สืบจากล็อก...แกะรอยออนไลน์

วันที่ 05 พฤษภาคม พ.ศ. 2552 ปีที่ 32 ฉบับที่ 11378 มติชนรายวัน


สืบจากล็อก...แกะรอยออนไลน์



หากเครือข่ายคอมพิวเตอร์ถูกบุกรุกข้อมูลถูกเปลี่ยนแปลงหรือสูญหาย ไม่ว่าจะเกิดจากฝีมือคนในองค์กร หรือนอกองค์กร ไม่ว่าจะทำด้วยเจตนา หรือด้วยความรู้เท่าไม่ถึงการณ์ หลักฐานสำคัญสำหรับการสืบสวนสอบสวนคือ "LogFile" - องค์ประกอบหนึ่งของ พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ซึ่งเป็นเพียงเครื่องมือช่วยในการสืบสวนสอบสวน และเป็นหลักฐานประกอบคดี ขณะที่สาระสำคัญอยู่ที่ "การสืบสวนหาตัวผู้กระทำความผิด" ก่อนแกะรอยหาหลักฐานออนไลน์ มาทำความเข้าใจถึงที่มาของ Log กันก่อน

Security Revolution Analysis Network (SRAN) ระบุว่า LogFile หรือข้อมูลจราจร เกิดขึ้นจากการสื่อสาร ส่ง-รับและลำเลียงข้อมูล เช่น ระหว่างคอมพิวเตอร์เครื่องหนึ่งกับเว็บไซต์หนึ่งเมื่อกดปุ่ม Enter เรียกดูเว็บไซต์ข้อมูลคำสั่งจากเครื่องคอมพิวเตอร์จะถูกลำเลียงผ่านอุปกรณ์เครือข่ายไปยังผู้ให้บริการ ISP, Internet Gateway (หากเว็บนั้นอยู่ต่างประเทศ) ต่อไปยังเว็บไซต์ปลายทาง ประมวลผล แล้วลำเลียงข้อมูลกลับสู่ต้นทาง ระยะทางแสนไกลแต่ใช้เวลาสั้นกระชับ...และทุกที่ที่มีการลำเลียงข้อมูล จะทิ้งร่องรอยไว้เสมอ หากมีการเก็บบันทึก Log ตลอดเส้นทางลำเลียงข้อมูล และมีแฮกเกอร์ประมาทเลินเล่อคิดเพียงลบ Log ที่ตนทำและรับรู้ อาจไม่สามารถลบได้หมดจด จึงไม่ยากนักกับการหาร่องรอยผู้กระทำความผิดในโลกดิจิตอล

ข้อมูลที่ไหลเวียนบนระบบเครือข่ายอยู่ในรูปแบบ Real-Time ไม่สามารถเรียกดูย้อนหลังได้ทำได้เพียงวิธีเดียว คือ ดูจาก LogFile ซึ่งหากให้ง่ายต่องานสืบสวนสอบสวน Log ที่บันทึกควรระบุใคร, ทำอะไร, ที่ไหน, เวลาใด และอย่างไรตาม หลักห่วงโซ่ของเหตุการณ์ (Chain of Event)

สิ่งบันทึกเหล่านี้เรียกว่า "Data Archive" ซึ่งหากมีการแก้ไขข้อมูลบนห่วงโซ่ใดห่วงโซ่หนึ่งร่องรอยหลักฐานยังคงปรากฏอยู่บนห่วงโซ่ที่เหลือแต่อาจส่งผลให้ข้อมูลบนห่วงโซ่คลาดเคลื่อนผิดเพี้ยน ไม่อาจสืบหาสาเหตุต้นตอหรือเกิดกรณี "หลักฐานไม่เพียงพอ" ได้เช่นกัน ดังนั้นเพื่อให้หลักฐานเกิดความน่าเชื่อถือ จึงต้องมีการยืนยันความถูกต้องของข้อมูลที่บันทึกว่าไม่ถูกเปลี่ยนแปลงแก้ไข เรียกว่า ทำ "Data Hashing" เป็นการยืนยันความถูกต้องของหลักฐาน นำไปประกอบคดีได้ในชั้นศาล

คดีความออนไลน์ส่วนใหญ่มักเกิดจากกรณีหมิ่นประมาท, หลอกลวงให้ผู้อื่นเสียหาย, การขโมย/ปลอมแปลงข้อมูล ซึ่งหนีไม่พ้นการใช้ Web, Mail, Chat, VoIP, Upload/Download ไฟล์ ฯลฯ มีสาเหตุจากการใช้งานด้วยพฤติกรรมไม่เหมาะสม ขาดจริยธรรมก่อเกิดเป็นคดีความที่มีแนวโน้มเพิ่มขึ้นตามความเจริญทางเทคโนโลยีและวัตถุซึ่งผู้ที่เสี่ยงต่อการก่อเหตุไม่พึงประสงค์ล้วนแล้วแต่เป็น "ผู้ใช้งาน" (User) และส่วนใหญ่เป็นคนในองค์กรการควบคุมผู้ใช้งานอินเตอร์เน็ตทำได้หลากวิธี ไม่ยุ่งยาก

แต่การควบคุมผู้ใช้งานภายในองค์กรไม่ใช่เรื่องง่ายนัก ต้องอาศัยโครงสร้างพื้นฐาน ประกอบด้วย คน เทคโนโลยี และนโยบายที่เหมาะสม ประสานการทำงานให้สอดคล้องกัน

หน้า 26
http://www.matichon.co.th/matichon/view_news.php?newsid=01epe02050552&sectionid=0147&day=2009-05-05

---

Windows Live™: Keep your life in sync. Check it out.