eCDFP (Introduction to Digital Forensics ) - Part-5

 Physical Cass လို လူတစ်ယောက်ရတဲ့ ဒဏ်ရာကိုကြည့်ပြီး သူ့ကို ဒဏ်ရာရအောင် ဘယ်လက် or ညာလက်နဲ့ လုပ်တာလားဆိုတာခွဲခြားသလို Digital Forensics မှာလဲ အတူတူပါပဲ Evidence Device ကိုကြည့်ပြီး ပထမဆုံး ရနိုင်မဲ့ Data တွေကို Collect လုပ်ယူပါတယ်။ ရလာတဲ့ data အပေါ်မူတည်ပြီး Hypothesis တည်ဆောက်ပြီး Case နဲ့ သက်ဆိုင်တာကို ရှာဖွေပါတယ်။ 

Analysis မှာ Deleted File ၊ File ကို Modified Access Creat လုပ်တဲ့ အချိန်တွေရရှိနိုင်ပါတယ်။ ဒါ့အပြင် ကိုယ်ရထားတဲ့ Evidence က အခြား Evidence Source နဲ့ ဆက်နွယ်မှုရှိနေတာ‌တွေလဲ တွေ့ရပါတယ်။  ဆိုလိုချင်တာက ဥပမာ Evidence Image တစ်ခုက အခြားတစ်ယောက်ဆို ပို့ပြီး တစ်နည်းနည်းနဲ့ ပတ်သတ်မှုရှိနေတာမျိုး။ 

Analysis ပြုလုပ်တဲ့နေရာမှာ အခြားနိုင်ငံတွေကတော့ 

Forensics Work Station, Evidence Storage အတွက် NAS လိုဟာတွေနဲ့ အခြားအထောက်အကူပြု Accessories တွေအသုံးပြုကြပါတယ်။ 

Analysis လုပ်တဲ့ အဆင့်တွေမှာ များသောအားဖြင့် တူညီ‌တာတွေကို ဖော်ပြထားပါတယ်။ ဒါပေမဲ့ ကိုယ် Analyais လုပ်တဲ့ Case အပေါ်မူတည်ပြီး မတူညီနိုင်တာတွေလဲ ရှိပါတယ်။

Creating Forensics  Image

ပထမဆုံး Evidence လုပ်မဲ့ Storage ကို Duplicate အနေနဲ့ Forensics Image ပြုလုပ်ခြင်းဖြစ်ပါတယ်။

Forensics Image က မူရင်း Storage ကို Bit by Bit Copy ကူးယူတာဖြစ်ပါတယ်။ Bit By Bit Copy ကူးယူတဲ့အတွက် Forensics Image မှာ မူရင်း Storage လို data တွေသာမက Unlocated Space , Free Sectors, deleted file စတာတွေအကုန်ပါ၀င်ပါတယ်။ Forensics Image ကနေ Recovery လုပ်လို့ရပါတယ်။ မူရင်း Storage Media ကို Analysis လုပ်နေရင်း ပျက်စီးမှာ ဒါမှမဟုတ် အမှားအယွင်း တစ်ခုခုရှိခဲ့ရင် မူရင်း Storage ကိုသွားပြီးမထိခိုက်အောင် Forensics Image ပြုလုပ်တာဖြစ်ပါတယ်။ 

Write Blocker 

Forensics Image မလုပ်ခင် မူရင်း Storage နဲ့ Work Station ကြားမှာ Write Blocker ခံပါတယ်။ လုပ်နေရင်းနဲ့ မူရင်း Storage ပေါ်မှာ data တစ်ခုခု၀င်ရောက်မသွားနိုင်အောင်ဖြစ်ပါတယ်။ Write Blocker တွေက ဈေးကြီးရင်လဲ Write Blocker Software or Work Station ရဲ့ Registry မှာ ခန သွားပြင်လို့ရပါတယ်။ 

Digital Devices တွေထဲမှာ အမြဲတမ်း Evidence ရှာတွေ့ရမယ်ဆိုတာက မဖြစ်နိုင်ပါ။ Evidence Source ကလဲ နည်းနေတယ်ဆိုရင် Investigator ရဲ့ Hypothesis အပေါ်မူတည်ပြီး လုပ်ဆောင်ရမှာ ဖြစ်ပါတယ်။ 

Course မှာ‌ ဖော်ပြထားတဲ့ ဥပမာ အရ 

အဆောက်အဦး တစ်ခုက ‌မုန်တိုင်းတိုက်တုန်းက ရေမြုပ်ဖူးပေမဲ့ ရောင်းတဲ့ Company က ရေမမြှပ်ဖူးပါဘူးဆိုပြီး လိမ်ရောင်းလိုက်ပါတယ်။ Case ဖြစ်တဲ့ အချိန် Company က Computer တွေကို၀င်ရောက်စစ်ဆေးတော့ အဆောက်အဦးနဲ့ ပတ်သတ်သမျှ File, Email , တစ်ခုမှ မရှိပါ။ Court က Company ကို Evidence ဖျက်စီးမှုပါ ထပ်တိုး သတ်မှတ်လိုက်ပါတယ်။ 

Image Verifying 

Forensics Image ပြုလုပ်ပြီးတဲ့ အချိန်မှာ Original Storage နဲ့ Forensics Image ကို Hash Verify လုပ်ပါတယ်။ Original and Forensics Image က Hash Value တူ‌နေရမှာဖြစ်ပါတယ်။ Original and Forensics Image မှာ data တွေ ဖျက်ဆီးထပ်တိုးတာရှိ မရှိ သက်သေပြနိုင်အောင်ဖြစ်ပါတယ်။ Analysis လုပ်နေတုန်း အမှားရှိခဲ့ရင် ပြင်လို့ရအောင် Image ကို ၂ ခုယူထားသင့်ပါတယ်။ Commercial Imaging Tool တွေမှာ တစ်ခါတည်း image 2 ခု ထုတ်လို့ရနေပါပြီး။ 

Evidence Preservation 

Forensics Image and Hash Verify ပြီးသွားတဲ့နောက်မှာ မူရင်းကို လုံခြုံစိတ်ချစွာ သိမ်းဖို့ဖြစ်ပါတယ်။ 

Analysis Time ကို လျှော့ချဖို့အတွက် မဆိုင်တဲ့ data တွေကို လျှော့ချဖို့လိုအပ်ပါတယ်။ ဥပမာ Documents ပဲရှာဖို့လိုအပ်ရင် မဆိုင်တဲ့ OS Artifacts တွေကို ဖယ်ထုတ်တာမျိုးပါ။ January to March အထိ Data ကိုပဲလိုအပ်ရင် ကျန်တဲ့ အချိန်တွေကို ဖယ်ထုတ်တယမျိူးပါ။ Analysis ပြုလုပ်တဲ့အခါ Case အပေါ်မူတည်ပြီး Tools အမျိုးမျိုး နည်းလမ်းအမျိုးမျိုး လိုအပ်ပါမယ်။

Analysis Validation 

Analysis ပြုလုပ်တဲ့အခါ ရရှိတဲ့  Evidence မှန်ကန်ဖို့ အရေးကြီးပါတယ်။ ရှာမတွေ့လို့ Evidence ရအောင် အခြားပုံစံတူထည့်တာမျိုး မပြုလုပ်ရပါ။ file ရဲ့ meta data ဖြစ်တဲ့ MAC ကိုစစ်ဆေးတဲ့ အခါမျိုးမှာ Suspect က System date ပြောင်းလဲထားမထားကိုပါ ဂရုပြုသင့်ပါသည်။ Analysis Results ဟာ Repetable and reproducible ဖြစ်အောင် ဘယ်အချိန်ချိန် ပြန်စစ်စစ် ဒီအဖြေပဲ ထွက်နေရမှာဖြစ်ပါတယ်။ Analysis Results က အခြား DF Lab အခြား DF Tools နဲ့ စစ်ဆေးရင်လဲ အဖြေက ထပ်တူကျနေရမှာ ဖြစ်ပါတယ်။ Case တွေက ပုံစံမတူတဲ့အတွက် မူတူညီတဲ့ Technology , DF Tools , တွေကိုအသုံးပြုရမှာ ဖြစ်ပါတယ်။

Internal Investigation 

ကိုယ့် Organization အတွင်းမှာ Insider Threats, Incident, Employee Policy Violation ကြောင့်စစ်ဆေးရတာဖြစ်ပါတယ်။ စစ်ဆေးမှု ပြုလုပ်နေစဉ်အတွင်း Investigator က Organization မှာ ချမှတ်ထားတဲ့ guide line, Policies တွေကို အဆင့်တိုင်းမှာ လိုက်နာရမှာ ဖြစ်ပါတယ်။ စုံစမ်းမှုပြုလုပ်နေစဉ်မှာ terrorism လိုမျိုးကိုယ်တိုင်မရှင်းလင်းနိုင်တဲ့ ပြသာနာမျိုး တွေ့ခဲ့ရမယ်ဆိုရင် သက်ဆိုင်ရာကိုအကြောင်းကြားရမှာ ဖြစ်ပါတယ်။ 

Civil Investigation 

Organization နဲ့ သက်ဆိုင်တဲ့ Inter , External လုံခြုံရေး၊ Copy Right နဲ့ Network တွေကို စစ်ဆေးရခြင်းဖြစ်ပါတယ်။ စစ်ဆေးသူက နည်းပညာအပြင် ဥပေဒေနဲ့ ပတ်သတ်တာတွေကိုပါ သိသင့်ပါတယ်။ Civil Investigation က Organization အရွယ်အစားကြီးမားရင် လုပ်ဆောင်ဖို့ခက်ခဲပါတယ်။ ဥပမာ User တစ်ယောက်က Systm တစ်ခုကို ဘယ်အချိန်မှာ ၀င်ရောက်တယ်ဆိုတာမျိုးကို Prove လုပ်ဖို့အတွက်။ စစ်ဆေးရမဲ့ အကြောင်းအရာတွေများပြားရှုပ်ထွေးသလို ဈေးလဲကြီးပါတယ်။ 

Crims Reconstruction 

Forensics Science မှာ Case တစ်မှာရှိတဲ့ Physical Evidence, Scientific Methods,  ဖြစ်ပျက်မှု ၊ ဆက်နွယ်မှုရှိသမျှတွေကို သိုင်းဝိုင်းပြီး ခြုံငုံသုံးသပ် စဉ်းစားရပါတယ်။

Crims Reconstruction မှာ Evidence တစ်ခုစီ တစ်ခုစီကို စုစည်းပြီး Case တစ်ခုလုံးကို ရုပ်လုံပေါ်အောင် တည်ဆောက်ရပါတယ်။ 

ရုပ်လုံပေါ်အောင်ပြုလုပ်တဲ့နေရာမှာ ပါ၀င်တာတွေကတော့ location, Evidence Device , how, when, why, where , How , Relationship , တို့ဖြစ်ပါတယ်။ 

Evidence တစ်ခုနဲ့ တစ်ခုအကြား ဒါမှမဟုတ် Evidence device နဲ့ System or နေရာ အကြားဆက်စပ်မှုကိုစစ်ဆေးတာကို Relational Analysis လို့ခေါ်ပါတယ်။

 Example - Case ဖြစ်တဲ့ အချိန် ဖုန်းပါသွားသလား။ 

ဒါမှ မဟုတ် ဖုန်းနဲ့ ကွန်ပျူတာနဲ့ ချိတ်ဆက်ဖူးခဲ့ရင်။ Evidence တစ်ခုနဲ့ တစ်ခု ဆက်စပ်မှုခဲ့ရင်တော့ ၊Functional Analysis လို့ခေါ်ပါတယ်။ 

Example - ဖုန်းနဲ့ ကွန်ပျူတာချိတ်ဆက်ပြီး Data အသွင်းအထုတ်လုပ်ခဲ့ရင်။ 

Relational, Functional ရရင် Time line ရပြီးဖြစ်တဲ့အတွက် Temporal Analysis ပြုလုပ်လို့ရပြီးဖြစ်ပါတယ်။ 

Example. -  

Q - ကွန်ပျူတာကနေ USB တစ်ခုကိုသုံးပြီး Documents File တစ်ခုကူးယူဖူးသလား ? 

- PC and USB အကြား ဆက်စပ်မှုရှိမရှိစစ်မယ်

 ချိတ်ဆက်ဖူးတယ်။ ဒါဆို Relational ရှိပြီး။

- PC ကို USB ထိုးတဲ့ အချိန်တွေ၊ အကြိမ်အရေအတွက်တွေရပြီး ဒါဆိုရင် Functional Analysis

- ချိတ်ဆက်ဖူးတဲ့ အချိန်တွေ ချိတ်ဆက်တဲ့ အကြိမ်အရေအတွက်ကနေ Timeline ရလာပြီမို့ ကူးယူခြင်းရှိမရှိ စတင်စစ်ဆေးဖို့ Temporary Analyais ။ အဲဒီကနေစပြီး ကူးယူခြင်းရှိမရှိ ဒီ USB နဲ့ မကူးရင် အခြားဘာနဲ့ ကူးနိုင်မလဲ ဘယ်လိုနည်းလမ်းတွေနဲ့ကူးလို့ ပို့လို့ရမလဲ စသည်ဖြင့်။ Data leak ဖြစ်တာကို စသိတဲ့အချိန်က ဘယ်အချိန်လဲ စတာတွေနဲ့ ဆက်ပြီး Analysis လုပ်ရမှာ ဖြစ်ပါတယ်။

Same Origin Compression ကတော့ Hypothesis ကို approve , disaprove လုပ်ဖို့အတွက်အသုံးပြူတာဖြစ်ပါတယ်။ image တစ်ခု ဒါမှမဟုတ် Documents တစ်ခုက တူညီတဲ့ Digital Source ကနေ လာတာလား မလားဘူးလားဆိုတာအတွက် ဖြစ်ပါတယ်။

Case တိုင်းကို ဖြေရှင်းနိုင်ဖို့အတွက် အောက်ဖော်ပြပါ အချက်တွေကို ဆောင်ရွက်သင့်ပါတယ်။

- စစ်ဆေးရတဲ့ Case ပုံစံကို နားလည်ရပါမယ်။ 

- Scientific Methods အတိုင်းလုပ်ဆောင်ပါ။

- ‌ဖြေရှင်းဖို့လိုအပ်တဲ့ အချက်အလက်တွေကို Check List အနေနဲ့ ရေးမှတ်ထားပါ။ 

- Forensics Image ရယူပါ။ Evidence ကို လုံခြုံစွာ ထိမ်းသိမ်းပါ။ 

Challenge Of Digital Forensics 

Legal Challenge 

ပထမဆုံး Challenge ကတော့ ကိုယ် Analyais လုပ်ပြီး ရရှိလာတဲ့ Results က Court အတွက် Admissibility ရှိနိုင်မရှိနိုင်။ ဒါက အချို့နိုင်ငံတွေမှာ ဖြစ်ခဲ့တာကိုရည်ညွန်းပြောချင်တာဖြစ်ပါတယ်။

Seizure လုပ်ဖို့ ထုတ်ပေးတဲ့ Warrant က ကွန်ပျူတာအတွက်ပဲ။ Seize လုပ်လာတာက PC+ USB ။ Evidence တွေ့တာက USB ထဲမှာ။ ဒါဆိုရင် Warrant မှာ USB မပါတဲ့အတွက် ရတဲ့ Evidence က အသုံးမ၀င် Court ကိုတင်လို့မရနိုင်ဖြစ်တတ်ပါတယ်။ နောက်တစ်ခုက Chain Of Custody (CoC) မှန်ကုန်ဖို့နဲ့ Sensitive Information တွေကြောင့် အပြည့်အစုံ Analysis လုပ်လို့မရ ပြလို့မရနိုင်တာ။ ရပ်တန့်လို့မရ  24 hours လည်ပတ်နေမှ အဆင်ပြေနိုင်မဲ့ လုပ်ငန်းနေရာတွေမှာ Down Time မလုပ်ပဲ ။ ဖြုတ်ယူခြင်းမလုပ်ပဲ Remote Acquisition ပြုလုပ်တာ။

Type Of Digital Evidence 

ရှေးကျနေတဲ့ Device တွေ ၊ Bigdata လိုမျိုးအတွက် သီးသန့် Technology and Technique တွေအသုံးပြုလာရတာ။နည်းပညာပြောင်းလဲမှုကြောင့် Tools and Technique တွေက case တစ်ခုမှာ သုံးလို့ရပေမဲ့ နောက် Case တစ်ခုမှာ သုံးလို့မရတော့တာ။ Seizure လုပ်တဲ့နေရာမှာ Digital Devices တစ်ခုသာပါ၀င်ပြီး အခြား Device တွေကို  Seizure မလုပ်ခဲ့တာ။ Seizureလုပ်တဲ့ နည်းလမ်းတွေမှားယွင်းလာတာ။

နည်းပညာမြင့်မားလာသလို လူတွေကလဲ သူတို့ရဲ့ data လုံခြုံရေးအတွက် Data Hiding , Encryption , Steganography နည်းလမ်းတွေအသုံချလာတာ။Decrypt လုပ်ရတာ ဇတ်ကားထဲမှာသာ  လွယ်ကူသယောင်ရှိပေမဲ့ ။ တစ်ခါတစ်ရံ အချိန်များစွာပေးရတာတွေရှိလာပါတယ်။

Size and Distribution

Storage Size တွေနဲ့ Data တွေသိမ်းဖို့  Cloud လို‌နေရာတွေများလာတဲ့အချိန်မှာ အချိန်တိုင်း Forensics Image မရယူနိုင်တော့ပါဘူး။ ဒါကြောင့် Case နဲ့ ပတ်သတ်နိုင်တဲ့အစိတ်အပိုင်း‌လောက်ကိုသာရယူနိုင်ပါတယ်။ Raid Storage လိုမျိုးဆိုရင် Raid အပေါ်မူတည်ပြီး Hard Disk တိုင်းမှာ data ရှိတဲ့အတွက် Raid Array ကို Rebuilt ပြန်လုပ်ဖို့လိုအပ်လာပါတယ်။Bigdata လိုမျိုးဆိုရင် မတူညီတဲ့ Acquisition နည်းလမ်း။ Analysis နည်းလမ်းတွေ လိုအပ်လာပါတယ်။ 

Alteration - intention or not 

ယခုခေတ်လူတွေက နည်းပညာနဲ့ အကျွမ်းတ၀င်ဖြစ်လာတာကြောင့် အင်တာနက်မှာ Digital Forensics Tools, Technique တွေ အကြောင်းကို ရှာဖွေပြီး ၊Data တွေကို Hidding, Wipping , Decrypt , Destroy လုပ်လာတာတွေ။ ခြေရာဖျောက်တာတွေလုပ်ဆောင်လာကြပါတယ်။ သေးငယ်ပြီး storage ပမာဏ များများသုံးနိုင်တဲ့ device တွေပေါ်လာတာကြောင့် အလွယ်တကူဖွက်ထား သိမ်းထားလို့ရနိုင်လာပါတယ်။ Suspect ကမရည်ရွယ်ပဲ ဒါမှမဟုတ်ရည်ရွယ်ချက်ရှိရှိ Evidence ကိုဖျက်ဆီးတာတွေရှိလာပါတယ်။ Investigatior ရဲ့ Producer အမှား, Analysis လုပ်နေရင်း Hardware , Software Error တွေကြောင့်လဲ ဖြစ်နိုင်ပါတယ်။ဒါတွေအပြင် botnet, Malwares, Steganography, Encryption စတဲ့ Challenge တွေလဲရှိပါတယ်။