DFIR Field Mistake
Digital Forensics And Incident Response Field တွင် ဖြစ်တတ်သည့် အမှားများ
Training နည်းပါခြင်း ဆက်လက်မလေ့လာခြင်း
သင့်တင့်လျှောက်ပတ်တဲ့သင်တန်းတွေကို တက်သင့်ပါတယ်။ အပြင်သင်တန်းပဲဖြစ်ဖြစ် Online ပဲ ဖြစ်ဖြစ်ပါ။ နည်းပညာတွေက Commercial Tools ပဲဖြစ်ဖြစ် Open Source ပဲဖြစ်ဖြစ် နေ့စဉ် လစဉ် တိုးတက်နေပါတယ်။ အပြင်လူထက်စာရင် အစိုးရ လခစားဖြစ်တဲ့သူတွေဆိုရင် ပိုဆိုးပါတယ်။ ဆက်လက်လေ့လာလိုစိတ်နည်းပါးတာတွေ ဖြစ်တတ်ပါတယ်။ Continuous Learning ဆိုတာက သင်တန်းတက်ရုံနဲ့ မဟုတ်ပဲ Community တွေမှာချိတ်ဆက်ခြင်း ပါ၀င်ဆွေးနွေးခြင်း။ Up To Date News and Technology တွေကို ဆက်လက်လေ့လာခြင်းတို့ဖြစ်ပါတယ်။ Problem ရှိရင်လဲ Community ရှိတဲ့အတွက် မေးလို့ရပါတယ်။ ဆက်လက်မလေ့လာတဲ့အခါမှာ နည်းပညာပိုင်းဆိုင်ရာနောက်ကျပြီး လုပ်နိုင်တဲ့ စွမ်းရည် ကျဆင်းလာပါတယ်။
Push Button အနှိပ်များခြင်း
အများဆုံးက Law Enforcement တွေမှာ အဖြစ်များပါတယ်။ Commercial Forensics Tools တွေက Button နှိပ်ရုံနဲ့ အလုပ်ဖြစ်တာကြောင့်ဘာကြောင့်ဒီလိုဖြစ်တယ် ဘာကြောင့် Click ရတယ်။ နောက်ကွယ်မှာ ဘာတွေလုပ်သွားတယ်ဆိုတာကို မသိတော့ပါဘူး။ ဒါတွေအပြင် Phone Computer တွေရဲ့ Storage များလာတဲ့အတွက်Bottom နောက်ကွယ်က အလုပ်လုပ်ပုံကို မသိအတွက် ဘယ်လို Analysis လုပ်ရမယ်ဆိုတဲ့ပိုင်းတွေ မသိတော့ပါဘူး။
Chain Of Custody
သက်သေခံပျက်ယွင်းအောင် လွှဲပြောင်းခြင်း အပိုင်းကပြည်ပမှတော့ ဒါတွေရှိပေမဲ့။ မြန်မာနိုင်ငံမှာတော့ လက်ရှိ Law အရမလိုအပ်ပါဘူး။
Missing Acquisition Techniques
ဒါကတော့ သိမ်းဆည်းတာရော Devices ကနေ Data ယူတဲ့အပိုင်းမှာ အားနည်းရင် Analysis လုပ်တဲ့နေရာမှာ လာပြီး အားနည်းချက်ရှိပါတယ်။ Law full ဖြစ်တဲ့နေရာ Case ကြီးရင် သိသာပါတယ်။
Live Acquisition
ဒါက သိမ်းဆည်းတဲ့နေရာမှာ ဖြစ်တဲ့ Fault ပါ။ Analysis လုပ်တဲ့နေရာမှာ လာထိခိုက်ပါတယ်။ မြန်မာအတွက် အခုအချိန် မလိုအပ်ပါ။ ဥပမာ အဓိကကျတဲ့ Browser History ကိုလိုချင်ပေမဲ့ Suspect က Private Mode သုံးနေတဲ့အခါမျိုးမှာပါ။
Cross Check
DF Tools တွေကထွက်လာတဲ့ Results တွေက တစ်ခါတစ်လေ တစ်ခုနဲ့တစ်ခုမတူတာတွေရှိပါတယ်။ တစ်ခုနဲ့ တစ်ခုက အားသာချက်ရှိသလို အားနည်းချက်လဲရှိပါတယ်။
ဥပမာ Magnet နဲ့ စစ်တဲ့ Results က Encase ထက်သာနိုင်သလို အချို့နေရာတွေမှာ မသာနိုင်ပါဘူး။ ဥပမာ။ Suspect က AnyThing ပေါ့ File တစ်ခုကို Download ယူတယ် Run Or Save တစ်ခုခုလုပ်ပါမယ်။ အဲလိုမျိုးက Encase မှာ မပြပေမဲ့ Magnet မှာပြတယ် (Full Log) ရှိခဲ့ရင်။ အဲလိုမျိုးကို Evidence ပြချင်ရင် ကျွန်တော် Organization မှာ Magnet ရှိရင် Magnet နဲ့ စစ်မယ်။ မရှိရင် Suspect သည် ဘယ်လိုလူမျိုးလဲ Normal User လား ဘယ်လို User လဲဆိုတာသိခွင့်ရရင် သူဘယ်လိုလုပ်မလဲဆိုတာ ခန့်မှန်းပြီး Trace လိုက်မှာ ဖြစ်ပါတယ်။
Brute-Force
File တစ်ခုခုက Password ခံထားတာပါ။ Passwarekit လိုမျိုးနဲ့ ဘလိုင်းသွားတိုက်ရင် နှစ်ရာချီကြာနိုင်ပါတယ်။ DF Tools တွေမှာ User တစ်ယောက်ရဲ့ Data or Device ကို Analysis လုပ်တာနဲ့ သူပေးတတ်တဲ့ Password ကို Dictionary အနေနဲ့ ထုတ်ပေးပါတယ်။ ဒါမှမဟုတ် Social Engineering နည်းလမ်းအသုံးပြုတာ ဖြစ်ပါတယ်။
Time UTC Error
ပြည်ပက စံတော်ချိန်ဖြစ်နေတဲ့ Device Or Logs တွေကို စစ်ရင် အချို့က UTC Time ကို သူတို့ စံတော်ချိန်နဲ့ထားတတ်တာတွေရှိပါတယ်။ ကိုယ်လိုချင်တဲ့ Facts အပေါ်မူတည်ပြီး Tools မှာ UTC ပြောင်းလဲ သတ်မှတ်ပေးရပါတယ်။
Destroy Evidence
ကိုယ်စစ်တဲ့ Devices ရဲ့ Evidence တွေကို ကိုယ်တိုင် မသေချာပဲ ရမ်းသန်းပြီးလုပ်ရင်းနဲ့ ပျက်တာမျိုးဖြစ်ပါတယ်။
Comments