Clear
Lead Graphic Papers

Digital Forensics 101 (ตอนที่ 1)

ผู้เขียน: นางสาวกรรณิกา ภัทรวิศิษฏ์สัณธ์
วันที่เผยแพร่: 26 ธันวาคม 2556
ปรับปรุงล่าสุด: 26 ธันวาคม 2556

Share on Facebook Share on Twitter Share on Google+

หากผู้อ่านได้ติดตามข่าวในแวดวงไอทีอยู่เป็นประจำ อาจสังเกตว่ามีข่าวเว็บไซต์ราชการที่สำคัญหลายแห่งถูกแฮกอยู่เป็นระยะ ๆ สิ่งที่เป็นผลตามมาคือ เจ้าหน้าที่ตำรวจต้องตรวจค้นหาพยานหลักฐานเพื่อสืบสาวหาตัวผู้ที่อยู่เบื้องหลัง ที่เรียกว่าพยานหลักฐานดิจิทัล (Digital evidence) โดยใช้กระบวนการที่คาดว่าหลายคนน่าจะเคยได้ยิน ที่เรียกว่า Digital Forensics ผ่านหูผ่านตากันมาบ้าง ในโอกาสนี้ ผู้เขียนในฐานะหนึ่งในเจ้าหน้าที่ผู้ปฏิบัติงานศูนย์ดิจิทัลฟอเรนสิกส์ (Digital Forensics Center) ของสำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) หรือ สพธอ. ภายใต้กระทรวงไอซีที จึงขอใช้บทความนี้อธิบายว่า Digital Forensics นั้นคืออะไร และมีกระบวนการอะไรบ้างที่เกี่ยวข้อง

ก่อนอื่น ขอแนะนำศูนย์ดิจิทัลฟอเรนสิกส์ (Digital Forensics Center) ของ สพธอ. ว่าเป็นส่วนงานที่มีภารกิจต่าง ๆ ได้แก่ การตรวจพิสูจน์พยานหลักฐานดิจิทัลและออกรายงานผลการตรวจวิเคราะห์ตามคำร้องขอของหน่วยงานรักษากฎหมาย ให้คำปรึกษาและแนะคำแนะนำทางวิชาการแก่เจ้าหน้าที่ที่บางครั้งอาจจะไม่คุ้นเคยกับเทคโนโลยีที่มีการเปลี่ยนแปลงอยู่ตลอดเวลาและพยานหลักฐานดิจทัลสมัยใหม่ที่มีรูปแบบต่าง ๆ กัน ไม่ว่าจะเป็นเครื่องคอมพิวเตอร์, โน้ตบุ๊ก, แท็บเล็ต, อุปกรณ์บันทึกกล้องวงจรปิด หรือเป็นหน่วยบันทึกข้อมูล ได้แก่ ฮาร์ดดิสก์ที่ถอดออกมาจากเครื่องเซิร์ฟเวอร์ อิมเมจของเครื่องคอมพิวเตอร์ ฯลฯ จุดประสงค์ส่วนใหญ่จะขอให้ช่วยตรวจพิสูจน์หรือค้นหาข้อมูลที่เป็นประโยชน์ต่อการดำเนินคดีกับผู้กระทำความผิดหรือผู้ต้องสงสัย ซึ่งภายหลังจากที่ศูนย์ดิจิทัลฟอเรนสิกส์ตรวจวิเคราะห์เรียบร้อยจึงจะส่งรายงานสรุปผลการตรวจวิเคราะห์พร้อมพยานหลักฐานคืนให้แก่หน่วยงานต้นเรื่องต่อไป

ตอนนี้ก็มาเข้าเรื่องกันเลยค่ะ Digital Forensics หรือที่เรียกในภาษาไทยว่า การตรวจพิสูจน์พยานหลักฐานทางดิจิทัล มีกระบวนการทำงานแบ่งได้เป็น 3 ขั้นตอนหลัก คือ
1. การรวบรวมพยานหลักฐาน (Acquisition)
2. การวิเคราะห์ (Analysis)
3. การรายงานผลการตรวจพิสูจน์ (Report)

เพื่อให้ผลการตรวจพิสูจน์มีความถูกต้อง น่าเชื่อถือ และเป็นที่ยอมรับในชั้นศาลนั้น การดำเนินการตามกระบวนการทั้งสามขั้นตอนนี้ต้องเป็นไปตามหลักการมาตรฐานที่ได้รับการยอมรับ หรือที่นิยมเรียกกันว่า Forensically sound methods ซึ่งจะต้องมีการบันทึกรายละเอียดการดำเนินการในทุกขั้นตอน หากได้ผลเช่นใดก็จะต้องสามารถทำซ้ำโดยผู้อื่นในภายหลังและจะต้องได้ผลลัพธ์เช่นเดียวกันทุกครั้ง เครื่องมือทั้งฮาร์ดแวร์และซอฟต์แวร์ที่เลือกใช้ต้องผ่านการตรวจสอบมาอย่างละเอียดว่ามีความน่าเชื่อถือ และหากจำเป็นก็จะต้อง Validate ให้แน่ใจ รวมทั้งการทดสอบผลการทำงานก่อน และที่สำคัญคือ ผู้ปฏิบัติงาน Digital Forensics ก็ต้องมีความรู้ความสามารถในการปฏิบัติงาน มีความสามารถในการวิเคราะห์ข้อมูล เข้าใจระบบการทำงานของระบบปฏิบัติการและเครื่องมือที่ใช้ และได้รับการฝึกมาเป็นอย่างดี

นอกจากปัจจัยข้างต้นที่กล่าวมา หัวใจสำคัญที่จะทำให้ผลการตรวจได้รับการยอมรับในชั้นศาล โดยไม่ถูกโต้แย้ง คือ เราต้องสามารถยืนยันได้ว่าหลักฐานที่นำมาตรวจสอบ นั้นเป็นหลักฐานชิ้นเดียวกับที่เก็บมาจากสถานที่เกิดเหตุจริง (Authentication) และไม่มีการเปลี่ยนแปลงข้อมูลใดๆ ไปจากเดิม (Integrity) ในการทำงานเราจะแตะต้องพยานหลักฐานให้น้อยที่สุดเพื่อคงสภาพความสมบูรณ์ของหลักฐานนั้นๆ ซึ่งในการจะยืนยันคุณสมบัติทั้งสองข้อนี้ได้นั้น เราต้องอาศัยหลักการสำคัญของการตรวจพิสูจน์พยานหลักฐานดิจิทัลคือ Chain of custody และ Hash value

(1) Chain of custody หากแปลตรงตัวก็คือ “ห่วงโซ่การคุ้มครองพยานหลักฐาน” หมายถึงข้อมูลที่ระบุรายละเอียดของพยานหลักฐานและการส่งต่อพยานหลักฐานโดยเจ้าหน้าที่ที่รับผิดชอบ ซึ่งจะต้องมีการบันทึกไว้เริ่มตั้งแต่เมื่อพยานหลักฐานชิ้นนั้นถูกเก็บมาจากที่เกิดเหตุมาอยู่ในความครอบครองของเจ้าหน้าที่ที่เกี่ยวข้อง จนถึงเมื่อสิ้นสุดคดี ไว้ในแบบฟอร์ม Chain of custody ซึ่งจะเป็นประโยชน์หากผู้ที่เกี่ยวข้องต้องไปให้การในศาล โดยจะต้องสามารถยืนยันได้ว่า ในระหว่างการครอบครองพยานหลักฐานชิ้นนั้นได้ถูกจัดเก็บไว้ที่ไหน ได้ถูกนำไปทำอะไรบ้าง มีปัจจัยที่จะทำให้พยานหลักฐานเปลี่ยนแปลงหรือไม่ ได้ส่งต่อให้กับบุคคลอื่นหรือไม่ เมื่อวัน/เวลาใด (เรียกได้ว่า จะต้องสามารถระบุตัวตนของผู้รับผิดชอบได้ตลอดเวลาที่ครอบครองพยานหลักฐานนั่นเอง) ตัวอย่างข้อมูลที่จดบันทึกไว้ในแบบฟอร์ม Chain of custody เช่น หากเจ้าหน้าที่ตำรวจเป็นผู้จัดเก็บพยานหลักฐานจากสถานที่เกิดเหตุเอง ก็ต้องระบุชื่อ ตำแหน่ง หน่วยงาน วัน/เวลา รวมถึงข้อมูลสำหรับติดต่อให้ครบถ้วน เมื่อนำพยานหลักฐานกลับมาเก็บไว้ที่ห้องเก็บพยานหลักฐานที่สถานีตำรวจ ก็ต้องจดบันทึกสถานที่และวันเวลารวมทั้งผู้รับผิดชอบไว้ในแบบฟอร์ม หากในวันถัดไปต้องส่งพยานหลักฐานชิ้นนั้นไปให้เจ้าหน้าตรวจพิสูจน์หลักฐานดำเนินการตรวจพิสูจน์ ก็ต้องบันทึกไว้ในแบบฟอร์มว่า ณ วันเวลาใดที่พยานหลักฐานได้เคลื่อนย้ายออกจากห้องเก็บพยานหลักฐานและปัจจุบันอยู่ในความครอบครองของใคร เป็นต้น



รูปที่ 1 ตัวอย่างแบบฟอร์ม Chain of custody ที่ใช้เก็บข้อมูลพยานหลักฐานและการส่งต่อพยานหลักฐานโดยเจ้าหน้าที่ที่รับผิดชอบ

(2) Hash value เป็นผลลัพธ์จากการนำข้อมูล (จะเป็นฮาร์ดดิสก์ทั้งลูกหรือไฟล์ชนิดหรือขนาดใดก็ได้) มาผ่านกระบวนการย่อย (Digest) หรือการคำนวณด้วย Hash Function เรียกกระบวนการนี้ว่า Hashing โดยผลลัพธ์นี้จะเป็นค่าเฉพาะ ซึ่งโดยทั่วไปนิยมแสดงโดยใช้เลขฐาน 16 (Hexadecimal) ซึ่งมีความยาวแตกต่างกันขึ้นอยู่กับวิธีการ หรือฟังก์ชันที่ใช้ เช่น MD5 (Message Digest 5) ซึ่งให้ผลลัพธ์ 128 bit หรือ 32 digit (เลขฐาน 16) และ SHA1 (Secure Hash Algorithm 1) ให้ผลลัพธ์ 160 bit หรือ 40 digit (เลขฐาน 16)
หมายเหตุ: Hashing จะคำนวณจากข้อมูลที่อยู่ในไฟล์เท่านั้น ไม่รวม metadata ซึ่งได้แก่ ชื่อไฟล์ วันเวลาที่ไฟล์ถูกสร้าง เปลี่ยนแปลง/เข้าถึงครั้งสุดท้าย เป็นต้น



รูปที่ 2 ตัวอย่างค่าแฮช SHA1 และ MD5

คุณลักษณะที่สำคัญของ Hashing คือ เป็นวิธีการแบบ Non-reversible คือ เราไม่สามารถนำผลลัพธ์จากกระบวนการย่อยมาคำนวณกลับเป็นข้อมูลตั้งต้นได้ และหากนำข้อมูลที่เหมือนกันทุกประการมาผ่านกระบวนการย่อย ผลลัพธ์ที่ได้จะเหมือนกันทุกครั้ง แต่ถ้าหากข้อมูลที่จะนำมาย่อยมีความต่างกันแม้เพียงบิตเดียว ผลลัพธ์ที่ได้ก็ต่างกันทันที ในปัจจุบันนี้การใช้ Hash value ไม่ว่าจะเป็น MD5 หรือ SHA1 ได้รับการยอมรับว่าสามารถยืนยันความถูกต้องแท้จริงของพยานหลักฐานในกระบวนการยุติธรรม โดยในทางปฏิบัติส่วนมากเราจะให้ซอฟต์แวร์หรือฮาร์ดแวร์คำนวณทั้งค่า MD5 และ SHA1 ออกมา เพื่อยืนยันความถูกต้องของข้อมูล

ในส่วนของ MD5 ต้องขออธิบายเพิ่มเติมสักหน่อย เนื่องจากตั้งแต่ปี 2004 ได้เคยมีนักวิชาการพิสูจน์แล้วว่าสามารถสร้างไฟล์สองไฟล์ที่มีเนื้อหาแตกต่างกัน แต่เมื่อนำมาคำนวณค่า MD5 แล้วได้ค่าเหมือนกันได้ จึงเป็นเหตุให้ MD5 ไม่เหมาะสมสำหรับการใช้งานที่ต้องมีคุณสมบัติแบบ Collision resistant เช่น SSL certificates หรือ Digital signatures ทีนี้หลายคนอาจสงสัยว่าทำไม Digital Forensics ยังนิยมใช้ MD5 อยู่ ทำไมซอฟต์แวร์เฉพาะสำหรับงานตรวจพิสูจน์พยานหลักฐานดิจิทัลที่เป็นที่รู้จักแพร่หลาย เช่น EnCase และ FTK ยังใช้ MD5 ในการยืนยันความถูกต้องแท้จริงของข้อมูลพยานหลักฐานกับสำเนาพยานหลักฐาน คำอธิบายหนึ่งคือมันมีความเป็นไปได้น้อยมาก ๆ ที่จะสามารถดัดแปลงเนื้อหาบางส่วนของไฟล์พยานหลักฐานที่มีอยู่เพื่อบังคับให้มีค่า MD5 ตามที่เราต้องการโดยที่เนื้อหาของไฟล์นั้นยังคงสื่อความหมายเข้าใจได้เหมือนเดิม และนอกจากนี้ MD5 ยังเป็นกระบวนที่ใช้เวลาไม่นานมากในการคำนวณเมื่อเปรียบเทียบกับการคำนวณ Hashing แบบอื่นๆ ดังนั้นจึงเป็นที่นิยมในกลุ่มผู้ปฏิบัติงาน Digital Forensics

ต่อไปผู้เขียนจะอธิบายกระบวนการทำงาน Digital Forensics โดยเริ่มตั้งแต่การรวบรวมพยานหลักฐาน ไปจนถึงการเขียนรายงานสรุปผล ซึ่งจะเน้นข้อมูลทางด้านเทคนิค และต้องอธิบายค่อนข้างยาว ดังนั้นผู้เขียนจึงขอให้ผู้อ่านได้พักกันก่อน และสามารถอ่าน Digital Forensics 101 ตอนที่ 2 ได้ที่บทความต่อไปค่ะ [1]

อ้างอิง

  1. http://en.wikipedia.org/wiki/MD5
  2. http://computer-forensics.sans.org/blog/2009/01/07/law-is-not-a-science-admissibility-of-computer-evidence-and-md5-hashes
  3. https://thaicert.or.th/papers/general/2013/pa2013ge014.html
Clear