Digital Forensics: การตรวจพิสูจน์พยานหลักฐานดิจิทัล
การตรวจพิสูจน์พยานหลักฐานดิจิทัลของปอท.
พ.ต.ท.สันติพัฒน์ พรหมะจุล จากกองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี (ปอท.) กล่าวถึงการปฏิบัติงานตรวจและพิสูจน์พยานหลักฐานดิจิทัลของ ปอท. ว่า
- ในการตรวจยึดพยานหลักฐานดิจิทัลกรณีที่เป็นเครื่องคอมพิวเตอร์
หากเครื่องเปิดอยู่เจ้าหน้าที่จะถ่ายภาพหน้าจอเก็บไว้
ส่วนกรณีที่ต้องการเก็บข้อมูลที่ใช้ในการประมวลผล (volatile data หรือ
volatile memory
ซึ่งเป็นข้อมูลที่สามารถสูญหายไปทันทีที่ปิดเครื่องคอมพิวเตอร์ อาทิ
ข้อมูลที่บันทึกในแรม)
เจ้าหน้าที่ต้องใส่ซอฟต์แวร์เข้าไปในคอมพิวเตอร์ของผู้ต้องสงสัย
แต่หากผู้ต้องสงสัยไม่ยอมเนื่องจากกลัวว่าอุปกรณ์ที่บรรจุซอฟต์แวร์จะนำข้อมูลอื่นเข้าไปในคอมพิวเตอร์ของตน
เจ้าหน้าที่ก็จะไม่ทำ
เพราะผู้ต้องสงสัยอาจหยิบยกการกระทำดังกล่าวมาเป็นข้อต่อสู้ในศาลได้
- ในกรณีที่พบพยานหลักฐานปรากฎบนหน้าจอ เจ้าหน้าที่จะถ่ายภาพหน้าจอแล้วพิมพ์ออกมาเมื่อให้ผู้ต้องสงสัยเซ็นชื่อรับรอง
- ในการตรวจยึดสมาร์ตโฟนและแท็บเล็ตที่มีรหัสป้องกัน
เจ้าหน้าที่จะปลดรหัสโดยถามรหัสจากเจ้าของอุปกรณ์ โดย พ.ร.บ.คอมพิวเตอร์
2550 ได้ให้อำนาจเจ้าหน้าที่ในการสั่งให้ผู้ต้องสงสัยบอกรหัสผ่าน
แต่ในการปฏิบัติงานที่ผ่านมา
พนักงานเจ้าหน้าที่ยังไม่เคยใช้อำนาจตามข้อกฎหมายดังกล่าว
แต่จะใช้วิธีการกดดัน พูดเกลี้ยกล่อม
หรือวิธีการอื่นร่วมด้วยในการทำให้ผู้ต้องสงสัยยอมบอกรหัสผ่าน
 |
| Enter Password |
- เมื่อปลดรหัสได้แล้ว เจ้าหน้าที่จะปรับอุปกรณ์ให้เป็นโหมดการบิน
(flight mode) เพื่อป้องกันไม่ให้อุปกรณ์ติดต่อกับเครือข่ายคอมพิวเตอร์
เพื่อไม่ให้เกิดการเปลี่ยนแปลงในพยานหลักฐานดิจิทัล
จากนั้นจะบรรจุอุปกรณ์ลงในถุงฟาราเดย์ (Faraday Bag)
ซึ่งเป็นถุงที่ป้องกันคลื่นแม่เหล็กไฟฟ้า แต่เนื่องจากถุงดังกล่าวมีราคาแพง
บางครั้งเจ้าหน้าที่จึงห่ออุปกรณ์ด้วยกระดาษตะกั่วหรือแผ่นฟอยล์หลายชั้น
พ.ต.ท.สันติพัฒน์ยอมรับว่า
บางครั้งการห่อดาษตะกั่วหรือแผ่นฟอยล์ก็ไม่สามารถรักษาสภาพพยานหลักฐานดิจิทัลไม่ให้เปลี่ยนแปลงได้ดีเหมือนถุงฟาราเดย์
ในการยึดพยานหลักฐานนี้ เจ้าหน้าที่จะยึดสายสัญญาณที่แปลงไฟฟ้าของเครื่องมาด้วย
 |
| (Faraday Bag) |
- เมื่อยึดอุปกรณ์ดิจิทัลมาจากผู้ต้องสงสัยได้แล้ว
สิ่งที่เจ้าหน้าที่ตรวจพิสูจน์พยานหลักฐานดิจิทัลจะทำคือการทำสำเนาข้อมูล
และยืนยันความถูกต้องของต้นฉบับและสำเนาด้วยการเปรียบเทียบค่าแฮช (hash)
ซึ่งค่าแฮชเป็นตัวทำให้มั่นใจว่าจะไม่มีการ “ยัดยา”
หรือการที่เจ้าหน้าที่แอบใส่ข้อมูลผิดกฎหมายลงไปในอุปกรณ์ของผู้ต้องสงสัย อย่างไรก็ตาม
ที่ผ่านมายังไม่มีคดีใดที่ศาลขอให้มีการเปรียบเทียบค่าแฮชระหว่างต้นฉบับและสำเนา
 |
การตรวจพิสูจน์พยานหลักฐานดิจิทัล
|
 |
| การทำสำเนาข้อมูล |
พ.ต.ท.สันติพัฒน์กล่าวต่อว่า ในการรวบรวมพยานหลักฐานในสถานที่เกิดเหตุ
นอกจากหลักฐานดิจิทัลแล้ว พยานหลักฐานอื่นเช่น
ลายนิ้วมือบนเครื่องคอมพิวเตอร์โน้ตบุ๊กก็เป็นสิ่งที่ไม่ควรมองข้าม
ส่วนข้อมูลการกระทำผิดที่อยู่ในคลาวด์ (cloud)
นั้น บ่อยครั้งที่เจ้าหน้าที่ไม่พบข้อมูลการกระทำผิดในอุปกรณ์ผู้ต้องสงสัย
เพราะข้อมูลเหล่านั้นอยู่ในคลาวด์ นอกจากนี้
ผู้เผยแพร่ภาพลามกเด็กยังมักใช้วิธีเผยแพร่ภาพเหล่านี้ด้วยวิธีการแจกบัญชีผู้ใช้
(account) เพื่อให้คนอื่นเข้าไปดูได้
การทำแบบนี้เป็นการยากต่อการสืบสวนของเจ้าหน้าที่
เนื่องจากเจ้าหน้าที่ไม่สามารถทราบได้ว่าใครเป็นผู้อัปโหลดข้อมูลเข้าไปในคลาวด์
และหลายครั้ง เมื่อมีผู้กระทำผิดคนหนึ่งถูกจับ คนอื่นๆ
ที่ใช้ชื่อบัญชีเดียวกันก็จะเข้าไปลบข้อมูลบนคลาวด์ออก
 |
ลายนิ้วมือบนเครื่องคอมพิวเตอร์โน้ตบุ๊ก
|
พ.ต.ท.สันติพัฒน์กล่าวถึงความท้าทายในการทำงานของเจ้าหน้าที่ว่า
คือการพิสูจน์ว่าผู้ใดเป็นผู้ใช้อุปกรณ์ซึ่งเป็นอุปกรณ์ที่ใช้กระทำความผิด
ยังมีความท้าทายจากการที่ผู้กระทำผิดเก็บข้อมูลการกระทำผิดไว้บนคลาวด์
มีอุปสรรคจากการเข้ารหัสอุปกรณ์
และความท้าทายจากการปฏิบัติงานให้ทันกับเวลา โดยพ.ร.บ.คอมพิวเตอร์ 2550
ที่บังคับให้ผู้ให้บริการต้องเก็บข้อมูลของผู้ใช้ไว้ 90 วันนั้น
ในบางครั้งเจ้าหน้าที่ก็ไม่สามารถปฏิบัติงานได้ทันกับระยะเวลาดังกล่าว
ที่มา:
เครือข่ายพลเมืองเน็ต บรรยายสาธารณะว่าด้วยหลักฐานทางอิเล็กทรอนิกส์และการตรวจพิสูจน์พยานหลักฐานทางดิจิทัล ครั้งที่ 3 ในหัวข้อ “พยานหลักฐานอิเล็กทรอนิกส์ในรัฐ” ณ คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ ท่าพระจันทร์ 2015.10.27 17:32
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น
* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ
#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud #การตรวจพิสูจน์พยานหลักฐานดิจิทัล
