ข้อควรรู้ เมื่อถูกแฮกระบบ (Digital Forensics)

Digital Forensics:ข้อควรรู้ เมื่อถูกแฮกระบบ (Digital Forensics)

14 May 2013 at 11:15

เมื่อมีการแฮกเกิดขึ้น ก็ถือว่ามีการละเมิดหรือมีความผิดอาญาเกิดขึ้นจากการเข้าถึงหรือก่อกวนระบบคอมพิวเตอร์หรือข้อมูลคอมพิวเตอร์โดยมิชอบ ซึ่งเป็นความผิดต่อ พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 จำเป็นต้องมีการสืบสวนสอบสวนเพื่อหาตัวผู้กระทำความผิดมาดำเนินคดี ซึ่งกระบวนการในการรวบรวมจัดเก็บหลักฐาน เพื่อนำมาวิเคราะห์และจัดทำรายงานผลการวิเคราะห์หลักฐานที่เป็นดิจิตอลนั้น เราเรียกว่าการทำ Digital Forensics อาจแปลเป็นไทยว่านิติวิทยาศาสตร์ทางดิจิตอล ซึ่งหลักสำคัญของการทำ Digital Forensics คือความน่าเชื่อถือของหลักฐานหรือวัตถุพยาน (digital evidence) ซึ่งจะมีผลมากต่อการนำไปติดสำนวนฟ้องหรือการไต่สวนพิจารณาคดีในชั้นศาล เนื่องจากเป็นหลักฐานที่มีความเปราะบางถูกแก้ไขและเปลี่ยนแปลงได้ง่าย สิ่งสำคัญที่จะช่วยยืนยันได้ว่าหลักฐานมีคุณภาพ ได้มาโดยชอบ และไม่ถูกเปลี่ยนแปลงแก้ไขระหว่างทางก่อนจะมาถึงชั้นศาลก็จะต้องพูดถึงองค์ประกอบในการทำงานกับหลักฐานที่สำคัญหลักๆ 2 เรื่องคือเรื่อง First Response และ Chain-of Custody (CoC)

1. First Response คือการเข้าดำเนินการกับหลักฐาน ณ สถานที่เกิดเหตุ ซึ่งการที่หลักฐานที่ได้มาจากสถานที่เกิดเหตุจะมีความน่าเชื่อถือและสามารถนำไปใช้ในศาลได้นั้น ต้องประกอบด้วย- บุคคลากรที่เข้าดำเนินการต้องมีความน่าเชื่อถือ กล่าวคือเป็นบุคคลที่มีอำนาจหน้าที่หรือได้รับมอบหมายจากหน่วยงานที่มีหน้าที่ให้เป็นผู้ดำเนินการ และต้องเป็นผู้ที่ได้รับการอบรมฝึกฝน มีความรู้ความเข้าใจและทักษะในการทำงานกับ digital evidence ที่ได้รับการรับรองจากสถาบันหรือหน่วยงานที่มีหน้าที่ออกใบรับรองคุณวุฒิในเรื่องดังกล่าวที่ได้รับการยอมรับ- กระบวนการดำเนินการต้องน่าเชื่อถือ โดยใช้วิธีการที่มีมาตรฐานเป็นที่ยอมรับในสากล- เครื่องมือที่ใช้ต้องน่าเชื่อถือ โดยเป็นเครื่องมือที่ผ่านการรับรองจากหน่วยงานรับรองเรื่องเครื่องมือทาง digital forensics หรือสามารถอธิบายได้ว่ามีขั้นตอนการทำงานตามขั้นตอนที่เป็นที่ยอมรับอย่างไรหากสามส่วนนี้ไม่เป็นไปตามนี้แล้วก็ยากที่จะบอกได้ว่าหลักฐานที่เก็บมานั้นมีคุณภาพ ครบถ้วนและไม่ถูกเปลี่ยนแปลงแก้ไข หรือถูก contaminate หรือไม่

First Response

digital evidence

2. Chain-of-Custody คือมาตรการในการควบคุมเพื่อให้สามารถตรวจสอบย้อนหลังได้ว่า ณ เวลาหนึ่งๆ มีใครเข้าถึงหรือถือครองหลัฐานไว้บ้างในแต่ละช่วงเวลา นับตั้งแต่การเก็บหลักฐานจากสถานที่เกิคเหตุ จนถูกนำไปแสดงต่อศาล ซึ่งจะมีแบบฟอร์มให้ลงนาม ระบุวันเวลา พยานและเหตุผลในการเข้าถึงหรือถือครอง เป็นต้นหาก First Response และ Chain-of-Custody กระทำอย่างไม่ถูกต้องเหมาะสมก็จะนำไปสู่ความไม่น่าเชื่อถือของหลักฐาน อาจอนุมานได้ว่าหลักฐานถูกเปลี่ยนแปลงแก้ไขหรือได้มาไม่ครบถ้วน ทำให้การวิเคราะห์และตีความจากข้อเท็จจริงที่ปรากฏในหลักฐานถูกครางแครงสงสัยได้ ว่าเป็นไปตามนั้นจริงหรือไม่ ซึ่งแน่นอนอาจส่งผลต่อการพิจารณาคดีในชั้นศาลได้ โดยเฉพาะบางคดีที่ไม่สามารถหาหลักฐานอื่นมาใช้มัดตัวได้และเหลือเพียงแต่หลักฐาน digital เท่านั้น แต่ถ้าหลักฐานดิจิตอลที่ได้มาขาดความน่าเชื่อถือ ก็อาจทำให้ไม่สามารถเอาผิดกับจำเลยได้ ทั้งนี้ก็ขึ้นอยู่กับความรู้ความสามารถของทนายฝ่ายจำเลยด้วย หากมีความรู้มากและสามารถถามจี้ประเด็นให้ศาลเห็นถึงการขาดความน่าเชื่อถือของหลักฐานได้ ก็อาจเป็นประโยชน์ต่อจำเลย

Chain-of-Custody

โดย ไชยกร อภิวัฒโนกุล, 
CISSP, CSSLP, GCFA, IRCA:ISMS
CEO S-GENERATION, TISA Committee
S-Generation Co.,Ltd.


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #Chain of custody