Category Archive Forensic

Cyber Forensics – Part 1

What is Cyber Forensics ?

CERT ကေနအဓိပၸာယ္ဖြင့္ဆုိထားတာကေတာ့ …. Network or information System တစ္ခုကုိ ကုိင္တြယ္ေနရသူတစ္ေယာက္ဟာForensics အေျခခံကုိ နားလည္ရမယ္လုိ႕ ဆုိပါတယ္။ ပုိမုိျပည္စုံေအာင္ဖြင့္ဆုိမယ္ဆုိရင္သိပၸံနည္းပညာဆုိင္ရာအခ်က္အလက္ေတြကို အသုံးခ်ျပီး အခ်က္အလက္ေတြကုိစစ္ေဆးျခင္းသက္ေသေတြကုိစုစည္းျခင္းတုိ႕ျဖစ္ပါတယ္။ သက္ေသေတြကုိ စုစည္းျခင္း ဆုိတာကေတာ့ DNA fingerprint တုိ႕ကုိ စစ္ေဆး စုစည္းျခင္းကဲ့သုိ႕ပဲျဖစ္ပါတယ္။ ဒီေနရာမွာကေတာ့ data ေတြကုိ စစ္ေဆးျပီး သက္ေသ ခံရွာေဖြျခင္းျဖစ္ပါတယ္။

Forensics မွာ အဓိက လုပ္ငန္းကေတာ့ ငုပ္လွ်ဳိးေနတဲ့ အခ်က္အလက္ေတြကုိ ရွာေဖြေဖာ္ ထုတ္ျခင္းျဖစ္ပါတယ္။ေဖာ္ထုတ္တယ္ဆုိတာမွာ RECOVERY လုပ္ျခင္းအပုိင္းအပါအ၀င္ နည္းအမ်ုိးမ်ဳိးရွိပါတယ္.။ ဥပမာ… ကြန္ပ်ဴတာေပၚမွာက်န္ခဲ့တဲ့ လက္ေဗြ… DNA ယူျခင္းဟာလည္း Forensics အပို္င္းမွာပါ၀င္ပါတယ္။ CyberForensicsမွာအဓိကအခ်က္၂ရွိပါတယ္။
ပထမအခ်က္
ဖမ္းဆည္ရမဲ့သူဟာ…. ဖမ္းဆည္းေနခ်ိန္မွာ Electronic Device ကုိအသုံးျပဳေနျပီး ဘာေတြလုပ္ေဆာင္ေနသလဲ ဥပမာ online ေလာင္းကစားလုပ္ေနတာလား စသည္ျဖစ္ေပါ့ …. ျပီးရင္ Website ကုိအသုံးျပဳျပီးလုပ္ေဆာင္ေနတာလား Software ကုိအသုံးျပဳျပီးလုပ္ ေဆာင္ေနတာ လားဆုိတာ ၾကည့္ရပါမယ္။ Electronic Deviceဆုိသည္မွာ PC, Laptop, Tablet, mobile phone, GPS, CD, DVD, SD Card, USB, Router, Switch, Server, IoT device စသည္ျဖင့္ ပါ၀င္ပါတယ္…. (ဘာလုိ႕ Internet of things (IOT) ကုိ ထည့္ရသလဲဆုိရင္ IoT device ေတြေပၚကေန crime က်ဴးလြန္ႏုိင္လုိ႕ျဖစ္ပါတယ္ …
အခ်ဳိ႕ေသာ ႏုိင္ငံေတြရဲ့ Cyber Law မွာ IOT Device အတြက္ပါ ထည့္သြင္းေရးဆြဲထားတာကုိ ေတြကရွိရပါသည္။)

ဒုတိယအခ်က္
ပထမအခ်က္ လုပ္ေဆာင္ခ်က္ေတြကုိ စစ္ေဆးျပီး တရားရုံးသုိ႕ တင္ႏုိင္မဲ့ သက္ေသခံယူရမွာျဖစ္ပါတယ္…အေရးၾကီးတဲ့အခ်က္ ၂ ခ်က္က်န္ပါေသးတယ္။

ပထမ

စစ္ေဆးျပီး သက္ေသခံရွာေဖြျပီး တာနဲ့မပီးေသးပါဘူး သက္ေသခံ Device ကုိ မပ်က္စီးေအာင္သိမ္းဆည္းရမွာျဖစ္ပါတယ္…စစ္ေဆးတဲ့ေနရာမွာလဲ သိမ္းဆည္းထားတဲ့ မူရင္း Device ကုိမပ်က္စီးေစပဲ  ဘယ္လုိထိမ္းသိမ္းမွာလဲ ဘယ္လုိမွတ္သားထားမွာလဲ Case အလုိက္ရက္စြဲအလုိက္မွတ္သားထားမွာလား?
ဘယ္သူက ဘယ္ေန႕ ဘယ္အခ်ိန္မွာ ဘယ္လုိနည္းလမ္းအသုံးျပဳျပီး စစ္ေဆးမွာလဲဆုိတာကုိလဲ …အေသးစိတ္ မွတ္တမ္းထားရွိရမွာျဖစ္ပါတယ္။

(သိမ္းဆည္စဥ္မွာ အေျခအေနအရ စစ္ေဆးတာ သက္ေသယူတာက
မျပီးေသးဘူးဆုိရင္ … Device ကုိ Power ပိတ္ယူမွာလား …ဖြင့္ယူမွာလား ….ရွိပါေသးတယ္ .. Computer Forensic အပုိင္းက်မွ အေသးစိတ္ျဖစ္ေအာင္ ေရးသားပါမယ္)

ဒုတိယ….
ရရွိလာတဲ့သက္ေသေတြကုိ ရွင္းရွင္းလင္းလင္း ခုိင္ခုိင္လုံလုံျဖစ္ေအာင္ေရး မယ္ … ျပီးရင္ သက္ေသခံ Device နဲ့တစ္ကြ တရားရုံကုိ တင္မယ္ ..

ေနာက္ post ေတြမွာ Example ပုံစံေတြ …. အေသးစိတ္လုိက္နာရမဲ့အပိုင္းေတြ စစ္ေဆးရမဲ့နည္းလမ္းေတြ(အက်ဥ္းခ်ဳပ္ေပါ့)ကုိေရးသားေပးပါမယ္..

Hypothesis လုိ႕ေခၚတဲ့ ထင္ျမင္ ယူဆခ်က္အေၾကာင္းလာပါျပီ …..

Case တစ္ခုအတြက္ဖမ္းဆီးျပီး သက္ေသခံ Device (Laptop ပဲဆုိၾကပါစုိ႕) ကုိသိမ္းထားလုုိက္ျပီး
ဥပမာ … ကေလးသူငယ္ပုံေတြကုိတင္ျပီး အြန္လုိင္းကေန လိင္အၾကမ္းဖက္လုပ္ေဆာင္တဲ့အမႈေပါ့ ….

လုပ္ေဆာင္တဲ့သူကဒီလူပဲဆုိတာလဲေသခ်ာသေလာက္ရွိေနျပီး…. laptop ကုိအသုံးျပဳျပီး ျပစ္မႈက်ဴးလြန္တယ္လုိ႕လဲယူဆတယ္….ခက္တာကသိမ္းဆည္းမိတဲ့LaptopကWindow ျပန္တင္ထားတာမၾကာေသးဘူး ….. ….ကဲယူဆခ်က္ေတာ့ရွိျပီးသက္ေသခံအခ်က္အလက္ကမရေသးဘူး…ကဲ.. ဘာလုပ္မလဲ …. laptop အသုံးျပဳထားတဲ့ Time … Window ျပန္တင္ထားတဲ့အခ်ိန္ကုိ ၾကည့္မယ္ …. ျပီးရင္ …. Storage Device ျဖစ္တဲ့ Hard Disk ဒါမွမဟုတ္ SSD ေပါ ့ …. အဲဒါေတြရဲ့ Power On Time စစ္မယ္ …
HD or SSD ၇ဲ့ Health ကုိစစ္မယ္ …. စစ္ေဆးေနတုန္း… HD ၾကြသြားရင္ လုံး၀အဆင္မေျပႏုိင္ဘူးေလ….

အေရးအၾကီးဆုံးအခ်က္ကေတာ့ … မူရင္း HD or SSD ကေန Clone ယူျပီး စစ္ေဆးတာ အေကာင္းဆုံး နည္းလမ္းျဖစ္ပါတယ္ …ဒါမွ သက္ေသခံလဲ မပ်က္စီးပဲ တရားရုံးမွာျပႏုိင္မယ္ ….

အေျခအေနအရ clone ပဲယူယူ .. မူရင္းကုိပဲစစ္စစ္ …. Recovery ေတြ Undelete နည္းလမ္းေတြနဲ႕အဆင္မေျပဘူး ….ကဲ … ဘာလုပ္မလဲ ထင္ျမင္ယူဆတာနဲ႕လြဲေနျပီး …. ဒါဆုိရင္ ကုိယ္က ဘယ္လုိနည္းလမ္းေတြအသုံးျပဳျပီးျပီးလဲ ….ေနာက္ထပ္ သိပၸံနည္းက် ဘယ္လုိနည္းလမ္းေတြကုိ အသုံးခ်ျပီး သက္ေသခံရေအာင္ယူမလဲ …. မိမိကြ်မ္းက်င္မႈ အလုိက္အသုံးခ်ရမွာျဖစ္ပါတယ္ …….

Author – Aung Zaw Myo

Tags, , , , ,