PHÁP CHỨNG KỸ THUẬT SỐ

Bài 1: Giới thiệu ngành Pháp chứng kỹ thuật số

Giảng viên: TS. Đàm Quang Hồng Hải


Pháp chứng là gì?

•

Pháp chứng – là một ngành khoa học, nó sử dụng những thành tựu khoa học trong lĩnh vực
y học, sinh học, hố học, vật lí học, tin học... để đáp ứng những yêu cầu của pháp luật
trong hoạt động tố tụng hình sự và dân sự thông qua hoạt động điều tra và giám định khi
được các cơ quan trưng cầu.

•

Pháp chứng kỹ thuật số là điều tra, tìm kiếm và phân tích thơng tin trên hệ thống máy tính
để tìm kiếm các bằng chứng số.



Cơng việc pháp chứng

•

Điều tra, tìm kiếm các thơng tin, dữ liệu nhằm xác định thủ phạm hoặc nguồn
gốc phát sinh sự việc.

•

•
•

Tìm kiếm chứng cứ căn cứ vào các dấu vết còn lại tại hiện trường.
Căn cứ vào các thông tin trong các Tàng thư lưu trữ trong quá khứ.
Sử dụng các phương pháp điều tra hiện đại và phân tích Logic – đúng pháp luật.


Pháp chứng kỹ thuật số - Digital Forensics


Các bằng chứng số có thể có ở mọi nơi


Tại sao lại cần Pháp chứng kỹ thuật số

•

Hiện nay việc sử dụng máy tính đã trở nên rất thơng dụng nên các thông tin trên máy và
trên mạng trở nên rất quan trọng trong việc điều tra.

•

Pháp chứng kỹ thuật số thực hiện:

•
•
•

Điều tra tội phạm sử dụng các phương pháp kỹ thuật số với máy tính

Xác định, khai thác các tài liệu chứng cứ máy tính được lưu trữ hoặc cịn lưu vết.
Bằng chứng kỹ thuật số có thể được sử dụng để phân tích tội phạm máy tính và trên Mạng.


Tìm kiếm các bằng chứng số

•

Bằng chứng số (Digital Evidence) là mọi thơng tin có giá trị pháp lý được lưu trữ, được
truyền dẫn trong dạng thức số và có giá trị pháp lý trước tịa..

•

Ví dụ bằng chứng số: việc mở một file trong máy và thay đổi nó, máy tính sẽ ghi lại thời
gian và ngày nó truy cập file.

•

Mỗi khi xóa một file, máy tính sẽ chuyển file này sang một danh bạ khác. File vẫn được
giữ ở đó tới khi máy tính ghi một dữ liệu đè lên, có thể khơi phục lại làm bằng chứng.


Dữ liệu số và bằng chứng số

•

Dữ liệu số thu được từ các ổ đĩa trên máy tính hoặc từ các thiết bị lưu trữ khác chưa thể là
bằng chứng số.

•


Để có được bằng chứng, Pháp chứng viên phải thực hiện q trình khảo sát và phân tích dữ
liệu ban đầu.

•

Nếu tìm được dữ liệu, Pháp chứng viên phải “ráp” chúng lại với nhau để đưa ra được bằng
chứng số.


Truy tìm bằng chứng số


Tính pháp lý của bằng chứng số

•

Tịa án thường coi bằng chứng từ máy tính khơng khác gì so với những loại bằng chứng
khác.

•

Một số người khơng đánh giá cao việc sử dụng thông tin kỹ thuật số là bằng chứng vì: nếu
có thể thay đổi dữ liệu máy tính dễ dàng, làm sao có thể sử dụng nó là bằng chứng đáng tin
cậy?

•

Hiện máy tính phát triển hơn và phức tạp hơn, tòa án biết được bằng chứng tội phạm rất dễ
dàng có thể bị thay đổi, bị xóa hoặc bị phá hỏng.



Bảo vệ các bằng chứng số

•

Một vụ điều tra và vụ xử án có thể mất tới hàng năm, nếu khơng có tài liệu xác thực, bằng
chứng thậm chí cịn không được chấp nhận.


Bảo vệ các bằng
chứng số

Nếu một Pháp chứng viên không thể kiểm sốt tồn bộ hệ thống máy tính, bằng chứng họ
tìm được sẽ khơng được cơng nhận.


Cơng nghệ trong pháp chứng số

•

Đảm bảo tính tồn vẹn của hệ thống máy tính; Phải tập trung vào việc ứng phó với các
hành vi phạm tội cơng nghệ cao.

•

Cần thiết phải phát triển các công cụ giúp việc điều tra bằng chứng trong máy tính mà
khơng làm ảnh hưởng tới thơng tin.

•


Các nhà lập trình viên triển khai các phương pháp và công cụ phù hợp khi phải truy hồi
thơng tin từ một máy tính.

•

Phát triển các phương pháp luận trong
lĩnh vực Pháp chứng số.


Công nghệ pháp chứng số


Nghề Pháp chứng số - Pháp chứng viên


Một số vấn đề về quy chế khi
điều tra

•

Lệnh của Tòa án cần chỉ rõ nơi Pháp chứng viên được phép tìm kiếm và loại bằng chứng
mà họ có thể tìm.

•

Pháp chứng viên phải có lệnh của Tịa án mới được tìm kiếm thơng tin trên một máy tính
tình nghi.

•


Pháp chứng viên chỉ được làm theo lệnh và tìm kiếm những gì mà họ cho rằng đáng nghi
ngờ.


Các cơng nghệ số trong Tịa án


Tịa án Hoa Kỳ với bằng chứng số

•
•

Hiện nay, việc làm giả mạo dữ liệu máy tính là điều có thể và rất đơn giản.
Các tòa án Hoa Kỳ hiện khơng hồn tồn loại bỏ các bằng chứng số thu được từ máy tính
và mạng.

•

Thơng thường, các tịa án Hoa Kỳ yêu cầu chứng minh những bằng chứng này là giả trước
khi loại bỏ chúng.


Các u cầu của điều tra

•

Pháp chứng viên kiểm sốt hệ thống máy tính để chắc chắn rằng thiết bị và dữ liệu được an
tồn


•

Pháp chứng viên cần phải nắm quyền bảo mật để khơng có một cá nhân nào có thể truy cập
máy tính và thiết bị lưu trữ đang được kiểm tra.

•

Nếu hệ thống máy tính có kết nối với Internet, Pháp chứng viên phải kiểm soát được việc
kết nối này.

•

Chú ý: Bản nguyên gốc cần được bảo quản và không được động đến.



Nhiệm vụ của các Pháp chứng viên

•

Pháp chứng viên tìm kiếm tất cả các file có trong hệ thống máy tính, bao gồm các file đã
được mã hóa, được bảo vệ bằng mật khẩu, được ẩn hoặc bị xóa nhưng có thể khơi phục.

•

Pháp chứng viên nên sao chép lại tất cả các file của hệ thống, bao gồm các fiel có trong ổ
đĩa của máy tính hay file từ các ổ cứng cắm ngồi.

•


Pháp chứng viên chỉ nên làm việc với các bản copy của các file khi tìm kiếm bằng chứng
bởi khi truy cập các file có thể thay đổi.


Chú ý khi làm việc với dữ liệu

•

Khơi phục lại càng nhiều thơng tin bị xóa càng tốt bằng cách sử dụng các ứng dụng có thể
tìm kiếm và truy hồi dữ liệu bị xóa.

•
•
•

Tìm kiếm thơng tin của tất cả các file ẩn
Giải mã và truy cập các file được bảo vệ
Phân tích các khu vực đặc biệt trên ổ đĩa máy tính, bao gồm các phần thường khó có thể
tiếp cận


Đảm bảo tính tồn vẹn

•

Ghi lại tất cả các bước của quá trình, dùng để cung cấp bằng chứng rằng cơng việc điều tra
có bảo vệ thơng tin của hệ thống máy tính mà khơng làm thay đổi hoặc làm hỏng chúng.

•


Các tài liệu xác thực này khơng chỉ bao gồm các file và dữ liệu được khôi phục từ hệ thống
mà còn bao gồm cả bản vẽ của hệ thống và nơi các file được mã hóa hoặc được ẩn.


Pháp chứng kỹ thuật số là một nghề

•

Pháp chứng kỹ thuật số (Digital Forensics) bắt đầu trở thành một nghề chuyên nghiệp (Digital
Forensics Professional) ở Hoa kỳ kể từ năm 1970 và trong các năm 1970-1985, Hoa Kỳ thông qua
nhiều quy định liên quan đến các Bằng chứng số.

•

Chuyên gia pháp chứng kỹ thuật số - Pháp chứng viên hoạt động trong lĩnh vực điều tra máy tính,
nghiên cứu điều tra các website và các thiết bị di động như Smastphone tìm bằng chứng của các vụ lừa
đảo, tham nhũng ….