2015.10.21 17:41
เมื่อวันที่ 18 ต.ค.58 ที่ผ่านมา มูลนิธิเพื่ออินเทอร์เน็ตและวัฒนธรรมพลเมือง ร่วมกับไอลอว์ และศูนย์ทนายเพื่อสิทธิมนุษยชน จัดบรรยายสาธารณะว่าด้วยหลักฐานทางอิเล็กทรอนิกส์และการตรวจพิสูจน์พยานหลักฐานดิจิทัล (ครั้งที่ 2) ในหัวข้อ “กระบวนการแสวงหาและพิสูจน์พยานหลักฐานดิจิทัลเชิงเทคนิค” โดยกิตติพงษ์ ปิยะวรรณโณ ณ คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ ท่าพระจันทร์
กิตติพงษ์ ปิยะวรรณโณ
ในการบรรยาย กิตติพงษ์กล่าวว่า ปัจจุบันคนพึ่งพาอินเทอร์เน็ตและเทคโนโลยีมากขึ้น ทำให้อาชญากรเริ่มลดการประกอบอาชญากรรมแบบเดิมไปสู่แบบใหม่ที่เรียกว่า “อาชญากรรมไซเบอร์” (cybercrime) เนื่องจากมีต้นทุนและความเสี่ยงน้อยกว่าการประกอบอาชญากรรมแบบเดิม
เขากล่าวว่า อาชญากรรมไซเบอร์สามารถทำได้จากทุกที่บนโลก โดยที่ผ่านมา ประเทศไทยเคยเป็นที่ที่อาชญากรนิยมใช้เป็นฐานกระทำความผิด เพราะก่อนหน้านี้ประเทศไทยมีระบบซิมการ์ดที่ไม่จำเป็นต้องลงทะเบียน ทำให้อาชญากรไม่ต้องแสดงตัวตน อาชญากรรมไซเบอร์ยังมีต้นทุนต่ำ ผลตอบแทนสูง และในการประกอบอาชญากรรม อาชญากรมักใช้โปรแกรมอัตโนมัติ โดยผู้กระทำการเพียงแต่เป็นผู้ลงมือเปิดให้โปรแกรมทำงานเท่านั้น นอกจากนี้ อาชญากรต้องเป็นผู้เชี่ยวชาญในเรื่องไอที อาชญากรรมแบบนี้ยังไม่ทิ้งร่องรอยทางกายภาพเอาไว้ โดยทิ้งไว้แต่ร่องรอยทางอิเล็กทรอนิกส์เท่านั้น และถ้าผู้กระทำผิดมีความเชี่ยวชาญก็สามารถลบร่องรอยนั้นได้
สำหรับการสืบค้นพยานหลักฐานดิจิทัลนั้น กิตติพงษ์กล่าวว่าต้องสืบค้นไปที่ 3 จุดด้วยกัน ได้แก่ ตัวอุปกรณ์ของผู้กระทำความผิด ข้อมูลการเชื่อมต่อที่อยู่ที่ผู้ให้บริการ และสืบค้นไปที่ผู้ให้บริการด้านเนื้อหา (เช่น เฟซบุ๊ก กูเกิล) เขากล่าวว่า การสืบค้นพยานหลักฐานดิจิทัลในประเทศไทย เจ้าหน้าที่มักเน้นสืบค้นไปที่ตัวอุปกรณ์เท่านั้น ซึ่งจะทำให้ได้ข้อมูลไม่ครบถ้วน
กิตติพงษ์กล่าวว่า จุดประสงค์ในการสืบค้นพยานหลักฐานดิจิทัลคือเพื่อสืบให้รู้ว่า ผู้กระทำผิดคือใคร ทำผิดอะไร เมื่อไหร่ ที่ไหน และอย่างไร โดยส่วนที่พิสูจน์ได้ยากที่สุดคือ การระบุว่าผู้กระทำผิดคือใคร เนื่องจากพยานหลักฐานดิจิทัลจะบอกได้เพียงว่า “อุปกรณ์เครื่องใด” เป็นอุปกรณ์ที่ใช้กระทำความผิด แต่การจะโยงผู้ใช้งานอุปกรณ์นั้นต้องอาศัยพยานหลักฐานแวดล้อมประกอบ
ส่วนลักษณะการกระทำความผิดนั้นแบ่งเป็น 4 ประเภท ได้แก่
1. การกระทำผิดต่อเนื้อหา
2. การโจรกรรมข้อมูล (spionage)
3. การทำลายระบบ (sabotage)
4. การฉ้อโกงโดยใช้คอมพิวเตอร์เป็นเครื่องมือ (fraud)
โดยความผิดต่างลักษณะกันย่อมต้องการแนวทางการสืบค้นที่ต่างกันด้วย
ต่อมา เมื่อสืบทราบลักษณะการกระทำความผิดแล้ว สิ่งที่ต้องสืบต่อไปคืออาชญากรใช้ “วิธีการ” ใดในการกระทำความผิด โดยกิตติพงษ์กล่าวถึงวิธีการกระทำความผิดว่ามีตั้งแต่
- การทำ Social Hacking หรือการใช้วิธีการทางสังคมเพื่อเข้าสู่ระบบ ได้แก่ แอบดูชื่อบัญชีและรหัสผ่าน การยืมใช้คอมพิวเตอร์ของผู้อื่นในการกระทำผิด วิธีนี้ไม่ได้เป็นการกระทำต่อตัวระบบ แต่เป็นการกระทำต่อตัวบุคคล ซึ่งส่วนมากมีสาเหตุมาจากความผิดพลาดของมนุษย์ วิธีป้องกันคือต้องกำหนดมาตรฐานการทำงาน
- การทำ Brute Force Attack คือการสุ่มรหัสผ่าน “ทุกความเป็นไปได้” จนกว่าจะเจาระบบได้ โดยเริ่มจากรหัสผ่านที่ ง่ายก่อน อาชญากรจะใช้โปรแกรมที่ทำงานอัตโนมัติในการสุ่ม และอาจใช้คอมพิวเตอร์ของผู้อื่นที่ตนสามารถควบคุมได้จากทางไกล (หรือที่เราเรียกว่าเครื่องคอมพิวเตอร์ “ซอมบี้”) ในการช่วยสุ่มเพื่อให้สามารถเจาะระบบได้เร็วขึ้น วิธีป้องกันคือตั้งรหัสผ่านที่แข็งแรง
- การโจมตีแบบ DDoS (Distributed Denied of Service) คือการเข้าใช้บริการพร้อมกันครั้งละมากๆ จนระบบไม่สามารถให้บริการได้ วิธีนี้เป็นที่นิยมเพราะง่ายและมีประสิทธิผล กิตติพงษ์กล่าวว่า การโจมตีแบบนี้มีเป้าหมายเดียวคือเพื่อทำลายระบบ และไม่มีทางแก้ไข มีแต่เพียงการบรรเทาเท่านั้น
- การ Sniffing หรือการดักจับข้อมูล ผู้โจมตีมักดักจับข้อมูลผ่านระบบไวไฟเพราะเข้าถึงได้ง่าย และปัจจุบันมีซอฟต์แวร์บางชนิดที่สามารถดักจับข้อมูลคอมพิวเตอร์เครื่องอื่นได้ อาทิ โปรแกรม Wireshark ซึ่งไม่ผิดกฎหมาย เพราะจัดว่าเป็นเครื่องมือสำหรับวิเคราะห์ระบบเครือข่าย
- การโจมตีแบบ Man in the Middle คือการที่ผู้โจมตีเข้าไปอยู่ตรงกลางการเชื่อมต่อระหว่างผู้ใช้งานกับเครืองแม่ข่าย แล้วทำตัวเสมือนว่าตนเป็นเครื่องแม่ข่าย ซึ่งวิธีการนี้โจมตีได้ทุกเป้าหมาย แม้ว่าเราจะเข้ารหัสข้อมูลแล้วก็ตาม
สำหรับแนวทางในการสืบค้นพยานหลักฐานอิเล็กทรอนิกส์นั้น ขึ้นอยู่กับลักษณะการกระทำความผิด หากลักษณะการกระทำความผิดต่างกัน แนวทางในการสืบค้นพยานหลักฐานก็ต้องต่างกันด้วย
โดยการสืบค้นพยานหลักฐานดิจิทัลของการกระทำผิดต่อเนื้อหา เริ่มตั้งแต่ยืนยันข้อมูลการกระทำความผิดจากเซิร์ฟเวอร์หรือขอประวัติข้อมูล ในกรณีที่ข้อมูลการกระทำผิดถูกลบไปแล้ว ก่อนจะโยงข้อมูลจากเซิร์ฟเวอร์ไปยังผู้กระทำผิดโดยใช้ข้อมูลอื่นๆ ในเซิร์ฟเวอร์เพิ่มเติม จากนั้นก็ยึดอุปกรณ์ที่ต้องสงสัย ซึ่งขั้นตอนนี้กิตติพงษ์ย้ำว่าต้องทำตามมาตรฐาน กระบวนการดังกล่าวควรทำหลังจากได้รวบรวมพยานหลักฐานอื่นๆ เรียบร้อยแล้ว เนื่องจากกระบวนการในขั้นตอนนี้เป็นกระบวนการที่เปราะบางมากและอาจส่งผลต่อรูปคดีได้ และสุดท้ายคือ วิเคราะห์บันทึกข้อมูลจากจราจรจากผู้ให้บริการเพื่อยืนยันตัวตนและเชื่อมโยงระหว่างผู้ต้องสงสัยและผู้กระทำผิด
กิตติพงษ์เสริมด้วยว่า การตรวจค้นอุปกรณ์ไม่ควรเปิดจากอุปกรณ์โดยตรง แต่ค้นหาจากข้อมูลที่ทำสำเนามา เพื่อป้องกันการแอบเพิ่มเติมข้อมูลเข้าไปภายหลัง เขายังกล่าวด้วยว่า ภาพหน้าจอ (capture) ไม่ถือเป็นหลักฐานที่มีความน่าเชื่อถือเพราะปลอมแปลงได้ง่าย ควรใช้ข้อมูลจากเซิร์ฟเวอร์เป็นหลักและอาจใช้ภาพหน้าจอประกอบเท่านั้น
ส่วนการสืบค้นพยานหลักฐานของการโจรกรรมข้อมูลและการฉ้อโกงนั้น ควรสืบค้นลักษณะและวิธีการกระทำความผิดจากเซิร์ฟเวอร์ อันได้แก่ ข้อมูลบันทึกการทำงาน (log) (เช่น ในเว็บเซิร์ฟเวอร์ ในไฟร์วอลล์) ควรนำข้อมูลบันทึกการทำงานย้อนหลังมาวิเคราะห์ประกอบด้วย นอกจากนี้ ควรวิเคราะห์ข้อมูลบันทึกการทำงานของทั้งผู้ให้บริการและเซิร์ฟเวอร์ประกอบกัน และตรวจค้นข้อมูลบนอุปกรณ์ของผู้ต้องสงสัย
กิตติพงษ์กล่าวว่า การตรวจค้นข้อมูลบนอุปกรณ์ผู้ต้องสงสัยโดยมากมักไม่พบข้อมูลเกี่ยวกับการกระทำความผิด เพราะคนเหล่านี้คือผู้ที่มีความเชี่ยวชาญด้านไอที อย่างไรก็ตาม เราอาจพบซอฟต์แวร์เฉพาะทางที่ใช้ในการกระทำผิด และเชื่อมโยงเครื่องมือดังกล่าวกับหลักฐานที่ได้จากเซิร์ฟเวอร์
ส่วนการสืบค้นพยานหลักฐานของการพยายามทำลายระบบ (sabotage) ทำได้โดยตรวจข้อมูลบันทึกการทำงานของผู้ให้บริการและอุปกรณ์เครือข่าย (เช่น ไฟร์วอลล์ เราท์เตอร์) ซึ่งจะเป็นแหล่งสำคัญในการสืบค้นผู้กระทำความผิดเนื่องจากเซิร์ฟเวอร์มักถูกทำลายไปแล้วทั้งหมดหรือบางส่วน ส่วนขั้นตอนการตรวจค้นอุปกรณ์ผู้ต้องสงสัยนั้นเป็นแบบเดียวกันกับการตรวจค้นการโจรกรรมข้อมูล อนึ่ง ข้อมูลบนเครื่องเซิร์ฟเวอร์ที่ถูกโจมตีจะมีความน่าเชื่อถือต่ำ เนื่องจากผู้โจมตีเข้าควบคุมได้แล้ว
“โปรแกรมบรรยายสาธารณะว่าด้วยหลักฐานทางอิเล็กทรอนิกส์และการตรวจพิสูจน์พยานหลักฐานดิจิทัล” ยังมีอีก 4 ครั้ง ดูรายละเอียด
