Tài liệu Chứng cứ điện tử thực trạng và định hướng giải pháp công nghệ tại việt nam

ĐẠI HỌC QUỐC GIA TP. HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC BÁCH KHOA --------------------------------------- LÊ NGUYỄN KHÁNH DUY CHỨNG CỨ ĐIỆN TỬ THỰC TRẠNG VÀ ĐỊNH HƯỚNG GIẢI PHÁP CÔNG NGHỆ TẠI VIỆT NAM Ngành: Mã số: KHOA HỌC MÁY TÍNH 60.48.01.01 LUẬN VĂN THẠC SĨ TP.HỒ CHÍ MINH, tháng 7 năm 2018 CÔNG TRÌNH ĐƯỢC HOÀN THÀNH TẠI TRƯỜNG ĐẠI HỌC BÁCH KHOA –ĐHQG –HCM Cán bộ hướng dẫn khoa học : TS. Phạm Quốc Cường (Ghi rõ họ, tên, học hàm, học vị và chữ ký) Cán bộ chấm nhận xét 1 : TS. Nguyễn Trần Hữu Nguyên (Ghi rõ họ, tên, học hàm, học vị và chữ ký) Cán bộ chấm nhận xét 2 : PGS. TS. Phan Công Vinh (Ghi rõ họ, tên, học hàm, học vị và chữ ký) Luận văn thạc sĩ được bảo vệ tại Trường Đại học Bách Khoa, ĐHQG Tp. HCM ngày 18 tháng 07 năm 2018 Thành phần Hội đồng đánh giá luận văn thạc sĩ gồm: (Ghi rõ họ, tên, học hàm, học vị của Hội đồng chấm bảo vệ luận văn thạc sĩ) 1. TS. Lê Thành Sách 2. TS. Lê Trọng Nhân 3. TS. Nguyễn Trần Hữu Nguyên 4. PGS. TS. Phan Công Vinh 5. TS. Lê Hồng Trang Xác nhận của Chủ tịch Hội đồng đánh giá LV và Trưởng Khoa quản lý chuyên ngành sau khi luận văn đã được sửa chữa (nếu có). CHỦ TỊCH HỘI ĐỒNG TRƯỞNG KHOA………… ĐẠI HỌC QUỐC GIA TP.HCM TRƯỜNG ĐẠI HỌC BÁCH KHOA CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc NHIỆM VỤ LUẬN VĂN THẠC SĨ Họ tên học viên: LÊ NGUYỄN KHÁNH DUY ........................ MSHV: 7140226 ............ Ngày, tháng, năm sinh: 30/01/1989 ........................................... Nơi sinh: Tp.Hồ Chí Minh Ngành: KHOA HỌC MÁY TÍNH ............................................ Mã số : 60.48.01.01 ....... I. TÊN ĐỀ TÀI: Chứng cứ điện tử, thực trạng và định hướng giải pháp công nghệ tại Việt Nam ............... ............................................................................................................................................. II. NHIỆM VỤ VÀ NỘI DUNG: - Tìm hiểu tổng quan về chứng cứ điện tử. - Tìm hiểu tình hình hiện tại về chứng cứ điện tử tại Việt Nam. - Phân tích các công nghệ đang được sử dụng cho việc tìm kiếm và phân tích chứng cứ điện tử. - Đề xuất áp dụng các công nghệ và kỹ thuật phù hợp cho tình hình tại Việt Nam. III. NGÀY GIAO NHIỆM VỤ : 10/07/2017 ................................................................... IV. NGÀY HOÀN THÀNH NHIỆM VỤ: 18/07/2018.................................................... V. CÁN BỘ HƯỚNG DẪN: TS. Phạm Quốc Cường ...................................................... Tp. HCM, ngày . . . . tháng .. . . năm 20.... CÁN BỘ HƯỚNG DẪN (Họ tên và chữ ký) TRƯỞNG KHOA KH & KTMT (Họ tên và chữ ký) Lời cảm ơn Đầu tiên em xin gửi lời cảm ơn chân thành nhất đến thầy TS. Phạm Quốc Cường. Thầy dẫn dắt em từ những bước đi đầu tiên của đề tài, đưa ra những lời khuyên, đưa ra những chỉ dẫn cho em trong suốt quá trình nghiên cứu. Nếu không có sự hướng dẫn của thầy, đề tài này sẽ không thể có kết quả như hôm nay. Em xin dành những sự tri ân chân thành và to lớn đến toàn thể quý thầy cô của Khoa Khoa học và Kỹ thuật Máy tính mà em đang theo học. Nhờ những sự tận tình giảng dạy, truyền đạt kiến thức và kinh nghiệm quý báu qua từng bài giảng mà em có thêm được sự vun đắp, vững chắc trong vốn hiểu biết của mình, để từ đó làm nền tảng cho em hoàn thành được đề tài ngày hôm nay. Em cũng không quên bày tỏ lòng biết ơn đến gia đình, người thân của mình, những người đã luôn quan tâm, động viên và chăm sóc em qua từng ngày để em có được sức khỏe, tinh thần và môi trường phát triển, giúp em có được như ngày hôm nay. Cuối cùng em xin cảm ơn những người bạn đã hỗ trợ, chia sẻ để em hoàn thành tốt được đề tài này. Với toàn bộ sự biết ơn sâu sắc đó, em xin gửi lời chúc đến mọi người đã giúp em làm được những điều đến ngày hôm nay. Chúc cho mọi quý thầy cô, đặc biệt là những người em đã nêu tên ở trên, của Khoa Khoa học và Kỹ thuật Máy tính luôn có được một sức khỏe dồi dào để luôn hạnh phúc trong cuộc sống và có khả năng để cống hiến thêm cho khoa, cho trường và cho thế hệ đi sau. Trân trọng. Tp. Hồ Chí Minh, 18/07/2018. Tóm tắt nội dung Với sự phát triển vượt bật của ngành công nghệ thông tin kết hợp với sự phổ biến của Internet trên toàn cầu đã đem lại nhiều lợi ích lớn cho xã hội. Tuy nhiên, song song với đó, tỷ lệ tội phạm mà có mục tiêu hay công cụ là các hệ thống máy tính cũng đã gia tăng. Sự xuất hiện của một loại hình tội phạm mới đó đã cho chúng ta những thách thức mới về các phương pháp để xác định, thu thập, kiểm tra, phân tích, phục hồi cũng như diễn dãi các chứng cứ điện tử trong quá trình tố tụng. Thu thập chứng cứ điện tử một chủ đề nghiên cứu còn khá mới mẻ và đang dần được sử dụng trong các quy trình điều tra máy tính, kỹ thuật phân tích, công cụ và phần mềm để giúp chúng ta phát hiện và thu thập bằng chứng kỹ thuật số phù hợp để trình bày tại tòa án. Những nghiên cứu về ngành khoa học điều tra số này bao gồm sự kết hợp giữa các kiến thức về công nghệ thông tin, khoa học dữ liệu, kiến trúc mạng, khoa học pháp y hiện tại cũng như các vấn đề thách thức quan trọng liên quan đến an ninh và mật mã máy tính. Trong nghiên cứu này, chúng ta tìm hiểu và thảo luận để giải quyết những vướng mắt hiện tại và đưa ra các đề xuất về các công cụ, phần mềm và công nghệ mà chúng ta có thể sử dụng để điều tra bằng chứng kỹ thuật số hiệu quả hơn ở Việt Nam. Theo luật pháp Việt Nam, bằng chứng kỹ thuật số hiện nay có thể được sử dụng trong quá trình tố tụng. Do đó, nghiên cứu về máy tính và pháp y mạng là một chủ đề quan trọng trong việc áp dụng kiến thức an ninh, máy tính và mạng để xây dựng một xã hội tốt hơn. Abstract With the popularity of the Internet and related information technology all over the world, there is an increase the number of criminals who use computing devices such as a computer to commit their crimes that involve digital data. These digital crimes imposed to us the new challenges on how to identify, prepare, collect, examine, analyze and present corresponding offences. After a system has been breached or an intrusion has been detected, there is a need for a digital investigation process to follow. Computer and network forensics are parts of digital forensics, an emerging research topic that is utilized in computer investigation processes, analysis techniques, tools, and software to help us detect and gather digital evidence suitable for presentation in courts. These new research directions combine the knowledge of information technology, data science, network architecture, forensic science, and many significant challenging problems related to computer security and cryptography. They are not easy and yet to be solved. In this paper, we present and discuss these issues along with our suggestions for tools, software, and technologies that we can use for investigating digital evidence more efficiently in Vietnam. According to Vietnam laws, the digital evidence currently can be used in proceedings process. We believe that computer and network forensics research is an essential topic in applying security, computer, and network knowledge to build a better society. Lời cam đoan Học viên xin cam đoan rằng mọi thông tin và công việc được trình bày trong bài báo cáo này ngoài việc tham khảo các nguồn tài liệu khác có ghi đầy đủ trong phần phụ lục các tài liệu tham khảo, các nội dung còn lại thì đều do chính học viên thực hiện. Nếu có bất kì sai phạm hay gian lận nào, học viên xin chịu hoàn toàn trách nhiệm trước Ban Chủ Nhiệm Khoa và Ban Giám Hiệu Nhà Trường. Tp. Hồ Chí Minh, ngày 18 tháng 07 năm 2018 Học viên thực hiện đề tài Lê Nguyễn Khánh Duy Mục lục Chương 1: Chứng cứ điện tử và thực trạng về chứng cứ điện tử ở Việt Nam ................................................1 1.1 Chứng cứ điện tử ...................................................................................................................................4 1.2 Các bước trong quá trình thu thập chứng cứ điện tử ...........................................................................7 1.3 Sự cần thiết của quy trình thu thập chứng cứ điện tử ..........................................................................9 1.4 Chứng cứ điện tử trong quá khứ, hiện tại và tương lai .........................................................................9 Chương 2: Điều tra máy tính (computer forensics) ...................................................................................... 12 2.1 Hoạt động cơ bản của máy tính .......................................................................................................... 12 2.2 Thu thập chứng cứ trên các thiết bị lưu trữ dài hạn .......................................................................... 16 2.2.1 Một số chuẩn giao tiếp thường gặp............................................................................................. 17 2.2.2 Cấu trúc ổ cứng HDD .................................................................................................................... 20 2.2.3 Cấu trúc ổ cứng SSD ..................................................................................................................... 28 2.2.4 Một số loại RAID thông dụng ....................................................................................................... 32 2.2.5 Cấu trúc lưu trữ hệ thống (filesystem) ........................................................................................ 39 2.2.6 Cấu trúc tập tin ............................................................................................................................ 40 2.2.7 Công cụ chống ghi ........................................................................................................................ 41 2.2.8 Công cụ phục hồi .......................................................................................................................... 46 2.2.9 Công cụ sao lưu ổ đĩa thành dạng hình ảnh ................................................................................ 61 2.3 Thu thập chứng cứ tr n bộ nhớ tạm thời RAM .................................................................................. 63 2.3.1 ag il và ib rnate .................................................................................................................. 64 2.3.2 Belkasoft RAM Capturer .............................................................................................................. 66 2.3.3 DumpIT ......................................................................................................................................... 66 2.3.4 AccessData FTK Imager ................................................................................................................ 67 2.3.5 DMA ............................................................................................................................................. 67 2.3.6 Volatility ....................................................................................................................................... 72 Chương 3: Điều tra mạng (network forensics) ............................................................................................. 76 3.1 Network TAPS ..................................................................................................................................... 76 3.2 Wireshark/TCPDump .......................................................................................................................... 77 3.3 Snort/Suricata hay các hệ thống an ninh mạng .................................................................................. 78 3.4 Logs ..................................................................................................................................................... 79 Chương 4: Quy trình tiếp cận thu thập chứng cứ điện tử ............................................................................ 82 4.1 Máy tính vật lý .................................................................................................................................... 82 4.1.1 Hệ thống máy tính đang vận hành bình thường.......................................................................... 82 4.1.2 Hệ thống máy tính đã bị tắt ......................................................................................................... 84 4.2 Hệ thống ảo hóa.................................................................................................................................. 86 4.3 Hệ thống mạng.................................................................................................................................... 88 4.4 Trích xuất dữ liệu ................................................................................................................................ 88 4.6 Thuyết minh dữ liệu ............................................................................................................................ 90 Chương 5: Kết luận ....................................................................................................................................... 91 Chương 6: Tài liệu tham khảo ....................................................................................................................... 92 Danh sách hình ảnh Hình 1.1: Dạng tương tự (analog) [3] ....................................................................................5 Hình 1.2: Dạng kỹ thuật số (digital) [4] .................................................................................5 Hình 2.1: Các tiến trình đang chạy ......................................................................................13 Hình 2.2: Xem dữ liệu vùng nhớ .........................................................................................14 Hình 2.3: Danh sách các kết nối ..........................................................................................14 Hình 2.4: Các câu lệnh từng được thực thi ..........................................................................15 Hình 2.5: Danh sách khóa giải mã BitLocker ......................................................................15 Hình 2.6: Thiết bị lưu trữ NAS ............................................................................................16 Hình 2.7: Giao tiếp IDE .......................................................................................................17 Hình 2.8: Giao tiếp SATA ...................................................................................................18 Hình 2.9: Giao tiếp SCSI [5] ................................................................................................ 18 Hình 2.10: Giao tiếp M2 ......................................................................................................19 Hình 2.11: Giao tiếp NVMe (PCIe) .....................................................................................19 Hình 2.12: Giao tiếp SDIO ..................................................................................................19 Hình 2.13: HDD với 7 phiến đĩa xếp chồng nhau ...............................................................21 Hình 2.14: Mô tơ phiến đĩa ..................................................................................................21 Hình 2.15: Bộ đầu đọc/ghi của 1 HDD sử dụng 5 phiến đĩa ...............................................22 Hình 2.16: Đầu đọc/ghi với bộ điều khiển cơ học ...............................................................22 Hình 2.17: Đầu đọc/ghi hoạt động với phiến đĩa .................................................................23 Hình 2.18: Mạch điều khiển .................................................................................................24 Hình 2.19: Hình ảnh bảng các module trong Service Area .................................................26 Hình 2.20: Minh họa Host Protected Area ...........................................................................27 Hình 2.21: Minh họa Device Configuration Overlay ..........................................................28 Hình 2.22: Hình ảnh bên trong 1 chủng loại SSD thông dụng ............................................29 Hình 2.23: Thao tác ánh xạ địa chỉ của SSD .......................................................................31 Hình 2.24: Tính năng TRIM được kích hoạt .......................................................................31 Hình 2.25: Minh họa RAID .................................................................................................32 Hình 2.26: Minh họa RAID-0 ..............................................................................................33 Hình 2.27: Minh họa RAID-1 ..............................................................................................34 Hình 2.28: Minh họa RAID-10 và RAID-01 .......................................................................35 Hình 2.29: Minh họa RAID-5 ..............................................................................................36 Hình 2.30: Cách tính parity block của RAID-5 ...................................................................36 Hình 2.31: Minh họa RAID-6 ..............................................................................................37 Hình 2.32: Cách tính parity block của RAID-6 ...................................................................37 Hình 2.33: Minh họa cấu trúc tập tin BMP ..........................................................................40 Hình 2.34: Cấu trúc tập tin thực thi của Windows...............................................................41 Hình 2.35: Phần mềm SAFE Block .....................................................................................42 Hình 2.36: Tableau Forensic FireWire Bridge T9 ...............................................................43 Hình 2.37: Tableau Forensic SATA/IDE Bridge T35u .......................................................44 Hình 2.38: Tableau Forensic SAS Bridge T6u ....................................................................45 Hình 2.39: Tableau Forensic PCIe Bridge T7u ...................................................................45 Hình 2.40: Tableau Forensic USB 3.0 Bridge T8u ..............................................................46 Hình 2.41: Tableau Forensic Universal Bridge T356789iu .................................................46 Hình 2.42: PC-3000 Express ................................................................................................ 49 Hình 2.43: PC-3000 UDMA ................................................................................................ 49 Hình 2.44: PC-3000 SAS/SCSI ...........................................................................................50 Hình 2.45: PC-3000 Portable ...............................................................................................50 Hình 2.46: ộ công cụ hỗ trợ kết nối tới firmware của ổ đĩa ..............................................51 Hình 2.47: Khôi phục dữ liệu trên ổ đĩa HDD kết nối SATA .............................................51 Hình 2.48: Các phiên bản Data Extractor ............................................................................52 Hình 2.49: Phân tích cấu trúc phân v ng của ổ đĩa .............................................................53 Hình 2.50: Phân tích cấu trúc dữ liệu trên các phân v ng ...................................................53 Hình 2.51: Xem cấu trúc dữ liệu ..........................................................................................54 Hình 2.52: Khôi phục dữ liệu trên ổ đĩa bị hư hỏng ............................................................54 Hình 2.53: Tự động nhận dạng chủng loại và thứ tự RAID ................................................55 Hình 2.54: Tái hiện cấu trúc dữ liệu luận l trên RAID ......................................................55 Hình 2.55: T y chọn giải pháp truy vấn dữ liệu trên các ổ đĩa bị hư hỏng vật l ...............56 Hình 2.56: Xử l các lỗi trên v ng Service Area .................................................................56 Hình 2.57: Ổ đĩa bị khóa bởi mật kh u ................................................................................57 Hình 2.58: Mật kh u sau khi được PC-3000 giải mã ...........................................................57 Hình 2.59: Ổ đĩa trước khi mở HPA ....................................................................................58 Hình 2.60: Mở HPA .............................................................................................................58 Hình 2.61: Ổ đĩa sau khi đã mở HPA ..................................................................................59 Hình 2.62: Dữ liệu được n trong vùng HPA ......................................................................59 Hình 2.63: Kích hoạt SafeMode của SSD để vô hiệu hóa TRIM 2.2.3 ............................60 Hình 2.64: Kích hoạt thành công chế độ SafeMode của SSD .............................................60 Hình 2.65: Sao lưu ảnh đĩa sử dụng dd của linux ................................................................ 61 Hình 2.66: Sao lưu ảnh đĩa với Partition Image...................................................................62 Hình 2.67: Tableau Forensic Duplicator (TD2u) .................................................................62 Hình 2.68: Tableau Forensic Imager (TD3).........................................................................63 Hình 2.69: Tableau Forensic Imager TX1 ...........................................................................63 Hình 2.70: Tính năng ngủ đông trên Windows ....................................................................65 Hình 2.71: Phần mềm elkasoft RAM Capturer .................................................................66 Hình 2.72: Phần mềm DumpIT ............................................................................................67 Hình 2.73: Minh họa FTK Imager .......................................................................................67 Hình 2.74: Cơ chế DMA ......................................................................................................69 Hình 2.75: Đọc dữ liệu trên ổ đĩa với DMA ........................................................................69 Hình 2.76: Tương tác GPU và FPGA qua DMA .................................................................70 Hình 2.77: Minh họa PCILeech ...........................................................................................71 Hình 2.78: Cổng M2 hỗ trợ DMA .......................................................................................71 Hình 2.79: Cổng ThunderBolt hỗ trợ DMA ........................................................................72 Hình 2.80: Minh họa cơ bản Volatility ................................................................................73 Hình 2.81: Một số các câu lệnh thường dùng trong Volatility ............................................74 Hình 2.82: Một số các câu lệnh thường dùng trong Volatility ............................................75 Hình 3.1: Minh họa Network TAPS ....................................................................................77 Hình 3.2: Minh hoạ TCPDump ............................................................................................77 Hình 3.3: Minh họa Wireshark ............................................................................................78 Hình 3.4: Minh họa cảnh báo từ hệ thống an ninh mạng .....................................................79 Hình 3.5: Minh họa Logs của một dịch vụ Web ..................................................................80 Hình 3.6: Minh họa Logs dịch vụ DNS ...............................................................................80 Hình 4.1: Phần mềm trích xuất dữ liệu chuyên dụng Osforensics.......................................90 Danh sách bảng Bảng 2.1: Các FileSystem thông dụng .................................................................................40 Chương 1: Chứng cứ điện tử và thực trạng về chứng cứ điện tử ở Việt Nam Chúng ta đang vận động trong kỷ nguyên số, thời đại mà mạng lưới Internet đã phát triển hoàn thiện và vươn trải kết nối toàn cầu giúp cho việc giao tiếp giữa mọi người trong xã hội trở nên đơn giản và nhanh chóng. Các ngành nghề dịch vụ trong xã hội cũng đang dần áp dụng các giải pháp công nghệ vào quy trình giúp tăng năng suất lao động cũng như giảm các chi phí vận hành trong hoạt động sản xuất. Trong cuộc sống hàng ngày, chúng ta cũng có thể dễ dàng thấy được mức độ phổ biến, quan trọng của mạng Internet và các hệ thống máy tính thông qua các hoạt động như tương tác với bạn bè, tổ chức các cuộc họp trực tuyến, hội nghị trực tuyến, các giao dịch mua bán trực tuyến trên các trang thương mại điện tử, ký kết hợp đồng điện tử, giao dịch với hệ thống ngân hàng điện tử... Ngoài ra, chính phủ Việt Nam và các doanh nghiệp nhà nước cũng đang từng bước chuyển mình, tự đổi mới trong cách quản l và tương tác với người dân như chúng ta đã có thể tra cứu mã số thuế cá nhân trực tuyến, thanh toán hóa đơn tiền điện tiền nước trực tuyến. Điển hình nhất là theo nghị quyết 112/NQ-CP được ban hành tại Hà Nội ngày 30 tháng 10 năm 2017 do Thủ Tướng Nguyễn Xuân Phúc đã k về việc đơn giản hóa thủ tục hành chính, giấy tờ công dân liên quan đến quản l dân cư thuộc phạm vi chức năng quản l nhà nước của Bộ Công An, theo đó đã cho phép và bổ sung cách thức thực hiện nhiều loại thủ tục thông qua các hệ thống dịch vụ công trực tuyến. Như vậy, trong tương lai, hầu hết các giao dịch công và dữ liệu của chúng ta cũng sẽ được lưu hành và quản lý trực tuyến. Ở trong ngành công nghiệp tri thức như hiện nay, tư liệu sản xuất chính là các phần mềm, dữ liệu, tập tin, văn bản được sao lưu trên các hệ thống máy tính của nhà nước, doanh nghiệp cũng như cá nhân. Nó chính là tài sản quan trọng của mỗi 1 doanh nghiệp, mỗi cá nhân. Các giao dịch trực tuyến cũng ngày càng mang nhiều giá trị cao. Tuy nhiên, trong thời gian gần đây, số lượng tội phạm công nghệ cao ngày càng gia tăng cũng như diễn biến theo xu hướng ngày càng phức tạp. Theo ông Minh Tiến [1], báo Công An Nhân Dân, viết ngày 29 tháng 12 năm 2016, “Có thể nói 2016 là một năm mà lực lượng phòng chống tội phạm sử dụng công nghệ cao thực sự rất vất vả để đấu tranh với tội phạm mạng. Hàng loạt thủ đoạn cũ mới đan xen như gọi điện thoại giả danh, lừa đảo thông qua kết bạn qua mạng xã hội; "phishing" đánh cắp tài khoản để chiếm đoạt tài sản… đã được phát hiện, làm rõ” và “Cơ quan Công an đánh giá 2017 tiếp tục là một năm mà các cá nhân, tổ chức phải đối mặt với nhiều nguy cơ, thách thức của các loại tội phạm công nghệ cao trên mạng Internet.”. Cũng tại trang báo trên đã trích dẫn báo cáo của trung tâm Ứng cứu kh n cấp máy tính Việt Nam VNCERT, theo đó, trong năm 2015 đã diễn ra 5898 sự cố lừa đảo, 8850 sự cố thay đổi giao diện, 16837 sự cố mã độc và ghi nhận được 1451997 lượt địa chỉ IP cả nước bị nhiễm mã độc. Tại Việt Nam, theo Khoản 1 điều 3 Nghị đinh số 25/2014/NĐ-CP của Chính phủ ngày 07 tháng 4 năm 2014 đã quy định “Tội phạm có sử dụng công nghệ cao là hành vi nguy hiểm cho xã hội được quy định trong Bộ luật Hình sự có sử dụng công nghệ cao”. Nhìn một cách tổng thể, ta có thể thấy được tội phạm công nghệ cao thường sử dụng công nghệ thông tin, hệ thống máy tính và mạng máy tính để thực hiện hành vi phạm tội của chúng. Về cơ bản, ta có thể phân chia loại tội phạm công nghệ cao dựa theo cách thức và mục tiêu mà chúng thực hiện hành vi phạm tội. Loại thứ nhất là nhóm các tội phạm thực hiện hành vi phạm tội với mục tiêu chính là các hệ thống máy tính, mạng máy tính và các thiết bị liên quan thông qua các hình thức như phát tán mã độc nhằm mục tiêu đánh cắp hoặc phá hoại dữ liệu, tấn công từ chối dịch vụ hoặc thay đổi giao diện trang web với mục tiêu triệt hạ danh dự đối thủ... 2 Loại thứ hai là nhóm các tội phạm sử dụng hệ thống máy tính, mạng máy tính và các thiết bị liên quan nhằm mục đích gia tăng mức độ hiệu quả của quá trình thực hiện hành vi phạm tội như đe dọa quấy rối người dùng mạng. Lừa đảo nhằm chiếm đoạt thông tin cá nhân, thông tin nhạy cảm thậm chí tài sản của nạn nhân. Phát tán các thông điệp, thông tin lừa đảo, sai sự thật gây hoang mang dư luận trong quần chúng nhân dân sử dụng mạng. Thực thi các hình thức chiến tranh thông tin mang yếu tố và mục tiêu chính trị như xuyên tạc chống phá, nói xấu bôi nhọ hình ảnh cán bộ, chính quyền và nhà nước Việt Nam. Như vậy, theo cách phân loại trên, chúng ta hình thành nên hai loại tội phạm công nghệ cao cơ bản đó là loại tội phạm có mục tiêu phạm tội hướng tới các hệ thống máy tính, mạng máy tính và loại tội phạm sử dụng hệ thống máy tính, mạng máy tính là công cụ để thực hiện hành vi phạm tội. Do đây là loại tội phạm mới phát sinh trong kỷ nguyên số với nhiều đặc tính đặc thù phi truyền thống với khả năng phạm tội rất rộng và có tính chất xuyên quốc gia, nên công tác giải quyết các vụ án liên quan đến tội phạm có sử dụng công nghệ cao để thực hiện hành vi phạm tội cũng như việc hợp tác với các cơ quan chức năng liên quan thường gặp một số vấn đề khó khăn như [2]: - Các đối tượng sử dụng thông tin giả để liên hệ với nhau cũng như trong quá trình thực hiện hành vi phạm tội nên rất khó để xác định được nhân dạng chính xác của đối tượng. Khi đã xác định được nhân dạng của đối tượng thì việc chứng minh được đối tượng đã từng sử dụng thông tin giả này để thực hiện hành vi phạm tội cũng sẽ gặp rất nhiều khó khăn. - Nhiều trường hợp đối tượng thông qua internet đã cấu kết với các đối tượng khác sinh sống ở nước ngoài để thực hiện hành vi phạm tội của mình. Do thông qua internet nên hầu hết các chứng cứ đều là các dạng tập tin lưu trữ trên máy tính và trên mạng nên khi bị phát hiện, đối tượng có thể dễ dàng nhanh chóng sửa hoặc xóa để tuy hủy chứng cứ. 3 - Rất nhiều trường hợp đối tượng đã thực hiện hành vi phạm tội thông qua các máy chủ trung gian đặt tại nước ngoài hoặc có thể lợi dụng các hệ thống phần mềm không được bảo mật tốt, lừa đảo đánh cắp mật kh u để tấn công và sử dụng các hệ thống máy tính của cá nhân, tổ chức bình thường nào đó như là một máy trung gian để thực hiện hành vi phạm tội của chúng. Do đó, để xác định được chính xác đối tượng đã thực hiện hành vi phạm tội cũng như chứng minh hành vi phạm tội đó trong tình huống này sẽ gặp rất nhiều khó khăn. - Sau khi đã xác định được đối tượng thì quá trình điều tra cũng như thu thập chứng cứ của vụ án như đã đề cập bên trên cũng sẽ gặp phải nhiều khó khăn do hầu hết chứng cứ chỉ xác định được trên cơ sở lời khai của nạn nhân, đối tượng và các thông tin từ các hệ thống máy tính, mạng máy tính. Thông qua các vấn đề trên, ta có thể nhận thấy được tầm quan trọng của ngành khoa học điều tra số, mà trong đó công tác thu thập chứng cứ điện tử là bước đầu tiên và cực kỳ quan trọng trong công tác tố tụng hình sự cũng như dân sự sau này. Để có thể thu thập được một cách đầy đủ nhất, chính xác nhất, khách quan nhất và bảo quản hợp lý nhất thì chúng ta cần phải hiểu rõ các khái niệm, bản chất và tính chất của chứng cứ điện tử là gì. 1.1 Chứng cứ điện tử Bộ luật tố tụng hình sự năm 2015 [3] được Quốc hội nước Cộng hòa xã hội chủ nghĩa Việt Nam khóa XIII, kỳ họp thứ 10 được thông qua vào ngày 27 tháng 11 năm 2015, theo điều 87 “Nguồn chứng cứ” đã công nhận “Dữ liệu điện tử” là có giá trị pháp lý như các nguồn chứng cứ và có thể được d ng để làm căn cứ trong quá trình giải quyết vụ án. Bộ luật này cũng đã định nghĩa ở điều 99 “Dữ liệu điện tử” về dữ liệu điện tử như sau: - “1. Dữ liệu điện tử là ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự được tạo ra, lưu trữ, truyền đi hoặc nhận được bởi phương tiện điện tử.” 4 - “2. Dữ liệu điện tử được thu thập từ phương tiện điện tử, mạng máy tính, mạng viễn thông, trên đường truyền và các nguồn điện tử khác.” - “3. Giá trị chứng cứ của dữ liệu điện tử được xác định căn cứ vào cách thức khởi tạo, lưu trữ hoặc truyền gửi dữ liệu điện tử; cách thức bảo đảm và duy trì tính toàn vẹn của dữ liệu điện tử; cách thức xác định người khởi tạo và các yếu tố phù hợp khác.” Chứng cứ điện tử mang tính chất trừu tượng cao, về khía cạnh vật lý, dữ liệu điện tử chỉ là sự thể hiện trạng thái của các phần tử vật chất như là trạng thái dao động của các loại sóng điện từ ở dạng tượng tự (analog, Hình 1.1) hay trạng thái tồn tại có (1) hoặc không (0) trong dạng kỹ thuật số (digital, Hình 1.2) theo thời gian. Hình 1.1: Dạng tương tự (analog) [4] Hình 1.2: Dạng kỹ thuật số (digital) [5] 5 Còn ở khía cạnh máy tính, dữ liệu điện tử sẽ được biểu diễn thành những dạng mà con người có thể nhìn thấy được, nghe thấy được và tương tác được như các k hiệu, chữ viết, chữ số, các tập tin hình ảnh, các tập tin âm thanh, các tập tin video... Các dữ liệu điện tử này được tạo ra, truyền đi và lưu trữ bởi các phương tiện điện tử dưới sự tương tác của con người. Trong quá trình sử dụng và tương tác với các phương tiện điện tử nói chung và các hệ thống máy tính nói riêng, chắc chắn rằng con người sẽ để lại những dấu vết dưới dạng dữ liệu điện tử trên các phương tiện đó như lịch sử nhắn tin khi chúng ta thực hiện các hành vi gởi nhận tin nhắn, nhật ký cuộc gọi khi chúng ta thực hiện hay nhận các cuộc gọi, lịch sử các trang web đã vào khi ta lướt web, lịch sử đăng nhập cũng như lịch sử các hành vi được lưu lại trên máy chủ của nhà cung cấp dịch vụ ) mà chúng ta thực hiện khi kiểm tra hay gởi thư điện tử... và tất cả các dữ liệu điện tử đó đều rất có giá trị và có thể được dùng như là một nguồn chứng cứ có giá trị pháp lý khi xảy ra vụ án. Dữ liệu điện tử có thể được chia khái quát ra thành 2 dạng: - Dữ liệu điện tử do người sử dụng, vận hành hệ thống điện tử chủ đích tạo ra. Ví dụ như các tập tin văn bản (word), các bảng tính (excel), các tập tin trình diễn (powerpoint), các thư điện tử (email), các hình ảnh và video do con người tự tạo ra thông qua phần mềm máy tính hoặc thông qua các thiết bị điện tử khác như máy ảnh cá nhân hay điện thoại thông minh... đều có giá trị trong việc chứng minh nguồn gốc dữ liệu cũng như về người đã tạo ra các dữ liệu đó. - Dữ liệu điện tử do các phương tiện điện tử tự động tạo ra dưới sự tương tác điều khiển của con người như “Cookies”, “URL”, “History”, “Email Logs”, “Event Logs”, “WebServer Logs”, “Firewall Logs”, “Proxy Logs”, các thông tin về địa chỉ IP, cổng kết nối... Các dữ liệu này đều có giá trị trong việc chứng minh sự tương tác của con người với các phương tiện điện tử, hệ thống máy tính. Từ các tính chất và đặc điểm đặc trưng như đã nêu ở trên của dữ liệu điện tử, ta cũng có thể thấy được là dữ liệu điện tử có thể dễ dàng bị tác động do cố ý hoặc vô ý như sửa chữa, thay đổi, phá hủy trong quá trình lưu trữ, sao chép cũng như truyền 6 tải, và không những thế, dữ liệu điện tử cũng có thể dễ dàng được được ngụy tạo ra. Ngoài ra còn có nhiều các tình huống khác như bị nhiễm mã độc máy tính, phần cứng hư hỏng, lỗi phần mềm, phương pháp truy xuất, truyền tải lên mạng hay bị mã hóa... 1.2 Các bước trong quá trình thu thập chứng cứ điện tử Xác định chứng cứ điện tử Để phục vụ cho công tác phân loại dữ liệu điện tử nào có thể được sử dụng để làm chứng cứ điện tử ở công đoạn tiếp theo, chúng ta cần nắm rõ được dữ liệu điện tử có thể tồn tại ở những dạng nào, ở đâu, tính chất và phương pháp thu thập như thế nào ở từng trường hợp cụ thể nhằm thu thập được một cách đầy đủ nhất, hạn chế tối đa khả năng bỏ qua, thu thập sót hoặc sai dữ liệu điện tử. Việc thu thập không đầy đủ hoặc thiết chính xác dữ liệu điện tử sẽ gây khó khăn nhất định cho các công đoạn tiếp theo của quá trình điều tra và phân tích sau này. Thu thập chứng cứ điện tử Sau khi đã biết được chứng cứ điện tử có thể nằm ở đâu, công việc tiếp theo là thu thập chúng. Với sự đa dạng về chủng loại thiết bị cũng như cơ chế vận hành đòi hỏi ta cần có nhiều giải pháp khác nhau trong quá trình thu thập chứng cứ điện tử. Cũng do tính chất của chứng cứ điện tử cần sự toàn vẹn của dữ liệu được thu thập nên ta cần phải áp dụng các công nghệ phù hợp ứng với từng điều kiện cụ thể nhằm đảm bảo dữ liệu được thu thập để sử dụng làm chứng cứ điện tử là nguyên vẹn, khách quan và kiểm chứng được. Phục hồi chứng cứ điện tử Các đối tượng sử dụng công nghệ cao để thực hiện hành vi phạm tội đều có sự am hiểu về công nghệ và luôn luôn ý thức được việc làm của mình là vi phạm pháp luật nên chúng rất chú đến việc tiêu hủy các dữ liệu có thể được dùng làm chứng cứ để chứng minh hành vi phạm tội của chúng. Do đó, trong nhiều trường hợp, đối tượng đã kịp xóa bỏ hoặc phá hủy các dữ liệu có thể được sử dụng để làm chứng cứ điện tử. Trong các tình huống như thế này, ta cần có các giải pháp công nghệ để khôi phục lại các dữ liệu này phục vụ cho bước khai thác chứng cứ điện tử ở các giai đoạn sau. 7