Saturday, February 22, 2020

Digital Forensics:องค์กรคุณพร้อมหรือยัง ? นับถอยหลังวันเริ่มใช้ PDPA พรบ.ข้อมูลส่วนบุคคล

Digital Forensics:องค์กรคุณพร้อมหรือยัง ? นับถอยหลังวันเริ่มใช้ PDPA พรบ.ข้อมูลส่วนบุคคล

บทลงโทษจาก PDPA ของไทย 

ถือว่ารุนแรงกว่า GDPR ของยุโรป คือ มีโทษจำคุกด้วยซึ่งกรรมการบริษัทคือผู้รับโทษนี้ ขณะที่ GDPR มีเฉพาะโทษทางเแพ่งอย่างเดียว 
  • โทษทางอาญา จำคุกไม่เกิน 1 ปี และ/หรือ ปรับสูงสุด 1 ล้านบาท 
  • โทษทางแพ่ง จ่ายสินไหมไม่เกิน 2 เท่าของสินไหมที่แท้จริง 
  • โทษทางปกครองปรับไม่เกิน 5 ล้านบาท

5 Step roadmap

1 ) องค์กรคุณถูกบังคับใช้พรบ.นี้ด้วยหรือไม่ ?  ถ้าเข้าข่าย 3 แบบข้างล่าง ถือว่าใช่
  • หากองค์กรของคุณมีการเก็บและใช้ข้อมูลส่วนบุคคล ในพรบ.นี้เรียกว่า Data Controller หรือ ผู้ควบคุมข้อมูลส่วนบุคคล  ตัวอย่าง เช่น ร้านค้าที่เก็บรายชื่อลูกค้าเป็น Excel เก็บไว้, Kerry ส่งของ หรือ องค์กรใหญ่อย่าง AIS
  • หากองค์กรคุณเป็นหน่วยงานที่ผู้ควบคุมข้อมูลว่าจ้างให้ประมวลผลข้อมูลของลูกค้าหรือของบุคคลใดๆ ตามคำสั่งของผู้ควบคุมข้อมูล ในพรบ.นี้เรียกว่า Data Processor หรือ ผู้ประมวลผลข้อมูลส่วนบุคคล 
  • หากองค์กรของคุณอยู่นอกประเทศไทย แต่มีการเสนอขายสินค้าให้กับลูกค้าในประเทศไทย มีการโอนถ่ายข้อมูล หรือ เฝ้าติดตามพฤติกรรมที่เกิดขึ้นในประเทศไทย  เช่น Online Targeting Ads, การรับจองโรงแรมผ่านเวบไซต์ 
2 ) แล้วมีเก็บข้อมูลใดของผู้บริโภคอยู่บ้างที่เข้าข่าย ? 
ความหมายของข้อมูลส่วนบุคคลตามพรบ.นี้ คือ ข้อมูลที่สามารถระบุตัวบุคคลได้ไม่ว่าจะทางตรงหรือทางอ้อม  ที่ถูกเก็บทั้งแบบ Online และ Offline ซึ่งหมายความกว้างมาก คีย์อยู่ที่การทำให้การระบุตัวตนได้ เช่น
ชื่อ นามสกุล
  • หมายเลขโทรศัพท์ 
  • ที่อยู่  
  • อีเมล
  • หมายเลขบัตรประจำตัวประชาชน 
  • รูปถ่าย 
  • ประวัติการทำงาน 
  • อายุ ( หากเป็นเด็ก จะต้องระบุผู้ปกครองได้ และรับ consent จากผู้ปกครอง ) 
  • นอกจากนั้นก็ยังมี Personal Data Sensitive ข้อมูลส่วนบุคคลที่ละเอียดอ่อนที่มีการควบคุมเข้มงวดขึ้นมาอีกขั้น
  • เชื้อชาติ
  • ชาติพันธุ์
  • ความคิดเห็นทางการเมือง ( ตย. เช่น social media monitoring tools ที่จับประเด็นการเมือง) 
  • ความเชื่อทางศาสนา หรือ ปรัชญา ( ตย.เช่น บันทึกการลาบวช ของพนักงาน )
  • พฤติกรรมทางเพศ
  • ประวัติอาชญากรรม
  • ข้อมูลด้านสุขภาพ ความพิการ 
  • ข้อมูลสหภาพแรงงาน 
  • ข้อมูลพันธุกรรม
  • ข้อมูลชีวภาพ 
  • ข้อมูลสุขภาพ ( ตย. เช่น ใบรับรองแพทย์ )
  • หรือ ข้อมูลอื่นใดที่กระทบต่อเจ้าของข้อมูลส่วนบุคคลในทำนองเดียวกันตามหลักเกณฑ์ที่คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลจะประกาศกำหนด

ใจความของตัวพรบ. คือการให้สิทธิเหล่านี้แก่ของเจ้าของข้อมูล
  1. สิทธิที่จะได้รับแจ้ง 
  2. สิทธิในการแก้ไข
  3. สิทธิในการได้รับและโอนถ่ายข้อมูล
  4. สิทธิในการเข้าถึง
  5. สิทธิคัดค้าน
  6. สิทธิในการลบ (ถูกลืม)
  7. สิทธิในการจำกัด
  8. สิทธิในการเพิกถอนคำยินยอม
โดยพรบ.กำหนดระยะในการทำตามคำร้องขอให้แล้วเสร็จภายใน 30 วัน
3 ) ซึ่งหมายถึงการที่องค์กรจะมีหน้าที่ตามกฎหมาย ดังนี้
1. การเก็บข้อมูล ต้องเก็บข้อมูลจากเจ้าของข้อมูลเท่านั้น ห้ามเก็บจากแหล่งอื่น ต้องแจ้งสิทธิ รายละเอียด และวัตถุประสงค์ของการเก็บข้อมูล ให้เจ้าของข้อมูลรับทราบเสมอ และต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ 
เก็บเท่าที่จำเป็น ชอบด้วยกฎหมาย และต้องลบเมื่อพ้นระยยะเวลาที่จำเป็นหรือที่ได้แจ้งไว้ 
การขอความยินยอม (Consent) นั้น จะต้องให้เจ้าของข้อมูลสามารถ
  • ทำผ่านกระดาษ หรือ ระบบออนไลน์ก็ได้ 
  • อ่านง่าย เข้าใจง่าย
  • ไม่หลอกลวงให้เข้าใจผิด  
  • แยกชัดเจนจากเงื่อนไขอื่นๆ และไม่เอาเงื่อนไขอื่นมาผูกพันธ์
การถอนความยินยอม (Consent) นั้น จะต้องให้เจ้าของข้อมูลสามารถ
  • ทำเมื่อไหร่ก็ได้
  • ทำได้ง่ายเช่นเดียวกับการให้ความยินยอม 
  • แจ้งให้เจ้าของข้อมูลทราบถึงผลกระทบ
2. การใช้และเปิดเผยข้อมูล ต้องได้รับความยินยอมจากเจ้าของข้อมูลเสมอ และจะต้องใช้ตามวัตถุประสงค์ที่แจ้งไว้เท่านั้น 
3. การเข้าถึงและแก้ไข ต้องมีช่องทางให้เจ้าของข้อมูลสามารถเข้าถึงข้อมูลของตัวเอง และแก้ไขได้ เช่น เวบ CRM หรือ Call Center 
4. การโอนข้อมูลไปต่างประเทศ ปลายทางจะต้องมีมาตรฐานการคุ้มครองที่เพียงพอ ( เช่น การนำข้อมูลขึ้น Cloud หรือ Server อยู่ที่ต่างประเทศ  )
5. มีมาตรการการรักษาความปลอดภัย ต้องจัดให้มีระบบป้องกันข้อมูลที่ได้มาตรฐาน และหากพบว่ามีการรั่วของข้อมูล จะต้องแจ้งเจ้าของข้อมูลภายใน 72 ชม.จากที่ทราบเหตุ 
มีข้อยกเว้นที่ชอบด้วยกฎหมาย ที่ทำให้การเก็บข้อมูลไม่ต้องได้รับความยินยอม
  1. เพื่อจัดทำเอกสารประวัติศาสตร์ จดหมายเหตุ วิจัย สถิติ  
  2. เพื่อป้องกันหรือระงับอันตรายต่อชีวิต 
  3. มีความจำเป็นเพื่อปฏิบัติตามสัญญาระหว่างผู้ควบคุมข้อมูลกับเจ้าของข้อมูล  
  4. มีความจำเป็นเพื่อดำเนินการเพื่อประโยชน์สาธารณะของผู้ควบคุมข้อมูล หรือปฏิบัติหน้าที่ในการใช้ อำนาจรัฐที่ได้รับมอบหมายแก่ผู้คุ้มครองข้อมูลส่วนบุคคล  
  5. มีความจำเป็นในการดำเนินการเพื่อผลประโยชน์อันชอบด้วยกฎหมายของผู้ควบคุมข้อมูล แต่ต้องไม่ ก่อให้เกิดการละเมิดสิทธิและเสรีภาพขั้นพื้นฐานของเจ้าของข้อมูล  
  6. เป็นการปฏิบัติตามกฎหมายของผู้คุ้มครองข้อมูลส่วนบุคคล

ถ้าองค์กรเราไม่มีเข้าข้อยกเว้นเลย ก็เริ่มงานได้แล้ว
4) เริ่มจากส่วนกลางก่อนเลย
กำหนดบทบาท
  • ผู้ควบคุมข้อมูล : บุคคล/นิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจเกี่ยวกับการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูล
  • ผู้ประมวลผล : มีบทบาท บุคคล/นิติบุคลซึ่งดำเนินการเก็บรวบรวม ใช้ หรือ เปิดเผยข้อมูลตามคำสั่ง หรือ ในนามของผู้ควบคุม (  ต้องเป็นคนละคนกับผู้ควบคุม )
  • หากมีการเก็บข้อมูลจำนวนมาก ต้องจัดตั้งเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล ( DPO )คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ( legal, IT, Marketing, Sales, Data controller, Data processor, CRM )ยังไม่มีกำหนดว่าจะต้องมี Certificates เหมือนของ GDPR หรือไม่  แต่สามารถเป็นคนในบริษัทก็ได้ และเป็นตำแหน่งที่ทำพร้อมกับตำแหน่งอื่นได้ เห็นหลายที่ให้คนที่ทำ VP Compliance รับไป  หน้าที่หลักคือ ให้คำแนะนำ ตรวจสอบ ประสานงาน ให้บริษัททำหน้าที่ตามกฎหมายได้ 
5)  และขอบอกเลยว่า เกี่ยวทุกแผนกนะ แยกงานเป็นแต่ละแผนกมาให้คร่าวๆแล้ว 
ใครเสี่ยงมาก เสี่ยงน้อย ต้อง assess และ prioritize กันให้ดี
  • Legal and Compliance น่าจะต้องเกี่ยวข้องในหลายๆส่วน โดยเฉพาะการเขียนสัญญา, ข้อตกลง และนโยบายต่างๆ เพื่อที่จะรับรองความ
  • IT จัดให้มีมาตรการรักษาความปลอดภัยที่เหมาะสม ตามมาตรฐานขั้นต่ำที่คณะกรรมการกำหนด 
  • ป้องกันการเปิดเผยโดยปราศจากอำนาจ หรือ โดยมิชอบ และลบเมื่อถึงเวลา หรือ เกินความจำเป็น
  • เวบ /แอพ/ ระบบสมาชิก ก็ต้องปรับ Consent ให้ตรงตามที่พรบ.กำหนด  
  • Marketing : การตลาดคือผู้ใช้และเก็บข้อมูลมากที่สุด ยิ่งมีการตลาดแบบ Personalized Marketing ก็ยิ่งต้องทำประเมินความเสี่ยงและรีบแก้ไข
  • Sales :  หากมีการเก็บข้อมูลใดๆของทั้งลูกค้าและข้อมูลติดต่อของ Leads (ผู้ที่แสดงความสนใจ) ก็จำต้องปรับแก้ Consent 
  • Operation : หากมีการเก็บข้อมูลรูปบัตรประชาชนก่อนขึ้นอาคาร มีการติดตั้งกล้องถ่ายภาพถ่ายวีดีโอทั้งคนในและคนนอก เข้าข่ายหมดนะแต่อาจเข้าข้อยกเว้นได้ 
  • HR : ข้อมูลของพนักงาน รวมถึงใบสมัครและ CV จาก Candidates ก็นับ 
ตัวกฎหมายเองยังลงรายละเอียดไม่สุด และอีกภายใน 1 ปี จะต้องมีกฎหมายลูกที่ระบุแน่ชัดออกมารองรับ เคลียร์ความเทาในหลายๆกรณี แต่ไม่เป็นการเสียหายหากองค์กรจะเริ่มทำแบบ Best Practice ไว้ก่อน เพราะกฎมีแต่แนวโน้มว่าจะเข้มงวดขึ้นเรื่อยๆ มากกว่าอ่อนลง

ที่มา: บรรยายโดย อ.สุรชาติ พงศ์สุธนะ, คอลัมนิสต์จาก Enterprise ITPro และ ผู้จัดการฝ่ายตรวจสอบภายใน-ระบบสารสนเทศ (IT Audit) จาก TU Group

 PDPA & Cyber Security Law รวมถึงวิธีที่องค์กรต้องรับมือ



 
 

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

Saturday, February 15, 2020

DIGITAL FORENSICS: HOW TO CREATE A FORENSIC IMAGE IN WINHEX

Digital Forensics: How to Create a Forensic Image in WinHex


การสำเนาหลักฐานดิจิทัลโดยใช้โปรแกรม WinHex

Hex Editor & Disk Editor


WinHex: Computer Forensics & Data Recovery Software,

Hex Editor & Disk Editor
WinHex is in its core a universal hexadecimal editor, particularly helpful in the realm of computer forensics, data recovery,

List Tools
- USB dataTraveler G4 16GB (digital evidence)
- WinHex V.19
- FTK Imager 3.4.0.1

- write Blocker Tools (Write Blocking a Disk Image File Using WinHex) Or Hardware write Blocker 



1. Open WinHex. 
Write Blocking a Disk Image File Using WinHex

**Best practices in digital forensics demand the use of write-blockers when creating forensic.


2. From the “Tools” menu select “Open Disk...”
Open Disk

3. In the following dialog, select the physical disk that you would like to image. In this example, a  USB drive is being used.

NOTE: It is important that you select the Physical Media, to ensure you are taking an image of the entire disk. If you select a Logical Drive Letter, you are only going to get an image of a single partition.

3.1 Compute hash md5 before Create Disk Image.

Compute hash MD5= 9F132B55502368A6064186A74614032B

4. Once the disk has been opened in WinHex, select “Create Disk Image...” from the File menu.
Create Disk Image 

5. You will then get the following dialog box:
Create Disk Image 
 You will need to make sure to select “Raw image (dd)” for the image file format, choose a location to save it too by clicking the three dot button in the Path and filename box, Also, check off “Compute hash” in the right hand box and leave everything else as default. Click OK.

หมายเหตุ: ต้องเป็น winhex license activated  จะสามารถใช้คำสั่ง Raw Image ได้
Path and Filename
6. Once you click OK, you will need to select the type of hash you want to do, select MD5 from the drop-down menu. Your disk will begin to image.

7. When the image is finished, you will get a dialog that gives the hash value that was computed.

MD5= 9F132B55502368A6064186A74614032B

8. Your image is complete. NOTE: Your destination folder will now contain the dd image file and a txt file that contains the hash value that was computed as a part of the applications task.
dd image file and a txt file
9. Check image file  by FTK Imager > To mount an image file, click on Image Mounting option.


10. Select virtual drive image. CF-DFE-winhex_01.001

11. Select Mount Type, Drive Letter and Mount Method and click on mount option.

12. Image is Ok




ที่มา:
https://www.x-ways.net/winhex/

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud





Saturday, February 8, 2020

Digital Forensics: ANDROID FORENSIC ANALYSIS WITH AUTOPSY

Digital Forensics: ANDROID FORENSIC ANALYSIS WITH AUTOPSY


Autopsy

VERSION 4.13.0 FOR WINDOWS

the Android Analyzer Module, which makes it possible to extract the following artifacts:
  • The module should be able to extract the following:
    • Text messages / SMS / MMS
    • Call Logs
    • Contacts
    • GPS from the browser and Google Maps
    • GPS from cache.wifi and cache.cell files
    The module may also extract data from the following apps:
    • Facebook Messenger
    • IMO
    • Line
    • Opera Browser
    • Orux Maps
    • S-Browser
    • ShareIt
    • Skype
    • Tango
    • TextNow
    • Viber
    • WhatsApp
    • Words with Friends
    • Xender
    • Zapya
1.Let’s create a case and add an Android physical image.


2. Choose our data source:

*.bin

3. Now choose the ingest modules you want to run on the image:
Android Analyzer

4. Here is what we got from the Android Analyzer module:

Deleted Files
Deleted Files
PhotoRec Carver module helps a mobile forensic examiner to extract data from unallocated space via carving technique:
 Call Los

EXIF metadata is extracted by EXIF Parser module


  Email Address

 Forensics Report




หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

DIGITAL FORENSICS:Bill Gates 1994: This CD-ROM can hold more information

DIGITAL FORENSICS:Bill Gates 1994: This CD-ROM can hold more information than all the paper that's here below me.

https://imgur.com/I6Lx3Hb.jpeg




Credit:
https://www.reddit.com/r/Damnthatsinteresting/comments/eqvled/bill_gates_1994_this_cdrom_can_hold_more/


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud