"Casusluk" suçlamas?yla 4 Temmuz 2025'te tutuklanan Hüseyin Gün isimli ki?inin etkin pi?manl?ktan yararlanmak için verdi?i ifade sonucu geni?letilen soru?turmada, CHP'nin cumhurba?kan? aday? ve ?BB Ba?kan?Ekrem ?mamo?lu, gazeteci Merdan Yanarda? ve ?mamo?lu’nun dan??man?, kampanya direktörü Necati Özkan hakk?nda yeni iddianame haz?rland?.
?stanbul Cumhuriyet Ba?savc?l???'n?n iddianamesinde, ?mamo?lu, Yanarda? ve Özkan'a "siyasal casusluk" suçlamas? yöneltildi.
?mamo?lu’nun tutuklu siyasi dan??man? Necati Özkan’?n avukat? Erkam Erdem, Adli Bili?im Mühendisi ve Adli Bilirki?i uzman?na, iddianameyle ilgili teknik uzman mütalaas? haz?rlatt?.
Uzman mütalaas?nda, yap?lan incelemenin, aç?k kaynak istihbarat? (OSINT) yöntemleri, Darkweb pazarlar?, forumlar ve servisler ile aç?k internet üzerindeki teknik ve operasyonel verilerin derlenmesi, kar??la?t?r?lmas? ve analitik de?erlendirilmesi ile s?n?rl? oldu?u, rapor bulgular?n?n rapor tarihi itibar?yla geçerli say?laca??, raporda yer alan de?erlendirmelerin, teknik, operasyonel ve istihbari göstergelerin bir arada yorumlanmas?na dayand??? vurguland?.
Raporun, teknik bulgular?n adli bili?im perspektifinden aç?klanmas? ile s?n?rl? oldu?u kaydedildi.
SORU?TURMA KAPSAMINDA GEÇEN OSINT VE DARKWEB KAVRAMLARI NED?R?
Uzman görü?ünde ilk olarak iddianamede geçen OSINT ve Darkweb kavramlar?n?n tan?m? yap?ld?.
OSINT (Open Source Intelligence - Aç?k Kaynak ?stihbarat?), hukuka uygun ?ekilde herkesin eri?imine aç?k bilgi kaynaklar?ndan elde edilen verilerin toplanmas?, do?rulanmas? ve analiz edilmesi süreci oldu?u, bu yöntemde, yetkisiz eri?im, gizli veri elde etme veya sistemlere s?zman?n söz konusu olmad??? belirtildi.
Adli bili?im literatüründe OSINT'in, "do?rudan suç isnad? veya fail tespiti için de?il, teknik iddialar?n ba?lamsal olarak de?erlendirilmesi, iddialar?n makuliyetinin test edilmesi ve senaryo analizi amac?yla kullan?lan destekleyici bir yöntem" olarak kabul edildi?i aktar?ld?.
"Darkweb"in ise standart internet taray?c?lar?yla eri?ilemeyen ve özel yaz?l?mlar arac?l???yla ula??lan a? yap?lar?n?n genel ad? oldu?u belirtilen raporda, "Darkweb’in kullan?m? tek ba??na hukuka ayk?r? de?ildir. Bu a?lar; ifade özgürlü?ü, sansürden kaç?nma, gizlilik ihtiyac? gibi me?ru amaçlarla da kullan?labilmektedir. Ancak anonimlik sa?lamas? nedeniyle Darkweb ortamlar?nda, hukuka ayk?r? yollarla elde edildi?i iddia edilen ki?isel verilerin payla??m? gibi faaliyetlere de rastlanabilmektedir" denildi.
HÜSEY?N GÜN’ÜN ?FADES?NDE GEÇEN ?BB VER?LER? NELER?
Uzman mütalaas?nda, "Hüseyin Gün’ün aç?k kaynaklarda yer alan emniyet ifadesinin, 124 ve 125. sayfalar?nda geçen ve ?stanbul Büyük?ehir Belediyesi’ne ait oldu?u iddia edilen veriler nelerdir?"sorusunun da yan?t? verildi.
?fadenin 124 ve 125. sayfalarda bulunan ?BB verilerinin, bir bilgisayar monitöründen foto?rafland???, web tabanl? bir arama uygulamas?n?n sonuç ekran?nda görüntülenen ibb.gov.tr uzant?l? e-mail adresleri oldu?u belirtilen uzman görü?ünde, bu ?BB e-posta adreslerinin, büyük veri üzerinde arama yapmak için geli?tirilmi? web tabanl? bir uygulamada görüntülendi?inin anla??ld??? aktar?ld?.
?nternet üzerinde çok say?da benzer uygulama bulundu?u, ekran görüntüsünde, arama kutucu?una "leak"* ?eklinde bir ifade girildi?inin görüldü?ü belirtilen uzman raporunda, ?unlar kaydedildi:
"Y?ld?z (*) karakterinin kullan?lmas?, bu sistemin büyük ihtimalle Elasticsearch benzeri bir full-text arama altyap?s? kulland???na i?aret eder. Elasticsearch’te ve benzeri arama dillerinde * joker karakteri, herhangi bir metin ile e?le?ebilen joker karakter olarak kullan?l?r. Sorguda, Türkçe'de 's?z?nt?' anlam?na gelen 'leak*' yaz?lmas?, 'leak' ile ba?layan tüm kategorilerdeki sonuçlar? aramak hedeflenmi?tir. Nitekim, arama sonuçlar?nda 'leakDoc' ve 'leak-myspace_20170910' kategorilerindeki sonuçlar filtrelenmi?tir.
Arayüzdeki filtreleme yetenekleri de?erlendirildi?inde, kullan?c?lar?n veritaban?nda belirli bir s?z?nt? kümesini, tarih aral???n? veya alan ad?n? filtreleyebildi?i anla??lmaktad?r. Her iki sayfadaki üstveri bilgilerinden s?zan ?BB verilerinin leak-myspace_20170910 ve leakjan19_20190314 isimleri alt?nda bulundu?u anla??lmaktad?r. Bu isimler 10 Eylül 2017 tarihli MySpace ve 14 Mart 2019 tarihinde yüklenen 19 Ocak s?z?nt?lara i?aret etmektedir. Yap?lan incelemelerde, arayüzde s?z?nt? kaynaklar? için kullan?lan isimlerin geçmi?te gerçekle?en veri s?z?nt?lar? ile tutarl? oldu?u anla??lm??t?r."
?BB.GOV.TR UZANTILI ?AHS? MA?LLER 31 MAYIS 2016 TAR?H?NDE ÇALINMI? MYSPACE KULLANICI G?R?? B?LG?LER? ARASINDA
Sosyal payla??m sitesi MySpace ?irketinin, 31 May?s 2016 tarihinde resmi internet sayfas?ndan, "çal?nm?? Myspace kullan?c? giri? bilgilerinin çevrim içi bir hacker forumunda payla??ld???n?n tespit edildi?ini aç?klad???" aktar?lan uzman görü?ünde, "Aralar?nda MySpace sitesine .....@ibb.gov.tr kullan?c? ad? ve .... ?ifresi ile kaydolan bir ?ahs?n da bulundu?u 359.1 milyon hesab?n 19 Temmuz 2008’de 'Peace' takma ad?n? kulland??? bildirilen tehdit aktörü taraf?ndan ele geçirildi?i, bu bilgilerin 31 May?s 2016 tarihinde Darkweb’de bulunan 'The Real Deal' isimli sitede 6 Bitcoin (yakla??k 2800-3000 dolar) ücretle sat?ld??? anla??lm??t?r" denildi.
Raporda, söz konusu sat?? ilan?na ait ekran görüntüsüne de yer verildi.
Raporda, "Yap?lan incelemelerde, ekran görüntülerinde yer alan di?er tüm ?BB e-posta adreslerinin de benzer ?ekilde Ocak 2019 s?ralar?nda 'Collections' (Koleksiyonlar) ismiyle Darkweb’e s?zd?r?ld??? anla??lm??t?r. Aralar?nda 12,000’den fazla web sitesinin bulundu?u 21 2,890 ayr? kaynaktan ele geçirilerek derlendi?i tespit edilen 772,904,991 kullan?c? ad? ve 21,222,975 ?ifrenin yer ald??? 87GB büyüklü?ündeki veritaban? içeri?inde ibb.gov.tr veya ?BB’ye ait herhangi bir ?irkete rastlanmam??t?r. Sonuç olarak, inceleme konusu foto?raflardaki verinin, üyelik ve benzeri nedenlerle ?BB e-posta adreslerinin kullan?ld??? farkl? web sitelerinden ele geçirildi?i anla??lm??t?r" denildi.
B?R ?BB ÇALI?ANINA A?T B?LG?LER?N 2016'DA D??ER 14.022 SANAL MÜZE ÜYES?YLE B?RL?KTE S?BER KORSANLARIN EL?NE GEÇT???...
?nceleme konusu olayda, turkeyforyou.com adresli turizm amaçl? siteye ?BB e-postas? ile üye olan bir ?BB çal??an?n?n e-mail adresi ve bu site için olu?turdu?u ?ifrenin, 2017 y?l?nda di?er 81.728 site üyesiyle, ayn? ?ekilde 1999 y?l?nda aç?lan sanalmuze.org isimli siteye üye olan bir ba?ka ?BB çal??an?na ait giri? bilgilerinin 2016 y?l?nda di?er 14.022 Sanal Müze üyesiyle birlikte siber korsanlar?n eline geçti?i aktar?lan uzman raporunda, "7 Ocak 2019 tarihinde 12 binden fazla internet sitesi aras?ndan rastgele seçilen 5 tanesinde 'gov.tr' anahtar kelimesi ile yap?lan arama sonuçlar?nda, ?BB haricinde aralar?nda TBMM, Adalet Bakanl???, EGM, MEB, TÜB?TAK gibi kritik kurumlar?n da bulundu?u 57 devlet kurumundan 27 171 kamu görevlisinin gov.tr uzant?l? e-mail adresleri ile birlikte bu sitelerde kulland?klar? ?ifrelerin siber korsanlarca ele geçirildi?i anla??lm??t?r" ifadesine yer verildi.
Yap?lan ara?t?rmalarda, inceleme konusu s?z?nt?n?n "Sanix" olarak bilinen siber korsan taraf?ndan derlendi?i fakat rakibi "Azatej" olarak bilinen siber korsan taraf?ndan s?zd?r?ld???n?n tespit edildi?i, her iki siber korsan?n da Avrupa Polis Te?kilat? Europol taraf?ndan tespit edildikten sonra Polonya ve Ukrayna’da yakalan?p hapse at?ld?klar? bildirildi.
EN YÜKSEK R?SK ?HT?MAL?, PERSONEL?N AYNI ??FREY? FARKLI PLATFORMLARDA KULLANMASI
Uzman görü?ünde, en yüksek risk ihtimalinin, personelin ayn? ?ifreyi farkl? platformlarda kullanmas? oldu?u, bu durumda dahi eri?imin yaln?zca ilgili ki?inin e-posta içeri?iyle s?n?rl? kalaca?? ifade edilerek ?u tespitler yap?ld?:
"Yap?lan incelemelerde, 7 Ocak 2019 tarihinde s?zan veri içeri?indeki ilk ele geçirilen sitenin tarihi 29 A?ustos 2008 olarak tespit edilmi?tir. 31 May?s 2016’da s?zan verinin ise Temmuz 2008’de ele geçirildi?i aç?klanm??t?r.
Di?er bir ifadeyle, siber korsanlar?n 8-10 y?l süreyle aktif olarak toplad?klar? verilerin 2019 tarihinden çok önce ele geçirilip kullan?lmaya ba?lanm??t?r. 2019 y?l?nda ?BB’den ayr?lan baz? personelden ba??ms?z olarak, Darkweb’e yüklenmi? olsun olmas?n, inceleme konusu ?BB verilerinin ?BB sistemlerinden ele geçirilmedi?i, söz konusu verilerin baz? ?BB çal??anlar?n?n tek ba?lar?na/bireysel olarak üye olduklar? web sitelerinden (örne?in sanalmuze.org) ele geçirilmi?tir.
Her ne kadar e-mail adresleri @ibb.gov.tr uzant?l? olsa da bu adres sadece bir kullan?c? ad?ndan ibarettir ve yaln?zca belirlenen ?ifre ile kay?tl? sistemlerde çal??abilir. ?BB ad?na yüksek risk te?kil edebilecek tek durum, ilgili personelin ?BB e-posta ?ifresini farkl? sitelerde de kullanmas?d?r ki bu durumda dahi siber korsanlar ancak ?ifresi s?zan personelin epostalar?ndaki bilgilere ula?abileceklerdir."
"W?CKR’?N BYLOCK ?LE AYNI KAPSAMDA DE?ERLEND?R?LMES? TEKN?K AÇIDAN DO?RU DE??L"
Uzman görü?ünde, "Wickr isimli uygulama, Bylock uygulamas?na benzer kapal? devre kriptolu bir program m?d?r?" sorusuna da yan?t verildi.
Hüseyin Gün'ün telefonunda kulland??? belirtilen "Wickr" uygulamas?n?n, uçtan uca ?ifreleme kullanan, bireysel ve kurumsal kullan?c?lar için geli?tirilmi? bir mesajla?ma uygulamas? oldu?u, aç?k uygulama ma?azalar?ndan indirilebilece?i, herkes taraf?ndan serbestçe kullan?labilece?i, bireysel, ticari ve kurumsal kullan?m alan? bulundu?u, Amazon Web Services bünyesinde, Wickr Me / Wickr Pro / Wickr Enterprise gibi farkl? sürümlerinin bulundu?u anlat?ld?.
Raporda, Wickr’de kullan?c? olmak için herhangi bir davet zinciri, kapal? devre kay?t sistemi veya örgütsel do?rulama mekanizmas? gerekmedi?ine i?aret edildi.
"ByLock"un ise Milli ?stihbarat Te?kilat? ByLock Uygulamas? Teknik Analiz Raporu’na göre, teknik olarak ?ifreli bir mesajla?ma uygulamas? oldu?u, uygulamaya eri?imin kapal? devre ?ekilde sa?land???, herkes taraf?ndan serbestçe ve yayg?n ?ekilde kullan?lmas?n?n mümkün bulunmad???, kullan?c? havuzunun belirli bir yap? ile s?n?rl? kald??? ve yayg?n sivil/kurumsal kullan?m?n?n tespit edilmedi?i aktar?ld?.
Yarg?tay'?n, ByLock hakk?nda verdi?i yerle?ik kararlar?nda, "ByLock uygulamas?, münhas?ran FETÖ/PDY silahl? terör örgütü mensuplar?n?n kendi aralar?ndaki ileti?im için kulland?klar? kapal? devre bir haberle?me program?d?r" tespitini yapt??? hat?rlat?lan raporda, "Bu kabulün dayanaklar? olarak; uygulaman?n genel kullan?c? kitlesine hitap etmemesi, kullan?m?n örgüt içi haberle?me ile s?n?rl? kalmas?, ba?ka bir me?ru ve yayg?n kullan?m amac?n?n ortaya konulamamas? ve teknik verilerle desteklenen örgütsel ba?? göstermi?tir. Bu nedenlerle, Yarg?tay’?n ByLock karar?ndaki ölçütler Wickr’e uyguland???nda, Wickr’in ByLock ile ayn? kapsamda de?erlendirilmesi teknik aç?dan do?ru de?ildir" denildi.