Thai Netizen Network

บรรยายสาธารณะ “กระบวนการแสวงหาและพิสูจน์พยานหลักฐานดิจิทัลเชิงเทคนิค”

เมื่อวันที่ 18 ต.ค.58 ที่ผ่านมา มูลนิธิเพื่ออินเทอร์เน็ตและวัฒนธรรมพลเมือง ร่วมกับไอลอว์ และศูนย์ทนายเพื่อสิทธิมนุษยชน จัดบรรยายสาธารณะว่าด้วยหลักฐานทางอิเล็กทรอนิกส์และการตรวจพิสูจน์พยานหลักฐานดิจิทัล (ครั้งที่ 2) ในหัวข้อ “กระบวนการแสวงหาและพิสูจน์พยานหลักฐานดิจิทัลเชิงเทคนิค” โดยกิตติพงษ์ ปิยะวรรณโณ ณ คณะนิติศาสตร์ มหาวิทยาลัยธรรมศาสตร์ ท่าพระจันทร์

กิตติพงษ์ ปิยะวรรณโณ

ในการบรรยาย กิตติพงษ์กล่าวว่า ปัจจุบันคนพึ่งพาอินเทอร์เน็ตและเทคโนโลยีมากขึ้น ทำให้อาชญากรเริ่มลดการประกอบอาชญากรรมแบบเดิมไปสู่แบบใหม่ที่เรียกว่า “อาชญากรรมไซเบอร์” (cybercrime) เนื่องจากมีต้นทุนและความเสี่ยงน้อยกว่าการประกอบอาชญากรรมแบบเดิม

เขากล่าวว่า อาชญากรรมไซเบอร์สามารถทำได้จากทุกที่บนโลก โดยที่ผ่านมา ประเทศไทยเคยเป็นที่ที่อาชญากรนิยมใช้เป็นฐานกระทำความผิด เพราะก่อนหน้านี้ประเทศไทยมีระบบซิมการ์ดที่ไม่จำเป็นต้องลงทะเบียน ทำให้อาชญากรไม่ต้องแสดงตัวตน อาชญากรรมไซเบอร์ยังมีต้นทุนต่ำ ผลตอบแทนสูง และในการประกอบอาชญากรรม อาชญากรมักใช้โปรแกรมอัตโนมัติ โดยผู้กระทำการเพียงแต่เป็นผู้ลงมือเปิดให้โปรแกรมทำงานเท่านั้น นอกจากนี้ อาชญากรต้องเป็นผู้เชี่ยวชาญในเรื่องไอที อาชญากรรมแบบนี้ยังไม่ทิ้งร่องรอยทางกายภาพเอาไว้ โดยทิ้งไว้แต่ร่องรอยทางอิเล็กทรอนิกส์เท่านั้น และถ้าผู้กระทำผิดมีความเชี่ยวชาญก็สามารถลบร่องรอยนั้นได้

สำหรับการสืบค้นพยานหลักฐานดิจิทัลนั้น กิตติพงษ์กล่าวว่าต้องสืบค้นไปที่ 3 จุดด้วยกัน ได้แก่ ตัวอุปกรณ์ของผู้กระทำความผิด ข้อมูลการเชื่อมต่อที่อยู่ที่ผู้ให้บริการ และสืบค้นไปที่ผู้ให้บริการด้านเนื้อหา (เช่น เฟซบุ๊ก กูเกิล) เขากล่าวว่า การสืบค้นพยานหลักฐานดิจิทัลในประเทศไทย เจ้าหน้าที่มักเน้นสืบค้นไปที่ตัวอุปกรณ์เท่านั้น ซึ่งจะทำให้ได้ข้อมูลไม่ครบถ้วน

กิตติพงษ์กล่าวว่า จุดประสงค์ในการสืบค้นพยานหลักฐานดิจิทัลคือเพื่อสืบให้รู้ว่า ผู้กระทำผิดคือใคร ทำผิดอะไร เมื่อไหร่ ที่ไหน และอย่างไร โดยส่วนที่พิสูจน์ได้ยากที่สุดคือ การระบุว่าผู้กระทำผิดคือใคร เนื่องจากพยานหลักฐานดิจิทัลจะบอกได้เพียงว่า “อุปกรณ์เครื่องใด” เป็นอุปกรณ์ที่ใช้กระทำความผิด แต่การจะโยงผู้ใช้งานอุปกรณ์นั้นต้องอาศัยพยานหลักฐานแวดล้อมประกอบ

ส่วนลักษณะการกระทำความผิดนั้นแบ่งเป็น 4 ประเภท ได้แก่
1. การกระทำผิดต่อเนื้อหา
2. การโจรกรรมข้อมูล (spionage)
3. การทำลายระบบ (sabotage)
4. การฉ้อโกงโดยใช้คอมพิวเตอร์เป็นเครื่องมือ (fraud)
โดยความผิดต่างลักษณะกันย่อมต้องการแนวทางการสืบค้นที่ต่างกันด้วย

ต่อมา เมื่อสืบทราบลักษณะการกระทำความผิดแล้ว สิ่งที่ต้องสืบต่อไปคืออาชญากรใช้ “วิธีการ” ใดในการกระทำความผิด โดยกิตติพงษ์กล่าวถึงวิธีการกระทำความผิดว่ามีตั้งแต่

สำหรับแนวทางในการสืบค้นพยานหลักฐานอิเล็กทรอนิกส์นั้น ขึ้นอยู่กับลักษณะการกระทำความผิด หากลักษณะการกระทำความผิดต่างกัน แนวทางในการสืบค้นพยานหลักฐานก็ต้องต่างกันด้วย

โดยการสืบค้นพยานหลักฐานดิจิทัลของการกระทำผิดต่อเนื้อหา เริ่มตั้งแต่ยืนยันข้อมูลการกระทำความผิดจากเซิร์ฟเวอร์หรือขอประวัติข้อมูล ในกรณีที่ข้อมูลการกระทำผิดถูกลบไปแล้ว ก่อนจะโยงข้อมูลจากเซิร์ฟเวอร์ไปยังผู้กระทำผิดโดยใช้ข้อมูลอื่นๆ ในเซิร์ฟเวอร์เพิ่มเติม จากนั้นก็ยึดอุปกรณ์ที่ต้องสงสัย ซึ่งขั้นตอนนี้กิตติพงษ์ย้ำว่าต้องทำตามมาตรฐาน กระบวนการดังกล่าวควรทำหลังจากได้รวบรวมพยานหลักฐานอื่นๆ เรียบร้อยแล้ว เนื่องจากกระบวนการในขั้นตอนนี้เป็นกระบวนการที่เปราะบางมากและอาจส่งผลต่อรูปคดีได้ และสุดท้ายคือ วิเคราะห์บันทึกข้อมูลจากจราจรจากผู้ให้บริการเพื่อยืนยันตัวตนและเชื่อมโยงระหว่างผู้ต้องสงสัยและผู้กระทำผิด

กิตติพงษ์เสริมด้วยว่า การตรวจค้นอุปกรณ์ไม่ควรเปิดจากอุปกรณ์โดยตรง แต่ค้นหาจากข้อมูลที่ทำสำเนามา เพื่อป้องกันการแอบเพิ่มเติมข้อมูลเข้าไปภายหลัง เขายังกล่าวด้วยว่า ภาพหน้าจอ (capture) ไม่ถือเป็นหลักฐานที่มีความน่าเชื่อถือเพราะปลอมแปลงได้ง่าย ควรใช้ข้อมูลจากเซิร์ฟเวอร์เป็นหลักและอาจใช้ภาพหน้าจอประกอบเท่านั้น

ส่วนการสืบค้นพยานหลักฐานของการโจรกรรมข้อมูลและการฉ้อโกงนั้น ควรสืบค้นลักษณะและวิธีการกระทำความผิดจากเซิร์ฟเวอร์ อันได้แก่ ข้อมูลบันทึกการทำงาน (log) (เช่น ในเว็บเซิร์ฟเวอร์ ในไฟร์วอลล์) ควรนำข้อมูลบันทึกการทำงานย้อนหลังมาวิเคราะห์ประกอบด้วย นอกจากนี้ ควรวิเคราะห์ข้อมูลบันทึกการทำงานของทั้งผู้ให้บริการและเซิร์ฟเวอร์ประกอบกัน และตรวจค้นข้อมูลบนอุปกรณ์ของผู้ต้องสงสัย

กิตติพงษ์กล่าวว่า การตรวจค้นข้อมูลบนอุปกรณ์ผู้ต้องสงสัยโดยมากมักไม่พบข้อมูลเกี่ยวกับการกระทำความผิด เพราะคนเหล่านี้คือผู้ที่มีความเชี่ยวชาญด้านไอที อย่างไรก็ตาม เราอาจพบซอฟต์แวร์เฉพาะทางที่ใช้ในการกระทำผิด และเชื่อมโยงเครื่องมือดังกล่าวกับหลักฐานที่ได้จากเซิร์ฟเวอร์

ส่วนการสืบค้นพยานหลักฐานของการพยายามทำลายระบบ (sabotage) ทำได้โดยตรวจข้อมูลบันทึกการทำงานของผู้ให้บริการและอุปกรณ์เครือข่าย (เช่น ไฟร์วอลล์ เราท์เตอร์) ซึ่งจะเป็นแหล่งสำคัญในการสืบค้นผู้กระทำความผิดเนื่องจากเซิร์ฟเวอร์มักถูกทำลายไปแล้วทั้งหมดหรือบางส่วน ส่วนขั้นตอนการตรวจค้นอุปกรณ์ผู้ต้องสงสัยนั้นเป็นแบบเดียวกันกับการตรวจค้นการโจรกรรมข้อมูล อนึ่ง ข้อมูลบนเครื่องเซิร์ฟเวอร์ที่ถูกโจมตีจะมีความน่าเชื่อถือต่ำ เนื่องจากผู้โจมตีเข้าควบคุมได้แล้ว

“โปรแกรมบรรยายสาธารณะว่าด้วยหลักฐานทางอิเล็กทรอนิกส์และการตรวจพิสูจน์พยานหลักฐานดิจิทัล” ยังมีอีก 4 ครั้ง ดูรายละเอียด