การตรวจสอบพิสูจน์พยานหลักฐานดิจิทัล (Digital Evidence and Digital Forensic)

การตรวจสอบพิสูจน์พยานหลักฐานดิจิทัล

ปรเมศวร์ กุมารบุญ นบ. (กฎหมายธุรกิจ) จุฬาฯ วท.ม. บริหารเทคโนโลยี (โทรคมฯ) ธรรมศาสตร์

         

          ตำราต่างประเทศหรือหลักสูตรอบรมการตรวจสอบพิสูจน์พยานหลักฐานดิจิทัลนั้นมีปริมาณมหาศาล ผู้เขียนเองก็ไม่ได้มีความรู้มากมาย ทราบแค่เพียงหลักการพื้นฐานทางกฎหมายและข้อมูลเกี่ยวกับเทคโนโลยีที่พอจะนำมาย่อยเป็นภาษาชาวบ้านให้คนที่เริ่มสนใจเข้าใจง่ายในไม่กี่นาที


         เหตุที่ผมอยากเขียนบทความนี้ ก็ด้วยวันหนึ่ง….


       หลังจากที่ ผมบรรยายเรื่องบรรดาอาชญากรร่วมสมัยในต่างแดนใช้เทคโนโลยีการสื่อสารประกอบอาชญากรรมอะไรบ้างจบแล้ว กำลังเก็บกระเป๋า มีนักเรียนนายร้อยตำรวจชั้นปี 4 ท่านหนึ่ง วิ่งเข้ามาหายืนเกาะที่โต๊ะ แววตาสับสนปนความเครียด เขาบอกผมว่า ถ้าเรียนจบจะลาออกจากตำรวจทันที ผมตกใจเงยหน้าถามกลับว่า ทำไมล่ะ? เขาตอบว่าไม่ชอบกฎหมาย ไม่อยากเป็นตำรวจแล้ว อยากทำงานด้านเทคโนโลยี อยากเรียนต่อโท...

       ผมก็ชวนคุยไปเรื่อย ผมรู้ว่าเขาจริงจัง แต่ผมเองก็ไม่แน่ใจว่าจะให้คำตอบอะไรกับเขาดีที่สุด.... ได้รับความกดดันมากล่ะสิ? ลาออกต้องใช้ทุนไหม? อยากเรียนอะไรต่อล่ะ? วิศวะหรือวิทยาศาสตร์? .....ในใจผมก็แค่ลองโยนคำถามค้านไปงั้น แต่อีกใจผมเข้าใจและชื่นชมเขามากที่เขารู้ใจตัวเองตั้งแต่ตอนนี้ อยากบอกเหลือเกินว่า กระโจนไปตามหัวใจเล้ยย



      แต่เดี๋ยวก่อน ผมมองเขาเป็นทรัพยากรที่มีคุณค่าของชาติ เรียนจะจบละเขามีศักยภาพสูงแน่ๆ ส่วนจะแนะนำไปเรียนต่อโทสายวิทย์ผมก็คิดว่า คนที่เรียนสายสังคมแล้วมาต่อวิศวะได้ ผมรู้จักแค่ จัสติน ทรูโด้ นายก แคนาดาเท่านั้น แต่ผมเห็น passion ในตัวเขาถ้าได้ทำงานที่ชอบคงมีความสุข และผลงานต้องออกมาดีแน่ๆ ถ้างานนั้นไม่ต้องลาออกจากตำรวจละ มาทำงานด้านเทคโนโลยีตำรวจเถอะ และจะเป็นประโยชน์กับประเทศชาติมาก ผมเลยแนะนำไปว่า....

  ....ต่อโท บริหารเทคโนโลยีสิ อาจารย์ก็จบโทบริหารเทคโนโลยี สาขานี้ทำให้มองโลกกว้างกว่าเรียนเฉพาะทาง บ้านเราขาดคนมีความรู้ด้านบริหารเทคโนโลยี ส่วนใหญ่คิดว่าอาวุโสแล้วจะรู้เรื่องบริหารหรือไม่ก็การบริหารคิดเองได้ แต่อาจารย์ยืนยันว่า ไม่ใช่ การบริหารเป็นศาสตร์ที่เหมือนศาสตร์อื่นๆ คนไม่รู้ก็คือไม่รู้ต่อให้อาวุโสเป็นพันปี และที่สำคัญตำรวจเทคโนโลยีขาดแคลนมาก เหมือนเรื่องที่อาจารย์บรรยายไง รวมทั้งตำรวจไซเบอร์ เขาเริ่มทำหน้างงๆ ผมเดาว่าเขาคงคิดว่าผมพูดอะไรเนี่ยฟังไม่รู้เรื่องเลยแน่ๆ 555 ก็เวลามันน้อย บางเรื่องพูดสั้นๆ ไม่ได้ ด้วยความเป็นตำรวจผมเชื่อว่าเขาไม่หยุดที่จะสืบค้นติดตามผมหรอก เลยเขียนบทความนี้มาให้อ่านจะได้เห็นภาพรวมและความจำเป็น เผื่อจะเป็นแรงบันดาลใจให้นะ

 



พยานหลักฐาน ดิจิทัล คืออะไร? ตามกฎหมายแล้วพยานหลักฐานหมายถึงสิ่งที่ใช้พิสูจน์ข้อเท็จจริง ส่วนพยานหลักฐานดิจิทัล (Digital Evidence) ในความหมายส่วนตัวที่ผมทึกทักเอาเอง หมายถึง “ข้อมูลคอมพิวเตอร์” ตาม พรบ. คอมพิวเตอร์ฯ และหมายถึงข้อมูลอิเล็กทรอนิกส์ ตาม พรบ. ธุรกรรมอิเล็กทรอนิกส์ฯ ที่นำมาใช้พิสูจน์ข้อเท็จจริง (อธิบายแล้วงง ใช่ไหมครับ เอาน่า...พยานหลักฐานดิจิทัลพูดปุ๊บ ชาวบ้านเข้าใจปั๊บ ดีกว่านักกฎหมายอธิบายแน่ๆ ครับ) อาทิเช่น ข้อมูลคอมพิวเตอร์หรือข้อมูลอิเล็กทรอนิกส์ที่ถูกบันทึกอยู่ในรูปแบบ ธุรกรรมการเงิน (Transaction) เอกสาร (Document) เสียง (Voice) ภาพนิ่ง (Photo) ภาพเคลื่อนไหว (Video) อักษร (Letter) สื่อสังคมออนไลน์ (Social Media) ฯลฯ

 

พยานหลักฐานดิจิทัล ไม่ได้อยู่ในอาชญากรรมไซเชอร์เท่านั้น แต่อยู่ทุกคดีในปัจจุบัน ทั้งคดีอาญาและคดีแพ่ง เพราะอะไรน่ะเหรอ? เพราะทุกๆ ที่เราไป ทุกๆ ที่ๆ ทำอะไรล้วนแล้วแต่ทิ้งรอยเท้า และลายนิ้วมือดิจิทัลไว้ทั้งสิ้น

 

    ลองนึกถึงชีวิตประจำวันเราดู อยู่บ้านมีกล้องวงจรปิดมั๊ย? ออกจากหมู่บ้านหรือไปห้างมีกล้องวงจรปิดมั๊ย? บนถนนก็มีเต็มไปหมด โทรศัพท์มือถือล่ะ? มือถือบอกสถานีฐานนะว่า เราอยู่ที่ไหนไปไหนมามั่ง คุยกับใครมั่ง สื่อออนไลน์เข้ามั่งป่ะ? ผู้ให้บริการอินเทอร์เน็ตเราเขาเก็บข้อมูลไว้หมดนะ เข้าเว็บไหน เมื่อไร กี่โมง กด เอทีเอ็ม มั๊ย? เข้าเซเว่นป่ะ? ลองจินตนาการดูสิว่า ถ้าเราจะไปฆ่าใครสักคนจะออกจากบ้านไปสังหารแล้วหลบหนียังไงให้รอดพ้นไม่ทิ้งหลักฐานดิจิทัล ไม่นับคดีแพ่งที่มีสัญญาและการโอนเงิน

   การตรวจสอบพิสูจน์พยานหลักฐานดิจิทัล ในเครื่องคอมพิวเตอร์หรืออุปกรณ์อิเล็กทรอนิกส์ (Computer or Electronics Forensic) ปัจจุบันก็หมายถึงข้อมูลในอุปกรณ์ที่ยังไม่เชื่อมอินเทอร์เน็ต เช่น ในกล้องถ่ายรูป ในโทรศัพท์มือถือ ไฟล์เสียง ไฟล์วิดีโอ หรือแม้แต่ในเครื่องเล่นเกม

 

     การตรวจสอบพิสูจน์พยานหลักฐานดิจิทัลในเครือข่ายคอมพิวเตอร์หรือเครือข่ายโทรคมนาคม (Network Forensic) จำไว้ว่า ข้อมูลดิจิทัลหรืออยากเรียกอะไรก็แล้วแต่ ที่มันส่งผ่านในเครือข่ายการสื่อสารนั้น มันคือการทำ “สำเนา” มันไม่ได้ส่งไฟล์ไปจริง ถูกมั๊ย? เราส่งเมลล์ ไฟล์ต้นฉบับยังอยู่กับเรามั๊ย? ...ยังอยู่ ไม่เหมือนส่งจดหมายใช่มะ เราเรียกข้อมูลจาก Server ข้อมูลใน Server ยังอยู่มั๊ย? ...ยังอยู่ มันคือการทำสำเนาส่งต่อกันเรื่อยๆ เพราะฉะนั้น หากเราไม่สามารถหาข้อมูลที่ปลายทางได้ แต่เรารู้ข้อมูลที่ต้นทางหรือระหว่างทางนั่นก็สามารถพิสูจน์ได้ว่าข้อมูลปลายทางคืออะไร

 

แล้วทำไมต้องตรวจสอบพิสูจน์พยานหลักฐานดิจิทัล?

          ก็เพราะเมื่อเกิดข้อพิพาทกันแล้วกระบวนการยุติธรรม “ระบบกล่าวหา” ของเรานั้นวางหลักไว้ว่า “ผู้ใดกล่าวอ้าง ผู้นั้นต้องพิสูจน์” โจทก์ที่กล่าวหาจำเลยต้องหาหลักฐานมายืนยันความผิด และแน่นอน “เป็นการยากที่โจทก์จะนำสืบได้ เนื่องจากจำเลยย่อมต้องปกปิดการกระทำผิดของตน จึงต้องอาศัยพยานแวดล้อมที่มีน้ำหนักพอรับฟังได้ว่าจำเลยทำผิดจริง” และเมื่อเป็นหลักฐานดิจิทัล จึงต้องมีกระบวนการตรวจสอบพิสูจน์พยานหลักฐานดิจิทัลที่น่าเชื่อถือ

          แล้วการรวบรวมพยานหลักฐานดิจิทัลยากไหม? จะว่าง่ายก็ง่าย จะว่ายากก็ยาก ถ้าจำเลยปกปิดข้อมูลที่ตนบันทึกเอง อันที่จริงวิธีการง่ายๆ เจ้าหน้าที่รัฐสั่งยึดได้เลย พรบ. คอมพิวเตอร์ฯ พ.ศ. 2550 ในมาตรา 18 บัญญัติไว้ว่า

   (5) สั่งให้บุคคล ซึ่งครอบครองหรือควบคุมข้อมูลคอมพิวเตอร์ หรืออุปกรณ์ที่ใช้เก็บข้อมูลคอมพิวเตอร์ ส่งมอบข้อมูลคอมพิวเตอร์ หรืออุปกรณ์ดังกล่าวให้แก่พนักงานเจ้าหน้าที่

        (7) ถอดรหัสลับของข้อมูลคอมพิวเตอร์ของบุคคลใด หรือสั่งให้บุคคลที่เกี่ยวข้องกับการเข้ารหัสลับของข้อมูลคอมพิวเตอร์ ทำการถอดรหัสลับ หรือให้ความร่วมมือกับพนักงานเจ้าหน้าที่ในการถอดรหัสลับดังกล่าว

 

      หลักกฎหมายดังกล่าว เจ้าหน้าที่สามารถยึดคอมพิวเตอร์หรืออุปกรณ์ได้เลย แถมสั่งให้บอก Password ได้อีกด้วย ความจริงแล้วยากที่จำเลยจะปฏิเสธคำสั่งเจ้าหน้าที่ตามกฎหมายนะ วัยรุ่นควรทราบ

 

หลักการพื้นฐานในการตรวจพิสูจน์พยานหลักฐานดิจิทัล

          เป้าหมายของบทความนี้อยากให้จำแค่ข้อนี้เอง คือ หลักการ 4 ข้อ พื้นฐานในการตรวจพิสูจน์พยานหลักฐานดิจิทัล ประกอบไปด้วย

 

  • การรวบรวมพยานหลักฐานดิจิทัล (Acquisition)
  • การเก็บรักษาพยานหลักฐานดิจิทัล (Preservation)
  • การวิเคราะห์พยานหลักฐานดิจิทัล (Analysis)
  • การนำเสนอผลพิสูจน์พยานหลักฐานดิจิทัล (Presentation)


    อธิบายขยายความเพิ่มเติมสักเล็กน้อยดังนี้ครับ

การรวบรวมพยานหลักฐานดิจิทัล ( Acquisition)

     เป็นจุดเริ่มต้น เจ้าหน้าที่พิสูจน์หลักฐานได้สัมผัสพยานหลักฐานดิจิทัลครั้งแรก สิ่งสำคัญที่สุดคือสร้างความเชื่อมั่นในเรื่องความสมบูรณ์ของพยานหลักฐาน และการรวบรวมพยานหลักฐานทั้งหมด (ยึด) หรือทำสำเนา ฮาร์ด ไดรฟ์ เป็นไปอย่างสมบูรณ์ขณะเกิดเหตุไม่ได้ถูกเปลี่ยนแปลงแก้ไขใดๆ ทั้งสิ้น

 

การเก็บรักษาพยานหลักฐานดิจิทัล ( Preservation)

       จะต้องเก็บรักษาไว้ในสภาพรับฟังได้ในชั้นศาล การเก็บรักษาเป็นไปตามกระบวนการสร้างห่วงโซ่คุ้มครองพยานหลักฐาน (Chain of Custody) และ Hash value กล่าวได้ว่าในหลักสากล เขาจะมีมาตรฐานการเก็บรักษาพยานหลักฐานดิจิทัลที่ทุกฝ่ายยอมรับ มีบันทึกขั้นตอนการคุ้มครองพยานหลักฐาน และวิธีการเก็บรักษา ให้มั่นใจได้ว่าเป็นข้อมูลที่ไม่ได้ถูกแก้ไขเปลี่ยนแปลงนับจากที่ได้รับอุปกรณ์มาจากจำเลย กระบวนการ Hash นั้นก็เหมือนกับ Block chain ครับ จะเป็นฮาร์ดดิสก์ทั้งลูกหรือเป็นหน่วยความจำอื่น ทำการเข้ารหัสข้อมูลซะ แบบ  SHA (Secure Hash Algorithm) และเก็บกุญแจไว้ ซึ่งมีเพียงเจ้าหน้าที่เท่านั้นที่มีกุญแจอยู่จะไขเข้าไปตรวจสอบข้อมูลได้

       เอาเป็นว่าเรื่องนี้เป็นเรื่องเฉพาะทางของเจ้าหน้าที่พิสูจน์หลักฐาน และอธิบายขั้นตอนยาวเกินไป ผู้สนใจค้นคว้าต่อเองในเน็ตนะครับ

 

การวิเคราะห์พยานหลักฐานดิจิทัล ( Analysis)

      พยานหลักฐานแต่ละประเภทคดีแตกต่างกัน คดี Romance scam คดีฉ้อโกง คดีคอร์รัปชั่น คดีหมิ่นประมาท เป็นต้น วิธีวิเคราะห์จึงแตกต่างกัน เครื่องมือแตกต่างกัน ทักษะเจ้าหน้าที่แตกต่างกัน การฝึกอบรมเจ้าหน้าที่พิสูจน์หลักฐานจึงสำคัญที่สุด ผู้เชี่ยวชาญคอมพิวเตอร์ แตกต่างกับ เจ้าหน้าที่พิสูจน์หลักฐานดิจิทัล นะ การวิเคราะห์พยานหลักฐานดิจิทัลจึงต้องใช้ผู้เชี่ยวชาญด้านพยานหลักฐานดิจิทัลมาวิเคราะห์

 

การนำเสนอผลพิสูจน์พยานหลักฐานดิจิทัล ( Presentation)

      การนำเสนอผลการตรวจพิสูจน์พยานหลักฐานดิจิทัล “เป็นรายงานรวมบันทึกคำให้การผู้เชี่ยวชาญ” ซึ่งอธิบายวิธีการตรวจสอบ เครื่องมือที่ใช้ตรวจสอบ ตรวจสอบสิ่งใดบ้าง วิธีเก็บพยานหลักฐาน สิ่งที่ค้นพบ และวิธีการยืนยันความแท้จริงของพยานหลักฐานดิจิทัล

     ผู้เชี่ยวชาญ นี่ล่ะคือ กุญแจสำคัญของคดี โดยเฉพาะอย่างยิ่งการนำเสนอผลพิสูจน์พยานหลักฐานดิจิทัล ไม่ใช่แค่มีความรู้อย่างเดียว ต้องมีองค์ประกอบของความน่าเชื่อถือครบถ้วนด้วย ที่สำคัญที่สุดคือทักษะการสื่อสาร ทั้งการสื่อสารกับลูกความ และผู้ที่เกี่ยวข้องกับคดี ตลอดจนการให้การต่อศาล


        ก่อนขึ้นศาล ผู้เชี่ยวชาญต้องชี้ให้ทนายเห็นข้อได้เปรียบข้อเสียเปรียบของหลักฐานดิจิทัลที่ส่งผลต่อคดี

 

ผู้เชี่ยวชาญ คือ ใคร?

          ประมวลกฎหมายวิธีพิจารณาความแพ่ง และประมวลกฎหมายวิธีพิจารณาความอาญา ได้แบ่งแยกพยานหลักฐานออกตามวิธีการนำสืบเป็น 4 ประเภท คือ พยานบุคคล พยานเอกสาร พยานวัตถุ และพยานผู้เชี่ยวชาญ มีหลักเกณฑ์ในการรับฟังพยานหลักฐานทั้ง 4 ชนิดแตกต่างกัน

          ซึ่งผมขออธิบายง่ายๆ ว่า พยานผู้เชี่ยวชาญ คือ พยานบุคคลซึ่งเป็นผู้มีความรู้เชี่ยวชาญในศาสตร์สาขาใดสาขาหนึ่ง ซึ่งคนธรรมดาไม่อาจเข้าใจได้ง่าย และมาเบิกความโดยการให้ความเห็น ไม่ใช่มาเล่าสิ่งที่พบเจอหรือตัดสินคดี 

        พยานผู้เชี่ยวชาญ (Expert Witness) บางครั้งจึงถูกเรียกว่า “พยานความเห็น” (Opinion Witness) พยานผู้เชี่ยวชาญการตรวจพิสูจน์หลักฐานดิจิทัลไม่จำเป็นต้องจบวิศวกรรมศาสตร์หรือวิทยาศาสตร์ กล่าวได้ว่าอาจจะมีน้อยด้วยซ้ำไปที่จบตรงสาขา แต่เป็นผู้ที่มีความคุ้นเคยหรือเชี่ยวชาญการตรวจพิสูจน์พยานหลักฐานดิจิทัล ซึ่งเป็นศาสตร์แยกต่างหากจากงานโปรแกรมมิ่งหรือเน็ตเวอร์ค โดยรวมแล้วพยานผู้เชี่ยวชาญการตรวจพิสูจน์พยานหลักฐานดิจิทัลควรมีคุณสมบัติภาพรวมดังนี้

  • ไม่จำเป็นต้องจบวิศวกรรมศาสตร์หรือวิทยาศาสตร์ แต่ภาพรวมควรดูน่าเชื่อถือ
  • ประสบการณ์การเบิกความในศาลเป็นข้อได้เปรียบ
  • เอกสารหลักฐานการผ่านการอบรมตรวจพิสูจน์พยานหลักฐานดิจิทัลเป็นข้อได้เปรียบ
  • ผู้เชี่ยวชาญเชี่ยวชาญในสาขาที่เหมาะสมกับคดี


 

พยานผู้เชี่ยวชาญมาจากไหน?

ผู้เชี่ยวชาญมาจากศาลหรือบริษัทรับจ้างที่ปรึกษา ขึ้นอยู่กับความเหมาะสม

          ประมวลกฎหมายวิธีพิจารณาความแพ่ง วางหลักไว้ว่า

          ผู้เชี่ยวชาญให้อยู่ในดุลพินิจของศาล (ศาลแต่งตั้ง) แต่ศาลจะเรียกคู่ความมาให้ตกลงกันกำหนดตัวผู้เชี่ยวชาญก็ได้ แต่ศาลจะบังคับบุคคลใดให้เป็นผู้เชี่ยวชาญไม่ได้ นอกจากบุคคลนั้นได้ยินยอมลงชื่อเป็นผู้เชี่ยวชาญไว้ในทะเบียนผู้เชี่ยวชาญของศาลแล้ว

         ประมวลกฎหมายวิธีพิจารณาความอาญา วางหลักไว้ว่า

          ผู้เชี่ยวชาญในคดีอาญาถือเป็นผู้มีความรู้ความสามารถทำนองเดียวกับพยานความเห็นในคดีแพ่ง ศาลหรือคู่ความจะขอตั้งผู้เชี่ยวชาญก็ได้และศาลอาจสั่งให้ผู้เชี่ยวชาญให้ความเห็นเป็นหนังสือก็ได้แต่ต้องมาเบิกความประกอบความเห็น เพราะคดีอาญาพยานต้องเบิกความต่อหน้าจำเลย

 

         ในคดีอาญาจำเลยอาจว่าจ้างผู้เชี่ยวชาญตรวจสอบการพิสูจน์พยานหลักฐานดิจิทัลของเจ้าหน้าที่รัฐเพื่อให้แน่ใจว่าหลักฐานนั้นถูกต้องก็เป็นได้

 

มาตรฐานสากลในการพิสูจน์พยานหลักฐานดิจิทัล

          แน่นอนครับการพิสูจน์พยานหลักฐานดิจิทัล ต้องมีมาตรฐานสากลที่เป็นการยอมรับของทุกฝ่าย ทั้งเจ้าหน้าที่ตำรวจ ทั้งผู้เชี่ยวชาญ และเครื่องมือที่ใช้ ผมจะนำข้อมูลคร่าวๆ ที่รวบรวมมาได้ เล่าให้ฟังดังนี้ครับ

ห้องทดสอบ ห้องทดสอบหรือ Laboratory ต้องมีการจัดเตรียมสภาพแวดล้อม และลักษณะทางกายภาพให้เมาะสมได้มาตรฐาน ซึ่งมาตรฐานสากลทางด้านการตรวจสอบพยานลักฐานทางคอมพิวเตอร์ (Computer Forensics) อาทิเช่น ISO 17020, ISO 17025 หรือ ISO 27001

 

ประกาศนียบัตรรับรอง

          อันที่จริงไม่ใช่ว่าผู้เชี่ยวชาญคือผู้ที่ผ่านการฝึกอบรมและมีใบประกาศนียบัตรรับรองเสมอไปนะครับ ผู้เชี่ยวชาญอาจจะไม่เคยอบรมหรือมีใบประกาศนียบัตรด้านการพิสูจน์หลักฐานดิจิทัลมาก่อนเลยก็ได้ ขึ้นอยู่กับศาลและคู่ความ แต่หลักสูตรคร่าวๆ พอหามาได้มีงี้ครับ

 

EnCase Certified Examiner (EnCe)

          ได้รับการยอมรับมากที่สุด ออกโดย บริษัท Guidance Software ซึ่ง (EnCase) เป็นชุดโปรแกรมการตรวจสอบพิสูจน์หลักฐานดิจิทัลที่ได้รับความนิยมที่สุด

 

Access Certified Examiner (ACE)

          ประกาศนียบัตรสำหรับซอฟต์แวร์ Forensic tool kit โดยบริษัท  Access Data Corporation FTK เป็นซอฟแวร์ที่ถูกนำมาใช้แพร่หลายในสากล

 

Certified Computer Examiner (CCE)

          ประกาศนีบัตรรับรองไม่เกี่ยวกับผู้ผลิต โดย The International Society of Forensic Computer Examiner

 

GIAC Certified Forensic Examiner (GCFE) และ GIAC Certified Forensic Analyst (GCFA)

          ประกาศนียบัตรรับรองที่ไม่เกี่ยวข้องกับผู้ผลิตโดย SANS Institute

          ฯลฯ

 

เครื่องมือตรวจสอบพิสูจน์หลักฐานดิจิทัล

          ส่วนใหญ่ก็คือคอมพิวเตอร์กับอุปกรณ์ต่อพ่วงที่มีชุดโปรแกรมการตรวจสอบพิสูจน์หลักฐานดิจิทัล EnCase และ FTK ถูกใช้ทั่วโลกมากที่สุด EnCase นั้น มีเครื่องมือสำเร็จรูปหลายอย่างที่ต้องใช้ในกระบวนการตรวจสอบพิสูจน์หลักฐานดิจิทัล ตั้งแต่การได้มาซึ่งพยานหลักฐาน การวิเคราะห์ และการรายงาน ซอฟต์แวร์ดังกล่าวยังรองรับการเขียนโปรแกรมสคริปต์ ชื่อว่า EnScript ซึ่งมี API หลายอย่างเตรียมไว้ให้เพื่ออ่านเขียนโต้ตอบกับตัวหลักฐาน

          ส่วน FTK ของบริษัท AccessData สามารถดาวน์โหลดได้จาก https://accessdata.com/product-download ขอบคุณในความใจดีมากๆ

          ส่วนฮาร์ดแวร์ชื่อดังยอดฮิตที่ใช้ตรวจสอบพิสูจน์พยานหลักฐานดิจิทัลจากโทรศัพท์เคลื่อนที่ก็คือ Cellebrite ของบริษัท Cellebrite Mobile Synchronization ที่โด่งดังจากการที่ FBI ร้องขอให้ Apple ช่วยถอดรหัส iPhone แต่ไม่ต้องพึ่ง Apple แล้ว โดยได้รับความร่วมมือจาก Cellebrite เป็นผู้เชี่ยวชาญด้านการตรวจหาหลักฐานดิจิทัลในอิสราเอล เป็นบริษัทลูกของ Sun Corporation ในญี่ปุ่น เจ้าหน้าที่ตำรวจของเราก็ใช้เจ้าอุปกรณ์นี้เช่นกัน

 

ข้อคิดเห็น

          หวังว่าผู้อ่านคงเห็นภาพเข้าใจง่ายว่าการตรวจสอบพยานหลักฐานดิจิทัลนั้น ผู้เชี่ยวชาญไม่ใช่วิศวกรหรือโปรแกรมเมอร์กระบวนทัศน์จะต่างกัน วิศวกรหรือโปรแกรมเมอร์นั้นอาจจะมองในมุมความยากในการถอดรหัสที่ถูกปิด การกู้คืนไฟล์ที่ถูกลบ การแก้ไขข้อมูลที่ไร้ร่องรอย การพยายามแสดงความเห็นว่าอะไรถูกผิด แต่ผู้เชี่ยวชาญการตรวจสอบพยานหลักฐานดิจิทัลนั้นจะแตกต่างกัน กล่าวคือ การปฏิบัติตามมาตรฐานสากลในการดำเนินการตรวจสอบพยานหลักฐานดิจิทัล ตั้งแต่ การรวบรวม การเก็บรักษา การวิเคราะห์ และการนำเสนอ ซึ่งใช้เครื่องมือและกระบวนการที่มีมาตรฐาน นั่นหมายความว่าใครก็เป็นผู้เชี่ยวชาญได้ถ้ามีประสบการณ์และผ่านการอบรม มีหน้าที่ให้ความเห็นว่าหลักฐานนั้นจริงหรือเท็จ แต่แนวทางของวิศวกรและโปรแกรมเมอร์นั้นจะรวบยอดไปจับโจรเลย ซึ่งนั่นคือเทคโนโลยีการสืบสวนที่ยังทวีความน่าสนใจยิ่งขึ้นในอนาคต

       ในทัศนะผมแล้ว ซอฟต์แวร์และอุปกรณ์ตรวจสอบพยานหลักฐานดิจิทัลนั้น ไทยเองก็น่าจะพัฒนาไม่ยาก แต่อาจจะประโยชน์เชิงพาณิชย์มีน้อย เลยไม่เกิดธุรกิจ ภาครัฐก็น่าจะให้งบวิจัยพัฒนาสถาบันการศึกษาด้านวิทยาศาสตร์การตำรวจเพื่อพัฒนาทั้งคนและเครื่องมือมารับใช้สังคมให้ยั่งยืนต่อไป

 

อ้างอิง

-การตรวจพิสูจน์หลักฐานดิจิทัลสำหรับผู้ประกอบวิชาชีพกฎหมาย ผู้เขียน       Larry E. Daniel, Lars E. Daniel. ผู้แปล   สุนีย์ สกาวรัตน์. บริษัท ซีเอ็ดยูเคชั่น จำกัด (มหาชน)

-ข้อเสนอแนะมาตรฐานการจัดการอุปกรณ์ดิจิทัลในงานตรวจพิสูจน์พยานหลักฐาน Version 1.0. คณะทำงานจัดทำร่างมาตรฐานการปฏิบัติงานตรวจพิสูจน์พยานหลักฐานดิจิทัล. ศูนย์ ดิจิทัลฟอเรนสิกส์ สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน)

-http://www.bitpim.org/

-https://www.thaicert.or.th/pap...

-http://www.iftr.forensic.polic...

- https://www.cellebrite.com/en/...

-http://www.orionforensics.com/...

-https://www.guidancesoftware.c... 

บันทึกนี้เขียนที่ GotoKnow โดย  ใน ปรเมศวร์ กุมารบุญ

คำสำคัญ (Tags)#หลักฐานดิจิทัล#การตรวจสอบพิสูจน์พยานหลักฐานดิจิทัล#Digital forensic#digital evidence

หมายเลขบันทึก: 647885, เขียน: 03 Jun 2018 @ 15:14 (), แก้ไข: 05 Jun 2018 @ 20:19 (), สัญญาอนุญาต: ครีเอทีฟคอมมอนส์แบบ แสดงที่มา-ไม่ใช้เพื่อการค้า-ไม่ดัดแปลง, อ่าน: คลิก


ความเห็น (0)