Posted: 04 Dec 2018 08:29 AM PST (อ้างอิงจากอีเมล์ข่าว เว็บไซต์ประชาไท www.prachatai.com)
Submitted on Tue, 2018-12-04 23:29
ธีร์รัฐ ไชยอัคราวัชร์
ข้อเขียนนี้น่าจะเป็นประโยชน์ ต่อทนายความ และประชาชนที่ยังไม่รู้นะครับ
ข้อมูลคอมพิวเตอร์คืออะไร
ข้อมูลคอมพิวเตอร์นี้บางทีเรียกว่า ข้อมูลอิเล็คทรอนิกส์ บางทีก็เรียกว่าข้อมูลดิจิตัล เป็นข้อมูลที่เกิดจากการทำงานของระบบคอมพิวเตอร์ ในส่วนของโทรศัพท์มือถือนั้น ปัจจุบันเป็นระบบดิจิตัลหมดแล้ว โทรศัพท์มือถือ จึงเป็นระบบคอมพิวเตอร์ตามความหมายนี้ด้วย ข้อมูลคอมพิวเตอร์ หมายถึง ข้อมูลไฟล์ดิจิตัล ที่เป็นเสียง เป็นรูปภาพ เป็นคลิปวีดิโอ เป็นข้อความอักษรเป็นข้อมูลการติดต่อสื่อสารภายในระบบ
ข้อมูลคอมพิวเตอร์แบ่งออกเป็นสองประเภทได้แก่
ข้อมูลที่มองเห็นได้ด้วยตาเปล่า กับข้อมูลที่มองไม่เห็นด้วยตาเปล่า เพราะถูกลบ หรือซ่อนอยู่
1. ข้อมูลที่มองเห็นได้ด้วยตาเปล่า ก็เช่น ข้อความสนทนา หรือรูปถ่ายในไลน์ ในเฟส ในเพจ หมายเลขโทรเข้าออก รายชื่อเพื่อนในเฟส รายชื่อเพื่อนในอีเมลล์เป็นต้น
2. ข้อมูลที่มองไม่เห็นด้วยตาเปล่า ก็เช่น ข้อมูลการเข้าเว็บไซต์ ข้อมูลการติดต่อสื่อสารของโทรศัพท์กับผู้ให้บริการเครือข่าย ข้อมูลรูปภาพที่ซ่อนไว้ ข้อมูลที่ลบหรือฟอร์แมทฮาร์ดดิสไปแล้ว หรือไฟล์เสียงสนทนาทางโทรศัพท์ที่เราไม่ได้ตั้งใจบันทึกไว้ แต่ระบบบันทึกไว้เอง เป็นต้น
ข้อมูลที่มองไม่เห็นนี้ ถ้าเป็นข้อมูลติดต่อสื่อสาร (กฎหมายใช้คำว่า ข้อมูลจราจร) ซึ่งอยู่ในเซิร์ฟเวอร์ ของผู้ให้บริการเชื่อมต่อเครือข่าย (ISP) หรืออยู่ที่เสาส่งสัญญาณโทรศัพท์ (cellsite) เจ้าหน้าที่จะต้องร้องขอหรือเรียกให้ ISP ส่งมาให้ แต่ถ้าเป็นข้อมูลที่อยู่ใน hardisk ของเครื่องคอมพิวเตอร์ หรือหน่วยความจำของโทรศัพท์มือถือเอง เจ้าหน้าที่ผู้เชี่ยวชาญต้องใช้โปรแกรมพิเศษในการช่วยค้นหาตรวจสอบ
พยานหลักฐานที่ผมจะเล่าให้ฟังต่อไปในข้อเขียนนี้ จะหมายถึง พยานที่เป็นข้อมูลที่มองไม่เห็นด้วยตาเปล่าเท่านั้นนะครับ
ผู้เชี่ยวชาญที่ตรวจสอบคอมพิวเตอร์คือใคร
คำว่าผู้เชี่ยวชาญนี้ ไม่ใช่ผู้มีความรู้ทางคอมพิวเตอร์ ที่สามารถซ่อมเครื่องได้ตามร้านค้า หรือผู้ดูแลระบบคอมฯ ตามบริษัทนะครับ แต่หมายถึง เจ้าพนักงานตำรวจที่มีหน้าที่โดยตรง (กองพิสูจน์หลักฐาน) หรือพนักงานเจ้าหน้าที่ฝ่ายสืบสวนสอบสวน (สถาบันนิติวิทย์ฯ , กระทรวงดิจิตัล) เป็นต้น
โปรแกรมที่ใช้สำหรับตรวจสอบคอมพิวเตอร์คืออะไร
เครื่องมือ โปรแกรมและอุปกรณ์ที่ใช้ตรวจสอบคอมพิวเตอร์และโทรศัพท์มือถือ เป็น software ชนิดหนึ่งที่ใช้สำหรับตรวจพิสูจน์พยานหลักฐานคอมพิวเตอร์ (computer forensic) โดยเฉพาะ เป็นของต่างประเทศครับ ไม่มีขายตามท้องตลาด เพราะเขาจะขายให้กับหน่วยงานของรัฐที่มีหน้าที่สืบสวนสอบสวนปราบปรามการกระทำผิดเท่านั้น
เครื่องมือที่เจ้าหน้าที่ใช้กู้ข้อมูล หรือดึงข้อมูลต่างๆ ขึ้นมาใหม่ คือ ซอฟท์แวร์ ชื่อ Encase (เอ็น-เคส) และ FTK แต่ที่ได้รับความนิยมมาก คือ “Encase”
ความสามารถของโปรแกรมตรวจพิสูจน์คอมพิวเตอร์
ข้อมูลการกระทำผิดที่มองไม่เห็นนี้ บางทีผู้กระทำผิดซ่อนไฟล์ไว้ใส่รหัส จงใจลบเพื่อทำลายหลักฐาน หรือระบบอาจลบเองจากการบันทึกวนทับไปแล้ว(เช่น cctv)
แต่ Encase หรือ FTK สามารถค้นหาข้อมูลที่ถูกซ่อน ถูกเปลี่ยนแปลง ถูกแก้ไข ถูกเข้ารหัส ถูกลบ หรือถูกฟอร์แมทเครื่องไป ขึ้นมาดูใหม่ได้อีก
ความสำคัญของพยานผู้ตรวจพิสูจน์
ข้อมูลที่ได้จากการตรวจพิสูจน์ จะปรากฎในรายงานการตรวจพิสูจน์ ซึ่งโดยทั่วไป จะมีผู้ตรวจพิสูจน์มาเบิกความประกอบ เป็นพยานผู้เชี่ยวชาญ (พยานโจทก์) พยานผู้เชี่ยวชาญ เป็นผู้ตรวจพิสูจน์พยานหลักฐานที่มีความรู้มากที่สุด มีความใกล้ชิดและเข้าไปยุ่งเกี่ยวกับพยานหลักฐานมากที่สุด พยานปากนี้จึงมีความสำคัญมากที่สุด เพราะกำความลับที่คนอื่นไม่รู้ไว้ทุกอย่าง หากทนายจำเลย ไม่มีความรู้เพียงพอ ก็ไม่รู้จะถามค้านเรื่องไหน ในที่สุดก็มักจบลงที่ “ไม่ถามครับ” หรือ ยอมรับข้อเท็จจริงตามรายงานการตรวจพิสูจน์โดยไม่ต้องสืบพยานปากนี้เลย
ส่วนอัยการนั้น หากไม่มีความรู้เพียงพอ เขาก็ยังพอจะถามความได้ เพราะเป็นการถามพยานฝ่ายตนให้เล่าเรื่องให้ศาลฟังเท่านั้น ไม่ใช่การถามค้าน เพื่อทำลายน้ำหนักพยาน แต่สำหรับศาลนั้น หากท่านไม่มีความรู้เพียงพอ ท่านอาจจะปล่อยให้คำถามสำคัญที่มีผลต่อการชั่งน้ำหนักพยานหลักฐาน ต้องหลุดลอยไปโดยไม่รู้ตัวเพราะไม่มีใครถาม
ขั้นตอนการตรวจพิสูจน์
1. ก่อนใช้ Encase ในการตรวจพิสูจน์เจ้าหน้าที่ต้องยึดเครื่องคอมพิวเตอร์ หรือโทรศัพท์มือถือไว้เป็นของกลางก่อน
2. เจ้าหน้าที่จะไม่นำโปรแกรม Encase มาใช้กับเครื่องคอมพิวเตอร์ หรือเครื่องโทรศัพท์นั้นโดยตรง เพราะระหว่างตรวจพิสูจน์อาจทำให้หลักฐานที่เป็นของจริง (original) เสียหายได้
ทางปฎิบัติ จึงต้องทำสำเนา (copy) hard disk จากเครื่องคอมพิวเตอร์ที่เป็น original ก่อน
3. จากนั้น จึงนำตัวสำเนา (copy) hard disk นั้น มาใส่ในเครื่องที่มีโปรแกรม Encase ติดตั้งอยู่เพื่อตรวจสอบเนื้อหาภายในต่อไปเพราะหากเกิดผิดพลาด ก็ยังทำสำเนาใหม่จาก ตัว original มาทำการตรวจพิสูจน์ได้อีก
4. ถ้าเป็นโทรศัพท์มือถือ ก็อาจใช้เครื่องตรวจสอบที่มี software Encase เป็นแบบพกพา ใช้ตรวจสอบวัตถุพยานนอกสถานที่ได้
ข้อมูลคอมพิวเตอร์กับกฎหมายพยานหลักฐาน
คำถามสำคัญมีเพียง 2 ข้อ ได้แก่
1. ข้อมูลคอมพิวเตอร์ที่ได้จากการตรวจพิสูจน์นั้น ถูกตัดออกไป และต้องห้ามมิให้ศาลรับฟัง (exclusionary rules) หรือไม่ ตาม ป.วิ.อาญา มาตรา 226, 226/1
ข้อมูลคอมพิวเตอร์ที่เกิดขึ้นโดยมิชอบ หรือได้มาโดยมิชอบ ก็อาจถูกตัดออกไป และห้ามมิให้ศาลรับฟังเพื่อชั่งน้ำหนักความน่าเชื่อถือได้และมีผลเท่ากับว่า คดีนั้นไม่มีหลักฐานชิ้นนั้นปรากฎอยู่
ตัวอย่างข้อมูลคอมพิวเตอร์เป็นพยานที่เกิดขึ้นโดยมิชอบ
เจ้าหน้าที่กลั่นแกล้งจำเลยโดยใส่ข้อมูล ข้อความ รูปภาพ เข้าไปในระบบคอมพิวเตอร์หรือในโทรศัพท์มือถือ ทำให้เชื่อว่า จำเลยโพสต์ข้อความหมิ่นประมาท ตั้งเว็บไซต์ที่ผิดกฎหมายมีรูปลามกเด็กไว้ในครอบครอง เป็นต้น นั่นคือ การสร้างพยานหลักฐานเท็จ เรียกว่า ข้อมูลนั้นเป็นพยานหลักฐานที่เกิดขึ้นโดยมิชอบ ข้อมูลนั้น ศาลจะไม่นำมารับฟัง
ตัวอย่างข้อมูลคอมพิวเตอร์เป็นพยานที่ได้มาโดยมิชอบ
เจ้าหน้าที่ไม่มีเจตนาชั่วร้าย ไม่ได้กลั่นแกล้ง แต่ไม่ทำตามขั้นตอนที่กฎหมายกำหนดบังคับ เช่น พ.ร.บ. กระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ร.บ. ป้องกันและปราบปรามการกระทำความผิดเกี่ยวกับยาเสพติด พ.ร.บ. การสอบสวนคดีพิเศษ (DSI) พ.ร.บ.ป้องกันและปราบปรามการทุจริตแห่งชาติ (ปปช.) และ พ.ร.บ.ป้องกันและปราบปรามการค้ามนุษย์ เป็นต้น
กฎหมายเหล่านี้ ให้อำนาจเจ้าหน้าที่เข้าถึงระบบคอมพิวเตอร์ (เจาะระบบ) ของคนอื่น เพื่อการสืบสวนสอบสวนได้ แต่การเข้าถึงระบบคอมพิวเตอร์ของผู้อื่นนั้น เป็นการละเมิดสิทธิส่วนบุคคล คล้ายกับการค้น กฎหมายจึงบังคับให้ เจ้าหน้าที่ต้องขออนุญาตศาลก่อนว่า มีความจำเป็นและสมควรต้องใช้วิธีการนั้นหรือไม่ ทั้งนี้ เพื่อคุ้มครองสิทธิให้แก่ประชาชนตามหลักนิติธรรม (due process)
ดังนั้น หากเจ้าหน้าที่เข้าถึงระบบคอมพิวเตอร์ของบุคคลใด โดยไม่ร้องขออนุญาตจากศาลก่อน
ข้อมูลคอมพิวเตอร์ที่ได้มา ถือว่าเป็นพยานหลักฐานที่ได้มาโดยมิชอบ ต้องถูกตัด และต้องห้ามมิให้ศาลรับฟังเช่นเดียวกัน เช่น เจ้าหน้าที่ใช้โปรแกรมดูดดักรับข้อมูล ที่เรียกว่า “sniffer” (สนิฟ-เฟอร์)ซึ่งเป็นความผิดตาม พ.ร.บ.คอมพิวเตอร์ หรือเจ้าหน้าที่ตั้งเว็บไซต์ หรือกลุ่มลับปลอม ที่เรียกว่า “Honey Pot” เพื่อล่อให้คนผิดเข้ามาติดกับที่มิใช่การล่อให้กระทำผิดเพื่อแสวงหาพยานหลักฐาน (ล่อซื้อ)
การได้ข้อมูลมาโดยใช้วิธีการที่ผิดกฎหมาย หรือยุให้คนกระทำผิด ที่เรียกว่า “Entrapment” (เอน-แทรบ-เม้นท์) เหล่านี้ อาจถือว่า เป็นการหลอกล่อ หรือกระทำโดยมิชอบ ทำให้ข้อมูลที่ได้มา ถูกตัดออกการดำเนินคดีเช่นเดียวกัน
ประเด็นที่ต้องพิจารณาต่อมาคือ.
2. ข้อมูลจากคอมพิวเตอร์หรือโทรศัพท์มือถือที่ได้มาโดยชอบและรับฟังได้แล้วนั้น เป็นข้อมูลที่มีน้ำหนักความน่าเชื่อถือทำให้เชื่อได้โดยปราศจากสงสัยว่า เกิดความผิดขึ้นจริง และจำเลยเป็นคนกระทำผิดจริงหรือไม่
ลักษณะเฉพาะของพยานข้อมูลคอมพิวเตอร์
พยานหลักฐานข้อมูลคอมพิวเตอร์ มีลักษณะพิเศษ แตกต่างจากพยานหลักฐานทั่วไปใหญ่ๆ 2 ประการ คือ
1. ข้อมูลคอมพิวเตอร์ เป็นพยานหลักฐานที่จับต้องไม่ได้ (Intangible Evidence) เพราะเป็นการทำงานของระบบอิเล็คทรอนิกส์ และกระแสแม่เหล็ก
2. ข้อมูลคอมพิวเตอร์ เป็นพยานหลักฐานที่เปลี่ยนแปลงง่าย (Volatile Evidence) เพราะเป็นข้อมูลดิจิตัล แก้ไขง่าย และไร้ร่องรอย
ด้วยลักษณะพิเศษของพยานหลักฐานประเภทนี้ ทำให้ต้องอาศัยกระบวนการและมาตรฐานที่ชัดเจน เพื่อยืนยันว่า ข้อมูลคอมพิวเตอร์ ยังคงสภาพเดิม ไม่ถูกเปลี่ยนแปลงไปจากตอนเกิดเหตุ ไม่ว่าจะเกิดจากเจตนา หรือประมาท ในขั้นตอนการรวบรวม การเก็บรักษา และการวิเคราะห์ตรวจพิสูจน์พยานหลักฐานนั้น
หลักเกณฑ์การชั่งน้ำหนักว่าข้อมูลคอมพิวเตอร์ที่ได้มาจากการตรวจพิสูจน์มีความน่าเชื่อถือหรือไม่
การชั่งน้ำหนักว่า พยานหลักฐานดิจิตัล ที่ได้จากระบบคอมพิวเตอร์ และโทรศัพท์มือถือนั้น น่าเชื่อถือหรือไม่ จึงต้องพิจารณาว่า
1. ขั้นตอนการเก็บรวบรวมพยาน ขั้นตอนการเก็บรักษาดูแลพยาน และขั้นตอนการวิเคราะห์ตรวจพิสูจน์พยานหลักฐานนั้นเป็นขั้นตอนที่ถูกต้อง (best practice) จนได้รับการยอมรับในวงการดังกล่าวหรือไม่
2. เครื่องมือ และโปรแกรม (software) ที่ใช้ในการตรวจพิสูจน์ มีความทันสมัย และได้รับการยอมรับในวงการนั้นหรือไม่ และ
3. พยานหลักฐานที่ได้มา มีการแทรกแซงโดยบุคคลอื่น หรือกระบวนการที่ไม่เกี่ยวข้องหรือไม่
(Chain of custody)
หากขั้นตอนต่างๆ และเครื่องมือที่ใช้ถูกต้อง ได้มาตรฐาน และไม่มีการยุ่งเกี่ยวแทรกแซงพยานหลักฐานนั้นก็ถือได้ว่า พยานหลักฐานข้อมูลที่ได้จากคอมพิวเตอร์หรือโทรศัพท์มือถือนั้น มีความน่าเชื่อถือ ในแง่ของการตรวจพิสูจน์แล้ว
ตัวอย่างขั้นตอนการเก็บรวบรวมพยานในชั้นจับกุมและยึดพยานหลักฐาน
1. การยึดคอมฯ จะต้องถอดปลั๊กและสายสัญญาณต่างๆ ออก และการจะตรวจพิสูจน์ ก็ต้องเชื่อมต่อสายสัญญาณใหม่เหมือนขณะเข้าตรวจยึด ขั้นตอนที่ถูกต้อง จึงต้องมีการถ่ายรูป จุดเชื่อมต่อสายสัญญาณต่างๆ ด้านหลังเครื่องไว้ก่อนยึด
2. ถ้าเครื่องปิดอยู่ ห้ามเปิด เพราะการเปิดเครื่องแต่ละครั้ง อาจมีการเปลี่ยนแปลงข้อมูลที่มีอยู่ก่อน
3. ถ้าเปิดอยู่ อย่าเพิ่งปิด เพราะจะต้องถ่ายรูปหน้าจอ และทำสำเนาความจำสำรองของเครื่อง (RAM) ก่อน เพราะหลักฐานในการทำผิดอาจอยู่ในความจำสำรอง ไม่ใช่ใน hard disk การปิดเครื่องทุกครั้ง จะทำลายความจำสำรองหมด
4. ปิดเครื่องก่อน หรือดึงปลั๊กก่อน อันนี้ขึ้นอยู่กับระบบปฏิบัติการของเครื่องคอมพิวเตอร์นั้นครับ
ถ้าผิดขั้นตอน อาจมีผลกระทบกับข้อมูลภายในเครื่อง
5. การเคลื่อนย้ายของกลาง ต้องมีการห่อหุ้มพลาสติก ติดป้ายให้สอดคล้องกับบันทึก chain of custody ในกรณีสำคัญ ก่อนการเคลื่อนย้าย อาจต้องมีการตรวจวัดคลื่นแม่เหล็กไฟฟ้าก่อน ว่าเส้นทางใดที่มีคลื่นแรงและหลีกเลี่ยงการใช้เส้นทางนั้น เพื่อป้องกันผลกระทบต่อข้อมูลภายในเครื่อง เป็นต้น
ตัวอย่างขั้นตอนการเก็บ และดูแลรักษาข้อมูลในชั้นสอบสวนก่อนการตรวจพิสูจน์
1. การเก็บเครื่องคอมพิวเตอร์ ต้องอยู่ในห้องควบคุมอุณหภูมิ
2. การแยกเก็บจากพยานหลักฐานอื่นๆ
3. ไม่วางไว้ใกล้เครื่องไฟฟ้า ที่อาจส่งคลื่นแม่เหล็กไฟฟ้า เช่น ตู้เย็น พัดลม ที่อาจส่งผลกระทบต่อข้อมูลคอมพิวเตอร์ได้
4. ผู้รับมอบ ต้องลงนามกำกับ พร้อมระบุเวลาในบันทึก เพื่อการตรวจสอบว่ามีการละเมิด chain of custody หรือไม่ เป็นต้น
ตัวอย่างขั้นตอนการตรวจพิสูจน์เครื่องคอมพิวเตอร์
1. ผู้ตรวจพิสูจน์ รับมอบ ลงนาม กำกับเวลาทำงาน และสิ้นสุด พร้อมคืนของกลางให้ผู้เก็บดูแลรักษา ในบันทึก chain of custidy
2. ผู้ตรวจพิสูจน์ถ่ายวีดิโอแสดงให้เห็นกระบวนการตรวจวิเคราะห์เพื่อยืนยันว่า ทำถูกต้องตามขั้นตอน
3. ทำสำเนา hard disk จากตัว original โดยใช้โปรแกรมมาตรฐานที่น่าเชื่อถือ ชื่อ image หากใช้โปรแกรมอื่น พยานที่ได้มาจะไม่น่าเชื่อถือในมุมมองของศาล เพราะสำเนาที่ได้อาจไม่สมบูรณ์หรือผิดพลาดได้
4. การทำสำเนา hard disk จะต้องใช้ hard disk ตัวใหม่ที่ยังไม่ผ่านการใช้งานตรวจพิสูจน์ในคดีอื่นมาก่อน เพื่อป้องกัน Encse ดึงข้อมูลจาก hard disk เก่า มาปะปนกับข้อมูลใน hard disk ที่ทำสำเนาใหม่ หากมีการใช้ hard disk เก่า มาทำสำเนา แม้จะ format มาแล้ว ถือว่า ไม่เป็นไปตามมาตรฐาน ข้อมูลที่ได้ จะเป็นพยานหลักฐานที่ไม่น่าเชื่อถือทันที
5. ข้อนี้สำคัญนะครับ การทำสำเนา hard disk เพื่อทำการตรวจพิสูจน์นี้ จะต้องใช้กระบวนการ MD5 บางทีจะเรียกง่ายๆ ว่าเป็นโปรแกรมตัวหนึ่งก็ได้
(ต่อมา MD5 เริ่มเชย เพราะได้ข่าวว่า ผู้เชี่ยวชาญแก้ไขการทำงานของ MD5 ได้ จึงนิยมใช้ SHA1 แทน ต่อมาก็พัฒนาเป็น SHA 2 เพิ่งทราบว่า ทุกวันนี้ มี MDA5 และมี SH 256 ออกมาแล้ว
ไม่ต้องงง นะครับ เป็นอันว่า ทั้งหมดนี้ เอาไว้ทำ hashing ครับ)
เขาทำ hashing เพื่ออะไร
Hashing โดย MD5 หรือ SHA คือการตรวจสอบยืนยันว่า หลังจากทำสำเนาแล้ว hard disk ที่ใช้ในการทำผิด (original) กับ hard disk ที่ทำสำเนาออกมา (copy) นั้น มีข้อมูลภายในตรงกัน 100% หากไม่เหมือนกัน 100% ซึ่งอาจเกิดจากความจงใจหรือผิดพลาด เช่น ใส่ข้อมูลบางอย่างลงไป หรือตัดข้อมูลบางอย่างออกโปรแกรม MD5 จะมีการแจ้งความคลาดเคลื่อนให้ทราบ การใช้ MD5 ในการทำสำเนา จึงใช้ยืนยันได้ว่า เจ้าหน้าที่ทำตามขั้นตอนมาตรฐานสากล หรือไม่ได้กลั่นแกล้ง เปลี่ยนแปลง แก้ไข หรือใส่ข้อมูลการกระทำผิดลงไปในสำเนาเสียเอง
ดังนั้น การทำ copy hard disk เพียงอย่างเดียวโดยไม่ทำ MD5 แล้วนำข้อมูลการกระทำผิดที่ได้มาพิสูจน์ความผิด ศาลจะถือว่า ข้อมูลที่ได้ขาดความน่าเชื่อถือ รายงานการตรวจพิสูจน์ จึงควรระบุยืนยันว่า มีการทำ MD5 หรือใช้ software อื่นที่น่าเชื่อถือแล้ว พร้อมทั้งแสดงผล.
ตัวอย่างบันทึกกระบวนการที่เกี่ยวข้องกับของกลาง (Chain of Custody)
ขั้นตอนทั้งหมด ตั้งแต่การจับ ยึด รวบรวมพยานหลักฐาน การเก็บไว้ระหว่างพิจารณาคดีการตรวจพิสูจน์ กระทำโดยผู้เกี่ยวข้องเท่านั้นไม่มีบุคคลที่ไม่เกี่ยวข้องเข้ามายุ่งเกี่ยวกับพยานหลักฐาน
ทางปฎิบัติ จะมีการทำบันทึก ลงเวลา ขั้นตอน และชื่อผู้ดำเนินไว้ เรียกกระบวนการนี้ว่า Chain of Custody ถ้ากระบวนการนี้ไม่เป็นไปตามขั้นตอน หรือมีบุคคลภายนอกเข้ามาเกี่ยวข้องกับพยานหลักฐาน จะทำให้ข้อมูลที่ได้ ไม่มีความน่าเชื่อถือครับ
จะเห็นได้ว่า การที่ศาลจะรับฟังและชั่งน้ำหนักความน่าเชื่อถือของพยานดิจิตัล ที่ได้จากการตรวจพิสูจน์ข้อมูลคอมพิวเตอร์หรือโทรศัพท์มือถือ จนเชื่อโดยปราศจากสงสัยและสามารถลงโทษจำเลยได้นั้น มีประเด็นที่ต้องพิจารณามากมาย
การชั่งน้ำหนักพยานหลักฐานตามธรรมดา จะพิจารณาจากความสอดคล้องของพยานหลักฐานกับพยานอื่นในสำนวนและความเป็นธรรมชาติของพยานหลักฐานรวมทั้งองค์ความรู้ทางนิติวิทยาศาสตร์อื่นๆ เช่น ลายพิมพ์นิ้วมือ ดีเอ็นเอ เป็นต้น
ที่เล่าให้ฟังนี้ เป็นเรื่องการชั่งน้ำหนักพยานหลักฐานทางเทคนิควิธีล้วนๆ นอกเหนือจากการชั่งน้ำหนักโดยวิธีการทั่วไปแล้ว
หวังว่าข้อเขียนนี้ จะเป็นประโยชน์ต่อผู้ให้ความสนใจบ้างนะครับ
นี่ยังไม่รวมถึง พยานผู้เชี่ยวชาญที่จะมาเบิกความนะครับว่า เราจะมีวิธีการชั่งน้ำหนักพยานผู้เชี่ยวชาญที่มาเบิกความในเรื่องนิติวิทยาศาสตร์ทางคอมพิวเตอร์ ว่ามีความน่าเชื่อถือหรือไม่ อย่างไร
ไม่ใช่ว่า พยานผู้เชี่ยวชาญ เป็นแพทย์ เป็นผู้ตรวจอาวุธปืน เป็นผู้ตรวจดีเอ็นเอ เป็นผู้ตรวจคอมพิวเตอร์ มาเบิกความแล้ว จะมีความน่าเชื่อถือเสมอไป
เอาไว้โอกาสหน้านะครับจะเล่าให้ฟัง
ข้อเขียนนี้ ผมพยายามไม่ลงลึก และใช้ถ้อยคำที่เข้าใจง่ายแล้วแต่ก็เข้าใจนะครับว่า หลายท่านคงยัง งงๆ แต่ถ้าท่านอ่านมาถึงตอนนี้ได้ ก็ต้องขอชื่นชม ในความพยายาม ในขันติบารมี และขอขอบคุณครับ ที่ท่านยังไม่หลับ สุดยอดครับ 555
ปล. ต้องขอโทษผู้บังคับใช้กฎหมายด้วยนะครับ ที่เอาเรื่องนี้มาเปิดเผย ทำให้ทำงานยากขึ้น
แต่เชื่อผมเถอะ ความรู้เหมาะกับคนดี ผู้บริสุทธิ์ ส่วนคนร้ายจริงๆ นั้น ไม่มีวันตามเทคโนโลยีที่เราพัฒนาขึ้นไปเรื่อยๆ ได้ทันอย่างแน่นอน เป็นกำลังใจให้ครับ
ข้อมูลคอมพิวเตอร์นี้บางทีเรียกว่า ข้อมูลอิเล็คทรอนิกส์ บางทีก็เรียกว่าข้อมูลดิจิตัล เป็นข้อมูลที่เกิดจากการทำงานของระบบคอมพิวเตอร์ ในส่วนของโทรศัพท์มือถือนั้น ปัจจุบันเป็นระบบดิจิตัลหมดแล้ว โทรศัพท์มือถือ จึงเป็นระบบคอมพิวเตอร์ตามความหมายนี้ด้วย ข้อมูลคอมพิวเตอร์ หมายถึง ข้อมูลไฟล์ดิจิตัล ที่เป็นเสียง เป็นรูปภาพ เป็นคลิปวีดิโอ เป็นข้อความอักษรเป็นข้อมูลการติดต่อสื่อสารภายในระบบ
ข้อมูลคอมพิวเตอร์แบ่งออกเป็นสองประเภทได้แก่
ข้อมูลที่มองเห็นได้ด้วยตาเปล่า กับข้อมูลที่มองไม่เห็นด้วยตาเปล่า เพราะถูกลบ หรือซ่อนอยู่
1. ข้อมูลที่มองเห็นได้ด้วยตาเปล่า ก็เช่น ข้อความสนทนา หรือรูปถ่ายในไลน์ ในเฟส ในเพจ หมายเลขโทรเข้าออก รายชื่อเพื่อนในเฟส รายชื่อเพื่อนในอีเมลล์เป็นต้น
2. ข้อมูลที่มองไม่เห็นด้วยตาเปล่า ก็เช่น ข้อมูลการเข้าเว็บไซต์ ข้อมูลการติดต่อสื่อสารของโทรศัพท์กับผู้ให้บริการเครือข่าย ข้อมูลรูปภาพที่ซ่อนไว้ ข้อมูลที่ลบหรือฟอร์แมทฮาร์ดดิสไปแล้ว หรือไฟล์เสียงสนทนาทางโทรศัพท์ที่เราไม่ได้ตั้งใจบันทึกไว้ แต่ระบบบันทึกไว้เอง เป็นต้น
ข้อมูลที่มองไม่เห็นนี้ ถ้าเป็นข้อมูลติดต่อสื่อสาร (กฎหมายใช้คำว่า ข้อมูลจราจร) ซึ่งอยู่ในเซิร์ฟเวอร์ ของผู้ให้บริการเชื่อมต่อเครือข่าย (ISP) หรืออยู่ที่เสาส่งสัญญาณโทรศัพท์ (cellsite) เจ้าหน้าที่จะต้องร้องขอหรือเรียกให้ ISP ส่งมาให้ แต่ถ้าเป็นข้อมูลที่อยู่ใน hardisk ของเครื่องคอมพิวเตอร์ หรือหน่วยความจำของโทรศัพท์มือถือเอง เจ้าหน้าที่ผู้เชี่ยวชาญต้องใช้โปรแกรมพิเศษในการช่วยค้นหาตรวจสอบ
พยานหลักฐานที่ผมจะเล่าให้ฟังต่อไปในข้อเขียนนี้ จะหมายถึง พยานที่เป็นข้อมูลที่มองไม่เห็นด้วยตาเปล่าเท่านั้นนะครับ
ผู้เชี่ยวชาญที่ตรวจสอบคอมพิวเตอร์คือใคร
คำว่าผู้เชี่ยวชาญนี้ ไม่ใช่ผู้มีความรู้ทางคอมพิวเตอร์ ที่สามารถซ่อมเครื่องได้ตามร้านค้า หรือผู้ดูแลระบบคอมฯ ตามบริษัทนะครับ แต่หมายถึง เจ้าพนักงานตำรวจที่มีหน้าที่โดยตรง (กองพิสูจน์หลักฐาน) หรือพนักงานเจ้าหน้าที่ฝ่ายสืบสวนสอบสวน (สถาบันนิติวิทย์ฯ , กระทรวงดิจิตัล) เป็นต้น
โปรแกรมที่ใช้สำหรับตรวจสอบคอมพิวเตอร์คืออะไร
เครื่องมือ โปรแกรมและอุปกรณ์ที่ใช้ตรวจสอบคอมพิวเตอร์และโทรศัพท์มือถือ เป็น software ชนิดหนึ่งที่ใช้สำหรับตรวจพิสูจน์พยานหลักฐานคอมพิวเตอร์ (computer forensic) โดยเฉพาะ เป็นของต่างประเทศครับ ไม่มีขายตามท้องตลาด เพราะเขาจะขายให้กับหน่วยงานของรัฐที่มีหน้าที่สืบสวนสอบสวนปราบปรามการกระทำผิดเท่านั้น
เครื่องมือที่เจ้าหน้าที่ใช้กู้ข้อมูล หรือดึงข้อมูลต่างๆ ขึ้นมาใหม่ คือ ซอฟท์แวร์ ชื่อ Encase (เอ็น-เคส) และ FTK แต่ที่ได้รับความนิยมมาก คือ “Encase”
ความสามารถของโปรแกรมตรวจพิสูจน์คอมพิวเตอร์
ข้อมูลการกระทำผิดที่มองไม่เห็นนี้ บางทีผู้กระทำผิดซ่อนไฟล์ไว้ใส่รหัส จงใจลบเพื่อทำลายหลักฐาน หรือระบบอาจลบเองจากการบันทึกวนทับไปแล้ว(เช่น cctv)
แต่ Encase หรือ FTK สามารถค้นหาข้อมูลที่ถูกซ่อน ถูกเปลี่ยนแปลง ถูกแก้ไข ถูกเข้ารหัส ถูกลบ หรือถูกฟอร์แมทเครื่องไป ขึ้นมาดูใหม่ได้อีก
ความสำคัญของพยานผู้ตรวจพิสูจน์
ข้อมูลที่ได้จากการตรวจพิสูจน์ จะปรากฎในรายงานการตรวจพิสูจน์ ซึ่งโดยทั่วไป จะมีผู้ตรวจพิสูจน์มาเบิกความประกอบ เป็นพยานผู้เชี่ยวชาญ (พยานโจทก์) พยานผู้เชี่ยวชาญ เป็นผู้ตรวจพิสูจน์พยานหลักฐานที่มีความรู้มากที่สุด มีความใกล้ชิดและเข้าไปยุ่งเกี่ยวกับพยานหลักฐานมากที่สุด พยานปากนี้จึงมีความสำคัญมากที่สุด เพราะกำความลับที่คนอื่นไม่รู้ไว้ทุกอย่าง หากทนายจำเลย ไม่มีความรู้เพียงพอ ก็ไม่รู้จะถามค้านเรื่องไหน ในที่สุดก็มักจบลงที่ “ไม่ถามครับ” หรือ ยอมรับข้อเท็จจริงตามรายงานการตรวจพิสูจน์โดยไม่ต้องสืบพยานปากนี้เลย
ส่วนอัยการนั้น หากไม่มีความรู้เพียงพอ เขาก็ยังพอจะถามความได้ เพราะเป็นการถามพยานฝ่ายตนให้เล่าเรื่องให้ศาลฟังเท่านั้น ไม่ใช่การถามค้าน เพื่อทำลายน้ำหนักพยาน แต่สำหรับศาลนั้น หากท่านไม่มีความรู้เพียงพอ ท่านอาจจะปล่อยให้คำถามสำคัญที่มีผลต่อการชั่งน้ำหนักพยานหลักฐาน ต้องหลุดลอยไปโดยไม่รู้ตัวเพราะไม่มีใครถาม
ขั้นตอนการตรวจพิสูจน์
1. ก่อนใช้ Encase ในการตรวจพิสูจน์เจ้าหน้าที่ต้องยึดเครื่องคอมพิวเตอร์ หรือโทรศัพท์มือถือไว้เป็นของกลางก่อน
2. เจ้าหน้าที่จะไม่นำโปรแกรม Encase มาใช้กับเครื่องคอมพิวเตอร์ หรือเครื่องโทรศัพท์นั้นโดยตรง เพราะระหว่างตรวจพิสูจน์อาจทำให้หลักฐานที่เป็นของจริง (original) เสียหายได้
ทางปฎิบัติ จึงต้องทำสำเนา (copy) hard disk จากเครื่องคอมพิวเตอร์ที่เป็น original ก่อน
3. จากนั้น จึงนำตัวสำเนา (copy) hard disk นั้น มาใส่ในเครื่องที่มีโปรแกรม Encase ติดตั้งอยู่เพื่อตรวจสอบเนื้อหาภายในต่อไปเพราะหากเกิดผิดพลาด ก็ยังทำสำเนาใหม่จาก ตัว original มาทำการตรวจพิสูจน์ได้อีก
4. ถ้าเป็นโทรศัพท์มือถือ ก็อาจใช้เครื่องตรวจสอบที่มี software Encase เป็นแบบพกพา ใช้ตรวจสอบวัตถุพยานนอกสถานที่ได้
คำถามสำคัญมีเพียง 2 ข้อ ได้แก่
1. ข้อมูลคอมพิวเตอร์ที่ได้จากการตรวจพิสูจน์นั้น ถูกตัดออกไป และต้องห้ามมิให้ศาลรับฟัง (exclusionary rules) หรือไม่ ตาม ป.วิ.อาญา มาตรา 226, 226/1
ข้อมูลคอมพิวเตอร์ที่เกิดขึ้นโดยมิชอบ หรือได้มาโดยมิชอบ ก็อาจถูกตัดออกไป และห้ามมิให้ศาลรับฟังเพื่อชั่งน้ำหนักความน่าเชื่อถือได้และมีผลเท่ากับว่า คดีนั้นไม่มีหลักฐานชิ้นนั้นปรากฎอยู่
ตัวอย่างข้อมูลคอมพิวเตอร์เป็นพยานที่เกิดขึ้นโดยมิชอบ
เจ้าหน้าที่กลั่นแกล้งจำเลยโดยใส่ข้อมูล ข้อความ รูปภาพ เข้าไปในระบบคอมพิวเตอร์หรือในโทรศัพท์มือถือ ทำให้เชื่อว่า จำเลยโพสต์ข้อความหมิ่นประมาท ตั้งเว็บไซต์ที่ผิดกฎหมายมีรูปลามกเด็กไว้ในครอบครอง เป็นต้น นั่นคือ การสร้างพยานหลักฐานเท็จ เรียกว่า ข้อมูลนั้นเป็นพยานหลักฐานที่เกิดขึ้นโดยมิชอบ ข้อมูลนั้น ศาลจะไม่นำมารับฟัง
ตัวอย่างข้อมูลคอมพิวเตอร์เป็นพยานที่ได้มาโดยมิชอบ
เจ้าหน้าที่ไม่มีเจตนาชั่วร้าย ไม่ได้กลั่นแกล้ง แต่ไม่ทำตามขั้นตอนที่กฎหมายกำหนดบังคับ เช่น พ.ร.บ. กระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ร.บ. ป้องกันและปราบปรามการกระทำความผิดเกี่ยวกับยาเสพติด พ.ร.บ. การสอบสวนคดีพิเศษ (DSI) พ.ร.บ.ป้องกันและปราบปรามการทุจริตแห่งชาติ (ปปช.) และ พ.ร.บ.ป้องกันและปราบปรามการค้ามนุษย์ เป็นต้น
กฎหมายเหล่านี้ ให้อำนาจเจ้าหน้าที่เข้าถึงระบบคอมพิวเตอร์ (เจาะระบบ) ของคนอื่น เพื่อการสืบสวนสอบสวนได้ แต่การเข้าถึงระบบคอมพิวเตอร์ของผู้อื่นนั้น เป็นการละเมิดสิทธิส่วนบุคคล คล้ายกับการค้น กฎหมายจึงบังคับให้ เจ้าหน้าที่ต้องขออนุญาตศาลก่อนว่า มีความจำเป็นและสมควรต้องใช้วิธีการนั้นหรือไม่ ทั้งนี้ เพื่อคุ้มครองสิทธิให้แก่ประชาชนตามหลักนิติธรรม (due process)
ดังนั้น หากเจ้าหน้าที่เข้าถึงระบบคอมพิวเตอร์ของบุคคลใด โดยไม่ร้องขออนุญาตจากศาลก่อน
ข้อมูลคอมพิวเตอร์ที่ได้มา ถือว่าเป็นพยานหลักฐานที่ได้มาโดยมิชอบ ต้องถูกตัด และต้องห้ามมิให้ศาลรับฟังเช่นเดียวกัน เช่น เจ้าหน้าที่ใช้โปรแกรมดูดดักรับข้อมูล ที่เรียกว่า “sniffer” (สนิฟ-เฟอร์)ซึ่งเป็นความผิดตาม พ.ร.บ.คอมพิวเตอร์ หรือเจ้าหน้าที่ตั้งเว็บไซต์ หรือกลุ่มลับปลอม ที่เรียกว่า “Honey Pot” เพื่อล่อให้คนผิดเข้ามาติดกับที่มิใช่การล่อให้กระทำผิดเพื่อแสวงหาพยานหลักฐาน (ล่อซื้อ)
การได้ข้อมูลมาโดยใช้วิธีการที่ผิดกฎหมาย หรือยุให้คนกระทำผิด ที่เรียกว่า “Entrapment” (เอน-แทรบ-เม้นท์) เหล่านี้ อาจถือว่า เป็นการหลอกล่อ หรือกระทำโดยมิชอบ ทำให้ข้อมูลที่ได้มา ถูกตัดออกการดำเนินคดีเช่นเดียวกัน
ประเด็นที่ต้องพิจารณาต่อมาคือ.
2. ข้อมูลจากคอมพิวเตอร์หรือโทรศัพท์มือถือที่ได้มาโดยชอบและรับฟังได้แล้วนั้น เป็นข้อมูลที่มีน้ำหนักความน่าเชื่อถือทำให้เชื่อได้โดยปราศจากสงสัยว่า เกิดความผิดขึ้นจริง และจำเลยเป็นคนกระทำผิดจริงหรือไม่
ลักษณะเฉพาะของพยานข้อมูลคอมพิวเตอร์
พยานหลักฐานข้อมูลคอมพิวเตอร์ มีลักษณะพิเศษ แตกต่างจากพยานหลักฐานทั่วไปใหญ่ๆ 2 ประการ คือ
1. ข้อมูลคอมพิวเตอร์ เป็นพยานหลักฐานที่จับต้องไม่ได้ (Intangible Evidence) เพราะเป็นการทำงานของระบบอิเล็คทรอนิกส์ และกระแสแม่เหล็ก
2. ข้อมูลคอมพิวเตอร์ เป็นพยานหลักฐานที่เปลี่ยนแปลงง่าย (Volatile Evidence) เพราะเป็นข้อมูลดิจิตัล แก้ไขง่าย และไร้ร่องรอย
ด้วยลักษณะพิเศษของพยานหลักฐานประเภทนี้ ทำให้ต้องอาศัยกระบวนการและมาตรฐานที่ชัดเจน เพื่อยืนยันว่า ข้อมูลคอมพิวเตอร์ ยังคงสภาพเดิม ไม่ถูกเปลี่ยนแปลงไปจากตอนเกิดเหตุ ไม่ว่าจะเกิดจากเจตนา หรือประมาท ในขั้นตอนการรวบรวม การเก็บรักษา และการวิเคราะห์ตรวจพิสูจน์พยานหลักฐานนั้น
หลักเกณฑ์การชั่งน้ำหนักว่าข้อมูลคอมพิวเตอร์ที่ได้มาจากการตรวจพิสูจน์มีความน่าเชื่อถือหรือไม่
การชั่งน้ำหนักว่า พยานหลักฐานดิจิตัล ที่ได้จากระบบคอมพิวเตอร์ และโทรศัพท์มือถือนั้น น่าเชื่อถือหรือไม่ จึงต้องพิจารณาว่า
1. ขั้นตอนการเก็บรวบรวมพยาน ขั้นตอนการเก็บรักษาดูแลพยาน และขั้นตอนการวิเคราะห์ตรวจพิสูจน์พยานหลักฐานนั้นเป็นขั้นตอนที่ถูกต้อง (best practice) จนได้รับการยอมรับในวงการดังกล่าวหรือไม่
2. เครื่องมือ และโปรแกรม (software) ที่ใช้ในการตรวจพิสูจน์ มีความทันสมัย และได้รับการยอมรับในวงการนั้นหรือไม่ และ
3. พยานหลักฐานที่ได้มา มีการแทรกแซงโดยบุคคลอื่น หรือกระบวนการที่ไม่เกี่ยวข้องหรือไม่
(Chain of custody)
หากขั้นตอนต่างๆ และเครื่องมือที่ใช้ถูกต้อง ได้มาตรฐาน และไม่มีการยุ่งเกี่ยวแทรกแซงพยานหลักฐานนั้นก็ถือได้ว่า พยานหลักฐานข้อมูลที่ได้จากคอมพิวเตอร์หรือโทรศัพท์มือถือนั้น มีความน่าเชื่อถือ ในแง่ของการตรวจพิสูจน์แล้ว
ตัวอย่างขั้นตอนการเก็บรวบรวมพยานในชั้นจับกุมและยึดพยานหลักฐาน
1. การยึดคอมฯ จะต้องถอดปลั๊กและสายสัญญาณต่างๆ ออก และการจะตรวจพิสูจน์ ก็ต้องเชื่อมต่อสายสัญญาณใหม่เหมือนขณะเข้าตรวจยึด ขั้นตอนที่ถูกต้อง จึงต้องมีการถ่ายรูป จุดเชื่อมต่อสายสัญญาณต่างๆ ด้านหลังเครื่องไว้ก่อนยึด
2. ถ้าเครื่องปิดอยู่ ห้ามเปิด เพราะการเปิดเครื่องแต่ละครั้ง อาจมีการเปลี่ยนแปลงข้อมูลที่มีอยู่ก่อน
3. ถ้าเปิดอยู่ อย่าเพิ่งปิด เพราะจะต้องถ่ายรูปหน้าจอ และทำสำเนาความจำสำรองของเครื่อง (RAM) ก่อน เพราะหลักฐานในการทำผิดอาจอยู่ในความจำสำรอง ไม่ใช่ใน hard disk การปิดเครื่องทุกครั้ง จะทำลายความจำสำรองหมด
4. ปิดเครื่องก่อน หรือดึงปลั๊กก่อน อันนี้ขึ้นอยู่กับระบบปฏิบัติการของเครื่องคอมพิวเตอร์นั้นครับ
ถ้าผิดขั้นตอน อาจมีผลกระทบกับข้อมูลภายในเครื่อง
5. การเคลื่อนย้ายของกลาง ต้องมีการห่อหุ้มพลาสติก ติดป้ายให้สอดคล้องกับบันทึก chain of custody ในกรณีสำคัญ ก่อนการเคลื่อนย้าย อาจต้องมีการตรวจวัดคลื่นแม่เหล็กไฟฟ้าก่อน ว่าเส้นทางใดที่มีคลื่นแรงและหลีกเลี่ยงการใช้เส้นทางนั้น เพื่อป้องกันผลกระทบต่อข้อมูลภายในเครื่อง เป็นต้น
ตัวอย่างขั้นตอนการเก็บ และดูแลรักษาข้อมูลในชั้นสอบสวนก่อนการตรวจพิสูจน์
1. การเก็บเครื่องคอมพิวเตอร์ ต้องอยู่ในห้องควบคุมอุณหภูมิ
2. การแยกเก็บจากพยานหลักฐานอื่นๆ
3. ไม่วางไว้ใกล้เครื่องไฟฟ้า ที่อาจส่งคลื่นแม่เหล็กไฟฟ้า เช่น ตู้เย็น พัดลม ที่อาจส่งผลกระทบต่อข้อมูลคอมพิวเตอร์ได้
4. ผู้รับมอบ ต้องลงนามกำกับ พร้อมระบุเวลาในบันทึก เพื่อการตรวจสอบว่ามีการละเมิด chain of custody หรือไม่ เป็นต้น
ตัวอย่างขั้นตอนการตรวจพิสูจน์เครื่องคอมพิวเตอร์
1. ผู้ตรวจพิสูจน์ รับมอบ ลงนาม กำกับเวลาทำงาน และสิ้นสุด พร้อมคืนของกลางให้ผู้เก็บดูแลรักษา ในบันทึก chain of custidy
2. ผู้ตรวจพิสูจน์ถ่ายวีดิโอแสดงให้เห็นกระบวนการตรวจวิเคราะห์เพื่อยืนยันว่า ทำถูกต้องตามขั้นตอน
3. ทำสำเนา hard disk จากตัว original โดยใช้โปรแกรมมาตรฐานที่น่าเชื่อถือ ชื่อ image หากใช้โปรแกรมอื่น พยานที่ได้มาจะไม่น่าเชื่อถือในมุมมองของศาล เพราะสำเนาที่ได้อาจไม่สมบูรณ์หรือผิดพลาดได้
4. การทำสำเนา hard disk จะต้องใช้ hard disk ตัวใหม่ที่ยังไม่ผ่านการใช้งานตรวจพิสูจน์ในคดีอื่นมาก่อน เพื่อป้องกัน Encse ดึงข้อมูลจาก hard disk เก่า มาปะปนกับข้อมูลใน hard disk ที่ทำสำเนาใหม่ หากมีการใช้ hard disk เก่า มาทำสำเนา แม้จะ format มาแล้ว ถือว่า ไม่เป็นไปตามมาตรฐาน ข้อมูลที่ได้ จะเป็นพยานหลักฐานที่ไม่น่าเชื่อถือทันที
5. ข้อนี้สำคัญนะครับ การทำสำเนา hard disk เพื่อทำการตรวจพิสูจน์นี้ จะต้องใช้กระบวนการ MD5 บางทีจะเรียกง่ายๆ ว่าเป็นโปรแกรมตัวหนึ่งก็ได้
(ต่อมา MD5 เริ่มเชย เพราะได้ข่าวว่า ผู้เชี่ยวชาญแก้ไขการทำงานของ MD5 ได้ จึงนิยมใช้ SHA1 แทน ต่อมาก็พัฒนาเป็น SHA 2 เพิ่งทราบว่า ทุกวันนี้ มี MDA5 และมี SH 256 ออกมาแล้ว
ไม่ต้องงง นะครับ เป็นอันว่า ทั้งหมดนี้ เอาไว้ทำ hashing ครับ)
เขาทำ hashing เพื่ออะไร
Hashing โดย MD5 หรือ SHA คือการตรวจสอบยืนยันว่า หลังจากทำสำเนาแล้ว hard disk ที่ใช้ในการทำผิด (original) กับ hard disk ที่ทำสำเนาออกมา (copy) นั้น มีข้อมูลภายในตรงกัน 100% หากไม่เหมือนกัน 100% ซึ่งอาจเกิดจากความจงใจหรือผิดพลาด เช่น ใส่ข้อมูลบางอย่างลงไป หรือตัดข้อมูลบางอย่างออกโปรแกรม MD5 จะมีการแจ้งความคลาดเคลื่อนให้ทราบ การใช้ MD5 ในการทำสำเนา จึงใช้ยืนยันได้ว่า เจ้าหน้าที่ทำตามขั้นตอนมาตรฐานสากล หรือไม่ได้กลั่นแกล้ง เปลี่ยนแปลง แก้ไข หรือใส่ข้อมูลการกระทำผิดลงไปในสำเนาเสียเอง
ดังนั้น การทำ copy hard disk เพียงอย่างเดียวโดยไม่ทำ MD5 แล้วนำข้อมูลการกระทำผิดที่ได้มาพิสูจน์ความผิด ศาลจะถือว่า ข้อมูลที่ได้ขาดความน่าเชื่อถือ รายงานการตรวจพิสูจน์ จึงควรระบุยืนยันว่า มีการทำ MD5 หรือใช้ software อื่นที่น่าเชื่อถือแล้ว พร้อมทั้งแสดงผล.
ตัวอย่างบันทึกกระบวนการที่เกี่ยวข้องกับของกลาง (Chain of Custody)
ขั้นตอนทั้งหมด ตั้งแต่การจับ ยึด รวบรวมพยานหลักฐาน การเก็บไว้ระหว่างพิจารณาคดีการตรวจพิสูจน์ กระทำโดยผู้เกี่ยวข้องเท่านั้นไม่มีบุคคลที่ไม่เกี่ยวข้องเข้ามายุ่งเกี่ยวกับพยานหลักฐาน
ทางปฎิบัติ จะมีการทำบันทึก ลงเวลา ขั้นตอน และชื่อผู้ดำเนินไว้ เรียกกระบวนการนี้ว่า Chain of Custody ถ้ากระบวนการนี้ไม่เป็นไปตามขั้นตอน หรือมีบุคคลภายนอกเข้ามาเกี่ยวข้องกับพยานหลักฐาน จะทำให้ข้อมูลที่ได้ ไม่มีความน่าเชื่อถือครับ
จะเห็นได้ว่า การที่ศาลจะรับฟังและชั่งน้ำหนักความน่าเชื่อถือของพยานดิจิตัล ที่ได้จากการตรวจพิสูจน์ข้อมูลคอมพิวเตอร์หรือโทรศัพท์มือถือ จนเชื่อโดยปราศจากสงสัยและสามารถลงโทษจำเลยได้นั้น มีประเด็นที่ต้องพิจารณามากมาย
การชั่งน้ำหนักพยานหลักฐานตามธรรมดา จะพิจารณาจากความสอดคล้องของพยานหลักฐานกับพยานอื่นในสำนวนและความเป็นธรรมชาติของพยานหลักฐานรวมทั้งองค์ความรู้ทางนิติวิทยาศาสตร์อื่นๆ เช่น ลายพิมพ์นิ้วมือ ดีเอ็นเอ เป็นต้น
ที่เล่าให้ฟังนี้ เป็นเรื่องการชั่งน้ำหนักพยานหลักฐานทางเทคนิควิธีล้วนๆ นอกเหนือจากการชั่งน้ำหนักโดยวิธีการทั่วไปแล้ว
หวังว่าข้อเขียนนี้ จะเป็นประโยชน์ต่อผู้ให้ความสนใจบ้างนะครับ
นี่ยังไม่รวมถึง พยานผู้เชี่ยวชาญที่จะมาเบิกความนะครับว่า เราจะมีวิธีการชั่งน้ำหนักพยานผู้เชี่ยวชาญที่มาเบิกความในเรื่องนิติวิทยาศาสตร์ทางคอมพิวเตอร์ ว่ามีความน่าเชื่อถือหรือไม่ อย่างไร
ไม่ใช่ว่า พยานผู้เชี่ยวชาญ เป็นแพทย์ เป็นผู้ตรวจอาวุธปืน เป็นผู้ตรวจดีเอ็นเอ เป็นผู้ตรวจคอมพิวเตอร์ มาเบิกความแล้ว จะมีความน่าเชื่อถือเสมอไป
เอาไว้โอกาสหน้านะครับจะเล่าให้ฟัง
ข้อเขียนนี้ ผมพยายามไม่ลงลึก และใช้ถ้อยคำที่เข้าใจง่ายแล้วแต่ก็เข้าใจนะครับว่า หลายท่านคงยัง งงๆ แต่ถ้าท่านอ่านมาถึงตอนนี้ได้ ก็ต้องขอชื่นชม ในความพยายาม ในขันติบารมี และขอขอบคุณครับ ที่ท่านยังไม่หลับ สุดยอดครับ 555
ปล. ต้องขอโทษผู้บังคับใช้กฎหมายด้วยนะครับ ที่เอาเรื่องนี้มาเปิดเผย ทำให้ทำงานยากขึ้น
แต่เชื่อผมเถอะ ความรู้เหมาะกับคนดี ผู้บริสุทธิ์ ส่วนคนร้ายจริงๆ นั้น ไม่มีวันตามเทคโนโลยีที่เราพัฒนาขึ้นไปเรื่อยๆ ได้ทันอย่างแน่นอน เป็นกำลังใจให้ครับ
แสดงความคิดเห็น