Saturday, November 14, 2015

DIGITAL FORENSICS:หลักฐานดิจิทัล#1: ความเข้าใจพื้นฐาน ผู้ใช้อินเทอร์เน็ตต้องรู้!

DIGITAL FORENSICS:หลักฐานดิจิทัล#1: ความเข้าใจพื้นฐาน ผู้ใช้อินเทอร์เน็ตต้องรู้!

สรุปการบรรยายของสาวตรี สุขศรี อาจารย์นิติศาสตร์ มธ. ถึงมาตรฐานขั้นต่ำในการรวบรวมและเก็บรักษาหลักฐานดิจิทัลซึ่งจำเลยในคดีร้ายแรงเคยสู้ในประเด็นนี้ที่บกพร่องจนชนะคดีมาแล้ว ผู้ใช้อินเทอร์เน็ตงูๆ ปลาๆ ควรรู้สิทธิและกระบวนการขั้นพื้นฐานเพราะคดีทางอินเทอร์เน็ตมีหลายแง่มุม และคุณอาจเกี่ยวพันไม่ทางใดก็ทางหนึ่ง

เครือข่ายพลเมืองเน็ต (Thai Netizen Network) เป็นองค์กรรณรงค์เรื่องเสรีภาพและความเท่าทันการใช้อินเทอร์เน็ตของพลเมือง ในช่วงเดือนตุลาคมองค์กรนี้จัดบรรยายสาธารณะว่าด้วยเรื่อง การตรวจพิสูจน์พยานหลักฐานดิจิทัลและกฎหมายที่เกี่ยวข้อง เพื่อสร้างความรู้ความเข้าใจต่อสาธารณะในสถานการณ์ที่สมาร์ทโฟนเข้าถึงลุงป้าน้าอาเกือบหมดแล้ว ขณะเดียวกันก็มีคดีมากมายที่เกี่ยวข้องกับอินเทอร์เน็ตซึ่งผู้ใช้งานอาจยังไม่ตระหนักและให้ความสำคัญ พูดอย่างง่ายที่สุด คดีต่างๆ อาจเกิดขึ้นกับคุณ หรือเกี่ยวข้องกับคุณไม่ทางใดก็ทางหนึ่ง จึงต้องเตรียมพร้อมทำความเข้าใจเรื่องกระบวนการยุติธรรมที่เกี่ยวพันกับเรื่องดิจิทัลเพื่อปกป้องสิทธิของพลเมืองเอง  

โครงการนี้จะมีการบรรยาย 6 ครั้งพร้อมรวบรวมเนื้อหาตีพิมพ์เป็นหนังสือเล่ม ครั้งแรกจัดขึ้นในวันนี้ (11 ต.ค.) ว่าด้วยเรื่องพื้นฐานความเข้าใจการตรวจพิสูจน์พยานหลักฐานดิจิทัล บรรยายโดย อาจารย์สาวตรี สุขศรี จากคณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ ซึ่งเชี่ยวชาญกฎหมายอาญาและกฎหมายคอมพิวเตอร์ ครั้งที่สอง (18 ต.ค.) จะลงในรายละเอียดทางเทคนิค โดย กิตติพงษ์ ปิยะวรรณโณ ผู้เชี่ยวชาญคอมพิวเตอร์ ครั้งที่สาม (25 ต.ค.) น่าสนใจยิ่ง เพราะจะมีหน่วยงานรัฐมาให้ข้อมูลและแลกเปลี่ยนในเรื่องนี้ ทั้งในส่วนสำนักงานตำรวจแห่งชาติ, กองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี (ปอท.), และสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) (ETDA) ฯลฯ

สไลด์ของวิทยากรและวิดีโอบันทึกการบรรยาย ติดตามได้ที่ www.thainetizen.org [1]


ที่มา: ประชาไท Prachatai.com(2015)

สำหรับการบรรยายครั้งแรก สาวตรีได้แบ่งการบรรยายออกเป็น 1.บทบาทและความสำคัญของพยานหลักฐานดิจิทัลในกระบวนการยุติธรรมในปัจจุบัน 2.ประเภทความผิดที่ต้องอาศัยพยานหลักฐานดิจิทัล 3.การตรวจพิสูจน์พยานหลักฐานดิจิทัล 4.กฎหมายที่ให้อำนาจรัฐในการค้นหา เข้าถึงและเก็บรวบรวมพยานหลักฐานดิจิทัล 5.สถานภาพ น้ำหนัก และหลักการรับฟังพยานหลักฐานดิจิทัล

รายงานนี้จะสรุปหลักการที่สาวตรีอธิบายโดยกระชับ

คดีดิจิทัลเกี่ยวกับคุณอย่างไร

คดีที่ตำรวจและศาลจะพิจารณาจากหลักฐานดิจิทัล แบ่งเป็น

1) คดีอาชญากรรมคอมพิวเตอร์ เช่น การแฮกระบบ, ดักข้อมูลและจารกรรมข้อมูลคอมพิวเตอร์ ก่อวินาศกรรมคอมพิวเตอร์อย่างพวกการปล่อยไวรัส มัลแวร์, การฉ้อโกงทางคอมพิวเตอร์  ฯลฯ

2) คดีอาชญากรรมอินเทอร์เน็ต เช่น การส่งสแปม, ฟิชชิ่ง, การพนันบนอินเทอร์เน็ต, การเผยแพร่ภาพลามกอนาจาร, การฟอกเงิน, การละเมิดลิขสิทธิ์, การหมิ่นประมาท ฯลฯ

3) คดีอาชญากรรมทั่วไป ซึ่งมีความเกี่ยวพันกับอุปกรณณ์หรือเครื่องมืออิเล็กทรอนิกส์

ในยุคที่อินเทอร์เน็ตมีบทบาทอย่างมากท่านอาจเป็นผู้เสียหาย หรือผู้ต้องสงสัย หรือผู้ที่เกี่ยวข้องในคดีไม่มากก็น้อย โดยเฉพาะเมื่อพิจารณาถึง พ.ร.บ.ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ.2550 (เรียกสั้นๆ ว่า พ.ร.บ.คอมพิวเตอร์) จะพบว่า มันถูกนำมาฟ้องร้องกันในส่วนของการหมิ่นประมาท (ในอินเทอร์เน็ต) มากที่สุด

สาวตรีระบุว่า จากงานวิจัยที่เธอและทีมงานได้ทำไว้ พบว่า ปี 2550-2554 มีคดีความผิดตาม พ.ร.บ.คอมพิวเตอร์ในทุกชั้นกระบวนพิจารณา 325 คดี แบ่งเป็น หมิ่นประมาทบุคคลทั่วไป  31% หมิ่นประมาทกษัตริย์ 12% เผยแพร่ภาพลามกอนาจาร 10% ฉ้อโกงทางอินเทอร์เน็ต 10% และเป็นคดีอาชญากรรมคอมพิวเตอร์โดยแท้เพียง 14% ส่วนอีก 18%  นั้นไม่สามารถระบุประเภทได้เนื่องจากไม่มีการเปิดเผยข้อมูล

หากใครติดตามข่าวสารทางการเมืองก็จะเห็นว่า คดีหมิ่นประมาทกษัตริย์ตามกฎหมายอาญามาตรา 112 นั้นขยายตัวมากยิ่งขึ้น และพื้นที่ที่ปรากฏการกระทำผิดตามฟ้องจำนวนมากก็คือ อินเทอร์เน็ต คดีลักษณะนี้ก็ใช้ พ.ร.บ.คอมพิวเตอร์ควบคู่ไปด้วยเพราะเป็นกฎหมายที่ให้อำนาจพนักงานเจ้าหน้าที่เข้าถึง ยึด จับกุม ผู้ต้องสงสัยได้โดยง่าย แต่ภายใต้ความง่ายนั้นก็มีหลักการและมาตรฐานสากลอยู่ ซึ่งควรค่าแก่การทำความเข้าใจ

ประเภทของข้อมูลอิเล็กทรอนิกส์/ดิจิทัล

ก่อนจะไปถึงมาตรฐานต่างๆ คงต้องทำความเข้าใจก่อนว่า พยานหลักฐานทางดิจิทัลนั้นอยู่ใน “ทุกที่” ทั้งตัวอุปกรณ์และเครือข่าย

สาวตรีขยายความให้ฟังว่า หลักฐานสามารถอยู่ใน 1.ระบบคอมพิวเตอร์ หรืออุปกรณ์อิเล็กทอร์นิกส์  เช่น ใน free space หรือ deleted space, ในหน่วยความจำเสมือน ในแฟ้มชั่วคราว, ในแหมประวัติที่สร้างโดยซอฟต์แวร์ประยุกต์, ในระบบการลงทะเบียนใช้งาน ฯลฯ 2.ชั้นโปรแกรมประยุกต์ เช่น อีเมล, กระดานข่าว, โปรแกรมสนทนา, เว็บไซต์, แฟ้มประวัติอินเทอร์เน็ต (Internet history files) แฟ้มอินเทอร์เน็ตชั่วคราว (Cache file) 3.ชั้นส่งข้อมูลและชั้นไอพี เช่น ข้อมูลชุดหมายเลขเครื่อง, แฟ้มบันทึกการเข้าออกและตารางแสดงสถานะ (Log file) 4.ชั้นเชื่อมโยงเครือข่าย เช่น หน่วยความจำแคช, log file ของเราท์เตอร์

หลักการพื้นฐานของการตรวจพิสูจน์พยานหลักฐานดิจิทัล

องค์กรที่ทำด้านนี้เจ้าแรกคือ FBI จากนั้นมาตรฐานต่างๆ ก็ถูกพัฒนาเรื่อยมา จนได้รับการรับรองให้ใช้ในหน่วยงานต่างๆ ทั่วทั้งสหรัฐอเมริกาและที่อื่นๆ ในโลก ของไทยเองไม่มีกฎหมายกำหนดมาตรฐานอย่างชัดเจนนัก อาศัยส่งเจ้าหน้าที่ที่เกี่ยวข้องไปฝึกอบรมยังต่างประเทศเพื่อนำมาตรฐานมาปรับใช้

มาตรฐานพื้นฐานของกระบวนการทั้งหมดที่เกี่ยวพันกับการพิสูจน์พยานหลักฐานทางดิจิทัล เริ่มตั้งแต่ 1.การรวบรวมพยานหลักฐาน 2.การเก็บรักษาพยานหลักฐาน 3. การวิเคราะห์หลักฐาน 4 การนำเสนอผลต่อศาล

สาวตรีกล่าวว่า กระบวนการทั้งสี่อย่างนี้สำคัญมาก เพราะหลักฐานทางดิจิทัลนั้นอ่อนไหวมาก เพียงแค่ยึดคอมพิวเตอร์ไป แล้วเจ้าหน้าที่ไม่ทำการสำเนาข้อมูล แต่เปิดคอมที่ยึดนั้นโดยตรงในระหว่างสอบสวน เพียงเท่านี้ก็จำเลยก็สามารถโต้แย้งได้แล้วเพราะทุกครั้งที่เปิดคอมพิวเตอร์จะกระทบต่อการจัดเก็บข้อมูลภายในไม่มากก็น้อย ในต่างประเทศนั้นการต่อสู้คดีดิจิทัลนั้นให้น้ำหนักสำคัญใน 3 สิ่งคือ ความแท้จริงของข้อมูลว่าไม่ถูกแก้ไขเปลี่ยนแปลงหรือได้รับความเสียหาย ซึ่งก็อาศัยการสืบจากมาตรฐานขั้นต่ำในการจัดการหลักฐานทางดิจิทัลในระหว่างการสืบสวนสอบสวนของตำรวจนั่นเอง 2.ความน่าเชื่อถือของโปรแกรมหรือซอฟต์แวร์ที่นำมาใช้วิเคราะห์หลักฐาน 3.ตัวผู้เชี่ยวชาญที่ต้องผ่านการอบรมด้านนี้โดยเฉพาะ

เราสรุปการบรรยายของสาวตรีให้สั้นลงและง่ายขึ้นได้ว่า

ที่มา: ประชาไท Prachatai.com(2015)

การเก็บรวบรวมหลักฐานดิจิทัล ต้องทำโดย “ผู้เชี่ยวชาญด้านการเก็บพยานหลักฐานดิจิทัล” เท่านั้น เครื่องมือที่ใช้เก็บก็ต้องได้มาตรฐาน เมื่อได้มาแล้ว ไม่ว่าจะเป็นคอมพิวเตอร์ เราท์เตอร์ มือถือ ฯลฯ เจ้าหน้าที่จะต้องเก็บทันทีและไม่เปิดมันอีก หากจะทำการตรวจหลักฐานในนั้นต้องทำการจำลองแบบแล้วดึงข้อมูลออกมา ซึ่งจะมีค่า hash เพื่อตรวจว่าตรงกับต้นฉบับหรือไม่ จากนั้นจึงทำการสืบค้นในข้อมูลที่จำลองมาด้วยซอฟต์แวร์ที่เป็นที่ยอมรับ เพื่อตอบคำถามให้ได้มากกว่าว่าในอุปกรณ์มีหลักฐานอะไรบ้าง แต่ต้องตอบให้ได้ว่ามันมาได้อย่างไร ใครเป็นคนนำเข้า และมีวัตถุประสงค์อย่างไร

“คดีไหนที่ตรวจกับอุปกรณ์ของผู้ต้องหาโดยตรงจะมีปัญหาความถูกต้องแท้จริงแน่นอน” สาวตรีกล่าว

เรื่องนี้สำคัญมาก คดี 112 และ พ.ร.บ.คอมพิวเตอร์ ของจำเลยชื่อสุรภักดิ์นั้น จำเลยสู้ชนะทั้งสามศาล โดยเหตุใหญ่ในความอยู่ที่ความไม่ได้มาตรฐานในการจัดเก็บอุปกรณ์ มีการเปิดคอมพิวเตอร์ของจำเลยในระหว่างที่จำเลยถูกคุมขังและปรากฏหลักฐานที่อาจจะเท็จในเครื่องดังกล่าวที่เจ้าหน้าที่นำมาเป็นหลักฐานฟ้องคดีจำเลย การสู้คดีในลักษณะนี้ซับซ้อน จำเลยต้องทำการพิสูจน์และอธิบายเรื่องทางเทคนิคให้ศาลเข้าใจ เนื่องจากกฎหมายไทยเป็นระบบกล่าวหา ภาระการพิสูจน์อยู่ที่จำเลย และเหตุที่มันเป็นไปได้ก็เพราะจำเลยเป็นผู้เชี่ยวชาญทางคอมพิวเตอร์

นอกจากนี้การจะไปตรวจยึดอุปกรณ์ที่ต้องสงสัยโดยปกติแล้วต้องขอหมายค้นหรือยึด จะต้องมีการถ่ายภาพพยานหลักฐานในสถานที่นั้นๆ ก่อนทำการรวบรวม ต้องทำรายการโดยละเอียดของอุปกรณ์ที่ยึดไป ต้องบรรจุอุปกรณ์นั้นๆ ในภาชนะที่ปลอดภัย เช่น ถุงกันรังสี และที่สำคัญคือต้องปิดผนึกไม่ให้บุคคลอื่นเข้าถึงก่อนการตรวจพิสูจน์และเก็บในที่ปลอดภัย

มาตรฐานในการเข้าถึงและรวบรวมพยานหลักฐานเหล่านี้ มีเขียนอยู่ในกฎหมายบางฉบับอย่างกว้างๆ แต่ไม่สามารถใช้ในทางปฏิบัติได้มากนัก ส่วนมาตรฐานในการเก็บรักษานั้นไมมีเขียนในกฎหมายเลย ในพ.ร.บ.คอมพิวเตอร์ก็ไม่ได้เขียนไว้ หากจะมีการเขียนว่าต้องเก็บอะไร อย่างไร ยาวนานแค่ไหนก็เป็นเรื่องที่เกี่ยวพันกับเอกชนหรือไอเอสพี แต่ไม่ได้กำหนดมาตรฐานการเก็บรักษาพยานหลักฐานอิเล็กทรอนิกส์ของภาครัฐ

เขาตรวจพิสูจน์อะไรกันบ้าง ?

Computer Forensics เช่น บัญชีผู้ใช้ รอยประทับเวลา รูปภาพ อีเมลที่บันทึกอยู่ในฮาร์ดไดฟ์คอมพิวเตอร์ รวมทั้งบันทึกจากหน่วยความจำ

Cell Phone Forensics เช่น บันทึกที่สร้างขึ้นโดยผู้ให้บริการโทรศัพท์มือถืออย่างข้อมูลการเรียกเก็บเงิน การบันทึกการใช้บริการ ไม่ว่าหมายเลขที่โทรออก โทรเข้า ระยะเวลาการโทร วันเวลาการโทร สถานีเครือข่ายที่โทรศัพท์เครื่องนั้นใช้งาน รายชื่อในโทรศัพท์ ข้อความ รูปภาพ อีเมล ฯลฯ

GPS Forensics เช่น ตำแหน่งที่ไปเมื่อเร็วๆ นี้ สถานที่ที่ชอบ หยุดที่สถานที่ใดบ้าง นานเท่าใด ฯลฯ

Social Media Forensics เช่น ข้อมูลเกี่ยวกับกิจกรรมออนไลน์ของกลุ่มเพื่อน การสื่อสาร กระทั่งแนวคิดของบุคคลผู้ต้องสงสัย

Digital Video and Photo Forensics คือ การตรวจสอบรวมทั้งวิเคราะห์ภาพถ่าย

Digital Camera Forensics เช่น ภาพถ่าย ข้อมูลเกี่ยวกับภาพ metadata รุ่นของกล้อง วันเวลาบันทึกภาพ

Game Console forensics เช่น metadata ข้อมูลผู้เล่น บัญชีออนไลน์

กฎหมายที่ให้อำนาจเจ้าหน้าที่เข้าถึงหลักฐาน

ก่อนจะไปเก็บรวบรวมหลักฐานได้ เรื่องอำนาจในการเข้าถึงข้อมูลดิจิทัลของเจ้าหน้าที่นั้นก็เป็นประเด็นสำคัญ สรุปรวบรวมความแล้ว ใครจะยึดคอมพิวเตอร์ของบุคคลได้ต้องมีหมายจากศาลเท่านั้น

สาวตรีกล่าวว่า การออกหมายค้นนั้นหากเจ้าหน้าที่ใช้ประมวลกฎหมายวิธีพิจารณาความอาญาก็จะพบข้อจำกัดมาก เช่น ม.69 การจะขอหมายศาลต้องระบุชัดเจนว่าสิ่งที่จะค้นนั้นใช้กระทำความผิด และจะค้นอะไร ส่วนไหนบ้าง ซึ่งระบุให้ชัดเจนได้ยากในส่วนของคอมพิวเตอร์ แต่ครั้นจะใช้ ม.92 ที่สามารถทำการค้นโดยไม่ต้องมีหมายศาลก็มีปัญหาอีกว่า ข้อมูลคอมพิวเตอร์ นับเป็น “สิ่งของ” ตามนิยามกฎหมายหรือไม่ ดังนั้นจึงมีกฎหมายเฉพาะในการเข้าถึงข้อมูลเหล่านั้น เท่าที่สำรวจมีกฎหมายหลายฉบับที่อนุญาตให้เจ้าหน้าที่เจาะเข้าระบบคอมพิวเตอร์ส่วนบุคคล แต่ก็ต้องต่อสู้กับประเด็นสิทธิเสรีภาพประชาชนที่รัฐธรรมนูญรับรองไว้และสิทธิความเป็นส่วนตัว กับอีกแบบคือค้นข้อมูลในอินเทอร์เน็ต หากเป็นพื้นที่สาธารณะ เช่น เว็บบอร์ด  บล็อก คงไม่มีคำถามมากเท่าพื้นที่ส่วนบุคคล เช่น อีเมล เฟซบุ๊ก ที่ตั้งค่าเฉพาะ ซึ่งประมวลกฎหมายวิธีพิจารณาความอาญาไม่ได้พูดถึงเลยว่ากระทำได้หรือไม่

กฎหมายเฉพาะที่เจ้าหน้าที่ตีความเพื่อใช้ในการเข้าถึงข้อมูดิจิทัลของบุคคลได้ มีหลายฉบับ เช่น พ.ร.บ.ป้องกันและปราบปรามยาเสพติด ให้อำนาจอธิบดีผู้พิพากษาอนุมัติการเข้าถึงหรือได้มาซึ่งข้อมูลดิจิทัลของเจ้าหน้าที่ แต่จะต้องใช้ในคดีนั้นเท่านั้น แม้เจอความผิดในฐานอื่นอีกก็ไม่สามารถดำเนินการได้ เช่นเดียวกับ พ.ร.บ.ป้องกันและปราปราบการฟอกเงิน และพ.ร.บ.การสอบสวนคดีพิเศษ

ที่น่าสนใจ คือ พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ มาตรา 18 เนื่องจากกำหนดให้พนักงานเจ้าหน้าที่กระทำการได้หลายอย่างโดยไม่ต้องขออำนาจศาล เช่น มีหนังสือสอบถาม, เรียกข้อมูลจราจรคอมพิวเตอร์, สั่งให้ส่งมอบข้อมูล แต่ก็มีส่วนที่ต้องขอนุญาตศาล เช่น สั่งให้บุคคลมอบข้อมูลหรืออุปกรณ์, ทำสำเนาข้อมูล, เข้าถึงระบบคอมพิวเตอร์, ถอดรหัสลับ, ยึดคอมพิวเตอร์  แต่ทั้งหมดนี้ต้องเป็นคดีที่เกี่ยวพันกับกฎหมายนี้เท่านั้นและจะกระทำการโดยลับไม่ได้ ต่อให้ทำในส่วนที่ไม่ต้องขอหมายศาล สุดท้ายกฎหมายก็กำหนดให้ต้องแจ้งผู้ต้องสงสัย ซึ่งไม่ปรากฏข้อบังคับนี้ในกฎหมายยาเสพติด ปปง. การสอบสวนคดีพิเศษ

อย่างไรก็ตาม ต้องหมายเหตุไว้ด้วยว่า ร่าง พ.ร.บ.คอมพิวเตอร์ฉบับแก้ไข ดูเหมือนจะให้ เจ้าหน้าที่ใช้วิธีการหรือใช้อำนาจแบบเดียวกับพ.ร.บ.คอมพิวเตอร์ได้ แม้จะเป็นอาชญากรรมตามกฎหมายอื่นๆ

อีกฉบับที่น่าจับตาคือหนึ่งในกฎหมายชุดเศรษฐกิจดิจิทัล นั่นคือร่างพ.ร.บ.ความมั่นคงไซเบอร์ ร่างนี้ระบุให้เจ้าหน้าที่เข้าถึงข้อมูลดิจิทัลได้โดยไม่ได้กำหนดเงื่อนไข ในกรณีที่เป็นไป “เพื่อประโยชน์ในการรักษาความมั่นคงปลอดภัยไซเบอร์” ซึ่งยังไม่มีนิยามที่ชัดเจน

#ยึดคอมพิวเตอร์ 

ที่มา:

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

No comments:

Post a Comment

Digital Forensics:CDIC2024

Digital Forensics:CDIC2024    งานสัมมนาประจำปีด้านความมั่นคงปลอดภัยไซเบอร์  27-28 พฤศจิกายน 2567 ณ Grand Hall ไบเทค บางนา วันนี้แอดแวะมางาน ...