Python Digital Forensics - บทนำ
บทนี้จะให้ข้อมูลเบื้องต้นเกี่ยวกับสิ่งที่นิติดิจิทัลเป็นข้อมูลเกี่ยวกับและการทบทวนประวัติศาสตร์ นอกจากนี้คุณจะเข้าใจว่าคุณสามารถประยุกต์ใช้นิติวิทยาศาสตร์ดิจิทัลในชีวิตจริงและข้อ จำกัด ได้จากที่ใด
Digital Forensics คืออะไร?
นิติดิจิทัลอาจถูกกำหนดให้เป็นสาขาของนิติวิทยาศาสตร์ที่วิเคราะห์ตรวจสอบระบุและกู้คืนหลักฐานดิจิทัลที่อยู่ในอุปกรณ์อิเล็กทรอนิกส์ มักใช้สำหรับกฎหมายอาญาและการสืบสวนส่วนตัว
ตัวอย่างเช่นคุณสามารถใช้หลักฐานทางนิติวิทยาศาสตร์ดิจิทัลในกรณีที่มีคนขโมยข้อมูลบางอย่างในอุปกรณ์อิเล็กทรอนิกส์
การทบทวนทางประวัติศาสตร์โดยย่อของนิติดิจิทัล
ประวัติอาชญากรรมคอมพิวเตอร์และการทบทวนทางนิติวิทยาศาสตร์ในอดีตมีอธิบายไว้ในส่วนนี้ตามที่ระบุด้านล่าง -
1970-1980: อาชญากรรมคอมพิวเตอร์ครั้งแรก
ก่อนหน้านี้ทศวรรษที่ผ่านมาไม่มีอาชญากรรมคอมพิวเตอร์ได้รับการยอมรับ อย่างไรก็ตามหากมันควรจะเกิดขึ้นกฎหมายที่มีอยู่จะจัดการกับพวกเขา ต่อมาในปี 1978 อาชญากรรมคอมพิวเตอร์ครั้งแรกได้รับการยอมรับใน Florida Computer Crime Act ซึ่งรวมถึงการออกกฎหมายต่อต้านการแก้ไขหรือลบข้อมูลในระบบคอมพิวเตอร์โดยไม่ได้รับอนุญาต แต่เมื่อเวลาผ่านไปเนื่องจากความก้าวหน้าของเทคโนโลยีการก่ออาชญากรรมทางคอมพิวเตอร์ก็เพิ่มขึ้นด้วย ในการจัดการกับอาชญากรรมที่เกี่ยวข้องกับลิขสิทธิ์ความเป็นส่วนตัวและภาพอนาจารของเด็กได้มีการผ่านกฎหมายอื่น ๆ
ทศวรรษที่ 1980-1990: ทศวรรษแห่งการพัฒนา
ทศวรรษนี้เป็นทศวรรษแห่งการพัฒนาสำหรับนิติวิทยาศาสตร์ดิจิทัลทั้งหมดเป็นเพราะการสอบสวนครั้งแรก (1986) ที่ Cliff Stoll ติดตามแฮกเกอร์ชื่อ Markus Hess ในช่วงเวลานี้สาขาวิชานิติวิทยาศาสตร์ดิจิทัลสองประเภทได้รับการพัฒนาโดยอันดับแรกได้รับความช่วยเหลือจากเครื่องมือและเทคนิคเฉพาะกิจที่พัฒนาโดยผู้ปฏิบัติงานซึ่งถือเป็นงานอดิเรกในขณะที่กลุ่มที่สองได้รับการพัฒนาโดยชุมชนวิทยาศาสตร์ ในปีพ. ศ“Computer Forensics”ถูกใช้ในวรรณคดีวิชาการ
2000s-2010s: ทศวรรษแห่งการมาตรฐาน
หลังจากการพัฒนานิติวิทยาศาสตร์ดิจิทัลไปถึงระดับหนึ่งแล้วจำเป็นต้องมีการสร้างมาตรฐานเฉพาะบางอย่างที่สามารถปฏิบัติตามได้ในขณะที่ทำการสอบสวน ดังนั้นหน่วยงานและหน่วยงานทางวิทยาศาสตร์หลายแห่งจึงได้เผยแพร่แนวทางสำหรับนิติวิทยาศาสตร์ดิจิทัล ในปี 2545 คณะทำงานทางวิทยาศาสตร์เกี่ยวกับหลักฐานดิจิทัล (SWGDE) ได้ตีพิมพ์บทความชื่อ“ แนวทางปฏิบัติที่ดีที่สุดสำหรับนิติคอมพิวเตอร์” ขนนกอีกอันในหมวกคือสนธิสัญญาระหว่างประเทศที่นำโดยยุโรปคือ“The Convention on Cybercrime”ลงนามโดย 43 ประเทศและให้สัตยาบันโดย 16 ประเทศ แม้ว่าจะผ่านมาตรฐานดังกล่าวแล้ว แต่ก็ยังมีความจำเป็นที่จะต้องแก้ไขปัญหาบางอย่างที่นักวิจัยระบุไว้
กระบวนการนิติวิทยาศาสตร์ดิจิทัล
นับตั้งแต่เกิดอาชญากรรมคอมพิวเตอร์ครั้งแรกในปี 2521 มีกิจกรรมอาชญากรรมดิจิทัลเพิ่มขึ้นอย่างมาก เนื่องจากการเพิ่มขึ้นนี้มีความจำเป็นที่จะต้องมีโครงสร้างที่ดีในการจัดการกับสิ่งเหล่านี้ ในปีพ. ศ. 2527 ได้มีการนำกระบวนการที่เป็นทางการมาใช้และหลังจากนั้นได้มีการพัฒนากระบวนการตรวจสอบทางนิติวิทยาศาสตร์ทางคอมพิวเตอร์ใหม่ ๆ จำนวนมาก
กระบวนการตรวจสอบทางนิติวิทยาศาสตร์ของคอมพิวเตอร์เกี่ยวข้องกับสามขั้นตอนหลักดังที่อธิบายไว้ด้านล่าง -
ระยะที่ 1: การได้มาหรือการสร้างภาพของการจัดแสดง
ขั้นตอนแรกของนิติดิจิทัลเกี่ยวข้องกับการบันทึกสถานะของระบบดิจิทัลเพื่อให้สามารถวิเคราะห์ได้ในภายหลัง คล้ายกับการถ่ายรูปตัวอย่างเลือด ฯลฯ จากสถานที่เกิดเหตุเป็นอย่างมาก ตัวอย่างเช่นเกี่ยวข้องกับการจับภาพของพื้นที่ที่จัดสรรและไม่ได้จัดสรรของฮาร์ดดิสก์หรือ RAM
ระยะที่ 2: การวิเคราะห์
อินพุตของเฟสนี้คือข้อมูลที่ได้มาจากขั้นตอนการได้มา ที่นี่ข้อมูลนี้ได้รับการตรวจสอบเพื่อระบุหลักฐาน ระยะนี้ให้หลักฐานสามประเภทดังนี้ -
Inculpatory evidences - หลักฐานเหล่านี้สนับสนุนประวัติศาสตร์ที่กำหนด
Exculpatory evidences - หลักฐานเหล่านี้ขัดแย้งกับประวัติศาสตร์ที่กำหนด
Evidence of tampering- หลักฐานเหล่านี้แสดงให้เห็นว่าระบบมีอารมณ์เพื่อหลีกเลี่ยงการระบุตัวตน รวมถึงการตรวจสอบไฟล์และเนื้อหาไดเร็กทอรีสำหรับการกู้คืนไฟล์ที่ถูกลบ
ระยะที่ 3: การนำเสนอหรือการรายงาน
ตามชื่อที่แนะนำระยะนี้จะนำเสนอข้อสรุปและหลักฐานที่เกี่ยวข้องจากการสอบสวน
การประยุกต์ใช้นิติดิจิทัล
นิติวิทยาศาสตร์ดิจิทัลเกี่ยวข้องกับการรวบรวมวิเคราะห์และรักษาหลักฐานที่มีอยู่ในอุปกรณ์ดิจิทัลใด ๆ การใช้นิติดิจิทัลขึ้นอยู่กับการใช้งาน ดังที่ได้กล่าวไว้ก่อนหน้านี้ส่วนใหญ่จะใช้ในสองแอปพลิเคชั่นต่อไปนี้ -
กฎหมายอาญา
ในกฎหมายอาญามีการรวบรวมพยานหลักฐานเพื่อสนับสนุนหรือคัดค้านสมมติฐานในศาล ขั้นตอนทางนิติวิทยาศาสตร์คล้ายกับที่ใช้ในการสืบสวนคดีอาชญากรรมมาก แต่มีข้อกำหนดและข้อ จำกัด ทางกฎหมายที่แตกต่างกัน
การสืบสวนส่วนตัว
โลกขององค์กรส่วนใหญ่ใช้นิติดิจิทัลสำหรับการสอบสวนส่วนตัว ใช้เมื่อ บริษัท ต่างๆสงสัยว่าพนักงานอาจทำกิจกรรมที่ผิดกฎหมายบนคอมพิวเตอร์ที่ขัดต่อนโยบายของ บริษัท นิติวิทยาศาสตร์ดิจิทัลเป็นหนึ่งในเส้นทางที่ดีที่สุดสำหรับ บริษัท หรือบุคคลที่จะดำเนินการเมื่อมีการตรวจสอบบุคคลเกี่ยวกับการประพฤติมิชอบทางดิจิทัล
สาขานิติวิทยาศาสตร์ดิจิทัล
อาชญากรรมดิจิทัลไม่ได้ จำกัด อยู่ที่คอมพิวเตอร์เพียงอย่างเดียวอย่างไรก็ตามแฮกเกอร์และอาชญากรต่างก็ใช้อุปกรณ์ดิจิทัลขนาดเล็กเช่นแท็บเล็ตสมาร์ทโฟน ฯลฯ ในระดับที่ใหญ่มากเช่นกัน อุปกรณ์บางอย่างมีหน่วยความจำแบบระเหยในขณะที่อุปกรณ์อื่น ๆ มีหน่วยความจำแบบไม่ลบเลือน ดังนั้นขึ้นอยู่กับประเภทของอุปกรณ์นิติดิจิทัลมีสาขาดังต่อไปนี้ -
นิติคอมพิวเตอร์
สาขานิติวิทยาศาสตร์ดิจิทัลนี้เกี่ยวข้องกับคอมพิวเตอร์ระบบฝังตัวและหน่วยความจำแบบคงที่เช่นไดรฟ์ USB ข้อมูลที่หลากหลายตั้งแต่บันทึกไปจนถึงไฟล์จริงในไดรฟ์สามารถตรวจสอบได้ในทางนิติคอมพิวเตอร์
นิติมือถือ
ซึ่งเกี่ยวข้องกับการตรวจสอบข้อมูลจากอุปกรณ์มือถือ สาขานี้แตกต่างจากนิติคอมพิวเตอร์ในแง่ที่ว่าอุปกรณ์พกพามีระบบการสื่อสารในตัวซึ่งมีประโยชน์ในการให้ข้อมูลที่เป็นประโยชน์เกี่ยวกับสถานที่
นิติเครือข่าย
สิ่งนี้เกี่ยวข้องกับการตรวจสอบและวิเคราะห์การรับส่งข้อมูลเครือข่ายคอมพิวเตอร์ทั้งในพื้นที่และ WAN (เครือข่ายบริเวณกว้าง) เพื่อวัตถุประสงค์ในการรวบรวมข้อมูลการรวบรวมหลักฐานหรือการตรวจจับการบุกรุก
นิติฐานข้อมูล
สาขานิติวิทยาศาสตร์ดิจิทัลนี้เกี่ยวข้องกับการศึกษาทางนิติวิทยาศาสตร์ของฐานข้อมูลและข้อมูลเมตา
ทักษะที่จำเป็นสำหรับการตรวจสอบทางนิติวิทยาศาสตร์ดิจิทัล
ผู้ตรวจสอบทางนิติวิทยาศาสตร์ดิจิทัลช่วยในการติดตามแฮกเกอร์กู้คืนข้อมูลที่ถูกขโมยติดตามการโจมตีทางคอมพิวเตอร์กลับไปยังต้นทางและช่วยในการสืบสวนประเภทอื่น ๆ ที่เกี่ยวข้องกับคอมพิวเตอร์ ทักษะสำคัญบางประการที่จำเป็นในการเป็นผู้ตรวจสอบนิติวิทยาศาสตร์ดิจิทัลตามที่กล่าวไว้ด้านล่าง -
ความสามารถในการคิดที่โดดเด่น
ผู้ตรวจสอบนิติวิทยาศาสตร์ดิจิทัลจะต้องเป็นนักคิดที่โดดเด่นและควรมีความสามารถในการใช้เครื่องมือและวิธีการต่างๆในงานที่ได้รับมอบหมายเพื่อให้ได้ผลลัพธ์ เขา / เธอต้องสามารถค้นหารูปแบบที่แตกต่างกันและสร้างความสัมพันธ์ระหว่างกันได้
ทักษะทางเทคนิค
ผู้ตรวจสอบนิติวิทยาศาสตร์ดิจิทัลต้องมีทักษะทางเทคโนโลยีที่ดีเนื่องจากสาขานี้ต้องการความรู้เกี่ยวกับเครือข่ายวิธีการโต้ตอบของระบบดิจิทัล
หลงใหลใน Cyber Security
เนื่องจากสาขานิติวิทยาศาสตร์ดิจิทัลเป็นเรื่องเกี่ยวกับการแก้ปัญหาอาชญากรรมทางไซเบอร์และนี่เป็นงานที่น่าเบื่อจึงต้องการความกระตือรือร้นอย่างมากสำหรับคนที่จะมาเป็นผู้ตรวจสอบทางนิติวิทยาศาสตร์ดิจิทัล
ความสามารถในการสื่อสาร
ทักษะการสื่อสารที่ดีเป็นสิ่งจำเป็นในการประสานงานกับทีมต่างๆและเพื่อดึงข้อมูลหรือข้อมูลที่ขาดหายไป
มีทักษะในการทำรายงาน
หลังจากการดำเนินการได้มาและการวิเคราะห์ประสบความสำเร็จผู้ตรวจสอบทางนิติวิทยาศาสตร์ดิจิทัลจะต้องกล่าวถึงผลการวิจัยทั้งหมดในรายงานขั้นสุดท้ายและการนำเสนอ ดังนั้นเขา / เธอต้องมีทักษะในการทำรายงานที่ดีและใส่ใจในรายละเอียด
ข้อ จำกัด
การตรวจสอบทางนิติวิทยาศาสตร์ดิจิทัลมีข้อ จำกัด บางประการตามที่กล่าวไว้ที่นี่ -
จำเป็นต้องสร้างหลักฐานที่น่าเชื่อถือ
ความพ่ายแพ้ที่สำคัญประการหนึ่งของการตรวจสอบทางนิติวิทยาศาสตร์ดิจิทัลคือผู้ตรวจสอบจะต้องปฏิบัติตามมาตรฐานที่จำเป็นสำหรับหลักฐานในศาลเนื่องจากข้อมูลสามารถถูกดัดแปลงได้ง่าย ในทางกลับกันผู้ตรวจสอบทางนิติวิทยาศาสตร์คอมพิวเตอร์จะต้องมีความรู้ครบถ้วนเกี่ยวกับข้อกำหนดทางกฎหมายการจัดการหลักฐานและขั้นตอนการจัดทำเอกสารเพื่อแสดงหลักฐานที่น่าเชื่อถือในศาลยุติธรรม
เครื่องมือตรวจสอบ
ประสิทธิผลของการสอบสวนทางดิจิทัลทั้งหมดขึ้นอยู่กับความเชี่ยวชาญของผู้ตรวจสอบทางนิติวิทยาศาสตร์ดิจิทัลและการเลือกเครื่องมือตรวจสอบที่เหมาะสม หากเครื่องมือที่ใช้ไม่เป็นไปตามมาตรฐานที่กำหนดในชั้นศาลผู้พิพากษาสามารถปฏิเสธพยานหลักฐานได้
ขาดความรู้ทางเทคนิคในหมู่ผู้ชม
ข้อ จำกัด อีกประการหนึ่งคือบุคคลบางคนไม่คุ้นเคยกับนิติคอมพิวเตอร์อย่างสมบูรณ์ ดังนั้นหลายคนไม่เข้าใจสาขานี้ ผู้ตรวจสอบต้องแน่ใจว่าได้แจ้งสิ่งที่ค้นพบกับศาลเพื่อช่วยให้ทุกคนเข้าใจผลลัพธ์
ค่าใช้จ่าย
การผลิตหลักฐานดิจิทัลและการเก็บรักษาไว้นั้นมีค่าใช้จ่ายสูงมาก ดังนั้นกระบวนการนี้อาจไม่ถูกเลือกโดยคนจำนวนมากที่ไม่สามารถจ่ายค่าใช้จ่ายได้