Posts Tagged ‘Computer Forensics คือ’


หลักสูตรการฝึกอบรมหนึ่งวันสำหรับผู้เชี่ยวชาญด้านกฎหมายซึ่งเกี่ยวข้องกับการจัดการกับหลักฐานดิจิทัล

หลักสูตรนี้จะเน้นที่การหลักฐานของแต่ละประเภทของหลักฐานทางดิจิทัล ที่พบบ่อยครั้งและนำไปดำเนินคดีทางกฎหมาย   รวมไปถึงหลักฐานอื่นที่รอบล้อมหลักฐานทางดิจิทัล

 วัตถุประสงค์

การฝึกอบรมจะเน้นหลักการพื้นฐานการทำ computer forensics ,เทคนิค และคำศัพท์ต่างๆที่ผู้เชี่ยวชาญควรทราบ

จุดประสงค์

จุดประสงค์ของหลักสูตรนี้มีจุดมุ่งหมายเพื่อให้เจ้าหน้าที่กฎหมาย เข้าใจในแต่ละละดับของการทำ computer forensics เพื่อให้สามารถเข้าใจความหมายของรายงานทาง forensics และประเมินความถูกต้องและความสมบูรณ์ของหลักฐานทางดิจิทัล โดยทาง Orion ได้เตรียมคู่มือให้กับผู้อบรมพร้อมกับหนังสือสือรับรองจำนวนชั่วโมงในการฝึกอบรม

ระดับของหลักสูตร:

เป้าหมายของหลักสูตรคือผู้เชี่ยวชาญทางกฎหมาย ที่ต้องจัดการกับหลักฐานทางดิจิทัล  ซึ่งไม่จำเป็นต้องมีประสบการณ์มาก่อน หรือมีความรู้เรื่องคอมพิวเตอร์ โดยเนื้อหาไม่เน้นด้านเทคนิค

เนื้อหาในการอบรม

1 – Introduction to Digital Forensics แนะนำComputer  Forensics

  • Define Digital Forensics คำจำกัดความ Computer  Forensics
  • Legal Considerations การพิจารณาในทางกฎหมาย
  • Integrity of Digital Evidenceความสมบูรณ์ของหลักฐานทางดิจิทัล
4 – What Happens to Deleted Data? เกิดอะไรขึ้นกับข้อมูลที่ลบไป

  • Live Data  ข้อมูลปัจจุบัน
  • Deleted Data ข้อมูลที่ลบไป
2 – Investigation Fundamentals การตรวจสอบในขั้นพื้นฐาน

  • Best Practice Guidelines แนวทางการปฎิบัติที่ดีที่สุด
  • The Four Principles of Computer Based Evidence 4 หลักการพื้นฐานในการเก็บหลักฐานทางดิจิทัล
  • Identifying Electronic Sources of Evidence การระบุแหล่งที่มาของหลักฐานทางดิจิทัล
  • The Four Levels of Computer Data  ระดับของข้อมูลดิจิทัล 4 ระดับ
  • Types of Data ชนิดของข้อมูล
5 – Types of Digital Evidence ชนิดของหลักฐานทางดิจิทัล

  • Types of Digital Evidence
3 – Forensic Techniques / Terms Explained เทคนิคการทำ Forensics /ข้อกำหนดในการอธิบาย

  • Forensic Image การทำสำเนา forensics
  • Forensic Clone  การโคลน forensics
  • Hash Values (digital fingerprint)ค่าแฮช ลายนิ้วมือทาง ดิจิทัล
  • Forensic Acquisition Reports รายงานการได้มาซึ่งหลักฐานทางดิจิทัล
6- Understanding Digital Evidence ความเข้าใจในหลักฐานทางดิจิทัล

  • Time and Date Stamps (what you need to know)วันและเวลาที่แสตมป์(ข้อมูลที่นักตรวจสอบต้องรู้)
  • File Metadata (the hidden information)ไฟล์ เมทาดาต้า(ข้อมูลที่ซ่อนไว้ )
  • Internet History ประวัติการใช้งานอินเตอร์เน็ต

สอบถามเพิ่มเติม E-Mail : kunrisa@orioninv.co.th

 


1
Computer Forensics คือ การเก็บหลักฐาน, การค้นหา, วิเคราะห์ และการนำเสนอหลักฐานทางดิจิตอลที่อยู่ในอุปกรณ์คอมพิวเตอร์และอิเล็กทรอนิกส์ เช่น ไฟล์ที่อยู่ในคอมพิวเตอร์,อุปกรณ์อิเล็กทรอนิกส์, โทรศัพท์มือถือ รวมถึงหลักฐานดิจิตอลที่ถูกสร้างจากระบบคอมพิวเตอร์ เป็นต้น ซึ่งข้อมูลเหล่านี้สามารถนำไปใช้ระบุผู้กระทำผิดจนถึงเป็นหลักฐานในการดำเนินคดีได้ กล่าวอีกนัยหนึ่งก็คือ ใช้กระบวนการซึ่งได้จัดสร้างไว้แล้ว และเป็นที่ยอมรับ ในการที่จะระบุ, บ่งชี้, เก็บรักษา และดึงข้อมูลแบบดิจิตอลกลับออกมา ซึ่งจะมีความสำคัญตต่อสืบสวน

Compute Forensics เป็นศาสตร์ทางด้านการสืบสวนที่เกี่ยวกับคอมพิวเตอร์โดยผู้ทำการสืบสวน นั้น จะนำอุปกรณ์คอมพิวเตอร์ที่เกี่ยวข้องกับคดีหรือเรื่องที่กำลังสืบสวนมาค้นหาข้อมูล เพื่อหาเอาพยานหลักฐานสำหรับใช้ในการประกอบการสืบสวนหรือใช้ค้นหาผู้กระทำความผิดออกมา ทั้งนี้ตามวิธีการของการทำ Computer Forensics ซึ่งหลักสำคัญคือหลักฐานทางดิจิตอล นั้น จะต้องใช้วิธีการที่ ไม่มีการเปลี่ยนแปลงใดๆทั้งสิ้นแก่พยานหลักฐานดิจิตอล ต้นฉบับเดิมดังนั้นผู้ที่ทำงานด้าน Compute Forensicsจะต้องรู้กระบวนการที่ถุกต้องและใช้เครื่องมือที่มีความน่าเชื่อถือเพื่อความสมบูรณ์และถูกต้องของพยานหลักฐาน

    สิ่งที่ได้จาก Computer Forensic
– บ่งชี้ผู้ต้องสงสัยว่าเป็นผู้กระทำผิด
– บ่งชี้ผู้สมคบคิดกับผู้กระทำผิด
– บ่งชี้ websites ที่ผู้กระทำผิดเข้าไปใช้
– อีเมลที่มีการส่งและรับ
– ไฟล์ที่ได้ถูกลบทิ้งและไฟล์ที่ซ่อนอยู่
– ข้อมูลส่วนบุคคล เช่น ข้อมูลด้านการเงิน, ที่อยู่ฯลฯ
– ความสามารถและความสนใจของของบุคคลนั้นๆ
– พยานหลักฐาน การประกอบอาชญากรรมอื่นๆ

                              ในการค้นหาหลักฐานทุกครั้งนั้นผู้เชี่ยวชาญด้าน Computer Forensics จะทำการตรวจสอบข้อมูลทางอิเล็กทรอนิกส์ ที่เก็บใว้ในคอมพิวเตอร์ และ อุปกรณ์จัดเก็บข้อมูลทางดิจิตอลสำหรับหลักฐานที่ใช้แนวทางของการทำ computer Forensics ในการค้นหาหลักฐาน
ซึ่งขั้นตอนต่างๆ มีความจำเป็นที่ขั้นตอนนี้ต้องมีความชัดเจนในการในการอธิบายหลักฐานในแนวทางของ Computer Forensics
แนวทางการทำ computer Forensics เป็นวิธีการที่ไม่มีการเปลี่ยนแปลงแหล่งที่มาของหลักฐาน หรืออาจมีการเปลี่ยนแปลงน้อยที่สุดเพื่อให้ใด้หลักฐานที่ต้องการ วิธีการได้มาของหลักฐานจะถูกบันทึกเป็นเอกสารและสามารถพิสูจน์ได้

การทำ Computer Forensics สามารถแบ่งออกเป็น 5 ขั้นตอนที่สำคัญดังนี้

การเก็บรักษาหลักฐาน  เมื่อมีการจัดการกับข้อมูลทาง digital ผุ้ตรวจสอบจะต้องทำทุกอย่างเพื่อรักษาข้อมูล การรักษาข้อมูลนี้จะต้องทำในลักษณะที่จะไม่มีการเปลี่ยนแปลงข้อมูลที่พบ การกระทำในลักษณะนี้จะเกี่ยวข้องกับการทำ Forensics Images หรือ การโคลนนิ่งฮาร์ดดีสก์  ข้อมูลทาง Digital อาจเก็บไว้ใน ฮาร์ดดีสก์, CD/DVD, Floppy disks, pen drives, โทรศัพท์มือถือ ,เครื่องเล่นเพลง และเทปสำรองข้อมูล

การระบุหลักฐาน ในแต่ละปีความจุของฮารดดีสก์จะเพิ่มขึ้นเรื่อยๆ ส่งผลถึงการตรวจสอบข้อมูลอาจต้องเกี่ยวข้องกับข้อมูลจำนวนมากกว่าหนึ่งร้อยกิ๊กกะไบต์ เพื่อที่จะระบุหลักฐานที่มีคุณภาพผู้เชี่ยวชาญจะใช้เทคนิค เช่น การระบุคำในการค้นหา (keyword), แยกไฟล์ที่ต้องการค้นหา เช่น ไฟล์เอกสาร, ไฟล์รูปภาพ หรือไฟล์ประวัติการใช้งานอินเตอร์เนต

การแบ่งข้อมูล เมื่อมีการพบหลักฐาน และจำเป็นที่จะต้องนำข้อมูลออกจาก forensic image  การแสดงผลขึ้นอยู่กับปริมาณข้อมูล อาจใช้การปรินท์ออกมา แต่กรณีที่ข้อมูลมีจำนวนมาก เช่น ประวัติการใช้งานอินเตอร์เนต ซึ่งอาจมีข้อมูลมากถึง 100 หน้า ดังนั้นบางครั้งจึงต้องแสดงผลในรูปแบบของสื่ออิเล็กทรอนิกส์

การระบุหลักฐานการระบุถึงหลักฐานและการนำมาแสดงถือเป็นหน้าที่สำคัญของผู้ทำ Computer forensic การนำข้อมูลที่ถูกต้องมาแสดงถือเป็นเรื่องสำคัญมาก ผู้ทำจะต้องไม่เชื่อในผลของเครื่องมือแต่เพียงอย่างเดียวแต่จำเป็นจะต้องสามารถตรวจสอบข้อมูลที่ได้จากซอฟท์แวร์ computer forensic นั้นด้วย

หลักฐานที่ใด้ สิ่งที่สำคัญในการทำ Computer Forensics คือ การจดบันทึกการทำงานที่เกี่ยวข้องกับสื่อดิจิตอลทุกขั้นตอนตลอดการค้นหาข้อมูล บันทึกจะต้องมีข้อมูลที่เพียงพอที่จะให้บุคคลที่สามสามารถเข้าใจได้ หลักฐานสำคัญที่ได้มาจะไม่มีประโยชน์เลยถ้าไม่สามารถเขียนรายงานให้เข้าใจได้ สิ่งที่จำเป็นคือการหลีกเลี่ยงคำที่กำกวมเมื่อจำเป็นจะต้องใช้ศํพท์ทางเทคนิคซึ่งจะต้องมีการอธิบายให้เข้าใจ

หลักการสำคัญในการได้มาซึ่งหลักฐานทาง Computer Forensics

หลักการที่  1: จะต้องไม่มีการกระทำโดยหน่วยงานด้านกฎหมายหรือตัวแทนบริษัทกฎหมายที่จะทำให้เกิดการเปลี่ยนแปลงข้อมูลที่ตรวจพบในเครื่องคอมพิวเตอร์หรือสื่อจัดเก็บข้อมูลระหว่างการนำหลักฐานไปนำเสนอต่อศาล

หลักการที่  2: ในกรณีที่บุคคลใดมีความจำเป็นที่จะมีการเข้าถึงข้อมูลในคอมพิวเตอร์หรือสื่อบันทึกข้อมูลซึ่งเป็นหลักฐาน บุคคลนั้นจะต้องอธิบายถึงความเกี่ยวข้องกับข้อมูลและผลกระทบจากการกระทำนั้น

หลักการที่  3: จะต้องมีการตรวจสอบและบันทึกการดำเนินงานที่เกี่ยวข้องกับหลักฐาน ซึ่งถ้ามีบุคคลภายนอกมาเกี่ยวข้องจะต้องมีการบันทึกไว้เช่นกัน

หลักการที่ 4:  บุคคลที่รับผิดชอบในการดำเนินงาน(เจ้าหน้าดูแลกรณีนั้นโดยตรง) จะต้องรับผิดชอบต่อการกระทำเพื่อให้มั่นใจว่าจะปฎิบัตตามกฎหมายและหลักการแ Computer Forensics

หลักการของ Computer Forensics  4 ข้อ ที่นำเสนอ สามารถนำไปใช้ในคดีต่างๆ ไม่ว่าจะเป็น คดีอาญา, คดีแพ่ง หรือการสืบสวนภายในองค์กร การนำหลักการนี้จะช่วยให้ไม่เกิดคำถามในเรื่องความสมบูรณ์ของหลักฐานดิจิตอล

                 Orion Investigations

www.orionforensics.com