Saturday, October 31, 2015

Digital Forensics: การตรวจพิสูจน์พยานหลักฐานดิจิทัล

Digital Forensics: การตรวจพิสูจน์พยานหลักฐานดิจิทัล

การตรวจพิสูจน์พยานหลักฐานดิจิทัลของปอท.

พ.ต.ท.สันติพัฒน์ พรหมะจุล จากกองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี (ปอท.) กล่าวถึงการปฏิบัติงานตรวจและพิสูจน์พยานหลักฐานดิจิทัลของ ปอท. ว่า

  • ในการตรวจยึดพยานหลักฐานดิจิทัลกรณีที่เป็นเครื่องคอมพิวเตอร์ หากเครื่องเปิดอยู่เจ้าหน้าที่จะถ่ายภาพหน้าจอเก็บไว้ ส่วนกรณีที่ต้องการเก็บข้อมูลที่ใช้ในการประมวลผล (volatile data หรือ volatile memory ซึ่งเป็นข้อมูลที่สามารถสูญหายไปทันทีที่ปิดเครื่องคอมพิวเตอร์ อาทิ ข้อมูลที่บันทึกในแรม) เจ้าหน้าที่ต้องใส่ซอฟต์แวร์เข้าไปในคอมพิวเตอร์ของผู้ต้องสงสัย แต่หากผู้ต้องสงสัยไม่ยอมเนื่องจากกลัวว่าอุปกรณ์ที่บรรจุซอฟต์แวร์จะนำข้อมูลอื่นเข้าไปในคอมพิวเตอร์ของตน เจ้าหน้าที่ก็จะไม่ทำ เพราะผู้ต้องสงสัยอาจหยิบยกการกระทำดังกล่าวมาเป็นข้อต่อสู้ในศาลได้
  • ในกรณีที่พบพยานหลักฐานปรากฎบนหน้าจอ เจ้าหน้าที่จะถ่ายภาพหน้าจอแล้วพิมพ์ออกมาเมื่อให้ผู้ต้องสงสัยเซ็นชื่อรับรอง
  • ในการตรวจยึดสมาร์ตโฟนและแท็บเล็ตที่มีรหัสป้องกัน เจ้าหน้าที่จะปลดรหัสโดยถามรหัสจากเจ้าของอุปกรณ์ โดย พ.ร.บ.คอมพิวเตอร์ 2550  ได้ให้อำนาจเจ้าหน้าที่ในการสั่งให้ผู้ต้องสงสัยบอกรหัสผ่าน แต่ในการปฏิบัติงานที่ผ่านมา พนักงานเจ้าหน้าที่ยังไม่เคยใช้อำนาจตามข้อกฎหมายดังกล่าว แต่จะใช้วิธีการกดดัน พูดเกลี้ยกล่อม หรือวิธีการอื่นร่วมด้วยในการทำให้ผู้ต้องสงสัยยอมบอกรหัสผ่าน
Enter Password
  • เมื่อปลดรหัสได้แล้ว เจ้าหน้าที่จะปรับอุปกรณ์ให้เป็นโหมดการบิน (flight mode) เพื่อป้องกันไม่ให้อุปกรณ์ติดต่อกับเครือข่ายคอมพิวเตอร์ เพื่อไม่ให้เกิดการเปลี่ยนแปลงในพยานหลักฐานดิจิทัล จากนั้นจะบรรจุอุปกรณ์ลงในถุงฟาราเดย์ (Faraday Bag) ซึ่งเป็นถุงที่ป้องกันคลื่นแม่เหล็กไฟฟ้า แต่เนื่องจากถุงดังกล่าวมีราคาแพง บางครั้งเจ้าหน้าที่จึงห่ออุปกรณ์ด้วยกระดาษตะกั่วหรือแผ่นฟอยล์หลายชั้น พ.ต.ท.สันติพัฒน์ยอมรับว่า บางครั้งการห่อดาษตะกั่วหรือแผ่นฟอยล์ก็ไม่สามารถรักษาสภาพพยานหลักฐานดิจิทัลไม่ให้เปลี่ยนแปลงได้ดีเหมือนถุงฟาราเดย์ ในการยึดพยานหลักฐานนี้ เจ้าหน้าที่จะยึดสายสัญญาณที่แปลงไฟฟ้าของเครื่องมาด้วย 
(Faraday Bag)
  • เมื่อยึดอุปกรณ์ดิจิทัลมาจากผู้ต้องสงสัยได้แล้ว สิ่งที่เจ้าหน้าที่ตรวจพิสูจน์พยานหลักฐานดิจิทัลจะทำคือการทำสำเนาข้อมูล และยืนยันความถูกต้องของต้นฉบับและสำเนาด้วยการเปรียบเทียบค่าแฮช (hash) ซึ่งค่าแฮชเป็นตัวทำให้มั่นใจว่าจะไม่มีการ “ยัดยา” หรือการที่เจ้าหน้าที่แอบใส่ข้อมูลผิดกฎหมายลงไปในอุปกรณ์ของผู้ต้องสงสัย อย่างไรก็ตาม ที่ผ่านมายังไม่มีคดีใดที่ศาลขอให้มีการเปรียบเทียบค่าแฮชระหว่างต้นฉบับและสำเนา

การตรวจพิสูจน์พยานหลักฐานดิจิทัล

การทำสำเนาข้อมูล

พ.ต.ท.สันติพัฒน์กล่าวต่อว่า ในการรวบรวมพยานหลักฐานในสถานที่เกิดเหตุ นอกจากหลักฐานดิจิทัลแล้ว พยานหลักฐานอื่นเช่น ลายนิ้วมือบนเครื่องคอมพิวเตอร์โน้ตบุ๊กก็เป็นสิ่งที่ไม่ควรมองข้าม
ส่วนข้อมูลการกระทำผิดที่อยู่ในคลาวด์ (cloud) นั้น บ่อยครั้งที่เจ้าหน้าที่ไม่พบข้อมูลการกระทำผิดในอุปกรณ์ผู้ต้องสงสัย เพราะข้อมูลเหล่านั้นอยู่ในคลาวด์ นอกจากนี้ ผู้เผยแพร่ภาพลามกเด็กยังมักใช้วิธีเผยแพร่ภาพเหล่านี้ด้วยวิธีการแจกบัญชีผู้ใช้ (account) เพื่อให้คนอื่นเข้าไปดูได้ การทำแบบนี้เป็นการยากต่อการสืบสวนของเจ้าหน้าที่ เนื่องจากเจ้าหน้าที่ไม่สามารถทราบได้ว่าใครเป็นผู้อัปโหลดข้อมูลเข้าไปในคลาวด์ และหลายครั้ง เมื่อมีผู้กระทำผิดคนหนึ่งถูกจับ คนอื่นๆ ที่ใช้ชื่อบัญชีเดียวกันก็จะเข้าไปลบข้อมูลบนคลาวด์ออก
Forensic

ลายนิ้วมือบนเครื่องคอมพิวเตอร์โน้ตบุ๊ก

พ.ต.ท.สันติพัฒน์กล่าวถึงความท้าทายในการทำงานของเจ้าหน้าที่ว่า คือการพิสูจน์ว่าผู้ใดเป็นผู้ใช้อุปกรณ์ซึ่งเป็นอุปกรณ์ที่ใช้กระทำความผิด ยังมีความท้าทายจากการที่ผู้กระทำผิดเก็บข้อมูลการกระทำผิดไว้บนคลาวด์ มีอุปสรรคจากการเข้ารหัสอุปกรณ์ และความท้าทายจากการปฏิบัติงานให้ทันกับเวลา โดยพ.ร.บ.คอมพิวเตอร์ 2550 ที่บังคับให้ผู้ให้บริการต้องเก็บข้อมูลของผู้ใช้ไว้ 90 วันนั้น ในบางครั้งเจ้าหน้าที่ก็ไม่สามารถปฏิบัติงานได้ทันกับระยะเวลาดังกล่าว

ที่มา:
เครือข่ายพลเมืองเน็ต  บรรยายสาธารณะว่าด้วยหลักฐานทางอิเล็กทรอนิกส์และการตรวจพิสูจน์พยานหลักฐานทางดิจิทัล ครั้งที่ 3 ในหัวข้อ “พยานหลักฐานอิเล็กทรอนิกส์ในรัฐ” ณ คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ ท่าพระจันทร์ 2015.10.27 17:32
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ


#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #การตรวจพิสูจน์พยานหลักฐานดิจิทัล

Digital Forensics:WhatsMyName (OSINT)

Digital Forensics:WhatsMyName (OSINT) Welcome to WhatsMyName This tool allows you to enumerate usernames across many websites How to use: 1....