Digital Forensics:Computer Fraud Techniques
 |
Forensic Accounting |
การบัญชีสืบสวน (Forensic Accounting)
บทบาทของผู้ตรจสอบทุจริตทางบัญชี*การตรวจสอบทุจริตทางบัญชีและการเงินจำเป็นต้องอาศัยผู้ชำนาญเฉพาะได้แก่ Certified Fraud หรือForensic Accountant ซึ่งวัตถุประสงค์การตรวจสอบในกรณีนี้จะไม่เน้นถึงความถูกต้องของงบการเงินตามมาตราฐานการบัญชี แต่จะให้ความสนใจในการตอบคำถามเกี่ยวกับ
*ระบบการควบคุมภายในของกิจการมีจุดบกพร่องที่สุดในส่วนใด
*ระบบบัญชีที่ใช้อยู่เปิดโอกาสให้มีการตกแต่งตัวเลข และปฏิบัติการที่เป็นไปตามมาตรฐานการบัญชีมีที่ใดบ้าง
*ใครเป็นผู้ดูแลรายการนอกงบดุล และรายการนั้นถูกบันทึกไว้ที่ไหน อย่างไร
*วิธีการที่จะสามารถลัดขั้นตอนหรือไม่ปฏิบัติตามหรือไม่ปฏิบัติตามระบบที่วางไว้คืออะไร และสามารถผ่านการพิจารณาของผู้บริหารได้อย่างไร
*สิ่งแวดล้อมในการทำงานที่เอื้อต่อการทุจริตมีอะไรบ้าง เป็นต้น
ที่มา: นิติวิทยาศาสตร์ มหาวิทยาลัยเกษตรศาสตร์
...................................................................................................................................
คดีฉ้อโกง (Fraud)
หมายถึง คดีอาญาที่ผู้กระทำผิดมีเจตนาแสวงหาประโยชน์โดยมิชอบเอาจากผู้ถูกหลอกลวง โดยหลอกลวงด้วยการแสดงข้อความอันเป็นเท็จ หรือปกปิดข้อความจริงที่ควรบอก ซึ่งการหลอกลวงและปกปิดนั้น ผู้ถูกหลอกลวงต้องเสียทรัพย์สินให้แก่ผู้กระทำผิด หรือทำให้ผู้ถูกหลอกลวงหรือบุคคลที่สามทำ ถอน หรือทำลายเอกสารสิทธิ นอกจากนี้ ถ้าผู้เสียหายมีจำนวน ๑ คนขึ้นไป เช่นนี้เป็นคดีฉ้อโกงประชาชน (Public fraud) ซึ่งเป็นความผิดอันยอมความไม่ได้
ที่มา : https://bit.ly/2DhquHD
...................................................................................................................................
How Information Technology can help Forensics Accounting?
จากตัวอย่างบริษัทใหญ่หลายแห่งในอดีต ไม่ว่าจะเป็น บริษัท Enron หรือบริษัท World-Com นั้นสะท้อนให้เห็นถึงความล้มเหลวในการควบคุมและตรวจสอบภายในองค์กร
รวมทั้งความล้มเหลวทางด้านบัญชีที่นำไปสู่การทุจริตภายในองค์กรครั้งใหญ่
ซึ่งจากความล้มเหลวดังกล่าวนั้นจึงทำให้องค์กรและนักบัญชีจำนวนมากที่หันมาให้ความสนใจในเรื่องการกำกับดูแลกิจการมากขึ้น
ผ่านการควบคุมและตรวจสอบภายในองค์กรอย่างมีประสิทธิภาพ
เพื่อเป็นการป้องกันการทุจริตหรือข้อผิดพลาดต่างๆที่อาจสร้างผลกระทบในทางลบต่อองค์กร
จากประเด็นดังกล่าวนี้เองจึงยังทำให้เกิดสาขาวิชาหนึ่งขึ้น คือ
การบัญชีสืบสวน (Forensic Accounting)
การบัญชีสืบสวน (Forensic Accounting)
การบัญชีสืบสวน (Forensic Accounting) เป็นการใช้ทักษะด้านการเงินและแนวคิดทางด้านการสืบสวนสอบสวน
เพื่อใช้ในการตรวจสอบ สืบสวน
และสอบสวนข้อมูลทางการเงินเพื่อพิสูจน์หรือเพื่อหาหลักฐานประกอบข้อเท็จจริงเกี่ยวกับการทุจริต
โดยเฉพาะทำหน้าที่คล้ายนักสืบ
โดยจุดเริ่มต้นของการตรวจสอบนี้เกิดขึ้นมาจากการตรวจสอบด้านภาษีอากร
ซึ่งเกี่ยวข้องกับกฎหมายและมักเป็นความผิดทางอาญา
ดังนั้นการบัญชีสืบสวนถูกมองว่าเป็นการบัญชีที่เกี่ยวข้องกับอาชญากรรมซึ่งสาเหตุที่ทำให้การบัญชีสืบสวนมีความสำคัญขึ้นมา
จากวารสารการบัญชีในปี 2541 บทความซึ่งเขียนโดยผู้ช่วยศาสตราจารย์ สมชาย ศุภธาดา นั้นได้อธิบายเพิ่มเติมว่า การบัญชีสืบสวน นั้นอาจสามารถแบ่งได้เป็น สาขา Fraud Auditing (การตรวจสอบการทุจริต) ซึ่งเป็นส่วนย่อยของ Forensic Accounting โดยสาขานี้จะมุ่งเน้นสืบสวนการทุจริตโดยเฉพาะ และอีกหนึ่งสาขา คือ Investigative Accounting (การบัญชีเชิงสอบสวน)
โดยสาขาดังกล่าวจะทำการสอบทานเอกสาร ข้อมูลทางการเงิน
เพื่อวัตถุประสงค์อย่างใดอย่างหนึ่งโดยเฉพาะ
ซึ่งอาจเป็นข้อมูลหลักฐานประกอบการฟ้องร้อง
หรือการเรียกร้องเงินประกันความเสียหายรวมทั้งคดีอาญา
จะเห็นได้ว่าในการสืบสวนหรือตรวจสอบทางบัญชีดังกล่าวนั้นต้องมีการค้นหา
เก็บรวบรวม วิเคราะห์ข้อมูลทางบัญชีต่างๆ เพื่อใช้ประกอบในการตรวจสอบ
ทำให้ในการบัญชีสืบสวนจึงมักต้องเกี่ยวข้องกับระบบสารสนเทศต่างๆภายในองค์กรเสมอ
เนื่องจากระบบสารสนเทศนั้นถือเป็นระบบพื้นฐานสำคัญระบบหนึ่งที่องค์กรนั้นได้นำมาใช้เพื่ออำนวยความสะดวกในการค้นหา
เก็บรวบรวม และเผยแพร่ข้อมูลต่างๆภายในองค์กรและระหว่างองค์กร เช่น
ข้อมูลทางการบัญชีต่างๆ เป็นต้น
ดังนั้นนักบัญชีสืบสวนนั้นจึงจำเป็นต้องอาศัยระบบสารสนเทศในองค์กรในการรวบรวมข้อมูลที่เกี่ยวข้อง
และแม้ว่าระบบสารสนเทศดังกล่าวนั้นจะเป็นเครื่องมือที่สร้างมูลค่าเพิ่มเติมแก่องค์กร
แต่อย่างไรก็ตาม
ระบบดังกล่าวนั้นก็อาจเป็นเครื่องมือของผู้ไม่หวังดีในการสร้างความเสียหายต่อองค์กร
โดย Smith (2005) ได้ศึกษาพบว่า
ระบบสารสนเทศและคอมพิวเตอร์นั้นเครื่องมือสำคัญที่ใช้ในการประกอบทุจริตทางการเงินในองค์กร
ดังนั้นนี้จึงเป็นอีกปัจจัยหนึ่งที่ทำให้ระบบสารสนเทศนั้นจึงเข้ามามีส่วนเกี่ยวเนื่องในการตรวจสอบหรือสืบสวนทางบัญชี
ซึ่งนักบัญชีสืบสวนนั้นก็ตระหนักถึงในประเด็นปัญหาดังกล่าวเช่นกัน
ดังนั้นในการรวบรวมข้อมูลจากระบบสารสนเทศนั้น
นักบัญชีจึงต้องแน่ใจว่ากระบวนการรักษาความปลอดภัยของระบบสารสนเทศในองค์กรนั้นมีประสิทธิภาพมากเพียงพอที่สามารถให้ข้อมูลที่ถูกต้อง
ครบถ้วน เพื่อใช้ในการตรวจสอบการทุจริตต่างๆ
ตัวอย่าง Computer Fraud Techniques
ดังที่กล่าวไปแล้วในข้างต้นว่า ระบบสารสนเทศและคอมพิวเตอร์นั้นเครื่องมือสำคัญที่ใช้ในการประกอบทุจริตทางการเงินในองค์กร โดยการกระทำที่อาจถือเป็นการทุจริตทางคอมพิวเตอร์ มักจะเป็นไปในรูปแบบดังต่อไปนี้
1. การฉ้อโกงโดยใช้เครื่องคอมพิวเตอร์ เช่น การเปลี่ยนแปลงจำนวนเงิน, จำนวนชั่วโมงการทำงานโดยไม่ได้รับอนุญาต
2. การปลอมแปลงโดยใช้เครื่องคอมพิวเตอร์ เช่น การเปลี่ยนแปลงข้อมูลในระบบฐานข้อมูลหรือทำการ Download ข้อมูลมาใช้โดยไม่ได้รับอนุญาต
3. การทำให้ข้อมูลหรือโปรแกรมคอมพิวเตอร์เสียหาย เช่น การเขียนโปรแกรมไวรัสเพื่อทำลายข้อมูล หรือแฝงมาในแฟ้มข้อมูลที่ผู้ใช้ทำการ Download
4. การทำลายระบบคอมพิวเตอร์ เช่น การก่อกวนการรับ-ส่งข้อมูลผ่านระบบเครือข่าย
5. การลักลอบเข้าไปในเครือข่ายโดยปราศจากอำนาจ เช่น การลักลอบดูข้อมูล รหัสประจำตัวหรือรหัสผ่านตัวอย่าง
ดังนั้นหากนักบัญชีสืบสวนนั้นรู้จักเทคนิคต่างๆที่ใช้ในการทุจริตผ่านระบบสารสนเทศและคอมพิวเตอร์ย่อมมีประโยชน์ในตรวจสอบมากขึ้น
ตัวอย่างเทคนิคมีดังนี้
Computer Networks
· Phishing คือ การปลอมแปลง e-mailหรือ web site รูปแบบหนึ่งโดยส่วนใหญ่จะมีวัตถุประสงค์
ที่จะต้องการข้อมูลข่าวสารต่างๆ เช่น user, Password และหมายเลขบัตรเครดิต โดยมักแอบอ้างมาจากบริษัทที่มีความน่าเชื่อถือ
ที่จะต้องการข้อมูลข่าวสารต่างๆ เช่น user, Password และหมายเลขบัตรเครดิต โดยมักแอบอ้างมาจากบริษัทที่มีความน่าเชื่อถือ
· IP Spoofing คือ การปลอมแปลงหมายเลข IP Address ให้เป็นหมายเลขซึ่งได้รับอนุญาตให้เข้าใช้งานเครือข่ายนั้นๆ
ได้ เพื่อบุกรุกเข้าไปขโมย หรือทำลายข้อมูล หรือกระทำการอื่นๆ
อันเป็นการโจมตีเครือข่าย เช่น การเข้าไปลบค่า Routing table ทิ้งเพื่อให้สามารถส่งข้อมูลผ่านไปยังภายนอกได้
· Packet Sniffing เป็นอุปกรณ์ที่ต่อเข้ากับเครือข่ายคอมพิวเตอร์และคอยดักฟังข้อมูลหรือ packet ที่ถ่ายโอนภายในเครือข่าย เช่น การรับส่ง e-mail ซึ่งpacket ข้อมูลดังกล่าวนั้นอาจมี username หรือ password ที่สำคัญบรรจุอยู่
Computer System
· Data Diddling คือ
การเปลี่ยนแปลงข้อมูลโดยไม่ได้รับอนุญาตก่อนหรือระหว่างที่กำลังบันทึกข้อมูลลงไปในระบบคอมพิวเตอร์
การเปลี่ยนแปลงข้อมูลดังกล่าวนี้สามารถกระทำโดยบุคคลใดก็ได้ที่สามารถเข้าไปถึงตัวข้อมูล
ตัวอย่างเช่น
พนักงานเจ้าหน้าทีที่มีหน้าที่บันทึกเวลาการทำงานของพนักงานทั้งหมดทำการแก้ไขตัวเลขชั่วโมงการทำงานของคนอื่นมาลงเป็นชั่วโมงการทำงานของตนเอง
ซึ่งข้อมูลดังกล่าวหากถูกแก้ไขเพียงเล็กน้อย ก็จะไม่มีใครทราบ
· Trojan Horse การเขียนโปรแกรมคอมพิวเตอร์ที่แฝงไว้ในโปรแกรมที่มีประโยชน์เมื่อถึงเวลาโปรแกรมที่ไม่ดีจะปรากฎตัวขึ้นเพื่อปฏิบัติการทำลายข้อมูล
วิธีนี้มักจะใช้กับการฉ้อโกงทางคอมพิวเตอร์หรือการทำลายข้อมูลหรือระบบคอมพิวเตอร์
· Salami Techniques วิธีการปัดเศษจำนวนเงิน เช่น ทศนิยมตัวที่ 3 หรือปัดเศษทิ้งให้เหลือแต่จำนวนเงินที่สามารถจ่ายได้
แล้วนำเศษทศนิยมหรือเศษที่ปัดทิ้งมาใส่ในบัญชีของตนเองหรือของผู้อื่น
ซึ่งจะทำให้ผลรวมของบัญชียังคงสมดุล (Balance) และจะไม่มีปัญหากับระบบควบคุมเนื่องจากไม่มีการนำเงินออกจากระบบบัญชี
นอกจากใช้กับการปัดเศษเงินแล้ว
วิธีนี้อาจใช้กับระบบการตรวจนับของในคลังสินค้า
· Superzapping มาจากคำว่า "Superzap" เป็นโปรแกรม "Marcro Utility" ที่ใช้ในศูนย์คอมพิวเตอร์ของบริษัท IBM เพื่อใช้เป็นเครื่องมือของระบบ (System Tool) ทำให้สามารถเข้าไปในระบบคอมพิวเตอร์ได้ในกรณีฉุกเฉิน เสมือนกุญแจผี (Master Key) ที่จะนำมาใช้เมื่อกุญแจดอกอื่นหายมีปัญหา โปรแกรมอรรถประโยชน์ (Utility Program) ตัวอย่างเช่นโปรแกรม Superzap จะมีความเสี่ยงมากหากตกไปอยู่ในมือของผู้ไม่หวังดี
· Trap Doors เป็นการเขียนโปรแกรมที่เลียนแบบคล้ายหน้าจอปกติของระบบคอมพิวเตอร์ เพื่อลวงผู้ที่มาใช้คอมพิวเตอร์ ทำให้ทราบถึงรหัสประจำตัว (ID Number) หรือรหัสผ่าน (Password) โดยโปรแกรมนี้จะเก็บข้อมูลที่ต้องการไว้ในไฟล์ลับ
· Logic Bombs เป็นการเขียนโปรแกรมคำสั่งอย่างมีเงื่อนไขไว้
โดยโปรแกรมจะเริ่มทำงานต่อเมื่อมีสภาวะหรือสภาพการณ์ตามที่ผู้สร้างโปรแกรมกำหนด
สามารถใช้ติดตามดูความเคลื่อนไหวของระบบบัญชี
ระบบเงินเดือนแล้วทำการเปลี่ยนแปลงตัวเลขดังกล่าว
· Asynchronous Attack เนื่องจากการทำงานของระบบคอมพิวเตอร์เป็นการทำงานแบบ Asynchronous คือสามารถทำงานหลาย
ๆ อย่างพร้อมกัน โดยการประมวลผลข้อมูลเหล่านั้นจะเสร็จไม่พร้อมกัน
ผู้ใช้งานจะทราบว่างานที่ประมวลผลเสร็จหรือไม่ก็ต่อเมื่อเรียกงานนั้นมาดู
ระบบดังกล่าวก่อให้เกิดจุดอ่อน
ผู้กระทำความผิดจะฉวยโอกาสในระหว่างที่เครื่องกำลังทำงานเข้าไปแก้ไขเปลี่ยนแปลงหรือกระทำการอื่นใดที่ผู้ใช้ไม่ทราบว่ามีการกระทำผิดเกิดขึ้น
· Data Leakage คือ
การทำให้ข้อมูลรั่วไหลออกไป อาจโดยตั้งใจหรือไม่ก็ตาม เช่น
การแผ่รังสีของคลื่นแม่เหล็กไฟฟ้าในขณะที่กำลังทำงาน
คนร้ายอาจตั้งเครื่องดักสัญญาณไว้ใกล้กับเครื่องคอมพิวเตอร์ข้อมูลตามที่ตนเองต้องการ
หรือการทำสำเนาเอกสาร เป็นต้น
· Piggybacking วิธีการดังกล่าวสามารถทำได้ทั้งทางกายภาพ (Physical) การที่คนร้ายจะลักลอบเข้าไปในประตูที่มีระบบรักษาความปลอดภัย
คนร้ายจะรอให้บุคคลที่มีอำนาจหรือได้รับอนุญาตมาใช้ประตูดังกล่าว
เมื่อประตูเปิดและบุคคลคนนั้นได้เข้าไปแล้ว
คนร้ายก็ฉวยโอกาสตอนที่ประตูยังไม่ปิดสนิทแอบเข้าไปได้
ในทางอิเล็คทรอนิกส์ก็เช่นกัน
อาจจะเกิดขึ้นในกรณีที่ใช้สายสื่อสารเดียวกันกับผู้ที่มีอำนาจใช้หรือได้รับอนุญาต
เช่น ใช้สายเคเบิลหรือโมเด็มเดียวกัน
IT Forensic Technique
ในการสืบสวน Forensic Accounting โดยใช้หลักฐานประเภทดิจิตอล (Digital Evidence) นั้น มีสิ่งสำคัญที่ต้องระลึกเสมอคือ จะต้องมีการจัดเก็บข้อมูลต่างๆให้รัดกุม ถูกต้อง (Establishment of Chain Custody) กล่าวคือ หลักฐานต่างๆที่เป็นอิเลกทรอนิกส์จะต้องจัดเก็บอยู่ในสถานที่ปลอดภัย การคัดลอกข้อมูลต้องทำเป็น bit ต่อ bit และคัดลอกข้อมูลจาก Hard drive ทำการวิเคราะห์ข้อมูลจากข้อมูลที่คัดลอกมาไม่ใช่ข้อมูลต้นฉบับ และใช้ forensic software ในการพิสูจน์ Data Integrity ของข้อมูล (Golden, Skalak and Clayton ,2006) จะเห็นได้ว่าในการตรวจสอบหัวใจสำคัญอย่างหนึ่งคือการรักษาข้อมูลต้นฉบับให้คงสภาพเดิม (Integrity) ไม่ให้มีการเปลี่ยนแปลง แก้ไข หรือถูกลบทิ้ง ดังนั้นการใช้เครื่องมือ Forensic Software
จึงมีบทบาทสำคัญเป็นอย่างยิ่งทั้งการเป็นเครื่องมือสืบสวนเมื่อเกิดข้อสงสัย
และเป็นระบบการควบคุมที่ดีเพื่อป้องกันการทุจริตที่อาจเกิดขึ้น
หลักฐานทาง IT ที่ต้องค้นหา
• Saved Files
• Deleted Files
• Temporary Files
• Metadata ข้อมูลนี้จะมีอยู่ในไฟล์ทุกไฟล์ สามารถระบุว่าไฟล์ถูกสร้างขึ้นมาโดยซอฟต์แวร์อะไร เมื่อไร ซึ่งจะทำให้สามารถตรวจสอบได้ว่าไฟล์ดังกล่าวนั้นมีที่มาอย่างไร เพราะเมต้าดาต้าตัวนี้ไม่สามารถเปลี่ยนแปลงได้แม้ว่าผู้ใช้จะลบ หรือทำการเปลี่ยนชื่อของไฟล์ไปก็ตาม ในบางระบบปฎิบัติการข้อมูลส่วนนี้สามารถบอกได้ว่าผู้ใช้เป็นใคร และมาใช้งานเมื่อไร
• Disk Slack เป็นส่วนที่ค่อนข้างจะใช้ความสามารถด้านเทคนิคในการตรวจสอบค่อนข้างมาก เนื่องจากในการทำงานที่ต้องมีการเขียนข้อมูลลงบนดิสก์ บางครั้งข้อมูลที่เขียนนั้นอาจจะมีรายละเอียดของการใช้งานข้อมูลเก่า หรือแอพพลิเคชันที่ใช้ ซึ่งหากมีซอฟต์แวร์ Computer Forensic ที่มีความสามารถก็จะสามารถดึงข้อมูลในส่วนนี้มาได้ บางครั้งข้อมูลที่ไม่สามารถถูกพบด้วยวิธีปกติทั่วไป ก็สามารถพบได้ด้วยวิธีนี้
• Deleted Files
• Temporary Files
• Metadata ข้อมูลนี้จะมีอยู่ในไฟล์ทุกไฟล์ สามารถระบุว่าไฟล์ถูกสร้างขึ้นมาโดยซอฟต์แวร์อะไร เมื่อไร ซึ่งจะทำให้สามารถตรวจสอบได้ว่าไฟล์ดังกล่าวนั้นมีที่มาอย่างไร เพราะเมต้าดาต้าตัวนี้ไม่สามารถเปลี่ยนแปลงได้แม้ว่าผู้ใช้จะลบ หรือทำการเปลี่ยนชื่อของไฟล์ไปก็ตาม ในบางระบบปฎิบัติการข้อมูลส่วนนี้สามารถบอกได้ว่าผู้ใช้เป็นใคร และมาใช้งานเมื่อไร
• Disk Slack เป็นส่วนที่ค่อนข้างจะใช้ความสามารถด้านเทคนิคในการตรวจสอบค่อนข้างมาก เนื่องจากในการทำงานที่ต้องมีการเขียนข้อมูลลงบนดิสก์ บางครั้งข้อมูลที่เขียนนั้นอาจจะมีรายละเอียดของการใช้งานข้อมูลเก่า หรือแอพพลิเคชันที่ใช้ ซึ่งหากมีซอฟต์แวร์ Computer Forensic ที่มีความสามารถก็จะสามารถดึงข้อมูลในส่วนนี้มาได้ บางครั้งข้อมูลที่ไม่สามารถถูกพบด้วยวิธีปกติทั่วไป ก็สามารถพบได้ด้วยวิธีนี้
Bit-Stream Copy : เทคนิคสำคัญที่ใช้ในการทำ IT Forensic
เทคนิคสำคัญที่จำเป็นในการตรวจสอบ IT Forensic คือ Bit-Stream Copy ซึ่งเป็นเทคนิคสำคัญที่มีอยู่ในเครื่องมือตรวจสอบทุกชนิด Bit-Stream Copy คือการเก็บข้อมูลทั้งหมดแบบบิตต่อบิตให้ครบถ้วนสมบูรณ์ที่สุด เพื่อใช้ในการตรวจสอบการทำงาน หรือหาจุดผิดปกติต่างๆ สามารถเก็บข้อมูลทุกอย่างที่เกิดขึ้นบนเครื่องของผู้ที่ถูกตรวจสอบได้ทั้งหมด
ทำให้ข้อมูลที่ได้มาทั้งหมดนี้สามารถนำมาใช้สร้างฮาร์ดดิสก์ที่มีข้อมูลเหมือนกับเครื่องที่ถูกเก็บได้ทุกประการ โดยสามารถเก็บ Temporary File บันทึกการใช้งานรับส่งอีเมล์ ข้อความการสนทนาใน MSN หรือ Chat Room สามารถแสดง Meta Data ของแต่ละไฟล์ให้เห็น ทำให้ผู้ตรวจสอบสามารถทราบได้ว่าไฟล์นั้นเป็นไฟล์ของแอพพลิเคชันอะไร และเคยถูกเปลี่ยนแปลงมาหรือไม่
Investigation tools
เครื่องมือที่ใช้ในการสืบสวน Forensic accounting มีอยู่หลากหลายชนิดด้วยกัน ตั้งแต่ซอฟต์แวร์ประเภท Data Mining ไปจนถึง ประเภท Data Analysis Forensic software ถูกนำไปใช้เพื่อประโยชน์ต่อไปนี้ Data imaging, Data recovery, Data integrity , Data extraction, Forensic Analysis และ Monitoring
ตัวอย่างซอฟต์แวร์สำเร็จรูปซึ่งรวม feature ในการตรวจสอบ
· EnCase Enterprise Edition
EnCase จัดเป็นซอฟต์แวร์ที่มีการรวมแอพพลิเคชันด้าน Forensic ไว้หลายๆ
อย่างในซอฟต์แวร์เพียงตัวเดียว ทำให้สามารถใช้งานได้หลากหลาย
ไม่ว่าจะเป็นการค้นหาไฟล์ที่น่าสงสัย ตรวจสอบข้อมูลในระบบ กู้ไฟล์ที่ถูกลบ
หรือการสร้างรายงานให้กับผู้ดูแลระบบนำไปวิเคราะห์ได้ ซึ่งจุดเด่นของ EnCase คือระบบตรวจสอบความถูกต้องของสำเนาที่เชื่อถือได้ด้วยการใช้เทคนิค MD5 และ Hash ที่สร้างค่า Hash Value ที่เปรียบเหมือนกับลายนิ้วมือไฟล์นั้น ซึ่งค่านี้สามารถนำมาใช้เปรียบเทียบความถูกต้องระหว่างต้นฉบับกับตัวสำเนาได้ และฟีเจอร์ที่เรียกว่า EnScript ที่อนุญาตให้ผู้ใช้ EnCase สามารถสร้างสคริปต์ด้วยการใช้ภาษา C++ หรือ JavaScript สำหรับใช้ในการตรวจสอบค้นหาไฟล์ที่ต้องการเฉพาะเจาะจงเป็นพิเศษ
ผู้ใช้ยังสามารถนำโมดูล
หรือสคริปต์ที่ตัวเองเขียนนั้นสามารถนำไปใช้กับผู้ใช้ EnCase คนอื่นได้ ซึ่งเป็นจุดเด่นที่เหนือกว่าซอฟต์แวร์อื่นๆ
สำหรับ Enterprise Edition เป็นเวอร์ชั่นที่ได้รับการปรับปรุงให้เหมาะสมกับการใช้งานขององค์กรธุรกิจได้เพิ่มโมดูลสำหรับให้ผู้ดูแลระบบสามารถเข้าไปตรวจสอบเครื่องลูกเพื่อค้นหาไฟล์ที่น่าสงสัยแบบต่างๆ หรือ กู้ไฟล์ที่ถูกลบไปได้จากระยะไกลได้
· AccessData Ultimate Toolkit
AccessData จัดเป็นซอฟต์แวร์ที่ทั้งแบบที่มีการรวมเอาแอพพลิเคชันด้าน Computer Forensic หลายอย่างไว้ในตัว
และมีแบบแยกขายเฉพาะอย่าง เช่น ซอฟต์แวร์สำหรับใช้ในการกู้พาสส์เวิร์ด
หรือกู้ไฟล์โดยเฉพาะ ทำให้ผู้ใช้ไม่จำเป็นต้องซื้อซอฟต์แวร์ยกชุดในราคาแพง
แต่สามารถเลือกซื้อเฉพาะแอพพลิเคชันอย่างใดอย่างหนึ่งที่ต้องการใช้งานได้ไม่ว่าจะเป็น Forensic Toolkit, Password Recovery Toolkit, Registry Viewer และ Distributed Network Attack แต่ถ้าเป็นตัว AccessData Ultimate Toolkit นั้นก็จะมีแอพพลิเคชันทั้งหมดรวมไว้แล้ว จุดเด่นของ AccessData คือ ความสามารถที่เฉพาะเจาะจง เช่น การกู้พาสส์เวิร์ด การกู้ไฟล์ที่ถูกลบ เป็นต้น แต่ปัญหาของ Access Data กลับเป็นเรื่องความสามารถในการตรวจสอบข้อมูลในระบบเครือข่าย
ซึ่งมีข้อจำกัดเนื่องจากผู้ใช้ไม่สามารถปรับแต่งค่าต่างๆ ด้วยตัวเอง
ทำให้ไม่สามารถค้นหาไฟล์ที่เฉพาะเจาะจงได้เหมือน EnCase
· VOGON Forensic Tools Software
ซอฟต์แวร์ VOGON Forensic Toolsตัวนี้เป็นการรวมเอาแอพพลิเคชันในด้าน Forensic เอาไว้ด้วยกัน คล้ายกับ EnCase แต่ว่ามีจุดเด่นกว่า EnCase ในเรื่องของความสามารถในการค้นหา หรือกู้ข้อมูลที่ถูกลบ และสูญหายไปจาก Storage แบบต่างๆ ที่เป็น SCSI, S-ATA จนถึงอุปกรณ์บันทึกข้อมูลแบบ USB ซึ่งมีการทำงานตรงจุดนี้ค่อนข้างรวดเร็ว และมีความถูกต้องสูง ส่วนการทำงานด้านอื่นๆ นั้นก็มีความคล้ายคลึงกับ EnCase ไม่ว่าจะเป็นจัดการสำเนาข้อมูลด้วยเทคนิค Hash และการสร้างรายงานที่สามารถนำไปวิเคราะห์ได้ ซอฟต์แวร์นี้ส่วนใหญ่จะได้รับความนิยมในกลุ่มธุรกิจที่ใช้งานดาต้าเซนเตอร์ที่เน้นการใช้การตรวจสอบข้อมูลต่างๆ ใน Storage เป็นหลัก
· ProDiscover Incident Response (PDS)
PDS จัดเป็นซอฟต์แวร์ที่ใช้งานง่ายมีความซับซ้อนไม่มาก ซึ่งผู้ใช้งานนั้นไม่จำเป็นต้องมีความชำนาญในด้าน Computer Forensic มากนัก มี Remote Forensic Server ซึ่งเป็นฟีเจอร์แบบเดียวกันที่ EnCase มีคือสามารถให้ผู้ดูแลระบบเข้าไปตรวจสอบเครื่องลูกในระบบเครือข่ายจากระยะไกลได้ จุดเด่นของ PDS ก็คือความสามารถในการตรวจสอบข้อมูลที่อยู่ในส่วนของฮาร์ดดิสก์ที่เรียกว่า Hardware Protect Area (HPA) ทำให้สามารถตรวจสอบคอนเทนต์ในส่วนนี้ของฮาร์ดดิสก์
เพื่อนำไปใช้วิเคราะห์ไฟล์ต่างๆที่อยู่ในฮาร์ดดิสก์นั้นได้สะดวกยิ่งขึ้น
โดยไม่ต้องกังวลในเรื่องของรูปแบบพาร์ทิชันฮาร์ดดิสก์ว่าจะเป็นแบบใด นอกนี้
PDS ยังสามารถแสดงผลงานในรูปแบบที่เข้าใจง่ายได้ด้วย แต่ข้อเสียคือมีฟีเจอร์ค่อนข้างน้อยทำให้ผู้ใช้ไม่สามารถปรับแต่งค่าการตรวจสอบ หรือค้นหาไฟล์แบบเฉพาะเจาะจงได้
· Helix
เป็นเครื่องมือซึ่งพัฒนามาจาก Knoppix ซึ่งเปิดให้ใช้บริการได้ฟรี ประกอบด้วย Option ต่างๆดังนี้
1. Preview System Information ออปชั่นนี้จะแสดงข้อมูลพื้นฐานของระบบที่ถูกตรวจสอบ เช่น Operating System, Network Information, Owner Information และ drives ทั้งหมดที่มีในระบบ
2. Acquire a “live” image ออปชั่นนี้ จะสามารถคัดลอกข้อมูลใน hard drives, floppy disks, หรือ memory, และจัดเก็บข้อมูลที่คัดลอกนี้ไว้ใน local removable media หรือบน network
3. Browse contents of the CD-ROM and Host OS ออปชั่นนี้จะให้ข้อมูลเกี่ยวกับรายละเอียดของไฟล์ต่างๆ เช่น ชื่อ ขนาดของไฟล์ การสร้าง การเข้าถึง วันที่มีการอัพเดทล่าสุด CRC, MD5
4. Scan for Pictures from a system ออปชั่นนี้จะช่วยให้ผู้ตรวจสอบสามารถตรวจสอบ item ที่น่าสงสัยในระบบได้อย่างรวดเร็ว
· ACL Desktop หรือ Generalized Audit Software (GAS)
Audit Command Language (ACL) ถูกพัฒนาขึ้นโดยบริษัท ACL Service Ltd เป็นเครื่องมือที่ช่วยในการอ่านและวิเคราะห์ประเภทของไฟล์ที่กระจายอยู่ตาม Database ต่างๆซึ่งอยู่ต่าง Platform กัน ACL จะช่วยให้ผู้ตรวจสอบสามารถเข้าถึง transactional data ที่สำคัญได้ ซึ่งมีฟังก์ชั่นช่วยงานผู้ตรวจสอบดังต่อไปนี้
· สามารถวิเคราะห์ข้อมูลทั้งหมดที่มีอยู่เพื่อให้การตรวจสอบมีความครบถ้วนยิ่งขึ้น
· ระบุแนวโน้ม ประเด็นสำคัญ และส่วนที่ควรได้รับการตรวจสอบ ระบุจุดที่เกิดความผิดพลาดและอาจเป็นช่องทางการทุจริตได้
· สามารถระบุการควบคุมซึ่งช่วยสร้างความมั่นใจได้ว่าสอดคล้องกับกับกฎระเบียบข้อบังคับขององค์กรหรือหน่วยงานภาครัฐ
· สามารถวิเคราะห์ transaction ที่เกี่ยวข้องกับทางการเงินได้
· จัดระบบระเบียบข้อมูลให้ถูกต้องและ consistency
· ฟังก์ชั่นเกี่ยวกับการวิเคราะห์ข้อมูล เช่น Benford’s Law analysis
นอกจากนี้ ACL ยังสามารถรักษา Data integrity หรือความคงสภาพของข้อมูลไว้ได้ ด้วยการกำหนดให้การเข้าถึงข้อมูลทั้งหมดเป็นรูปแบบ Read Only เท่านั้น เพื่อหลีกเลี่ยงไม่ให้แหล่งข้อมูลถูกเปลี่ยนแปลง หรือ ลบทิ้ง
· UltraBlock (forensic write blocker hardware)
เป็นฮาร์ดแวร์ที่ช่วยป้องกันปัญหาการเปลี่ยนแปลงแหล่งข้อมูลที่ผู้ตรวจสอบเข้าไปทำการตรวจสอบ Data Integrity
เป็นเรื่องสำคัญมากหากหลักฐานเหล่านี้ถูกนำขึ้นสู่ศาล
ดังนั้นผู้ตรวจสอบจะต้องระมัดระวังแหล่งข้อมูลที่ตนใช้เป็นอย่างยิ่งว่าจะไม่ถูกเปลี่ยนแปลง
ลบทิ้ง แต่อย่างใด
· Advance Hash Calculator เป็นเครื่องมือในการรักษา Data Integrity ด้วยการสร้าง Hash Value
· Passware Kit Forensic
เป็นเครื่องมือที่ช่วยให้สามารถเข้าถึง item ที่ถูกป้องกันด้วย Password ไว้ โดยใช้การ decrypt ที่รวดเร็ว และ password recovery algorithms Passware สามารถหา encrypted file กู้ไฟล์
และไขเว็บไซต์พาสเวิร์ดได้ โดยไม่ได้เปลี่ยนแปลงไฟล์แต่อย่างใด
ทั้งยังไม่ต้องติดตั้งโปรแกรมใดๆบนคอมพิวเตอร์ที่ถูกตรวจสอบอีกด้วย ข้อเสียของ Passware คือ สามารถใช้ได้กับการตั้ง Password ที่เป็นภาษาอังกฤษเท่านั้น
Forensic Accounting Cases
· Orinda-Moraga Disposal Services
ในปี 1996 ผู้จัดการของบริษัท Orinda-Moraga Disposal Services ซึ่งตั้งอยู่ในรัฐแคลิฟอร์เนีย กลายมาเป็นผู้ต้องสงสัยเมื่อบริษัท disposal service อื่นๆสงสัยเกี่ยวกับการที่บริษัท Orinda-Moraga Disposal Services เพิ่มอัตราค่าบริการกับลูกค้าและต้องการให้ the Contra Costa Sanitation District's ช่วยตรวจสอบความเป็นมาเป็นไป ดังนั้น เขาจึงจ้าง forensic accountant ทำการค้นหาความจริง
ภายหลังตรวจสอบการบันทึกข้อมูลของบริษัท Orinda-Moraga's พบว่าบริษัทนี้ได้ส่งเช็คไปถึงบุคคลที่ไม่มีตัวตนในหลายๆบริษัทโดยทำการ fake ที่อยู่ เพื่อให้ธุรกิจของเขามีต้นทุนที่เพิ่มขึ้น ท้ายที่สุดผู้เป็นเจ้าและหุ้นส่วนของ Orinda-Moraga's ถูกตัดสินว่ามีความผิดทางแพ่งและทางอาญา
· Sunbeam
ในปี 1997 บริษัท Sunbeam ซึ่งเป็นบริษัทที่ผลิตเครื่องใช้ไฟฟ้าขนาดเล็ก ได้ปฏิบัติตามหลักที่เรียกว่า bill and hold ซึ่งเป็นการที่บริษัทได้บันทึกยอดขายของสินค้าเพื่อให้เกิดกำไรขึ้นใน quarter ปัจจุบัน ในขณะที่ยังรอการส่งมอบ (deliver) สินค้า ซึ่งปกติแล้ว บริษัทควรที่จะบันทึกยอดขายเมื่อได้ส่งมอบสินค้าเรียบร้อยแล้ว Sunbeam ได้ขายสินค้าให้กับบริษัทเป็นจำนวนมากพร้อมกับให้ส่วนลด (discount) แต่กลับเก็บสินค้าต่างๆไว้ในคลังสินค้า (warehouses) ซึงจะทำให้ในงบการเงินจะปรากฏว่าบริษัทนี้มียอดขายที่สูง แต่อย่างไรก็ตามในคลังสิน ค้าของ Sunbeam กลับเต็มไปด้วยสินค้าที่ยังไม่ได้ขาย การกระทำเช่นนี้ถูกเปิดเผยโดย financial analyst ที่ลงทุนในบริษัทนี้ โดยเขาทำการ downgraded มูลค่าหุ้นของ Sunbeam
บริษัทกล่าวว่า Bill and hold ไม่ใช่สิ่งที่ผิดกฎหมาย แต่ผู้ถือหุ้นของ Sunbeam รู้สึกผิดหวังและยื่นฟ้องเพื่อให้ดำเนินการตามกฎหมาย ในที่สุดก็มีการเปิดเผยหลักฐานว่าด้วยตัวเลขที่ได้รับการตกแต่ง ทำให้ CEO ของ Sunbeam ถูกไล่ออกและถูกบังคับให้จ่ายเงิน $1,000,000 เพื่อชำระคดีความ แต่เขาจ่าย $500,000 เป็นค่าปรับและถูกห้ามดำรงตำแหน่งในบริษัทมหาชนอีกต่อไป
· Divorce
ทนายความในกรณีการหย่าร้างกำลังใช้ forensic accountants มาช่วยในการทำคดีให้กับลูกค้า โดยกรณีศึกษานี้พบว่ามีการซ่อนสินทรัพย์ของคู่สมรสแม้ว่าจะมีการปกปิดเป็นอย่างดีแล้ว ซึ่ง forensic accountants ได้ทำการอ่านและวิเคราะห์และตรวจสอบเอกสารทางการเงินแล้วพบว่าสามีได้มีการโอนเงินจำนวน $2,000,000 ไปให้แฟนเก่าของเขา
· Robert Maxwell
เมื่อสหภาพยุโรปตีพิมพ์ข่าวการเสียชีวิตของ Robert Maxwell ในปี 1991 ทำให้บริษัททั้งหมดของเขารู้สึกหดหู่ เพราะว่าเกมทางการเงินซึ่ง Maxwell สามารถที่จะเล่นกับเงินกู้จากธนาคารและเงินทุนของนักลงทุน ดังนั้น Forensic accountants ใช้เวลากว่า 14 ปีในการคลี่คลายคดีที่ Maxwell ได้มีการการยักยอกเงินจากลูกค้าและผู้ถือหุ้นเป็นจำนวนเงินมากกว่า $1,000,000,000
น.ส. ดารินทร์ อิงควงศ์ 5202113147
น.ส. สุทธิดา พวงพิกุล 5202113246
วันอาทิตย์ที่ 21 พฤศจิกายน พ.ศ. 2553
เขียนโดย chaya_bigvoice ที่ 00:41
ที่มา : https://bit.ly/2KMspuf
............................................................................................................
#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #โปรแกรม Encase คือ
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
