DFIR Field Mistake

Digital  Forensics And Incident Response Field တွင် ဖြစ်တတ်သည့် အမှားများ

Training နည်းပါခြင်း ဆက်လက်မလေ့လာခြင်း

သင့်တင့်လျှောက်ပတ်တဲ့သင်တန်းတွေကို တက်သင့်ပါတယ်။ အပြင်သင်တန်းပဲဖြစ်ဖြစ် Online ပဲ ဖြစ်ဖြစ်ပါ။  နည်းပညာတွေက  Commercial Tools ပဲဖြစ်ဖြစ် Open Source ပဲဖြစ်ဖြစ် နေ့စဉ် လစဉ် တိုးတက်နေပါတယ်။ အပြင်လူထက်စာရင်   အစိုးရ လခစားဖြစ်တဲ့သူ‌တွေဆိုရင် ပိုဆိုးပါတယ်။ ဆက်လက်လေ့လာလိုစိတ်နည်းပါးတာတွေ ဖြစ်တတ်ပါတယ်။ Continuous Learning ဆိုတာက သင်တန်းတက်ရုံနဲ့ မဟုတ်ပဲ Community တွေမှာချိတ်ဆက်ခြင်း ပါ၀င်ဆွေးနွေးခြင်း။ Up To Date News and Technology တွေကို ဆက်လက်လေ့လာခြင်းတို့ဖြစ်ပါတယ်။ Problem ရှိရင်လဲ Community ရှိတဲ့အတွက် မေးလို့ရပါတယ်။  ဆက်လက်မ‌လေ့လာတဲ့အခါမှာ နည်းပညာပိုင်းဆိုင်ရာနောက်ကျပြီး လုပ်နိုင်တဲ့ စွမ်းရည် ကျဆင်းလာပါတယ်။

Push Button အနှိပ်များခြင်း

အများဆုံးက Law Enforcement တွေမှာ အဖြစ်များပါတယ်။ Commercial Forensics Tools တွေက Button နှိပ်ရုံနဲ့ အလုပ်ဖြစ်တာကြောင့်ဘာ‌ကြောင့်ဒီလိုဖြစ်တယ် ဘာကြောင့်  Click ရတယ်။ နောက်ကွယ်မှာ ဘာတွေလုပ်သွားတယ်ဆိုတာကို မသိတော့ပါဘူး။ ဒါတွေအပြင် Phone Computer တွေရဲ့ Storage များလာတဲ့အတွက်Bottom နောက်ကွယ်က အလုပ်လုပ်ပုံကို မသိအတွက် ဘယ်လို Analysis လုပ်ရမယ်ဆိုတဲ့ပိုင်းတွေ မသိတော့ပါဘူး။

Chain Of Custody 

သက်သေခံပျက်ယွင်းအောင် လွှဲပြောင်းခြင်း အပိုင်းကပြည်ပမှတော့ ဒါတွေရှိ‌ပေမဲ့။ မြန်မာနိုင်ငံမှာတော့ လက်ရှိ Law အရမလိုအပ်ပါဘူး။ 

Missing Acquisition Techniques

ဒါကတော့ သိမ်းဆည်းတာရော Devices ကနေ Data ယူတဲ့အပိုင်းမှာ အားနည်းရင် Analysis လုပ်တဲ့နေရာမှာ လာပြီး အားနည်းချက်ရှိပါတယ်။ Law full ဖြစ်တဲ့နေရာ Case ကြီးရင် သိသာပါတယ်။ 

Live Acquisition 

ဒါက သိမ်းဆည်းတဲ့နေရာမှာ ဖြစ်တဲ့ Fault ပါ။ Analysis လုပ်တဲ့နေရာမှာ လာထိခိုက်ပါတယ်။ မြန်မာအတွက် အခုအချိန် မလိုအပ်ပါ။ ဥပမာ အဓိကကျတဲ့ Browser History ကိုလိုချင်ပေမဲ့ Suspect က Private Mode သုံးနေတဲ့အခါမျိုးမှာပါ။ 

Cross Check

DF Tools တွေကထွက်လာတဲ့  Results တွေက တစ်ခါတစ်လေ တစ်ခုနဲ့တစ်ခုမတူတာတွေရှိပါတယ်။ တစ်ခုနဲ့ တစ်ခုက အားသာချက်ရှိသလို အားနည်းချက်လဲရှိပါတယ်။ 

ဥပမာ Magnet နဲ့ စစ်တဲ့ Results က Encase ထက်သာနိုင်သလို အချို့နေရာတွေမှာ မသာနိုင်ပါဘူး။ ဥပမာ။ Suspect က AnyThing ပေါ့ File တစ်ခုကို Download ယူတယ် Run Or Save တစ်ခုခုလုပ်ပါမယ်။ အဲလိုမျိုးက Encase မှာ မပြပေမဲ့ Magnet မှာပြတယ် (Full Log) ရှိခဲ့ရင်။ အဲလိုမျိုးကို Evidence ပြချင်ရင် ကျွန်တော် Organization မှာ Magnet ရှိရင် Magnet နဲ့ စစ်မယ်။ မရှိရင် Suspect သည် ဘယ်လိုလူမျိုးလဲ Normal User လား ဘယ်လို User လဲဆိုတာသိခွင့်ရရင် သူဘယ်လိုလုပ်မလဲဆိုတာ ခန့်မှန်းပြီး Trace လိုက်မှာ ဖြစ်ပါတယ်။

Brute-Force 

File တစ်ခုခုက Password ခံထားတာပါ။ Passwarekit လိုမျိုးနဲ့ ဘလိုင်းသွားတိုက်ရင် နှစ်ရာချီကြာနိုင်ပါတယ်။ DF Tools တွေမှာ User တစ်ယောက်ရဲ့ Data or Device ကို Analysis လုပ်တာနဲ့ သူပေးတတ်တဲ့ Password ကို Dictionary အနေနဲ့ ထုတ်ပေးပါတယ်။ ဒါမှမဟုတ် Social Engineering  နည်းလမ်းအသုံးပြုတာ ဖြစ်ပါတယ်။ 

Time UTC Error

ပြည်ပက စံတော်ချိန်ဖြစ်နေတဲ့ Device Or Logs တွေကို စစ်ရင် အချို့က UTC Time ကို သူတို့ စံတော်ချိန်နဲ့ထားတတ်တာတွေရှိပါတယ်။ ကိုယ်လိုချင်တဲ့ Facts အပေါ်မူတည်ပြီး Tools မှာ  UTC ပြောင်းလဲ သတ်မှတ်ပေးရပါတယ်။

 Destroy Evidence 

ကိုယ်စစ်တဲ့ Devices ရဲ့ Evidence တွေကို ကိုယ်တိုင် မသေချာပဲ ရမ်းသန်းပြီးလုပ်ရင်းနဲ့ ပျက်တာမျိုးဖြစ်ပါတယ်။