Digital Forensics Lab Guideline Part (5,6)

Digital Forensics Lab ကိုမတည်ဆောက်ခင် Lab အတွက်လိုအပ်တဲ့ပစ္စည်းတွေမမှာခင် ဘာတွေကို ကိုယ့်နိုင်ငံအခြေအနေအရ Research and Analysis ဘာတွေလုပ်ရမယ်ဆိုတာ Part 2 မှာရေးထားပြီးပါပြီ။ အချို့သော Results တွေကိုလဲဖော်ပြထားပြီးပါပြီ။

 Hardware/Software ဝယ်ယူမယ်ဆိုရင်ထည့်သွင်းစဉ်းစားရမဲ့ အချက်တွေကတော့ Lab မှာတစ်ကယ်တန်းအသုံးတည့်မတည့်၊ Software ဝယ်ယူတဲ့ ကုန်ကျငွေအပြင် နှစ်စဉ်လိုင်စင်ဈေးနှုန်း၊သင်တန်းကြေး၊ Certificate ကုန်ကျငွေစတာတွေကို ထည့်သွင်းတွက်ချက်ရမှာဖြစ်ပါတယ်။ အခြား Open Source တွေနဲ့အစားထိုး အသုံးပြုရင် ဥပဒေ၊တရားရုံးမှာ အဆင်ပြေနိုင်မလား။ ဘယ်လို Case မျိုးဆို အစားထိုးအသုံးပြုလို့ရနိုင်မလဲ။ မြန်မာနိုင်ငံမှာတော့ မလုပ်ခိုင်းသေးပေမဲ့ အခြားနိုင်ငံတွေမှာတော့ တရားရုံးကနေ  လိုအပ်လာရင် အချို့သော Case တွေမှာ ‘dual tool verification’ ကိုသုံးခိုင်း ပြခိုင်းပါတယ်။ ဘာလို့လဲဆိုရင် ပထမသုံးတဲ့ နည်းပညာ နည်းလမ်းနဲ့ စစ်ဆေးတဲ့ သက်သေခံရလဒ်က နောက်ထပ်တူညီတဲ့ နည်းပညာနည်းလမ်းနဲ့ စစ်ဆေးတဲ့ သက်သေခံရလဒ် တူညီမှုရှိ၊မရှိဆိုတာ သေချာခြင်လို့ဖြစ်ပါတယ်။ (အရှင်းဆုံးဥပမာအနေနဲ့ဆိုရင် Hard Disk Data Recovery လုပ်မယ်ဆိုရင် EaseUS နဲ့ခေါ်ရင် ဘယ်လိုရလဒ်ထွက်လဲ နောက်တစ်မျိုး  Recuva နဲ့လုပ်ရင် ဘယ်လိုရလဒ်ထွက်လာမလဲ တူညီမှုရှိလား၊ကွဲပြားခြားနားလားဆိုတာ သိချင်လို့ဖြစ်ပါတယ်။

 ဥပမာ Reception/Regirsatation/Labelling  လုပ်တဲ့နေရာမှာ အသုံးပြုတဲ့ Case Management Application။

 Case Management Application မှာဘာတွေပါသင့်လဲဆိုရင်-
- Lab ကို သက်သေခံလာပို့တဲ့သူက ဘယ်သူ၊လာအပ်တဲ့ နေ့ရက်၊အချိန်
 လိပ်စာ အပြည့်အစုံ။ လက်ခံသူအမည်။
- သက်သေခံအချက်အလက် ပစ္စည်းစာရင်း။
- Case နံပတ်၊ Case ရာဇဝင်၊ ဥပဒေပုဒ်မ။ (အရင် Case တွေနဲ့ပါ Analysis လုပ်နိုင်)။
- သက်သေခံပစ္စည်းကို စစ်ဆေးတဲ့သူအမည် (ပူးပေါင်းစစ်ဆေးသူများပါ အပါအဝင်) စတင်စစ်ဆေးချိန်၊ပြီးဆုံးချိန်သက်သေခံပစ္စည်းကို စစ်ဆေးတဲ့နည်းလမ်း အပြည့်အစုံ။
- စစ်ဆေးပြီးနောက် ရရှိလာတဲ့ သက်သေခံအချက်အလက်အပြည့်အစုံ။
- စစ်ဆေးသူနှင့်သက်သေခံလာရောက်အပ်နှံသူ တွေ့ဆုံမှု၊ဆက်သွယ်မှု အသေးစိတ်။
- သက်သေခံလာရောက်အပ်နှံသူထံလွှဲပြောင်းပေးအပ်တဲ့နေ့ရက်၊အချိန်၊တရားရုံးသို့ တင်ပြတဲနေ့ရက်အချိန်၊

(သက်ဆိုင်ရာအမှုစစ်တဲ့သူနဲ့ စစ်ဆေးသူကို မေးနိုင်သော မေးခွန်းများ (မမေးခဲ့ရင်တောင် သက်သေခံအချက်ပစ္စည်းက Lab ကိုရောက်တဲ့အချိန်ကစပြီး တရားရုံးကိုတင်ပြတဲ့အထိ စစ်မှန်ကြောင်းပြတဲ့အနေနဲ့ လိုအပ်လာရင် တင်ပြနိုင်ရမှာဖြစ်ပါတယ်)

What
သိမ်းဆည်းရမိတဲ့ Digital Device က ဘာလဲ ဘာကြောင့်သိမ်းတာလဲ

Where
Digital Device ကို ဘယ်နေရာကနေ သိမ်းတာလဲ သိမ်းဆည်းစဉ်မှာ အခြေအနေကဘယ်လိုရှိလဲ
ဥပမာ။ power on or power off or damage .

How
အခင်းဖြစ်ရပ်မှာ လက်ရှိ ရှိနေတဲ့ Digital Device ကို စစ်ဆေးခဲ့လား
ဘယ်လိုစစ်ဆေးခဲ့လဲ ဘာတွေကို အသုံးပြုပြီး သက်သေစုဆောင်း
စစ်ဆေးခဲ့လဲ Integrity ရှိအောင် ဘာတွေလုပ်ခဲ့လဲ။ ဘာကို အသုံးပြုခဲ့သလဲ

How
သက်သေခံ Digital Evidences တွေကိုယ် ဘယ်လိုထုတ်ပိုးသလဲ။ ဘယ်လိုပို့ဆောင်လဲ။သယ်ယူပို့ဆောင်တဲ့ လမ်းကြောင်း။ ဘယ်လိုကိုင်တွယ်သလဲ။
ဥပမာ
(Mdy ကနေ YGN ကိုပို့တာ ၅ ရက်လောက်ကြာနေတာမျိုးမဖြစ်သင့်)

When
Digital Devices တွေ ဘယ်အချိန်မှာ Lab ကိုရောက်သလဲ ဘယ်သူလက်ခံသလဲ။ဘာကြောင့်သူက လက်ခံရတာလဲ။

When
Digital Device ကိုဘယ်သူက ဘယ်အချိန်မှာ စတင်စစ်ဆေးတာလဲ။ စစ်ဆေးသူက ဘာအကြောင်းကြောင့် ဒီ Digital Device ကို စစ်ဆေးရတာလဲ ဘယ်သူတာဝန်ပေးတာလဲ။ဘယ်အချိန်မှာ စစ်ဆေးတာပြီးဆုံးလဲ။

How
Digital Device ကို ဘာ နည်းပညာ ကို အသုံးပြုပြီးစစ်ဆေးတာလဲ အသုံးပြုသောနည်းလမ်းအမည် ။ စစ်ဆေးနေစဉ် သက်သေခံကို ကိုင်တွယ်ပုံ။

Case Management အပိုင်းနဲ့ ဆက်စပ်ပြီးဖတ်လိုက်ရင် နားလည်သွားမှာဖြစ်ပါတယ်။

Case Management In Digital Forensics Lab

Receiving The Request

Lab ကိုစစ်ဆေးရန်အတွက် Request Letter ပို့မယ်ဆိုရင်တော့ E-government စနစ်ရှိနေရင် ကြိုတင်ပြီး သတ်မှတ်ထားတဲ့ Form ပုံစံရှိနေပြီး သားဖြစ် တဲ့အတွက် သတ်မှတ်ထားတာတွေဖြည့်ပြီးပို့လိုက်ရုံပါပဲ။(ဒီနေရာမှာ ဖုန်းဖြင့်ပို့ လိုက်တဲ့ အချက်အလက်ကို ထပ်မံ အတည်ပြုဖို့တော့လိုအပ်ပါတယ်။ Form ထဲမှာဘာတွေ ပါဝင်လဲဆိုရင် အမှုရာဇဝင်၊ ဥပဒေပုဒ်မ၊ ပို့လိုက်တဲ့ သက်သေခံပစ္စည်း အသေးစိတ်အချက်အလက်၊ ထုတ်ပေးထားတဲ့ Warrant၊ စတင်သိမ်းဆည်းတဲ့ နေ့ရက် အချိန် အစရှိသည်ဖြင့်ပါဝင်ပါတယ်။ ပို့လိုက်တဲ့ Form ပုံစံက Reception/Registration /Labelling/ နေရာကိုရောက်လာတဲ့အခါ Lab Manager ဒါမှမဟုတ် အဲဒီနေရာမှာတာဝန်ကျနေတဲ့ Technical ဝန်ထမ်းက သတ်မှတ်ထားတဲ့စာရွက်စာတမ်းတွေ၊ အကြောင်းအရာအချက်အလက်တွေ ပြည့်စုံမှုရှိ၊မရှိ စစ်ဆေးရပါတယ်။ Lab အနေနဲ့ထပ်ပြီး စဉ်းစားအတည်ပြုရမဲ့ အချက်တွေကတော့
- ရောက်ရှိလာတဲ့ သက်သေခံပစ္စည်းက lab နှင့်သက်ဆိုင်မှု ရှိ၊မရှိ။
- သိမ်းဆည်းလာစဉ်မှာ သက်သေခံပစ္စည်း အခြေအနေ။
- Lab မှာစစ်ဆေးဖို့ နည်းပညာနဲ့နည်းလမ်းရှိ၊မရှိ။
- စစ်ဆေးပေးနိုင်မဲ့ ဝန်ထမ်းရှိ၊မရှိ။
- စာရွက်စာတမ်းပြည့်စုံမှု ရှိ၊မရှိ။မသမာသောနည်းလမ်းနဲ့ ပြင်ဆင်ထားတာ ရှိ၊မရှိ။
အထက်ပါအချက်အလက်တွေပြည့်စုံမှုရှိလို့ Lab Manager မှလဲ အတည်ပြုရင် ပဏမအနေနဲ့ လက်ခံလို့ရပြီးဖြစ်ပါတယ်။

Registering The Case

သက်သေခံပစ္စည်း lab ကိုရောက်လာရင် တာဝန်ကျဝန်ထမ်းကနေ အမှုနဲ့ပတ်သတ်တဲ့ အချက်အလက်တွေကို Case Management Application (သို့မဟုတ်) သတ်မှတ်ထားတဲ့ Form ပုံစံစာရွက်ထဲမှာဖြည့်သွင်းလိုက်ပါတယ်။ အမှုအနေအထားအရ လာရောက်အပ်နှံသူနဲ့ Examiner က သက်သေခံပစ္စည်းထဲကနေ ဘယ်လိုအကြောင်းအရာ အချက်အလက်ကို ရယူခြင်တာလဲဆိုတာကို တိကျရှင်းလင်းစွာမေးမြန်းရပါတယ်။ဒါမှသာ ဘယ်လိုအကြောင်းအရာ အချက်အလက်ကို ရှာဖွေရမယ်၊ ဘယ်လိုနည်းပညာ နည်းလမ်းသုံးရမယ်ဆိုတာကို စစ်ဆေးသူက ပြင်ဆင်နိုင်မှာဖြစ်ပါတယ်။ အပ်နှံသူနှင့် Examiner ဆွေးနွေးမှုမှတ်တမ်းကိုလဲ Case Management ထဲမှာ ထည့်သွင်းရပါတယ်။ (မသမာမှုမပြုလုပ်နိုင်စေရန်နှင့်အထောက်အထားရယူရန်)
ဆွေးနွေးပြီးတဲ့အခါမှာ Lab ကနေ စစ်ဆေးရန်လက်ခံကြောင်းကို Lab မှ တာဝန်ရှိသူ (Reception Staff) ဒါမှမဟုတ် (Lab Manager, Examiner) နှင့် လာရောက်အပ်နှံသူ ကနေ လက်မှတ်ရေးထိုးရပါမည်။

Registering The Evidence Devices

Lab ကိုသက်သေခံပစ္စည်းရောက်တဲ့အချိန်မှာ အရေးအကြီးဆုံးဖြစ်တဲ့ သက်သေခံပစ္စည်းကို Sealed (စည်းတံဆိပ်ကပ်ထားခြင်း ရှိ၊မရှိကို စစ်ဆေးရပါမည်။ စည်းမှာ ထုတ်ပိုးသူလက်မှတ်အတို၊သယ်ယူတဲ့သူ၏ လက်မှတ်အတို၊ စည်းစကပ်တဲ့ရက်စွဲအချိန်တို့ပါဝင်ပါတယ်)။ သက်သေခံ ပစ္စည်းကို သယ်ယူပို့ဆောင်တဲ့နေရာမှာ မသမာမှုမပြုလုပ်နိုင် စေရန်နှင့် သံသယကင်းစေရန်ဖြစ်ပါတယ်) ။ Chanin Of Custody Form မှာလဲ သိမ်းဆည်းတဲ့နေ့ရက်အချိန်၊ Lab ကိုပို့ဆောင်တဲ့နေ့ရက် လာရောက်တဲ့ လမ်းကြောင်းခရီးပါဝင်ပါတယ်။ စည်းတံဆိပ်လဲမှန်ကန်တယ် ဖျက်ရာပြင်ရာမရှိဘူးဆိုရင် စည်းကိုခွာပြီး သက်သေခံပစ္စည်း၊ ဆက်စပ် ပစ္စည်းတွေက သိမ်းဆည်းစဉ်မှာရှိတဲ့အခြေအနေနဲ့တူညီမှုမရှိ၊မရှိ ပျက်စီးနေ မှုရှိ၊မရှိကို  Case Management ထဲမှာ တစ်ခုချင်း အသေးစိတ် ထည့်သွင်း ပါတယ်။ ဓာတ်ပုံမှတ်တမ်းပါသက်သေခံပစ္စည်းကို ရိုက်ယူထားပြီး Case Management ထဲမှာ ထည့်သွင်းနိုင်ပါသည်။ (Negative Question ကို Lab ဘက်မှကာကွယ်တဲ့အနေနဲ့အပြင်၊သက်သေခံပစ္စည်းမှန်ကန်စေရန်အတွက်ဖြစ်ပါသည်)။ အားလုံးမှန်ကန်ပြည့်စုံတဲ့အခါ Chain Of Custody Form မှာ Lab ကနေ သက်သေခံပစ္စည်းကိုလက်ခံကြောင်း အပ်နှံသူနှင့်လက်ခံသူက လက်မှတ်ရေး ထိုးရပါမည်။လတ်တလော မစစ်ဆေးနိုင်သေးတဲ့ သက်သေခံပစ္စည်းဆိုရင် Evidence Store Room ထဲမှာထည့်သွင်း ထားရမှာဖြစ်ပါတယ်။

Photograph The Evidence Devices

 သက်သေခံပစ္စည်းကို ဓာတ်ပုံရိုက်ယူရတာကတော့ ပစ္စည်းအခြေအနေ (example Ph ဆိုရင် Power On နေလား Off နေလား) ပျက်စီနေမှု စတာတွေကို အရပ်မျက်နှာပေါင်းစုံကနေ ရိုက်ယူထားပြီး Negative Questions မမေးနိုင်စေရန် မှန်ကန်မှုရှိစေရန်ဖြစ်ပါတယ်။ စစ်ဆေးပြီးတဲ့အခါ သက်ဆိုင်ရာကို ပြန်လည်အပ်နှံတဲ့နေရာမှာလဲ အထောက်အထား ခိုင်လုံစေရန်ဖြစ်ပါတယ်။

Analysis

သက်သေခံပစ္စည်းကို Examiner ကနေ အမှုအနေအထား ရယူလိုတဲ့ သက်သေခံအကြောင်းအရာအချက်အလက်အပေါ်မူတည်ပြီးစစ်ဆေးတာဖြစ်ပါတယ်။ စစ်ဆေးတဲ့နည်းလမ်း အသုံးပြုတဲ့နည်းပညာ စတင်စစ်ဆေးချိန် စစ်ဆေးမှုပြီးစီးသည့်အချိန်၊ စစ်ဆေးစဉ်ကာလမှာ အမှုအနေအထားအရ သက်ဆိုင်ရာနှင့်ဆက်သွယ်မှု စတဲ့မှတ်တမ်းတွေကို Case Management ထဲမှာထည့်သွင်းရမှာဖြစ်ပါတယ်။

Return The Evidences

စစ်ဆေးမှုပြီးဆုံးတဲ့အခါမှာ ရရှိလာတဲ့ Report နှင့် သက်သေခံပစ္စည်းကို သက်ဆိုင်ရာ ဒါမှမဟုတ် လာရောက်အပ်နှံသူထံလွဲပြောင်းပေးတာဖြစ်ပါတယ်။ လာရောက်အပ်နှံစဉ်က ပစ္စည်းအခြေအနေ၊ယခုပြန်လည်လွှဲပြောင်းတဲ့ ပစ္စည်းအခြေအနေကို လာရောက်ယူတဲ့သူကို ရှင်းလင်းပြသပြီး lab ကနေ နောက်တစ်ခါ သက်သေခံပစ္စည်းပေါ်ကို စည်းကပ်ပေးလိုက်ပါတယ်။

Closing The Case

စစ်ဆေးတဲ့အမှုလုံး၀ ပြီးသွားတဲ့အချိန်၊ အမှုပိတ်ကြောင်းကိုလဲ နှစ်ဖက်လုံးသဘောတူတဲ့အချိန်မှာ အမှုပြီးစီးကြောင်း ကို သက်သေခံပစ္စည်း လာရောက်အပ်နှံသူဘက်နေ လက်မှတ်ထိုးပြီး Lab ကိုပေးရမှာဖြစ်ပါတယ်။ ဒါမှသာ Lab ဘက်ကနေ Examiner ထံမှာကျန်ရှိနေတဲ့ သက်သေခံအချက်အလက်တွေကို ဆက်လက်သိမ်းဆည်းထားသင့်၊မသင့် အပြီးတိုင် ဖျက်ဆီးရန် ဒါမှမဟုတ် Research and Analysis ဥပဒေအရ ဘယ်ကာလအထိ ထိမ်းသိမ်းထားမယ်ဆိုတဲ့အပေါ်မူတည်ပြီး လုပ်ဆောင်ရမှာဖြစ်ပါတယ်။

#ThirdEye
#Digitalforensics
#forensicsmyanmar