Tuesday, February 26, 2019

Digital Forensics: กรณีศึกษา คดีความผิดเกี่ยวกับคอมพิวเตอร์

Digital Forensics: กรณีศึกษา คดีความผิดเกี่ยวกับคอมพิวเตอร์ 

Digital Forensics: Case Study

ข้อเท็จจริงปรากฏว่า รองผู้จัดการฝ่ายขาย พอรู้ว่าถูกให้ออก ก็เข้าบริษัทไปลบข้อมูลคอมพิวเตอร์ ในเครื่องคอมพิวเตอร์ของบริษัท 

ฝ่าย IT ก็เอา hard disk ไปกู้ ระหว่างการกู้ข้อมูล ปรากฏว่า เจ้าหน้าที่ฝ่าย IT คนหนึ่ง เป็นแฟนของทีมฝ่ายขายที่ถูกไล่ออก เลยไปดึงเอา hard disk ออกจากคอมพิวเตอร์ที่กำลังคัดลอกข้อมูล ทำให้การกู้ข้อมูลล้มเหลวครับ 

พนักงานอัยการ สั่งฟ้อง รอง ผจก.ฝ่ายขาย ตาม พรบ.คอมพิวเตอร์ ม.9 (ผู้ใดทำให้เสียหาย ทำลาย แก้ไข เปลี่ยนแปลง หรือเพิ่มเติมไม่ว่าทั้งหมดหรือบางส่วน ซึ่งข้อมูลคอมพิวเตอร์ของผู้อื่นโดยมิชอบ ...) และสั่งฟ้อง เจ้าหน้าที่ฝ่าย IT ตาม พรบ.คอมพิวเตอร์ ม.9 และ 10 (ผู้ใดกระทำด้วยประการใดโดยมิชอบ เพื่อให้การทำงานของระบบคอมพิวเตอร์ของผู้อื่นถูกระงับ ชะลอ ขัดขวาง หรือรบกวน จนไม่สามารถทำงานตามปกติได้...)

ประเด็นน่าสนใจตรงที่ การที่เจ้าหน้าที่ฝ่าย IT ไปดึงเอา hard disk ออกจากคอมพิวเตอร์ที่กำลังคัดลอกข้อมูล ทำให้การกู้ข้อมูลล้มเหลวนั้น เป็นการทำให้เสียหาย ทำลายข้อมูล ที่ถูกทำลายโดยรอง ผจก.ฝ่ายขาย ไปแล้วได้ด้วยหรือ

การลบข้อมูลคอมพิวเตอร์ จะมีผลอย่างไร สามารถกู้ข้อมูลคืนได้หรือไม่ ขึ้นอยู่กับวัสดุที่บันทึกข้อมูล และวิธีการลบครับ


กรณี hard disk ปกติ แบบจานหมุนแม่เหล็ก ในคดีนี้ ถ้าลบข้อมูลด้วย คำสั่ง Delete หรือ ลากไปใส่ในถังขยะ recycle bin หรือสั่ง Empty ลบใน recycle bin อีกครั้งก็ตาม กรณีนี้ ยังสามารถกู้ข้อมูลได้ โดยมีเงื่อนไขว่า ยังไม่มีข้อมูลใหม่ ไปเขียนทับข้อมูล บนพื้นที่เดิมที่บันทึกข้อมูลไว้ครับ

ดังนั้น แม้รอง ผจก.ฝ่ายขาย สั่งลบข้อมูลคอมพิวเตอร์ ทำให้ข้อมูลคอมพิวเตอร์ ไม่สามารถเปิดใช้งานได้ตามปกติ ถือเป็นความผิดตาม พรบ.คอมพิวเตอร์ฯ มาตรา 9 แล้ว
ขณะนั้นข้อมูลที่ยังมีอยู่ สามารถกู้คืนได้ การที่เจ้าหน้าที่ฝ่าย IT ไปดึงเอา hard disk ออกจากคอมพิวเตอร์ที่กำลังคัดลอกข้อมูล ทำให้การกู้ข้อมูลล้มเหลว ถือเป็นทำให้เสียหาย ทำลายข้อมูลคอมพิวเตอร์ อีกวิธีการหนึ่งได้ด้วยครับ

ประเด็นน่าสนใจอีกประเด็นหนึ่งคือ อุปกรณ์บันทึกข้อมูล (Hard disk หรือจานบันทึกแบบแข็ง) ในขณะเชื่อมต่อกับคอมพิวเตอร์ เพื่อทำการกู้ข้อมูล ถือเป็นอุปกรณ์ที่เชื่อมการทำงานเข้าด้วยกันฯ จึงเป็นส่วนหนึ่งของระบบคอมพิวเตอร์ ตาม พรบ.คอมพิวเตอร์ฯ มาตรา 3

พรบ.คอมพิวเตอร์ฯ มาตรา 3
"ระบบคอมพิวเตอร์" หมายความว่า อุปกรณ์หรือชุดอุปกรณ์ของคอมพิวเตอร์ที่เชื่อมการทำงานเข้าด้วยกัน โดยได้มีการกำหนดคำสั่ง ชุดคำสั่ง หรือสิ่งอื่นใด และแนวทางปฏิบัติงานให้อุปกรณ์หรือชุดอุปกรณ์ทำหน้าที่ประมวลผลข้อมูลโดยอัตโนมัติ
ที่มา: https://bit.ly/2MQPOXL

การถอดออกขณะที่ระบบคอมพิวเตอร์ทำงานอยู่ ถือเป็นการกระทำโดยมิชอบ เพื่อให้การทำงานของระบบคอมพิวเตอร์ของผู้อื่น ถูกระงับ ฯลฯ จนไม่สามารถทำงานตามปกติได้ เป็นความผิดตาม พรบ.คอมพิวเตอร์ฯ มาตรา 10 ด้วยครับ
คำฟ้อง พรบ.คอมพิวเตอร์ มาตรา 9 ลบข้อมูล

คำฟ้อง พรบ.คอมพิวเตอร์ มาตรา 9 และ 10 ดึงอาร์ดดิสขณะกู้ข้อมูล

ที่มา: Pakorn Dharmaroj
ท่านปกรณ์ ธรรมโรจน์ สำนักงานอัยการสูงสุด

 เพิ่มเติม:
ศูนย์เทคโนโลยีสารสนเทศและการสื่อสาร กลุ่มคอมพิวเตอร์และระบบเครือข่าย
ที่มา: facebook วิธิวัฒน์ เลิศชัยมงคล ขออธิบายเสริมเกี่ยวกับการลบข้อมูลโดยการ คำสั่ง Delete หรือ ลากไปใส่ในถังขยะ recycle bin หรือสั่ง Empty ลบใน recycle bin
  • ทางเทคนิค ตัวเก็บข้อมูลในคอมพิวเตอร์มีส่วนสำคัญที่เกี่ยวข้องกับการเก็บข้อมูลดังนี้ครับ เวลาคอมพิวเตอร์จะทำการเก็บข้อมูล คอมพิวเตอร์จะทำการเก็บข้อมูลเป็นบล็อกๆ เช่น หากเราจะเก็บไฟล์ที่ชื่อ a.doc สมมุติว่ามีขนาด 1.2 เม็ก แต่ระบบการจัดเก็บเก็บข้อมูล บล็อกละ 0.5 เม็ก คอมพิวเตอร์จึงต้องใช้ 3 บล็อกในการจัดเก็บ โดยปกติข้อมูลที่เก็บมักจะไม่เรียงบล๊อกกัน เช่น ข้อมูล a.doc อาจจะอยู่ที่บล็อก 1 3 10 เป็นต้น โดยเนื้อที่ส่วนหนึ่งตัวเก็บข้อมูล( harddisk )จะมีการสร้างตารางระบุสถานที่เก็บข้อมูลไฟล์(index table) บอกว่า หากต้องการไฟล์ที่ชื่อ a.doc ให้ไปเริ่มต้นที่บล็อก 1 ->3 ->10 ดังนั้นเวลาที่ทำการ delete หรือลากไปใส่ในถังขยะ recycle bin หรือสั่ง Empty ลบใน recycle bin แบบปกติ จะทำการลบข้อมูลในส่วนตารางระบุสถานที่เก็บข้อมูลไฟล์( index table) เท่านั้น แต่ข้อมูลจริงๆก็ยังคงอยู่ในบล็อก 1 3 10 หาก ซึ่งหากไม่มีการเขียนทับข้อมูลดังกล่าวก็ยังคงสามารถกู้ข้อมูลได้ / ดังนั้นจะสังเกตเห็นว่า การลบข้อมูลที่มีจำนวนขนาดใหญ่ไฟล์เดียว จะลบเร็วกว่าข้อมูลที่มีขนาดเท่ากันแต่มีหลายไฟล์ เพราะการลบข้อมูลหากเป็นไฟล์ใหญ่ไฟล์เดียวก็จะทำการลบตัวชี้ข้อมูล (index)เพียงตัวเดียว แต่กรณีลบข้อมูลหลายไฟล์ก็จะทำการลบตัวชี้ข้อมูลหลายตัว
แม้ว่าการลบแบบคำสั่ง Delete หรือ ลากไปใส่ในถังขยะ recycle bin หรือสั่ง Empty ลบใน recycle bin แม้จะกู้ข้อมูลขึ้นมาได้ก็ตาม แต่การเรียกใช้งานข้อมูลนั้นจำเป็นจะต้องมีข้อมูลในส่วนของตารางระบุสถานที่เก็บข้อมูลไฟล์(index table)ด้วย ดังนั้นเมื่อทำการลบแบบปกติก็ย่อมเป็นการทำให้เสียหาย ทำลายข้อมูลคอมพิวเตอร์แล้ว




 A sector is a physical spot on a formatted disk that holds information. When a disk is formatted, tracks are defined (concentric rings from inside to the outside of the disk platter. Each track is divided into a slice, which is a sector. On hard drives and floppies, each sector can hold 512 bytes of data.
A block, on the other hand, is a group of sectors that the operating system can address (point to). A block might be one sector, or it might be several sectors (2,4,8, or even 16). The bigger the drive, the more sectors that a block will hold.

https://bit.ly/2Sp4cIF

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

No comments:

Post a Comment

Digital Forensics:CDIC2024

Digital Forensics:CDIC2024    งานสัมมนาประจำปีด้านความมั่นคงปลอดภัยไซเบอร์  27-28 พฤศจิกายน 2567 ณ Grand Hall ไบเทค บางนา วันนี้แอดแวะมางาน ...