จากเดิมเรามักจะแก้ปัญหาที่ปลายเหตุเสมอ ในกรณีที่มีผู้บุกรุกระบบไม่ว่าเป็นคนภายนอกองค์กร หรือคนในองค์กรเอง ที่เป็นอาชญากรทางคอมพิวเตอร์ ทั้งที่ทำด้วยเจตนา และด้วยความรู้เท่าไม่ถึงการณ์ หลักฐานสำคัญสำหรับการสืบสวนสอบสวนคือ Log ในอดีตที่ยังไม่มีกฏหมายคงมีหลายหน่วยงานที่อาจไม่ให้ความสำคัญกับเรื่อง ระบบรักษาความมั่นคงปลอดภัยทางข้อมูลเลยก็ว่าได้ และเมื่อเกิดปัญหาก็มักจะสืบหาผู้กระทำความผิดจึงเป็นเรื่องที่ยากแต่เมื่อได้อ่านบทความนี้แล้วจะทำให้เกิดความเข้าใจในการสืบหาร่องรอยการกระทำความผิดทางระบบไอทีมากขึ้น อย่างน้อยจะได้หลักคิด ถึงการตรวจสอบที่มาที่ไปของข้อมูลสารสนเทศ การไหลเวียนข้อมูลที่เกิดขึ้นบนโลกอินเตอร์เน็ตได้
หลายคนไปสนใจว่าต้องเก็บ Log อย่างไรถึงจะตรงตามกฏหมายที่ประกาศใช้ แต่หากเข้าใจว่า
สาระสำคัญของกฏหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ที่ประกาศขึ้นนั้นไม่มีอะไรมากก็เพียง ”ต้องการหาผู้กระทำความผิดมาลงโทษ” ให้ได้ จะเป็นประโยชน์อย่างยิ่ง สำหรับการเตรียมตัวในการรับมือกับการเปลี่ยนแปลงทั้งองค์ความรู้ และการปรับตัวในการใช้ระบบสารสนเทศให้มีความตระหนักถึงภัยอันตรายมากขึ้น และส่วนหนึ่งที่ต้องนำมาศึกษากันมากขึ้นนั้นคือ การสร้างจริยธรรมในการใช้คอมพิวเตอร์ (Computer / Internet Ethics) จริยธรรมจะมีความสัมพันธ์พื้นฐานระหว่างมนุษย์ที่ต้องใช้หลัก “เอาใจเขามาใส่ใจเรา” หากเรามีสติและมีความตะหนักรู้ ก็ย่อมเกิดผลดีในโลกไซเบอร์นี้ได้
ดังนั้น Log files เป็นเพียงเครื่องมือหนึ่งที่ใช้ในการสืบสวนสอบสวน และใช้ในการประกอบคดีเพื่อหาผู้กระทำความผิดทางคอมพิวเตอร์
Log นั้นเกิดขึ้นมาได้อย่างไร
ก่อนที่ในความหมาย Log ต้องเข้าใจก่อนว่าข้อมูลจรารจรนี้เกิดขึ้น จากการสื่อสาร ที่มีฝั่งส่งข้อมูล และ ฝั่งรับข้อมูล ตามกลไกล ของ OSI 7 layer ซึ่งเป็นเส้นทางลำเลียงข้อมูล ผมมักจะกล่าวถึงรูปที่สร้างความเข้าใจง่ายได้ชัดขึ้นคือ หลักการที่ผมคิดขึ้นเองนั้นคือ 3 – in 3 – out
ซึ่ง ข้อมูลที่ไหลเวียนบนระบบเครือข่าย จะไม่สามารถดูย้อนหลังได้เนื่องจากเป็น Real – Time การดูย้อนหลังได้มีวิธีการเดียวคือ ดูจาก “Log”
ซึ่งในความหมายของ Log คืออะไรนั้น ผมให้คำนิยามว่า “ข้อมูลการใช้งานที่เกิดขึ้นแล้ว ซึ่งมีผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน”
คุณเคยได้ยินคำกล่าวที่ว่า อากาศที่เราหายใจอยู่ ได้รับอิทธิพลจากแพนตอลใต้น้ำในมหาสมุทรแปซิฟิค และ ผีเสื้อกระพือปีกในประเทศจีน ก็อาจส่งผลให้เกิดพายุเฮอริเคนที่อเมริกา นี้คงเป็นเพราะทุกอย่างมันประสานความสอดคล้องกันอยู่เป็นห่วงโซ่ของความ สัมพันธ์กันจากสิ่งหนึ่งไปสิ่งหนึ่ง บนเงื่อนไขของกาลเวลา การดำรงชีวิตของเราก็เช่นกัน ทุกรายละเอียดที่เราเคลื่อนไหว ก็ย่อมสร้างความเปลี่ยนแปลงให้เกิดขึ้น ไม่เคยหยุดนิ่ง เช่นเดียวกันวงโคจรของโลกมนุษย์หมุนรอบตัวเอง หมุนรอบดวงอาทิตย์ การหมุนนั้นทำให้สิ่งมีชีวิตได้มีการเปลี่ยนแปลง การหยุดนิ่ง หรือไม่เปลี่ยนแปลง มีอยู่อย่างเดียวนั้นคือไม่มีชีวิตอยู่
นี้เองจึงเป็นเหตุผลที่ผมให้คำนิยามว่า Log คือ ข้อมูลการใช้งานที่เกิดขึ้นแล้ว ซึ่งมีผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน
ขอยกตัวอย่างเพื่อให้เห็นภาพความสัมพันธ์ที่เชื่อมโยงกันของการรับ-ส่งข้อมูล ในการใช้งานอินเตอร์เน็ต เพื่อสร้างความเข้าใจถึงนิยามความหมาย Log มากขึ้น
นาย ก อยู่บริษัท XYZ ต้องการเปิดเว็บไซต์ google เพื่อค้นหาสิ่งที่ต้องการ
นาย ก. เปิดบราวเซอร์ Firefox เพื่อใส่ URL ว่า www.google.com พร้อมทั้งกดปุ่ม Enter
เพียงเสี้ยววินาที นาย ก. ก็สามารถเข้าถึงข้อมูลได้
กลไกลเบื้องหลังเหตุการณ์นี้ หากพิสูจน์ตามหลักการไหลเวียนข้อมูล 3-in-3-out
เครื่องคอมพิวเตอร์ของ นาย ก. ถือว่าเป็นระดับ Host กำลังต้องการเรียกข้อมูลการลำเลียงข้อมูลจากเครื่องคอมพิวเตอร์ ก็ส่งผ่านไปยัง อุปกรณ์เครือข่ายของบริษัท XYZ ไปที่ Core Switch และส่งไปยัง Perimeter ของเครือข่ายบริษัท XYZ นั้นคืออุปกรณ์ Router เพื่อต่อสัญญาณข้อมูลไปยังผู้ให้บริการ (ISP) ที่บริษัทฯได้เช่าสัญญาณ จากนั้น หากข้อมูลปลายทางมาจากต่างประเทศ การลำเลียงข้อมูลจาก ISP ก็จะส่งไปยังจุดเชื่อมต่อเครือข่ายระหว่างประเทศ หรือที่เรียกว่า International Internet Gateway เรียกสั้นๆ ว่า IIG และเลือกเส้นทางเดินทางที่ใกล้ที่สุด ไปยังแหล่งข้อมูลปลายทางที่ต้องการจะเดินทางไปถึง ข้อมูลก็ได้ถูกลำเลียงผ่านเส้นทางที่ใกล้ที่สุดผ่านเข้าสู่เครือข่าย google เว็บไซต์ที่ นาย ก. ต้องการเปิด ข้อมูลนั้นก็จะส่งผ่าน Perimeter Network ของ google เข้าสู่ Core Switch ของ google เข้าสู่เครื่องคอมพิวเตอร์ที่ประมวลผลเว็บไซต์ google ซึ่งในความเป็นจริงอาจเป็น Colud Computer ที่ต่อกันเป็นหมื่นๆตัว ซึ่งข้อมูลที่นาย ก. เรียก อาจตกไปที่เครื่องแม่ข่ายตัวใดตัวหนึ่งใน Colud Computer นั้น จากนั้นเส้นทางการประมวลผลของเครื่องแม่ข่าย google ก็ส่งข้อมูลไปยัง Core Switch เครือข่าย google และส่งข้อมูลไปยังอุปกรณ์ Router ออกสู่เครือข่าย google ไปสู่เครือข่ายผู้ให้บริการที่อยู่ต่างประเทศ และไปสู่เครือข่ายที่ใกล้ที่สุด ลำเลียงข้อมูลมายัง
IIG เมืองไทย และส่งต่อไปที่ผู้ให้บริการในประเทศ และส่งข้อมูลไปที่บริษัท XYZ ส่งข้อมูลผ่าน Perimeter Network ของบริษัทเข้าสู่ Core Switch ของบริษัท และเข้าสู่เครื่องคอมพิวเตอร์ที่ นาย ก. เรียกใช้บริการ เส้นทางการลำเลียงข้อมูลดูเหมือนไกลมากข้ามโลกกันที่เดียว แต่ใช้เวลาเพียงชั่วพริบตาเดียว นาย ก. ก็สามารถรับรู้ข้อมูลที่ต้องการได้
และทุกที่ ที่มีการลำเลียงข้อมูลนั้นจะมีร่องรอยการใช้งานของนาย ก. เสมอ หากมีการเก็บบันทึก log ทุกๆ ส่วนของเส้นทางที่กล่าวมา และหาก นาย ก. เป็น Hacker ผู้ไม่รอบครอบและเพียงคิดว่าจะลบ Log เพียงสิ่งที่ตนเองรู้นั้นอาจจะไม่ได้หมายความว่าจะลบได้หมดทุกๆที่ที่เข้าไป การหาร่องรอยผู้กระทำความผิดนั้นจึงเป็นสิ่งที่ไม่ยากเลยในโลกดิจิตอล
อันที่จริงแล้วมันก็เป็นไปตามกฏอิทัปปัจจยตา ในศาสนาพุทธ นั้นเอง คือเมื่อมีสิ่งใดเกิดขึ้นสิ่งนี้ก็จะเกิดขึ้นตาม ทุกอย่างนั้นมีที่มาและที่ไป สิ่งนี้เกิด สิ่งนี้จะเกิดขึ้น
มาถึงตรงนี้จะอยากจะขอสนับสนุนความหมาย Log ที่ว่า ข้อมูลการใช้งานที่เกิดขึ้นแล้ว ซึ่งมีผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน
การเปลี่ยนแปลงนั้นเริ่มตั้งแต่ ปุ่ม Enter ของนาย ก. ได้ยุบลง เพียงเสี้ยวมิลลิเมตรก็เกิดการเปลี่ยนในเครื่องคอมพิวเตอร์ภายในของนาย ก. เพียงสัมผัสปุ่มการประมวลผลภายใน CPU / RAM การหมุนของฮาร์ดดิสบนเครื่องนาย ก. ก็ได้เริ่มขึ้น การลำเลียงข้อมูลเมื่อมีการส่งข้อมูลออกไป ก็ทำให้ Core Switch บริษัท xyz ที่นาย ก. ใช้งานก็เริ่มมีการประมวลผล Switch ก็เริ่มเสื่อม ส่งผ่านไปยัง Router ก็เริ่มเสื่อม Server ของ google ก็เริ่มเสื่อม ตามเวลาที่หมุนไป
การเปลี่ยนแปลงนั้นคือความเสื่อม และทุกครั้งที่มีการเคลื่อนไหวของข้อมูลก็ย่อมทำให้มีการเปลี่ยนแปลง ไม่เพียงแต่ว่าการเปลี่ยนแปลงนั้นเราอาจไม่สังเกต มันเป็นการเปลี่ยนแปลงภายในที่ประสาทตาของมนุษย์อาจไม่ได้เข้าถึง
ภาพแสดงเส้นทางการไหลเวียนข้อมูล เชื่อมโยงกันจากต้นทางไปยังปลายทางที่เรียกใช้ข้อมูล
