TÌM HIỂU VỀ MỘT SỐ KĨ THUẬT THU THẬP CHỨNG CỨ ĐIỆN TỬ TRONG ĐIỀU TRA SỐ

Chương 1. Tìm hiểu tổng quan về điều tra số, quy trình thực hiện điều tra số. 3 1.1 Khái niệm về điều tra số 1.2 Mục tiêu và ý nghĩa của điều tra số 1.2.1 Mục tiêu của điều tra số. 1.2.2 Ý nghĩa của điều tra số 1.3 Các loại điều tra số 1.3.1 Điều tra số trên các thiết bị máy tính 1.3.2 Điều tra số trên mạng. 1.3.3 Điều tra số trên thiết bị di động 1.4 Quy trình điều tra số 1.4.1 Chuẩn bị 1.4.2 Tiếp nhận dữ liệu 1.4.3 Phân tích 1.4.4 Lập báo cáo 1.5 Tổng kết chương Chương 2. Tìm hiểu tổng quan về chứng cứ điện tử, quy trình và kỹ thuật thu thập chứng chứ điện tử. 2.1 Tổng quan về chứng cứ điện tử. 2.1.1 Sự ra đời 2.1.2 Hình thành các hành lang pháp lý 2.2 Quy trình thu thập chứng cứ điện tử. 2.2.1 Phân tích khái niệm chứng cứ điện tử. 2.2.2 Sự hình thành và quy trình thu thập. 2.3 Kĩ thuật thu thập chứng cứ điện tử. Chương 3. Thực hiện tình huống minh họa.

BAN CƠ YẾU CHÍNH PHỦ

HỌC VIỆN KỸ THUẬT MẬT MÃ

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

THU THẬP PHÂN TÍCH THÔNG TIN AN NINH MẠNG

TÌM HIỂU VỀ MỘT SỐ KĨ THUẬT THU THẬP CHỨNG CỨ ĐIỆN TỬ TRONG ĐIỀU TRA SỐ

Ngành: Công nghệ thông tinChuyên ngành: An toàn thông tin

Hà Nội, 2019

BAN CƠ YẾU CHÍNH PHỦ

HỌC VIỆN KỸ THUẬT MẬT MÃ

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

THU THẬP PHÂN TÍCH AN NINH MẠNG

TÌM HIỂU VỀ MỘT SỐ KĨ THUẬT THU THẬP CHỨNG CỨ ĐIỆN TỬ TRONG ĐIỀU TRA SỐ

Sinh viên thực hiện:

M c l c ụ ụ

MỞ ĐẨU

Ngày nay, khoa học công nghệ đã có những bước phát triển mạnh mẽ về cả chiềurộng lẫn chiều sâu Máy tính điện tử không chỉ được coi là một thứ phương tiện quýhiếm mà nay đã trở thành một công cụ làm việc, giải trí thông dụng của con ngườikhông những ở công sở mà thậm chí còn ở ngay trong gia đình

Với sự bùng nổ của công nghệ thông tin thì việc bảo mật an toàn thông tin đóngvai trò không thế thiếu của ngành khoa học này, các tổ chức và các doanh nghiệp lớn vànhỏ đều tìm mọi biện pháp để xây dựng và củng cố một cách hoàn thiện hệ thống thôngtin của mình nhằm tin học hóa các hoạt động tác nghiệp của đơn vị

Hiện nay trên thế giới cũng như ở Việt Nam, các cơ quan, các tổ chức cũng nhưcác trường học đều không ngừng đầu tư vào việc xây dựng và cải thiện các giải phápcủng cố an toàn thông tin Chúng ta cũng dễ dàng nhận ra tầm quan trọng và tính tất yếucủa việc bảo vệ thông tin nói chung và ngành mật mã nói riêng trong các cơ quan vàngười dung Với bất kỳ thiết bị điện tử có kết nối internet nào, từ điện thoại di động đếnmáy tính bảng, máy tính cá nhân, người dùng mọi lúc mọi nơi đều có thể truy cập vànắm bắt được các thông tin cần thiết về một cơ quan hay một mục đích thì việc bị tấncông đánh cắp dữ liệu của các tin tặc là không thể tránh khỏi Điều này hoàn toàn giảiquyết được bằng đảm bảo một hệ thông an toàn…

Chương 1 Tìm hiểu tổng quan về điều tra số, quy trình thực hiện điều

tra số.

1.1 Khái niệm về điều tra số

Trong lĩnh vực an toàn thông tin, Digital Forensics hay còn gọi là điều tra số

là công việc phát hiện, bảo vệ và phân tích thông tin được lưu trữ, truyền tải hoặc được tạo ra bởi các thiết bị số (máy tính, điện thoại, các thiết bị thông minh, ) nhằm đưa ra các suy luận hợp lý để tìm nguyên nhân, giải thích các hiện tượng trong quá trình điều tra

Máy tính ngày cảng trở nên mạnh mẽ, vì vậy, Iĩnh vực điều tra số cũng phải

có sự phát triển tương xứng Trong những ngày đầu mới có máy tính, rất dễ để những nhân viên điều tra có thể tìm ra một file nào đó bởi dung lượng lưu trữ rất thấp Ngày nay, với dung lượng lưu trữ của ỗ đĩa lên tới gigabyte, thậm chí

là terabyte dữ liệu, công việc lại càng khó khăn hơn Điều tra viên sẽ phải tìm

ra những phương pháp khác nhau để có thể tìm kiểm bằng chứng mà không phải dùng tới quá nhiều nguồn cho quá trình điều tra, nâng cao tính hiệu quả cho quá trình điều tra

Một cuộc điều tra số thông thường sẽ điều tra từ các dữ liệu được lấy từ phần cứng máy tính hay các thiết bị lưu trữ khác, việc điều tra này được thực hiện thành thủ tục và chính sách đã được tiêu chuẩn hóa nhằm xác định liệu cácthiết bị mật có bị truy cập trái phép bay không Việc điều tra này được nhóm điều tra thực hiện sử dụng các phương pháp khác nhau (như phân tích tĩnh hay động), các công cụ khác nhau Để một cuộc điều tra thành công, nhóm điều tra phải có kiến thức chuyên môn về nhiều lĩnh vực khác nhau từ kiến thúc về các kiểu hệ điều hành (Windows, Linux, Mac OS), các dạng mã độc, cơ chế ghi nhận và quản lý log ở các thiết bị , các mẫu hoạt động bất thường ở góc độ bộ nhớ, mạng, và thậm chỉ đến mức có kiến thức về các điều luật cũng như các

tổ chức pháp Iý tương ứng

Lĩnh vực điều tra số vẫn còn khá mới mẻ Những ngày đầu của máy tính, tòa

án coi bằng chứng từ máy tính không khác gì so với những loại bằng chứng khác Khi máy tính ngày càng trở nên phát triển hơn và phức tạp hơn, suy nghĩ này đã thay đổi, tòa án biết được bằng chứng tội phạm rất dễ dàng có thể bị thay đổi, bị xóa hoặc bị phá hỏng Điều tra viên nhận ra rằng cần thiết phải phát

triển một công cụ nào đó có thể giúp việc điều tra bằng chứng trong máy tính

mà không làm ảnh hưởng tới thông tin Họ đã bắt tay làm việc với những nhà khoa học máy tính, lập trình viên đề bản luận về các phương pháp và công cụ phù hợp mà họ cần mỗi khi phải truy hỏi thông tin từ một máy tính Từ đó, họ

đã phát triển phương pháp đề hình thành nên lĩnh vực điều tra số

1.2 Mục tiêu và ý nghĩa của điều tra số

1.2.1 Mục tiêu của điều tra số.

Mục tiêu cốt lõi của điều tra số là phát hiện, bảo quản, khai thác, tài liệu hóa và đưa ra kết luận về dữ liệu thu thập được Dữ liệu thu được phải đảm bảo tính xác thực, tính toàn vẹn nếu không dữ liệu lấy được sẽ không còn ý nghĩa

Giả sử, A là quản trị viên của một website

www.thuongmaidientu.com, bỗng một ngày website của A cách khôi phục lại website như lúc đầu đồng thời củng cố để tránh sự việc tấn công lại bị tái diễn, hơn nữa xác định ai là kẻ đã tấn công Đây là lúc A cần phải dựa vào những bằng chứng từ những tập tin nhật ký (log) và các bằng chứng khác thu thập từ máy chủ để xác định việc gì đang diễn ra với hệ thống của mình Đây chỉ là một ví dụ khá điển hình, ngoài ra còn những trường hợp khác như phát hiện mã độc trên máy tính, kiểm tra sự bất trường trong mạng, phát hiện xâm nhập,… Nói chung điều tra số giúp chúng ta xác định được nguyên nhân sự cố và đưa ra các biện pháp giải quyết tiếp theo

Điều tra số có những ứng dụng quan trọng trong khoa học điều tra cụ thể

Về mặt kỹ thuật: thì điều tra số giúp xác định những gì đang xảy ra làm ảnh hưởng tới hệ thống đồng thời qua đó phát hiện các nguyên nhân hệ thông, bị xâm nhập, các hành vi, nguồn gốc của các vi phạm xảy ra đối với

hệ thông

Về mặ pháp lý: thì điều tra số giúp cho cơ quan điều tra khi tố giác tộiphạm công nghệ cao có được những chứng cứ số thuyết phục để áp dụng các chế tài xử phạt với các hanh vi vi phạm

1.2.2 Ý nghĩa của điều tra số

Không có bất cứ sự đảm bảo nào cho hệ thống mạng máy tính được tuyệt đối an toàn trước những nguy cơ, rủi ro, tấn công ác ý của tội phạm mạng Quy trình xử lý sự cố, phục hồi chứng cứ và truy tìm dấu vết tội phạm cần phải được

tiến hành một cách chuyên nghiệp nhằm đem lại chứng cứ chính xác Một cuộc điều tra số được tiến hành nhằm:

+ Xác định nguyên nhân hệ thống công nghệ thông tin bị tấn công, từ đó đưa ra giải pháp khắc phục điềm yếu nhằm nâng cao hiện trạng an toàn của hệ thống

+ Xác định các hành vi tội phạm mạng máy tính đã, đang và sẽ làm đối với

hệ thống mạng máy tính Trong thực tế, thiệt hại tiềm ẩn do những cuộc tấn công gây rò rỉ thông tin, hay làm mất tính sẵn sàng của hệ thống là việc hệ thống bị nằm quyền điều khiển, cài chương trình theo dõi, xóa bỏ thông tin, biến hệ thống mạng máy tính thành công cụ tấn công các hệ thống khác, Việctiến hành một cuộc điều tra số nhằm xác định chính xác những hoạt động mà tội phạm mạng đã tác động vào hệ thống và ngăn ngừa các rủi ro khác có thể xảy ra

+ Khôi phục thiệt hại mà cuộc tấn công vào hệ thống mạng máy tính gây ra: phục hồi dữ liệu, thông tin lưu trữ trên hệ thống đã bị phá hoại có chủ đích.Thực hiện điều tra tội phạm, tìm kiếm chứng cứ số nhằm vạch trần tội phạm công nghệ cao, các hoạt động gian lận, gián điệp, vi phạm phép luật

1.3 Các loại điều tra số

1.3.1 Điều tra số trên các thiết bị máy tính

Điều tra số trên máy tính là một nhánh của khoa học điều tra số liên quan đến việc phân tích các bằng chứng pháp lý được tìm thấy trong máy tính và các phương tiện lưu trữ kỹ thuật số Mục đích của điều tra máy tính là nhằm xác định, bảo quản, phục hồi, phân tích, trình bày lại sự việc và ý kiến về các thông tin từ thiết bị kỹ thuật số và tiến hành điều tra các thành phần như:

- Điều tra bộ nhớ (Memory Forensics): là phương thức điều tra máy tính bằng việc ghi lại bộ nhớ khả biển (bộ nhớ RAM) của hệ thống sau đó tiền hành phân tích làm rõ các hành vi đã xảy ra trên hệ thông Cụ thể hơn, đó là cố gắng

sử dụng kiến trúc quản lý bộ nhớ trong máy tính để ánh xạ, trích xuất các tập tin đang thực thi và cư trú trong bộ nhớ Những tập tin thực thí có thể được sử dụng để chứng minh rằng hành vi của tội phạm đã xảy ra hoặc để theo dõi nó

đã diễn ra như thế nào Công cụ sử dụng: Dumpit, Strings, The Sleuthkit

Win32dd, ForemostL, Volaulity, Mandiant Redline, DFF

Hình 1.1 Sử dụng Volaulity liệt kê các tiến trình đang chạy trong hệ thống

- Điều tra Registry: Đây là loại hình điều tra liên quan đến việc trích xuất thông tin và ngữ cảnh từ một nguồn dữ liệu chưa được khai thác qua đó biết được những thay đổi (chỉnh sửa, thêm bớt ) dữ liệu trong Register Công cụ thường dùng: MuiCache View, Process Monitor, Regshot, USBDcvikev

- Điều tra hệ hệ thống (File System Forensics): Đây là loại hình điều tra liên quan đến các file hệ thông của hệ điều hành windows, linux

- Điều tra ứng dụng (Application Forensics): Là loại hình điều tra phân tích các file log trong ứng dụng như Email, dữ liệu trình duyệt Skype, Yahoo… Qua

đó trích xuất các bản ghi được lưu trữ trên các ứng dụng phục vụ cho việc điều tra tìm kiếm chứng cứ Công cụ thường dùng: ChromeCacheView,

MozillaCookiesView, MyLastSearch, PasswordFox, SkypeLogView…

Hình 1.2 SkypeLogView xem dữ liệu được trao đổi qua đường truyền

- Điều tra ổ đĩa (Disk Forensics): Là việc thu thập, phân tích dữ liệu được lưu trữ trong phương tiện lưu trữ vật tý, nhằm trích xuất dữ liệu ẩn, khôi phục các tập tin bị xóa qua đó xác định người đã tạo rê những thay đôi đữ liệu trên thiết bị để phân tích Các công cụ thường dùng : ADS Locator, Disk

Investigator, Disk Detector, FTK,P Passware Encryption Analyzec …

Hình 1.3 Passware Encryption Analyzec xác định file được bảo vệ bởi mật

khẩu

1.3.2 Điều tra số trên mạng.

Điều tra mạng là một nhánh của khoa học điều tra số liên quan đến việc giám sát và phân tích lưu lượng máy tính nhằm phục vụ cho thu nhập thông tin,chứng cứ pháp lí hay là phát hiện các cuộc xâm nhập vào hệ thống máy tính

Điều tra mạng có thể thực hiện như một cuộc điều tra độc lập hoặc kết hợp với điều tra máy tính, thường được sử dụng để phát hiện mối liên kết giữa các thiết bị kỹ thuật số hay tái tạo lại quy trình phạm tội.

Điều tra mạng bao gồm việc chặn bắt, ghi âm hoặc phân tích các sự kiện mạng để khám phá nguồn gốc của các cuộc tấn công hoặc sự cố một vấn đề nào

đó Không giống như các loại điều tra số khác, điều tra mạng xử lí những thôngtin dễ thay đổi và biến động Lưu lượng mạng được truyền đi và không được lưu lại, do đó, việc điều tra mạng phải rất linh hoạt và chủ động

Các công cụ sử dụng : WireShark, Tepdump, Networkminer, Wildpackets, Xplico, Snort, …

Hình 1.4 Sử dụng WireShark phân tích tấn công Teadrop

1.3.3 Điều tra số trên thiết bị di động

Điều tra số trên thiết bị di động (Mobile Device Forensics): là một nhánh khoa học điều tra số liên quan đến việc thu hồi bằng chứng kỹ thuật số hoặc dữ liệu của các thiết bị di động Thiết bị di động ở đây không chỉ đề cập đến điện thoại di động mà còn là bất kỳ thiết bị kỹ thuật số nào có bộ nhớ trong và khả năng giao tiếp, bao gồm các thiết bị PDA, GPS và máy tính bảng

Việc sử dụng điện thoại với mục đích phạm tội đã phát triển mạnh trong những năm gần đây, nhưng việc nghiên cứu điều tra về thiết bị di động là một lĩnh vực tương đối mới Sư gia tăng các loại hình điện thoại di động trên thị

trường đòi hỏi nhu cầu giám định về tính an toàn của các thiết bị này mà không thể đáp ứng bằng kỹ thuật điều tra máy tính hiện tại.

Công cụ thường dùng để điều tra số trên thiết bị di động: WPDevice

Manager, Pwnage Tool, Oxygen, Apktool, Iphone,WireShark,…

Hình 1.5 Sử dụng WPDevice để trích xuất SMS

1.4 Quy trình điều tra số

Điều tra số là một nhánh của điều tra pháp y do đó đòi hỏi việc điều tra phải tuân theo một quy trình một các chặt chẽ để đảm bảo quá trình điều tra đạt hiệu quả tốt nhất Quy trình điều tra số gồm có 4 bước: chuẩn bị, tiếp nhận dữ liệu, phân tích, báo cáo

1.4.1 Chuẩn bị

Bước này thực hiện việc mô tả lại thông tin hệ thống, những gì đã xảy ra, các dấu hiệu, để xác định phạm vi điều tra, mục đích cũng như các tài nguyên cần thiết sẽ sử dụng trong suốt quá trình điều tra

Kiểm tra xác minh: Khi bắt đầu quá trình điều tra thì đây là nhiệm vụ đầu tiên Ở giai đoạn này việc kiểm tra xác minh cung cấp một cái nhìn bao quát về các thông tin liên quan đến hệ thống bị tấn công, thông tin về hạ tầng mạng, các

cơ chế bảo vệ thệ thống đó, các ứng dụng ngăn chặn virus trên hệ thống, cũng như các thiết bị mạng (tường lửa, IDS, router…) đang được triển khai

Mô tả hệ thống: Sau khi hoàn thành nhiệm vụ kiểm tra xác minh chúng ta

sẽ tiến hành mô tả chi tiết các thông tin về hệ thống như thời gian hệ thống bị

tấn công, đặc điểm phần cứng, hệ điều hành đang sử dụng, phần mềm đang cài trên hệ thống, danh sách người dùng và nhiều thông tin hữu ích khác liên quan tới hệ thống Một phần của những dữ liệu này sẽ được lấy ra khỏi hệ thống bằng việc sử dụng các phần mềm phục vụ cho quá trình điều tra, vì việc điều trakhông thể thực hiện ngay trên hệ thống được xem là mục tiêu của tấn công được, bởi vì hệ thống có thể đã được cài đặt các phần mềm độc hại…

1.4.2 Tiếp nhận dữ liệu

Đây là bước tạo ra một bản sao chính xác các sector hay còn gọi là nhân bảnđiều tra các phương tiện truyền thông, xác định rõ các nguồn chứng cứ sau đó thu thập và bảo vệ tính toàn vẹn của chứng cứ bằng việc sử dụng hàm băm mật

mã

Giai đoạn này rất quan trọng cho quá trình phân tích, điều tra một hệ thốngmáy tính bị tấn công Tất các những thông tin máy tính có sẵn phải được đưavào một môi trường điều tra an toàn để thực hiện công việc điều tra, phân tích,đây là việc làm rất quan trọng bởi vì nó phải đảm bảo được rằng những chứng

cứ thu được ban đầu cần phải đảm bảo được tính toàn vẹn.Tất cả các dữ liệu thuđược từ hệ thống (bộ nhớ, tiến trình, kết nối mạng, phân vùng đĩa…) phải đượcghi lại và ký mã bởi các thuật toán như MD5 hoặc SHA1 để đảm bảo tính toànvẹn chứng cứ, trước khi bắt đầu điều tra thì người thực hiện nhiệm vụ phân tíchđiều tra sẽ kiểm tra độ tin cậy của chứng cứ dựa vào thông tin mà các chuỗiMD5 hay SHA1 cung cấp Nhằm tránh việc gian lận và cài đặt, làm giả cácchứng cứ đánh lạc hướng điều tra

1.4.3 Phân tích

Đây là giai đoạn các chuyên gia sử dụng các phương pháp nghiệp vụ, các kỹthuật cũng như công cụ khác nhau để trích xuất, thu thập và phân tích các bằng chứng thu được

Thiết lập mốc thời gian và phân tích: Sau khi thu thập xong chứng cứ tất cả các dữ liệu được cách ly trong một môi trường điều tra an toàn và nhiệm vụ tiếp theo của quá trình thực hiện phân tích là thiết lập tập tin thời gian Việc thiết lập tập tin thời gian giúp người thực hiện công việc điều tra theo dõi lại các hoạt động của hệ thống (hiển thị ra thời gian cuối cùng mà một tập tin thực thi được chạy, các

tập tin hoặc thư mục được tạo/xóa trong thời gian qua và qua đó có thể giúp người điều tra hình dung, phỏng đoán được sự hiện diện của các kịch bản hoạt động).

Phân tích phương tiện truyền dữ liệu của hệ điêu hành:Từ các kết quả thu được bởi việc phân tích thời gian, chúng ta tiến hành bắt đầu phân tích phương tiệntruyền thông để tìm kiếm các đầu mối phía sau một hệ thống bị thỏa hiêp Bộ công

cụ có sẵn để phục vụ cho việc phân tích phụ thuộc vào một số nhân tố như:

• Nền tảng phần mềm được sử dụng trong máy tính phục vụ điều tra

• Nền tảng phần mềm được sử dụng trong các hệ thống mục tiêu của việc phân tích

• Môi trường phân tích.

Trong giai đoạn này, việc phân tích để kiểm tra kỹ các lớp phương tiện truyền thông (vật lý, dữ liệu, siêu dữ liệu, hệ thống tập tin và tên tập tin…) để tìm kiếm bằng chứng về việc cài đặt các tập tin nghi ngờ, các thư mục được thêm vào/gỡ bỏ

Tìm kiếm chuỗi: Với những gì đã thu thập được, người phân tích có thể bắt đầu tìm kiếm các chuỗi cụ thể chứa bên trong các tập tin để tìm kiếm những thông tin hữu ích như địa chỉ IP, địa chỉ Email… để từ đó truy tìm dấu vết tấn công

Khôi phục dữ liệu: Sau khi thực hiện xong giai đoạn phân tích các phương tiện truyền thông, chuyên viên điều tra hoàn toàn có thể tìm kiếm những dữ liệu từ chứng cứ đã được ghi lại và trích xuất ra các dữ liệu chưa được phân bổ trong ngănxếp, sau đó phục hồi lại bất kỳ tập tin nào đã bị xóa Tìm kiếm không gian trống (trong môi trường windows) hoặc tìm trong không gian chưa phân bố dữ liệu có thể khám phá ra nhiều tập tin phân mảnh, đó có thể là đầu mối về các hành động xóa tập tin, thời gian được xóa… Việc nắm bắt được thời gian tập tin bị xóa là một trong những thông tin quan trọng liên quan đến các hoạt động tấn công đã xảy ra trên hệ thống (ví dụ xóa các bản ghi liên quan đến quá trình thâm nhập hệ thống)

1.4.4 Lập báo cáo

Sau khi thu thập được những chứng cứ có giá trị và có tính thuyết phục thì tất cả phải được tài liệu hóa lại rõ ràng, chi tiết và báo cáo lại cho bộ phận có trách nhiệm xử lý chứng cứ thu được, các chuyên gia phân tích phải đưa ra các

kỹ thuật điều tra, các công nghệ, phương thức được sử dụng, cũng như các chứng cứ thu được, tất cả phải được giải thích rõ ràng trong báo cáo quá trình điều tra

1.5 Tổng kết chương

Điều tra số là công việc phát hiện, bảo vệ và phân tích thông tin được lưu trữ, truyền tải hoặc tạo ra bởi các thiết bị (máy tính, điện thoại, các thiết bị thông minh…) nhằm đưa ra các suy luận hợp lý đề tìm ra nguyên nhân, giải thích các hiện tượng trong quá trình điều tra

Chúng ta có thể phân loại điều tra số theo các mục sau: Điều tra máy tính, điều tra mạng, điều tra thiết bị di động Để thành công trong công việc điều tra chứng cứ số thì các điều tra viên cần vững nhiều nền tảng công nghệ, hệ điều hành khác nhau Điều này đòi hỏi có trau dồi kiến thức và học tập, chia sẻ kinh nghiệm trên các diễn đàn hay nhóm

Việc điều tra trong môi trường công cộng và điều tra trong môi trường riêng

có nhiều sự khác biệt Do đó điều tra viên cần phân biệt rõ và tuân thủ đúng cácquy trình điều tra để tránh sự xung đột và hạn chế những khiếu nại do vi phạm nguyên tắc quyền lợi của người dùng Việc điều tra số được thực hiện theo các bước sau: chuẩn bị, thu thập dữ liệu, phân tích và thiết lập báo cáo Quy trình điều tra số cần phải duy trì ứng xử chuyên nghiệp để đảm bảo trách nhiệm của điều tra viên

Chương 2 Tìm hiểu tổng quan về chứng cứ điện tử, quy trình và kỹ

thuật thu thập chứng chứ điện tử.

mà trên tất cả các lĩnh vực khác có áp dụng tin học Với nhiều loại hình khác nhau,

và các phương thức thủ đoạn cũng rất đa dạng, nó đang ngày càng tác dộng mạnh

mẽ đến đời sống kinh tế và xã hội

Tấn công vật lý

Thuở sơ khai của loại tội phạm máy tính, đối tượng thường thực hiện các hành vi tấn công vật lý tới hệ thống máy tính hoặc đường truyền viễn thông Vào mùa xuân năm 1969, một nhóm sinh viên ở Canada đã tấn công cảnh sát, phá cánh cửa nhà Hiệu bộ, rồi gây ra đám cháy làm phá hủy hệ thống máy tính, trung tâm cơ

sở dữ liệu Làm thiệt hại 2 tỉ dollar, 97 người đã bị bắt giữ Bước sang thế kỷ XX, vẫn tồn tại những kẻ thích phá hoại cơ sở hạ tầng, phá hoại trung tâm dữ liệu bằng tay Rõ ràng, để đánh sập một mạng máy tính, không gì nhanh hơn là phá hoại vật lý

Mạo danh

Năm 1970, một tên tội phạm tuổi teen khét tiếng tên là Jerry Neal Scheilder Mục tiêu của anh ta là công ty thiết bị viễn thông PT&T ở Los Angeles Qua nhiều năm kiên trì lục lọi thùng rác để thu thập các bản in tài liệu của công ty, đồng thời tham gia các chuyến tham quan nhà kho, nhà máy sản xuất, anh ta đã có đủ kiên thức và nắm rõ quy trình hoạt động của công ty này Mạo danh công ty này, anh ta chiếm đoạt được hàng triệu đô từ tiền nhập thiết bị Cuối cũng bị bắt do sự tố cáo của chính nhân viên của y Và sau khi mãn hạn tù, anh ta đã thành lập công ty về

an ninh máy tính Ăn cắp thẻ tín dụng Thẻ tín dụng ra đời vào những năm 1920 Sau đó, nó trở nên phổ biến tại các nước phương Tây vì tính tiện dụng của nó Vì thế mà xuất hiện các vụ phạm tội liên quan đến thẻ tín dụng Vào cuối thế kỷ XX, tình trạng trở nên trầm trọng Theo một báo cáo của FBI: "Xét trên phạm vi toàn

cầu, số tiền trong các thẻ VISA, Master-Card của các ngân hàng bị đánh cắp lên tới

110 triệu năm 1980 và lên đến 1.65 tỉ đô năm 1995."

Phone phreak

Thời kỳ đầu, việc giả số điện thoại gọi đến được thực hiện bởi những tổ chức

có khả năng truy cập các đường dây PRI (Primary Rate Interface) đắt tiền mà các công ty điện thoại cung cấp Công nghệ này được dùng chủ yếu để hiển thị số điện thoại chính của một doanh nghiệp trên mọi cuộc gọi đi Từ đầu những năm 2000, những “phone phreak” hay gọi tắt là phreak (chuyên gia tấn công các hệ thống điện thoại) bắt đầu sử dụng công nghệ Orange boxing để giả số điện thoại Thực chất của cách làm này là dùng một thiết bị (thường là một phần mềm trên máy tính) để gửi một chuỗi các tín hiệu đa tần (tone) trong những giây đầu tiên của cuộc gọi, giả làm tín hiệu báo số gọi đến của điện thoại

Tống tiền

Hacker tìm cách lấy trộm dữ liệu quan trọng của một cá nhân, tổ chức và sau

đó yêu cầu đòi tiền chuộc Vào những năm 1990, khoảng 300,000 bản ghi về thôngtin thẻ tín dụng được lưu trên website CD Universe đã bị "Maxus" – một thanh niên 19 tuổi người Nga đánh cắp

Sau nó anh này có gửi đi một thông điệp rằng: "Đưa cho tôi 100.000 đô, tôi sẽ vá lỗi website và quên đi việc mua sắp trên website của các bạn" CD Universe đã từ chối và kết cục là 25.000 thông tin thẻ đã được công khai

Song hành với việc quy định các loại tội phạm trong bộ luật hình sự, thì việc

hề đơn giản Hiện nay việc đấu tranh với các loại tội phạm trong lĩnh vực công nghệ thông tin và viễn thông diễn ra rất khó khăn Có rất ít, hoặc thậm chí không

có căn cứ pháp lý để khởi tố loại tội phạm này Tuy chỉ mới xuất hiện trong khoảngmột thập kỷ gần đây, nhưng do sự phát triển vượt bậc của khoa học công nghệ, đặcbiệt là mạng Internet, đã làm nảy sinh, tồn tại và phát triển nhanh chóng loại tội phạm này tại Việt Nam

Với bộ luật tố tụng hình sự hiện hành (năm 2003) có quy định Điều 64 Chứng cứ:

1 Chứng cứ là những gì có thật, được thu thập theo trình tự, thủ tục do Bộ luật này quy định mà Cơ quan điều tra, Viện kiểm sát và Toà án dùng làm căn cứ

để xác định có hay không có hành vi phạm tội, người thực hiện hành vi phạm tội cũng như những tình tiết khác cần thiết cho việc giải quyết đúng đắn vụ án

2 Chứng cứ được xác định bằng:

a) Vật chứng;

b) Lời khai của người làm chứng, người bị hại, nguyên đơn dân sự, bị đơn dân sự, người có quyền lợi, nghĩa vụ liên quan đến vụ án, người bị bắt, người bị tạm giữ, bị can, bị cáo;

c) Kết luận giám định;

d) Biên bản về hoạt động điều tra, xét xử và các tài liệu, đồ vật khác

Căn cứ vào Điều luật trên thì rất khó xác định chứng chứng cứ liên quan đếntội phạm máy tính Bởi những gì được coi là vật chứng thì nó tồn tại ở dạng dữ liệu số mang tính chất "ảo" không rõ hình dạng, tính chất Mặt khác kẻ phạm tội cóthể dễ dàng che dấu hành vi, và thực hiện các thao tác xóa dấu vết rất dễ dàng Vì vậy nếu chỉ đơn thuần coi vật chứng là những thứ có thể nhìn thấy bằng mắt, cảm nhận bằng tay thì rất khó có thể có một vật chứng có tính thuyết phục trong lĩnh vực tội phạm máy tính Xuất phát từ yêu cầu bức thiết này, trong bộ luật tố tụng hình sự năm 2015 có quy định một chi tiết rất quan trọng Khái niệm "dữ liệu điện tử" được xem là nguồn của chứng cứ (Điều 87 khoản 1 điểm c) Có thể nói đây là bước tiến quan trọng trong quá trình hoàn thiện quy chế pháp lý, một bước đi tạo