut ilişki kurulabilmiş mi? Hayır. Telefon görüşmesi? Bir yerde buluşma? Ortada hiçbir şey yok. Sadece Kozinoğlu'nun isminin yazdığı klasör var. soL'da yaptığımız bir haberde de dikkat çekmiştik, Kaşif Kozinoğlu'nun adı Mehmet Yılmaz gibi çok sıradan bir isim olsaydı, ne olacaktı? Bilgisayarda klasör oluşturmak, en kolay işlerden biri. Bir klasörün adı sizin adınız, bir word dosyasında da isminiz geçiyor. Ortada başka hiçbir somut kanıt yok, ve tutuklanıyorsunuz.

Bu sadece Kozinoğlu örneği. Ahmet Şık'ta, Nedim Şener'de durum daha da fena.

Burada anlattığımızı, İstanbul Bilgi Üniversitesi Hukuk Fakültesi Öğretim Üyesi Yard. Doç. Dr. Barış Erman HaberVs'ye verdiği röportajda şöyle açıklıyor: "Suçun ana unsurları haricinde bir şey gösteriliyor ise bu "belirti" olarak adlandırılır. Sadece belirtiye dayanarak bir insanın mahkûm edilmesi mümkün olamaz, olmamalıdır. Ne demek istiyorum. Mesela ben telefonda eğer bir kişiyi tehdit ediyorsam, suçu telefonda işliyorumdur. Bu telefon kaydı benim hakkımda tam olarak kullanılabilir. (…) Ancak ben telefonda, ‘ben birini tehdit ettim’ diyorsam bu suç unsuru değildir. Çünkü suçun temel unsurlarını telefonda gerçekleştirmiyorum. Bu suçun belirtisidir fakat kesin suç değildir. Aynı şey bilgisayar verileri için de geçerli."

Buradaki temel sıkıntı ne? Temel sıkıntı, savcılığın, yani iddia sahibinin, şüphelinin suç işlediğini kanıtlaması gerekirken, bu sürecin artık Türkiye'de tam tersine dönmüş olması: artık sanıklar, suçsuzluklarını kanıtlamak zorunda! Bu yüzden, tekrarlayalım, içerideki gazetecilerin delil yetersizliğinden dolayı derhal salıverilmeleri gerekiyor.

"Dosyalar virüsle gelmiş" diyen bilirkişi raporlarının hikayesi
Şimdi gelelim, virüs meselesine…

14 Şubat'ta Soner Yalçın, Barış Pehlivan ve Barış Terkoğlu'nun tutuklandığı ilk operasyondan kısa süre sonra üç gazetecinin avukatı, kendilerine karşı öne sürülmüş olan tek delil olan dijital dokümanların virüs yoluyla geldiği şüphesini dile getirdiler. Bu nedenle avukatlar, ellerindeki bilgisayar imajını, Boğaziçi Üniversitesi Bilgisayar Mühendisliği bölümüne götürerek, buradan bilirkişi raporu istediler.

Bir parantez açalım, ve dijital dokümanlara el konulması prosedürünü anlatalım. Bir baskın ve aramada polisin, mekânda bulunan bilgisayarların o andaki tüm içeriğini gösterecek bir imajını alması, bu imajı yanında götürmesi, bilgisayarın kendisini ve imajın bir kopyasını da şüphelide bırakması gerekiyor. Aslında Odatv'deki gazeteciler şanslıydı, çünkü bu prosedür daha önceki Ergenekon baskınlarında hemen hiç uygulanmamıştı. Normalde aynı prosedürün, evden alınan tüm cd, harici bellek gibi unsurlara da uygulanması gerekiyor, fakat bu uygulanmadı. Neyse ki, "dijital belgeler" bir cd'den çıkmadı. İddialar doğruysa, polis yanında getirdiği bir nesneyi bırakmak yerine, dosyaları virüs yoluyla göndermek gibi daha gelişmiş bir yönteme başvurmuştu. (Bu arada, Avukat Hüseyin Ersöz'ün bana aktardığına göre, İstanbul Emniyeti Terörle Mücadele Şubesi'nden bir polis, kendisine Terörle Mücadele'nin elinde 4 imaj alma cihazı olduğunu, 4 tane de Bilişim Suçları Şubesi'nde olduğunu söylemiş. Yani koca İstanbul Emniyeti'nde bu aletlerden toplam 8 tane var. Artık operasyonlarda gazetecilerin -ve diğer 'şüphelilerin'- yirmişer otuzar alındıkları Türkiye'de, hukuken dijital dokümanların delil kabul edilebilmeleri için gerekli olan prosedürün uygulanması imkansız.)

Ahmet Şık'ın kitabı, bilirkişi incelemesinin önlenmesi için mi toplatıldı?
İddialar doğruysa diyoruz, ve bu iddiaları şimdiye kadar 4 ayrı bilirkişi raporu teyit etti. Geri dönelim. Avukatlar, bilgisayar imajını Boğaziçi Üniversitesi'ne verdiler. İnceleme, Prof. Dr. Ufuk Çağlayan tarafından başlatıldı. Çağlayan ön incelemesini henüz tamamlamıştı ki, 23 Mart tarihinde savcılık, Ahmet Şık'ın yayımlanmamış kitabının toplatılması kararını aldı. Polis, kitabın bulunduğunu düşündüğü çeşitli yerlere baskınlar düzenledi. Yayımlanmamış kitabın toplatılması zaten bir skandaldı, ama savcılığın talimatında dikkat çekici bir başka nokta daha vardı. Savcı Zekeriya Öz’ün talimatına göre kitabın herhangi bir kopyasını bulunduranlar da terör örgütüne yardım suçunu işlemiş olacaklardı.

Bu madde üzerine Prof. Dr. Ufuk Çağlayan, polisleri dahi beklemeden elindeki Odatv bilgisayarı imajını polislere teslim etti. Böylece Odatv avukatlarının, "virüs" iddialarını kanıtlamaları hakkı ellerinden alınmış oldu.

Bugünden geriye dönülüp bakıldığında, bu kitap toplatma kararının, Boğaziçi'ndeki bilirkişi raporunun alınmasını engellemek için yapılıp yapılmadığı sorusu kafaları kurcalıyor. Görüştüğüm Odatv avukatları, bu şüphelerini dile getirdiler. Artık bitmiş ve birçok dostla paylaşılmış bir kitap taslağının bu şekilde yok edilemeyeceği ortada. Nitekim kısa süre sonra kitap internete düştü ve karar fiilen kadük hale geldi. (Aylar sonra da kitap basıldı ve kimse ses çıkarmadı.)

Tekrar dönelim. Ufuk Çağlayan imajı polise teslim etmişti, ancak ön incelemesini tamamlamıştı. Bu ön incelemede dahi Çağlayan, söz konusu "gizli dokümanların" bir maile eklenmiş virüs yoluyla bu bilgisayara gönderildiği, bu mailin de kısa süre içerisinde kendisini imha ettiği yönünde çok kuvvetli şüpheler olduğunu belirtiyordu.

Başta dediğimiz gibi, normalde yalnızca dijital dokümanlara dayanılarak tutuklama yapılamaz. Ancak söz konusu dijital dokümanların güvenilirliğine dair en ufak bir uzman şüphesi dile getirildiyse, iddia makamı bunların güvenilirliğini tam olarak ispatlamadıkça sanıkların tutuklu kalmaları da mümkün olamaz.

Bu defa ODTÜ "virüs" dedi
Buna rağmen mahkeme, sanıkları tahliye etmedi. Ardından bir başka Odatv çalışanının, Müyesser Yıldız'ın avukatları, Yıldız'ın bilgisayarının imajını ODTÜ'ye gönderdiler. Yıldız'ın bilgisayarında "Ulusal Medya 2010", "Hanefi.doc" gibi bazı dosyalar bulunuyordu, fakat "İmamın Ordusu" kitabının kopyası mevcut değildi, bu yüzden de avukatlar bu imajı polise teslim etmemişlerdi. ODTÜ Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü Öğretim Üyeleri Prof. Dr. Göktürk Üçoluk ve Araştırma Görevlisi Gökdeniz Karadağ tarafından hazırlanan rapor, şunları söylüyordu: 1. İmaj alma işlemi sırasında bu bilgisayarlara kullanıcının bilgisi dışında dosyalar yüklenebilir, bu yüzden bunlar tam olarak güvenilir olamaz. (Bu ifade, baştan beri anlatmaya çalıştığımızı doğruluyor. Tam olarak güvenilemeyecekleri için dijital dokümanlar tek başlarına yeterli kanıt oluşturamazlar. Fakat bu dönemin çarpık hukuk anlayışı, bunun yerine savunmanın, suçsuzluğunu kanıtlamasını bekliyor.) 2. Nitekim, biz söz konusu dört dosyanın oluşturulma tarihiyle oynandığını, bunların ilk bakışta görüldüğü gibi 4 Ekim 2010'da değil, 14 Şubat 2011 tarihinde oluşturulduklarını gördük. (Dikkat edilirse bu tarih Yalçın, Pehlivan ve Terkoğlu'nun tutuklandığı, Müyesser Yıldız'a ise herhangi bir işlem yapılmadığı ilk operasyonun tarihi.) 3. Bilgisayar, virüs vasıtasıyla dışarıdan kontrol edilebilecek şekilde ayarlanmıştır. 4. Bu virüsler, [email protected] adresinden gönderildi. 5. CHP'nin resmi adreslerine benzetilmiş bu mail adresi gmail uzantılı olmasına rağmen, bu mail gmail üzerinden değil, jangomail isimli e-mail sunucusu üzerinden gelmiştir.

Bu arada Odatv avukatları, Ahmet Şık'ın kitabı internet üzerinden her yere yayıldığı için toplatma kararının kadük kaldığı gerekçesiyle el konulan bilgisayar imajlarını geri almak için uğraşıyorlardı. Sonunda mahkeme bu başvurularını kabul etti. Ancak imajlar kendilerine, bu karardan tam 42 gün sonra teslim edildi. Belli ki birileri, bunları inceletme sürecini geciktirmek istiyor, belki de başka hazırlıklar yapıyordu.

ABD'den gelen rapordaki "CHP" ve "Jangomail" benzerliği
Avukatlar, bu imajı tekrar bilirkişilere gönderdiler. Yıldız Teknik Üniversitesi de incelemesi sonucunda dosyaların Odatv bilgisayarına virüsle geldiğini teyit etti. Ancak avukatlar, imajı bir de yurtdışına, ABD'deki bir adli bilişim şirketine göndermişlerdi. Bu raporun sonuçları da dün kamuoyuna açıklandı. Bu rapora göre çalışmayı yürüten Joshua Marpet, imaj üzerinde bir dosya zaman çizelgesi oluşturdu. Burada üzerinde tarihi olmayan bazı dosyaları saptadı. Bunların bazılarının, bilgisayarda tarihi de olacak şekilde var olan dosyalarla isim benzerliğini görerek, bu dosyaların artıkları olduğuna karar verdi. Ancak bazıları şüphe uyandırıyordu. Özellikle bu şüphe uyandırıcı dosyalardan sed.exe ve grep.exe komutuyla biten dosyaların virüs sahibi tarafından yerleştirilmiş olmasının büyük olasılık olduğunu söylüyordu Marpet, zira bu komutlar Windows'ta değil, Unix veya Linux işletim sisteminde görülen komutlardı. Marpet, aynı zamanda bilgisayarda çok fazla sayıda virüs, trojan ve solucan gibi "kötü amaçlı yazılım" tespit etti. Bunların bazıları kompleks yapıda ve az bulunur cinstendi. Marpet, bu bakımdan raporda "Odatv bilgisayarına el konulmuş ve asıl sahiplerinin makineyi geri almasına izin verilmemiştir" ifadesini kullanıyordu.

Ardından Marpet, virüslerin niteliklerini de inceleyerek, bu bilgisayarın genel bir virüs salgını nedeniyle enfekte olmadığını, ancak doğrudan hedef alındığını belirtti. Ve bu defa, bu hedef alınmanın nasıl gerçekleştiği sorusuna yöneldi. Virüslerin e-posta aracılığıyla gönderildiğini, muhtemelen de "Attaturk_ekrankoruma.scr" ve "Duyuru.pdf" adlı dosyalar vasıtasıyla gönderildiğini saptadı. İşin ilginci, söz konusu dosyaların ikisi de Barış Terkoğlu'nun e-posta adresinden çıkmıştı ve "[email protected]" adresinden gönderilmişti. Fakat Marpet, chp.org.tr resmi adresinin e-posta hizmetini "bmx.is.net.tr" üzerinden aldığını, oysa Terkoğlu'na gelen e-postaların "jangomail" üzerinden gönderildiğini tespit etti.

Yani, ODTÜ'nin verdiği raporla ABD'den gelen rapor, virüslerin gönderilmesinde ortak bir yöntem kullanıldığını gösteriyordu. Hem Müyesser Yıldız'a, hem de Barış Terkoğlu'na virüslü mailler CHP'nin adreslerine benzetilmiş adreslerden ve jangomail üzerinden gönderilmişti. Buradan, bu virüs gönderme işinin arkasında aynı failin olmasının muhtemel olduğu sonucuna ulaşabiliriz.

Yandaşların iddiaları neler?
Tabii bunlar, bağımsız uzman heyetlerinin vardığı sonuçlardı. Bir de işin "iddia" cephesi var. İlk araştırmada, Boğaziçi Üniversitesi'nden Ufuk Çağlayan kitap toplatma kararı üzerine polise teslim ettiği imajda yaptığı ön çalışmada kuvvetli virüs şüphesini dillendirmişti. 10 Nisan'da Zaman gazetesinde çıkan haberde, "Bilirkişi raporunda geçen 'Bahse konu bilgisayar hard diski incelenememiştir' ifadesi görmezden gelindi" denilerek, buna vurgu yapıldı. Oysa, kuvvetli şüphe karşısında bu kanıtın sağlamlığını kanıtlaması gereken, sanıklar değil savcılıktı. Masumiyet karinesi pas geçiliyor, masumiyetin kanıtlanması isteniyordu.

Ardından Eylül ayında Zaman gazetesi Ufuk Çağlayan'la telefonda görüştü ve Çağlayan'ın incelemenin eksikli olduğunu söylemesini, "Böyle rapor olmaz diye söyledim" sözleriyle haber yaptı. Zaman, Çağlayan'la görüşmesinin ses kaydını da yayınladı. Tahmin edilebileceği üzere Çağlayan görüşmede bir kez daha imaja el konulması nedeniyle incelemenin eksikli olduğunu söylüyordu. Fakat Çağlayan, isminin kamuoyu nezdinde bu kadar öne çıkmasından rahatsız olmuştu. Bu nedenle tartışmayı uzatmadı.

Eylül ayında açıklanan iddianamenin de başlangıç bölümünde "(...) Teknik Raporun ilgili dijital medyaya ait imaj üzerinden yapılan bir incelemeye dayanmadığı, imaj olmadan yapılan işlemler veya varsayımlarla yapılan yorumların adli bilişim incelemesi olamayacağı…" ifadesi kullanılarak, Boğaziçi'nin vermiş olduğu rapora adeta yanıt veriliyordu. Bu yanıt da kitap toplatma kararının, bilirkişideki imajın geri alınması için alındığı şüphesini kuvvetlendiriyor.

Müyesser Yıldız'ın bilgisayarı için ODTÜ'nin verdiği raporun ardından ise İçişleri Bakanlığı, kendi bilirkişi raporuna göre imaj alma sırasında bilgisayara dosya yüklenemeyeceğini ve bulunan bu dosyaların, polis aramasından önce birkaç defa açıldığını belirtti.

Ortada bir polis tezgâhı mı var?
Şimdi, tüm bu süreçte dikkat çekici iki olayı aktaralım. Öncelikle, son olarak bahsettiğimiz Müyesser Yıldız'ın başından geçene göz atalım. Müyesser Yıldız ilk gözaltına alındığı zaman, kendisine Emniyet'teki sorgusunda "Ulusal Medya 2010" dosyası ile ilgili birtakım sorular yöneltildi. Emniyet'teki ifade tutanağına bakıldığında, bu dosya için "sizin bilgisayarınızdan elde edilmiş olan 'Ulusal Medya 2010' adlı dokümanda" denildiği görülüyor. Yine tutanağa göre dokümanla ilgili birçok ayrıntı verilmiş. Şimdi, bu Emniyet ifadesinin bitiş zamanı, 6 Mart geceyarısından sonra saat 00:30. Bundan on dakika sonra, saat 00:40'ta ise ifade tutanağı avukata verilmiş. Ancak Müyesser Yıldız'ın bilgisayarının ön incelemesinin tamamlanarak söz konusu dokümanlara ulaşılma saati 01:00. Eğer bu saatler doğru ise, polis Yıldız'ın bilgisayarında bu dosyanın olduğunu nereden biliyordu?

Bir diğer olay daha var. Bunu, konuyla ilgili görüştüğüm Avukat Serkan Günel şöyle anlatıyor: "[İlk operasyondan sonraki] Emniyet sorgusunda bizim karşımıza yapılan haberler, Soner Yalçın'la diğerleri arasındaki görüşmeler, toplantılar soruldu. Ancak savcılık aşamasında son anda emniyetten telefon geldi ve yeni deliller olduğu söylendi. Odatv'nin haber merkezinde, ta 'Oradaydım' belgeselinden itibaren en azından 2 terabaytlık, 3 terabaytlık bilgi vardır. Ve bunların bir ay içerisinde taranması mümkün değildir. Ki zaten bize en son 'delilleri taradık, artık içerisinde suç unsuru olmayanları alabilirsiniz' dediklerinde aradan 6 ay geçmişti. 6 ay sonra siz bütün delilleri taramayı ancak tamamlayabildiniz, ama 2 gün içerisinde davadaki bütün suçlamaların kaynağı olan bir word dokümanını bulabildiniz."

Bu iki ayrıntı, doğru olmaları durumunda virüsle gönderildiği yönünde artık ortada 4 ayrı bilirkişi raporu olan dosyaların bir polis tezgâhıyla yüklenmiş olabileceğine işaret ediyor.

Bugün, davanın ikinci duruşması başlayacak. Gazeteciler, savunmalarını yapacak. Herkes sonucu merakla bekliyor. Bilirkişi raporları, iddia makamını çok güçsüz bırakmış durumda. Ayrıca CMK'ya göre sanık avukatlarının aldığı bilirkişi raporları, iddia makamının aldıklarıyla eşit güçte. Yani hakim, İçişleri Bakanlığı'nın verdiği raporu, üniversitelerinkinden daha güçlü sayamaz. Fakat, bilirkişi raporları nihai karar için belirleyici güçte de değil. Bunlar, hakimin karar vermesi için değerlendirmesi gereken raporlar. Yani "virüs" diyen biri yurtdışından dört bağımsız heyetin raporu olmasına rağmen inisiyatif hakimde.

Ancak kesin olan şu: eldeki delillerle gazetecilerin hapiste tutulması hukuksuz ve bir an önce salıverilmeleri gerekiyor. Biz, bu davanın başka yönlerini de yazı dizimiz kapsamında incelemeye devam edeceğiz.

Yiğit Günay (soL)