ĐẠI HỌC QUỐC GIA TP. HỒ CHÍ MINH
TRƯỜNG ĐẠI HỌC BÁCH KHOA
---------------------------------------
LÊ NGUYỄN KHÁNH DUY
CHỨNG CỨ ĐIỆN TỬ
THỰC TRẠNG VÀ ĐỊNH HƯỚNG
GIẢI PHÁP CÔNG NGHỆ TẠI VIỆT NAM
Ngành:
Mã số:
KHOA HỌC MÁY TÍNH
60.48.01.01
LUẬN VĂN THẠC SĨ
TP.HỒ CHÍ MINH, tháng 7 năm 2018
CÔNG TRÌNH ĐƯỢC HOÀN THÀNH TẠI
TRƯỜNG ĐẠI HỌC BÁCH KHOA –ĐHQG –HCM
Cán bộ hướng dẫn khoa học : TS. Phạm Quốc Cường
(Ghi rõ họ, tên, học hàm, học vị và chữ ký)
Cán bộ chấm nhận xét 1 : TS. Nguyễn Trần Hữu Nguyên
(Ghi rõ họ, tên, học hàm, học vị và chữ ký)
Cán bộ chấm nhận xét 2 : PGS. TS. Phan Công Vinh
(Ghi rõ họ, tên, học hàm, học vị và chữ ký)
Luận văn thạc sĩ được bảo vệ tại Trường Đại học Bách Khoa, ĐHQG Tp. HCM
ngày 18 tháng 07 năm 2018
Thành phần Hội đồng đánh giá luận văn thạc sĩ gồm:
(Ghi rõ họ, tên, học hàm, học vị của Hội đồng chấm bảo vệ luận văn thạc sĩ)
1. TS. Lê Thành Sách
2. TS. Lê Trọng Nhân
3. TS. Nguyễn Trần Hữu Nguyên
4. PGS. TS. Phan Công Vinh
5. TS. Lê Hồng Trang
Xác nhận của Chủ tịch Hội đồng đánh giá LV và Trưởng Khoa quản lý chuyên
ngành sau khi luận văn đã được sửa chữa (nếu có).
CHỦ TỊCH HỘI ĐỒNG
TRƯỞNG KHOA…………
ĐẠI HỌC QUỐC GIA TP.HCM
TRƯỜNG ĐẠI HỌC BÁCH KHOA
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
NHIỆM VỤ LUẬN VĂN THẠC SĨ
Họ tên học viên: LÊ NGUYỄN KHÁNH DUY ........................ MSHV: 7140226 ............
Ngày, tháng, năm sinh: 30/01/1989 ........................................... Nơi sinh: Tp.Hồ Chí Minh
Ngành: KHOA HỌC MÁY TÍNH ............................................ Mã số : 60.48.01.01 .......
I. TÊN ĐỀ TÀI:
Chứng cứ điện tử, thực trạng và định hướng giải pháp công nghệ tại Việt Nam ...............
.............................................................................................................................................
II. NHIỆM VỤ VÀ NỘI DUNG:
- Tìm hiểu tổng quan về chứng cứ điện tử.
- Tìm hiểu tình hình hiện tại về chứng cứ điện tử tại Việt Nam.
- Phân tích các công nghệ đang được sử dụng cho việc tìm kiếm và phân tích chứng cứ
điện tử.
- Đề xuất áp dụng các công nghệ và kỹ thuật phù hợp cho tình hình tại Việt Nam.
III. NGÀY GIAO NHIỆM VỤ : 10/07/2017 ...................................................................
IV. NGÀY HOÀN THÀNH NHIỆM VỤ: 18/07/2018....................................................
V. CÁN BỘ HƯỚNG DẪN: TS. Phạm Quốc Cường ......................................................
Tp. HCM, ngày . . . . tháng .. . . năm 20....
CÁN BỘ HƯỚNG DẪN
(Họ tên và chữ ký)
TRƯỞNG KHOA KH & KTMT
(Họ tên và chữ ký)
Lời cảm ơn
Đầu tiên em xin gửi lời cảm ơn chân thành nhất đến thầy TS. Phạm Quốc Cường.
Thầy dẫn dắt em từ những bước đi đầu tiên của đề tài, đưa ra những lời khuyên, đưa ra
những chỉ dẫn cho em trong suốt quá trình nghiên cứu. Nếu không có sự hướng dẫn
của thầy, đề tài này sẽ không thể có kết quả như hôm nay.
Em xin dành những sự tri ân chân thành và to lớn đến toàn thể quý thầy cô của Khoa
Khoa học và Kỹ thuật Máy tính mà em đang theo học. Nhờ những sự tận tình giảng
dạy, truyền đạt kiến thức và kinh nghiệm quý báu qua từng bài giảng mà em có thêm
được sự vun đắp, vững chắc trong vốn hiểu biết của mình, để từ đó làm nền tảng cho
em hoàn thành được đề tài ngày hôm nay.
Em cũng không quên bày tỏ lòng biết ơn đến gia đình, người thân của mình, những
người đã luôn quan tâm, động viên và chăm sóc em qua từng ngày để em có được sức
khỏe, tinh thần và môi trường phát triển, giúp em có được như ngày hôm nay. Cuối
cùng em xin cảm ơn những người bạn đã hỗ trợ, chia sẻ để em hoàn thành tốt được đề
tài này.
Với toàn bộ sự biết ơn sâu sắc đó, em xin gửi lời chúc đến mọi người đã giúp em làm
được những điều đến ngày hôm nay. Chúc cho mọi quý thầy cô, đặc biệt là những
người em đã nêu tên ở trên, của Khoa Khoa học và Kỹ thuật Máy tính luôn có được
một sức khỏe dồi dào để luôn hạnh phúc trong cuộc sống và có khả năng để cống hiến
thêm cho khoa, cho trường và cho thế hệ đi sau.
Trân trọng.
Tp. Hồ Chí Minh, 18/07/2018.
Tóm tắt nội dung
Với sự phát triển vượt bật của ngành công nghệ thông tin kết hợp với sự phổ biến của
Internet trên toàn cầu đã đem lại nhiều lợi ích lớn cho xã hội. Tuy nhiên, song song với
đó, tỷ lệ tội phạm mà có mục tiêu hay công cụ là các hệ thống máy tính cũng đã gia
tăng.
Sự xuất hiện của một loại hình tội phạm mới đó đã cho chúng ta những thách thức mới
về các phương pháp để xác định, thu thập, kiểm tra, phân tích, phục hồi cũng như diễn
dãi các chứng cứ điện tử trong quá trình tố tụng.
Thu thập chứng cứ điện tử một chủ đề nghiên cứu còn khá mới mẻ và đang dần được
sử dụng trong các quy trình điều tra máy tính, kỹ thuật phân tích, công cụ và phần
mềm để giúp chúng ta phát hiện và thu thập bằng chứng kỹ thuật số phù hợp để trình
bày tại tòa án.
Những nghiên cứu về ngành khoa học điều tra số này bao gồm sự kết hợp giữa các
kiến thức về công nghệ thông tin, khoa học dữ liệu, kiến trúc mạng, khoa học pháp y
hiện tại cũng như các vấn đề thách thức quan trọng liên quan đến an ninh và mật mã
máy tính.
Trong nghiên cứu này, chúng ta tìm hiểu và thảo luận để giải quyết những vướng mắt
hiện tại và đưa ra các đề xuất về các công cụ, phần mềm và công nghệ mà chúng ta có
thể sử dụng để điều tra bằng chứng kỹ thuật số hiệu quả hơn ở Việt Nam.
Theo luật pháp Việt Nam, bằng chứng kỹ thuật số hiện nay có thể được sử dụng trong
quá trình tố tụng. Do đó, nghiên cứu về máy tính và pháp y mạng là một chủ đề quan
trọng trong việc áp dụng kiến thức an ninh, máy tính và mạng để xây dựng một xã hội
tốt hơn.
Abstract
With the popularity of the Internet and related information technology all over the
world, there is an increase the number of criminals who use computing devices such as
a computer to commit their crimes that involve digital data.
These digital crimes imposed to us the new challenges on how to identify, prepare,
collect, examine, analyze and present corresponding offences. After a system has been
breached or an intrusion has been detected, there is a need for a digital investigation
process to follow.
Computer and network forensics are parts of digital forensics, an emerging research
topic that is utilized in computer investigation processes, analysis techniques, tools,
and software to help us detect and gather digital evidence suitable for presentation in
courts.
These new research directions combine the knowledge of information technology, data
science, network architecture, forensic science, and many significant challenging
problems related to computer security and cryptography. They are not easy and yet to
be solved.
In this paper, we present and discuss these issues along with our suggestions for tools,
software, and technologies that we can use for investigating digital evidence more
efficiently in Vietnam.
According to Vietnam laws, the digital evidence currently can be used in proceedings
process. We believe that computer and network forensics research is an essential topic
in applying security, computer, and network knowledge to build a better society.
Lời cam đoan
Học viên xin cam đoan rằng mọi thông tin và công việc được trình bày trong bài báo
cáo này ngoài việc tham khảo các nguồn tài liệu khác có ghi đầy đủ trong phần phụ lục
các tài liệu tham khảo, các nội dung còn lại thì đều do chính học viên thực hiện. Nếu
có bất kì sai phạm hay gian lận nào, học viên xin chịu hoàn toàn trách nhiệm trước
Ban Chủ Nhiệm Khoa và Ban Giám Hiệu Nhà Trường.
Tp. Hồ Chí Minh, ngày 18 tháng 07 năm 2018
Học viên thực hiện đề tài
Lê Nguyễn Khánh Duy
Mục lục
Chương 1: Chứng cứ điện tử và thực trạng về chứng cứ điện tử ở Việt Nam ................................................1
1.1 Chứng cứ điện tử ...................................................................................................................................4
1.2 Các bước trong quá trình thu thập chứng cứ điện tử ...........................................................................7
1.3 Sự cần thiết của quy trình thu thập chứng cứ điện tử ..........................................................................9
1.4 Chứng cứ điện tử trong quá khứ, hiện tại và tương lai .........................................................................9
Chương 2: Điều tra máy tính (computer forensics) ...................................................................................... 12
2.1 Hoạt động cơ bản của máy tính .......................................................................................................... 12
2.2 Thu thập chứng cứ trên các thiết bị lưu trữ dài hạn .......................................................................... 16
2.2.1 Một số chuẩn giao tiếp thường gặp............................................................................................. 17
2.2.2 Cấu trúc ổ cứng HDD .................................................................................................................... 20
2.2.3 Cấu trúc ổ cứng SSD ..................................................................................................................... 28
2.2.4 Một số loại RAID thông dụng ....................................................................................................... 32
2.2.5 Cấu trúc lưu trữ hệ thống (filesystem) ........................................................................................ 39
2.2.6 Cấu trúc tập tin ............................................................................................................................ 40
2.2.7 Công cụ chống ghi ........................................................................................................................ 41
2.2.8 Công cụ phục hồi .......................................................................................................................... 46
2.2.9 Công cụ sao lưu ổ đĩa thành dạng hình ảnh ................................................................................ 61
2.3 Thu thập chứng cứ tr n bộ nhớ tạm thời RAM .................................................................................. 63
2.3.1 ag il và ib rnate .................................................................................................................. 64
2.3.2 Belkasoft RAM Capturer .............................................................................................................. 66
2.3.3 DumpIT ......................................................................................................................................... 66
2.3.4 AccessData FTK Imager ................................................................................................................ 67
2.3.5 DMA ............................................................................................................................................. 67
2.3.6 Volatility ....................................................................................................................................... 72
Chương 3: Điều tra mạng (network forensics) ............................................................................................. 76
3.1 Network TAPS ..................................................................................................................................... 76
3.2 Wireshark/TCPDump .......................................................................................................................... 77
3.3 Snort/Suricata hay các hệ thống an ninh mạng .................................................................................. 78
3.4 Logs ..................................................................................................................................................... 79
Chương 4: Quy trình tiếp cận thu thập chứng cứ điện tử ............................................................................ 82
4.1 Máy tính vật lý .................................................................................................................................... 82
4.1.1 Hệ thống máy tính đang vận hành bình thường.......................................................................... 82
4.1.2 Hệ thống máy tính đã bị tắt ......................................................................................................... 84
4.2 Hệ thống ảo hóa.................................................................................................................................. 86
4.3 Hệ thống mạng.................................................................................................................................... 88
4.4 Trích xuất dữ liệu ................................................................................................................................ 88
4.6 Thuyết minh dữ liệu ............................................................................................................................ 90
Chương 5: Kết luận ....................................................................................................................................... 91
Chương 6: Tài liệu tham khảo ....................................................................................................................... 92
Danh sách hình ảnh
Hình 1.1: Dạng tương tự (analog) [3] ....................................................................................5
Hình 1.2: Dạng kỹ thuật số (digital) [4] .................................................................................5
Hình 2.1: Các tiến trình đang chạy ......................................................................................13
Hình 2.2: Xem dữ liệu vùng nhớ .........................................................................................14
Hình 2.3: Danh sách các kết nối ..........................................................................................14
Hình 2.4: Các câu lệnh từng được thực thi ..........................................................................15
Hình 2.5: Danh sách khóa giải mã BitLocker ......................................................................15
Hình 2.6: Thiết bị lưu trữ NAS ............................................................................................16
Hình 2.7: Giao tiếp IDE .......................................................................................................17
Hình 2.8: Giao tiếp SATA ...................................................................................................18
Hình 2.9: Giao tiếp SCSI [5] ................................................................................................ 18
Hình 2.10: Giao tiếp M2 ......................................................................................................19
Hình 2.11: Giao tiếp NVMe (PCIe) .....................................................................................19
Hình 2.12: Giao tiếp SDIO ..................................................................................................19
Hình 2.13: HDD với 7 phiến đĩa xếp chồng nhau ...............................................................21
Hình 2.14: Mô tơ phiến đĩa ..................................................................................................21
Hình 2.15: Bộ đầu đọc/ghi của 1 HDD sử dụng 5 phiến đĩa ...............................................22
Hình 2.16: Đầu đọc/ghi với bộ điều khiển cơ học ...............................................................22
Hình 2.17: Đầu đọc/ghi hoạt động với phiến đĩa .................................................................23
Hình 2.18: Mạch điều khiển .................................................................................................24
Hình 2.19: Hình ảnh bảng các module trong Service Area .................................................26
Hình 2.20: Minh họa Host Protected Area ...........................................................................27
Hình 2.21: Minh họa Device Configuration Overlay ..........................................................28
Hình 2.22: Hình ảnh bên trong 1 chủng loại SSD thông dụng ............................................29
Hình 2.23: Thao tác ánh xạ địa chỉ của SSD .......................................................................31
Hình 2.24: Tính năng TRIM được kích hoạt .......................................................................31
Hình 2.25: Minh họa RAID .................................................................................................32
Hình 2.26: Minh họa RAID-0 ..............................................................................................33
Hình 2.27: Minh họa RAID-1 ..............................................................................................34
Hình 2.28: Minh họa RAID-10 và RAID-01 .......................................................................35
Hình 2.29: Minh họa RAID-5 ..............................................................................................36
Hình 2.30: Cách tính parity block của RAID-5 ...................................................................36
Hình 2.31: Minh họa RAID-6 ..............................................................................................37
Hình 2.32: Cách tính parity block của RAID-6 ...................................................................37
Hình 2.33: Minh họa cấu trúc tập tin BMP ..........................................................................40
Hình 2.34: Cấu trúc tập tin thực thi của Windows...............................................................41
Hình 2.35: Phần mềm SAFE Block .....................................................................................42
Hình 2.36: Tableau Forensic FireWire Bridge T9 ...............................................................43
Hình 2.37: Tableau Forensic SATA/IDE Bridge T35u .......................................................44
Hình 2.38: Tableau Forensic SAS Bridge T6u ....................................................................45
Hình 2.39: Tableau Forensic PCIe Bridge T7u ...................................................................45
Hình 2.40: Tableau Forensic USB 3.0 Bridge T8u ..............................................................46
Hình 2.41: Tableau Forensic Universal Bridge T356789iu .................................................46
Hình 2.42: PC-3000 Express ................................................................................................ 49
Hình 2.43: PC-3000 UDMA ................................................................................................ 49
Hình 2.44: PC-3000 SAS/SCSI ...........................................................................................50
Hình 2.45: PC-3000 Portable ...............................................................................................50
Hình 2.46: ộ công cụ hỗ trợ kết nối tới firmware của ổ đĩa ..............................................51
Hình 2.47: Khôi phục dữ liệu trên ổ đĩa HDD kết nối SATA .............................................51
Hình 2.48: Các phiên bản Data Extractor ............................................................................52
Hình 2.49: Phân tích cấu trúc phân v ng của ổ đĩa .............................................................53
Hình 2.50: Phân tích cấu trúc dữ liệu trên các phân v ng ...................................................53
Hình 2.51: Xem cấu trúc dữ liệu ..........................................................................................54
Hình 2.52: Khôi phục dữ liệu trên ổ đĩa bị hư hỏng ............................................................54
Hình 2.53: Tự động nhận dạng chủng loại và thứ tự RAID ................................................55
Hình 2.54: Tái hiện cấu trúc dữ liệu luận l trên RAID ......................................................55
Hình 2.55: T y chọn giải pháp truy vấn dữ liệu trên các ổ đĩa bị hư hỏng vật l ...............56
Hình 2.56: Xử l các lỗi trên v ng Service Area .................................................................56
Hình 2.57: Ổ đĩa bị khóa bởi mật kh u ................................................................................57
Hình 2.58: Mật kh u sau khi được PC-3000 giải mã ...........................................................57
Hình 2.59: Ổ đĩa trước khi mở HPA ....................................................................................58
Hình 2.60: Mở HPA .............................................................................................................58
Hình 2.61: Ổ đĩa sau khi đã mở HPA ..................................................................................59
Hình 2.62: Dữ liệu được n trong vùng HPA ......................................................................59
Hình 2.63: Kích hoạt SafeMode của SSD để vô hiệu hóa TRIM 2.2.3 ............................60
Hình 2.64: Kích hoạt thành công chế độ SafeMode của SSD .............................................60
Hình 2.65: Sao lưu ảnh đĩa sử dụng dd của linux ................................................................ 61
Hình 2.66: Sao lưu ảnh đĩa với Partition Image...................................................................62
Hình 2.67: Tableau Forensic Duplicator (TD2u) .................................................................62
Hình 2.68: Tableau Forensic Imager (TD3).........................................................................63
Hình 2.69: Tableau Forensic Imager TX1 ...........................................................................63
Hình 2.70: Tính năng ngủ đông trên Windows ....................................................................65
Hình 2.71: Phần mềm elkasoft RAM Capturer .................................................................66
Hình 2.72: Phần mềm DumpIT ............................................................................................67
Hình 2.73: Minh họa FTK Imager .......................................................................................67
Hình 2.74: Cơ chế DMA ......................................................................................................69
Hình 2.75: Đọc dữ liệu trên ổ đĩa với DMA ........................................................................69
Hình 2.76: Tương tác GPU và FPGA qua DMA .................................................................70
Hình 2.77: Minh họa PCILeech ...........................................................................................71
Hình 2.78: Cổng M2 hỗ trợ DMA .......................................................................................71
Hình 2.79: Cổng ThunderBolt hỗ trợ DMA ........................................................................72
Hình 2.80: Minh họa cơ bản Volatility ................................................................................73
Hình 2.81: Một số các câu lệnh thường dùng trong Volatility ............................................74
Hình 2.82: Một số các câu lệnh thường dùng trong Volatility ............................................75
Hình 3.1: Minh họa Network TAPS ....................................................................................77
Hình 3.2: Minh hoạ TCPDump ............................................................................................77
Hình 3.3: Minh họa Wireshark ............................................................................................78
Hình 3.4: Minh họa cảnh báo từ hệ thống an ninh mạng .....................................................79
Hình 3.5: Minh họa Logs của một dịch vụ Web ..................................................................80
Hình 3.6: Minh họa Logs dịch vụ DNS ...............................................................................80
Hình 4.1: Phần mềm trích xuất dữ liệu chuyên dụng Osforensics.......................................90
Danh sách bảng
Bảng 2.1: Các FileSystem thông dụng .................................................................................40
Chương 1: Chứng cứ điện tử và thực trạng về
chứng cứ điện tử ở Việt Nam
Chúng ta đang vận động trong kỷ nguyên số, thời đại mà mạng lưới Internet đã phát
triển hoàn thiện và vươn trải kết nối toàn cầu giúp cho việc giao tiếp giữa mọi người
trong xã hội trở nên đơn giản và nhanh chóng. Các ngành nghề dịch vụ trong xã hội
cũng đang dần áp dụng các giải pháp công nghệ vào quy trình giúp tăng năng suất
lao động cũng như giảm các chi phí vận hành trong hoạt động sản xuất.
Trong cuộc sống hàng ngày, chúng ta cũng có thể dễ dàng thấy được mức độ phổ
biến, quan trọng của mạng Internet và các hệ thống máy tính thông qua các hoạt
động như tương tác với bạn bè, tổ chức các cuộc họp trực tuyến, hội nghị trực
tuyến, các giao dịch mua bán trực tuyến trên các trang thương mại điện tử, ký kết
hợp đồng điện tử, giao dịch với hệ thống ngân hàng điện tử...
Ngoài ra, chính phủ Việt Nam và các doanh nghiệp nhà nước cũng đang từng bước
chuyển mình, tự đổi mới trong cách quản l và tương tác với người dân như chúng
ta đã có thể tra cứu mã số thuế cá nhân trực tuyến, thanh toán hóa đơn tiền điện tiền
nước trực tuyến.
Điển hình nhất là theo nghị quyết 112/NQ-CP được ban hành tại Hà Nội ngày 30
tháng 10 năm 2017 do Thủ Tướng Nguyễn Xuân Phúc đã k về việc đơn giản hóa
thủ tục hành chính, giấy tờ công dân liên quan đến quản l dân cư thuộc phạm vi
chức năng quản l nhà nước của Bộ Công An, theo đó đã cho phép và bổ sung cách
thức thực hiện nhiều loại thủ tục thông qua các hệ thống dịch vụ công trực tuyến.
Như vậy, trong tương lai, hầu hết các giao dịch công và dữ liệu của chúng ta cũng
sẽ được lưu hành và quản lý trực tuyến.
Ở trong ngành công nghiệp tri thức như hiện nay, tư liệu sản xuất chính là các phần
mềm, dữ liệu, tập tin, văn bản được sao lưu trên các hệ thống máy tính của nhà
nước, doanh nghiệp cũng như cá nhân. Nó chính là tài sản quan trọng của mỗi
1
doanh nghiệp, mỗi cá nhân. Các giao dịch trực tuyến cũng ngày càng mang nhiều
giá trị cao.
Tuy nhiên, trong thời gian gần đây, số lượng tội phạm công nghệ cao ngày càng gia
tăng cũng như diễn biến theo xu hướng ngày càng phức tạp. Theo ông Minh Tiến
[1], báo Công An Nhân Dân, viết ngày 29 tháng 12 năm 2016, “Có thể nói 2016 là
một năm mà lực lượng phòng chống tội phạm sử dụng công nghệ cao thực sự rất vất
vả để đấu tranh với tội phạm mạng. Hàng loạt thủ đoạn cũ mới đan xen như gọi điện
thoại giả danh, lừa đảo thông qua kết bạn qua mạng xã hội; "phishing" đánh cắp tài
khoản để chiếm đoạt tài sản… đã được phát hiện, làm rõ” và “Cơ quan Công an
đánh giá 2017 tiếp tục là một năm mà các cá nhân, tổ chức phải đối mặt với nhiều
nguy cơ, thách thức của các loại tội phạm công nghệ cao trên mạng Internet.”. Cũng
tại trang báo trên đã trích dẫn báo cáo của trung tâm Ứng cứu kh n cấp máy tính
Việt Nam VNCERT, theo đó, trong năm 2015 đã diễn ra 5898 sự cố lừa đảo, 8850
sự cố thay đổi giao diện, 16837 sự cố mã độc và ghi nhận được 1451997 lượt địa
chỉ IP cả nước bị nhiễm mã độc.
Tại Việt Nam, theo Khoản 1 điều 3 Nghị đinh số 25/2014/NĐ-CP của Chính phủ
ngày 07 tháng 4 năm 2014 đã quy định “Tội phạm có sử dụng công nghệ cao là
hành vi nguy hiểm cho xã hội được quy định trong Bộ luật Hình sự có sử dụng công
nghệ cao”. Nhìn một cách tổng thể, ta có thể thấy được tội phạm công nghệ cao
thường sử dụng công nghệ thông tin, hệ thống máy tính và mạng máy tính để thực
hiện hành vi phạm tội của chúng. Về cơ bản, ta có thể phân chia loại tội phạm công
nghệ cao dựa theo cách thức và mục tiêu mà chúng thực hiện hành vi phạm tội.
Loại thứ nhất là nhóm các tội phạm thực hiện hành vi phạm tội với mục tiêu chính
là các hệ thống máy tính, mạng máy tính và các thiết bị liên quan thông qua các
hình thức như phát tán mã độc nhằm mục tiêu đánh cắp hoặc phá hoại dữ liệu, tấn
công từ chối dịch vụ hoặc thay đổi giao diện trang web với mục tiêu triệt hạ danh
dự đối thủ...
2
Loại thứ hai là nhóm các tội phạm sử dụng hệ thống máy tính, mạng máy tính và
các thiết bị liên quan nhằm mục đích gia tăng mức độ hiệu quả của quá trình thực
hiện hành vi phạm tội như đe dọa quấy rối người dùng mạng. Lừa đảo nhằm chiếm
đoạt thông tin cá nhân, thông tin nhạy cảm thậm chí tài sản của nạn nhân. Phát tán
các thông điệp, thông tin lừa đảo, sai sự thật gây hoang mang dư luận trong quần
chúng nhân dân sử dụng mạng. Thực thi các hình thức chiến tranh thông tin mang
yếu tố và mục tiêu chính trị như xuyên tạc chống phá, nói xấu bôi nhọ hình ảnh cán
bộ, chính quyền và nhà nước Việt Nam.
Như vậy, theo cách phân loại trên, chúng ta hình thành nên hai loại tội phạm công
nghệ cao cơ bản đó là loại tội phạm có mục tiêu phạm tội hướng tới các hệ thống
máy tính, mạng máy tính và loại tội phạm sử dụng hệ thống máy tính, mạng máy
tính là công cụ để thực hiện hành vi phạm tội.
Do đây là loại tội phạm mới phát sinh trong kỷ nguyên số với nhiều đặc tính đặc thù
phi truyền thống với khả năng phạm tội rất rộng và có tính chất xuyên quốc gia, nên
công tác giải quyết các vụ án liên quan đến tội phạm có sử dụng công nghệ cao để
thực hiện hành vi phạm tội cũng như việc hợp tác với các cơ quan chức năng liên
quan thường gặp một số vấn đề khó khăn như [2]:
-
Các đối tượng sử dụng thông tin giả để liên hệ với nhau cũng như trong quá
trình thực hiện hành vi phạm tội nên rất khó để xác định được nhân dạng
chính xác của đối tượng. Khi đã xác định được nhân dạng của đối tượng thì
việc chứng minh được đối tượng đã từng sử dụng thông tin giả này để thực
hiện hành vi phạm tội cũng sẽ gặp rất nhiều khó khăn.
-
Nhiều trường hợp đối tượng thông qua internet đã cấu kết với các đối tượng
khác sinh sống ở nước ngoài để thực hiện hành vi phạm tội của mình. Do
thông qua internet nên hầu hết các chứng cứ đều là các dạng tập tin lưu trữ
trên máy tính và trên mạng nên khi bị phát hiện, đối tượng có thể dễ dàng
nhanh chóng sửa hoặc xóa để tuy hủy chứng cứ.
3
-
Rất nhiều trường hợp đối tượng đã thực hiện hành vi phạm tội thông qua các
máy chủ trung gian đặt tại nước ngoài hoặc có thể lợi dụng các hệ thống
phần mềm không được bảo mật tốt, lừa đảo đánh cắp mật kh u để tấn công
và sử dụng các hệ thống máy tính của cá nhân, tổ chức bình thường nào đó
như là một máy trung gian để thực hiện hành vi phạm tội của chúng. Do đó,
để xác định được chính xác đối tượng đã thực hiện hành vi phạm tội cũng
như chứng minh hành vi phạm tội đó trong tình huống này sẽ gặp rất nhiều
khó khăn.
-
Sau khi đã xác định được đối tượng thì quá trình điều tra cũng như thu thập
chứng cứ của vụ án như đã đề cập bên trên cũng sẽ gặp phải nhiều khó khăn
do hầu hết chứng cứ chỉ xác định được trên cơ sở lời khai của nạn nhân, đối
tượng và các thông tin từ các hệ thống máy tính, mạng máy tính.
Thông qua các vấn đề trên, ta có thể nhận thấy được tầm quan trọng của ngành khoa
học điều tra số, mà trong đó công tác thu thập chứng cứ điện tử là bước đầu tiên và
cực kỳ quan trọng trong công tác tố tụng hình sự cũng như dân sự sau này. Để có
thể thu thập được một cách đầy đủ nhất, chính xác nhất, khách quan nhất và bảo
quản hợp lý nhất thì chúng ta cần phải hiểu rõ các khái niệm, bản chất và tính chất
của chứng cứ điện tử là gì.
1.1 Chứng cứ điện tử
Bộ luật tố tụng hình sự năm 2015 [3] được Quốc hội nước Cộng hòa xã hội chủ
nghĩa Việt Nam khóa XIII, kỳ họp thứ 10 được thông qua vào ngày 27 tháng 11
năm 2015, theo điều 87 “Nguồn chứng cứ” đã công nhận “Dữ liệu điện tử” là có giá
trị pháp lý như các nguồn chứng cứ và có thể được d ng để làm căn cứ trong quá
trình giải quyết vụ án. Bộ luật này cũng đã định nghĩa ở điều 99 “Dữ liệu điện tử”
về dữ liệu điện tử như sau:
-
“1. Dữ liệu điện tử là ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc
dạng tương tự được tạo ra, lưu trữ, truyền đi hoặc nhận được bởi phương tiện
điện tử.”
4
-
“2. Dữ liệu điện tử được thu thập từ phương tiện điện tử, mạng máy tính,
mạng viễn thông, trên đường truyền và các nguồn điện tử khác.”
-
“3. Giá trị chứng cứ của dữ liệu điện tử được xác định căn cứ vào cách thức
khởi tạo, lưu trữ hoặc truyền gửi dữ liệu điện tử; cách thức bảo đảm và duy
trì tính toàn vẹn của dữ liệu điện tử; cách thức xác định người khởi tạo và các
yếu tố phù hợp khác.”
Chứng cứ điện tử mang tính chất trừu tượng cao, về khía cạnh vật lý, dữ liệu điện tử
chỉ là sự thể hiện trạng thái của các phần tử vật chất như là trạng thái dao động của
các loại sóng điện từ ở dạng tượng tự (analog, Hình 1.1) hay trạng thái tồn tại có (1)
hoặc không (0) trong dạng kỹ thuật số (digital, Hình 1.2) theo thời gian.
Hình 1.1: Dạng tương tự (analog) [4]
Hình 1.2: Dạng kỹ thuật số (digital) [5]
5
Còn ở khía cạnh máy tính, dữ liệu điện tử sẽ được biểu diễn thành những dạng mà
con người có thể nhìn thấy được, nghe thấy được và tương tác được như các k
hiệu, chữ viết, chữ số, các tập tin hình ảnh, các tập tin âm thanh, các tập tin video...
Các dữ liệu điện tử này được tạo ra, truyền đi và lưu trữ bởi các phương tiện điện tử
dưới sự tương tác của con người. Trong quá trình sử dụng và tương tác với các
phương tiện điện tử nói chung và các hệ thống máy tính nói riêng, chắc chắn rằng
con người sẽ để lại những dấu vết dưới dạng dữ liệu điện tử trên các phương tiện đó
như lịch sử nhắn tin khi chúng ta thực hiện các hành vi gởi nhận tin nhắn, nhật ký
cuộc gọi khi chúng ta thực hiện hay nhận các cuộc gọi, lịch sử các trang web đã vào
khi ta lướt web, lịch sử đăng nhập cũng như lịch sử các hành vi được lưu lại trên
máy chủ của nhà cung cấp dịch vụ ) mà chúng ta thực hiện khi kiểm tra hay gởi thư
điện tử... và tất cả các dữ liệu điện tử đó đều rất có giá trị và có thể được dùng như
là một nguồn chứng cứ có giá trị pháp lý khi xảy ra vụ án.
Dữ liệu điện tử có thể được chia khái quát ra thành 2 dạng:
-
Dữ liệu điện tử do người sử dụng, vận hành hệ thống điện tử chủ đích tạo ra.
Ví dụ như các tập tin văn bản (word), các bảng tính (excel), các tập tin trình
diễn (powerpoint), các thư điện tử (email), các hình ảnh và video do con
người tự tạo ra thông qua phần mềm máy tính hoặc thông qua các thiết bị
điện tử khác như máy ảnh cá nhân hay điện thoại thông minh... đều có giá trị
trong việc chứng minh nguồn gốc dữ liệu cũng như về người đã tạo ra các dữ
liệu đó.
-
Dữ liệu điện tử do các phương tiện điện tử tự động tạo ra dưới sự tương tác
điều khiển của con người như “Cookies”, “URL”, “History”, “Email Logs”,
“Event Logs”, “WebServer Logs”, “Firewall Logs”, “Proxy Logs”, các thông
tin về địa chỉ IP, cổng kết nối... Các dữ liệu này đều có giá trị trong việc
chứng minh sự tương tác của con người với các phương tiện điện tử, hệ
thống máy tính.
Từ các tính chất và đặc điểm đặc trưng như đã nêu ở trên của dữ liệu điện tử, ta
cũng có thể thấy được là dữ liệu điện tử có thể dễ dàng bị tác động do cố ý hoặc vô
ý như sửa chữa, thay đổi, phá hủy trong quá trình lưu trữ, sao chép cũng như truyền
6
tải, và không những thế, dữ liệu điện tử cũng có thể dễ dàng được được ngụy tạo ra.
Ngoài ra còn có nhiều các tình huống khác như bị nhiễm mã độc máy tính, phần
cứng hư hỏng, lỗi phần mềm, phương pháp truy xuất, truyền tải lên mạng hay bị mã
hóa...
1.2 Các bước trong quá trình thu thập chứng cứ điện tử
Xác định chứng cứ điện tử
Để phục vụ cho công tác phân loại dữ liệu điện tử nào có thể được sử dụng để
làm chứng cứ điện tử ở công đoạn tiếp theo, chúng ta cần nắm rõ được dữ liệu
điện tử có thể tồn tại ở những dạng nào, ở đâu, tính chất và phương pháp thu
thập như thế nào ở từng trường hợp cụ thể nhằm thu thập được một cách đầy đủ
nhất, hạn chế tối đa khả năng bỏ qua, thu thập sót hoặc sai dữ liệu điện tử. Việc
thu thập không đầy đủ hoặc thiết chính xác dữ liệu điện tử sẽ gây khó khăn nhất
định cho các công đoạn tiếp theo của quá trình điều tra và phân tích sau này.
Thu thập chứng cứ điện tử
Sau khi đã biết được chứng cứ điện tử có thể nằm ở đâu, công việc tiếp theo là
thu thập chúng. Với sự đa dạng về chủng loại thiết bị cũng như cơ chế vận hành
đòi hỏi ta cần có nhiều giải pháp khác nhau trong quá trình thu thập chứng cứ
điện tử. Cũng do tính chất của chứng cứ điện tử cần sự toàn vẹn của dữ liệu
được thu thập nên ta cần phải áp dụng các công nghệ phù hợp ứng với từng điều
kiện cụ thể nhằm đảm bảo dữ liệu được thu thập để sử dụng làm chứng cứ điện
tử là nguyên vẹn, khách quan và kiểm chứng được.
Phục hồi chứng cứ điện tử
Các đối tượng sử dụng công nghệ cao để thực hiện hành vi phạm tội đều có sự
am hiểu về công nghệ và luôn luôn ý thức được việc làm của mình là vi phạm
pháp luật nên chúng rất chú đến việc tiêu hủy các dữ liệu có thể được dùng
làm chứng cứ để chứng minh hành vi phạm tội của chúng.
Do đó, trong nhiều trường hợp, đối tượng đã kịp xóa bỏ hoặc phá hủy các dữ
liệu có thể được sử dụng để làm chứng cứ điện tử. Trong các tình huống như
thế này, ta cần có các giải pháp công nghệ để khôi phục lại các dữ liệu này phục
vụ cho bước khai thác chứng cứ điện tử ở các giai đoạn sau.
7
- Xem thêm -