Digital Forensics: সাইবার অপরাধ তদন্তে ডিজিটাল প্রমাণ সংগ্রহ এবং বিশ্লেষণ!

Digital Forensics হলো এমন বিজ্ঞান যা electronic device থেকে evidence সংগ্রহ, সংরক্ষণ, বিশ্লেষণ এবং report করে— যেন এই evidence আদালতে presented এবং accepted হতে পারে। US National Institute of Justice-এর সংজ্ঞা অনুযায়ী, এটি "application of computer science and investigative procedures to legal evidentiary problems"।

Digital Forensics-এর কয়েকটি প্রধান subdiscipline রয়েছে। Computer Forensics— traditional desktop এবং laptop-এর storage device থেকে evidence। Mobile Forensics— smartphone, tablet এবং wearable device। Network Forensics— network traffic capture এবং বিশ্লেষণ। Cloud Forensics— AWS, Azure, GCP-তে hosted resource। Memory Forensics— RAM-এর content বিশ্লেষণ। Malware Forensics— malicious software-এর reverse engineering।

প্রতিটি investigation চারটি core principle অনুসরণ করে। প্রথমত, Preservation— evidence-এর original state বজায় রাখা। দ্বিতীয়ত, Identification— relevant evidence শনাক্ত করা। তৃতীয়ত, Analysis— evidence-এ কী আছে তা বিশ্লেষণ। চতুর্থত, Presentation— findings-কে stakeholder এবং আদালতে presentable form-এ document করা।

Chain of Custody হলো digital forensics-এর সবচেয়ে fundamental concept। Evidence যেদিন collected হয়েছে, সেদিন থেকে আদালতে presented হওয়া পর্যন্ত প্রতিটি hand-off এবং প্রতিটি action documented থাকতে হবে। কে evidence সংগ্রহ করেছেন, কে handle করেছেন, কোথায় store করা হয়েছে, কী transformation হয়েছে— সব detailed log। Chain of custody-এ যেকোনো gap evidence-কে inadmissible করে দিতে পারে।

Order of Volatility— evidence-এর "অস্থিরতা"-র ক্রম। সবচেয়ে volatile data— CPU register, cache— সবার আগে collect; এরপর RAM; তারপর network connection; তারপর running process; এরপর disk; সবশেষে remote logging এবং physical configuration। Volatile data system reboot বা power off-এ হারিয়ে যায়, তাই priority।

একটি standard forensic investigation-এর জন্য NIST SP 800-86 একটি widely-followed framework সরবরাহ করে। চারটি phase: Collection, Examination, Analysis, এবং Reporting।

Collection phase-এ প্রথমে scene secure করা হয়। যদি live system access করতে হয়, তাহলে minimal interaction-এ memory dump এবং volatile data সংগ্রহ। বাকি investigation-এর জন্য disk image তৈরি করা— bit-by-bit copy যাতে original drive untouched থাকে। write blocker— hardware বা software— ব্যবহার করে original drive-এ কোনো accidental write না হওয়া নিশ্চিত করা।

Disk imaging tool-এ FTK Imager, dd (Linux), Guymager, এবং dcfldd— এসব standard। তৈরি image-এর integrity verify করতে hash— MD5, SHA-1, SHA-256— calculate এবং documentation-এ store। যেকোনো analysis original image-এ নয়, একটি working copy-তে করা হয়।

Mobile device-এর জন্য specialized tool— Cellebrite UFED, Magnet AXIOM, MOBILedit— logical, file system, এবং physical extraction সমর্থন করে। iOS এবং Android-এর encryption-এর কারণে প্রায়শই device unlock-এর জন্য vendor cooperation বা legal compulsion প্রয়োজন।

Examination phase-এ raw data কে usable information-এ রূপান্তর। File carving— deleted file recovery, এমনকি যদি file system metadata মুছে যায়। Strings extraction— binary file থেকে readable text। Timeline analysis— file timestamp-এর ভিত্তিতে event sequence reconstruct।

Analysis phase-এ findings interpret। কোন activity কে কে করেছে, কখন, কীভাবে। User account, application log, web history, email, document, registry hive (Windows-এর জন্য) — সব analyze। Correlation— বিভিন্ন source-এর evidence এক করে narrative তৈরি।

Reporting phase-এ technical findings clear, defensible, এবং impartial report-এ document। Technical detail এবং executive summary— দুটোই থাকবে। Methodology, tool used, findings, এবং limitation। যদি case court-এ যায়, expert witness হিসেবে testimony।

পেশাদার forensic toolkit-এ অনেক tool। EnCase Forensic— Guidance Software-এর flagship product, law enforcement-এর de facto standard। FTK (Forensic Toolkit)— AccessData-র product, EnCase-এর প্রধান প্রতিদ্বন্দ্বী। X-Ways Forensics— German-developed, technical user-দের favorite এর speed-এর জন্য।

Open source-এ Autopsy— Sleuth Kit-এর GUI front-end— free এবং powerful। প্রতিটি common forensic task সমর্থন করে। Volatility— memory forensics-এর gold standard, Python-based, plugin-extensible। YARA— pattern matching, malware identification।

Mobile forensics-এ Cellebrite UFED এবং Magnet AXIOM commercial leader। Open source-এ libimobiledevice (iOS) এবং Andriller (Android)।

Network forensics-এর জন্য Wireshark— সবচেয়ে জনপ্রিয় packet analyzer। NetworkMiner— passive network analysis-এ ভালো। Zeek (formerly Bro)— network monitoring এবং forensics-এর জন্য।

Cloud forensics-এর জন্য CloudTrail (AWS), Activity Log (Azure), Cloud Audit Log (GCP)— provider-specific। তবে cloud-specific challenge রয়েছে— multi-tenancy, jurisdiction, এবং ephemeral resource।

Linux distribution-এ SIFT Workstation (SANS Investigator Forensic Toolkit), CAINE, এবং Kali Linux— forensic-focused। এদের pre-installed tool এবং documentation forensic workflow সহজ করে।

Windows system-এ forensic-relevant artifact অনেক। Registry— user activity, installed software, USB device history, network connection। Specifically, NTUSER.DAT— user-specific configuration; SYSTEM hive— system-wide configuration।

Event Log— Security log-এ login, logout, privilege use; System log-এ service start/stop; Application log-এ application event। Event ID 4624 (successful login), 4625 (failed login), 4688 (process creation)— investigation-এ প্রায়ই key।

Prefetch files— Windows-এ application execution history। কোন executable কতবার চলেছে, কখন শেষ চলেছে।

MFT (Master File Table)— NTFS file system-এর core। File metadata— created, modified, accessed time। Even deleted file-এর metadata কখনো MFT-এ থেকে যায়।

USN Journal— file system change-এর log। Delete-recreate কেও track করা যায়।

Shimcache এবং Amcache— application execution evidence, প্রায়ই anti-forensic technique-এর পরও survive করে।

LNK files— shortcut, যা ফাইল access history প্রকাশ করে।

Browser artifact— history, cookies, cache, downloads, autofill, saved password— সব forensic gold।

Email artifact— Outlook .pst এবং .ost file, Thunderbird .msf এবং .mbox— communication trail।

Volatile data সবচেয়ে valuable এবং সবচেয়ে fragile। RAM-এ থাকে running process, open network connection, decrypted version of encrypted data, recently accessed file content, এবং কখনো কখনো cryptographic key।

Memory acquisition tool-এ FTK Imager, DumpIt (Comae), WinPmem, এবং LiME (Linux Memory Extractor)। Live system-এ minimal footprint-এ memory dump তৈরি করা।

Memory analysis-এর জন্য Volatility 2 (Python 2) এবং Volatility 3 (Python 3)— industry standard। Plugin-based architecture; প্রতিটি common analysis task-এর জন্য plugin আছে। pslist— running process list; pstree— parent-child relationship; netscan— network connection; cmdline— process command line; malfind— suspicious process injection; dlllist— loaded DLL।

Rekall— Google-developed, Volatility-র alternative। কম জনপ্রিয় কিন্তু powerful।

Memory forensics ransomware এবং fileless malware investigation-এ অপরিহার্য— এই attack disk-এ trace কম রেখে memory-তে main payload রাখে।

আক্রমণকারীরা forensic evidence destroy করার চেষ্টা করেন— এটা Anti-Forensics। Common technique-এ secure delete (sdelete, shred), wiping software, log clearing, timestomping (file timestamp manipulate), এবং steganography (data lukane বৈধ-looking file-এ)।

Live system-এ rootkit, bootkit এবং hypervisor-level malware traditional forensic tool থেকে hidden থাকতে পারে। Anti-VM এবং anti-debugging technique malware analysis-এ obstacle।

Encryption— BitLocker, VeraCrypt, FileVault— legitimate use কিন্তু forensic obstacle-ও। Pre-acquisition encryption key acquisition (live RAM থেকে), cold boot attack, এবং legal compulsion— এই challenge মোকাবেলার কৌশল।

Counter Anti-Forensics-এ specialized technique। File system slack space— allocated cluster-এর unused portion— প্রায়ই important data ধরে রাখে। Volume Shadow Copy— Windows snapshot— deleted file recover করতে পারে। SSD-এর TRIM functionality data recovery কঠিন করে কিন্তু সব ক্ষেত্রে impossible নয়।

Memory dump-এ anti-forensic effort প্রায়ই incomplete— memory-তে decrypted artifact, plaintext password পাওয়া যেতে পারে।

BTK Killer— Dennis Rader, একজন serial killer— ধরা পড়েন digital forensics-এর মাধ্যমে। তিনি police-কে একটি floppy disk পাঠিয়েছিলেন, যার metadata-তে তার church-এর নাম এবং তার first name "Dennis" পাওয়া গিয়েছিল। ৩০ বছরের investigation-এর সমাপ্তি।

Enron scandal— corporate fraud investigation-এ massive email forensic exercise। Millions of email analyze করে fraud pattern প্রকাশ।

Ross Ulbricht (Dread Pirate Roberts)— Silk Road operator— FBI তাকে যখন arrest করে, তখন তার laptop খোলা অবস্থায় ছিল, যা থেকে immediate evidence সংগ্রহ। যদি laptop encrypted এবং locked থাকত, evidence acquisition অনেক কঠিন হতো।

WannaCry এবং NotPetya— ২০১৭-এর এই global ransomware attack-এর investigation-এ digital forensics central। Kill switch domain আবিষ্কার (Marcus Hutchins), attribution North Korea-এর Lazarus group-এ— সব forensic বিশ্লেষণের ফল।

Sony Pictures Hack (২০১৪)— internal email এবং film leak। Digital forensics এবং threat intelligence মিলিয়ে North Korea-কে attribute।

বাংলাদেশ Bank Heist (২০১৬)— $৮১ মিলিয়ন SWIFT-based theft। Digital forensics আক্রমণকারীদের malware এবং technique reveal করেছিল, যদিও recovery limited ছিল।

Mobile device modern investigation-এর কেন্দ্রবিন্দু। প্রতিটি call, message, location, photo, app interaction— সব phone-এ। কিন্তু challenge-ও বড়।

iOS এবং Android-এর full-disk encryption default-ভাবে enabled। Device locked থাকলে data extraction প্রায় impossible without unlock। GrayKey, Cellebrite Premium-এর মতো specialized tool কিছু model unlock করতে পারে, কিন্তু এটি cat-and-mouse— Apple এবং Google নিয়মিত mitigation deploy করে।

Cloud sync— iCloud, Google Account— এর কারণে phone data cloud-এও থাকে। Search warrant-এর মাধ্যমে cloud provider থেকে data acquisition এখন standard practice।

App-level data— WhatsApp, Signal, Telegram— প্রতিটি app-এর নিজস্ব storage format এবং encryption। Specialized parser প্রয়োজন।

Digital Forensics-এ legal aspect equally important technical aspect-এর সাথে। Search warrant এবং subpoena-এর scope strictly follow করতে হবে। Out-of-scope data accidentally accessed হলে evidence inadmissible হতে পারে।

Privacy concern গুরুত্বপূর্ণ। Investigation-এর সময় investigator অনেক private data access করেন— personal photo, communication। Need-to-know principle এবং professional ethics maintain করতে হবে।

Cross-jurisdictional case— data এক দেশে, suspect অন্য দেশে, server তৃতীয় দেশে— complex। Mutual Legal Assistance Treaty (MLAT) এবং international cooperation প্রয়োজন।

Expert witness হিসেবে testimony— technical complexity-কে judge এবং jury-র জন্য understandable করে তোলা। Daubert standard (US) এবং তার equivalent অন্যান্য jurisdiction-এ scientific evidence-এর acceptability নির্ধারণ করে।

Digital Forensics-এ career পথ পেশাদার এবং academic উভয় route-এ। SANS Institute-এর GIAC certification— GCFA (Certified Forensic Analyst), GCFE (Certified Forensic Examiner), GREM (Reverse Engineering Malware)— widely respected। EnCase Certified Examiner (EnCE), Cellebrite Certified Operator (CCO)— vendor-specific।

Skill requirement-এ technical depth— operating system internal, file system, network protocol, programming। Investigation mindset— curiosity, attention to detail, methodical approach। Communication— clear writing এবং oral presentation, কখনো hostile cross-examination-এর মুখে।

Career path-এ law enforcement (FBI, local police cyber unit), corporate (incident response team, internal investigation), consulting (Mandiant, KPMG, Deloitte), legal (eDiscovery firms), এবং government agency।