Bằng chứng kỹ thuật số module 04

Mục tiêu module▪ Định nghĩa của bằng chứng kỹ thuật số ▪ Vai trò của bằng chứng kỹ thuật số ▪ Đặc điểm của bằng chứng kỹ thuật số ▪ Các loại dữ liệu kỹ thuật số ▪ Quy tắc bằng chứng tốt

Bằng chứng kỹ thuật số

Module 04

Đặc biệt, cookie được đặt bởi dịch vụ Google Analytics mang lại bằng chứng quan trọng.

Sử dụng một số công cụ được phát triển nội bộ, nhóm nghiên cứu và phát triển đã truy xuất dữ liệu

có giá trị từ hơn 1000 cookies Dữ liệu chứa thông tin về miền đã đặt cookie và "giá trị" của chính cookie "Giá trị" này, đối với cookie do Google Analytics đặt, có thể mang lại dấu thời gian, số lượt truy cập và quan trọng là thông tin giới thiệu

Điều này có nghĩa là nhà phân tích có thể xem chi tiết không chỉ về trang web đã được truy cập, mà còn cách người dùng đến đó Nơi người dùng đến trang web thông qua công cụ tìm kiếm, điều này cũng có thể bao gồm các cụm từ tìm kiếm đã dẫn họ đến trang đó; dữ liệu này có thể không tồn tại ở bất kỳ nơi nào khác trên điện thoại Với bằng chứng này được phân tích cú pháp, CCL-Forensics đã

có thể đưa ra một mốc thời gian cho cơ quan thực thi pháp luật được đề cập, chứng minh một cách rõ ràng hơn nhiều về việc sử dụng internet của nghi phạm - và quan trọng là bằng chứng về ý định cho thấy trang được truy cập như thế nào

http://www.forensicfocus.com

Mục tiêu module

▪ Định nghĩa của bằng chứng kỹ thuật số

▪ Vai trò của bằng chứng kỹ thuật số

▪ Đặc điểm của bằng chứng kỹ thuật số

▪ Các loại dữ liệu kỹ thuật số

▪ Quy tắc bằng chứng tốt nhất

▪ Quy tắc liên bang về bằng chứng

▪ Các nguyên tắc quốc tế về bằng chứng máy

▪ Kiểm tra và phân tích bằng chứng

▪ Tài liệu bằng chứng và báo cáo

▪ Tội phạm điện tử và xem xét bằng chứng kỹ thuật số theo loại tội phạm

Lu ng module ồng module

Dữ liệu kỹ thuật số Các loại dữ liệu kỹ thuật số Quy tắc bằng chứng

Thiết bị điện tử: Các loại và

Định nghĩa của bằng chứng kỹ thuật số

bằng chứng kỹ thuật số được tìm thấy trong các tệp như:tệp đồ họaghi âm và ghi video và các tập tinlịch sử trình duyệt internetnhật ký

máy chủxử lý văn bản và tệp bảng

tínhemailtệp nhật ký

▪ Bằng chứng kỹ thuật số được định nghĩa là

"bất kỳ thông tin nào có giá trị xác thực

được lưu trữ hoặc truyền dưới dạng kỹ thuật

số“.

▪ Thông tin kỹ thuật số có thể được thu thập

trong khi kiểm tra phương tiện lưu trữ kỹ

thuật số, giám sát lưu lượng mạng hoặc tạo

bản sao của dữ liệu kỹ thuật số được tìm

thấy trong quá trình điều tra pháp y.

Bằng chứng kỹ thuật số được tìm thấy trong các tệp như:

Nâng cao nhận thức về bằng chứng kỹ thuật số

1

Do đó, có một kỳ vọng lớn hơn rằng

các nhà điều tra pháp y máy tính có

đầy đủ kiến thức về việc xử lý bằng

chứng kỹ thuật số

Các tổ chức chính phủ cũng đang chú

ý đến việc sử dụng bằng chứng kỹ thuật số để xác định các hoạt động của khủng bố và ngăn chặn các cuộc tấn công trong tương lai

Nhiều tổ chức đang tính đến các biện pháp pháp lý khi những kẻ tấn công nhắm mục tiêu vào mạng của họ và tập trung vào việc thu thập bằng chứng kỹ thuật số theo cách sẽ có giá trị

2

3 4

Các doanh nghiệp đang phải đối mặt

với nhu cầu thu thập bằng chứng trên

mạng của họ để trả lời tội phạm máy

tính

Các khía cạnh thách thức của bằng chứng kỹ thuật số

Các nhà điều tra pháp y phải đối mặt với nhiều thách

thức trong khi bảo quản bằng chứng kỹ thuật số vì nó

là một dạng bằng chứng hỗn loạn và điều quan trọng là

phải xử lý nó một cách chính xác.

Trong quá trình điều tra, nó có thể bị thay đổi do cố ý hoặc vô ý mà không để lại bất kỳ dấu vết nào.

Bằng chứng kỹ thuật số là mang tính tình huống,

điều này khiến điều tra viên pháp y khó theo dõi

hoạt động của hệ thống

Nó là sự trừu tượng hóa của một số sự kiện, khi người điều tra thực hiện một số tác vụ trên máy tính, hoạt động kết quả tạo ra tàn dư dữ liệu cung cấp một cái nhìn không đầy đủ về bằng chứng thực tế.

1

4 3

2

Vai trò của bằng chứng kỹ thuật số

vai trò của bằng chứng kỹ thuật số là thiết lập một liên kết đáng tin cậy giữa kẻ tấn công, nạn nhân và hiện trường vụ án

Theo Nguyên tắc Trao đổi của Locard, "bất kỳ ai hoặc bất cứ thứ gì, bước vào hiện trường vụ án sẽ mang theo thứ gì đó của hiện trường

và để lại chút gì đó của bản thân khi họ rời đi"

Ví dụ, tại thời điểm phạm tội, nếu bất kỳ thông tin nào từ máy tính của nạn nhân được lưu trữ trên máy chủ hoặc hệ thống của chính họ, điều tra viên có thể theo dõi thông tin đó bằng cách kiểm tra các tệp nhật ký, lịch sử duyệt Internet, v.v

Đặc điểm của bằng chứng kỹ thuật số

B ng ch ng k thu t s ph i có m t s đ c đi m ằng chứng kỹ thuật số phải có một số đặc điểm ứng kỹ thuật số phải có một số đặc điểm ỹ thuật số phải có một số đặc điểm ật số phải có một số đặc điểm ố phải có một số đặc điểm ải có một số đặc điểm ột số đặc điểm ố phải có một số đặc điểm ặc điểm ểm

đ đ ểm ược công bố trước tòa án của pháp luật c công b tr ố phải có một số đặc điểm ước tòa án của pháp luật c tòa án c a pháp lu t ủa pháp luật ật số phải có một số đặc điểm

Có thể chấp nhận: bằng chứng phải liên quan đến thực tế được chứng

minh

xác thực: bằng chứng phải có thật và liên quan đến sự việc một cách thích hợp.

Hoàn thành: bằng chứng phải chứng minh hành động của kẻ tấn công hoặc sự vô tội của anh ta

đáng tin cậy: Không có nghi ngờ gì về tính xác thực hoặc tính xác thực của bằng chứng

đáng tin cậy: Bằng chứng phải rõ ràng và dễ hiểu bởi các thẩm phán

Tính mong manh của bằng chứng kỹ thuật số

Bằng chứng kỹ thuật số là mong manh về bản chất

Trong quá trình điều tra hiện trường, nếu tắt máy tính, dữ liệu không lưu có thể

bị mất vĩnh viễn.

Nếu máy tính kết nối Internet, người liên quan đến tội phạm có thể xóa chứng cứ bằng cách xóa các tệp nhật ký.

Nếu máy tính kết nối Internet, người liên quan đến tội phạm có thể xóa chứng cứ bằng cách xóa các tệp nhật ký.

Pháp y chống kỹ thuật số (ADF)

Danh mục ADF

-ADF là một cách tiếp cận để thao tác, xóa hoặc làm xáo trộn dữ liệu kỹ thuật số.

-Nó làm cho việc khám nghiệm pháp y trở nên khó khăn, tốn thời gian hoặc không thể thực hiện được

Ghi đè dữ liệu và siêu dữ liệu (xóa)

+ nó phá hủy mọi dữ liệu có khả năng buộc tội

bằng nhiều lần ghi đè

+ "0" hoặc số ngẫu nhiên được sử dụng

để ghi đè lên dữ liệu thực tế

Làm xáo trộn dữ liệu

+ Làm xáo trộn dữ liệu nhằm mục đích gây

nhầm lẫn cho các nhà phân tích pháp y

+ Nó được tạo bằng cách sử dụng các nhà bán lẻ

ẩn danh để loại bỏ thông tin của tiêu đề email

+ USB có khả năng khởi động hoặc CD / DVD cũng

được sử dụng để xâm phạm hệ thống hoặc mạng

Khai thác lỗi trong các công cụ pháp y

+ Các công cụ phân tích và hình ảnh pháp y được lập trình để đọc sai các tập tin

+ ví dụ: tệp văn bản có thể được đọc dưới dạng tệp thực thi

Ẩn dữ liệu (Steganography, Cryptography và các phương pháp công nghệ thấp)

+ Dữ liệu bí mật được ẩn dưới hình ảnh+ thông điệp được mã hóa bằng các thuật toán mật mã mạnh mà các nhà phân tích không thể giải mã được+ Thông qua các phương pháp công nghệ thấp,

dữ liệu hoặc thông tin được ẩn khỏi người kiểm tra

Lu ng ồng module module

Dữ liệu kỹ thuật số Các loại dữ liệu kỹ thuật số Quy tắc bằng chứng

Thiết bị điện tử: Các loại và

Các loại dữ liệu kỹ thuật số (Tiếp theo)

-Dữ liệu đa năng có thể được sửa đổi

-Nó chứa thời gian hệ thống, (các) người dùng đã đăng

nhập, tệp đang mở, thông tin mạng, thông tin quy

trình, ánh xạ quy trình đến cổng, bộ nhớ xử lý, nội

dung khay nhớ tạm, thông tin dịch vụ/trình điều khiển

và lịch sử lệnh

-Dữ liệu đa năng có thể được sửa đổi

-Nó chứa thời gian hệ thống, (các) người dùng đã đăng

nhập, tệp đang mở, thông tin mạng, thông tin quy

-Dữ liệu chuyển tiếp chứa thông tin như kết nối mạng

đang mở, người dùng đăng xuất, các chương trình nằm

trong bộ nhớ và dữ liệu bộ nhớ cache

-Nếu máy bị tắt, tất cả thông tin này sẽ bị mất vĩnh

viễn

-Dữ liệu chuyển tiếp chứa thông tin như kết nối mạng

đang mở, người dùng đăng xuất, các chương trình nằm

trong bộ nhớ và dữ liệu bộ nhớ cache

-Nếu máy bị tắt, tất cả thông tin này sẽ bị mất vĩnh

-Dữ liệu không bay hơi được sử dụng để lưu trữ thứ cấp và lưu trữ lâu dài

-Nó chứa các tệp ẩn, không gian chùng, tệp hoán đổi, tệp index.dat, cụm chưa phân bổ, phân vùng không sử dụng, phân vùng ẩn, cài đặt đăng ký và nhật ký sự kiện

Các loại dữ liệu kỹ thuật số (Tiếp theo)

▪ Dữ liệu có thể truy cập tạm thời được lưu trữ trên

đĩa cứng và chỉ có thể truy cập được trong một thời gian nhất định

▪ Nó chứa dữ liệu như thông tin hệ thống tệp được

Các loại dữ liệu kỹ thuật số

• Dữ liệu được lưu trữ trên máy tính khi tài liệu bị xóa được gọi là dữ liệu còn lại

• Khi một tệp bị xóa, máy tính gắn thẻ không gian tệp thay vì làm sạch bộ nhớ tệp

• Tệp có thể được truy xuất cho đến khi dung lượng được sử dụng lại

• Siêu dữ liệu duy trì một bản ghi về một tài liệu cụ thể

• Bản ghi bao gồm định dạng tệp và cách thức, thời điểm và ai đã tạo, lưu

và sửa đổi tệp

Lu ng ồng module module

Dữ liệu kỹ thuật số Các loại dữ liệu kỹ thuật số Quy tắc bằng chứng

Thiết bị điện tử: Các loại và

Quy t c ắc b ng ch ng ằng chứng kỹ thuật số phải có một số đặc điểm ứng kỹ thuật số phải có một số đặc điểm

• Chứng cứ được đưa ra trước tòa phải tuân theo các quy tắc về chứng cứ đã được thiết lập

• Trước quá trình điều tra, điều quan trọng là điều tra viên phải hiểu các quy tắc của chứng cứ

Best Evidence Rule

18

Best Evidence Rule được thiết lập để ngăn chặn bất kỳ sự thay thế nào của bằng chứng kỹ

thuật số ,được sử dụng một cách vô ý hoặc vô ý

Nó tuyên bố rằng tòa án chỉ cho phép bằng chứng ban đầu của một tài liệu,chụp ảnh hoặc ghi

âm tại phiên tòa chứ không phải một bản sao,nhưng bản sao sẽ được phép làm bằng chứng

trong các điều kiện sau:

⮚ Bằng chứng ban đầu bị phá hủy do hỏa hoạn/lũ lụt

⮚ Bằng chứng ban đầu bị tiêu hủy trong quá trình kinh doanh bình thường

⮚ Bằng chứng gốc do bên thứ ba sở hữu

Federal Rules of Evidence (Cont’d)

19

Các quy tắc này sẽ được hiểu là để đảm bảo tính sai sót trong quản trị,loại bỏ điều không chính đáng,chi phí và trì hoãn và thúc đẩy sự tăng trưởng và phát triển của luật bằng chứng cho kết thức rằng sự thật có thể được xác định chắc chắn và các thủ tục tố tụng được xác định một cách chính đáng

Phán quyết và bằng chứng

b)Biên bản chào hàng và phán quyết Tòa án có thể thêm bất kỳ tuyên bố nào khác hoặc them trong đó cho thấy đặc điểm của bằng chứng,hình thức trong đó nó được đưa ra,phải đối được đưa ra và phán quyết ở đó.Nó

có thể chỉ đạo việc đưa ra một đề nghị trong mẫu câu hỏi và câu trả lời.

C) Điều trần của bồi thẩm đoàn

Các thủ tục sẽ được tiến hành trong phạm vi có

thể thực hiện được để ngăn chặn bằng chứng

không thể chấp nhận khỏi được đề xuất với bồi

thẩm đoàn bằng bất kỳ phương tiện nào,ví dụ khi

đưa ra tuyên bố hoặc cung cấp bằng chứng, yêu

cầu câu hỏi trong phiên điều trần của bồi thẩm

đoàn.

a) Điều kiện của phán quyết sai lầm

⮚ Lỗi có thể không được dự đoán trên một phán quyết

loại bằng chúng trừ khi quyền đáng kể của bên bị ảnh

Federal Rules of Evidence (Cont’d)

20

Các câu hỏi về khả năng chấp nhận nói chung

❑ Các câu hỏi sơ bộ liên quan đến tư cách của một người chứng kiến,sự tồn tại của một đặc quyền

❑ Khi đưa ra quyết định của mình,nó không bị ràng buộc bở các quy tắc về bằng chứng

Mức độ liên quan dựa trên thực tế

❑ Khi mức độ liên quan của bằng chứng phụ thuộc vào việc đáp ứng một điều kiện của thực tế,thì tòa

án sẽ thừa nhận điều đó hoặc tùy thuộc vào việc đưa ra bằng chứng đủ để hỗ trợ việc phán hiện

Lời khai của bị cáo

❑ Bị cáo không,bằng cách làm chứng một vấn dề sơ bộ,không trở thành đối tượng của sự kiểm tra

chéo về các vẫn đề khác trong trường hợp

Điều trần của bồi thẩm đoàn

❑ Các phiên điều trần về việc chấp nhận lời thú tội sẽ được tiếng hành ngoài phiên điều trần của bồi

hẩm đoàn

❑ Các phiên điều trần về các vấn đề sơ bộ khác sẽ được tiếng hành khi lợi ích của công lý yêu cầu

Trọng lượng và uy tín

❑ Quy tắc ngày không hạn chế quyền của một bên được giới thiệu trước bồi thẩm đoàn bằng chứng

liên quan đến trọng lượng hoặc sự tín nhiệm

Câu hỏi sơ bộ

Federal Rules of Evidence (Cont’d)

nhận được như cho một

bên khác hoặc cho một mục

trong khi làm chứng tại thử nghiệm hoặc điều trần,được cung cấp bằng chứng để chứng minh sự thật của vấn

đề được khẳng định

❑ Nó không được chấp nhận ngoại trừ như được cung cấp bởi các quy tắc này hoặc bởi các quy tắc khác

Federal Rules of Evidence (Cont’d)

22

Quy tăc 803.Ngoại lệ của tin đồn-Tính khả

dụng của tài liệu miễn dịch khai báo

Ngay cả khi người khai báo có sẵn dưới

dạng nhân chứng,những điều sau đây

không bị loại trừ bởi quy tắc tin đồn:

▪ Ấn tượng cảm quan hiện tại

▪ Phát biểu đầy phấn khích

▪ Tuyên bố cho mục đích chuẩn đoán y tế

hoặc điều trị

▪ Ghi lại hồi ức

▪ Hồ sơ hoạt động được tiến hành thường

xuyên

▪ Sự vắng mặt của mục nhập hồ sơ lưu

trong phù hợp với các quy định

▪ Hồ sơ và báo cáo công khai

▪ Hồ sơ thống kê quan trọng

Quy tắc 804 Ngoại lệ của tin đồn – Khai báo không khả dụng

Nếu người khai báo không có mặt với tư cách là nhân chứng,nhưng điều sau đây không bị loại trừ bởi quy tắc tin đồn:

▪ Lời khai cũ

▪ Tuyên bố với niềm tin về cái chết sắp xảy ra

▪ Tuyên bố chống lại lãi suất

▪ Bản khai lý lịch cá nhân hoặc gia đình

Federal Rules of Evidence (Cont’d)

tự bởi người thực hiện hoặc ban hành nó

Một bản sao là một bản sao được tạo ra bởi cùng một phép in như nguyên bản,hoặc từ cùng một ma trận,hoặc bằng phương tiện nhiếp ảnh,bao gồm phóng to và thu nhỏ,hoặc bằng cơ học hoặc ghi lại điện

tử hoặc bằng cách tái tạo hóa học,hoặc bằng cách khác các kỹ thuật tương đương tái tạo chính xác bản gốc

Federal Rules of Evidence

24

Quy tắc 1002:

Yêu cầu bản gốc

Để chứng minh nội dung của một văn

bản,ghi âm,hoặc chụp ảnh,văt ban đầu,ghi

âm ,hoặc ảnh là bắt buộc ngoại trừ nếu

không được cung cấp trong các quy tắc

ngày hoặc theo Đạo luật của Quốc hội

Quy tắc 1003:

Chấp nhận các bản sao Một bản sao được chấp nhận cho cùng mức độ với bản gốc trừ khi

1) Một câu hỏi thực sự được nêu ra là tính xác thực của bản gốc

2) Trong các trường hợp,nó sẽ là không công bằng khi thừa nhận bản sao trong đó thay cho bản gốc

Quy tác 1004:Chấp nhận nội dung bằng chứng khác

Bản gốc không cần thiết và các bằng chứng khác về nội dung của văn bản,ghi âm hoặc ảnh được chấp nhận

nếu:

1) Bản gốc bị mất hoặc bị phá hủy.Tất cả bản gốc bị mất hoặc đã bị phá hủy.Tất cả bản gốc bị mất hoặc đã bị

phá hủy,trừ khi người đề xuất làm mất hoặc phá hủy chúng trong đức tin xấu

2) Không thể lấy được bản gốc.Không thể lấy được bản gốc bằng bất kỳ quy trình xét xử hiện có nào hoặc thủ

tục

3) Bản gốc thuộc quyền sở hữu của đối phương,Tại thời điểm bản gốc nằm dưới sự kiểm soát của bên chống

lại người đã đề nghị,bên đó đã được thông báo,bởi những lời kêu gọi hoặc cách khác,rằng nội dung sẽ là đối

tượng của bằng chứng tại phiên điều trần

4) Các vấn đề về tài sản thế chấp.Việc viết,ghi âm hoặc chụp ảnh không liên quan chặt chẽ đến vấn đề kiểm

soát

International Organization on Computer Evidence (IOCE)

25

Tổ chứ quốc tế về Bằng chứng Máy tính (IOCE) được thành lập năm 1975

Mục đích của tổ chức này là cung cấp một diễn đàn cho các cơ quan thực thi pháp luật toàn cầu

để trao đổi thông tin liên quan đến tội phạm mạng và các vấn

đề khác liên quan đến pháp y máy tính

IOCE phát triển dịch vụ liên lạc trực tiếp giữa các cơ quan thành viên và tổ chức nhiều hội nghị để thiết lập mối quan hệ bền chặt

IOCE International Principles for Digital Evidence

Khi xử lý bằng chứng kỹ thuật số, tất cả các nguyên tắc pháp lý và thủ tục chung phải được áp dung kỹ

thuật số gốc Khi thu giữ bằng chứng kỹ thuật số, các hành động được thực hiện không được thay đổi bằng chứng đó

Khi cần thiết để một ngừoi truy cập bang chứng kỹ thuật số ban đầu, ngừoi đó phải được đào tạo cho

mục đích.

Tất cả các hoạt động liên quan đến thu giữ, truy cập lưu trữ hoặc chuyển giao bằng chứng kỹ thuật

số phải được ghi lại đầy đủ lưu trữ và sẵn sàng để xem xét

Một cá nhân chịu trách nhiệm về tất cả các hành động được thưucj hiện liên quan đến bằng chứng kỹ

thuật số trong khi bằng chứng kỹ thuật số thuộc quyền sở hữu của họ

Bất kỳ cơ quan nào chịu trách nhiệm thu giữ truy cập lưu trữ hoặc chuyển giao bằng chứng kỹ thuật số đều có trách nhiệm tuân thủ các nguyên tắc này

6

3