Digital Forensics Myanmar

 McAfee Antivirus  တည်ထောင်သူ  John McAfee  အခွန်ရှောင်တိမ်းမှုနဲ့ တရားစွဲခံရနေရတဲ့ အချိန်မှာ John McAfee  ဘယ်သွားတယ် ဘယ်နေရာရောက်နေတယ်ဆိုတာကို OSINT သုံးပြီး ရှာဖွေ စုံစမ်းတဲ့ အချိန်မှာ သုံးတဲ့ Case Study ပါ။ ရှာဖွေတဲ့သူတွေကတော့ Bellingcat အဖွဲ့ပဲဖြစ်ပါတယ်။  သူဘယ်နေရာရောက်နေတယ်ဆိုတာကို သိဖို့အတွက် Day by Day Time Line (Twitter Post နှစ်ခုရဲ့အချိန်နဲ့) နေရာ ဓာတ်ပုံနှစ်ပုံရဲ့ တည်နေရာ အပေါ်မူတည်ပြီးတွက်ချက်ပါတယ်။ ဒီလိုရှာဖွေဖို့အတွက်  အောက်ပါအတိုင်း Section - 4 ခု   ပိုင်းလိုက်ပါတယ်။ 1. Point B (ဓာတ်ပုံတင်တဲ့နေရာ)  2. Point C ( သူက ဘယ်နေရာကို ခရီးသွားနေတာလဲ) 3. Point A ( ဘယ်နေရာကနေ ဘယ်အချိန်မှာ ခရီးသွားစသွားတာလဲ) 4. Geolocation Analysis Of The Point B Image (Point B Image တည်နေရာကို Analysis ပြုလုပ်ခြင်း) Analysis လုပ်တဲ့ တစ်လျှောက်လုံး သုံးသွားတဲ့ Tools တွေက Free , Open Source တွေပဲ ဖြစ်ပါတယ်။  Tools = (Google Maps, GIMP (Image Editing) and Twitter)  Point B (ဓာတ်ပုံတင်တဲ့နေရာ)  John McAfee က 28-01-2020 Twitter မှာ ပုံတင်ထားပါတယ်။   - ဒီလိုမျိုး Case ဆိုရင် ဘယ်ကနေ ဘယ်လို စလုပ

 OSINT ဆိုတာဘာလဲ?       OSINT ရဲ့ အရှည်ကောက်က Open Source Intelligence Technique ဖြစ်ပါတယ်။ Internet နဲ့ World Wide Web (WWW) ပေါ်လာတဲ့ အချိန်ကနေစပြီး OSINT ဆိုတာက ပေါ်လာပါတယ်။  OSINT ဆိုတာ Public မှာ တင်တဲ့ သတင်းအချက်အလက်မှန်သမျှ ကို စုဆောင်းတယ်။ အခုဆိုရင် Socail Media တွေပါ ပါလာတာပေါ့။ အဲလို စုဆောင်းတယ် စုဆောင်းလို့ရသမျှသတင်းတွေကို (AI ရော။ လူရော ပေါင်းစပ်ပြီး။ Analysis လုပ်တယ်။) Analysis လုပ်ပြီးရလာတဲ့ အချက်အလက်တွေကို အခြားတစ်နေရာကနေရလာတဲ့ သတင်းအချက်အလက်တွေနဲ့ ပေါင်းစပ်ပြီး ထပ်ပြီး Analysis ပြုလုပ်တယ်။ နောက်ဆုံးရလာတဲ့ Analysis အ‌ဖြေကို Decision လုပ်ပြီး အသုံးချတယ်။ Public ဖြစ်နေတဲ့  Data တွေကို ကောက်ယူတဲ့အတွက် ကုန်ကျမှု သက်သာပါတယ်။  ဘယ်နေရာတွေမှာ အသုံးချလဲ စီးပွားရေး ။ နိုင်ငံရေး။ လူမှုရေး ။ စစ်ရေး အပြင် အခြား Intelligence အပိုင်းတွေအတွက်  မဟာဗျူဟာကျကျအသုံးချပါတယ်။ ဒါတွေအပြင် Cyber Security , National Security , စတဲ့ တစ်ဦးတစ်ယောက်ချင်းမှသည် အဖွဲ့အစည်းပိုင်း နိုင်ငံ Level အထိ ဆိုင်ရာအခန်း အလိုက် အသုံးချနိုင်ပါတယ်။  ဥပမာ  စီးပွားရေးဆိုရင် စင်ကာပူကို ကျော်ချင်တဲ့အတွက်  စလုံးငွေ‌ တန်ဖို

Data Acquisition ကျွန်တော်တို့ Information Security မှာလိုပဲ Digital Forensics လုပ်မယ်ဆိုရင် Investigator က အရင်ဆုံး Data တွေကို Collect လုပ်ရပါတယ်။ Investigator အနေနဲ့ လုပ်ငန်းခွင်မှာ Evidence နဲ့ပတ်သတ်တဲ့ System/Storage တွေကိုကိုင်တွယ်ရတာမျိုးရှိလာပါမယ်။ System/ Storage က Suspect သို့မဟုတ် Victim ရဲ့ ပစ္စည်းဖြစ်နိုင်ပါတယ်။ ကျွန်တော်တို့ အနေနဲ့ မူရင်း System/ Storage ကို ဥပဒေပိုင်းအရဆောင်ရွက်ရမှာဖြစ်တဲ့အတွက် System ကိုတိုက်ရိုက် Analysis မပြုလုပ်ပါ။  What Is Acquisition?  Acquisition ဆိုသည်မှာ Evidence Device တွေကို Forensics Copy ပြုလုပ်ခြင်းဖြစ်ပါတယ်။ Evidence Device တွေက (Hard Disk, USB, Etc …) တွေဖြစ်နိုင်ပါတယ်။ Investigator က Analysis ပြုလုပ်ရင်းကြုံတွေ့လာနိုင်တဲ့ ပြသာနာတွေကို ရှောင်ရှားနိုင်ဖို့ အတွက် သူ Analysis ပြုလုပ်ရတဲ့ Physical System မှာ တိုက်ရိုက်လုပ်ဆောင်ခြင်းမရှိသင့်ပါ။ ဒါကြောင့် Investigator တွေက သူတို့ စစ်ဆေးမဲ့ System ရဲ့ Forensics Image ကိုရယူပြီး  Analysis ပြုလုပ်ပါတယ်။ Forensics Image က System Storage အကုန်လုံးလဲ ဖြစ်နိုင်ပါတယ်။ ဒါကြောင့် Data Acquisition က Syste

 hiberfil.sys ကွန်ပျူတာ Sleep ဖြစ်တဲ့အခြေအနေမှာ Power Saving လုပ်တဲ့အနေနဲ့ ကွန်ပျူတာမှာ လုပ်နေတဲ့ အလုပ်အားလုံးက RAM ပေါ်ကိုရောက်သွားပါတယ်။ ဒါပေမဲ့ Sleep အနေထားက ကွန်ပျူတာ ပါဝါမရှိတော့ရင် Ram ပေါ်ကိုခုနက သိမ်းထားတဲ့ အချက်အလက်တွေအားလုံးပျောက်သွားနိုင်ပါတယ်။ Hibernate Mode မှာတော့ လက်ရှိ ကွန်ပျူတာမှာ လုပ်နေတဲ့ Process တွေကို Non-Volatile Information ဖြစ်တဲ့ Storage ထဲမှာသွားပြီး သိမ်းထားပါတယ်။ ပါဝါ မရှိတော့ရင် အချက်အလက်တွေ မပျောက်ဖို့ဖြစ်ပါတယ်။  Hybrid Sleep ကို Window 10,11 တင်ထားတဲ့ Desktop ကွန်ပျူတာတွေမှာ Default အနေ နဲ့ဖြစ်နေပါတယ်။ Hibernate Mode နဲ့ Sleep Mode နှစ်ခုပေါင်းထားခြင်းဖြစ်ပါတယ်။ Desktop ကွန်ပျူတာတွေမှာ Power Backup မရှိတဲ့အတွက်ပါ။ နောက်ပိုင်း Laptop တွေမှာတော့ modern standby /connected standby ဖြစ်လာပါတယ်။ Fast startup Mode ကတော့ Window 10,11 မှာ Boot Time မြန်အောင် ပြုလုပ်ပေးတာဖြစ်ပါတယ်။ Hybrid Sleep Mode, Hibernate Mode, Fast Startup Mode တွေမှာ Running ဖြစ်နေတဲ့ အလုပ်တွေကို Non-Volatile Information ဖြစ်တဲ့ ကွန်ပျူတာ Storage ထဲမှာ hiberfil.sys အနေနဲ့သွားပြီး သိမ်းထားပါတ

 Facebook Profile Lock ကပြီးပြည့်စုံတဲ့ Lock တစ်ခုလား  Open Source ဖြစ်တဲ့ FB Graph Search ကို ကောင်းကောင်း အသုံးချရင်  Public Post, Public Group, Public Page တွေမှာ သူ Share, Post, Comment လုပ်တာခဲ့တာမှန်သမျှက ‌ပေါ်နေဆဲပါ။ အရင်က Graph Search ဆိုပိုပြီးပြည့်စုံတယ်။  2019နှစ်ကုန်  လောက်ကတည်းက သုံးမရတော့လို့။  ဘယ်လို အသုံးချမလဲဆိုရင် လူတစ်ယောက် သူကဘယ်လိုမျိုးလဲ  ဘယ်လို အသုံးအနှုန်းတွေသုံးတတိသလဲ  Public Page Group Post တွေမှာ ဘယ်လိုစာတွေကို Share Post Comment  ကို လူအများက ဘယ်လို ‌ပေးတတ် လုပ်တတ်လဲ အဲဒီနေရာတွေက  ဘယ်နေရာတွေလဲ  သူက ဘယ်လိုအရေးအသားမျိုးရေးတတ်သလဲ ဒါမှမဟုတ် လူတစ်ယောက်က ဘာတွေကိုတော့ ရေးတတ် သုံးနှုန်းတတ်သလဲ ဘယ်လို Keywords တွေနဲ့ ရှာရင် ပိုအဆင်ပြေမလဲ  Facebook ကလဲ AI တွေကောင်းလာတော့  ဥပမာအနေနဲ့- ပန်းသီးပုံ တစ်ပုံတင်ထားတယ်(ပုံမှာ Post မှာ စာ ဘာမှရေးမထား) အဲလိုမျိုး Post မှာ yummy လို့ သွားမန့်ထားတယ်။ Keywords ကို Apple လို့  ရှာလိုက်ရင် ခုနက ပန်းသီးပုံနဲ့ ‌ Comment ကို တွေ့ရတယ်။  Digital Trace ဆိုတာက သုံးတာနဲ့အမျှ ကျန်နေခဲ့မှာပါ။ သုံးတာကြာလေ များများသုံးလေ Digital Trace ကျန်တာများလ

 Major Concepts Digital Forensics နဲ့သတ်သတ်ပြီး အဓိက နာလည်းသဘောပေါက်ရမဲ့ အချက်များကို ဖော်ပြထားပါသည်။ Commingling or Contamination  (Vlog တွင် Digital Forensics Lab Guidelines အကြောင်း အသေးစိတ် ရေးသားထားပါတယ်။) Digital Forensics Image ပြုလုပ်ရာတွင် Copy လုပ်မဲ့ Storage ထဲတွင် data များမရှိစေရ ။ ယခင် ယခု data များပေါင်းစပ်ကုန်မှာစိုးတဲ့ အတွက်ဖြစ်ပါတယ်။Storeage အသစ် ဒါမှမဟုတ် Storage ကို  Forensics Wipe ပြုလုပ်ရမှာ ဖြစ်ပါတယ်။  Image ပြုလုပ်တဲ့ Storage ထဲကို အခြာသော data တွေကူယူခြင်မပြုလုပ်ရပါဘူ။ သီသန့်ထားရှိပြီး Forensics Image အတွက်သာ သုံးစွဲရပါမယ်။Documents ပြုလုပ်ရာမှာ သီသန့်ပြုလုပ်ရမှာဖြစ်ပြီးCase နဲ့ ဆက်နွယ်နေတဲ့ Digital Devices မျာကို သေချာစွာ မှန်ကန်စွာ Documents ပြုလုပ်ရပါမည်။ example - Laptop + External HD Case ကတစ်ခုတည်းကလာတယ်။ ဒါဆိုရင် laptop image ရော External HD ရဲ့ Image ရော Tools တစ်ခုထဲမှာ ပေါင်းစစ်ရင်ရတယ်။ Commercial Tools တွေမှာ Advance Function တွေပါတဲ့ အတွက် လူသက်သာတယ်။ မြင်သာတယ်။  ပြီးရင် သုံးနှုန်းတဲ့ အသုံးအနှုန်းတွေက ရှင်းလင်းပြီး ရော‌ထွေးမှုမရှိစေရန် ဖြစ်ပါတယ်။ ဥပ

 Physical Cass လို လူတစ်ယောက်ရတဲ့ ဒဏ်ရာကိုကြည့်ပြီး သူ့ကို ဒဏ်ရာရအောင် ဘယ်လက် or ညာလက်နဲ့ လုပ်တာလားဆိုတာခွဲခြားသလို Digital Forensics မှာလဲ အတူတူပါပဲ Evidence Device ကိုကြည့်ပြီး ပထမဆုံး ရနိုင်မဲ့ Data တွေကို Collect လုပ်ယူပါတယ်။ ရလာတဲ့ data အပေါ်မူတည်ပြီး Hypothesis တည်ဆောက်ပြီး Case နဲ့ သက်ဆိုင်တာကို ရှာဖွေပါတယ်။  Analysis မှာ Deleted File ၊ File ကို Modified Access Creat လုပ်တဲ့ အချိန်တွေရရှိနိုင်ပါတယ်။ ဒါ့အပြင် ကိုယ်ရထားတဲ့ Evidence က အခြား Evidence Source နဲ့ ဆက်နွယ်မှုရှိနေတာ‌တွေလဲ တွေ့ရပါတယ်။  ဆိုလိုချင်တာက ဥပမာ Evidence Image တစ်ခုက အခြားတစ်ယောက်ဆို ပို့ပြီး တစ်နည်းနည်းနဲ့ ပတ်သတ်မှုရှိနေတာမျိုး။  Analysis ပြုလုပ်တဲ့နေရာမှာ အခြားနိုင်ငံတွေကတော့  Forensics Work Station, Evidence Storage အတွက် NAS လိုဟာတွေနဲ့ အခြားအထောက်အကူပြု Accessories တွေအသုံးပြုကြပါတယ်။  Analysis လုပ်တဲ့ အဆင့်တွေမှာ များသောအားဖြင့် တူညီ‌တာတွေကို ဖော်ပြထားပါတယ်။ ဒါပေမဲ့ ကိုယ် Analyais လုပ်တဲ့ Case အပေါ်မူတည်ပြီး မတူညီနိုင်တာတွေလဲ ရှိပါတယ်။ Creating Forensics  Image ပထမဆုံး Evidence လုပ်မဲ့ Storage ကို Duplicat

Digital Forensics Lifecycle Analysis Analysis အဆင့်မစတင်မှီ အရေးကြီးဆုံးသော အချက်မှာ Device  အား လုံခြုံစိတ်ချစွာထားသိုရမည်ဖြစ်ပါသည်။ Analysis မစတင်မှီ Evidence ရဲ့ Storage Media  အား Forensics Image ပြုလုပ်ရမည်ဖြစ်ပါသည်။ ဒါပေမဲ့ Forensics Image ပြုလုပ်လို့မရသော အခါများရှိနိုင်ပါသည်။ Example - Mobile Forensics တွင် physical Extraction (Mobile အတွင်းရှိ Storage ကိုရယူခြင်း) မှလွဲပြီး ကျန်သော Manual,  Logical , File System  Extraction နည်းလမ်းများတွင် Forensics Image မရယူနိုင်ပါ။Analysis Results ကောင်းစွာ ရရှိဖို့အတွက် Analyais ပြုလုပ်တဲ့ အဆင့်တိုင်းမှာ မှန်ကန်တိကျဖို့ အရေးကြီးပါတယ်။ တစ်ဖက်ရှေ့နေ မေးခွန်းမေးလို့ရအောင် ယိုပေါက်ဟာကွက်မရှိစေရပါဘူး။ Acquisition Phase (Evidence Seizure Phase) မှာလိုပဲ Analysis ပြုလုပ်တဲ့နေရာမှာ အသုံးပြုတဲ့ Tools တွေ Analysis ပြုလုပ်တဲ့ အဆင့်တွေကို Documents ပြုလုပ်ထားရပါမည်။  (Commercial Tools တွေမှာ Analysis လုပ်ဖို့ Forensics Image ထည့်လိုက်တဲ့အချိန်ကနေစပြီး  Investigator လုပ်သမျှ Forensics Image ကနေ Read only နဲ့ ဖွင့်ကြည့်သမျှကို Log အနေနဲ့ သိမ်းဆည်းထားပါ

Digital Forensics Life Cycle Digital Forensics Life Cycle မှာ အဆင့် 3 ဆင့်ရှိပါတယ်။ Evidence က မှန်ကန်ဖို့ ခိုင်လိုဖို့ ဒီအဆင့် 3 ဆင့်ကို လိုက်နာဖို့  လုပ်‌ဆောင်ဖို့ အကြံပြုပါတယ်။                                               Acquisition - Analysis - Presentation  Acquisition  Acquisition ဆိုတာကတော့ Storage Media  ကို Forensics Image (Forensically Sound image )ကို Physically, Remotely  ပြုလုပ်ခြင်းဖြစ်ပါတယ်။  (Data Center လိုမျိုး Storage ပမာဏများပြားတဲ့နေရာ Downtime ပြုလုပ်လို့ မရတဲ့နေရာတွေမှာ Remote Acquisition နည်းလမ်းကို အသုံးပြူပါတယ်။  Acquisition အဆင့်ဟာ Evidence Vaild ဖြစ်မဖြစ်ဟာ ဆုံးဖြတ်တဲ့ အတွက် အရေးကြီးတဲ့ အပိုင်းဖြစ်ပါတယ်။ ဒါအပြင် အခြားအရေးကြီးတဲ့ အကြောင်းအရာဖြစ်တဲ့ Illegally ပြုလုပ်တာ မပြည့်မစုံ မမှန်မကုန်စွာ လုပ်တာတွေက ကျန်တဲ့ အဆင့်‌တွေပေါ်မှာ သွားပြီးသက်ရောက်ပါတယ်။ Results မမှန်ကန်နိုင်ပါဘူး။ Example -  Evidence ဖြစ်အောင် အခြားအရာတွေ ထပ်မံထည့်သွင်းခြင်း။ Storage Media ကို မပြည့်မစုံ Image ပြုလုပ်ခြင်း။  CSI Series ထဲမှာတော့ To get to the evidence, we might destroy the evi

Digital Forensics ပြုလုပ်တဲ့ အခါမှာ အဓိက အခြေခံလိုအပ်ချက်တွေကတော့  Digital Evidence + Digital Forensics Tools + Scientific Methods  ဘယ်လို Crime မျိုးမျိုးဖြစ်ဖြစ် အဓိက လိုအပ်တာက Evidence ပဲဖြစ်ပါတယ်။ ဥပမာ လူသတ်မှုမျိုးဆို လက်‌ဗွေ DNA  Evidence  Digital World မှာတော့ Digital Evidence ကို အဓိပ္ပာယ်ဖွင့်ဆိုရင်ရင် Digital Information ကို  Store, Transmit, Produce, လုပ်နိုင်တဲ့ Electronic Device / Software မှန်သမျှကို Digital Evidence လို့သတ်မှတ်ပါတယ်။ ဥပမာ Photo, Download File, Print logs, Browsing History, Email, Deleted File, etc... Crime Scene တစ်ခုမှာ Digital Devices တွေပါ၀င်လာရင် အထူးသတိထားရမှာ ဖြစ်ပါတယ်။ Digital Evidence တွေ Device တွေက ပျက်စီးလွယ် အစားထိုးလွယ်လို့ Device and Application တွေဘယ်လိုအလုပ်လုပ်တယ် ဘယ်နေရာမှာ သုံးစွဲတယ်ဆိုတာကို သိထားရမှာ ဖြစ်ပါတယ်။ သိမ်းဆည်းတဲ့ နေရာမှာ စနစ်မကျဘူးဆိုရင် Court မှာသက်သေခံ မ၀င်နိုင်တဲ့ အထိဖြစ်သွားနိုင်ပါတယ်။ ဒါတင်မက Investigator ရဲ့ Knowledge and Process Evidence Quality အစရှိတာတွေက Court မှာအဆုံးအဖြတ်ပေးသွားမှာ ဖြစ်ပါတယ်။  (အချို့သော နိုင်ငံ

 eCDFP   Introduction To Digital Forensics   Introduction Digital Forensics Investigator တွေက လူတွေရဲ့စိတ်ကို တိုက်ရိုက်သိဖို့ မကြိုစား‌ပါ ဒါပေမဲ့ ယခုခတ်  Digital Devices တွေထဲမှာ အခြားလူတွေ မသိတဲ့လျှို့ဝှက်ချက်တွေ စီးပွားရေး လူမှုရေး ကဲ့သို့သော Secret Information တွေ အများကြီး ရှိနေပါတယ်။  ဆိုလိုရင်းက လူတစ်ယောက်ကို အကြောင်းအရင်း မေးနေတာထက် သူ့ရဲ့ Digital Devices တွေထဲမှာ Secret တွေပိုရှိတယ်လို့ဆိုလိုချင်တာပါ။  Digital Forensics ရဲ့ Basic Concept ကိုနားလည်းမယ်ဆိုရင် Digital Forensics ရဲ့ Branch တွေကို  သီးခြားလေ့လာတဲ့ အခါ အထောက်အကူဖြစ်ပါလိမ့်မယ်။  eCDFP မှာပါ၀င်တဲ့ Module တွေကတော့  Introduction to Digital Forensics Data Acquisition  Documents and  File Metadata  Disk and File System  Window Forensics  Network Forensics  Log Analysis Log Analysis and Correlation  Timeline Analysis and Reporting Digital Forensics မှာ အခြားသော Specialized Field တွေရှိပေမဲ့ ယခုလေ့လာရမဲ့  Module တွေက အရေးကြီးတဲ့ အခြေခံ အကြောင်းအရာတွေပဲဖြစ်ပါတယ်။ အခြေခံအကြောင်းအရာတွေကို သိရှိပြီးတဲ့နောက်မှာတော့ ကိုယ် စိတ်၀င်

 Covid day - 18 (Covid Negative Day)  (Bitlocker + TPM) (Bitlocker + TPM + Pin) အတွက် Forensics Point Of View  (User ဆီက Password, Pin တောင်းမယ်ဆိုတဲ့ အဆင့်ကို ကျော်ထားပါတယ်။) Trusted Platform Module (TPM) ဆိုတာက Cryptoprocessor တစ်ခုဖြစ်သလို Built-in Memory  လဲပါရှိပါတယ်။ Cryptographic Key တွေကို Computer Mother Board နဲ့ ပေါင်းစပ်ပြီး  ထိမ်းသိမ်း ဆောင်ရွက်‌ပေးပါတယ်။  TPM က Motherboard Built in အနေနဲ့ပါရှိသလို Support ပေးတဲ့ Motherboard တွေမှာ Module အနေနဲ့ ထပ်ပြီးတပ်လို့ရပါတယ်။  Bitlocker က AES-128 ကို အသုံးပြုပြီး UEFI အတွက် XTS , Legacy Boot အတွက် CBC ကိုအသုံးပြုပါတယ်။ Data တွေကို Volume Master Key  (VMK) နဲ့ Encryption ပြုလုပ်ပါတယ်။ VMK ကို ဘယ်ကနေရနိုင်မလဲဆိုရင်  1 - Bitlocker Password  2 - Encryption Enable ပြုလုပ်တဲ့ အချိန်မှာ Save ထားတဲ့  File, USB, Print, Note, Microsoft Accout,  3 - Trusted Platform Module (TPM)  Bitlocker + TPM  TPM ရဲ့ အလုပ်လုပ်ပုံက Block Chain ပုံစံနဲ့ ဆင်တူပါတယ်။ System Boot စတက်တဲ့ အချိန်မှာ Chain Of Truth ကိုစတင်လုပ်ဆောင်ပြီး Platform Configuration Regi