Friday, December 24, 2010

Digital Forensics: Computer Fraud Techniques

 Digital Forensics:Computer Fraud Techniques

Forensic Accounting

การบัญชีสืบสวน (Forensic Accounting)

บทบาทของผู้ตรจสอบทุจริตทางบัญชี
*การตรวจสอบทุจริตทางบัญชีและการเงินจำเป็นต้องอาศัยผู้ชำนาญเฉพาะได้แก่ Certified Fraud หรือForensic Accountant ซึ่งวัตถุประสงค์การตรวจสอบในกรณีนี้จะไม่เน้นถึงความถูกต้องของงบการเงินตามมาตราฐานการบัญชี แต่จะให้ความสนใจในการตอบคำถามเกี่ยวกับ

*ระบบการควบคุมภายในของกิจการมีจุดบกพร่องที่สุดในส่วนใด
*ระบบบัญชีที่ใช้อยู่เปิดโอกาสให้มีการตกแต่งตัวเลข และปฏิบัติการที่เป็นไปตามมาตรฐานการบัญชีมีที่ใดบ้าง
*ใครเป็นผู้ดูแลรายการนอกงบดุล และรายการนั้นถูกบันทึกไว้ที่ไหน อย่างไร
*วิธีการที่จะสามารถลัดขั้นตอนหรือไม่ปฏิบัติตามหรือไม่ปฏิบัติตามระบบที่วางไว้คืออะไร และสามารถผ่านการพิจารณาของผู้บริหารได้อย่างไร
*สิ่งแวดล้อมในการทำงานที่เอื้อต่อการทุจริตมีอะไรบ้าง เป็นต้น
  ที่มา: นิติวิทยาศาสตร์ มหาวิทยาลัยเกษตรศาสตร์
...................................................................................................................................

คดีฉ้อโกง (Fraud)

หมายถึง คดีอาญาที่ผู้กระทำผิดมีเจตนาแสวงหาประโยชน์โดยมิชอบเอาจากผู้ถูกหลอกลวง โดยหลอกลวงด้วยการแสดงข้อความอันเป็นเท็จ หรือปกปิดข้อความจริงที่ควรบอก ซึ่งการหลอกลวงและปกปิดนั้น ผู้ถูกหลอกลวงต้องเสียทรัพย์สินให้แก่ผู้กระทำผิด หรือทำให้ผู้ถูกหลอกลวงหรือบุคคลที่สามทำ ถอน หรือทำลายเอกสารสิทธิ  นอกจากนี้ ถ้าผู้เสียหายมีจำนวน ๑ คนขึ้นไป เช่นนี้เป็นคดีฉ้อโกงประชาชน (Public fraud)  ซึ่งเป็นความผิดอันยอมความไม่ได้

ที่มา : https://bit.ly/2DhquHD
...................................................................................................................................

How Information Technology can help Forensics Accounting?

จากตัวอย่างบริษัทใหญ่หลายแห่งในอดีต ไม่ว่าจะเป็น บริษัท Enron หรือบริษัท World-Com นั้นสะท้อนให้เห็นถึงความล้มเหลวในการควบคุมและตรวจสอบภายในองค์กร รวมทั้งความล้มเหลวทางด้านบัญชีที่นำไปสู่การทุจริตภายในองค์กรครั้งใหญ่ ซึ่งจากความล้มเหลวดังกล่าวนั้นจึงทำให้องค์กรและนักบัญชีจำนวนมากที่หันมาให้ความสนใจในเรื่องการกำกับดูแลกิจการมากขึ้น ผ่านการควบคุมและตรวจสอบภายในองค์กรอย่างมีประสิทธิภาพ เพื่อเป็นการป้องกันการทุจริตหรือข้อผิดพลาดต่างๆที่อาจสร้างผลกระทบในทางลบต่อองค์กร จากประเด็นดังกล่าวนี้เองจึงยังทำให้เกิดสาขาวิชาหนึ่งขึ้น คือ การบัญชีสืบสวน (Forensic Accounting)
การบัญชีสืบสวน (Forensic Accounting)
การบัญชีสืบสวน (Forensic Accounting) เป็นการใช้ทักษะด้านการเงินและแนวคิดทางด้านการสืบสวนสอบสวน เพื่อใช้ในการตรวจสอบ สืบสวน และสอบสวนข้อมูลทางการเงินเพื่อพิสูจน์หรือเพื่อหาหลักฐานประกอบข้อเท็จจริงเกี่ยวกับการทุจริต โดยเฉพาะทำหน้าที่คล้ายนักสืบ โดยจุดเริ่มต้นของการตรวจสอบนี้เกิดขึ้นมาจากการตรวจสอบด้านภาษีอากร ซึ่งเกี่ยวข้องกับกฎหมายและมักเป็นความผิดทางอาญา ดังนั้นการบัญชีสืบสวนถูกมองว่าเป็นการบัญชีที่เกี่ยวข้องกับอาชญากรรมซึ่งสาเหตุที่ทำให้การบัญชีสืบสวนมีความสำคัญขึ้นมา จากวารสารการบัญชีในปี 2541 บทความซึ่งเขียนโดยผู้ช่วยศาสตราจารย์ สมชาย ศุภธาดา นั้นได้อธิบายเพิ่มเติมว่า การบัญชีสืบสวน นั้นอาจสามารถแบ่งได้เป็น สาขา Fraud Auditing (การตรวจสอบการทุจริต) ซึ่งเป็นส่วนย่อยของ Forensic Accounting โดยสาขานี้จะมุ่งเน้นสืบสวนการทุจริตโดยเฉพาะ และอีกหนึ่งสาขา คือ Investigative Accounting (การบัญชีเชิงสอบสวน) โดยสาขาดังกล่าวจะทำการสอบทานเอกสาร ข้อมูลทางการเงิน เพื่อวัตถุประสงค์อย่างใดอย่างหนึ่งโดยเฉพาะ ซึ่งอาจเป็นข้อมูลหลักฐานประกอบการฟ้องร้อง หรือการเรียกร้องเงินประกันความเสียหายรวมทั้งคดีอาญา
จะเห็นได้ว่าในการสืบสวนหรือตรวจสอบทางบัญชีดังกล่าวนั้นต้องมีการค้นหา เก็บรวบรวม วิเคราะห์ข้อมูลทางบัญชีต่างๆ เพื่อใช้ประกอบในการตรวจสอบ ทำให้ในการบัญชีสืบสวนจึงมักต้องเกี่ยวข้องกับระบบสารสนเทศต่างๆภายในองค์กรเสมอ เนื่องจากระบบสารสนเทศนั้นถือเป็นระบบพื้นฐานสำคัญระบบหนึ่งที่องค์กรนั้นได้นำมาใช้เพื่ออำนวยความสะดวกในการค้นหา เก็บรวบรวม และเผยแพร่ข้อมูลต่างๆภายในองค์กรและระหว่างองค์กร เช่น ข้อมูลทางการบัญชีต่างๆ เป็นต้น ดังนั้นนักบัญชีสืบสวนนั้นจึงจำเป็นต้องอาศัยระบบสารสนเทศในองค์กรในการรวบรวมข้อมูลที่เกี่ยวข้อง และแม้ว่าระบบสารสนเทศดังกล่าวนั้นจะเป็นเครื่องมือที่สร้างมูลค่าเพิ่มเติมแก่องค์กร แต่อย่างไรก็ตาม ระบบดังกล่าวนั้นก็อาจเป็นเครื่องมือของผู้ไม่หวังดีในการสร้างความเสียหายต่อองค์กร โดย Smith (2005) ได้ศึกษาพบว่า ระบบสารสนเทศและคอมพิวเตอร์นั้นเครื่องมือสำคัญที่ใช้ในการประกอบทุจริตทางการเงินในองค์กร ดังนั้นนี้จึงเป็นอีกปัจจัยหนึ่งที่ทำให้ระบบสารสนเทศนั้นจึงเข้ามามีส่วนเกี่ยวเนื่องในการตรวจสอบหรือสืบสวนทางบัญชี ซึ่งนักบัญชีสืบสวนนั้นก็ตระหนักถึงในประเด็นปัญหาดังกล่าวเช่นกัน ดังนั้นในการรวบรวมข้อมูลจากระบบสารสนเทศนั้น นักบัญชีจึงต้องแน่ใจว่ากระบวนการรักษาความปลอดภัยของระบบสารสนเทศในองค์กรนั้นมีประสิทธิภาพมากเพียงพอที่สามารถให้ข้อมูลที่ถูกต้อง ครบถ้วน เพื่อใช้ในการตรวจสอบการทุจริตต่างๆ
ตัวอย่าง Computer Fraud Techniques
ดังที่กล่าวไปแล้วในข้างต้นว่า ระบบสารสนเทศและคอมพิวเตอร์นั้นเครื่องมือสำคัญที่ใช้ในการประกอบทุจริตทางการเงินในองค์กร โดยการกระทำที่อาจถือเป็นการทุจริตทางคอมพิวเตอร์ มักจะเป็นไปในรูปแบบดังต่อไปนี้
1. การฉ้อโกงโดยใช้เครื่องคอมพิวเตอร์ เช่น การเปลี่ยนแปลงจำนวนเงิน, จำนวนชั่วโมงการทำงานโดยไม่ได้รับอนุญาต
2. การปลอมแปลงโดยใช้เครื่องคอมพิวเตอร์ เช่น การเปลี่ยนแปลงข้อมูลในระบบฐานข้อมูลหรือทำการ Download ข้อมูลมาใช้โดยไม่ได้รับอนุญาต
3. การทำให้ข้อมูลหรือโปรแกรมคอมพิวเตอร์เสียหาย เช่น การเขียนโปรแกรมไวรัสเพื่อทำลายข้อมูล หรือแฝงมาในแฟ้มข้อมูลที่ผู้ใช้ทำการ Download
4. การทำลายระบบคอมพิวเตอร์ เช่น การก่อกวนการรับ-ส่งข้อมูลผ่านระบบเครือข่าย
5. การลักลอบเข้าไปในเครือข่ายโดยปราศจากอำนาจ เช่น การลักลอบดูข้อมูล รหัสประจำตัวหรือรหัสผ่านตัวอย่าง
ดังนั้นหากนักบัญชีสืบสวนนั้นรู้จักเทคนิคต่างๆที่ใช้ในการทุจริตผ่านระบบสารสนเทศและคอมพิวเตอร์ย่อมมีประโยชน์ในตรวจสอบมากขึ้น ตัวอย่างเทคนิคมีดังนี้
Computer Networks
·        Phishing คือ การปลอมแปลง e-mailหรือ web site รูปแบบหนึ่งโดยส่วนใหญ่จะมีวัตถุประสงค์
ที่จะต้องการข้อมูลข่าวสารต่างๆ เช่น user, Password และหมายเลขบัตรเครดิต โดยมักแอบอ้างมาจากบริษัทที่มีความน่าเชื่อถือ
·        IP Spoofing คือ การปลอมแปลงหมายเลข IP Address ให้เป็นหมายเลขซึ่งได้รับอนุญาตให้เข้าใช้งานเครือข่ายนั้นๆ ได้ เพื่อบุกรุกเข้าไปขโมย หรือทำลายข้อมูล หรือกระทำการอื่นๆ อันเป็นการโจมตีเครือข่าย เช่น การเข้าไปลบค่า Routing table ทิ้งเพื่อให้สามารถส่งข้อมูลผ่านไปยังภายนอกได้
·        Packet Sniffing เป็นอุปกรณ์ที่ต่อเข้ากับเครือข่ายคอมพิวเตอร์และคอยดักฟังข้อมูลหรือ packet ที่ถ่ายโอนภายในเครือข่าย เช่น การรับส่ง e-mail ซึ่งpacket ข้อมูลดังกล่าวนั้นอาจมี username หรือ password ที่สำคัญบรรจุอยู่

Computer System
·        Data Diddling คือ การเปลี่ยนแปลงข้อมูลโดยไม่ได้รับอนุญาตก่อนหรือระหว่างที่กำลังบันทึกข้อมูลลงไปในระบบคอมพิวเตอร์ การเปลี่ยนแปลงข้อมูลดังกล่าวนี้สามารถกระทำโดยบุคคลใดก็ได้ที่สามารถเข้าไปถึงตัวข้อมูล ตัวอย่างเช่น พนักงานเจ้าหน้าทีที่มีหน้าที่บันทึกเวลาการทำงานของพนักงานทั้งหมดทำการแก้ไขตัวเลขชั่วโมงการทำงานของคนอื่นมาลงเป็นชั่วโมงการทำงานของตนเอง ซึ่งข้อมูลดังกล่าวหากถูกแก้ไขเพียงเล็กน้อย ก็จะไม่มีใครทราบ
·        Trojan Horse การเขียนโปรแกรมคอมพิวเตอร์ที่แฝงไว้ในโปรแกรมที่มีประโยชน์เมื่อถึงเวลาโปรแกรมที่ไม่ดีจะปรากฎตัวขึ้นเพื่อปฏิบัติการทำลายข้อมูล วิธีนี้มักจะใช้กับการฉ้อโกงทางคอมพิวเตอร์หรือการทำลายข้อมูลหรือระบบคอมพิวเตอร์
·        Salami Techniques วิธีการปัดเศษจำนวนเงิน เช่น ทศนิยมตัวที่ 3 หรือปัดเศษทิ้งให้เหลือแต่จำนวนเงินที่สามารถจ่ายได้ แล้วนำเศษทศนิยมหรือเศษที่ปัดทิ้งมาใส่ในบัญชีของตนเองหรือของผู้อื่น ซึ่งจะทำให้ผลรวมของบัญชียังคงสมดุล (Balance) และจะไม่มีปัญหากับระบบควบคุมเนื่องจากไม่มีการนำเงินออกจากระบบบัญชี นอกจากใช้กับการปัดเศษเงินแล้ว วิธีนี้อาจใช้กับระบบการตรวจนับของในคลังสินค้า
·        Superzapping มาจากคำว่า "Superzap" เป็นโปรแกรม "Marcro Utility" ที่ใช้ในศูนย์คอมพิวเตอร์ของบริษัท IBM เพื่อใช้เป็นเครื่องมือของระบบ (System Tool) ทำให้สามารถเข้าไปในระบบคอมพิวเตอร์ได้ในกรณีฉุกเฉิน เสมือนกุญแจผี (Master Key) ที่จะนำมาใช้เมื่อกุญแจดอกอื่นหายมีปัญหา โปรแกรมอรรถประโยชน์ (Utility Program) ตัวอย่างเช่นโปรแกรม Superzap จะมีความเสี่ยงมากหากตกไปอยู่ในมือของผู้ไม่หวังดี
·        Trap Doors เป็นการเขียนโปรแกรมที่เลียนแบบคล้ายหน้าจอปกติของระบบคอมพิวเตอร์ เพื่อลวงผู้ที่มาใช้คอมพิวเตอร์ ทำให้ทราบถึงรหัสประจำตัว (ID Number) หรือรหัสผ่าน (Password) โดยโปรแกรมนี้จะเก็บข้อมูลที่ต้องการไว้ในไฟล์ลับ
·        Logic Bombs เป็นการเขียนโปรแกรมคำสั่งอย่างมีเงื่อนไขไว้ โดยโปรแกรมจะเริ่มทำงานต่อเมื่อมีสภาวะหรือสภาพการณ์ตามที่ผู้สร้างโปรแกรมกำหนด สามารถใช้ติดตามดูความเคลื่อนไหวของระบบบัญชี ระบบเงินเดือนแล้วทำการเปลี่ยนแปลงตัวเลขดังกล่าว
·        Asynchronous Attack เนื่องจากการทำงานของระบบคอมพิวเตอร์เป็นการทำงานแบบ Asynchronous คือสามารถทำงานหลาย ๆ อย่างพร้อมกัน โดยการประมวลผลข้อมูลเหล่านั้นจะเสร็จไม่พร้อมกัน ผู้ใช้งานจะทราบว่างานที่ประมวลผลเสร็จหรือไม่ก็ต่อเมื่อเรียกงานนั้นมาดู ระบบดังกล่าวก่อให้เกิดจุดอ่อน ผู้กระทำความผิดจะฉวยโอกาสในระหว่างที่เครื่องกำลังทำงานเข้าไปแก้ไขเปลี่ยนแปลงหรือกระทำการอื่นใดที่ผู้ใช้ไม่ทราบว่ามีการกระทำผิดเกิดขึ้น
·        Data Leakage คือ การทำให้ข้อมูลรั่วไหลออกไป อาจโดยตั้งใจหรือไม่ก็ตาม เช่น การแผ่รังสีของคลื่นแม่เหล็กไฟฟ้าในขณะที่กำลังทำงาน คนร้ายอาจตั้งเครื่องดักสัญญาณไว้ใกล้กับเครื่องคอมพิวเตอร์ข้อมูลตามที่ตนเองต้องการ หรือการทำสำเนาเอกสาร เป็นต้น
·        Piggybacking วิธีการดังกล่าวสามารถทำได้ทั้งทางกายภาพ (Physical) การที่คนร้ายจะลักลอบเข้าไปในประตูที่มีระบบรักษาความปลอดภัย คนร้ายจะรอให้บุคคลที่มีอำนาจหรือได้รับอนุญาตมาใช้ประตูดังกล่าว เมื่อประตูเปิดและบุคคลคนนั้นได้เข้าไปแล้ว คนร้ายก็ฉวยโอกาสตอนที่ประตูยังไม่ปิดสนิทแอบเข้าไปได้ ในทางอิเล็คทรอนิกส์ก็เช่นกัน อาจจะเกิดขึ้นในกรณีที่ใช้สายสื่อสารเดียวกันกับผู้ที่มีอำนาจใช้หรือได้รับอนุญาต เช่น ใช้สายเคเบิลหรือโมเด็มเดียวกัน

IT Forensic Technique
ในการสืบสวน Forensic Accounting โดยใช้หลักฐานประเภทดิจิตอล (Digital Evidence) นั้น มีสิ่งสำคัญที่ต้องระลึกเสมอคือ จะต้องมีการจัดเก็บข้อมูลต่างๆให้รัดกุม ถูกต้อง (Establishment of Chain Custody) กล่าวคือ หลักฐานต่างๆที่เป็นอิเลกทรอนิกส์จะต้องจัดเก็บอยู่ในสถานที่ปลอดภัย  การคัดลอกข้อมูลต้องทำเป็น bit ต่อ bit  และคัดลอกข้อมูลจาก Hard drive  ทำการวิเคราะห์ข้อมูลจากข้อมูลที่คัดลอกมาไม่ใช่ข้อมูลต้นฉบับ และใช้ forensic software ในการพิสูจน์ Data Integrity ของข้อมูล (Golden, Skalak and Clayton ,2006) จะเห็นได้ว่าในการตรวจสอบหัวใจสำคัญอย่างหนึ่งคือการรักษาข้อมูลต้นฉบับให้คงสภาพเดิม (Integrity) ไม่ให้มีการเปลี่ยนแปลง แก้ไข หรือถูกลบทิ้ง ดังนั้นการใช้เครื่องมือ Forensic Software จึงมีบทบาทสำคัญเป็นอย่างยิ่งทั้งการเป็นเครื่องมือสืบสวนเมื่อเกิดข้อสงสัย และเป็นระบบการควบคุมที่ดีเพื่อป้องกันการทุจริตที่อาจเกิดขึ้น
หลักฐานทาง IT ที่ต้องค้นหา
Saved Files
• Deleted Files

Temporary Files
• Metadata  ข้อมูลนี้จะมีอยู่ในไฟล์ทุกไฟล์ สามารถระบุว่าไฟล์ถูกสร้างขึ้นมาโดยซอฟต์แวร์อะไร เมื่อไร ซึ่งจะทำให้สามารถตรวจสอบได้ว่าไฟล์ดังกล่าวนั้นมีที่มาอย่างไร เพราะเมต้าดาต้าตัวนี้ไม่สามารถเปลี่ยนแปลงได้แม้ว่าผู้ใช้จะลบ หรือทำการเปลี่ยนชื่อของไฟล์ไปก็ตาม ในบางระบบปฎิบัติการข้อมูลส่วนนี้สามารถบอกได้ว่าผู้ใช้เป็นใคร และมาใช้งานเมื่อไร
• Disk Slack เป็นส่วนที่ค่อนข้างจะใช้ความสามารถด้านเทคนิคในการตรวจสอบค่อนข้างมาก เนื่องจากในการทำงานที่ต้องมีการเขียนข้อมูลลงบนดิสก์ บางครั้งข้อมูลที่เขียนนั้นอาจจะมีรายละเอียดของการใช้งานข้อมูลเก่า หรือแอพพลิเคชันที่ใช้  ซึ่งหากมีซอฟต์แวร์ Computer Forensic ที่มีความสามารถก็จะสามารถดึงข้อมูลในส่วนนี้มาได้ บางครั้งข้อมูลที่ไม่สามารถถูกพบด้วยวิธีปกติทั่วไป ก็สามารถพบได้ด้วยวิธีนี้

Bit-Stream Copy : เทคนิคสำคัญที่ใช้ในการทำ IT Forensic
เทคนิคสำคัญที่จำเป็นในการตรวจสอบ IT Forensic คือ Bit-Stream Copy  ซึ่งเป็นเทคนิคสำคัญที่มีอยู่ในเครื่องมือตรวจสอบทุกชนิด Bit-Stream Copy คือการเก็บข้อมูลทั้งหมดแบบบิตต่อบิตให้ครบถ้วนสมบูรณ์ที่สุด เพื่อใช้ในการตรวจสอบการทำงาน หรือหาจุดผิดปกติต่างๆ สามารถเก็บข้อมูลทุกอย่างที่เกิดขึ้นบนเครื่องของผู้ที่ถูกตรวจสอบได้ทั้งหมด ทำให้ข้อมูลที่ได้มาทั้งหมดนี้สามารถนำมาใช้สร้างฮาร์ดดิสก์ที่มีข้อมูลเหมือนกับเครื่องที่ถูกเก็บได้ทุกประการ โดยสามารถเก็บ Temporary File บันทึกการใช้งานรับส่งอีเมล์ ข้อความการสนทนาใน MSN หรือ Chat Room สามารถแสดง Meta Data ของแต่ละไฟล์ให้เห็น ทำให้ผู้ตรวจสอบสามารถทราบได้ว่าไฟล์นั้นเป็นไฟล์ของแอพพลิเคชันอะไร และเคยถูกเปลี่ยนแปลงมาหรือไม่

Investigation tools
เครื่องมือที่ใช้ในการสืบสวน Forensic accounting มีอยู่หลากหลายชนิดด้วยกัน ตั้งแต่ซอฟต์แวร์ประเภท Data Mining ไปจนถึง ประเภท Data Analysis  Forensic software ถูกนำไปใช้เพื่อประโยชน์ต่อไปนี้ Data imaging,  Data recovery,  Data integrity , Data extraction,  Forensic Analysis และ Monitoring
ตัวอย่างซอฟต์แวร์สำเร็จรูปซึ่งรวม feature ในการตรวจสอบ
·        EnCase Enterprise Edition
EnCase จัดเป็นซอฟต์แวร์ที่มีการรวมแอพพลิเคชันด้าน Forensic ไว้หลายๆ อย่างในซอฟต์แวร์เพียงตัวเดียว ทำให้สามารถใช้งานได้หลากหลาย ไม่ว่าจะเป็นการค้นหาไฟล์ที่น่าสงสัย ตรวจสอบข้อมูลในระบบ กู้ไฟล์ที่ถูกลบ หรือการสร้างรายงานให้กับผู้ดูแลระบบนำไปวิเคราะห์ได้  ซึ่งจุดเด่นของ EnCase คือระบบตรวจสอบความถูกต้องของสำเนาที่เชื่อถือได้ด้วยการใช้เทคนิค MD5 และ Hash ที่สร้างค่า Hash Value ที่เปรียบเหมือนกับลายนิ้วมือไฟล์นั้น ซึ่งค่านี้สามารถนำมาใช้เปรียบเทียบความถูกต้องระหว่างต้นฉบับกับตัวสำเนาได้  และฟีเจอร์ที่เรียกว่า EnScript  ที่อนุญาตให้ผู้ใช้  EnCase สามารถสร้างสคริปต์ด้วยการใช้ภาษา C++ หรือ JavaScript สำหรับใช้ในการตรวจสอบค้นหาไฟล์ที่ต้องการเฉพาะเจาะจงเป็นพิเศษ ผู้ใช้ยังสามารถนำโมดูล หรือสคริปต์ที่ตัวเองเขียนนั้นสามารถนำไปใช้กับผู้ใช้ EnCase คนอื่นได้ ซึ่งเป็นจุดเด่นที่เหนือกว่าซอฟต์แวร์อื่นๆ
สำหรับ Enterprise Edition เป็นเวอร์ชั่นที่ได้รับการปรับปรุงให้เหมาะสมกับการใช้งานขององค์กรธุรกิจได้เพิ่มโมดูลสำหรับให้ผู้ดูแลระบบสามารถเข้าไปตรวจสอบเครื่องลูกเพื่อค้นหาไฟล์ที่น่าสงสัยแบบต่างๆ หรือ กู้ไฟล์ที่ถูกลบไปได้จากระยะไกลได้  
·        AccessData Ultimate Toolkit
AccessData จัดเป็นซอฟต์แวร์ที่ทั้งแบบที่มีการรวมเอาแอพพลิเคชันด้าน Computer Forensic หลายอย่างไว้ในตัว และมีแบบแยกขายเฉพาะอย่าง เช่น ซอฟต์แวร์สำหรับใช้ในการกู้พาสส์เวิร์ด หรือกู้ไฟล์โดยเฉพาะ ทำให้ผู้ใช้ไม่จำเป็นต้องซื้อซอฟต์แวร์ยกชุดในราคาแพง แต่สามารถเลือกซื้อเฉพาะแอพพลิเคชันอย่างใดอย่างหนึ่งที่ต้องการใช้งานได้ไม่ว่าจะเป็น Forensic Toolkit, Password Recovery Toolkit, Registry Viewer และ Distributed Network Attack แต่ถ้าเป็นตัว AccessData Ultimate Toolkit นั้นก็จะมีแอพพลิเคชันทั้งหมดรวมไว้แล้ว  จุดเด่นของ AccessData คือ ความสามารถที่เฉพาะเจาะจง เช่น การกู้พาสส์เวิร์ด การกู้ไฟล์ที่ถูกลบ เป็นต้น แต่ปัญหาของ Access Data กลับเป็นเรื่องความสามารถในการตรวจสอบข้อมูลในระบบเครือข่าย ซึ่งมีข้อจำกัดเนื่องจากผู้ใช้ไม่สามารถปรับแต่งค่าต่างๆ ด้วยตัวเอง ทำให้ไม่สามารถค้นหาไฟล์ที่เฉพาะเจาะจงได้เหมือน EnCase 
·        VOGON Forensic Tools Software
ซอฟต์แวร์ VOGON Forensic Toolsตัวนี้เป็นการรวมเอาแอพพลิเคชันในด้าน Forensic เอาไว้ด้วยกัน คล้ายกับ EnCase แต่ว่ามีจุดเด่นกว่า EnCase ในเรื่องของความสามารถในการค้นหา หรือกู้ข้อมูลที่ถูกลบ และสูญหายไปจาก Storage แบบต่างๆ ที่เป็น SCSI, S-ATA จนถึงอุปกรณ์บันทึกข้อมูลแบบ USB ซึ่งมีการทำงานตรงจุดนี้ค่อนข้างรวดเร็ว และมีความถูกต้องสูง ส่วนการทำงานด้านอื่นๆ นั้นก็มีความคล้ายคลึงกับ EnCase ไม่ว่าจะเป็นจัดการสำเนาข้อมูลด้วยเทคนิค Hash และการสร้างรายงานที่สามารถนำไปวิเคราะห์ได้  ซอฟต์แวร์นี้ส่วนใหญ่จะได้รับความนิยมในกลุ่มธุรกิจที่ใช้งานดาต้าเซนเตอร์ที่เน้นการใช้การตรวจสอบข้อมูลต่างๆ ใน Storage เป็นหลัก
·        ProDiscover Incident Response (PDS)
PDS จัดเป็นซอฟต์แวร์ที่ใช้งานง่ายมีความซับซ้อนไม่มาก ซึ่งผู้ใช้งานนั้นไม่จำเป็นต้องมีความชำนาญในด้าน Computer Forensic มากนัก มี Remote Forensic Server ซึ่งเป็นฟีเจอร์แบบเดียวกันที่ EnCase มีคือสามารถให้ผู้ดูแลระบบเข้าไปตรวจสอบเครื่องลูกในระบบเครือข่ายจากระยะไกลได้ จุดเด่นของ PDS ก็คือความสามารถในการตรวจสอบข้อมูลที่อยู่ในส่วนของฮาร์ดดิสก์ที่เรียกว่า Hardware Protect Area (HPA) ทำให้สามารถตรวจสอบคอนเทนต์ในส่วนนี้ของฮาร์ดดิสก์ เพื่อนำไปใช้วิเคราะห์ไฟล์ต่างๆที่อยู่ในฮาร์ดดิสก์นั้นได้สะดวกยิ่งขึ้น โดยไม่ต้องกังวลในเรื่องของรูปแบบพาร์ทิชันฮาร์ดดิสก์ว่าจะเป็นแบบใด นอกนี้ PDS ยังสามารถแสดงผลงานในรูปแบบที่เข้าใจง่ายได้ด้วย  แต่ข้อเสียคือมีฟีเจอร์ค่อนข้างน้อยทำให้ผู้ใช้ไม่สามารถปรับแต่งค่าการตรวจสอบ หรือค้นหาไฟล์แบบเฉพาะเจาะจงได้
·        Helix 
เป็นเครื่องมือซึ่งพัฒนามาจาก Knoppix ซึ่งเปิดให้ใช้บริการได้ฟรี ประกอบด้วย Option ต่างๆดังนี้
1.       Preview System Information ออปชั่นนี้จะแสดงข้อมูลพื้นฐานของระบบที่ถูกตรวจสอบ เช่น Operating System, Network Information, Owner Information และ drives ทั้งหมดที่มีในระบบ
2.       Acquire a “live” image ออปชั่นนี้ จะสามารถคัดลอกข้อมูลใน hard drives, floppy disks, หรือ memory, และจัดเก็บข้อมูลที่คัดลอกนี้ไว้ใน local removable media หรือบน network
3.       Browse contents of the CD-ROM and Host OS  ออปชั่นนี้จะให้ข้อมูลเกี่ยวกับรายละเอียดของไฟล์ต่างๆ เช่น ชื่อ ขนาดของไฟล์ การสร้าง การเข้าถึง วันที่มีการอัพเดทล่าสุด CRC, MD5
4.       Scan for Pictures from a system ออปชั่นนี้จะช่วยให้ผู้ตรวจสอบสามารถตรวจสอบ item ที่น่าสงสัยในระบบได้อย่างรวดเร็ว
·        ACL Desktop หรือ Generalized Audit Software (GAS)
Audit Command Language (ACL) ถูกพัฒนาขึ้นโดยบริษัท ACL Service Ltd เป็นเครื่องมือที่ช่วยในการอ่านและวิเคราะห์ประเภทของไฟล์ที่กระจายอยู่ตาม Database ต่างๆซึ่งอยู่ต่าง Platform กัน ACL จะช่วยให้ผู้ตรวจสอบสามารถเข้าถึง transactional data ที่สำคัญได้  ซึ่งมีฟังก์ชั่นช่วยงานผู้ตรวจสอบดังต่อไปนี้
·          สามารถวิเคราะห์ข้อมูลทั้งหมดที่มีอยู่เพื่อให้การตรวจสอบมีความครบถ้วนยิ่งขึ้น
·          ระบุแนวโน้ม ประเด็นสำคัญ และส่วนที่ควรได้รับการตรวจสอบ ระบุจุดที่เกิดความผิดพลาดและอาจเป็นช่องทางการทุจริตได้
·          สามารถระบุการควบคุมซึ่งช่วยสร้างความมั่นใจได้ว่าสอดคล้องกับกับกฎระเบียบข้อบังคับขององค์กรหรือหน่วยงานภาครัฐ
·          สามารถวิเคราะห์ transaction ที่เกี่ยวข้องกับทางการเงินได้
·          จัดระบบระเบียบข้อมูลให้ถูกต้องและ consistency
·          ฟังก์ชั่นเกี่ยวกับการวิเคราะห์ข้อมูล เช่น Benford’s Law analysis
นอกจากนี้ ACL ยังสามารถรักษา Data integrity หรือความคงสภาพของข้อมูลไว้ได้ ด้วยการกำหนดให้การเข้าถึงข้อมูลทั้งหมดเป็นรูปแบบ Read Only เท่านั้น เพื่อหลีกเลี่ยงไม่ให้แหล่งข้อมูลถูกเปลี่ยนแปลง หรือ ลบทิ้ง
·        UltraBlock  (forensic write blocker hardware) 
เป็นฮาร์ดแวร์ที่ช่วยป้องกันปัญหาการเปลี่ยนแปลงแหล่งข้อมูลที่ผู้ตรวจสอบเข้าไปทำการตรวจสอบ Data Integrity เป็นเรื่องสำคัญมากหากหลักฐานเหล่านี้ถูกนำขึ้นสู่ศาล ดังนั้นผู้ตรวจสอบจะต้องระมัดระวังแหล่งข้อมูลที่ตนใช้เป็นอย่างยิ่งว่าจะไม่ถูกเปลี่ยนแปลง ลบทิ้ง แต่อย่างใด
·        Advance Hash Calculator เป็นเครื่องมือในการรักษา Data Integrity ด้วยการสร้าง Hash Value
·        Passware Kit Forensic
เป็นเครื่องมือที่ช่วยให้สามารถเข้าถึง item ที่ถูกป้องกันด้วย Password ไว้ โดยใช้การ  decrypt ที่รวดเร็ว และ password recovery algorithms Passware สามารถหา encrypted file กู้ไฟล์ และไขเว็บไซต์พาสเวิร์ดได้ โดยไม่ได้เปลี่ยนแปลงไฟล์แต่อย่างใด ทั้งยังไม่ต้องติดตั้งโปรแกรมใดๆบนคอมพิวเตอร์ที่ถูกตรวจสอบอีกด้วย  ข้อเสียของ Passware คือ สามารถใช้ได้กับการตั้ง Password ที่เป็นภาษาอังกฤษเท่านั้น

Forensic Accounting Cases
·        Orinda-Moraga Disposal Services 
ในปี 1996 ผู้จัดการของบริษัท Orinda-Moraga Disposal Services ซึ่งตั้งอยู่ในรัฐแคลิฟอร์เนีย กลายมาเป็นผู้ต้องสงสัยเมื่อบริษัท disposal service อื่นๆสงสัยเกี่ยวกับการที่บริษัท Orinda-Moraga Disposal Services เพิ่มอัตราค่าบริการกับลูกค้าและต้องการให้ the Contra Costa Sanitation District's ช่วยตรวจสอบความเป็นมาเป็นไป ดังนั้น เขาจึงจ้าง forensic accountant ทำการค้นหาความจริง
            ภายหลังตรวจสอบการบันทึกข้อมูลของบริษัท Orinda-Moraga's พบว่าบริษัทนี้ได้ส่งเช็คไปถึงบุคคลที่ไม่มีตัวตนในหลายๆบริษัทโดยทำการ fake ที่อยู่ เพื่อให้ธุรกิจของเขามีต้นทุนที่เพิ่มขึ้น ท้ายที่สุดผู้เป็นเจ้าและหุ้นส่วนของ Orinda-Moraga's ถูกตัดสินว่ามีความผิดทางแพ่งและทางอาญา
·        Sunbeam
ในปี 1997 บริษัท Sunbeam ซึ่งเป็นบริษัทที่ผลิตเครื่องใช้ไฟฟ้าขนาดเล็ก ได้ปฏิบัติตามหลักที่เรียกว่า bill and hold ซึ่งเป็นการที่บริษัทได้บันทึกยอดขายของสินค้าเพื่อให้เกิดกำไรขึ้นใน quarter ปัจจุบัน ในขณะที่ยังรอการส่งมอบ (deliver) สินค้า ซึ่งปกติแล้ว บริษัทควรที่จะบันทึกยอดขายเมื่อได้ส่งมอบสินค้าเรียบร้อยแล้ว  Sunbeam ได้ขายสินค้าให้กับบริษัทเป็นจำนวนมากพร้อมกับให้ส่วนลด  (discount) แต่กลับเก็บสินค้าต่างๆไว้ในคลังสินค้า (warehouses)  ซึงจะทำให้ในงบการเงินจะปรากฏว่าบริษัทนี้มียอดขายที่สูง แต่อย่างไรก็ตามในคลังสิน  ค้าของ Sunbeam กลับเต็มไปด้วยสินค้าที่ยังไม่ได้ขาย การกระทำเช่นนี้ถูกเปิดเผยโดย financial analyst ที่ลงทุนในบริษัทนี้ โดยเขาทำการ downgraded มูลค่าหุ้นของ Sunbeam
            บริษัทกล่าวว่า Bill and hold ไม่ใช่สิ่งที่ผิดกฎหมาย แต่ผู้ถือหุ้นของ Sunbeam รู้สึกผิดหวังและยื่นฟ้องเพื่อให้ดำเนินการตามกฎหมาย ในที่สุดก็มีการเปิดเผยหลักฐานว่าด้วยตัวเลขที่ได้รับการตกแต่ง ทำให้ CEO ของ Sunbeam ถูกไล่ออกและถูกบังคับให้จ่ายเงิน $1,000,000 เพื่อชำระคดีความ แต่เขาจ่าย $500,000 เป็นค่าปรับและถูกห้ามดำรงตำแหน่งในบริษัทมหาชนอีกต่อไป

·        Divorce

ทนายความในกรณีการหย่าร้างกำลังใช้ forensic accountants มาช่วยในการทำคดีให้กับลูกค้า โดยกรณีศึกษานี้พบว่ามีการซ่อนสินทรัพย์ของคู่สมรสแม้ว่าจะมีการปกปิดเป็นอย่างดีแล้ว  ซึ่ง forensic accountants ได้ทำการอ่านและวิเคราะห์และตรวจสอบเอกสารทางการเงินแล้วพบว่าสามีได้มีการโอนเงินจำนวน  $2,000,000 ไปให้แฟนเก่าของเขา

·        Robert Maxwell

เมื่อสหภาพยุโรปตีพิมพ์ข่าวการเสียชีวิตของ Robert Maxwell  ในปี 1991 ทำให้บริษัททั้งหมดของเขารู้สึกหดหู่ เพราะว่าเกมทางการเงินซึ่ง Maxwell สามารถที่จะเล่นกับเงินกู้จากธนาคารและเงินทุนของนักลงทุน ดังนั้น Forensic accountants ใช้เวลากว่า 14 ปีในการคลี่คลายคดีที่ Maxwell ได้มีการการยักยอกเงินจากลูกค้าและผู้ถือหุ้นเป็นจำนวนเงินมากกว่า $1,000,000,000 

น.ส. ชญาพร คงสาคร 5202113097
น.ส. ดารินทร์ อิงควงศ์ 5202113147
น.ส. สุทธิดา พวงพิกุล 5202113246
 วันอาทิตย์ที่ 21 พฤศจิกายน พ.ศ. 2553
เขียนโดย chaya_bigvoice ที่ 00:41

ที่มา : https://bit.ly/2KMspuf
 ............................................................................................................

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #โปรแกรม Encase คือ


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

Thursday, December 16, 2010

Computer Forensics :พิสูจน์หลักฐานทางคอมพิวเตอร์

Computer Forensics :พิสูจน์หลักฐานทางคอมพิวเตอร์

Computer Forensics อาชญากรรมทางคอมพิวเตอร์เป็นอาชญากรรมทีถูกยกระดับจากสภาพแวดล้อมทาง กายภาพมาเป็ นสภาพแวดล้อมทางอิเล็กทรอนิกส์ซึ่งจับต้องได้ยาก ทําให้วิธีการสืบสวนที่เคย ใช้ไม่ได้ขึ นอยู่กับกฎเกณฑ์และข้อบังคับแบบเดิม ตัวอย่างเช่น ระดับความสามารถในการ ขโมยของ แต่เดิมนั้นจะขึ้นอยู่กับขนาดของสิ่งของนั้นทางกายภาพ และข้อจํากัดของผู้ขโมย รวมถึงการเข้าถึงสถานที่และจํานวนซึ้งสามารถนําไปได้ แต่ปัจจุบันผู้ขโมยสามารถดาวน์ โหลดข้อมูลทั้งหมดโดยมิต้องเข้าถึงสถานที่นั้น หรือไม่ต้องมีการยกอะไรเลย

กฎของหลักฐาน ก่อนที่จะเจาะลึกถึงกระบวนการสืบสวนและพิสูจน์หลักฐานทางคอมพิวเตอร์ นั้นจําเป็ นว่าผู้สืบสวนจะต้องเข้าใจอย่างถ่องแท้ถึงกฎของหลักฐาน การยื่นหลักฐานประเภท ใดเพื่อดําเนินการทางกฎหมายตามปรกตินับเป็ นปัญหาสําคัญ แต่เมื่อคอมพิวเตอร์เข้ามา เกี่ยวข้อง ปัญหาต่าง ๆ ก็เพิ่มขึ้น ความรู้ พิเศษมีความจําเป็ นเพื่อที่จะค้นหาและเก็บรวบรวม หลักฐาน และการดูแลพิเศษมีความจําเป็ นเพื่อที่จะรักษาและเคลื่อนย้ายหลักฐาน หลักฐาน ในกรณีอาชญากรรมทางคอมพิวเตอร์อาจจะแตกต่างจากรูปแบบดั้งเดิมของหลักฐานตราบ เท่าที่หลักฐานที่เกี่ยวข้องกับคอมพิวเตอร์นั้นไม่สามารถจับต้องได้ กล่าวคืออยู่ในรูปของคลื่น อิเล็กทรอนิกส์ หรือคลื่นแม่เหล็ก  

ก่อนที่หลักฐานจะสามารถนํามาแสดงในกรณีต่างๆ จะต้องมีความสมบูรณ์ เกี่ยวข้อง และสําคัญต่อเรื่องนั้นๆ และจะต้องแสดงสอดคล้องกับกฎของหลักฐาน สิ่งใดก็ ตามที่ได้มาตามกฎหมายทั้งทางตรงและทางอ้อมซึ่งมีแนวโน้มที่จะพิสูจน์ว่าบุคคลอาจจะต้อง รับผิดชอบต่อการกระทําความผิดทางอาญาสามารถนํามาแสดงได้ตามกฎหมาย การพิสูจน์ อาจจะรวมถึงการให้ปากคําของพยานหรือการนําเสนอหลักฐานที่เป็ นลายลักษณ์อักษรหรือ หลักฐานทางกายภาพ

จากคําจํากัดความ “หลักฐาน” คือประเภทต่างๆ ของข้อพิสูจน์หรือการสืบสวน เหตุการณ์ ซึ่งได้มีการนําเสนอตามกฎหมายในการพิจารณาคดี โดย the act of the parties และผ่านสื่อของหลักฐาน ได้แก่ บันทึก เอกสาร สิ่งของ และอื่นๆ เพื่อวัตถุประสงค์ของการโน้ม น้าวความเชื่อของศาลและลูกขุนเกี่ยวกับข้อโต้แย้งของบุคคลเหล่านั้น หากกล่าวอย่างสั้นๆ หลักฐานคือสิ่งซึ่งเสนอในศาลเพื่อพิสูจน์ความจริงหรือเท็จของข้ อเท็จจริงในเหตุการณ์ ในตอนนี้จะกล่าวถึงกฎของหลักฐานแต่ละข้อที่เกี่ยวข้องกับการสืบสวนอาชญากรรมทาง คอมพิวเตอร์ 

 Chain of Custody 

 เมื่อได้ยึดหลักฐานมาแล้ว ขั้นตอนต่อไปคือการเก็บดูแลรักษาหลักฐานนั้น เพื่อให้หลักฐานไม่ถูกเปลี่ยนแปลงโดยมิชอบ ซึ่งผู้ที่เกี่ยวข้องทุกคนจะต้องปฏิบัติตามหน้าที่ ความรับผิดชอบอย่างเคร่งครัด โดย Chain of Custody จะแสดงถึง 

  • ใครเป็นผู้ได้รับหลักฐาน 
  • หลักฐานเป็นอะไรบ้าง 
  • ได้รับหลักฐานที่ไหนและเมื่อไหร่ 
  • ใครเป็นผู้รักษาความปลอดภัยหลักฐาน 
  • ใครเป็นผู้รับผิดชอบและควบคุมกระบวนการเก็บหลักฐาน

วงจรชีวิตของหลักฐาน 

 วงจรชีวิตของหลักฐานเริ่มขึ้นตั้งแต่การค้นหาและเก็บหลักฐาน ไปจนถึงการ คืนหลักฐานให้แก่เจ้าของหรือผู้เสียหาย วงจรชีวิตมีดังนี้

 1. การเก็บและตรวจสอบหลักฐาน

 2. การวิเคราะห์ 

 3. การเก็บรักษาและขนย้าย 

 4. การใช้ในศาล 

 5. การคืนให้แก่เจ้าของ

1 การเก็บและตรวจสอบหลักฐาน 

ขณะได้ รับหรือเก็บหลักฐาน ต้องเขียนกํากับข้ อมูลของหลักฐานไว้ ที่ หลักฐานอย่างถูกวิธี (ซึ่งจะอธิบายต่อไปด้านล่าง) จดบันทึกรายละเอียดต่างๆ ของ หลักฐานลงในสมุดจดบันทึก เช่น ลักษณะของหลักฐาน เจ้าของหลักฐาน ผู้พบ หลักฐาน วัน เวลา สถานที่ที่พบหลักฐาน รุ่น model สถานที่ผลิต serial number และที่สําคัญที่สุดคือลักษณะการเสียหายของหลักฐาน เป็นต้น

การเขียน/ทําเครื่องหมายกํากับหลักฐาน ทําได้ดังนี้

  • เขียนลงที่ตัวหลักฐาน หากไม่เป็ นการทําให้หลักฐานเกิดความ เสียหาย โดยเขียน วัน หมายเลขคดี และลงชื่อผู้ เก็บหลักฐาน จากนั้นให้เก็บหลักฐานลงในกล่องหรือถุงที่ปิ ดได้มิดชิด และเขียน กํากับที่กล่องหรือถุงเหมือนกับที่เขียนลงที่หลักฐาน 
  • กรณีที่ไม่สามารถเขียนลงที่ตัวหลักฐานได้ ให้เก็บหลักฐานลงใน กล่องหรือถุงที่ปิดได้มิดชิด และเขียนกํากับถึง วัน หมายเลขคดี และลงชื่อผู้เก็บหลักฐาน ที่กล่องหรือถุงแทน
  • กล่องหรือถุงต้องติดเทปกาวเฉพาะให้เรียบร้อย และลงชื่อทับส่วนที่ เป็ นเทปต่อเนื่องมายังบนตัวกล่องหรือถุง เพื่อให้สามารถตรวจสอบ ได้ว่ากล่องหรือถุงถูกเปิ ดหรือไม่
  •  ในการเขียนกับกับที่ตัวหลักฐาน และการบรรจุลงกล่องหรือถุง จะต้องทําอย่างระมัดระวังที่สุดเพื่อไม่ให้เกิดความเสียหายต่อ หลักฐาน 


2 การวิเคราะห์

ในขั้นตอนนี้จะเป็ นการวิเคราะห์หลักฐาน ซึ่งต้องมีการใช้เครื่องมือและ โปรแกรมที่ได้รับความน่าเชื่อถือ หรือได้รับการรับรองในชั้นศาล เช่น Encase เป็นต้น ในขั้นตอนนี้จะใช้เวลาค่อนข้างมาก ผลลัพท์ที่ได้จากขั้นตอนนี้จะใช้เป็ นส่วนสําคัญ ขณะขึ้นศาล 

3. การเก็บรักษาและขนย้าย 

หลักฐานทั้งหมดจะต้องถูกห่อและจัดเก็บอย่างดีในภาชนะบรรจุที่มิดชิด ป้ องกันการปนเปื อน ความร้ อน ความเย็นจัด ความชื้น นํ้า สนามแม่เหล็ก การ สั่นสะเทือน หรือสภาพแวดล้อมใดๆ ที่อาจก่อให้เกิดความเสียหายต่อหลักฐานได้ เพื่อให้หลักฐานคงอยู่ในรูปแบบเดิมมากที่สุดขณะที่ขึ้้นในชั้นศาล และคืนกลับยัง เจ้าของ

ยกตัวอย่างเช่น hard disk ควรถูกบรรจุในถุงซิบที่ปิดสนิท ปราศจากไฟฟ้า สถิต บรรจุลงในกล่องกระดาษของ hard disk แล้วบรรจุลงในกล่องโฟม และปิดเทป ที่กล่องให้เรียบร้อย และเขียนระบุเตือนไม่ให้นําเข้าบริเวณที่มีสนามแม่เหล็กรบกวน จากนั้นจึงขนส่งหลักฐานไปเก็บในสถานที่ที่อนญาตเฉพาะบุคคลที่มีสิทธิในการ เข้าถึงเท่านั้น หากหลักฐานมีขนาดใหญ่มากจนไม่สามารถขนย้ายมาก การวิเคราะห์ จะต้องดําเนินการที่บริเวณนั้นแทน 

4. การใช้ในศาล 

หลักฐานที่ต้องนํามาใช้ในศาลต้องได้รับการขนส่ง และดูแลอย่างดีตาม มาตรฐาน Chain of Custody จนกว่าจะสิ้นสุดในชั้นศาล และพร้ อมที่จะส่งกลับคืนเจ้าของ 

5. การคืนให้แก่เจ้าของ การคืนหลักฐานสู่เจ้าของจะต้องดําเนินตามคําตัดสินของศาล 

สิ่งที่จําเป็นในการทํา Computer Forensics 

 อุปกรณ์ที่จําเป็นต้องมีในการทํา Computer Forensics อย่างน้อยมีดังนี้

เครื่องคอมพิวเตอร์ความเร็วสูง เรียกว่า F.R.E.D หรือเป็น server ธรรมดาซักตัวนึงก็ได้ใช้ในการลงโปรแกรมที่ใช้พิสูจน์หลักฐาน 

• อุปกรณ์ที่ใช้ในการคัดลอกข้อมูลจากสื่อบันทึกข้อมูลเก็บหลักฐานอยู่ เช่น harddisk, thumb drive, CD, Floppy disk, SD card เป็ นต้น 

• โปรแกรมที่ใช้ในการพิสูจน์หลักฐาน เช่น Encase หรือ FTK (Forensic Tool Kit) 

• สื่อบันทึกข้อมูล เช่น Harddisk เปล่า ที่จะใช้ในการคัดลอกข้อมูลแบบ bit by bit จาก Harddisk ต้นฉบับที่มีหลักฐานอยู่

บทสรุป บทนี้กล่าวถึงกระบวนการสําคัญต่างๆ ที่ใช้ในการทํา computer forensics ได้แก่ Chain of Custody และวงจรชีวิตของหลักฐาน ซึ่งช่วยให้สามารถทําการพิสูจน์หลักฐานได้ ถูกต้องตามมาตรฐาน สามารถนําหลักฐานทางคอมพิวเตอร์เหล่านี้ขึ้นใช้ในชั้นศาลได้ 

อ่านเพิ่ม Chain of Custody

                

            Computer Forensics Tools

         

            การตรวจค้นและยึดพยานหลักฐานดิจิทัล


ที่มา: เอกสารประกอบการฝึกอบรมหลักสูตร ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยของระบบเครือข่ายและคอมพิวเตอร์ ระดับที่ 3  (ICT), หน้า 294 ;2553

         muit.mahidol.ac.th

         โครงการเสริมศักยภาพบุคลากร ICT


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ


#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

Thursday, December 9, 2010

Digital Forensics:แบบฟอร์มการเก็บรักษาพยานหลักฐาน

 Digital Forensics:แบบฟอร์มการเก็บรักษาพยานหลักฐาน

  • รายการหลักฐานคอมพิวเตอร์อื่นที่ตรวจพบ

  • แบบฟอร์มหล้กฐานทางคอมพิวเตอร์
  • แบบฟอร์มหลักฐานฮาร์ดดิสก์

  • แบบฟอร์มหลักฐานโทรศัพท์เคลื่อนที่
  • แบบฟอร์มหลักฐานสื่อจัดเก็บข้อมูลแบบพกพา
  • แบบฟอร์มการเก็บรักษาพยานหลักฐาน

Digital Forensics Service Request Form


Reference:
มาตรฐานการปฏิบัติงานสาหรับการรวบรวมพยานหลักฐานและแนวทางการตรวจพิสูจน์หลักฐานคอมพิวเตอร์ สาหรับกองบังคับการปราบปรามการกระทาความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี  ณัฐพงษ์ ลิ้มแดงสกุล :2553


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS

#DIGITALFORENSICS #INVESTIGATION #CYBERCRIME #FRAUD #ห่วงโซ่การคุ้มครองพยานหลักฐาน