การตรวจยึดพยานหลักฐานทางคอมพิวเตอร์ พ.ต.ท.ดรัณ จาดเจริญ สารวัตรกลุ่มงานตรวจสอบและวิเคราะห์การกระทำาผิดทางเทคโนโลยี
จุดมุ่งหมายของการอบรม 1
2
3
ผูเ้ ข้ารับการอบรม สามารถกำาหนดแนวทางการในการจัดเก็บและ ประเมิ น คุณค่าของพยานหลักฐาน รวมทัง้ กำาหนดแนวทางการวิ เคราะห์พยานหลัก ฐานได้อย่างถูกต้อง ผู้เข้ารับการอบรม สามารถแสดงวิธีการสงวนรักษา และคุ้มครองสถานที่ เกิดเหตุอาชญากรรมทางคอมพิวเตอร์ ได้อย่างถูกต้อง ปลอดภัย และมี ประสิทธิภาพ ผู้เข้ารับการอบรม สามารถทำาการบันทึกข้อมูลสถานที่เกิ ดเหตุ พร้อมทัง้ รวบรวมพยานหลักฐานทางคอมพิวเตอร์ ได้อย่างถูกต้อง ครบถ้วน
คำาถามเรือ่ งการจัดเก็บพยานหลักฐานในสถานที่ 1
ทำาไมต้องมีการตรวจค้นสถานที่เกิดเหตุ
2
ในการตรวจค้นสถานที่เกิดเหตุต้องเตรียมอะไร
3
ในการตรวจค้นสถานที่เกิดเหตุ ต้องทำาอะไร
4
ตรวจค้น ยึด ไปแล้ว จะทำาอะไรต่อไป
ข้อพิจารณาบางประการในการสืบสวนและรวบรวมหลักฐาน ในบางครัง้ ต้องมีการวางแผนเพือ่ กำาหนดแนวทางในการสร้างพยาน หลักฐานนัน้ ให้ปรากฏขึน้ ก่อนเข้าทำาการตรวจค้น เพือ่ อธิบายรูปแบบ ของการกระทำาความผิด หรือใช้ยนื ยันในการกระทำาความผิด คดีอาชญากรรมทางคอมพิวเตอร์ มีความยากในการระบุตวั บุคคลผู้ กระทำาผิด เนื่องจากข้อจำากัดทางเทคนิคคอมพิวเตอร์ หรือ ข้อจำากัด ทางกฎหมาย
ข้อพิจารณาบางประการในการสืบสวนและรวบรวมหลักฐาน ลักษณะของพยานหลักฐานทางคอมพิวเตอร์ ทีส่ ามารถเปลีย่ นแปลงได้งา่ ย และ จับต้องได้ยาก ดังนัน้ การจัดเก็บพยานหลักฐานหากทำาอย่างไม่ถกู ต้อง จะทำาให้ พยานหลักฐานลดความน่าเชือ่ ถือ หรือ ลดคุณค่า ของพยานหลักฐานนัน้ ลง การพิสจู น์ความผิดของคนร้าย ทำาได้ยากเพราะ อาจต้องอธิบาย กระบวนการกระทำาความผิดของคนร้าย ให้เห็นความเชือ่ มโยงอย่างชัดเจน จึงต้องใช้ความรูค้ วามสามารถในทางคอมพิวเตอร์ มาประกอบ เช่น ความรู้ ทางด้านการพัฒนาเว็บไซด์ , ระบบเครือข่าย , ลักษณะของระบบรักษา ความปลอดภัย , การใช้งานฐานข้อมูล ฯลฯ
พยานหลักฐานทีอ่ าจใช้ ในการดำาเนินคดี
1 2 3 4
รูจ้ กั รูจ้ กั ไม่รจู้ กั ไม่รจู้ กั
มองเห็นได้ มองไม่เห็น มองเห็น มองไม่เห็น
หลัก การในการตรวจสอบสถานที่เ กิด เหตุ และจัด เก็บ พยานหลัก ฐาน 1
สามารถจัดเก็บพยานหลักฐาน โดยไม่เปลีย่ นแปลง หรือมีการ เปลีย่ นแปลงน้อยทีส่ ดุ
2
สามารถจำาลองสถานทีเ่ กิดเหตุขน้ึ มาใหม่ในสภาพเดิมได้
ลัก ษณะของพยานหลัก ฐานในคดี อาชญากรรมทางคอมพิว เตอร์ Hardware CPU Digital Camera Diskette USB Thumb CD , DVD Network Device PDA Media Storage Mobile Phone etc.
Software /Volatile Data
RAM Digital Files Program/Software Network Traffic Log
Other Evidence Documents Pictures Note
การวางแผนในการตรวจสอบสถานที่และจัดเก็บพยานหลักฐาน 1การวางแผนเพือ ่ รวบรวมพยานหลักฐาน ก่อนการเข้าตรวจค้น 2การวางแผนการเข้าตรวจค้น จัดเก็บ และ ขนย้ายพยานหลักฐาน 3การวางแผนจัดเตรียมอุปกรณ์ 4
การวางแผนสำารอง หากจะต้องมีการดำาเนินการต่อเนื่อง (หากมีพยานหลักฐานบ่งชีไ้ ป)
1. การวางแผนเพื่อรวบรวมพยานหลักฐาน ก่อนการเข้าตรวจค้น 1
ลักษณะการกระทำาความผิดข้อมูลและ หลักฐานอื่นๆทางคดี
2
ความเชื่อมโยงของพยานหลักฐานกับคดี และพยานหลักฐานที่คาดว่าจะพบ
3
คุณค่าของพยานหลักฐานที่คาดว่าจะพบ
กรณี ศึกษา การรวบรวมพยานหลักฐานก่อนเข้าทำาการตรวจค้น
การเผยแพร่ภาพการโชว์ลามกอนาจาร ออนไลน์ การฉ้ อโกงออนไลน์ ของชาวต่างชาติ การเล่นการพนัน บาคาร่า ออนไลน์
www.px24.com
ต่างประเทศ
สาขาอืน ่ ๆ
Network Architecture
Internet
ในประเทศ ISP
ลูกค้า
Leased Line (TT&T)
Car rental
384/37 ม.10
นิรนั ดร์คอนโด
Operation PX – 24 Pattaya
2.การวางแผนการเข้าตรวจค้น จัดเก็บ และ ขนย้ายพยานหลักฐาน 1
หน้ าที่ควบคุมบุคคลที่อยู่ในที่เกิดเหตุ มิให้เข้ามา ยุ่งเกี่ยวกับพยานหลักฐาน หรือมีโอกาสทำาลายพยานหลัก ฐาน
2
หน้ าที่เก็บรักษาพยานหลักฐานของกลาง และ การจัดทำาบันทึกการดำาเนินการ
3
หน้ าที่สอบปากคำา หรือสัมภาษณ์ผ้เู กี่ยวข้อง เช่นในประเด็น การเป็ นเจ้าของผูค้ รอบครองอุปกรณ์ต่างๆ , รหัสผูใ้ ช้หรือรหัส ผ่านของเครื่อง ฯลฯ
2.การวางแผนการเข้าตรวจค้น (ต่อ) 4
การถ่ายภาพ หรือ วีดีโอ และ การจัดทำา แผนที่เกิดเหตุ และบันทึกการดำาเนินต่างๆ
5
การจัดเก็บข้อมูลจากเครือ่ งคอมพิวเตอร์และ อุปกรณ์ต่างๆ
6
การผนึ กพยานหลักฐานและการขนย้าย
การวางแผนจัดเตรียมอุปกรณ์ 1
ชุดเครือ่ งมือสำาหรับรวบรวมพยานหลักฐานในส่วนที่ เป็ นข้อมูลอิเลคทรอนิคส์ หรืออุปกรณ์อเิ ลคทรอนิคส์ ทีอ่ าจตรวจพบในทีเ่ กิดเหตุ
2
ชุดเครือ่ งมือตรวจสถานทีเ่ กิดเหตุและรวบรวม พยานหลักฐานแบบพืน้ ฐาน
3
แบบฟอร์มต่างๆ สำาหรับการบันทึกข้อมูล และ การส่งมอบพยานหลักฐาน
1. ชุดเครื่องมือสำาหรับรวบรวมพยานหลักฐานอิเลคทรอนิคส์ 1
2
3
เครือ่ งมือสำาหรับจัดเก็บข้อมูลในหน่ วย ความจำาและสถานะต่างๆ ของเครือ่ ง คอมพิวเตอร์ เครื่องมือสำาหรับการ ถอด/ประกอบ/เชื่อมต่อ อุปกรณ์ทา งอิเลคทรอนิคส์ อุปกรณ์สาำ หรับการผนึ ก และบรรจุ / หีบห่อ
2. ชุดเครื่องมือรวบรวมพยานหลักฐานแบบพืน้ ฐาน 1
2
3
อุปกรณ์ที่ใช้ในการบันทึกข้อมูล ราย ละเอียดของหลักฐาน การบันทึกสภาพสถานที่เกิดเหตุ
Mobile Office
3. แบบฟอร์มต่างๆ สำาหรับการบันทึกข้อมูล / การส่งมอบพยานหลักฐาน 1
แบบฟอร์มบันทึกรายละเอียดพยานหลักฐาน , บัญชี พยานหลักฐาน , ภาพวาดหรือแผนที่เกิดเหตุ เป็ นต้น
สิ่งที่ต้องพิจารณากรณี จดั เก็บพยานหลักฐานจากเครื่องคอมพิวเตอร์ 1
สถาปัตยกรรม ลักษณะการทำางาน เช่น Server
2
ระบบปฏิบตั ิ การ
3
สถานะของเครือ่ ง เปิดเครือ่ ง / ปิดเครือ่ ง
4
ประเด็นอื่นๆ เช่น การเข้ารหัส
กรณี ที่ขณะที่ตรวจค้นพบว่า เครื่องคอมพิวเตอร์เปิดอยู่ ต้องการพยานหลักฐานยืนยันชัดเจน ที่มีอยู่ใน RAM กรณี มีการเชื่อมต่อเป็ นระบบเครือข่าย กรณี ต้องมีการ (Log in) หรือพบว่ามีการเข้ารหัส (Encryption) ประเด็นการต่อสู้คดีทางเทคนิคอื่นๆ หลักฐานยืนยันการทำางานตามหลักวิชาการ
ขัน้ ตอนการจัดเก็บข้อมูล 1
ทำาการบันทึกภาพ
2
ทำาจัดเก็บ Volatile Data
3
จัดทำาแผนที่ระบบเครือข่าย
4
จัดเก็บพยานหลักฐาน
Volatile Data หมายถึง 1
ข้อมูลทีไ่ ม่สามารถคงอยูไ่ ด้ หาก อุปกรณ์ทใ่ี ช้จดั เก็บนัน้ ไม่ม ี กระแสไฟฟ้าเข้าไปหล่อเลีย้ ง
2 ข้อมูลที่อยู่ในหน่ วยความจำาหลัก (Main Memory) ในช่วงเวลาขณะนัน้ ซึ่งจัดเก็บ ข้อมูลสถานะต่างๆ ภายในเครือ่ ง ที่อาจมี การเปลี่ยนแปลงได้โดยสภาพของมันเอง อัน เนื่ องจากการใช้งาน ดังนัน้ หากแม้มิได้ปิด เครื่อง แต่มีการเปลี่ยนแปลงการทำางาน ข้อมูลดังกล่าวก็อาจสูญหายไปได้
ข้อมูลสำาคัญที่เป็ นพยานหลักฐานใน Volatile Data 1
ข้อมูลสถานะการเชื่อมต่อกับระบบเครือข่าย
2
ข้อมูลของโปรแกรมที่กาำ ลังทำางานอยู่ในขณะนัน้
3
ข้อมูลที่เกี่ยวกับผูใ้ ช้งาน
4
ข้อมูลอื่นๆ เช่น รหัสผ่าน , เนื้ อหา
ข้อมูลสถานะ การเชื่อมต่อกับระบบเครือข่าย หมายเลข IP Address ของระบบเครือข่ายที่กาำ ลังเชื่อมต่ออยู่กบั เครื่องคอมพิวเตอร์ที่ตรวจยึด ช่องทางที่เปิดการเชื่อมต่อ (Port) หมายเลข IP Address ของเครือ่ ง ซึ่งทำาให้ทราบถึงระบบการเชื่อม ต่อเครือข่ายภายใน
ข้อมูลของโปรแกรมที่กาำ ลังทำางานอยู่ในขณะนัน้ ซอฟต์แวร์ที่ผตู้ ้องสงสัยใช้งาน ตำาแหน่ งของไฟล์ที่เก็บอยู่ในเครื่องของผูต้ ้องสงสัย กระบวนการทำางาน (Process) ของงาน (Task) ที่กาำ ลังทำางาน อยู่ในขณะนัน้
ข้อมูลที่เกี่ยวกับผูใ้ ช้งาน ระยะเวลาทีเ่ ปิดปิดเครือ่ ง หรือเครือ่ งนัน้ เริม่ ทำางาน รหัสชือ่ ผูใ้ ช้ สิทธิและ รหัสผ่าน ผูท้ ใ่ี ช้งานในระบบอยูใ่ นขณะนัน้
กรณี ศึกษา
กรณีศกึ ษา การจัดเก็บ Volatile Data ทีม่ คี วามสำาคัญ การลักลอบเจาะเข้าระบบเพื่อเปลี่ยนแปลงแก้ไข ข้อมูลจำานวนเงิน ในระบบโทรศัพท์ Pre-paid ของ บริษทั TA Orange จำากัด
การจัด เก็บ ข้อ มูล Volatile Data 1
การเตรียมอุปกรณ์สาำ หรับจัดเก็บโปรแกรมและข้อมูล
2
ิ บตั ิ การของเครื่อง ชุดคำาสังภายในระบบปฏ ่
3
ข้อมูลที่เกี่ยวกับผูใ้ ช้งาน
4
ข้อมูลอื่นๆ เช่น รหัสผ่าน , เนื้ อหา
ทดสอบการใช้งานคำาสัง่
ทดสอบการใช้ งานคำาสั่ งต่ างๆ เพือ่ จัดเก็บ Volatile Data
การใช้งานชุดคำาสัง่ เพื่อให้ทาำ งานโดยอัตโนมัติ
IR TOOLS (Incident Response Tools) Cofee ( Computer Online Forensic Evidence Extractor ) ข้อพิจารณาในการเลือกใช้เครือ่ งมือ
หลักการเบือ้ งต้นจัดเก็บพยานหลักฐานที่เป็ นอุปกรณ์คอมพิ วเตอร์ ในกรณี ในกรณีทที่เี่เครื ครือ่ อ่ งคอมพ งคอมพิ วิ วเตอร์ เตอร์นนัน้ ัน้ ปปิ ิ ดอยู ดอยู่ ่ - ไม่ควรเปิ ดเครือ่ งคอมพิวเตอร์ เนื่องจากอาจมีการเขียนทับไฟล์บางส่วน หรือมี กับดัก ทีท่ าำ ให้พยานหลักฐานเสียหาย เช่น มีการตัง้ โปรแกรมให้เครือ่ ง คอมพิวเตอร์ ลบไฟล์บางตัวออกจากเครือ่ ง - ถอดอุปกรณ์ต่างๆทีพ่ ว่ งต่ออยู่ รวมถึงตรวจสอบช่องใส่ CD , ดิสเก็ต ฯลฯ (แยก เก็บไว้อกี ส่วนหนึ่ง) - บันทึกรายละเอียดต่างๆของเครือ่ งคอมพิวเตอร์ รวมถึงสภาพและร่องรอยต่างๆที่ อาจตรวจพบ - หากพบว่าเครือ่ งคอมพิวเตอร์นนั ้ มีการเชือ่ มต่อกันเป็ นระบบเครือข่ายให้จดั ทำา แผนทีร่ ะบบเครือข่ายคอมพิวเตอร์นนั ้ ด้วย - ทำาการผนึก
หลักการเบือ้ งต้นจัดเก็บพยานหลักฐานที่เป็ นอุปกรณ์คอมพิ วเตอร์ ในกรณี ในกรณีทที่เี่เครื ครือ่ อ่ งคอมพ งคอมพิ วิ วเตอร์ เตอร์นนัน้ ัน้ เป เปิ ิ ดอยู ดอยู่ ่ o - ตรวจสอบ Monitor และบันทึกภาพ o - ตรวจสอบการเชือ่ มต่อกับระบบคอมพิวเตอร์อ่นื ๆ และบันทึกภาพ o - ตรวจสอบอุปกรณ์และส่วนต่อพ่วงต่างๆของเครือ่ งคอมพิวเตอร์ รวมถึงตรวจสอบ ช่องใส่ CD , ดิสเก็ต ฯลฯ (แยกเก็บไว้อกี ส่วนหนึ่ง) o - จัดเก็บข้อมูล Volatile Data o - หากพบว่าเครือ่ งคอมพิวเตอร์นนั ้ มีการเชือ่ มต่อกันเป็ นระบบเครือข่ายให้จดั ทำา แผนทีร่ ะบบเครือข่ายคอมพิวเตอร์นนั ้ ด้วย o - ปิดเครือ่ งคอมพิวเตอร์ และบันทึกรายละเอียดต่างๆของเครือ่ งคอมพิวเตอร์ รวม ถึงสภาพและร่องรอยต่างๆทีอ่ าจตรวจพบ o - ยุตกิ ารเชือ่ มต่อระบบเครือข่าย และ ทำาการผนึก
การจัดเก็บอุปกรณ์ อิเลคทรอนิคส์อื่นๆ อุปกรณ์จดั เก็บข้อมูลต่างๆ เช่น สมาร์ทการ์ด , ซีดี –ดีวีดี , แฟลชไดรฟ์ รวมถึงอุปกรณ์ที่เกี่ยวข้อง เช่น เครือ่ งบันทึก DVD แบบ External ิ อุ ป กรณ์ ก ารสื ่ อ สารต่ า งๆ เช่ น โทรศั พ ท์ ม อ ื ถื อ , ซ ม การ์ ด หรื อ เครื อ ่ ง อ่านซิมการ์ด , เครือ่ งตอบรับโทรศัพท์อตั โนมัติ , แฟกซ์ ฯลฯ อุปกรณ์การเชื่อมต่อระบบเครือข่าย ต่างๆ เช่น Hub, Router, Modem พร้อมสายเคเบิล หรืออุปกรณ์ต่อพ่วงต่างๆ
อุปกรณ์คอมพิวเตอร์ประเภทโทรศัพท์ 1 2 3
การจัดเก็บข้อมูลในอุปกรณ์ประเภทโทรศัพท์ การใช้เครือ่ งมือในการนำาเอาข้อมูลออกจากโทรศัพท์ ข้อคำานึ งในการจัดเก็บอุปกรณ์ประเภทโทรศัพท์
ข้อคำานึ งอื่นๆ ในการจัดเก็บพยานหลักฐานในที่เกิดเหตุ 1 2 3
จำานวนคอมพิวเตอร์ในสถานที่เกิดเหตุ พืน้ ที่ในสถานที่เกิดเหตุ กรณี อปุ กรณ์คอมพิวเตอร์มีขนาดใหญ่ ไม่สามารถขนย้ายได้
Practice
การจัดเก็บอุปกรณ์คอมพิวเตอร์ แบบDesktop
การจัดเก็บอุปกรณ์คอมพิวเตอร์ แบบNotebook