Monday, June 10, 2019

DIGITAL FORENSICS: การสืบพยานข้อมูลที่ซ่อนอยู่ในโทรศัพท์มือถือและคอมพิวเตอร์

DIGITAL FORENSICS: การสืบพยานข้อมูลที่ซ่อนอยู่ในโทรศัพท์มือถือและคอมพิวเตอร์

ขออนุญาตแชร์  ท่านอาจารย์. ดร.ธีร์รัฐ ไชยอัคราวัชร์


“การสืบพยานข้อมูลที่ซ่อนอยู่ในโทรศัพท์มือถือและคอมพิวเตอร์” (repost)
ข้อเขียนนี้น่าจะเป็นประโยชน์ ต่อทนายความ และประชาชนที่ยังไม่รู้นะครับ..

#ข้อมูลคอมพิวเตอร์คืออะไร..

ข้อมูลคอมพิวเตอร์นี้..บางทีเรียกว่า ข้อมูลอิเล็คทรอนิกส์ .. บางทีก็เรียกว่า..ข้อมูลดิจิตัล.. เป็นข้อมูลที่เกิดจากการทำงานของระบบคอมพิวเตอร์..
ในส่วนของโทรศัพท์มือถือนั้น ปัจจุบันเป็นระบบดิจิตัลหมดแล้ว.. โทรศัพท์มือถือ จึงเป็นระบบคอมพิวเตอร์ตามความหมายนี้ด้วย..
ข้อมูลคอมพิวเตอร์ หมายถึง ข้อมูลไฟล์ดิจิตัล.. ที่เป็นเสียง.. เป็นรูปภาพ.. เป็นคลิปวีดิโอ.. เป็นข้อความอักษร..เป็นข้อมูลการติดต่อสื่อสารภายในระบบ..

#ข้อมูลคอมพิวเตอร์แบ่งออกเป็นสองประเภท..ได้แก่..

ข้อมูลที่มองเห็นได้ด้วยตาเปล่า.. กับข้อมูลที่มองไม่เห็นด้วยตาเปล่า เพราะถูกลบ หรือซ่อนอยู่..
1. ข้อมูลที่มองเห็นได้ด้วยตาเปล่า ก็เช่น ข้อความสนทนา.. หรือรูปถ่าย..ในไลน์ ในเฟส ในเพจ .. หมายเลขโทรเข้าออก.. รายชื่อเพื่อนในเฟส ..รายชื่อเพื่อนในอีเมลล์..เป็นต้น
2. ข้อมูลที่มองไม่เห็นด้วยตาเปล่า ก็เช่น ข้อมูลการเข้าเวปไซต์.. ข้อมูลการติดต่อสื่อสารของโทรศัพท์กับผู้ให้บริการเครือข่าย.. ข้อมูลรูปภาพที่ซ่อนไว้.. ข้อมูลที่ลบหรือฟอร์แมทฮาร์ดดิสไปแล้ว.. หรือไฟล์เสียงสนทนาทางโทรศัพท์ที่เราไม่ได้ตั้งใจบันทึกไว้ แต่ระบบบันทึกไว้เอง เป็นต้น
ข้อมูลที่มองไม่เห็นนี้ ถ้าเป็นข้อมูลติดต่อสื่อสาร (กฎหมายใช้คำว่า ข้อมูลจราจร) ซึ่งอยู่ในเซิร์ฟเวอร์ ของผู้ให้บริการเชื่อมต่อเครือข่าย (ISP) ..หรืออยู่ที่เสาส่งสัญญาณโทรศัพท์ (cellsite) .. เจ้าหน้าที่จะต้องร้องขอหรือเรียกให้ ISP ส่งมาให้..
แต่ถ้าเป็นข้อมูลที่อยู่ใน hardisk ของเครื่องคอมพิวเตอร์ หรือหน่วยความจำของโทรศัพท์มือถือเอง.. เจ้าหน้าที่ผู้เชี่ยวชาญต้องใช้โปรแกรมพิเศษในการช่วยค้นหาตรวจสอบ..
พยานหลักฐานที่ผมจะเล่าให้ฟังต่อไปในข้อเขียนนี้ ..จะหมายถึง พยานที่เป็นข้อมูลที่มองไม่เห็นด้วยตาเปล่าเท่านั้นนะครับ..

#ผู้เชี่ยวชาญที่ตรวจสอบคอมพิวเตอร์คือใคร..

คำว่าผู้เชี่ยวชาญนี้.. ไม่ใช่ผู้มีความรู้ทางคอมพิวเตอร์ ที่สามารถซ่อมเครื่องได้ตามร้านค้า หรือผู้ดูแลระบบคอมฯตามบริษัทนะครับ..
แต่หมายถึง เจ้าพนักงานตำรวจที่มีหน้าที่โดยตรง (กองพิสูจน์หลักฐาน) หรือพนักงานเจ้าหน้าที่ฝ่ายสืบสวนสอบสวน (สถาบันนิติวิทย์ฯ, กระทรวงดิจิตัล) เป็นต้น

#โปรแกรมที่ใช้สำหรับตรวจสอบคอมพิวเตอร์คืออะไร

เครื่องมือ โปรแกรมและอุปกรณ์ที่ใช้ตรวจสอบคอมพิวเตอร์และโทรศัพท์มือถือ เป็น software ชนิดหนึ่งที่ใช้สำหรับตรวจพิสูจน์พยานหลักฐานคอมพิวเตอร์ (computer forensic) โดยเฉพาะ เป็นของต่างประเทศครับ..
ไม่มีขายตามท้องตลาด.. เพราะเขาจะขายให้กับหน่วยงานของรัฐที่มีหน้าที่สืบสวนสอบสวนปราบปรามการกระทำผิดเท่านั้น..
เครื่องมือที่เจ้าหน้าที่ใช้กู้ข้อมูล หรือดึงข้อมูลต่างๆขึ้นมาใหม่.. คือ ซอฟท์แวร์.. ชื่อ Encase (เอ็น-เคส) และ FTK ...
แต่ที่ได้รับความนิยมมาก คือ “Encase” ..
Encase

#ความสามารถของโปรแกรมตรวจพิสูจน์คอมพิวเตอร์..

ข้อมูลการกระทำผิดที่มองไม่เห็นนี้.. บางทีผู้กระทำผิดซ่อนไฟล์ไว้..ใส่รหัส.. จงใจลบเพื่อทำลายหลักฐาน.. หรือระบบอาจลบเองจากการบันทึกวนทับไปแล้ว..(เช่น cctv) ..
แต่ Encase หรือ FTK สามารถค้นหาข้อมูลที่ถูกซ่อน.. ถูกเปลี่ยนแปลง.. ถูกแก้ไข.. ถูกเข้ารหัส.. ถูกลบ.. หรือถูกฟอร์แมทเครื่องไป ขึ้นมาดูใหม่ได้อีก..

#ความสำคัญของพยานผู้ตรวจพิสูจน์..

ข้อมูลที่ได้จากการตรวจพิสูจน์ จะปรากฎในรายงานการตรวจพิสูจน์ ซึ่งโดยทั่วไป จะมีผู้ตรวจพิสูจน์มาเบิกความประกอบ ..เป็นพยานผู้เชี่ยวชาญ (พยานโจทก์) ..
พยานผู้เชี่ยวชาญ เป็นผู้ตรวจพิสูจน์พยานหลักฐานที่มีความรู้มากที่สุด.. มีความใกล้ชิด..และเข้าไปยุ่งเกี่ยวกับพยานหลักฐานมากที่สุด ..
พยานปากนี้จึงมีความสำคัญมากที่สุด เพราะกำความลับที่คนอื่นไม่รู้ไว้ทุกอย่าง..
หากทนายจำเลย ไม่มีความรู้เพียงพอ.. ก็ไม่รู้จะถามค้านเรื่องไหน..
ในที่สุดก็มักจบลงที่.. “ไม่ถามครับ” หรือ ยอมรับข้อเท็จจริงตามรายงานการตรวจพิสูจน์โดยไม่ต้องสืบพยานปากนี้เลย..
ส่วนอัยการนั้น หากไม่มีความรู้เพียงพอ.. เขาก็ยังพอจะถามความได้ เพราะเป็นการถามพยานฝ่ายตนให้เล่าเรื่องให้ศาลฟังเท่านั้น.. ไม่ใช่การถามค้าน.. เพื่อทำลายน้ำหนักพยาน..
สำหรับศาลนั้น หากท่านไม่มีความรู้เพียงพอ.. ท่านอาจจะปล่อยให้คำถามสำคัญที่มีผลต่อการชั่งน้ำหนักพยานหลักฐาน.. ต้องหลุดลอยไปโดยไม่รู้ตัว..เพราะไม่มีใครถาม..

#ขั้นตอนการตรวจพิสูจน์

1. ก่อนใช้ Encase ในการตรวจพิสูจน์..เจ้าหน้าที่ต้องยึดเครื่องคอมพิวเตอร์ หรือโทรศัพท์มือถือไว้เป็นของกลางก่อน..
2. เจ้าหน้าที่จะไม่นำโปรแกรม Encase มาใช้กับเครื่องคอมพิวเตอร์ หรือเครื่องโทรศัพท์นั้นโดยตรง.. เพราะระหว่างตรวจพิสูจน์อาจทำให้หลักฐานที่เป็นของจริง (original) เสียหายได้
ทางปฎิบัติ จึงต้องทำสำเนา (copy) hard disk จากเครื่องคอมพิวเตอร์ที่เป็น original ก่อน..
3. จากนั้น จึงนำตัวสำเนา (copy) hard disk นั้น.. มาใส่ในเครื่องที่มีโปรแกรม Encase ติดตั้งอยู่เพื่อตรวจสอบเนื้อหาภายในต่อไป..
เพราะหากเกิดผิดพลาด ก็ยังทำสำเนาใหม่จาก ตัว original มาทำการตรวจพิสูจน์ได้อีก..
4. ถ้าเป็นโทรศัพท์มือถือ .. ก็อาจใช้เครื่องตรวจสอบที่มี software Encase เป็นแบบพกพา ใช้ตรวจสอบวัตถุพยานนอกสถานที่ได้..
Forensic Image

#ข้อมูลคอมพิวเตอร์กับกฎหมายพยานหลักฐาน..


คำถามสำคัญมีเพียง 2 ข้อ ได้แก่..
1. ข้อมูลคอมพิวเตอร์ที่ได้จากการตรวจพิสูจน์นั้น ถูกตัดออกไป และต้องห้ามมิให้ศาลรับฟัง (exclusionary rules) หรือไม่..
ตาม ปวิอ. มาตรา 226, 226/1
ข้อมูลคอมพิวเตอร์ที่เกิดขึ้นโดยมิชอบ หรือได้มาโดยมิชอบ ก็อาจถูกตัดออกไป และห้ามมิให้ศาลรับฟังเพื่อชั่งน้ำหนักความน่าเชื่อถือได้..
และมีผลเท่ากับว่า คดีนั้น ไม่มีหลักฐานชิ้นนั้นปรากฎอยู่..
.. เช่น..

#ตัวอย่างข้อมูลคอมพิวเตอร์เป็นพยานที่เกิดขึ้นโดยมิชอบ

เจ้าหน้าที่กลั่นแกล้งจำเลยโดยใส่ข้อมูล ข้อความ รูปภาพ เข้าไปในระบบคอมพิวเตอร์หรือในโทรศัพท์มือถือ..
ทำให้เชื่อว่า จำเลยโพสต์ข้อความหมิ่นประมาท.. ตั้งเวปไซต์ที่ผิดกฎหมาย.. มีรูปลามกเด็กไว้ในครอบครอง..เป็นต้น
นั่นคือ การสร้างพยานหลักฐานเท็จ..เรียกว่า ข้อมูลนั้นเป็นพยานหลักฐานที่เกิดขึ้นโดยมิชอบ.. ข้อมูลนั้น ศาลจะไม่นำมารับฟัง..

#ตัวอย่างข้อมูลคอมพิวเตอร์เป็นพยานที่ได้มาโดยมิชอบ

เจ้าหน้าที่ไม่มีเจตนาชั่วร้าย .. ไม่ได้กลั่นแกล้ง ..แต่ไม่ทำตามขั้นตอนที่กฎหมายกำหนดบังคับ เช่น
พรบ. กระทำความผิดเกี่ยวกับคอมพิวเตอร์.. พรบ. ป้องกันและปราบปรามการกระทำความผิดเกี่ยวกับยาเสพติด.. พรบ การสอบสวนคดีพิเศษ (DSI).. พรบ ป้องกันและปราบปรามการทุจริตแห่งชาติ (ปปช.).. และพรบ.ป้องกันและปราบปรามการค้ามนุษย์ .. เป็นต้น
กฎหมายเหล่านี้ ให้อำนาจเจ้าหน้าที่เข้าถึงระบบคอมพิวเตอร์ (เจาะระบบ) ของคนอื่น.. เพื่อการสืบสวนสอบสวนได้..
แต่การเข้าถึงระบบคอมพิวเตอร์ของผู้อื่นนั้น .. เป็นการละเมิดสิทธิส่วนบุคคล คล้ายกับการค้น..
กฎหมายจึงบังคับให้ เจ้าหน้าที่ต้องขออนุญาตศาลก่อนว่า มีความจำเป็นและสมควรต้องใช้วิธีการนั้นหรือไม่.. ทั้งนี้ เพื่อคุ้มครองสิทธิให้แก่ประชาชนตามหลักนิติธรรม (due process)..
ดังนั้น หากเจ้าหน้าที่เข้าถึงระบบคอมพิวเตอร์ของบุคคลใด โดยไม่ร้องขออนุญาตจากศาลก่อน..
ข้อมูลคอมพิวเตอร์ที่ได้มา.. ถือว่า เป็นพยานหลักฐานที่ได้มาโดยมิชอบ.. ต้องถูกตัด และต้องห้ามมิให้ศาลรับฟังเช่นเดียวกัน..
.. เช่น ..
เจ้าหน้าที่ใช้โปรแกรมดูดดักรับข้อมูล ที่เรียกว่า “sniffer” (สนิฟ-เฟอร์)..ซึ่งเป็นความผิดตาม พรบ.คอมพิวเตอร์..
หรือเจ้าหน้าที่ตั้งเวปไซต์ หรือกลุ่มลับปลอม ที่เรียกว่า “Honey Pot”.. เพื่อล่อให้คนผิดเข้ามาติดกับ..ที่มิใช่การล่อให้กระทำผิดเพื่อแสวงหาพยานหลักฐาน (ล่อซื้อ)
การได้ข้อมูลมาโดยใช้วิธีการที่ผิดกฎหมาย หรือยุให้คนกระทำผิด ที่เรียกว่า “Entrapment” (เอน-แทรบ-เม้นท์) เหล่านี้..
อาจถือว่า เป็นการหลอกล่อ หรือกระทำโดยมิชอบ ทำให้ข้อมูลที่ได้มา ถูกตัดออกการดำเนินคดีเช่นเดียวกัน
ประเด็นที่ต้องพิจารณาต่อมาคือ...
2. ข้อมูลจากคอมพิวเตอร์หรือโทรศัพท์มือถือที่ได้มาโดยชอบและรับฟังได้แล้วนั้น..
..เป็นข้อมูลที่มีน้ำหนักความน่าเชื่อถือทำให้เชื่อได้โดยปราศจากสงสัยว่า.. เกิดความผิดขึ้นจริง.. และจำเลยเป็นคนกระทำผิดจริงหรือไม่..

#ลักษณะเฉพาะของพยานข้อมูลคอมพิวเตอร์..

พยานหลักฐานข้อมูลคอมพิวเตอร์ มีลักษณะพิเศษ แตกต่างจากพยานหลักฐานทั่วไปใหญ่ๆ 2 ประการ คือ
1. ข้อมูลคอมพิวเตอร์ เป็นพยานหลักฐานที่จับต้องไม่ได้ (Intangible Evidence) เพราะเป็นการทำงานของระบบอิเล็คทรอนิกส์ และกระแสแม่เหล็ก..
2. ข้อมูลคอมพิวเตอร์ เป็นพยานหลักฐานที่เปลี่ยนแปลงง่าย (Volatile Evidence) เพราะเป็นข้อมูลดิจิตัล.. แก้ไขง่าย และไร้ร่องรอย
ด้วยลักษณะพิเศษของพยานหลักฐานประเภทนี้ ทำให้ต้องอาศัยกระบวนการและมาตรฐานที่ชัดเจน เพื่อยืนยันว่า ข้อมูลคอมพิวเตอร์ ยังคงสภาพเดิม ไม่ถูกเปลี่ยนแปลงไปจากตอนเกิดเหตุ..
ไม่ว่าจะเกิดจากเจตนา หรือประมาท ในขั้นตอนการรวบรวม การเก็บรักษา และการวิเคราะห์ตรวจพิสูจน์พยานหลักฐานนั้น..

#หลักเกณฑ์การชั่งน้ำหนักว่าข้อมูลคอมพิวเตอร์ที่ได้มาจากการตรวจพิสูจน์มีความน่าเชื่อถือหรือไม่..

การชั่งน้ำหนักว่า พยานหลักฐานดิจิตัล ที่ได้จากระบบคอมพิวเตอร์ และโทรศัพท์มือถือนั้น น่าเชื่อถือหรือไม่.. จึงต้องพิจารณาว่า..
1. ขั้นตอนการเก็บรวบรวมพยาน.. ขั้นตอนการเก็บรักษาดูแลพยาน.. และขั้นตอนการวิเคราะห์ตรวจพิสูจน์พยานหลักฐานนั้น..
.. เป็นขั้นตอนที่ถูกต้อง (best practice) จนได้รับการยอมรับในวงการดังกล่าวหรือไม่ ..
2. เครื่องมือ และโปรแกรม (software) ที่ใช้ในการตรวจพิสูจน์ มีความทันสมัย และได้รับการยอมรับในวงการนั้นหรือไม่.. และ..
3. พยานหลักฐานที่ได้มา มีการแทรกแซงโดยบุคคลอื่น หรือกระบวนการที่ไม่เกี่ยวข้องหรือไม่
(Chain of custody)
หากขั้นตอนต่างๆ และเครื่องมือที่ใช้ถูกต้อง ได้มาตรฐาน และไม่มีการยุ่งเกี่ยวแทรกแซงพยานหลักฐานนั้น..
ก็ถือได้ว่า พยานหลักฐานข้อมูลที่ได้จากคอมพิวเตอร์หรือโทรศัพท์มือถือนั้น มีความน่าเชื่อถือ ในแง่ของการตรวจพิสูจน์แล้ว..
Chain of custody

#ตัวอย่างขั้นตอนการเก็บรวบรวมพยานในชั้นจับกุมและยึดพยานหลักฐาน..

1. การยึดคอมฯ จะต้องถอดปลั๊กและสายสัญญาณต่างๆออก.. และการจะตรวจพิสูจน์ ก็ต้องเชื่อมต่อสายสัญญาณใหม่เหมือนขณะเข้าตรวจยึด.
ขั้นตอนที่ถูกต้อง จึงต้องมีการถ่ายรูป จุดเชื่อมต่อสายสัญญาณต่างๆด้านหลังเครื่องไว้ก่อนยึด..
2. ถ้าเครื่องปิดอยู่.. ห้ามเปิด.. เพราะการเปิดเครื่องแต่ละครั้ง อาจมีการเปลี่ยนแปลงข้อมูลที่มีอยู่ก่อน
3. ถ้าเปิดอยู่.. อย่าเพิ่งปิด.. เพราะจะต้องถ่ายรูปหน้าจอ และทำสำเนาความจำสำรองของเครื่อง (RAM) ก่อน..
เพราะหลักฐานในการทำผิดอาจอยู่ในความจำสำรอง ไม่ใช่ใน hard disk .. การปิดเครื่องทุกครั้ง จะทำลายความจำสำรองหมด..
4. ปิดเครื่องก่อน.. หรือดึงปลั๊กก่อน.. อันนี้ขึ้นอยู่กับระบบปฏิบัติการของเครื่องคอมพิวเตอร์นั้นครับ
ถ้าผิดขั้นตอน อาจมีผลกระทบกับข้อมูลภายในเครื่อง..
5. การเคลื่อนย้ายของกลาง ต้องมีการห่อหุ้มพลาสติก ติดป้ายให้สอดคล้องกับบันทึก chain of custody..
ในกรณีสำคัญ ก่อนการเคลื่อนย้าย อาจต้องมีการตรวจวัดคลื่นแม่เหล็กไฟฟ้าก่อน ว่าเส้นทางใดที่มีคลื่นแรงและหลีกเลี่ยงการใช้เส้นทางนั้น เพื่อป้องกันผลกระทบต่อข้อมูลภายในเครื่อง เป็นต้น
Evidence

#ตัวอย่างขั้นตอนการเก็บ และดูแลรักษาข้อมูลในชั้นสอบสวนก่อนการตรวจพิสูจน์..


1. การเก็บเครื่องคอมพิวเตอร์ ต้องอยู่ในห้องควบคุมอุณหภูมิ..
2. การแยกเก็บจากพยานหลักฐานอื่นๆ..
Evidence Room
3. ไม่วางไว้ใกล้เครื่องไฟฟ้า ที่อาจส่งคลื่นแม่เหล็กไฟฟ้า .. เช่น ตู้เย็น พัดลม ที่อาจส่งผลกระทบต่อข้อมูลคอมพิวเตอร์ได้
4. ผู้รับมอบ ต้องลงนาม กำกับ พร้อมระบุเวลาในบันทึก เพื่อการตรวจสอบว่า มีการละเมิด chain of custody หรือไม่.. เป็นต้น


#ตัวอย่างขั้นตอนการตรวจพิสูจน์เครื่องคอมพิวเตอร์

1. ผู้ตรวจพิสูจน์ รับมอบ ลงนาม กำกับเวลาทำงาน และสิ้นสุด พร้อมคืนของกลางให้ผู้เก็บดูแลรักษา ในบันทึก chain of custidy..
2. ผู้ตรวจพิสูจน์ถ่ายวีดิโอแสดงให้เห็นกระบวนการตรวจวิเคราะห์..เพื่อยืนยันว่า ทำถูกต้องตามขั้นตอน..
3. ทำสำเนา hard disk จากตัว original .. โดยใช้โปรแกรมมาตรฐานที่น่าเชื่อถือ ชื่อ image
หากใช้โปรแกรมอื่น .. พยานที่ได้มาจะไม่น่าเชื่อถือในมุมมองของศาล ..เพราะสำเนาที่ได้อาจไม่สมบูรณ์หรือผิดพลาดได้..
4. การทำสำเนา hard disk จะต้องใช้ hard disk ตัวใหม่ที่ยังไม่ผ่านการใช้งานตรวจพิสูจน์ในคดีอื่นมาก่อน..
เพื่อป้องกัน Encase ดึงข้อมูลจาก hard disk เก่า มาปะปนกับข้อมูลใน hard disk ที่ทำสำเนาใหม่..
หากมีการใช้ hard disk เก่า มาทำสำเนา แม้จะ format มาแล้ว.. ถือว่า ไม่เป็นไปตามมาตรฐาน..
ข้อมูลที่ได้ จะเป็นพยานหลักฐานที่ไม่น่าเชื่อถือทันที..
5. #ข้อนี้สำคัญนะครับ..
การทำสำเนา hard disk เพื่อทำการตรวจพิสูจน์นี้.. จะต้องใช้กระบวนการ.. MD5..บางทีจะเรียกง่ายๆว่าเป็นโปรแกรมตัวหนึ่งก็ได้..
(ต่อมา MD5 .. เริ่มเชย เพราะได้ข่าวว่า .. ผู้เชี่ยวชาญแก้ไขการทำงานของ MD5 ได้.. จึงนิยมใช้ SHA1 แทน.. ต่อมาก็พัฒนาเป็น SHA 2.. เพิ่งทราบว่า ทุกวันนี้ มี MDA5.. และมี SH 256 ออกมาแล้ว
ไม่ต้องงง นะครับ.. เป็นอันว่า ทั้งหมดนี้ เอาไว้ทำ hashing ครับ)
#เขาทำ hashing เพื่ออะไร
Hashing โดย MD5 หรือ SHA คือการตรวจสอบยืนยันว่า หลังจากทำสำเนาแล้ว.. hard disk ที่ใช้ในการทำผิด (original) กับ hard disk ที่ทำสำเนาออกมา (copy) นั้น มีข้อมูลภายในตรงกัน 100%..
หากไม่เหมือนกัน 100% ซึ่งอาจเกิดจากความจงใจหรือผิดพลาด เช่น ใส่ข้อมูลบางอย่างลงไป หรือตัดข้อมูลบางอย่างออก..โปรแกรม MD5 จะมีการแจ้งความคลาดเคลื่อนให้ทราบ..
การใช้ MD5 ในการทำสำเนา.. จึงใช้ยืนยันได้ว่า.. เจ้าหน้าที่ทำตามขั้นตอนมาตรฐานสากล หรือไม่ได้กลั่นแกล้ง.. เปลี่ยนแปลง แก้ไข หรือใส่ข้อมูลการกระทำผิดลงไปในสำเนาเสียเอง..
ดังนั้น การทำ copy hard disk เพียงอย่างเดียว..โดยไม่ทำ MD5 .. แล้วนำข้อมูลการกระทำผิดที่ได้มาพิสูจน์ความผิด..
ศาลจะถือว่า ข้อมูลที่ได้ขาดความน่าเชื่อถือ..
รายงานการตรวจพิสูจน์ จึงควรระบุยืนยันว่า มีการทำ MD5 หรือใช้ software อื่นที่น่าเชื่อถือแล้ว พร้อมทั้งแสดงผล.
MD5


#ตัวอย่างบันทึกกระบวนการที่เกี่ยวข้องกับของกลาง (Chain of Custody)

ขั้นตอนทั้งหมด.. ตั้งแต่การจับ ยึด รวบรวมพยานหลักฐาน.. การเก็บไว้ระหว่างพิจารณาคดี..การตรวจพิสูจน์.. กระทำโดยผู้เกี่ยวข้องเท่านั้น..ไม่มีบุคคลที่ไม่เกี่ยวข้องเข้ามายุ่งเกี่ยวกับพยานหลักฐาน
ทางปฎิบัติ จะมีการทำบันทึก ลงเวลา ขั้นตอน และชื่อผู้ดำเนินไว้ เรียกกระบวนการนี้ว่า.. Chain of Custody
ถ้ากระบวนการนี้ไม่เป็นไปตามขั้นตอน หรือมีบุคคลภายนอกเข้ามาเกี่ยวข้องกับพยานหลักฐาน.. จะทำให้ข้อมูลที่ได้ ไม่มีความน่าเชื่อถือครับ..

จะเห็นได้ว่า การที่ศาลจะรับฟังและชั่งน้ำหนักความน่าเชื่อถือของพยานดิจิตัล ที่ได้จากการตรวจพิสูจน์ข้อมูลคอมพิวเตอร์หรือโทรศัพท์มือถือ.. จนเชื่อโดยปราศจากสงสัยและสามารถลงโทษจำเลยได้นั้น มีประเด็นที่ต้องพิจารณามากมาย
การชั่งน้ำหนักพยานหลักฐานตามธรรมดา จะพิจารณาจากความสอดคล้องของพยานหลักฐานกับพยานอื่นในสำนวน..และความเป็นธรรมชาติของพยานหลักฐาน..รวมทั้งองค์ความรู้ทางนิติวิทยาศาสตร์อื่นๆ เช่น ลายพิมพ์นิ้วมือ ดีเอ็นเอ เป็นต้น
ที่เล่าให้ฟังนี้.. เป็นเรื่องการชั่งน้ำหนักพยานหลักฐานทางเทคนิควิธีล้วนๆ.. นอกเหนือจากการชั่งน้ำหนักโดยวิธีการทั่วไปแล้ว..
หวังว่าข้อเขียนนี้ จะเป็นประโยชน์ต่อผู้ให้ความสนใจบ้างนะครับ..
นี่ยังไม่รวมถึง.. พยานผู้เชี่ยวชาญที่จะมาเบิกความนะครับว่า .. เราจะมีวิธีการชั่งน้ำหนักพยานผู้เชี่ยวชาญที่มาเบิกความในเรื่องนิติวิทยาศาสตร์ทางคอมพิวเตอร์ ว่ามีความน่าเชื่อถือหรือไม่ อย่างไร
ไม่ใช่ว่า พยานผู้เชี่ยวชาญ.. เป็นแพทย์ เป็นผู้ตรวจอาวุธปืน เป็นผู้ตรวจดีเอ็นเอ เป็นผู้ตรวจคอมพิวเตอร์ .. มาเบิกความแล้ว จะมีความน่าเชื่อถือเสมอไป..
เอาไว้โอกาสหน้านะครับ..จะเล่าให้ฟัง..
ข้อเขียนนี้ ผมพยายามไม่ลงลึก และใช้ถ้อยคำที่เข้าใจง่ายแล้ว..แต่ก็เข้าใจนะครับว่า หลายท่านคงยัง งงๆ..
แต่ถ้าท่านอ่านมาถึงตอนนี้ได้.. ก็ต้องขอชื่นชม ในความพยายาม ในขันติบารมี..
และขอขอบคุณครับ ที่ท่านยังไม่หลับ..555
สุดยอดครับ
ปล. ต้องขอโทษผู้บังคับใช้กฎหมายด้วยนะครับ ที่เอาเรื่องนี้มาเปิดเผย.. ทำให้ทำงานยากขึ้น
แต่เชื่อผมเถอะ ความรู้เหมาะกับคนดี ผู้บริสุทธิ์.. ส่วนคนร้ายจริงๆนั้น.. ไม่มีวันตามเทคโนโลยีที่เราพัฒนาขึ้นไปเรื่อยๆ ได้ทันอย่างแน่นอน.. เป็นกำลังใจให้ครับ..

Digital Forensics: Case Study

ที่มา:facebook ท่านอาจารย์. ดร.ธีร์รัฐ ไชยอัคราวัชร์ 7 มิ.ย 2562

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ


#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics #digitalforensics #investigation #cybercrime #fraud #โปรแกรม Encase คือ

No comments:

Post a Comment

Digital Forensics:WhatsMyName (OSINT)

Digital Forensics:WhatsMyName (OSINT) Welcome to WhatsMyName This tool allows you to enumerate usernames across many websites How to use: 1....