Digital Forensics: Computer Fraud Techniques

 Digital Forensics:Computer Fraud Techniques

Forensic Accounting

การบัญชีสืบสวน (Forensic Accounting)

บทบาทของผู้ตรจสอบทุจริตทางบัญชี
*การตรวจสอบทุจริตทางบัญชีและการเงินจำเป็นต้องอาศัยผู้ชำนาญเฉพาะได้แก่ Certified Fraud หรือForensic Accountant ซึ่งวัตถุประสงค์การตรวจสอบในกรณีนี้จะไม่เน้นถึงความถูกต้องของงบการเงินตามมาตราฐานการบัญชี แต่จะให้ความสนใจในการตอบคำถามเกี่ยวกับ

*ระบบการควบคุมภายในของกิจการมีจุดบกพร่องที่สุดในส่วนใด
*ระบบบัญชีที่ใช้อยู่เปิดโอกาสให้มีการตกแต่งตัวเลข และปฏิบัติการที่เป็นไปตามมาตรฐานการบัญชีมีที่ใดบ้าง
*ใครเป็นผู้ดูแลรายการนอกงบดุล และรายการนั้นถูกบันทึกไว้ที่ไหน อย่างไร
*วิธีการที่จะสามารถลัดขั้นตอนหรือไม่ปฏิบัติตามหรือไม่ปฏิบัติตามระบบที่วางไว้คืออะไร และสามารถผ่านการพิจารณาของผู้บริหารได้อย่างไร
*สิ่งแวดล้อมในการทำงานที่เอื้อต่อการทุจริตมีอะไรบ้าง เป็นต้น
  ที่มา: นิติวิทยาศาสตร์ มหาวิทยาลัยเกษตรศาสตร์
...................................................................................................................................

คดีฉ้อโกง (Fraud)

หมายถึง คดีอาญาที่ผู้กระทำผิดมีเจตนาแสวงหาประโยชน์โดยมิชอบเอาจากผู้ถูกหลอกลวง โดยหลอกลวงด้วยการแสดงข้อความอันเป็นเท็จ หรือปกปิดข้อความจริงที่ควรบอก ซึ่งการหลอกลวงและปกปิดนั้น ผู้ถูกหลอกลวงต้องเสียทรัพย์สินให้แก่ผู้กระทำผิด หรือทำให้ผู้ถูกหลอกลวงหรือบุคคลที่สามทำ ถอน หรือทำลายเอกสารสิทธิ  นอกจากนี้ ถ้าผู้เสียหายมีจำนวน ๑ คนขึ้นไป เช่นนี้เป็นคดีฉ้อโกงประชาชน (Public fraud)  ซึ่งเป็นความผิดอันยอมความไม่ได้

ที่มา : https://bit.ly/2DhquHD
...................................................................................................................................

How Information Technology can help Forensics Accounting?

จากตัวอย่างบริษัทใหญ่หลายแห่งในอดีต ไม่ว่าจะเป็น บริษัท Enron หรือบริษัท World-Com นั้นสะท้อนให้เห็นถึงความล้มเหลวในการควบคุมและตรวจสอบภายในองค์กร รวมทั้งความล้มเหลวทางด้านบัญชีที่นำไปสู่การทุจริตภายในองค์กรครั้งใหญ่ ซึ่งจากความล้มเหลวดังกล่าวนั้นจึงทำให้องค์กรและนักบัญชีจำนวนมากที่หันมาให้ความสนใจในเรื่องการกำกับดูแลกิจการมากขึ้น ผ่านการควบคุมและตรวจสอบภายในองค์กรอย่างมีประสิทธิภาพ เพื่อเป็นการป้องกันการทุจริตหรือข้อผิดพลาดต่างๆที่อาจสร้างผลกระทบในทางลบต่อองค์กร จากประเด็นดังกล่าวนี้เองจึงยังทำให้เกิดสาขาวิชาหนึ่งขึ้น คือ การบัญชีสืบสวน (Forensic Accounting)

การบัญชีสืบสวน (Forensic Accounting)

การบัญชีสืบสวน (Forensic Accounting) เป็นการใช้ทักษะด้านการเงินและแนวคิดทางด้านการสืบสวนสอบสวน เพื่อใช้ในการตรวจสอบ สืบสวน และสอบสวนข้อมูลทางการเงินเพื่อพิสูจน์หรือเพื่อหาหลักฐานประกอบข้อเท็จจริงเกี่ยวกับการทุจริต โดยเฉพาะทำหน้าที่คล้ายนักสืบ โดยจุดเริ่มต้นของการตรวจสอบนี้เกิดขึ้นมาจากการตรวจสอบด้านภาษีอากร ซึ่งเกี่ยวข้องกับกฎหมายและมักเป็นความผิดทางอาญา ดังนั้นการบัญชีสืบสวนถูกมองว่าเป็นการบัญชีที่เกี่ยวข้องกับอาชญากรรมซึ่งสาเหตุที่ทำให้การบัญชีสืบสวนมีความสำคัญขึ้นมา จากวารสารการบัญชีในปี 2541 บทความซึ่งเขียนโดยผู้ช่วยศาสตราจารย์ สมชาย ศุภธาดา นั้นได้อธิบายเพิ่มเติมว่า การบัญชีสืบสวน นั้นอาจสามารถแบ่งได้เป็น สาขา Fraud Auditing (การตรวจสอบการทุจริต) ซึ่งเป็นส่วนย่อยของ Forensic Accounting โดยสาขานี้จะมุ่งเน้นสืบสวนการทุจริตโดยเฉพาะ และอีกหนึ่งสาขา คือ Investigative Accounting (การบัญชีเชิงสอบสวน) โดยสาขาดังกล่าวจะทำการสอบทานเอกสาร ข้อมูลทางการเงิน เพื่อวัตถุประสงค์อย่างใดอย่างหนึ่งโดยเฉพาะ ซึ่งอาจเป็นข้อมูลหลักฐานประกอบการฟ้องร้อง หรือการเรียกร้องเงินประกันความเสียหายรวมทั้งคดีอาญา

จะเห็นได้ว่าในการสืบสวนหรือตรวจสอบทางบัญชีดังกล่าวนั้นต้องมีการค้นหา เก็บรวบรวม วิเคราะห์ข้อมูลทางบัญชีต่างๆ เพื่อใช้ประกอบในการตรวจสอบ ทำให้ในการบัญชีสืบสวนจึงมักต้องเกี่ยวข้องกับระบบสารสนเทศต่างๆภายในองค์กรเสมอ เนื่องจากระบบสารสนเทศนั้นถือเป็นระบบพื้นฐานสำคัญระบบหนึ่งที่องค์กรนั้นได้นำมาใช้เพื่ออำนวยความสะดวกในการค้นหา เก็บรวบรวม และเผยแพร่ข้อมูลต่างๆภายในองค์กรและระหว่างองค์กร เช่น ข้อมูลทางการบัญชีต่างๆ เป็นต้น ดังนั้นนักบัญชีสืบสวนนั้นจึงจำเป็นต้องอาศัยระบบสารสนเทศในองค์กรในการรวบรวมข้อมูลที่เกี่ยวข้อง และแม้ว่าระบบสารสนเทศดังกล่าวนั้นจะเป็นเครื่องมือที่สร้างมูลค่าเพิ่มเติมแก่องค์กร แต่อย่างไรก็ตาม ระบบดังกล่าวนั้นก็อาจเป็นเครื่องมือของผู้ไม่หวังดีในการสร้างความเสียหายต่อองค์กร โดย Smith (2005) ได้ศึกษาพบว่า ระบบสารสนเทศและคอมพิวเตอร์นั้นเครื่องมือสำคัญที่ใช้ในการประกอบทุจริตทางการเงินในองค์กร ดังนั้นนี้จึงเป็นอีกปัจจัยหนึ่งที่ทำให้ระบบสารสนเทศนั้นจึงเข้ามามีส่วนเกี่ยวเนื่องในการตรวจสอบหรือสืบสวนทางบัญชี ซึ่งนักบัญชีสืบสวนนั้นก็ตระหนักถึงในประเด็นปัญหาดังกล่าวเช่นกัน ดังนั้นในการรวบรวมข้อมูลจากระบบสารสนเทศนั้น นักบัญชีจึงต้องแน่ใจว่ากระบวนการรักษาความปลอดภัยของระบบสารสนเทศในองค์กรนั้นมีประสิทธิภาพมากเพียงพอที่สามารถให้ข้อมูลที่ถูกต้อง ครบถ้วน เพื่อใช้ในการตรวจสอบการทุจริตต่างๆ

ตัวอย่าง Computer Fraud Techniques

ดังที่กล่าวไปแล้วในข้างต้นว่า ระบบสารสนเทศและคอมพิวเตอร์นั้นเครื่องมือสำคัญที่ใช้ในการประกอบทุจริตทางการเงินในองค์กร โดยการกระทำที่อาจถือเป็นการทุจริตทางคอมพิวเตอร์ มักจะเป็นไปในรูปแบบดังต่อไปนี้

1. การฉ้อโกงโดยใช้เครื่องคอมพิวเตอร์ เช่น การเปลี่ยนแปลงจำนวนเงิน, จำนวนชั่วโมงการทำงานโดยไม่ได้รับอนุญาต

2. การปลอมแปลงโดยใช้เครื่องคอมพิวเตอร์ เช่น การเปลี่ยนแปลงข้อมูลในระบบฐานข้อมูลหรือทำการ Download ข้อมูลมาใช้โดยไม่ได้รับอนุญาต

3. การทำให้ข้อมูลหรือโปรแกรมคอมพิวเตอร์เสียหาย เช่น การเขียนโปรแกรมไวรัสเพื่อทำลายข้อมูล หรือแฝงมาในแฟ้มข้อมูลที่ผู้ใช้ทำการ Download

4. การทำลายระบบคอมพิวเตอร์ เช่น การก่อกวนการรับ-ส่งข้อมูลผ่านระบบเครือข่าย

5. การลักลอบเข้าไปในเครือข่ายโดยปราศจากอำนาจ เช่น การลักลอบดูข้อมูล รหัสประจำตัวหรือรหัสผ่านตัวอย่าง

ดังนั้นหากนักบัญชีสืบสวนนั้นรู้จักเทคนิคต่างๆที่ใช้ในการทุจริตผ่านระบบสารสนเทศและคอมพิวเตอร์ย่อมมีประโยชน์ในตรวจสอบมากขึ้น ตัวอย่างเทคนิคมีดังนี้

Computer Networks

·        Phishing คือ การปลอมแปลง e-mailหรือ web site รูปแบบหนึ่งโดยส่วนใหญ่จะมีวัตถุประสงค์
ที่จะต้องการข้อมูลข่าวสารต่างๆ เช่น user, Password และหมายเลขบัตรเครดิต โดยมักแอบอ้างมาจากบริษัทที่มีความน่าเชื่อถือ

·        IP Spoofing คือ การปลอมแปลงหมายเลข IP Address ให้เป็นหมายเลขซึ่งได้รับอนุญาตให้เข้าใช้งานเครือข่ายนั้นๆ ได้ เพื่อบุกรุกเข้าไปขโมย หรือทำลายข้อมูล หรือกระทำการอื่นๆ อันเป็นการโจมตีเครือข่าย เช่น การเข้าไปลบค่า Routing table ทิ้งเพื่อให้สามารถส่งข้อมูลผ่านไปยังภายนอกได้

·        Packet Sniffing เป็นอุปกรณ์ที่ต่อเข้ากับเครือข่ายคอมพิวเตอร์และคอยดักฟังข้อมูลหรือ packet ที่ถ่ายโอนภายในเครือข่าย เช่น การรับส่ง e-mail ซึ่งpacket ข้อมูลดังกล่าวนั้นอาจมี username หรือ password ที่สำคัญบรรจุอยู่

Computer System

·        Data Diddling คือ การเปลี่ยนแปลงข้อมูลโดยไม่ได้รับอนุญาตก่อนหรือระหว่างที่กำลังบันทึกข้อมูลลงไปในระบบคอมพิวเตอร์ การเปลี่ยนแปลงข้อมูลดังกล่าวนี้สามารถกระทำโดยบุคคลใดก็ได้ที่สามารถเข้าไปถึงตัวข้อมูล ตัวอย่างเช่น พนักงานเจ้าหน้าทีที่มีหน้าที่บันทึกเวลาการทำงานของพนักงานทั้งหมดทำการแก้ไขตัวเลขชั่วโมงการทำงานของคนอื่นมาลงเป็นชั่วโมงการทำงานของตนเอง ซึ่งข้อมูลดังกล่าวหากถูกแก้ไขเพียงเล็กน้อย ก็จะไม่มีใครทราบ

·        Trojan Horse การเขียนโปรแกรมคอมพิวเตอร์ที่แฝงไว้ในโปรแกรมที่มีประโยชน์เมื่อถึงเวลาโปรแกรมที่ไม่ดีจะปรากฎตัวขึ้นเพื่อปฏิบัติการทำลายข้อมูล วิธีนี้มักจะใช้กับการฉ้อโกงทางคอมพิวเตอร์หรือการทำลายข้อมูลหรือระบบคอมพิวเตอร์

·        Salami Techniques วิธีการปัดเศษจำนวนเงิน เช่น ทศนิยมตัวที่ 3 หรือปัดเศษทิ้งให้เหลือแต่จำนวนเงินที่สามารถจ่ายได้ แล้วนำเศษทศนิยมหรือเศษที่ปัดทิ้งมาใส่ในบัญชีของตนเองหรือของผู้อื่น ซึ่งจะทำให้ผลรวมของบัญชียังคงสมดุล (Balance) และจะไม่มีปัญหากับระบบควบคุมเนื่องจากไม่มีการนำเงินออกจากระบบบัญชี นอกจากใช้กับการปัดเศษเงินแล้ว วิธีนี้อาจใช้กับระบบการตรวจนับของในคลังสินค้า

·        Superzapping มาจากคำว่า "Superzap" เป็นโปรแกรม "Marcro Utility" ที่ใช้ในศูนย์คอมพิวเตอร์ของบริษัท IBM เพื่อใช้เป็นเครื่องมือของระบบ (System Tool) ทำให้สามารถเข้าไปในระบบคอมพิวเตอร์ได้ในกรณีฉุกเฉิน เสมือนกุญแจผี (Master Key) ที่จะนำมาใช้เมื่อกุญแจดอกอื่นหายมีปัญหา โปรแกรมอรรถประโยชน์ (Utility Program) ตัวอย่างเช่นโปรแกรม Superzap จะมีความเสี่ยงมากหากตกไปอยู่ในมือของผู้ไม่หวังดี

·        Trap Doors เป็นการเขียนโปรแกรมที่เลียนแบบคล้ายหน้าจอปกติของระบบคอมพิวเตอร์ เพื่อลวงผู้ที่มาใช้คอมพิวเตอร์ ทำให้ทราบถึงรหัสประจำตัว (ID Number) หรือรหัสผ่าน (Password) โดยโปรแกรมนี้จะเก็บข้อมูลที่ต้องการไว้ในไฟล์ลับ

·        Logic Bombs เป็นการเขียนโปรแกรมคำสั่งอย่างมีเงื่อนไขไว้ โดยโปรแกรมจะเริ่มทำงานต่อเมื่อมีสภาวะหรือสภาพการณ์ตามที่ผู้สร้างโปรแกรมกำหนด สามารถใช้ติดตามดูความเคลื่อนไหวของระบบบัญชี ระบบเงินเดือนแล้วทำการเปลี่ยนแปลงตัวเลขดังกล่าว

·        Asynchronous Attack เนื่องจากการทำงานของระบบคอมพิวเตอร์เป็นการทำงานแบบ Asynchronous คือสามารถทำงานหลาย ๆ อย่างพร้อมกัน โดยการประมวลผลข้อมูลเหล่านั้นจะเสร็จไม่พร้อมกัน ผู้ใช้งานจะทราบว่างานที่ประมวลผลเสร็จหรือไม่ก็ต่อเมื่อเรียกงานนั้นมาดู ระบบดังกล่าวก่อให้เกิดจุดอ่อน ผู้กระทำความผิดจะฉวยโอกาสในระหว่างที่เครื่องกำลังทำงานเข้าไปแก้ไขเปลี่ยนแปลงหรือกระทำการอื่นใดที่ผู้ใช้ไม่ทราบว่ามีการกระทำผิดเกิดขึ้น

·        Data Leakage คือ การทำให้ข้อมูลรั่วไหลออกไป อาจโดยตั้งใจหรือไม่ก็ตาม เช่น การแผ่รังสีของคลื่นแม่เหล็กไฟฟ้าในขณะที่กำลังทำงาน คนร้ายอาจตั้งเครื่องดักสัญญาณไว้ใกล้กับเครื่องคอมพิวเตอร์ข้อมูลตามที่ตนเองต้องการ หรือการทำสำเนาเอกสาร เป็นต้น

·        Piggybacking วิธีการดังกล่าวสามารถทำได้ทั้งทางกายภาพ (Physical) การที่คนร้ายจะลักลอบเข้าไปในประตูที่มีระบบรักษาความปลอดภัย คนร้ายจะรอให้บุคคลที่มีอำนาจหรือได้รับอนุญาตมาใช้ประตูดังกล่าว เมื่อประตูเปิดและบุคคลคนนั้นได้เข้าไปแล้ว คนร้ายก็ฉวยโอกาสตอนที่ประตูยังไม่ปิดสนิทแอบเข้าไปได้ ในทางอิเล็คทรอนิกส์ก็เช่นกัน อาจจะเกิดขึ้นในกรณีที่ใช้สายสื่อสารเดียวกันกับผู้ที่มีอำนาจใช้หรือได้รับอนุญาต เช่น ใช้สายเคเบิลหรือโมเด็มเดียวกัน

IT Forensic Technique

ในการสืบสวน Forensic Accounting โดยใช้หลักฐานประเภทดิจิตอล (Digital Evidence) นั้น มีสิ่งสำคัญที่ต้องระลึกเสมอคือ จะต้องมีการจัดเก็บข้อมูลต่างๆให้รัดกุม ถูกต้อง (Establishment of Chain Custody) กล่าวคือ หลักฐานต่างๆที่เป็นอิเลกทรอนิกส์จะต้องจัดเก็บอยู่ในสถานที่ปลอดภัย  การคัดลอกข้อมูลต้องทำเป็น bit ต่อ bit  และคัดลอกข้อมูลจาก Hard drive  ทำการวิเคราะห์ข้อมูลจากข้อมูลที่คัดลอกมาไม่ใช่ข้อมูลต้นฉบับ และใช้ forensic software ในการพิสูจน์ Data Integrity ของข้อมูล (Golden, Skalak and Clayton ,2006) จะเห็นได้ว่าในการตรวจสอบหัวใจสำคัญอย่างหนึ่งคือการรักษาข้อมูลต้นฉบับให้คงสภาพเดิม (Integrity) ไม่ให้มีการเปลี่ยนแปลง แก้ไข หรือถูกลบทิ้ง ดังนั้นการใช้เครื่องมือ Forensic Software จึงมีบทบาทสำคัญเป็นอย่างยิ่งทั้งการเป็นเครื่องมือสืบสวนเมื่อเกิดข้อสงสัย และเป็นระบบการควบคุมที่ดีเพื่อป้องกันการทุจริตที่อาจเกิดขึ้น

หลักฐานทาง IT ที่ต้องค้นหา

• Saved Files
• Deleted Files
• Temporary Files
• Metadata  ข้อมูลนี้จะมีอยู่ในไฟล์ทุกไฟล์ สามารถระบุว่าไฟล์ถูกสร้างขึ้นมาโดยซอฟต์แวร์อะไร เมื่อไร ซึ่งจะทำให้สามารถตรวจสอบได้ว่าไฟล์ดังกล่าวนั้นมีที่มาอย่างไร เพราะเมต้าดาต้าตัวนี้ไม่สามารถเปลี่ยนแปลงได้แม้ว่าผู้ใช้จะลบ หรือทำการเปลี่ยนชื่อของไฟล์ไปก็ตาม ในบางระบบปฎิบัติการข้อมูลส่วนนี้สามารถบอกได้ว่าผู้ใช้เป็นใคร และมาใช้งานเมื่อไร
• Disk Slack เป็นส่วนที่ค่อนข้างจะใช้ความสามารถด้านเทคนิคในการตรวจสอบค่อนข้างมาก เนื่องจากในการทำงานที่ต้องมีการเขียนข้อมูลลงบนดิสก์ บางครั้งข้อมูลที่เขียนนั้นอาจจะมีรายละเอียดของการใช้งานข้อมูลเก่า หรือแอพพลิเคชันที่ใช้  ซึ่งหากมีซอฟต์แวร์ Computer Forensic ที่มีความสามารถก็จะสามารถดึงข้อมูลในส่วนนี้มาได้ บางครั้งข้อมูลที่ไม่สามารถถูกพบด้วยวิธีปกติทั่วไป ก็สามารถพบได้ด้วยวิธีนี้

Bit-Stream Copy : เทคนิคสำคัญที่ใช้ในการทำ IT Forensic

เทคนิคสำคัญที่จำเป็นในการตรวจสอบ IT Forensic คือ Bit-Stream Copy  ซึ่งเป็นเทคนิคสำคัญที่มีอยู่ในเครื่องมือตรวจสอบทุกชนิด Bit-Stream Copy คือการเก็บข้อมูลทั้งหมดแบบบิตต่อบิตให้ครบถ้วนสมบูรณ์ที่สุด เพื่อใช้ในการตรวจสอบการทำงาน หรือหาจุดผิดปกติต่างๆ สามารถเก็บข้อมูลทุกอย่างที่เกิดขึ้นบนเครื่องของผู้ที่ถูกตรวจสอบได้ทั้งหมด ทำให้ข้อมูลที่ได้มาทั้งหมดนี้สามารถนำมาใช้สร้างฮาร์ดดิสก์ที่มีข้อมูลเหมือนกับเครื่องที่ถูกเก็บได้ทุกประการ โดยสามารถเก็บ Temporary File บันทึกการใช้งานรับส่งอีเมล์ ข้อความการสนทนาใน MSN หรือ Chat Room สามารถแสดง Meta Data ของแต่ละไฟล์ให้เห็น ทำให้ผู้ตรวจสอบสามารถทราบได้ว่าไฟล์นั้นเป็นไฟล์ของแอพพลิเคชันอะไร และเคยถูกเปลี่ยนแปลงมาหรือไม่

Investigation tools

เครื่องมือที่ใช้ในการสืบสวน Forensic accounting มีอยู่หลากหลายชนิดด้วยกัน ตั้งแต่ซอฟต์แวร์ประเภท Data Mining ไปจนถึง ประเภท Data Analysis  Forensic software ถูกนำไปใช้เพื่อประโยชน์ต่อไปนี้ Data imaging,  Data recovery,  Data integrity , Data extraction,  Forensic Analysis และ Monitoring

ตัวอย่างซอฟต์แวร์สำเร็จรูปซึ่งรวม feature ในการตรวจสอบ

·        EnCase Enterprise Edition

EnCase จัดเป็นซอฟต์แวร์ที่มีการรวมแอพพลิเคชันด้าน Forensic ไว้หลายๆ อย่างในซอฟต์แวร์เพียงตัวเดียว ทำให้สามารถใช้งานได้หลากหลาย ไม่ว่าจะเป็นการค้นหาไฟล์ที่น่าสงสัย ตรวจสอบข้อมูลในระบบ กู้ไฟล์ที่ถูกลบ หรือการสร้างรายงานให้กับผู้ดูแลระบบนำไปวิเคราะห์ได้  ซึ่งจุดเด่นของ EnCase คือระบบตรวจสอบความถูกต้องของสำเนาที่เชื่อถือได้ด้วยการใช้เทคนิค MD5 และ Hash ที่สร้างค่า Hash Value ที่เปรียบเหมือนกับลายนิ้วมือไฟล์นั้น ซึ่งค่านี้สามารถนำมาใช้เปรียบเทียบความถูกต้องระหว่างต้นฉบับกับตัวสำเนาได้  และฟีเจอร์ที่เรียกว่า EnScript  ที่อนุญาตให้ผู้ใช้  EnCase สามารถสร้างสคริปต์ด้วยการใช้ภาษา C++ หรือ JavaScript สำหรับใช้ในการตรวจสอบค้นหาไฟล์ที่ต้องการเฉพาะเจาะจงเป็นพิเศษ ผู้ใช้ยังสามารถนำโมดูล หรือสคริปต์ที่ตัวเองเขียนนั้นสามารถนำไปใช้กับผู้ใช้ EnCase คนอื่นได้ ซึ่งเป็นจุดเด่นที่เหนือกว่าซอฟต์แวร์อื่นๆ

สำหรับ Enterprise Edition เป็นเวอร์ชั่นที่ได้รับการปรับปรุงให้เหมาะสมกับการใช้งานขององค์กรธุรกิจได้เพิ่มโมดูลสำหรับให้ผู้ดูแลระบบสามารถเข้าไปตรวจสอบเครื่องลูกเพื่อค้นหาไฟล์ที่น่าสงสัยแบบต่างๆ หรือ กู้ไฟล์ที่ถูกลบไปได้จากระยะไกลได้  

·        AccessData Ultimate Toolkit

AccessData จัดเป็นซอฟต์แวร์ที่ทั้งแบบที่มีการรวมเอาแอพพลิเคชันด้าน Computer Forensic หลายอย่างไว้ในตัว และมีแบบแยกขายเฉพาะอย่าง เช่น ซอฟต์แวร์สำหรับใช้ในการกู้พาสส์เวิร์ด หรือกู้ไฟล์โดยเฉพาะ ทำให้ผู้ใช้ไม่จำเป็นต้องซื้อซอฟต์แวร์ยกชุดในราคาแพง แต่สามารถเลือกซื้อเฉพาะแอพพลิเคชันอย่างใดอย่างหนึ่งที่ต้องการใช้งานได้ไม่ว่าจะเป็น Forensic Toolkit, Password Recovery Toolkit, Registry Viewer และ Distributed Network Attack แต่ถ้าเป็นตัว AccessData Ultimate Toolkit นั้นก็จะมีแอพพลิเคชันทั้งหมดรวมไว้แล้ว  จุดเด่นของ AccessData คือ ความสามารถที่เฉพาะเจาะจง เช่น การกู้พาสส์เวิร์ด การกู้ไฟล์ที่ถูกลบ เป็นต้น แต่ปัญหาของ Access Data กลับเป็นเรื่องความสามารถในการตรวจสอบข้อมูลในระบบเครือข่าย ซึ่งมีข้อจำกัดเนื่องจากผู้ใช้ไม่สามารถปรับแต่งค่าต่างๆ ด้วยตัวเอง ทำให้ไม่สามารถค้นหาไฟล์ที่เฉพาะเจาะจงได้เหมือน EnCase 

·        VOGON Forensic Tools Software

ซอฟต์แวร์ VOGON Forensic Toolsตัวนี้เป็นการรวมเอาแอพพลิเคชันในด้าน Forensic เอาไว้ด้วยกัน คล้ายกับ EnCase แต่ว่ามีจุดเด่นกว่า EnCase ในเรื่องของความสามารถในการค้นหา หรือกู้ข้อมูลที่ถูกลบ และสูญหายไปจาก Storage แบบต่างๆ ที่เป็น SCSI, S-ATA จนถึงอุปกรณ์บันทึกข้อมูลแบบ USB ซึ่งมีการทำงานตรงจุดนี้ค่อนข้างรวดเร็ว และมีความถูกต้องสูง ส่วนการทำงานด้านอื่นๆ นั้นก็มีความคล้ายคลึงกับ EnCase ไม่ว่าจะเป็นจัดการสำเนาข้อมูลด้วยเทคนิค Hash และการสร้างรายงานที่สามารถนำไปวิเคราะห์ได้  ซอฟต์แวร์นี้ส่วนใหญ่จะได้รับความนิยมในกลุ่มธุรกิจที่ใช้งานดาต้าเซนเตอร์ที่เน้นการใช้การตรวจสอบข้อมูลต่างๆ ใน Storage เป็นหลัก

·        ProDiscover Incident Response (PDS)

PDS จัดเป็นซอฟต์แวร์ที่ใช้งานง่ายมีความซับซ้อนไม่มาก ซึ่งผู้ใช้งานนั้นไม่จำเป็นต้องมีความชำนาญในด้าน Computer Forensic มากนัก มี Remote Forensic Server ซึ่งเป็นฟีเจอร์แบบเดียวกันที่ EnCase มีคือสามารถให้ผู้ดูแลระบบเข้าไปตรวจสอบเครื่องลูกในระบบเครือข่ายจากระยะไกลได้ จุดเด่นของ PDS ก็คือความสามารถในการตรวจสอบข้อมูลที่อยู่ในส่วนของฮาร์ดดิสก์ที่เรียกว่า Hardware Protect Area (HPA) ทำให้สามารถตรวจสอบคอนเทนต์ในส่วนนี้ของฮาร์ดดิสก์ เพื่อนำไปใช้วิเคราะห์ไฟล์ต่างๆที่อยู่ในฮาร์ดดิสก์นั้นได้สะดวกยิ่งขึ้น โดยไม่ต้องกังวลในเรื่องของรูปแบบพาร์ทิชันฮาร์ดดิสก์ว่าจะเป็นแบบใด นอกนี้ PDS ยังสามารถแสดงผลงานในรูปแบบที่เข้าใจง่ายได้ด้วย  แต่ข้อเสียคือมีฟีเจอร์ค่อนข้างน้อยทำให้ผู้ใช้ไม่สามารถปรับแต่งค่าการตรวจสอบ หรือค้นหาไฟล์แบบเฉพาะเจาะจงได้

·        Helix 

เป็นเครื่องมือซึ่งพัฒนามาจาก Knoppix ซึ่งเปิดให้ใช้บริการได้ฟรี ประกอบด้วย Option ต่างๆดังนี้

1.       Preview System Information ออปชั่นนี้จะแสดงข้อมูลพื้นฐานของระบบที่ถูกตรวจสอบ เช่น Operating System, Network Information, Owner Information และ drives ทั้งหมดที่มีในระบบ

2.       Acquire a “live” image ออปชั่นนี้ จะสามารถคัดลอกข้อมูลใน hard drives, floppy disks, หรือ memory, และจัดเก็บข้อมูลที่คัดลอกนี้ไว้ใน local removable media หรือบน network

3.       Browse contents of the CD-ROM and Host OS  ออปชั่นนี้จะให้ข้อมูลเกี่ยวกับรายละเอียดของไฟล์ต่างๆ เช่น ชื่อ ขนาดของไฟล์ การสร้าง การเข้าถึง วันที่มีการอัพเดทล่าสุด CRC, MD5

4.       Scan for Pictures from a system ออปชั่นนี้จะช่วยให้ผู้ตรวจสอบสามารถตรวจสอบ item ที่น่าสงสัยในระบบได้อย่างรวดเร็ว

·        ACL Desktop หรือ Generalized Audit Software (GAS)

Audit Command Language (ACL) ถูกพัฒนาขึ้นโดยบริษัท ACL Service Ltd เป็นเครื่องมือที่ช่วยในการอ่านและวิเคราะห์ประเภทของไฟล์ที่กระจายอยู่ตาม Database ต่างๆซึ่งอยู่ต่าง Platform กัน ACL จะช่วยให้ผู้ตรวจสอบสามารถเข้าถึง transactional data ที่สำคัญได้  ซึ่งมีฟังก์ชั่นช่วยงานผู้ตรวจสอบดังต่อไปนี้

·          สามารถวิเคราะห์ข้อมูลทั้งหมดที่มีอยู่เพื่อให้การตรวจสอบมีความครบถ้วนยิ่งขึ้น

·          ระบุแนวโน้ม ประเด็นสำคัญ และส่วนที่ควรได้รับการตรวจสอบ ระบุจุดที่เกิดความผิดพลาดและอาจเป็นช่องทางการทุจริตได้

·          สามารถระบุการควบคุมซึ่งช่วยสร้างความมั่นใจได้ว่าสอดคล้องกับกับกฎระเบียบข้อบังคับขององค์กรหรือหน่วยงานภาครัฐ

·          สามารถวิเคราะห์ transaction ที่เกี่ยวข้องกับทางการเงินได้

·          จัดระบบระเบียบข้อมูลให้ถูกต้องและ consistency

·          ฟังก์ชั่นเกี่ยวกับการวิเคราะห์ข้อมูล เช่น Benford’s Law analysis

นอกจากนี้ ACL ยังสามารถรักษา Data integrity หรือความคงสภาพของข้อมูลไว้ได้ ด้วยการกำหนดให้การเข้าถึงข้อมูลทั้งหมดเป็นรูปแบบ Read Only เท่านั้น เพื่อหลีกเลี่ยงไม่ให้แหล่งข้อมูลถูกเปลี่ยนแปลง หรือ ลบทิ้ง

·        UltraBlock  (forensic write blocker hardware) 

เป็นฮาร์ดแวร์ที่ช่วยป้องกันปัญหาการเปลี่ยนแปลงแหล่งข้อมูลที่ผู้ตรวจสอบเข้าไปทำการตรวจสอบ Data Integrity เป็นเรื่องสำคัญมากหากหลักฐานเหล่านี้ถูกนำขึ้นสู่ศาล ดังนั้นผู้ตรวจสอบจะต้องระมัดระวังแหล่งข้อมูลที่ตนใช้เป็นอย่างยิ่งว่าจะไม่ถูกเปลี่ยนแปลง ลบทิ้ง แต่อย่างใด

·        Advance Hash Calculator เป็นเครื่องมือในการรักษา Data Integrity ด้วยการสร้าง Hash Value

·        Passware Kit Forensic

เป็นเครื่องมือที่ช่วยให้สามารถเข้าถึง item ที่ถูกป้องกันด้วย Password ไว้ โดยใช้การ  decrypt ที่รวดเร็ว และ password recovery algorithms Passware สามารถหา encrypted file กู้ไฟล์ และไขเว็บไซต์พาสเวิร์ดได้ โดยไม่ได้เปลี่ยนแปลงไฟล์แต่อย่างใด ทั้งยังไม่ต้องติดตั้งโปรแกรมใดๆบนคอมพิวเตอร์ที่ถูกตรวจสอบอีกด้วย  ข้อเสียของ Passware คือ สามารถใช้ได้กับการตั้ง Password ที่เป็นภาษาอังกฤษเท่านั้น

Forensic Accounting Cases

·        Orinda-Moraga Disposal Services 

ในปี 1996 ผู้จัดการของบริษัท Orinda-Moraga Disposal Services ซึ่งตั้งอยู่ในรัฐแคลิฟอร์เนีย กลายมาเป็นผู้ต้องสงสัยเมื่อบริษัท disposal service อื่นๆสงสัยเกี่ยวกับการที่บริษัท Orinda-Moraga Disposal Services เพิ่มอัตราค่าบริการกับลูกค้าและต้องการให้ the Contra Costa Sanitation District's ช่วยตรวจสอบความเป็นมาเป็นไป ดังนั้น เขาจึงจ้าง forensic accountant ทำการค้นหาความจริง

            ภายหลังตรวจสอบการบันทึกข้อมูลของบริษัท Orinda-Moraga's พบว่าบริษัทนี้ได้ส่งเช็คไปถึงบุคคลที่ไม่มีตัวตนในหลายๆบริษัทโดยทำการ fake ที่อยู่ เพื่อให้ธุรกิจของเขามีต้นทุนที่เพิ่มขึ้น ท้ายที่สุดผู้เป็นเจ้าและหุ้นส่วนของ Orinda-Moraga's ถูกตัดสินว่ามีความผิดทางแพ่งและทางอาญา

·        Sunbeam

ในปี 1997 บริษัท Sunbeam ซึ่งเป็นบริษัทที่ผลิตเครื่องใช้ไฟฟ้าขนาดเล็ก ได้ปฏิบัติตามหลักที่เรียกว่า bill and hold ซึ่งเป็นการที่บริษัทได้บันทึกยอดขายของสินค้าเพื่อให้เกิดกำไรขึ้นใน quarter ปัจจุบัน ในขณะที่ยังรอการส่งมอบ (deliver) สินค้า ซึ่งปกติแล้ว บริษัทควรที่จะบันทึกยอดขายเมื่อได้ส่งมอบสินค้าเรียบร้อยแล้ว  Sunbeam ได้ขายสินค้าให้กับบริษัทเป็นจำนวนมากพร้อมกับให้ส่วนลด  (discount) แต่กลับเก็บสินค้าต่างๆไว้ในคลังสินค้า (warehouses)  ซึงจะทำให้ในงบการเงินจะปรากฏว่าบริษัทนี้มียอดขายที่สูง แต่อย่างไรก็ตามในคลังสิน  ค้าของ Sunbeam กลับเต็มไปด้วยสินค้าที่ยังไม่ได้ขาย การกระทำเช่นนี้ถูกเปิดเผยโดย financial analyst ที่ลงทุนในบริษัทนี้ โดยเขาทำการ downgraded มูลค่าหุ้นของ Sunbeam

            บริษัทกล่าวว่า Bill and hold ไม่ใช่สิ่งที่ผิดกฎหมาย แต่ผู้ถือหุ้นของ Sunbeam รู้สึกผิดหวังและยื่นฟ้องเพื่อให้ดำเนินการตามกฎหมาย ในที่สุดก็มีการเปิดเผยหลักฐานว่าด้วยตัวเลขที่ได้รับการตกแต่ง ทำให้ CEO ของ Sunbeam ถูกไล่ออกและถูกบังคับให้จ่ายเงิน $1,000,000 เพื่อชำระคดีความ แต่เขาจ่าย $500,000 เป็นค่าปรับและถูกห้ามดำรงตำแหน่งในบริษัทมหาชนอีกต่อไป

·        Divorce

ทนายความในกรณีการหย่าร้างกำลังใช้ forensic accountants มาช่วยในการทำคดีให้กับลูกค้า โดยกรณีศึกษานี้พบว่ามีการซ่อนสินทรัพย์ของคู่สมรสแม้ว่าจะมีการปกปิดเป็นอย่างดีแล้ว  ซึ่ง forensic accountants ได้ทำการอ่านและวิเคราะห์และตรวจสอบเอกสารทางการเงินแล้วพบว่าสามีได้มีการโอนเงินจำนวน  $2,000,000 ไปให้แฟนเก่าของเขา

·        Robert Maxwell

เมื่อสหภาพยุโรปตีพิมพ์ข่าวการเสียชีวิตของ Robert Maxwell  ในปี 1991 ทำให้บริษัททั้งหมดของเขารู้สึกหดหู่ เพราะว่าเกมทางการเงินซึ่ง Maxwell สามารถที่จะเล่นกับเงินกู้จากธนาคารและเงินทุนของนักลงทุน ดังนั้น Forensic accountants ใช้เวลากว่า 14 ปีในการคลี่คลายคดีที่ Maxwell ได้มีการการยักยอกเงินจากลูกค้าและผู้ถือหุ้นเป็นจำนวนเงินมากกว่า $1,000,000,000 

น.ส. ชญาพร คงสาคร 5202113097
น.ส. ดารินทร์ อิงควงศ์ 5202113147
น.ส. สุทธิดา พวงพิกุล 5202113246
 วันอาทิตย์ที่ 21 พฤศจิกายน พ.ศ. 2553
เขียนโดย chaya_bigvoice ที่ 00:41

ที่มา : https://bit.ly/2KMspuf
 ............................................................................................................

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #โปรแกรม Encase คือ

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ