การสืบหาหลักฐานดิจิทัล Digital Evidence

หลักฐานดิจิทัล DIGITAL EVIDENCE

       ข้อมูล หรือสารสนเทศที่อยู่ในรูปแบบของ Bit 0 หรือ 1 (ศูนย์ หรือ หนึ่ง รวมเรียกได้อีกอย่างว่า Binary) ซึ่งสามารถแสดงผลออกมาเป็นข้อมูลที่คนทั่วไป สามารถเข้าใจได้ผ่านโปรแกรมคอมพิวเตอร์ และสามารถใช้ในการพิสูจน์ข้อเท็จจริง หรือ หาความกระจ่างให้กับเรื่องที่กำลังสนใจอยู่ได้ รวมถึงสามารถใช้ในกระบวนการยุติธรรมในชั้นศาลทั้งนี้ การจะสามารถนำมาประกอบการพิจารณาในชั้นศาลได้หรือไม่นั้น ขึ้นอยู่กับดุลยพินิจของศาล

ประเภทของข้อมูลดิจิทัล

ประเภทของข้อมูลทางดิจิทัลที่สามารถ สกัดออกมาจากแหล่งข้อมูลที่จัดเก็บไว้ ในรูปแบบ Electronic

ㆍ ตำแหน่ง GPS
ㆍภาพถ่ายนิ่ง หรือ เคลื่อนไหว
ㆍ บันทึกเสียง
ㆍประวัติการเข้าใช้งานเว็บไซต์
ㆍ ข้อมูลธุรกรรมการเงิน
ㆍบันทึกการสนทนาเป็นตัวอักษร (Chat Log)
ㆍการตั้งค่าของระบบคอมพิวเตอร์
ㆍข้อมูลการเชื่อมต่อทางเครือข่าย
ㆍ รายการโปรแกรมที่กำลังถูกใช้งาน
ㆍ รายการของไฟล์ที่กำลังถูกเข้าถึง
ㆍบันทึกเหตุการณ์ (Log) ของระบบปฏิบัติการ
ㆍบันทึกการเปลี่ยนแปลงของ File System
ㆍข้อมูลที่ไม่ได้ถูกเขียนทับโดยสมบูรณ์ที่อยู่ใน Free Space และ Slack Space ซึ่งสามารถกู้คืนได้
ㆍ บันทึกกิจกรรมในเครือข่าย (Network Log)

ขั้นตอนการประเมินหลักฐาน

ขั้นตอนการประเมินหลักฐาน

        เมื่อทราบเหตุการณ์หรือข้อเท็จจริงที่ต้องการพิสูจน์แล้ว
ต้องประเมินให้ได้ว่าหลักฐานดิจิทัลที่อยู่ในอุปกรณ์ใดบ้าง
ที่มีความจำเป็นที่จะต้องใช้ประกอบการพิจารณา
ขั้นตอนการส่งมอบหลักฐานดิจิทัล
ทุกครั้งที่มีการส่งมอบหลักฐาน เริ่มตั้งแต่การได้มาซึ่ง
หลักฐานครั้งแรก จะต้องมีการบันทึก Chain of Custody
ซึ่งประกอบด้วย
ㆍวัน เวลา สถานที่ ที่ส่งมอบหรือจัดเก็บหลักฐาน
ㆍชื่อผู้รับ
ㆍชื่อผู้ส่งมอบ
ㆍ สิ่งที่ส่งมอบ
ㆍ เหตุผลในการส่งมอบ

ประเด็นความท้าทายเกี่ยวกับหลักฐานดิจิทัล

      หลักฐานดิจิทัลถึงแม้จะจับต้องไม่ได้ แต่ก็ถือเป็นหลักฐานทางกายภาพ ธรรมชาติของหลักฐานดิจิทัลจะอยู่ในรูปแบบของสนามแม่เหล็ก (Magnetic Field), การเปลี่ยนแปลงของกระแสไฟฟ้า (Electronic Pulse) หรือการสะท้อนและ Spectrum ของแสง (Optical Reflection/Optical Spectrum) ที่สามารถแปลผลออกมาให้อยู่ในรูปแบบ Binary เพื่อที่จะให้ระบบคอมพิวเตอร์นำไปประมวลผลและแสดงผลออกมาให้กับผู้ใช้งานได้ ข้อมูลในรูปแบบดิจิทัลทุกอย่าง สามารถใช้เป็นหลักฐานในการพิสูจน์ข้อเท็จจริงหรือหาความกระจ่างให้กับเรื่องที่กำลังสนใจอยู่ได้ ขึ้นอยู่กับว่าจะมีความเกี่ยวข้องกับเรื่องที่สนใจอยู่นั้นหรือไม่

กระบวนการตรวจสอบหลักฐานดิจิทัล

กระบวนการตรวจสอบหลักฐานดิจิทัล
1. การประเมินหลักฐาน
2. การได้มาซึ่งหลักฐาน
3. การส่งมอบหลักฐาน ดิจิทัล
4. การตรวจสอบ และวิเคราะห์หลักฐาน
5. การจัดทำเอกสารหลักฐาน และรายงาน

ทั้งนี้ การจะสามารถนำมาประกอบการพิจารณาในชั้นศาลได้หรือไม่นั้น ขึ้นอยู่กับดุลยพินิจของศาล

ตัวอย่างของเรื่องที่สามารถแก้ปัญหาโดยใช้หลักฐานทางดิจิทัลก็คือ

  • การพิสูจน์ข้อเท็จจริงกรณีเกิดข้อพิพาทของบุคคลตั้งแต่สองฝ่ายขึ้นไป
  • การพิสูจน์ข้อเท็จจริงในกรณีที่มีผู้ฝ่าฝืนนโยบายขององค์กร จนก่อให้เกิดความเสียหายต่อสังคมและองค์กร
  • การพิจารณาคดีความทางแพ่งและอาญา
  • การค้นหาสาเหตุของการโจมตีทางไซเบอร์ว่าเกิดจากช่องโหว่ใด เพื่อที่จะได้ทำการแก้ไขให้ตรงจุด

บทบาทของหลักฐานดิจิทัล (กฎของหลักฐาน)

บทบาทของหลักฐานดิจิทัล (กฎของหลักฐาน)

จากที่เราทราบกันแล้วว่า หลักฐานดิจิทัลนั้นเป็นสิ่งที่มีความอ่อนไหว ง่ายต่อการเสียหายมาก การวิเคราะห์หรือการดำเนินการใด ๆ จึงไม่สามารถกระทำบนหลักฐานต้นฉบับได้
แต่กฎของหลักฐานที่ดีที่สุดก็มีอยู่ว่า ข้อเท็จจริงที่จะใช้ในการนำเสนอในกระบวนการยุติธรรมได้ ต้องเป็นข้อเท็จจริงที่ได้จากหลักฐานต้นฉบับหรือตัวจริงเท่านั้น หรือแม้กระทั่งการพิสูจน์กระบวนการนอกชั้นศาล ก็ต้องพิสูจน์ได้ว่า ข้อเท็จจริงที่ได้จากหลักฐานดิจิทัลไม่ได้ผ่านการเติมแต่งเปลี่ยนแปลง ตรงตามต้นฉบับทุกประการ การที่จะทำให้หลักฐานทางดิจิทัลเป็นที่ยอมรับได้นั้นจะต้อง

  • ทำสำเนาจากหลักฐานต้นฉบับโดยให้ตรงกับต้นฉบับทุกประการ หรือที่เรียกว่า Bit-for-Bit Copy หรือ Duplicate
  • ในการทำสำเนาต้องใช้เทคโนโลยี Write-Blocker เพื่อป้องกันการปนเปื้อนของหลักฐานโดยไม่ได้เจตนา
  • ทำการบันทึกกิจกรรมในการทำสำเนาหลักฐานพร้อมภาพถ่ายอย่างละเอียด
  • เริ่มการบันทึกห่วงโซ่หลักฐาน (Chain of Custody) ตั้งแต่การทำสำเนาครั้งแรก

ขั้นตอนการได้มาซึ่งหลักฐาน

การได้มาซึ่งหลักฐานจะต้อง

  • ทำสำเนาจากหลักฐานต้นฉบับ โดยให้ตรงกับต้นฉบับทุกประการ หรือที่เรียกว่า Bit-for-Bit Copy หรือ Duplicate
  • ในการทำสำเนาต้องใช้เทคโนโลยี Write-Blocker เพื่อป้องกันการปนเปื้อนของหลักฐานโดยไม่ได้เจตนา
  • ป้องกันการเปลี่ยนแปลงหรือทำลายชิ้นหลักฐาน ซึ่งอาจเกิดจากสิ่งรบกวนทางกายภาพ เช่น ความชื้น ไฟฟ้าสถิต
  • ทำการบันทึกกิจกรรมในการทำสำเนาหลักฐานพร้อมภาพถ่ายอย่างละเอียด ทั้งก่อน ระหว่าง และหลังการจัดเก็บหลักฐาน
  • ลายนิ้วมือของหลักฐานต้นฉบับและ Duplicate จะต้องตรงกัน สามารถทำได้โดยคำนวณ Cryptographic Hash/Checksum เช่น SHA-1, SHA-256, MD5 CRC-32 ของหลักฐานทั้งสองชุดแล้วนำมาเปรียบเทียบกัน และลายนิ้วมือจะต้องไม่มีการเปลี่ยนแปลง
  • ตลอดอายุการใช้งานของหลักฐาน
  • เริ่มการบันทึกห่วงโซ่หลักฐาน (Chain of Custody) ตั้งแต่การทำสำเนาครั้งแรก

อุปกรณ์อิเล็กทรอนิกส์ ประเภทและความสามารถในการเก็บหลักฐาน

ประเภทของอุปกรณ์อิเล็กทรอนิกส์ที่มีข้อมูลที่สามารถใช้เป็นหลักฐานทางดิจิทัล ได้แบ่งได้เป็น 2 ประเภท คือ

  • ระบบคอมพิวเตอร์ ซึ่งมีความสามารถในการจัดเก็บและประมวลผลข้อมูลดิจิทัล เช่น
    • Desktop Computer
    • Smart Phone
    • Laptop Computer
    • IoT Devices
    • Medical Device
    • Smart Device อื่น ๆ
  • อุปกรณ์ต่อพ่วง ซึ่งทำหน้าที่เพิ่มขีดความสามารถ หรือ เพิ่มพื้นที่ในการจัดเก็บข้อมูลของอุปกรณ์ที่ทำหน้าที่เป็นระบบคอมพิวเตอร์หลัก เช่น
    • External Hard Drive
    • Printer
    • Scanner
    • Smart Card Reader
    • NFC Reader
    • Network Equipment

ขั้นตอนการส่งมอบหลักฐานดิจิทัล

ทุกครั้งที่มีการส่งมอบหลักฐาน เริ่มตั้งแต่การได้มาซึ่งหลักฐานครั้งแรก จะต้องมีการบันทึก Chain of Custody ซึ่งประกอบด้วย

  • วัน เวลา สถานที่ ที่ส่งมอบหรือจัดเก็บหลักฐา
  • ชื่อผู้ส่งมอบ
  • ชื่อผู้รับ
  • สิ่งที่ส่งมอบ เหตุผลในการส่งมอบ

ขั้นตอนการตรวจสอบและวิเคราะห์หลักฐาน

ขั้นตอนการตรวจสอบและวิเคราะห์หลักฐาน

ทำการวิเคราะหลักฐานเพื่อพิสูจน์ หรือ ปฏิเสธสมมติฐาน ในการสอบสวนหรือค้นหาความจริง ในส่วนนี้ไม่มีขั้นตอนตายตัว ขึ้นอยู่กับว่าเรากำลังพิสูจน์เรื่องอะไรอยู่ ซึ่งสิ่งหนึ่งที่สำคัญ และเป็นที่แน่นอนเลย คือ ผู้วิเคราะห์จะต้องมีความเข้าใจในระบบที่จะทำการวิเคราะห์เป็นอย่างดี แต่ก็มีเทคนิคที่สามารถใช้ได้โดยทั่วไป ดังนี้

  • การกู้ไฟล์ที่ถูกลบ
  • การวิเคราะห์เนื้อหาไฟล์ที่น่าสนใจและเกี่ยวข้อง
  • การลำดับเหตุการณ์และวิเคราะห์ลำดับเหตุการณ์ (Timeline Analysis)
  • การถอดรหัสไฟล์
  • การเชื่อมโยงข้อมูลจากหลาย ๆ แหล่งเข้าด้วยกัน (Correlation)

ขั้นตอนการจัดทำเอกสารหลักฐานและรายงาน

เมื่อการวิเคราะห์หลักฐานเสร็จสิ้นและได้ข้อสรุปแล้ว ขั้นตอนต่อไปคือ การจัดทำรายงาน
เพื่อนำเสนอผลต่อผู้ที่มีส่วนได้ส่วนเสียในกรณีนั้น ๆ ถือเป็นขั้นตอนที่สำคัญที่สุด ซึ่งมีขั้นตอนปฏิบัติ ที่เป็นแนวทาง ดังนี้

  • ก่อนที่จะเริ่มเขียน ให้คำนึงถึงผู้ที่จะต้องนำรายงานไปใช้งาน
  • ทำรายงานให้กระชับที่สุด
  • จัดเรียงเนื้อหาให้ผู้ทำไปใช้สามารถใช้งานได้สะดวก
  • เนื้อหาจะต้องถูกต้องแม่นยำทุกรายละเอียด และไม่สร้างความสับสนให้ผู้อ่าน
  • รูปภาพและคำอธิบายต้องได้รับการจัดวางให้อยู่ในที่ ที่เหมาะกับการใช้งานของผู้อ่าน
  • มีการสรุปเพื่อให้เห็นภาพรวม
  • รายงานต้องผ่านกระบวนการ Peer Review

เอกสารรายงานการตรวจสอบหลักฐาน

เอกสารรายงานการตรวจสอบหลักฐาน

องค์ประกอบของเอกสารรายงานการตรวจสอบหลักฐาน มีดังต่อไปนี้

  • บทนำ ชื่อ และรายละเอียดของผู้วิเคราะห์
  • ที่มาและความจำเป็นในการวิเคราะห์หลักฐาน พร้อมทั้งสิ่งที่ต้องการพิสูจน์
  • ผลสรุปจากการวิเคราะห์ และมีผลอย่างไรต่อเรื่องที่จะพิสูจน์
  • วิธีการที่ใช้ในการวิเคราะห์
  • เครื่องมือที่ใช้
  • รายการหลักฐานที่ได้รับการวิเคราะห์
  • รายละเอียดในการดำเนินการ พร้อมทั้งผลที่ได้ ที่สอดคล้องกับข้อสรุป
  • ข้อเท็จจริงที่ได้จากการดำเนินการในแต่ละขั้นตอนที่สอดคล้องกับข้อสรุป ต้องไม่มีความเห็นเจือปน
  • ข้อสรุปในภาพรวมและความเห็นของผู้เชี่ยวขาญ
  • ภาคผนวก และไฟล์แนบที่ใช้ประกอบการวิเคราะห์
ปรึกษาฟรี