Thursday, December 16, 2010

Computer Forensics :พิสูจน์หลักฐานทางคอมพิวเตอร์

Computer Forensics :พิสูจน์หลักฐานทางคอมพิวเตอร์

Computer Forensics อาชญากรรมทางคอมพิวเตอร์เป็นอาชญากรรมทีถูกยกระดับจากสภาพแวดล้อมทาง กายภาพมาเป็ นสภาพแวดล้อมทางอิเล็กทรอนิกส์ซึ่งจับต้องได้ยาก ทําให้วิธีการสืบสวนที่เคย ใช้ไม่ได้ขึ นอยู่กับกฎเกณฑ์และข้อบังคับแบบเดิม ตัวอย่างเช่น ระดับความสามารถในการ ขโมยของ แต่เดิมนั้นจะขึ้นอยู่กับขนาดของสิ่งของนั้นทางกายภาพ และข้อจํากัดของผู้ขโมย รวมถึงการเข้าถึงสถานที่และจํานวนซึ้งสามารถนําไปได้ แต่ปัจจุบันผู้ขโมยสามารถดาวน์ โหลดข้อมูลทั้งหมดโดยมิต้องเข้าถึงสถานที่นั้น หรือไม่ต้องมีการยกอะไรเลย

กฎของหลักฐาน ก่อนที่จะเจาะลึกถึงกระบวนการสืบสวนและพิสูจน์หลักฐานทางคอมพิวเตอร์ นั้นจําเป็ นว่าผู้สืบสวนจะต้องเข้าใจอย่างถ่องแท้ถึงกฎของหลักฐาน การยื่นหลักฐานประเภท ใดเพื่อดําเนินการทางกฎหมายตามปรกตินับเป็ นปัญหาสําคัญ แต่เมื่อคอมพิวเตอร์เข้ามา เกี่ยวข้อง ปัญหาต่าง ๆ ก็เพิ่มขึ้น ความรู้ พิเศษมีความจําเป็ นเพื่อที่จะค้นหาและเก็บรวบรวม หลักฐาน และการดูแลพิเศษมีความจําเป็ นเพื่อที่จะรักษาและเคลื่อนย้ายหลักฐาน หลักฐาน ในกรณีอาชญากรรมทางคอมพิวเตอร์อาจจะแตกต่างจากรูปแบบดั้งเดิมของหลักฐานตราบ เท่าที่หลักฐานที่เกี่ยวข้องกับคอมพิวเตอร์นั้นไม่สามารถจับต้องได้ กล่าวคืออยู่ในรูปของคลื่น อิเล็กทรอนิกส์ หรือคลื่นแม่เหล็ก  

ก่อนที่หลักฐานจะสามารถนํามาแสดงในกรณีต่างๆ จะต้องมีความสมบูรณ์ เกี่ยวข้อง และสําคัญต่อเรื่องนั้นๆ และจะต้องแสดงสอดคล้องกับกฎของหลักฐาน สิ่งใดก็ ตามที่ได้มาตามกฎหมายทั้งทางตรงและทางอ้อมซึ่งมีแนวโน้มที่จะพิสูจน์ว่าบุคคลอาจจะต้อง รับผิดชอบต่อการกระทําความผิดทางอาญาสามารถนํามาแสดงได้ตามกฎหมาย การพิสูจน์ อาจจะรวมถึงการให้ปากคําของพยานหรือการนําเสนอหลักฐานที่เป็ นลายลักษณ์อักษรหรือ หลักฐานทางกายภาพ

จากคําจํากัดความ “หลักฐาน” คือประเภทต่างๆ ของข้อพิสูจน์หรือการสืบสวน เหตุการณ์ ซึ่งได้มีการนําเสนอตามกฎหมายในการพิจารณาคดี โดย the act of the parties และผ่านสื่อของหลักฐาน ได้แก่ บันทึก เอกสาร สิ่งของ และอื่นๆ เพื่อวัตถุประสงค์ของการโน้ม น้าวความเชื่อของศาลและลูกขุนเกี่ยวกับข้อโต้แย้งของบุคคลเหล่านั้น หากกล่าวอย่างสั้นๆ หลักฐานคือสิ่งซึ่งเสนอในศาลเพื่อพิสูจน์ความจริงหรือเท็จของข้ อเท็จจริงในเหตุการณ์ ในตอนนี้จะกล่าวถึงกฎของหลักฐานแต่ละข้อที่เกี่ยวข้องกับการสืบสวนอาชญากรรมทาง คอมพิวเตอร์ 

 Chain of Custody 

 เมื่อได้ยึดหลักฐานมาแล้ว ขั้นตอนต่อไปคือการเก็บดูแลรักษาหลักฐานนั้น เพื่อให้หลักฐานไม่ถูกเปลี่ยนแปลงโดยมิชอบ ซึ่งผู้ที่เกี่ยวข้องทุกคนจะต้องปฏิบัติตามหน้าที่ ความรับผิดชอบอย่างเคร่งครัด โดย Chain of Custody จะแสดงถึง 

  • ใครเป็นผู้ได้รับหลักฐาน 
  • หลักฐานเป็นอะไรบ้าง 
  • ได้รับหลักฐานที่ไหนและเมื่อไหร่ 
  • ใครเป็นผู้รักษาความปลอดภัยหลักฐาน 
  • ใครเป็นผู้รับผิดชอบและควบคุมกระบวนการเก็บหลักฐาน

วงจรชีวิตของหลักฐาน 

 วงจรชีวิตของหลักฐานเริ่มขึ้นตั้งแต่การค้นหาและเก็บหลักฐาน ไปจนถึงการ คืนหลักฐานให้แก่เจ้าของหรือผู้เสียหาย วงจรชีวิตมีดังนี้

 1. การเก็บและตรวจสอบหลักฐาน

 2. การวิเคราะห์ 

 3. การเก็บรักษาและขนย้าย 

 4. การใช้ในศาล 

 5. การคืนให้แก่เจ้าของ

1 การเก็บและตรวจสอบหลักฐาน 

ขณะได้ รับหรือเก็บหลักฐาน ต้องเขียนกํากับข้ อมูลของหลักฐานไว้ ที่ หลักฐานอย่างถูกวิธี (ซึ่งจะอธิบายต่อไปด้านล่าง) จดบันทึกรายละเอียดต่างๆ ของ หลักฐานลงในสมุดจดบันทึก เช่น ลักษณะของหลักฐาน เจ้าของหลักฐาน ผู้พบ หลักฐาน วัน เวลา สถานที่ที่พบหลักฐาน รุ่น model สถานที่ผลิต serial number และที่สําคัญที่สุดคือลักษณะการเสียหายของหลักฐาน เป็นต้น

การเขียน/ทําเครื่องหมายกํากับหลักฐาน ทําได้ดังนี้

  • เขียนลงที่ตัวหลักฐาน หากไม่เป็ นการทําให้หลักฐานเกิดความ เสียหาย โดยเขียน วัน หมายเลขคดี และลงชื่อผู้ เก็บหลักฐาน จากนั้นให้เก็บหลักฐานลงในกล่องหรือถุงที่ปิ ดได้มิดชิด และเขียน กํากับที่กล่องหรือถุงเหมือนกับที่เขียนลงที่หลักฐาน 
  • กรณีที่ไม่สามารถเขียนลงที่ตัวหลักฐานได้ ให้เก็บหลักฐานลงใน กล่องหรือถุงที่ปิดได้มิดชิด และเขียนกํากับถึง วัน หมายเลขคดี และลงชื่อผู้เก็บหลักฐาน ที่กล่องหรือถุงแทน
  • กล่องหรือถุงต้องติดเทปกาวเฉพาะให้เรียบร้อย และลงชื่อทับส่วนที่ เป็ นเทปต่อเนื่องมายังบนตัวกล่องหรือถุง เพื่อให้สามารถตรวจสอบ ได้ว่ากล่องหรือถุงถูกเปิ ดหรือไม่
  •  ในการเขียนกับกับที่ตัวหลักฐาน และการบรรจุลงกล่องหรือถุง จะต้องทําอย่างระมัดระวังที่สุดเพื่อไม่ให้เกิดความเสียหายต่อ หลักฐาน 


2 การวิเคราะห์

ในขั้นตอนนี้จะเป็ นการวิเคราะห์หลักฐาน ซึ่งต้องมีการใช้เครื่องมือและ โปรแกรมที่ได้รับความน่าเชื่อถือ หรือได้รับการรับรองในชั้นศาล เช่น Encase เป็นต้น ในขั้นตอนนี้จะใช้เวลาค่อนข้างมาก ผลลัพท์ที่ได้จากขั้นตอนนี้จะใช้เป็ นส่วนสําคัญ ขณะขึ้นศาล 

3. การเก็บรักษาและขนย้าย 

หลักฐานทั้งหมดจะต้องถูกห่อและจัดเก็บอย่างดีในภาชนะบรรจุที่มิดชิด ป้ องกันการปนเปื อน ความร้ อน ความเย็นจัด ความชื้น นํ้า สนามแม่เหล็ก การ สั่นสะเทือน หรือสภาพแวดล้อมใดๆ ที่อาจก่อให้เกิดความเสียหายต่อหลักฐานได้ เพื่อให้หลักฐานคงอยู่ในรูปแบบเดิมมากที่สุดขณะที่ขึ้้นในชั้นศาล และคืนกลับยัง เจ้าของ

ยกตัวอย่างเช่น hard disk ควรถูกบรรจุในถุงซิบที่ปิดสนิท ปราศจากไฟฟ้า สถิต บรรจุลงในกล่องกระดาษของ hard disk แล้วบรรจุลงในกล่องโฟม และปิดเทป ที่กล่องให้เรียบร้อย และเขียนระบุเตือนไม่ให้นําเข้าบริเวณที่มีสนามแม่เหล็กรบกวน จากนั้นจึงขนส่งหลักฐานไปเก็บในสถานที่ที่อนญาตเฉพาะบุคคลที่มีสิทธิในการ เข้าถึงเท่านั้น หากหลักฐานมีขนาดใหญ่มากจนไม่สามารถขนย้ายมาก การวิเคราะห์ จะต้องดําเนินการที่บริเวณนั้นแทน 

4. การใช้ในศาล 

หลักฐานที่ต้องนํามาใช้ในศาลต้องได้รับการขนส่ง และดูแลอย่างดีตาม มาตรฐาน Chain of Custody จนกว่าจะสิ้นสุดในชั้นศาล และพร้ อมที่จะส่งกลับคืนเจ้าของ 

5. การคืนให้แก่เจ้าของ การคืนหลักฐานสู่เจ้าของจะต้องดําเนินตามคําตัดสินของศาล 

สิ่งที่จําเป็นในการทํา Computer Forensics 

 อุปกรณ์ที่จําเป็นต้องมีในการทํา Computer Forensics อย่างน้อยมีดังนี้

เครื่องคอมพิวเตอร์ความเร็วสูง เรียกว่า F.R.E.D หรือเป็น server ธรรมดาซักตัวนึงก็ได้ใช้ในการลงโปรแกรมที่ใช้พิสูจน์หลักฐาน 

• อุปกรณ์ที่ใช้ในการคัดลอกข้อมูลจากสื่อบันทึกข้อมูลเก็บหลักฐานอยู่ เช่น harddisk, thumb drive, CD, Floppy disk, SD card เป็ นต้น 

• โปรแกรมที่ใช้ในการพิสูจน์หลักฐาน เช่น Encase หรือ FTK (Forensic Tool Kit) 

• สื่อบันทึกข้อมูล เช่น Harddisk เปล่า ที่จะใช้ในการคัดลอกข้อมูลแบบ bit by bit จาก Harddisk ต้นฉบับที่มีหลักฐานอยู่

บทสรุป บทนี้กล่าวถึงกระบวนการสําคัญต่างๆ ที่ใช้ในการทํา computer forensics ได้แก่ Chain of Custody และวงจรชีวิตของหลักฐาน ซึ่งช่วยให้สามารถทําการพิสูจน์หลักฐานได้ ถูกต้องตามมาตรฐาน สามารถนําหลักฐานทางคอมพิวเตอร์เหล่านี้ขึ้นใช้ในชั้นศาลได้ 

อ่านเพิ่ม Chain of Custody

                

            Computer Forensics Tools

         

            การตรวจค้นและยึดพยานหลักฐานดิจิทัล


ที่มา: เอกสารประกอบการฝึกอบรมหลักสูตร ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยของระบบเครือข่ายและคอมพิวเตอร์ ระดับที่ 3  (ICT), หน้า 294 ;2553

         muit.mahidol.ac.th

         โครงการเสริมศักยภาพบุคลากร ICT


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ


#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD

No comments:

Post a Comment

Digital Forensics:WhatsMyName (OSINT)

Digital Forensics:WhatsMyName (OSINT) Welcome to WhatsMyName This tool allows you to enumerate usernames across many websites How to use: 1....