Sunday, January 31, 2021

Cloud Forensics คือ

Cloud Forensics คือ

ในโลกที่เราอาศัยอยู่ทุกวันนี้:

•ข้อมูลที่มีค่าส่วนใหญ่ของโลกถูกจัดเก็บแบบดิจิทัลในระบบคอมพิวเตอร์

•อินเทอร์เน็ตที่มีการพัฒนาตลอดเวลาได้สร้างการเชื่อมต่อระดับสูงในโลกสมัยใหม่

•คอมพิวเตอร์ส่วนใหญ่ที่จัดเก็บข้อมูลที่มีค่านี้เชื่อมต่อทางอิเล็กทรอนิกส์กับอินเทอร์เน็ตและระบบอื่น ๆ รวมถึงระบบในคลาวด์

การรวมกันของข้อเท็จจริงเหล่านี้นำไปสู่ความต้องการเทคนิคการสืบสวนใหม่ ๆ ที่ใช้โดยนักนิติวิทยาศาสตร์ดิจิทัลเพื่อต่อสู้กับข้อมูลดิจิทัลที่สร้างขึ้นทั่วโลกที่เพิ่มขึ้นเรื่อย ๆ

Cloud Forensics  การตรวจพิสูจน์พยานหลักฐานอิเล็กทรอนิกส์บนระบบคลาวน์ คือ ส่วนหนึ่งใน Network Forensics และ Digital Forensics เป็นการประยุกต์ใช้หลักการทางนิติวิทยาศาสตร์ดิจิทัล  แนวทางปฏิบัติในการสืบสวนสอบสวนเพื่อหาหลักฐานการประมวลผลบนคลาวด์และวิธีการการเก็บรักษา การตรวจสอบเหตุการณ์ การตีตวาม และการจัดทำรายงาน สามารถใช้เป็นพยานหลักฐานในศาลได้

Cloud Computing คือบริการที่ครอบคลุมถึงการให้ใช้กำลังประมวลผล หน่วยจัดเก็บข้อมูล และระบบออนไลน์ต่างๆจากผู้ให้บริการ เพื่อลดความยุ่งยากในการติดตั้ง ดูแลระบบ ช่วยประหยัดเวลา และลดต้นทุนในการสร้างระบบคอมพิวเตอร์และเครือข่ายเอง ซึ่งก็มีทั้งแบบบริการฟรีและแบบเก็บเงิน

ประเภทของบริการ คลาวด์คอมพิวติ้ง  (Cloud Service Models)

บริการ Cloud Computing มีหลากหลายรูปแบบ หลักๆ 3 แบบได้แก่

Software as a Service (SaaS)

เป็นการที่ใช้หรือเช่าใช้บริการซอฟต์แวร์หรือแอพพลิเคชั่น ผ่านอินเทอร์เน็ต โดยประมวลผลบนระบบของผู้ให้บริการ ทำให้ไม่ต้องลงทุนในการสร้างระบบคอมพิวเตอร์ ฮาร์ดแวร์ ซอฟต์แวร์เอง ไม่ต้องพะวงเรื่องค่าใช้จ่ายในการดูแลระบบ เพราะซอฟต์แวร์จะถูกเรียกใช้งานผ่าน Cloud จากที่ไหนก็ได้

ซึ่งบริการ Software as a Service ที่ใกล้ตัวเรามากทื่สุดก็คือ GMail นั่นเอง นอกจากนั้นก็เช่น Google Docs หรือ Google Apps ที่เป็นรูปแบบของการใช้งานซอฟต์แวร์ผ่านเว็บบราวเซอร์ สามารถใช้งานเอกสาร คำนวณ และสร้าง Presentation โดยไม่ต้องติดตั้งซอฟต์แวร์บนเครื่องเลย แถมใช้งานบนเครื่องไหนก็ได้ ที่ไหนก็ได้ แชร์งานร่วมกันกับผู้อื่นก็สะดวก ซึ่งการประมวลผลจะทำบน Server ของ Google ทำให้เราไม่ต้องการเครื่องที่มีกำลังประมวลผลสูงหรือพื้นที่เก็บข้อมูลมากๆในการทำงาน Chromebook ราคาประหยัดซักเครื่องก็ทำงานได้แล้ว มหาวิทยาลัยทั้งในไทยและต่างประเทศหลายแห่งในปัจจุบัน ก็ยกเลิกการตั้ง Mail Server สำหรับใช้งาน e-mail ของบุคลากร และนักศึกษาในมหาวิทยลัยกันเองแล้ว แต่หันมาใช้บริการอย่าง Google Apps แทน เป็นการลดต้นทุน, ภาระในการดูแล, และความยุ่งยากไปได้มาก

Platform as a Service (PaaS)

สำหรับการพัฒนาแอพพลิเคชั่นนั้น หากเราต้องการพัฒนาเวบแอพพลิเคชั่นที่ค่อนข้างซับซ้อน ซึ่งรันบนเซิร์ฟเวอร์ หรือ Mobile application ที่มีการประมวลผลทำงานอยู่บนเซิร์ฟเวอร์ เราก็ต้องตั้งเซิร์ฟเวอร์ เชื่อมต่อระบบเครือข่าย และสร้างสภาพแวดล้อม เพื่อทดสอบและรันซอฟต์แวร์และแอพพลิเคชั่น เช่น ติดตั้งระบบฐานข้อมูล, Web server, Runtime, Software Library, Frameworks ต่างๆ เป็นต้น จากนั้นก็อาจยังต้องเขียนโค้ดอีกจำนวนมาก

แต่ถ้าเราใช้บริการ PaaS  ผู้ให้บริการจะเตรียมพื้นฐานต่างๆ เหล่านี้ไว้ให้เราต่อยอดได้เลย  พื้นฐานทั้ง Hardware, Software, และชุดคำสั่ง ที่ผู้ให้บริการเตรียมไว้ให้เราต่อยอดนี้เรียกว่า Platform ซึ่งก็จะทำให้ลดต้นทุนและเวลาที่ใช้ในการพัฒนาซอฟท์แวร์อย่างมาก ตัวอย่าง เช่น Google App Engine, Microsoft Azure ที่หลายๆบริษัทนำมาใช้เพื่อลดต้นทุนและเป็นตัวช่วยในการทำงาน

Application ดังๆหลายตัวเช่น Snapchat ก็เลือกเช่าใช้บริการ PaaS อย่าง Google App Engine ทำให้สามารถพัฒนาแอพที่ให้บริการคนจำนวนมหาศาลได้ โดยใช้เวลาพัฒนาไม่นานด้วยทีมงานแค่ไม่กี่คน

Infrastructure as a Service (IaaS)

เป็นบริการให้ใช้โครงสร้างพื้นฐานทางคอมพิวเตอร์อย่าง หน่วยประมวลผล ระบบจัดเก็บข้อมูล ระบบเครือข่าย ในรูปแบบระบบเสมือน (Virtualization) ข้อดีคือองค์กรไม่ต้องลงทุนสิ่งเหล่านี้เอง, ยืดหยุ่นในการปรับเปลี่ยนโครงสร้างระบบไอทีขององค์กรในทุกรูปแบบ, สามารถขยายได้ง่าย ขยายได้ทีละนิดตามความเติบโตขององค์กรก็ได้ และที่สำคัญ ลดความยุ่งยากในการดูแล เพราะหน้าที่ในการดูแล จะอยู่ที่ผู้ให้บริการ

ตัวอย่างบริการอื่นๆในกลุ่มนี้ก็เช่น Google Compute Engine, Amazon Web Services, Microsoft Azure

Photo credit: lucidchart

 


Cloud Computing and Forensics
ปัญหาทางนิติวิทยาศาสตร์ที่มีลักษณะเฉพาะสำหรับการประมวลผลแบบคลาวด์ ได้แก่ เขตอำนาจศาลการครอบครองหลายพื้นที่และการพึ่งพา cloud service provide Cloud Forensics เป็นขั้นตอนของการพิสูจน์หลักฐานดิจิทัลโดยอาศัยวิธีการเฉพาะในการตรวจสอบสภาพแวดล้อมระบบคลาวด์ cloud service provide มีเซิร์ฟเวอร์ทั่วโลกให้บริการโฮสต์เก็บข้อมูลลูกค้า เมื่อเกิดเหตุการณ์ทางไซเบอร์ขึ้นเขตอำนาจศาลทางกฎหมายและกฎหมายที่ควบคุมภูมิภาคจะนำเสนอความท้าทายที่ไม่เหมือนใคร คำสั่งศาลที่ออกในเขตอำนาจศาลที่ศูนย์ข้อมูลตั้งอยู่มีแนวโน้มว่าจะใช้ไม่ได้กับเขตอำนาจศาลสำหรับโฮสต์ในต่างประเทศนั้น ในสภาพแวดล้อม cloud service provide สมัยใหม่ลูกค้าสามารถเลือกภูมิภาคที่ข้อมูลจะอยู่ได้และควรเลือกอย่างรอบคอบ

ข้อกังวลหลักสำหรับผู้ตรวจสอบคือการตรวจสอบให้แน่ใจว่าหลักฐานดิจิทัลไม่ได้รับการดัดแปลงโดยบุคคลที่สามดังนั้นจึงสามารถยอมรับได้ในศาล ในรูปแบบบริการ PaaS และ SaaS ลูกค้าต้องพึ่งพาผู้ให้บริการระบบคลาวด์ในการเข้าถึงบันทึก (access log) เนื่องจากไม่มีการควบคุมฮาร์ดแวร์ ในบางกรณี cloud service provide จะไม่เปิดเผยรายละเอียดของบันทึกจากลูกค้า ในกรณีอื่น ๆ cloud service provide  มีนโยบายที่จะไม่เสนอบริการเพื่อรวบรวมบันทึก

ห่วงโซ่การคุ้มครองพยานหลักฐาน (Chain of custody )เป็นเรื่องที่ท้าทายมากในสภาพแวดล้อมแบบคลาวด์เมื่อเทียบกับสภาพแวดล้อมทางนิติดิจิทัลแบบเดิม ในสภาพแวดล้อมทางนิติดิจิทัลแบบเดิมทีมรักษาความปลอดภัยภายในสามารถควบคุมได้ว่าใครเป็นผู้ดำเนินการทางนิติวิทยาศาสตร์บนเครื่องในขณะที่ในการพิสูจน์หลักฐานบนคลาวด์ทีมรักษาความปลอดภัยไม่สามารถควบคุมได้ว่าใครเป็นผู้ที่ cloud service provide เลือกที่จะรวบรวมหลักฐาน หากพวกเขาไม่ได้รับการฝึกอบรมตามมาตรฐานทางนิติวิทยาศาสตร์และห่วงโซ่การคุ้มครองพยานหลักฐานจะไม่ถูกรับฟังในศาล  ส่วนหนึ่งของปัญหาเหล่านั้นคือเรื่องของกฎเกณฑ์และวิธีในการสืบสวนที่ใช้กับระบบคอมพิวเตอร์แบบเดิมไม่สามารถนำมาใช้ได้กับระบบคลาวด์คอมพิวติ้ง

 Cloud Forensics Course


#การสืบสวนหลักฐานดิจิทัลบนระบบคลาวด์

Credit:Forensics in the Cloud: What You Need to Know

          NIST Cloud Computing Forensic Science Challenges



หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #คดีอาชญากรรมคอมพิวเตอร์

 

 

Saturday, January 23, 2021

Digital Forensics:Booting a forensic image in VirtualBox with FTK Imager

Digital Forensics:Booting a forensic image in VirtualBox with FTK Imager

How to take a forensic copy of a hard drive, make a copy with FTK Imager, convert the image to a .vmdk file with VBoxManage, and boot it in a virtual machine with VirtualBox.

แนะนำวิธิการ  convert forensic image  ไปเป็น Virtual Machine โดยใช้ VirtualBox  
เครื่องมือที่ใช้
    - Image File  SCHARDT.001
    - Oracle VirtualBox
    - FTK Imager

ทำการ  Download  Image Hacking Case  

Booting a forensic image
ทำการเปิด Image File > Schardt.001 
Booting a forensic image
Booting a forensic image
Booting a forensic image

ทำการ Crate Image ใหม่ Raw (DD)
Booting a forensic image

Booting a forensic image
Booting a forensic image


Image Fragment Size = 0   
Booting a forensic image
Booting a forensic image


เมื่อได้ไฟล์ CF500.001 แล้ว

พิมคำสั่ง เพื่อทำการ convert File raw to VMDK

H:"C:\Program Files\Oracle\VirtualBoxVBoxManage.exe" convertfromraw CF500.001 case.vmdk --format VMDK

Booting a forensic image

H:"C:\Program Files\Oracle\VirtualBoxVBoxManage.exe" convertfromraw CF500.001 case.vmdk --format VMDK

ผลลัพธ์ที่ได้คือ ไฟล์ case.vmdk

สร้าง VirtualBox

Booting a forensic image
เปิดไฟล์ case.vmdk
Booting a forensic image

ทำการ เปิด Vbox

Booting a forensic image


Booting a forensic image in VirtualBox with FTK Imager



 หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น


* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud

Friday, January 22, 2021

DIGITAL FORENSICS:WINDOWS FORENSIC .LNK FILES-PART 3

DIGITAL FORENSICS:WINDOWS FORENSIC .LNK FILES-PART 3


วันนี้เราลองมาทดลองทำ Lab  WINDOWS FORENSIC  LNK File โดยใช้ LECmd  ต่อจาก PART 2

เครื่องมือ

Location

Normally, most of LNK-files are located on the following paths:

  • For Windows 7 to 10: C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent
  • อย่างไรก็ตามมีที่อื่น ๆ อีกมากมายที่ผู้ตรวจสอบสามารถค้นหาไฟล์ LNK ได้: บนเดสก์ท็อป (ทางลัดดังกล่าวมักสร้างขึ้นโดยผู้ใช้สะดวกในการเข้าถึงเอกสารและแอพอย่างรวดเร็ว)
จากภาพด้านซ้าย
shows what the lnk files look like to the user.

shows some other files are displayed in the forensic tool FTK Imager


1 เมื่อเราเปิดหรือ Run ไฟล์ ZIP-Password-BruteForcer.py
2.Lnk File  จะถูกสร้างขึ้น จากการเปิดไฟล์ และสังเกตุว่า มีวันที่สร้าง(Created)และวันที่แก้ไข (Modified) เท่ากัน  หมายความว่าเราเพิ่งเปิดไฟล์ครั้งเดียว
3. ใน Lnk File  หากวันที่แก้ไข (Modified)ช้ากว่าวันที่สร้าง (Created) หมายความว่า เราเปิดมันมากกว่าหนึ่งครั้ง
4. เมื่อกลับไปดู Timestamp ของไฟลฺต้นฉบับ จะแสดงให้เห็นว่า วันที่และเวลาแตกต่างกันกับ วันเวลาของ Lnk File  เพราะ วันที่และเวลาของไฟล์นี้คือ วันที่และเวลาของไฟล์ต้นฉบับ
5. หากไฟล์ต้นฉบับถูกลบไป  Lnk File  จะไม่ถูกลบไปด้วย เราสามารถค้นหาข้อมูลจาก Lnk File  เพื่อย้อนไปดูว่าเกิดอะไรขึ้นก่อนหน้านี้้
6. การที่เราจะดูข้อมูลจาก  Lnk File จำเป็นต้องใข้เครื่องมือ ใน lab เราจะใช้ เครืองมือ Eric Zimmerman LMC LECMD



ทำการอ่านค่า .LNK FILE โดยใช้โปรแกรม LECmd.exe


C:\Users\User\Downloads\LECmd>LECmd.exe -f C:\Users\User\AppData\Roa
ming\Microsoft\Windows\Recent\ZIP-Password-BruteForcer.py.lnk 

Source Create:  คือ วันเวลาสร้างของไฟล์ Lnk
Source Modified:  คือ วันเวลาแก้ไขของไฟล์ Lnk  ถ้าค่าสองครั้งนี้เท่ากันนั้นหมาบความว่าไฟล์ถูกเปิดเพียงครั้งเดียว
                                              ถ้ามีการเปิดไฟล์มากกว่าหนึ่งครุ้ง  ค่าเวลาแก้ไขของไฟล์จะแสดงค่าวันเวลาที่เปิดไฟล์
Drive type Removeable  สื่อบันทึกข้อมูลแบบถอดได้

#C:\Users\User\Downloads\LECmd>LECmd.exe -d "C:\Users\localadmin\AppData\Ro
aming\Microsoft\Windows\Recent" --csv "C:\Users\User\Downloads"
ทำการ Export ไฟล์ออกมาเพื่อง่ายในการวิเคราะห์


This file can tell an investigator if the user:

  • Has accessed a specific file
  • The name of the file
  • The original path to the target file (the file it is referencing)
  • MAC (Modified, Accessed, Created) timestamps of the target file and the .lnk file
  • The size of the target file
  • Attributes of the target file (read-only, hidden, system)

LNK files-Part


สรุป

ไฟล์ LNK เป็นไฟล์ระบบ Windows ซึ่งมีความสำคัญในการสืบสวนทางนิติวิทยาศาสตร์และการตอบสนองต่อเหตุการณ์แบบดิจิทัล พวกเขาอาจสร้างขึ้นโดยอัตโนมัติโดย Windows หรือด้วยตนเองโดยผู้ใช้ ด้วยความช่วยเหลือของไฟล์เหล่านี้คุณสามารถพิสูจน์การทำงานของโปรแกรมการเปิดเอกสารหรือการเริ่มของโปรแกรมประสงค์ร้ายหรือโค้ดอันตราย (malicious code)
การเลือกใช้เครื่องมือที่เหมาะสมสามารถช่วยคุณค้นหาไฟล์ LNK ที่มีอยู่กู้คืนไฟล์ที่ถูกลบและช่วยในการวิเคราะห์เนื้อหาได้

หมายเหตุ : ก่อนหน้านี้ ไฟล์ .LNK เคยถูกใช้เป็นช่องทางในการแพร่กระจายมัลแวร์ เช่น ใส่สคริปต์​เรียกคำสั่ง PowerShell เพื่อดาวน์โหลด​มัลแวร์​เรียก​ค่าไถ่ รูปแบบการโจมตี มีทั้งการฝังคำสั่งในไฟล์ .LNK เพื่อให้เรียก PowerShell, CMD.exe, MSHTA.exe หรือโปรแกรมอื่นๆ ที่สามารถรับคำสั่งแล้วนำไปประมวลผลได้

DIGITAL FORENSICS:WINDOWS FORENSIC .LNK FILES-PART 2


ที่มา:The SANS 3MinMax series with Kevin Ripa

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

Friday, January 15, 2021

IT RISK MANAGEMENT:Risk Register แบบง่ายๆ เพื่อการพัฒนาและความปลอดภัย

IT RISK MANAGEMENT:Risk Register แบบง่ายๆ เพื่อการพัฒนาและความปลอดภัย





























Credit: Suradet Sriankoon@riskroom : ห้องเรียนความเสี่ยง

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #วิชาชีพนิติวิทยาศาสตร์


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูล

และเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ