Friday, October 7, 2022

Digital Forensics:การสืบหาหลักฐานดิจิทัล Digital Evidence

Digital Forensics:การสืบหาหลักฐานดิจิทัล Digital Evidence


การสืบหาหลักฐานดิจิทัล Digital Evidence

                               Photo by: สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

หลักฐานดิจิทัล (Digital Evidence) คือ ข้อมูลหรือสารสนเทศที่อยู่ในรูปแบบของ Bit 0  หรือ 1 (ศูนย์ หรือ หนึ่ง รวมเรียกได้อีกอย่างว่า Binary) ซึ่งสามารถแสดงผลออกมาเป็นข้อมูลที่คนทั่วไป สามารถเข้าใจได้ผ่านโปรแกรมคอมพิวเตอร์ และสามารถใช้ในการพิสูจน์ข้อเท็จจริง หรือ หาความกระจ่างให้กับเรื่องที่กำลังสนใจอยู่ได้ รวมถึงสามารถใช้ในกระบวนการยุติธรรมในชั้นศาล



ทั้งนี้ การจะสามารถนำมาประกอบการพิจารณาในชั้นศาลได้หรือไม่นั้น ขึ้นอยู่กับดุลยพินิจของศาล

ประเด็นความท้าทายเกี่ยวกับหลักฐานดิจิทัล (บทบาท คุณลักษณะ ความเปราะบางหลักฐาน)

หลักฐานดิจิทัลถึงแม้จะจับต้องไม่ได้ แต่ก็ถือเป็นหลักฐานทางกายภาพ ธรรมชาติของหลักฐานดิจิทัลจะอยู่ในรูปแบบของสนามแม่เหล็ก (Magnetic Field),  การเปลี่ยนแปลงของกระแสไฟฟ้า (Electronic Pulse) หรือการสะท้อนและ Spectrum ของแสง (Optical Reflection/Optical Spectrum) ที่สามารถแปลผลออกมาให้อยู่ในรูปแบบ Binary เพื่อที่จะให้ระบบคอมพิวเตอร์นำไปประมวลผลและแสดงผลออกมาให้กับผู้ใช้งานได้

ข้อมูลในรูปแบบดิจิทัลทุกอย่าง สามารถใช้เป็นหลักฐานในการพิสูจน์ข้อเท็จจริงหรือหาความกระจ่างให้กับเรื่องที่กำลังสนใจอยู่ได้ ขึ้นอยู่กับว่าจะมีความเกี่ยวข้องกับเรื่องที่สนใจอยู่นั้นหรือไม่

ตัวอย่างของเรื่องที่สามารถแก้ปัญหาโดยใช้หลักฐานทางดิจิทัลก็คือ

  • การพิสูจน์ข้อเท็จจริงกรณีเกิดข้อพิพาทของบุคคลตั้งแต่สองฝ่ายขึ้นไป
  • การพิสูจน์ข้อเท็จจริงในกรณีที่มีผู้ฝ่าฝืนนโยบายขององค์กร จนก่อให้เกิดความเสียหายต่อสังคมและองค์กร
  • การพิจารณาคดีความทางแพ่งและอาญา
  • การค้นหาสาเหตุของการโจมตีทางไซเบอร์ว่าเกิดจากช่องโหว่ใด เพื่อที่จะได้ทำการแก้ไขให้ตรงจุด

ความเปราะบางของหลักฐานดิจิทัลเอง ก็เป็นผลมาจากรูปแบบที่ถูกจัดเก็บตามที่ได้กล่าวไปแล้วในข้างต้น ทำให้หลักฐานนั้นถูกเปลี่ยนแปลง ทำให้เสียหายหรือถูกทำลายได้ง่าย หากมีการดูแลที่ไม่เหมาะสมหรือการวิเคราะห์หลักฐานโดยขาดความระมัดระวัง ด้วยเหตุนี้เอง หลักฐานทางดิจิทัลจึงมักจะประสบกับความท้าทายดังต่อไปนี้อยู่บ่อย ๆ

  • ความน่าเชื่อถือหรือความถูกต้องสมบูรณ์ของหลักฐาน (Authenticity & Integrity) เมื่อเก็บจากที่เกิดเหตุ
  • การจัดเก็บและการส่งต่อหลักฐาน โดยที่ยังคงไว้ซึ่งความน่าเชื่อถือหรือความถูกต้องสมบูรณ์ของหลักฐาน
  • ความเข้าใจของผู้ที่พิจารณาข้อเท็จจริงหรือคดีความที่มีหลักฐานดิจิทัลเป็นส่วนเกี่ยวข้อง

ดังนั้น การได้มา จัดเก็บ รักษา และวิเคราะห์หลักฐานทางดิจิทัลจะต้องทำด้วยวิธีการเฉพาะที่ต้องอาศัยความเชี่ยวชาญ ความระมัดระวังเป็นอย่างสูง

ประเภทของข้อมูลดิจิทัล

ประเภทของข้อมูลทางดิจิทัลที่สามารถสกัด (Extract) ออกมาจากแหล่งข้อมูลที่จัดเก็บไว้ในรูปแบบ Electronic มีดังตัวอย่างต่อไปนี้

  • ตำแหน่ง GPS
  • ภาพถ่ายนิ่ง หรือ เคลื่อนไหว
  • บันทึกเสียง
  • ประวัติการเข้าใช้งานเว็บไซต์
  • ข้อมูลธุรกรรมการเงิน
  • บันทึกการสนทนาเป็นตัวอักษร (Chat Log)
  • การตั้งค่าของระบบคอมพิวเตอร์
  • ข้อมูลการเชื่อมต่อทางเครือข่าย
  • รายการโปรแกรมที่กำลังถูกใช้งาน
  • รายการของไฟล์ที่กำลังถูกเข้าถึง
  • บันทึกเหตุการณ์ (Log) ของระบบปฏิบัติการและ Application
  • บันทึกการเปลี่ยนแปลงของ File System
  • ข้อมูลที่ไม่ได้ถูกเขียนทับโดยสมบูรณ์ที่อยู่ใน Free Space และ Slack Space ซึ่งสามารถกู้คืนกลับมาได้
  • บันทึกกิจกรรมในเครือข่าย (Network Log)

บทบาทของหลักฐานดิจิทัล (กฎของหลักฐาน)

จากที่เราทราบกันแล้วว่า หลักฐานดิจิทัลนั้นเป็นสิ่งที่มีความอ่อนไหว ง่ายต่อการเสียหายมาก การวิเคราะห์หรือการดำเนินการใด ๆ จึงไม่สามารถกระทำบนหลักฐานต้นฉบับได้
แต่กฎของหลักฐานที่ดีที่สุดก็มีอยู่ว่า ข้อเท็จจริงที่จะใช้ในการนำเสนอในกระบวนการยุติธรรมได้ ต้องเป็นข้อเท็จจริงที่ได้จากหลักฐานต้นฉบับหรือตัวจริงเท่านั้น หรือแม้กระทั่งการพิสูจน์กระบวนการนอกชั้นศาล ก็ต้องพิสูจน์ได้ว่า ข้อเท็จจริงที่ได้จากหลักฐานดิจิทัลไม่ได้ผ่านการเติมแต่งเปลี่ยนแปลง ตรงตามต้นฉบับทุกประการ การที่จะทำให้หลักฐานทางดิจิทัลเป็นที่ยอมรับได้นั้นจะต้อง

  • ทำสำเนาจากหลักฐานต้นฉบับโดยให้ตรงกับต้นฉบับทุกประการ หรือที่เรียกว่า Bit-for-Bit Copy หรือ Duplicate
  • ในการทำสำเนาต้องใช้เทคโนโลยี Write-Blocker เพื่อป้องกันการปนเปื้อนของหลักฐานโดยไม่ได้เจตนา
  • ทำการบันทึกกิจกรรมในการทำสำเนาหลักฐานพร้อมภาพถ่ายอย่างละเอียด
  • เริ่มการบันทึกห่วงโซ่หลักฐาน (Chain of Custody) ตั้งแต่การทำสำเนาครั้งแรก

อุปกรณ์อิเล็กทรอนิกส์ ประเภทและความสามารถในการเก็บหลักฐาน

การสืบหาหลักฐานดิจิทัล Digital Evidence

ประเภทของอุปกรณ์อิเล็กทรอนิกส์ที่มีข้อมูลที่สามารถใช้เป็นหลักฐานทางดิจิทัล ได้แบ่งได้เป็น 2 ประเภท คือ

  • ระบบคอมพิวเตอร์ ซึ่งมีความสามารถในการจัดเก็บและประมวลผลข้อมูลดิจิทัล เช่น
    • Desktop Computer
    • Smart Phone
    • Laptop Computer
    • IoT Devices
    • Medical Device
    • Smart Device อื่น ๆ

  • การสืบหาหลักฐานดิจิทัล Digital Evidence
  • อุปกรณ์ต่อพ่วง ซึ่งทำหน้าที่เพิ่มขีดความสามารถ หรือ เพิ่มพื้นที่ในการจัดเก็บข้อมูลของอุปกรณ์ที่ทำหน้าที่เป็นระบบคอมพิวเตอร์หลัก เช่น
    • External Hard Drive
    • Printer
    • Scanner
    • Smart Card Reader
    • NFC Reader
    • Network Equipment

การสืบหาหลักฐานดิจิทัล Digital Evidence

กระบวนการตรวจสอบหลักฐานดิจิทัล

จากความต้องการในการใช้งานหลักฐานดิจิทัล ความท้าทาย ธรรมชาติของหลักฐานนั้น ทำให้ต้องมีกระบวนการที่จะตอบสนองการใช้งานหลักฐานดิจิทัล เริ่มตั้งแต่การได้มา จัดเก็บ ส่งมอบ วิเคราะห์และตรวจสอบ จนถึงการรายงานผลการวิเคราะห์ ดังนี้

  • การประเมินหลักฐาน
  • การได้มาซึ่งหลักฐาน
  • การส่งมอบหลักฐานดิจิทัล
  • การตรวจสอบและวิเคราะห์หลักฐาน
  • การจัดทำเอกสารหลักฐานและรายงาน

ขั้นตอนการประเมินหลักฐาน

เมื่อทราบเหตุการณ์หรือข้อเท็จจริงที่ต้องการพิสูจน์แล้ว ต้องประเมินให้ได้ว่าหลักฐานดิจิทัลที่อยู่ในอุปกรณ์ใดบ้างที่มีความจำเป็นที่จะต้องใช้ประกอบการพิจารณา

ขั้นตอนการได้มาซึ่งหลักฐาน

การได้มาซึ่งหลักฐานจะต้อง

  • ทำสำเนาจากหลักฐานต้นฉบับ โดยให้ตรงกับต้นฉบับทุกประการ หรือที่เรียกว่า Bit-for-Bit Copy หรือ Duplicate
  • ในการทำสำเนาต้องใช้เทคโนโลยี Write-Blocker เพื่อป้องกันการปนเปื้อนของหลักฐานโดยไม่ได้เจตนา
  • ป้องกันการเปลี่ยนแปลงหรือทำลายชิ้นหลักฐาน ซึ่งอาจเกิดจากสิ่งรบกวนทางกายภาพ เช่น ความชื้น ไฟฟ้าสถิต
  • ทำการบันทึกกิจกรรมในการทำสำเนาหลักฐานพร้อมภาพถ่ายอย่างละเอียด ทั้งก่อน ระหว่าง และหลังการจัดเก็บหลักฐาน
  • ลายนิ้วมือของหลักฐานต้นฉบับและ Duplicate จะต้องตรงกัน สามารถทำได้โดยคำนวณ Cryptographic Hash/Checksum เช่น SHA-1, SHA-256, MD5 CRC-32 ของหลักฐานทั้งสองชุดแล้วนำมาเปรียบเทียบกัน และลายนิ้วมือจะต้องไม่มีการเปลี่ยนแปลง
  • ตลอดอายุการใช้งานของหลักฐาน
  • เริ่มการบันทึกห่วงโซ่หลักฐาน (Chain of Custody) ตั้งแต่การทำสำเนาครั้งแรก

การสืบหาหลักฐานดิจิทัล Digital Evidence

Photo by: สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ

ขั้นตอนการส่งมอบหลักฐานดิจิทัล

ทุกครั้งที่มีการส่งมอบหลักฐาน เริ่มตั้งแต่การได้มาซึ่งหลักฐานครั้งแรก จะต้องมีการบันทึก Chain of Custody ซึ่งประกอบด้วย

  • วัน เวลา สถานที่ ที่ส่งมอบหรือจัดเก็บหลักฐาน
  • ชื่อผู้ส่งมอบ
  • ชื่อผู้รับ
  • สิ่งที่ส่งมอบ เหตุผลในการส่งมอบ

ขั้นตอนการตรวจสอบและวิเคราะห์หลักฐาน

ทำการวิเคราะหลักฐานเพื่อพิสูจน์ หรือ ปฏิเสธสมมติฐาน ในการสอบสวนหรือค้นหาความจริง ในส่วนนี้ไม่มีขั้นตอนตายตัว ขึ้นอยู่กับว่าเรากำลังพิสูจน์เรื่องอะไรอยู่ ซึ่งสิ่งหนึ่งที่สำคัญ และเป็นที่แน่นอนเลย คือ ผู้วิเคราะห์จะต้องมีความเข้าใจในระบบที่จะทำการวิเคราะห์เป็นอย่างดี แต่ก็มีเทคนิคที่สามารถใช้ได้โดยทั่วไป ดังนี้

  • การกู้ไฟล์ที่ถูกลบ
  • การวิเคราะห์เนื้อหาไฟล์ที่น่าสนใจและเกี่ยวข้อง
  • การลำดับเหตุการณ์และวิเคราะห์ลำดับเหตุการณ์ (Timeline Analysis)
  • การถอดรหัสไฟล์
  • การเชื่อมโยงข้อมูลจากหลาย ๆ แหล่งเข้าด้วยกัน (Correlation)

ขั้นตอนการจัดทำเอกสารหลักฐานและรายงาน

เมื่อการวิเคราะห์หลักฐานเสร็จสิ้นและได้ข้อสรุปแล้ว ขั้นตอนต่อไปคือ การจัดทำรายงาน
เพื่อนำเสนอผลต่อผู้ที่มีส่วนได้ส่วนเสียในกรณีนั้น ๆ ถือเป็นขั้นตอนที่สำคัญที่สุด ซึ่งมีขั้นตอนปฏิบัติ ที่เป็นแนวทาง ดังนี้

  • ก่อนที่จะเริ่มเขียน ให้คำนึงถึงผู้ที่จะต้องนำรายงานไปใช้งาน
  • ทำรายงานให้กระชับที่สุด
  • จัดเรียงเนื้อหาให้ผู้ทำไปใช้สามารถใช้งานได้สะดวก
  • เนื้อหาจะต้องถูกต้องแม่นยำทุกรายละเอียด และไม่สร้างความสับสนให้ผู้อ่าน
  • รูปภาพและคำอธิบายต้องได้รับการจัดวางให้อยู่ในที่ ที่เหมาะกับการใช้งานของผู้อ่าน
  • มีการสรุปเพื่อให้เห็นภาพรวม
  • รายงานต้องผ่านกระบวนการ Peer Review

เอกสารรายงานการตรวจสอบหลักฐาน

องค์ประกอบของเอกสารรายงานการตรวจสอบหลักฐาน มีดังต่อไปนี้

  • บทนำ ชื่อ และรายละเอียดของผู้วิเคราะห์
  • ที่มาและความจำเป็นในการวิเคราะห์หลักฐาน พร้อมทั้งสิ่งที่ต้องการพิสูจน์
  • ผลสรุปจากการวิเคราะห์ และมีผลอย่างไรต่อเรื่องที่จะพิสูจน์
  • วิธีการที่ใช้ในการวิเคราะห์
  • เครื่องมือที่ใช้
  • รายการหลักฐานที่ได้รับการวิเคราะห์
  • รายละเอียดในการดำเนินการ พร้อมทั้งผลที่ได้ ที่สอดคล้องกับข้อสรุป
  • ข้อเท็จจริงที่ได้จากการดำเนินการในแต่ละขั้นตอนที่สอดคล้องกับข้อสรุป ต้องไม่มีความเห็นเจือปน
  • ข้อสรุปในภาพรวมและความเห็นของผู้เชี่ยวขาญ
  • ภาคผนวก และไฟล์แนบที่ใช้ประกอบการวิเคราะห์

จากประเภทของข้อมูลดิจิทัล จะเห็นได้ว่าปัจจุบันธุรกรรมเกือบทุกประเภทจะถูกแปลงเป็น
รูปแบบดิจิทัลเกือบทั้งหมดแล้ว และสุดท้ายทั้งหมดนี้จะกลายมาเป็นพยานหลักฐานดิจิทัลนั่นเองครับ

การวิเคราะห์หลักฐานดิจิทัลนั้นเป็นทั้งศาสตร์และศิลป์ ต้องอาศัยความคิดสร้างสรรค์
เพื่อที่จะค้นหา และใช้ประโยชน์จากหลักฐานในการพิสูจน์ข้อเท็จจริงหรือหาความกระจ่างให้กับเรื่องที่สนใจครับ

การสืบหาหลักฐานดิจิทัล Digital Evidence

รูปภาพจาก ACIS Professional


       หลักสูตรด้านความมั่นคงปลอดภัยไซเบอร์ระด้ับพื้นฐาน Cyber security Foundation Course
 

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #คดีอาชญากรรมคอมพิวเตอร์ #พยานหลักฐานดิจิทัล

No comments:

Post a Comment

Digital Forensics:CDIC2024

Digital Forensics:CDIC2024    งานสัมมนาประจำปีด้านความมั่นคงปลอดภัยไซเบอร์  27-28 พฤศจิกายน 2567 ณ Grand Hall ไบเทค บางนา วันนี้แอดแวะมางาน ...