สรุปการอบรม NCSA Cybersecurity Knowledge Sharing ครั้งที่ 4/2567

ในหัวข้อเรื่อง รอบรู้เรื่อง Digital Forensic พร้อมการรับมือกับ Advanced Threat และ Social Media

ผู้จัดงาน: สำนักวิชาการความมั่นคงปลอดภัยไซเบอร์แห่งชาติ สกมช. ร่วมกับวิทยากรผู้เชี่ยวชาญจาก กองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี

วันที่อบรม: วันพุธที่ 21 กุมภาพันธ์ 2567 09:00–12:00 AM

กำหนดการอบรมวันนี้:

พันตำรวจตรี วีระพงษ์ แนวคำดี ได้พูดเกี่ยวกับ

Advanced Threat คือ ภัยคุกคามที่เข้าสู่ระบบขององค์กร โดยเทคนิคหลักคือการติดตามเป้าหมายและโจมตีแบบระบุเป้าหมาย ที่หาได้ขององค์กร เช่น ข้อมูลที่ถูกโพสต์บนโซเชียลมีเดีย

มีเป้าหมายโจมตีหน่วยงานที่มีข้อมูลสำคัญ ยกตัวอย่างเช่น

• หน่วยงานทหาร
• หน่วยงานความมั่นคงปลอดภัยของประเทศ
• หน่วยงานทางการเมือง
• องค์กรธุรกิจขนาดใหญ่

รูปแบบการโจมตี

• ส่วนใหญ่มักเป็นแบบกลุ่ม มากกว่ารายคน
• การฝังตัวและค่อยๆโจมตี
• หลีกเลี่ยงการตรวจจับของระบบรักษาความปลอดภัย

ลักษณะภัยคุกคามขั้นสูง มีลักษณะดังนี้

• กำหนดเป้าหมาย กำหนดเป้าหมายองค์กรที่เฉพาะเจาะจง
• แฝงตัวอยู่ เพื่อเรียนรู้การคุย เลียนแบบพฤติกรรมของเหยื่อ
• มีความหลากหลาย เพื่อยากต่อการตรวจจับด้วยระบบรักษาความปลอดภัยเดิม
• หลบหลีกการจับ เพื่อหลีกเลี่ยงการตรวจจับของระบบรักษาความปลอดภัย และใช้เทคนิคซ่อนการปรากฏตัว
• วิธีการผสมผสานหลากหลาย เช่น มัลแวร์, ฟิชชิ่ง, วิศวกรรมสังคม

ขั้นตอนการทำงาน

1. Intelligence Gathering = การเก็บข้อมูลของเป้าหมาย
2. Point of Entry and Compromise = ใช้ประโยชน์การติดต่อสื่อสารพื้นฐาน เช่น อีเมลล์, แชท, โซเชียลเน็ตเวิร์ค เพื่อหลอกล่อเหยื่อให้ติดตั้งมัลแวร์ไปในองค์กร
3. Command-and-Control (C&C) Communication = ต่อต่อสื่อสารกับเครื่องที่
   ติดมัลแวร์ เพื่อหาข้อมูล ระหว่างนี้มัลแวร์ก็หลบซ่อนโดยไม่ให้ถูกตรวจจับ
4. Lateral Movement = หลังระบบตรวจไม่เจอจะค้นหาข้อมูลสำคัญ
5. Asset/Data = ข้อมูลสำคัญ เช่น บัตรเครดิต, ข้อมูลลูกค้า, การเงิน
6. Data Exfiltration = ขโมยข้อมูลออกสู่ระบบ

ประเภทของ malware ที่ใช้โจมตี

• Remote Access Trojan (RAT) = ควบคุมระยะไกล
• Ransomware = ขโมยข้อมูลเรียกค่าไถ่
• Spyware = รวบรวมข้อมูลส่วนตัวหรือธุรกิจ
• Backdoor = ช่องโหว่ทำให้แฮกเกอร์เข้าถึงเป้าหมายได้

ตัวอย่าง

1. แฮกเกอร์จีนจารกรรมข้อมูลหน่วยงานภาครัฐในภูมิภาคเอเชีย-แปซิฟิก พ.ศ. 2558
2. อิเกียได้รับผลกระทบการโจมตีด้วยอีเมลหลอกลวงภายในอย่างต่อเนื่องให้ติดตั้งมัลแวร์
3. การทดสอบโจมตีฟิชชิ่งโดยอดีตพนักงานIT ของ Nissan Motor
4. การฝังมัลแวร์ payload บน PDF
5. การโดนแฮกเพจ Facebook เพราะถูกขโมย cookie
6. ไวไฟสาธารณะ การทำ DNS spoofing(หลอกไป URLปลอม)

ช่องโหว่ที่โจมตีง่ายที่สุด = ผู้ใช้งาน

“วิธีง่ายสุดหากมัลแวร์แพร่ในองค์กร = ตัดการเชื่อมต่อ

Digital Forensics | Computer Forensics

คือ การเก็บหลักฐาน ค้นหา วิเคราะห์ นำเสนอหลักฐานทางดิจิทัลที่อยู่ในอุปกรณ์คอมพิวเตอร์และอิเล็กทรอนิกส์ ด้วยกระบวนการที่น่าเชื่อถือ โดยหน่วยงาน หรือองค์กรที่เกี่ยวข้อง และมีอำนาจหน้าที่ตามกฎหมาย

งานนิติวิทยา ต้องถามตัวเองก่อนว่า ทำได้ไหม มีอำนาจหรือไม่?

กระบวนการจัดการพยานหลักฐาน

1. ระบุ
   1.1 ฐานความผิด — องค์ประกอบผิด
   1.2 ข้อสันนิษฐาน
   1.3 อุปกรณ์คอมพิวเตอร์ที่เกี่ยวข้อง
   1.4 ข้อมูลคอมพิวเตอร์ที่เกี่ยวข้อง
   1.5 ประเภทความสัมพันธ์ ทางตรงและทางอ้อม เช่น แรงจูงใจ
2. รักษา
   2.1 อำนาจหน้าที่บุคคลที่จะเข้าถึง
   2.2 ห่วงโซ่พยานหลักฐาน
   2.3 ป้องกันการเปลี่ยนแปลง (เข้าถึงเครือข่าย,ประเภทข้อมูล,ชนิดสื่อบันทึก,สถานการณ์)
3. จัดเก็บ
   3.1 ทักษะ/ความรู้
   3.2 เครื่องมือ/อุปกรณ์
   3.3 วิธีปฏิบัติ (การแพ็ค,บันทึกภาพ,บรรจุหีบห่อ)
4. วิเคราะห์
   4.1 ตั้งประเด็นตรวจพิสูจน์ตามรูปคดี
   4.2 กระบวนการตรวจ (เครื่องมือ/วิธีการ)
   4.3 ออกรายงาน (ข้อเท็จจริง/เลี่ยงข้อคิดเห็น)
5. นำเสนอ
   5.1 การนำเข้าสำนวนการสอบสวน
   5.2 การให้การพยานบุคคล
   5.3 การเบิกความในชั้นศาล
   5.4 การชั่งน้ำหนักพยานหลักฐาน (ข้อมูลต้องน่าเชื่อถือ)

“ความน่าเชื่อถือ=วิธีการเก็บรักษา/ไม่ถูกเปลี่ยนแปลง”

หลักการรักษาความน่าเชื่อถือ

1. พยานหลักฐานได้มาโดยชอบ
2. การรักษาห่วงโซ่ของพยานหลักฐาน
3. การยืนยันความถูกต้องของพยานหลักฐาน

หลักการรักษาความน่าเชื่อถือ

1. ไม่เปลี่ยนแปลงพยานหลักฐาน
2. ถ้าจำเป็นต้องเปลี่ยนหลักฐาน ต้องสามารถอธิบายได้ หรือเปลี่ยนแปลงหลักฐานให้น้อยที่สุดที่เป็นไปได้
3. บันทึกรายละเอียดทุกขั้นตอนที่กระทำกับพยานหลักฐาน
4. ผู้ที่เป็นเจ้าของคดี ต้องปฏิบัติตามกฎหมายและรักษาความน่าเชื่อถือพยานหลักฐาน

การพิสูจน์ตัวตน

1. สิ่งที่คุณรู้ เช่น รหัสผ่าน
2. สิ่งที่คุณมี เช่น คีย์การ์ด
3. สิ่งที่คุณเป็น เช่น ลายนิ้วมือ

พยานหลักฐานที่บุคคลภายนอก

1. พนักงานสอบสอนออกหมายเรียก (ม.132, ม.133)
2. พนักงานเจ้าหน้าที่ใช้อำนาจ (พรบ.คอมฯ ม.18)
   สิทธิที่สามารถดำเนินการได้เลย
   2.1 มีหนังสือสอบถามหรือเรียกบุคคล
   2.2 เรียกข้อมูลจราจรทางคอมพิวเตอร์จากผู้ใช้บริการ
   2.3 สั่งให้ผู้ให้บริการส่งมอบข้อมูลเกี่ยวกับผู้ใช้บริการ
   สิทธิที่ต้องขออนุญาติศาล
   2.4 ทำสำเนาข้อมูลคอมพิวเตอร์ และ ข้อมูลจราจรคอมพิวเตอร์
   2.5 สั่งให้บุคคลฯ มอบข้อมูลคอมพิวเตอร์หรืออุปกรณ์
   2.6 ตรวจสอบหรือเข้าถึงระบบคอมพิวเตอร์
   2.7 ถอดรหัสของข้อมูลคอมพิวเตอร์
   2.8 ยึดหรืออายัดระบบคอมพิวเตอร์เท่าที่จำเป็น
3. กรณีอยู่ต่างประเทศ
   1. MLAT = พรบ. ร่วมมือระหว่างประเทศคดีอาญา พ.ศ.2535
   2. l24/7 = ร่วมมือตำรวจสากล
   3. Law Enforcement Support = ช่องทางสนับสุนการทำงานเจ้าหน้าที่บังคับใช้กฎหมาย เช่น Facebook, Twitter, Google, Apple, Microsoft เป็นต้น

2. การปฏิบัติงานในที่เกิดเหตุ

พยานหลักฐานดิจิทัล = ข้อมูลที่เก็บรักษาบนสื่อข้อมูล ใช้เป็นพยานหลักฐานได้

ข้อมูลคอมพิวเตอร์ = ข้อมูล ข้อความ คำสั่ง ชุดคำสั่ง อยู่ในระบบคอมพิวเตอร์

ยกตัวอย่าง

• ข้อมูลที่เก็บรักษาบนสื่อบันทึกข้อมูล
• ข้อมูลอย่างระหว่างการรับ ส่งด้วยวิธีการทางอิเล็กทรอนิกส์ ใช้เป็นพยานหลักฐาน

ประเภทพยานหลักฐานดิจิทัล

1. แบ่งตามสื่อบันทึกข้อมูล ได้แก่

• แหล่งจัดเก็บภายใน (Internal Storage)
• แหล่งจัดเก็บภายนอก (External Storage)
• แหล่งจัดเก็บบนเครือข่าย (Network Storage)
• แหล่งจัดเก็บบนคลาวด์ (Cloud Storage)

2. แบ่งตามกระบวนการสื่อสาร ได้แก่

• ข้อมูลคอมพิวเตอร์ = สิ่งที่มนุษย์นำเข้า
• ข้อมูลจราจรคอมพิวเตอร์ = ข้อมูลการติดต่อสื่อสารของระบบคอมพิวเตอร์ เช่น Log file

3. แบ่งตามการเข้ารหัส

• ข้อมูลเข้ารหัส (Encrypted Data)
• ข้อมูลไม่เข้ารหัส (Non-Encrypted Data)

ประเภทพยานหลักฐานดิจิทัล

มาตรา 26 ผู้ให้บริการต้องเก็บข้อมูลจราจรทางคอมพิวเตอร์ ไว้ไม่น้อยกว่า 90 วัน (หากไม่ปฏิบัติตาม ปรับไม่เกิน 5 แสนบาท)

4. แบ่งตามชนิดอุปกรณ์

• คอมพิวเตอร์
• อุปกรณ์พกพา
• อุปกรณ์สวมใส่ เช่น นาฬิกา
• สื่อบันทึกข้อมูล
• Internet of Things (IoT)
• อื่นๆ เช่น กระดาษ, กล้อง CCTV

กระบวนการเกิดพยานหลักฐาน

1. ต้นทาง
2. กลางทาง
3. ปลายทาง (สืบสวนกลางทาง)

การปฏิบัติงาน

1. ที่ทำการ (จัดเก็บ เช่น ผู้เสียหาย, พยาน, ผู้ต้องหา, สืบสวนขยายผล)
2. สถานที่เกิดเหตุ (Live Forensic เช่น คัดกรอง, จัดเก็บหลักฐาน online & volatile) และ ตั้งประเด็นการตรวจ
3. ห้องปฏิบัติการ (Forensic เช่น สำเนา, กู้/ค้นหาข้อมูล, วิเคราะห์, ออกรายงาน)
4. ที่ทำการ (นำเข้าสำนวน เช่น รับของกลาง/รายงาน, สอบคำให้การ, ความเห็นคดี)

โปรแกรมสำหรับนิติวิทยา

• Magnet RAM Capture
• AccessData FTK Imager

“การบันทึกภาพพยาน บันทึก 3 ระยะ คือ ไกล กลาง ใกล้”

“การเก็บหลักฐาน หากเป็นมือถือตัดการเชื่อมต่อ”

3. การปฏิบัติให้ห้องปฏิบัติการ

ขั้นตอนการปฏิบัติงานที่เกี่ยวข้องกับการตรวจพิสูจน์

1. รับอุปกรณ์/วัตถุพยานหลักฐานที่ต้องตรวจพิสูจน์
2. ถ่ายภาพด้านหน้าและด้านหลังอุปกรณ์
3. บันทึกลงในระบบตรวจพิสูจน์หลักฐาน
4. ส่งให้เจ้าหน้าที่ห้องตรวจพิสูจน์หลักฐาน จัดเก็บ
5. พิจารณาว่าอุปกรณ์/พยานหลักฐาน เป็นแบบใด เลือกอุปกรณ์ให้ถูกต้อง
6. ตรวจพิสูจน์แล้ว จัดทำรายงานผล
7. เจ้าของเรื่องรับผลตรวจและรับของกลางคืน
8. คืนของกลางและผลตรวจให้หน่วยงานเจ้าของเรื่อง

มาตรฐานของเครื่องมือที่ใช้ตรวจพิสูจน์พยานหลักฐานอิเล็กทรอนิกส์

1. กำหนดได้ (Definable) = ต้องกำหนดผลลัพธ์จากวัตถุประสงค์ที่ต้องการได้
   (เพื่อ อธิบายกระบวนการ, รับรองความถูกต้องกระบวนการ)
2. คาดการณ์ได้ (Predictable) = เครื่องมือต้องคาดการณ์ได้
   (คาดการณ์ไม่ได้=ขาดความสมบูรณ์=ไม่สามารถนำมาใช้งานได้)
3. ทำซ้ำได้ (Repeatable) = ทำซ้ำได้ภายในขอบเขตที่รับผิดชอบ
4. ตรวจสอบได้ (Verifiable) = ตรวจสอบได้ แม้จะใช้คนละเครื่องมือ

“การทำสำเนาพยานหลักฐาน = ต้องไม่เกิดการเปลี่ยนแปลง”

“HDD อุปกรณ์ป้องกันการเขียน ทำimage ข้อมูลออกมา”

พันตำรวจโท พิศาล สุขพิทักษ์ ได้พูดเกี่ยวกับ

ภัยของแอดมิน

• การไม่เข้ารหัส config อุปกรณ์

ภัยของ IOT

• Wi-Fi หลอกให้เหยื่อเกาะ

ความเสี่ยง Work-from-Home

• อยู่นอกองค์กร(นอก firewall องค์กร) เสี่ยงในเรื่องการขโมยข้อมูล ฟิชชิ่ง หรือ malicious software

ความเสี่ยง Opensource

ข้อดี

• ใช้งานและติดตั้งง่าย
• ประหยัดเงินและเวลาการพัฒนา

ข้อเสีย

• ทีมพัฒนา Opensource โค้ดมักจะมีช่องโหว่
• โค้ด Opensource เป็นสาธารณะทุกคนเข้าถึงได้

ตัวอย่าง

1. ช่องโหว่ Joomla

วิธีการ: โดยใช้เครื่องมือ Joomscan ได้ลิ้งค์เส้นทางที่เข้าถึงได้
/apt/index.php/v1/config/application?public=true ส่งข้อมูลผู้ใช้ในรูปแบบ json

วิธีแก้: อัพเดตเวอร์ชั่นล่าสุด

2. เพจปลอมของหน่วยงาน

วิธีการ: หลอกเหยื่อโดยวิธี social engineering เพื่อขโมยข้อมูล หรือเลียนแบบพฤติกรรม

วิธีแก้: มีสติก่อนเข้าเว็บ

3. กรณีศึกษา Free Wi-Fi

วิธีการ: โคลนหน้าเว็บ และหลอกเข้าเว็บปลอม

วิธีแก้: สังเกต URL ว่ามี HTTPS หรือเปล่า

“วิเคราะห์ log ใน HTTP access”

ผมมีหนึ่งคำถามที่ได้ตั้งไว้ก่อนเข้าประชุม

เราจะประยุกต์ใช้นิติวิทยา กับชีวิตประจำวันได้อย่างไร?

คำตอบ: ประยุกต์กับหลักพฤติกรรมมนุษย์ เช่น รหัสผ่านทุกแพลตฟอร์มไม่ควรเหมือนกัน ในมุมมองนักศึกษาเราทำได้มากสุดคือการสังเกต ในมุมมองนักนิติวิทยาคือการรักษาสภาพเดิมของหลักฐานให้ได้มากที่สุด

ขอบคุณทุกคนที่อ่านจนจบครับ

ผู้เขียน