1

ADLİ BİLİŞİM SORUŞTURMA METOTLARININ STANDARTLAŞTIRILMASI

VE ETKİNLİK-VERİMLİLİK PERSPEKTİFİNDE DEĞERLENDİRİLMESİ
Standardization of Digital Forensics Investigations and the Evaluation of
Efficiency and Effectiveness of Digital Forensics Investigations

Hamdi YEŞİLYURT*

Özet
Adli bilişim soruşturma şablonları adli bilişim uzmanlarının dijital delillerle bağlantılı olarak
soruşturma esnasında kullandığı sistematik davranışların bütüncül bir şekilde yorumlanmasıdır.
Gelişen adli bilişim teknolojileri, oldukça hızlı artan dijital delil rezervi ve çeşitliliği,
soruşturma ve inceleme yapmakta olan uzmanların daha sistematik hareket etmeleri ihtiyacını
doğurmuştur. Bu çalışmanın amacı, güncel soruşturma modellerini ve gerekliliklerini ortaya
koymak, standart modelleri karşılaştırmak ve ayrıca soruşturma modellerinin uygulanmasının
kamu yönetimi açısından (verimlilik ve etkinlik) değerlendirmesini yapmaktır. Araştırma
esnasında; adli bilişim soruşturmalarında uygulanan alternatif soruşturma yöntemleri ve bu
yöntemlerinin ülkemizde standartlaştırılması üzerine odaklanmıştır. Temel, detaylı, sistematik
ve ileri düzey sanal olmak üzere dört adli bilişim soruşturma şablonu incelenmiştir. Adli bilişim
incelemeleri açısından temel, detaylı ve sistematik soruşturma şablonları uygulanabilirlikleri
noktasında incelenmiş, sanal soruşturma modelinin ise uygulanabilir olmakla beraber, maliyet
açısından yüksek risklere maruz kalabileceği değerlendirilmiştir. Yapılan araştırma sonucunda,
doğası gereği dağıtık (merkezi olmayan) bir şekilde organize olan adli bilişim laboratuarları ve
soruşturmalarının standartlaştırılması ve benzerlikler sağlanması etkinlik ve verimlilik
perspektifinde incelenen modeller çerçevesinde önerilmiştir.
Anahtar Kelimler: Adli bilişim, Soruşturma, Model, Kamu yönetimi, Verimlilik, Etkinlik

Abstract
Digital crime investigation framework is the interpretation of systematic procedures that is used
by cybercrime investigators regarding digital evidence. Developing computer forensics
technology, increasing number of backlogs and variety of digital evidence, requires more
systematic approach for computer forensics experts during the investigation processes. This
study is focused on alternative digital forensics investigations and methods based on enhanced
investigation standards. The aims of the study are to delineate the current cybercrime
investigation frameworks, compare them, and assess the implementation of such frameworks
based on public policy approaches; that is, the evaluation of investigations models based on
efficiency and effectiveness perspectives. Four different digital investigation models were
analyzed in the study: Basic, detailed, systematic, and virtual digital forensics investigation.
These investigation models were analyzed in terms of applicability for investigations, and
virtual forensics investigation model was found to be an economically expensive solution for
Turkey. Finally, admittedly digital forensics labs in nature are decentralized, and digital
forensics investigation models in terms of efficiency and effectiveness were offered.
Key words: Digital forensics, Investigation, Framework, Public policy, Efficiency,
Effectiveness

*
Dr., Emniyet Amiri, Araştırma Merkezleri-Polis Akademisi Başkanlığı, hamdi.yesilyurt@egm.gov.tr
 2

Giriş
Günümüzde ortalama bir siber korsan Google’ı kullanarak web sayfalarının gizli görünen
bilgilerine ulaşabilir ve teknik detayları toparlayabilir ya da dizüstü bilgisayar ve 14 dB yönsel
anten, GPS (Küresel Konumlandırma Sistemi) ve birkaç aparat sayesinde bilgisayar sistemlerine
kanuna aykırı şekilde erişebilir, özel hayatın gizliliğini ihlal edebilir, dolandırıcılık ve benzeri
suçları kolayca işleyebilir (McClure, Scambray, Kurtz, 2009:312). İnternet hayatımızın hemen
her alanında yer almakla birlikte, tarihteki yerini suç işlemek için kullanılan en karmaşık
aletlerden biri olarak almıştır. Sosyal medya ve birçok internet sayfası suç öncesi önleme ve
sonrasında adli veri incelemede anahtar role sahip olmuştur (Yesilyurt, 2011:3). Siber suçlara
karşı oldukça yoğun mantıksal ve fiziksel tedbirler alınmasına karşın, siber suçlar gün geçtikçe
daha kolaylaşır hale gelmekte ve dolaysıyla dijital deliller baş döndürücü bir şekilde artış
göstermektedir (Hekim, Başıbüyük ve Yeşilyurt, 2014:2). Bu bakımdan siber suçlarla mücadele
de önemli ölçüde çaba gerekmektedir.
Özellikle dijital delillerin değişebileceği ya da değiştirilebileceği, yapısal anlamda hassas
bir teknolojiye sahip oldukları düşünülürse delillerin bütünlüğünün korunması büyük önem arz
etmekte (Brenner, 2004:11) ve delillerin güvenilirliği teyit edilmesi gereken vazgeçilmez bir
unsur haline gelmektedir (Baryamureeba ve Tushabe, 2004:2). Bilgisayardan, ses kayıt cihazına
ve faks makinesine kadar uzanan dijital deliller; bütünlük, kontrol edilebilirlik, yeniden
üretilebilirlik, dış müdahalelerden korunurluk gibi birçok güvenilirlik unsuruna sahiptir
(Baryamureeba ve Tushabe, 2004:2).
Verimlilik ve etkinlik gibi kavramlar kamu yönetimi temel prensiplerinden olarak
sayılmakta ve yönetimdeki kültürel dinamiklerin değiştirilmesi açısından önemli rol
oynamaktadırlar (Romzek, 2000:21). Ülkemizde bilişim suçlarıyla mücadele kamusal alanda
son yıllarda oldukça geniş yatırımlara ve yeni geliştirilen stratejilere (Hekim ve Basibüyük,
2013:155) sahne olmakla beraber; adli bilişim uygulamaları ve soruşturma yöntemleri açısından
gelişen teknoloji ve dijital delillerdeki karmaşıklıktan dolayı daha fazla bilgi birikimine ihtiyaç
duyulabilecek, kamu yönetiminin temel prensiplerinin yeni bir alan olan adli bilişim
servislerinde de uygulanması kurumsal standartlar açıdan faydalı olabilecektir.
Adli bilişim standartlarının ortaya konması ve hassasiyetle uygulanması adli, idari ve
sosyal açıdan oldukça önemlidir. Özellikle standart soruşturma modelleri olmayan adli bilişim
laboratuvarları ve üniteleri sıra dışı hatalara neden olabilir, adli kararların verilmesinde
gecikmelere yol açabilir ve delillerin adli makamlarca kabul edilebilirliği zarar görebilir
(Wegman, 2005:1). Bahse konu nedenlerle, bilişim suçlarıyla mücadele de adli bilişim
uygulamalarında standartların şablonlar halinde ortaya konması ve uygulanması hayati derecede
önemlidir (Wegman, 2005:2; Casey, 2004:3). Zira adli uygulamalarda oluşan hataların ve
eksiklerin neticesinde toplumda güvenlik güçlerinin uygulamalarına karşı güvensizlik
oluşabilecek veya vatandaşların mağduriyetleri artabilecektir.
Bu çalışmanın amacı, güncel adli bilişim soruşturma modellerini ve gerekliliklerini ortaya
koymak, standart adli bilişim soruşturma modellerini karşılaştırmak ve ayrıca soruşturma
modellerinin uygulanmasının kamu yönetimi açısından (verimlilik ve etkinlik)
değerlendirmesini yapmaktır. Araştırma esnasında; adli bilişim soruşturmalarında uygulanan
alternatif soruşturma yöntemleri ve bu yöntemlerinin ülkemizde standartlaştırılması üzerine
odaklanmıştır. Temel, detaylı, sistematik ve ileri düzey sanal olmak üzere dört adli bilişim
soruşturma şablonu incelenmiştir.

1. Adli Bilişim
Saferstein (2006:4) adli bilimleri güvenlik teşkilatlarının kamu hukuku ve özel hukukta geçen
hükümleri bilimsel metotlar kullanarak uygulamasıdır şeklinde tanımlamıştır. Güvenlik
güçlerinin kriminal delilleri inceleme şekli ve kullandığı metotlar daima merak konusu
olmuştur. 19 yüzyılda Arthur Conan DOOYLE’ın yazdığı Sherlock Holmes romanları sayesinde
suç tespit metotlarının bilimsel yöntemlerle keşfi Sherlock Holmes adında bir dedektif
karakterinde canlandırılmış ve kriminal incelemeler bu sayede popülerlik kazanmıştır. Adli
 3

bilimler antropoloji, entomoloji, ontoloji ve psikoloji gibi birçok bilim dalından faydalanarak
gelişmiş, bahse konu bilim dallarını kullanarak kendine özgü delillendirme ve soruşturma
yöntemleri ortaya koyulmuştur. Adli bilişim ise benzer şekilde gelişimini başka bir bilim dalı
olan bilgisayar mühendisliğinden alarak, mühendislik tabanlı uygulama ve yöntemler üzerine
odaklanmış, aynı zamanda polisiye soruşturma yöntemlerini de uygulayarak kendisine has
soruşturma modelleri geliştirmiştir. Amerikan CERT’e (2008:1) göre bir disiplin olarak adli
bilişim; bilgisayar mühendisliği ve hukukun elementlerinin bir araya getirilerek bilgisayar
sistemlerinden kablolu ya da kablosuz ağlardan, depolama ünitelerinden adli makamlarca kabul
edilebilecek şekilde delil toplama ve veri analiz etme işlemidir.
Dünya’da adli bilişim çalışmaları ilk bilgisayarların doğduğu ABD’de 1984’lerde
FBI(Federal Soruşturma Bürosu)’ın öncülüğünde dijital delilleri inceleme amaçlı bilgisayar
programlarının geliştirilmesiyle başlamıştır. Soruşturma birimleri ve adli birimlerin artan adli
bilişim ihtiyaçlarını karşılamak amacıyla, FBI tarafından Bilgisayar Analizi ve Reaksiyon
Takımı (CART) adı altında bir birim kurulmuştur (Whitcomb, 2002:1).
Ülkemizde bilişim suçlarıyla mücadele ve adli bilişim incelemeleri Emniyet Genel
Müdürlüğü, Telekomünikasyon Kurumu, TÜBİTAK ve diğer kurumların katılımıyla geniş bir
kamusal kitleye yayılmıştır (Hekim, Başıbüyük, Yesilyurt, 2014:55). Günümüz itibariyle birçok
kamu kurumu bilişim suçlarıyla mücadele alanında adımlar atmakla beraber, dağıtık bir yapı
meydana geldiğinden kurumlar arası işbirliği çalışmaları hız kazanmaktadır. Bununla beraber,
işbirliğinin yanı sıra ulusal düzeyde meydana gelebilecek bir siber saldırıya karşı, örneğin 2011
yılında Anonymous grubu destekçileri tarafından kamu kurumları bilişim altyapısına karşı
yapılan büyük çaplı siber saldırı (Shankland, 2011:1), standart bir adli bilişim soruşturma
modeli, ulusal düzeyde koordinasyon ve mücadelede avantaj sağlayacaktır. Standart soruşturma
modellerinin alternatifleriyle birlikte ortaya konması siber kritik altyapının ulusal düzeyde etkin
bir şekilde korunmasına, kurumlar arası işbirliğine ve ayrıca adli makamlara sunulan delillerin
tutarlılığına katkı sağlayacaktır.

1.1.Dijital Delil
Bir bilgi ya da verinin elektronik bir cihaz üzerinde taşınması, alınması veya depolanması
neticesinde adli soruşturmalara konu olabilecek nitelikte elde edilen deliller dijital delil olarak
adlandırılırlar (Mukasey, Sedgwick ve Hagy, 2001:İX). Dijital deliller adli makamlara
sunulmaları neticelerinde bireylerin hürriyetinden yoksun edilmesi (tutuklanması) ya da maddi-
manevi tazminat ödenmesine mahkûm edilmesi gibi sonuçlar doğurabilmektedirler (Casey,
2004:9). Bu nedenle, dijital deliller içeren soruşturmalar çok daha titiz ve bilimselliğe uygun bir
şekilde yürütülmelidir. Soruşturmalar yürütülürken standart prosedürler asla ihmal
edilmemelidirler (Beebe ve Clark, 2005:1).

2. Adli Bilişim Soruşturması

Adli bilişim soruşturması ile diğer fiziksel olay yeri inceleme ve soruşturmaları arasında
oldukça benzerlikler bulunmaktadır. Örneğin duvardaki bir kan örneği analiz edildiğinde kanın
kime ait olduğunu, mağduru yaralayan aletin türünü, mağdur ya da saldırganın bulunduğu yeri
ve saldırı zamanının bulunmasını sağlayabilir. Aynı şekilde, dijital deliller benzer
karakteristiklere sahip olmakla beraber, uzun bir araştırmayı gerektiren milyonlarca veri ve
nesneden oluşur (Carrier ve Spafford, 2004:1). Milyonlarca veri ve yüzlerce farklı işletim
sistemi ve donanım söz konusu olduğunda, adli bilişim laboratuvar ve uzmanlarının ciddi bir iş
akış sistemi ve soruşturma modeline tabi tutulmaları gerekmektedir.
Adli bilişim soruşturmaları esasında birçok disiplini barındıran bir yapıya sahiptir. Adli
bilişim Şekil 1’de görüldüğü üzere 3 temel disiplinden oluşur: Yasal Prosedürler, Bilgisayar
Teknolojisi ve Soruşturma Teknikleri (Volonino, Anzaldua ve Godwin, 2007:?). Yasal
prosedürler ülkemizde Ceza Muhakemesi Kanunu(CMK) açısından değerlendirilmeli, bilgisayar
teknolojisi mühendislik bilimleri açısından değerlendirilmeli ve soruşturma teknikleri ise kolluk
kuvvetleri açısından değerlendirilmeli ve ortaya tutarlı bir sentez koyulmalıdır.
 4

Şekil 1:Adli Bilişimciler İçin Temel Uzmanlık Alanları

Ortaya konulan sentez içerisinde soruşturmalar açısından belirli süreçler ve prensipler
oluşturulmalıdır. Bunlardan başlıcaları delil muhafazası, dokümantasyon, uygun soruşturma
otoritesi, duyarlılık ve sınıflandırma, soruşturma öncelikleri, iş akış ve kontrolleri, dosya
yönetimi ve süreç gelişim geribildirimleri sayılabilir (Beebe ve Clark, 2005:9). Bahse konu
süreçler esasında soruşturma modellerinin temellerini oluşturmaktadır. Adli bilişim soruşturma
prensipleri ise verinin polis tarafından değiştirilebilmesi ile neticelenebilecek hareket
tarzlarından hassasiyetle kaçınılması, orijinal veriye ulaşılması gereken durumlarda
soruşturmacının yeterince uzman olması ve atmış olduğu adımları açıklayabilecek becerilere
sahip olması, 3. şahıslar tarafından da yapılabilecek araştırmalar neticesinde aynı sonuçlara
ulaşılması, ayrıca soruşturmayı yürütenlerin adli bilişim soruşturma prensiplerini ve yasal
mevzuatı örtüştürecek nitelikte hassasiyet gerektiren adımlar atmasını gerekmektedir(İngiltere
Polis Yöneticileri Birliği, 2007). Soruşturma prensipleri adli bilişim soruşturmaları açısından
temel noktaları belirlese de bu çalışma adli bilişim süreçleri ve süreçlerin bir araya gelmesinden
meydana gelen soruşturma modellerini incelemektedir.

3. Soruşturma Modelleri
Adli bilişim soruşturma yöntemleri ceza muhakemesi açısından en tartışmalı alanlardan biridir
(Karagülmez, 2011). Sıra dışılığı açısından ve ceza hukuku açısından yeni olması nedeniyle
oldukça tartışmalara yol açan adli bilişim soruşturma yöntemleri hakkındaki problemler,
sistematik bir çalışma ve etkin yönetim metotları ile çözüme ulaştırılabilir (Carrier ve Spafford,
2004).
Suçlular ve güvenlik güçleri teknolojiden, araçlar, uygulama ve süreçlerden benzer
şekillerde yararlanmaktadırlar, ancak suçluların amacı suç işlemeyi kolaylaştırmak ya da bir
sistemi istismar etmek amacıyla kullanırken, güvenlik güçleri vuku bulan istismarı ortaya
çıkarmak amaçlı olarak hareket etmektedirler (Gordon, Hosmer, Siedsma, Rebovich, 2002, p.
7). Reith, Carr ve Gunsch (2002) suçlular ve polis arasında teknoloji kullanımının adeta
umulmaz bir şekilde devam ettiğini belirtmektedir. Bu yarış içerisinde, adli bilişime konu olan
soruşturmalar açısından standart modeller çerçevesinde prosedürler oluşturulması soruşturmanın
safahatı açısından hayati derecede öneme haizdir.
Carrier, Spafford, Eugene ve Spafford (2004) soruşturma modellerinin oluşturulmaları ve
tatbik edilmeleri yönünden birçok polis teşkilatının yeterince ilerleme kaydedemediklerini
belirtmişlerdir. Reith, Carr ve Gunsch (2002) genel bir soruşturma şablonunun
oluşturulamamasına sebep olarak, adli bilişimcilerin teknolojik yenilikleri öğrenmek ya da
teknik detaylar üzerinde vakit harcamaktan dolayı, soruşturma modelleri ve prosedürlerini ihmal
ettiklerini belirtmektedir. Prosise, Mandia ve Matt (2003) ise teknik detayların yanı sıra birçok
değişkenin soruşturmalarda etkisi olduğunu ve her eklenen değişkenin soruşturmaya ayrı bir
karmaşıklık kattığını ve soruşturmanın salahiyeti açısından risk kattığını belirtmiştir.
Esasen adli bilişim soruşturma modelleri soruşturma esnasında inceleme uzmanlarının
doğru bilgileri doğru yöntemlerle elde etmeleri ve standartları uygulayarak soruşturmalarda
verimliliği arttırmalarına yol açar (Bradford ve Ray, 2007). Bilimsel çevrelerin çoğunluğu adli
bilişim soruşturma modelleri oluşturulması yönünde hemfikir olmakla beraber, soruşturmalarda
izlenecek adımların sıralaması konusunda genel bir uzlaşma oluşmamıştır (Pollitt, 2004, S. 9).
 5

Pollitt (2004) adli bilişim soruşturma modellerini tek bir süreçten ziyade birçok görevden oluşan
ve görevlerin gruplanabildiği kümeler olarak tanımlamaktadır.
Adli bilişim soruşturma modelleri çoğunlukla polis teşkilatları tarafından geliştirilmekte,
zaman zaman ise mühendislik bilimleri alanında çeşitli yönlendirmeler yapılmaktadır. Özellikle
ABD ve benzer teknolojiye sahip Avrupa ülkelerinde bilim adamları ve polis teşkilatlarının
omuz omuza çalıştıkları, soruşturmalarda karşılaşılan problemlere karşı ortak soruşturma
metotları geliştirdikleri görülmektedir. Çalışmanın bu aşamasında polis teşkilatları ve bilim
adamları tarafından oluşturulan ortak soruşturma modelleri örnekler halinde verilecek ve
tartışılacaktır. Aşağıdaki dört farklı soruşturma modeli (Temel Soruşturma Modeli, Detaylı
Soruşturma Modeli, Sistematik Soruşturma Modeli ve İleri Düzey Sanal Soruşturma Modeli)
detaylı olarak tartışılmıştır.

3.1. Temel Soruşturma Modeli

Amerika Birleşik Devletlerinde 2001 yılında New York’ta yapılan ve 50’nin üzerinde
üniversiteden araştırmacının ve çok sayıda adli bilişim uzmanının katıldığı, yakın ve uzak
gelecek açısından adli bilişim beklentilerinin sergilendiği Adli Bilişim Araştırma Toplantısı
(ABAT-Digital Forensic Research Workshop) neticesinde oluşturulan temel soruşturma modeli
günümüz soruşturma modellerinin gelişmesinde ve ilerlemesinde temel kaynak konumunda
olmuştur. ABAT yedi temel ve alt kategorilerinden oluşan prosedürel bir yapı olarak
önerilmiştir: tanımlama, koruma, toplama, inceleme, analiz, sunum ve karar verme. ABAT
Tablo 1’de gösterilen tüm bu adımlara süreç adını vermiştir.

Tablo 1: Adli Bilişim Araştırma Çalışması (proposed digital forensic investigation model)

Tanımlama Muhafaza Toplama İnceleme Analiz Sunum Karar

Olay/Suç Olay Dokümantas-
Tespiti Yönetimi Muhafaza Muhafaza Muhafaza yon

İmaj Onaylanmış Takip Uzman

İmza Çözümü teknolojisi Metotlar Edilebilirlik İzlenebilirlik Bilirkişilik

Onaylanmış Teyit Açığa

Profil Tespiti Delil Zinciri Yazılım Teknikleri İstatistik Kavuşturma

Standart Dışı Onaylanmış Filtreleme Misyon Etki

Tespitler Zamanlama Donanım Teknikleri Protokol Açıklaması
Şablon Veri Tavsiye Karşı
Şikâyetler Legal otorite Uyumu Madenciliği Tedbir
Kayıpsız
Gizli veri İstatistiksel
Sistem İzleme Sıkıştırma Keşfi Zamanlama Yorumlama

Numune Gizli veri

Denetim Analizi alma Çıkarımı Link

Diğer konular Veri Azalımı Mekân

Veri
Kurtarma
Teknikleri

Kaynak: Dijital Adli Bilişim Çalıştayı, 2001 http://www.dfrws.org/2001/dfrws-rm-final.pdf

Bu model soruşturmada karşılaşılabilecek birçok hususu göz önüne almasına rağmen, her
detayın doğrusal bir biçimde tatbik edilmesini salık veren bir soruşturma modeli değildir. Tablo
1’de belirtilen adımların uygulanması halinde soruşturmacının atacağı adımları görsel hale
getirmesi mümkün olabilecektir. Tablonun birinci satırında bulunan maddeler lineer bir şekilde
soruşturma esnasında bulunan evreleri ortaya koymaktadır.
 6

ABAT’ın oluşturduğu soruşturma modeli hem ilk olarak ortaya konmuş olması ve hem de
atılması gereken birçok adım konusunda uzlaşma sağlanması açısından önemlidir. Önemli olan
bir diğer husus ise; ABAT sayesinde adli bilişim ve güvenlik alanında pratisyen olarak çalışan
birçok uzman ve akademik alanda araştırmaları bulunan bilim adamı bir araya gelerek
derinlemesine ortak bir çalışmaya imza atmışlar ve 2001’den bu yana bu çalışmalar süregelen
şekilde devam etmektedir.

3.2. Detaylı Soruşturma Modeli

Séamus Ó Ciardhuáin (2004) detaylı bir terminolojiyi daha standart hale getirmek, soruşturma
aşamalarının tamamını süreç içerisinde canlandırmak ve soruşturma modeline yeni stratejiler ve
araçlar kazandırmak amacıyla detaylı bir soruşturma modelinin kullanılmasına ihtiyaç
duyulduğunu belirtir. Ciardhuáin’a göre önerilen birçok adli bilişim soruşturma modeli
soruşturmalarda bulunan bütün adımları içermemekte, uygun bilgi akışlarını barındırmamakta
ve dolaysıyla soruşturmalarda yetersizlikler meydana gelmektedir.
Tablo 2: Ciardhuáin’ın Detaylı Soruşturma Modeli
1. Aşama 2. Aşama 3. Aşama 4. Aşama
Haberdar Delil
Olma Delilin kimliğini araştırma İnceleme Hipotez Sunumu
Onaylama Delil toplama Hipotez Testi Hipotez İspat ve Savunması
Planlama Delil Taşıma Bilgi Dağıtımı
Uyarma Delil Depolama

Ciardhuáin (2004) esas olarak mevcut soruşturma modellerini birleştirerek detaya hakim
bir model oluşturmuştur. Oluşturmuş olduğu soruşturma modelinde geriye dönüş çok nadir
durumlarda gerekebilmektedir. Ciardhuáin (2004) her ne kadar Tablo 2 olduğu gibi dört
aşamaya ayırmamışsa da anlaşılabilirdik ve gruplanabilirdik açısından bu çalışmada 4 ayrı
aşamaya ayrılarak lanse edilmiştir. Ciardhuáin esasen çalışmasının daha kolay algılanabilmesi
adına birinci aşamasını bilgi edinme, ikinci aşamasını delil araştırma, üçüncü aşamasını
delillendirme ve son aşamasını da gerekçelendirme ve ispat safhası olarak adlandırabilirdi.

3.3. Sistematik Adli Bilişim Soruşturma Modeli

Agarwal, Gupta ve Gupta (2011) daha önceki soruşturma modellerinin eksikliklerini göz
önünde bulundurarak sistematik adli bilişim soruşturma modelini ortaya koymuşlardır. Bu
soruşturma modelinin temel amacı; dijital delillerin elde edilmesinin ardından takım çalışması
yapılmasını kolaylaştırmak, ülke de mevcut bulunan teknolojik şartları göz önünde
bulundurmak suretiyle bir şablon oluşturmak ve teknik bilgi sahibi olmayan adli makamlarca da
anlaşılabilir düzeyde ürün (çıktı) ortaya koymak suretiyle anlaşılabilirliği sağlamaktır.
Sistematik Adli Bilişim Modeli politika ve prosedür geliştirmek suretiyle iş akış şemaları
oluşturarak sistem dizaynı üzerinden adli bilişim usul ve esaslarının yerine getirilmesini sağlar.
Bu modelin temel aldığı suç alanı siber suç ve dolandırıcılık suçlarıdır.
 7

Şekil 2: Sistematik Adli Bilişim Soruşturma Modeli

Şekil 2’de de görüldüğü üzere öncelikli olarak soruşturma hazırlık aşamasıyla başlar ve
meydana gelen olay ve tabiatı hakkında bilgi edinilir. Akabinde olay yerinin güvenliği hat
safhada sağlanır ve delillerin kaybolmasının önüne geçilir. Diğer aşamalar da benzer şekilde
sonuç aşamasına kadar takip edilir. Bu modele göre hemen her aşamada geriye dönüş söz
konusu olabilir ve yapılan çalışmalar gözden geçirilebilir.
3.4. İleri Düzey Sanal Adli Bilişim Soruşturma Modeli (Virtual Digital Forensic Labs)
Geleneksel olarak adli dijital verilerin depolama, analiz ve sunumları elektronik delilin meydana
geldiği bölgede ya da en yakın adli bilişim laboratuvarında gerçekleşmektedir. Küçük bir adli
bilişim laboratuvarının bile istasyon bilgisayarlara (workstation), depolama üniteleri, araç-gereç
ve eğitime ihtiyacı olduğu düşünülürse mutlak surette yüksek maliyetler söz konusudur.
Bölgesel ya da yerel laboratuvarların delil toplama, depolama ve de inceleme işlerini yapmaları
ise bilinen bir husustur. Bununla beraber günümüz adli bilişim laboratuvarlarında aynı kaynağın
birden fazla yerde(tekbir laboratuvar) verimli bir dizayn ile kullanıldığına şahit olmak oldukça
güçtür (Craiger ve diğerleri, 2008:357).
Adli bilişim laboratuvarı kurmak için en ufak maliyet adli bilişim ürünlerinin satın
alınmasından başlar. Ayrıca, alınan malzemeler sık sık güvenilirlikleri konusunda test
edilmelidirler. Bununla beraber, birçok adli bilişim uzmanı araç ve gereçlerin kontrolü için
(donanım ve yazılım) yeterli tecrübe ve bilgiye sahip değildirler (Craiger vd., 2008:357).
Dahası, adli bilişim alanında üretilen malzeme ve çeşitlilik oldukça geniştir ve neredeyse market
ekonomisi ile sınırlıdır. Dolaysıyla bu kadar geniş yelpazede bir ürün kataloğunun
güvenilirliğini tespit etmek zordur.
Bahse konu nedenlerden dolayı, Philip Craiger (University of Central Florida Öğretim
Üyesi) tarafından 2007 yılında adli bilişim laboratuvar dizaynlarındaki verimsizlikleri azaltmak
amacıyla yeni bir yaklaşım geliştirildi (Şekil 3’e bakınız). Sanal Adli Bilişim Laboratuvarı adı
verilen bu model ağ topolojisine sahip, ağ üzerinden inceleme ve veri depolanmasına izin veren,
güvenli iletişim ve çok faktörlü kimlik denetleme özelliğine sahip (multi-factor authentication),
rol tabanlı erişim kontrolü içeren ve olay yönetim sistemi modülleri içeren bir konsepte verilen
addır (Craiger vd., 2008:354). Florida Merkez Üniversitesi Adli Bilişim Ulusal Merkezi
(NCFS) laboratuarlarında Criager ve ekibi tarafından geliştirilen prototip dağıtık, güvenliği test
 8

edilmiş adli bilişim araç ve gereçlerinden oluşan ve internet üzerinden erişilebilen bir
soruşturma modelini temsil eder (Craiger, 2009).
Proje sayesinde adli bilişim laboratuvarları tüm polis departmanlarına yayılabilecek hale
gelmekle beraber; farklı iş ve eylemler için görev dağılımı sağlanmıştır. Ayrıca kaynak israfı
önlenmiş, aynı kaynağın birden çok defa kullanılmasına imkân sağlanmış, yerel polis
merkezlerinin adli bilişim kapasitesi arttırılmıştır (Craiger vd., 2008:361). Bahse konu
kompartımantasyon dahilinde, Şekil 3’de görüldüğü üzere adli bilişim inceleme uzmanları farklı
noktalardan, adli yargı mensupları ise kendilerine tahsis edilen istasyonlardan aynı delile ulaşıp
inceleme yapabilmektedirler. Sanal laboratuar sistemi ise, soruşturma süreci içerisinde yer alan
sujelere gerekli teknik altyapıyı güvenli bir şekilde ateş duvarlarını (Firewall) ve Sanal Özel
Ağları (VPN) kullanmak suretiyle sağlamaktadır.

Şekil 3: Sanal Adli Bilişim Laboratuvarı(Craiger, Burke, Marberry ve Pollitt, 2008)

Detaylandıracak olursak sanal adli bilişim laboratuvarları farklı coğrafi bölgelere
yayılabilir ve farklı coğrafi bölge ya da bölgelerden yönetilip sürdürülebilir. Şekil 3’de
gösterildiği üzere, dijital delil merkezi bir depolama ünitesine ağ ortamında yüklenir ve farklı
coğrafi bölgelerden analiz edilebilir. Dahası, adli bilişim uygulaması neticesinde oluşan raporlar
farklı coğrafi bölgelerden daha önce oluşturulmuş olan portala ulaşılarak bilgisayarlara
yüklenebilir (Craiger, 2008:361).
Adli bilişim laboratuarı temel olarak 3 parçadan oluşur; inceleme, depolama ve sunum.
Adli bilişim inceleme yapısı ise temel olarak donanım, yazılım ve süreçlerden (process) oluşur.
Örneğin, depolama ünitesi geniş çaplı ve mantıksal olarak ayrılabilen magnetik yapıda ve
artıklık (redundancy) dizilimine sahip disklerden oluşur. Sunum aşamasında ise ortaya konan
deliller, raporlar ve değişik güvenlik seviyelerine bağlı (soruşturmacılar, savcılar, avukatları ve
hakimler tarafından ulaşılabilecek) tasniflenmiş veriler bulunmaktadır (Craiger vd., 2008,
p.358).
Sanal adli bilişim laboratuvarı uygulamasında, kullanıcı grupları rol tabanlı olarak sistem
içerisinde tanımlanır. Soruşturma ile bağıntılı güvenlik personeli (Polis, Jandarma) güvenlik
seviyesi açısından baştan sona en geniş yetkiye sahipken, avukatlar sadece ham veriye ve final
raporlara ulaşabilmekle sınırlı, hâkimler ise delille birlikte final raporuna ulaşmakla yetkilidirler
 9

(Craiger, Burke, Marberry ve Pollitt, 2008, p.358). Elbetteki bütün bu bileşenler ultra hıza
sahip bir networke ve eş değerde bir ağ yapılanmasına ihtiyaç duymaktadır. Bu amaçla sabit IP
tabanlı ve görevlerine göre ayrılmış LAN’lardan (Yerel Ağ) oluşan bir topoloji sergilenmiştir
(Craiger ve diğerleri, 2008, p.358). Ayrıca, İnternet2 sayesinde ağ üzerinde daha hızlı ve
gelişmiş bir iletişim altyapısından yararlanılabilir. İnternet2 100’den fazla üniversitenin ağ
iletişiminin(networking) sağlanması, ileri düzey uygulamaların eğitim ve araştırma amacıyla
kullanılması ve hızlı bir ağ iletişiminin amaçlandığı ortak bir çalışma alanıdır. İnternet 2
çerçevesinde tasarlanan Oldukça Hızlı Omurga Ağ Servisi (very high-speed Backbone Network
Service-vBNS) (Rouse , 2008, p.1) ileri düzey sanal adli bilişim projesinde de
kullanılabilecektir.
Proje avantajlar getirmekle birlikte birçok riski bünyesinde barındırmaktadır. Özellikle bant
aralığının yeterli olması ve desteklenmesi gerekmektedir. İnternet 2 sayesinde bu sorun önemli
ölçüde giderilebilecektir. İkinci konu ise sanal makinelere dongle’ların adreslemesi sorunudur.
Özel bir yazılım hazırlanması ile bu sorun fiziksel ve mantıksal olarak çözülebilecektir;
dolaysıyla, sanal laboratuvardan inceleme yapılırken inceleme uzmanları dongle’ları
kullanılabilecektir.
Söz konusu sanal laboratuvarlar olduğunda yukarıda saydığımız sorunların dışında elbette
sosyal sorunlarla da karşılaşılabilecektir. Özellikle, kültürel, politik ya da yargı yetkisiyle ilgili
birçok sorun sanal adli bilişim laboratuvarlarının kullanımını zorlaştırabilecektir. Avukat, hâkim
ve polis memurlarının eğitimi ise önemli bir husus olarak ortaya çıkmaktadır (Craiger vd.,
2008). Polis departmanlarının kullandığı teknoloji açısından adli bilişim laboratuarları oldukça
yüksek bir teknoloji ve kabiliyet gerektirmektedir (Yeşilyurt, 2011:71). Dolaysıyla, sanal adli
bilişim laboratuvarları adli bilişim laboratuvarlarının adaptasyonundan daha fazla gayret ve
özveri gerektirebilecektir.

4. Modeller Üzerine Tartışma

Yapılan incelemelerde en eski oluşturulan soruşturma modelinin temel soruşturma modeli
olduğu anlaşılmaktadır. Bahse konu soruşturma modelleri karşılaştırıldığında Temel Soruşturma
Modelinin 2001 yılında oluşturulmuş olmasına rağmen en kapsamlı süreçleri içerdiği
görülmekte ve adli bilişim için iyi bir modelleme olduğu görülmektedir. Ancak, bu model de
birçok prosedür kapsamasına rağmen sunum aşaması ile ilgili herhangi bir hususa
değinilmemiştir. Oysa adli mercilere ulaştırılması gereken sunum aşaması en önemli
aşamalardan biridir. Sebep olarak yalnızca kolluk kuvvetleri düşünülerek oluşturulan bir
soruşturma modeli olduğu düşünülebilir. Zira adli mercilerin bu tür çalışma toplantılarının
teknik alanlarına katıldığı 2000’li yılların başında pekte sık görülen bir husus değildi.
Detaylı Soruşturma Modeli incelendiğinde yönetimsel ve genel bir bakış açısı
kazandırılmaya çalışıldığı görülmektedir. İş akışını gösteren herhangi bir diyagram söz konusu
değildir. Bununla beraber, yönetimsel olarak istisnaide olsa geribildirimler yapılabileceğini
belirtilmektedir. Bu modelin özellikle delil üzerine yoğunlaştığı olay yeri ile ilgili Temel
Soruşturma Modelinin içerdiği detayları barındırmadığı görülmektedir.
Sistematik Adli Bilişim Soruşturma Modeli diğer soruşturma modellerinden farklı olarak iş
akış şeması olarak karşımıza çıkmaktadır. Esasen bu model dijital delilleri dolandırıcılık
yönüyle inceler ve klasik anlamda vuku bulan dolandırıcılık soruşturmalarına benzer şematik bir
önermede bulunur. Diğer modellerden ayrı olarak olay yeri müdahalelerinde dijital cihazların
iletişimlerinin hızlı bir şekilde kesilmesi gerektiğine vurgu yapar.
İleri Düzey Sanal Adli Bilişim Soruşturma Modeli diğer tüm soruşturma modellerinden
teknolojik açıdan oldukça farklıdır. Dağıtık bir yapı üzerinde sanal ağ üzerinden delillerin
incelenmesini öngörür. Bu sayede lisans ücretinin azalacağı, kaynakların etkin kullanımı ve
daha profesyonel bir adli bilişim inceleme ve soruşturma yöntemine kavuşulacağı tasarlanmıştır.
Bununla beraber, oluşturulan sanal ağın güvenilirliği, sanal ağda oluşturulan SAN (Storege Area
Network)’a erişimin hız ve güvenilirliği gibi konular endişe getirmektedir. Erişim hızının
yüksek olması adına Türk Telekom üzerinden Metroeternet ya da daha hızlı bir çözüm olması
 10

adına devre kiralanabilecektir. Ancak, alt yapı iletişim maliyetlerinin (abonelik ücreti, VPN,
teknik cihazlar vs.) proje getirilerine göre çok fazla olduğu, bir disk imajının ağa kopyalanması
ile yeni bir disk alınmasının neredeyse eşit olabileceği Türk Telekom tarafından ilan edilen
internet iletişim fiyatları ışığında tecrübe edilebilir.

4.1 Etkinlik ve Verimlilik Açısından Soruşturma Modelleri

Bir suçun meydana gelmesinin hemen ardından her polis suça ait iz ve delilleri güvenli bir
şekilde araştırma altına almakta ve güvenli halde muhafaza altına alınan farklı tür ve nitelikteki
deliller mahkemeye sunulmak üzere çeşitli süreçlerden geçirilerek (delil zinciri oluşturulması,
raporlama, sunum vb.) hazır hale getirilmek için çaba sarfedilmektedir (Saferstein, 2004). Adli
bilişim soruşturmaları bahse konu hususlar açısından en komplike teknikleri içermekte ve
yüksek maliyetler söz konusu olabilmektedir. Bahse konu maliyetlerin düşürülmesi verimlilik
açısından önemlidir.
Verimlilik toplum ve organizasyonlar açısından önemli olduğu gibi, ceza adaleti açısından
da önemlidir. Özellikle suç sayısı, korkusu ve adaletsizliğin olduğunun düşünüldüğü bölgelerde
ve mali kaynakların kamusal açıdan yetersiz olduğu ortamlarda verimlilik daha da önemli hale
gelir (Mears, 2010). Uzmanlaşma ve branşlaşma sayesinde ölçek ekonomisi stratejisi
uygulanarak değişken maliyetlerin artan çıktılar sayesinde azaltılması sağlanır. Bu sayede ölçek
ekonomisi sağlanmış (Munger, 2000) ve verimliliğe katkıda bulunulmuş olur. Adli bilişim
maliyetlerinin artan dijital deliller sebebiyle oldukça yükseleceği ve artan soruşturmalarında
daha fazla artan iş rezervine (backlog) sebebiyet vereceği muhakkaktır. Adli bilişim soruşturma
modellerinin en önemli faydaları soruşturmaları safhalara ayırmak suretiyle uzmanlaşmaya izin
vermesi ve prensipte ölçek ekonomisinin soruşturma şablonları aracılığı ile uygulanmasıdır. Bu
sayede, değişken maliyet olarak gözlemlenen adli bilişim soruşturma evreleri kolaylaştırılabilir
ve kısaltılabilir. Dolaysıyla, yazılım ve benzeri maliyet giderleri daha fazla adli bilişim
incelemesi yapılması sayesinde orantısal olarak azalacaktır.
Kamu yönetimi açısından yalnızca market yetersizliklerini değil kamu kurumlarının
yetersiz kalabileceği durumları da göz önüne almak durumundayız (Weimer ve Vining, 2005).
Burada adli bilişim açısından devletten kasıt olarak kamuya ait adli ve idari birimler
değerlendirilebilir. Örnek olarak adli bilişim ile ilgili yeteri kadar soruşturma cihazı ve
teknolojisi bulunmakla beraber, mevcut gelişmeleri soruşturma yöntem ve şablonları açısından
zamanında takip edemeyen bürokrasi, soruşturma kriterleri açısından verimsizliğe meydan
verebilecektir.
Adli bilişim incelemelerinde çoğunlukla offline olarak inceleme yapıldığından etkinlik
verimlilikten daha ön plandadır. Daha önemli olan, delillerin zamanında incelenmesinden çok
doğru, hatasız ve şüpheye yer vermeyecek şekilde ispatlanmasıdır. Zira hatalı bir analiz neticesi
telafisi güç sorunlara yol açabilecektir. Adli bilişim açısından Tip 1 hata yapmaktansa (hatalı
olarak suça ilişkin delil olduğunun iddia edilmesi) adli bilişim inceleme zamanın uzatılması ya
da en kötü ihtimalle Tip 2 hataya (Hatalı olarak suçlayıcı delil olmadığına karar verilmesi)
düşülmesi istemeyerekte olsa katlanılabilir bir durumdur (Abraham ve de Vel, 2002).

Sonuç
Bu çalışmada bahis olan dört model: temel soruşturma modeli, detaylı soruşturma modeli,
sistematik adli bilişim soruşturma modeli ve ileri düzey sanal adli bilişim soruşturma modelidir.
Bahse konu soruşturma modelleri karşılaştırıldığında Temel Soruşturma Modelinin 2001 yılında
oluşturulmuş olmasına rağmen en kapsamlı süreçleri içerdiği görülmekte ve adli bilişim için iyi
bir modelleme olduğu görülmektedir. Bu modeller tartışılarak adli bilişim uygulama ve
yönetimleri açısından alternatif soruşturma modelleri ve uygulama yöntemleri analiz edilmiştir.
Bu sayede ülkemizde organizasyon anlamında ve pratik açıdan dağıtık(merkezi olmayan) bir
şekilde şekillenen adli bilişim soruşturma yöntemleri ve uygulamalarının standartlaştırılması ve
benzerlikler sağlanması arzu edilmiştir.
Kamu yönetiminde esas unsurlar olan etkinlik, verimlilik, doğruluk ve hesap verebilirlik
(effectiveness, efficiency, integrity, accountability) olmalıdır. Esasen bu dört husus kamu
 11

yönetiminin temel felsefesinin parçalılarıdırlar. Bu çalışmada etkinlik ve verimlilik tartışılmış,

adli bilişim soruşturmaları açısından değerlendirmeler yapılmıştır. Tüm bunlarla beraber mevcut
soruşturma modelleri gelecekte meydana gelebilecek dijital deliller ve soruşturma yöntemleri
açısından da değerlendirilmelidirler.
Bilişim suçları ve dijital delillerin transformasyonu açısından değerlendirme yapılırsa;
yakın zamandaki mantıksal analiz sistemlerinin performanslarının oldukça artacağı, dijital delil
soruşturmalarının daha da sofistike hale geleceği, soruşturma araçlarının daha fazla
fonksiyonlara sahip olacağı öngörülmektedir (Kanellis vd., 2006). Günümüzde Bulut Bilişim†’in
adli bilişim soruşturmalarını güçleştirdiği, Tor ağı gibi Onion (soğan) yapısına sahip proksiler
üzerinden TCP(İletim Denetim Protokolü) bağlantı bilgilerinin anonymous (belirlenemez) hale
geldiği, canlı analizlerin oldukça güç olduğu, delil takibinin Tor benzeri kriptolu veri akışından
dolayı oldukça güçleştiği varsayılırsa (Mcclure, Scambray, ve Kurtz, 2009:2) adli bilişim
soruşturmalarının daha düzenli, daha sistematik ve kompleksiteye cevap verecek şekilde
güncellenmesi gerektiği, mühendislik tabanlı yaklaşımların adli bilişim soruşturma modellerine
daha iyi entegre olması gerektiği, soruşturma altyapısının günümüz teknolojilerine uygun
tasarlanmasının önemi ve gelecekte çok daha karmaşık problemlerle karşılaşılabileceği göz ardı
edilmemesi gereken bir gerçektir. Doğası gereği dağıtık (merkezi olmayan) bir şekilde organize
olan adli bilişim laboratuarları ve soruşturmalarının standartlaştırılması ve benzerlikler
sağlanması etkinlik ve verimlilik perspektifinde değerlendirilmesi faydalı olacaktır. Netice
olarak gerek günümüz pratikleri ve gerekse gelecek açısından soruşturma modelleri güncel bir
şekilde ülkemizde de takip edilmelidir.

Kaynakça
Abraham, Tamas, ve de Vel, Olivier, (2002), “Investigative Profiling With Computer Forensic
Log Data And Association Rules. In Data Mining”, 2002. ICDM 2003. Proceedings. 2002
IEEE International Conference on (pp. 11-18). IEEE.
Armbrust, Michael; Fox, Armando; Griffith, Rean; Joseph, Anthony D., Katz ve Zaharia,
Matei, (2010). A view of cloud computing. Communications of the ACM,53(4), 50-58.
Agarwal, M. Ankit; Gupta, M. Megha ve Gupta, M. Saurabh. (2011). “Systematic Digital
Forensic Investigation Model”. International Journal of Computer Science and Security
(IJCSS), 5(1), 118.
Baryamureeba, Venansius ve Tushabe, Florence. (2004, May). The Enhanced Digital
Investigation Process Model. In Proceedings of the 4th Annual Digital Forensic Research
Workshop, Baltimore, MD.
Beebe, Nicole Lang ve Clark, J. Guynes, (2005). “A Hierarchical, Objectives-Based Framework
for the Digital Investigations Process”, Digital Investigation, 2(2), 147-167.
Bradford, Philip. G. ve Ray, A. Danial, (2007). Developing a Proactive Digital Forensics
System. University of Alabama.
Brenner, W. Suzan, (2004), “Cybercrime Metrics: Old Wine, NewBottles?”, Virginia Journal of
Law ve Technology. 9 Va.J.L. ve Tech. 13-111.
Ciardhuáin, Séamus, Ó. (2004), “An Extended Model of Cybercrime Investigations”,
International Journal of Digital Evidence, 3(1), 1-22.
Carrier, Brian ve Spafford, H. Eugene, (2004), “Getting Physical with the Digital Investigation
Process”. International Journal of Digital Evidence, 2(2), 1-20.

†
Bulut Bilişim: Uygulamaların, sistem yazılımlarının ve donanımların internette servis olarak sunulması
ve bu amaçla veri merkezlerince servis sağlanmasıdır. Kaynak: Above the Clouds: A Berkeley View of
Cloud Computing, 2009
 12

Casey, Eoghan, (2004), “Network Traffic as a Source of Evidence: Tool Strengths, Weaknesses,
and Future Needs”, Digital Investigation, 1(1), 28-43.
CERT(2014), “Computer Forensics” http://www.us-
cert.gov/sites/default/files/publications/forensics.pdf, (erişim tarihi, 01.01.2014)
Craiger, Philip; Burke, Paul; Marberry, Christopher ve Pollitt, Mark, (2008), A virtual digital
forensics laboratory. Advances in Digital Forensics IV, 357-365.

Craiger, Philip, (2009), Virtual digital evidence laboratory, Retrieved from http://ncfs.ucf.edu
Gordon, G. R., Hosmer, C. D., Siedsma, C. ve Rebovich, D. (2002). Assessing Technology,
Methods, and Information for Committing and Combating Cyber Crime. Retrieved from
National Criminal Justice Website: ww.ncjrs.gov/pdffiles1/nij/grants/198421.pdf
Gül, S. Kenan, (2008). Kamu Yönetiminde ve Güvenlik Hizmetlerinde Hesap Verebilirlik. Polis
Bilimleri Dergisi, 10(4), 71-94.
Hekim, Hakan ve Başıbüyük, Oğuzhan, (2013), “Siber Suçlar ve Türkiye’nin Siber Güvenlik
Politikaları”. C. 4(2),ss.135-157
Hekim, Hakan ve Başıbüyük, Oğuzhan, (2014, Şubat), “Siber Tehditler ve Siber Güvenlik
Politikaları”.
İngiltere Polis Yöneticileri Birliği (2007). Good practice guide for computer-
based electronic evidence (Ver 4). Elektronik Kitap:England, Wales, and N. Ireland.
Kanellis, Panagiotis; Evangelos, Kiountouzis; Nikolas Kolokotronics ve Drakoulis Martakos
(2006), Digital Crime and Forensic Science in Cyberspace, Hershey, PA: Idea Group Pub.
Karagülmez, Ali, (2011), Bilişim suçları ve soruşturma-kovuşturma evreleri, Ankara:Seçkin
Yayınevi.
Li, Chang-Tsun, (2010), Handbook of Research on Computational Forensics, Digital Crime,
and Investigation : Methods and Solutions. Hershey, PA:Information Science.
McClure, Stuart; Scambray, Joel, ve Kurtz, George (2009), Hacking exposed: network security
secrets ve solutions (p. 340). New York: McGraw-Hill/Osborne.
Mears, Daniel, P. (2010), American criminal justice policy: An evaluation approach
toincreasing accountability and effectiveness. New York:Cambridge University Press.
Munger, Micheal. C. (2000), Analyzing policy: Choices, conflicts, and practices. New
York:WW Norton.
National Institute of Justice [Internet]. NW, Washington, DC: ABD Adalet Bakanlığı; Digital
evidence and forensics; 5 Nov 2010 [Cited 2012 Jan 05]; [about 1 screen]. Available from:
http://nij.gov/topics/forensics/evidence/digital/welcome.htm
Palmer, Gary, (2001), A road Map for Digital Forensic Research. In First DigitalForensic
Research Workshop, Utica, New York (pp. 27-30).
Pollitt, Mark. M. (2007, April), An Ad Hoc Review of Digital Forensic Models. In
SystematicApproaches to Digital Forensic Engineering, 2007. SADFE 2007. Second
International Workshop on (pp. 43-54). IEEE.
Pollitt, Mark. M. (2004). Six blind men from Indostan. In Proceedings of the Fourth Digital
Forensics Research Workshop.
Prosise, Chris; Mandia, Kevin ve Pepe, Matt, (2003), Incident response ve computer forensics
(p. 11). California: McGraw-Hill/Osborne.
Romzek, B. S. (2000). Dynamics of public sector accountability in an era of
reform. International Review of Administrative Sciences, 66(1), 21-44.
Margaret, Rouse, (2009), “Internet2”, http://whatis.techtarget.com/definition/Internet2 (erişim
tarihi:28.10.2013).
 13

Mukasey, Michael B; Sedgwick, Jeffrey, ve Hagy, David, W., (2001), “Electronic Crime Scene
Investigation: A Guide for First Responders, Second Edition”,
https://www.ncjrs.gov/pdffiles1/nij/219941.pdf, (erişim tarihi: 12.01.2012).
Reith, Mark; Carr, Carr ve Gunsch, Gregg. (2002), An Examination of Digital Forensic
Models.International Journal of Digital Evidence, 1(3), 1-12.
Saferstein, Richard, (2006), Criminalistics: An introduction to Forensic Science. NJ: Prentice
Hall.
Shankland, Stephen, (2011), “Turkey arrests 32 after Anonymous: Web attacks”,
http://news.cnet.com/8301-30685_3-20070818-264/ (erişim tarihi:14.08.2011)
Wegman, Jerry, (2005), Computer Forensics: Admissibility of Evidence in Criminal Cases.
Journal of Legal, Ethical and Regulatory Issues, 8(1), 1.
Weimer, David, L. ve Vining, Aidan. R, (2005), Policy Analysis: Concepts and practice. Upper
Saddle River, New Jersey: Prentice Hall.
Whitcomb, Carry. (2002). “An Historical Perspective of Digital Evidence: A Forensic
Scientist’s View”, International Journal of Digital Evidence, 1(1), 5-9.

Volonino, Linda; Anzaldua, Reynaldo. ve Godwin, Jana, (2007), Computer forensics:

principles and practices. Pearson/Prentice Hall.
Yesilyurt, Hamdi, (2011), The Response of American Police Agencies to Digital Evidence
(Dissertation), Orlando, Fla: University of Central Florida.
U.S. CERT (2008). Adli Bilişim. http://www.us-cert.gov/reading_room/forensics.pdf