Friday, January 5, 2024

Digital Forensics Integrity

Digital Forensics Integrity

การรับรองความถูกต้องสมบูรณ์ของนิติวิทยาศาสตร์ดิจิทัล: ความสำคัญของห่วงโซ่การคุ้มครองหลักฐานดิจิทัล

Ensuring Digital Forensics Integrity

ห่วงโซ่การคุ้มครองหลักฐานดิจิทัล  เป็นแนวคิดที่สำคัญในนิติเวชดิจิทัลและระบบตุลาการสมัยใหม่

​วัตถุประสงค์หลักคือเพื่อให้แน่ใจว่าที่มาของหลักฐานดิจิทัลนั้นถูกต้องตามกฎหมาย ไม่ได้รับการแก้ไข และสามารถยอมรับฟังในชั้นศาลได้  หลักการชั่งน้้าหนักและการรับฟังพยานหลักฐานดิจิตอล 

มีการกำหนดให้มีการจัดทำเอกสารทุกอย่างที่เกี่ยวข้องกับหลักฐานดิจิทัล และสรุปรายละเอียดดังนี้:

  • การรวบรวม
  • โอนขนย้าย
  • ลำดับของการควบคุม
  • การวิเคราะห์
  • ใครรับผิดชอบหริอเกี่ยวข้องกับหลักฐาน 
  • วันที่และเวลาของเหตุการณ์
  • วัตถุประสงค์

หากละเว้นรายละเอียดเฉพาะใดๆ เกี่ยวกับการจัดการหลักฐานดิจิทัล คุณภาพนั้นอาจถูกตั้งคำถาม และศาลอาจตัดสินว่าไม่เป็นที่ยอมรับ

ในการบังคับใช้กฎหมาย คุณมักจะเผชิญกับสถานการณ์ที่ต้องมีความเข้าใจพื้นฐานเป็นอย่างน้อยว่าห่วงโซ่การควบคุมตัวสำหรับหลักฐานดิจิทัลคืออะไร และจะรักษาไว้อย่างไรเพื่อไม่ให้หลักฐานเสียหายซึ่งมีความสำคัญต่อคดี

เพื่อให้ปัญหาที่ซับซ้อนนี้เข้าใจได้ง่ายขึ้น เราได้เตรียมคำแนะนำที่ครอบคลุมเพื่อให้คุณปฏิบัติตาม

  • ความสำคัญของการรักษาห่วงโซ่การรักษาการคุ้มครองหลักฐานดิจิทัล
  • หลักการ“ห่วงโซ่การคุ้มครองพยานหลักฐาน
  • กระบวนการห่วงโซ่การคุ้มครองพยานหลักฐาน
  • การกรอกแบบฟอร์ม CoC คือการตอบคำถามที่สำคัญ
  • สิ่งที่ควรทำและไม่ควรทำในการทำงานกับหลักฐานดิจิทัล
  • บทสรุป

Digital Forensics Integrity

ความสำคัญของการรักษาห่วงโซ่การคุ้มครองหลักฐานดิจิทัล

ห่วงโซ่การคุ้มครองหลักฐานดิจิทัลในการสืบสวนคดีอาญาเป็นพื้นฐานในการตัดสินลงโทษผู้กระทำผิดและนำพวกเขาเข้าสู่กระบวนการยุติธรรม การไม่ปฏิบัติตามระเบียบการและคุณมีความเสี่ยงที่ผิดกฎหมาย


 ทั้งในกระบวนการนิติเวชดิจิทัลหรือในระบบกฎหมาย เหตุใดห่วงโซ่การอารักขาจึงมีความสำคัญ?

ผู้ตรวจพิสูจน์หลักฐาน

ผู้ตรวจสอบนิติเวชดิจิทัลอาจทำการวิเคราะห์หลักฐานดิจิทัลในรูปทรงและรูปแบบต่าง ๆ ในขณะที่ทำงานกับข้อมูลที่ได้รับจากอุปกรณ์ต่าง ๆ เช่น:

  • แฟลชไดรฟ์
  • อุปกรณ์ไอโอที
  • ฮาร์ดไดรฟ์
  • วีดีโอ
  • เสียง
  • ฯลฯ

Evidence BAG

สมมติว่างานต้องการได้รับข้อมูลเมตา (metadata)จากไฟล์รูปภาพ แต่เมื่อตรวจสอบอย่างละเอียดแล้ว ดูเหมือนว่าคุณจะไม่พบอะไร เลย อย่างไรก็ตาม นี่ไม่ได้แปลว่าคุณกำลังล้มเหลวเสมอไป หลักฐานทางนิติวิทยาศาสตร์ดิจิทัลที่คุณกำลังมองหาอาจอยู่ที่อื่น และคุณอาจค้นพบได้โดยการติดตามห่วงโซ่การคุ้มครองพยานหลักฐาน


Digital Forensics Examiner

โปรดจำไว้ว่าข้อมูลดังกล่าวมีข้อมูลสำคัญเกี่ยวกับ:

  • ต้นกำเนิดของมัน
  • ใครเป็นคนจัดการ
  • ใช้อุปกรณ์อะไร
  • ฯลฯ
Digital Forensics Integrity

เพื่อให้ได้เบาะแสที่คุณกำลังมองหา บางทีคุณอาจพบว่าคุณอาจต้องใช้เครื่องมือนิติเวชดิจิทัลที่แตกต่างจากที่คุณใช้อยู่ในปัจจุบัน นี่คือเหตุผลว่าทำไมห่วงโซ่การคุ้มครองพยานหลักฐานจึงเป็นมากกว่าสิ่งที่เห็น

ศาล

แม้ว่าหน้าที่ของศาลจะไม่ได้เป็นผู้นำการสืบสวนทางนิติเวช แต่ก็มีหน้าที่รับผิดชอบในการตรวจสอบให้แน่ใจว่าหลักฐานดิจิทัลในการสืบสวนคดีอาญาเป็นที่ยอมรับได้ และความสมบูรณ์ของหลักฐานโดยไม่ต้องสงสัย ในกรณีที่ขาดการเชื่อมโยงในห่วงโซ่การคุ้มครองพยานหลักฐาน ศาลอาจพิพากษาเพิกถอนพยานหลักฐานดิจิทัลได้

court & cyber evidence

รักษาหลักฐาน 

เมื่อจัดการกับหลักฐานดิจิทัล คุณไม่ควรทำผิดพลาดในการทำงานกับเอกสารต้นฉบับ ทำสำเนาแทน นี่คือสิ่งที่คุณจะดำเนินการโดยไม่ต้องกังวลว่าต้นฉบับจะเสียหาย เหตุผลก็คือ คุณต้องการให้มีตัวเลือกในการเปรียบเทียบเวอร์ชันแก้ไขกับเวอร์ชันต้นฉบับอยู่เสมอ เพื่อขจัดความคลาดเคลื่อนใดๆ

ถ่ายภาพและภาพหน้าจอ

นี่เป็นหนึ่งในขั้นตอนกระบวนการนิติวิทยาศาสตร์ดิจิทัลที่สำคัญ การทำเช่นนี้ ผู้เชี่ยวชาญด้านหลักฐานดิจิทัลที่จะตรวจสอบหลังจากที่คุณจะมีความเข้าใจที่ดีขึ้นเกี่ยวกับสิ่งที่คุณกำลังทำ และเห็นภาพรวมขั้นตอนการทำงานของคุณ

จัดทำเอกสารเวลาและวันที่รับ

วิธีนี้ช่วยให้คุณเข้าใจขั้นตอนต่างๆ ในนิติคอมพิวเตอร์ และเห็นภาพลำดับเวลาของผู้ตรวจสอบหลักฐานดิจิทัล นอกจากนี้ คุณจะรู้ว่ามันอยู่ที่ไหนในทุกย่างก้าวก่อนที่หน่วยงานบังคับใช้กฎหมายจะเข้ามาตรวจสอบ

จัดทำสำเนาหลักฐานดิจิทัล(digital forensic image)

รูปภาพดังกล่าวจะเป็นการลอกเลียนแบบต้นฉบับเล็กน้อย และนี่คือสิ่งที่คุณจะอัปโหลดลงในคอมพิวเตอร์เพื่อตรวจสอบ หากคุณกำลังมองหาเครื่องมือนิติเวชดิจิทัลระดับมืออาชีพที่ช่วยให้คุณทำเช่นนี้ได้

ตรวจสอบความถูกต้องของภาพผ่านการวิเคราะห์แฮช

ทั้งนี้เพื่อวัตถุประสงค์ในการรับรองความถูกต้องเพิ่มเติม โปรดจำไว้ว่าผู้เชี่ยวชาญด้านหลักฐานดิจิทัลจำเป็นต้องตรวจสอบให้แน่ใจว่าข้อมูลไม่เสียหายและแสดงถึงสำเนาที่แท้

กระบวนการห่วงโซ่การคุ้มครองพยานหลักฐาน

เพื่อให้คุณเห็นภาพคร่าวๆ ของกระบวนการนิติเวชดิจิทัล และวิธีที่ห่วงโซ่การคุ้มครองพยานหลักฐานดิจิทัลเข้ากันได้ เราจะแนะนำคุณผ่านขั้นตอนต่างๆ การทำตามขั้นตอนที่ระบุไว้ด้านล่างนี้ จะเป็นเรื่องยากมากสำหรับศาลใดๆ ที่จะตัดสินว่าหลักฐานดังกล่าวไม่สามารถยอมรับได้

1. การรวบรวมข้อมูล 

นี่เป็นขั้นตอนแรกสุดในกระบวนการห่วงโซ่การดูแลพยานหลักฐานดิจิทัล มันเกี่ยวข้องกับ:

  • ระบุหลักฐาน
  • การติดฉลาก หรือหมายเลข
  • การบันทึก
  • การสำเนาข้อมูลจากหลักฐานดิจิทัล 

ทั้งนี้เพื่อรักษาความสมบูรณ์ของหลักฐาน

2. การตรวจสอบ

ขั้นตอนกระบวนการนิติเวชดิจิทัลที่เกี่ยวข้องกับการตรวจสอบล้วนเกี่ยวกับการจัดทำเอกสารทุกอย่าง ในทางปฏิบัติ ข้อมูลเชิงลึกเกี่ยวกับขั้นตอนการทำงานของผู้ตรวจสอบนิติเวชดิจิทัล และงานใดบ้างที่เสร็จสิ้นแล้ว

3.การวิเคราะห์

หลักฐานดิจิทัลเกี่ยวข้องกับการประเมินข้อมูลที่ดึงมาจากอุปกรณ์ การใช้เครื่องมือนิติเวชดิจิทัลระดับอุตสาหกรรมที่ซับซ้อน เช่น   ทำให้สามารถสร้างเหตุการณ์ขึ้นมาใหม่ได้ตรงตามที่เกิดขึ้น

4.การรายงาน

ขั้นตอนการรายงานเกี่ยวข้องกับการเขียนรายงานนิติเวชดิจิทัล ที่สอดคล้องกับมาตรฐานทางกฎหมาย ควรครอบคลุมสิ่งต่อไปนี้:

  • เครื่องมือนิติเวชดิจิทัลที่ใช้ในกระบวนการ
  • ห่วงโซ่การคุ้มครองหลักฐานดิจิทัล
  • คำอธิบายของแหล่งข้อมูล
  • ปัญหาและช่องโหว่ใด ๆ ที่ระบุ
  • ข้อเสนอแนะเกี่ยวกับมาตรการเพิ่มเติมที่ต้องดำเนินการ

การเขียนรายงานนิติเวชดิจิทัลอาจใช้เวลานานและต้องใช้เวลาทำงานเป็นจำนวนมาก 

Digital Forensics Integrity

การกรอกแบบฟอร์ม CoC คือการตอบคำถามที่สำคัญ

เพื่อกรอกแบบฟอร์มให้ถูกต้อง คุณจะต้องตอบคำถามบางข้อที่เกี่ยวข้องกับกระบวนการคุ้มครองหลักฐานดิจิทัล

  • หลักฐานมีอะไรบ้าง?
  • ใครเป็นคนจัดการมัน?
  • ใครเป็นคนขนส่งมัน?
  • ใครบ้างที่สามารถเข้าถึงได้?
  • มันได้มาอย่างไรและเมื่อไหร่?
  • เก็บไว้ที่ไหนและอย่างไร?
  • สามารถติดตามได้หรือไม่?

ทุกครั้งที่ผู้ตรวจสอบพยานหลักฐานคนหนึ่งจากแผนกของคุณทำอะไรก็ตาม ทุกการกระทำที่เกี่ยวข้องกับกิจกรรมจะต้องมีการบันทึกไว้โดยละเอียด

สิ่งที่ควรทำและไม่ควรทำในการทำงานกับหลักฐานดิจิทัล

เนื่องจากการไม่ปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดในการทำงานกับหลักฐานดิจิทัลอาจทำให้ศาลไม่อาจยอมรับได้ ใครก็ตามที่เกี่ยวข้องกับกระบวนการสืบสวนด้านนิติเวชดิจิทัลจึงควรปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านล่างนี้

ทำ: บันทึกทุกอย่าง

ในกระบวนการสืบสวนทางนิติวิทยาศาสตร์ดิจิทัล คุณควรบันทึกทุกอย่าง รวมถึงสภาพทางกายภาพของอุปกรณ์ด้วย ถ่ายรูปว่าอยู่ในสภาพใดเมื่อคุณพบมัน

มีรอยแตก รอยบุบ หรือมีรอยขีดข่วนหรือไม่? มันเปียกน้ำหรือเปล่า?

คุณควรจดบันทึกด้วยว่าคุณพบเครื่องมือใด ๆ ในบริเวณใกล้เคียงที่ระบุว่าอาจมีคนเข้าไปยุ่งเกี่ยวกับเครื่องมือเหล่านั้นหรือไม่

อย่า: ทำงานกับต้นฉบับ

เพื่อหลีกเลี่ยงไม่ให้ข้อมูลต้นฉบับเสียหายหรือทำการเปลี่ยนแปลงที่ไม่อาจเพิกถอนได้ ผู้เชี่ยวชาญด้านหลักฐานดิจิทัลควรเลือกที่จะสร้างภาพทางนิติเวชดิจิทัลแทน ปัญหาอีกประการหนึ่งในการพยายามทำงานกับต้นฉบับคือคุณเสี่ยงที่จะลบข้อมูลเมตาอันมีค่าที่จัดเก็บไว้ในนั้น

เนื่องจากมีบันทึกเกี่ยวกับไฟล์ที่ถูกเข้าถึงและเวลาที่มีคนคัดลอกหรือไม่ และเมื่ออุปกรณ์ถูกปิด มันจึงมีความสำคัญอย่างยิ่งต่อการไขปัญหาของเคส

สิ่งที่ควรทำ: ใช้เครื่องเฉพาะหรือสภาพแวดล้อมเสมือน

เมื่อจัดการกับหลักฐานดิจิทัลในการสืบสวนคดีอาญา แนวปฏิบัติที่ดีที่สุดคือทำให้เป็นแบบออฟไลน์ คุณควรพิจารณาสร้างสภาพแวดล้อมเสมือนเพื่อป้องกันไม่ให้มัลแวร์ติดเครื่อง

โปรดทราบว่าอาจมีบางคนพยายามยุ่งเกี่ยวกับหลักฐานจากระยะไกล ตัวอย่างนี้ก็คือเจ้าของพยายามลบบันทึกคอมพิวเตอร์ผ่านทางอินเทอร์เน็ต

อย่า: พยายามทำโดยไม่มีผู้เชี่ยวชาญด้านนิติเวชดิจิทัล

เนื่องจากสิ่งที่คุณทำอาจเป็นอันตรายต่อความสมบูรณ์ของข้อมูลและทำให้หลักฐานดิจิทัลไม่สามารถยอมรับได้ในศาล คุณจึงไม่ควรดำเนินการสอบสวนโดยไม่มีผู้เชี่ยวชาญด้านนิติดิจิทัลอยู่ด้วย

แม้ว่าเจ้าหน้าที่ไอทีและเจ้าหน้าที่บังคับใช้กฎหมายคนอื่นๆ จะสามารถมีส่วนร่วมได้โดยช่วยคุณรวบรวมข้อมูลและรักษาความปลอดภัยของหลักฐาน แต่คุณไม่ควรพยายามดำเนินการเรื่องนี้โดยไม่ได้รับการดูแลและคำแนะนำจากผู้เชี่ยวชาญด้านหลักฐานดิจิทัลหรือผู้เชี่ยวชาญที่มีคุณสมบัติเหมาะสมอื่นๆ

สิ่งที่ควรทำ: เก็บอุปกรณ์อย่างเหมาะสม

เนื่องจากอุปกรณ์ที่มีหลักฐานดิจิทัลอาจมีความไวต่อปัจจัยด้านสิ่งแวดล้อม เช่น ความร้อนและความชื้น คุณจึงควรตรวจสอบให้แน่ใจว่าอุปกรณ์เหล่านั้นถูกจัดเก็บในสภาพแวดล้อมที่เหมาะสม

นอกจากนี้อย่าเก็บไว้ในพื้นที่ที่เปิดโล่ง สิ่งนี้อาจทำให้คุณเสี่ยงต่อการที่บุคคลที่ไม่ได้รับอนุญาตพยายามจะยุ่งเกี่ยวกับมันหรือเปลี่ยนแปลงมันในทางใดทางหนึ่ง

อย่า: เปลี่ยนสถานะพลังงานของอุปกรณ์

ตราบใดที่การสืบสวนทางนิติวิทยาศาสตร์ดิจิทัลยังดำเนินอยู่ คุณไม่ควรเปลี่ยนสถานะพลังงานของอุปกรณ์ กล่าวอีกนัยหนึ่ง หากเปิดอยู่ ให้ปล่อยทิ้งไว้ หากปิดอยู่ อย่าพยายามบู๊ต

สาเหตุก็คือในระหว่างการเริ่มต้นอุปกรณ์ กระบวนการบางอย่างจะถูกเปิดใช้งานโดยอัตโนมัติ ซึ่งบางกระบวนการสามารถล้างแคช เขียนทับพื้นที่ที่ไม่ได้ใช้ และแก้ไขหรืออัปเดตข้อมูลเมตาที่อยู่ในนั้น

บทสรุป

การรักษาห่วงโซ่การคุ้มครองหลักฐานดิจิทัลจะทำให้คุณรู้สึกเหมือนกำลังฝ่าทุ่นระเบิด ข้อผิดพลาดเพียงครั้งเดียวและการสืบสวนทั้งหมดอาจตกอยู่ในอันตรายและหลักฐานทางดิจิทัลจะถูกทำลาย

ดังนั้นจึงเป็นเรื่องสำคัญอย่างยิ่งที่จะต้องปฏิบัติตามระเบียบการและปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดที่ใช้กับกระบวนการสืบสวนทางนิติวิทยาศาสตร์ดิจิทัล

อ่านเพื่มเติม:  

ความเข้าใจเกี่ยวกับ ห่วงโซ่การคุ้มครอง-พยานหลักฐาน (chain of custody) รายงานทางนิติวิทยาศาสตร์ 


หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #ComputerForensics #dfir #forensics #digitalforensics #computerforensic #investigation #cybercrime #fraud

No comments:

Post a Comment

Digital Forensics:CDIC2024

Digital Forensics:CDIC2024    งานสัมมนาประจำปีด้านความมั่นคงปลอดภัยไซเบอร์  27-28 พฤศจิกายน 2567 ณ Grand Hall ไบเทค บางนา วันนี้แอดแวะมางาน ...