1st International Symposium on Digital Forensics and Security (ISDFS’13), 20-21 May 2013, Elazığ, Turkey 1 Özet—Adli bilişim alanında yapılan inceleme ve değerlendirme çalışmaları elektronik delillerden alınan adli kopyalar üzerinden yapılmaktadır. Hukuki olarak uygulamada adli kopyası alınmış olan orijinal elektronik delil üzerinden tekrar adli kopya alınarak hash değerleri kıyaslanmakta ve kıyaslama sonucu hash değerlerinde uyumsuzluk söz konusu olursa elektronik aygıt üzerinde değişiklik yapıldığı gerekçesiyle delil olarak kabul edilmemektedir. Bu çalışmada, orijinal delillerde bozulmalar olabileceği veya çalışma yapıları itibariyle şahısların müdahalesi olmaksızın kayıtlı olan verilerde değişiklikler olabileceği hakkında bilgiler verilmiştir. Hukuki açıdan yapılan uygulamalarda: delil üzerinde veri bütünlüğünün korunup korunmadığının kontrolü için tekrar orijinal delil üzerinden adli kopya alınması ve hash hesaplatılması gibi bir yol izlenmemesi gerektiği; bu kontrol işleminin, önceden alınmış olan adli kopya üzerinde değişiklik olup olmadığı şeklindeki hash hesaplatma çalışmalarıyla yapılmasının uygun olduğu sonucuna varılmıştır. Anahtar kelimeler—Adli Bilişim, adli kopya, hash sorunları, ssd disk incelemeleri, optik disk incelemeleri, sabit disk incelemeleri Abstract—Analysis and investigations in computer forensic are carried out on forensic images. Pertaining to law, when a forensic image is made of the original electronic evidence which already had a forensic image, and the hash values of both images are compared, the electronic device in question is not accepted as evidence when the comparison result are incompatible. In this study, information reveals that there may be deterioration of the original evidence, or there may have been changes in the provided data without the intervention of individuals because of their operating structure. Applications made from a legal point of views: that for the control of data integrity of the evidence, there should not be taken a new forensic image of the original evidence and make a hash calculation; for this control process, we take hash calculation using the first taken forensic image to determine if there have been changes. Keywords—Computer forensic, forensic image, hash issues, ssd forensic, cd-dvd forensic, hard disk forensic I. GİRİŞ Adli Bilişim; bir olay yeri incelemesi veya bir kurban üzerinde yapılan otopsinin eşdeğeridir.[1] Sayısal verileri elde etme, muhafaza etme ve çözümleme işlemlerinin delilin gereklerine uygun olarak mahkemeye sunulması aşamasına kadar uygulanması[2]; özel inceleme ve analiz teknikleri kullanılarak, bilgisayarlar başta olmak üzere, tüm elektronik medya üzerinde yer alan potansiyel delillerin toplanması amacıyla, elektronik aygıtların incelenmesi süreci kısaca Adli Bilişim (Computer Forensic)[3] olarak açıklanmaktadır. Bu süreç içerisinde elde edilen elektronik deliller:  Kabul edilebilir(admissible[4]) olmalıdır. E-delil, dava sırasında hakim veya başka insanlar tarafından kabul edilebilir olmalıdır.  Gerçek ve aslına uygun(authentic[5]) olmalıdır. Soruşturma veya kovuşturma altındaki konu ile ilgili doğrudan bir nedensellik bağı veya destekleyici mantıksal bağlar olması gerekir. Nedensellik bağı (illiyet rabıtası) aynı zamanda suçun kanun tanımında yer alan maddi unsurlarındandır ve meydana gelen netice ile fail arasındaki neden-sonuç ilişkisini ifade etmektedir[6]. E-delil mahkemedeki dava konusu olayla ve faille ilgili ve bağlantılı olmalıdır.  Eksiksiz ve tam(complete[7]) olmalıdır. Elde edilebilen tüm deliller toplanmalıdır. Bu deliller yalnızca, failin suçlanmasına ilişkin değil, varsa suçsuzluğuna ilişkin olanları da kapsamalıdır. Nitekim 5271 sayılı Ceza Muhakemesi Kanunu’nun 170. maddesinin (4) ve (5) numaralı fıkralarına göre, iddianamede, yüklenen suçu oluşturan olaylar, mevcut delillerle ilişkilendirilerek açıklanmalı; iddianamenin sonuç kısmında, şüphelinin sadece aleyhine olan hususlar değil, lehine olan hususlarda ileri sürülmelidir.[8] Sadece maddi olmamalıdır. Şüphelinin suçlu olduğunu veya suçsuz olduğunu kanıtlayan bir delil olmalıdır.  Güvenilebilir(reliable[9]) olmalıdır. E-delil güvenilir olmalıdır. Analiz için kabul edilmiş prosedürlere uygunluğundan ve doğruluğundan şüphe edilmemelidir.  İnanılabilir(believeable[10]) olmalıdır. E-delil, kanıtlama değerine sahip olmalıdır. Sanal yapıda olsa da[11], hakim veya taraflar tarafından açıkça anlaşılabilir ve inanılabilir olmalıdır.  Yasaya uygun olmalıdır. E-delil, yukarıdaki özelliklere sahip olsa da, yasaya uygun bir şekilde elde edilmemişse veya her ne kadar yukarıdaki özellikleri taşıyor olsa da yasaya uygun elde edilmediği için delil olarak değerlendirilemeyecektir. Örneğin 5271 sayılı CMK’nın 134. maddesine aykırı olarak bilgisayarlarda arama, kopyalama veya elkoyma işlemi yapılmışsa[12], elde edilenler mahkeme tarafından delil olarak değerlendirilmeyecektir. Adli Bilişim Uygulamalarında Orijinal Delil Üzerindeki Hash Sorunları Murat ÖZBEK İstanbul Bilgi Üniversitesi, Bilişim ve Teknoloji Hukuku Enstitüsü, İstanbul/Turkiye, mur.ozbek@gmail.com