รอบรู้เรื่อง Digital Forensic พร้อมการรับมือกับ Advanced Threat และ Social Media

พร้อมเรียนรู้กลยุทธ์สำคัญที่จะช่วยให้แกะรอยอาชญากรรมเหล่านี้ได้ ผ่านการสืบค้นหลักฐานทางดิจิทัล (Digital Forensic) จากกรณีตัวอย่าง!!

• Digital Forensic คือ

Computer Forensics

     คือการเก็บหลักฐาน,การค้นหา,วิเคราะห์และการนำเสนอหลักฐานทางดิจิทัลที่อยู่ในอุปกรณ์คอมพิวเตอร์และอิเล็กทรอนิกส์เช่นไฟล์ที่อยู่ในคอมพิวเตอร์,อุปกรณ์อิเล็กทรอนิกส์,โทรศัพท์มือถือรวมถึงหลักฐานดิจิทัลที่ถูกสร้างจากระบบคอมพิวเตอร์เป็นต้น ด้วยกระบวนการที่น่าเชื่อถือเพื่อให้สามารถนำข้อเท็จจริงจากการวิเคราะห์หลักฐานนาไปใช้เป็นหลักฐานที่ศาลยอมรับฟังได้ โดยหน่วยงาน หรือองค์กรที่เกี่ยวข้อง และมีอำนาจหน้าที่ตามกฎหมาย ซึ่งข้อมูลเหล่านี้สามารถนาไปใช้ระบุผู้กระทำผิดจนถึงเป็นหลักฐานในการดำเนินคดีได้

• Problems & Challenge

• กระบวนการจัดการพยานหลักฐาน

• ระบุ

1. ระบุ 

1 ฐานความผิด - องค์ประกอบความผิด
2 ข้อสันนิษฐาน
3 อุปกรณ์คอมพิวเตอร์ที่เกี่ยวข้อง
4 ข้อมูลคอมพิวเตอร์ที่เกี่ยวข้อง
5 ประเภทความสัมพันธ์
     - ทางตรง
     - ทางอ้อม เช่น แรงจูงใจ, ความสัมพันธ์, ประโยชน์

• การพิสูจน์ตัวตน

1. สิ่งที่คุณมี Something you have
2. สิ่งที่คุณรู้ Something you know
3. สิ่งที่คุณเป็น Something you are

• กระบวนการจัดการพยานหลักฐาน

2. รักษา
1. อำนาจหน้าที่บุคคลที่จะเข้าถึง
2. ห่วงโซ่พยานหลักฐาน
3. ป้องกันการเปลี่ยนแปลง
     - การเข้าถึงทางเครือข่าย
     - ประเภทข้อมูลคอมพิวเตอร์ (Volatile Data)
     - ชนิดสื่อบันทึกข้อมูล/อุปกรณ์
     - สถานการณ์ เช่น ข้อมูลกำลังถูกลบ

• จัดเก็บ

3. จัดเก็บ
1.ทักษะ / ความรู้
2. เครื่องมือ / อุปกรณ์
3. วิธีกการปฏิบัติ
     - ประเภทอุปกรณ์ / ระบบปฏิบัติการ
     - อื่น ๆ เช่น การเก็บภาพที่กำลัง Live สด, FB post
4. การบรรจุหีบห่อ

• ข้อเสนอแนะมาตรฐานการจัดการอุปกรณ์ดิจิทัลในงานตรวจพิสูจน์พยานหลักฐาน

• พยานหลักฐานที่บุคคลภายนอก

• วิเคราะห์

4. วิเคราะห์
1. ตั้งประเด็นการตรวจพิสูจน์ตามรูปคดี
2. กระบวนการตรวจ
     - เครื่องมือ
     - วิธีการ / หลักวิชาการ
3. ออกรายงาน
     - ข้อเท็จจริง
     - ความเห็น

• การชั่งน้ำหนักพยานหลักฐาน

• หลักการรักษาความน่าเชื่อถือ

• พยานหลักฐานดิจิทัล คือ อะไร
  
• พยานหลักฐำนดิจิทัล หมายถึง ข้อมูลคอมพิวเตอร์ซึ่งน่าจะพิสูจน์ได้ว่าจำเลยมีผิดหรือบริสุทธิ์
  

“ข้อมูลคอมพิวเตอร์” หมายความว่า ข้อมูล ข้อความ คำสั่ง ชุดคำสั่ง หรือสิ่งอื่นใดบรรดาที่อยู่ในระบบคอมพิวเตอร์ในสภาพที่ระบบคอมพิวเตอร์อาจประมวลผลได้ และให้หมายความรวมถึงข้อมูลอิเล็กทรอนิกส์ตามกฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ด้วย (พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ฯ ม.3)

• ข้อเสนอแนะมาตรฐานการจัดการอุปกรณ์ดิจิทัลในงานตรวจพิสูจน์พยานหลักฐาน

• ประเภทพยานหลักฐานดิจิทัล

• แบ่งตามสื่อบันทึกข้อมูล

• แบ่งตามการะบวนการสื่่อสาร

• แบ่งตามการเข้ารหัส

• แบ่งตามชนิดอุปกรณ์

• กระบวนการเกิดพยานหลักฐาน

• การปฎิบัติงาน

• เข้าค้น ยืด และจัดเก็บพยานเหลักฐาน

• จัดเก็บหน่วยความจำ

• ถ่ายถาพ บันทึก VDO

• ตัวอย่างของกลาง

• การปฎิบัติในห้องปฎิบัติิการ

• ขั้นตอนการปฎิบัติงานที่เกี่ยวข้องกับการตรวจพิสูจน์

ขั้นตอนการปฏิบัติงานที่เกี่ยวข้องกับการตรวจพิสูจน์

1. รับอุปกรณ์/วัตถุพยานหลักฐานที่ต้องการตรวจพิสูจน์ พร้อมหนังสือนำส่งจากหน่วยงาน/ถ่ายภาพก่อนแกะวัตถุพยานหลักฐาน
2. ถ่ายภาพทั้งด้านหน้าและด้านหลังอุปกรณ์/วัตถุพยานหลักฐาน
3. บันทึกลงในระบบตรวจพิสูจน์หลักฐาน
4. ส่งเจ้าหน้าที่ห้องตรวจพิสูจน์หลักฐาน (Forensic) เพื่อตรวจและจัดเก็บรอดำเนินการ
5. พิจารณาว่าอุปกรณ์/วัตถุพยานหลักฐาน เป็นแบบใด และเลือกอุปกรณ์ให้ถูกต้อง
6. เมื่อตรวจพิสูจน์เรียบร้อย จัดทำรายงานผล
7. ประหน่วยงานเจ้าของเรื่องรับผลตรวจและรับของกลางคืน
8. คืนของกลางและผลตรวจให้กับหน่วยงานเจ้าของเรื่องตรวจสอบอุปกรณ์/วัตถุพยานหลักฐานให้ตรงกับที่นำส่ง เซ็นรับผลตรวจและของกลางพร้อมสำเนาบัตรเจ้าหน้าที่ที่มารับคืน

• ถ่ายภาพบันทึกลงทะเบียนของกลาง

• มาตรฐานของเครื่องมือที่ใช้ในการตรวจพิสูจน์พยานหลักฐานอิเล็กทรอนิสก์

มาตรฐานของเครื่องมือที่ใช้ในการตรวจพิสูจน์พยานหลักฐานอิเล็กทรอนิกส์

1. กำหนดได้ (Definable)
กระบวนการตรวจพิสูจน์พยานหลักฐานใดๆ จะต้องกำหนดผลลัพธ์จากวัตถุประสงค์ที่ต้องการได้ เพื่ออธิบายกระบวนการ และรับรองความถูกต้องของกระบวนการ

2.คาดการณ์ได้ (Predictable) เครื่องมือจะต้องสามารถคาดการณ์ได้ หากเครื่องมือไม่สามารถให้ผลลัพธ์ที่คาดการณ์ได้ก็เท่ากับว่าขาดความสมบูรณ์ ตามหลักการตรวจพิสูจน์พยานหลักฐานและไม่สามารถนำมาใช้งานได้

3. ทำซ้ำได้ (Repeatable)
การทำงานจะต้องทำซ้ำได้ภายในขอบเขดความผิดพลาดที่เป็นที่ยอมรับ

4. ตรวจสอบได้ (Verifiable)
หนึ่งในหลักเกณฑ์ที่สาคัญที่สุดสาหรับเครื่องมือ ในการตรวจพิสูจน์พยานหลักฐานคือความสามารถในการตรวจสอบผลลัพธ์ที่ได้จากเครื่องมือ ไม่เพียงแต่ภายในสภาพแวดล้อมเฉพาะของการทดสอบเท่านั้น แต่ยังรวมถึงเครื่องมืออื่นๆ ในประเภทเดียวกัน ตัวอย่างเช่น ถ้าผู้ตรวจสอบคนหนึ่งในคดีใช้ซอฟต์แวร์การตรวจพิสูจน์พยานหลักฐานแบบ EnCase และผู้ตรวจสอบอีกคนหนึ่งใช้ชุดเครื่องมือซอฟต์แวร์การตรวจพิสูจน์พยานหลักฐานแบบ Forensic Tool Kit พวกเขาทั้งสองจะพบผลลัพธ์เดียวกัน

• การทำสำเนาพยานหลักฐาน

• Autopsy

• ผู้ทำหน้าที่ตรวจสพิสูจน์พยานหลักฐาน

• การวิเคราะห์พยานหลักฐาน

• การบันทึกและรายงานผลการตรวจสอบ

• รายงานการตรวจพิสูจน์

• รายละเอียดของพยานหลักฐาน

• การตั้งประเด็นคำถามการจตรวจพิสูจน์

• ประเภทของประเด็นคำถาม

• การตอบประเด็นคำถามของผู้ตรวจพิสูจน์

อ่านเพิ่มเติม:

• Digital Evidence : หลักฐานดิจิทัล
• Forensics Investigation Report
• หลักสูตร EC-Council Security Specialist (ECSS)
• ข้อเสนอแนะมาตรฐานการจัดการอุปกรณ์ดิจิทัลในงานตรวจพิสูจน์พยานหลักฐาน
  

Reference : Thailand National Cyber Academy (THNCA) by NCSA

ข้อมูลจาก การอบรม NCSA Cybersecurity Knowledge Sharing ครั้งที่ 4/2567 หัวข้อ รอบรู้เรื่อง Digital Forensic พร้อมการรับมือกับ Advanced Threat และ Social Media โดย สำนักวิชาการความมั่นคงปลอดภัยไซเบอร์แห่งชาติ สกมช. ร่วมกับวิทยากรผู้เชี่ยวชาญจาก กองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี

ขอขอบคุณวิทยากร ท่าน พ.ต.ต วีระพงษ์ แนวคำดี  สว. กลุ่มงานป้องกันอาชญากรรมทางเทคโนโลยี ท่ี่ได้นำความรู้และประสบการณ์มาให้ความรู้ในงานนี้ด้วยครับ และขอนำข้อมูลมาเผยแพร่เพื่อประโยชน์ต่อไป

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น ช่วยเตือนความจำ

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD