1. Giriş: Görünmez Dedektiflerin Dünyasına Hoş Geldiniz

Dijital bir çağda yaşıyoruz ve bu çağda attığımız her adım, tıkladığımız her bağlantı ve gönderdiğimiz her mesaj arkasında silinmez bir iz bırakıyor. Adli bilimlerin temel taşı olan Locard prensibi der ki: "Her temas bir iz bırakır." Bu kural, siber uzayın karanlık köşeleri için de geçerlidir. Bir kıdemli adli bilişim danışmanı olarak şunu söyleyebilirim: Bilgisayarlar artık sadece veri depolayan cansız kutular değil; her biri titizlikle incelenmesi gereken birer "dijital suç mahalli"dir. Teknik literatürde bazen "Bilgisayar Kriminalistiği" olarak da adlandırılan bu disiplin, bir sabit diskin içindeki 0 ve 1’lerin karmaşık dünyasında adaleti arar. Görünmez kanıtların peşindeki bu yolculukta, bazen tek bir "bit" bile davanın kaderini değiştirebilir.

2. Televizyon Efsaneleri vs. Gerçekler: "CSI Etkisi"

Popüler kültür, bizleri laboratuvarda tek bir tuşa basarak suçlunun adresini saniyeler içinde bulan, aynı zamanda olay yerinde çatışmaya giren "süper kahramanlar" olarak resmediyor. Ancak gerçek dünya, televizyon ekranlarından çok daha derin ve sabır isteyen uzmanlık dallarına ayrılmıştır.

Televizyon dizilerindeki karakterler; hem balistikten hem DNA analizinden hem de karmaşık siber saldırılardan aynı anda uzman düzeyinde anlarlar. Oysa gerçek hayatta bir uzmanın, dizilerdeki kahramanlar gibi her alanda bilirkişi seviyesine ulaşabilmesi için kariyerine başladığında en az 80 yaşında olması gerekirdi. Gerçek adli bilimler; Adli Entomoloji (böcek bilimi), Adli Palinoloji (polen bilimi) veya Adli Antropoloji gibi her biri yıllarca süren özel eğitim ve uygulama deneyimi gerektiren devasa bir çatıdır. Bilgisayar kriminalistiği de bu devasa çatının en teknik ve hızlı gelişen uzmanlık alanlarından biridir.

"Bu tür programlar, ilgili bilim dalında toplumun eğitilmesi amacını taşımayıp, yalnızca gösteri temeline dayanmaktadır. Çok yaygın olan bu televizyon programları ile toplumun büyük bir kısmı çok sayıda yanlış bilgi ile donanmaktadır."

3. Mahalledeki Bilgisayarcı Neden Bir Adli Bilişim Uzmanı Değildir?

Sıkça düşülen en büyük hatalardan biri, teknik bilgisi yüksek olan her "bilgisayar teknisyeninin" dijital delilleri inceleyebileceğini varsaymaktır. Bir teknisyen cihazınızı tamir edebilir, ancak bir adli bilişim uzmanı o cihazın içindeki "adaleti" korur. Delil Zinciri (Chain of Custody) adı verilen süreç bozulduğu an, teknik bilgi hukuki olarak değersizleşir. İşte aralarındaki kritik farklar:

  • Delil Bütünlüğü ve Zinciri: Uzman, delil üzerinde asla değişiklik yapmaz; cihazın birebir adli kopyasını (imajını) alır. Teknisyen ise doğrudan delil üzerinde çalışarak veriyi bozabilir. Uzman, delilin ilk alındığı andan mahkemeye kadar olan her temasını Delil Takip Formu ile kayıt altına alır.
  • Lisanslı Araçlar ve Metodoloji: Uzman, sadece uluslararası mahkemelerce kabul görmüş, güvenilirliği kanıtlanmış donanım ve yazılımları kullanır.
  • Arama Arayüzü (Searching Interface): Kıdemli bir uzman, elde edilen devasa veri yığını içinde savcı ve avukatların delil araması yapabileceği özel bir arama arayüzü hazırlayabilir; teknisyen sadece dosya kopyalar.
  • Hukuki Standartlar ve Bilirkişilik: Uzman, teknik süreçleri hukuki bir dille raporlar ve mahkemede tanıklık yapacak donanıma sahiptir.

4. Siber Suçların Yaratıcı İsimleri: Salam Tekniği ve Süper Darbe

Siber suç dünyası, yöntemlerine verilen isimlerle de dikkat çekicidir. Bu yöntemlerin bazıları teknik zekayı kötüye kullanmanın zirvesidir:

  • Salam Tekniği (Salami Techniques): Özellikle bankacılık sistemlerinde kullanılır. Hesaplardaki fark edilemeyecek kadar küçük küsuratların (örneğin bir kuruşun onda biri) gizlice tek bir hesaba aktarılmasıdır. Tek bir işlem için önemsiz olan bu miktar, milyonlarca hesapta birleştiğinde devasa bir hırsızlığa dönüşür.
  • Süper Darbe (Super Zapping): Aslında bu yöntem ilk olarak disketten diskete kopyalamayı engelleyen "kopya koruma" (copy protection) yazılımlarını aşmak için geliştirilmişti. Ancak suçlular bunu, sistem kilitlendiğinde tüm güvenlik kontrollerini aşan sistem programlarını kötüye kullanmak için adapte ettiler. Bu "süper" yetkiler, sistemde iz bırakmadan her türlü değişikliği yapmaya olanak tanır.
  • Çöpe Dalma (Scavenging): Fiziksel çöplerden veya sistem belleğinde (RAM) kalan artık verilerden değerli bilgi toplama yöntemidir. Görünüşte silinmiş bir veri parçası, büyük bir saldırının anahtarı olabilir.

5. Dijital Parmak İzi: Hash Değeri Değişirse Her Şey Biter

Dijital dünyada bir dosyanın veya tüm bir diskin değişmediğini kanıtlamanın yolu Hash (Özet) Değeridir. Bu işlem, medyadaki tüm 0 ve 1’lerin matematiksel bir algoritma ile çarpılması sonucu oluşan dijital bir mühürdür.

Ancak kıdemli bir uzman için burada kritik bir detay vardır: Bozuk Sektörler (Bad Sectors). Manyetik alan veya fiziksel sarsıntı nedeniyle oluşan bu bozuk alanlar, hash hesaplamasına dahil edilmez. Eğer bir diskte bad sector varsa, bu durum hash değerini etkileyebilir. Bu nedenle uzman, hesaplanan hash değerinin yanında bad sector sayısını da raporunda mutlaka belirtmelidir. Eğer veri üzerinde en küçük bir kasıtlı değişiklik (tek bir bitin oynaması) yapılırsa hash değeri tamamen değişir ve delil mahkemede çöker.

6. Fişi Çekmek mi, Çekmemek mi? Uçucu Verilerin Kaderi

Eskiden bir baskında yapılan ilk iş bilgisayarın fişini çekmekti. Bugün ise bu, paha biçilemez kanıtların yok olmasına neden olabilir. Bilgisayarın RAM (uçucu bellek) biriminde saklanan veriler, elektrik kesildiği an silinir.

Oysa "Canlı İnceleme" (Live Analysis) teknikleri ile bilgisayar kapatılmadan önce RAM üzerinden kripto anahtarları (şifreli dosyaları açmak için tek yol), sohbet kayıtları ve aktif ağ bağlantıları kurtarılabilir. Eğer disk Bitlocker veya TrueCrypt gibi araçlarla şifrelenmişse, o şifreyi kırmanın tek yolu bilgisayar hala açıkken RAM’deki anahtarı yakalamaktır. Bu yüzden, işletim sistemine bağlı olarak bazen fişi çekmek doğruyken (Windows kayıt defterini korumak için), sunucu ve Linux sistemlerde normal kapatma prosedürleri uygulanmalıdır.

7. Bal Küpü (Honeypot): Siber Saldırganlar İçin Tatlı Bir Tuzak

Kurumlar, saldırganları durdurmak kadar onları anlamak için de Balküpü (Honeypot) sistemlerini kullanırlar. Bunlar, dışarıdan bakıldığında savunmasız ve değerli veriler barındıran gerçek bir sunucu gibi görünen dijital tuzaklardır.

Ancak Balküpleri sadece birer tuzak değil, aynı zamanda saldırgan davranışlarını, kullandıkları yeni "exploits" ve araçları öğrenmek için tasarlanmış gelişmiş laboratuvarlardır. Bu sistemlerde oluşan her türlü trafik peşinen "kötü niyetli" kabul edilir, bu da analiz sürecini oldukça netleştirir.

8. Sonuç: Geleceğin Kanıtları Sayısal Dizilerde Saklı

Adli bilişim, sadece teknolojiyle ilgili bir iş değil; adaletin dijital dünyadaki sesidir. Kanıtlar artık sadece parmak izlerinde veya kan lekelerinde değil, karmaşık sayısal dizilerde saklıdır. Bilgisayar kriminalistiği disiplini, bu dizilerin dilini çözerek gerçeği gün yüzüne çıkarır.

Siz bu satırları okurken arkada çalışan işletim sistemi kayıtlarınız ve ağ üzerinden sessizce akan ağ paketleriniz, şu anki her hareketinize "tanıklık" ediyor. Kendi başınıza sildiğinizi düşündüğünüz her şeyin arkasında, dosyanın oluşturulma tarihinden hangi bilgisayarda hazırlandığına kadar bilgi barındıran üstveri (metadata), her şeyi görüyor. Şu soruyu sormanın vaktidir: "Siz sustuğunuzda, dijital izleriniz hakkınızda nasıl bir hikaye anlatacak?"