Responsive App-like Navbar

Practice Lab

Forensic Practice Lab

Digital Evidence Integrity, Cross-Examination Protocols & Actionable Toolkits

Tactical Cross-Examination

Savcı, Hakim veya Adli Bilirkişilere (Expertise) yöneltilecek dijital delil odaklı kritik ve karar bozucu sorular.

"Sayın Bilirkişi ve Sanık; saldırının yapıldığı milisaniyelerde, A firmasının ana router (Cisco/Fortinet) loglarında, harici bir proxy veya dış kaynaklı bir IP taklidi (Spoofing) değil; doğrudan şirketin iç network bloklarından (Örn: 192.168.10.45 nolu IT lokal IP'sinden) rakip firmanın sunucularına doğru saniyede 50.000 paketlik TCP SYN akışı (Flood) çıktığı yasal netflow kayıtlarıyla sabittir. IP Spoofing işlemi dışarıdan gelen paketlerde yapılabilirken, şirket içinden dışarıya giden (Egress) bu adli trafiğin ve saldırı script'inin sizin bilgisayarınızdaki bash_history ile birebir eşleşmesini nasıl açıklıyorsunuz?"

Strategic Objective / Stratejik Amaç: IP'miz taklit edildi" diyen klişe siber savunmayı, iç ağ (Internal Network) ve firewall loglarının yön analiziyle (Ingress/Egress directional analysis) tamamen imkansız kılmak; haksız rekabeti ve TCK 244/1 (Sistemi Engelleme/Erişilmez Kılma) suçunu netleştirmek.
Connected Case: Global Supply Chain BEC (Business Email Compromise) & Enterprise Cloud Infrastructure Compromise.

"Sayın IT Çalışanı; göreviniz gereği size tanımlanan erişim yetkisi (Access Privilege), şirketin ticari ve siber güvenliğini koruma amacıyla sınırlıdır. Gece saat 03:00'te, teknik bir arıza kaydı (Ticket) veya operasyonel bir iş emri olmaksızın, arka arkaya 50 farklı VIP müşterinin profilini sorgulamanızın ve bu esnada bilgisayarınızda aktif olan Greenshot / Snipping Tool gibi ekran görüntüsü alma araçlarının tetiklenme zaman damgalarının (Artifact Timestamps) uyuşmasının 'görev tanımı' ile açıklaması nedir? Yetkili olmak, veriyi illegal dışarı çıkarma hakkı verir mi?"

Strategic Objective / Stratejik Amaç: Yetkim vardı, sorguladım" diyen IT çalışanının, eyleminin iş gereksinimiyle (Business Justification) uyuşmadığını, zaman akış analiziyle (Timeline) ispatlayarak TCK 136 (Kişisel Verileri Hukuka Aykırı Olarak Ele Geçirme ve Yayma) suçunun kastını ortaya çıkarmak.
Connected Case: Kamu Görevlisinin Kimlik Paylaşım Sistemi (KPS) Üzerinden Yetkisini Aşarak Bakanlık Makamına Ait Verileri Sorgulaması Vakası--Yetkiyi kötüye kullanma-FETÖ-PYD Kapsamında

"Sayın Sanık; veritabanında çalıştırdığınız SELECT * FROM... sorgusu neticesinde dönen 500.000 satırlık müşteri ve ciro verisinin, bilgisayarınızın ham RAM belleğine (Volatile Memory) ve tarayıcınızın geçici önbelleğine (Cache/Local Storage) HTML/JSON formatında fiziksel olarak indiği adli tıp raporuyla sabittir. Verinin yerel diske manuel kaydedilmemiş olması, onun sizin kontrolünüzdeki geçici belleğe (RAM) siber olarak transfer edildiği ve 'okunarak/fotoğrafı çekilerek' haksız menfaat sağlandığı gerçeğini değiştirir mi?"

Strategic Objective / Stratejik Amaç: İndirmedim, sadece baktım" klişesini, bilgisayar mimarisinin temel kuralıyla (ekranda görünen her verinin önce RAM'e inmek zorunda olduğu gerçeğiyle) çürütmek ve TCK 244/2 (Veriyi kopyalama/elde etme) suçunun maddi unsurunun oluştuğunu hakime kanıtlamak.
Connected Case: Türkiye Cumhuriyeti hükümetini ortadan kaldırmaya teşebbüs etme-Silahlı terör örgütüne üye olma, silahlı terör örgütüne yardım etme-FETÖ-PYD Terör Örgütü

"Sanık, hesabına gelen 450.000 USD'nin suç parası olduğunu bilmediğini beyan etmektedir. Ticari hiçbir bağı olmayan bir şirketten gelen bu devasa meblağın, banka hesabına düştüğü andan itibaren milisaniyeler içinde yerli ve yabancı kripto borsalarındaki (Cold Wallet / P2P) hesaplara bölünerek aktarılması eylemi, küresel siber suç literatüründeki 'Money Laundering' (Para Aklama Katırı) paternleri ile %100 uyuşmaktadır. Hayatın olağan akışına aykırı olan bu anlık dijital fon hızı, sanığın suç kastını net olarak ortaya koymuyor mu?"

Strategic Objective / Stratejik Amaç: Hesabımı birine öylesine kullandırmıştım, dolandırıcılık olduğunu bilmiyordum" diyen sanığın (Mule account) soyut ve klişe savunmasını, dijital fon akış hızı ve finansal forensic paternleriyle yerle bir etmek.
Connected Case: Global Supply Chain BEC (Business Email Compromise) & Enterprise Cloud Infrastructure Compromise.

"Alıcı İngiliz firmaya giden faturanın sahte bir sunucudan atılmadığı, doğrudan müşteki şirketin resmi e-posta sunucusundan, yasal DKIM-Signature ve ARC (Authenticated Received Chain) kriptografik imzalarıyla çıktığı sabittir. Bu durumda, siber sızıntının ve fatura manipülasyonunun dışarıda değil, tamamen sizin kendi bulut tenant'ınızın içinde gerçekleştiğini, yani siber deliğin sizde olduğunu kabul ediyor musunuz?"

Strategic Objective / Stratejik Amaç: Alıcı İngiliz firmaya giden faturanın sahte bir sunucudan atılmadığı, doğrudan müşteki şirketin resmi e-posta sunucusundan, yasal DKIM-Signature ve ARC (Authenticated Received Chain) kriptografik imzalarıyla çıktığı sabittir. Bu durumda, siber sızıntının ve fatura manipülasyonunun dışarıda değil, tamamen sizin kendi bulut tenant'ınızın içinde gerçekleştiğini, yani siber deliğin sizde olduğunu kabul ediyor musunuz?
Connected Case: Sosyal Mühendislik Yöntemiyle Lise Öğrencilerine Ait Kişisel Verilerin SMS ve Telefon Kanalları Üzerinden Hukuka Aykırı Olarak Ele Geçirilmesi Vakası

"Sayın Bilirkişi; hazırladığınız raporda sadece yerel bilgisayarda virüs taraması yapmış ve 'temiz' raporu vermişsiniz. Peki, saldırganın Exchange sunucusu üzerinde 'Invoice_Hide_Rule' adıyla gizli bir yönlendirme kuralı tanımlayarak, gelen tüm finans maillerini kullanıcının ruhu duymadan RSS Feeds klasörüne gizlediğini tespit eden 'Get-InboxRule' veya 'MailboxAuditLog' PowerShell adli taramalarını konteyner içinde neden koşturmadınız? Yerel diskin virüssüz olması, bulut hesabının manipüle edilmediğini kesin olarak kanıtlar mı?"

Strategic Objective / Stratejik Amaç: Klasik ve eski usul bilirkişilerin sadece antivirüs taramasına dayalı yüzeysel raporlarını sabote etmek; mahkemeye modern "Bulut Adli Tıbbı" (Cloud Forensics) eksikliğini göstererek raporun hükme esas alınamayacağını ispatlamak.
Connected Case: Global Supply Chain BEC (Business Email Compromise) & Enterprise Cloud Infrastructure Compromise.

"Müşteki şirket hesabına aynı dakika içerisinde hem İstanbul'dan hem de Lagos/Nijerya'dan başarılı oturum açma (Success Sign-in) isteği gelmiştir. Siber adli tıp literatüründeki 'Impossible Travel' (İmkansız Seyahat) anomalisine göre bir insanın aynı anda iki farklı kıtada bulunması imkansız olduğuna göre; siber güvenlik mimarinizde neden Çift Aşamalı Doğrulama (MFA) veya konumsal IP engelleme politikası aktif edilmemiştir?""

Strategic Objective / Stratejik Amaç: Şirketin siber altyapısındaki ağır ihmali, MFA zafiyetini ve "Sistemimiz kusursuzdu, dışarıdan görünmez bir güç hackledi" savunmasının aslında tamamen bir idari/teknik ihmal olduğunu mahkeme heyetine kanıtlamak.
Connected Case: Global Supply Chain BEC (Business Email Compromise) & Enterprise Cloud Infrastructure Compromise.

Legal Toolkits & Petitions

Mahkemelerden talep edilecek dijital imaj ve adli kopya dilekçe şablonları.

Geleneksel Metotlarla Hazırlanmış, Bulut ve Canlı Adli Bilişim (Live Forensics) Standartlarını Karşılamayan Yetersiz Bilirkişi Raporuna Teknik İtiraz Dilekçesi.

Usage Instructions: Mahkemeye sunulan bilirkişi raporu geldiğinde avukatın imdadına yetişecek can simididir. Rapordaki siber boşlukları hedef alarak, hakime "Bu rapor eski usul, modern dünyayı temsil etmiyor" mesajını verir ve davanın gidişatını sıfırlayarak yeni bir inceleme kapısı açar.

Geleneksel Metotlarla Hazırlanmış, Bulut ve Canlı Adli Bilişim (Live Forensics) Standartlarını Karşılamayan Yetersiz Bilirkişi Raporuna Teknik İtiraz Dilekçesi. ..... AĞIR CEZA MAHKEMESİ BAŞKANLIĞINA DOSYA NO: 2026 / ..... E. İTİRAZ EDEN SANIK/MÜŞTEKİ: (Adı Soyadı / Vekili) KONU: Dosyaya sunulan ..... tarihli bilirkişi raporunun güncel siber güvenlik biliminin, uluslararası adli bilişim standartlarının ve The Bellisan Protocol™ metodolojik ilkelerinin çok gerisinde kalması, maddi gerçeği yansıtmaması sebebiyle teknik yönden itirazlarımız ve yeni bir uzman heyetinden ek rapor alınması talebimizdir. İTİRAZ GEREKÇELERİMİZ: Dosyaya sunulan adli raporda sayın bilirkişi, sadece kısıtlı bir yerel antivirüs taraması yapmış ve bilgisayarda zararlı yazılım bulunmadığı gerekçesiyle müvekkilin siber sızıntıda kusurlu olduğunu beyan etmiştir. Bu yaklaşım günümüz siber suç anatomisine tamamen aykırıdır: Raporda, günümüz bulut mimarilerinde yerel bilgisayara hiçbir kod enjekte etmeden oturumların çalınabildiği (Session Hijacking) gerçeği göz ardı edilmiştir. Bulut günlükleri (Cloud Logs) üzerinde hiçbir inceleme yapılmamıştır. Bilgisayar açıkken bellek üzerinde yaşayan ve sistem kapatılınca uçan RAM (Volatile Memory) verileri incelenmemiş; sistemin "Canlı Adli Tıp (Live Forensics)" analizi yapılmadan eksik incelemeyle hüküm kurulmuştur. İncelenen maillerin ham .eml başlıkları (Header), SPF, DKIM ve DMARC kriptografik doğrulama kayıtları kriminolojik analize tabi tutulmamış, sadece basit ekran görüntülerine (Screenshot) dayalı, manipülasyona açık bir inceleme yapılmıştır. İSTEM SONUCU: Teknik derinlikten uzak, siber gerçeklerle uyuşmayan bu raporun hükme esas alınmamasını; dosyanın bulut adli bilişimi, network forensics ve zararlı yazılım analizi alanında uzman, akademik bir heyete tevdi edilerek yeniden raporlandırılmasını saygılarımla talep ederim. (Tarih / İmza)

Bulut Ortamlarında (Microsoft 365, Google Workspace, Azure, AWS) Yetkisiz Erişim ve Audit Log (Denetim Günlüğü) Verilerinin İlgili Sağlayıcıdan Talep Edilmesi Dilekçesi.

Usage Instructions: Özellikle az önce yazdığımız şirket maillerinin hacklenmesi (BEC) veya şirket içi hırsızlık (Insider Threat) vakalarında kullanılır. Hakimler bulut teknolojisini bilmediği için logların silinme riski vardır (genelde bulut sistemleri logları 30 ila 90 gün saklar, sonra siler). Bu dilekçe ile mahkemenin bulut sağlayıcısına anında müzekkere yazması ve siber delilin uçmadan yakalanması sağlanır.

Bulut Ortamlarında (Microsoft 365, Google Workspace, Azure, AWS) Yetkisiz Erişim ve Audit Log (Denetim Günlüğü) Verilerinin İlgili Sağlayıcıdan Talep Edilmesi Dilekçesi. ..... MAHKEMESİ BAŞKANLIĞINA DOSYA NO: 2026 / ..... E. TALEPTE BULUNAN: (Davacı/Davalı/Müşteki/Vekili) KONU: Şirket/Kişi bulut altyapısına yapılan yetkisiz siber sızıntının (BEC/Insider Threat) tespiti amacıyla, siber delillerin rotasyona uğrayıp silinme riski karşısında, ilgili bulut servis sağlayıcısından yasal denetim günlüklerinin (Unified Audit Logs) celbi talebidir. AÇIKLAMALAR: Dava konusu siber dolandırıcılık/veri sızıntısı eyleminin gerçekleştiği tarihlerde, yerel bilgisayarların ötesinde asıl manipülasyonun bulut e-posta ve sunucu kiracısı (Tenant) üzerinde yapıldığı saptanmıştır. Bu kapsamda maddi gerçeğin ortaya çıkarılması için müşteki/davalı şirketin kullandığı bulut paneline ait: Olay tarihinden geriye dönük 90 günlük Unified Audit Logs (UAL - Birleşik Denetim Günlükleri) verilerinin, Şüpheli hesaplara ait Azure AD / Google Admin Sign-in Logs (Oturum Açma Günlükleri) kayıtlarının, oturum açan IP adresleri, coğrafi konum verileri ve User-Agent (Tarayıcı/Cihaz bilgisi) detaylarıyla birlikte, İlgili hesapta olay günü ve öncesinde herhangi bir "Gelen Kutusu Kuralı" (Inbox Rule / Mail Forwarding) tanımlanıp tanımlanmadığını gösteren sunucu loglarının ham (JSON/CSV) hallerinin Microsoft Enterprise / Google Cloud Türkiye distribütöründen veya şirket IT panel yöneticisinden mahkemeniz kanalıyla celbini talep ederiz. İSTEM SONUCU: Siber delillerin bulut üzerinde otomatik silinme periyotları (Log retention policy) dikkate alınarak, siber delil karartılmasının önüne geçilmesi adına yukarıdaki logların ivedilikle celbine karar verilmesini talep ederiz. (Tarih / İmza)
Connected Case: Kamu Görevlisinin Ki...

Bilişim Sistemlerinde Orijinal Delil Güvenliği, Adli İmaj (Bit-by-Bit Copy) ve SHA-256/MD5 Hash Değerlerinin Tespit Edilmesi Talepli Dilekçe Şablonu.

Usage Instructions: Bu dilekçe şablonu; siber bir suç operasyonunda bilgisayarlara el konulduğu ilk 24 saat içinde veya mahkeme aşamasında yeni bir dijital delil dosyaya girdiğinde acilen mahkemeye sunulmalıdır. Amaç, kolluğun veya karşı tarafın delilleri inceleme bahanesiyle "yanlışlıkla" değiştirmesini veya manipüle etmesini siber olarak engellemek, delili kriptografik olarak kilitlemektir.

Bilişim Sistemlerinde Orijinal Delil Güvenliği, Adli İmaj (Bit-by-Bit Copy) ve SHA-256/MD5 Hash Değerlerinin Tespit Edilmesi Talepli Dilekçe Şablonu. SULH CEZA HAKİMLİĞİNE / ..... AĞIR CEZA MAHKEMESİ BAŞKANLIĞINA DOSYA NO: 2026 / ..... E. TALEPTE BULUNAN: (Müşteki/Sanık/Vekili Adı Soyadı) KONU: CMK Md. 134 uyarınca el konulan/konulacak olan dijital materyallerin orijinal veri bütünlüğünün korunması amacıyla adli imajlarının (Bit-by-Bit Image) alınması ve kriptografik hash değerlerinin (SHA-256 ve MD5) duruşma zaptına geçirilmesi talebimizden ibarettir. AÇIKLAMALAR: Soruşturma/kovuşturma safhasında el konulan dijital delillerin (Sabit disk, sunucu, cep telefonu vb.) üzerinde herhangi bir veri manipülasyonu, sonradan dosya ekleme/silme veya zaman damgası (Timestamp) tahrifatı yapılmasını engellemek amacıyla; Siber Suçlarla Mücadele Şube Müdürlüğü tarafından adli inceleme başlatılmadan önce, uluslararası adli bilişim standartlarına (ISO/IEC 27037) uygun olarak: Dijital materyalin donanımsal yazma koruyucu (Write-Blocker) cihazlar eşliğinde, sektör sektör birebir kopyası olan DD veya E01 formatında adli imajının alınmasını, İmaj alma işlemi bitiminde, orijinal medya ile imaj medyasının SHA-256 ve MD5 kriptografik hash imzalarının manuel olarak hesaplanarak karşılaştırılmasını, Elde edilen bu hash değerlerinin hiçbir şüpheye yer bırakmayacak şekilde Adli Arama ve El Koyma Tutanağına / Duruşma Zaptına milisaniye bazlı zaman damgasıyla kaydedilmesini ve imajın bir kopyasının tarafımıza teslim edilmesini yasal haklarımız gereği talep ederiz. İSTEM SONUCU: Yukarıda arz ve izah edilen teknik gerekçelerle, siber delil zincirinin bozulmaması adına adli imaj ve hash tespiti taleplerimizin kabulüne karar verilmesini saygılarımla talep ederim. (Tarih / İmza)
Connected Case: Türkiye Cumhuriyeti ...