รู้จัก "Digital Forensics" เครื่องมือจับโจรไซเบอร์ ที่ไทยไม่ได้ใช้

23 ม.ค. 2566 | 07:37 น.
อัปเดตล่าสุด :23 ม.ค. 2566 | 08:23 น.

รู้จัก "Digital Forensics" นิติวิทยาศาสตร์ทางดิจิตอล เครื่องมือแกะรอย ตามจับโจรไซเบอร์ กระบวนการแบบสากล ที่ไทยไม่ได้ใช้

ภัยไซเบอร์ที่สร้างความเสียหายแก่ประชาชน ในหลากหลายรูปแบบ นับเป็นปัญหาซ้ำซากสำหรับประเทศไทย โดยผู้เสียหายมักตกเป็นเหยื่อโดยไม่รู้ตัว และเมื่อเกิดความเสียหายขึ้น ก็มักไม่สามารถตามจับตัวโจรไซเบอร์เหล่านั้นได้ 

อ.ฝน นรินทร์ฤทธิ์  เปรมอภิวัฒโนกุล  อุปนายกสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ (TISA) ได้เปิดเผยกับฐานเศรษฐกิจ ถึงกระบวนการเพื่อสืบหาข้อเท็จจริงเช่นเดียวกับกระบวนการด้านนิติวิทยาศาสตร์ตามปกติ แต่ปัจจุบัน อาชญากรรมต่างๆ มักมีเครื่องมือหรืออุปกรณ์เป็นระบบดิจิตอลเข้าไปเกี่ยวข้อง จึงเป็นที่มาของนิติวิทยาศาสตร์ทางดิจิตอล หรือ Digital Forensics

Digital Forensics คือ การจัดเก็บรวบรวม และวิเคราะห์หลักฐานทางดิจิตอล ด้วยกระบวนการที่น่าเชื่อถือเพื่อให้สามารถนำข้อเท็จจริงจากการวิเคราะห์หลักฐานนำไปใช้เป็นหลักฐานที่ศาลยอมรับฟังได้ โดยหน่วยงาน หรือองค์กรที่เกี่ยวข้อง และมีอำนาจหน้าที่ตามกฎหมาย

อ.ฝน นรินทร์ฤทธิ์  เปรมอภิวัฒโนกุล

องค์ประกอบของกระบวนการ Digital Forensics 

  • ด้านบุคลากร

ต้องมีการฝึกอบรมเพื่อให้บุคลากร มีทักษะ และความรู้ความเข้าใจ โดยปัจจุบันในต่างประเทศมีหลักสูตรและการสอบรับรองคุณวุฒิของหลายสถาบันที่เป็นที่ยอมรับ เช่น GCFA (GIAC Certified Forensic Analyst) ของสถาบัน SANS, CCFE (Certified Computer Forensics Examiner) ของ IACRB และ CCE (Certified Computer Examiner) ของ ISFCE เป็นต้น

  • ด้านกระบวนการ

กระบวนการต่างๆต้องเป็นไปตามหลักวิชาการที่เป็นที่ยอมรับโดยสากล และมีการทำบันทึกเป็นลายลักษณ์อักษรตลอดกระบวนการ ต้องสามารถตรวจสอบย้อนหลังได้ ต้องมีการบวนการควบคุมเพื่อให้เกิดความมั่นคงปลอดภัยต่อหลักฐาน เพื่อมิให้หลักฐานถูกทำลาย เปลี่ยนแปลง หรือหลุดรั่วออกไปโดยไม่ได้รับอนุญาต

  • เครื่องมือช่วยในการเก็บรวบรวมหลักฐาน

ส่วนใหญ่จะเป็นเครื่องมือภาคสนามขนาดพกพา (portable) เช่นอุปกรณ์จัดเก็บ Volatile Data หรือข้อมูลที่อยู่ใน RAM อุปกรณ์ต่อพ่วง อุปกรณ์ทำสำเนา hard disk ที่ต้องมีคุณลักษณะป้องกันการเขียนทับข้อมูลลงไปบนหลักฐานหรือ writer-blocker ถุงป้องกันไฟฟ้าสถิตย์ (Static Bag) และ ถุงป้องกันคลื่อนแม่เหล็กไฟฟ้า (Faraday Bag) เป็นต้น เพื่อให้สามารถจัดเก็บ และรักษาสภาพของหลักฐานไว้ให้อยู่ในสภาพเดิมให้ได้มากที่สุด

  • เครื่องมือช่วยในการวิเคราะห์หลักฐาน

เพื่อหาความเชื่อมโยงของคน กิจกรรม วัน เวลา หรือเรียกง่ายๆ ว่า ใคร ที่ไหน เมื่อไหร่ อย่างไร โดยใช้ทั้ง hardware และ software ในการการกู้คืนข้อมูลที่ถูกลบ การประมวลผล file system รูปแบบต่างๆ การทำแผนผังลำดับเหตุการณ์ (timeline) และการค้นหาด้วยคำค้นต่างๆ (keyword search)

  • ห้องปฏิบัติการ

ห้องปฏิบัติการด้านนิติวิทยาศาสตร์นั้นจะต้องเป็นพื้นที่ที่มีการควบคุมในระดับสูงเป็นไปตามมาตรฐานที่เป็นที่ยอมรับสากล ซึ่งมักจะอ้างอิงถึง ASCLD/LAB (The American Society of Crime Laboratory Directors/Laboratory Accreditation Board) เป็นหลัก

ขั้นตอนดำเนินการ 

การเก็บรวบรวมหลักฐานจากที่เกิดเหตุ
ต้องพยายามจัดเก็บรวบรวมข้อมูลหลักฐานที่เป็น volatile และที่เป็น non-volatile ซึ่งมีขั้นตอนในรายละเอียดมาก จากนั้นจะมาเน้นที่ขั้นตอนการหุ้มห่อลงในถุงหรือหีบห่อที่มีคุณสมบัติป้องกันไฟฟ้าสถิตย์ และป้องกันคลื่นแม่เหล็กไฟฟ้าในกรณีที่หลักฐานมีความไวต่อคลื่นแม่เหล็กไฟฟ้า

 

ขั้นตอนการทำงาน ของกระบวนการ Digital Forensics 

  • การนำส่ง การจัดเก็บ และการเบิกหลักฐาน

ต้องมีหนังสือ หรือแบบฟอร์มกำกับเพื่อให้สามารถตรวจสอบย้อนหลังได้ว่าในแต่ละช่วงเวลามีใครเป็นถือครองหรือรับผิดชอบต่อหลักฐานนั้นๆ เพื่อป้องกันการลักลอบเข้าถึง เปลี่ยนแปลงหรือทำลายหลักฐานโดยไม่ได้รับอนุญาต

  • การทำสำเนาหลักฐาน

ต้องทำด้วยอุปกรณ์ที่ถูกออกแบบมาเฉพาะเพื่อใช้ในงานด้าน Digital Forensic โดยเฉพาะโดยต้องมีอุปกรณ์ write-blocker เพื่อช่วยป้องกันไม่ให้มีการเขียนทับข้อมูลลงไปในสื่อบันทึกข้อมูลที่เป็นหลักฐานต้นฉบับ และไม่สามารถทำโดยการ copy file ตามปกติได้ แต่ต้องใช้วิธีการทำ bit-by-bit imaging และเมื่อทำการสำเนาแล้วต้องมีการทำเอกลักษณ์ทางดิจิตอลเพื่อเป็นการรับรองสำเนา ด้วยเทคนิค data hashing จะทำให้ทราบได้ว่าหลักฐานที่ได้ทำสำเนาขึ้นใหม่นี้มีความคงเดิมและไม่มีการเปลี่ยนแปลงไปแม้แต่ bit เดียว ซึ่ง algorithm ที่เป็นที่นิยมคือ MD5 และ SHA-1

  • การวิเคราะห์หลักฐาน

เพื่อค้นหาข้อมูลนำไปสู่ความเชื่อมโยงของบุคคล กับเวลา และเหตุการณ์

  • ขั้นตอนสิ้นสุดการดำเนินการ 

เป็นการเขียนรายงานสรุปสิ่งที่ตรวจพบ และบทวิเคราะห์ต่างๆ เพื่อนำไปประกอบสำนวน โดยต้องเขียนแยกให้เห็นเด่นชัดว่าส่วนใดเป็นข้อเท็จจริงที่ค้นพบจากหลักฐาน และส่วนใดเป็นข้อคิดเห็นของผู้เชี่ยวชาญ

ทั้งนี้งานด้าน digital forensic ยังสามารถแยกแตกแขนงความเชี่ยวชาญออกไปเป็นสาขาย่อยๆ ได้อีก เช่น computer forensic 

  • network forensic
  • mobile forensic
  • cloud-computing forensic
  • live-system forensic
  • audio forensic
  • video forensic
  • image forensic