การสืบหาหลักฐานดิจิทัล Digital Evidence
หลักฐานดิจิทัล (Digital Evidence) คือ ข้อมูลหรือสารสนเทศที่อยู่ในรูปแบบของ Bit 0 หรือ 1 (ศูนย์ หรือ หนึ่ง รวมเรียกได้อีกอย่างว่า Binary) ซึ่งสามารถแสดงผลออกมาเป็นข้อมูลที่คนทั่วไป สามารถเข้าใจได้ผ่านโปรแกรมคอมพิวเตอร์ และสามารถใช้ในการพิสูจน์ข้อเท็จจริง หรือ หาความกระจ่างให้กับเรื่องที่กำลังสนใจอยู่ได้ รวมถึงสามารถใช้ในกระบวนการยุติธรรมในชั้นศาล
ทั้งนี้ การจะสามารถนำมาประกอบการพิจารณาในชั้นศาลได้หรือไม่นั้น ขึ้นอยู่กับดุลยพินิจของศาล
ประเด็นความท้าทายเกี่ยวกับหลักฐานดิจิทัล (บทบาท คุณลักษณะ ความเปราะบางหลักฐาน)
หลักฐานดิจิทัลถึงแม้จะจับต้องไม่ได้ แต่ก็ถือเป็นหลักฐานทางกายภาพ ธรรมชาติของหลักฐานดิจิทัลจะอยู่ในรูปแบบของสนามแม่เหล็ก (Magnetic Field), การเปลี่ยนแปลงของกระแสไฟฟ้า (Electronic Pulse) หรือการสะท้อนและ Spectrum ของแสง (Optical Reflection/Optical Spectrum) ที่สามารถแปลผลออกมาให้อยู่ในรูปแบบ Binary เพื่อที่จะให้ระบบคอมพิวเตอร์นำไปประมวลผลและแสดงผลออกมาให้กับผู้ใช้งานได้
ข้อมูลในรูปแบบดิจิทัลทุกอย่าง สามารถใช้เป็นหลักฐานในการพิสูจน์ข้อเท็จจริงหรือหาความกระจ่างให้กับเรื่องที่กำลังสนใจอยู่ได้ ขึ้นอยู่กับว่าจะมีความเกี่ยวข้องกับเรื่องที่สนใจอยู่นั้นหรือไม่
ตัวอย่างของเรื่องที่สามารถแก้ปัญหาโดยใช้หลักฐานทางดิจิทัลก็คือ
- การพิสูจน์ข้อเท็จจริงกรณีเกิดข้อพิพาทของบุคคลตั้งแต่สองฝ่ายขึ้นไป
- การพิสูจน์ข้อเท็จจริงในกรณีที่มีผู้ฝ่าฝืนนโยบายขององค์กร จนก่อให้เกิดความเสียหายต่อสังคมและองค์กร
- การพิจารณาคดีความทางแพ่งและอาญา
- การค้นหาสาเหตุของการโจมตีทางไซเบอร์ว่าเกิดจากช่องโหว่ใด เพื่อที่จะได้ทำการแก้ไขให้ตรงจุด
ความเปราะบางของหลักฐานดิจิทัลเอง ก็เป็นผลมาจากรูปแบบที่ถูกจัดเก็บตามที่ได้กล่าวไปแล้วในข้างต้น ทำให้หลักฐานนั้นถูกเปลี่ยนแปลง ทำให้เสียหายหรือถูกทำลายได้ง่าย หากมีการดูแลที่ไม่เหมาะสมหรือการวิเคราะห์หลักฐานโดยขาดความระมัดระวัง ด้วยเหตุนี้เอง หลักฐานทางดิจิทัลจึงมักจะประสบกับความท้าทายดังต่อไปนี้อยู่บ่อย ๆ
- ความน่าเชื่อถือหรือความถูกต้องสมบูรณ์ของหลักฐาน (Authenticity & Integrity) เมื่อเก็บจากที่เกิดเหตุ
- การจัดเก็บและการส่งต่อหลักฐาน โดยที่ยังคงไว้ซึ่งความน่าเชื่อถือหรือความถูกต้องสมบูรณ์ของหลักฐาน
- ความเข้าใจของผู้ที่พิจารณาข้อเท็จจริงหรือคดีความที่มีหลักฐานดิจิทัลเป็นส่วนเกี่ยวข้อง
ดังนั้น การได้มา จัดเก็บ รักษา และวิเคราะห์หลักฐานทางดิจิทัลจะต้องทำด้วยวิธีการเฉพาะที่ต้องอาศัยความเชี่ยวชาญ ความระมัดระวังเป็นอย่างสูง
ประเภทของข้อมูลดิจิทัล
ประเภทของข้อมูลทางดิจิทัลที่สามารถสกัด (Extract) ออกมาจากแหล่งข้อมูลที่จัดเก็บไว้ในรูปแบบ Electronic มีดังตัวอย่างต่อไปนี้
- ตำแหน่ง GPS
- ภาพถ่ายนิ่ง หรือ เคลื่อนไหว
- บันทึกเสียง
- ประวัติการเข้าใช้งานเว็บไซต์
- ข้อมูลธุรกรรมการเงิน
- บันทึกการสนทนาเป็นตัวอักษร (Chat Log)
- การตั้งค่าของระบบคอมพิวเตอร์
- ข้อมูลการเชื่อมต่อทางเครือข่าย
- รายการโปรแกรมที่กำลังถูกใช้งาน
- รายการของไฟล์ที่กำลังถูกเข้าถึง
- บันทึกเหตุการณ์ (Log) ของระบบปฏิบัติการและ Application
- บันทึกการเปลี่ยนแปลงของ File System
- ข้อมูลที่ไม่ได้ถูกเขียนทับโดยสมบูรณ์ที่อยู่ใน Free Space และ Slack Space ซึ่งสามารถกู้คืนกลับมาได้
- บันทึกกิจกรรมในเครือข่าย (Network Log)
บทบาทของหลักฐานดิจิทัล (กฎของหลักฐาน)
จากที่เราทราบกันแล้วว่า หลักฐานดิจิทัลนั้นเป็นสิ่งที่มีความอ่อนไหว ง่ายต่อการเสียหายมาก การวิเคราะห์หรือการดำเนินการใด ๆ จึงไม่สามารถกระทำบนหลักฐานต้นฉบับได้
แต่กฎของหลักฐานที่ดีที่สุดก็มีอยู่ว่า ข้อเท็จจริงที่จะใช้ในการนำเสนอในกระบวนการยุติธรรมได้ ต้องเป็นข้อเท็จจริงที่ได้จากหลักฐานต้นฉบับหรือตัวจริงเท่านั้น หรือแม้กระทั่งการพิสูจน์กระบวนการนอกชั้นศาล ก็ต้องพิสูจน์ได้ว่า ข้อเท็จจริงที่ได้จากหลักฐานดิจิทัลไม่ได้ผ่านการเติมแต่งเปลี่ยนแปลง ตรงตามต้นฉบับทุกประการ การที่จะทำให้หลักฐานทางดิจิทัลเป็นที่ยอมรับได้นั้นจะต้อง
- ทำสำเนาจากหลักฐานต้นฉบับโดยให้ตรงกับต้นฉบับทุกประการ หรือที่เรียกว่า Bit-for-Bit Copy หรือ Duplicate
- ในการทำสำเนาต้องใช้เทคโนโลยี Write-Blocker เพื่อป้องกันการปนเปื้อนของหลักฐานโดยไม่ได้เจตนา
- ทำการบันทึกกิจกรรมในการทำสำเนาหลักฐานพร้อมภาพถ่ายอย่างละเอียด
- เริ่มการบันทึกห่วงโซ่หลักฐาน (Chain of Custody) ตั้งแต่การทำสำเนาครั้งแรก
อุปกรณ์อิเล็กทรอนิกส์ ประเภทและความสามารถในการเก็บหลักฐาน
ประเภทของอุปกรณ์อิเล็กทรอนิกส์ที่มีข้อมูลที่สามารถใช้เป็นหลักฐานทางดิจิทัล ได้แบ่งได้เป็น 2 ประเภท คือ
- ระบบคอมพิวเตอร์ ซึ่งมีความสามารถในการจัดเก็บและประมวลผลข้อมูลดิจิทัล เช่น
- Desktop Computer
- Smart Phone
- Laptop Computer
- IoT Devices
- Medical Device
- Smart Device อื่น ๆ
- อุปกรณ์ต่อพ่วง ซึ่งทำหน้าที่เพิ่มขีดความสามารถ หรือ เพิ่มพื้นที่ในการจัดเก็บข้อมูลของอุปกรณ์ที่ทำหน้าที่เป็นระบบคอมพิวเตอร์หลัก เช่น
- External Hard Drive
- Printer
- Scanner
- Smart Card Reader
- NFC Reader
- Network Equipment
กระบวนการตรวจสอบหลักฐานดิจิทัล
จากความต้องการในการใช้งานหลักฐานดิจิทัล ความท้าทาย ธรรมชาติของหลักฐานนั้น ทำให้ต้องมีกระบวนการที่จะตอบสนองการใช้งานหลักฐานดิจิทัล เริ่มตั้งแต่การได้มา จัดเก็บ ส่งมอบ วิเคราะห์และตรวจสอบ จนถึงการรายงานผลการวิเคราะห์ ดังนี้
- การประเมินหลักฐาน
- การได้มาซึ่งหลักฐาน
- การส่งมอบหลักฐานดิจิทัล
- การตรวจสอบและวิเคราะห์หลักฐาน
- การจัดทำเอกสารหลักฐานและรายงาน
ขั้นตอนการประเมินหลักฐาน
เมื่อทราบเหตุการณ์หรือข้อเท็จจริงที่ต้องการพิสูจน์แล้ว ต้องประเมินให้ได้ว่าหลักฐานดิจิทัลที่อยู่ในอุปกรณ์ใดบ้างที่มีความจำเป็นที่จะต้องใช้ประกอบการพิจารณา
ขั้นตอนการได้มาซึ่งหลักฐาน
การได้มาซึ่งหลักฐานจะต้อง
- ทำสำเนาจากหลักฐานต้นฉบับ โดยให้ตรงกับต้นฉบับทุกประการ หรือที่เรียกว่า Bit-for-Bit Copy หรือ Duplicate
- ในการทำสำเนาต้องใช้เทคโนโลยี Write-Blocker เพื่อป้องกันการปนเปื้อนของหลักฐานโดยไม่ได้เจตนา
- ป้องกันการเปลี่ยนแปลงหรือทำลายชิ้นหลักฐาน ซึ่งอาจเกิดจากสิ่งรบกวนทางกายภาพ เช่น ความชื้น ไฟฟ้าสถิต
- ทำการบันทึกกิจกรรมในการทำสำเนาหลักฐานพร้อมภาพถ่ายอย่างละเอียด ทั้งก่อน ระหว่าง และหลังการจัดเก็บหลักฐาน
- ลายนิ้วมือของหลักฐานต้นฉบับและ Duplicate จะต้องตรงกัน สามารถทำได้โดยคำนวณ Cryptographic Hash/Checksum เช่น SHA-1, SHA-256, MD5 CRC-32 ของหลักฐานทั้งสองชุดแล้วนำมาเปรียบเทียบกัน และลายนิ้วมือจะต้องไม่มีการเปลี่ยนแปลง
- ตลอดอายุการใช้งานของหลักฐาน
- เริ่มการบันทึกห่วงโซ่หลักฐาน (Chain of Custody) ตั้งแต่การทำสำเนาครั้งแรก
ขั้นตอนการส่งมอบหลักฐานดิจิทัล
ทุกครั้งที่มีการส่งมอบหลักฐาน เริ่มตั้งแต่การได้มาซึ่งหลักฐานครั้งแรก จะต้องมีการบันทึก Chain of Custody ซึ่งประกอบด้วย
- วัน เวลา สถานที่ ที่ส่งมอบหรือจัดเก็บหลักฐา
- ชื่อผู้ส่งมอบ
- ชื่อผู้รับ
- สิ่งที่ส่งมอบ เหตุผลในการส่งมอบ
ขั้นตอนการตรวจสอบและวิเคราะห์หลักฐาน
ทำการวิเคราะหลักฐานเพื่อพิสูจน์ หรือ ปฏิเสธสมมติฐาน ในการสอบสวนหรือค้นหาความจริง ในส่วนนี้ไม่มีขั้นตอนตายตัว ขึ้นอยู่กับว่าเรากำลังพิสูจน์เรื่องอะไรอยู่ ซึ่งสิ่งหนึ่งที่สำคัญ และเป็นที่แน่นอนเลย คือ ผู้วิเคราะห์จะต้องมีความเข้าใจในระบบที่จะทำการวิเคราะห์เป็นอย่างดี แต่ก็มีเทคนิคที่สามารถใช้ได้โดยทั่วไป ดังนี้
- การกู้ไฟล์ที่ถูกลบ
- การวิเคราะห์เนื้อหาไฟล์ที่น่าสนใจและเกี่ยวข้อง
- การลำดับเหตุการณ์และวิเคราะห์ลำดับเหตุการณ์ (Timeline Analysis)
- การถอดรหัสไฟล์
- การเชื่อมโยงข้อมูลจากหลาย ๆ แหล่งเข้าด้วยกัน (Correlation)
ขั้นตอนการจัดทำเอกสารหลักฐานและรายงาน
เมื่อการวิเคราะห์หลักฐานเสร็จสิ้นและได้ข้อสรุปแล้ว ขั้นตอนต่อไปคือ การจัดทำรายงาน
เพื่อนำเสนอผลต่อผู้ที่มีส่วนได้ส่วนเสียในกรณีนั้น ๆ ถือเป็นขั้นตอนที่สำคัญที่สุด ซึ่งมีขั้นตอนปฏิบัติ ที่เป็นแนวทาง ดังนี้
- ก่อนที่จะเริ่มเขียน ให้คำนึงถึงผู้ที่จะต้องนำรายงานไปใช้งาน
- ทำรายงานให้กระชับที่สุด
- จัดเรียงเนื้อหาให้ผู้ทำไปใช้สามารถใช้งานได้สะดวก
- เนื้อหาจะต้องถูกต้องแม่นยำทุกรายละเอียด และไม่สร้างความสับสนให้ผู้อ่าน
- รูปภาพและคำอธิบายต้องได้รับการจัดวางให้อยู่ในที่ ที่เหมาะกับการใช้งานของผู้อ่าน
- มีการสรุปเพื่อให้เห็นภาพรวม
- รายงานต้องผ่านกระบวนการ Peer Review
เอกสารรายงานการตรวจสอบหลักฐาน
องค์ประกอบของเอกสารรายงานการตรวจสอบหลักฐาน มีดังต่อไปนี้
- บทนำ ชื่อ และรายละเอียดของผู้วิเคราะห์
- ที่มาและความจำเป็นในการวิเคราะห์หลักฐาน พร้อมทั้งสิ่งที่ต้องการพิสูจน์
- ผลสรุปจากการวิเคราะห์ และมีผลอย่างไรต่อเรื่องที่จะพิสูจน์
- วิธีการที่ใช้ในการวิเคราะห์
- เครื่องมือที่ใช้
- รายการหลักฐานที่ได้รับการวิเคราะห์
- รายละเอียดในการดำเนินการ พร้อมทั้งผลที่ได้ ที่สอดคล้องกับข้อสรุป
- ข้อเท็จจริงที่ได้จากการดำเนินการในแต่ละขั้นตอนที่สอดคล้องกับข้อสรุป ต้องไม่มีความเห็นเจือปน
- ข้อสรุปในภาพรวมและความเห็นของผู้เชี่ยวขาญ
- ภาคผนวก และไฟล์แนบที่ใช้ประกอบการวิเคราะห์
จากประเภทของข้อมูลดิจิทัล จะเห็นได้ว่าปัจจุบันธุรกรรมเกือบทุกประเภทจะถูกแปลงเป็น
รูปแบบดิจิทัลเกือบทั้งหมดแล้ว และสุดท้ายทั้งหมดนี้จะกลายมาเป็นพยานหลักฐานดิจิทัลนั่นเองครับ
การวิเคราะห์หลักฐานดิจิทัลนั้นเป็นทั้งศาสตร์และศิลป์ ต้องอาศัยความคิดสร้างสรรค์
เพื่อที่จะค้นหา และใช้ประโยชน์จากหลักฐานในการพิสูจน์ข้อเท็จจริงหรือหาความกระจ่างให้กับเรื่องที่สนใจครับ