การฉ้อโกงการโอนเงินทางอีเมลของแฮกเกอร์ (BEC) -หลีกเลี่ยงการตกเป็นเหยื่อ
Orion Forensics ได้เห็นการเพิ่มขึ้นอย่างมากในเคสที่พนักงานที่รับผิดชอบในการการชำระเงินในนามของบริษัทถูกหลอกให้โอนเงินเข้าบัญชีธนาคารภายใต้การควบคุมของบุคคลที่เป็นอันตราย (Business Email Compromise) หรือ แฮกเกอร์นั่นเอง ในช่วง 13 วันแรกของปีนี้ (พ.ศ. 2565) เราได้รับการติดต่อเกี่ยวกับกรณีดังกล่าวแล้ว 3 กรณีในต้นปีนี้
การฉ้อโกงประเภทนี้เกิดขึ้นได้อย่างไร และคุณสามารถทำอะไรได้บ้างเพื่อป้องกันไม่ให้บริษัทของคุณตกเป็นเหยื่อของการฉ้อโกงทางอีเมล
ผู้ฉ้อโกงมักจะสามารถเข้าถึงห่วงโซ่อีเมลโดยไม่ได้รับอนุญาตได้หลายวิธี โดยเป็นเรื่องยากที่จะระบุว่ามาจากช่องทางใหน ซึ่งรวมถึง
- องค์กรของคุณอาจถูกแฮ็คเครือข่ายบริษัท Company network หรือเครือข่ายผู้ขายของคุณ Vendor’s network
- การเข้าถึงโดยไม่ได้รับอนุญาตโดยพนักงานที่เป็นอันตราย
- การหลอกหลวงทาง Social Media เช่นผู้ไม่ประสงค์ดี ติดตามเฝ้ามองพฤติกรรมผ่านทาง Social Media หรือ phishing emails (ฟิชชิ่งอีเมล เช่น พนักงานหรือผู้บริหารอาจกดหรือคลิกลิ๊งแปลกๆที่ได้รับทางอีเมลย์ หลังจากนั้นคอมพิวเตอร์จะถูกติดตั้งซอฟแวร์จากผู้ไม่ประสงค์ดีเพื่อจับตามอง หากผู้ใช้งานกำลังคุยกันเรื่องจ่ายเงินหรือโอนเงิน
- ผู้ไม่ประสงค์ดี อาจได้รายละเอียด เช่น username or Password ของผู้ใช้งานคอมพิวเตอร์เครื่องนั้น จากการติดตั้งมัลแวร์ ลงบนคอมพิวเตอร์ หรือ ผู้ใช้งานที่ ล๊อกอิน ใช้เครือข่าย WIFI ที่ไม่ปลอดภัยหรือฟรี ตามห้างร้านต่างๆ โดยไม่มี VPN
ดังนั้น อาจเป็นเรื่องที่ค่อนข้างยากที่จะระบุว่า ผู้ไม่ประสงค์ดี เจาะเข้าคอมพิวเตอร์ ของผู้ใช้งานคอมเครื่องนั้นหรือเหยื่อได้อย่างไร และช่องทางใหน ซึ่งต้องดูเป็นแต่ละกรณีไป
เมื่อได้รับการเข้าถึงห่วงโซ่อีเมลแล้ว ผู้ไม่ประสงค์ดีได้จับตามองและหากเหยื่อกำลังพูดถึงการโอนเงิน ไม่ประสงค์ดีจำทำการสร้างอีเมลที่เกือบจะเหมือนกับอีเมลของเหยื่อที่เป็นบุคคลที่คาดว่าจะได้รับการโอนเงิน จากนั้นผู้ไม่ประสงค์ดีจะส่งอีเมลจากอีเมล ปลอมโดยใช้ข้ออ้าง เช่น “บัญชีธนาคารของเรากำลังตรวจสอบ ดังนั้นคุณต้องชำระเงินเข้าบัญชีอื่นของเรา” ผู้ไม่ประสงค์ดี มักจะจับตามองอีเมลบุคคลอื่นๆภายในห่วงโซ่อีเมลอีกด้วย เพื่อผลักดันให้มีการชำระเงินโดยเร็วที่สุด โดยสร้างอีเมลปลอมเช่นกัน ตอนนี้ผู้ไม่ประสงค์ดีได้เข้าควบคุมการสนทนาแล้ว ผู้ที่ตกเป็นเหยื่อส่วนใหญ่มองไม่เห็นความแตกต่างเล็กน้อยระหว่างอีเมลจริงกับอีเมลปลอม ด้วยเหตุนี้ อีเมลเพิ่มเติมทั้งหมดจึงถูกเปลี่ยนเส้นทางจากผู้รับที่แท้จริงไปยังผู้หลอกลวง เมื่อชำระเงินแล้ว จะได้รับเงินคืนได้ยากอย่างยิ่ง ดังนั้นการป้องกันจึงเป็นนโยบายที่ดีที่สุด
หากคุณพบว่าตัวเองตกเป็นเหยื่อของการฉ้อโกงประเภทนี้ Orion Forensics Lab อาจสามารถช่วยรวบรวมพยานหลักฐานและเตรียมหลักฐานเพื่อให้คุณสามารถรายงานหลักฐานที่พบแก่เจ้าหน้าที่ตำรวจ คือ
- เก็บสำเนาอิเล็กทรอนิกส์ของอีเมลต้นฉบับทั้งหมดในห่วงโซ่อีเมล และโดยเฉพาะอย่างยิ่งอีเมลที่ขอชำระเงินไปยังบัญชีธนาคารใหม่และอีเมลติดตามผลจากผู้ไม่ประสงค์ดี
สิ่งสำคัญคือต้องเก็บสำเนาอิเล็กทรอนิกส์ของอีเมลที่ได้รับต้นฉบับและไม่ใช่อีเมลที่ส่งต่อไปยังพนักงานภายในองค์กร เหตุผลก็คืออีเมลมีข้อมูลของผู้ไม่ประสงค์ดีซ่อนอยู่ซึ่งมักจะไม่เห็นเมื่อดูอีเมลผ่านโปรแกรมรับส่งเมล ข้อมูลนี้เรียกว่าข้อมูลส่วนหัวของอีเมลและมีรายละเอียดของคอมพิวเตอร์ทุกเครื่องที่อีเมลส่งผ่านจากผู้ส่งไปยังผู้รับ ส่วนหัวของอีเมลจะประกอบด้วยข้อมูลเวลาและวันที่และอาจเป็นที่อยู่อินเทอร์เน็ตโปรโตคอล (IP) ของผู้ส่ง อุปกรณ์จะต้องได้รับการจัดสรรที่อยู่ IP เพื่อให้อุปกรณ์เชื่อมต่ออินเทอร์เน็ตได้ ที่อยู่ IP นี้จะถูกจัดสรรให้กับลูกค้าโดยผู้ให้บริการอินเทอร์เน็ต (ISP) ดังนั้น หากเราสามารถระบุที่อยู่ IP เริ่มต้นของอีเมลและข้อมูลเวลาและวันที่ เราสามารถระบุได้ว่าผู้ให้บริการอินเทอร์เน็ตรายใดเป็นผู้รับผิดชอบในการจัดสรรที่อยู่ IP และจากประเทศใด การบังคับใช้กฎหมายสามารถยื่นคำร้องทางกฎหมายต่อ ISP เพื่อขอรายละเอียดว่าใครได้รับการจัดสรรที่อยู่ IP ให้ ณ เวลาและวันที่ส่งอีเมล
เมื่อคุณส่งต่ออีเมลภายใน ข้อมูลส่วนหัวของอีเมลเดิมอาจสูญหายได้ ซึ่งเป็นสาเหตุสำคัญที่ต้องรักษาอีเมลเดิมที่ได้รับในรูปแบบอิเล็กทรอนิกส์
กรณีศึกษา – ตัวอย่างกรณีที่เราสามารถช่วยเหลือลูกค้าของเราได้
ตัวอย่างที่ 1 – บริษัทไทยแห่งหนึ่งขอให้เราตรวจสอบอีเมลที่ได้รับจากผู้ฉ้อโกงเพื่อพยายามระบุว่าอีเมลดังกล่าวถูกบุกรุกจากเครื่อข่ายลูกค้าหรือคู่ค้าในสหรัฐอเมริกา เราสามารถแสดงให้เห็นว่าผู้ฉ้อโกงใช้รายละเอียดการเข้าสู่ระบบอีเมลของคู่ค้าในสหรัฐอเมริกาเพื่อเข้าสู่ระบบบัญชีอีเมลผ่านเว็บเมลจากไนจีเรีย และด้วยเหตุนี้อาจระบุได้ว่าคู่ค้าอาจถูกเข้าถึงอีเมลย์ โดยผู้ไม่ประสงค์ดี
ตัวอย่างที่ 2 – ผู้ไม่ประสงค์ดี ได้สร้างที่อยู่อีเมลปลอมซึ่งคล้ายกับที่อยู่อีเมลที่ถูกต้องของลูกค้าของเราเพื่อทำการฉ้อโกง ด้วยเหตุนี้ บริษัทอื่นจึงสรุปว่าเครือข่ายของลูกค้าเราถูกบุกรุก จากนั้นพวกเขาก็นำลูกค้าของเราขึ้นศาลเพื่อฟ้องร้องเรื่องความล้มเหลวในการดูแลเครือข่ายคอมพิวเตอร์ที่ปลอดภัย จากหลักฐานที่มีอยู่ บริษัทอื่นไม่สามารถสรุปได้ Orion ได้ขึ้นศาลในฐานะพยานผู้เชี่ยวชาญของลูกค้าของเราโดยระบุว่าจากหลักฐานที่มีอยู่ทั้งหมดในขณะนั้น เป็นไปไม่ได้ที่จะสรุปว่าระบบอีเมลโดนแฮก เกิดขึ้นได้อย่างไร และบริษัทใดถูกบุกรุก
หากคุณต้องการความช่วยเหลือ โปรดอย่าลังเลที่จะติดต่อ Orion Forensics เพื่อดูว่าเราจะสามารถช่วยได้อย่างไร
หลักสูตรอบรม 1 วัน จัดอบรมให้ความรู้ด้านความปลอดภัยในโลกไซเบอร์แก่พนักงานหรือผู้บริหารของคุณ คลิก
Read More
จัดอบรม Online หลักสูตร Digital Evidence-Unlocking the Secret Course แก่ธนาคารแห่งประเทศไทย
Orion Forensics LAB ได้รับเชิญเป็นครั้งที่ 3 ในการบรรยายออนไลน์ 1 วัน กับหลักสูตร Digital Evidence – Unlocking the Secrets (1) Day แก่ฝ่าย ตรวจสอบภายใน จากธนาคารแห่งประเทศไทย เมื่อวันที่ 26 ตุลาคม 2564
วัตถุประสงค์ของการอบรมครั้งนี้คือ เจ้าหน้าที่ฝ่ายตรวจสอบภายใน ต้องการเข้าใจเพิ่มเติมเกี่ยวกับหลักฐานอิเล็กทรอนิกส์ หากต้องรวบรวมหลักฐานและนำไปใช้ในกระบวนการทางกฎหมาย รวมถึงกระบวนการเก็บรักษาหลักฐานระหว่างการตรวจสอบเพื่อไม่ให้หลักฐานปนเปื้อนหรือได้รับความเสียหาย การพิจารณาของศาลต่อหลักฐานดิจิทัล สุดท้ายคือการทำรายงานนำเสนอหลักฐานในศาล โดยทุกขั้นตอนต้องเป็นไปตามมาตรฐานสากล
องค์กรใดสนใจจัดอบรม สอบถามทางฝ่ายขาย forensics@orionforensics.com
รายละเอียดเพิ่มเติมเกี่ยวกับหลักสูตรนี้ Digital Evidence – Unlocking the Secrets
Read More
จัดอบรม Online หลักสูตร Digital Evidence-Unlocking the Secret Course แก่ผู้ที่สนใจ
Orion Forensics LAB ได้รับเชิญบรรยายหลักสูตร 1 วัน Digital Evidence – Unlocking the Secrets แก่เจ้าหน้าที่จาก บริษัท Runexy (Thailand) โดยบรรยาย ให้ความรู้แก่เจ้าหน้าที่จากฝ่ายขายในประเทศไทยและผู้บริหารจากประเทศญี่ปุ่น เมื่อวันที่ 11 ตุลาคม 2564
โดยวัตถุประสงค์ของการอบรมครั้งนี้คือ ให้เจ้าหน้าที่ทุกฝ่ายเข้าใจเกี่ยวกับหลักฐานอิเล็กทรอนิกส์ และการนำหลักฐานไปใช้ในชั้นศาลมากขึ้น เพื่อนำไปต่อยอดการทำงานในบริษัทต่อไป
องค์กรใดสนใจจัดอบรม สอบถามทางฝ่ายขาย forensics@orionforensics.com
รายละเอียดเพิ่มเติมเกี่ยวกับหลักสูตรนี้ Digital Evidence – Unlocking the Secrets
Read More
จัดอบรม In-House Hands-on Workshop |Digital Forensics Foundation Course 4 Days | แก่เจ้าหน้าที่จากศูนย์ไซเบอร์กองทัพบก
Orion Forensics LAB ได้รับเชิญบรรยายหลักสูตร In-House hands-on Workshop Digital Forensics Foundation Training Course (4 DAYS) แก่เจ้าหน้าที่จาก ศูนย์ไซเบอร์กองทัพบก เมื่อวันที่ 19-22 มกราคม 2564 ที่ผ่านมา
โดยหลักสูตรนี้เป็นหลักสูตรเบื้องต้นสำหรับบุคคลทั่วไปที่สนใจด้านการตรวจพิสูจน์พยานหลักฐานดิจิทัล หรือ อยากจะเป็นผู้เชี่ยวชาญพิสูจน์หลักฐานในอนาคต ,ผู้ที่ทำงานเกี่ยวข้องกับพยานหลักฐานดิจิทัล
หลักสูตรนี้จะช่วยสร้างความเข้าใจขั้นพื้นฐานอย่างลึกซึ้งในการพิสูจน์หลักฐานทางดิจิทัล (digital forensic)รวมถึงทางด้านเทคนิคต่างๆ โดยจะครอบคลุมเนื้อหาเชิงลึกและฝึกปฏิบัติตามสถานการณ์จริง ตามวัตถุประสงค์การเรียนรู้ในแต่ละขั้น โดยในการอบรมครั้งนี้ Orion Forensics lab ได้ปรับหลักสูตรเพื่อตรงการทำงานของผู้เชี่ยวชาญ คือ รวบรวมข้อมูลจาก Cloud การตรวจสอบมัลแวร์ วิเคราะห์มัลแวร์ และ ใช้ Volatility Framework เพื่อวิเคราะห์ แรม
ผู้ฝึกอบรมจะได้ทดลองใช้เครื่องมือที่เป็น Forensics open source Tools ซึ่งเขียนและพัฒนาโดย ซึ่งจะได้เรียนรู้และทดลองปฏิบัติตามหลักสูตรโดยไม่ต้องเสียค่าใช้จ่ายเพิ่มเติมในการใช้ซอฟต์แวร์และฮาร์ดแวร์ โดย
หลักสูตรนี้ได้รับการออกแบบโดยผู้ตรวจเชี่ยวชาญนิติวิทยาศาสตร์ที่มีประสบการณ์และมีประสบการณ์หลายปีจากประเทศอังกฤษและในประเทศไทย เพื่อให้แน่ใจว่าเนื้อหาของหลักสูตรสามารถนำไปปฏิบัติได้
เนื้อหาและข้อมูลสำหรับหลักสูตรนี้ Digital Forensics Foundation Training Course 4 Days
องค์ใดสนใจจัดอบรม In-House ติดต่อสอบถาม Sales โดยตรง forensics@orionforensics.com
Read More
หลักการนำหลักฐานดิจิทัลหรืออิเล็กทรอนิกส์ไปใช้ในทางกฎหมาย
เนื่องจากกฎหมายของแต่ละประเทศในเรื่องของการนำเสนอหลักฐานนั้นมีความแตกต่างกัน ดังนั้นการนำหลักฐานดิจิทัลไปใช้ในชั้นศาลซึ่งเป็นกฎที่มีการคิดค้น และพัฒนาในต่างประเทศจนได้รับการยอมรับมากที่สุด ซึ่งมีด้วยกันทั้งหมด 4 ข้อคือ ดังนี้คือ
Read More
10 อาชีพในสายงาน Cyber security อัพเดทปี 2020 !
1.IT Auditors: ตำแหน่งนี้จะประเมินการควบคุมความน่าเชื่อถือและความสมบูรณ์ของสภาพแวดล้อมไอทีของบริษัท โดยระบุข้อบกพร่องในเครือข่ายของระบบและสร้างแผนปฏิบัติการเพื่อป้องกันการละเมิดความปลอดภัย บทบาทของ IT Auditors เหมาะกับผู้ที่มีความละเอียดรอบคอบในการดูรายละเอียดและความสามารถในการบันทึกข้อมูลที่ซับซ้อนได้อย่างแม่นยำ สามารถระบุและบันทึกช่องว่างใด ๆ และรวบรวมไว้ในรายงานเพื่อให้ฝ่ายบริหารดำเนินการ IT Auditors อาจรู้จักกันในชื่อตำแหน่งดังนี้ :
- Senior IT internal auditor
- Senior IT compliance analyst
- Incident analyst/responder
2.Incident Analysts: ตำแหน่งนี้ได้รับการฝึกฝนให้ตอบสนองต่อเหตุการณ์ด้านความปลอดภัยอย่างรวดเร็วในขณะที่มีการเปิดเผย โดยระบุสาเหตุของเหตุการณ์ดำเนินการควบคุมความเสียหายตรวจสอบสถานการณ์และให้คำแนะนำเกี่ยวกับวิธีป้องกันเหตุการณ์ในอนาคต ภูมิหลังด้านนิติวิทยาศาสตร์คอมพิวเตอร์ (Computer Forensics ) หรือการสืบสวนทางคอมพิวเตอร์ (computer investigations ) เป็นกุญแจสำคัญในการก้าวเข้าสู่อาชีพนี้เนื่องจาก Incident Analysts ต้องพึ่งพาเครื่องมือทางนิติวิทยาศาสตร์คอมพิวเตอร์ (computer forensic tools ) ที่หลากหลาย Incident Analysts อาจรู้จักกันในชื่อตำแหน่งดังนี้ :
- Information security project manager
- Security project manager
- Senior analyst, information security
3.Cybercrime Investigators: ตำแหน่งนี้ตรวจสอบอาชญากรรมหลายอย่าง ตั้งแต่การกู้คืนระบบไฟล์บนคอมพิวเตอร์ที่ถูกแฮ็กหรือเสียหายไปจนถึงการสืบสวนอาชญากรรมต่อเด็ก ตามข้อมูลของ Infosec โดยการกู้คืนข้อมูลที่ละเอียดอ่อนจากอุปกรณ์ที่อาชญากรใช้เป็นหลักฐานในการดำเนินคดี โดยทำงานร่วมกับเจ้าหน้าที่บังคับใช้กฎหมายและเป็นพยานในศาล ผู้สืบสวนอาชญากรรมไซเบอร์ อาจรู้จักกันในชื่อตำแหน่งดังนี้ :
- Digital forensics analyst
- Cyber-IT/forensic/security incident responder
- Cyberforensics analyst
- Digital forensics technician
- Cybersecurity forensic analyst
4.Cybersecurity Specialists: ตำแหน่งนี้มีบทบาทสำคัญในการรักษาความปลอดภัยให้กับระบบข้อมูลคอมพิวเตอร์ของ บริษัท โดยต้องมีทักษะที่มีความเชี่ยวชาญสูงเพื่อป้องกันภัยคุกคามต่อองค์กร เช่นมัลแวร์ ไวรัสฟิชชิ่ง และการโจมตีแบบ Denial-of-service attacks (DDOS) ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ อาจรู้จักกันในชื่อตำแหน่งดังนี้ :
- Information security specialist
- IT specialist, information security
- Information technology specialist — information security
- IT security specialist
5.Cybersecurity Analyst: ตำแหน่งนี้เป็นงานระดับเริ่มต้นในด้านความปลอดภัยทางไซเบอร์และเป็นตัวเลือกยอดนิยมสำหรับผู้มาใหม่ในสายงาน โดยเริ่มจากการเข้ารหัสการส่งข้อมูล ทำการประเมินความเสี่ยงสร้างไฟร์วอลล์และปกป้องข้อมูลที่ละเอียดอ่อน นักวิเคราะห์ความปลอดภัยทางไซเบอร์ อาจรู้จักกันในชื่อตำแหน่งดังนี้ :
- Information security analyst
- Security analyst
- IT security analyst
- Senior security analyst
6.Cybersecurity Consultants : ตำแหน่งนี้ช่วยให้ธุรกิจเข้าใจสิ่งแวดล้อมของภัยคุกคามในปัจจุบันและประเมินความเสี่ยงที่อาจเกิดจากปัญหาด้านความปลอดภัยทางไซเบอร์ เหตุการณ์ด้านความปลอดภัยและการโจมตี ที่ปรึกษาด้านความปลอดภัยทางไซเบอร์มักมีบทบาททั้งผู้โจมตีและเหยื่อ พวกเขาสามารถทำงานได้ทั้งในทีมสีแดงและสีน้ำเงินและเสนอข้อมูลเชิงลึกให้กับองค์กรว่าพวกเขาสามารถป้องกันตนเองจากภัยคุกคามทางไซเบอร์ได้ดีขึ้นอย่างไร ที่ปรึกษาด้านความปลอดภัยทางไซเบอร์อาจรู้จักกันในชื่อตำแหน่งดังนี้ :
- Security consultant
- Security specialist
- Commercial security consultant
- Senior security consultant
7.Penetration Testers: ตำแหน่งนี้คือแฮกเกอร์ที่มีจริยธรรมของโลกไซเบอร์ พวกเขาทำการจำลองการโจมตีระบบรักษาความปลอดภัยขององค์กรเพื่อค้นหาจุดอ่อนหรือช่องโหว่ก่อนที่แฮกเกอร์ตัวจริงจะค้นพบและใช้ประโยชน์จากพวกมัน Penetration Testers อาจรู้จักกันในชื่อตำแหน่งดังนี้ :
- Ethical hacker
- Assurance validator
8.Cybersecurity Architects: ตำแหน่งนี้คือผู้นำองค์กรที่มีความคิดเลียนแบบแฮ็กเกอร์ โดยมีหน้าที่รับผิดชอบในการสร้างและรักษาโครงสร้างความปลอดภัยขององค์กรเพื่อป้องกันการโจมตีที่อาจเกิดขึ้น และยังดูแลทีมรักษาความปลอดภัยมั่นคงไซเบอร์ Cybersecurity Architects อาจรู้จักกันในชื่อตำแหน่งดังนี้ :
- Security architect
- Information security architect
- Senior security architect
- IT security architect.
9.Cybersecurity Engineers: ตำแหน่งนี้เป็นผู้เชี่ยวชาญที่มีทักษะสูงและมุ่งเน้นรายละเอียดในแนวหน้าในการปกป้องบริษัท จากการละเมิดความปลอดภัย ความรับผิดชอบประจำวัน ได้แก่ การวิเคราะห์เครือข่ายคอมพิวเตอร์ การตรวจสอบว่าเครือข่ายทำงานอย่างปลอดภัยและคาดการณ์ปัญหาด้านความปลอดภัยที่อาจเกิดขึ้นในอนาคต แกนหลักของบทบาทนี้เกี่ยวข้องกับการออกแบบระบบคอมพิวเตอร์ที่สามารถต้านทานการถูกโจมตีทางไซเบอร์หรือภัยธรรมชาติ วิศวกรความปลอดภัยทางไซเบอร์ อาจรู้จักกันในชื่อตำแหน่งดังนี้ :
- Security engineer
- Network security engineer
- Data security engineer
- IA/IT security engineer
10.Cybersecurity Managers: ตำแหน่งนี้เป็นผู้เชี่ยวชาญด้านไอทีระดับสูงที่มีบทบาทสำคัญในการสร้างกลยุทธ์การรักษาความปลอดภัยขององค์กรและดูแลพนักงานรักษาความปลอดภัยข้อมูล
หลักสูตรอบรม Computer Forensics เพิ่มทักษะการทำงาน คลิก
แหล่งที่มา www.radio.com
Read More
การสำเนาพยานหลักฐานต้นฉบับ (Forensics Image) คืออะไร
การสำเนาพยานหลักฐานต้นฉบับ หรือ Forensics Imaging เป็นกระบวนการของการสำเนาของฮาร์ดไดรฟ์ และเป็นพื้นฐานทางนิติคอมพิวเตอร์, การกู้คืนข้อมูล และกระบวนการค้นหาข้อมูลทางอิเล็กทรอนิกสิ์ ซึ่งกระบวนการ Imaging นั้นจะทำกับข้อมูล ทุกๆข้อมูล ที่บันทึกอยู่ในฮาร์ดไดรฟ์ ซึ่งข้อมูลในฮาร์ดไดรฟ์ จะบันทึกในลักษณะของเลข 0 และ 1
Read More
การตรวจพิสูจน์พยานหลักฐานดิจิทัลหรือคอมพิวเตอร์
การตรวจพิสูจน์พยานหลักฐานดิจิทัลหรือคอมพิวเตอร์ – เมื่อได้ยินคำว่า “Computer Forensics” หลายคนจะนึกถึงซีรีย์เรื่อง “DSI” และการสืบสวนอาชญากรรมของตำรวจ ในปัจจุบันคำว่า Digital Forensics คือ น่าจะมีการพูดถึงกันมากขึ้นในแง่ของการเป็นเครื่องมือในการสืบสวนการกระทำผิดของพนักงานในองค์กร, การสืบสวนด้านทรัพย์สินทางปัญญา, การสืบสวนผู้บุกรุกเครือข่ายคอมพิวเตอร์(Cyber Crime) และการฟ้องร้องคดีหมิ่นประมาท เป็นต้น
การพิสูจน์หลักฐานทางคอมพิวเตอร์ ในประเทศไทยยังคงเป็นเรื่องใหม่แต่มันกำลังจะเปลี่ยนไป เพียงแค่คุณค้นหาคำเหล่านี้ทางอินเตอร์เน็ตจะพบบริษัทที่โฆษณาการให้บริการด้าน Digital Forensics, คอร์สฝึกอบรม, และเว็บบล็อกที่ให้ความรู้จากทั้งในประเทศและจากต่างประเทศ แต่จะมีใครทราบความหมายที่แท้จริงของคำว่า Digital หรือ Computer Forensics
ดังนั้นเราสามารถทำความเข้าใจง่ายๆว่า มัน คือการรวบรวมข้อมูลหลักฐาน การพิสูจน์หลักฐานทางคอมพิวเตอร์และอุปกรณ์ทางอิเล็กทรอนิกส์ ซึ่งสามารถนำมาใช้เป็นหลักฐานได้ และในทาง Computer Forensics หลักฐานที่ได้จะไม่มีการเปลี่ยนแปลง ซึ่งถ้ามีความจำเป็นที่จะต้องมีการเปลี่ยนแปลงก็จะต้องมีการเปลี่ยนแปลงน้อยที่สุด โดยจะต้องมีการบันทึกกระบวนการได้มาของหลักฐานอย่างเที่ยงตรง(Chain of Custody)
การพิสูจน์หลักฐานทางคอมพิวเตอร์ ไม่เพียงแต่เป็นการสืบสวนข้อมูลทางอีเล็กทรอนิกส์ แต่ยังเป็นการระบุข้อมูลที่เกี่ยวข้องกับการสืบสวนค้นหาหลักฐานเพื่อนำเสนอประกอบการดำเนินคดี ดังนั้นจึงมีความจำเป็นที่คนทั่วไปจะต้องทำความเข้าใจว่า Computer Forensics ไม่ได้หมายถึงเฉพาะข้อมูลในคอมพิวเตอร์ แต่ยังรวมไปถึงอุปกรณ์ที่สามารถจัดเก็บข้อมูลทางอิเล็กทรอนิคส์ เช่น โทรศัพท์มือถือ กล้องถ่ายรูป อุปกรณ์รับสัญญาณดาวเทียม (GPS) อุปกรณ์จัดเก็บข้อมูล USB เครื่องเล่นเกม หรือแม้แต่เตาอบไฟฟ้า ซึ่งหลายคนอาจคาดไม่ถึง
เพื่อพิจารณาการสื่อสารข้อมูลในปัจจุบันจะพบว่าจะเป็นการสื่อสารข้อมูลในรูปของข้อมูลอิเล็กทรอนิคส์ จึงเห็นได้ว่า ทำไมการทำ Computer Forensics จึงเป็นเครื่องมือที่สำคัญต่อธุรกิจในปัจจุบัน ไฮไลท์จากการสำรวจ Global Economic Crime Survey 2011 พบว่า อาชญากรรมไซเบอร์เป็นหนึ่งในอาชญากรรมทางเศรษฐกิจที่มีความสำคัญและมีการรายงานว่า 1ใน 10ของการทุจริตที่เกิดขึ้นในองค์กรซึ่งมีความสูญเสียกว่า 5 ล้าน ดอลล่าสหรัฐ ซึ่งความเสียหายทางชื่อเสียงคือสิ่งที่ผู้คนหวั่นกลัวที่สุดคิดเป็น 40 % ของผู้ตอบแบบสอบถาม และมากกว่า 56% ตอบว่าการทุจริตที่ร้ายแรงที่สุดคือ “ภายในองค์กร”
การสำรวจยังแสดงให้เห็นว่า 60 % ของผู้ตอบแบบสอบถาม ตอบว่าองค์กรไม่ใด้มีกฎข้อห้ามในการเล่น Social Media สุดท้าย 34% ของผู้ตอบแบบสอบถามมีประสบการณ์อาชญากรรมทางเศรษฐกิจในช่วง 12 เดือนที่ผ่านมา ซึ่งเพิ่มขึ้นจากเดือนจากปี 2009 กว่า 30% นอกจากนี้ 2 ใน 5 ของผู้ตอบแบบสอบ กล่าวว่า ไม่เคยได้รับการอบรมใดๆเกี่ยวกับ ความปลอดภัยด้านอาชญากรรมไซเบอร์
เป็นสิ่งที่น่าแปลกใจ เมื่อคุณพิจารณาว่าโลกของเราก้าวไปอย่างรวดเร็ว องค์กรต่างๆต้องพึ่งพาเทคโนโลยีมากขึ้นและการแข่งขันทางด้านเทคโนโลยีที่สูงมากขึ้นตามไปด้วย องค์กรส่วนใหญ่ย่อมคาดหวังที่จะนำเสนอข้อมูลเพื่อดึงดูดลูกค้าผ่านทางเว็บไซต์ และทำให้ลูกค้าสามารถตอบสนองได้อย่างรวดเร็วผ่านผ่านทางฟังชั่นสนทนาออนไลน์ และยังสามารถสั่งซื้อสินค้าได้อย่างปลอดภัยผ่านทางการบริการออนไลน์ของเว็บไซต์ จึงเห็นได้ว่าเทคโนโลยีได้กลายมาเป็นส่วนหนึ่งในชีวิตของผู้คนสมัยนี้ ซึ่งคนทั่วไปสามารถเข้าถึงอีเมล์ส่วนตัวเพื่อให้สามารถติดต่อกับเพื่อนๆแม้ในช่วงเวลาทำงาน
สิ่งต่างๆที่กล่าวมามีผลกระทบต่อองค์กรอย่างไร ? องค์กรจะต้องเผชิญกับเหตุการณ์ที่เกี่ยวข้องกับระบบความปลอดภัยขององค์กรและบางองค์กรไม่ได้เตรียมการล่วงหน้าสำหรับการปกป้องข้อมูลขององค์กรที่เป็นความลับได้อย่างมีประสิทธิภาพ องค์กรทราบดีว่าพวกเขาต้องมีระบบป้องกันข้อมูลรั่วไหลภายในองค์กร เช่น การมีไฟร์วอลล์, ติดตั้งแพทตัวล่าสุดของโปรแกรม Anti Virus อย่างไรก็ตามหลายองค์กรไม่สามารถใช้นโยบายควบคุมการใช้คอมพิวเตอร์ เช่น การนำอุปกรณ์ USB มาใช้ในองค์กร ซึ่งพนักงานอาจจะก๊อบปี้ข้อมูลของบริษัทออกไปได้ ถึงแม้องค์กรจะมีนโยบายการปิดอีเมล์และป้องกันการเข้าถึงข้อมูลองค์กรเมื่อพนักงานคนนั้นลาออก แต่ก็ไม่สามารถป้องกันข้อมูลบริษัทรั่วไหลไปได้
ทุกองค์กรในทุกอุตสาหกรรมทั้งในประเทศไทยและต่างประเทศต่างก็มีนโยบายในการเข้าถึงข้อมูลที่เป็นความลับขององค์กรและข้อมูลของลูกค้า เพื่อที่จะปกป้องการขโมยข้อมูลออกจากองค์กร แต่การรั่วไหลของข้อมูลยังคงเป็นหนึ่งในปัญหาที่ใหญ่ที่สุดที่องค์กรต้องเผชิญในโลกเทคโนโลยีทุกวันนี้ ถ้าภาคธุรกิจในประเทศไทยปรารถนาที่จะแข่งขันในระดับโลก องค์กรเหล่านี้ควรจะต้องมีความสามารถในการรับมือหรือจัดการกับอาชญากรรมทางไซเบอร์ได้ การรักษาข้อมูล ตอนนี้กลายเป็นปัญหาใหญ่สำหรับองค์กรที่ไม่มีการวางแผนการจัดการกับอาชญากรรมทางไซเบอร์ ซึ่งอาจทำให้พลาดการทำสัญญาทางการค้ากับบริษัทขนาดใหญ่ได้ ดังที่มีผู้กล่าวไว้ว่า “การคาดการณ์ในอนาคตจะผิดพลาด เมื่อมันได้มาถึงตัวอย่างไม่คาดคิด”
ตัวอย่างของอาชญากรรมไซเบอร์ ได้แก่การฉ้อโกงผ่านทางคอมพิวเตอร์ การฝ่าฝืนนโยบายความปลอดภัยข้อมูลคอมพิวเตอร์ขององค์กร การจารกรรมข้อมูล การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต การละเมิดสิทธิส่วนบุคคล และการดาวน์โหลดข้อมูลที่ผิดกฎหมาย
เมื่อมีเหตุการณ์ไม่ปกติเกิดขึ้นกับองค์กร จึงมีความจำเป็นต้องมีการประเมินความเสี่ยงที่อาจจะเกิดขึ้นกับองค์กร ไม่ว่าจะเป็นในด้าน จริยธรรม, การเงิน และกฎหมาย เมื่อมีการสืบสวนภายในองค์กรและพบว่าอาจทำให้ เกิดความเสียหายอย่างร้ายแรง อาจจะมีความจำเป็นต้องใช้ การสืบสวนและ ดำเนินงานจากหน่วยงานภายนอกองค์กรที่น่าเชื่อถือและสามารถรักษา ความลับขององค์กรได้
จากที่กล่าวมาข้างต้น จะเห็นได้ว่า Digital Forensics ในประเทศไทยถือเป็นเรื่องใหม่ และผู้ที่เกี่ยวข้องยังมีประสบการณ์ไม่มากพอ จึงมีความจำเป็นที่หน่วยงานด้านกฎหมายทั้งภาครัฐและเอกชนต้องให้ความสนใจเรียนรู้และหาประสบการณ์เพิ่มเติมเพราะหลักฐานทางดิจิทัลอาจจะเป็นหลักฐานสำคัญที่ไม่ควรมองข้าม
ยังมีผู้คนจำนวนมากเข้าใจผิดเกี่ยวกับ Digital Forensics ตัวอย่างเช่น Digital Forensics เกี่ยวข้องกับการสืบสวนคดีอาชญากรรมเท่านั้น, Digital Forensics มีราคาแพง หรือหลักฐานทางดิจิทัลมีความยุ่งยากซับซ้อน ซึ่งแท้จริงแล้ว Digital Forensics เกี่ยวข้องกับหลายๆส่วนไม่ว่าจะเป็น การสืบสวนคดีอาชญากรรม, การฟ้องร้องในคดีแพ่งหรือการฟ้องร้องเรื่องส่วนตัว ถ้าเกี่ยวข้องกับคอมพิวเตอร์, การสื่อสารผ่านอุปกรณ์อิเล็กทรอนิกส์หรือเอกสารอิเล็กทรอนิกส์แล้วก็ล้วนแต่มีความจำเป็นต้องใช้กระบวนการ Digital Forensics ทั้งนั้น การ Forensics สามารถกู้ข้อมูลที่ถูกลบและไฟล์การใช้งานชั่วคราวที่เกิดขึ้นจากกระบวนการทำงานของคอมพิวเตอร์ซึ่งข้อมูลที่พิสูจน์ได้ผู้ใช้งานจะไม่สามารถโต้แย้งได้เนื่องจากเป็นข้อมูลที่เกิดขึ้นจริง เช่น ข้อมูลการกระทำผิดของพนักงาน
Digital Forensics ดูเหมือนจะเป็นทางเลือกที่มีราคาค่อนข้างสูงซึ่งทำให้คิดได้ว่าอาจจะไม่คุ้มค่าในการลงทุน อย่างไรก็ตาม ในระหว่างการสืบสวนข้อมูลบ่อยครั้งที่สามารถตรวจหาหลักฐานสำคัญที่สามารถนำไปดำเนินคดีในศาลได้ และมีหลายคดีที่สามารถนำไปเป็นหลักฐานในการต่อสู้คดีซึ่งจะช่วยป้องกันความเสียหายทางธุรกิจได้ ดังตัวอย่างต่อไปนี้
พนักงานในองค์กรแห่งหนึ่งซึ่งมีหน้าที่รับผิดชอบแบ็คอัพข้อมูลของบริษัทมาเป็นระยะเวลาหลายปี ได้ตัดสินใจลาออกโดยไม่มีการแจ้งให้บริษัททราบล่วงหน้า เมื่อเขาลาอออกไปทางบริษัทพบว่าเขาได้ลบข้อมูลบางส่วนในอีเมล์ เมื่อได้ใช้การตรวจสอบทาง forensic ที่ฮาร์ดดิสก์คอมพิวเตอร์ของพนักงานและที่เมล์เซิร์ฟเวอร์ของบริษัทพบว่า ก่อนที่เขาจะออกจากบริษัทเขาได้มีการเสียบ usb ไดร์ฟที่เครื่องคอมพิวเตอร์และก็อปปี้ข้อมูลที่แบ็คอัพไว้ และเขายังได้เข้าใช้งานอีเมล์โดยทำการลบอีเมล์สำคัญ เมื่อจำนนต่อหลักฐานเขาจึงยอมรับสารภาพและไม่สามารถโต้แย้งได้
ปัจจุบันนักกฎหมายในเมืองไทยยังเกรงกลัวที่จะใช้หลักฐานทางดิจิทัลในศาลเนื่องจากคิดว่าหลักฐานทางดิจิทัลมีความยุ่งยากซับซ้อนและคิดว่าไม่ได้รับอนุญาต ซึ่งเป็นความเข้าใจที่ไม่ถูกต้องเนื่องจากมีหลายกรณีที่มีความจำเป็นต้องใช้หลักฐานทางดิจิทัล เช่น รูปภาพ, อีเมล์, เอกสารอิเล็กทรอนิกส์ และประวัติการใช้งานอินเตอร์เน็ต ซึ่งหลักฐานเหล่านี้สามารถนำมาอธิบายในรูปแบบที่คนทั่วไปเข้าใจได้โดยง่าย
การจัดการกับหลักฐานทางดิจิทัลมีสองสิ่งทีสำคัญคือ ความสมบูรณ์ของพยานหลักฐานและความถูกต้องของหลักฐาน โดยเป็นไปตาม พ.ร.บ พระราชบัญญัติธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2554 ซึ่งถือเป็นจุดเริ่มต้นงานด้านพิสูจน์หลักฐานทางคอมพิวเตอร์ในประเทศไทย
อาชญากรรมทางไซเบอร์ถูกระบุว่า เป็นหนึ่งในสี่อาชญากรรมที่สำคัญทางเศรษฐกิจและจะเพิ่มมากขึ้น ธุรกิจจำนวนมากไม่ได้ตระหนักว่าอาชญากรรมทางไซเบอร์จะส่งผลร้ายแรงต่อธุรกิจ ทั้งทางด้านการเงินและภาพพจน์ขององค์กรจนกระทั่งสายเกินไป เราไม่สามารถหลีกหนีความจริงที่ว่าในปัจจุบันคนส่วนใหญ่ทำธุรกรรมและติดต่อสื่อสารในรูปแบบของอิเล็กทรอนิกส์เพื่อที่เกิดประโยชน์สูงสุด องค์กรต่างๆควรมีการดำเนินการเพื่อลดความเสี่ยงที่อาจจะเกิดขึ้นเพื่อป้องกันการตกเป็นเหยื่อของอาชญากรรทางไซเบอร์ และมุ่งมั่น เพิ่มประสิทธิภาพระบบรักษาความปลอดภัยด้านข้อมูลในบทความนี้จะเห็นได้ว่าการสอบสวนทางดิจิทัลเป็นเครื่องมือที่มีประสิทธิภาพที่บริษัทควรจะนำไปเป็นนโยบายพื้นฐานในการป้องกันอาชญากรรมทางไซเบอร์
บริการสืบสวน วิเคราะห์ ข้อมูลหลักฐานจากคอมพิวเตอร์ นำหลักฐานไปดำเนินคดี
เกี่ยวกับผู้เขียน:
Mr. Andrew Smith (Andy) – Director of Computer Forensics Services at Orion Forensics Thailand
แอนดรูว์มีประสบการณ์มากกว่า 17 ปี ในสาขานิติวิทยาศาสตร์ดิจิทัล และเคยเป็นเจ้าหน้าที่ตำรวจในสหราชอาณาจักรเป็นเวลา 9 ปี โดยในช่วง 4 ปีที่ผ่านมาเขาใช้เวลาทำงานในแผนกอาชญากรรมคอมพิวเตอร์ตำรวจซึ่งเขาได้รับการฝึกอบรมทางนิติวิทยาศาสตร์อย่างมากมาย มีบทบาทของในการรวมข้อมูลอิเล็กทรอนิกส์และการวิเคราะห์ข้อมูล รวมไปถึงการนำเสนอหลักฐานในศาลของสหราชอาณาจักรในฐานะพยานผู้เชี่ยวชาญ
ขณะนี้แอนดรูว์ทำงานที่กรุงเทพฯมาเป็นเวลากว่า 7 ปีและเป็นผู้อำนวยการฝ่าย Computer Forensics Services ของ บริษัท Orion Investigations บทบาทของเขาคือดูแลการสืบสวนทางนิติวิทยาศาสตร์ การพัฒนาธุรกิจ การส่งเสริมความตระหนักถึงความปลอดภัยในโลกไซเบอร์และอธิบายหลักฐานในฐานะพยานผู้เชี่ยวชาญในศาลไทย และเป็นวิทยากรที่อบรมให้กับหน่วยงานธุรกิจและองค์กรต่างๆ อย่างสม่ำเสมอ ซึ่งได้พัฒนาหลักสูตรการฝึกอบรมทางนิติวิทยาศาสตร์สำหรับตลาดในประเทศไทย อีกทั้งยังได้พัฒนาเครื่องมือทางนิติวิทยาศาสตร์ซึ่งปัจจุบันได้ใช้ในห้องปฏิบัติการนิติเวชทั่วโลก
Email :andrew@orioninv.co.th
Read More
อบรมหลักสูตร Digital Evidence-Unlocking the Secret Course แก่เจ้าหน้าที่จากธนาคารแห่งประเทศไทย
Orion Forensics LAB ได้รับเชิญบรรยายหลักสูตร 1 วัน Digital Evidence – Unlocking the Secrets แก่เจ้าหน้าที่จาก ธนาคารแห่งประเทศไทย ซึ่งเป็นครั้งที่ 2 ที่ทางเราได้รับโอกาสบรรยาย ให้ความรู้แก่เจ้าหน้าที่จากฝ่าย It,ฝ่ายรักษาความปลอดภัยและฝ่ายกฎหมาย เมื่อวันที่ 20 ตุลาคม 2563
โดยวัตถุประสงค์ของการอบรมครั้งนี้คือ ให้เจ้าหน้าที่ทุกฝ่ายที่เกี่ยวข้องกับหลักฐานอิเล็กทรอนิกส์ หรือที่ต้องทำงานจัดการกับหลักฐานอิเล็กทรอนิกส์ เช่น จากคอมพิวเตอร์ โทรศัพท์มือถือ ได้ตระหนักถึงหลักฐานเหล่านี้ที่อยู่รอบตัว การนำเทคนิค พิสูจน์หลักฐานมาใช้ในการสืบค้นหาหลักฐาน ความสำคัญของการทำ Computer Forensics ที่ให้ได้มาซื่งหลักฐานต้นฉบับไม่มีการเปลี่ยนแปลง การนำหลักฐานไปใช้ในทางกฎหมาย การนำเสอนหลักฐาน การจัดทำเอกสาร แนวทางการวินิจฉัยหลักฐานทีได้จากอุปกรณ์อิเล็กทรอนิกส์ ของศาลไทย เพื่อกำหนดทิศทางการทำงานของแต่ละฝ่ายให้เป็นไปในทิศทางเดียวกัน
องค์กรใดสนใจจัดอบรม สอบถามทางฝ่ายขาย forensics@orionforensics.com
รายละเอียดเพิ่มเติมเกี่ยวกับหลักสูตรนี้ Digital Evidence – Unlocking the Secrets
Read More
Digital Forensics คืออะไร
Computer Forensics / Digital Forensics คือ การเก็บหลักฐาน, การค้นหา, วิเคราะห์ และการนำเสนอหลักฐานทางดิจิทัลที่อยู่ในอุปกรณ์คอมพิวเตอร์และอิเล็กทรอนิกส์ เช่น ไฟล์ที่อยู่ในคอมพิวเตอร์,อุปกรณ์อิเล็กทรอนิกส์, โทรศัพท์มือถือ รวมถึงหลักฐานดิจิทัลที่ถูกสร้างจากระบบคอมพิวเตอร์ เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถนำไปใช้ระบุผู้กระทำผิดจนถึงเป็นหลักฐานในการดำเนินคดีได้ กล่าวอีกนัยหนึ่งก็คือ ใช้กระบวนการซึ่งได้จัดสร้างไว้แล้ว และเป็นที่ยอมรับ ในการที่จะระบุ, บ่งชี้, เก็บรักษา และดึงข้อมูลแบบดิจิทัลกลับออกมา ซึ่งจะมีความสำคัญต่อการสืบสวน
Computer Forensics เป็นศาสตร์ทางด้านการสืบสวนที่เกี่ยวกับคอมพิวเตอร์โดยผู้ทำการสืบสวน นั้น จะนำอุปกรณ์คอมพิวเตอร์ที่เกี่ยวข้องกับคดีหรือเรื่องที่กำลังสืบสวนมาค้นหาข้อมูล เพื่อสืบค้นหาพยานหลักฐานสำหรับใช้ในการประกอบการสืบสวนหรือใช้ค้นหาผู้กระทำความผิดออกมา ทั้งนี้ตามวิธีการของการทำ Computer Forensics ซึ่งหลักสำคัญคือหลักฐานทางดิจิทัล นั้น จะต้องใช้วิธีการที่ ไม่มีการเปลี่ยนแปลงใดๆทั้งสิ้นแก่พยานหลักฐานดิจิทัล ต้นฉบับเดิม ดังนั้นผู้ที่ทำงานด้าน Computer Forensicsจะต้องรู้กระบวนการที่ถูกต้องและใช้เครื่องมือที่มีความน่าเชื่อถือเพื่อความสมบูรณ์และถูกต้องของพยานหลักฐาน
สิ่งที่ได้จาก Computer Forensics :
- บ่งชี้ผู้ต้องสงสัยว่าเป็นผู้กระทำผิด
- บ่งชี้ผู้สมคบคิดกับผู้กระทำผิด
- บ่งชี้ websites ที่ผู้กระทำผิดเข้าไปใช้
- อีเมล์ที่มีการส่งและรับ
- ไฟล์ที่ได้ถูกลบทิ้งและไฟล์ที่ซ่อนอยู่
- ข้อมูลส่วนบุคคล เช่น ข้อมูลด้านการเงิน, ที่อยู่ ฯลฯ
- ความสามารถและความสนใจของของบุคคลนั้นๆ
- พยานหลักฐาน การประกอบอาชญากรรมอื่นๆ
ในการค้นหาหลักฐานทุกครั้งนั้นผู้เชี่ยวชาญด้าน Computer Forensics จะทำการตรวจสอบข้อมูลทางอิเล็กทรอนิกส์ ที่เก็บไว้ในคอมพิวเตอร์ และ อุปกรณ์จัดเก็บข้อมูลทางดิจิทัลสำหรับหลักฐานที่ใช้แนวทางของการทำ Computer Forensics ในการค้นหาหลักฐาน มีความจำเป็นที่ขั้นตอนนี้ต้องมีความชัดเจนในการในการอธิบายหลักฐานในแนวทางของ Computer Forensics
แนวทางการทำ Computer Forensics เป็นวิธีการที่ไม่มีการเปลี่ยนแปลงแหล่งที่มาของหลักฐาน หรืออาจมีการเปลี่ยนแปลงน้อยที่สุดเพื่อให้ใด้หลักฐานที่ต้องการ วิธีการได้มาของหลักฐานจะถูกบันทึกเป็นเอกสารและสามารถพิสูจน์ได้
การทำ Computer Forensics สามารถแบ่งออกเป็น 5 ขั้นตอนที่สำคัญดังนี้
1.การเก็บรักษา – เมื่อจะต้องจัดการเก็บข้อมูลดิจิทัล ผู้ตรวจสอบจะต้องทำการทุกอย่างเพื่อรักษาข้อมูลไว้ นี่สามารถทำได้โดยการปฏิบัติของผู้ตรวจสอบจะต้องไม่ส่งผลต่อการเปลี่ยนแปลงข้อมูล โดยปกติแล้วจะรวมถึงการสร้างสำเนาข้อมูล หรือ Cloning ข้อมูลต้นฉบับไว้ ข้อมูลดิจิทัลสามารถเก็บไว้บนฮาร์ดไดร์ฟ, CD/DVD, floppy disks, USB drives, มือถือ, เครื่องเล่นดนตรี และเทปสำรอง.
2.การวินิจฉัย – ความจุของฮาร์ดไดร์ฟจะเพิ่มขึ้นปีต่อปี ผลก็คือการตรวจสอบอาจประกอบด้วยข้อมูลดิจิทัลเป็นร้อยๆกิ๊กกะไบท์ เพื่อที่จะระบุหลักฐานที่เป็นไปได้ผู้สืบสวนจะใช้เทคนิคเช่นการค้นหา keywords หรือ กรองข้อมูลเจาะจงของไฟล์เช่นเอกสาร รูปภาพ หรือไฟล์ประวัติอินเตอร์เน็ต
3.การแยกข้อมูล – เมื่อหลักฐานได้รับการวินิจฉัย มันจะต้องถูกแยกข้อมูลออกมาจากสำเนาข้อมูล ขึ้นอยู่กับขนาดของข้อมูล อาจปริ้นท์ออกมาเป็นเอกสารได้ อย่างไรก็ตาม ข้อมูลเช่นประวัติอินเตอร์เน็ตอาจจะมีหลายร้อยหน้าและจะต้องทำออกมาในรูปแบบอีเล็คทรอนิกส์
4.การอธิบาย – การระบุและแยกหลักฐานคือส่วนหนึ่งของหน้าที่ของผู้ตรวจสอบ มันมีความสำคัญมากที่จะต้องอธิบายเกี่ยวกับหลักฐานให้ถูกต้อง ผู้ตรวจสอบไม่ควรจะพึ่งพาเครื่องมืออัตโนมัติ ผู้ตรวจสอบควรจะมีความสามารถในการตรวจสอบและเข้าใจผลลัพธ์ที่ได้มาจาก forensic software
5.บันทึกของของหลักฐานคอมพิวเตอร์ – เมื่อการตรวจสอบเริ่มขึ้น ผู้ตรวจสอบจะต้องรักษาบันทึกที่เกี่ยวกับการทำงานกับข้อมูลดิจิทัลให้มีความอัพเดทอยู่สม่ำเสมอและขั้นตอนของการทำการตรวจสอบ บันทึกควรจะมีข้อมูลที่เพียงพอเพื่อให้บุคคลที่สามสามารถทำตามแล้วได้ผลลัพธ์ที่ออกมาเหมือนกัน การสร้างหลักฐานสำคัญจะไม่มีความหมายเลยถ้าผู้ตรวจสอบไม่สามารถสร้างรายงานที่ชัดเจนได้เข้าใจได้ สำคัญมากที่จะต้องไม่ใช้ศัพท์ทางเทคนิคมากเกินไปและเมื่อมีการใช้ศัพท์เมื่อจำเป็น ศัพท์เหล่านั้นจะต้องมีคำอธิบายที่ชัดเจน ผู้ตรวจสอบอาจต้องทำการแสดงหลักฐานที่พบในชั้นศาลในฐานะพยานผู้เชี่ยวชาญ
สมาคมเจ้าหน้าที่ตำรวจระดับสูงของสหราชอาณาจักร (ACPO) ได้จัดทำคู่มือแนะนำการปฏิบัติงานเก็บหลักฐานสำหรับหลักฐานอิเล็กทรอนิกส์ (Computer-Based Electronic Evidence) โดยคู่มือนี้ได้กำหนดหลักการสำคัญในการได้มาซึ่งหลักฐานทาง Computer Forensics 4 ประการคือ
หลักการที่1:หน่วยงานบังคับใช้กฎหมายหรือตัวแทนองค์กร ไม่ควรดำเนินการใดๆ ที่จะเปลี่ยนแปลงข้อมูลที่เก็บไว้ในคอมพิวเตอร์หรือสื่อบันทึกข้อมูลต่างๆ ซึ่งอาจนำไปใช้ในศาลได้ในภายหลัง
หลักการที่2:ในกรณีที่บุคคลใดมีความจำเป็นที่จะมีการเข้าถึงข้อมูลในคอมพิวเตอร์หรือสื่อบันทึกข้อมูลซึ่งเป็นหลักฐาน บุคคลนั้นจะต้องอธิบายถึงความเกี่ยวข้องกับข้อมูลและผลกระทบจากการกระทำนั้น
หลักการที่3:หลักฐานการตรวจสอบหรือบันทึกอื่น ๆ ของกระบวนการตรวจสอบทั้งหมดที่ใช้กับหลักฐานทางอิเล็กทรอนิกส์รควรได้รับการจัดทำและรักษาไว้ (Chain of Custody)โดยผู้ตรวจสอบหากมีบุคคลที่สาม หรือองค์กรอิสระ ที่เข้ามาตรวจสอบ ก็จะได้ผลลัพเช่นเดียวกัน
หลักการที่4:บุคคลที่รับผิดชอบในการดำเนินการตรวจสอบ(เจ้าหน้าดูแลคดีนั้นโดยตรง) จะต้องรับผิดชอบต่อการกระทำเพื่อให้มั่นใจว่าจะปฏิบัติตามกฎหมายและหลักการ Computer Forensics
หลักการของ Computer Forensics 4 ข้อ ที่นำเสนอ สามารถนำไปใช้ในคดีต่างๆ ไม่ว่าจะเป็น คดีอาญา, คดีแพ่ง หรือการสืบสวนภายในองค์กร การนำหลักการนี้มาใช้จะช่วยให้ไม่เกิดคำถามในเรื่องความสมบูรณ์ของหลักฐานดิจิทัล
เกี่ยวกับผู้เขียน:
Mr. Andrew Smith (Andy) – Director of Computer Forensics Services at Orion Forensics Thailand
แอนดรูว์มีประสบการณ์มากกว่า 17 ปี ในสาขานิติวิทยาศาสตร์ดิจิทัล และเคยเป็นเจ้าหน้าที่ตำรวจในสหราชอาณาจักรเป็นเวลา 9 ปี โดยในช่วง 4 ปีที่ผ่านมาเขาใช้เวลาทำงานในแผนกอาชญากรรมคอมพิวเตอร์ตำรวจซึ่งเขาได้รับการฝึกอบรมทางนิติวิทยาศาสตร์อย่างมากมาย มีบทบาทของในการรวมข้อมูลอิเล็กทรอนิกส์และการวิเคราะห์ข้อมูล รวมไปถึงการนำเสนอหลักฐานในศาลของสหราชอาณาจักรในฐานะพยานผู้เชี่ยวชาญ
ขณะนี้แอนดรูว์ทำงานที่กรุงเทพฯมาเป็นเวลากว่า 7 ปีและเป็นผู้อำนวยการฝ่าย Computer Forensics Services ของ บริษัท Orion Investigations บทบาทของเขาคือดูแลการสืบสวนทางนิติวิทยาศาสตร์ การพัฒนาธุรกิจ การส่งเสริมความตระหนักถึงความปลอดภัยในโลกไซเบอร์และอธิบายหลักฐานในฐานะพยานผู้เชี่ยวชาญในศาลไทย และเป็นวิทยากรที่อบรมให้กับหน่วยงานธุรกิจและองค์กรต่างๆ อย่างสม่ำเสมอ ซึ่งได้พัฒนาหลักสูตรการฝึกอบรมทางนิติวิทยาศาสตร์สำหรับตลาดในประเทศไทย อีกทั้งยังได้พัฒนาเครื่องมือทางนิติวิทยาศาสตร์ซึ่งปัจจุบันได้ใช้ในห้องปฏิบัติการนิติเวชทั่วโลก
Email :andrew@orioninv.co.th
บริการ computer forensics investigation
Read More