Posts Tagged ‘Computer Forensics Specialist’


shutterstock_172999892

การเปลี่ยนแปลงทางสังคมเข้าสู่ยุคสารสนเทศ จากเดิมที่เราสื่อสารโดยการพึ่งพาภาษา และตัวหนังสือเป็นหลักมาเป็นการสื่อสารด้วยภาษาอิเล็กทรอนิกส์ซึ่งมีประสิทธิภาพในการประมวลผล ปัจจุบันจึงมีการกำหนดให้สื่ออิเล็กทรอนิกส์ใช้เป็นพยานหลักฐานได้ในการพิจารณาคดี นอกจากพยานวัตถุ พยานเอกสาร หรือพยานบุคคล และพยานนิติวิทยาศาสตร์ ซึ่งน่าจะพิสูจน์ได้ว่าจำเลยมีผิดหรือบริสุทธิ์ ให้อ้างเป็นพยานหลักฐานได้แล้วในส่วนการจัดประเภทพยานหลักฐานนั้น ข้อมูลอิเล็กทรอนิกส์แม้จะมีลักษณะเป็นพยานเอกสารและพยานวัตถุ แต่ก็มีลักษณะพิเศษแตกต่างจากพยานเอกสารและพยานวัตถุทั่วไปในการนำสืบจึงต้องมีวิธีการพิเศษโดยเฉพาะการยอมรับให้ข้อมูลอิเล็กทรอนิกส์เป็นพยานอีกประเภทหนึ่งจึงมีความเหมาะสมมากกว่าเมื่อจัดข้อมูลอิเล็กทรอนิกส์เป็นพยานหลักฐานอีกประเภทหนึ่งแล้ว ข้อที่ต้องพิจารณาต่อมาก็คือ จะต้องมีวิธีการนำสืบและหลักในการรับฟังอย่างไร และจะนำบทตัดพยานได้แก่ หลักการรับฟังพยานหลักฐานที่ดีที่สุด และหลักการรับฟังพยานบอกเล่า มาใช้ด้วยหรือไม่กรณีของวิธีการนำสืบนั้น ควรกำหนดให้ผู้กล่าวอ้างต้องดำเนินการเหมือนกันกับพยานหลักฐานประเภทอื่น คือ ต้องยื่นบัญชีระบุพยานที่เกี่ยวข้อง  (Chain of Custody ) มีลายเซ็นผู้ที่เกี่ยวข้อง เช่น คนรับเครื่อง คนอนุญาติ วันและเวลา มีการส่งสำเนาพยานหลักฐานที่จะอ้างอิงให้แก่คู่ความอีกฝ่าย

การรับฟังพยานหลักฐานอิเล็กทรอนิกส์นั้นมีหลักกฎหมายสำคัญ 3 ประการใช้ในการพิจารณา พยานหลักฐานอิเล็กทรอนิกส์นั้นสามารถยืนยันความแท้จริง (Authentication) ได้อย่างเหมาะสมหรือไม่

ความแท้จริงของเอกสารประกอบด้วย
1. เนื้อหาของเอกสารไม่ได้ถูกเปลี่ยนแปลง
2. ข้อมูลในเอกสารเป็นไปตามเจตนาที่แท้จริงของผู้สร้างเอกสารนั้น ทั้งนี้ไม่ว่าผู้สร้างเอกสารจะเป็นมนุษย์ หรือคอมพิวเตอร์
3. ข้อมูลพิเศษในเอกสาร อันได้แก่ วันเดือนปีที่ถูกสร้าง นั้นถูกต้อง

 ในปัจจุบันศาลไทยได้ให้การยอมรับและรับฟังพยานหลักฐานทางคอมพิวเตอร์ ดังเช่นในคำพิพากษาศาลฎีกาที่ 7264/2542 ซึ่งวางหลักว่า พยานหลักฐานทางคอมพิวเตอร์สามารถรับฟังได้ ซึ่งอาจรับฟังได้ในฐานะที่เป็นพยานเอกสารในกรณีที่มีการปรินท์ แล้วนำผลลัพธ์ที่ได้มานำเสนอ ซึ่งในแนวทางการรับฟังพยานหลักฐานชนิดนี้ของศาลนั้นจะต้องปรากฏว่าระบบการบันทึกการสร้าง การเก็บรักษา และการเรียกข้อมูล หรือการใช้งานของคอมพิวเตอร์นั้นเป็นปกติเช่นที่เคยทำมา ไม่มีสิ่งที่ผิดเพี้ยนหรือบิดเบือน ก็น่าเชื่อถือว่าเป็นข้อมูลที่ถูกต้องได้  ดังนั้น ปัญหาในการรับฟังพยานหลักฐานของศาลนั้น จึงอาจกล่าวได้ว่ามิใช่สิ่งที่เป็นอุปสรรคต่อการดำเนินคดีหรือการค้นหาความจริงแล้ว

การใช้พยานเอกสารข้อมูลทางอิเล็กทรอนิกส์นั้นสามารถอ้างอิงเป็นพยานหลักฐานต่อศาล ตาม พ.ร.บ.ศาลจะไม่ปฏิเสธการรับฟังข้อมูลนั้นเพราะเหตุว่าเป็นข้อมูลทางอิเล็กทรอนิกส์ แต่ข้อมูลดังกล่าวจะมีความน่าเชื่อถือรับฟังในเนื้อหาสาระได้หรือไม่นั้น เป็นดุลยพินิจของศาลซึ่งเป็นผู้รับฟังข้อมูลในการชั่งน้ำหนักพยานเอง โดยใช้หลักเกณฑ์ความน่าเชื่อถือตามที่กำหนดไว้ในมาตรา 10 วรรคสอง (พ.ร.บ.ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544) เป็นเกณฑ์ในการพิจารณา ข้อเสนอแนะ จำเป็นต้อง มีการอบรมและให้ความรู้ขั้นสูงทางด้านความปลอดภัยของข้อมูล (Information Security) การปรับเปลี่ยนทัศนคติ ค่านิยมเดิมๆ ความเคยชิน ในระบบพยานหลักฐานของไทย ตามบทบัญญัติของประมวลกฎหมายวิธีพิจารณาความแพ่ง ซึ่งนำไปใช้ในวิธีพิจารณาความอาญาด้วยนั้น  จะเป็นระบบของพยานบุคคล พยานเอกสาร พยานวัตถุ และพยานผู้เชี่ยวชาญหรือผู้ชำนาญการพิเศษ ซึ่งมิได้ออกแบบไว้สำหรับพยานหลักฐานทางคอมพิวเตอร์หรืออิเล็กทรอนิกส์ จึงควรปรับเปลี่ยนเพราะเนื่องจากเป็นเรื่องจำเป็นสำหรับพนักงานสอบสวนตลอดจนผู้ที่เกี่ยวข้องในกระบวนการยุติธรรมจนถึงขั้นศาลทาง โอไร้อั้นใด้ร่วมมือกับศาลศัพท์สินทางปัญญา ศาลแพ่ง ศาลอาญา ในการให้ความสำคัญเรื่องฝึกอบรมเจ้าหน้าที่จากศาลและผู้ที่เกี่ยวข้องดังกล่าวในเรื่อง Computer Forensics)  ให้พร้อมรับกับความสำคัญของการทำ Computer Forensicsและ หลักฐานทางดิจิตอลที่ได้รับการยอมรับจากศาล ซึ่งสอดคล้องกับกฎหมายอาชญากรรมคอมพิวเตอร์ที่กำลังจะถูกนำมาใช้ในประเทศไทยเพื่อปราบเหล่าอาชญากรคอมพิวเตอร์ที่นับวันจะเพิ่มมากขึ้น และรูปแบบคดีก็ทวีความซับซ้อนมากขึ้นเช่นกัน ความเข้าใจและความรู้จริงด้าน Computer Forensics และ Investigations จะทำให้ผู้ที่เกี่ยวข้องในกระบวนการยุติธรรมสามารถนำกฎหมายมาบังคับใช้ได้อย่างมีประสิทธิภาพในที่สุด

พ.ร.บ. ว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2544 มาตราที่7-25

หมวด 1 ธุรกรรมทางอิเล็กทรอนิกส์
มาตรา 7ห้ามมิให้ปฏิเสธความมีผลผูกพันและการบังคับใช้ทางกฎหมายของข้อความใด เพียงเพราะเหตุที่ข้อความนั้นอยู่ในรูปของข้อมูลอิเล็กทรอนิกส์
มาตรา 8 ภายใต้บังคับบทบัญญัติแห่ง มาตรา 9 ในกรณีที่กฎหมายกำหนดให้การใดต้องทำเป็นหนังสือ มีหลักฐานเป็นหนังสือ หรือมีเอกสารมาแสดง ถ้าได้มีการจัดทำข้อความขึ้นเป็นข้อมูลอิเล็กทรอนิกส์ที่สามารถเข้าถึงและนำกลับมาใช้ได้โดยความหมายไม่เปลี่ยนแปลง ให้ถือว่าข้อ ความนั้นได้ทำเป็นหนังสือ มีหลักฐานเป็นหนังสือ หรือมีเอกสารมาแสดงแล้ว
มาตรา 9 ในกรณีที่บุคคลพึงลงลายมือชื่อในหนังสือ ให้ถือว่าข้อมูลอิเล็กทรอนิกส์นั้นมีการลงลายมือชื่อแล้ว ถ้า
(1) ใช้วิธีการที่สามารถระบุตัวเจ้าของลายมือชื่อ และสามารถแสดงได้ว่าเจ้าของลายมือชื่อรับรองข้อความในข้อมูลอิเล็กทรอนิกส์นั้นว่าเป็นของตน
(2) วิธีการดังกล่าวเป็นวิธีการที่เชื่อถือได้โดยเหมาะสมกับวัตถุประสงค์ของการสร้าง หรือส่งข้อมูลอิเล็กทรอนิกส์ โดยคำนึงถึงพฤติการณ์แวดล้อมหรือข้อตกลงของคู่กรณี
มาตรา 10 ในกรณีที่กฎหมายกำหนดให้นำเสนอหรือเก็บรักษาข้อความใดในสภาพที่เป็นมาแต่เดิมอย่างเอกสารต้นฉบับถ้าได้นำเสนอหรือเก็บรักษาในรูปข้อมูลอิเล็กทรอนิกส์ตามหลักเกณฑ์ดังต่อไปนี้ ให้ถือว่าได้มีการนำเสนอหรือเก็บรักษาเป็นเอกสารต้นฉบับตามกฎหมายแล้ว
(1) ข้อมูลอิเล็กทรอนิกส์ได้ใช้วิธีการที่เชื่อถือได้ในการรักษาความถูกต้อง ของข้อความตั้งแต่การสร้างข้อความเสร็จสมบูรณ์ และ
(2) สามารถแสดงข้อความนั้นในภายหลังได้
ความถูกต้องของข้อความตาม (1) ให้พิจารณาถึงความครบถ้วนและไม่มีการเปลี่ยนแปลงใดของข้อความ เว้นแต่การรับรองหรือบันทึกเพิ่มเติม หรือการเปลี่ยนแปลงใด ๆ ที่อาจจะเกิดขึ้นได้ตามปกติในการติดต่อสื่อสาร การเก็บรักษา หรือการแสดงข้อความซึ่งไม่มีผลต่อความถูกต้องของข้อความนั้น
ในการวินิจฉัยความน่าเชื่อถือของวิธีการรักษาความถูกต้องของข้อความตาม (1) ให้พิเคราะห์ถึงพฤติการณ์ที่เกี่ยวข้องทั้งปวงรวมทั้งวัตถุประสงค์ของการสร้างข้อความนั้น
มาตรา 11 ห้ามมิให้ปฏิเสธการรับฟังข้อมูลอิเล็กทรอนิกส์เป็นพยานหลักฐาน ในกระบวนการพิจารณาตามกฎหมายเพียงเพราะเหตุว่าเป็นข้อมูลอิเล็กทรอนิกส์ในการชั่งน้ำหนักพยานหลักฐานว่าข้อมูลอิเล็กทรอนิกส์จะเชื่อถือได้หรือไม่เพียงใดนั้น ให้พิเคราะห์ถึงความน่าเชื่อถือของลักษณะหรือ วิธีการที่ใช้สร้าง เก็บรักษา หรือสื่อสารข้อมูลอิเล็กทรอนิกส์ ลักษณะ หรือวิธีการรักษา ความครบถ้วน และไม่มีการเปลี่ยนแปลงของ ข้อความ ลักษณะหรือวิธีการ ที่ใช้ในการระบุหรือแสดงตัวผู้ส่งข้อมูล รวมทั้งพฤติการณ์ที่เกี่ยวข้องทั้งปวงมาตรา 12 ภายใต้บังคับบทบัญญัติ มาตรา 10 ในกรณีที่กฎหมายกำหนดให้เก็บรักษาเอกสารหรือข้อความใด ถ้าได้เก็บรักษาในรูปข้อมูลอิเล็กทรอนิกส์ตามหลักเกณฑ์ดังต่อไปนี้ ให้ถือว่าได้มีการเก็บรักษาเอกสารหรือข้อความตามที่กฎหมายต้องการแล้ว
(1) ข้อมูลอิเล็กทรอนิกส์นั้นสามารถเข้าถึงและนำกลับมาใช้ได้โดยความหมายไม่เปลี่ยนแปลง
(2) ได้เก็บรักษาข้อมูลอิเล็กทรอนิกส์นั้นให้อยู่ในรูปแบบที่เป็นอยู่ในขณะที่สร้าง ส่ง หรือได้รับข้อมูลอิเล็กทรอนิกส์นั้น หรืออยู่ในรูปแบบที่สามารถแสดงข้อความที่สร้าง ส่ง หรือได้รับให้ปรากฏอย่างถูกต้องได้ และ
(3) ได้เก็บรักษาข้อความส่วนที่ระบุถึงแหล่งกำเนิด ต้นทาง และปลายทางของข้อมูลอิเล็กทรอนิกส์ ตลอดจนวันและเวลาที่ส่งหรือได้รับข้อความดังกล่าว ถ้ามีมาตรา 25 ธุรกรรมทางอิเล็กทรอนิกส์ใดที่ได้กระทำตามวิธีการแบบปลอดภัยที่กำหนดในพระราชกฤษฎีกา ให้สันนิษฐานว่าเป็นวิธีการที่เชื่อถือได้

www.orionforensics.com

Advertisements

About the Author

Andrew Smith – Director of Computer Forensic Services, Orion Investigations  

Andrew is responsible for the management of the Orion Computer forensic Unit. His responsibilities include ensuring the unit operates to the highest international standards, business development and the development and delivery of training for clients and staff. Andrew is an experienced forensic investigator with extensive training and comprehensive experience in relation to criminal, corporate, malware and counter terrorism investigations within the UK and Europe. He has worked in the public sector with the South Yorkshire Police where he received his initial training in computer forensics and also in the private sector with a leading UK computer forensics company. He is also an experienced trainer having developed UK Law Society approved training courses and delivered master degree level forensic training. With nearly ten years’ experience in the field of computer forensics Andrew has regularly appeared in court as an expert witness to present complex computer evidence.

Read More ….http://www.orionforensics.com/PDF/Why%20is%20Computer%20Forensics%20Important%20to%20your%20Organisation.pdf


A bit-stream image  หรือ Image File Evidences  คือ การก๊อปปิ้ข้อมูลแบบละเอียดที่สุด แบบบิตต่อบิตซึ่งเป็นหน่วยที่เล็กที่สุดของฮาร์ดดิสก์ A bit-stream image จะก๊อปปิ้ข้อมูลทั้งหมดของฮาร์ดดีสก์ รวมถึงข้อมูลที่ซ่อนอยู่และโครงสร้างของระบบ bit-stream image สามารถเปิดได้โดยซอฟแวร์ทางด้าน Computer Forensics เช่น ซอฟแวร์ Encase ,FTK, PRODiscover ซึ่งการก๊อปปิ้ข้อมูลแบบ bit-stream image จะไม่ทำให้ข้อมูลต้นฉบับเปลี่ยนแปลง

ผู้เชี่ยวชาญด้าน Computer Forensics จะทำ bit-stream image โดยการต่อฮาร์ดดีสก์ต้นฉบับเข้ากับอุปกรณ์ที่ป้องกันการเปลี่ยนแปลงข้อมูล (write protection device) เพื่อให้แน่ใจว่าจะเกิดการเปลี่ยนแปลงข้อมูลที่ฮาร์ดดีสก์ต้นฉบับระว่างทำ bit-stream image

ปรึกษาผู้เชี่ยวชาญด้าน Computer Forensics Thaiand 02-714-3801-3

E-Mail address: forensics@orionforensics.com

www.orionforensics.com


          หลักฐานอิเล็กทรอนิกส์และหลักฐานทางดิจิตอล รวมไปถึงการรวบรวมข้อมูลต่างๆที่ถุกจัดเก็บอยู่ในระบบคอมพิวเตอร์ เช่น ไฟล์ของระบบ, ซอร์สโคดของโปรแกรม , รายละเอียดของโปรแกรมคอมพิวเตอร์, รายละเอียดของเครื่องคอมพิวแตอร์ เป็นต้น และในปัจจุบันนี้ การเชื่อมโยงของระบบเครือข่ายและเทคโนโลยีคอมพิวเตอร์ ทำให้โลกไร้พรมแดนดังนั้นหลักฐานทางคอมพิวเตอร์จึงเกิดขึ้นได้ จากการใช้งานระบบเครือข่ายคอมพิวเตอร์ ทั่ได้จาก ไฟล์ที่มีความสำคัญในการจัดระเบียนบุคคลรายชื่อลูกค้าจากข้อมูลทางการเงิน, อีเมลล์ที่ส่งผ่านทางอินเทอร์เน็ตและการใช้ระบบอินทราเน็ตในองค์กร, บันทึกการทำงานของคอมพิวเตอร์และการติดต่อสื่อสารทางอีเมลล์

มีหลายกรณีที่ผู้ต้องสงสัยลบหลักฐานทิ้ง เพื่อทำลายหลักฐานที่จำเป็นในการทำComputer Forensics แต่หลักฐานต่างๆจะยังไม่ถูกลบทั้งเลยทีเดียวซึ่งจะยังคงค้างอยู่ในฮาร์ดดีสก์ อย่างไรก็ตามการกู้ช้อมูลนั้นคืนมา ต้องใช้ทักษะและความเชี่ยวชาญในการกู้ข้อมูล ผู้เชี่ยวชาญของเราสามารภเข้าสู่ระบบได้อย่างปลอดภัยในคอมพิวเตอร์ และตรวจสอบว่าข้อมูลมีการแก้ไข ลบ หรือทำให้เกิดความเสียหายหรือไม่ ซึ่งขึ้นอยู่กับความสนใจ เช่น ข้อความที่ต้องการค้นหา ตัวเลขหรือคีย์เวิร์ด, วิเคราะห์และตรวจสอบวันที่มีการสร้างและใช้ไฟล์ข้อมูล, ตรวจสอบว่ามีการเปิดเผยข้อมูลที่เป็นความลับขององค์กรหรือไม่

 

Mail us:forensics@orionforensics.com

Call us:02-714-3801-4

www.orionforensics.com


           Computer forensics คือ  การรวบรวมและวิเคราะห์หลักฐานที่ถูกสร้างขึ้นเพื่อนำเสนอข้อเท็จจริง ซึ่งสามารถนำไปใช้ในการดำนเนินตามกฎหมายได้    Computer Forensics   หรือ IT Forensics เป็นส่วนหนึ่งของ การทำ Computer Forensics โดยเกี่ยวข้อง กับการตรวจสอบหลักฐานทางคอมพิวเตอร์ ที่เกี่ยวข้องกับอุปการณ์ทางคอพพิวเตอร์ สื่อการจัดเก็บข้อมูลต่างๆผ่านทางคอมพิวเตอร์ โดยวิธีการเทคนิคพิเศษในการค้นหาหลักฐานซึ่งอาจนำมาใช้ในการระบุผู้กระทำผิดหรือกิจกรรมต่างๆที่ไม่ได้รับอนุญาติ
shutterstock_115174927 - Copy

Who needs or who uses Computer Forensic Services?

        โดยปรกติทั่วไปทางตำรวจหรือผู้เชี่ยวชาญด้านสาขานั้นเฉพาะจะขอให้ผู้เชี่ยวชาญด้าน Computer Forensics   สืบสวนการอาญชกรรมทางคอมพิวเตอร์ หรืออาญชกรรมใดก็ตามที่มีหลักฐานที่ได้รับการจัดเก็บหรือรับส่งในระบบคอมพิวเตอร์ ซึ่งบ่อยครั้ง คนที่มีส่วนร่วมในการให้บริการทาง computer forensics  ที่พบการละเมิดในความปลอดภัยของข้อมูลในเครือข่ายหรือองค์กร ที่ต้องการตรวจสอบพนักงานในองค์กรที่ไม่ปฎิบัติตามกฎระเบียบที่องค์กรที่วางไว้  ข้อมูลสำคัญของบริษัทรั่วใหลผ่านทางคอมพิวเตอร์ เช่น การส่งผ่านทางอีเมลย์ หรือการเล่นเกมระหว่างชั่วโมงทำงาน
เราจะมาติดตามกันต่อไปคะว่า ทำไมจึงต้องทำ Computer Forensics