Tải bản đầy đủ (.docx) (32 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

TÌM HIỂU VỀ MỘT SỐ KĨ THUẬT THU THẬP CHỨNG CỨ ĐIỆN TỬ TRONG ĐIỀU TRA SỐ

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.02 MB, 32 trang )

BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

THU THẬP PHÂN TÍCH THÔNG TIN AN NINH MẠNG

TÌM HIỂU VỀ MỘT SỐ KĨ THUẬT THU THẬP
CHỨNG CỨ ĐIỆN TỬ TRONG ĐIỀU TRA SỐ

Ngành: Công nghệ thông tin
Chuyên ngành: An toàn thông tin

Hà Nội, 2019
1


BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

THU THẬP PHÂN TÍCH AN NINH MẠNG

TÌM HIỂU VỀ MỘT SỐ KĨ THUẬT THU THẬP
CHỨNG CỨ ĐIỆN TỬ TRONG ĐIỀU TRA SỐ
Sinh viên thực hiện:
Nguyễn K T
Mạc Đức N K
Nguyễn Q K
Trương Anh T
Nguyễn Văn L
Vương Đ B


Người hướng dẫn:
Khoa an toàn thông tin– Học viện Kỹ thuật mật mã

Hà Nội, 2019
2


Mục lục

MỞ ĐẨU
Ngày nay, khoa học công nghệ đã có những bước phát triển mạnh mẽ về cả chiều
rộng lẫn chiều sâu. Máy tính điện tử không chỉ được coi là một thứ phương tiện quý
hiếm mà nay đã trở thành một công cụ làm việc, giải trí thông dụng của con người
không những ở công sở mà thậm chí còn ở ngay trong gia đình.
Với sự bùng nổ của công nghệ thông tin thì việc bảo mật an toàn thông tin đóng
vai trò không thế thiếu của ngành khoa học này, các tổ chức và các doanh nghiệp lớn và
nhỏ đều tìm mọi biện pháp để xây dựng và củng cố một cách hoàn thiện hệ thống thông
tin của mình nhằm tin học hóa các hoạt động tác nghiệp của đơn vị.
Hiện nay trên thế giới cũng như ở Việt Nam, các cơ quan, các tổ chức cũng như
các trường học đều không ngừng đầu tư vào việc xây dựng và cải thiện các giải pháp
củng cố an toàn thông tin. Chúng ta cũng dễ dàng nhận ra tầm quan trọng và tính tất yếu
của việc bảo vệ thông tin nói chung và ngành mật mã nói riêng trong các cơ quan và
người dung. Với bất kỳ thiết bị điện tử có kết nối internet nào, từ điện thoại di động đến
máy tính bảng, máy tính cá nhân, người dùng mọi lúc mọi nơi đều có thể truy cập và
nắm bắt được các thông tin cần thiết về một cơ quan hay một mục đích thì việc bị tấn
công đánh cắp dữ liệu của các tin tặc là không thể tránh khỏi. Điều này hoàn toàn giải
quyết được bằng đảm bảo một hệ thông an toàn…

3



Chương 1. Tìm hiểu tổng quan về điều tra số, quy trình thực hiện điều
tra số.
1.1
Khái niệm về điều tra số
Trong lĩnh vực an toàn thông tin, Digital Forensics hay còn gọi là điều tra số
là công việc phát hiện, bảo vệ và phân tích thông tin được lưu trữ, truyền tải
hoặc được tạo ra bởi các thiết bị số (máy tính, điện thoại, các thiết bị thông
minh,...) nhằm đưa ra các suy luận hợp lý để tìm nguyên nhân, giải thích các
hiện tượng trong quá trình điều tra.
Máy tính ngày cảng trở nên mạnh mẽ, vì vậy, Iĩnh vực điều tra số cũng phải
có sự phát triển tương xứng. Trong những ngày đầu mới có máy tính, rất dễ để
những nhân viên điều tra có thể tìm ra một file nào đó bởi dung lượng lưu trữ
rất thấp. Ngày nay, với dung lượng lưu trữ của ỗ đĩa lên tới gigabyte, thậm chí
là terabyte dữ liệu, công việc lại càng khó khăn hơn. Điều tra viên sẽ phải tìm
ra những phương pháp khác nhau để có thể tìm kiểm bằng chứng mà không
phải dùng tới quá nhiều nguồn cho quá trình điều tra, nâng cao tính hiệu quả
cho quá trình điều tra.
Một cuộc điều tra số thông thường sẽ điều tra từ các dữ liệu được lấy từ
phần cứng máy tính hay các thiết bị lưu trữ khác, việc điều tra này được thực
hiện thành thủ tục và chính sách đã được tiêu chuẩn hóa nhằm xác định liệu các
thiết bị mật có bị truy cập trái phép bay không. Việc điều tra này được nhóm
điều tra thực hiện sử dụng các phương pháp khác nhau (như phân tích tĩnh hay
động), các công cụ khác nhau. Để một cuộc điều tra thành công, nhóm điều tra
phải có kiến thức chuyên môn về nhiều lĩnh vực khác nhau từ kiến thúc về các
kiểu hệ điều hành (Windows, Linux, Mac OS), các dạng mã độc, cơ chế ghi
nhận và quản lý log ở các thiết bị , các mẫu hoạt động bất thường ở góc độ bộ
nhớ, mạng, .. và thậm chỉ đến mức có kiến thức về các điều luật cũng như các
tổ chức pháp Iý tương ứng.
Lĩnh vực điều tra số vẫn còn khá mới mẻ. Những ngày đầu của máy tính, tòa

án coi bằng chứng từ máy tính không khác gì so với những loại bằng chứng
khác. Khi máy tính ngày càng trở nên phát triển hơn và phức tạp hơn, suy nghĩ
này đã thay đổi, tòa án biết được bằng chứng tội phạm rất dễ dàng có thể bị
thay đổi, bị xóa hoặc bị phá hỏng. Điều tra viên nhận ra rằng cần thiết phải phát
4


triển một công cụ nào đó có thể giúp việc điều tra bằng chứng trong máy tính
mà không làm ảnh hưởng tới thông tin. Họ đã bắt tay làm việc với những nhà
khoa học máy tính, lập trình viên đề bản luận về các phương pháp và công cụ
phù hợp mà họ cần mỗi khi phải truy hỏi thông tin từ một máy tính. Từ đó, họ
đã phát triển phương pháp đề hình thành nên lĩnh vực điều tra số.
Mục tiêu và ý nghĩa của điều tra số
1.2.1 Mục tiêu của điều tra số.
Mục tiêu cốt lõi của điều tra số là phát hiện, bảo quản, khai thác, tài
liệu hóa và đưa ra kết luận về dữ liệu thu thập được. Dữ liệu thu được phải
đảm bảo tính xác thực, tính toàn vẹn nếu không dữ liệu lấy được sẽ không
còn ý nghĩa.
Giả sử, A là quản trị viên của một website
www.thuongmaidientu.com, bỗng một ngày website của A cách khôi phục
lại website như lúc đầu đồng thời củng cố để tránh sự việc tấn công lại bị
tái diễn, hơn nữa xác định ai là kẻ đã tấn công. Đây là lúc A cần phải dựa
vào những bằng chứng từ những tập tin nhật ký (log) và các bằng chứng
khác thu thập từ máy chủ để xác định việc gì đang diễn ra với hệ thống của
mình. Đây chỉ là một ví dụ khá điển hình, ngoài ra còn những trường hợp
khác như phát hiện mã độc trên máy tính, kiểm tra sự bất trường trong
mạng, phát hiện xâm nhập,… Nói chung điều tra số giúp chúng ta xác định
được nguyên nhân sự cố và đưa ra các biện pháp giải quyết tiếp theo.
Điều tra số có những ứng dụng quan trọng trong khoa học điều tra cụ
thể.

Về mặt kỹ thuật: thì điều tra số giúp xác định những gì đang xảy ra
làm ảnh hưởng tới hệ thống đồng thời qua đó phát hiện các nguyên nhân hệ
thông, bị xâm nhập, các hành vi, nguồn gốc của các vi phạm xảy ra đối với
hệ thông.
Về mặ pháp lý: thì điều tra số giúp cho cơ quan điều tra khi tố giác tội
phạm công nghệ cao có được những chứng cứ số thuyết phục để áp dụng
các chế tài xử phạt với các hanh vi vi phạm.
1.2.2 Ý nghĩa của điều tra số
1.2

Không có bất cứ sự đảm bảo nào cho hệ thống mạng máy tính được tuyệt
đối an toàn trước những nguy cơ, rủi ro, tấn công ác ý của tội phạm mạng. Quy
trình xử lý sự cố, phục hồi chứng cứ và truy tìm dấu vết tội phạm cần phải được
5


tiến hành một cách chuyên nghiệp nhằm đem lại chứng cứ chính xác. Một cuộc
điều tra số được tiến hành nhằm:
+ Xác định nguyên nhân hệ thống công nghệ thông tin bị tấn công, từ đó
đưa ra giải pháp khắc phục điềm yếu nhằm nâng cao hiện trạng an toàn của hệ
thống.
+ Xác định các hành vi tội phạm mạng máy tính đã, đang và sẽ làm đối với
hệ thống mạng máy tính. Trong thực tế, thiệt hại tiềm ẩn do những cuộc tấn
công gây rò rỉ thông tin, hay làm mất tính sẵn sàng của hệ thống là việc hệ
thống bị nằm quyền điều khiển, cài chương trình theo dõi, xóa bỏ thông tin,
biến hệ thống mạng máy tính thành công cụ tấn công các hệ thống khác,.... Việc
tiến hành một cuộc điều tra số nhằm xác định chính xác những hoạt động mà
tội phạm mạng đã tác động vào hệ thống và ngăn ngừa các rủi ro khác có thể
xảy ra.
+ Khôi phục thiệt hại mà cuộc tấn công vào hệ thống mạng máy tính gây ra:

phục hồi dữ liệu, thông tin lưu trữ trên hệ thống đã bị phá hoại có chủ đích.
Thực hiện điều tra tội phạm, tìm kiếm chứng cứ số nhằm vạch trần tội phạm
công nghệ cao, các hoạt động gian lận, gián điệp, vi phạm phép luật.
1.3

Các loại điều tra số
1.3.1 Điều tra số trên các thiết bị máy tính

Điều tra số trên máy tính là một nhánh của khoa học điều tra số liên quan
đến việc phân tích các bằng chứng pháp lý được tìm thấy trong máy tính và các
phương tiện lưu trữ kỹ thuật số. Mục đích của điều tra máy tính là nhằm xác
định, bảo quản, phục hồi, phân tích, trình bày lại sự việc và ý kiến về các thông
tin từ thiết bị kỹ thuật số và tiến hành điều tra các thành phần như:
- Điều tra bộ nhớ (Memory Forensics): là phương thức điều tra máy tính
bằng việc ghi lại bộ nhớ khả biển (bộ nhớ RAM) của hệ thống sau đó tiền hành
phân tích làm rõ các hành vi đã xảy ra trên hệ thông. Cụ thể hơn, đó là cố gắng
sử dụng kiến trúc quản lý bộ nhớ trong máy tính để ánh xạ, trích xuất các tập
tin đang thực thi và cư trú trong bộ nhớ. Những tập tin thực thí có thể được sử
dụng để chứng minh rằng hành vi của tội phạm đã xảy ra hoặc để theo dõi nó

6


đã diễn ra như thế nào. Công cụ sử dụng: Dumpit, Strings, The Sleuthkit
Win32dd, ForemostL, Volaulity, Mandiant Redline, DFF.

Hình 1.1 Sử dụng Volaulity liệt kê các tiến trình đang chạy trong hệ thống
- Điều tra Registry: Đây là loại hình điều tra liên quan đến việc trích xuất
thông tin và ngữ cảnh từ một nguồn dữ liệu chưa được khai thác qua đó biết
được những thay đổi (chỉnh sửa, thêm bớt...) dữ liệu trong Register. Công cụ

thường dùng: MuiCache View, Process Monitor, Regshot, USBDcvikev...
- Điều tra hệ hệ thống (File System Forensics): Đây là loại hình điều tra liên
quan đến các file hệ thông của hệ điều hành windows, linux.
- Điều tra ứng dụng (Application Forensics): Là loại hình điều tra phân tích
các file log trong ứng dụng như Email, dữ liệu trình duyệt Skype, Yahoo… Qua
đó trích xuất các bản ghi được lưu trữ trên các ứng dụng phục vụ cho việc điều
tra tìm kiếm chứng cứ. Công cụ thường dùng: ChromeCacheView,
MozillaCookiesView, MyLastSearch, PasswordFox, SkypeLogView….

7


Hình 1.2 SkypeLogView xem dữ liệu được trao đổi qua đường truyền
- Điều tra ổ đĩa (Disk Forensics): Là việc thu thập, phân tích dữ liệu được
lưu trữ trong phương tiện lưu trữ vật tý, nhằm trích xuất dữ liệu ẩn, khôi phục
các tập tin bị xóa qua đó xác định người đã tạo rê những thay đôi đữ liệu trên
thiết bị để phân tích. Các công cụ thường dùng : ADS Locator, Disk
Investigator, Disk Detector, FTK,P Passware Encryption Analyzec ….

Hình 1.3 Passware Encryption Analyzec xác định file được bảo vệ bởi mật
khẩu
1.3.2

Điều tra số trên mạng.

Điều tra mạng là một nhánh của khoa học điều tra số liên quan đến việc
giám sát và phân tích lưu lượng máy tính nhằm phục vụ cho thu nhập thông tin,
chứng cứ pháp lí hay là phát hiện các cuộc xâm nhập vào hệ thống máy tính.
8



Điều tra mạng có thể thực hiện như một cuộc điều tra độc lập hoặc kết hợp
với điều tra máy tính, thường được sử dụng để phát hiện mối liên kết giữa các
thiết bị kỹ thuật số hay tái tạo lại quy trình phạm tội.
Điều tra mạng bao gồm việc chặn bắt, ghi âm hoặc phân tích các sự kiện
mạng để khám phá nguồn gốc của các cuộc tấn công hoặc sự cố một vấn đề nào
đó. Không giống như các loại điều tra số khác, điều tra mạng xử lí những thông
tin dễ thay đổi và biến động. Lưu lượng mạng được truyền đi và không được
lưu lại, do đó, việc điều tra mạng phải rất linh hoạt và chủ động.
Các công cụ sử dụng : WireShark, Tepdump, Networkminer, Wildpackets,
Xplico, Snort, ….

Hình 1.4 Sử dụng WireShark phân tích tấn công Teadrop
1.3.3

Điều tra số trên thiết bị di động

Điều tra số trên thiết bị di động (Mobile Device Forensics): là một nhánh
khoa học điều tra số liên quan đến việc thu hồi bằng chứng kỹ thuật số hoặc dữ
liệu của các thiết bị di động. Thiết bị di động ở đây không chỉ đề cập đến điện
thoại di động mà còn là bất kỳ thiết bị kỹ thuật số nào có bộ nhớ trong và khả
năng giao tiếp, bao gồm các thiết bị PDA, GPS và máy tính bảng.
Việc sử dụng điện thoại với mục đích phạm tội đã phát triển mạnh trong
những năm gần đây, nhưng việc nghiên cứu điều tra về thiết bị di động là một
lĩnh vực tương đối mới. Sư gia tăng các loại hình điện thoại di động trên thị
9


trường đòi hỏi nhu cầu giám định về tính an toàn của các thiết bị này mà không
thể đáp ứng bằng kỹ thuật điều tra máy tính hiện tại.

Công cụ thường dùng để điều tra số trên thiết bị di động: WPDevice
Manager, Pwnage Tool, Oxygen, Apktool, Iphone,WireShark,…

Hình 1.5 Sử dụng WPDevice để trích xuất SMS
Quy trình điều tra số
Điều tra số là một nhánh của điều tra pháp y do đó đòi hỏi việc điều
tra phải tuân theo một quy trình một các chặt chẽ để đảm bảo quá trình điều
tra đạt hiệu quả tốt nhất. Quy trình điều tra số gồm có 4 bước: chuẩn bị, tiếp
nhận dữ liệu, phân tích, báo cáo.
1.4.1 Chuẩn bị
1.4

Bước này thực hiện việc mô tả lại thông tin hệ thống, những gì đã xảy ra,
các dấu hiệu, để xác định phạm vi điều tra, mục đích cũng như các tài nguyên
cần thiết sẽ sử dụng trong suốt quá trình điều tra.
Kiểm tra xác minh: Khi bắt đầu quá trình điều tra thì đây là nhiệm vụ đầu
tiên. Ở giai đoạn này việc kiểm tra xác minh cung cấp một cái nhìn bao quát về
các thông tin liên quan đến hệ thống bị tấn công, thông tin về hạ tầng mạng, các
cơ chế bảo vệ thệ thống đó, các ứng dụng ngăn chặn virus trên hệ thống, cũng
như các thiết bị mạng (tường lửa, IDS, router…) đang được triển khai.
Mô tả hệ thống: Sau khi hoàn thành nhiệm vụ kiểm tra xác minh chúng ta
sẽ tiến hành mô tả chi tiết các thông tin về hệ thống như thời gian hệ thống bị
10


tấn công, đặc điểm phần cứng, hệ điều hành đang sử dụng, phần mềm đang cài
trên hệ thống, danh sách người dùng và nhiều thông tin hữu ích khác liên quan
tới hệ thống. Một phần của những dữ liệu này sẽ được lấy ra khỏi hệ thống
bằng việc sử dụng các phần mềm phục vụ cho quá trình điều tra, vì việc điều tra
không thể thực hiện ngay trên hệ thống được xem là mục tiêu của tấn công

được, bởi vì hệ thống có thể đã được cài đặt các phần mềm độc hại…
1.4.2 Tiếp nhận dữ liệu
Đây là bước tạo ra một bản sao chính xác các sector hay còn gọi là nhân bản
điều tra các phương tiện truyền thông, xác định rõ các nguồn chứng cứ sau đó
thu thập và bảo vệ tính toàn vẹn của chứng cứ bằng việc sử dụng hàm băm mật
mã.
Giai đoạn này rất quan trọng cho quá trình phân tích, điều tra một hệ thống
máy tính bị tấn công. Tất các những thông tin máy tính có sẵn phải được đưa
vào một môi trường điều tra an toàn để thực hiện công việc điều tra, phân tích,
đây là việc làm rất quan trọng bởi vì nó phải đảm bảo được rằng những chứng
cứ thu được ban đầu cần phải đảm bảo được tính toàn vẹn.Tất cả các dữ liệu thu
được từ hệ thống (bộ nhớ, tiến trình, kết nối mạng, phân vùng đĩa…) phải được
ghi lại và ký mã bởi các thuật toán như MD5 hoặc SHA1 để đảm bảo tính toàn
vẹn chứng cứ, trước khi bắt đầu điều tra thì người thực hiện nhiệm vụ phân tích
điều tra sẽ kiểm tra độ tin cậy của chứng cứ dựa vào thông tin mà các chuỗi
MD5 hay SHA1 cung cấp. Nhằm tránh việc gian lận và cài đặt, làm giả các
chứng cứ đánh lạc hướng điều tra.
1.4.3 Phân tích
Đây là giai đoạn các chuyên gia sử dụng các phương pháp nghiệp vụ, các kỹ
thuật cũng như công cụ khác nhau để trích xuất, thu thập và phân tích các bằng
chứng thu được.
Thiết lập mốc thời gian và phân tích: Sau khi thu thập xong chứng cứ tất cả
các dữ liệu được cách ly trong một môi trường điều tra an toàn và nhiệm vụ tiếp
theo của quá trình thực hiện phân tích là thiết lập tập tin thời gian. Việc thiết lập
tập tin thời gian giúp người thực hiện công việc điều tra theo dõi lại các hoạt động
của hệ thống (hiển thị ra thời gian cuối cùng mà một tập tin thực thi được chạy, các

11



tập tin hoặc thư mục được tạo/xóa trong thời gian qua và qua đó có thể giúp người
điều tra hình dung, phỏng đoán được sự hiện diện của các kịch bản hoạt động).
Phân tích phương tiện truyền dữ liệu của hệ điêu hành:Từ các kết quả thu
được bởi việc phân tích thời gian, chúng ta tiến hành bắt đầu phân tích phương tiện
truyền thông để tìm kiếm các đầu mối phía sau một hệ thống bị thỏa hiêp. Bộ công
cụ có sẵn để phục vụ cho việc phân tích phụ thuộc vào một số nhân tố như:
Nền tảng phần mềm được sử dụng trong máy tính phục vụ điều tra.
• Nền tảng phần mềm được sử dụng trong các hệ thống mục tiêu của việc
phân tích.
• Môi trường phân tích.
Trong giai đoạn này, việc phân tích để kiểm tra kỹ các lớp phương tiện
truyền thông (vật lý, dữ liệu, siêu dữ liệu, hệ thống tập tin và tên tập tin…) để tìm
kiếm bằng chứng về việc cài đặt các tập tin nghi ngờ, các thư mục được thêm
vào/gỡ bỏ.
Tìm kiếm chuỗi: Với những gì đã thu thập được, người phân tích có thể bắt
đầu tìm kiếm các chuỗi cụ thể chứa bên trong các tập tin để tìm kiếm những thông
tin hữu ích như địa chỉ IP, địa chỉ Email… để từ đó truy tìm dấu vết tấn công.
Khôi phục dữ liệu: Sau khi thực hiện xong giai đoạn phân tích các phương
tiện truyền thông, chuyên viên điều tra hoàn toàn có thể tìm kiếm những dữ liệu từ
chứng cứ đã được ghi lại và trích xuất ra các dữ liệu chưa được phân bổ trong ngăn
xếp, sau đó phục hồi lại bất kỳ tập tin nào đã bị xóa. Tìm kiếm không gian trống
(trong môi trường windows) hoặc tìm trong không gian chưa phân bố dữ liệu có
thể khám phá ra nhiều tập tin phân mảnh, đó có thể là đầu mối về các hành động
xóa tập tin, thời gian được xóa… Việc nắm bắt được thời gian tập tin bị xóa là một
trong những thông tin quan trọng liên quan đến các hoạt động tấn công đã xảy ra
trên hệ thống (ví dụ xóa các bản ghi liên quan đến quá trình thâm nhập hệ thống).
1.4.4 Lập báo cáo


Sau khi thu thập được những chứng cứ có giá trị và có tính thuyết phục thì

tất cả phải được tài liệu hóa lại rõ ràng, chi tiết và báo cáo lại cho bộ phận có
trách nhiệm xử lý chứng cứ thu được, các chuyên gia phân tích phải đưa ra các
kỹ thuật điều tra, các công nghệ, phương thức được sử dụng, cũng như các
chứng cứ thu được, tất cả phải được giải thích rõ ràng trong báo cáo quá trình
điều tra.
12


1.5

Tổng kết chương

Điều tra số là công việc phát hiện, bảo vệ và phân tích thông tin được lưu
trữ, truyền tải hoặc tạo ra bởi các thiết bị (máy tính, điện thoại, các thiết bị
thông minh…) nhằm đưa ra các suy luận hợp lý đề tìm ra nguyên nhân, giải
thích các hiện tượng trong quá trình điều tra.
Chúng ta có thể phân loại điều tra số theo các mục sau: Điều tra máy tính,
điều tra mạng, điều tra thiết bị di động. Để thành công trong công việc điều tra
chứng cứ số thì các điều tra viên cần vững nhiều nền tảng công nghệ, hệ điều
hành khác nhau. Điều này đòi hỏi có trau dồi kiến thức và học tập, chia sẻ kinh
nghiệm trên các diễn đàn hay nhóm.
Việc điều tra trong môi trường công cộng và điều tra trong môi trường riêng
có nhiều sự khác biệt. Do đó điều tra viên cần phân biệt rõ và tuân thủ đúng các
quy trình điều tra để tránh sự xung đột và hạn chế những khiếu nại do vi phạm
nguyên tắc quyền lợi của người dùng. Việc điều tra số được thực hiện theo các
bước sau: chuẩn bị, thu thập dữ liệu, phân tích và thiết lập báo cáo. Quy trình
điều tra số cần phải duy trì ứng xử chuyên nghiệp để đảm bảo trách nhiệm của
điều tra viên

13



Chương 2. Tìm hiểu tổng quan về chứng cứ điện tử, quy trình và kỹ
thuật thu thập chứng chứ điện tử.
2.1
Tổng quan về chứng cứ điện tử.
2.1.1 Sự ra đời
Đôi nét về lịch sử ra đời
Để tìm hiểu về sự ra đời của khái niệm chứng cứ điện tử, trước hết ta ngược
dòng thời gian để chứng kiến sự hình thành và biến đổi của các loại tội phạm máy
tính. Loại tội phạm này không chỉ xuất hiện trong lĩnh vực công nghệ thông tin,
mà trên tất cả các lĩnh vực khác có áp dụng tin học. Với nhiều loại hình khác nhau,
và các phương thức thủ đoạn cũng rất đa dạng, nó đang ngày càng tác dộng mạnh
mẽ đến đời sống kinh tế và xã hội.
Tấn công vật lý
Thuở sơ khai của loại tội phạm máy tính, đối tượng thường thực hiện các
hành vi tấn công vật lý tới hệ thống máy tính hoặc đường truyền viễn thông. Vào
mùa xuân năm 1969, một nhóm sinh viên ở Canada đã tấn công cảnh sát, phá cánh
cửa nhà Hiệu bộ, rồi gây ra đám cháy làm phá hủy hệ thống máy tính, trung tâm cơ
sở dữ liệu. Làm thiệt hại 2 tỉ dollar, 97 người đã bị bắt giữ. Bước sang thế kỷ XX,
vẫn tồn tại những kẻ thích phá hoại cơ sở hạ tầng, phá hoại trung tâm dữ liệu bằng
tay. Rõ ràng, để đánh sập một mạng máy tính, không gì nhanh hơn là phá hoại vật
lý.
Mạo danh
Năm 1970, một tên tội phạm tuổi teen khét tiếng tên là Jerry Neal Scheilder.
Mục tiêu của anh ta là công ty thiết bị viễn thông PT&T ở Los Angeles. Qua nhiều
năm kiên trì lục lọi thùng rác để thu thập các bản in tài liệu của công ty, đồng thời
tham gia các chuyến tham quan nhà kho, nhà máy sản xuất, anh ta đã có đủ kiên
thức và nắm rõ quy trình hoạt động của công ty này. Mạo danh công ty này, anh ta
chiếm đoạt được hàng triệu đô từ tiền nhập thiết bị. Cuối cũng bị bắt do sự tố cáo

của chính nhân viên của y. Và sau khi mãn hạn tù, anh ta đã thành lập công ty về
an ninh máy tính. Ăn cắp thẻ tín dụng Thẻ tín dụng ra đời vào những năm 1920.
Sau đó, nó trở nên phổ biến tại các nước phương Tây vì tính tiện dụng của nó. Vì
thế mà xuất hiện các vụ phạm tội liên quan đến thẻ tín dụng. Vào cuối thế kỷ XX,
tình trạng trở nên trầm trọng. Theo một báo cáo của FBI: "Xét trên phạm vi toàn

14


cầu, số tiền trong các thẻ VISA, Master-Card của các ngân hàng bị đánh cắp lên tới
110 triệu năm 1980 và lên đến 1.65 tỉ đô năm 1995."
Phone phreak
Thời kỳ đầu, việc giả số điện thoại gọi đến được thực hiện bởi những tổ chức
có khả năng truy cập các đường dây PRI (Primary Rate Interface) đắt tiền mà các
công ty điện thoại cung cấp. Công nghệ này được dùng chủ yếu để hiển thị số điện
thoại chính của một doanh nghiệp trên mọi cuộc gọi đi. Từ đầu những năm 2000,
những “phone phreak” hay gọi tắt là phreak (chuyên gia tấn công các hệ thống
điện thoại) bắt đầu sử dụng công nghệ Orange boxing để giả số điện thoại. Thực
chất của cách làm này là dùng một thiết bị (thường là một phần mềm trên máy
tính) để gửi một chuỗi các tín hiệu đa tần (tone) trong những giây đầu tiên của
cuộc gọi, giả làm tín hiệu báo số gọi đến của điện thoại.
Tống tiền
Hacker tìm cách lấy trộm dữ liệu quan trọng của một cá nhân, tổ chức và sau
đó yêu cầu đòi tiền chuộc. Vào những năm 1990, khoảng 300,000 bản ghi về thông
tin thẻ tín dụng được lưu trên website CD Universe đã bị "Maxus" – một thanh
niên 19 tuổi người Nga đánh cắp.
Sau nó anh này có gửi đi một thông điệp rằng: "Đưa cho tôi 100.000 đô, tôi sẽ vá
lỗi website và quên đi việc mua sắp trên website của các bạn". CD Universe đã từ
chối và kết cục là 25.000 thông tin thẻ đã được công khai.
2.1.2


Hình thành các hành lang pháp lý

Với việc tội phạm máy tính ngày càng gia tăng, mức độ phạm tội ngày càng
trầm trọng, thì việc ban hành các quy định pháp lý là yêu cầu bức thiết. Vào năm
1978, thì loại tội phạm máy tính lần đầu tiên được xác định trong một văn bản với
tên gọi "Florida computer crimes act". Trong đó có chỉ rõ những quy chế nhằm
chống lại hành động thay đổi hoặc xóa bỏ dữ liệu của một hệ thống máy tính.
Những năm sau đó, lần lượt các quốc gia trên thế giới ban hành các đạo luật nhằm
ngăn chặn loại tội phạm này. Năm 1983, Canada trở thành quốc gia đầu tiên thông
qua các quy định pháp chế này, tiếp theo đó là Mỹ vào năm 1986. Australia đã sửa
đổi bổ sung vào năm 1989, và sau đó là Anh năm 1990.
Song hành với việc quy định các loại tội phạm trong bộ luật hình sự, thì việc
có căn cứ pháp lý để xác định một hành vi có được coi là tội phạm là điều không
15


hề đơn giản. Hiện nay việc đấu tranh với các loại tội phạm trong lĩnh vực công
nghệ thông tin và viễn thông diễn ra rất khó khăn. Có rất ít, hoặc thậm chí không
có căn cứ pháp lý để khởi tố loại tội phạm này. Tuy chỉ mới xuất hiện trong khoảng
một thập kỷ gần đây, nhưng do sự phát triển vượt bậc của khoa học công nghệ, đặc
biệt là mạng Internet, đã làm nảy sinh, tồn tại và phát triển nhanh chóng loại tội
phạm này tại Việt Nam.
Với bộ luật tố tụng hình sự hiện hành (năm 2003) có quy định Điều 64.
Chứng cứ:
1. Chứng cứ là những gì có thật, được thu thập theo trình tự, thủ tục do Bộ
luật này quy định mà Cơ quan điều tra, Viện kiểm sát và Toà án dùng làm căn cứ
để xác định có hay không có hành vi phạm tội, người thực hiện hành vi phạm tội
cũng như những tình tiết khác cần thiết cho việc giải quyết đúng đắn vụ án.
2. Chứng cứ được xác định bằng:

a) Vật chứng;
b) Lời khai của người làm chứng, người bị hại, nguyên đơn dân sự, bị đơn
dân sự, người có quyền lợi, nghĩa vụ liên quan đến vụ án, người bị bắt, người bị
tạm giữ, bị can, bị cáo;
c) Kết luận giám định;
d) Biên bản về hoạt động điều tra, xét xử và các tài liệu, đồ vật khác.
Căn cứ vào Điều luật trên thì rất khó xác định chứng chứng cứ liên quan đến
tội phạm máy tính. Bởi những gì được coi là vật chứng thì nó tồn tại ở dạng dữ
liệu số mang tính chất "ảo" không rõ hình dạng, tính chất. Mặt khác kẻ phạm tội có
thể dễ dàng che dấu hành vi, và thực hiện các thao tác xóa dấu vết rất dễ dàng. Vì
vậy nếu chỉ đơn thuần coi vật chứng là những thứ có thể nhìn thấy bằng mắt, cảm
nhận bằng tay thì rất khó có thể có một vật chứng có tính thuyết phục trong lĩnh
vực tội phạm máy tính. Xuất phát từ yêu cầu bức thiết này, trong bộ luật tố tụng
hình sự năm 2015 có quy định một chi tiết rất quan trọng. Khái niệm "dữ liệu điện
tử" được xem là nguồn của chứng cứ (Điều 87 khoản 1 điểm c). Có thể nói đây là
bước tiến quan trọng trong quá trình hoàn thiện quy chế pháp lý, một bước đi tạo

16


nền tảng vững chắc cho quy trình ban hành một quy phạm pháp luật mang tính
thực tiễn cao.
2.2

Quy trình thu thập chứng cứ điện tử.
2.2.1 Phân tích khái niệm "chứng cứ điện tử".

Song hành với việc ban hành các quy phạm pháp luật thì việc ban hành các văn
bản hướng dẫn thi hành là rất quan trọng. Việc phân tích chỉ rõ khái niệm, những
đặc điểm cụ thể về "chứng cứ điện tử" sẽ làm sáng tỏ bản chất của nó. Điều này sẽ

tác động tích cực đến quá trình phát hiện, và thu thập chứng cứ của cơ quan điều
tra.
Quan điểm của các quốc gia trên thế giới
Tại Mỹ - nơi sớm có sự xuất hiện của loại tội phạm máy tính, cục điều tra liên
bang (FBI) đã công bố những khái niệm liên quan đến chứng cứ điện tử dựa trên
tài liệu của SWGDE/IOCE :
Quy trình thu thập: Những thông tin hoặc thiết bị vật lý được lưu trữ cho
mục đích điều tra trở thành chứng cứ khi được tòa án công nhận. Quá trình thu
thập tuân thủ các điều luật về chứng cứ. Các đối tượng dữ liệu và thiết bị số chỉ trở
thành chứng cứ khi được thu thập bởi nhân viên thực thi pháp luật hoặc người
được chỉ định. Đối tượng dữ liệu: Là những đối tượng hoặc những thông tin có giá
trị chứng minh tội phạm liên quan đến thiết bị vật lý. Các đối tượng này có thể tồn
tại ở các định dạng khác nhau sao cho không làm thay đổi dữ liệu gốc.
Chứng cứ điện tử: Là thông tin có giá trị chứng minh tội phạm được lưu trữ
và truyền tải dưới dạng dữ liệu số.
Thiết bị số: Những thiết bị lưu trữ và truyền tải các đối tượng dữ liệu.
Dữ liệu gốc: Những dữ liệu nằm trên thiêt bị số tại thời điểm thu thập.
Nhân bản chứng cứ điện tử: Là sự nhân bản dữ liệu gốc một cách đúng đắn.
Bản sao: Là sự nhân bản thông tin lưu trữ trên thiết bị gốc mà không phụ
thuộc vào thiết bị đó.
Tại Úc, hiệp hội Digital Forensic cho rằng chứng cứ điện tử là thông tin có
giá trị điều tra liên quan đến các thiết bị số và các định dạng dữ liệu. Những thông
17


tin này được biểu diễn dưới dạng số, bao gồm: system logs, audit logs, application
logs, network logs , và các file hệ thống. Đồng thời các file do người dùng tạo ra
cũng có giá trị chứng minh hoạt động của tội phạm, siêu dữ liệu của mỗi file này
thể hiện rõ quá trình tạo, thay đổi nội dung file.
Tại Anh quốc, theo tổ chức ACPO (Association of Chief Police Officers)cho

rằng: chứng cứ điện tử có thể là các bản ảnh vật lý và logic của các thiết bị, bản
ảnh logic chứa một phần hoặc toàn bộ dữ liệu được chụp ngay khi tiếntrình đang
chạy. Điều tra viên phải dùng các công cụ chụp bản ảnh được pháp luật công nhận.
Trường hợp không phải là dữ liệu cục bộ mà là dữ liệu từ xa, điều này cần thiết
phải có người có thẩm quyền lấy dữ liệu đó về và trao cho tòa án xác nhận, khi đó
cơ quan điều tra mới được phép truy cập và điều tra về dữ liệu đó. Mặt khác quy
trình phát hiện, thu thập, điều tra, và bảo quản phải khách quan, tuân thủ các đạo
luật và được tòa án công nhận. Và khi một bên thứ ba lặp lại đúng quy trình đó và
thu được cùng kết quả. Để khách quan hơn, việc đánh giá mức độ rủi ro dựa trên
những yếu tố kỹ thuật và phi kỹ thuật là cần thiết. Chẳng hạn những chứng cứ tiềm
năng cái mà có thể được lưu trên những thiết bị đặc biệt hoặc lịch sử tấn công
trước đây của kẻ bị tình nghi.
Quan điểm của Việt Nam
Quá trình thực hiện các hành vi phạm tội của tội phạm công nghệ cao luôn để
lại các dấu vết điện tử. Đây là những dữ liệu tồn tại dưới dạng những tiến hiệu kỹ
thuật số. Nó được tạo ra một cách tự động, khách quan trong các bộ nhớ của các
thiết bị điện tử. Theo bộ luật Tố tụng hình sự năm 2015 có quy định:
Điều 99. Dữ liệu điện tử:
1. Dữ liệu điện tử là ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng
tương tự được tạo ra, lưu trữ, truyền đi hoặc nhận được bởi phương tiện điện tử.
2. Dữ liệu điện tử được thu thập từ phương tiện điện tử, mạng máy tính,
mạng viễn thông, trên đường truyền và các nguồn điện tử khác.
3. Giá trị chứng cứ của dữ liệu điện tử được xác định căn cứ vào cách thức
khởi tạo, lưu trữ hoặc truyền gửi dữ liệu điện tử; cách thức bảo đảm và duy trì tính
toàn vẹn của dữ liệu điện tử; cách thức xác định người khởi tạo và các yếu tố phù
hợp khác.

18



Trong văn bản quy định Luật giao dịch điện tử đã làm rõ một số khái niệm
có liên quan như:
Dữ liệu: là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh
hoặc dạng tương tự.
Phương tiện điện tử: là phương tiện hoạt động dựa trên công nghệ điện, điện
tử, kỹ thuật số, từ tính, truyền dẫn không dây, quang học, điện từ. Trao đổi dữ liệu
điện tử (EDI - electronic data interchange): là sự chuyển thông tin từ máy tính này
sang máy tính khác bằng phương tiện điện tử theo một tiêu chuẩn đã được thỏa
thuận về cấu trúc thông tin.
Thông điệp dữ liệu: là thông tin được tạo ra, được gửi đi, được nhận và được
lưu trữ bằng phương tiện điện tử. Thông điệp dữ liệu có giá trị như văn bản nếu
thông tin chứa trong thông điệp đó có thể truy cập, sử dụng được để tham chiếu
khi cần thiết và nội dung của thông điệp dữ liệu được bảo đảm toàn vẹn, không bị
thay đổi. Giá trị chứng cứ của thông điệp dữ liệu được xác định, căn cứ vào độ tin
cậy của cách thức khởi tạo, lưu trữ và truyền gửi, cách thức bảo đảm và duy trì
tính toàn vẹn, cách thức xác định người khởi tạo và các yếu tố phù hợp khác.
2.2.2 Sự hình thành
a. Sự hình thành

và quy trình thu thập.

Một trong những nguồn chứng cứ quan trọng trong các vụ án sử dụng công
nghệ cao để phạm tội là những vật chứng (thường là thiết bị kĩ thuật số) thu giữ tại
nơi tội phạm xảy ra, mang dấu vết tội phạm: Những thông tin do máy tính tạo ra
như “cookies”, “URL”, web server logs, Email logs… ; hoặc cũng có thể là những
thông tin điện tử do con người tạo ra được lưu giữ trong máy tính hoặc các thiết bị
điện tử khác, như các văn bản, bảng biểu, các hình ảnh, thông tin được lưu giữ
dưới dạng tín hiệu điện tử. Tuy nhiên, hầu hết các đối tượng sử dụng công nghệ
cao để phạm tội đều có nhận thức về pháp luật và hiểu biết công nghệ cao, và khi
thực hiện hành vi phạm tội đều có những thủ đoạn tinh vi để che giấu thông tin

phạm tội, khi phát hiện nguy cơ bại lộ chúng rất nhanh chóng xóa bỏ các dấu vết
để chối tội (như xóa các dữ liệu có liên quan).
b.

Quy trình thu thập chứng cứ điện tử

B1: Tắt các chương trình bảo vệ và điều tra hiện trường vụ án

19


Để thu thập bằng chứng điện tử, đầu tiên, tắt các chương trình bảo vệ khỏi
hiện trường vụ án để điều tra; cắt đứt mọi liên lạc với thế giới bên ngoài; dừng
các thiết bị điện tử có liên quan; thu thập băng video các thiết bị điện tử có liên
quan tại hiện trường, và đưa tất cả những thứ này vào hồ sơ cùng một lúc.
B2: Bảo vệ các thiết bị điện tử
Kiểm tra các thiết bị điện tử có liên quan và thực hiện các biện pháp để bảo
vệ các thiết bị đó trước mọi thiệt hại.
B3: Kiểm tra sơ bộ trên các thiết bị điện tử
Các nhân viên có liên quan sẽ kiểm tra sơ bộ các thiết bị điện tử (như hệ
thống, phần mềm & phần cứng và các thông số cơ bản khác) và thực hiện các
chuẩn bị có liên quan, để thu thập bằng chứng thuận lợi hơn trong bước tiếp
theo.
B4: Bằng chứng điện tử dự phòng
Trước khi được thu thập và sửa chữa, bằng chứng điện tử sẽ được sao lưu để
tránh thiệt hại hoặc mất bằng chứng đó trong qua trinh điều tra sau này.
B5: Lấy và sửa bằng chứng điện tử
Sau các bước chuẩn bị, nhân viên liên quan sẽ được cho phép xử lý bằng
chứng điện tử với các công nghệ và công cụ pháp lý. Bằng chứng điện tử thu
được phải được khắc phục kịp thời để ngăn chặn mọi hư hỏng hoặc mất mát

trong quá trình thu thập. Trong quá trình sửa lỗi, mọi hư hỏng đều không được
phép đối với dữ liệu gốc trong các thiết bị điện tử. Ngoài ra, các hình ảnh liên
quan sẽ được chụp và quay video trong quá trình lấy và sửa. Đồng thời, các chi
tiết liên quan sẽ được ghi lại về tính toàn vẹn và tính xác thực của bằng chứng
điện tử.
B6: Bảo quản bằng chứng trong các tình huống bất ngờ
Trong trường hợp có bất kỳ trường hợp bất ngờ nào khác (ví dụ, không có
bằng chứng liên quan có được thiết bị hoặc công cụ để lấy bằng chứng liên
quan), các thiết bị điện tử có liên quan có thể được bảo quản đúng cách và đưa

20


ra khỏi hiện trường vụ án để lấy bằng chứng. Tuy nhiên, lý do để đưa các thiết
bị đó ra khỏi hiện trường phải được giải thích trong các hồ sơ liên quan.
B7: Ghi lại các thông tin liên quan
Bước cuối cùng để thu thập bằng chứng điện tử là ghi lại bằng chứng thu
thập được, và ghi chú nguồn của nó, lấy thời gian & quy trình, tên của người
lấy và một số thông tin khác, để đảm bảo tính xác thực và hợp pháp của việc
thu thập bằng chứng điện tử.
2.3

Kĩ thuật thu thập chứng cứ điện tử.

Các giai đoạn thu thập chứng cứ điện tử
Trên thế giới tội phạm máy tính (hay còn gọi là tội phạm mạng) đang n càng
phát triển mạnh.
Ở Việt Nam, tội phạm mạng phát triển chưa nhiều, nhưng cũng đã có nhiều
dấu hiệu cho thấy tính chấtnguy hiểm của nó, ảnh hưởng lớn tới sự phát triển
của lĩnh vực công nghệ thông tin nói riêng và đờisống kinh tế - xã hội nói

chung. Tội phạm mạng là loại tội phạm gây án thông qua phương tiện điện tử.
Do đó, để truy tìm tộiphạm mạng cần phải có những chứng cứ điện tử. Theo
điều 64 của Bộ luật Tố tụng hình sự năm 2003của Quốc hội Việt Nam thì chứng
cứ là những gì có thật, được thu thập theo trình tự, thủ tục dùng làmcăn cứ để
xác định có hay không có hành vi phạm tội, những tình tiết cần thiết cho việc
giải quyếtđúng đắn vụ án. Vậy thì việc thu thập chứng cứ điện tử diễn ra như
thế nào để đảm bảo yêu cầu pháplý? Bài viết này xin giới thiệu 3 giai đoạn
chính của quá trình thu thập, xử lý chứng cứ điện tử, đó là:
- Chuẩn bị dữ liệu chứng cứ;
- Xác định chứng cứ;
- Phân tích chứng cứ;
Trước khi thực hiện ba giai đoạn trên, người điều tra cần thành lập các bảng
số liệu báo cáo mànội dung của nó có thể được tạo trước hoặc bổ sung thêm
trong quá trình thu thập chứng cứ. Các bảngđó bao gồm:
21


- Bảng 1: Bảng dữ liệu dẫn tìm (Search Lead Table) chứa danh sách các đối
tượng cần thu thậptrong môi trường mạng, hoặc môi trường đĩa cứng.
Ví dụ:
+ Xác định và liệt kê tất cả các mục hoặc các E-mail đã bị xóa+ Tìm kiếm
các file, tài liệu liên quan đến dấu hiệu khiêu dâm trẻ em+ Cấu hình và thu giữ
cơ sở dữ liệu cho việc khám phá dữ liệu+ Khôi phục tất cả các file đã bị xóa và
đường dẫn liên quan.
- Bảng 2: Bảng dữ liệu cần chuẩn bị (Extracted Data Table) là một danh sách
chứa các mục đãđược chuẩn bị hoặc thu thập để cho phép xác định dữ liệu phù
hợp với yêu cầu chứng cứ.
Ví dụ:
+ Xử lý chụp ảnh ổ đĩa cứng để có thể sử dụng trong xử lý nội dung+ Lưu
trữ các file registry và cài đặt trình xem xét registry để cho phép kiểm tra chứng

cứ trongdanh mục registry.
+ Nắm bắt những tập cơ sở dữ liệu để nạp vào máy chủ sẵn sàng cho khám
phá dữ liệu.
- Bảng 3: Bảng dữ liệu thích đáng (Relevant Data Table) chứa danh sách dữ
liệu phù hợp vớiyêu cầu chứng cứ. Chẳng hạn, nếu yêu cầu chứng cứ đang tìm
liên quan đến thẻ tín dụng như số thẻ, ảnh thẻ, các email trao đổi về thẻ tín
dụng, thì bộ nhớ đệm web sẽ chứa đựng các thông tin về ngàytháng, thời gian
và cách thức tìm ra, sử dụng số thẻ thẻ tín dụng... đó là những dữ liệu thích
đáng cho chứng cứ.
Ngoài ra khôi phục lại thông tin về nạn nhân cũng là dữ liệu thích đáng,
đồng thời tạo điều kiện cho việc thông báo đến nạn nhân bị xâm hại.
Các giai đoạn trong kĩ thuật thu thập trứng cứ điện từ.

22


Giai đoạn 1: Chuẩn bị dữ liệu chứng cứ (Preparation /Extraction)

23


Giai đoạn 2: Xác định chứng cứ (Identification)

24


Giai đoạn 3: Phân tích chứng cứ (Analysis)

Để đấu tranh phòng chống loại tội phạm mạng cần có những giải pháp đồng
bộ hơn nữa từ hành lang pháp lý, cơ chế hợp tác và cho đến khả năng năng lực của

cán bộ điều tra.
25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×