Digital Forensics:การสืบหาหลักฐานดิจิทัล Digital Evidence

                               Photo by: สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

หลักฐานดิจิทัล (Digital Evidence) คือ ข้อมูลหรือสารสนเทศที่อยู่ในรูปแบบของ Bit 0  หรือ 1 (ศูนย์ หรือ หนึ่ง รวมเรียกได้อีกอย่างว่า Binary) ซึ่งสามารถแสดงผลออกมาเป็นข้อมูลที่คนทั่วไป สามารถเข้าใจได้ผ่านโปรแกรมคอมพิวเตอร์ และสามารถใช้ในการพิสูจน์ข้อเท็จจริง หรือ หาความกระจ่างให้กับเรื่องที่กำลังสนใจอยู่ได้ รวมถึงสามารถใช้ในกระบวนการยุติธรรมในชั้นศาล

ทั้งนี้ การจะสามารถนำมาประกอบการพิจารณาในชั้นศาลได้หรือไม่นั้น ขึ้นอยู่กับดุลยพินิจของศาล

ประเด็นความท้าทายเกี่ยวกับหลักฐานดิจิทัล (บทบาท คุณลักษณะ ความเปราะบางหลักฐาน)

หลักฐานดิจิทัลถึงแม้จะจับต้องไม่ได้ แต่ก็ถือเป็นหลักฐานทางกายภาพ ธรรมชาติของหลักฐานดิจิทัลจะอยู่ในรูปแบบของสนามแม่เหล็ก (Magnetic Field),  การเปลี่ยนแปลงของกระแสไฟฟ้า (Electronic Pulse) หรือการสะท้อนและ Spectrum ของแสง (Optical Reflection/Optical Spectrum) ที่สามารถแปลผลออกมาให้อยู่ในรูปแบบ Binary เพื่อที่จะให้ระบบคอมพิวเตอร์นำไปประมวลผลและแสดงผลออกมาให้กับผู้ใช้งานได้

ข้อมูลในรูปแบบดิจิทัลทุกอย่าง สามารถใช้เป็นหลักฐานในการพิสูจน์ข้อเท็จจริงหรือหาความกระจ่างให้กับเรื่องที่กำลังสนใจอยู่ได้ ขึ้นอยู่กับว่าจะมีความเกี่ยวข้องกับเรื่องที่สนใจอยู่นั้นหรือไม่

ตัวอย่างของเรื่องที่สามารถแก้ปัญหาโดยใช้หลักฐานทางดิจิทัลก็คือ

• การพิสูจน์ข้อเท็จจริงกรณีเกิดข้อพิพาทของบุคคลตั้งแต่สองฝ่ายขึ้นไป
• การพิสูจน์ข้อเท็จจริงในกรณีที่มีผู้ฝ่าฝืนนโยบายขององค์กร จนก่อให้เกิดความเสียหายต่อสังคมและองค์กร
• การพิจารณาคดีความทางแพ่งและอาญา
• การค้นหาสาเหตุของการโจมตีทางไซเบอร์ว่าเกิดจากช่องโหว่ใด เพื่อที่จะได้ทำการแก้ไขให้ตรงจุด

ความเปราะบางของหลักฐานดิจิทัลเอง ก็เป็นผลมาจากรูปแบบที่ถูกจัดเก็บตามที่ได้กล่าวไปแล้วในข้างต้น ทำให้หลักฐานนั้นถูกเปลี่ยนแปลง ทำให้เสียหายหรือถูกทำลายได้ง่าย หากมีการดูแลที่ไม่เหมาะสมหรือการวิเคราะห์หลักฐานโดยขาดความระมัดระวัง ด้วยเหตุนี้เอง หลักฐานทางดิจิทัลจึงมักจะประสบกับความท้าทายดังต่อไปนี้อยู่บ่อย ๆ

• ความน่าเชื่อถือหรือความถูกต้องสมบูรณ์ของหลักฐาน (Authenticity & Integrity) เมื่อเก็บจากที่เกิดเหตุ
• การจัดเก็บและการส่งต่อหลักฐาน โดยที่ยังคงไว้ซึ่งความน่าเชื่อถือหรือความถูกต้องสมบูรณ์ของหลักฐาน
• ความเข้าใจของผู้ที่พิจารณาข้อเท็จจริงหรือคดีความที่มีหลักฐานดิจิทัลเป็นส่วนเกี่ยวข้อง

ดังนั้น การได้มา จัดเก็บ รักษา และวิเคราะห์หลักฐานทางดิจิทัลจะต้องทำด้วยวิธีการเฉพาะที่ต้องอาศัยความเชี่ยวชาญ ความระมัดระวังเป็นอย่างสูง

ประเภทของข้อมูลดิจิทัล

ประเภทของข้อมูลทางดิจิทัลที่สามารถสกัด (Extract) ออกมาจากแหล่งข้อมูลที่จัดเก็บไว้ในรูปแบบ Electronic มีดังตัวอย่างต่อไปนี้

• ตำแหน่ง GPS
• ภาพถ่ายนิ่ง หรือ เคลื่อนไหว
• บันทึกเสียง
• ประวัติการเข้าใช้งานเว็บไซต์
• ข้อมูลธุรกรรมการเงิน
• บันทึกการสนทนาเป็นตัวอักษร (Chat Log)
• การตั้งค่าของระบบคอมพิวเตอร์
• ข้อมูลการเชื่อมต่อทางเครือข่าย
• รายการโปรแกรมที่กำลังถูกใช้งาน
• รายการของไฟล์ที่กำลังถูกเข้าถึง
• บันทึกเหตุการณ์ (Log) ของระบบปฏิบัติการและ Application
• บันทึกการเปลี่ยนแปลงของ File System
• ข้อมูลที่ไม่ได้ถูกเขียนทับโดยสมบูรณ์ที่อยู่ใน Free Space และ Slack Space ซึ่งสามารถกู้คืนกลับมาได้
• บันทึกกิจกรรมในเครือข่าย (Network Log)

บทบาทของหลักฐานดิจิทัล (กฎของหลักฐาน)

จากที่เราทราบกันแล้วว่า หลักฐานดิจิทัลนั้นเป็นสิ่งที่มีความอ่อนไหว ง่ายต่อการเสียหายมาก การวิเคราะห์หรือการดำเนินการใด ๆ จึงไม่สามารถกระทำบนหลักฐานต้นฉบับได้
แต่กฎของหลักฐานที่ดีที่สุดก็มีอยู่ว่า ข้อเท็จจริงที่จะใช้ในการนำเสนอในกระบวนการยุติธรรมได้ ต้องเป็นข้อเท็จจริงที่ได้จากหลักฐานต้นฉบับหรือตัวจริงเท่านั้น หรือแม้กระทั่งการพิสูจน์กระบวนการนอกชั้นศาล ก็ต้องพิสูจน์ได้ว่า ข้อเท็จจริงที่ได้จากหลักฐานดิจิทัลไม่ได้ผ่านการเติมแต่งเปลี่ยนแปลง ตรงตามต้นฉบับทุกประการ การที่จะทำให้หลักฐานทางดิจิทัลเป็นที่ยอมรับได้นั้นจะต้อง

• ทำสำเนาจากหลักฐานต้นฉบับโดยให้ตรงกับต้นฉบับทุกประการ หรือที่เรียกว่า Bit-for-Bit Copy หรือ Duplicate
• ในการทำสำเนาต้องใช้เทคโนโลยี Write-Blocker เพื่อป้องกันการปนเปื้อนของหลักฐานโดยไม่ได้เจตนา
• ทำการบันทึกกิจกรรมในการทำสำเนาหลักฐานพร้อมภาพถ่ายอย่างละเอียด
• เริ่มการบันทึกห่วงโซ่หลักฐาน (Chain of Custody) ตั้งแต่การทำสำเนาครั้งแรก

อุปกรณ์อิเล็กทรอนิกส์ ประเภทและความสามารถในการเก็บหลักฐาน

Photo by: สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

ประเภทของอุปกรณ์อิเล็กทรอนิกส์ที่มีข้อมูลที่สามารถใช้เป็นหลักฐานทางดิจิทัล ได้แบ่งได้เป็น 2 ประเภท คือ

• ระบบคอมพิวเตอร์ ซึ่งมีความสามารถในการจัดเก็บและประมวลผลข้อมูลดิจิทัล เช่น
  • Desktop Computer
  • Smart Phone
  • Laptop Computer
  • IoT Devices
  • Medical Device
  • Smart Device อื่น ๆ
    
• 
  
  
• Photo by : csilinux Challenge: Electronic Evidence Seizer #1
• อุปกรณ์ต่อพ่วง ซึ่งทำหน้าที่เพิ่มขีดความสามารถ หรือ เพิ่มพื้นที่ในการจัดเก็บข้อมูลของอุปกรณ์ที่ทำหน้าที่เป็นระบบคอมพิวเตอร์หลัก เช่น
  • External Hard Drive
  • Printer
  • Scanner
  • Smart Card Reader
  • NFC Reader
  • Network Equipment

Photo by: สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

กระบวนการตรวจสอบหลักฐานดิจิทัล

จากความต้องการในการใช้งานหลักฐานดิจิทัล ความท้าทาย ธรรมชาติของหลักฐานนั้น ทำให้ต้องมีกระบวนการที่จะตอบสนองการใช้งานหลักฐานดิจิทัล เริ่มตั้งแต่การได้มา จัดเก็บ ส่งมอบ วิเคราะห์และตรวจสอบ จนถึงการรายงานผลการวิเคราะห์ ดังนี้

• การประเมินหลักฐาน
• การได้มาซึ่งหลักฐาน
• การส่งมอบหลักฐานดิจิทัล
• การตรวจสอบและวิเคราะห์หลักฐาน
• การจัดทำเอกสารหลักฐานและรายงาน

ขั้นตอนการประเมินหลักฐาน

เมื่อทราบเหตุการณ์หรือข้อเท็จจริงที่ต้องการพิสูจน์แล้ว ต้องประเมินให้ได้ว่าหลักฐานดิจิทัลที่อยู่ในอุปกรณ์ใดบ้างที่มีความจำเป็นที่จะต้องใช้ประกอบการพิจารณา

ขั้นตอนการได้มาซึ่งหลักฐาน

การได้มาซึ่งหลักฐานจะต้อง

• ทำสำเนาจากหลักฐานต้นฉบับ โดยให้ตรงกับต้นฉบับทุกประการ หรือที่เรียกว่า Bit-for-Bit Copy หรือ Duplicate
• ในการทำสำเนาต้องใช้เทคโนโลยี Write-Blocker เพื่อป้องกันการปนเปื้อนของหลักฐานโดยไม่ได้เจตนา
• ป้องกันการเปลี่ยนแปลงหรือทำลายชิ้นหลักฐาน ซึ่งอาจเกิดจากสิ่งรบกวนทางกายภาพ เช่น ความชื้น ไฟฟ้าสถิต
• ทำการบันทึกกิจกรรมในการทำสำเนาหลักฐานพร้อมภาพถ่ายอย่างละเอียด ทั้งก่อน ระหว่าง และหลังการจัดเก็บหลักฐาน
• ลายนิ้วมือของหลักฐานต้นฉบับและ Duplicate จะต้องตรงกัน สามารถทำได้โดยคำนวณ Cryptographic Hash/Checksum เช่น SHA-1, SHA-256, MD5 CRC-32 ของหลักฐานทั้งสองชุดแล้วนำมาเปรียบเทียบกัน และลายนิ้วมือจะต้องไม่มีการเปลี่ยนแปลง
• ตลอดอายุการใช้งานของหลักฐาน
• เริ่มการบันทึกห่วงโซ่หลักฐาน (Chain of Custody) ตั้งแต่การทำสำเนาครั้งแรก

Photo by: สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

ขั้นตอนการส่งมอบหลักฐานดิจิทัล

ทุกครั้งที่มีการส่งมอบหลักฐาน เริ่มตั้งแต่การได้มาซึ่งหลักฐานครั้งแรก จะต้องมีการบันทึก Chain of Custody ซึ่งประกอบด้วย

• วัน เวลา สถานที่ ที่ส่งมอบหรือจัดเก็บหลักฐาน
• ชื่อผู้ส่งมอบ
• ชื่อผู้รับ
• สิ่งที่ส่งมอบ เหตุผลในการส่งมอบ

ขั้นตอนการตรวจสอบและวิเคราะห์หลักฐาน

ทำการวิเคราะหลักฐานเพื่อพิสูจน์ หรือ ปฏิเสธสมมติฐาน ในการสอบสวนหรือค้นหาความจริง ในส่วนนี้ไม่มีขั้นตอนตายตัว ขึ้นอยู่กับว่าเรากำลังพิสูจน์เรื่องอะไรอยู่ ซึ่งสิ่งหนึ่งที่สำคัญ และเป็นที่แน่นอนเลย คือ ผู้วิเคราะห์จะต้องมีความเข้าใจในระบบที่จะทำการวิเคราะห์เป็นอย่างดี แต่ก็มีเทคนิคที่สามารถใช้ได้โดยทั่วไป ดังนี้

• การกู้ไฟล์ที่ถูกลบ
• การวิเคราะห์เนื้อหาไฟล์ที่น่าสนใจและเกี่ยวข้อง
• การลำดับเหตุการณ์และวิเคราะห์ลำดับเหตุการณ์ (Timeline Analysis)
• การถอดรหัสไฟล์
• การเชื่อมโยงข้อมูลจากหลาย ๆ แหล่งเข้าด้วยกัน (Correlation)

ขั้นตอนการจัดทำเอกสารหลักฐานและรายงาน

เมื่อการวิเคราะห์หลักฐานเสร็จสิ้นและได้ข้อสรุปแล้ว ขั้นตอนต่อไปคือ การจัดทำรายงาน
เพื่อนำเสนอผลต่อผู้ที่มีส่วนได้ส่วนเสียในกรณีนั้น ๆ ถือเป็นขั้นตอนที่สำคัญที่สุด ซึ่งมีขั้นตอนปฏิบัติ ที่เป็นแนวทาง ดังนี้

• ก่อนที่จะเริ่มเขียน ให้คำนึงถึงผู้ที่จะต้องนำรายงานไปใช้งาน
• ทำรายงานให้กระชับที่สุด
• จัดเรียงเนื้อหาให้ผู้ทำไปใช้สามารถใช้งานได้สะดวก
• เนื้อหาจะต้องถูกต้องแม่นยำทุกรายละเอียด และไม่สร้างความสับสนให้ผู้อ่าน
• รูปภาพและคำอธิบายต้องได้รับการจัดวางให้อยู่ในที่ ที่เหมาะกับการใช้งานของผู้อ่าน
• มีการสรุปเพื่อให้เห็นภาพรวม
• รายงานต้องผ่านกระบวนการ Peer Review

เอกสารรายงานการตรวจสอบหลักฐาน

องค์ประกอบของเอกสารรายงานการตรวจสอบหลักฐาน มีดังต่อไปนี้

• บทนำ ชื่อ และรายละเอียดของผู้วิเคราะห์
• ที่มาและความจำเป็นในการวิเคราะห์หลักฐาน พร้อมทั้งสิ่งที่ต้องการพิสูจน์
• ผลสรุปจากการวิเคราะห์ และมีผลอย่างไรต่อเรื่องที่จะพิสูจน์
• วิธีการที่ใช้ในการวิเคราะห์
• เครื่องมือที่ใช้
• รายการหลักฐานที่ได้รับการวิเคราะห์
• รายละเอียดในการดำเนินการ พร้อมทั้งผลที่ได้ ที่สอดคล้องกับข้อสรุป
• ข้อเท็จจริงที่ได้จากการดำเนินการในแต่ละขั้นตอนที่สอดคล้องกับข้อสรุป ต้องไม่มีความเห็นเจือปน
• ข้อสรุปในภาพรวมและความเห็นของผู้เชี่ยวขาญ
• ภาคผนวก และไฟล์แนบที่ใช้ประกอบการวิเคราะห์

จากประเภทของข้อมูลดิจิทัล จะเห็นได้ว่าปัจจุบันธุรกรรมเกือบทุกประเภทจะถูกแปลงเป็น
รูปแบบดิจิทัลเกือบทั้งหมดแล้ว และสุดท้ายทั้งหมดนี้จะกลายมาเป็นพยานหลักฐานดิจิทัลนั่นเองครับ

การวิเคราะห์หลักฐานดิจิทัลนั้นเป็นทั้งศาสตร์และศิลป์ ต้องอาศัยความคิดสร้างสรรค์
เพื่อที่จะค้นหา และใช้ประโยชน์จากหลักฐานในการพิสูจน์ข้อเท็จจริงหรือหาความกระจ่างให้กับเรื่องที่สนใจครับ

รูปภาพจาก ACIS Professional

ที่มา:ACIS Professional , สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

       หลักสูตรด้านความมั่นคงปลอดภัยไซเบอร์ระด้ับพื้นฐาน Cyber security Foundation Course

 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #คดีอาชญากรรมคอมพิวเตอร์ #พยานหลักฐานดิจิทัล