Computer Forensics :พิสูจน์หลักฐานทางคอมพิวเตอร์
Computer Forensics อาชญากรรมทางคอมพิวเตอร์เป็นอาชญากรรมทีถูกยกระดับจากสภาพแวดล้อมทาง กายภาพมาเป็ นสภาพแวดล้อมทางอิเล็กทรอนิกส์ซึ่งจับต้องได้ยาก ทําให้วิธีการสืบสวนที่เคย ใช้ไม่ได้ขึ นอยู่กับกฎเกณฑ์และข้อบังคับแบบเดิม ตัวอย่างเช่น ระดับความสามารถในการ ขโมยของ แต่เดิมนั้นจะขึ้นอยู่กับขนาดของสิ่งของนั้นทางกายภาพ และข้อจํากัดของผู้ขโมย รวมถึงการเข้าถึงสถานที่และจํานวนซึ้งสามารถนําไปได้ แต่ปัจจุบันผู้ขโมยสามารถดาวน์ โหลดข้อมูลทั้งหมดโดยมิต้องเข้าถึงสถานที่นั้น หรือไม่ต้องมีการยกอะไรเลย
กฎของหลักฐาน ก่อนที่จะเจาะลึกถึงกระบวนการสืบสวนและพิสูจน์หลักฐานทางคอมพิวเตอร์ นั้นจําเป็ นว่าผู้สืบสวนจะต้องเข้าใจอย่างถ่องแท้ถึงกฎของหลักฐาน การยื่นหลักฐานประเภท ใดเพื่อดําเนินการทางกฎหมายตามปรกตินับเป็ นปัญหาสําคัญ แต่เมื่อคอมพิวเตอร์เข้ามา เกี่ยวข้อง ปัญหาต่าง ๆ ก็เพิ่มขึ้น ความรู้ พิเศษมีความจําเป็ นเพื่อที่จะค้นหาและเก็บรวบรวม หลักฐาน และการดูแลพิเศษมีความจําเป็ นเพื่อที่จะรักษาและเคลื่อนย้ายหลักฐาน หลักฐาน ในกรณีอาชญากรรมทางคอมพิวเตอร์อาจจะแตกต่างจากรูปแบบดั้งเดิมของหลักฐานตราบ เท่าที่หลักฐานที่เกี่ยวข้องกับคอมพิวเตอร์นั้นไม่สามารถจับต้องได้ กล่าวคืออยู่ในรูปของคลื่น อิเล็กทรอนิกส์ หรือคลื่นแม่เหล็ก
ก่อนที่หลักฐานจะสามารถนํามาแสดงในกรณีต่างๆ จะต้องมีความสมบูรณ์ เกี่ยวข้อง และสําคัญต่อเรื่องนั้นๆ และจะต้องแสดงสอดคล้องกับกฎของหลักฐาน สิ่งใดก็ ตามที่ได้มาตามกฎหมายทั้งทางตรงและทางอ้อมซึ่งมีแนวโน้มที่จะพิสูจน์ว่าบุคคลอาจจะต้อง รับผิดชอบต่อการกระทําความผิดทางอาญาสามารถนํามาแสดงได้ตามกฎหมาย การพิสูจน์ อาจจะรวมถึงการให้ปากคําของพยานหรือการนําเสนอหลักฐานที่เป็ นลายลักษณ์อักษรหรือ หลักฐานทางกายภาพ
จากคําจํากัดความ “หลักฐาน” คือประเภทต่างๆ ของข้อพิสูจน์หรือการสืบสวน เหตุการณ์ ซึ่งได้มีการนําเสนอตามกฎหมายในการพิจารณาคดี โดย the act of the parties และผ่านสื่อของหลักฐาน ได้แก่ บันทึก เอกสาร สิ่งของ และอื่นๆ เพื่อวัตถุประสงค์ของการโน้ม น้าวความเชื่อของศาลและลูกขุนเกี่ยวกับข้อโต้แย้งของบุคคลเหล่านั้น หากกล่าวอย่างสั้นๆ หลักฐานคือสิ่งซึ่งเสนอในศาลเพื่อพิสูจน์ความจริงหรือเท็จของข้ อเท็จจริงในเหตุการณ์ ในตอนนี้จะกล่าวถึงกฎของหลักฐานแต่ละข้อที่เกี่ยวข้องกับการสืบสวนอาชญากรรมทาง คอมพิวเตอร์
Chain of Custody
เมื่อได้ยึดหลักฐานมาแล้ว ขั้นตอนต่อไปคือการเก็บดูแลรักษาหลักฐานนั้น เพื่อให้หลักฐานไม่ถูกเปลี่ยนแปลงโดยมิชอบ ซึ่งผู้ที่เกี่ยวข้องทุกคนจะต้องปฏิบัติตามหน้าที่ ความรับผิดชอบอย่างเคร่งครัด โดย Chain of Custody จะแสดงถึง
- ใครเป็นผู้ได้รับหลักฐาน
- หลักฐานเป็นอะไรบ้าง
- ได้รับหลักฐานที่ไหนและเมื่อไหร่
- ใครเป็นผู้รักษาความปลอดภัยหลักฐาน
- ใครเป็นผู้รับผิดชอบและควบคุมกระบวนการเก็บหลักฐาน
วงจรชีวิตของหลักฐาน
วงจรชีวิตของหลักฐานเริ่มขึ้นตั้งแต่การค้นหาและเก็บหลักฐาน ไปจนถึงการ คืนหลักฐานให้แก่เจ้าของหรือผู้เสียหาย วงจรชีวิตมีดังนี้
1. การเก็บและตรวจสอบหลักฐาน
2. การวิเคราะห์
3. การเก็บรักษาและขนย้าย
4. การใช้ในศาล
5. การคืนให้แก่เจ้าของ
1 การเก็บและตรวจสอบหลักฐาน
ขณะได้ รับหรือเก็บหลักฐาน ต้องเขียนกํากับข้ อมูลของหลักฐานไว้ ที่ หลักฐานอย่างถูกวิธี (ซึ่งจะอธิบายต่อไปด้านล่าง) จดบันทึกรายละเอียดต่างๆ ของ หลักฐานลงในสมุดจดบันทึก เช่น ลักษณะของหลักฐาน เจ้าของหลักฐาน ผู้พบ หลักฐาน วัน เวลา สถานที่ที่พบหลักฐาน รุ่น model สถานที่ผลิต serial number และที่สําคัญที่สุดคือลักษณะการเสียหายของหลักฐาน เป็นต้น
การเขียน/ทําเครื่องหมายกํากับหลักฐาน ทําได้ดังนี้
- เขียนลงที่ตัวหลักฐาน หากไม่เป็ นการทําให้หลักฐานเกิดความ เสียหาย โดยเขียน วัน หมายเลขคดี และลงชื่อผู้ เก็บหลักฐาน จากนั้นให้เก็บหลักฐานลงในกล่องหรือถุงที่ปิ ดได้มิดชิด และเขียน กํากับที่กล่องหรือถุงเหมือนกับที่เขียนลงที่หลักฐาน
- กรณีที่ไม่สามารถเขียนลงที่ตัวหลักฐานได้ ให้เก็บหลักฐานลงใน กล่องหรือถุงที่ปิดได้มิดชิด และเขียนกํากับถึง วัน หมายเลขคดี และลงชื่อผู้เก็บหลักฐาน ที่กล่องหรือถุงแทน
- กล่องหรือถุงต้องติดเทปกาวเฉพาะให้เรียบร้อย และลงชื่อทับส่วนที่ เป็ นเทปต่อเนื่องมายังบนตัวกล่องหรือถุง เพื่อให้สามารถตรวจสอบ ได้ว่ากล่องหรือถุงถูกเปิ ดหรือไม่
- ในการเขียนกับกับที่ตัวหลักฐาน และการบรรจุลงกล่องหรือถุง จะต้องทําอย่างระมัดระวังที่สุดเพื่อไม่ให้เกิดความเสียหายต่อ หลักฐาน
2 การวิเคราะห์
ในขั้นตอนนี้จะเป็ นการวิเคราะห์หลักฐาน ซึ่งต้องมีการใช้เครื่องมือและ โปรแกรมที่ได้รับความน่าเชื่อถือ หรือได้รับการรับรองในชั้นศาล เช่น Encase เป็นต้น ในขั้นตอนนี้จะใช้เวลาค่อนข้างมาก ผลลัพท์ที่ได้จากขั้นตอนนี้จะใช้เป็ นส่วนสําคัญ ขณะขึ้นศาล
3. การเก็บรักษาและขนย้าย
หลักฐานทั้งหมดจะต้องถูกห่อและจัดเก็บอย่างดีในภาชนะบรรจุที่มิดชิด ป้ องกันการปนเปื อน ความร้ อน ความเย็นจัด ความชื้น นํ้า สนามแม่เหล็ก การ สั่นสะเทือน หรือสภาพแวดล้อมใดๆ ที่อาจก่อให้เกิดความเสียหายต่อหลักฐานได้ เพื่อให้หลักฐานคงอยู่ในรูปแบบเดิมมากที่สุดขณะที่ขึ้้นในชั้นศาล และคืนกลับยัง เจ้าของ
ยกตัวอย่างเช่น hard disk ควรถูกบรรจุในถุงซิบที่ปิดสนิท ปราศจากไฟฟ้า สถิต บรรจุลงในกล่องกระดาษของ hard disk แล้วบรรจุลงในกล่องโฟม และปิดเทป ที่กล่องให้เรียบร้อย และเขียนระบุเตือนไม่ให้นําเข้าบริเวณที่มีสนามแม่เหล็กรบกวน จากนั้นจึงขนส่งหลักฐานไปเก็บในสถานที่ที่อนญาตเฉพาะบุคคลที่มีสิทธิในการ เข้าถึงเท่านั้น หากหลักฐานมีขนาดใหญ่มากจนไม่สามารถขนย้ายมาก การวิเคราะห์ จะต้องดําเนินการที่บริเวณนั้นแทน
4. การใช้ในศาล
หลักฐานที่ต้องนํามาใช้ในศาลต้องได้รับการขนส่ง และดูแลอย่างดีตาม มาตรฐาน Chain of Custody จนกว่าจะสิ้นสุดในชั้นศาล และพร้ อมที่จะส่งกลับคืนเจ้าของ
5. การคืนให้แก่เจ้าของ การคืนหลักฐานสู่เจ้าของจะต้องดําเนินตามคําตัดสินของศาล
สิ่งที่จําเป็นในการทํา Computer Forensics
อุปกรณ์ที่จําเป็นต้องมีในการทํา Computer Forensics อย่างน้อยมีดังนี้
เครื่องคอมพิวเตอร์ความเร็วสูง เรียกว่า F.R.E.D หรือเป็น server ธรรมดาซักตัวนึงก็ได้ใช้ในการลงโปรแกรมที่ใช้พิสูจน์หลักฐาน
• อุปกรณ์ที่ใช้ในการคัดลอกข้อมูลจากสื่อบันทึกข้อมูลเก็บหลักฐานอยู่ เช่น harddisk, thumb drive, CD, Floppy disk, SD card เป็ นต้น
• โปรแกรมที่ใช้ในการพิสูจน์หลักฐาน เช่น Encase หรือ FTK (Forensic Tool Kit)
• สื่อบันทึกข้อมูล เช่น Harddisk เปล่า ที่จะใช้ในการคัดลอกข้อมูลแบบ bit by bit จาก Harddisk ต้นฉบับที่มีหลักฐานอยู่
อ่านเพิ่ม Chain of Custody
Computer Forensics Tools
การตรวจค้นและยึดพยานหลักฐานดิจิทัล
ที่มา: เอกสารประกอบการฝึกอบรมหลักสูตร ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยของระบบเครือข่ายและคอมพิวเตอร์ ระดับที่ 3 (ICT), หน้า 294 ;2553
muit.mahidol.ac.th
โครงการเสริมศักยภาพบุคลากร ICT
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
No comments:
Post a Comment