IT General
Digital Forensics Investigation Guide
Digital Forensics Investigation Guide คืออะไร / ทำไมถึงสำคัญ
เอ้า! น้องๆ เคยดู CSI มั้ย? นั่นแหละคล้ายๆ กัน แต่ของเราเน้น "ดิจิทัล" คือสืบสวนจากหลักฐานอิเล็กทรอนิกส์ไง สมัยผมทำร้านเน็ตนี่เจอประจำ เด็กแอบเล่นเกมเถื่อน, แฮ็ก user คนอื่น, หรือหนักสุดคือเอาคอมฯ ไปทำเรื่องผิดกฎหมาย (ซึ่งเราต้องรีบแจ้งตำรวจเลยนะ!) Digital Forensics ก็คือกระบวนการหาความจริงจากหลักฐานดิจิทัลเหล่านี้นี่แหละ
ทำไมถึงสำคัญน่ะเหรอ? คิดดูสิ ทุกวันนี้ชีวิตเราผูกกับดิจิทัลหมดแล้ว ทั้งมือถือ, คอมพิวเตอร์, Cloud Storage... ถ้ามีใครทำผิด, โดนแฮ็ก, หรือข้อมูลรั่วไหล เราก็ต้องตามหาคนผิดให้ได้ แล้วจะตามหายังไง? ก็ต้องใช้ Digital Forensics ไงล่ะ!
พื้นฐานที่ต้องรู้
ก่อนจะไปลงมือสืบสวน เราต้องมีพื้นฐานแน่นๆ ก่อนนะ เหมือนสร้างบ้าน ถ้าฐานไม่ดี บ้านก็พัง
ระบบไฟล์ (File Systems)
น้องต้องเข้าใจว่าไฟล์ต่างๆ มันถูกเก็บไว้ยังไงในคอมพิวเตอร์ สมัยผมเรียนนี่เรียนเรื่อง FAT32, NTFS ตอนนี้มี APFS, ext4 อีกเยอะแยะ ถ้าไม่รู้เรื่องนี้ จะหาไฟล์ที่ถูกลบไปแล้ว หรือซ่อนไว้แทบไม่ได้เลย
ยกตัวอย่างง่ายๆ เวลาเราลบไฟล์ใน Windows มันไม่ได้หายไปจริงๆ นะ แค่ถูกทำเครื่องหมายว่า "พื้นที่นี้ว่างแล้ว" แล้วรอให้ไฟล์อื่นมาเขียนทับ ถ้าเราใช้โปรแกรมกู้ไฟล์ดีๆ ก็มีโอกาสกู้กลับมาได้
การเข้ารหัส (Encryption)
ข้อมูลบางอย่างถูกเข้ารหัสไว้ (Encryption) เพื่อป้องกันไม่ให้คนอื่นอ่านได้ ถ้าเราเจอข้อมูลที่เข้ารหัสไว้ เราต้องหาวิธีถอดรหัสก่อนถึงจะอ่านได้ บางทีต้องใช้ password, บางทีต้องใช้เครื่องมือเฉพาะ
สมัยก่อนพวกโปรแกรมเข้ารหัสไม่ค่อยมีคนใช้เท่าไหร่ แต่เดี๋ยวนี้มีเยอะมาก แถมใช้งานง่ายด้วย ทำให้การสืบสวนซับซ้อนขึ้นไปอีก
วิธีใช้งาน / เริ่มต้นยังไง
เริ่มแรกเลยคือต้องมี "เครื่องมือ" ที่ดี เหมือนช่างไม้ต้องมีเลื่อย, ค้อน, สว่าน เราก็ต้องมีโปรแกรมสำหรับ Digital Forensics เช่น EnCase, FTK, Autopsy พวกนี้เป็นโปรแกรมที่ช่วยเราวิเคราะห์ข้อมูลในฮาร์ดดิสก์, เมมโมรี่, หรืออุปกรณ์อื่นๆ
แต่ก่อนจะใช้เครื่องมือพวกนี้ได้ เราต้องรู้หลักการทำงานของมันก่อนนะ ไม่ใช่สักแต่ว่าคลิกๆๆๆ แล้วจะเจอหลักฐาน
ขั้นตอนปฏิบัติจริง
การเก็บหลักฐาน (Acquisition)
ขั้นตอนแรกคือการ "เก็บ" หลักฐานดิจิทัล เช่น ฮาร์ดดิสก์, USB drive, หรือโทรศัพท์มือถือ สิ่งที่สำคัญที่สุดคือต้องเก็บให้ถูกต้องตามหลักการ Forensic คือต้องไม่ทำให้หลักฐานเปลี่ยนแปลงไปจากเดิมแม้แต่นิดเดียว
สมัยผมทำร้านเน็ต เคยเจอเคสเด็กเอา Flash Drive มาเสียบคอมฯ แล้ว copy ไฟล์เกมเถื่อนไป เราก็ต้องเก็บ Flash Drive นั้นไว้เป็นหลักฐาน แต่ต้องทำสำเนา (Image) ของ Flash Drive นั้นก่อน แล้วเอาสำเนามาวิเคราะห์ ห้ามวิเคราะห์จาก Flash Drive ตัวจริงเด็ดขาด เพราะอาจจะเผลอไปแก้ไขข้อมูลใน Flash Drive นั้นได้
# ตัวอย่างการสร้าง Image ของฮาร์ดดิสก์ด้วย dd (บน Linux)
dd if=/dev/sda of=/path/to/image.img bs=4096 conv=sync,noerror
การวิเคราะห์ (Analysis)
หลังจากเก็บหลักฐานมาแล้ว เราก็เอามา "วิเคราะห์" ด้วยเครื่องมือที่เรามี ขั้นตอนนี้อาจจะใช้เวลานานมาก ขึ้นอยู่กับขนาดของหลักฐานและความซับซ้อนของคดี
เราต้องหาไฟล์ที่เกี่ยวข้อง, ดู Log file, ดูประวัติการใช้งานอินเทอร์เน็ต, หรือแม้แต่กู้ไฟล์ที่ถูกลบไปแล้ว
อย่าลืมนะว่าทุกอย่างที่เราทำต้องมี "บันทึก" ไว้หมด เพื่อให้เราสามารถอธิบายได้ว่าเราทำอะไรไปบ้าง และทำไมถึงทำอย่างนั้น
เปรียบเทียบกับทางเลือกอื่น
จริงๆ แล้ว Digital Forensics ไม่ใช่ทางเลือกเดียวในการสืบสวน เราอาจจะใช้การสัมภาษณ์พยาน, การตรวจสอบเอกสาร, หรือการสืบสวนแบบอื่นร่วมด้วยก็ได้ แต่ Digital Forensics มีข้อดีตรงที่มัน "จับต้องได้" คือเรามีหลักฐานเป็นไฟล์, เป็นข้อมูลดิจิทัล ซึ่งสามารถนำไปใช้ในศาลได้
ข้อเสียก็คือมันต้องใช้ความรู้และความเชี่ยวชาญสูง ถ้าทำไม่ถูกวิธี หลักฐานอาจจะใช้ไม่ได้เลย
| วิธีการ | ข้อดี | ข้อเสีย |
|---|---|---|
| Digital Forensics | หลักฐานจับต้องได้, น่าเชื่อถือ | ต้องใช้ความรู้และความเชี่ยวชาญ, ใช้เวลานาน |
| การสัมภาษณ์พยาน | รวดเร็ว, ได้ข้อมูลเชิงลึก | ความน่าเชื่อถือต่ำ, อาจถูกหลอก |
| การตรวจสอบเอกสาร | ได้ข้อมูลที่เป็นลายลักษณ์อักษร | ใช้เวลานาน, อาจไม่ครอบคลุม |
ถ้าอยากรู้เรื่อง IT เยอะๆ แวะมาอ่าน SiamCafe Blog บ่อยๆ นะครับ ผมเขียนเองกับมือ
แล้วก็อย่าลืมติดตาม SiamCafe Blog นะ มีอะไรใหม่ๆ อัพเดทตลอด
Best Practices / เคล็ดลับจากประสบการณ์
เอาล่ะน้องๆ มาถึงตรงนี้ แสดงว่าเริ่มสนใจเรื่อง Digital Forensics กันแล้ว สมัยผมทำร้านเน็ตคาเฟ่ SiamCafe.net เมื่อ 20 กว่าปีก่อน บอกเลยว่าเรื่องนี้สำคัญมากกกก เพราะเราต้องรับผิดชอบข้อมูลของลูกค้า และป้องกันตัวเองจากปัญหาที่อาจเกิดขึ้นด้วย
สิ่งที่ผมจะบอกต่อไปนี้ เป็นประสบการณ์จริงที่เจอมากับตัว บางอย่างอาจจะดูเบสิค แต่เชื่อเถอะว่ามันช่วยชีวิตเราได้จริงๆ นะ
เทคนิคที่ 1: Document ทุกอย่าง!
สมัยก่อนผมจดทุกอย่างลงสมุดเลยนะ ตั้งแต่ IP address ของเครื่องแต่ละเครื่อง, log การใช้งานต่างๆ, หรือแม้แต่ปัญหาที่ลูกค้าแจ้งเข้ามา เพราะเวลาเกิดเรื่องจริงๆ ข้อมูลเหล่านี้แหละที่จะช่วยเราได้
เดี๋ยวนี้มีเครื่องมือเยอะแยะมากมายที่ช่วยบันทึกข้อมูลได้อัตโนมัติ แต่สิ่งที่สำคัญกว่าคือ การมีระบบที่ชัดเจน และทุกคนในทีมต้องเข้าใจตรงกันว่าจะบันทึกอะไร ตรงไหน และเมื่อไหร่
เทคนิคที่ 2: สำรองข้อมูลสม่ำเสมอ
อันนี้ไม่ต้องพูดเยอะ ใครไม่ backup คือประมาท! สมัยก่อนผมใช้วิธีง่ายๆ คือ copy ข้อมูลสำคัญๆ ไปไว้ใน external hard drive แต่เดี๋ยวนี้มี cloud storage ให้เลือกใช้เยอะแยะ ลองเลือกที่เหมาะกับธุรกิจของเราดู
ที่สำคัญคือ ต้องมีการทดสอบการ restore ข้อมูลด้วยนะ ไม่ใช่ backup อย่างเดียว แต่พอถึงเวลาจริงๆ restore ไม่ได้ อันนี้ยิ่งซวยกว่าเดิมอีก
เทคนิคที่ 3: จำกัดสิทธิ์การเข้าถึงข้อมูล
ไม่ใช่ทุกคนในทีมต้องเข้าถึงข้อมูลทุกอย่างได้ กำหนดสิทธิ์การเข้าถึงตามความจำเป็นของแต่ละคน เช่น พนักงาน front อาจจะเข้าถึงข้อมูลลูกค้าได้ แต่ไม่จำเป็นต้องเข้าถึงข้อมูลทางการเงินของร้าน
การจำกัดสิทธิ์การเข้าถึง ช่วยลดความเสี่ยงที่ข้อมูลจะถูกแก้ไข หรือถูกนำไปใช้ในทางที่ผิดได้เยอะเลย
เทคนิคที่ 4: เตรียมพร้อมรับมือเหตุการณ์
ทำแผนรับมือเหตุการณ์ฉุกเฉินไว้เลย ไม่ว่าจะเป็นเรื่องโดนแฮก, ข้อมูลรั่วไหล, หรือเครื่องเสีย สิ่งสำคัญคือต้องรู้ว่าใครมีหน้าที่อะไร, จะต้องทำอะไรบ้าง, และจะติดต่อใคร
ซ้อมแผนเป็นประจำด้วยนะ จะได้ไม่ตื่นตระหนกเวลาเกิดเรื่องจริงๆ iCafeForex เขามีบริการด้านนี้ด้วย ลองไปศึกษาดูได้
FAQ คำถามที่พบบ่อย
ข้อมูลที่ถูกลบไปแล้ว กู้คืนได้ไหม?
ตอบ: มีโอกาสกู้คืนได้ แต่ขึ้นอยู่กับหลายปัจจัย เช่น วิธีการลบ, ระยะเวลาที่ผ่านไป, และมีการเขียนข้อมูลทับลงไปหรือไม่ ยิ่งลบแบบธรรมดาๆ โอกาสกู้คืนก็ยิ่งสูง แต่ถ้าลบแบบ secure delete โอกาสก็จะน้อยลง
เครื่องมือ Digital Forensics ราคาแพงไหม?
ตอบ: มีทั้งเครื่องมือฟรีและเครื่องมือเสียเงิน เครื่องมือฟรีก็มีคุณภาพดีๆ หลายตัว แต่เครื่องมือเสียเงินมักจะมีฟีเจอร์ที่ครบครันกว่า และใช้งานง่ายกว่า เลือกใช้ตามงบประมาณและความต้องการของเรา
ต้องมีความรู้ด้านกฎหมายมากแค่ไหน ถึงจะทำ Digital Forensics ได้?
ตอบ: ความรู้ด้านกฎหมายสำคัญมาก เพราะ Digital Forensics เกี่ยวข้องกับหลักฐานในชั้นศาล เราต้องรู้ว่าอะไรที่ทำได้ อะไรที่ทำไม่ได้, หลักฐานแบบไหนที่รับฟังได้, และจะต้องเก็บรักษาหลักฐานอย่างไรให้ถูกต้องตามกฎหมาย
ถ้าโดนแฮก ควรทำยังไง?
ตอบ: อันดับแรกคือตัดการเชื่อมต่ออินเทอร์เน็ตทันที เพื่อป้องกันความเสียหายเพิ่มเติม จากนั้นให้แจ้งความกับตำรวจ และติดต่อผู้เชี่ยวชาญด้าน Digital Forensics เพื่อตรวจสอบและกู้คืนข้อมูล SiamCafe Blog มีบทความเกี่ยวกับเรื่องนี้เยอะ ลองเข้าไปอ่านดูได้
สรุป
Digital Forensics ไม่ใช่เรื่องยาก แต่ต้องอาศัยความรู้ ความเข้าใจ และประสบการณ์ สิ่งที่สำคัญที่สุดคือ การเตรียมตัวให้พร้อม และมีระบบที่ชัดเจน เพื่อรับมือกับปัญหาที่อาจเกิดขึ้นได้
หวังว่าบทความนี้จะเป็นประโยชน์กับน้องๆ นะครับ ถ้ามีคำถามอะไรเพิ่มเติม ถามมาได้เลย ยินดีให้คำแนะนำเสมอ
