Digital Forensics คืออะไร
Computer Forensics / Digital Forensics คือ การเก็บหลักฐาน, การค้นหา, วิเคราะห์ และการนำเสนอหลักฐานทางดิจิทัลที่อยู่ในอุปกรณ์คอมพิวเตอร์และอิเล็กทรอนิกส์ เช่น ไฟล์ที่อยู่ในคอมพิวเตอร์,อุปกรณ์อิเล็กทรอนิกส์, โทรศัพท์มือถือ รวมถึงหลักฐานดิจิทัลที่ถูกสร้างจากระบบคอมพิวเตอร์ เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถนำไปใช้ระบุผู้กระทำผิดจนถึงเป็นหลักฐานในการดำเนินคดีได้ กล่าวอีกนัยหนึ่งก็คือ ใช้กระบวนการซึ่งได้จัดสร้างไว้แล้ว และเป็นที่ยอมรับ ในการที่จะระบุ, บ่งชี้, เก็บรักษา และดึงข้อมูลแบบดิจิทัลกลับออกมา ซึ่งจะมีความสำคัญต่อการสืบสวนคดีในยุคปัจจุบัน
Computer Forensics เป็นศาสตร์ทางด้านการสืบสวนที่เกี่ยวกับคอมพิวเตอร์โดยผู้ทำการสืบสวน นั้น จะนำอุปกรณ์คอมพิวเตอร์ที่เกี่ยวข้องกับคดีหรือเรื่องที่กำลังสืบสวนมาค้นหาข้อมูล เพื่อสืบค้นหาพยานหลักฐานสำหรับใช้ในการประกอบการสืบสวนหรือใช้ค้นหาผู้กระทำความผิดออกมา ทั้งนี้ตามวิธีการของการทำ Computer Forensics ซึ่งหลักสำคัญคือหลักฐานทางดิจิทัล นั้น จะต้องใช้วิธีการที่ ไม่มีการเปลี่ยนแปลงใดๆทั้งสิ้นแก่พยานหลักฐานดิจิทัล ต้นฉบับเดิม ดังนั้นผู้ที่ทำงานด้าน Computer Forensicsจะต้องรู้กระบวนการที่ถูกต้องและใช้เครื่องมือที่มีความน่าเชื่อถือเพื่อความสมบูรณ์และถูกต้องของพยานหลักฐาน
สิ่งที่ได้จาก Computer Forensics :
- บ่งชี้ผู้ต้องสงสัยว่าเป็นผู้กระทำผิด
- บ่งชี้ผู้สมคบคิดกับผู้กระทำผิด
- บ่งชี้ websites ที่ผู้กระทำผิดเข้าไปใช้
- อีเมล์ที่มีการส่งและรับ
- ไฟล์ที่ได้ถูกลบทิ้งและไฟล์ที่ซ่อนอยู่
- ข้อมูลส่วนบุคคล เช่น ข้อมูลด้านการเงิน, ที่อยู่ ฯลฯ
- ความสามารถและความสนใจของของบุคคลนั้นๆ
- พยานหลักฐาน การประกอบอาชญากรรมอื่นๆ
ในการค้นหาหลักฐานทุกครั้งนั้นผู้เชี่ยวชาญด้าน Computer Forensics จะทำการตรวจสอบข้อมูลทางอิเล็กทรอนิกส์ ที่เก็บไว้ในคอมพิวเตอร์ และ อุปกรณ์จัดเก็บข้อมูลทางดิจิทัลสำหรับหลักฐานที่ใช้แนวทางของการทำ Computer Forensics ในการค้นหาหลักฐาน มีความจำเป็นที่ขั้นตอนนี้ต้องมีความชัดเจนในการในการอธิบายหลักฐานในแนวทางของ Computer Forensics
แนวทางการทำ Computer Forensics เป็นวิธีการที่ไม่มีการเปลี่ยนแปลงแหล่งที่มาของหลักฐาน หรืออาจมีการเปลี่ยนแปลงน้อยที่สุดเพื่อให้ใด้หลักฐานที่ต้องการ วิธีการได้มาของหลักฐานจะถูกบันทึกเป็นเอกสารและสามารถพิสูจน์ได้
การทำ Computer Forensics สามารถแบ่งออกเป็น 5 ขั้นตอนที่สำคัญดังนี้
1.การเก็บรักษา – เมื่อจะต้องจัดการเก็บข้อมูลดิจิทัล ผู้ตรวจสอบจะต้องทำการทุกอย่างเพื่อรักษาข้อมูลไว้ นี่สามารถทำได้โดยการปฏิบัติของผู้ตรวจสอบจะต้องไม่ส่งผลต่อการเปลี่ยนแปลงข้อมูล โดยปกติแล้วจะรวมถึงการสร้างสำเนาข้อมูล หรือ Cloning ข้อมูลต้นฉบับไว้ ข้อมูลดิจิทัลสามารถเก็บไว้บนฮาร์ดไดร์ฟ, CD/DVD, floppy disks, USB drives, มือถือ, เครื่องเล่นดนตรี และเทปสำรอง.
2.การวินิจฉัย – ความจุของฮาร์ดไดร์ฟจะเพิ่มขึ้นปีต่อปี ผลก็คือการตรวจสอบอาจประกอบด้วยข้อมูลดิจิทัลเป็นร้อยๆกิ๊กกะไบท์ เพื่อที่จะระบุหลักฐานที่เป็นไปได้ผู้สืบสวนจะใช้เทคนิคเช่นการค้นหา keywords หรือ กรองข้อมูลเจาะจงของไฟล์เช่นเอกสาร รูปภาพ หรือไฟล์ประวัติอินเตอร์เน็ต
3.การแยกข้อมูล – เมื่อหลักฐานได้รับการวินิจฉัย มันจะต้องถูกแยกข้อมูลออกมาจากสำเนาข้อมูล ขึ้นอยู่กับขนาดของข้อมูล อาจปริ้นท์ออกมาเป็นเอกสารได้ อย่างไรก็ตาม ข้อมูลเช่นประวัติอินเตอร์เน็ตอาจจะมีหลายร้อยหน้าและจะต้องทำออกมาในรูปแบบอีเล็คทรอนิกส์
4.การอธิบาย – การระบุและแยกหลักฐานคือส่วนหนึ่งของหน้าที่ของผู้ตรวจสอบ มันมีความสำคัญมากที่จะต้องอธิบายเกี่ยวกับหลักฐานให้ถูกต้อง ผู้ตรวจสอบไม่ควรจะพึ่งพาเครื่องมืออัตโนมัติ ผู้ตรวจสอบควรจะมีความสามารถในการตรวจสอบและเข้าใจผลลัพธ์ที่ได้มาจาก forensic software
5.บันทึกของของหลักฐานคอมพิวเตอร์ – เมื่อการตรวจสอบเริ่มขึ้น ผู้ตรวจสอบจะต้องรักษาบันทึกที่เกี่ยวกับการทำงานกับข้อมูลดิจิทัลให้มีความอัพเดทอยู่สม่ำเสมอและขั้นตอนของการทำการตรวจสอบ บันทึกควรจะมีข้อมูลที่เพียงพอเพื่อให้บุคคลที่สามสามารถทำตามแล้วได้ผลลัพธ์ที่ออกมาเหมือนกัน การสร้างหลักฐานสำคัญจะไม่มีความหมายเลยถ้าผู้ตรวจสอบไม่สามารถสร้างรายงานที่ชัดเจนได้เข้าใจได้ สำคัญมากที่จะต้องไม่ใช้ศัพท์ทางเทคนิคมากเกินไปและเมื่อมีการใช้ศัพท์เมื่อจำเป็น ศัพท์เหล่านั้นจะต้องมีคำอธิบายที่ชัดเจน ผู้ตรวจสอบอาจต้องทำการแสดงหลักฐานที่พบในชั้นศาลในฐานะพยานผู้เชี่ยวชาญ
สมาคมเจ้าหน้าที่ตำรวจระดับสูงของสหราชอาณาจักร (ACPO) ได้จัดทำคู่มือแนะนำการปฏิบัติงานเก็บหลักฐานสำหรับหลักฐานอิเล็กทรอนิกส์ (Computer-Based Electronic Evidence) โดยคู่มือนี้ได้กำหนดหลักการสำคัญในการได้มาซึ่งหลักฐานทาง Computer Forensics 4 ประการคือ
หลักการที่1:หน่วยงานบังคับใช้กฎหมายหรือตัวแทนองค์กร ไม่ควรดำเนินการใดๆ ที่จะเปลี่ยนแปลงข้อมูลที่เก็บไว้ในคอมพิวเตอร์หรือสื่อบันทึกข้อมูลต่างๆ ซึ่งอาจนำไปใช้ในศาลได้ในภายหลัง
หลักการที่2:ในกรณีที่บุคคลใดมีความจำเป็นที่จะมีการเข้าถึงข้อมูลในคอมพิวเตอร์หรือสื่อบันทึกข้อมูลซึ่งเป็นหลักฐาน บุคคลนั้นจะต้องอธิบายถึงความเกี่ยวข้องกับข้อมูลและผลกระทบจากการกระทำนั้น
หลักการที่3:หลักฐานการตรวจสอบหรือบันทึกอื่น ๆ ของกระบวนการตรวจสอบทั้งหมดที่ใช้กับหลักฐานทางอิเล็กทรอนิกส์รควรได้รับการจัดทำและรักษาไว้ (Chain of Custody)โดยผู้ตรวจสอบหากมีบุคคลที่สาม หรือองค์กรอิสระ ที่เข้ามาตรวจสอบ ก็จะได้ผลลัพเช่นเดียวกัน
หลักการที่4:บุคคลที่รับผิดชอบในการดำเนินการตรวจสอบ(เจ้าหน้าดูแลคดีนั้นโดยตรง) จะต้องรับผิดชอบต่อการกระทำเพื่อให้มั่นใจว่าจะปฏิบัติตามกฎหมายและหลักการ Computer Forensics
หลักการของ Computer Forensics 4 ข้อ ที่นำเสนอ สามารถนำไปใช้ในคดีต่างๆ ไม่ว่าจะเป็น คดีอาญา, คดีแพ่ง หรือการสืบสวนภายในองค์กร การนำหลักการนี้มาใช้จะช่วยให้ไม่เกิดคำถามในเรื่องความสมบูรณ์ของหลักฐานดิจิทัล
เกี่ยวกับผู้เขียน:
Mr. Andrew Smith (Andy) – Director of Computer Forensics Services at Orion Forensics Thailand
แอนดรูว์มีประสบการณ์มากกว่า 17 ปี ในสาขานิติวิทยาศาสตร์ดิจิทัล และเคยเป็นเจ้าหน้าที่ตำรวจในสหราชอาณาจักรเป็นเวลา 9 ปี โดยในช่วง 4 ปีที่ผ่านมาเขาใช้เวลาทำงานในแผนกอาชญากรรมคอมพิวเตอร์ตำรวจซึ่งเขาได้รับการฝึกอบรมทางนิติวิทยาศาสตร์อย่างมากมาย มีบทบาทของในการรวมข้อมูลอิเล็กทรอนิกส์และการวิเคราะห์ข้อมูล รวมไปถึงการนำเสนอหลักฐานในศาลของสหราชอาณาจักรในฐานะพยานผู้เชี่ยวชาญ
ขณะนี้แอนดรูว์ทำงานที่กรุงเทพฯมาเป็นเวลากว่า 7 ปีและเป็นผู้อำนวยการฝ่าย Computer Forensics Services ของ บริษัท Orion Investigations บทบาทของเขาคือดูแลการสืบสวนทางนิติวิทยาศาสตร์ การพัฒนาธุรกิจ การส่งเสริมความตระหนักถึงความปลอดภัยในโลกไซเบอร์และอธิบายหลักฐานในฐานะพยานผู้เชี่ยวชาญในศาลไทย และเป็นวิทยากรที่อบรมให้กับหน่วยงานธุรกิจและองค์กรต่างๆ อย่างสม่ำเสมอ ซึ่งได้พัฒนาหลักสูตรการฝึกอบรมทางนิติวิทยาศาสตร์สำหรับตลาดในประเทศไทย อีกทั้งยังได้พัฒนาเครื่องมือทางนิติวิทยาศาสตร์ซึ่งปัจจุบันได้ใช้ในห้องปฏิบัติการนิติเวชทั่วโลก
Email :andrew@orioninv.co.th
บริการ รวบรวม วิเคราะห์หลักฐานทางคอมพิวเตอร์ และ ขึ้นเป็นพยานในชั้นศาล
Read Moreทำไม Digital Forensics จึงเป็นวิธีที่ดีที่สุดในการเก็บหลักฐานดิจิทัล เพื่อประกอบสำนวนคดี
หลายปีที่ผ่านมา ในการดำเนินคดีความมักจะใช้หลักฐานที่เป็นเอกสารมาใช้ในการพิสูจน์ ซึ่งเอกสารเหล่านี้จะเน้นไปในจุดที่ต้องการค้นหา และเน้นถึงส่วนที่เป็นหลักฐานที่สำคัญเพื่อมาพิสูจน์ แต่ในปัจจุบันคนส่วนใหญ่ใช้คอมพิวเตอร์ในการทำงาน ดังนั้นเอกสารของบริษัทและข้อมูลต่างๆทางธุรกิจถูกเก็บรวบรวมในรูปแบบอิเล็คทรอนิกส์และรูปแบบฐานข้อมูล
Read More