1 ADLİ BİLİŞİM SORUŞTURMA METOTLARININ STANDARTLAŞTIRILMASI VE ETKİNLİK-VERİMLİLİK PERSPEKTİFİNDE DEĞERLENDİRİLMESİ Standardization of Digital Forensics Investigations and the Evaluation of Efficiency and Effectiveness of Digital Forensics Investigations Hamdi YEŞİLYURT * Özet Adli bilişim soruşturma şablonları adli bilişim uzmanlarının dijital delillerle bağlantılı olarak soruşturma esnasında kullandığı sistematik davranışların bütüncül bir şekilde yorumlanmasıdır. Gelişen adli bilişim teknolojileri, oldukça hızlı artan dijital delil rezervi ve çeşitliliği, soruşturma ve inceleme yapmakta olan uzmanların daha sistematik hareket etmeleri ihtiyacını doğurmuştur. Bu çalışmanın amacı, güncel soruşturma modellerini ve gerekliliklerini ortaya koymak, standart modelleri karşılaştırmak ve ayrıca soruşturma modellerinin uygulanmasının kamu yönetimi açısından (verimlilik ve etkinlik) değerlendirmesini yapmaktır. Araştırma esnasında; adli bilişim soruşturmalarında uygulanan alternatif soruşturma yöntemleri ve bu yöntemlerinin ülkemizde standartlaştırılması üzerine odaklanmıştır. Temel, detaylı, sistematik ve ileri düzey sanal olmak üzere dört adli bilişim soruşturma şablonu incelenmiştir. Adli bilişim incelemeleri açısından temel, detaylı ve sistematik soruşturma şablonları uygulanabilirlikleri noktasında incelenmiş, sanal soruşturma modelinin ise uygulanabilir olmakla beraber, maliyet açısından yüksek risklere maruz kalabileceği değerlendirilmiştir. Yapılan araştırma sonucunda, doğası gereği dağıtık (merkezi olmayan) bir şekilde organize olan adli bilişim laboratuarları ve soruşturmalarının standartlaştırılması ve benzerlikler sağlanması etkinlik ve verimlilik perspektifinde incelenen modeller çerçevesinde önerilmiştir. Anahtar Kelimler: Adli bilişim, Soruşturma, Model, Kamu yönetimi, Verimlilik, Etkinlik Abstract Digital crime investigation framework is the interpretation of systematic procedures that is used by cybercrime investigators regarding digital evidence. Developing computer forensics technology, increasing number of backlogs and variety of digital evidence, requires more systematic approach for computer forensics experts during the investigation processes. This study is focused on alternative digital forensics investigations and methods based on enhanced investigation standards. The aims of the study are to delineate the current cybercrime investigation frameworks, compare them, and assess the implementation of such frameworks based on public policy approaches; that is, the evaluation of investigations models based on efficiency and effectiveness perspectives. Four different digital investigation models were analyzed in the study: Basic, detailed, systematic, and virtual digital forensics investigation. These investigation models were analyzed in terms of applicability for investigations, and virtual forensics investigation model was found to be an economically expensive solution for Turkey. Finally, admittedly digital forensics labs in nature are decentralized, and digital forensics investigation models in terms of efficiency and effectiveness were offered. Key words: Digital forensics, Investigation, Framework, Public policy, Efficiency, Effectiveness * Dr., Emniyet Amiri, Araştırma Merkezleri-Polis Akademisi Başkanlığı, [email protected]
Transcript
1
ADLİ BİLİŞİM SORUŞTURMA METOTLARININ STANDARTLAŞTIRILMASI VE ETKİNLİK-VERİMLİLİK PERSPEKTİFİNDE DEĞERLENDİRİLMESİ
Standardization of Digital Forensics Investigations and the Evaluation of Efficiency and Effectiveness of Digital Forensics Investigations
Hamdi YEŞİLYURT*
Özet
Adli bilişim soruşturma şablonları adli bilişim uzmanlarının dijital delillerle bağlantılı olarak soruşturma esnasında kullandığı sistematik davranışların bütüncül bir şekilde yorumlanmasıdır. Gelişen adli bilişim teknolojileri, oldukça hızlı artan dijital delil rezervi ve çeşitliliği, soruşturma ve inceleme yapmakta olan uzmanların daha sistematik hareket etmeleri ihtiyacını doğurmuştur. Bu çalışmanın amacı, güncel soruşturma modellerini ve gerekliliklerini ortaya koymak, standart modelleri karşılaştırmak ve ayrıca soruşturma modellerinin uygulanmasının kamu yönetimi açısından (verimlilik ve etkinlik) değerlendirmesini yapmaktır. Araştırma esnasında; adli bilişim soruşturmalarında uygulanan alternatif soruşturma yöntemleri ve bu yöntemlerinin ülkemizde standartlaştırılması üzerine odaklanmıştır. Temel, detaylı, sistematik ve ileri düzey sanal olmak üzere dört adli bilişim soruşturma şablonu incelenmiştir. Adli bilişim incelemeleri açısından temel, detaylı ve sistematik soruşturma şablonları uygulanabilirlikleri noktasında incelenmiş, sanal soruşturma modelinin ise uygulanabilir olmakla beraber, maliyet açısından yüksek risklere maruz kalabileceği değerlendirilmiştir. Yapılan araştırma sonucunda, doğası gereği dağıtık (merkezi olmayan) bir şekilde organize olan adli bilişim laboratuarları ve soruşturmalarının standartlaştırılması ve benzerlikler sağlanması etkinlik ve verimlilik perspektifinde incelenen modeller çerçevesinde önerilmiştir.
Anahtar Kelimler: Adli bilişim, Soruşturma, Model, Kamu yönetimi, Verimlilik, Etkinlik
Abstract
Digital crime investigation framework is the interpretation of systematic procedures that is used by cybercrime investigators regarding digital evidence. Developing computer forensics technology, increasing number of backlogs and variety of digital evidence, requires more systematic approach for computer forensics experts during the investigation processes. This study is focused on alternative digital forensics investigations and methods based on enhanced investigation standards. The aims of the study are to delineate the current cybercrime investigation frameworks, compare them, and assess the implementation of such frameworks based on public policy approaches; that is, the evaluation of investigations models based on efficiency and effectiveness perspectives. Four different digital investigation models were analyzed in the study: Basic, detailed, systematic, and virtual digital forensics investigation. These investigation models were analyzed in terms of applicability for investigations, and virtual forensics investigation model was found to be an economically expensive solution for Turkey. Finally, admittedly digital forensics labs in nature are decentralized, and digital forensics investigation models in terms of efficiency and effectiveness were offered.
Key words: Digital forensics, Investigation, Framework, Public policy, Efficiency, Effectiveness
* Dr., Emniyet Amiri, Araştırma Merkezleri-Polis Akademisi Başkanlığı, [email protected]
2
Giriş
Günümüzde ortalama bir siber korsan Google’ı kullanarak web sayfalarının gizli görünen bilgilerine ulaşabilir ve teknik detayları toparlayabilir ya da dizüstü bilgisayar ve 14 dB yönsel anten, GPS (Küresel Konumlandırma Sistemi) ve birkaç aparat sayesinde bilgisayar sistemlerine kanuna aykırı şekilde erişebilir, özel hayatın gizliliğini ihlal edebilir, dolandırıcılık ve benzeri suçları kolayca işleyebilir (McClure, Scambray, Kurtz, 2009:312). İnternet hayatımızın hemen her alanında yer almakla birlikte, tarihteki yerini suç işlemek için kullanılan en karmaşık aletlerden biri olarak almıştır. Sosyal medya ve birçok internet sayfası suç öncesi önleme ve sonrasında adli veri incelemede anahtar role sahip olmuştur (Yesilyurt, 2011:3). Siber suçlara karşı oldukça yoğun mantıksal ve fiziksel tedbirler alınmasına karşın, siber suçlar gün geçtikçe daha kolaylaşır hale gelmekte ve dolaysıyla dijital deliller baş döndürücü bir şekilde artış göstermektedir (Hekim, Başıbüyük ve Yeşilyurt, 2014:2). Bu bakımdan siber suçlarla mücadele de önemli ölçüde çaba gerekmektedir.
Özellikle dijital delillerin değişebileceği ya da değiştirilebileceği, yapısal anlamda hassas bir teknolojiye sahip oldukları düşünülürse delillerin bütünlüğünün korunması büyük önem arz etmekte (Brenner, 2004:11) ve delillerin güvenilirliği teyit edilmesi gereken vazgeçilmez bir unsur haline gelmektedir (Baryamureeba ve Tushabe, 2004:2). Bilgisayardan, ses kayıt cihazına ve faks makinesine kadar uzanan dijital deliller; bütünlük, kontrol edilebilirlik, yeniden üretilebilirlik, dış müdahalelerden korunurluk gibi birçok güvenilirlik unsuruna sahiptir (Baryamureeba ve Tushabe, 2004:2).
Verimlilik ve etkinlik gibi kavramlar kamu yönetimi temel prensiplerinden olarak sayılmakta ve yönetimdeki kültürel dinamiklerin değiştirilmesi açısından önemli rol oynamaktadırlar (Romzek, 2000:21). Ülkemizde bilişim suçlarıyla mücadele kamusal alanda son yıllarda oldukça geniş yatırımlara ve yeni geliştirilen stratejilere (Hekim ve Basibüyük, 2013:155) sahne olmakla beraber; adli bilişim uygulamaları ve soruşturma yöntemleri açısından gelişen teknoloji ve dijital delillerdeki karmaşıklıktan dolayı daha fazla bilgi birikimine ihtiyaç duyulabilecek, kamu yönetiminin temel prensiplerinin yeni bir alan olan adli bilişim servislerinde de uygulanması kurumsal standartlar açıdan faydalı olabilecektir.
Adli bilişim standartlarının ortaya konması ve hassasiyetle uygulanması adli, idari ve sosyal açıdan oldukça önemlidir. Özellikle standart soruşturma modelleri olmayan adli bilişim laboratuvarları ve üniteleri sıra dışı hatalara neden olabilir, adli kararların verilmesinde gecikmelere yol açabilir ve delillerin adli makamlarca kabul edilebilirliği zarar görebilir (Wegman, 2005:1). Bahse konu nedenlerle, bilişim suçlarıyla mücadele de adli bilişim uygulamalarında standartların şablonlar halinde ortaya konması ve uygulanması hayati derecede önemlidir (Wegman, 2005:2; Casey, 2004:3). Zira adli uygulamalarda oluşan hataların ve eksiklerin neticesinde toplumda güvenlik güçlerinin uygulamalarına karşı güvensizlik oluşabilecek veya vatandaşların mağduriyetleri artabilecektir.
Bu çalışmanın amacı, güncel adli bilişim soruşturma modellerini ve gerekliliklerini ortaya koymak, standart adli bilişim soruşturma modellerini karşılaştırmak ve ayrıca soruşturma modellerinin uygulanmasının kamu yönetimi açısından (verimlilik ve etkinlik) değerlendirmesini yapmaktır. Araştırma esnasında; adli bilişim soruşturmalarında uygulanan alternatif soruşturma yöntemleri ve bu yöntemlerinin ülkemizde standartlaştırılması üzerine odaklanmıştır. Temel, detaylı, sistematik ve ileri düzey sanal olmak üzere dört adli bilişim soruşturma şablonu incelenmiştir.
1. Adli Bilişim
Saferstein (2006:4) adli bilimleri güvenlik teşkilatlarının kamu hukuku ve özel hukukta geçen hükümleri bilimsel metotlar kullanarak uygulamasıdır şeklinde tanımlamıştır. Güvenlik güçlerinin kriminal delilleri inceleme şekli ve kullandığı metotlar daima merak konusu olmuştur. 19 yüzyılda Arthur Conan DOOYLE’ın yazdığı Sherlock Holmes romanları sayesinde suç tespit metotlarının bilimsel yöntemlerle keşfi Sherlock Holmes adında bir dedektif karakterinde canlandırılmış ve kriminal incelemeler bu sayede popülerlik kazanmıştır. Adli
3
bilimler antropoloji, entomoloji, ontoloji ve psikoloji gibi birçok bilim dalından faydalanarak gelişmiş, bahse konu bilim dallarını kullanarak kendine özgü delillendirme ve soruşturma yöntemleri ortaya koyulmuştur. Adli bilişim ise benzer şekilde gelişimini başka bir bilim dalı olan bilgisayar mühendisliğinden alarak, mühendislik tabanlı uygulama ve yöntemler üzerine odaklanmış, aynı zamanda polisiye soruşturma yöntemlerini de uygulayarak kendisine has soruşturma modelleri geliştirmiştir. Amerikan CERT’e (2008:1) göre bir disiplin olarak adli bilişim; bilgisayar mühendisliği ve hukukun elementlerinin bir araya getirilerek bilgisayar sistemlerinden kablolu ya da kablosuz ağlardan, depolama ünitelerinden adli makamlarca kabul edilebilecek şekilde delil toplama ve veri analiz etme işlemidir.
Dünya’da adli bilişim çalışmaları ilk bilgisayarların doğduğu ABD’de 1984’lerde FBI(Federal Soruşturma Bürosu)’ın öncülüğünde dijital delilleri inceleme amaçlı bilgisayar programlarının geliştirilmesiyle başlamıştır. Soruşturma birimleri ve adli birimlerin artan adli bilişim ihtiyaçlarını karşılamak amacıyla, FBI tarafından Bilgisayar Analizi ve Reaksiyon Takımı (CART) adı altında bir birim kurulmuştur (Whitcomb, 2002:1).
Ülkemizde bilişim suçlarıyla mücadele ve adli bilişim incelemeleri Emniyet Genel Müdürlüğü, Telekomünikasyon Kurumu, TÜBİTAK ve diğer kurumların katılımıyla geniş bir kamusal kitleye yayılmıştır (Hekim, Başıbüyük, Yesilyurt, 2014:55). Günümüz itibariyle birçok kamu kurumu bilişim suçlarıyla mücadele alanında adımlar atmakla beraber, dağıtık bir yapı meydana geldiğinden kurumlar arası işbirliği çalışmaları hız kazanmaktadır. Bununla beraber, işbirliğinin yanı sıra ulusal düzeyde meydana gelebilecek bir siber saldırıya karşı, örneğin 2011 yılında Anonymous grubu destekçileri tarafından kamu kurumları bilişim altyapısına karşı yapılan büyük çaplı siber saldırı (Shankland, 2011:1), standart bir adli bilişim soruşturma modeli, ulusal düzeyde koordinasyon ve mücadelede avantaj sağlayacaktır. Standart soruşturma modellerinin alternatifleriyle birlikte ortaya konması siber kritik altyapının ulusal düzeyde etkin bir şekilde korunmasına, kurumlar arası işbirliğine ve ayrıca adli makamlara sunulan delillerin tutarlılığına katkı sağlayacaktır.
1.1.Dijital Delil
Bir bilgi ya da verinin elektronik bir cihaz üzerinde taşınması, alınması veya depolanması neticesinde adli soruşturmalara konu olabilecek nitelikte elde edilen deliller dijital delil olarak adlandırılırlar (Mukasey, Sedgwick ve Hagy, 2001:İX). Dijital deliller adli makamlara sunulmaları neticelerinde bireylerin hürriyetinden yoksun edilmesi (tutuklanması) ya da maddi-manevi tazminat ödenmesine mahkûm edilmesi gibi sonuçlar doğurabilmektedirler (Casey, 2004:9). Bu nedenle, dijital deliller içeren soruşturmalar çok daha titiz ve bilimselliğe uygun bir şekilde yürütülmelidir. Soruşturmalar yürütülürken standart prosedürler asla ihmal edilmemelidirler (Beebe ve Clark, 2005:1).
2. Adli Bilişim Soruşturması
Adli bilişim soruşturması ile diğer fiziksel olay yeri inceleme ve soruşturmaları arasında oldukça benzerlikler bulunmaktadır. Örneğin duvardaki bir kan örneği analiz edildiğinde kanın kime ait olduğunu, mağduru yaralayan aletin türünü, mağdur ya da saldırganın bulunduğu yeri ve saldırı zamanının bulunmasını sağlayabilir. Aynı şekilde, dijital deliller benzer karakteristiklere sahip olmakla beraber, uzun bir araştırmayı gerektiren milyonlarca veri ve nesneden oluşur (Carrier ve Spafford, 2004:1). Milyonlarca veri ve yüzlerce farklı işletim sistemi ve donanım söz konusu olduğunda, adli bilişim laboratuvar ve uzmanlarının ciddi bir iş akış sistemi ve soruşturma modeline tabi tutulmaları gerekmektedir.
Adli bilişim soruşturmaları esasında birçok disiplini barındıran bir yapıya sahiptir. Adli bilişim Şekil 1’de görüldüğü üzere 3 temel disiplinden oluşur: Yasal Prosedürler, Bilgisayar Teknolojisi ve Soruşturma Teknikleri (Volonino, Anzaldua ve Godwin, 2007:?). Yasal prosedürler ülkemizde Ceza Muhakemesi Kanunu(CMK) açısından değerlendirilmeli, bilgisayar teknolojisi mühendislik bilimleri açısından değerlendirilmeli ve soruşturma teknikleri ise kolluk kuvvetleri açısından değerlendirilmeli ve ortaya tutarlı bir sentez koyulmalıdır.
4
Şekil 1:Adli Bilişimciler İçin Temel Uzmanlık Alanları
Ortaya konulan sentez içerisinde soruşturmalar açısından belirli süreçler ve prensipler oluşturulmalıdır. Bunlardan başlıcaları delil muhafazası, dokümantasyon, uygun soruşturma otoritesi, duyarlılık ve sınıflandırma, soruşturma öncelikleri, iş akış ve kontrolleri, dosya yönetimi ve süreç gelişim geribildirimleri sayılabilir (Beebe ve Clark, 2005:9). Bahse konu süreçler esasında soruşturma modellerinin temellerini oluşturmaktadır. Adli bilişim soruşturma prensipleri ise verinin polis tarafından değiştirilebilmesi ile neticelenebilecek hareket tarzlarından hassasiyetle kaçınılması, orijinal veriye ulaşılması gereken durumlarda soruşturmacının yeterince uzman olması ve atmış olduğu adımları açıklayabilecek becerilere sahip olması, 3. şahıslar tarafından da yapılabilecek araştırmalar neticesinde aynı sonuçlara ulaşılması, ayrıca soruşturmayı yürütenlerin adli bilişim soruşturma prensiplerini ve yasal mevzuatı örtüştürecek nitelikte hassasiyet gerektiren adımlar atmasını gerekmektedir(İngiltere Polis Yöneticileri Birliği, 2007). Soruşturma prensipleri adli bilişim soruşturmaları açısından temel noktaları belirlese de bu çalışma adli bilişim süreçleri ve süreçlerin bir araya gelmesinden meydana gelen soruşturma modellerini incelemektedir.
3. Soruşturma Modelleri
Adli bilişim soruşturma yöntemleri ceza muhakemesi açısından en tartışmalı alanlardan biridir (Karagülmez, 2011). Sıra dışılığı açısından ve ceza hukuku açısından yeni olması nedeniyle oldukça tartışmalara yol açan adli bilişim soruşturma yöntemleri hakkındaki problemler, sistematik bir çalışma ve etkin yönetim metotları ile çözüme ulaştırılabilir (Carrier ve Spafford, 2004).
Suçlular ve güvenlik güçleri teknolojiden, araçlar, uygulama ve süreçlerden benzer şekillerde yararlanmaktadırlar, ancak suçluların amacı suç işlemeyi kolaylaştırmak ya da bir sistemi istismar etmek amacıyla kullanırken, güvenlik güçleri vuku bulan istismarı ortaya çıkarmak amaçlı olarak hareket etmektedirler (Gordon, Hosmer, Siedsma, Rebovich, 2002, p. 7). Reith, Carr ve Gunsch (2002) suçlular ve polis arasında teknoloji kullanımının adeta umulmaz bir şekilde devam ettiğini belirtmektedir. Bu yarış içerisinde, adli bilişime konu olan soruşturmalar açısından standart modeller çerçevesinde prosedürler oluşturulması soruşturmanın safahatı açısından hayati derecede öneme haizdir.
Carrier, Spafford, Eugene ve Spafford (2004) soruşturma modellerinin oluşturulmaları ve tatbik edilmeleri yönünden birçok polis teşkilatının yeterince ilerleme kaydedemediklerini belirtmişlerdir. Reith, Carr ve Gunsch (2002) genel bir soruşturma şablonunun oluşturulamamasına sebep olarak, adli bilişimcilerin teknolojik yenilikleri öğrenmek ya da teknik detaylar üzerinde vakit harcamaktan dolayı, soruşturma modelleri ve prosedürlerini ihmal ettiklerini belirtmektedir. Prosise, Mandia ve Matt (2003) ise teknik detayların yanı sıra birçok değişkenin soruşturmalarda etkisi olduğunu ve her eklenen değişkenin soruşturmaya ayrı bir karmaşıklık kattığını ve soruşturmanın salahiyeti açısından risk kattığını belirtmiştir.
Esasen adli bilişim soruşturma modelleri soruşturma esnasında inceleme uzmanlarının doğru bilgileri doğru yöntemlerle elde etmeleri ve standartları uygulayarak soruşturmalarda verimliliği arttırmalarına yol açar (Bradford ve Ray, 2007). Bilimsel çevrelerin çoğunluğu adli bilişim soruşturma modelleri oluşturulması yönünde hemfikir olmakla beraber, soruşturmalarda izlenecek adımların sıralaması konusunda genel bir uzlaşma oluşmamıştır (Pollitt, 2004, S. 9).
5
Pollitt (2004) adli bilişim soruşturma modellerini tek bir süreçten ziyade birçok görevden oluşan ve görevlerin gruplanabildiği kümeler olarak tanımlamaktadır.
Adli bilişim soruşturma modelleri çoğunlukla polis teşkilatları tarafından geliştirilmekte, zaman zaman ise mühendislik bilimleri alanında çeşitli yönlendirmeler yapılmaktadır. Özellikle ABD ve benzer teknolojiye sahip Avrupa ülkelerinde bilim adamları ve polis teşkilatlarının omuz omuza çalıştıkları, soruşturmalarda karşılaşılan problemlere karşı ortak soruşturma metotları geliştirdikleri görülmektedir. Çalışmanın bu aşamasında polis teşkilatları ve bilim adamları tarafından oluşturulan ortak soruşturma modelleri örnekler halinde verilecek ve tartışılacaktır. Aşağıdaki dört farklı soruşturma modeli (Temel Soruşturma Modeli, Detaylı Soruşturma Modeli, Sistematik Soruşturma Modeli ve İleri Düzey Sanal Soruşturma Modeli) detaylı olarak tartışılmıştır.
3.1. Temel Soruşturma Modeli
Amerika Birleşik Devletlerinde 2001 yılında New York’ta yapılan ve 50’nin üzerinde üniversiteden araştırmacının ve çok sayıda adli bilişim uzmanının katıldığı, yakın ve uzak gelecek açısından adli bilişim beklentilerinin sergilendiği Adli Bilişim Araştırma Toplantısı (ABAT-Digital Forensic Research Workshop) neticesinde oluşturulan temel soruşturma modeli günümüz soruşturma modellerinin gelişmesinde ve ilerlemesinde temel kaynak konumunda olmuştur. ABAT yedi temel ve alt kategorilerinden oluşan prosedürel bir yapı olarak önerilmiştir: tanımlama, koruma, toplama, inceleme, analiz, sunum ve karar verme. ABAT Tablo 1’de gösterilen tüm bu adımlara süreç adını vermiştir.
Tablo 1: Adli Bilişim Araştırma Çalışması (proposed digital forensic investigation model)
Tanımlama Muhafaza Toplama İnceleme Analiz Sunum Karar
Bu model soruşturmada karşılaşılabilecek birçok hususu göz önüne almasına rağmen, her detayın doğrusal bir biçimde tatbik edilmesini salık veren bir soruşturma modeli değildir. Tablo 1’de belirtilen adımların uygulanması halinde soruşturmacının atacağı adımları görsel hale getirmesi mümkün olabilecektir. Tablonun birinci satırında bulunan maddeler lineer bir şekilde soruşturma esnasında bulunan evreleri ortaya koymaktadır.
6
ABAT’ın oluşturduğu soruşturma modeli hem ilk olarak ortaya konmuş olması ve hem de atılması gereken birçok adım konusunda uzlaşma sağlanması açısından önemlidir. Önemli olan bir diğer husus ise; ABAT sayesinde adli bilişim ve güvenlik alanında pratisyen olarak çalışan birçok uzman ve akademik alanda araştırmaları bulunan bilim adamı bir araya gelerek derinlemesine ortak bir çalışmaya imza atmışlar ve 2001’den bu yana bu çalışmalar süregelen şekilde devam etmektedir.
3.2. Detaylı Soruşturma Modeli
Séamus Ó Ciardhuáin (2004) detaylı bir terminolojiyi daha standart hale getirmek, soruşturma aşamalarının tamamını süreç içerisinde canlandırmak ve soruşturma modeline yeni stratejiler ve araçlar kazandırmak amacıyla detaylı bir soruşturma modelinin kullanılmasına ihtiyaç duyulduğunu belirtir. Ciardhuáin’a göre önerilen birçok adli bilişim soruşturma modeli soruşturmalarda bulunan bütün adımları içermemekte, uygun bilgi akışlarını barındırmamakta ve dolaysıyla soruşturmalarda yetersizlikler meydana gelmektedir.
Tablo 2: Ciardhuáin’ın Detaylı Soruşturma Modeli
1. Aşama 2. Aşama 3. Aşama 4. Aşama
Haberdar Olma Delilin kimliğini araştırma
Delil İnceleme Hipotez Sunumu
Onaylama Delil toplama Hipotez Testi Hipotez İspat ve Savunması
Planlama Delil Taşıma Bilgi Dağıtımı
Uyarma Delil Depolama
Ciardhuáin (2004) esas olarak mevcut soruşturma modellerini birleştirerek detaya hakim bir model oluşturmuştur. Oluşturmuş olduğu soruşturma modelinde geriye dönüş çok nadir durumlarda gerekebilmektedir. Ciardhuáin (2004) her ne kadar Tablo 2 olduğu gibi dört aşamaya ayırmamışsa da anlaşılabilirdik ve gruplanabilirdik açısından bu çalışmada 4 ayrı aşamaya ayrılarak lanse edilmiştir. Ciardhuáin esasen çalışmasının daha kolay algılanabilmesi adına birinci aşamasını bilgi edinme, ikinci aşamasını delil araştırma, üçüncü aşamasını delillendirme ve son aşamasını da gerekçelendirme ve ispat safhası olarak adlandırabilirdi.
3.3. Sistematik Adli Bilişim Soruşturma Modeli
Agarwal, Gupta ve Gupta (2011) daha önceki soruşturma modellerinin eksikliklerini göz önünde bulundurarak sistematik adli bilişim soruşturma modelini ortaya koymuşlardır. Bu soruşturma modelinin temel amacı; dijital delillerin elde edilmesinin ardından takım çalışması yapılmasını kolaylaştırmak, ülke de mevcut bulunan teknolojik şartları göz önünde bulundurmak suretiyle bir şablon oluşturmak ve teknik bilgi sahibi olmayan adli makamlarca da anlaşılabilir düzeyde ürün (çıktı) ortaya koymak suretiyle anlaşılabilirliği sağlamaktır. Sistematik Adli Bilişim Modeli politika ve prosedür geliştirmek suretiyle iş akış şemaları oluşturarak sistem dizaynı üzerinden adli bilişim usul ve esaslarının yerine getirilmesini sağlar. Bu modelin temel aldığı suç alanı siber suç ve dolandırıcılık suçlarıdır.
7
Şekil 2: Sistematik Adli Bilişim Soruşturma Modeli
Şekil 2’de de görüldüğü üzere öncelikli olarak soruşturma hazırlık aşamasıyla başlar ve meydana gelen olay ve tabiatı hakkında bilgi edinilir. Akabinde olay yerinin güvenliği hat safhada sağlanır ve delillerin kaybolmasının önüne geçilir. Diğer aşamalar da benzer şekilde sonuç aşamasına kadar takip edilir. Bu modele göre hemen her aşamada geriye dönüş söz konusu olabilir ve yapılan çalışmalar gözden geçirilebilir.
3.4. İleri Düzey Sanal Adli Bilişim Soruşturma Modeli (Virtual Digital Forensic Labs)
Geleneksel olarak adli dijital verilerin depolama, analiz ve sunumları elektronik delilin meydana geldiği bölgede ya da en yakın adli bilişim laboratuvarında gerçekleşmektedir. Küçük bir adli bilişim laboratuvarının bile istasyon bilgisayarlara (workstation), depolama üniteleri, araç-gereç ve eğitime ihtiyacı olduğu düşünülürse mutlak surette yüksek maliyetler söz konusudur. Bölgesel ya da yerel laboratuvarların delil toplama, depolama ve de inceleme işlerini yapmaları ise bilinen bir husustur. Bununla beraber günümüz adli bilişim laboratuvarlarında aynı kaynağın birden fazla yerde(tekbir laboratuvar) verimli bir dizayn ile kullanıldığına şahit olmak oldukça güçtür (Craiger ve diğerleri, 2008:357).
Adli bilişim laboratuvarı kurmak için en ufak maliyet adli bilişim ürünlerinin satın alınmasından başlar. Ayrıca, alınan malzemeler sık sık güvenilirlikleri konusunda test edilmelidirler. Bununla beraber, birçok adli bilişim uzmanı araç ve gereçlerin kontrolü için (donanım ve yazılım) yeterli tecrübe ve bilgiye sahip değildirler (Craiger vd., 2008:357). Dahası, adli bilişim alanında üretilen malzeme ve çeşitlilik oldukça geniştir ve neredeyse market ekonomisi ile sınırlıdır. Dolaysıyla bu kadar geniş yelpazede bir ürün kataloğunun güvenilirliğini tespit etmek zordur.
Bahse konu nedenlerden dolayı, Philip Craiger (University of Central Florida Öğretim Üyesi) tarafından 2007 yılında adli bilişim laboratuvar dizaynlarındaki verimsizlikleri azaltmak amacıyla yeni bir yaklaşım geliştirildi (Şekil 3’e bakınız). Sanal Adli Bilişim Laboratuvarı adı verilen bu model ağ topolojisine sahip, ağ üzerinden inceleme ve veri depolanmasına izin veren, güvenli iletişim ve çok faktörlü kimlik denetleme özelliğine sahip (multi-factor authentication), rol tabanlı erişim kontrolü içeren ve olay yönetim sistemi modülleri içeren bir konsepte verilen addır (Craiger vd., 2008:354). Florida Merkez Üniversitesi Adli Bilişim Ulusal Merkezi (NCFS) laboratuarlarında Criager ve ekibi tarafından geliştirilen prototip dağıtık, güvenliği test
8
edilmiş adli bilişim araç ve gereçlerinden oluşan ve internet üzerinden erişilebilen bir soruşturma modelini temsil eder (Craiger, 2009).
Proje sayesinde adli bilişim laboratuvarları tüm polis departmanlarına yayılabilecek hale gelmekle beraber; farklı iş ve eylemler için görev dağılımı sağlanmıştır. Ayrıca kaynak israfı önlenmiş, aynı kaynağın birden çok defa kullanılmasına imkân sağlanmış, yerel polis merkezlerinin adli bilişim kapasitesi arttırılmıştır (Craiger vd., 2008:361). Bahse konu kompartımantasyon dahilinde, Şekil 3’de görüldüğü üzere adli bilişim inceleme uzmanları farklı noktalardan, adli yargı mensupları ise kendilerine tahsis edilen istasyonlardan aynı delile ulaşıp inceleme yapabilmektedirler. Sanal laboratuar sistemi ise, soruşturma süreci içerisinde yer alan sujelere gerekli teknik altyapıyı güvenli bir şekilde ateş duvarlarını (Firewall) ve Sanal Özel Ağları (VPN) kullanmak suretiyle sağlamaktadır.
Detaylandıracak olursak sanal adli bilişim laboratuvarları farklı coğrafi bölgelere yayılabilir ve farklı coğrafi bölge ya da bölgelerden yönetilip sürdürülebilir. Şekil 3’de gösterildiği üzere, dijital delil merkezi bir depolama ünitesine ağ ortamında yüklenir ve farklı coğrafi bölgelerden analiz edilebilir. Dahası, adli bilişim uygulaması neticesinde oluşan raporlar farklı coğrafi bölgelerden daha önce oluşturulmuş olan portala ulaşılarak bilgisayarlara yüklenebilir (Craiger, 2008:361).
Adli bilişim laboratuarı temel olarak 3 parçadan oluşur; inceleme, depolama ve sunum. Adli bilişim inceleme yapısı ise temel olarak donanım, yazılım ve süreçlerden (process) oluşur. Örneğin, depolama ünitesi geniş çaplı ve mantıksal olarak ayrılabilen magnetik yapıda ve artıklık (redundancy) dizilimine sahip disklerden oluşur. Sunum aşamasında ise ortaya konan deliller, raporlar ve değişik güvenlik seviyelerine bağlı (soruşturmacılar, savcılar, avukatları ve hakimler tarafından ulaşılabilecek) tasniflenmiş veriler bulunmaktadır (Craiger vd., 2008, p.358).
Sanal adli bilişim laboratuvarı uygulamasında, kullanıcı grupları rol tabanlı olarak sistem içerisinde tanımlanır. Soruşturma ile bağıntılı güvenlik personeli (Polis, Jandarma) güvenlik seviyesi açısından baştan sona en geniş yetkiye sahipken, avukatlar sadece ham veriye ve final raporlara ulaşabilmekle sınırlı, hâkimler ise delille birlikte final raporuna ulaşmakla yetkilidirler
9
(Craiger, Burke, Marberry ve Pollitt, 2008, p.358). Elbetteki bütün bu bileşenler ultra hıza sahip bir networke ve eş değerde bir ağ yapılanmasına ihtiyaç duymaktadır. Bu amaçla sabit IP tabanlı ve görevlerine göre ayrılmış LAN’lardan (Yerel Ağ) oluşan bir topoloji sergilenmiştir (Craiger ve diğerleri, 2008, p.358). Ayrıca, İnternet2 sayesinde ağ üzerinde daha hızlı ve gelişmiş bir iletişim altyapısından yararlanılabilir. İnternet2 100’den fazla üniversitenin ağ iletişiminin(networking) sağlanması, ileri düzey uygulamaların eğitim ve araştırma amacıyla kullanılması ve hızlı bir ağ iletişiminin amaçlandığı ortak bir çalışma alanıdır. İnternet 2 çerçevesinde tasarlanan Oldukça Hızlı Omurga Ağ Servisi (very high-speed Backbone Network Service-vBNS) (Rouse , 2008, p.1) ileri düzey sanal adli bilişim projesinde de kullanılabilecektir.
Proje avantajlar getirmekle birlikte birçok riski bünyesinde barındırmaktadır. Özellikle bant aralığının yeterli olması ve desteklenmesi gerekmektedir. İnternet 2 sayesinde bu sorun önemli ölçüde giderilebilecektir. İkinci konu ise sanal makinelere dongle’ların adreslemesi sorunudur. Özel bir yazılım hazırlanması ile bu sorun fiziksel ve mantıksal olarak çözülebilecektir; dolaysıyla, sanal laboratuvardan inceleme yapılırken inceleme uzmanları dongle’ları kullanılabilecektir.
Söz konusu sanal laboratuvarlar olduğunda yukarıda saydığımız sorunların dışında elbette sosyal sorunlarla da karşılaşılabilecektir. Özellikle, kültürel, politik ya da yargı yetkisiyle ilgili birçok sorun sanal adli bilişim laboratuvarlarının kullanımını zorlaştırabilecektir. Avukat, hâkim ve polis memurlarının eğitimi ise önemli bir husus olarak ortaya çıkmaktadır (Craiger vd., 2008). Polis departmanlarının kullandığı teknoloji açısından adli bilişim laboratuarları oldukça yüksek bir teknoloji ve kabiliyet gerektirmektedir (Yeşilyurt, 2011:71). Dolaysıyla, sanal adli bilişim laboratuvarları adli bilişim laboratuvarlarının adaptasyonundan daha fazla gayret ve özveri gerektirebilecektir.
4. Modeller Üzerine Tartışma
Yapılan incelemelerde en eski oluşturulan soruşturma modelinin temel soruşturma modeli olduğu anlaşılmaktadır. Bahse konu soruşturma modelleri karşılaştırıldığında Temel Soruşturma Modelinin 2001 yılında oluşturulmuş olmasına rağmen en kapsamlı süreçleri içerdiği görülmekte ve adli bilişim için iyi bir modelleme olduğu görülmektedir. Ancak, bu model de birçok prosedür kapsamasına rağmen sunum aşaması ile ilgili herhangi bir hususa değinilmemiştir. Oysa adli mercilere ulaştırılması gereken sunum aşaması en önemli aşamalardan biridir. Sebep olarak yalnızca kolluk kuvvetleri düşünülerek oluşturulan bir soruşturma modeli olduğu düşünülebilir. Zira adli mercilerin bu tür çalışma toplantılarının teknik alanlarına katıldığı 2000’li yılların başında pekte sık görülen bir husus değildi.
Detaylı Soruşturma Modeli incelendiğinde yönetimsel ve genel bir bakış açısı kazandırılmaya çalışıldığı görülmektedir. İş akışını gösteren herhangi bir diyagram söz konusu değildir. Bununla beraber, yönetimsel olarak istisnaide olsa geribildirimler yapılabileceğini belirtilmektedir. Bu modelin özellikle delil üzerine yoğunlaştığı olay yeri ile ilgili Temel Soruşturma Modelinin içerdiği detayları barındırmadığı görülmektedir.
Sistematik Adli Bilişim Soruşturma Modeli diğer soruşturma modellerinden farklı olarak iş akış şeması olarak karşımıza çıkmaktadır. Esasen bu model dijital delilleri dolandırıcılık yönüyle inceler ve klasik anlamda vuku bulan dolandırıcılık soruşturmalarına benzer şematik bir önermede bulunur. Diğer modellerden ayrı olarak olay yeri müdahalelerinde dijital cihazların iletişimlerinin hızlı bir şekilde kesilmesi gerektiğine vurgu yapar.
İleri Düzey Sanal Adli Bilişim Soruşturma Modeli diğer tüm soruşturma modellerinden teknolojik açıdan oldukça farklıdır. Dağıtık bir yapı üzerinde sanal ağ üzerinden delillerin incelenmesini öngörür. Bu sayede lisans ücretinin azalacağı, kaynakların etkin kullanımı ve daha profesyonel bir adli bilişim inceleme ve soruşturma yöntemine kavuşulacağı tasarlanmıştır. Bununla beraber, oluşturulan sanal ağın güvenilirliği, sanal ağda oluşturulan SAN (Storege Area Network)’a erişimin hız ve güvenilirliği gibi konular endişe getirmektedir. Erişim hızının yüksek olması adına Türk Telekom üzerinden Metroeternet ya da daha hızlı bir çözüm olması
10
adına devre kiralanabilecektir. Ancak, alt yapı iletişim maliyetlerinin (abonelik ücreti, VPN, teknik cihazlar vs.) proje getirilerine göre çok fazla olduğu, bir disk imajının ağa kopyalanması ile yeni bir disk alınmasının neredeyse eşit olabileceği Türk Telekom tarafından ilan edilen internet iletişim fiyatları ışığında tecrübe edilebilir.
4.1 Etkinlik ve Verimlilik Açısından Soruşturma Modelleri Bir suçun meydana gelmesinin hemen ardından her polis suça ait iz ve delilleri güvenli bir şekilde araştırma altına almakta ve güvenli halde muhafaza altına alınan farklı tür ve nitelikteki deliller mahkemeye sunulmak üzere çeşitli süreçlerden geçirilerek (delil zinciri oluşturulması, raporlama, sunum vb.) hazır hale getirilmek için çaba sarfedilmektedir (Saferstein, 2004). Adli bilişim soruşturmaları bahse konu hususlar açısından en komplike teknikleri içermekte ve yüksek maliyetler söz konusu olabilmektedir. Bahse konu maliyetlerin düşürülmesi verimlilik açısından önemlidir.
Verimlilik toplum ve organizasyonlar açısından önemli olduğu gibi, ceza adaleti açısından da önemlidir. Özellikle suç sayısı, korkusu ve adaletsizliğin olduğunun düşünüldüğü bölgelerde ve mali kaynakların kamusal açıdan yetersiz olduğu ortamlarda verimlilik daha da önemli hale gelir (Mears, 2010). Uzmanlaşma ve branşlaşma sayesinde ölçek ekonomisi stratejisi uygulanarak değişken maliyetlerin artan çıktılar sayesinde azaltılması sağlanır. Bu sayede ölçek ekonomisi sağlanmış (Munger, 2000) ve verimliliğe katkıda bulunulmuş olur. Adli bilişim maliyetlerinin artan dijital deliller sebebiyle oldukça yükseleceği ve artan soruşturmalarında daha fazla artan iş rezervine (backlog) sebebiyet vereceği muhakkaktır. Adli bilişim soruşturma modellerinin en önemli faydaları soruşturmaları safhalara ayırmak suretiyle uzmanlaşmaya izin vermesi ve prensipte ölçek ekonomisinin soruşturma şablonları aracılığı ile uygulanmasıdır. Bu sayede, değişken maliyet olarak gözlemlenen adli bilişim soruşturma evreleri kolaylaştırılabilir ve kısaltılabilir. Dolaysıyla, yazılım ve benzeri maliyet giderleri daha fazla adli bilişim incelemesi yapılması sayesinde orantısal olarak azalacaktır.
Kamu yönetimi açısından yalnızca market yetersizliklerini değil kamu kurumlarının yetersiz kalabileceği durumları da göz önüne almak durumundayız (Weimer ve Vining, 2005). Burada adli bilişim açısından devletten kasıt olarak kamuya ait adli ve idari birimler değerlendirilebilir. Örnek olarak adli bilişim ile ilgili yeteri kadar soruşturma cihazı ve teknolojisi bulunmakla beraber, mevcut gelişmeleri soruşturma yöntem ve şablonları açısından zamanında takip edemeyen bürokrasi, soruşturma kriterleri açısından verimsizliğe meydan verebilecektir.
Adli bilişim incelemelerinde çoğunlukla offline olarak inceleme yapıldığından etkinlik verimlilikten daha ön plandadır. Daha önemli olan, delillerin zamanında incelenmesinden çok doğru, hatasız ve şüpheye yer vermeyecek şekilde ispatlanmasıdır. Zira hatalı bir analiz neticesi telafisi güç sorunlara yol açabilecektir. Adli bilişim açısından Tip 1 hata yapmaktansa (hatalı olarak suça ilişkin delil olduğunun iddia edilmesi) adli bilişim inceleme zamanın uzatılması ya da en kötü ihtimalle Tip 2 hataya (Hatalı olarak suçlayıcı delil olmadığına karar verilmesi) düşülmesi istemeyerekte olsa katlanılabilir bir durumdur (Abraham ve de Vel, 2002).
Sonuç
Bu çalışmada bahis olan dört model: temel soruşturma modeli, detaylı soruşturma modeli, sistematik adli bilişim soruşturma modeli ve ileri düzey sanal adli bilişim soruşturma modelidir. Bahse konu soruşturma modelleri karşılaştırıldığında Temel Soruşturma Modelinin 2001 yılında oluşturulmuş olmasına rağmen en kapsamlı süreçleri içerdiği görülmekte ve adli bilişim için iyi bir modelleme olduğu görülmektedir. Bu modeller tartışılarak adli bilişim uygulama ve yönetimleri açısından alternatif soruşturma modelleri ve uygulama yöntemleri analiz edilmiştir. Bu sayede ülkemizde organizasyon anlamında ve pratik açıdan dağıtık(merkezi olmayan) bir şekilde şekillenen adli bilişim soruşturma yöntemleri ve uygulamalarının standartlaştırılması ve benzerlikler sağlanması arzu edilmiştir.
Kamu yönetiminde esas unsurlar olan etkinlik, verimlilik, doğruluk ve hesap verebilirlik (effectiveness, efficiency, integrity, accountability) olmalıdır. Esasen bu dört husus kamu
11
yönetiminin temel felsefesinin parçalılarıdırlar. Bu çalışmada etkinlik ve verimlilik tartışılmış, adli bilişim soruşturmaları açısından değerlendirmeler yapılmıştır. Tüm bunlarla beraber mevcut soruşturma modelleri gelecekte meydana gelebilecek dijital deliller ve soruşturma yöntemleri açısından da değerlendirilmelidirler.
Bilişim suçları ve dijital delillerin transformasyonu açısından değerlendirme yapılırsa; yakın zamandaki mantıksal analiz sistemlerinin performanslarının oldukça artacağı, dijital delil soruşturmalarının daha da sofistike hale geleceği, soruşturma araçlarının daha fazla fonksiyonlara sahip olacağı öngörülmektedir (Kanellis vd., 2006). Günümüzde Bulut Bilişim†’in adli bilişim soruşturmalarını güçleştirdiği, Tor ağı gibi Onion (soğan) yapısına sahip proksiler üzerinden TCP(İletim Denetim Protokolü) bağlantı bilgilerinin anonymous (belirlenemez) hale geldiği, canlı analizlerin oldukça güç olduğu, delil takibinin Tor benzeri kriptolu veri akışından dolayı oldukça güçleştiği varsayılırsa (Mcclure, Scambray, ve Kurtz, 2009:2) adli bilişim soruşturmalarının daha düzenli, daha sistematik ve kompleksiteye cevap verecek şekilde güncellenmesi gerektiği, mühendislik tabanlı yaklaşımların adli bilişim soruşturma modellerine daha iyi entegre olması gerektiği, soruşturma altyapısının günümüz teknolojilerine uygun tasarlanmasının önemi ve gelecekte çok daha karmaşık problemlerle karşılaşılabileceği göz ardı edilmemesi gereken bir gerçektir. Doğası gereği dağıtık (merkezi olmayan) bir şekilde organize olan adli bilişim laboratuarları ve soruşturmalarının standartlaştırılması ve benzerlikler sağlanması etkinlik ve verimlilik perspektifinde değerlendirilmesi faydalı olacaktır. Netice olarak gerek günümüz pratikleri ve gerekse gelecek açısından soruşturma modelleri güncel bir şekilde ülkemizde de takip edilmelidir.
Kaynakça
Abraham, Tamas, ve de Vel, Olivier, (2002), “Investigative Profiling With Computer Forensic Log Data And Association Rules. In Data Mining”, 2002. ICDM 2003. Proceedings. 2002 IEEE International Conference on (pp. 11-18). IEEE.
Armbrust, Michael; Fox, Armando; Griffith, Rean; Joseph, Anthony D., Katz ve Zaharia, Matei, (2010). A view of cloud computing. Communications of the ACM,53(4), 50-58.
Agarwal, M. Ankit; Gupta, M. Megha ve Gupta, M. Saurabh. (2011). “Systematic Digital Forensic Investigation Model”. International Journal of Computer Science and Security (IJCSS), 5(1), 118.
Baryamureeba, Venansius ve Tushabe, Florence. (2004, May). The Enhanced Digital Investigation Process Model. In Proceedings of the 4th Annual Digital Forensic Research Workshop, Baltimore, MD.
Beebe, Nicole Lang ve Clark, J. Guynes, (2005). “A Hierarchical, Objectives-Based Framework for the Digital Investigations Process”, Digital Investigation, 2(2), 147-167.
Bradford, Philip. G. ve Ray, A. Danial, (2007). Developing a Proactive Digital Forensics System. University of Alabama.
Brenner, W. Suzan, (2004), “Cybercrime Metrics: Old Wine, NewBottles?”, Virginia Journal of Law ve Technology. 9 Va.J.L. ve Tech. 13-111.
Ciardhuáin, Séamus, Ó. (2004), “An Extended Model of Cybercrime Investigations”, International Journal of Digital Evidence, 3(1), 1-22.
Carrier, Brian ve Spafford, H. Eugene, (2004), “Getting Physical with the Digital Investigation Process”. International Journal of Digital Evidence, 2(2), 1-20.
† Bulut Bilişim: Uygulamaların, sistem yazılımlarının ve donanımların internette servis olarak sunulması
ve bu amaçla veri merkezlerince servis sağlanmasıdır. Kaynak: Above the Clouds: A Berkeley View of Cloud Computing, 2009
12
Casey, Eoghan, (2004), “Network Traffic as a Source of Evidence: Tool Strengths, Weaknesses, and Future Needs”, Digital Investigation, 1(1), 28-43.
Craiger, Philip; Burke, Paul; Marberry, Christopher ve Pollitt, Mark, (2008), A virtual digital forensics laboratory. Advances in Digital Forensics IV, 357-365.
Craiger, Philip, (2009), Virtual digital evidence laboratory, Retrieved from http://ncfs.ucf.edu
Gordon, G. R., Hosmer, C. D., Siedsma, C. ve Rebovich, D. (2002). Assessing Technology, Methods, and Information for Committing and Combating Cyber Crime. Retrieved from National Criminal Justice Website: ww.ncjrs.gov/pdffiles1/nij/grants/198421.pdf
Gül, S. Kenan, (2008). Kamu Yönetiminde ve Güvenlik Hizmetlerinde Hesap Verebilirlik. Polis Bilimleri Dergisi, 10(4), 71-94.
Hekim, Hakan ve Başıbüyük, Oğuzhan, (2013), “Siber Suçlar ve Türkiye’nin Siber Güvenlik Politikaları”. C. 4(2),ss.135-157
Hekim, Hakan ve Başıbüyük, Oğuzhan, (2014, Şubat), “Siber Tehditler ve Siber Güvenlik Politikaları”.
İngiltere Polis Yöneticileri Birliği (2007). Good practice guide for computer-based electronic evidence (Ver 4). Elektronik Kitap:England, Wales, and N. Ireland.
Kanellis, Panagiotis; Evangelos, Kiountouzis; Nikolas Kolokotronics ve Drakoulis Martakos (2006), Digital Crime and Forensic Science in Cyberspace, Hershey, PA: Idea Group Pub.
Karagülmez, Ali, (2011), Bilişim suçları ve soruşturma-kovuşturma evreleri, Ankara:Seçkin Yayınevi.
Li, Chang-Tsun, (2010), Handbook of Research on Computational Forensics, Digital Crime, and Investigation : Methods and Solutions. Hershey, PA:Information Science.
McClure, Stuart; Scambray, Joel, ve Kurtz, George (2009), Hacking exposed: network security secrets ve solutions (p. 340). New York: McGraw-Hill/Osborne.
Mears, Daniel, P. (2010), American criminal justice policy: An evaluation approach toincreasing accountability and effectiveness. New York:Cambridge University Press.
Munger, Micheal. C. (2000), Analyzing policy: Choices, conflicts, and practices. New York:WW Norton.
National Institute of Justice [Internet]. NW, Washington, DC: ABD Adalet Bakanlığı; Digital evidence and forensics; 5 Nov 2010 [Cited 2012 Jan 05]; [about 1 screen]. Available from: http://nij.gov/topics/forensics/evidence/digital/welcome.htm
Palmer, Gary, (2001), A road Map for Digital Forensic Research. In First DigitalForensic Research Workshop, Utica, New York (pp. 27-30).
Pollitt, Mark. M. (2007, April), An Ad Hoc Review of Digital Forensic Models. In SystematicApproaches to Digital Forensic Engineering, 2007. SADFE 2007. Second International Workshop on (pp. 43-54). IEEE.
Pollitt, Mark. M. (2004). Six blind men from Indostan. In Proceedings of the Fourth Digital Forensics Research Workshop.
Prosise, Chris; Mandia, Kevin ve Pepe, Matt, (2003), Incident response ve computer forensics (p. 11). California: McGraw-Hill/Osborne.
Romzek, B. S. (2000). Dynamics of public sector accountability in an era of reform. International Review of Administrative Sciences, 66(1), 21-44.
Mukasey, Michael B; Sedgwick, Jeffrey, ve Hagy, David, W., (2001), “Electronic Crime Scene Investigation: A Guide for First Responders, Second Edition”, https://www.ncjrs.gov/pdffiles1/nij/219941.pdf, (erişim tarihi: 12.01.2012).
Reith, Mark; Carr, Carr ve Gunsch, Gregg. (2002), An Examination of Digital Forensic Models.International Journal of Digital Evidence, 1(3), 1-12.
Saferstein, Richard, (2006), Criminalistics: An introduction to Forensic Science. NJ: Prentice Hall.
Shankland, Stephen, (2011), “Turkey arrests 32 after Anonymous: Web attacks”, http://news.cnet.com/8301-30685_3-20070818-264/ (erişim tarihi:14.08.2011)
Wegman, Jerry, (2005), Computer Forensics: Admissibility of Evidence in Criminal Cases. Journal of Legal, Ethical and Regulatory Issues, 8(1), 1.
Weimer, David, L. ve Vining, Aidan. R, (2005), Policy Analysis: Concepts and practice. Upper Saddle River, New Jersey: Prentice Hall.
Whitcomb, Carry. (2002). “An Historical Perspective of Digital Evidence: A Forensic Scientist’s View”, International Journal of Digital Evidence, 1(1), 5-9.
Volonino, Linda; Anzaldua, Reynaldo. ve Godwin, Jana, (2007), Computer forensics: principles and practices. Pearson/Prentice Hall.
Yesilyurt, Hamdi, (2011), The Response of American Police Agencies to Digital Evidence (Dissertation), Orlando, Fla: University of Central Florida.
U.S. CERT (2008). Adli Bilişim. http://www.us-cert.gov/reading_room/forensics.pdf
