2011.12.30 18:07
โดย วสันต์ ลิ่วลมไพศาล @public_lewcpe
เมื่อวันที่ 14 ธันวาคมที่ผ่านมาผมได้ไปร่วมงานเสวนา “สิทธิพลเมืองกับหลักฐานอิเล็กทรอนิกส์” ที่จัดโดย Thai Netizen การพูดครั้งนั้นมีผลมากกว่าที่ผมคิด คือหนังสือพิมพ์และสื่อหลายฉบับนำข้อมูลไปอ้างอิง เช่น กรุงเทพธุรกิจ, The Nation, และเจาะข่าวตื้น ข้อมูลในงานนั้นเป็นข้อมูลที่ได้ผ่านทาง iLaw ที่นัดแนะให้ผมเข้าไปดูเอกสารสำนวนคดีที่ทางฝั่งจำเลยได้รับมา เนื่องจากเวลาในงานนั้นมีจำกัด และกลุ่มผู้ฟังไม่ใช่คนในสายวิชาการนัก ผมจึงตัดสินใจมาเขียนบทความอีกครั้งใน Blognone
บทความนี้เป็นการชี้ว่าด้วยหลักฐานเท่าที่มี มันมีความเป็นไปได้อื่น ๆ อีกจำนวนมาก และหากยึดมาตรฐานว่าหลักฐานเท่านี้เพียงพอต่อการดำเนินคดีและลงโทษ อาจจะทำให้เกิดการใส่ร้ายป้ายสีหรือการสวมรอยบุคคลอื่น ๆ ทำความผิดตามมาได้อีกมากมาย
ข้อเท็จจริงในคดี
หลายคนอ่านจากหลายที่แล้วอาจจะเจอข้อเท็จจริงไปแบบต่าง ๆ อย่างใน Blognone เอง ที่คุยกันก็มีความสับสนมาก จึงข้อไล่ข้อเท็จจริงกันก่อน
- หลักฐานข้อความคือภาพถ่ายหน้าจอโทรศัพท์จำนวน 4 ภาพ เป็นภาพถ่ายหน้าจอโทรศัพท์
- การส่งมีขึ้นในวันที่ 9, 11, 12, 22 พฤษภาคม 2553 จากหมายเลข “-3615” ในเครือข่าย DTAC เป็นหมายเลขไม่ลงทะเบียนชื่อผู้ใช้ ภายหลังตรวจพบว่ามีข้อความที่หมายเลขนี้ส่งข้อความไปมากกว่านั้น แต่ไม่มีข้อมูลว่าเป็นข้อความอะไร
- หมายเลข IMEI ที่ใช้งานกับหมายเลข -3615 นั้นคือ 358906000230110
- เจ้าหน้าที่ค้นหาว่าหมายเลข 358906000230110 มีการใช้งานกับหมายเลขใดอีกบ้าง จึงพบว่ามีการใช้งานกับหมายเลข “-4627” ในเครือข่าย True แบบไม่ลงทะเบียนผู้ใช้อีกครั้ง
- แต่จากการตรวจสอบการใช้งานของหมายเลข “-4627” พบว่ามีการติดต่อกับอีกหมายเลขหนึ่ง เป็นหมายเลขลงทะเบียน ภายหลังจึงทราบว่าเป็นหมายเลขของลูกสาวคุณอำพล
- Cell ID ของ DTAC ที่ใช้ส่ง SMS คือ Cell ID หมายเลข 23672 กินพื้นที่ซอยวัดด่านสำโรง ซอย 14 ถึง 36 โดยบ้านนายอำพลอยู่ที่ซอย 32 และ Cell ที่หมายเลข -4627 ใช้งานนั้นอยู่บริเวณเดียวกัน
- หมายเลข -3615 และ -4627 ใช้งานในเวลาใกล้เคียงกัน และไม่เคยใช้งานในเวลาเดียวกัน
- log เป็น log การใช้งานบันทึกช่วงเวลาที่มีการรับส่งต่าง ๆ โดยตลอดทั้งวันมี SMS เข้าหมายเลข -4627 เป็นช่วง ๆ ในเรื่องนี้คำพิพากษาฉบับเต็ม ได้ระบุไว้ว่าหมายเลข -4627 นั้นมีการส่ง SMS จำนวนมาก ผมไม่แน่ใจว่าเอกสารที่ผมเห็นครบถ้วนหรือไม่ แต่เท่าที่เห็นคือมีแต่การรับเท่านั้น
- ภายหลังการจับกุม เจ้าหน้าที่ได้ส่งตัวเครื่องไปเพื่อหาว่ามีการแก้หมายเลข IMEI หรือไม่ และหาข้อความที่อาจจะเหลือหลักฐานในเครื่อง แต่เครื่องเสียหายจนไม่สามารถตรวจสอบหมายเลข IMEI จากเครื่องได้ (ตรวจได้จากสติกเกอร์หลังเครื่องเท่านั้น) ทำให้ไม่สามารถตรวจหน่วยความจำในเครื่องได้อีกเช่นกัน ที่เหลือคือข้อมูลในการ์ด micro SD ที่เจ้าหน้าที่ระบุว่าได้ดัมพ์ลง CD ให้แล้ว (ไม่พบเอกสารว่ามีข้อมูลอะไรภายใน)
หมายเลข IMEI
ประเด็นว่าหมายเลข IMEI ว่าปลอมได้หรือไม่นั้น คงเป็นประเด็นที่มีการพูดกันมากแล้วว่าปลอมได้ ในบางรุ่นแทบไม่ต้องใช้เครื่องมือพิเศษใด ๆ มากไปกว่าสาย USB และซอฟต์แวร์ เท่านั้น
ประเด็นที่ควรกังวลอีกประเด็นหนึ่งคือ แม้เราจะไม่รู้หมายเลข IMEI ของคนทั่วไป เพราะไม่ได้ใช้ประโยชน์จากมัน แต่ในทางปฎิบัติแล้วหมายเลข IMEI ไม่ใช่ความลับแต่อย่างใด เครื่องส่วนมากสามารถดูหมายเลข IMEI ได้ด้วยการกด *#06# ในส่วนสติกเกอร์นั้นมักติดอยู่ใต้แบตเตอรี่ ตัวกล่องโทรศัพท์เองมักมีหมายเลข IMEI บอกไว้ภายนอกกล่อง หมายเลขนี้จะผ่านตาคนจำนวนมาก เช่น พนักงานขาย โทรศัพท์มือถือ หรือคนซ่อมโทรศัพท์ ฯลฯ ต่างจากหมายเลขที่เป็นความลับ เช่น รหัสบัตรเอทีเอ็ม ที่จะส่งมาในซองดำที่คอมพิวเตอร์ถูกออกแบบให้พิมพ์ตรงออกมายังซองปกปิด ไม่มีใครเห็นรหัส แม้แต่ตัวพนักงานผู้สั่งพิมพ์เอง
ภาพหน้าจอ
ผมเคยเขียนเรื่องนี้ไปแล้วครั้งหนึ่งว่าภาพหน้าจอไม่ใช่หลักฐาน ไม่ว่าจะเป็นการสั่งเซฟหน้าจอโดยตรง หรือเอากล้องมาถ่ายภาพหน้าจอก็ตามที ในความเป็นจริงคือเราสามารถเปลี่ยนแปลงข้อมูลภายในได้จนไม่เหลือพิรุธใด ๆ และการกระทำเช่นนี้ใช้เวลาไม่นาน
การเปลี่ยนแปลงข้อความใน SMS ที่ได้รับมาเป็นหัวข้อที่ทำได้ไม่ยากในโทรศัพท์หลายรุ่น (Nokia, Android, iPhone) เมื่อผ่านการแก้ไขด้วยกระบวนการเหล่านี้ เป็นไปไม่ได้เลยที่จะตรวจสอบความถูกต้องของข้อความว่าเป็นข้อความจริงด้วยภาพหน้าจอ
ความถูกต้องของ log การใช้งาน
ในคำพิพากษามีส่วนหนึ่งระบุถึงความถูกต้องของ log ว่ามีผลสำคัญต่อความน่าเชื่อถือ แต่หากใครทันยุคโทรศัพท์อนาล็อก (ระบบ AMPS) อาจจะจำได้ว่ายุคหนึ่งฝันร้ายของคนใช้โทรศัพท์มือถือคือการถูกจูนโทรศัพท์ ค่าใช้จ่ายจำนวนมากจากเหยื่อที่ไม่ได้ใช้งาน ทำให้เกิดข้อพิพาทระหว่างผู้ใช้กับผู้ให้บริการอยู่ต่อเนื่อง แม้แต่ในปัจจุบันนี้เอง ปัญหาการคิดค่าบริการผิด (ซึ่งก็คิดมาจาก log การใช้งานเหล่านี้) ก็ยังเป็นปัญหาสำคัญที่สบท. และกสทช. ต้องรับเรื่องแก้ไขกันเรื่อยมาจนเป็นปัญหาอันดับหนึ่งของวงการโทรคมนาคมไทย ในยุโรปเองเริ่มมีรายงานผู้ใช้ถูกจูนโทรศัพท์ในระบบ GSM กันบ้างแล้ว ปัญหาความไม่น่าเชื่อถือก็ยังอยู่กับวงการโทรคมนาคมต่อไปเหมือนที่เคยเกิดขึ้นมาก่อนหน้านี้
ในด้านความปลอดภัยนั้น การโจมตีผู้ให้บริการเพื่อให้เกิด log ที่ผิดพลาดเป็นเรื่องที่เกิดขึ้นมานานแล้ว เช่น การจูนโทรศัพท์ในระบบ GSM ที่เพิ่งมีรายงานไม่กี่วันมานี้, การโจมตีด้วย de-registration spoof ที่มีรายงานมาตั้งแต่กว่าสิบปีก่อน ทำให้ผู้ให้บริการเข้าใจว่าเครื่องปลายทางมีการปิดเครื่องไป
ช่องโหว่ของระบบ GSM นั้นมีจำนวนมาก และความผิดพลาดในการออกแบบจำนวนหนึ่งได้รับการแก้ไขไปในระบบ 3G รายงานช่องโหว่ส่วนมากปรากฏอยู่ในรายงานเชิงเทคนิคของ 3GPP (PDF) ซึ่ง 3GPP เป็นหน่วยงานออกมาตรฐานในระบบ 3G เอง
การใช้งานสลับกัน
การใช้งานสลับกันเป็นหัวข้อที่คงพูดถึงกันมากที่สุดต่อจากการปลอม IMEI ในคดีนี้คือการใช้งานสลับกัน อย่างที่ได้กล่าวในหัวข้อที่แล้วว่าการ “หลอก” ผู้ให้บริการว่าเครื่องออกจากระบบนั้นทำได้ แต่หากต้องการกระทำเช่นนั้นจริง มีวิธีที่ง่ายกว่ามากคือการรบกวนสัญญาณโทรศัพท์มือถือ
เครื่องรบกวนสัญญาณมือถือเป็นปัญหาอย่างหนึ่งในระบบการควบคุมการนำเข้าอุปกรณ์วิทยุในประเทศไทย ขณะที่การปล่อยคลื่นที่ต้องได้รับอนุญาตล่วงหน้าจากกสทช. เช่นนี้ทำไม่ได้ตามกฏหมาย แต่อุปกรณ์เหล่านี้กลับมีวางขายอยู่ทั่วไปในหลายขนาดหลายราคา ตั้งแต่ 10-100 เมตร และมีการใช้งานทั่วไปตามห้องประชุม หรือสถานที่ต่าง ๆ
การที่ log ไม่แสดงว่ามีการใช้งานทับช่วงเวลากัน แล้วถือว่า log เช่นนั้นเป็นการยืนยันว่าข้อความถูกส่งออกมาจากเครื่องเดียวกันจริง ทั้งที่ไม่สามารถตรวจสอบจากตัวเครื่องได้ จะสร้างคำถาม และเปิดช่องให้มีการโจมตีกันได้อีกมาก เช่น หากมีคนมีความตั้งใจจะโจมตีใส่ร้ายผู้อื่นว่าเป็นผู้กระทำความผิด เขาต้องการเพียงรู้หมายเลข IMEI แล้วจัดหาเครื่องตัดสัญญาณที่แรงพอ เดินออกไปนอกเขตทำการของเครื่องตัดสัญญาณแล้วใช้เครื่องที่ปลอมแปลงมาส่งข้อความออกไป ทั้งหมดไม่ต้องแตะต้องเครื่องที่ถูกโจมตีหรือใช้ความรู้พิเศษไปกว่าความรู้ทั่วไปที่ช่างซ่อมโทรศัพท์ทั่วไปสามารถทำได้
การพิสูจน์ตัวตน
ด้วยข้อสงสัยทั้งหมด ผมยังคงตั้งคำถามว่าหากเราสามารถหาหลักฐานยืนยันได้อย่างชัดเจนว่าเครื่องที่ใช้กระทำความผิดนั้นเป็นเครื่องที่จับกุมได้จริง เจ้าหน้าที่ควรต้องหาหลักฐานยืนยันตัวผู้กระทำเพิ่มเติมหรือไม่ ก่อนหน้านี้คดีทางคอมพิวเตอร์ เจ้าหน้าที่เคยระมัดระวังในเรื่องพิสูจน์ตัวบุคคลถึงกับซุ่มจับขณะที่ใช้งานคอมพิวเตอร์หน้าเครื่อง แม้จะมีประเด็นคำถามอื่น ๆ ต่อความถูกต้องในการจับกุมว่าผู้ต้องหาได้รับสิทธิต่าง ๆ อย่างครบถ้วนหรือไม่ แต่คำถามว่าเกิดอะไรขึ้นกับมาตรฐานการพิสูจน์ตัวตนผู้กระทำความผิดที่คดีนี้ใช้เพียง log ที่ชี้ไปยังโทรศัพท์เครื่องหนึ่งเท่านั้น
คำถามสำคัญต่อเจ้าหน้าที่ในเรื่องนี้คือมาตรฐานของหลักฐานว่าเพียงพอต่อการดำเนินคดีหรือไม่นั้นอยู่ตรงไหน และคำถามสำคัญต่อสังคมคือเราจะเอามาตรฐานนี้จริงๆ หรือเปล่า?
บทความนี้ตีพิมพ์ครั้งแรกที่เว็บไซต์ Blognone
Tags: digital forensics, electronic evidence, mobile phones, Wason Liwlompaisan