cyber crime laws and computer forensics training …cyber crime laws and computer forensics training...

CYBER CRIME LAWS AND COMPUTER FORENSICS TRAINING COURSE 2012 (CCFC 2012)


สภาพปญหาทเกดจากการใชสอเทคโนโลยสารสนเทศในตางประเทศ ในยโรปและอเมรกา

ประเดนเรองการละเมดสทธสวนบคคล

- เทคโนโลยกบการพฒนาฐานขอมลเกยวกบพนธกรรม (DNA Code)

- เทคโนโลย wireless GPRS และดาวเทยม

- เทคโนโลย RFID

- การกอการราย

- การดกฟงและดกรบขอมลสวนบคคล (Wiretapping and Surveillance)

- เทคโนโลย Robot Spidering ของ Google

- การใชอนเตอรเนตโดยสอเทคโนโลยแบบใหม youtube และ facebook

2


3

What is “Privacy” ?

“Right to an inviolate personality & Right to be let alone”

HLR, 1890

Louis D. Brandes and Samuel D. Warren


4

เทคโนโลยการสบคนฐานขอมลเกยวกบพนธกรรม

“IBM Invention &

Genetic Information”

vs.

“Ethics”

- Sensitive Data v.s. Insurance Policy ?

- Human Capacity ?

- Genetic Information Nondiscrimination Act of 2008


การเชอมตอระหวางคอมพวเตอรและมนษย

5


การเชอมตอระหวางคอมพวเตอรและมนษย

6


ปญหาความเปนสวนตว (Privacy)

7

“Erosion of Privacy”

- Financial Harm

- Security / Danger

- Fraud

“Health Problem”

Insurance Coverage


Privacy Case Study

8

“Dog Poop Girl” = Dangerous of IT exploitation


เทคโนโลย Wireless GPRS และดาวเทยม

9

- S3 (Satellite Security Systems)

- GPS (Global Positioning System)

“Ethical Dilemma”

Security & Convenience Erosion of Privacy


เทคโนโลย RFID

10



11



12



13



14



15



16



17



18



19



20



21


ปญหาการกอการราย

22

“Abuse of using

information”


การดกฟงและดกรบขอมลสวนบคคล

23


การดกฟงและดกรบขอมลสวนบคคล

24


เทคโนโลย Robot Spidering ของ Google

25

“We googled you”

(HBR, June 2007)

Q: Is your resume available on-line?


การใชอนเตอรเนตโดยสอเทคโนโลยใหม Youtube และ Facebook

26

“Implied consent of privacy?”


ประเดนสอลามกอนาจารและการเผยแพรเนอหาทขดตอกฎหมายความสงบเรยบรอยและศลธรรมอนด

Phishing

27


Phishing

28

Click File Properties


Phishing

29


Phishing

30



31


• ไวรสคอมพวเตอรและอเมลขยะ (junk mail)

• การหลอกเสนอใหเงนจากประเทศไนจเรย

(Nigerean Money Offers)

32



ประเดนฉอโกงและอาชญากรรมทางคอมพวเตอร

การขโมยขอมลบตรเครดตของลกคา

33


34

DoS : Denial of Service


ปญหา Generation Gap

- Different Generation

- Globalization and advent of technology

35

Baby Boom Generation

Generation Y

Generation X

http://images.google.co.th/imgres?imgurl=http://www.china-trends.com/wp-content/images/baby-boom.jpg&imgrefurl=http://www.agalico.com/board/showthread.php?p=84546&h=381&w=460&sz=71&hl=th&start=2&um=1&usg=__ppmoUfNH8qLJYWZ4TRNdJNd3_kg=&tbnid=6G0RTnfMea72QM:&tbnh=106&tbnw=128&prev=/images?q=baby+boom&um=1&hl=th&sa=N

http://images.google.co.th/imgres?imgurl=http://bp3.blogger.com/_uB-0D-gV8mY/RtlN34yRMNI/AAAAAAAADp0/LjfrH4yYCuc/s400/gen+x&imgrefurl=http://thep5.blogspot.com/2007/09/generation-x-your-generation.html&h=322&w=320&sz=20&hl=th&start=2&um=1&usg=__NVsfF993POtz3KPKe0xgx9tk7Io=&tbnid=YsmdaQSXR1e9YM:&tbnh=118&tbnw=117&prev=/images?q=generation+X&um=1&hl=th

http://images.google.co.th/imgres?imgurl=http://boston.condodomain.com/blog/wp-content/uploads/2008/03/generation-y.jpg&imgrefurl=http://boston.condodomain.com/blog/category/commissions/page/2/&h=272&w=248&sz=22&hl=th&start=9&um=1&usg=__bZADzbzPHwT7GG6OTqbrDYNUIsY=&tbnid=gcjFrAHforbmDM:&tbnh=113&tbnw=103&prev=/images?q=generation+y&um=1&hl=th


36

การเจาะระบบคอมพวเตอรโดยมชอบ


สภาพปญหาการใชสอเทคโนโลยสารสนเทศในไทย

37

การประมลขายสนคาทางอนเตอรเนตโดยหลอกลวง (Internet Auction Fraud)


38

การเจาะขอมลบตรเครดต


39

อาชญากรรมคอมพวเตอรในประเทศไทย

การใชบตรเครดตโดยไมไดรบอนญาต (Credit Card Fraud)


Credit Card Fraud

40


41

Wire-tap devices => adapt from voice recorder


42

TEL EDC

Process I = tap at EDC (compromise with merchant)

Wire tap ขโมยขอมลบตรเครดต


43

TEL EDC

Process I = tap at EDC (compromise with merchant)


44

Device

Process II = tap between telephone’s line

MP3 Wire tap ขโมยขอมลบตรเครดต

HQ Bank


45

Decode Method


ATM Fraud

46


ATM Fraud

47


ATM Fraud

48


ATM Fraud

49


ATM Fraud

50


Phishing

51


52

Hacking


53

Hacking


54

แอบเจาะระบบแกไข วงเงนการใชโทรศพท


55

การเผยแพรขอมลคอมพวเตอรท กระทบตอความม นคง


Peer to Peer Sharing System

Napster Gnuttella

56


57

A peer-to-peer based network A server based network (i.e: not peer-to-peer)


58


59


60


61

ผลกระทบของการใชเทคโนโลยสารสนเทศ

ผลกระทบ

จรยธรรม กฎหมาย สงคม

การบงคบใช กฎหมาย

การควบคมดแลและ ปราบปรามการใชสอ เทคโนโลยสารสนเทศ

ในทางทผด

หนวยงานใดควรเปนผดแล ?

ขอบเขตการบรหารงานของหนวยงาน ?

งบประมาณ ?

บคลากร ?


Regulation in Real Space & Cyber Space

Real Space Cyber Space

Law Law

Norms Nettiquette

Market (Price) Digital Cash

Architecture Code

(by Prof. Lawrence Lessiq)

Q: “Law of Horse?”

62


What is the solution(s)?

- Law

- Ethics

- Technology

- Self Regulation

63


64

แนวทางการแกไขปญหาในตางประเทศ แนวทางแกไขปญหาในตางประเทศ

การบงคบใช กฎหมาย

(Applying Current Laws)

การใชมาตรการทางเทคนค (Lex Electronica)

การสรางองคกรดแลกนเอง (Self Regulation)

กฎหมาย ทเครงครด

การควบคม ดแลของภาครฐ

การควบคมดแล ของเอกชน

การขดกนของกฎหมาย (Conflicts of Laws)

เขตอ านาจศาลและหนวยงานทรบผดชอบ (Jurisdiction / State Eremption)

การบงคบตามค าพพากษาและค าสงทางปกครอง (Legal Enforcement)

“Ethics”

“Code of Ethic/Code of Conduct”


Conflict of Laws

- Brussel Convention

- Rome Convention

- พ.ร.บ.วาดวยกฎหมายขดกน พ.ศ. 2481

Q: หลก “ยอนสง” กบสออนเตอรเนต?

65


Jurisdiction

หลกการในการวนจฉยวา ศาลใดมอ านาจในการพจารณาคดในตางประเทศม ดงน (1) หลก “Effect Doctrine” พจารณาททองทท “ความเสยหาย (Damage)” เกดขน เปนหลกคด Sheville v. Press Alliances S.A. (1998) ECR 1-418 (ECJ-European Court of Justice) (2) หลก “Sliding Scale’ Doctrine” พจารณาถงเจตนาของผกระท าความผดเปนส าคญ (Purposeful Availment) คด Zippo Manufacturing v. Zippo Dot Com, Inc. 952 F. Supp. 1119 (W.D. Pa 1997) (3) หลก “Degree of Interactiveness” พจารณาโดยแบงประเภทของเวบไซทเปน 3 ประเภท - Passive - Active - Interactive คด Weber v. Jolly Hotel (977 F. Supp. 327 (D.N.J 1997) *** What is “Minimum Contact”?

66


Jurisdiction

• Landmark case

International shoe v. Washington,326 US 310

U.S. Supreme court (1954 ) + the Fourteenth Amendment = arm’s

length Doctrine

“No defendant should be haled into the court unless he or she has

“certain minimum contacts with the forum state and unless

maintenance of the suit would not offend “ traditional notions of

fair play and substantial notice”

67


Jurisdiction

Shevill Case ( ECJ)

English citizen vs. French magazine

Zippo Case

ZMC vs. Z.com

68


Case Study

UEJF and LICRA vs. Yahoo Inc. and Yahoo France (2000)

69


ป.ว.พ. มาตรา 4 เวนแตจะมบทบญญตเปนอยางอน (1) ค าฟอง ใหเสนอตอศาลทจ าเลยมภมล าเนาอยในเขตศาลหรอตอศาลทมลคดเกดขนในเขตศาลไมวาจ าเลยจะมภมล าเนาอยในราชอาณาจกรหรอไม (2) ค ารองขอ ใหเสนอตอศาลทมลคดเกดขนในเขตศาล หรอตอศาลทผรองมภมล าเนาอยในเขตศาล มาตรา 4 ตร ค าฟองอนนอกจากทบญญตไวในมาตรา 4 ทว ซงจ าเลยมไดมภมล าเนาอยในราชอาณาจกรและมลคดมไดเกดขนในราชอาณาจกร ถาโจทกเปนผมสญชาตไทยหรอมภมล าเนาอยในราชอาณาจกรใหเสนอตอศาลแพงหรอตอศาลทโจทกมภมล าเนาอยในเขตศาล ค าฟองตามวรรคหนง ถาจ าเลยมทรพยสนทอาจถกบงคบคดไดอยในราชอาณาจกร ไมวาจะเปนการชวคราวหรอถาวร โจทกจะเสนอค าฟองตอศาลททรพยสนนนอยในเขตศาลกได พ.ร.บ.วาดวยการกระท าความผดเกยวกบคอมพวเตอร พ.ศ. 2550 มาตรา 17 ผใดกระท าความผดตามพระราชบญญตนนอกราชอาณาจกรและ (1) ผกระท าความผดนนเปนคนไทย และรฐบาลแหงประเทศทความผดไดเกดขนหรอผเสยหายไดรองขอใหลงโทษ หรอ (2) ผกระท าความผดนนเปนคนตางดาว และรฐบาลไทยหรอคนไทยเปนผเสยหายและผเสยหายไดรองขอใหลงโทษจะตองรบโทษภายในราชอาณาจกร

70


Legal Enforcement

- ค าพพากษาฎกาท 585/2461

“จ าเลยไดท าสญญาขายรถลาก 15 คน กบรถจกรยานอก 2 คน ใหแกโจทกทเมองไซงอนเปน

เงน 1,550 เหรยญ จ าเลยรบเงนจากโจทกแลวหาไดมอบรถใหแกโจทกตามสญญาไม โจทกจงยน

ฟองจ าเลยตอศาลเมองไซงอน ศาลไซงอนพพากษาใหจ าเลยใชเงนแตจ าเลยหลบหนเขามาอยใน

กรงเทพฯ โจทกจงท าหนงสอมอบอ านาจใหผแทนฟองเรยกเงนตามค าพพากษาของศาลไซงอน

ซงเทากบเงนสยาม 5,000 บาท

ศาลแพงตดสนวาจ าเลยยงหากไดมอบรถใหโจทกไม จงพพากษาใหจ าเลยใชเงนตามฟอง

ศาลอทธรณพพากษาลบสตย ศาลฎกาพพากษาวาค าพพากษาศาลไซงอนนน พพากษาโดยจ าเลย

ขาดนด ไมปรากฏวาเปนค าพพากษาทเดดขาด (ถงทสด) อนจะพงรบบงคบบญชาและด าเนนตาม

ได จงใหกลบสตยศาลลางและยกฟองโจทก” 71


E-Government

- ปญหาเกมสออนไลน

- ปญหา Youtube

- ปญหาเวบหมนพระบรมเดชานภาพ

- ปญหาเวบไซทดหมนพทธศาสนา

72


หนวยงานทดแลแกไขปญหาในตางประเทศ

U.S.A.

Authority (for Unity)

- OMB (The Office of Management and Budget)

- GITS (Government Technologies Service Board)

- CIO General (to improve IT practice)

Laws

- E-Government Act of 2002

- The Federal Information Security Management Act (FISMA) of 2002

- Government Paperwork Elimination Act

- Paperwork Reduction Act

73


OMB

74


OMB Organization Chart

75


หนวยงานทดแลแกไขปญหาในไทย

- กระทรวงไอซท กระทรวงวฒนธรรม ส านกนายกฯ กระทรวงกลาโหม ส านกงานต ารวจ

แหงชาต (???)

- หนวยงานในแตละกระทรวง เชน อ.ย. ส.ค.บ. ฯลฯ

Eremption of Authority

- งบประมาณ / กฎหมายทใหอ านาจองคกร พ.ร.ฎ.แบงสวนบรหารราชการแผนดน

- นโยบายแผนแมบทเทคโนโลยสารสนเทศแหงชาต

76


การแกไขปญหาโดยการใชกฎหมายในตางประเทศ

General Federal Privacy Laws

- Freedom of Information Act of 1966 as Amended (5 USC 552)

- Privacy Act of 1974 as Amended (5 USC 552a)

- Electronic Communications Privacy Act of 1986

- Computer Matching and Privacy Protection Act of 1988

- Computer Security Act of 1987

- Federal Managers Financial Integrity Act of 1982

- Driver’s Privacy Protection Act of 1994

- E-Government Act of 2002

77


การแกไขปญหาโดยการใชกฎหมายในตางประเทศ

Privacy Laws Affecting Private Institutions

- Fair Credit Reporting Act of 1970

- Family Educational Rights and Privacy Act of 1974

- Right to Financial Privacy Act of 1978

- Privacy Protection Act of 1980

- Cable Communications Policy Act of 1984

- Electronic Communications Privacy Act of 1986

- Video Privacy Protection Act of 1988

- The Health Insurance Portability and Accountability Act of 1996 (HIPAA)

- Children’s Online Privacy Protection Act of 1998 (COPPA)

- Financial Modernization Act (Gramm-Leach-Bliley Act) of 1999 78


79

การแกไขปญหาโดยการใชมาตรการทางเทคนคในตางประเทศ (Lex Electronica)

การใชเทคโนโลยปองกน

การปด/บลอกเวบไซท (≠ the First Amendment)

Internet 2 ???

Encryption


การแกไขปญหาโดยวธการดแลควบคมกนเอง (Self Regulation) ในตางประเทศ

Prof. Trudel

Code of Conduct

Model of Contracts

Code of Ethics

MOU

Technical or Admin Standard

Certification & Labeling System

80



Prof. Ive Poulet

State Norm Level

Private Norm Level

- Contract

- Certification

- Filtering Technique

- Best Practice

81

Independent Admin Authority

Independent Authority

IETF (Internet Engineering Task Force),

PICS (Platform for Internet Content

Selection), IWF (Internet Watch Foundation)



Prof. Chris Reed

Self Regulated Body

“Social Sanction”

- Web Trader Certification Scheme (Trust Mark)

82

Sanction by scheme itself

Sanction by national laws

BBB (Better Business Bureau)

“Australian Model”


แนวทางแกไขปญหาในตางประเทศ

83

องคกรในประเทศและ ตางประเทศ

มาตรการทางกฎหมาย

มาตรการทางเทคนค

การดแลควบคมกนเอง

ELSI

“Netiquette”

+

“Code of Ethics/Conduct”


ความสมพนธระหวางกฎหมายเทคโนโลยและจรยธรรม

84


Case Study – Australian Model

Australian Broadcasting Amendment (Online Services)

Act 1999

- ISP

- Code of Practice

- Social Sanction

Q: Power of Social Sanction ?

- Minimum Legal Expenses

- ADR

- Relationship 85


Authority

86

ABA

(Australian

Broadcasting Authority)

“Code of Practice” “Contents for TV program” Rate

ABC

“Code of Practice” enacted in schedule 5 of ABAA

SBS

Legal Enforcement

Social Sanction

RC

X 18

R 18

MA 15+


Structure of ABAA (Censorship System)

87

Link Service Provider

ISP

Hosting Service Provider

Black list / Blocking method

Content Service Provider

Industry Standard

Clean Feed

Take Down

Service Cessation

Link – deletion notice

Law Enforcement Agency

Enforcement


การแกไขปญหาในประเทศไทย

มาตรการทางกฎหมาย

- กฎหมายสารบญญต

- กฎหมายสบญญต

- กฎหมายเฉพาะในแตละอตสาหกรรม

- กฎหมาย E-Commerce, ฯลฯ

Q: แกกฎหมายและกฎหมายควบคมเฉพาะ ???

88



มาตรการทางเทคนค

- การใชปด/บลอกเวบไซท

- การใชโปรแกรมปองกนขอมล

- การเขารหส, ฯลฯ

Q: ปดบลอกเวบไซท ???

เขารหส

89



มาตรการการควบคมดแล

- ขาดองคกรอสระ

- รฐบาลขาดการสนบสนนองคกรอสระ (ภาคเอกชน)

- ไมมมาตรการจงใจ (incentive) หรอ Social Sanction

- แกไขปญหาเรองการบงคบใชกฎหมาย (Legal Enforcement)

- แกไขกฎหมายใหหนวยงานรฐตองรบผดชอบ

- สนบสนน ELSI / จรยธรรมของผใชกฎหมาย

90


TRUDEL TEST PRINCIPLE THAI E-GOVERNMENT

1) Code of Conduct X

2) Model Contract X

3) Code of Ethics ?

4) MOU X

5) Technical or Admin Standard ?

6) Certification and Labeling

System

OK

91


ECLP – POULET TEST

PRINCIPLE THAI E-GOVERNMENT

1) State Norm Level

a) Independent Administrative

Authority

b) Independent Authority

X

X

2) Private Norm Level

a) Contract

b) Certification

c) Site Labeling & Filtering Tech

d) Best Practice - Netiquette

?

OK

?

?

92


93

CHRIS REED TEST

a) Sanction Imposed by Scheme

itself

b) Sanction by infringement

under national law

X

X

cyber crime laws and computer forensics training …cyber crime laws and computer forensics training...

Documents