แนวทางการจัดการข้อมูลทางอิเล็กทรอนิกส์ที่อาจเป็นหลักฐานในคดี (Handling Electronic Data That May be Used as Evidence)
สิ่งที่อาจเป็น Evidence
– TV,Watch,Phone,etc หรือสิ่งที่เชื่อมต่อ Internet ได้
หลักการสำคัญของการทำ Forensics
– ขั้นตอนการตรวจพิสูจน์
– ขั้นตอนการทำ Document
– ขั้นตอนการเก็บหลักฐาน
Software เป็นสิ่งที่อาศัยการทำบ่อยๆก็ชำนาญ ออกรุ่นใหม่ๆทุกๆปี
“ข้อเท็จจริง เป็นสิ่งที่พิสูจน์ได้”
ปัญหาที่พบในการทำ Forensics
– หนังสือ, แบบฟอร์มการขอตรวจสอบ ไม่ชัดเจนว่าจะให้ทำอะไร
– ข้อมูลพยานหลักฐาน ก่อนที่จะมาถึงมือผู้ตรวจ อาจถูกเปลี่ยนแปลงข้อมูลมาแล้ว
SOP (Standard Operating Procedure) มาตรฐานในการตรวจสอบพิสูจน์พยานหลักฐาน
Guideline ในการทำหลักๆมีอยู่ประมาณ 5-7 ข้อโดยประมาณ ไม่เกินนี้
หลักๆเป็นการเตรียมตัวในการดำเนินงาน การนำข้อมูลออกมาตรวจวิเคราะห์
ไม่ให้ข้อมูลพยานหลักฐานเกิดการเสียหาย หรือถูกเปลี่ยนแปลง
ในฐานะ User ทั่วๆไป ก็ควรที่จะเรียนรู้ ตระหนัก Awareness ในการใช้งานของตนเองด้วย
ขั้นตอนการตรวจสอบก่อนถึงศาล จะมั่นใจได้อย่างไรว่าข้อมูลจะไม่ถูกเปลี่ยนแปลงไปก่อนหน้า
– การทำ Document ผู้ตรวจสอบต้องมีการทำ Document มีการบันทึก Timeline ในการดำเนินการตรวจพิสูจน์พยานหลักฐาน
และมีการเช็นต์กำกับในแต่ละขั้นตอนของการตรวจสอบด้วย
ETDA Open Forum Episode #23 "แนวทางการจัดการข้อมูลทางอิเล็กทรอนิกส์ที่อา… https://t.co/h4zovl21L5 via @YouTube
— #ศรรามร้องไห้ทำไม (@sornram9254) July 11, 2015
ไปมาเหมือนกัน แต่เพิ่งกลับถึงหอ ถถถ+
— #ศรรามร้องไห้ทำไม (@sornram9254) July 11, 2015
ใช้toolเก่งแต่ไม่ได้หมายความว่าเราเป็นผู้เชี่ยวชาญ
แต่ต้องเก่งในด้านกระบวนการการทำงานด้วย ถึงจะเป็นผู้เชี่ยวชาญอย่างแท้จริง
#ETDA #OpenForum
— #ศรรามร้องไห้ทำไม (@sornram9254) July 11, 2015
ปัญหาในการตรวจสอบพิสูจน์พยานหลักฐานอย่างหนึ่งคือ
กว่าที่หลักฐานจะมาถึงผู้ตรวจสอบ อาจโดนผู้เสียหายเองได้ลบไปแล้ว
ทำให้สืบสวนได้ยากขึ้น
— #ศรรามร้องไห้ทำไม (@sornram9254) July 11, 2015
อย่างถ้าเว็บถูกhack บางกรณีเจ้าของเครื่องพอรู้ว่าโดน ก็ส่งเรื่องมาให้ตรวจสอบ
แต่เจ้าของเครื่องดันโกสตัวosกลับไปก่อนหน้าที่เกิดการโดนhack
— #ศรรามร้องไห้ทำไม (@sornram9254) July 11, 2015
Published by