SWGDE Best Practices for Mobile Phone Forensics
SWGDE คืออะไร?
SWGDE (Scientific Working Group on Digital Evidence)
คือกลุ่มผู้เชี่ยวชาญในสหรัฐอเมริกาที่ร่วมกันกำหนดแนวทางและแนวปฏิบัติที่ดีที่สุด (Best Practices) สำหรับการรวบรวม วิเคราะห์ และรายงานหลักฐานดิจิทัล (รวมถึง Mobile Devices, Computer Forensics, Network Forensics และ Cloud)
📱 SWGDE กับ Mobile Forensics
แนวทางปฏิบัติที่ดีที่สุดสำหรับการเก็บรวบรวม การเก็บรักษา การจัดการ และการได้มาซึ่งหลักฐานจากอุปกรณ์มือถือ (SWGDE)
1. วัตถุประสงค์และขอบเขตของ SWGDE
เอกสารนี้ให้แนวทางปฏิบัติที่ดีที่สุดสำหรับการเก็บรวบรวม การเก็บรักษา และการได้มาซึ่งหลักฐานจากอุปกรณ์มือถือ (เช่น โทรศัพท์มือถือ แท็บเล็ต) ทั้ง On site และห้องปฏิบัติการ โดยมุ่งเน้นการรักษาความสมบูรณ์ของหลักฐานและกู้คืนข้อมูลให้ได้มากที่สุด ผู้ปฏิบัติงานต้องมีทักษะและคุณสมบัติตามมาตรฐาน SWGDE
SWGDE ได้ออกเอกสารเฉพาะทางหลายฉบับที่เกี่ยวกับ Mobile Device Forensics เช่น:
SWGDE Best Practices for Mobile Device Evidence Collection
[เอกสารล่าสุด: September 17, 2020]
เนื้อหาครอบคลุม:
-
การเก็บอุปกรณ์มือถือ แท็บเล็ต ในสถานที่เกิดเหตุ (Seizure)
-
การจัดการพยานหลักฐานเพื่อป้องกันการเปลี่ยนแปลง (Chain of Custody)
-
คำแนะนำในการเปิด/ปิดอุปกรณ์
-
การใช้ Faraday Bags, การ Airplane Mode หรือ Powering Down
2. ข้อควรพิจารณา
อุปกรณ์มือถือมีความท้าทายด้านนิติวิทยาศาสตร์เนื่องจากเทคโนโลยีเปลี่ยนแปลงเร็ว และมีระบบปฏิบัติการที่เป็นระบบปิด (closed-source) ข้อควรระวังสำคัญได้แก่:
- สัญญาณเข้า-ออก: ควรบล็อกสัญญาณด้วยภาชนะป้องกันคลื่นวิทยุ (Faraday bag) แต่ต้องระวังการสิ้นเปลืองแบตเตอรี่หรือการเปลี่ยนแปลงข้อมูล
.jpg "Shielded From RF Signals")
- Photo credit by mosequipment.com
- การทำลายข้อมูล: อุปกรณ์อาจถูกลบข้อมูลผ่านเครือข่ายหรือกระบวนการอัตโนมัติหลังปิดเครื่อง
- การเข้ารหัส: ข้อมูลอาจถูกเข้ารหัส ทำให้การเข้าถึงยาก
- ไดรเวอร์: ความขัดแย้งของไดรเวอร์ระหว่างเครื่องมือนิติวิทยาศาสตร์
- ข้อมูลเปลี่ยนแปลงตลอดเวลา: ไม่มีวิธีป้องกันการเขียนข้อมูล (write-blocking) สำหรับอุปกรณ์มือถือ (อ้างอิง ณ เวลาปัจจุบัน เอกสารล่าสุด: September 17, 2020)
- รหัสผ่าน: การพยายามเดารหัสอาจทำให้ข้อมูลสูญหาย
- การ์ดสื่อและโมดูลประจำตัว (SIM): การถอดออกอาจทำให้ข้อมูลเสียหาย
3. การเก็บรวบรวมและการเก็บรักษาหลักฐาน- การเตรียมการ: ตรวจสอบอุปกรณ์และอำนาจทางกฎหมายก่อนดำเนินการ
- การบันทึกเอกสาร:
- ถ่ายภาพสถานที่ อุปกรณ์ และสภาพแวดล้อม
- บันทึกสถานะอุปกรณ์ (เปิด/ปิด, มีรหัสล็อก) และข้อมูลเฉพาะตัว (ยี่ห้อ รุ่น หมายเลขซีเรียล)
- ห่วงโซ่การคุ้มครองหลักฐาน (Chain of Custody)
- กระบวนการเก็บรักษาสำหรับผู้ตอบสนอง :
- ใช้แผนภูมิแนะนำการยึดอุปกรณ์
- หลีกเลี่ยงการให้ผู้ต้องสงสัยสัมผัสอุปกรณ์
.jpg "Shielded From RF Signals")
Photo credit by mosequipment.com
3. การเก็บรวบรวมและการเก็บรักษาหลักฐาน
- การเตรียมการ: ตรวจสอบอุปกรณ์และอำนาจทางกฎหมายก่อนดำเนินการ
- การบันทึกเอกสาร:
- ถ่ายภาพสถานที่ อุปกรณ์ และสภาพแวดล้อม
- บันทึกสถานะอุปกรณ์ (เปิด/ปิด, มีรหัสล็อก) และข้อมูลเฉพาะตัว (ยี่ห้อ รุ่น หมายเลขซีเรียล)
- ห่วงโซ่การคุ้มครองหลักฐาน (Chain of Custody)
- กระบวนการเก็บรักษาสำหรับผู้ตอบสนอง :
- ใช้แผนภูมิแนะนำการยึดอุปกรณ์
- หลีกเลี่ยงการให้ผู้ต้องสงสัยสัมผัสอุปกรณ์
📌 ตัวอย่าง:
หากมือถือมีความเสี่ยงจากการเชื่อมต่อเครือข่าย (เช่น Remote Wipe), ควร ตัดการเชื่อมต่อเครือข่าย โดยใส่เข้า Faraday Bag ทันที
Picture by SWGDE Best Practices for Mobile Phone Forensics :IOS Device
Picture by SWGDE Best Practices for Mobile Phone Forensics :Android Device
4. การจัดการหลักฐาน
- ความเสียหาย: ซ่อมแซมอุปกรณ์ที่เสียหายด้วยความระมัดระวัง และความปลอดภัย
- นิติเวชแบบดั้งเดิม: เก็บตัวอย่าง DNA หรือลายนิ้วมือก่อนกระบวนการดิจิทัล
- การเข้าถึงอุปกรณ์ล็อก:
- สมาร์ตล็อก: เช่น การตรวจจับการอยู่ในมือผู้ใช้ (On-Body Detection) สถานที่เชื่อถือได้ (Trusted Places) อุปกรณ์เชื่อถือได้ (Trusted Devices)
- MDM (Mobile Device Management): อาจต้องขอความช่วยเหลือจากผู้ดูแลระบบ
- การเข้ารหัส: เช่น การเข้ารหัสทั้งระบบ (Full-Disk Encryption)
- การแยกเครือข่าย: ใช้โหมดเครื่องบินหรือภาชนะป้องกันคลื่นวิทยุ หลีกเลี่ยงการปิดเครื่องเพื่อไม่ให้เปิดใช้งานระบบรักษาความปลอดภัย
5. การได้มาซึ่งหลักฐาน
- การเตรียมอุปกรณ์: ตรวจสอบและทดสอบเครื่องมือก่อนใช้งาน
- การระบุอุปกรณ์: ใช้ข้อมูลจากป้ายกำกับหรือหน้าจอ (เช่น IMEI, MEID)
- วิธีการสกัดข้อมูล:
- Manual/Logical/File System/Physical: เช่น JTAG, Chip-Off
.png)
- อุปกรณ์ iOS: ต้องใช้รหัสผ่านสำหรับการสำรองข้อมูล (iTunes/iCloud)
- อุปกรณ์ Android: เปิดโหมดดีบั๊ก (USB Debugging) หรือใช้ JTAG
%20(1).jpg "Android: (USB Debugging")
- สื่อถอดได้และ SIM: สกัดข้อมูลร่วมกับอุปกรณ์หรือแยกกันขึ้นอยู่กับสถานะ
- ข้อมูลจากคลาวด์และอุปกรณ์อื่น: พิจารณาการซิงโครไนซ์กับคอมพิวเตอร์หรือสมาร์ตวอตช์
6. การเก็บถาวร
- แปลงข้อมูลเป็นรูปแบบที่เข้าถึงได้ในอนาคต และจัดเก็บตามนโยบายองค์กร
🔬 📚 แหล่งอ้างอิงสำคัญ
Preservation, Handling, and Acquisition
3. NIST SP 800-101 Rev. 1: Guidelines on Mobile Device Forensics
หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูล เผยแพร่ความรู้และให้โอกาสในการค้นคว้าหาข้อมูลเพื่อการศึกษา บุคคลที่สนใจโดยทั่วไป รวมถึงนักเรียน นิสิต นักศึกษา ในการเรียนรู้เท่านั้น
No comments:
Post a Comment