Digital Forensics လုပ်ငန်းဆိုတာဘာလဲ Digital Evidence မှာဘယ်အချက်တွေနဲ့ ပြည့်စုံရမလဲ စစ်ဆေးသူတွေ ဘယ်လိုစစ်ဆေးကြလဲ
Digital Forensics ဆုိသည္မွာ Electronic Device Electronic Media ေတြကေနေပးပုို႔တဲ့အခ်က္အလက္ေတြ နဲ႔ Electronic Device Electronic Media ေတြထဲမွာ သိမ္းဆည္းထားတဲ့ အခ်က္အလက္ေတြကုိ ျပန္လွန္႐ွာေဖြျခင္း စစ္ေဆးျခင္းျဖစ္ပါတယ္
Digital Evidence ဆုိတာကေတာ့ အထက္ပါ Electronic Device Electronic Media ေတြကုိ စစ္ေဆးရာမွာ ရ႐ွိလာတဲ့ သက္ေသခံအခ်က္အလက္ေတြဟာ အမ်ားယုံၾကည္လက္ခံႏုိင္တဲ့အေနအထား႐ွိျခင္း- မွန္ကန္မႈ႐ွိျခင္းတုိ႔နဲ႔ျပည့္စုံၿပီး ရလာတဲ့ သက္ေသခံခ်က္က ဥပေဒအရလဲ သက္ေသခံတင္သြင္းႏုိင္ရပါမယ္
ႏုိင္ငံေတြ မွာျပဌာန္းထားတဲ့ ဥပေဒအရ
အဖြဲ႔အစည္းေတြအရ ကြဲျပားျခားနားမႈ႐ွိေပမဲ့ Over All Process အရ တူညီတဲ့အခ်က္ေတြ လုပ္ေဆာင္ရမဲ့အခ်က္အလက္ေတြကေတာ့ တူညီပါတယ္
ပထမဆုံးအပုိင္းကေတာ့ First Responder Team ကေနအပ္ႏွံတဲ့ သက္ေသခံ Device နဲ႔ အခ်က္အလက္ေတြကုိ လက္ခံျခင္းအပုိင္း (အဖြဲ႔အစည္အလုိက္ပုံစံ
ေတြ ျဖည့္စြက္ရမဲ့ အခ်က္အလက္ေတြ ကြဲျပားပါတယ္)
လုပ္ငန္းခြဲေဝျခင္း
ေရာက္႐ွိလာတဲ့ အမႈအေနအထား Device အေနအထား အရ စစ္ေဆးမည့္သူေတြနဲ႔ ရ႐ွိလာတဲ့ သက္ေသခံခ်က္ကုိ တရားဥပေဒလမ္းေၾကာင္းအတုိင္း
Digital Forensics Team အေနအထားအရ ကုိယ္ကြၽမ္းက်င္ရာ တာဝန္ယူထားတဲ့ လုပ္ငန္းအရ လုပ္ငန္းခြဲေဝျခင္းျဖစ္ပါတယ္ တရား႐ုံးမွာ သက္ေသခံမဲ့ သူကုိလဲ ေရြးခ်ယ္ပါတယ္ စစ္ေဆးမဲ့သူနဲ႔ တရားရုံးမွာ သက္ေသခံေျဖ႐ွင္းမဲ့သူဟာ တစ္ဦးတည္းျဖစ္ႏုိင္သလုိ
ဥပေဒနားလည္တဲ့ အျခားသူတစ္ဦးလဲျဖစ္ႏုိင္ပါတယ္
မ်ားေသာအားျဖင့္ တစ္ေယာက္စီသတ္သတ္ျဖစ္တာမ်ားပါသည္. တရား႐ုံးမွာေျဖ႐ွင္းမဲ့သူကလဲ Digital Forensics နဲ႔ပတ္သတ္တဲ့ Process ေတြ Back Ground Knowledge ေတြ Certificate ေတြရထားတဲ့သူမ်ားပါတယ္
စစ္ဆင္းျခင္း အဆင့္ ၁
Write Protect (သက္ေသခံပစၥည္းအား အခ်က္အလက္ထံမံျဖည့္စြက္ျပင္ဆင္ထုတ္ပယ္လုိ႔မရေအာင္ျပဳလုပ္ျခင္း)First Responder Team က အေၾကာင္းတစ္စုံ
တစ္ရာေၾကာင့္ Write Protect လုပ္မထားတဲ့ Device
ေတြ Media ေတြကုိ Write Protect ျပဳလုပ္ပါတယ္
ေနာက္တစ္ဆင့္ကေတာ့စစ္ေဆးဖုိ႔ေရာက္႐ွိလာတဲ့ Electronic Device ေတြကုိCopy ယူစစ္ေဆးျခင္းပါဝင္ပါတယ္. Forensics Copy (Second Copy) လုိ႔လဲေခၚပါတယ္. မူရင္းသက္ေသခံပစၥည္းနဲ႔ စစ္ေဆးျခင္းမျပဳလုပ္ရပါဘူး. မူရင္းသက္ေသခံပစၥည္နဲ႔ စစ္ေဆးရင္ Digital Evidence ဖြင့္ဆုိခ်က္အရ မွန္ကန္မႈမ႐ွိႏုိင္ပါ
မူရင္း သက္ေသခံပစၥည္းနဲ႔စစ္ေဆးရင္စစ္ေဆးေနခ်ိန္အတြင္း မူရင္း Device ပ်က္စီးသြားႏုိင္တဲ့ အေျခအေနေၾကာင့္လဲပါပါတယ္. Forensics Copy Formant ကေတာ့ Copy ျပဳလုပ္တဲ့ Technically အရ စစ္ေဆးမဲ့
Technology အရ ကြဲျပားႏုိင္ပါတယ္
ေနာက္ထပ္လုပ္ေဆာင္ရမဲ့
အခ်က္အလက္ကေတာ့ Hashing အပုိင္းပါ မူရင္း
သက္ေသခံ Device နဲ႔ အထဲမွာပါဝင္တဲ့အခ်က္အလက္ေတြနဲ႔ Forensics Copy ျပဳလုပ္ထားတဲ့အထဲမွာပါဝင္တဲ့ အခ်က္အလက္ေတြဟာ တူညီေၾကာင္း ျဖည့္စြက္
ျပင္ဆင္ထုတ္ပယ္ထားျခင္းမ႐ွိေၾကာင္း ျပႏုိင္ဖုိ႔အတြက္ပါ. မူရင္း Device ရဲ႕ Hash Value တန္ဖုိးဟာ Forensics Copy ရဲ႕ Hash Value တန္ဖုိးနဲ႔တူညီရပါမည္
( Forensics Copy လုပ္ျခင္း Hash တန္ဖုိးရယူျခင္းတုိ႔အတြက္စစ္ေဆးသူအေနနဲ႔ အခ်ိန္မ်ားစြာေပးရပါသည္ ထုိအခ်က္ကုိ ဥပေဒ နည္းဥပေဒ ျပဌာန္းသူမ်ား ဂ႐ုျပဳေစခ်င္ပါသည္ လုံေလာက္ေသာ အခ်ိန္ လုံေလာက္
ေသာ စစ္ေဆးသူေတြ႐ွိမွသာ မွန္ကန္တဲ့ သက္ေသခံ
ခ်က္ေတြ ရ႐ွိလာမွာ ျဖစ္ပါတယ္)
စစ္ေဆးတဲ့အမႈ စစ္ေဆးသူစစ္ေဆးတဲ့နည္းလမ္းေန႔ရက္အခ်ိန္ေတြကေတာ့့ ႐ုံးပုိင္းဆုိင္ရာအရျပဳလုပ္ျခင္းျုဖစ္ပါတယ္
စစ္ေဆးျခင္း အဆင့္ ၂
အခုအခ်ိန္မွာ Forensics Copy ရ႐ွိထားၿပီးျဖစ္ပါသည္
Forensic Copy ကေန အမႈအေနအထား သက္ဆုိင္ရာအခ်က္အလက္ေတြကုိဆြဲထုတ္ၿပီး စစ္ေဆးျခင္းအပုိင္းျဖစ္ပါတယ္ ...သက္ေသခံရ႐ွိႏုိင္ဖုိ႔အတြက္
ဆက္စပ္တဲ့အရာမွန္သမ်ွကုိ စစ္ေဆးသူက ဆက္စပ္စဥ္းစားပါတယ္ ေပါင္းစပ္ပါတယ္
Detail ကေတာ့အရင္စာအုပ္ေတြမွာေရးထားပါတယ္.
စစ္ေဆးျခင္းအပုိင္း ၃
အေပၚမွာ အမႈအေနအထားအရ သက္ေသခံအခ်က္အလက္႐ွိဖုိ႔အတြက္ ဆက္စပ္စဥ္းစားထားတာေတြ ေပါင္းစပ္ၿပီး စစ္ေဆးတဲ့အပုိင္းျဖစ္ပါတယ္ .. အမႈအေနအထား ထြက္ဆုိခ်က္ ျငင္းခ်က္ေတြအရ ျပန္လည္စစ္ေဆးရတာလဲ႐ွိပါတယ္. စစ္ေဆးမႈၿပီးဆုံးသြားတဲ့အခါ
ေတြ႔႐ွိခ်က္ေတြကုိ မွတ္တမ္းတင္ပါတယ္
ဥပမာ ဘယ္ Device ရဲ့ ဘယ္ေနရာကေန ေတြ႔႐ွိတယ္ေတြ႔႐ွိမႈကဘာဆုိတာ
စစ္ေဆးျခင္းအပုိင္း ၄
စစ္ေဆးေတြ႔႐ွိခ်က္ကုိ အမႈအေနအထားအရ တရားဥပေဒလမ္းေၾကာင္းအတုိင္း တရား႐ုံးအတြက္ ထြက္ဆုိခ်က္ေပးဖုိ႔ ေရးသားတဲ့အပုိင္းျဖစ္ပါတယ္
မ်ားေသာအားျဖင့္ တရား႐ုံးမွာ ထြကိဆုိခ်က္ေပးမည့္သူကေရးသားတာျဖစ္ပါတယ္ ... Expert Withnes အပုိင္းလုိ႔လဲ
ေခၚပါတယ္
က်န္တဲ့အပုိင္းေတြကေတာ့ မူရင္း Device Forensics Copy နဲ႔အတူတရား႐ုံးမွာေလ်ွာက္လဲျခင္းအပုိင္းျဖစ္ပါတယ္
===========
Digital Evidence ဆိုတာကတော့ အထက်ပါ Electronic Device Electronic Media တွေကို စစ်ဆေးရာမှာ ရရှိလာတဲ့ သက်သေခံအချက်အလက်တွေဟာ အများယုံကြည်လက်ခံနိုင်တဲ့အနေအထားရှိခြင်း- မှန်ကန်မှုရှိခြင်းတို့နဲ့ပြည့်စုံပြီး ရလာတဲ့ သက်သေခံချက်က ဥပဒေအရလဲ သက်သေခံတင်သွင်းနိုင်ရပါမယ်
နိုင်ငံတွေ မှာပြဌာန်းထားတဲ့ ဥပဒေအရ
အဖွဲ့အစည်းတွေအရ ကွဲပြားခြားနားမှုရှိပေမဲ့ Over All Process အရ တူညီတဲ့အချက်တွေ လုပ်ဆောင်ရမဲ့အချက်အလက်တွေကတော့ တူညီပါတယ်
ပထမဆုံးအပိုင်းကတော့ First Responder Team ကနေအပ်နှံတဲ့ သက်သေခံ Device နဲ့ အချက်အလက်တွေကို လက်ခံခြင်းအပိုင်း (အဖွဲ့အစည်အလိုက်ပုံစံ
တွေ ဖြည့်စွက်ရမဲ့ အချက်အလက်တွေ ကွဲပြားပါတယ်)
လုပ်ငန်းခွဲဝေခြင်း
ရောက်ရှိလာတဲ့ အမှုအနေအထား Device အနေအထား အရ စစ်ဆေးမည့်သူတွေနဲ့ ရရှိလာတဲ့ သက်သေခံချက်ကို တရားဥပဒေလမ်းကြောင်းအတိုင်း
Digital Forensics Team အနေအထားအရ ကိုယ်ကျွမ်းကျင်ရာ တာဝန်ယူထားတဲ့ လုပ်ငန်းအရ လုပ်ငန်းခွဲဝေခြင်းဖြစ်ပါတယ် တရားရုံးမှာ သက်သေခံမဲ့ သူကိုလဲ ရွေးချယ်ပါတယ် စစ်ဆေးမဲ့သူနဲ့ တရားရုံးမှာ သက်သေခံဖြေရှင်းမဲ့သူဟာ တစ်ဦးတည်းဖြစ်နိုင်သလို
ဥပဒေနားလည်တဲ့ အခြားသူတစ်ဦးလဲဖြစ်နိုင်ပါတယ်
များသောအားဖြင့် တစ်ယောက်စီသတ်သတ်ဖြစ်တာများပါသည်. တရားရုံးမှာဖြေရှင်းမဲ့သူကလဲ Digital Forensics နဲ့ပတ်သတ်တဲ့ Process တွေ Back Ground Knowledge တွေ Certificate တွေရထားတဲ့သူများပါတယ်
စစ်ဆင်းခြင်း အဆင့် ၁
Write Protect (သက်သေခံပစ္စည်းအား အချက်အလက်ထံမံဖြည့်စွက်ပြင်ဆင်ထုတ်ပယ်လို့မရအောင်ပြုလုပ်ခြင်း)First Responder Team က အကြောင်းတစ်စုံ
တစ်ရာကြောင့် Write Protect လုပ်မထားတဲ့ Device
တွေ Media တွေကို Write Protect ပြုလုပ်ပါတယ်
နောက်တစ်ဆင့်ကတော့စစ်ဆေးဖို့ရောက်ရှိလာတဲ့ Electronic Device တွေကိုCopy ယူစစ်ဆေးခြင်းပါဝင်ပါတယ်. Forensics Copy (Second Copy) လို့လဲခေါ်ပါတယ်. မူရင်းသက်သေခံပစ္စည်းနဲ့ စစ်ဆေးခြင်းမပြုလုပ်ရပါဘူး. မူရင်းသက်သေခံပစ္စည်နဲ့ စစ်ဆေးရင် Digital Evidence ဖွင့်ဆိုချက်အရ မှန်ကန်မှုမရှိနိုင်ပါ
မူရင်း သက်သေခံပစ္စည်းနဲ့စစ်ဆေးရင်စစ်ဆေးနေချိန်အတွင်း မူရင်း Device ပျက်စီးသွားနိုင်တဲ့ အခြေအနေကြောင့်လဲပါပါတယ်. Forensics Copy Formant ကတော့ Copy ပြုလုပ်တဲ့ Technically အရ စစ်ဆေးမဲ့
Technology အရ ကွဲပြားနိုင်ပါတယ်
နောက်ထပ်လုပ်ဆောင်ရမဲ့
အချက်အလက်ကတော့ Hashing အပိုင်းပါ မူရင်း
သက်သေခံ Device နဲ့ အထဲမှာပါဝင်တဲ့အချက်အလက်တွေနဲ့ Forensics Copy ပြုလုပ်ထားတဲ့အထဲမှာပါဝင်တဲ့ အချက်အလက်တွေဟာ တူညီကြောင်း ဖြည့်စွက်
ပြင်ဆင်ထုတ်ပယ်ထားခြင်းမရှိကြောင်း ပြနိုင်ဖို့အတွက်ပါ. မူရင်း Device ရဲ့ Hash Value တန်ဖိုးဟာ Forensics Copy ရဲ့ Hash Value တန်ဖိုးနဲ့တူညီရပါမည်
( Forensics Copy လုပ်ခြင်း Hash တန်ဖိုးရယူခြင်းတို့အတွက်စစ်ဆေးသူအနေနဲ့ အချိန်များစွာပေးရပါသည် ထိုအချက်ကို ဥပဒေ နည်းဥပဒေ ပြဌာန်းသူများ ဂရုပြုစေချင်ပါသည် လုံလောက်သော အချိန် လုံလောက်
သော စစ်ဆေးသူတွေရှိမှသာ မှန်ကန်တဲ့ သက်သေခံ
ချက်တွေ ရရှိလာမှာ ဖြစ်ပါတယ်)
စစ်ဆေးတဲ့အမှု စစ်ဆေးသူစစ်ဆေးတဲ့နည်းလမ်းနေ့ရက်အချိန်တွေကတော့ ရုံးပိုင်းဆိုင်ရာအရပြုလုပ်ခြင်းြုဖစ်ပါတယ်
စစ်ဆေးခြင်း အဆင့် ၂
အခုအချိန်မှာ Forensics Copy ရရှိထားပြီးဖြစ်ပါသည်
Forensic Copy ကနေ အမှုအနေအထား သက်ဆိုင်ရာအချက်အလက်တွေကိုဆွဲထုတ်ပြီး စစ်ဆေးခြင်းအပိုင်းဖြစ်ပါတယ် ...သက်သေခံရရှိနိုင်ဖို့အတွက်
ဆက်စပ်တဲ့အရာမှန်သမျှကို စစ်ဆေးသူက ဆက်စပ်စဉ်းစားပါတယ် ပေါင်းစပ်ပါတယ်
Detail ကတော့အရင်စာအုပ်တွေမှာရေးထားပါတယ်.
စစ်ဆေးခြင်းအပိုင်း ၃
အပေါ်မှာ အမှုအနေအထားအရ သက်သေခံအချက်အလက်ရှိဖို့အတွက် ဆက်စပ်စဉ်းစားထားတာတွေ ပေါင်းစပ်ပြီး စစ်ဆေးတဲ့အပိုင်းဖြစ်ပါတယ် .. အမှုအနေအထား ထွက်ဆိုချက် ငြင်းချက်တွေအရ ပြန်လည်စစ်ဆေးရတာလဲရှိပါတယ်. စစ်ဆေးမှုပြီးဆုံးသွားတဲ့အခါ
တွေ့ရှိချက်တွေကို မှတ်တမ်းတင်ပါတယ်
ဥပမာ ဘယ် Device ရဲ့ ဘယ်နေရာကနေ တွေ့ရှိတယ်တွေ့ရှိမှုကဘာဆိုတာ
စစ်ဆေးခြင်းအပိုင်း ၄
စစ်ဆေးတွေ့ရှိချက်ကို အမှုအနေအထားအရ တရားဥပဒေလမ်းကြောင်းအတိုင်း တရားရုံးအတွက် ထွက်ဆိုချက်ပေးဖို့ ရေးသားတဲ့အပိုင်းဖြစ်ပါတယ်
များသောအားဖြင့် တရားရုံးမှာ ထွကိဆိုချက်ပေးမည့်သူကရေးသားတာဖြစ်ပါတယ် ... Expert Withnes အပိုင်းလို့လဲ
ခေါ်ပါတယ်
ကျန်တဲ့အပိုင်းတွေကတော့ မူရင်း Device Forensics Copy နဲ့အတူတရားရုံးမှာလျှောက်လဲခြင်းအပိုင်းဖြစ်ပါတယ်
Comments