NEWS
KURUMSAL VE ENDÜSTRIYEL SIBER CASUSLUK
May.2026
Geçici Bellek (RAM) Forensiği ve Hukuki Etkileri
Sadece ekrandan okudum, kopyalamadım ya da "Bilgisayarıma sızan bir Truva atı (Trojan) bu işlemleri benim bilgim dışında yaptı" gibi savunmalar artık geçerli olmayabilir.
Siber suçlar, veri sızıntıları ve ticari sır hırsızlığı davalarında, dijital delillerin rolü her geçen gün artıyor. Ancak geleneksel disk analizi (hard drive forensics) artık tek başına yeterli değil.
Siber suçlar, veri sızıntıları ve ticari sır hırsızlığı davalarında, dijital delillerin rolü her geçen gün artıyor. Ancak geleneksel disk analizi (hard drive forensics) artık tek başına yeterli değil. Çünkü günümüz saldırganları ve kötü niyetli çalışanlar, verileri disk yerine doğrudan geçici bellekte (RAM) işleyerek arkalarında kalıcı bir iz bırakmamaya çalışıyor. Bu durum, hukuk dünyasında "Sadece ekrandan okudum, kopyalamadım" ya da "Bilgisayarıma sızan bir Truva atı (Trojan) bu işlemleri benim bilgim dışında yaptı" gibi savunmaların önünü açıyor. İşte bu noktada RAM analizi (Geçici Bellek Adli Bilişimi) devreye girerek hukuki uyuşmazlıkların seyrini tamamen değiştiriyor.
Ancak RAM forensiği sayesinde, sistem belleğinden pano (clipboard) verileri çekilebilir. Eğer şüpheli, hassas bir veriyi kopyalayıp panoya aldıysa, bu geçici bellek verisi doğrudan adli bilişim araçlarıyla tespit edilerek mahkemeye sunulabilir. Böylece pasif görüntüleme savunması teknik olarak çökertilir.
Bunun en çarpıcı örneği 2003 yılındaki Regina v. Aaron Caffrey davasıdır. Houston Limanı'na yapılan DDoS saldırısında Caffrey, bilgisayarında Truva atı olduğunu iddia etmiş ve o dönem geçici bellek analizi yapılmadığı, bu nedenle iddia teknik olarak çürütülemediği için beraat etmiştir. Günümüzde ise RAM'deki aktif işlem ağaçları (process tree) ve ağ bağlantıları (network sockets) incelenerek, olay anında gerçekten aktif bir uzaktan kontrol yazılımının (RAT) bulunup bulunmadığı kesin olarak belirlenebilmektedir.
"Sadece Okudum" Savunmasının Çöküşü
Ticari sır davalarında sanıklar sıklıkla gizli belgeleri sadece görüntülediklerini, hiçbir veriyi kopyalamadıklarını veya dışarı aktarmadıklarını iddia ederler. Geleneksel disk analizleri bu iddiayı çürütmekte yetersiz kalabilir; çünkü tarayıcı önbelleği veya sistem günlükleri verinin gerçekten kopyalanıp kopyalanmadığını her zaman kanıtlayamaz.Ancak RAM forensiği sayesinde, sistem belleğinden pano (clipboard) verileri çekilebilir. Eğer şüpheli, hassas bir veriyi kopyalayıp panoya aldıysa, bu geçici bellek verisi doğrudan adli bilişim araçlarıyla tespit edilerek mahkemeye sunulabilir. Böylece pasif görüntüleme savunması teknik olarak çökertilir.
Truva Atı Savunması ve Aaron Caffrey Vakası
Siber ceza hukukunda en sık başvurulan argümanlardan biri de "Trojan Horse" (Truva Atı) savunmasıdır. Sanık, "Saldırıyı veya veri sızıntısını ben yapmadım, bilgisayarıma sızan bir hacker yaptı ve sonra tüm izleri sildi" diyebilir.Bunun en çarpıcı örneği 2003 yılındaki Regina v. Aaron Caffrey davasıdır. Houston Limanı'na yapılan DDoS saldırısında Caffrey, bilgisayarında Truva atı olduğunu iddia etmiş ve o dönem geçici bellek analizi yapılmadığı, bu nedenle iddia teknik olarak çürütülemediği için beraat etmiştir. Günümüzde ise RAM'deki aktif işlem ağaçları (process tree) ve ağ bağlantıları (network sockets) incelenerek, olay anında gerçekten aktif bir uzaktan kontrol yazılımının (RAT) bulunup bulunmadığı kesin olarak belirlenebilmektedir.
RAM'in Hukuki Statüsü ve Delil Karartma
Peki, bu kadar geçici olan bir veri hukuken "delil" sayılır mı? ABD'deki Columbia Pictures Industries v. Bunnell davası bu konuda bir dönüm noktasıdır. Mahkeme, RAM'de tutulan geçici verilerin de Federal Medeni Usul Kuralları (FRCP) kapsamında keşfe tabi "Elektronik Olarak Saklanan Bilgi" (ESI) olduğuna karar vermiştir.
Bu durum, davanın taraflarına geçici verileri koruma yükümlülüğü getirir. ISO/IEC 27037 standardına uygun olarak, sistem kapatılmadan önce RAM imajının adli bilişim standartlarında alınması ve SHA-256 gibi kriptografik özetlerle doğrulanması gerekir. Aksi takdirde, sistemi aceleyle kapatarak RAM verilerinin yok edilmesine göz yummak, mahkemeler nezdinde delil karartma (spoliation) yaptırımlarına ve aleyhte karar verilmesine yol açabilir.
Sonuç olarak, dijital yargılama süreçlerinde RAM forensiği artık bir lüks değil, davanın kaderini belirleyen bir zorunluluktur. Şirketlerin ve hukuk profesyonellerinin bir siber olay veya veri ihlali anında bilgisayarları hemen kapatmak yerine, geçici bellek verilerini koruma altına alacak teknik ve hukuki protokolleri uygulaması kritik önem taşımaktadır.
by The Bellisan
May.2026
RELATED LAW ARTICLES
Case
|
|
Sosyal Mühendislik, Kişisel Verilerin İhlali & Dijital Kimlik Sahteciliği
|
Sosyal Mühendislik Yöntemiyle Lise Öğrencilerine Ait Kişisel Verilerin SMS ve Telefon Kanalları Üzerinden Hukuka Aykırı Olarak Ele Geçirilmesi Vakası
Case
|
|
Mega Siber Suçlar
|
Türkiye Cumhuriyeti hükümetini ortadan kaldırmaya teşebbüs etme-Silahlı terör örgütüne üye olma, silahlı terör örgütüne yardım etme-FETÖ-PYD Terör Örgütü
Case
|
|
Mega Siber Suçlar
|
Türkiye Cumhuriyeti hükümetini ortadan kaldırmaya teşebbüs etme-Silahlı terör örgütüne üye olma, silahlı terör örgütüne yardım etme-FETÖ-PYD Terör Örgütü
Would you like to know more?
If you require help or advice please contact our clerking team
Call -
+44 (0)20 75
or
email our clerks