การสืบหาหลักฐานดิจิทัล Digital Evidence
หลักฐานดิจิทัล DIGITAL EVIDENCE
ข้อมูล หรือสารสนเทศที่อยู่ในรูปแบบของ Bit 0 หรือ 1 (ศูนย์ หรือ หนึ่ง รวมเรียกได้อีกอย่างว่า Binary) ซึ่งสามารถแสดงผลออกมาเป็นข้อมูลที่คนทั่วไป สามารถเข้าใจได้ผ่านโปรแกรมคอมพิวเตอร์ และสามารถใช้ในการพิสูจน์ข้อเท็จจริง หรือ หาความกระจ่างให้กับเรื่องที่กำลังสนใจอยู่ได้ รวมถึงสามารถใช้ในกระบวนการยุติธรรมในชั้นศาลทั้งนี้ การจะสามารถนำมาประกอบการพิจารณาในชั้นศาลได้หรือไม่นั้น ขึ้นอยู่กับดุลยพินิจของศาล
ประเภทของข้อมูลดิจิทัล
ประเภทของข้อมูลทางดิจิทัลที่สามารถ สกัดออกมาจากแหล่งข้อมูลที่จัดเก็บไว้ ในรูปแบบ Electronic
ㆍ ตำแหน่ง GPS
ㆍภาพถ่ายนิ่ง หรือ เคลื่อนไหว
ㆍ บันทึกเสียง
ㆍประวัติการเข้าใช้งานเว็บไซต์
ㆍ ข้อมูลธุรกรรมการเงิน
ㆍบันทึกการสนทนาเป็นตัวอักษร (Chat Log)
ㆍการตั้งค่าของระบบคอมพิวเตอร์
ㆍข้อมูลการเชื่อมต่อทางเครือข่าย
ㆍ รายการโปรแกรมที่กำลังถูกใช้งาน
ㆍ รายการของไฟล์ที่กำลังถูกเข้าถึง
ㆍบันทึกเหตุการณ์ (Log) ของระบบปฏิบัติการ
ㆍบันทึกการเปลี่ยนแปลงของ File System
ㆍข้อมูลที่ไม่ได้ถูกเขียนทับโดยสมบูรณ์ที่อยู่ใน Free Space และ Slack Space ซึ่งสามารถกู้คืนได้
ㆍ บันทึกกิจกรรมในเครือข่าย (Network Log)
ขั้นตอนการประเมินหลักฐาน
ขั้นตอนการประเมินหลักฐาน
เมื่อทราบเหตุการณ์หรือข้อเท็จจริงที่ต้องการพิสูจน์แล้ว
ต้องประเมินให้ได้ว่าหลักฐานดิจิทัลที่อยู่ในอุปกรณ์ใดบ้าง
ที่มีความจำเป็นที่จะต้องใช้ประกอบการพิจารณา
ขั้นตอนการส่งมอบหลักฐานดิจิทัล
ทุกครั้งที่มีการส่งมอบหลักฐาน เริ่มตั้งแต่การได้มาซึ่ง
หลักฐานครั้งแรก จะต้องมีการบันทึก Chain of Custody
ซึ่งประกอบด้วย
ㆍวัน เวลา สถานที่ ที่ส่งมอบหรือจัดเก็บหลักฐาน
ㆍชื่อผู้รับ
ㆍชื่อผู้ส่งมอบ
ㆍ สิ่งที่ส่งมอบ
ㆍ เหตุผลในการส่งมอบ
ประเด็นความท้าทายเกี่ยวกับหลักฐานดิจิทัล
หลักฐานดิจิทัลถึงแม้จะจับต้องไม่ได้ แต่ก็ถือเป็นหลักฐานทางกายภาพ ธรรมชาติของหลักฐานดิจิทัลจะอยู่ในรูปแบบของสนามแม่เหล็ก (Magnetic Field), การเปลี่ยนแปลงของกระแสไฟฟ้า (Electronic Pulse) หรือการสะท้อนและ Spectrum ของแสง (Optical Reflection/Optical Spectrum) ที่สามารถแปลผลออกมาให้อยู่ในรูปแบบ Binary เพื่อที่จะให้ระบบคอมพิวเตอร์นำไปประมวลผลและแสดงผลออกมาให้กับผู้ใช้งานได้ ข้อมูลในรูปแบบดิจิทัลทุกอย่าง สามารถใช้เป็นหลักฐานในการพิสูจน์ข้อเท็จจริงหรือหาความกระจ่างให้กับเรื่องที่กำลังสนใจอยู่ได้ ขึ้นอยู่กับว่าจะมีความเกี่ยวข้องกับเรื่องที่สนใจอยู่นั้นหรือไม่
กระบวนการตรวจสอบหลักฐานดิจิทัล
กระบวนการตรวจสอบหลักฐานดิจิทัล
1. การประเมินหลักฐาน
2. การได้มาซึ่งหลักฐาน
3. การส่งมอบหลักฐาน ดิจิทัล
4. การตรวจสอบ และวิเคราะห์หลักฐาน
5. การจัดทำเอกสารหลักฐาน และรายงาน
ทั้งนี้ การจะสามารถนำมาประกอบการพิจารณาในชั้นศาลได้หรือไม่นั้น ขึ้นอยู่กับดุลยพินิจของศาล
ตัวอย่างของเรื่องที่สามารถแก้ปัญหาโดยใช้หลักฐานทางดิจิทัลก็คือ
- การพิสูจน์ข้อเท็จจริงกรณีเกิดข้อพิพาทของบุคคลตั้งแต่สองฝ่ายขึ้นไป
- การพิสูจน์ข้อเท็จจริงในกรณีที่มีผู้ฝ่าฝืนนโยบายขององค์กร จนก่อให้เกิดความเสียหายต่อสังคมและองค์กร
- การพิจารณาคดีความทางแพ่งและอาญา
- การค้นหาสาเหตุของการโจมตีทางไซเบอร์ว่าเกิดจากช่องโหว่ใด เพื่อที่จะได้ทำการแก้ไขให้ตรงจุด
บทบาทของหลักฐานดิจิทัล (กฎของหลักฐาน)
บทบาทของหลักฐานดิจิทัล (กฎของหลักฐาน)
จากที่เราทราบกันแล้วว่า หลักฐานดิจิทัลนั้นเป็นสิ่งที่มีความอ่อนไหว ง่ายต่อการเสียหายมาก การวิเคราะห์หรือการดำเนินการใด ๆ จึงไม่สามารถกระทำบนหลักฐานต้นฉบับได้
แต่กฎของหลักฐานที่ดีที่สุดก็มีอยู่ว่า ข้อเท็จจริงที่จะใช้ในการนำเสนอในกระบวนการยุติธรรมได้ ต้องเป็นข้อเท็จจริงที่ได้จากหลักฐานต้นฉบับหรือตัวจริงเท่านั้น หรือแม้กระทั่งการพิสูจน์กระบวนการนอกชั้นศาล ก็ต้องพิสูจน์ได้ว่า ข้อเท็จจริงที่ได้จากหลักฐานดิจิทัลไม่ได้ผ่านการเติมแต่งเปลี่ยนแปลง ตรงตามต้นฉบับทุกประการ การที่จะทำให้หลักฐานทางดิจิทัลเป็นที่ยอมรับได้นั้นจะต้อง
- ทำสำเนาจากหลักฐานต้นฉบับโดยให้ตรงกับต้นฉบับทุกประการ หรือที่เรียกว่า Bit-for-Bit Copy หรือ Duplicate
- ในการทำสำเนาต้องใช้เทคโนโลยี Write-Blocker เพื่อป้องกันการปนเปื้อนของหลักฐานโดยไม่ได้เจตนา
- ทำการบันทึกกิจกรรมในการทำสำเนาหลักฐานพร้อมภาพถ่ายอย่างละเอียด
- เริ่มการบันทึกห่วงโซ่หลักฐาน (Chain of Custody) ตั้งแต่การทำสำเนาครั้งแรก
ขั้นตอนการได้มาซึ่งหลักฐาน
การได้มาซึ่งหลักฐานจะต้อง
- ทำสำเนาจากหลักฐานต้นฉบับ โดยให้ตรงกับต้นฉบับทุกประการ หรือที่เรียกว่า Bit-for-Bit Copy หรือ Duplicate
- ในการทำสำเนาต้องใช้เทคโนโลยี Write-Blocker เพื่อป้องกันการปนเปื้อนของหลักฐานโดยไม่ได้เจตนา
- ป้องกันการเปลี่ยนแปลงหรือทำลายชิ้นหลักฐาน ซึ่งอาจเกิดจากสิ่งรบกวนทางกายภาพ เช่น ความชื้น ไฟฟ้าสถิต
- ทำการบันทึกกิจกรรมในการทำสำเนาหลักฐานพร้อมภาพถ่ายอย่างละเอียด ทั้งก่อน ระหว่าง และหลังการจัดเก็บหลักฐาน
- ลายนิ้วมือของหลักฐานต้นฉบับและ Duplicate จะต้องตรงกัน สามารถทำได้โดยคำนวณ Cryptographic Hash/Checksum เช่น SHA-1, SHA-256, MD5 CRC-32 ของหลักฐานทั้งสองชุดแล้วนำมาเปรียบเทียบกัน และลายนิ้วมือจะต้องไม่มีการเปลี่ยนแปลง
- ตลอดอายุการใช้งานของหลักฐาน
- เริ่มการบันทึกห่วงโซ่หลักฐาน (Chain of Custody) ตั้งแต่การทำสำเนาครั้งแรก
อุปกรณ์อิเล็กทรอนิกส์ ประเภทและความสามารถในการเก็บหลักฐาน
ประเภทของอุปกรณ์อิเล็กทรอนิกส์ที่มีข้อมูลที่สามารถใช้เป็นหลักฐานทางดิจิทัล ได้แบ่งได้เป็น 2 ประเภท คือ
- ระบบคอมพิวเตอร์ ซึ่งมีความสามารถในการจัดเก็บและประมวลผลข้อมูลดิจิทัล เช่น
- Desktop Computer
- Smart Phone
- Laptop Computer
- IoT Devices
- Medical Device
- Smart Device อื่น ๆ
- อุปกรณ์ต่อพ่วง ซึ่งทำหน้าที่เพิ่มขีดความสามารถ หรือ เพิ่มพื้นที่ในการจัดเก็บข้อมูลของอุปกรณ์ที่ทำหน้าที่เป็นระบบคอมพิวเตอร์หลัก เช่น
- External Hard Drive
- Printer
- Scanner
- Smart Card Reader
- NFC Reader
- Network Equipment
ขั้นตอนการส่งมอบหลักฐานดิจิทัล
ทุกครั้งที่มีการส่งมอบหลักฐาน เริ่มตั้งแต่การได้มาซึ่งหลักฐานครั้งแรก จะต้องมีการบันทึก Chain of Custody ซึ่งประกอบด้วย
- วัน เวลา สถานที่ ที่ส่งมอบหรือจัดเก็บหลักฐา
- ชื่อผู้ส่งมอบ
- ชื่อผู้รับ
- สิ่งที่ส่งมอบ เหตุผลในการส่งมอบ
ขั้นตอนการตรวจสอบและวิเคราะห์หลักฐาน
ขั้นตอนการตรวจสอบและวิเคราะห์หลักฐาน
ทำการวิเคราะหลักฐานเพื่อพิสูจน์ หรือ ปฏิเสธสมมติฐาน ในการสอบสวนหรือค้นหาความจริง ในส่วนนี้ไม่มีขั้นตอนตายตัว ขึ้นอยู่กับว่าเรากำลังพิสูจน์เรื่องอะไรอยู่ ซึ่งสิ่งหนึ่งที่สำคัญ และเป็นที่แน่นอนเลย คือ ผู้วิเคราะห์จะต้องมีความเข้าใจในระบบที่จะทำการวิเคราะห์เป็นอย่างดี แต่ก็มีเทคนิคที่สามารถใช้ได้โดยทั่วไป ดังนี้
- การกู้ไฟล์ที่ถูกลบ
- การวิเคราะห์เนื้อหาไฟล์ที่น่าสนใจและเกี่ยวข้อง
- การลำดับเหตุการณ์และวิเคราะห์ลำดับเหตุการณ์ (Timeline Analysis)
- การถอดรหัสไฟล์
- การเชื่อมโยงข้อมูลจากหลาย ๆ แหล่งเข้าด้วยกัน (Correlation)
ขั้นตอนการจัดทำเอกสารหลักฐานและรายงาน
เมื่อการวิเคราะห์หลักฐานเสร็จสิ้นและได้ข้อสรุปแล้ว ขั้นตอนต่อไปคือ การจัดทำรายงาน
เพื่อนำเสนอผลต่อผู้ที่มีส่วนได้ส่วนเสียในกรณีนั้น ๆ ถือเป็นขั้นตอนที่สำคัญที่สุด ซึ่งมีขั้นตอนปฏิบัติ ที่เป็นแนวทาง ดังนี้
- ก่อนที่จะเริ่มเขียน ให้คำนึงถึงผู้ที่จะต้องนำรายงานไปใช้งาน
- ทำรายงานให้กระชับที่สุด
- จัดเรียงเนื้อหาให้ผู้ทำไปใช้สามารถใช้งานได้สะดวก
- เนื้อหาจะต้องถูกต้องแม่นยำทุกรายละเอียด และไม่สร้างความสับสนให้ผู้อ่าน
- รูปภาพและคำอธิบายต้องได้รับการจัดวางให้อยู่ในที่ ที่เหมาะกับการใช้งานของผู้อ่าน
- มีการสรุปเพื่อให้เห็นภาพรวม
- รายงานต้องผ่านกระบวนการ Peer Review
เอกสารรายงานการตรวจสอบหลักฐาน
เอกสารรายงานการตรวจสอบหลักฐาน
องค์ประกอบของเอกสารรายงานการตรวจสอบหลักฐาน มีดังต่อไปนี้
- บทนำ ชื่อ และรายละเอียดของผู้วิเคราะห์
- ที่มาและความจำเป็นในการวิเคราะห์หลักฐาน พร้อมทั้งสิ่งที่ต้องการพิสูจน์
- ผลสรุปจากการวิเคราะห์ และมีผลอย่างไรต่อเรื่องที่จะพิสูจน์
- วิธีการที่ใช้ในการวิเคราะห์
- เครื่องมือที่ใช้
- รายการหลักฐานที่ได้รับการวิเคราะห์
- รายละเอียดในการดำเนินการ พร้อมทั้งผลที่ได้ ที่สอดคล้องกับข้อสรุป
- ข้อเท็จจริงที่ได้จากการดำเนินการในแต่ละขั้นตอนที่สอดคล้องกับข้อสรุป ต้องไม่มีความเห็นเจือปน
- ข้อสรุปในภาพรวมและความเห็นของผู้เชี่ยวขาญ
- ภาคผนวก และไฟล์แนบที่ใช้ประกอบการวิเคราะห์