Computer Forensics Fundamentals
หลักการพื้นฐานด้านนิติคอมพิวเตอร์ (Computer Forensics Fundamentals)
ในปัจจุบันอาชญากรรมไซเบอร์เป็นปัญหาที่มีความซับซ้อน และมีปริมาณที่เพิ่มอย่างต่อเนื่อง ซึ่งสร้างความเสียหายให้กับระดับบุคคลทั่วไป องค์กร และประเทศในวงกว้าง การจัดการแก้ปัญหาอาชญากรรมไซเบอร์ให้มีประสิทธิ์ภาพต้องอาศัยองค์ความรู้ด้านนิติคอมพิวเตอร์ ซึ่งจะช่วยให้องค์กรสามารถเก็บรวบรวม ตรวจสอบ วิเคราะห์ ข้อมูลหลักฐาน ระบุผู้ที่ก่ออาชญากรรมไซเบอร์ และผลกระทบที่เกี่ยวข้องกับอาชญากรรมไซเบอร์ ได้อย่างมีประสิทธิ์ภาพ และเป็นที่ยอมรับในการดำเนินการทางกฎหมาย ดังนั้น ผู้ที่เกี่ยวข้องกับการจัดการด้านอาชญากรรมไซเบอร์จึงมีความจำเป็นอย่างมากที่จะต้องให้ความสำคัญกับการดำเนินการนิติคอมพิวเตอร์ ให้ถูกต้อง เหมาะสม เพื่อช่วยลดปัญหาด้านอาชญากรรมไซเบอร์
อาชญากรรมไซเบอร์ คือ การกระทำที่ละเมิดกฎหมาย โดยเกี่ยวข้องกับระบบคอมพิวเตอร์
หรือแอปพลิเคชันที่ใช้งาน ซึ่งผู้ก่ออาชญากรรมไซเบอร์อาจจะใช้ระบบคอมพิวเตอร์เป็นเครื่องมือในการสร้าง Malware ถอดรหัสลับ หรือเพิ่มสิทธิ์ในการเข้าถึงข้อมูลสำคัญ โดยที่ระบบคอมพิวเตอร์ก็เป็นเป้าหมายที่จะถูกโจมตี และก่อให้เกิดอาชญากรรมไซเบอร์ เช่น อาจทำให้ระบบคอมพิวเตอร์ไม่สามารถให้บริการได้ ซึ่งปัจจุบันเครื่องมือในการก่ออาชญากรรมไซเบอร์ มีความหลากหลายและซับซ้อนมากขึ้น รวมถึงผู้ก่ออาชญากรรมไซเบอร์ก็มีการรวมกลุ่มเพื่อร่วมกันก่ออาชญากรรมไซเบอร์อย่างเป็นระบบมากขึ้น ส่งผลให้การก่ออาชญากรรมไซเบอร์ เพิ่มจำนวนสูงขึ้นอย่างมาก โดยผู้ที่ตกเป็นเหยื่อของอาชญากรรมไซเบอร์ก็มีทั้งบุคคลทั่วไป และระดับองค์กร
รูปแบบการโจมตีทางไซเบอร์ (Mode of Attacks)
อาชญากรรมไซเบอร์มีวิธีการโจมตีเป็น 2 รูปแบบหลัก
- การโจมตีจากภายใน
เป็นการโจมตีที่เกิดขึ้นจากคนภายในองค์กร ที่มีสิทธิ์ในการเข้าถึงระบบคอมพิวเตอร์ภายในองค์กร ซึ่งเป็นการโจมตีที่อาจตรวจจับได้ยาก และส่งผลกระทบที่หลากหลาย
เช่น ข้อมูลลับอาจรั่วไหล หรือถูกเปลี่ยนแปลงแก้ไขโดยผู้ที่ไม่มีสิทธิ์
- การโจมตีจากภายนอก
เป็นการโจมตีที่เกิดขึ้นจากคนภายนอกองค์กร ซึ่งอาจจะเป็นการโจมตีมาจากต่างประเทศ ซึ่งอาจทำให้การติดตามจับตัวผู้โจมตีเป็นไปได้ยาก และอาจส่งผลกระทบที่หลากหลายต่อองค์กรที่ตกเป็นเหยื่อเช่นกัน เช่น อาจทำให้องค์กรไม่สามารถให้บริการได้ หรือข้อมูลลับอาจรั่วไหล
ประเภทอาชญากรรมคอมพิวเตอร์ (Computer Crime)
อาชญากรรมไซเบอร์ที่เกี่ยวข้องกับระบบคอมพิวเตอร์สามารถแบ่งเป็นประเภทหลัก ๆ ได้ ดังนี้
- โปรแกรมคอมพิวเตอร์ประสงค์ร้าย (Computer Malware)
- การขโมยข้อมูลระบุตัวตน (Identity Theft)
- การเข้าถึงข้อมูลหรือระบบโดยไม่ได้รับอนุญาต (Hacking)
- การโจมตีเพื่อให้ระบบไม่สามารถให้บริการได้ (Denial of Service Attacks)
- การขโมยข้อมูลทรัพย์สินทางปัญญา (Theft of Intellectual Property)
- การส่งจดหมายอิเล็กทรอนิกส์หลอกลวง (Email Spam/Phishing)
การสืบสวนอาชญากรรมไซเบอร์
การสืบสวนอาชญากรรมไซเบอร์ มีขั้นตอนที่สำคัญ ดังนี้
- การระบุเหตุการณ์ที่เกิดขึ้น
- การหาข้อมูลเบาะแสที่หลงเหลือ
- การประเมินหาหลักฐานที่เกี่ยวข้อง
- การค้นหาและยึดอุปกรณ์คอมพิวเตอร์ที่เกี่ยวข้อง
- การสรุปหลักฐานที่สามารถใช้ในการดำเนินคดีทางกฎหมาย
อาชญากรไซเบอร์
อาชญากรไซเบอร์ คือ บุคคล หรือ กลุ่มบุคคลผู้ก่ออาชญากรรมบนโลกออนไลน์ อาชญากรไซเบอร์ มีความเกี่ยวข้องกับองค์กรที่อาชญากรรมด้านต่าง ๆ อย่างมาก อาชญากรไซเบอร์มีการใช้เทคนิควิธีต่าง ๆ ในก่ออาชญากรรมไซเบอร์ เช่น การพัฒนามัลแวร์ เพื่อใช้ในการโจมตีเหยื่อ รวมถึงอาจมีการปฏิบัติการเป็นกลุ่มองค์กรที่ก่ออาชญากรไซเบอร์เป็นหลัก โดยที่มีการวางแผนสำหรับการโจมตีในรูปแบบที่ซับซ้อน หลากหลาย และอาจมีการให้บริการในการก่ออาชญากรไซเบอร์กับผู้ที่ต้องการโจมตีเหยื่อ เช่น การรับจ้างเขียนมัลแวร์ เพื่อโจมตีองค์กร และการโจมตีในประเภท DOS attack จนถึงอาจมีการเข้าร่วมกันในการก่อสงครามไซเบอร์ที่มีแรงจูงใจจากประเด็นการเมือง และลัทธิศาสนา ซึ่งถือเป็นปัญหาที่น่ากังวลสำหรับการจัดการด้านความมั่นคงปลอดภัยในระดับประเทศ
นิติวิทยาศาสตร์ นิติวิทยาคอมพิวเตอร์
นิติวิทยาคอมพิวเตอร์ คือการดำเนินการที่เกี่ยวข้องกับการตรวจสอบอาชญากรรมไซเบอร์ที่เกี่ยวข้องกับระบบคอมพิวเตอร์ โดยการดำเนินการด้านนิติวิทยาคอมพิวเตอร์ จะครอบคลุมกิจกรรมสำคัญ เช่น การใช้เครื่องมือ และวิธีการเพื่อเตรียมความพร้อมในการพิสูจน์หลักฐานทางคอมพิวเตอร์ที่เกี่ยวข้องทั้งหมด ได้แก่ การเก็บรวบรวม รักษาหลักฐาน ตีความข้อมูลของหลักฐาน และจัดทำเอกสารที่เกี่ยวข้องเพื่อตรวจจับ และระบุตัวผู้โจมตี รวมถึงการดำเนินคดีกับผู้กระทำความผิดในชั้นศาล การแตกไฟล์ การตีความ และการจัดทำเอกสาร
วัตถุประสงค์หลักของนิติวิทยาคอมพิวเตอร์
- เพื่อช่วยในการกู้คืน วิเคราะห์ เก็บรักษา หลักฐานที่เกี่ยวข้องกับอาชญากรรมไซเบอร์ และคอมพิวเตอร์ รวมถึงให้สามารถใช้หลักฐานนั้น ในการดำเนินการทางกฎหมายในชั้นศาลได้อย่างเหมาะสม และเป็นที่ยอมรับ
- เพื่อช่วยในการระบุหลักฐานที่เกี่ยวข้องกับอาชญากรรมไซเบอร์และคอมพิวเตอร์ ได้อย่างรวดเร็ว ประเมินผลกระทบของเหตุการณ์ที่เกิดขึ้น ช่วยระบุตัวผู้ก่อเหตุและเป้าหมายของการก่อเหตุอาชญากรรมไซเบอร์ และคอมพิวเตอร์
- เนื่องด้วยนิติวิทยาคอมพิวเตอร์ มีความสำคัญเป็นอย่างมากในการจัดการปัญหาด้านอาชญากรรมไซเบอร์ ดังนั้นองค์กรจึงควรมีการเตรียมความพร้อมในการดำเนินการทางนิติวิทยาคอมพิวเตอร์ เพื่อเพิ่มขีดความสามารถขององค์กรในการใช้หลักฐานดิจิทัลในการดำเนินการทางนิติวิทยาคอมพิวเตอร์ เพื่อให้องค์กรมีความพร้อมในการดำเนินการทางนิติวิทยาคอมพิวเตอร์ ดังนี้
- การรวบรวมหลักฐานที่เป็นที่ยอมรับทางกฎหมาย
- การสรุปการรวบรวมหลักฐานที่เกี่ยวข้องกับการก่ออาชญากรรม
- ช่วยให้การตรวจสอบสามารถดำเนินการได้ภายใต้ค่าใช้จ่ายที่เหมาะสม
- ช่วยสร้างความเชื่อมั่นว่าสามาถใช้หลักฐานให้เกิดประโยชน์ต่อการดำเนินการทางกฎหมาย
- เนื่องด้วยนิติวิทยาคอมพิวเตอร์ มีความสำคัญเป็นอย่างมากในการจัดการปัญหาด้านอาชญากรรมไซเบอร์ ดังนั้นองค์กรจึงควรมีการเตรียมความพร้อมในการดำเนินการทางนิติวิทยาคอมพิวเตอร์ เพื่อเพิ่มขีดความสามารถขององค์กรในการใช้หลักฐานดิจิทัลในการดำเนินการทางนิติวิทยาคอมพิวเตอร์ เพื่อให้องค์กรมีความพร้อมในการดำเนินการทางนิติวิทยาคอมพิวเตอร์ ดังนี้
ระเบียบวิธีทางนิติวิทยาคอมพิวเตอร์
วิธีการทางนิติวิทยาคอมพิวเตอร์ ประกอบด้วยกิจกรรมสำคัญดังต่อไปนี้
- การเก็บรักษาหลักฐาน
- การระบุหลักฐาน
- การรวบรวมข้อมูลจากหลักฐาน
- การสรุปตีความหลักฐาน
- การจัดการเอกสารที่เกี่ยวข้องกับหลักฐาน
โดยขั้นตอนและกฎหลักในการดำเนินการทางนิติวิทยาคอมพิวเตอร์ ประกอบด้วย
- การระบุอาชญากรรมทางคอมพิวเตอร์ที่เกิดขึ้น
- การรวบรวมหลักฐานเบื้องต้น
- การขอหมายศาลเพื่อยึดหลักฐานที่เกี่ยวข้อง
- การดำเนินการตอบสนองเบื้องต้น
- การยึดหลักฐานที่เกี่ยวข้องในที่เกิดเหตุ
- การนำส่งหลักฐานไปยังห้องปฏิบัติการทางนิติวิทยาศาสตร์อย่างปลอดภัย
- การสร้างสำเนาของหลักฐาน
- การสร้างข้อมูลการเข้ารหัส เช่น MD5 เพื่อใช้ในการตรวจสอบความสมบูรณ์ของข้อมูลหลักฐาน
- การจัดเตรียมกระบวนการเก็บรักษาหลักฐาน
- การป้องกันหลักฐานโดยจัดเก็บไว้ในที่ปลอดภัย
- การตรวจสอบสำเนาของหลักฐาน
- การจัดทำรายงาน
- การนำส่งรายงานให้ผู้ที่เกี่ยวข้อง
- การเข้าร่วมในการพิจารณาความในชั้นศาล ในกรณีที่จำเป็น
บทบาทของหลักฐานดิจิทัล
ในการก่ออาชญากรรมไซเบอร์ ผู้โจมตีอาจทิ้งหลักฐานที่สามารถใช้เป็นข้อมูลเบาะแสในการตรวจสอบการโจมตีได้ โดยที่หลักฐานดิจิทัลอาจเกี่ยวข้องกับปัจจัยต่าง ๆ ดังนี้
- ลักษณะการใช้งานอินเทอร์เน็ต
- การปลอมแปลงเอกสาร
- การใช้งานระบบคอมพิวเตอร์ที่ผิดปกติ
- การใช้อีเมลเพื่อติดต่อกับผู้ที่น่าสงสัย
- การขโมยข้อมูลความลับ
- การส่งข้อมูลที่ไม่ได้รับอนุญาต
- ข้อมูลการเคลื่อนไหวของสิ่งที่เกี่ยวข้อง
- การโจมตีระบบคอมพิวเตอร์
- ชื่อและที่อยู่ของผู้ที่เกี่ยวข้อง
การทบทวนนโยบายและกฎหมาย
การทบทวนนโยบาย และกฎหมายที่เกี่ยวข้องมีความสำคัญต่อการจัดการอาชญากรรมไซเบอร์ เป็นอย่างมาก ซึ่งควรดำเนินการตามแนวปฏิบัติดังนี้
- การระบุขอบเขตอำนาจในการสืบค้นหาหลักฐาน
- การระบุหน่วยงานทางกฎหมายที่เกี่ยวข้อง
- การหารือกับที่ปรึกษาด้านกฎหมายสำหรับประเด็นที่เกี่ยวข้อง
- การคุ้มครองข้อมมูลส่วนบุคคล และรักษาความลับของผู้ที่เกี่ยวข้อง
การรายงานอาชญากรรมไซเบอร์
การรายงานเหตุการณ์ที่เกี่ยวข้องกับอาชญากรรมไซเบอร์ มีความสำคัญต่อการจัดการปัญหาอาชญากรรมไซเบอร์เป็นอย่างมาก โดยควรปฏิบัติตามแนวทางที่เหมาะสม และจะก่อให้เกิดประโยชน์ ดังนี้
- ให้ข้อมูลรายละเอียดที่จำเป็นให้กับเจ้าหน้าที่ที่เกี่ยวข้อง
- ติดต่อเจ้าหน้าที่ที่เกี่ยวข้องเพื่อขอคำปรึกษา เพื่อให้การรายงานดำเนินการได้ถูกต้อง เหมาะสม
- การรายงานที่เหมาะสม จะสามารถช่วยส่งเสริมให้มีการกำหนดนโยบายที่สอดคล้องกับแนวโน้มของรูปแบบอาชญากรรมไซเบอร์ที่เปลี่ยนแปลงไป
- การรายงานที่เหมาะสม ยังสามารถช่วยให้เจ้าหน้าที่สามารถระบุ และรับมือกับภัยคุกคาม
ที่เกี่ยวข้องกับอาชญากรรมไซเบอร์ได้อย่างมีประสิทธิ์ภาพมากขึ้น