Digital Forensics:กระบวนการด้านนิติวิทยาศาสตร์ทางดิจิตอล
บทความเรื่อง กระบวนการด้านนิติวิทยาศาสตร์ทางดิจิตอล
โดย อ.ไชยกร อภิวัฒโนกุล CISSP, CSSLP, GCFA, IRCA:ISMS, CEO @ S-Generation กันยายน 2554
*หมายเหตุ : บทความนี้มีวัตถุประสงค์เพื่อนำเสนอกรอบความคิดโดยรวมที่เกี่ยวข้องกับกระบวนการด้านนิติวิทยาศาสตร์ทางดิจิตอลเท่านั้น จึงไม่ได้กล่าวถึงขั้นตอนโดยละเอียดในการปฏิบัติ ทั้งนี้คู่มือในการปฏิบัติงานที่ได้มาตรฐานเป็นที่ยอมรับให้ใช้ได้ในประเทศไทย ยังอยู่ในระหว่างการพัฒนา
กระบวนการด้านนิติวิทยาศาสตร์มีความสำคัญอย่างมากในการพิจารณาวิเคราะห์หลักฐานต่างๆ ที่เกี่ยวข้องกับคดีความซึ่งส่วนใหญ่จะได้มาจากสถานที่เกิดเหตุ แล้วนำมาวิเคราะห์ที่ห้องแล็บด้วยวิธีการทางวิทยาศาสตร์ เพื่อนำผลที่ได้ไปประกอบการสืบสวนสอบสวนขยายผลตลอดจนการพิจารณาคดีในชั้นศาล ในอดีตกระบวนการด้านนิติวิทยาศาสตร์มักเกี่ยวข้องกับหลักฐานประเภท คราบเลือด เขม่าดินปืน รอยนิ้วมือ และ DNA เป็นต้น แต่เนื่องด้วยปัจจุบัน อาชญากรรมต่างๆ มักมีเครื่องมือหรืออุปกรณ์ที่ทันสมัยเข้าไปเกี่ยวข้องเช่น เครื่องคอมพิวเตอร์ โน๊ทบุ๊ค โทรศัพท์มือถือ และอุปกรณ์ต่างๆ ที่เป็นระบบดิจิตอล จึงเป็นที่มาของนิติวิทยาศาสตร์ทางดิจิตอล หรือ Digital Forensics
ดังนั้นนิยามของนิติวิทยาศาสตร์ทางดิจิตอลคือ การจัดเก็บรวบรวมและวิเคราะห์หลักฐานทางดิจิตอล ซึ่งรวมถึงหลักฐานที่ได้มาจากเครื่องคอมพิวเตอร์ เครือข่าย โทรศัพท์มือถือหรืออุปกรณ์จัดเก็บข้อมูลที่อยู่ในรูปแบบดิจิตอลต่างๆ ด้วยกระบวนการที่น่าเชื่อถือเพื่อให้สามารถนำข้อเท็จจริงจากการวิเคราะห์หลักฐานนำไปใช้เป็นหลักฐานที่ศาลยอมรับฟังได้ ทั้งนี้หากเป็นเหตุอาชญากรรมหรือวินาศกรรมโดยทั่วไป กระบวนการนี้จะถูกดำเนินการโดยหน่วยงานที่มีภาระกิจเกี่ยวข้องกับการบังคับใช้กฎหมายหรือหน่วยงานสนับสนุน เช่นกองพิสูจน์หลักฐาน สำนักงานตำรวจแห่งชาติ, สถาบันนิติวิทยาศาสตร์, กรมสอบสวนคดีพิเศษ และกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารเป็นต้น ทั้งนี้หากเป็นการสืบสวนสอบสวนเหตุทุจริตหรือการละเมิดนโยบายภายในองค์กร ก็อาจเป็นหน่วยงานเฉพาะกิจขององค์กรเองหรือหน่วยงานที่เอกชนที่มีความเชี่ยวชาญเป็นผู้ดำเนินการให้ก็เป็นได้
ภาพรวมของกระบวนการทางนิติวิทยาศาสตร์ด้านดิจิตอลสามารถแบ่งออกได้เป็น 3 ส่วนใหญ่ๆ กล่าวคือ
1. ขั้นตอนการเตรียมการ
ขั้นตอนนี้จะเกี่ยวข้องกับการเริ่มต้นเตรียมการเพื่อให้เกิดความสามารถในการปฏิบัติการได้อย่างถูกต้องเหมาะสมตามหลักปฏิบัติสากล และเป็นที่น่าเชื่อถือ
1.1 การเตรียมการด้านบุคลากร
เนื่องจากหลักฐานทางดิจิตอลมีความละเอียดอ่อนและเปราะบางมากหากดำเนินการโดยผู้ที่ไม่ผ่านการฝึกอบรมหรือขาดทักษะที่เพียงพอแล้วจะทำให้หลักฐานเสียหายซึ่งอาจเป็นเพียงหลักฐานชิ้นเดียวที่จะนำไปสู่การสิ้นสุดคดีหรือเป็นตัวเชื่อมโยงหลักที่สำคัญต่อรูปคดีก็เป็นได้ ดังนั้นกระบวนการด้านนิติวิทยาศาสตร์จะต้องดำเนินการด้วยเจ้าหน้าที่หรือผู้ที่มีทักษะผ่านการฝึกอบรมที่จำเป็นมาแล้วเท่านั้น เพราะหากมีการดำเนินการในขั้นตอนหนึ่งขั้นตอนใดโดยผู้ที่ขาดทักษะแล้ว นอกจากจะทำให้หลักฐานเสียหายแล้วยังอาจมีผลทำให้ความน่าเชื่อถือของหลักฐานหรือผลการวิเคราะห์ในหลักฐานนั้น ด้อยลงไป
การฝึกอบรมนั้นจะต้องประกอบไปด้วยการฝึกอบรมพื้นฐานด้านเทคนิคที่เกี่ยวข้องจำเป็น ขั้นตอนในการสืบสวนสอบสวน และข้อกำหนดทางกฎหมายต่างๆ ที่เกี่ยวข้อง ปัจจุบันในต่างประเทศมีหลักสูตรและการสอบรับรองคุณวุฒิของหลายสถาบันที่เป็นที่ยอมรับ เช่น GCFA (GIAC Certified Forensic Analyst) ของสถาบัน SANS, CCFE (Certified Computer Forensics Examiner) ของ IACRB และ CCE (Certified Computer Examiner) ของ ISFCE เป็นต้น
1.2 การเตรียมการด้านกระบวนการ
การที่จะให้หลักฐานและผลการวิเคราะห์หลักฐานมีความน่าเชื่อถือได้นั้น กระบวนการต่างๆ ที่กระทำเพื่อให้ได้มาซึ่งหลักฐานและการกระทำต่อหลักฐานต้องเป็นไปตามหลักวิชาการที่เป็นที่ยอมรับโดยสากล และมีการทำบันทึกเป็นลายลักษณ์อักษรตลอดกระบวนการ สามารถตรวจสอบย้อนหลังได้ว่าผู้ใดเป็นผู้ดำเนินการส่วนใด ณ วันเวลาใด เป็นต้น ส่วนใหญ่การเตรียมการในขั้นตอนนี้จะเน้นเรื่องการออกแบบพัฒนาขั้นตอนการปฏิบัติงาน ตั้งแต่การขออนุญาตดำเนินการในสถานที่เกิดเหตุ การเก็บรวบรวมหลักฐานทางดิจิตอล การนำส่งหลักฐานให้กับหน่วยงานดูแลหลักฐาน การเบิกหลักฐาน การทำสำเนา การวิเคราะห์ การเขียนรายงานตลอดจนการทำลายสำเนาของหลักฐานเมื่อสิ้นสุดคดีความ และการพัฒนาแบบฟอร์มต่างๆ ที่ต้องนำไปใช้ในแต่ละขั้นตอนการปฏิบัติงาน เช่น แบบฟอร์มการยึดอายัดหลักฐาน และแบบฟอร์ม COC (Chain of Custody) เป็นต้น
นอกจากกระบวนการในการรวบรวม นำส่งและวิเคราะห์หลักฐานให้มีความน่าเขื่อถือแล้ว ยังต้องมีการบวนการควบคุมเพื่อให้เกิดความมั่นคงปลอดภัยต่อหลักฐานในการดำเนินการทุกขั้นตอนเพื่อมิให้หลักฐานถูกทำลาย เปลี่ยนแปลงหรือหลุดรั่วออกไปโดยไม่ได้รับอนุญาตอีกด้วย
1.3 การเตรียมการด้านเครื่องมือและอุปกรณ์
เครื่องมือพื้นฐานที่จำเป็นแบ่งออกได้เป็น 3 กลุ่มคือ
1.3.1 เครื่องมือช่วยในการเก็บรวบรวมหลักฐาน
ส่วนใหญ่จะเป็นเครื่องมือภาคสนามที่สามารถเคลื่อนย้ายได้สะดวกหรือเป็นขนาดพกพา (portable) ซึ่งสามารถนำไปใช้งาน ณ สถานที่เกิดเหตุได้อย่างคล่องตัว เช่นอุปกรณ์จัดเก็บ Volatile Data หรือข้อมูลที่อยู่ใน RAM อุปกรณ์ต่อพ่วง อุปกรณ์ทำสำเนา hard disk ที่ต้องมีคุณลักษณะพิเศษคือมีลักษณะเป็นแบบป้องกันการเขียนทับข้อมูลลงไปบนหลักฐานหรือ writer-blocker ถุงป้องกันไฟฟ้าสถิตย์ (Static Bag) และ ถุงป้องกันคลื่อนแม่เหล็กไฟฟ้า (Faraday Bag) เป็นต้น โดยมีเป้าหมายเพื่อให้สามารถจัดเก็บและรักษาสภาพของหลักฐานไว้ให้อยู่ในสภาพเดิมให้ได้มากที่สุด
1.3.2 เครื่องมือช่วยในการวิเคราะห์หลักฐาน
จะเป็นเครื่องมือที่อาจเป็นทั้ง hardware และ software ที่นำมาใช้ช่วยในกระบวนการวิเคราะห์หลักฐาน ซึ่งส่วนใหญ่มักจะเกี่ยวข้องกับการกู้คืนข้อมูลที่ถูกลบ การประมวลผล file system รูปแบบต่างๆ การทำแผนผังลำดับเหตุการณ์ (timeline) และการค้นหาด้วยคำค้นต่างๆ (keyword search) การวิเคราะห์ยังมักเกี่ยวกับการวิเคราะห์หาความเชื่อมโยงของคน กิจกรรม วัน เวลา หรือเรียกง่ายๆ ว่า ใคร ที่ไหน เมื่อไหร่ อย่างไร เท่าที่จะหาได้จากหลักฐานที่ได้มา ซึ่งถ้ามีเครื่องมือที่ดี ก็จะช่วยให้สามารถวิเคราะห์ค้นหาและหาความสัมพันธ์เชื่อมโยงต่างๆ ได้อย่างรวดเร็วมากยิ่งขึ้น
1.3.3 เครื่องมือช่วยอื่นๆ
เครื่องมือช่วยปฏิบัติงานอื่นๆ ขึ้นอยู่กับประเภทของหลักฐาน เช่น เครื่องอ่านข้อมูลในโทรศัพท์มือถือ เครื่องช่วยลบข้อมูลในสื่อบันทึกข้อมูลที่เสร็จสิ้นการใช้งานจากคดีหนึ่งแล้ว และต้องการนำกลับไปใช้กับคดีอื่น
1.4 การเตรียมการเรื่องห้องปฏิบัติการ
ห้องปฏิบัติการด้านนิติวิทยาศาสตร์นั้นจะต้องเป็นพื้นที่ที่มีการควบคุมในระดับสูงเนื่องจากต้องมีการจัดเก็บและดำเนินการเกี่ยวกับหลักฐานที่เกี่ยวข้องกับอาชญากรรมต่างๆ จึงมีข้อกำหนดต่างๆ มากมายเกี่ยวกับด้านความมั่นคงปลอดภัย คุณภาพ บุคลากร กระบวนการทำงานต่างๆ และจรรยาบรรณ ต้องเป็นไปตามมาตรฐานที่เป็นที่ยอมรับสากล ซึ่งมักจะอ้างอิงถึง ASCLD/LAB (The American Society of Crime Laboratory Directors/Laboratory Accreditation Board) เป็นหลัก
2. ขั้นตอนดำเนินการ
เมื่อเกิดเหตุที่พนักงานเจ้าหน้าที่ด้านนิติวิทยาศาสตร์ต้องเข้าไปเก็บหลักฐานเพื่อนำมาวิเคราะห์ พอจะสรุปเป็นขั้นตอนหลักๆ ได้ดังต่อไปนี้
2.1 การเก็บรวบรวมหลักฐานจากที่เกิดเหตุ
กระบวนการนี้หลักๆ ต้องพยายามจัดเก็บรวบรวมข้อมูลหลักฐานที่เป็น volatile และที่เป็น non-volatile ซึ่งมีขั้นตอนในรายละเอียดมาก จากนั้นจะมาเน้นที่ขั้นตอนการหุ้มห่อลงในถุงหรือหีบห่อที่มีคุณสมบัติป้องกันไฟฟ้าสถิตย์ และป้องกันคลื่นแม่เหล็กไฟฟ้าในกรณีที่หลักฐานมีความไวต่อคลื่นแม่เหล็กไฟฟ้า
2.2 การนำส่ง การจัดเก็บและการเบิกหลักฐาน
ในทุกๆ ขั้นตอนของการเคลื่อนย้ายหลักฐานจำเป็นต้องมีหนังสือหรือแบบฟอร์มกำกับเพื่อให้สามารถตรวจสอบย้อนหลังได้ว่าในแต่ละช่วงเวลามีใครเป็นถือครองหรือรับผิดชอบต่อหลักฐานนั้นๆ เพื่อป้องกันการลักลอบเข้าถึง เปลี่ยนแปลงหรือทำลายหลักฐานโดยไม่ได้รับอนุญาต
2.3 การทำสำเนาหลักฐาน
การทำสำเนาหลักฐานต้องทำด้วยอุปกรณ์ที่ถูกออกแบบมาเฉพาะเพื่อใช้ในงานด้าน Digital Forensic โดยเฉพาะโดยต้องมีอุปกรณ์ write-blocker เพื่อช่วยป้องกันไม่ให้มีการเขียนทับข้อมูลลงไปในสื่อบันทึกข้อมูลที่เป็นหลักฐานต้นฉบับ เพื่อรักษาให้คงสภาพเดิม และไม่สามารถทำโดยการ copy file ตามปกติได้ แต่ต้องใช้วิธีการทำ bit-by-bit imaging และเมื่อทำการสำเนาแล้วต้องมีการทำเอกลักษณ์ทางดิจิตอลเพื่อเป็นการรับรองสำเนา หรือทางเทคนิคเรียกว่าการทำ image authentication ด้วยเทคนิค data hashing ซึ่ง algorithm ที่เป็นที่นิยมคือ MD5 และ SHA-1 การทำเอกลักษณ์เพื่อรับรองสำเนานี้ จะทำให้ทราบได้ว่าหลักฐานที่ได้ทำสำเนาขึ้นใหม่นี้มีความคงเดิมและไม่มีการเปลี่ยนแปลงไปแม้แต่ bit เดียว เพราะหากมีการเปลี่ยนแปลงไปแม้เพียง bit เดียว จะทำให้ได้ค่า MD5 และ SHA-1 ผิดไปจากที่เคยทำไว้เดิม
2.4 การวิเคราะห์หลักฐาน
การวิเคราะห์หลักฐานมีวัตถุประสงค์เพื่อค้นหาข้อมูลที่จะนำไปสู่ความเชื่อมโยงของบุคคลและบ่งบอกได้ถึงกิจกรรมต่างๆ ที่เกิดขึ้นตามช่วงเวลาที่สนใจจากหลักฐานทางดิจิตอลที่ได้จัดเก็บรวมรวมมาจากสถานที่เกิดเหตุ เช่น การสืบค้นดูว่ามีการส่งข้อความ SMS ออกจากโทรศัพท์มือถือในช่วงเวลาใดและส่งถึงใคร หรือว่ามีการรับส่ง email ถึงใคร เมื่อใด เป็นต้น การวิเคราะห์มักจะรวมถึงการจัดทำแผนผังลำดับเหตุการณ์หรือ timeline ของเหตุการณ์ที่เกิดขึ้นบนเครื่องคอมพิวเตอร์หนึ่งๆ หรือในภาพรวม เช่น มีการ download โปรแกรมบางอย่างเข้ามาลงในเครื่อง ก่อนที่จะมีการติดไวรัสและแพร่กระจายออกไปที่เครื่องอื่นๆ นักวิเคราะห์หลักฐานต้องพยายามหาข้อมูลเชื่อมโยงให้ได้ว่า user คนใดเป็นคน download โปรแกรมนั้นเข้ามาในช่วงเวลานั้น และ download มาจากที่ใด ก่อนที่จะมีการแพร่กระจายของไวรัส เป็นต้น การวิเคราะห์จะมีความสลับซับซ้อนมากน้อยเพียงใดขึ้นอยู่กับความซับซ้อนของรูปคดีและความเชี่ยวชาญของอาชญากรหรือผู้กระทำความผิดที่อาจใช้ความพยายามในการปกปิดข้อมูลหรือทำลายหลักฐานเพื่อให้ไม่สามารถติดตามร่องรอยได้โดยง่าย
สิ่งที่สำคัญในการวิเคราะห์หลักฐานคือเจ้าหน้าที่หรือนักวิเคราะห์หลักฐานจะไม่ทำการวิเคราะห์บนตัวหลักฐานที่เป็นต้นฉบับที่ได้มาจากสถานที่เกิดเหตุ แต่จะใช้การทำสำเนาแบบ forensic copy จากตัวต้นฉบับ แล้วส่งคืนต้นฉบับไปยังห้องเก็บหลักฐาน แล้วจึงดำเนินการวิเคราะห์กับตัวสำเนาแทน ทั้งนี้การทำสำเนาจะมีรายละเอียดในการทำเอกลักษณ์ทางดิจิตอลของสำเนาเพื่อยืนยันความถูกต้องของสำเนา และเป็นตัวที่จะใช้ยืนยันว่าสำเนานั้นไม่ได้ถูกเปลี่ยนแปลงแก้ไข และมีความถูกต้องตรงกันกับหลักฐานต้นฉบับ
3. ขั้นตอนสิ้นสุดการดำเนินการ
ขั้นตอนนี้จะเน้นเกี่ยวกับการเขียนรายงานสรุปสิ่งที่ตรวจพบและบทวิเคราะห์ต่างๆ เพื่อนำไปประกอบสำนวนหรือส่งมอบให้แก่พนักงานเจ้าหน้าที่หรือผู้ว่าจ้างเพื่อนำไปใช้ประโยชน์ในการพิจารณาอื่นๆ ต่อไป การเขียนรายงานจำเป็นอย่างยิ่งที่ผู้เชี่ยวชาญต้องเขียนแยกให้เห็นเด่นชัดว่าส่วนใดเป็นข้อเท็จจริงที่ค้นพบจากหลักฐาน และส่วนใดเป็นข้อคิดเห็นของผู้เชี่ยวชาญ สิ่งที่สำคัญที่สุดที่ผู้เขียนรายงานต้องเข้าใจคือผู้เขียนรายงานไม่ใช่ผู้พิพากษาดังนั้นจะต้องเขียนรายงานตามข้อเท็จจริงที่ตรวจพบจากหลักฐานเท่านั้น ส่วนเรื่องการสรุปความหรือตีความนั้นเป็นหน้าที่ของทนาย อัยการ หรือศาลต่อไป
ทั้งหมดนี้เป็นภาพรวมของกระบวนการด้านนิติวิทยาศาสตร์ทางดิจิตอลโดยสังเขป ซึ่งในทางปฏิบัติแล้วจะมีรายละเอียดปลีกย่อยอีกมาก เนื่องจากหลักฐานทางดิจิตอลมีความหลากหลาย ไม่ว่าจะเป็นข้อมูลโดยทั่วไป ข้อมูลเสียง ภาพถ่ายหรือวิดีโอ อุปกรณ์หรือระบบงานที่ใช้จัดเก็บข้อมูลที่แตกต่างกัน ล้วนแล้วแต่มีกรรมวิธีและเทคนิคเฉพาะในการรวบรวมและวิเคราะห์ ซึ่งงานด้าน digital forensic ยังสามารถแยกแตกแขนงความเชี่ยวชาญออกไปเป็นสาขาย่อยๆ ได้อีก เช่น computer forensic, network forensic, mobile forensic, cloud-computing forensic, live-system forensic, audio forensic, video forensic, image forensic ฯลฯ ในปัจจุบันต้องถือว่าเรื่อง digital forensic ยังเป็นเรื่องที่ค่อนข้างใหม่ ทั้งกับพนักงานเจ้าหน้าที่ อัยการ ศาล และผู้ที่เกี่ยวข้องอื่นๆ มีผู้เชี่ยวชาญอยู่จำนวนน้อยและเป็นที่ต้องการของหลายหน่วยงาน ทั้งหน่วงงานด้าน law enforcement และหน่วยงานภาคเอกชนอื่นๆ ที่ให้ความสำคัญ ดังนั้นจึงจำเป็นต้องมีการสนับสนุนและส่งเสริมให้เกิดการสร้างบุคลากรด้านนี้เพิ่มมากขึ้น และมีการให้ความรู้ต่อทั้งหน่วยงานที่เกี่ยวข้องและสังคมในวงกว้างมากขึ้นให้ได้รู้จักศาสตร์ในด้านนี้ และความเป็นวิชาชีพของผู้ที่ประกอบอาชีพในด้านนี้ต่อไป
ที่มา:อ.ไชยกร อภิวัฒโนกุล ( Narinrit Prem-apiwathanokul )
#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ