วันอังคารที่ 4 สิงหาคม พ.ศ. 2552

Computer Forensic

บทนำ
ในปัจจุบันนี้ นอกเหนือจากอาชญากรรมทางร่างกายและทางทรัพย์สินที่เป็นคดีความทางอาญาที่เรารู้จักและมีข่าวให้ได้ยินกันอยู่ทุกวันแล้ว ยังมีอาชญากรรมอีกประเภทหนึ่งที่กำลังมีแนวโน้มเพิ่มมากขึ้นอย่างรวดเร็ว โดยอาศัยเทคโนโลยีที่ ก้าวหน้าในปัจจุบัน นั่นคือ อาชญากรรมทางคอมพิวเตอร์ (Computer Crime) ซึ่งหมายถึง การกระทำการใดๆ ก็ตามที่เกี่ยวข้องกับการใช้คอมพิวเตอร์ และเทคโนโลยี เป็นเครื่องมืออันทำให้ผู้อื่นได้รับความเสียหาย และผู้กระทำได้รับผลประโยชน์ตอบแทน การประกอบอาชญากรรมทางคอมพิวเตอร์ได้ก่อให้เกิดความเสียหายต่อเศรษฐกิจของประเทศเป็นจำนวนมหาศาล อาชญากรรมทางคอมพิวเตอร์ จึงจัดเป็นอาชญากรรมทางเศรษฐกิจ หรือ อาชญากรรมทางธุรกิจรูปแบบหนึ่ง ที่มีความสำคัญมาก ดังนั้นการที่เราจะติดตาม หรือสืบสวนอาชญากรรมคอมพิวเตอร์ได้นั้น เราจึงต้องอาศัยสิ่งที่เราเรียกว่า ”Computer Forensic” หรือ “นิติคอมพิวเตอร์” เข้ามาช่วยนั่นเอง
ปัจจุบัน หากเราพูดถึง หน่วยงาน DSI ในเมืองไทย หลายคนๆ คงจะนึกถึง คุณหญิงหมอพรทิพย์ที่ทำงานในด้านการพิสูจน์หลักฐานเพื่อจับตัวคนร้ายในคดีต่างๆ ซึ่งถ้าพูดต่อไปว่าหน่วยงาน DSI นี้ทำงานกันอย่างไร บางคนก็จะนึกถึงการทำงานของหน่วย CSI ที่ในอยู่ซีรีส์ชื่อดังที่ฉายอยู่ในเคเบิ้ลทีวี ซึ่งการทำงานของคนกลุ่มนี้ มีการใช้เทคโนโยลีทางวิทยาศาสตร์สมัยใหม่ในการระบุผู้ต้องสงสัย หรือหาหลักฐานของผู้กระทำผิด โดยหลักฐานที่ได้มาทั้งหมดนี้จะต้องมี ระบบการเก็บ การตรวจสอบ และการพิสูจน์ที่ได้รับยอมรับทางกฎหมาย ไม่ว่าจะเป็นหลักฐานทางชีวภาพ เช่น เศษเนื้อเยื่อ คราบเลือด หรือการตรวจสอบ DNA หลักฐานที่เป็นสิ่งของเช่น ของใช้ของเหยื่อ หรือขวดน้ำที่มีลายนิ้วมือของผู้ตรงสงสัย และหลักฐานที่อยู่ในรูปของดิจิตอล เช่น บันทึกการใช้อินเทอร์เน็ต หลักฐานการรับส่งอีเมล์ หรือข้อมูลที่น่าสงสัยที่อยู่ในเครื่องคอมพิวเตอร์เป็นต้น ซึ่งหลักฐานประเภทนี้จะต่างจากหลักฐานอื่นๆ ตรงที่จะไม่มีให้เห็นในที่เกิดเหตุ และไม่สามารถจับต้องได้ แต่นักสืบ หรือผู้ที่ทำหน้าที่เก็บหลักฐานจะต้องคิดหาวิธีหรือช่องทางในการนำหลักฐานนี้มาใช้เพื่อช่วยในการทำคดี หรือระบุผู้ต้องสงสัยให้ได้ โดยต้องมีวิธีการค้นหา และวิเคราะห์หลักฐานดิจิตอลที่ได้มา หรือก็คือวิธีที่เราเรียกว่า Computer Forensic นั่นเอง ซึ่งจะมีขั้นตอนที่ยุ่งยาก และซับซ้อนกว่าหลักฐานแบบอื่นๆ มาก
ในรายงานฉบับนี้จะนำเสนอว่า Computer Forensic นี้คืออะไร มีความจำเป็นอย่างไร สามารถนำไปใช้ในชั้นศาลอย่างไร มีเครื่องมืออะไรที่จะใช้ทำการค้นหาและวิเคราะห์หลักฐานประเภทนี้บ้าง และให้ประโยชน์อย่างไรกับหน่วยงานรักษากฎหมายและบริษัทเอกชนทั่วไป


ความหมายของ Computer Forensic
Computer Forensic คือ การค้นหา และเก็บหลักฐานทางดิจิตอลต่างๆ ที่อยู่ในอุปกรณ์คอมพิวเตอร์ เช่น ไฟล์ต่างๆ ที่อยู่ใน คอมพิวเตอร์ส่วนบุคคล โน้ตบุ๊ก พีดีเอ หรือโทรศัพท์เคลื่อนที่ เป็นต้น หรือหลักฐานดิจิตอลที่ถูกสร้างจากระบบคอมพิวเตอร์ เช่น บันทึกการใช้งานโทรศัพท์ ข้อมูลของการใช้อินเทอร์เน็ต (Log File) เป็นต้น ซึ่งหลักฐานทั้งหมดนี้ จะถูกนำมาวิเคราะห์ว่าหลักฐานนี้เกิดขึ้นเมื่อไหร่ เกิดจากอะไร ตอนนี้ใช้ทำอะไร และถูกใช้โดยใคร เป็นต้น โดยการทำ Computer Forensic จะประกอบไปได้ด้วยขั้นตอนดังนี้ การเก็บหลักฐาน การพิสูจน์ความถูกต้องของหลักฐาน และการวิเคราะห์หลักฐานเพื่อนำเสนอในชั้นศาล หลักฐานที่เป็นดิจิตอลนี้มีความละเอียดอ่อนมาก เพราะสามารถถูกทำลายได้ง่าย หรือเกิดความเสียหายโดยความไม่ระมัดระวังได้ อีกทั้งยังสามารถที่จะซ่อน หรือโดนเปลี่ยนแปลงข้อมูล เพื่อทำให้หลักฐานนั้นมีการบิดเบือนไป ต่างจากหลักฐานที่เป็นสิ่งที่ปรากฎชัดอย่าง เช่น ลายนิ้วมือ ซึ่งไม่สามารถที่จะทำการปลอมหรือเปลี่ยนแปลงได้ ซึ่งหากหลักฐานมีการบิดเบือนไป การสืบสวนก็จะผิดพลาดไปด้วย

หลักฐานดิจิตอลในทางกฎหมาย
สืบเนื่องจากกฎหมายของแต่ละประเทศ ในเรื่องของการนำเสนอหลักฐานนั้นมีความแตกต่างกัน ในที่นี้ จึงจะขอนำเสนอ กฎของการนำหลักฐานดิจิตอลไปใช้ในชั้นศาล ซึ่งเป็นกฎที่มีการคิดค้นและพัฒนาขึ้นในต่างประเทศ จนได้รับการยอมรับมากที่สุด ซึ่งจะประกอบไปด้วยกฎ ทั้งหมด 4 ข้อ ดังนี้
1. ความสมบูรณ์ของหลักฐาน (Preservation)
ในกรณีที่หลักฐานเป็นสำเนาที่สร้างขึ้นมาจากเครื่องมือใดๆ ก็ตาม ต้องสามารถตรวจสอบได้ว่ามีต้นฉบับมาจากที่ใด ในบางครั้งตัวต้นฉบับ อาจถูกลบไปโดยเจตตาของผู้กระทำผิด จึงต้องใช้การกู้ข้อมูลนั้นกลับมา ซึ่งไม่ว่าหลักฐานนี้จะได้มาจากการทำสำเนา หรือการกู้ข้อมูล ก็จะต้องมีความถูกต้องตรงกับต้นฉบับแบบบิตต่อบิต ซึ่งการตรวจสอบความถูกต้องของสำเนานี้ ใช้การตรวจสอบที่เราเรียกว่า Error Check Sum ที่สามารถใช้ตรวจสอบความถูกต้องของข้อมูลเหล่านั้นได้ วิธีการนี้สามารถทำให้ทราบได้ว่า สำเนาหลักฐานนั้นได้มีการถูกเปลี่ยนแปลงมาก่อนหน้านี้หรือไม่ โดยการตรวจสอบค่าของ CRC (Cyclic Redundancy Check) ซึ่งค่านี้จะต้องมีค่าเหมือนกับไฟล์ที่มีต้นฉบับ จึงจะถือว่าไฟล์สำเนาดังกล่าวนั้นมีความสมบูรณ์ ซึ่งโอกาสที่ค่า CRC ของแต่ละไฟล์จะเหมือนกันโดยบังเอิญนั้นมีแค่ 1 ใน 4 ล้านเท่านั้น ทำให้วิธีนี้ สามารถตรวจสอบความสมบูรณ์ของหลักฐานได้ดีที่สุด
2. ระบุที่มาของหลักฐานได้ (Identification)
หลักฐานดิจิตอลต้องสามารถระบุได้ว่าเป็นรูปแบบใด ได้มาจากที่ใด และใช้วิธีการอย่างไร อย่างการเก็บหลักฐานที่เป็นไฟล์จากฮาร์ดดิสก์ หรือซีดี ซึ่งในที่นี้ตัวฮาร์ดดิสก์ หรือซีดีนั้นไม่ใช่ตัวหลักฐาน แต่เป็นเพียงสิ่งที่เก็บหลักฐานไว้ การระบุที่มาของไฟล์จึงมีความสำคัญ เพราะหลักฐานที่บ่งชี้ว่าไฟล์นี้ได้มาจากอุปกรณ์ใด และ ไฟล์นี้ถูกกู้ขึ้นมาด้วยวิธีอะไร ซึ่งทั้งหมดนี้จะนำไปเชื่อมโยงกับหลักฐานอื่น หรือบุคคลที่เกี่ยวข้องได้ ดังนั้นหลักฐานที่เก็บมาได้นั้นจะต้องมีการระบุที่มา และวิธีการได้มาของหลักฐานอย่างชัดเจนเพื่อให้สามารถตรวจสอบความถูกต้องได้
3. บุคคลผู้ที่ดูแล หรือเก็บหลักฐานต้องเป็นผู้เชี่ยวชาญ (Providing Expert)
บุคคลผู้ที่ดูแลหรือเก็บหลักฐานในที่นี้จะต้องเป็นผู้เชี่ยวชาญ ที่ได้รับการฝึกอบรมในด้านของ Computer Forensic มาแล้ว ซึ่งบุคคลนี้จะเป็นผู้รับผิดชอบในการดูแล และตรวจสอบหลักฐานให้มีความถูกต้อง พร้อมกับป้องกันบุคคลอื่น ไม่ให้เข้ามาแก้ไข หรือสร้างความเสียหายให้กับหลักฐานอีกด้วย นอกจากนี้การพิจารณาคดีในชั้นศาลส่วนใหญ่ บุคคลกลุ่มนี้จะเป็นผู้ที่นำหลักฐานไปแสดงต่อศาลในระหว่างการพิจารณาคดี ซึ่งหากว่าไม่ใช่ผู้เชี่ยวชาญด้าน Computer Forensic แล้วความน่าเชื่อของหลักฐานที่ได้มาก็จะลดลง ซึ่งในจุดนี้จัดเป็นเรื่องที่สำคัญมาก ไม่แพ้ข้ออื่นเลยทีเดียว
4. หลักฐานต้องได้รับการตรวจสอบด้วยกระบวนการทางกฎหมาย (Rules Of Evidence)
ในส่วนนี้จะเป็นการตรวจสอบทางกฎหมาย ที่ขึ้นอยู่กับกฎหมายในแต่ละประเทศว่าจะมีการตรวจสอบที่มา และความถูกต้องของหลักฐานว่าเป็นอย่างไร ซึ่งในส่วนนี้จำเป็นต้องอาศัยผู้เชี่ยวชาญด้านกฎหมาย เป็นผู้ให้คำแนะนำในเรื่องของข้อกฎหมายที่มีต่อหลักฐานดิจิตอลประเภทต่างๆ ว่ากฎหมายของประเทศนั้นยอมรับหลักฐานดิจิตอลในรูปแบบใดและการนำเสนอหลักฐานต่อศาลนั้นต้องมีขั้นตอนอย่างไรเป็นต้น

เครื่องมือตอบโต้ Computer Crime
อาชญากรรมคอมพิวเตอร์ หรือ Computer Crime ส่วนใหญ่ เกี่ยวข้องกับการใช้งานระบบคอมพิวเตอร์ หรืออินเทอร์เน็ตในการค้นหาข้อมูลที่ผิดกฎหมาย การดาวน์โหลดข้อมูลที่ผิดกฎหมาย หรือข้อมูลที่ไม่ได้รับอนุญาต หรือใช้เป็นเครื่องมือในการทำสิ่งที่ผิดกฎหมาย แต่ความผิดส่วนใหญ่ที่พบได้ง่ายคือ การดาวน์โหลดเพลง MP3 หรือดาวน์โหลดภาพลามกอนาจาร ซึ่งหลักฐานทั้งหมดเป็นแบบดิจิตอล ทำให้ผู้กระทำผิด สามารถที่จะซ่อน ลักลอบ เคลื่อนย้าย หรือทำสำเนาไว้ได้ ประกอบกับระบบอินเทอร์เน็ตนั้นเป็นระบบแบบเปิดขนาดใหญ่ผู้กระทำผิดจึงสามารถปกปิดการกระทำได้อย่างง่ายดาย โดยที่การตรวจสอบนั้นกลับทำได้ยาก โดยปัจจุบันตัวเลขของการกระทำผิดกฎหมายโดยใช้เครื่องมือที่เป็นคอมพิวเตอร์ ในการเจาะระบบเครือข่าย และอินเทอร์เน็ตเพื่อใช้หาประโยชน์นั้นเพิ่มสูงมากขึ้นเรื่อยๆ จนทำให้หน่วยงานรักษากฎหมายทั่วโลก จำเป็นต้องให้ความสำคัญกับหลักฐานที่เป็นดิจิตอล และให้ความสำคัญกับการทำ Computer Forensic มากขึ้น จนมีการพัฒนาทั้งด้านซอฟต์แวร์ และฮาร์ดแวร์ในด้าน Computer Forensic Tools เพื่อช่วยในการค้นหา และเก็บหลักฐานสามารถทำได้ง่าย รวมทั้งทำให้หลักฐานมีความถูกต้องมากขึ้น จนสามารถนำไปใช้เป็นอ้างอิงในชั้นศาลได้

หลักฐานทาง Computer Forensic
• เซฟไฟล์ (Saved Files)
เป็นไฟล์ข้อมูล ที่ถูกสร้างขึ้นโดยการใช้งานแอพพลิชันต่างๆ ที่เคยถูกใช้ หรือมีอยู่ในเครื่องคอมพิวเตอร์ แต่ถูกซ่อนเอาไว้ไม่ให้หาพบ หรือโดนเปลี่ยนแปลงชื่อ หรือนามสกุล เพื่อไม่ให้สามารถตรวจสอบข้อมูลที่มีอยู่ข้างในได้ ตัวอย่างเช่น ไฟล์ของ MS Word หรือ Log ไฟล์ ที่แสดงรายละเอียดการใช้งาน

• ไฟล์ที่ถูกลบ (Deleted Files)
ไฟล์ข้อมูลที่ถูกลบทิ้งไปโดยผู้ใช้ ในความเป็นจริงแล้วไฟล์ดังกล่าวยังอยู่ ไม่ได้ถูกลบไป เพียงแต่ระบบปฎิบัติการจะไม่มีการแสดงไฟล์ที่ถูกลบให้ผู้ใช้เห็นอีกเท่านั้น ดังนั้นถ้ายังไม่มีการเขียนข้อมูลใหม่ลงไปทับในส่วนของไฟล์ที่ถูกลบไปนั้น ก็เป็นการง่ายที่จะกู้ไฟล์ที่ถูกลบนั้นได้

• ไฟล์ที่ใช้ชั่วคราว (Temporary Files)
โดยทั่วไประบบปฎิบัติการ หรือโปรแกรมใดๆ ก็ตาม เมื่อโปรแกรมทำงาน จะสร้างไฟล์ของข้อมูลในการทำงานนั้นไว้ที่ใดที่หนึ่ง เพื่อเรียกใช้งาน แต่เมื่อผู้ใช้ปิดโปรแกรม หรือปิดเครื่องคอมพิวเตอร์ ไฟล์เหล่านี้ก็จะถูกลบทิ้งไปโดยอัตโนมัติ ซึ่งไฟล์เหล่านี้นั้นสามารถถูกกู้ขึ้นมา เพื่อตรวจสอบการใช้งานระบบปฎิบัติการ หรือโปรแกรมต่างๆ ในเครื่องคอมพิวเตอร์ได้

• เมต้าดาต้า (Metadata)
ข้อมูลนี้จะเป็นส่วนที่ซ่อนอยู่ในไฟล์ทุกไฟล์ ว่าไฟล์ดังกล่าวนั้นถูกสร้างขึ้นมาโดยซอฟต์แวร์อะไร เมื่อไร ซึ่งจะทำให้สามารถตรวจสอบได้ว่าไฟล์ดังกล่าวนั้นมีที่มาอย่างไร เพราะเมต้าดาต้าตัวนี้ไม่สามารถเปลี่ยนแปลงได้แม้ว่าผู้ใช้จะลบ หรือทำการเปลี่ยนชื่อของไฟล์ไปก็ตาม ในบางระบบปฎิบัติการข้อมูลส่วนนี้สามารถบอกได้ว่าผู้ใช้เป็นใคร และมาใช้งานเมื่อไร

• ดิสก์ สแล็ก (Disk Slack)
เป็นส่วนที่ค่อนข้างจะใช้ความสามารถด้านเทคนิคในการตรวจสอบค่อนข้างมาก เนื่องจากในการทำงานที่ต้องมีการเขียนข้อมูลลงบนดิสก์ บางครั้งข้อมูลที่เขียนนั้นอาจจะมีรายละเอียดของการใช้งานข้อมูลเก่า หรือแอพพลิเคชันที่ใช้ ซึ่งหากมีซอฟต์แวร์ Computer Forensic ที่มีความสามารถ ก็จะสามารถดึงข้อมูลในส่วนนี้ขึ้นมาได้ บางครั้งข้อมูลที่ไม่สามารถถูกพบด้วยวิธีปกติทั่วไป ก็สามารถพบได้โดยใช้วิธีนี้

แนวทางการสืบสวนคดีอาชญากรรมทางคอมพิวเตอร์
หลักการเบื้องต้นของ IOCE (International Organization on Computer Evidence)
  1. เมื่อจะต้องดำเนินการกับหลักฐานดิจิตอล (Digital Evidence) ใดๆ ก็แล้วแต่ จะต้องปฏิบัติตามหลักสำคัญของ General Forensic และขั้น ตอนการดำเนินงานอย่างเคร่งครัด
  2. การจะยึดหลักฐานทาง Digital นั้น จะต้องใช้วิธีการที่ไม่เปลี่ยนแปลงหลักฐานนั้น
  3. ในกรณีที่จำเป็นจะต้องมอบหมายให้บุคคลใด เข้าถึง Original Digital Evidence บุคคลนั้นจะต้องผ่านการฝึกอบรม เพื่อการนั้นโดยเฉพาะ
  4. ในทุกกิจกรรมที่เกี่ยวข้องกับ การยึด, การเข้าถึง, การเก็บรักษา, การเคลื่อนย้ายถ่ายโอน หลักฐานดิจิตอลนั้น จะต้องมีการลงบันทึกเป็นเอกสารไว้ทุกขั้นตอน และสามารถตรวจสอบได้
  5. เจ้าหน้าที่ผู้ดำเนินการ จะต้องไม่ทำให้หลักฐานดิจิตอลนั้น เกิดความเสียหาย โดยจะต้องมีจิตสำนึกและความรับผิดชอบ เปรียบเสมือนว่าเป็น ของๆ ตน
  6. เจ้าหน้าที่ทุกฝ่าย จะต้องรู้จักหน้าที่ใน การยึด, การเข้าถึงข้อมูล, การเก็บรักษา ,การถ่ายโอนข้อมูล ที่เป็นหลักฐานดิจิตอล โดยจะต้องปฏิบัติตามหลักสำคัญดังกล่าว
แนววิธีการดำเนินงานด้านนิติคอมพิวเตอร์ (Computer Forensic Methodology)
แนววิธีการด้าน Computer Forensic ซึ่งใช้กันในหมู่ เจ้าหน้าที่ฝ่ายปราบปราม และรักษากฎหมายรวมทั้งวงการ รปภ. ของบริษัททั่วโลก ได้ผ่านการพิสูจน์และเป็นที่ยอมรับแล้วในศาล กระบวนการปฏิบัตินี้ได้ผ่านการออกแบบและสร้างขึ้น เพื่อป้องกันการรั่วไหลของความลับ และป้องกันไม่ให้เกิดการเปลี่ยนแปลงใดๆ ทั้งสิ้นแก่พยานหลักฐานดิจิตอล ต้นฉบับเดิม แนววิธีการปฏิบัติด้าน Computer Forensic ต้องปฏิบัติอยู่ภายใต้กฎเกณฑ์ ดังต่อไปนี้
  1. ต้องไม่จัดการ ทำงาน หรือ เก็บรวบรวม พยาน หลักฐานอย่างผิดพลาด ไม่ถูกต้อง และไม่ถูกวิธี
  2. ต้องไม่ทำงานกับพยานหลักฐานตัวจริง (ใช้สำเนา)
  3. ต้องไม่ไว้ใจระบบปฏิบัติการ(Operating System หรือ OS ) ของผู้ต้องสงสัย
  4. ต้องลงบันทึก ทำรายงาน ทุกเรื่อง ทุกแง่มุม ทุกกิจกรรม ที่ได้ลงมือทำไปทุกขั้นตอนอย่างละเอียด
แหล่งที่มาของหลักฐานดิจิตอล มี 3 แหล่ง คือ

1. หลักฐานที่เครื่องและอุปกรณ์ ของผู้กระทำผิด ได้แก่
- Volatile Data ข้อมูลระเหยง่าย ก่อนปิดเครื่อง
- Log file
- ไฟล์ข้อมูลต่างๆ ที่จัดเก็บไว้
- ไฟล์ข้อมูลที่ถูกลบไปแล้ว
2. หลักฐานที่เครื่องและอุปกรณ์ ที่ถูกกระทำ ได้แก่
- Log file
- ฯลฯ
3. หลักฐานที่เครื่องและอุปกรณ์ ระหว่างทาง ได้แก่
- Log File
- Traffic Data
- ฯลฯ
การสร้างความน่าเชื่อถือ
1. การยึดของกลาง ที่มีข้อมูลบันทึกอยู่
- การห่อหุ้ม ของกลาง เพื่อมิให้สามารถเข้าถึงข้อมูลได้
- ให้ ผู้ต้องหา, ญาติ, บุคคล ที่น่าเชื่อถือ ร่วมกัน ลงลายมือชื่อ ในวัสดุที่ห่อหุ้ม
2. การเคลื่อนย้าย ของกลาง ที่มีข้อมูลบันทึกอยู่
- ใช้เข็มทิศตรวจสอบก่อนการเคลื่อนย้ายว่าเส้นทางนั้น มีสนามแม่เหล็ก รุนแรง หรือไม่เพราะอาจทำให้ข้อมูล ที่อยู่ในฮาร์ดดิสก์เสียหายได้
3. การเก็บรักษา ของกลาง ที่มีข้อมูลบันทึกอยู่
- ไม่เก็บในห้องที่มีอุณหภูมิ ร้อน, อบอ้าว, เปียกชื้น, ไม่อยู่กลางแดด กลางฝน
- ไม่เก็บในห้องที่ มีสนามแม่เหล็ก รุนแรง เพราะอาจทำให้ข้อมูล ที่อยู่ในฮาร์ดดิสก์ เสียหายได้
- มีระบบควบคุม รักษาความปลอดภัย
4. การตรวจพิสูจน์ ของกลาง
- ก่อนการเปิดวัสดุห่อหุ้ม ต้องให้ผู้ต้องหา, บุคคลที่น่าเชื่อถือ ที่ได้ลงลายมือชื่อไว้ก่อนหน้านั้น ตรวจสอบดูว่า มีการฉีกทำลาย วัสดุห่อหุ้ม นั้นหรือไม่
- ควรมีการทำบันทึก และถ่ายภาพไว้เป็นหลักฐาน
- หลังจากนั้น จึงทำการ สำเนาฮาร์ดดิสก์
- การทำสำเนา โดยการใช้คำสั่ง ทางคอมพิวเตอร์ มีความน่าเชื่อถือ น้อยกว่า การใช้เครื่องมือ สำเนาฮาร์ดดิสก์
- ในระหว่างการทำสำเนา ต้องทำต่อหน้า ควรมีการทำบันทึก และถ่ายภาพ ไว้เป็นหลักฐาน

Bit-Stream Copy
มีหลายคนมักบอกว่าการทำ Computer Forensic นั้น คล้ายกับการทำ Mirror Image สำหรับแบ็กอัพข้อมูล เพราะก็เป็นการเก็บข้อมูลที่สำคัญๆ เอาไว้เช่นกัน แต่ในความเป็นจริงแล้ว ทั้ง 2 วิธีนี้ มีความแตกต่างกันมาก การทำ Mirror Image นั้น คือการสำรองข้อมูลที่สำคัญไว้เพื่อป้องกันการสูญหาย แต่สำหรับ Computer Forensic นั้น คือการเก็บข้อมูลทั้งหมดแบบบิตต่อบิตให้ครบถ้วนสมบูรณ์ที่สุด เพื่อใช้ในการตรวจสอบการทำงาน หรือหาจุดผิดปกติต่างๆ ซึ่งเทคนิคนี้เรียกว่า “Bit-Stream Copy” ซึ่งเทคนิคนี้นั้น จะถูกใช้ในซอฟต์แวร์ Computer Forensic tools ทุกตัว ทำให้เรารู้ได้ว่า เทคนิคนี้มีความจำเป็นอย่างมาก ในการทำ Computer Forensic เนื่องจากเป็นวิธีที่สามารถเก็บข้อมูลทุกอย่างที่เกิดขึ้นบนเครื่องของผู้ที่ถูกตรวจสอบได้ทั้งหมด ไม่ว่าจะเป็นการลบไฟล์ หรือการรับส่งอีเมล์ ข้อความการสนทนาใน MSN รวมถึงข้อมูลในรูปของแคช ที่สร้างโดยแอพพลิเคชันต่างๆ ทำให้ข้อมูลที่ได้มาทั้งหมดนี้สามารถนำมาใช้สร้างฮาร์ดดิสก์ที่มีข้อมูลเหมือนกับเครื่องที่ถูกเก็บได้ทุกประการ

จุดเด่นของเทคนิค Bit-Stream Copy
  1. Bit-Stream Copy สามารถเก็บข้อมูลการทำงานทุกอย่างบนฮาร์ดดิสก์ได้อย่างสมบูรณ์ มากกว่าการใช้เทคนิค Mirror Image ที่เก็บข้อมูลในฮาร์ดดิสก์เฉพาะที่มีอยู่เท่านั้น ไม่สามารถเก็บ Temporary File ได้
  2. ข้อมูลการใช้งานรับส่งอีเมล์ สามารถถูกบันทึกไว้โดย Bit Stream Copy ได้ แต่ Mirror Image นั้นไม่สามารถทำได้
  3. ในกรณีผู้ถูกตรวจสอบใช้งานโปรแกรมจำพวก MSN หรือ Chat Room ข้อความการสนทนาทั้งหมดสามารถถูกบันทึกได้ด้วย Bit-Stream Copy ทำให้ผู้ตรวจสอบสามารถตรวจสอบข้อความการสนทนาของผู้ใช้ได้
  4. เทคนิค Bit-Stream Copy จะมีการแสดง Meta Data ของแต่ละไฟล์ให้เห็น ทำให้ผู้ตรวจสอบสามารถทราบได้ว่าไฟล์นั้นเป็นไฟล์ของแอพพลิเคชันอะไร และเคยถูกเปลี่ยนแปลงมาหรือไม่
  5. เทคนิคการทำ Bit-Stream Copy สามารถสร้างข้อมูลต่างๆ ได้เหมือนกับฮาร์ดดิสก์ต้นฉบับทุกประการ เทคนิคนี้สามารถนำไปใช้เป็นเครื่องพิสูจน์ความถูกต้องของสำเนาในชั้นศาลได้
บทบาทของ Computer Forensic ในภาคองค์กรธุรกิจ
โดยทั่วไปซอฟต์แวร์ทางด้าน Computer Forensic Tools นั้นจะมีใช้อยู่ในเฉพาะหน่วยงานรักษากฎหมายเท่านั้น จนกระทั่งช่วงปี 1997 ซึ่งเป็นยุคที่บริษัท และองค์กรต่างๆ มีการใช้งาน Microsoft Windows ที่มีการทำงานเป็นแบบมัลติทาส์กิง และบางองค์กรก็เริ่มมีการเชื่อมต่อระบบเครือข่ายเข้ากับระบบอินเทอร์เน็ตในการสื่อสาร ซึ่งทำให้เกิดการเปลี่ยนแปลงวิธีการทำงาน และการติดต่อสื่อสารไปโดยสิ้นเชิง
สืบเนื่องจากการทำงานของ Windows ที่เป็นแบบมัลติทาส์กิง ทำให้พนักงานในองค์กรบางคน เริ่มใช้จุดนี้ในการทำงานที่ไม่ก่อให้เกิดผลประโยชน์กับองค์กรเพิ่มขึ้น เช่น การเปิดดูข้อมูลที่เป็นความลับ และนำข้อมูลนี้ไปขายให้กับบริษัทที่เป็นคู่แข่ง อีกทั้งระบบเครือข่ายที่เชื่อมต่อกับอินเทอร์เน็ต ทำให้องค์กรมีโอกาสที่จะถูกเจาะระบบเครือข่ายจากบุคคลภายนอกมากขึ้น องค์กรธุรกิจหลายแห่งจึงเริ่มที่จะมีการนำระบบ Computer Forensic มาใช้ในองค์กรของตนเอง เพื่อเป็นเครื่องมือในการระบุความผิดของพนักงาน หาจุดบกพร่องในระบบขององค์กร จนถึงการค้นหาหรือเก็บหลักฐานสำคัญไว้ใช้ในการดำเนินคดีกับบุคคลที่ทำความผิด ซึ่งเป้าหมายของการใช้งานนี้จะแตกต่างกับหน่วยงานรักษากฎหมายทั่วไป เพราะภาคองค์กรธุรกิจนั้นจะใช้ระบบ Computer Forensic เป็นเหมือนกับส่วนหนึ่งของระบบรักษาความปลอยภัยขององค์กร ในการควบคุมการทำงานของพนักงาน และป้องกันความเสียหายของข้อมูลทางธุรกิจมากกว่า ทั้งหมดนี้ทำให้ซอฟต์แวร์ด้าน Computer Forensic Tools เริ่มได้รับความนิยมมากขึ้น จนปัจจุบันมีซอฟต์แวร์ด้านนี้สำหรับองค์กรธุรกิจให้เลือกใช้งานอย่างมากมาย

Computer Forensic Software Tools
ทุกวันนี้ การนำระบบ Computer Forensic เข้ามาใช้ กลายเป็นส่วนหนึ่งของระบบรักษาความปลอดภัยขององค์กรไปแล้ว เนื่องจากสามารถป้องกันความผิดพลาดในการทำงาน หรือการจงใจให้เกิดความเสียหายกับข้อมูลจากบุคคลภายในขององค์กรได้ และยังใช้ค้นหาหลักฐาน ในกรณีที่เกิดความเสียหายขึ้น เมื่อระบบรักษาความปลอดภัยถูกเจาะได้ ซึ่งมีประโยชน์มากในการติดตามหาผู้กระทำผิด และนำข้อมูลที่ได้ มาปรับปรุงระบบรักษาความปลอดภัยให้ดียิ่งขึ้น โดยซอฟต์แวร์ด้าน Computer Forensic Tools สำหรับองค์กรนี้ ส่วนใหญ่มีพื้นฐานมาจากหน่วยงานรักษากฎหมาย แต่ว่ามีการปรับปรุงในการตรวจสอบการกระทำที่น่าสงสัยในระบบเครือข่ายขององค์กร รวมถึงการจัดทำการแสดงผลรายงานที่สามารถเข้าใจได้ง่าย
ซอฟต์แวร์ด้าน Computer Forensic Tools มีหลากหลายแบรนด์ให้เลือก แต่ที่ได้รับความนิยมใช้ นั้นมีอยู่ 4 แบรนด์หลักคือ

• EnCase Enterprise Edition EnCase นั้นเริ่มใช้งานครั้งแรกในหน่วยงานรักษากฎหมายในประเทศสหรัฐอเมริกา ในช่วงปี ค.ศ. 1997 ถูกพัฒนาโดยนาย Shawn McCreight ซึ่งเคยเป็นผู้ที่ช่วยทำงานด้านการรวบรวม และวิเคราะห์ข้อมูลอาชญากรรมที่เกี่ยวข้องกับคอมพิวเตอร์ ให้กับกรมตำรวจแคลิฟอร์เนียมาก่อนเป็นระยะเวลา 2 ปี ด้วยความน่าเชื่อของผู้พัฒนาทำให้ซอฟต์แวร์ตัวนี้ได้รับการยอมรับจากหน่วยงานรักษากฎหมายในประเทศสหรัฐฯ และถูกใช้ในหน่วยงานรักษากฎหมายในประเทศอย่างแพ่รหลาย ต่อมาในปี ค.ศ. 2002 ผู้พัฒนาจึงได้ออก EnCase Enterprise Edition ที่ใช้สำหรับหน่วยงานองค์กรธุรกิจทั่วไปออกมา ซึ่งได้มีการปรับปรุงให้สามารถใช้งานได้กับระบบเครือข่ายขององค์กรได้ดียิ่งขึ้น และเพิ่มโมดูลสำหรับให้ผู้ดูแลระบบสามารถเข้าไปตรวจสอบเครื่องลูก เพื่อค้นหาไฟล์ที่น่าสงสัยแบบต่างๆ หรือเพื่อช่วยกู้ไฟล์ที่ถูกลบไปจากระยะไกลได้
EnCase จัดเป็นซอฟต์แวร์ที่มีการรวมแอพพลิเคชันด้าน Forensic ไว้หลายๆ อย่างในซอฟต์แวร์เพียงตัวเดียว ทำให้สามารถใช้งานได้หลากหลาย ไม่ว่าจะเป็นการค้นหาไฟล์ที่น่าสงสัย ตรวจสอบข้อมูลในระบบ กู้ไฟล์ที่ถูกลบ หรือการสร้างรายงานให้กับผู้ดูแลระบบนำไปวิเคราะห์ได้ ซึ่งจุดเด่นของ EnCase คือระบบตรวจสอบความถูกต้องของสำเนาที่เชื่อถือได้ด้วยการใช้เทคนิค MD5 และ Hash ที่สร้างค่า Hash Value ที่เปรียบเหมือนกับลายนิ้วมือไฟล์นั้น ซึ่งค่านี้สามารถนำมาใช้เปรียบเทียบความถูกต้องระหว่างต้นฉบับกับตัวสำเนาได้ และฟีเจอร์ที่เรียกว่า EnScript ที่อนุญาตให้ผู้ใช้ EnCase สามารถสร้างสคริปต์ ด้วยการใช้ภาษา C++ หรือ JavaScript สำหรับใช้ในการตรวจสอบค้นหาไฟล์ที่ต้องการเฉพาะเจาะจงเป็นพิเศษ ซึ่งใน EnCase เวอร์ชัน 5 ที่เป็นเวอร์ชันล่าสุดผู้ใช้ไม่จำเป็นต้องมีความรู้ด้านการภาษา C++ หรือ JavaScript เลย เพราะมีโมดูลสำเร็จรูปออกมาให้ผู้ใช้สามารถปรับการตรวจสอบของ EnCase ได้ตามต้องการ โดยผู้ใช้ยังสามารถนำโมดูล หรือสคริปต์ที่ตัวเองเขียนนั้นสามารถนำไปใช้กับผู้ใช้ EnCase คนอื่นได้ ซึ่งจุดนี้ทำให้ EnCase ได้เปรียบซอฟต์แวร์ตัวอื่นในเรื่องของการสนับสนุนผู้ใช้ที่ต้องการโซลูชันแบบใหม่ด้วยการแลกเปลี่ยนสคริปต์หรือโมดูลระหว่างผู้ใช้ด้วยกัน
โดยรวมแล้วซอฟต์แวร์ EnCase จัดว่าเป็นเครื่องมือในการทำ Computer Forensic ที่ค่อนข้างสมบูรณ์แบบตัวหนึ่ง เนื่องจากมีฟีเจอร์สำหรับใช้งานหลายอย่าง โดยเฉพาะในเรื่องของการค้นหาไฟล์ตามความต้องการ และการแสดงรายงานที่เลือกรูปแบบตามต้องการ เพื่อความสะดวกในการวิเคราะห์ นอกจากนี้ทาง Encase ยังมีการจัดการฝึกอบรมด้าน Computer Forensic โดยผู้ที่ผ่านการฝึกอบรมมาแล้วจะได้รับประกาศนียบัตรที่ได้รับการรับรองด้วย และยังให้ความช่วยเหลือกับผู้ใช้งานในด้านต่างๆ ไม่ว่าจะเป็นด้าน ปัญหาในการติดตั้ง หรือตรวจสอบหลักฐาน ปัญหาด้านข้อกฎหมาย ซึ่งจุดนี้ทำให้ Encase นั้นได้รับความนิยมทั้งจากหน่วยงานรักษากฎหมาย และองค์กรธุรกิจทั่วไป

หาข้อมูลเพิ่มเติมได้ที่ http://www.encase.com/• AccessData Ultimate Toolkit

• AccessData


เริ่มใช้เป็นครั้งแรกตั้งแต่ปี ค.ศ. 1987 เริ่มต้นจะใช้ในหน่วยงานรักษากฎหมาย ในการกู้พาสเวิร์ด หรือไฟล์ที่ถูกลบไปจากเครื่องคอมพิวเตอร์เป็นส่วนใหญ่ จนกระทั่งปี ค.ศ. 1997 การทำ Computer Forensic นั้นเริ่มเป็นที่นิยม และขณะนั้นต้องการเครื่องมือ Forensic ที่มีความหลากหลาย AccessData จึงได้เริ่มพัฒนาแอพพลิเคชันตัวอื่นๆ เพิ่มขึ้นจากเดิมที่มีเพียงแค่แอพพลิเคชันที่ใช้สำหรับกู้พาสเวิร์ด และกู้ไฟล์ที่ถูกลบเท่านั้น
AccessData จัดเป็นซอฟต์แวร์ที่มีทั้งแบบการรวมเอาแอพพลิเคชันด้าน Computer Forensic หลายอย่างไว้ในตัว และมีแบบแยกขายเฉพาะอย่าง เช่น ซอฟต์แวร์สำหรับใช้ในการกู้พาสเวิร์ด หรือกู้ไฟล์โดยเฉพาะ ทำให้ผู้ใช้ไม่จำเป็นต้องซื้อซอฟต์แวร์ยกชุดในราคาแพง แต่สามารถเลือกซื้อเฉพาะแอพพลิเคชันอย่างใดอย่างหนึ่งที่ต้องการใช้งานได้ ไม่ว่าจะเป็น Forensic Toolkit, Password Recovery Toolkit, Registry Viewer และ Distributed Network Attack แต่ถ้าเป็นตัว AccessData Ultimate Toolkit นั้นก็จะมีแอพพลิเคชันทั้งหมดรวมไว้อยู่แล้ว
จุดเด่นของ AccessData คือ ความสามารถที่เฉพาะเจาะจง เช่น การกู้พาสส์เวิร์ด การกู้ไฟล์ที่ถูกลบ เป็นต้น แต่ปัญหาของ Access Data กลับเป็นเรื่องความสามารถในการตรวจสอบข้อมูลในระบบเครือข่าย ซึ่งมีข้อจำกัดเนื่องจากผู้ใช้ไม่สามารถปรับแต่งค่าต่างๆ ด้วยตัวเอง ทำให้ไม่สามารถค้นหาไฟล์ที่เฉพาะเจาะจงได้เหมือนกับ EnCase
โดยรวมแล้ว AccessData จัดเป็นเครื่องมือในการทำ Computer Forensic เฉพาะด้านมากกว่า เช่น การกู้พาสเวิร์ด หรือการกู้ไฟล์ที่ถูกลบทิ้ง ในด้านการบริการนั้น AccessData มีการจัดการฝึกอบรมในด้าน Computer Forensic ให้กับผู้ใช้ AccessData และบุคคลภายนอกทั่วไปด้วย ซึ่ง AccessData นั้นจะได้รับความนิยมในองค์การที่เป็นหน่วยงานด้านความปลอดภัย หรือหน่วยงานรักษากฎหมายมากกว่าองค์กรธุรกิจ

หาข้อมูลเพิ่มเติมได้ที่ http://www.accessdata.com/

• VOGON Forensic Tools Software บริษัท VOGON ก่อตั้งเมื่อปี ค.ศ. 1985 ที่ประเทศอังกฤษ โดยในช่วงแรกนั้นจะเป็นบริษัทที่รับทำหน้าที่ในการแบ็กอัพ และกู้ข้อมูลที่สูญหายไปจากเครื่องเซิร์ฟเวอร์ ซึ่งในสมัยก่อนนั้น VOGON เป็นผู้ผลิตฮาร์ดแวร์ในด้าน Forensic Tools ชั้นแนวหน้าบริษัทหนึ่ง จนกระทั่งเข้ามาถึงยุคที่เซิร์ฟเวอร์ส่วนใหญ่ใช้ระบบปฎิบัติการ Windows 2000 ที่ทาง VOGON เริ่มมีการพัฒนา Forensic Tools ซอฟต์แวร์ขึ้นมาใช้ ซึ่งการทำงานของซอฟต์แวร์นี้สามารถใช้งานร่วมกับฮาร์ดแวร์ด้าน Forensic ได้เป็นอย่างดี VOGON Forensic Tools ตัวนี้จึงจัดว่าเป็นซอฟต์แวร์ที่มีประสิทธิภาพมากที่สุดตัวหนึ่ง ในกรณีที่ใช้งานร่วมกับฮาร์ดแวร์ของ VOGON เอง
ซอฟต์แวร์ VOGON Forensic Tools นี้เป็นการรวมเอาแอพพลิเคชันในด้าน Forensic เอาไว้ด้วยกัน คล้ายกับ EnCase แต่ว่ามีจุดเด่นกว่า EnCase ในเรื่องของความสามารถในการค้นหา หรือกู้ข้อมูลที่ถูกลบ และสูญหายไปจากสตอเรจแบบต่างๆ ที่เป็น SCSI, S-ATA จนถึงอุปกรณ์บันทึกข้อมูลแบบ USB ซึ่งมีการทำงานตรงจุดนี้ค่อนข้างรวดเร็ว และมีความถูกต้องสูง ส่วนการทำงานด้านอื่นๆ นั้นก็มีความคล้ายคลึงกับ EnCase ไม่ว่าจะเป็นจัดการสำเนาข้อมูลด้วยเทคนิค Hash และการสร้างรายงานที่สามารถนำไปวิเคราะห์ได้
โดยรวมแล้ว ซอฟต์แวร์ VOGON Forensic Tools ตัวนี้มีความสามารถใกล้เคียงกับ Encase และอาจจะสูงกว่าเมื่อใช้งานร่วมกับฮาร์ดแวร์ของ VOGON แต่การใช้งานซอฟต์แวร์ร่วมกับฮาร์ดแวร์นั้นก็จะเป็นการลงทุนที่มีต้นทุนสูงมากเช่นกัน สำหรับการบริการนั้นทาง VOGON ก็มีการจัดฝึกอบรมในด้าน Computer Forensic เช่นกัน สำหรับซอฟต์แวร์ VOGON Forensic Tools ตัวนี้นั้นส่วนใหญ่จะได้รับความนิยมในกลุ่มธุรกิจที่ใช้งานดาต้าเซนเตอร์ ที่เน้นการใช้การตรวจสอบข้อมูลต่างๆ ในสตอเรจเป็นหลัก

หาข้อมูลเพิ่มเติมได้ที่ http://www.vogon.co.uk/

• ProDiscover Incident Response (PDS)


ProDiscover Incident Response (PDS) ถูกพัฒนาโดยบริษัท Technology Pathway ในช่วงปี ค.ศ. 2002 ซึ่งเริ่มแรกนั้น PDS จะเป็นซอฟต์แวร์ที่เน้นการทำ Computer Forensic ในองค์การขนาดเล็ก ที่มีเครื่องคอมพิวเตอร์ไม่มาก แต่พอช่วงต้นปี ค.ศ. 2003 PDS ได้เพิ่มฟีเจอร์ที่เรียกว่า Remote Forensic Server ซึ่งเป็นฟีเจอร์แบบเดียวกันที่ EnCase มี คือสามารถให้ผู้ดูแลระบบเข้าไปตรวจสอบเครื่องลูกในระบบเครือข่ายจากระยะไกลได้ ซึ่งทำให้ PDS นี้เป็น 1 ใน 2 ซอฟต์แวร์ด้าน Computer Forensic ที่มีฟีเจอร์นี้ใช้งาน PDS จัดเป็นซอฟต์แวร์ที่ใช้งานง่ายมีความซับซ้อนไม่มาก ซึ่งผู้ใช้งานนั้นไม่จำเป็นต้องมีความชำนาญในด้าน Computer Forensic มากนัก จุดเด่นของ PDS ก็คือความสามารถในการตรวจสอบข้อมูลที่อยู่ในส่วนของฮาร์ดดิสก์ที่เรียกว่า Hardware Protect Area (HPA) ทำให้สามารถตรวจสอบคอนเทนต์ในส่วนนี้ของฮาร์ดดิสก์ เพื่อนำไปใช้วิเคราะห์ไฟล์ต่างๆที่อยู่ในฮาร์ดดิสก์นั้นได้สะดวกยิ่งขึ้น โดยไม่ต้องกังวลในเรื่องของรูปแบบพาร์ทิชันฮาร์ดดิสก์ว่าจะเป็นแบบใด นอกนี้ PDS ยังสามารถแสดงผลงานในรูปแบบที่เข้าใจง่ายได้ด้วย
โดยรวมแล้ว ProDiscover Incident Response (PDS) จัดเป็นซอฟต์แวร์ที่มีขนาดเล็ก แต่มีความสามารถไม่แพ้ EnCase แล้วยังสามารถใช้งานได้ง่าย แต่ก็มีจุดข้อเสียที่มีฟีเจอร์ค่อนข้างน้อย ทำให้ผู้ใช้ไม่สามารถปรับแต่งค่าการตรวจสอบ หรือค้นหาไฟล์แบบเฉพาะเจาะจงได้ ด้านการบริการนั้นก็ยังไม่ถึงกับดีมาก เพราะมีแค่การบริการให้ความช่วยเหลือในการใช้งานซอฟต์แวร์เท่านั้น ไม่มีคอร์สอบรมเหมือนกับซอฟต์แวร์ดตัวอื่น ทำให้ PDS ตัวนี้นั้นเหมาะจะใช้งานในองค์กรธุรกิจขนาดเล็ก ที่ต้องการนำระบบ Computer Forensic เข้ามาใช้งาน

หาข้อมูลเพิ่มเติมได้ที่ http://www.techpathways.com/


Computer Forensic Hardware Tools
นอกเหนือจาก Computer Forensic Tools ที่เป็นซอฟต์แวร์แล้ว ในปัจจุบันยังมี Computer Forensic Tools ที่มีลักษณะเป็นฮาร์ดแวร์ อีกด้วย ดังตัวอย่างต่อไปนี้

• Hammer

Hammer เป็นอุปกรณ์ที่ใช้กู้ข้อมูลที่ถูกลบในฮาร์ดดิส โดยสามารถใช้งานกับ ฮาร์ดดิสก์ ได้พร้อมกันถึง 4 ลูก ในเวลาเดียวกัน ใช้ได้กับ ฮาร์ดดิสก์ ทั้งประเภท PATA และ SATA สามารถทำงานได้ แม้จะถูกตัดกระแสไฟฟ้า เช่น เกิดไฟฟ้าดับในขณะกู้ข้อมูล มีคุณสมบัติที่เรียกว่า Secure Erase ซึ่งเป็นคุณสมบัติพื้นฐานของ Hammer

• Forensic Archive & Restore (FAR XR Pro)

FAR XR Pro เป็นอุปกรณ์ประเภท All in One Robotic Duplicator ที่ใช้กู้ข้อมูลจากแผ่น Disk ทุกประเภททั้ง CD, DVD โดยใช้วิธีการ Duplicate ข้อมูลจากแผ่น Disk ต้นฉบับไปยังแผ่น Disk ใหม่ปลายทาง โดยสามารถจุแผ่น Disk ได้ถึง 100 แผ่น การทำงาน มีการใช้ซอฟต์แวร์จำพวก MD5 และ SHA1 มาทำงาน นอกเหนือจากนั้น ยังสามารถที่จะพิมพ์ Label ลงบน CD หรือ DVD ได้อีกด้วย
นอกเหนือจากนี้ยังมีอุปกรณ์ ฮาร์ดแวร์อื่นๆ อีก ที่ถูกพัฒนาขึ้นมาเพื่อใช้ในงาน Computer Forensic ดังตัวอย่างด้านล่าง


Tableau T35e ForensicSATA/IDE Bridge


Tableau Forensic USB Bridge



Tableau TD1 Forensic Duplicator


Voom Technologies Shadow 2



Ultimate Forensic Write Protection Kit


อนาคตของ Computer Forensic ในประเทศไทย
สำหรับประเทศไทยนั้นเรื่อง Computer Forensic ยังถือว่าเป็นเรื่องที่ใหม่มาก แต่ในต่างประเทศนั้นเริ่มใช้ระบบนี้มาตั้งแต่เมื่อประมาณ 20 ปีก่อนแล้ว แต่ก็ต้องถือเป็นโชคดีของคนไทย ที่เรามีโอกาสจะได้เรียนรู้จากความผิดพลาดของต่างประเทศที่เคยมีมาก่อน แล้วเลือกใช้ระบบที่ดีที่สุด โดยในปัจจุบันนี้ก็มีหน่วยราชการเมืองไทยบางหน่วยงาน เริ่มให้ความสนใจในเรื่อง Computer Forensic แล้วโดยมีการนำผู้เชี่ยวชาญจากต่างประเทศมาบรรยาย และให้ความรู้ในด้านนี้กับบุคคลากรในหน่วยงานนั้นๆ
หน่วยงานข้าราชการ และองค์กรเอกชนในประเทศไทยนั้นเริ่มให้ความสนใจในด้านนี้ เพิ่มขึ้น และกำลังมีการเปลี่ยนแปลงไปยังองค์กรต่างๆ เพื่อนำ Computer Forensic ไปใช้ แต่ก็ยังติดอยู่ที่ข้อกฎหมาย และบุคลากรส่วนใหญ่ ยังไม่มีความรู้ในเรื่องนี้เท่านั้น ในอนาคตไม่ว่าข้อกฏหมายนั้นมีการเปลี่ยนแปลงหรือไม่ก็ตาม ระบบ Computer Forensic ก็จะกลายเป็นมาตราฐานของระบบรักษาความปลอดภัยขั้นที่สองอีกชั้นหนึ่งอย่างแน่นอน
ในขณะนี้มีประเทศในแถบเอเชียตะวันออกเฉียงใต้ ที่เริ่มมีการนำระบบ Computer Forensic ไปใช้แล้วอย่างจริงจัง คือ ประเทศสิงค์โปร์ และยังมีอีกประเทศที่ให้ความสนใจระบบนี้ เช่น มาเลเซีย อินโดนีเซีย และฟิลิปปินส์ ซึ่งในไม่ช้าคาดว่าประเทศเหล่านี้ก็จะนำระบบ Computer Forensic เข้ามาใช้ในองค์กรจนเป็นเรื่องปกติ ซึ่งจะเป็นการกดดันให้ประเทศไทยของเรา ต้องนำระบบนี้เข้ามาใช้เช่นกัน เพื่อรักษาให้มีระดับมาตรฐานความ ปลอยภัยที่เทียบเท่ากับประเทศเพื่อนบ้านนั่นเองไม่ว่าจะยังไงก็ตามระบบ Computer Forensic นี้จะเป็นระบบที่มีสำคัญอย่างแน่นอน เนื่องจากการเจริญเติบโตที่รวดเร็วของระบบสารสนเทศปัจจุบัน แม้ว่าในแต่ละองค์กร จะมีระบบการป้องกันที่เป็น IPS ไฟร์วอลล์ หรือซอฟต์แวร์แอนตี้ไวรัสที่ดีแค่ไหนก็ตาม ก็ไม่มีทางป้องกันการโจมตีจากคนร้าย หรือ แฮ็กเกอร์ได้อย่างสมบูรณ์ การมีระบบ Computer Forensic จะช่วยได้ในจุดนี้ โดยจะทำให้สามารถระบุว่าคนร้ายเป็นใคร และเข้ามาได้อย่างไร เปรียบเหมือนกับว่าแต่ละองค์กรมีระบบป้องกันที่ดีที่สุดแล้ว แต่ก็ยังมีผู้บุกรุกบุกเข้ามาในองค์กรได้ ซึ่งผู้บุกรุกอาจทิ้งหลักฐานไว้ให้ เราสามารถนำไปหาตัวผู้บุกรุกได้ ซึ่งในกรณีของอาชญากรรมที่ใช้คอมพิวเตอร์นั้นก็เช่นกัน คนร้ายมีสิทธิ์ที่จะทิ้งหลักฐานดิจิตอลนี้ไว้ แต่เราก็อาจจะไม่มีทางจะพบหลักฐานดิจิตอลเหล่านี้เลย นอกจากจะมีการทำ Computer Forensic ในระบบเอาไว้
เครื่องมือที่สำคัญของ Computer Forensic นั้นคือ ระบบที่เราเรียกว่า Bit-Stream Copy ซึ่งวิธีการนี้จะมีความละเอียดมากกว่าการทำ Mirror Image เนื่องจาก Bit-Stream Copy นั้นจะทำการ Copy ข้อมูลทั้งหมดที่ผ่านเข้าออกในระบบแบบบิตต่อบิต ไม่ว่าจะเป็นบันทึกการใช้งานอินเทอร์เน็ต การใช้อีเมล์ การเปิดหรือลบไฟล์ รวมถึงข้อความการสนทนา หรือการเปิดใช้งานแอพพลิเคชันต่างๆ ซึ่งข้อมูลทั้งหมดที่ได้นั้นจะถูกส่งไปตรวจสอบที่เครื่องของผู้ดูแลระบบ และจากนั้นก็จะมีการเข้ารหัสให้กับสำเนาข้อมูลนั้น พร้อมกับเก็บไว้เป็นหลักฐานเพื่อนำไปใช้งานต่อไป

Case Study & Example
ต่อไปนี้จะเป็นตัวอย่าง การใช้เทคนิค Bit-Stream Copy จับตัวพนักงานในองค์กรที่ลับลอบส่งข้อมูลให้กับบริษัทคู่แข่ง
  1. นาย A ที่เป็นผู้ช่วยผู้จัดการแผนกการผลิต แอบส่งไฟล์ให้กับนาย B ที่อยู่บริษัทคู่แข่ง ผ่านทาง MSN เพราะไม่ต้องการให้ข้อมูลนั้นผ่านเซิร์ฟเวอร์ของบริษัท ที่มีการติดตั้งระบบตรวจสอบไว้ ซึ่งไฟล์ดังกล่าวนั้นมีข้อมูลของผลิตภัณฑ์ตัวใหม่ของบริษัทที่ยังไม่ออกสู่ตลาด จากนั้นนาย A ก็ทำการลบ History ในการทำงานทิ้ง จากนั้นก็ทำงานเหมือนตามปกติโดยไม่เป็นที่ผิดสังเกตุ
  2. นาย B ใช้ เครื่องคอมพิวเตอร์โน้ตบุ๊กที่มี โปรแกรม MSN เพื่อรับไฟล์จากนาย A ในร้านอินเทอร์เน็ตคาเฟ่สาธารณะเพื่อหลีกเลี่ยงการพบปะติดต่อกับนาย A โดยตรง
  3. เครื่องเซิร์ฟเวอร์ที่มีการติดตั้งซอฟต์แวร์ Computer Forensic ได้ใช้ Bit-Stream Copy เก็บข้อมูลการใช้งานทุกอย่างของนาย A ไว้ทั้งหมด รวมถึงข้อมูลการส่งอีเมล์ที่มีข้อมูลความลับของบริษัทที่นาย A ส่งไปให้นาย B
  4. นาย C ตรวจสอบกับซอฟต์แวร์ Forensic ที่ใช้การค้นหาข้อมูลที่น่าสงสัย โดยการกำหนดคีย์เวิร์ดที่เกี่ยวข้องกับข้อมูลของบริษัทพบว่านาย A มีพฤติกรรมในการใช้งานอินเทอร์เน็ตที่ผิดปกติ จึงทำการตรวจสอบจากสำเนาข้อมูลที่ได้พบว่านาย A ใช้ MSN ส่งไฟล์ข้อมูลผลิตภัณฑ์ใหม่ของบริษัทไปให้กับบุคคลภายนอกโดยไม่ได้รับอนุญาตจากหัวหน้าแผนก
  5. นาย C แจ้งกับหัวหน้าของนาย A เพื่อขอตรวจสอบข้อมูลที่อยู่ในเครื่องคอมพิวเตอร์ของนาย A เพื่อพิสูจน์ความถูกต้องของสำเนาที่ได้จากซอฟต์แวร์ Forensic ซึ่งจากการตรวจสอบสำเนาที่ได้มา มีความถูกต้องตรงกับข้อมูลในคอมพิวเตอร์ของ นาย A ทุกประการ ทำให้นาย A จึงถูกพักงาน และพร้อมกับโดนสอบสวนทางวินัย จากข้อมูลที่ได้มาจากฮาร์ดดิสก์ของเครื่องคอมพิวเตอร์

Summary
จากสถานการณ์การจู่โจมระบบคอมพิวเตอร์ของ Hacker ที่มีผลกระทบต่อหน่วยงานในประเทศไทยโดยเฉพาะหน่วยงานภาครัฐมีขึ้นอย่างต่อเนื่อง และมีแนวโน้มที่จะเพิ่มมากขึ้นเรื่อยๆ การปราบปรามอาชญากรรมทางคอมพิวเตอร์นั้น เป็นเรื่องที่ค่อนข้างยากและยังใหม่ต่อกระบวนการยุติธรรมในประเทศไทย โดยเริ่มจากกฎหมายอาชญากรรมคอมพิวเตอร์จะต้องมีผลบังคับใช้เสียก่อน ถึงจะสามารถนำกฎหมายมาจัดการกับเหล่าอาชญากรไฮเทคเหล่าได้ ซึ่งการพิจารณาคดีอาชญากรรมคอมพิวเตอร์นั้น จำเป็นต้องใช้ความรู้ทางด้าน Information Security และ เจาะลึกในการพิสูจน์หลักฐานทางคอมพิวเตอร์ หรือ นิติคอมพิวเตอร์ (Computer Forensics) กล่าวอีกนัยหนึ่งก็คือ การใช้กระบวนการที่จะสามารถระบุ, บ่งชี้, เก็บรักษา, และ กู้คืน บรรดาข้อมูลแบบดิจิทัลที่มีความสำคัญต่อการสืบสวน
ปัญหาก็คือ ผู้ที่เกี่ยวข้องไม่ว่าจะเป็นพนักงานสอบสวนของสำนักงานตำรวจแห่งชาติ, เจ้าหน้าที่กรมสอบสวนคดีพิเศษ (DSI) ของกระทรวงยุติธรรม, เจ้าหน้าที่ของสถาบันนิติวิทยาศาสตร์, ผู้พิพากษา และ อัยการ ตลอดจน ทนายความ มีความจำเป็นที่จะต้องเรียนรู้เรื่อง Computer Forensics เพื่อที่จะสามารถดำเนินการใต่สวนคดีอาชญากรรมคอมพิวเตอร์ได้อย่างถูกต้องและมีประสิทธิภาพ
Computer Forensics นับเป็นความรู้ขั้นสูงทางด้าน Information Security การรวบรวมและเก็บพยานหลักฐาน (Evidence) ที่อยู่ในรูปของข้อมูลดิจิทัล จำเป็นต้องกระทำโดยผู้ที่มีความเชี่ยวชาญทางด้าน Computer Forensics โดยเฉพาะ มิฉะนั้นข้อมูลที่มีค่าอาจสูญหายไปด้วยความรู้เท่าไม่ถึงการณ์ ข้อมูลที่อยู่ในหน่วยความจำ (RAM) สามารถนำมาใช้พิจารณาทางชั้นศาลได้ หากมีการจัดเก็บอย่างถูกต้อง ข้อมูลในฮาร์ดดิสก์ ถึงแม้จะถูกลบไปแล้ว หรือ ฮาร์ดดิสก์ถูกฟอร์เม็ตไปแล้ว ก็ยังสามารถเรียกคืนได้ โดยโปรแกรมที่มีความสามารถในการกู้ข้อมูลโดยเฉพาะ เช่น Encase หรือ Forensic Tool Kit (FTK) เป็นต้น
การกู้ข้อมูลทำให้พนักงานสอบสวนสามารถค้นพบข้อมูลบางอย่าง เช่น ไฟล์ที่ถูก ลบไปแล้ว, รหัสผ่านที่ถูกลบไปแล้ว, พฤติกรรมการเข้าถึงไฟล์ของผู้ใช้คอมพิวเตอร์, วันเวลาที่ถูกต้องของเหตุการณ์การจู่โจมของแฮกเกอร์จาก Log File, อีเมล์ที่ผู้ต้องสงสัยใช้ในการติดต่อกัน, IP Address ของผู้ต้องสงสัยเพื่อสอบไปถึงเบอร์โทรศัพท์ที่ต่อเข้า ISP ตลอดจนร่องรอยของแฮกเกอร์ที่ทิ้งไว้ในระบบหลังจากที่บุกเข้าจู่โจมระบบ
โปรแกรมที่ใช้ในการ Backup Image ของฮาร์ดดิสก์ที่มีข้อมูลหลักฐานนั้น มีความสำคัญเช่นเดียวกับโปรแกรมที่ใช้ในการกู้ข้อมูล พนักงานสอบสวนควรมีอุปกรณ์คอมพิวเตอร์ที่ใช้ในการปฏิบัติการ Computer Forensics โดยเฉพาะ
ข้อมูลการจราจรที่เป็นลักษณะ Real-Time ก็มีความสำคัญในการพิจารณาคดีเช่นกัน พนักงานสอบสวนควรมีความสามารถในการใช้โปรแกรมประเภท Packet Sniffer เช่น Ethereal, Sniffer Pro เป็นต้น
กล่าวโดยสรุปคือ การอบรมความรู้ขั้นสูงทางด้าน Information Security เป็นเรื่องจำเป็นสำหรับพนักงานสอบสวนตลอดจนผู้ที่เกี่ยวข้องในกระบวนการยุติธรรมจนถึงขั้นศาล หน่วยงานภาครัฐควรให้ความสำคัญเรื่องการฝึกอบรมบุคลากรดังกล่าวในเรื่อง Computer Forensics และ Investigations ให้พร้อมรับกับกฎหมายอาชญากรรมคอมพิวเตอร์ที่กำลังจะถูกนำมาใช้ในประเทศไทยเพื่อปราบเหล่าอาชญากรคอมพิวเตอร์ที่นับวันจะเพิ่มมากขึ้น และ รูปแบบคดีก็ทวีความซับซ้อนมากขึ้นเช่นกัน ความเข้าใจ และ ความรู้จริงด้าน Computer Forensics และ Investigations จะทำให้ผู้ที่เกี่ยวข้องในกระบวนการยุติธรรม สามารถนำกฎหมายมาบังคับใช้ได้อย่างมีประสิทธิภาพในที่สุด

Reference
  1. http://www.forensic-computers.com/ และ www.computer-forensic.com
  2. Computer Forensic Investigations, Michael Barba, CPP Partner
  3. แนวทางการสืบสวนคดีอาชญากรรมทางคอมพิวเตอร์, พ.ต.อ.ญาณพล ยั่งยืน, กรมสอบสวนคดีพิเศษ
  4. Computer forensics from E World Magazine
  5. กฎหมายอาชญากรรมคอมพิวเตอร์ และ การพิสูจน์หลักฐานด้วยวิธีการ "นิติคอมพิวเตอร์" (Thailand Computer Crime Law and Computer Forensics), by A.Pinya Hom-anek, ACIS Professional Team
  6. Computer Forensics, From Wikipedia, the free encyclopedia