Digital Forensics: Steganography

Digital Forensics: Steganography Part I

วันนี้ Admin  นำเสนอ Steganography Detect  โดยไม่ต้องติดตั้งโปรแกรม แค่ใช้งานผ่านwebsite 

Steganography คือ  

เทคนิคในการซ่อนข้อมูลที่ ต้องการรักษาความลับไว้ในข้อมูลอื่นที่มีขนาดใหญ่กว่า ผู้ที่ไม่รู้วิธีซ่อนข้อมูลจะไม่สามารถอ่านข้อมูลที่ซ่อนอยู่นั้นได้ เช่น การซ่อนข้อความไว้ในไฟล์รูปภาพ โดยการแทนที่ข้อมูลในบิตสุดท้ายของแต่ละพิกเซลด้วยบิตของข้อความที่เป็นความลับ

Steganography คือ

 เป็นเทคนิคการซ่อนข้อมูลลับไว้ในสื่อที่ไม่ได้เป็นความลับ โดยมีจุดประสงค์เพื่ออำพรางให้ตรวจสอบความผิดปกติได้ยาก ตัวอย่างการใช้งานเทคนิคนี้ เช่น ซ่อนข้อมูลลับไว้ในไฟล์รูปภาพ ซึ่งผู้ที่เปิดดูไฟล์นี้ก็จะเห็นเป็นรูปภาพปกติ แต่ผู้ที่รู้ว่าภาพนี้มีข้อมูลซ่อนอยู่ก็สามารถใช้วิธีเฉพาะในการสกัดข้อมูลที่ซ่อนไว้ออกมาได้ ซึ่งที่ผ่านมาก็ได้มีผู้พัฒนามัลแวร์หลายรายนำเทคนิคนี้มาใช้เป็นส่วนประกอบการโจมตีอยู่เรื่อยๆ

1. เข้าไปที่ Website  link: https://bit.ly/2NQlH2g

 2. นำรูปที่สงสัยว่ามีการซ่อนข้อมูลในรูปหรือ อำพรางข้อมูล Steganography
                                                   ตัวอย่างไฟล์  stg300.png

3.  ให้ท่านนำไฟล์ตัวอย่าง  stg300.png Upload บนเว็บเพื่อวิเคราะห์ ตามรูป
 รูปต้องมีขนาดไม่เกิน 1 MB 1024 x 768

   

 4. รอผลการวิเคราะห์

5. ดูผลลัพถ์ ที่ได้ พบว่าไฟล์รูป มีการใช้เทคนิค   Steganography

Digital Forensics: Steganography Part II

ที่มา :
https://bit.ly/2NT7RMO
https://bit.ly/2NQlH2g

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud
#Steganography Analysis

Digital Forensics: Remove hidden data and personal information

Digital Forensics: Inspect Document

  เป็นฟังก์ชันสำหรับการลบข้อมูล metadata ออกจากเอกสาร  Office documents เช่น Word, Excel , PowerPoint  ทำให้ยากต่อการติดตามร่องรอย

    hidden data or personal information that you might not want to share in Office documents

1. Open the Power point presentation  that you want to inspect for hidden data and personal information.

   

   Windows Forensic Presentation

   

   Tile: Windows Forensic ; Authors: Stephen Rondeau

    ตรวจสอบค่า Hash value
   

   

   Hash Value MD5 & SHA

2. Click the File tab, click Save As, and then type a name in the File name box to save a copy of your original presentation.
   
   
   
   
3. In the copy of your original presentation , click the File tab, and then click Info. 
   
   
   
   
   
   
4. Click Check for Issues, and then click Inspect Presentation.
   
   
   
5. In the Presentation Inspector dialog box, select the check boxes to choose the types of hidden content that you want to be inspected.
   
   
   
6. Click Inspect.
   
   

   

   Remove personal information

   
   
7. Review the results of the inspection in the Presentation Inspector dialog box.

   

   Tile, Authors ,Last save by

   
   
8. Click Remove All next to the inspection results for the types of hidden content that you want to remove from your Presentation.

hash value mismatch

สรุปการใช้งาน   Inspect Office Document

• สามารลบข้อมูล metadata ได้

• ทำให้ค่า hash เปลี่ยนแปลง 

   

ที่มา:

support.office.com

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud 

DIGITAL FORENSICS:การสืบสวนสอบสวนทางเทคโนโลยี

DIGITAL FORENSICS:การสืบสวนสอบสวนทางเทคโนโลยี

 

 การสืบสวนสอบสวนทางเทคโนโลยี

ช่วงนี้มีข่าวกำลังแรงเกี่ยวกับเรื่อง พล.ต.ต.พิสิษฐ์ เปาอินทร์ ผู้บังคับการกองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทาง เทคโนโลยี (ผบก.ปอท.) แถลงข่าวจะควบคุมตรวจสอบการสนทนาผ่านระบบไลน์ และสมาร์ทโฟนอื่นๆ เพื่อเป็นการป้องปรามการกระทำความผิดทางอาญาที่ร้ายแรง โดยเพ่งเล็งไว้ 4 กลุ่ม

1. กลุ่มผู้ค้าอาวุธปืน

2. กลุ่มนักค้ายาเสพติด

3. กลุ่มพวกค้ามนุษย์และค้าประเวณี

4. กลุ่มละเมิดทรัพย์สินทางปัญญา

            มีคนออกมาวิพากษ์วิจารณ์ในทางที่ไม่เห็นด้วยจำนวนมาก โดยหลายคนอ้างว่าเป็นการกระทบต่อสิทธิเสรีภาพในการแสดงความคิดเห็นและเสรีภาพในการสื่อสาร รวมทั้งอ้างว่า ละเมิดสิทธิส่วนบุคคล ทนายคลายทุกข์ซึ่งตัวผมเองเป็นนักสืบมานานแล้ว ขอเล่าประสบการณ์เกี่ยวกับการสืบสวนสอบสวนทางเทคโนโลยีเป็นรายประเด็นดังนี้

1.      การเริ่มต้นการสืบสวนคดีอาญา

ความหมายของการสืบสวน ตาม ป.วิ.อ.มาตรา 2(10) บัญญัติว่า “การสืบสวน” หมายความถึงการแสวงหาข้อเท็จจริงและหลักฐานซึ่งพนักงานฝ่ายปกครองหรือตำรวจได้ปฏิบัติไปตามอำนาจและหน้าที่ เพื่อรักษาความสงบเรียบร้อยของประชาชน  และเพื่อที่จะทราบรายละเอียดแห่งความผิด  ดังนั้น เจ้าพนักงานหรือตำรวจมีอำนาจกระทำการทุกอย่างเท่าที่จำเป็นเพื่อให้ได้พยานหลักฐานเพื่อพิสูจน์ความผิดจำเลย ดังนั้น ตำรวจจะทำอะไรก็ได้ที่ไม่ขัดต่อกฎหมาย หรือขัดต่อความสงบเรียบร้อยหรือศีลธรรมอันดีของประชาชน ในทางปฏิบัติการสืบสวนผู้กระทำความผิดทางอาญามีวิธีการดำเนินการดังนี้

วิธีแรก  การล่อซื้อ  หมายถึง การใช้บุคคลซึ่งมีความสนิทสนมกับผู้กระทำความผิด เช่น ผู้ที่เคยซื้อยาเสพติดกับผู้ต้องหาเข้าไปล่อซื้อยาเสพติดและให้ชุดจับกุมคอยซุ่มอยู่ในระยะที่มองเห็นพฤติกรรมในขณะส่งมอบยาเสพติดได้  เมื่อเห็นการกระทำความผิดซึ่งหน้าก็เข้าจับกุมแบบคาหนังคาเขา ซึ่งกฎหมายอนุญาตให้ทำได้

            วิธีที่สอง  ไม่สามารถหาคนที่สนิทสนมกับผู้ต้องหาได้ ต้องใช้วิธีการเฝ้าจุดเป็นเวลานานเพื่อดูพฤติกรรมว่า ผู้ต้องหาเกี่ยวข้องกับการกระทำความผิดอะไรบ้างและรวบรวมพยานหลักฐานไว้เพื่อขอศาลออกหมายจับ

            วิธีที่สาม  ใช้วิธีการสะกดรอยบุคคลต้องสงสัย วิธีนี้ใช้ค่าใช้จ่ายมากเนื่องจากต้องเดินทางติดตามผู้ต้องหาไปในสถานที่ต่างๆ มากมายพร้อมบันทึกภาพ  บันทึกเสียง เพื่อให้ได้พยานหลักฐานมาประกอบคดี เพื่อขอให้ศาลออกหมายจับ ผู้ที่สะกดรอยจะต้องเป็นผู้ที่มีประสบการณ์ในการสะกดรอยไม่ให้เป้าหมายรู้ตัว และจะต้องเป็นผู้ที่มีความอดทนเนื่องจากต้องใช้เวลานานมาก

            วิธีที่สี่  การแฝงตัวเข้าไปในองค์กรอาชญากรรมเพื่อให้รู้ข้อมูลภายใน  วิธีนี้เป็นวิธีการที่เสี่ยงมากเพราะนักสืบหลายคนอาจจะถูกฆ่าตายถ้าถูกจับได้  จึงต้องระมัดระวังในการใช้วิธีนี้

            วิธีที่ห้า  การติดตั้งอุปกรณ์ดักฟังหรือ GPS ในสถานที่ที่ผู้ต้องหาเกี่ยวข้อง เช่น บ้านพัก  สถานที่ทำงาน  รถยนต์ วิธีการนี้ก็ต้องลงทุนมากหน่อยในการซื้ออุปกรณ์และโปรแกรมต่าง ๆ บางกรณีอาจจะต้องเข้าถึงมือถือของผู้ต้องหาเพื่อใส่โปรแกรม เพื่อจะได้รู้ความเคลื่อนไหวของผู้ต้องหา

2.      เมื่อจับกุมผู้ต้องหาได้

ในกรณีสมาร์ทโฟน เช่น แบล็คเบอร์รี่  ชุดจับกุมจะต้องใช้ฝีมือ(เล่ห์เหลี่ยม) ทำอย่างไรก็แล้วแต่เพื่อให้ผู้ต้องหาบอกรหัสจะได้เข้าถึงข้อมูลในเครื่อง  ส่วนใหญ่มักจะพาไปเซฟเฮาส์ ซึ่งผู้ต้องหาทุกคนมักจะยินยอมเพราะกลัวตาย หลังจากนั้นจะพิมพ์ข้อมูลออกจากมือถือ  หรือไม่ก็ใช้วิธีการถ่ายภาพหน้าจอที่มีข้อความที่ผิดกฎหมายมาประกอบสำนวน  ซึ่งศาลก็รับฟังเป็นพยานหลักฐานในการพิสูจน์ความผิดของผู้ต้องหาได้ในชั้นพิจารณาคดี โดยถือเป็นพยานวัตถุที่ได้มาโดยชอบด้วยกฎหมาย ตาม ป.วิ.อ.มาตรา 226 ส่วนผู้ต้องหามักจะต่อสู้ว่าถูกข่มขู่หรือได้มาโดยมิชอบด้วยกฎหมาย  อันเป็นบทตัดพยานนั้น  ในทางปฎิบัติต่อสู้ค่อนข้างยาก มักไม่สามารถหักล้างพยานโจทก์ได้เพราะส่วนใหญ่ศาลมักเชื่อว่า เจ้าพนักงานปฏิบัติหน้าที่โดยสุจริต กระทำไปตามหน้าที่ ไม่เคยมีสาเหตุโกรธเคืองกับผู้ต้องหามาก่อน ไม่มีเหตุที่จะเบิกความปรักปรำจำเลย ไม่มีเหตุให้ระแวงสงสัยในคำเบิกความของชุดจับกุม  การเบิกความของชุดจับกุมสอดคล้องต้องกัน สมเหตุสมผล รับฟังได้โดยปราศจากข้อสงสัยว่า จำเลยคือผู้กระทำความผิดตามฟ้อง ประกอบกับจำเลยให้การรับสารภาพทันทีในขณะที่ถูกจับกุมโดยไม่มีโอกาสไตร่ตรอง  บิดเบือนข้อเท็จจริง จึงเชื่อว่าจำเลยให้การรับสารภาพด้วยใจสมัคร  นำคำรับสารภาพในชั้นสอบสวนมาเป็นพยานหลักฐานพิสูจน์ความผิดจำเลยได้  ดังนั้น  ที่นักวิชาการบางคนให้สัมภาษณ์ว่า จำเลยต่อสู้คดีเรื่องการได้พยานหลักฐานมาโดยวิธีการที่ไม่ชอบนั้น ในทางปฏิบัติพิสูจน์ยาก เว้นแต่มีพยานหลักฐานที่หนักแน่นเพียงพอที่จะหักล้างพยานโจทก์ได้ ซึ่งเป็นเรื่องที่มีโอกาสน้อยมากใน  ผมว่าความเกือบทุกวันไม่ใช่เรื่องง่ายในการที่จะชนะคดีที่โจทก์เป็นพนักงานอัยการ

สุดท้ายนี้ ผมเห็นใจตำรวจที่ต้องทำตามหน้าที่ เมื่อหน้าที่ในการจับคนร้ายไปกระทบสิทธิของบุคคลอื่น ย่อมไม่มีใครพอใจตำรวจอย่างแน่นอน ถึงแม้ผมจะเป็นทนายความ ซึ่งส่วนใหญ่อยู่ฝั่งตรงข้ามกับตำรวจ แต่ก็เห็นใจในการทำหน้าที่ของตำรวจที่กระทำโดยสุจริต เราไม่ควรวิพากษ์วิจารณ์จนเกินเลยไป จนมองตำรวจเป็นผู้ร้ายเสียเอง เพราะในโลกไซเบอร์โซเชียลมีเดียร์ มีคนร้ายอยู่เต็มไปหมด ดังนั้นจะต้องมีตำรวจไซเบอร์คอยสอดส่องคนร้าย แต่อย่าส่องไปทั่วนะครับ โดยเฉพาะผู้สุจริต ท่านไม่ต้องไปส่องหรอกครับท่านผู้การ ปอท. 

ด้วยรักและห่วงใยจากทนายคลายทุกข์

 

 

ที่มา:ทนายคลายทุกข์

https://bit.ly/2MV1OfE

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป

ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud #พยานหลักฐานดิจิทัล

 

DIGITAL FORENSICS:ข้อควรรู้ เมื่อถูกแฮกค์ระบบ (Digital Forensics)

DIGITAL FORENSICS:ข้อควรรู้ เมื่อถูกแฮกค์ระบบ (Digital Forensics)

14 May 2013 at 11:15
เมื่อมีการแฮกค์เกิดขึ้น ก็ถือว่ามีการละเมิดหรือมีความผิดอาญาเกิดขึ้นจากการเข้าถึงหรือก่อกวนระบบคอมพิวเตอร์หรือข้อมูลคอมพิวเตอร์โดยมิชอบ ซึ่งเป็นความผิดต่อ พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 จำเป็นต้องมีการสืบสวนสอบสวนเพื่อหาตัวผู้กระทำความผิดมาดำเนินคดี ซึ่งกระบวนการในการรวบรวมจัดเก็บหลักฐาน เพื่อนำมาวิเคราะห์และจัดทำรายงานผลการวิเคราะห์หลักฐานที่เป็นดิจิตอลนั้น เราเรียกว่าการทำ Digital Forensics อาจแปลเป็นไทยว่านิติวิทยาศาสตร์ทางดิจิตอล ซึ่งหลักสำคัญของการทำ Digital Forensics คือความน่าเชื่อถือของหลักฐานหรือวัตถุพยาน (digital evidence) ซึ่งจะมีผลมากต่อการนำไปติดสำนวนฟ้องหรือการไต่สวนพิจารณาคดีในชั้นศาล เนื่องจากเป็นหลักฐานที่มีความเปราะบางถูกแก้ไขและเปลี่ยนแปลงได้ง่าย สิ่งสำคัญที่จะช่วยยืนยันได้ว่าหลักฐานมีคุณภาพ ได้มาโดยชอบ และไม่ถูกเปลี่ยนแปลงแก้ไขระหว่างทางก่อนจะมาถึงชั้นศาลก็จะต้องพูดถึงองค์ประกอบในการทำงานกับหลักฐานที่สำคัญหลักๆ 2 เรื่องคือเรื่อง First Response และ Chain-of Custody (CoC)

1. First Response คือการเข้าดำเนินการกับหลักฐาน ณ สถานที่เกิดเหตุ ซึ่งการที่หลักฐานที่ได้มาจากสถานที่เกิดเหตุจะมีความน่าเชื่อถือและสามารถนำไปใช้ในศาลได้นั้น ต้องประกอบด้วย- บุคคลากรที่เข้าดำเนินการต้องมีความน่าเชื่อถือ กล่าวคือเป็นบุคคลที่มีอำนาจหน้าที่หรือได้รับมอบหมายจากหน่วยงานที่มีหน้าที่ให้เป็นผู้ดำเนินการ และต้องเป็นผู้ที่ได้รับการอบรมฝึกฝน มีความรู้ความเข้าใจและทักษะในการทำงานกับ digital evidence ที่ได้รับการรับรองจากสถาบันหรือหน่วยงานที่มีหน้าที่ออกใบรับรองคุณวุฒิในเรื่องดังกล่าวที่ได้รับการยอมรับ- กระบวนการดำเนินการต้องน่าเชื่อถือ โดยใช้วิธีการที่มีมาตรฐานเป็นที่ยอมรับในสากล- เครื่องมือที่ใช้ต้องน่าเชื่อถือ โดยเป็นเครื่องมือที่ผ่านการรับรองจากหน่วยงานรับรองเรื่องเครื่องมือทาง digital forensics หรือสามารถอธิบายได้ว่ามีขั้นตอนการทำงานตามขั้นตอนที่เป็นที่ยอมรับอย่างไรหากสามส่วนนี้ไม่เป็นไปตามนี้แล้วก็ยากที่จะบอกได้ว่าหลักฐานที่เก็บมานั้นมีคุณภาพ ครบถ้วนและไม่ถูกเปลี่ยนแปลงแก้ไข หรือถูก contaminate หรือไม่

2. Chain-of-Custody คือมาตรการในการควบคุมเพื่อให้สามารถตรวจสอบย้อนหลังได้ว่า ณ เวลาหนึ่งๆ มีใครเข้าถึงหรือถือครองหลัฐานไว้บ้างในแต่ละช่วงเวลา นับตั้งแต่การเก็บหลักฐานจากสถานที่เกิคเหตุ จนถูกนำไปแสดงต่อศาล ซึ่งจะมีแบบฟอร์มให้ลงนาม ระบุวันเวลา พยานและเหตุผลในการเข้าถึงหรือถือครอง เป็นต้นหาก First Response และ Chain-of-Custody กระทำอย่างไม่ถูกต้องเหมาะสมก็จะนำไปสู่ความไม่น่าเชื่อถือของหลักฐาน อาจอนุมานได้ว่าหลักฐานถูกเปลี่ยนแปลงแก้ไขหรือได้มาไม่ครบถ้วน ทำให้การวิเคราะห์และตีความจากข้อเท็จจริงที่ปรากฏในหลักฐานถูกครางแครงสงสัยได้ ว่าเป็นไปตามนั้นจริงหรือไม่ ซึ่งแน่นอนอาจส่งผลต่อการพิจารณาคดีในชั้นศาลได้ โดยเฉพาะบางคดีที่ไม่สามารถหาหลักฐานอื่นมาใช้มัดตัวได้และเหลือเพียงแต่หลักฐาน digital เท่านั้น แต่ถ้าหลักฐานดิจิตอลที่ได้มาขาดความน่าเชื่อถือ ก็อาจทำให้ไม่สามารถเอาผิดกับจำเลยได้ ทั้งนี้ก็ขึ้นอยู่กับความรู้ความสามารถของทนายฝ่ายจำเลยด้วย หากมีความรู้มากและสามารถถามจี้ประเด็นให้ศาลเห็นถึงการขาดความน่าเชื่อถือของหลักฐานได้ ก็อาจเป็นประโยชน์ต่อจำเลย

 โดย ไชยกร อภิวัฒโนกุล,
S-Generation Co.,Ltd.
https://www.facebook.com/sgenfanpage/
CISSP, CSSLP, GCFA, IRCA:ISMS

Chain of Custody and First Responders 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

Digital Forensics: Chain of Custody

Chain of custody คือ

Chain of custody คือขบวนการในการปฏิบัติงานกับพยานหลักฐาน ในกรณีของการพิสูจน์หลักฐานทางดิจิตัล (Digital Forensics) จะเริ่มตั้งแต่ขั้นตอนการเก็บหลักฐาน การควบคุมการเข้าถึง การส่งต่อ-รับมอบ ในกรณีีที่มีการปฏิบัติงานร่วมกับหน่วยงานอื่น ไปจนถึงการทำลายพยานหลักฐาน โดยในทุกขั้นตอนต้องมีการบันทึกการดำเนินงานอย่างละเอียด และมีการลงชื่อผู้รับผิดชอบเพื่อเป็นหลักฐาน ทั้งนี้เพื่อให้แน่ใจได้ว่า พยานหลักฐานทางดิจิตัลนั้น ได้รับการปฏิบัติอย่างถูกต้อง และไม่มีการเปลี่ยนแปลงหรือสูญหาย ซึ่งอาจทำให้เกิดความผิดพลาดของผลการตรวจพิสูจน์ได้ (สานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน)

การบันทึกแบบฟอร์มที่เรียกว่า “Chain of Custody” หรือ กระบวนการระบุสายความรับผิดชอบการเก็บพยานรักษาพยานหลักฐาน เริ่มตั้งแต่เมื่อพยานหลักฐานชิ้นนั้นถูกเก็บรวบรวม เพื่อสร้างความต่อเนื่องของการครอบครองพยานหลักฐาน โดยข้อมูลที่เจ้าพนักงานผู้ปฏิบัติงานในแต่ละสายงานจำเป็นต้องระบุข้อมูลติดต่อและลายมือชื่อของผู้ส่งมอบพยานหลักฐาน, เหตุผลในการับ ส่งมอบพยานหลักฐาน, วิธีการส่งมอบพยานหลักฐาน เช่น ส่งมอบโดยเจ้าหน้าที่ที่เกี่ยวข้องหรือส่งมอบโดยพนักงานส่งของ และสถานที่จัดเก็บพยานหลักฐาน เป็นต้น (สานักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน), ๒๕๖๐)

Chain of custody

Chain of custody หากแปลตรงตัวก็คือ “ห่วงโซ่การคุ้มครองพยานหลักฐาน” หมายถึงข้อมูลที่ระบุรายละเอียดของพยานหลักฐานและการส่งต่อพยานหลักฐานโดยเจ้าหน้าที่ที่รับผิดชอบ ซึ่งจะต้องมีการบันทึกไว้เริ่มตั้งแต่เมื่อพยานหลักฐานชิ้นนั้นถูกเก็บมาจากที่เกิดเหตุมาอยู่ในความครอบครองของเจ้าหน้าที่ที่เกี่ยวข้อง จนถึงเมื่อสิ้นสุดคดี ไว้ในแบบฟอร์ม Chain of custody ซึ่งจะเป็นประโยชน์หากผู้ที่เกี่ยวข้องต้องไปให้การในศาล โดยจะต้องสามารถยืนยันได้ว่า ในระหว่างการครอบครองพยานหลักฐานชิ้นนั้นได้ถูกจัดเก็บไว้ที่ไหน ได้ถูกนำไปทำอะไรบ้าง มีปัจจัยที่จะทำให้พยานหลักฐานเปลี่ยนแปลงหรือไม่ ได้ส่งต่อให้กับบุคคลอื่นหรือไม่ เมื่อวัน/เวลาใด (เรียกได้ว่า จะต้องสามารถระบุตัวตนของผู้รับผิดชอบได้ตลอดเวลาที่ครอบครองพยานหลักฐานนั่นเอง) ตัวอย่างข้อมูลที่จดบันทึกไว้ในแบบฟอร์ม Chain of custody เช่น หากเจ้าหน้าที่ตำรวจเป็นผู้จัดเก็บพยานหลักฐานจากสถานที่เกิดเหตุเอง ก็ต้องระบุชื่อ ตำแหน่ง หน่วยงาน วัน/เวลา รวมถึงข้อมูลสำหรับติดต่อให้ครบถ้วน เมื่อนำพยานหลักฐานกลับมาเก็บไว้ที่ห้องเก็บพยานหลักฐานที่สถานีตำรวจ ก็ต้องจดบันทึกสถานที่และวันเวลารวมทั้งผู้รับผิดชอบไว้ในแบบฟอร์ม หากในวันถัดไปต้องส่งพยานหลักฐานชิ้นนั้นไปให้เจ้าหน้าตรวจพิสูจน์หลักฐานดำเนินการตรวจพิสูจน์ ก็ต้องบันทึกไว้ในแบบฟอร์มว่า ณ วันเวลาใดที่พยานหลักฐานได้เคลื่อนย้ายออกจากห้องเก็บพยานหลักฐานและปัจจุบันอยู่ในความครอบครองของใคร เป็นต้น (ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย thaicert)

(Chain of custody)  คืออะไร

ความต่อเนื่องของการครอบครองรักษาวัตถุพยาน (Chain of custody)  คือลูกโซ่การครอบครองวัตถุพยานคือ การต่อเนื่องของวัตถุพยานที่มีการบันทึกเอกสารและบุคคลที่ได้ครอบครองวัตถุพยาน โดยปกติเป็นลำดับของลายมือชื่อที่แสดงการผ่านจากบุคคลหนึ่งไปยังอีกบุคคลหนึ่ง

ประกอบด้วย

      1. การจัดการ (Taking)  เป็นกระทำโดยผู้เก็บวัตถุพยาน จำแนกวัตถุพยานโดยการทำตำหนิ ระบุวันเดือนปีที่เก็บ และรายละเอียดต่างๆ

      2. การเก็บ (Keeping) เป็นพิสูจน์ให้เห็นว่าการเก็บและครอบครองวัตถุพยานได้กระทำอย่างเหมาะสม ถูกต้องตามหลักวิชาการ

      3. การขนส่ง (Transporting)  ต้องรัดกุม แสดงให้เห็นว่าไม่เกิดการสับสนกับวัตถุพยานอื่น มีการลงทะเบียนถ้าเป็นการส่งทางไปรษณีย์

      4.การส่งมอบ (Delivering)  เป็นการพิสูจน์ว่าของกลางได้ส่งมอบให้กับผู้รับอย่างถูกต้องและเหมาะสม มีหลักฐานแสดงวันเดือนปีที่รับของกลาง และมีรายชื่อผู้รับผิดชอบทุกครั้ง



ที่มา http://www.scdc5.forensic.police.go.th

ในงานนิติวิทยาศาสตร์ขั้นตอนการคุ้มครองหลักฐานเหล่านี้เรียกว่า chain of custody ซึ่งอาจจะแปลได้ว่าห่วงโซ่แห่งการคุ้มครอง  chain of custody นั้นเป็นเอกสารบันทึกกระบวนการเริ่มตั้งแต่ขั้นตอนการเก็บตัวอย่างพยานหลักฐาน การเก็บรักษาคุ้มครองหลักฐานการส่งต่อการรับมอบการนำตัวอย่างหลักฐานไปพิสูจน์ทดสอบการรายงานผลการตรวจสอบไปจนถึงขั้นตอนสุดท้ายในการทิ้งหรือทําลายตัวอย่างพยานหลักฐานเมื่อสิ้นสุดกระบวนการ

เอกสาร   chain   of   custody   นี้ควรมีทั้งเอกสารกลางซึ่งเป็นของแต่ละตัวอย่างพยานหลักฐานและเอกสารซึ่งเป็นบันทึกของแต่ละบุคคลหรือหน่วยงานที่รับผิดชอบดูแลตัวอย่างพยานหลักฐานซึ่งสามารถนํามาใช้สอบทาน (counter check) ซึ่งกันและกันได้   อาจจะเป็นเพียงเอกสารที่บุคคลหรือหน่วยงานนั้นใช้บันทึกในการปฏิบัติงานอยู่เป็นประจำเช่น worksheet, logbook หรือ form ก็ได้

แนวทางการสร้าง  chain of custody 

• ควรสร้างการบันทึกเป็นแบบมาตรฐานในแต่ละหน่วยงานเพื่อให้บุคลากรทุกคนได้นํ าไปใช้โดยที่ก่อนนำไปใช้ควรฝึกอบรมบุคลากรให้เข้าใจและสามารถบันทึกได้อย่างถูกต้องและครบถ้วน
• กําหนดบุคคลที่มีหน้าที่ในการเก็บพยานหลักฐานกําหนดผู้ที่สามารถเข้าถึงพยานหลักฐานกําหนดผู้ที่มีหน้าที่ทดสอบพยานหลักฐานควรกําหนดบุคคลที่มีหน้าที่ให้แน่ชัดและไม่ให้มีคนจํานวนมากเกินจําเป็นควรมีบุคลากรที่เกี่ยวข้องน้อยที่สุดเท่าที่เป็นไปได้-ต้องมีการบันทึกในเอกสารทุกครั้งที่มีการเข้าถึงพยานหลักฐานโดยบันทึกด้วยปากกาไม่ใช่ดินสอเนื่องจากการแก้ไขโดยการลบดินสอนั้นง่ายและตรวจสอบได้ลําบากว่ามีการแก้ไขหรื อไม่-เซ็นชื่อกำกับทุกครั้งเมื่อมีการบันทึก chain of custody 
• รายละเอียดข้อมูลใน chain of custody ต้องประกอบด้วยข้อมูลส่วนหลักฐานเก็บหลักฐานอะไรจากที่ไหนหลักฐานมีลักษณะอย่างไรข้อมูลส่วนบุคลากรใครเป็นคนเก็บเก็บเมื่อใดสถานที่ใดข้อมูลการครอบครอง/การรักษาหลักฐานเมื่อเก็บมาแล้วได้เก็บรักษาอย่างใดเมื่อมีการส่งมอบส่งมอบให้ใคร ที่ใด เมื่อไหร่ หลักฐาน ณ ขณะส่งมอบเป็นอย่างไร  จนถึงขั้นตอนสุดท้ายเมื่อจะทําการทิ้งและทําลายหลักฐานภายหลังนํามาตรวจวิเคราะห์เสร็จสิ้นและภายหลังสิ้นสุดกระบวนการยุติธรรมแล้วต้องระบุว่าหลักฐานก่อนทิ้งทําลายเป็นอย่างไรใครเป็นผู้ทําการทิ้งทําลายทําการทิ้งทําลายเมื่อใดสถานที่ไหน
• หรืออาจจะสรุปเป็น 3 ข้อมูลหลักได้แก่  Identification ,Suitable, Safety

ที่มา: นพ.ณัฐตันศรี  สวัสดิ์  นพ. ธีรโชติ จองสกุล * นพ.กรเกียรติวงศ์ ไพศาลสิน ** 

Chain of custody หรือ “ห่วงโซ่การคุ้มครองพยานหลักฐาน” คือ เอกสารแสดงลำดับการเกิดเหตุการณ์ หรือเอกสารแสดงทุกขั้นตอน ตั้งแต่การยึดเครื่องคอมพิวเตอร์ การดูแลรักษา การควบคุม การวิเคราะห์ และการจัดเก็บหลักฐานทางอิเล็กทรนิกส์ เนื่องจากหลักฐานที่พบสามารถนำไปใช้ในยืนยันได้ในชั้นศาล หลักฐานเหล่านี้จึงจะต้องได้รับการจัดการอย่างระมัดระวัง และรอบคอบเพื่อหลีกเลี่ยงข้อกล่าวหาว่าเป็นหลักฐานที่ปลอมหรือทำขึ้นมาและไม่มีการเปลียนแปลงหรือสูญหาย
ที่มา orionforensics

ห่วงโซ่การคุ้มครองพยานหลักฐาน

ตัวอย่างแบบฟอร์ม  Chain of Custody

ได้แก่ ข้อมูลติดต่อและลายมือชื่อของผู้ส่งมอบพยานหลักฐาน, ข้อมูลติดต่อ และ ลายมือชื่อของผู้รับมอบพยานหลักฐาน, วันที่และเวลาในการรับ-ส่งมอบพยานหลักฐาน, เหตุผลใน การรับ-ส่งมอบพยานหลักฐาน, วิธีการส่งมอบพยานหลักฐาน เช่น ส่งมอบโดยเจ้าหน้าที่ที่เกี่ยวข้อง หรือส่งมอบโดยพนักงานส่งของ และสถานที่จัดเก็บพยานหลักฐาน เป็นต้น

ตัวอย่างแบบฟอร์ม  Chain of Custody

Credit : ภาคผนวก ก. ตัวอย่างแบบฟอร์ม  Chain of Custody ข้อเสนอแนะมาตราฐานการจัดการอุปกรณ์ดิจิทัลในงานตรวจพิสูจน์หลักฐาน Version 1.0

ข้อมูลที่ต้องระบุใน แบบฟอร์ม Chain of Custody ได้แก่

1. ข้อมูลการติดต่อและลายมือชื่อของผู้ส่งมอบหลักฐาน
2. ข้อมูลการติดต่อและลายมือชื่อของผู้รับมอบหลักฐาน
3. วันที่และเวลาในการรับและส่งมอบหลักฐาน
4. เหตุผลในการรับและส่งมอบหลักฐาน
5. วิธีการส่งมอบหล้ักฐาน เช่น ส่งมอบโดยเจ้าหน้าที่ที่เกี่ยวข้อง หรือส่งมอบโดยพนักงานส่งของเป็นต้น
6. สถานที่จัดเก็บหลักฐาน
7. รายละเอียดที่เกี่ยวกับหลักฐาน เช่น ประเภท ยี่ห้อ รุ่น สี Serial number และสภาพ เป็นต้น

ตัวอย่างหนังสือแสดงการยึดหรืออายัดระบบคอมพิวเตอร์  Download

อาศัยอํานาจตามความในมาตรา  ๔  และมาตรา  ๑๙  วรรคหก  แห่งพระราชบัญญัติว่าด้วยการ กระทําความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.  ๒๕๕๐ 

แบบหนังสือแสดงการยึดหรืออายัดระบบคอมพิวเตอร์

แบบหนังสือแสดงการยึดหรืออายัดระบบคอมพิวเตอร์

แบบหนังสือแสดงการยึดหรืออายัดระบบคอมพิวเตอร์

Single Evidence Form

Multi-Evidence Form

Reference:

https://www.thaicert.or.th/papers/general/2013/pa2013ge012.html

https://www.etda.or.th/terminology-detail/1743.html 

 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics

#digitalforensics #investigation #cybercrime #fraud #ห่วงโซ่การคุ้มครองพยานหลักฐาน