Digital Forensics Part (48) SCADA(Supervisory Control and Data Acquisition)


အီရန္ ညဴကလီယား Station ကို တိုက္ခိုက္တဲ့ Stuxnet အေၾကာင္းကိုေတာ္ေတာ္မ်ားမ်ား သိၾကမွာပါ။ Stuxnet က computer ကိုအဓီကထားၿပီးတိုက္ခိုက္တာမဟုတ္ပဲ Stuxnet က Computer ထဲကိုေရာက္တာနဲ႔ Computer မွ PLC စနစ္နဲ႔ခ်ိတ္ဆက္ထားျခင္းရွိ ၊ မရွိ ၾကည့္ပါတယ္။ PLC က Siemens (PLC) စနစ္ဆိုတာနဲ႔ Stuxnet ကစတင္အလုပ္လုပ္ပါတယ္။ Control စနစ္ကို ထိန္းခ်ဳပ္တဲ့ Computer ကေန Control စနစ္ကို အဓိကထားၿပီး တိုက္ခိုက္တာျဖစ္ပါတယ္။ အျခားေသာ Threat ေတြလို Threat သက္ေရာက္တဲ့ အခါျပသတဲ့ ျဖစ္စဥ္ေတြျပသမွာ မဟုတ္ပါဘူး။ Forensics လုပ္ငန္းစဥ္ေတြမွာ လုပ္ေနတဲ့လုပ္ငန္းစဥ္ေတြဟာ (Supervisory Control and Data Acquisition) မွာအသုံးခ်နိုင္ေပမဲ့။ PLC လုပ္ငန္းေတြ ခ်ိတ္ဆက္မႈေတြကို နားလည္နိုင္မွာ မဟုတ္ပါဘူး။PLC စနစ္ကို ကၽြမ္းက်င္သူေတြလိုအပ္ပါတယ္။
မ်ားေသာ အားျဖင့္ Control system က အင္တာနက္နဲ႔ခ်ိတ္ဆက္ထားျခင္းမရွိပါဘူး။ Social Engineering နည္းကို အသုံးျပဳၿပီး ဝင္ေရာက္တာမ်ားပါသည္။ Routeable မလုပ္နိုင္တဲ့ Connection ေပၚကေနသြားမယ္ဆိုရင္ Forensics လုပ္ဖို႔ သီးသန႔္ Device ေတြလိုအပ္ပါတယ္။ Security အရ workstation ေတြက အင္တာနက္နဲ႔ခ်ိတ္ဆက္ထားတာ နည္းပါးပါတယ္။ Connection ကလဲ Routeable မလုပ္နိုင္တဲ့ Connection နဲ႔ပဲသြားပါတယ္။Monitoring လုပ္ဖို႔လဲ ခက္ခဲပါတယ္။
Workstation ဆိုရင္ေတာ့ သုံးထားတဲ့ Window Version အလိုက္ Forensics လုပ္နိုင္ပါတယ္။ Live system အေျခအေနမွာ ထိခိုက္မႈအနည္းဆုံးနဲ႔ imaging ဒါမွမဟုတ္ Event log , Reg Log, Running Process, Memory , opening port ေတြကိုယူရပါမယ္။ Volatile အေနအထားအရ SCADA ရဲ့ system status information, LED signal ေတြကို နားလည္သူနဲ႔ေပါင္းစပ္ၿပီး record ယူပါမယ္။ video record ယူတာကအေကာင္းဆုံးပါ။ ဓာတ္ပုံဆိုရင္ Shutter speed ေၾကာင့္ LED signal ေတြအေျပာင္းအလဲကို မရယူနိုင္လို႔ပါ။ PLC diagram ဆြဲထားတာရွိရင္ Future forensics လုပ္ငန္းအတြက္ ကူးယူပါ။SCADA Forensics အပိုင္းတြင္ Workstation ႏွင့္ ခ်ိတ္ဆက္မႈ အခ်ိဳ႕ကလြဲရင္ တတ္ကၽြမ္းနားလည္သူႏွင့္ ပူးေပါင္းလုပ္ေဆာင္ရပါမည္။
ျဖစ္ေပၚေနခ်ိန္တြင္ Restore Plan လုပ္မလား Forensics Plan လုပ္မလားဆိုတာကေတာ့ ျဖစ္ေနတဲ့အေနအထားအထားေပၚတြင္ မ်ားစြာမူတည္ပါသည္။ Restore Plan လုပ္မည္ဆိုလၽွင္ Forensics အတြက္ အခက္အခဲရွိနိုင္ပါသည္။ Forensics လုပ္မည့္အခ်ိန္ကို လက္ရွိအေနအထားက ဘယ္ေလာက္ၾကာၾကာထိန္းထားနိုင္မလဲ ႏွင့္ ဘယ္လိုထိခိုက္နစ္နာမႈေတြရွိနိုင္လဲဆိုတာ တြက္ခ်က္ရပါမည္။
Forensics Process
ဘယ္ Device ကုိ Attack လုပ္တာလဲ
Program bug လား Equipment Fill ျဖစ္တာလား
ဘယ္လုိ Attack မ်ဳိးလဲ
ဘယ္လုိျဖစ္ေပၚလာတာလဲ
လက္ရွိစနစ္ထဲမွာေရာ ရွိေနတုန္းလား
ဘယ္လုိကာကြယ္ႏုိင္မလဲ
====================================
Unicode Version
===================================
SCADA(Supervisory Control and Data Acquisition)
အီရန် ညူကလီယား Station ကို တိုက်ခိုက်တဲ့ Stuxnet အကြောင်းကိုတော်တော်များများ သိကြမှာပါ။ Stuxnet က computer ကိုအဓီကထားပြီးတိုက်ခိုက်တာမဟုတ်ပဲ Stuxnet က Computer ထဲကိုရောက်တာနဲ့ Computer မှ PLC စနစ်နဲ့ချိတ်ဆက်ထားခြင်းရှိ ၊ မရှိ ကြည့်ပါတယ်။ PLC က Siemens (PLC) စနစ်ဆိုတာနဲ့ Stuxnet ကစတင်အလုပ်လုပ်ပါတယ်။ Control စနစ်ကို ထိန်းချုပ်တဲ့ Computer ကနေ Control စနစ်ကို အဓိကထားပြီး တိုက်ခိုက်တာဖြစ်ပါတယ်။ အခြားသော Threat တွေလို Threat သက်ရောက်တဲ့ အခါပြသတဲ့ ဖြစ်စဉ်တွေပြသမှာ မဟုတ်ပါဘူး။ Forensics လုပ်ငန်းစဉ်တွေမှာ လုပ်နေတဲ့လုပ်ငန်းစဉ်တွေဟာ (Supervisory Control and Data Acquisition) မှာအသုံးချနိုင်ပေမဲ့။ PLC လုပ်ငန်းတွေ ချိတ်ဆက်မှုတွေကို နားလည်နိုင်မှာ မဟုတ်ပါဘူး။PLC စနစ်ကို ကျွမ်းကျင်သူတွေလိုအပ်ပါတယ်။
များသော အားဖြင့် Control system က အင်တာနက်နဲ့ချိတ်ဆက်ထားခြင်းမရှိပါဘူး။ Social Engineering နည်းကို အသုံးပြုပြီး ဝင်ရောက်တာများပါသည်။ Routeable မလုပ်နိုင်တဲ့ Connection ပေါ်ကနေသွားမယ်ဆိုရင် Forensics လုပ်ဖို့ သီးသန့် Device တွေလိုအပ်ပါတယ်။ Security အရ workstation တွေက အင်တာနက်နဲ့ချိတ်ဆက်ထားတာ နည်းပါးပါတယ်။ Connection ကလဲ Routeable မလုပ်နိုင်တဲ့ Connection နဲ့ပဲသွားပါတယ်။
Monitoring လုပ်ဖို့လဲ ခက်ခဲပါတယ်။
Workstation ဆိုရင်တော့ သုံးထားတဲ့ Window Version အလိုက် Forensics လုပ်နိုင်ပါတယ်။ Live system အခြေအနေမှာ ထိခိုက်မှုအနည်းဆုံးနဲ့ imaging ဒါမှမဟုတ် Event log , Reg Log, Running Process, Memory , opening port တွေကိုယူရပါမယ်။ Volatile အနေအထားအရ SCADA ရဲ့ system status information, LED signal တွေကို နားလည်သူနဲ့ပေါင်းစပ်ပြီး record ယူပါမယ်။ video record ယူတာကအကောင်းဆုံးပါ။ ဓာတ်ပုံဆိုရင် Shutter speed ကြောင့် LED signal တွေအပြောင်းအလဲကို မရယူနိုင်လို့ပါ။ PLC diagram ဆွဲထားတာရှိရင် Future forensics လုပ်ငန်းအတွက် ကူးယူပါ။SCADA Forensics အပိုင်းတွင် Workstation နှင့် ချိတ်ဆက်မှု အချို့ကလွဲရင် တတ်ကျွမ်းနားလည်သူနှင့် ပူးပေါင်းလုပ်ဆောင်ရပါမည်။ဖြစ်ပေါ်နေချိန်တွင် Restore Plan လုပ်မလား Forensics Plan လုပ်မလားဆိုတာကတော့ ဖြစ်နေတဲ့အနေအထားအထားပေါ်တွင် များစွာမူတည်ပါသည်။ Restore Plan လုပ်မည်ဆိုလျှင် Forensics အတွက် အခက်အခဲရှိနိုင်ပါသည်။ Forensics လုပ်မည့်အချိန်ကို လက်ရှိအနေအထားက ဘယ်လောက်ကြာကြာထိန်းထားနိုင်မလဲ နှင့် ဘယ်လိုထိခိုက်နစ်နာမှုတွေရှိနိုင်လဲဆိုတာ တွက်ချက်ရပါမည်။
Forensics Process
ဘယ် Device ကို Attack လုပ်တာလဲ
Program bug လား Equipment Fill ဖြစ်တာလား
ဘယ်လို Attack မျိုးလဲ
ဘယ်လိုဖြစ်ပေါ်လာတာလဲ
လက်ရှိစနစ်ထဲမှာရော ရှိနေတုန်းလား
ဘယ်လိုကာကွယ်နိုင်မလဲ


Comments

Popular posts from this blog

NTFS Index Attributes

B-Trees (NTFS)

eCDFP (Module-6) (Window Forensics) (Part - 1 )