Pháp chứng kỹ thuật số - Bài 3: Quy trình điều tra pháp chứng kỹ thuật số - Đàm Quang Hồng Hải

Bài 3: Quy trỡnh điều tra phỏp chứng kỹ thuật sốGiảng viờn: TS. Đàm Quang Hồng HảiPHÁP CHỨNG KỸ THUẬT SỐQuy trỡnh điều tra phỏp chứng kỹ thuật số là gỡQuy trỡnh điều tra phỏp chứng kỹ thuật số là một quỏ trỡnh:Bảo tồn, xỏc nhận, xỏc định, phõn tớch, giải thớch, viết tài liệu và trỡnh bày của cỏc bằng chứng kỹ thuật số cú nguồn gốc từ cỏc dữ liệu điện tử cho cỏc mục đớch xõy dựng lại cỏc sự kiện để tỡm ra tội phạmGiỳp đỡ để phỏp chứng viờn dự đoỏn cỏc hành động trỏi phộp của tội phạm. Quy trỡnh điều tra phỏp chứng kỹ thuật số bao gồm cỏc thủ tục và kỹ thuật được sử dụng sẽ được cho phộp đưa kết quả ra trước tũa ỏn. Vớ dụ, một cuộc điều tra phỏp chứng kỹ thuật số cú thể được bắt đầu để trả lời một cõu hỏi về việc cú hay khụng quỏ trỡnh điều tra cỏc hỡnh ảnh kỹ thuật số thu được trờn một mỏy tớnh. Quy trỡnh điều tra phỏp chứng kỹ thuật sốVới Phỏp chứng viờn, một cuộc điều tra phỏp chứng kỹ thuật số thường bao gồm 4 giai đoạn: Tập hợp chứng cứ điều tra (Evidence), Xem xột dữ liệu hay cũn gọi là xem xột chứng cứ số (Acquisition), Phõn tớch chứng cứ (Analysis) Lập bỏo cỏo (Reporting)Tập hợp chứng cứ chuẩn bị điều traThực hiện việc mụ tả lại thụng tin chứng cứ thu thập, những gỡ đó xảy ra, cỏc dấu hiệu, để xỏc định phạm vi điều tra, mục đớch cũng như cỏc tài nguyờn cần thiết sẽ sử dụng trong suốt quỏ trỡnh điều tra.Biểu mẫu thu giữ cỏc tang vật mỏy tớnhHồ sơ thu giữ cỏc tang vật mỏy tớnhHồ sơ liờn quan đến cỏc thiết bị ngoại viThụng tin bằng chứng mỏy tớnh Bằng chứng số về CMOSBiểu mẫu bằng chứng trong đĩa cứngHồ sơ bằng chứng trong đĩa cứngBằng chứng về nội dung trong đĩa cứngTiếp nhận dữ liệu điện tửTạo ra cỏc bản sao chớnh xỏc cỏc sector hay cũn gọi là nhõn bản điều tra cỏc phương tiện truyền thụng, Xỏc định rừ cỏc nguồn dữ liệu điện tử sau đú thu thập và bảo vệ tớnh toàn vẹn của chứng cứ bằng việc sử dụng hàm băm mật mó.Vớ dụ quy trỡnh tiếp nhận chứng cứ sốPhõn tớch cỏc dữ liệu điện tửCỏc chuyờn gia sử dụng cỏc phương phỏp nghiệp vụ, cỏc kỹ thuật cũng như cụng cụ khỏc nhau để trớch xuất, thu thập và phõn tớch tỡm cỏc bằng chứng số.Cỏc cõu hỏi khi phõn tớch dữ liệu điện tửCỏc kiến thức mà người Phỏp chứng viờn phải biếtNgười Phỏp chứng viờn cần phải hiểu rừ cỏc tài liệu nghề nghiệp Phỏp chứng kỹ thuật số, cỏc tài liệu hướng dẫn từ cỏc cơ quan quản lý, cỏc quy định của phỏp luật trước khi phõn tớch cỏc dữ liệu điện tử.Người Phỏp chứng viờn cần phải hiểu rừ cỏc quy định về tội phạm mỏy tớnh để cú thể đề cập chớnh xỏc về hành vi của nghi phạm.Người Phỏp chứng viờn cần phải cú cỏc kiến thức về cỏc quy định nghề nghiệp chuyờn mụn cần thiết.Tài liệu nghề nghiệp Phỏp chứng kỹ thuật số Bộ tư phỏp Hoa Kỳ (DOJ ) ban hành tài liệu nghề nghiệp dành cho nghề Phỏp chứng kỹ thuật số: "Searching and Seizing Computers and Obtaining Electronic Evidence in Criminal Investigations”. Nội dung bao gồmTỡm kiếm bằng chứng mỏy tớnh khi khụng cú lệnh của tũa.Tỡm kiếm bằng chứng mỏy tớnh khi cú lệnh của tũa.Đạo luật lưu trữ truyền thụng Giỏm sỏt điện tử trong truyền thụng mạngCỏc vấn đề bằng chứng sốTài liệu nghề nghiệp Phỏp chứng kỹ thuật sốTài liệu nghề nghiệp dành cho nghề Phỏp chứng kỹ thuật số của Bộ Tư phỏp Hoa kỳTài liệu hướng dẫn từ cỏc cơ quan quản lý Tài liệu hướng dẫn của Bộ Tư phỏp Hoa kỳ cho cỏc cơ quan thực thi phỏp luật về điều tra cỏc Bằng chứng sốQuy định với tội pham mỏy tớnhHoa Kỳ là một nước đó cú ban hành một số luật liờn quan đến an toàn thụng tinBộ Tư Phỏp Hoa Kỳ (DOJ ) chia tội phạm mỏy tớnh thành cỏc loại riờng biệt, chủ yếu như sau:Tấn cụng trực tiếp vào một mạng mỏy tớnh hoặc thiết bị di động : hacking, virus, cỏc phần mềm độc hại Giả mạo danh tớnh, hoạt động giỏn điệp đỏnh cấp thụng tin, dữ liệu cụng ty, chớnh phủ Xõm nhập bất hợp phỏp vào lưu trữ hoặc thụng tin liờn lạc qua đường truyền điện tử.Lập bỏo cỏo phỏp chứng kỹ thuật sốSau khi thu thập được những chứng cứ cú giỏ trị và cú tớnh thuyết phục thỡ tất cả phải được tài liệu húa lại rừ ràng, chi tiết và viết bỏo cỏo lại cho bộ phận cú trỏch nhiệm xử lý chứng cứ thu được.Cụng việc viết bỏo cỏo bao gồm thu thập dữliệu, phõn tớch và đưa ra những suy luận logic, thụng thường đõy là bước cơ bản cho việc cỏc cấp cụng quyền đưa ra quyết định và hành động. Thế nào là một bản bỏo cỏo điều traBản bỏo cỏo là một văn bản trỡnh bày những dữ kiện và phõn tớch để chuyển tải thụng tin dưới dạng kiến thức.Cỏc kỹ năng viết bỏo cỏo cần phải được trau dồi bằng cỏch học cỏch viết bỏo cỏo, đặc biệt là cỏc bỏo cỏo chuyờn nghiệp như bỏo cỏo Phỏp chứng kỹ thuật số.Hiện nay đó cú những cụng cụ giỳp cho Phỏp chứng viờn tổng hợp thụng tin và giỳp viết cỏc bỏo cỏo phỏp chứng kỹ thuật số.Vớ dụ một bỏo cỏo điều tra trờn một laptopQuỏ trỡnh chuẩn bị viết bỏo cỏoPhỏp chứng viờn cần biết cỏch viết bỏo cỏo phỏp chứng kỹ thuật như thế nào cho hiệu quả hoặc sử dụng cỏc cụng cụ làm bỏo cỏo phỏp chứng kỹ thuật để cú một bản bỏo cỏo trỡnh bày hoặc "bỏn“ sản phẩm của mỡnh một cỏc tốt nhất.Khi viết một bỏo cỏo phỏp chứng kỹ thuật số, người Phỏp chứng viờn cần suy nghĩ kỹ về nội dung bỏo cỏo, phương phỏp và đối tượng sẽ đọc bỏo cỏo của mỡnh.Mục đớch của bản bỏo cỏo phỏp chứng sốNgười Phỏp chứng viờn cần phải hóy tự hỏi mỡnh ra lý do để mỡnh viết bỏo bỏo và mục đớch viết bản bỏo cỏo là gỡ, đối tượng nhận bỏo cỏo là ai, bỏo cỏo liờn quan đến một vụ ỏn (case) nào.Khi mục đớch của bản bỏo cỏo đó rừ ràng, người Phỏp chứng viờn cú thể xỏc định được mục tiờu để viết bỏo cỏo. Mục tiờu cần được nờu rừ trong bản bỏo cỏo và mục tiờu xỏc định chớnh xỏc về những gỡ mà Phỏp chứng viờn cần phải đạt được trong bỏo cỏo.Xỏc định phạm vi của bỏo cỏoPhạm vi của bỏo cỏo cần phải xỏc định căn cứ vào đối tượng sử dụng bỏo cỏo như cấp trờn, tũa ỏn Cung cấp dữ liệu(cỏc sự kiện), khụng phõn tớch hay bỡnh luận. Cung cấp thụng tin (dữ liệu và phõn tớch) liờn quan đến vụ ỏn cần giải quyết. Đề xuất quyết định dựa trờn cỏc bằng chứng số hay kiến thức tổng hợp. Trỡnh bày cỏch thức khởi xướng triển khai hành động liờn quan và đề xuất người thực hiện.Cấu trỳc bản bỏo cỏo phỏp chứng sốBỏo cỏo phỏp chứng số phải cú cỏc mức độ chi tiết lựa chọn đa dạng và nờn tỏch riờng cỏc phần trỡnh bầy bằng chứng số, phõn tớch và cỏc kết luận và kiến nghị.Cỏc bằng chứng số cú thể trỡnh bầy như cỏc bản phụ lục kốm theo bản bỏo cỏo. Trong cỏc phụ lục, thụng tin cú mức độ chi tiết cao nhất và hữu ớch đối với người cú nhu cầu tham khảo hoặc cỏc chuyờn gia.Cỏc kết luận và kiến nghị của Phỏp chứng viờn cơ bản thường dựa trờn những nhận định mang tớnh chủ quan, tuy nhiờn khi đọc cỏc phần trỡnh bầy bằng chứng số và phõn tớch thỡ người đọc cú thể tự hỡnh thành ý kiến riờng của mỡnh Vớ dụ bỏo cỏo điều tra chuyờn sõuVớ dụ bỏo cỏo điều tra chuyờn sõu (tiếp)Vớ dụ bỏo cỏo điều tra chuyờn sõu (tiếp)Trỡnh bầy cỏc bằng chứng số trong bỏo cỏoCần cú sự thống nhất trong cỏc bằng chứng số. Cỏc bằng chứng số và sự kiện đưa ra phải xỏc thực và được kiểm tra cẩn thận. Nếu cú điều gỡ khụng chắc chắn về bằng chứng số mà người Phỏp chứng viờn khụng thể xỏc minh thỡ cần nờu rừ trong bản bỏo cỏo. Bản bỏo cỏo của người Phỏp chứng viờn sử dụng cỏc bằng chứng số sai sẽ khụng cú giỏ trị, người Phỏp chứng viờn sẽ phải chịu trỏch nhiệm về phỏp lý đối với những thụng tin sai lạc.Phần mềm Forensic ToolkitForensic Toolkitđ (FTKđ) là một phần mềm phỏp chứng được phỏt triển bởi AccessData và được chấp nhận rộng rói trờn thế giới là một cụng cụ chuẩn cho phỏp chứng số Đặc trưng của phần mềm là cú thể trỡnh bầy cỏc thụng tin dưới dạng đồ họa và cho khả năng phõn tớch dữ liệu nhanhCú khả năng phỏ mó đa dạng và nhanh chúngCỏc khả năng phõn tớch mó độc caoBắt đầu một case trong Forensic Toolkit Vào thụng tin case chọn New Case, điều này cho phộp Phỏp chứng viờn cú thể lưu trữ nhiều case khỏc nhauLựa chọn cỏc tham số khi điều traPhỏp chứng viờn cú thể lựa chọn cỏc tham số của case và case tự động sinh ra dữ liệu phự hợp khi thực hiện điều tra, điều này rất cần thiết khi làm cỏc bỏo cỏo điều tra hay trỡnh bầy case trước tũa ỏnNhập cỏc bằng chứng sốPhỏp chứng viờn lựa chọn nhập cỏc bằng chứng số mà mỡnh thu thập như ảnh cỏc ổ đĩa (file ISO), USB . Forensic Toolkit sẽ thực hiện điều tra trờn cỏc bằng chứng cung cấpXem lại thụng tin và tiến hành xử lýPhỏp chứng viờn xem lại thụng tin của case trước khi bắt đầu cho mỏy tớnh xử lý cỏc bằng chứng.Tạo ra Bookmark và lựa chọn toolsPhỏp chứng viờn cú thể tạo ra Bookmark tương ứng với cỏc File và và lựa chọn tools để xử lý.Lựa chọn thụng tin sau xử lýPhỏp chứng viờn chọn cỏc file mà mỡnh muốn copy và xuất ra thư mục hoặc file, điều này cần thiết khi phỏt hiện ra cỏc file nhậy cảm.Lựa chọn thụng tin cần tỡm kiếm Phỏp chứng viờn cú thể chọn những thụng tin cần tỡm kiếm trong cỏc file bằng chứng để tỡm ra nhửng dữ liệu nhậy cảm Tạo bỏo cỏo về case trong Forensic Toolkit Phỏp chứng viờn nhập những thụng tin về case và cỏc yờu cầu in thụng tin trong bỏo cỏo cho phự hợp với yờu cầu của mỡnh.Tạo cỏc section trong bỏo cỏo và cỏc file bổ sung Tổng quỏt một bỏo cỏo trờn mỏy về FilePhõn tớch thụng tin trong bỏo cỏo Trong bỏo cỏo, người Phỏp chứng viờn cần phải phõn tớch trỡnh bày những thụng tin liờn quan đến vấn đề trong bỏo cỏo.Phõn tớch thụng tin phản ỏnh mục đớch rộng của bản bỏo cỏo, đặt ra vấn đề cần được giải quyết và nờu rừ những đúng gúp của bỏo cỏo vào việc giải quyết những vấn đề đú.Ở một số điểm khi phõn tớch, Phỏp chứng viờn cú thể cần đến cỏc thụng tin bằng chứng đểcủng cố lập luận của mỡnh và cần trỡnh bầy cỏc thụng tin bằng chứng này trong bỏo cỏo hoặc trong cỏc phụ lục. .Vớ dụ phần phõn tớch trong bỏo cỏoKết luận và kiến nghị trong bỏo cỏoSau khi phõn tớch trỡnh bày những thụng tin liờn quan đến vấn đề. Phỏp chứng viờn cần cú cỏc đỏnh giỏ và đưa ra kiến nghị (nếu cần thiết) về cỏc quyết định và hành động tiếp theo.Phỏp chứng viờn cú thể đưa ra cỏc đỏnh giỏ cỏc giải phỏp cú thể và đưa ra lựa chọn cỏc giải phỏp tối ưu.Cỏc kết luận và kiến nghị cú thể thường dựa trờn những nhận định cú tớnh chủquan của Phỏp chứng viờn.Vớ dụ phần kết luận bỏo cỏoHết bài 3