Phases of Digital Forensics: Pre Investigation Phase
 |
| steps in the digital forensic process |
पूर्व-जांच चरण (steps in digital forensic process: pre-investigation phase) में वास्तविक जांच शुरू होने से पहले किए गए सभी कार्य शामिल हैं। इस चरण में प्रक्रिया की योजना बनाने, मिशन के लक्ष्यों को परिभाषित करने और संबंधित अधिकारियों से approval प्राप्त करने जैसे कार्य शामिल हैं।
इस खंड में हम उन सभी चरणों पर चर्चा करेंगे जो एक साथ, पूर्व-जांच चरण (pre-investigation phase) का निर्माण करता हैं।
{tocify} $title={Table of Contents}
कंप्यूटर फोरेंसिक लैब स्थापित करना
एक कंप्यूटर फोरेंसिक लैब (सीएफएल) मामले को सुलझाने और अपराधी को खोजने के लिए एकत्रित साक्ष्य की कंप्यूटर-आधारित जांच करने के लिए एक निर्दिष्ट स्थान है। प्रयोगशाला में सभी प्रकार की जांच करने के लिए आवश्यक उपकरण, सॉफ्टवेयर, हार्डवेयर उपकरण और फोरेंसिक वर्कस्टेशन होना अनिवार्य हैं।
1. Planning and Budget Ideas
- जांच के प्रकार:
पिछले वर्ष के अपराध आंकड़ों और आपराधिक, नागरिक और कॉर्पोरेट जैसी अपेक्षित प्रवृत्ति के आधार पर जांच के लिए प्रयोगशाला के लिए अपराधों के प्रकार चुनें।
यदि जांच किसी निगम के लिए है, तो तय करें कि यह केवल आंतरिक होगा या आंतरिक और बाहरी दोनों। इससे अपेक्षित मामलों की संख्या और भौतिक संसाधनों के आवंटन के साथ-साथ बजट का अनुमान लगाने में मदद मिलेगी।
- जांचकर्ताओं/परीक्षकों की संख्या:
आवश्यक जांचकर्ताओं की संख्या फोरेंसिक मामले पर निर्भर करती है। उचित जांच करने के लिए प्रशिक्षित (trained) और प्रमाणित पेशेवरों (certified professionals) को काम पर रखना महत्वपूर्ण है।
- उपकरण की आवश्यकता:
फोरेंसिक प्रयोगशाला में खोजी उद्देश्यों के लिए फोरेंसिक और गैर-फोरेंसिक दोनों कार्य केंद्र होने चाहिए। प्रयोगशाला में फोरेंसिक जांच के लिए आवश्यक उपकरणों को स्टोर करने के लिए पर्याप्त सुरक्षित लॉकर उपलब्ध होना चाहिए।
यह रैक पर संग्रहीत उपकरणों को वर्गीकृत करने में मदद करेगा और जांचकर्ता को जांच के दौरान आवश्यक उपकरण का पता लगाने में मदद करेगा।
सुरक्षित लॉकर भी उपकरण को सुरक्षित रखने और उन्हें टूट-फूट, धूल और अन्य foreign particles से बचाने का एक साधन है जो performance को बाधित कर सकता हैं।
- सॉफ़्टवेयर आवश्यकताएँ:
जाँच के दौरान किसी भी समय फोरेंसिक जाँच के लिए आवश्यक सभी सॉफ़्टवेयर के लाइसेंस प्राप्त versions का उपयोग सुनिश्चित करें। फोरेंसिक सॉफ़्टवेयर के डेमो version बेहतर नहीं हैं, क्योंकि वे सीमित कार्यक्षमता प्रदान करते हैं।
लाइसेंस प्राप्त version होने से परीक्षण के दौरान जांचकर्ताओं को भी मदद मिलती है। डेमो version का उपयोग तभी करें यदि यह पूर्ण कार्यक्षमता प्रदान करें।
2. भौतिक और संरचनात्मक डिजाइन विचार
- लैब का आकार:
फोरेंसिक लैब के आकार का निर्धारण काफी हद तक बजट और मामलों के प्रकार पर निर्भर करता है।
- आवश्यक सेवाओं तक पहुंच:
प्रयोगशाला की सभी आवश्यक सेवाओं तक आसान पहुंच होनी चाहिए, जिसमें आपातकालीन सेवाएं जैसे अग्निशमन विभाग और अन्य आपातकालीन वाहन वगैरह शामिल हैं। प्रयोगशाला की भौतिक सुरक्षा से समझौता किए बिना इसकी shipping और receiving करने की पहुंच भी होनी चाहिए।
कार्य क्षेत्र और साक्ष्य storage के लिए स्थान अनुमान: प्रयोगशाला बड़ी होनी चाहिए। लैब में सभी उपकरण जैसे वर्कस्टेशन और साक्ष्य स्टोरेज के लिए पर्याप्त जगह होनी चाहिए।
- हीटिंग, वेंटिलेशन और एयर-कंडीशनिंग:
लैब में वातावरण जैसे humidity, air flow, वेंटिलेशन और कमरे का तापमान भी एक महत्वपूर्ण भूमिका निभाता है। कमरे के अंदर ताजी हवा बनाए रखने और लैब में अवांछित गंध को रोकने के लिए प्रयोगशाला में हवा की high exchange rate होनी चाहिए।
वर्कस्टेशन से उत्पन्न होने वाली गर्मी को दूर करने के लिए लैब में उचित कूलिंग सिस्टम स्थापित होना चाहिए।
3. कार्य क्षेत्र के विचार (Work area considerations)
- वर्कस्टेशन की आवश्यकता:
एक छोटे आकार की फोरेंसिक लैब में आमतौर पर दो वर्कस्टेशन और इंटरनेट कनेक्टिविटी वाला एक साधारण वर्कस्टेशन होता है। हालांकि, फोरेंसिक वर्कस्टेशन की आवश्यकता प्रयोगशाला में संभाले गए मामलों और प्रक्रियाओं के प्रकार और जटिलता के अनुसार भिन्न होती है।
- माहौल:
जांचकर्ता लंबे समय तक फोरेंसिक लैब में बिताते हैं। इसलिए, यह अत्यंत महत्वपूर्ण है कि प्रयोगशाला का माहौल आरामदायक हो।
- इंटरनेट, नेटवर्क और संचार लाइन:
नेटवर्क और आवाज संचार के लिए एक समर्पित Integrated Services Digital Network (ISDN) स्थापित करें। फोरेंसिक कंप्यूटर के लिए एक समर्पित नेटवर्क को प्राथमिकता दी जाती है, क्योंकि इसके लिए इंटरनेट और नेटवर्क पर अन्य संसाधनों तक निरंतर पहुंच की आवश्यकता होती है।
प्रयोगशाला में कार्यस्थानों के लिए डायल-अप इंटरनेट का उपयोग उपलब्ध होना चाहिए।
- प्रकाश व्यवस्था और आपातकालीन power:
प्रयोगशाला में बिजली के उतार-चढ़ाव से सभी उपकरणों के लिए आपातकालीन power और सुरक्षा होनी चाहिए। जांचकर्ताओं की उत्पादकता बढ़ाने के लिए प्रकाश व्यवस्था की व्यवस्था की जानी चाहिए।
चकाचौंध से बचने के लिए प्रकाश व्यवस्था को समायोजित करें और मॉनिटर को खिड़कियों से 90 डिग्री के कोण पर रखें।
4. Physical Security Considerations
- फोरेंसिक लैब के लिए आवश्यक भौतिक सुरक्षा का स्तर लैब में की गई जांच की प्रकृति पर निर्भर करता है।
- विज़िटर डेटा जैसे दिनांक, समय और विज़िट के उद्देश्य के साथ विज़िटर का पता और नाम, साथ ही संपर्क व्यक्ति का नाम रिकॉर्ड करने के लिए लैब के प्रवेश द्वार पर एक लॉग रजिस्टर बना कर रखना चाहिए। आगंतुकों को प्रयोगशाला कर्मचारियों से अलग करने के लिए पास प्रदान करें और उनके लिए एक इलेक्ट्रॉनिक साइन-इन लॉग बना कर रखना चाहिए।
- सुरक्षा की एक अतिरिक्त परत प्रदान करने और परिसर के चारों ओर गार्ड तैनात करने के लिए प्रयोगशाला में एक घुसपैठ अलार्म सिस्टम स्थापित करना चाहिए।
- लैब में और उसके परिसर के आसपास क्लोज-सर्किट कैमरे लगाकर लैब को निगरानी में रखना चाहिए।
- प्रयोगशाला के भीतर और बाहर अग्निशामक यंत्र लगाएं और आग लगने की स्थिति में प्रयोगशाला कर्मियों और गार्डों को उनका उपयोग करने के तरीके के बारे में प्रशिक्षण प्रदान करना चाहिए।
5. मानव संसाधन विचार
- कंप्यूटर फोरेंसिक प्रयोगशाला की overall सफलता मुख्य रूप से अनुभव एकत्र करने, ज्ञान साझा करने, चल रही शिक्षा और मानव संसाधन विकास में निवेश पर निर्भर करती है।
- मामले (case) की प्रकृति और कार्यों को पूरा करने के लिए उनके पास कौशल के आधार पर मामले से निपटने के लिए आवश्यक कर्मियों की संख्या होना चाहिए।
- उपयुक्त उम्मीदवारों का साक्षात्कार लें और उन्हें कानूनी रूप से भर्ती करें। सुनिश्चित करें कि उनके पास उनकी नौकरी की भूमिकाओं से संबंधित प्रमाणन है या नहीं।
- कंप्यूटर फोरेंसिक प्रयोगशाला के मामले (case) में, प्रमुख कार्य भूमिकाओं में लैब साइबर क्राइम अन्वेषक, प्रयोगशाला निदेशक, फोरेंसिक तकनीशियन और फोरेंसिक विश्लेषक शामिल होना चाहिए।
6. फोरेंसिक लैब लाइसेंसिंग
- विश्वसनीयता को इंडीकेट करने के लिए संबंधित अधिकारियों द्वारा फोरेंसिक प्रयोगशालाओं को लाइसेंस दिया जाना चाहिए।
- सरकार ये लाइसेंस लैब और जांच करने के लिए उसके पास मौजूद सुविधाओं की समीक्षा के बाद मुहैया कराती है।
- ऐसे कुछ लाइसेंसों में अमेरिकन सोसाइटी ऑफ़ क्राइम लेबोरेटरी डायरेक्टर्स (ASCLD)/LAB मान्यता और ISO/IEC 17025 accreditation शामिल हैं।
Building the Investigation Team
मामले को सुलझाने में investigation टीम की अहम भूमिका होती है। जो भी टीम होती है वो अपराध, सबूत और अपराधियों के evaluation के लिए जिम्मेदार होना चाहिए। टीम के प्रत्येक सदस्य को कुछ विशिष्ट कार्य (भूमिकाएं और जिम्मेदारियां) सौंपे जाने चाहिए जिससे टीम आसानी से घटना का विश्लेषण कर सके।
Investigation टीम को बनाने के लिए कुछ दिशा-निर्देश इस प्रकार होनी चाहिए हैं:
- टीम के सदस्यों की पहचान करें और उन्हें जिम्मेदारियां सौंपें
- जांच के लिए तकनीकी नेतृत्व के रूप में एक व्यक्ति को नियुक्त करें
- गोपनीयता प्राप्त करने और सूचना लीक से बचने के लिए investigation टीम को यथासंभव छोटा रखें
- प्रत्येक टीम के सदस्य को सौंपे गए कार्यों को पूरा करने के लिए आवश्यक मंजूरी और प्राधिकरण प्रदान करें
- यदि आवश्यक हो, तो किसी विश्वसनीय बाहरी investigation टीम से सहायता प्राप्त करें
विभिन्न कंप्यूटिंग सिस्टम और इलेक्ट्रॉनिक उपकरणों से उपयुक्त सबूत खोजने के लिए, निम्नलिखित लोग शामिल होना चाहिए:
- फोटोग्राफर:
फोटोग्राफर अपराध स्थल और एकत्र किए गए सबूतों की तस्वीरें लेता है। उनके पास एक authentic certification होना चाहिए। यह व्यक्ति अपराध स्थल पर मिले सभी सबूतों को शूट करने के लिए जिम्मेदार होता है, जो फोरेंसिक प्रक्रिया में महत्वपूर्ण सबूतों को रिकॉर्ड करता है।
- घटना प्रतिक्रियाकर्ता: (Incident Responder)
घटना प्रतिक्रियाकर्ता (Incident Responder) एक घटना होने पर किए गए उपायों के लिए जिम्मेदार होता है। यह व्यक्ति घटना क्षेत्र को सुरक्षित करने और अपराध स्थल पर मौजूद साक्ष्य एकत्र करने के लिए जिम्मेदार होता है। घटना को अन्य systems में फैलने से रोकने के लिए उन्हें सिस्टम को अन्य systems से डिस्कनेक्ट करना चाहिए।
- हादसा विश्लेषक: (Incident Analyzer)
घटना विश्लेषक (Incident Analyzer) घटना के आधार पर घटनाओं का विश्लेषण करता है। वे घटना के प्रकार के अनुसार जांच करते हैं कि यह सिस्टम को कैसे प्रभावित करता है, विभिन्न खतरे और इससे जुड़ी कमजोरियां आदि का पता लगाने का काम करता है।
- साक्ष्य परीक्षक/अन्वेषक: (Evidence Examiner/Investigator)
साक्ष्य परीक्षक प्राप्त साक्ष्य की जांच करने का काम करता है और utility और relevance के आधार पर इसे एक पदानुक्रम में क्रमबद्ध करता है जो साक्ष्य की प्राथमिकता को indicate करता है।
- साक्ष्य दस्तावेजकर्ता: (Evidence Documenter)
साक्ष्य दस्तावेजकर्ता (Evidence Documenter) सभी साक्ष्यों और जांच प्रक्रिया में मौजूद चरणों का दस्तावेजीकरण करने का काम करता है। वे फोरेंसिक प्रक्रिया में शामिल सभी लोगों से जानकारी एकत्र करते हैं और घटना की घटना से लेकर जांच के अंत तक एक व्यवस्थित तरीके से इसका दस्तावेजीकरण करते हैं। दस्तावेजों में फोरेंसिक प्रक्रिया के बारे में पूरी जानकारी होनी चाहिए।
- साक्ष्य प्रबंधक: (Evidence Manager)
साक्ष्य प्रबंधक (Evidence Manager) साक्ष्य का प्रबंधन (Management ) करता है। उनके पास सबूत के बारे में सारी जानकारी होती है, उदाहरण के लिए, सबूत का नाम, सबूत का प्रकार, समय और सबूत का स्रोत। वे सबूतों के रिकॉर्ड का प्रबंधन और रखरखाव करते हैं जैसे कि यह कानून की अदालत में स्वीकार्य होता है।
- विशेषज्ञ गवाह: (Expert Witness)
विशेषज्ञ गवाह (Expert Witness) कानून की अदालत में गवाही के रूप में औपचारिक राय पेश करता है। विशेषज्ञ गवाह जटिल मामलों में तथ्यों और अन्य गवाहों को प्रमाणित करने में मदद करते हैं। वे गवाहों और साक्ष्यों से जिरह करने में भी सहायता करते हैं, क्योंकि विभिन्न कारक एक सामान्य गवाह को प्रभावित कर सकते हैं।
- अटॉर्नी:
वकील कानूनी सलाह देता है कि कैसे जांच की जाए और फोरेंसिक जांच प्रक्रिया में शामिल कानूनी मुद्दों का समाधान किया जाए।
Understanding the Hardware and Software Requirements of a Forensic Lab
एक डिजिटल फोरेंसिक लैब में जांच प्रक्रिया का समर्थन करने के लिए सभी आवश्यक हार्डवेयर और सॉफ्टवेयर उपकरण होने चाहिए, जिसमें साक्ष्य की खोज और विश्लेषण से लेकर विश्लेषण के परिणाम की रिपोर्ट करना शामिल है।
Investigation टूलकिट से परिचित होने से पूरी प्रक्रिया तेज और अधिक कुशल हो जाती है। एक परिष्कृत Investigation टूलकिट जिसमें हार्डवेयर और सॉफ्टवेयर दोनों शामिल हैं, घटना को अन्य systems में फैलने से रोककर घटना के प्रभाव को कम कर सकता है।
यह संगठन के नुकसान को कम करने का काम करता है और जांच प्रक्रिया में भी मदद करता है।
Hardware
- अच्छी processing, power और RAM के साथ दो या दो से अधिक फोरेंसिक वर्कस्टेशन होना चाहिए
- Specialized cables
- Write-blockers
- Drive duplicators
- Archive and Restore devices
- Media sterilization systems
- अन्य उपकरण जो फोरेंसिक सॉफ़्टवेयर टूल को काम करने की अनुमति देते हो
- कंप्यूटर फोरेंसिक हार्डवेयर टूलकिट, जैसे Paraben's First Responder Bundle, DeepSpar Disk Imager, FRED फोरेंसिक वर्कस्टेशन, इत्यादि होना चाहिए ।
Software
- OSes (Operating Systems)
- Data discovery tools
- Password-cracking tools
- Acquisition tools
- Data analyzers
- Data recovery tools
- File viewers (Image and graphics)
- File type conversion tools
- Security and Utility software
- कंप्यूटर फोरेंसिक सॉफ्टवेयर टूल जैसे कि Wireshark, एक्सेस डेटा का FTK, इत्यादि होना चाहिए ।