Digital Forensics Examiner: February 2020

Saturday, February 22, 2020

Digital Forensics:องค์กรคุณพร้อมหรือยัง ? นับถอยหลังวันเริ่มใช้ PDPA พรบ.ข้อมูลส่วนบุคคล

บทลงโทษจาก PDPA ของไทย

ถือว่ารุนแรงกว่า GDPR ของยุโรป คือ มีโทษจำคุกด้วยซึ่งกรรมการบริษัทคือผู้รับโทษนี้ ขณะที่ GDPR มีเฉพาะโทษทางเแพ่งอย่างเดียว

โทษทางอาญา จำคุกไม่เกิน 1 ปี และ/หรือ ปรับสูงสุด 1 ล้านบาท
โทษทางแพ่ง จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง
โทษทางปกครองปรับไม่เกิน 5 ล้านบาท

5 Step roadmap

1 ) องค์กรคุณถูกบังคับใช้พรบ.นี้ด้วยหรือไม่ ? ถ้าเข้าข่าย 3 แบบข้างล่าง ถือว่าใช่

หากองค์กรของคุณมีการเก็บและใช้ข้อมูลส่วนบุคคล ในพรบ.นี้เรียกว่า Data Controller หรือ ผู้ควบคุมข้อมูลส่วนบุคคล ตัวอย่าง เช่น ร้านค้าที่เก็บรายชื่อลูกค้าเป็น Excel เก็บไว้, Kerry ส่งของ หรือ องค์กรใหญ่อย่าง AIS
หากองค์กรคุณเป็นหน่วยงานที่ผู้ควบคุมข้อมูลว่าจ้างให้ประมวลผลข้อมูลของลูกค้าหรือของบุคคลใดๆ ตามคำสั่งของผู้ควบคุมข้อมูล ในพรบ.นี้เรียกว่า Data Processor หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล
หากองค์กรของคุณอยู่นอกประเทศไทย แต่มีการเสนอขายสินค้าให้กับลูกค้าในประเทศไทย มีการโอนถ่ายข้อมูล หรือ เฝ้าติดตามพฤติกรรมที่เกิดขึ้นในประเทศไทย เช่น Online Targeting Ads, การรับจองโรงแรมผ่านเวบไซต์

2 ) แล้วมีเก็บข้อมูลใดของผู้บริโภคอยู่บ้างที่เข้าข่าย ?

ความหมายของข้อมูลส่วนบุคคลตามพรบ.นี้ คือ ข้อมูลที่สามารถระบุตัวบุคคลได้ไม่ว่าจะทางตรงหรือทางอ้อม ที่ถูกเก็บทั้งแบบ Online และ Offline ซึ่งหมายความกว้างมาก คีย์อยู่ที่การทำให้การระบุตัวตนได้ เช่น

ชื่อ นามสกุล

หมายเลขโทรศัพท์
ที่อยู่
อีเมล
หมายเลขบัตรประจำตัวประชาชน
รูปถ่าย
ประวัติการทำงาน
อายุ ( หากเป็นเด็ก จะต้องระบุผู้ปกครองได้ และรับ consent จากผู้ปกครอง )
นอกจากนั้นก็ยังมี Personal Data Sensitive ข้อมูลส่วนบุคคลที่ละเอียดอ่อนที่มีการควบคุมเข้มงวดขึ้นมาอีกขั้น
เชื้อชาติ
ชาติพันธุ์
ความคิดเห็นทางการเมือง ( ตย. เช่น social media monitoring tools ที่จับประเด็นการเมือง)
ความเชื่อทางศาสนา หรือ ปรัชญา ( ตย.เช่น บันทึกการลาบวช ของพนักงาน )
พฤติกรรมทางเพศ
ประวัติอาชญากรรม
ข้อมูลด้านสุขภาพ ความพิการ
ข้อมูลสหภาพแรงงาน
ข้อมูลพันธุกรรม
ข้อมูลชีวภาพ
ข้อมูลสุขภาพ ( ตย. เช่น ใบรับรองแพทย์ )
หรือ ข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามหลักเกณฑ์ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะประกาศกำหนด

ใจความของตัวพรบ. คือการให้สิทธิเหล่านี้แก่ของเจ้าของข้อมูล

สิทธิที่จะได้รับแจ้ง
สิทธิในการแก้ไข
สิทธิในการได้รับและโอนถ่ายข้อมูล
สิทธิในการเข้าถึง
สิทธิคัดค้าน
สิทธิในการลบ (ถูกลืม)
สิทธิในการจำกัด
สิทธิในการเพิกถอนคำยินยอม

โดยพรบ.กำหนดระยะในการทำตามคำร้องขอให้แล้วเสร็จภายใน 30 วัน

3 ) ซึ่งหมายถึงการที่องค์กรจะมีหน้าที่ตามกฎหมาย ดังนี้

1. การเก็บข้อมูล ต้องเก็บข้อมูลจากเจ้าของข้อมูลเท่านั้น ห้ามเก็บจากแหล่งอื่น ต้องแจ้งสิทธิ รายละเอียด และวัตถุประสงค์ของการเก็บข้อมูล ให้เจ้าของข้อมูลรับทราบเสมอ และต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ

เก็บเท่าที่จำเป็น ชอบด้วยกฎหมาย และต้องลบเมื่อพ้นระยยะเวลาที่จำเป็นหรือที่ได้แจ้งไว้

การขอความยินยอม (Consent) นั้น จะต้องให้เจ้าของข้อมูลสามารถ

ทำผ่านกระดาษ หรือ ระบบออนไลน์ก็ได้
อ่านง่าย เข้าใจง่าย
ไม่หลอกลวงให้เข้าใจผิด
แยกชัดเจนจากเงื่อนไขอื่นๆ และไม่เอาเงื่อนไขอื่นมาผูกพันธ์

การถอนความยินยอม (Consent) นั้น จะต้องให้เจ้าของข้อมูลสามารถ

ทำเมื่อไหร่ก็ได้
ทำได้ง่ายเช่นเดียวกับการให้ความยินยอม
แจ้งให้เจ้าของข้อมูลทราบถึงผลกระทบ

2. การใช้และเปิดเผยข้อมูล ต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ และจะต้องใช้ตามวัตถุประสงค์ที่แจ้งไว้เท่านั้น

3. การเข้าถึงและแก้ไข ต้องมีช่องทางให้เจ้าของข้อมูลสามารถเข้าถึงข้อมูลของตัวเอง และแก้ไขได้ เช่น เวบ CRM หรือ Call Center

4. การโอนข้อมูลไปต่างประเทศ ปลายทางจะต้องมีมาตรฐานการคุ้มครองที่เพียงพอ ( เช่น การนำข้อมูลขึ้น Cloud หรือ Server อยู่ที่ต่างประเทศ )

5. มีมาตรการการรักษาความปลอดภัย ต้องจัดให้มีระบบป้องกันข้อมูลที่ได้มาตรฐาน และหากพบว่ามีการรั่วของข้อมูล จะต้องแจ้งเจ้าของข้อมูลภายใน 72 ชม.จากที่ทราบเหตุ

มีข้อยกเว้นที่ชอบด้วยกฎหมาย ที่ทำให้การเก็บข้อมูลไม่ต้องได้รับความยินยอม

เพื่อจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ วิจัย สถิติ
เพื่อป้องกันหรือระงับอันตรายต่อชีวิต
มีความจำเป็นเพื่อปฏิบัติตามสัญญาระหว่างผู้ควบคุมข้อมูลกับเจ้าของข้อมูล
มีความจำเป็นเพื่อดำเนินการเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูล หรือปฏิบัติหน้าที่ในการใช้ อำนาจรัฐที่ได้รับมอบหมายแก่ผู้คุ้มครองข้อมูลส่วนบุคคล
มีความจำเป็นในการดำเนินการเพื่อผลประโยชน์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูล แต่ต้องไม่ ก่อให้เกิดการละเมิดสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูล
เป็นการปฏิบัติตามกฎหมายของผู้คุ้มครองข้อมูลส่วนบุคคล

ถ้าองค์กรเราไม่มีเข้าข้อยกเว้นเลย ก็เริ่มงานได้แล้ว

4) เริ่มจากส่วนกลางก่อนเลย

กำหนดบทบาท

ผู้ควบคุมข้อมูล : บุคคล/นิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูล
ผู้ประมวลผล : มีบทบาท บุคคล/นิติบุคลซึ่งดำเนินการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลตามคำสั่ง หรือ ในนามของผู้ควบคุม ( ต้องเป็นคนละคนกับผู้ควบคุม )
หากมีการเก็บข้อมูลจำนวนมาก ต้องจัดตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ( DPO )คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ( legal, IT, Marketing, Sales, Data controller, Data processor, CRM )ยังไม่มีกำหนดว่าจะต้องมี Certificates เหมือนของ GDPR หรือไม่ แต่สามารถเป็นคนในบริษัทก็ได้ และเป็นตำแหน่งที่ทำพร้อมกับตำแหน่งอื่นได้ เห็นหลายที่ให้คนที่ทำ VP Compliance รับไป หน้าที่หลักคือ ให้คำแนะนำ ตรวจสอบ ประสานงาน ให้บริษัททำหน้าที่ตามกฎหมายได้

5) และขอบอกเลยว่า เกี่ยวทุกแผนกนะ แยกงานเป็นแต่ละแผนกมาให้คร่าวๆแล้ว

ใครเสี่ยงมาก เสี่ยงน้อย ต้อง assess และ prioritize กันให้ดี

Legal and Compliance น่าจะต้องเกี่ยวข้องในหลายๆส่วน โดยเฉพาะการเขียนสัญญา, ข้อตกลง และนโยบายต่างๆ เพื่อที่จะรับรองความ
IT จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม ตามมาตรฐานขั้นต่ำที่คณะกรรมการกำหนด
ป้องกันการเปิดเผยโดยปราศจากอำนาจ หรือ โดยมิชอบ และลบเมื่อถึงเวลา หรือ เกินความจำเป็น
เวบ /แอพ/ ระบบสมาชิก ก็ต้องปรับ Consent ให้ตรงตามที่พรบ.กำหนด
Marketing : การตลาดคือผู้ใช้และเก็บข้อมูลมากที่สุด ยิ่งมีการตลาดแบบ Personalized Marketing ก็ยิ่งต้องทำประเมินความเสี่ยงและรีบแก้ไข
Sales : หากมีการเก็บข้อมูลใดๆของทั้งลูกค้าและข้อมูลติดต่อของ Leads (ผู้ที่แสดงความสนใจ) ก็จำต้องปรับแก้ Consent
Operation : หากมีการเก็บข้อมูลรูปบัตรประชาชนก่อนขึ้นอาคาร มีการติดตั้งกล้องถ่ายภาพถ่ายวีดีโอทั้งคนในและคนนอก เข้าข่ายหมดนะแต่อาจเข้าข้อยกเว้นได้
HR : ข้อมูลของพนักงาน รวมถึงใบสมัครและ CV จาก Candidates ก็นับ

ตัวกฎหมายเองยังลงรายละเอียดไม่สุด และอีกภายใน 1 ปี จะต้องมีกฎหมายลูกที่ระบุแน่ชัดออกมารองรับ เคลียร์ความเทาในหลายๆกรณี แต่ไม่เป็นการเสียหายหากองค์กรจะเริ่มทำแบบ Best Practice ไว้ก่อน เพราะกฎมีแต่แนวโน้มว่าจะเข้มงวดขึ้นเรื่อยๆ มากกว่าอ่อนลง

Download แนวปฏิบัติเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล

PDPA Checklist

ที่มา: บรรยายโดย อ.สุรชาติ พงศ์สุธนะ, คอลัมนิสต์จาก Enterprise ITPro และ ผู้จัดการฝ่ายตรวจสอบภายใน-ระบบสารสนเทศ (IT Audit) จาก TU Group

PDPA & Cyber Security Law รวมถึงวิธีที่องค์กรต้องรับมือ

เครดิต : กุมภาพันธ์ 18, 2020 | By Techsauce Team ผู้เขียน : Analytist Team

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

Saturday, February 15, 2020

DIGITAL FORENSICS: HOW TO CREATE A FORENSIC IMAGE IN WINHEX

Digital Forensics: How to Create a Forensic Image in WinHex

การสำเนาหลักฐานดิจิทัลโดยใช้โปรแกรม WinHex

Hex Editor & Disk Editor

WinHex: Computer Forensics & Data Recovery Software,

Hex Editor & Disk Editor

WinHex is in its core a universal hexadecimal editor, particularly helpful in the realm of computer forensics, data recovery,

List Tools

- USB dataTraveler G4 16GB (digital evidence)

- WinHex V.19

- FTK Imager 3.4.0.1

- write Blocker Tools (Write Blocking a Disk Image File Using WinHex) Or Hardware write Blocker

1. Open WinHex.

Write Blocking a Disk Image File Using WinHex

**Best practices in digital forensics demand the use of write-blockers when creating forensic.

2. From the “Tools” menu select “Open Disk...”

Open Disk

3. In the following dialog, select the physical disk that you would like to image. In this example, a USB drive is being used.

NOTE: It is important that you select the Physical Media, to ensure you are taking an image of the entire disk. If you select a Logical Drive Letter, you are only going to get an image of a single partition.

3.1 Compute hash md5 before Create Disk Image.

Compute hash MD5= 9F132B55502368A6064186A74614032B

4. Once the disk has been opened in WinHex, select “Create Disk Image...” from the File menu.

Create Disk Image

5. You will then get the following dialog box:

Create Disk Image

You will need to make sure to select “Raw image (dd)” for the image file format, choose a location to save it too by clicking the three dot button in the Path and filename box, Also, check off “Compute hash” in the right hand box and leave everything else as default. Click OK.

หมายเหตุ: ต้องเป็น winhex license activated จะสามารถใช้คำสั่ง Raw Image ได้

Path and Filename

6. Once you click OK, you will need to select the type of hash you want to do, select MD5 from the drop-down menu. Your disk will begin to image.

7. When the image is finished, you will get a dialog that gives the hash value that was computed.

MD5= 9F132B55502368A6064186A74614032B

8. Your image is complete. NOTE: Your destination folder will now contain the dd image file and a txt file that contains the hash value that was computed as a part of the applications task.

dd image file and a txt file

9. Check image file by FTK Imager > To mount an image file, click on Image Mounting option.

10. Select virtual drive image. CF-DFE-winhex_01.001

11. Select Mount Type, Drive Letter and Mount Method and click on mount option.

12. Image is Ok

ที่มา:

https://www.x-ways.net/winhex/

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

Saturday, February 8, 2020

Digital Forensics: ANDROID FORENSIC ANALYSIS WITH AUTOPSY

Autopsy

VERSION 4.13.0 FOR WINDOWS

the Android Analyzer Module, which makes it possible to extract the following artifacts:

The module should be able to extract the following:
- Text messages / SMS / MMS
- Call Logs
- Contacts
- GPS from the browser and Google Maps
- GPS from cache.wifi and cache.cell files
The module may also extract data from the following apps: