BAN CƠ YẾU CHÍNH PHỦ

HỌC VIỆN KỸ THUẬT MẬT MÃ

KHOA: AN TOÀN THÔNG TIN



THU THẬP VÀ PHÂN TÍCH THÔNG TIN AN NINH MẠNG

TÌM HIỂU MỘT SỐ KỸ THUẬT THU THẬP CHỨNG CỨ ĐIỆN TỬ

TRONG ĐIỀU TRA SỐ
……………………………………………………………………………………
…

Giảng viên hướng dẫn: Ts. Trần Thị Lượng

Sinh viên thực hiện: Nguyễn Hồng Sơn

Lương Ngọc Quý

Lớp: L02

Khóa: AT14
Mục lục
1.1.Điều tra số là gì ?.........................................................................................3

1.2. Lịch sử điều tra số......................................................................................3

1.3. Tại sao phải có điều tra số..........................................................................4

1.4. Các loại hình điều tra số.............................................................................4

1.5. Quy trình thực hiện điều tra số...................................................................5

CHƯƠNG 2 :TỔNG QUAN VỀ CHỨNG CỨ ĐIỆN TỬ...................................9

2.1 Quan điểm về chứng cứ điện tử................................................................9

2.2. Các loại bằng chứng điện tử :................................................................11

2.3. Thu thập chứng cứ điện tử.....................................................................12

2.4. Thu thập bằng chứng kỹ thuật số về cơ bản bao gồm một quy trình tuần
tự 3 bước:......................................................................................................14

2.5. Phương pháp thu thập............................................................................14

2.6. Các quy tắc thu thập bằng chứng điện tử..............................................15
 CHƯƠNG 1 : TỔNG QUAN VỀ ĐIỀU TRA SỐ

1.1.Điều tra số là gì ?

Điều tra số (còn gọi là Khoa học điều tra số) là một nhánh của ngành
Khoa học điều tra đề cập đến việc phục hồi và điều tra các tài liệu tìm thấy
trong các thiết bị kỹ thuật số. Thuật ngữ điều tra số ban đầu được sử dụng tương
đương với thuật ngữ điều tra máy tính. Sau đó, khái niệm này được mở rộng để
bao quát toàn bộ việc điều tra các thiết bị có khả năng lưu trữ dữ liệu số. 

1.2. Lịch sử điều tra số

Tội phạm máy tính đầu tiên xuất hiện từ những năm 1960 và lịch sử của
nó gắn liền với lịch sử điều tra số.

Năm 1978, tội phạm máy tính lần đầu tiên được đề cập trong Luật Tội
phạm máy tính Floria, với quy định về việc chống sửa đổi trái phép hay xóa dữ
liệu trên một hệ thống máy tính. 

Giai đoạn năm 1980 đến 1990: Trước sự gia tăng tội phạm máy tính
những năm này, các cơ quan thực thi pháp luật đã tiến hành thành lập các nhóm
chuyên ngành cấp quốc gia để xử lý các khía cạnh kỹ thuật của việc điều tra.
Các kỹ thuật điều tra số cũng đã phát triển và thuật ngữ “Computer Forensics”
xuất hiện và được sử dụng trong các tài liệu học thuật.

Năm 1983, Canada là quốc gia đầu tiên thực thi các luật về tội phạm máy
tính.

Năm 1986, Tổ chức chống Gian lận và Lạm dụng máy tính của Mỹ ra
đời.
 Năm 1989, Úc sửa đổi luật về tội phạm máy tính. Đạo luật của Anh xuất
hiện.

Năm 1990 quy định về các hành vi lạm dụng máy tính.

Từ năm 2000, các tiêu chuẩn được phát triển để đáp ứng yêu cầu tiêu
chuẩn hóa; các cơ quan và các hội đồng khác nhau đã công bố các tài liệu
hướng dẫn kỹ thuật điều tra số. 

Năm 2002, nhóm công tác khoa học về chứng cứ số đã xuất bản một bài
báo với tiêu đề “Các bước thực thi điều tra tội phạm máy tính” (Best practices
for Computer Forensics).

Năm 2004, Hiệp định về tội phạm máy tính đã được ký kết bởi 43 quốc
gia có hiệu lực, các quốc gia thỏa thuận liên kết với nhau trong việc điều tra các
tội phạm liên quan đến công nghệ cao. 

Từ năm 2005, nhiều tiêu chuẩn của ISO đề cập đến các yêu cầu về thẩm
quyền giám định, kiểm chuẩn được công bố.

1.3. Tại sao phải có điều tra số

Không có bất cứ sự đảm bảo nào cho hệ thống mạng máy tính được tuyệt
đối an toàn trước những nguy cơ, rủi ro, tấn công ác ý của tội phạm mạng. Quá
trình xử lý sự cố, phục hồi chứng cứ và truy tìm dấu vết tội phạm cần phải được
tiến hành một cách chuyên nghiệp nhằm đem lại chứng cứ chính xác. Một cuộc
điều tra số được tiến hành nhằm:

- Xác định nguyên nhân hệ thống công nghệ thông tin bị tấn công, từ đó
đưa ra giải pháp khắc phục điểm yếu nhằm nâng cao hiện trạng an toàn của hệ
thống.
 - Xác định các hành vi tội phạm mạng máy tính đã, đang và sẽ làm đối với
hệ thống mạng máy tính. Trong thực tế, thiệt hại tiềm ẩn do những cuộc tấn
công gây rò rỉ thông tin, hay làm mất tính sẵn sàng của hệ thống là việc hệ
thống bị nắm quyền điều khiển, cài chương trình theo dõi, xóa bỏ thông tin, biến
hệ thống mạng máy tính thành công cụ tấn công các hệ thống khác,.… Việc tiến
hành một cuộc điều tra số nhằm xác định chính xác những hoạt động mà tội
phạm mạng đã tác động vào hệ thống và ngăn ngừa các rủi ro khác có thể xảy
ra.

- Khôi phục thiệt hại mà cuộc tấn công vào hệ thống mạng máy tính gây
ra: phục hồi dữ liệu, thông tin lưu trữ trên hệ thống đã bị phá hoại có chủ đích. 

- Thực hiện điều tra tội phạm, tìm kiếm chứng cứ số nhằm vạch trần tội
phạm công nghệ cao, các hoạt động gian lận, gián điệp, vi phạm pháp luật.

1.4. Các loại hình điều tra số

Với nhiều loại hình điều tra số như: điều tra Internet, điều tra điện tử,
điều tra mạng, điều tra ứng dụng... có các cách phân chia khác nhau, nhưng về
cơ bản điều tra số được chia thành 3 loại hình chính là điều tra máy tính, điều
tra mạng và điều tra thiết bị di động.

- Điều tra máy tính (Computer Forensics) là một nhánh của khoa học điều tra số
liên quan đến việc phân tích các bằng chứng pháp lý được tìm thấy trong máy
tính và các phương tiện lưu trữ kỹ thuật số như:

 Điều tra bản ghi (Registry Forensics) là việc trích xuất thông tin và ngữ
cảnh từ một nguồn dữ liệu chưa được khai thác qua đó biết được những
thay đổi (chỉnh sửa, thêm bớt…) dữ liệu trong bản ghi (Register).

 Điều tra bộ nhớ (Memory Forensics) là việc ghi lại bộ nhớ khả biến (bộ
nhớ RAM) của hệ thống sau đó tiến hành phân tích làm rõ các hành vi đã
 xảy ra trên hệ thống. Để xác định các hành vi đã xảy ra trong hệ thống,
người ta thường sử dụng kiến trúc quản lý bộ nhớ trong máy tính để ánh
xạ, trích xuất các tập tin đang thực thi và cư trú trong bộ nhớ.

 Điều tra phương tiện lưu trữ (Disk Forensics) là việc thu thập, phân tích
dữ liệu được lưu trữ trên phương tiện lưu trữ vật lý, nhằm trích xuất dữ
liệu ẩn, khôi phục các tập tin bị xóa, qua đó xác định người đã tạo ra
những thay đổi dữ liệu trên thiết bị được phân tích.

- Điều tra mạng (network forensic) là một nhánh của khoa học điều tra số liên
quan đến việc giám sát và phân tích lưu lượng mạng máy tính nhằm phục vụ
cho việc thu thập thông tin, chứng cứ pháp lý hay phát hiện các xâm nhập vào
hệ thống máy tính này. Điều tra mạng có thể được thực hiện như một cuộc điều
tra độc lập hoặc kết hợp với việc điều tra máy tính (computer forensics) –
thường được sử dụng để phát hiện mối liên kết giữa các thiết bị kỹ thuật số hay
tái tạo lại quy trình phạm tội.

 Điều tra mạng bao gồm việc chặn bắt, ghi âm và phân tích các sự kiện
mạng để khám phá nguồn gốc của các cuộc tấn công hoặc sự cố của một
vấn đề nào đó. Không giống các loại hình điều tra số khác, điều tra mạng
xử lý những thông tin dễ thay đổi và biến động. Lưu lượng mạng được
truyền đi và không được lưu lại, do đó việc điều tra mạng thường phải rất
linh hoạt, chủ động.

- Điều tra thiết bị di động (Mobile device Forensics) là một nhánh của khoa học
điều tra số liên quan đến việc thu hồi bằng chứng kỹ thuật số hoặc dữ liệu từ các
thiết bị di động. Thiết bị di động ở đây không chỉ đề cập đến điện thoại di động
mà còn là bất kỳ thiết bị kỹ thuật số nào có bộ nhớ trong và khả năng giao tiếp,
bao gồm các thiết bị PDA, GPS và máy tính bảng. 
  Việc sử dụng điện thoại với mục đích phạm tội đã phát triển mạnh trong
những năm gần đây, nhưng các nghiên cứu điều tra về thiết bị di động là
một lĩnh vực tương đối mới. Sự gia tăng các loại hình điện thoại di động
trên thị trường (đặc biệt là điện thoại thông minh) đòi hỏi nhu cầu giám
định về tính an toàn của các thiết bị này mà không thể đáp ứng bằng các
kỹ thuật điều tra máy tính hiện tại.

1.5. Quy trình thực hiện điều tra số

Một cuộc điều tra số thường bao gồm 4 gian đoạn: Chuẩn bị (Preparation),
tiếp nhận dữ liệu hay còn gọi là ảnh hóa tang vật (Acquisition), phân tích
(analysis) và lập báo cáo (Reporting)

- Preparation: Bước này thực hiện việc mô tả lại thông tin hệ thống, những gì đã
xảy ra, các dấu hiệu, để xác định phạm vi điều tra, mục đích cũng như các tài
nguyên cần thiết sẽ sử dụng trong suốt quá trình điều tra.

 Kiểm tra xác minh:  Khi bắt đầu quá trình điều tra thì đây là nhiệm vụ đầu
tiên, Ở giai đoạn này việc kiểm tra xác minh cung cấp một cái nhìn bao
quát về các thông tin liên quan đến hệ thống bị tấn công, thông tin về hạ
tầng mạng, các cơ chế bảo vệ thệ thống đó, các ứng dụng ngăn chặn virus
trên hệ thống, cũng như các thiết bị mạng (tường lửa, IDS, router…) đang
được triển khai.
  Mô tả hệ thống:  Sau khi hoàn thành nhiệm vụ kiểm tra xác minh chúng ta
sẽ tiến hành mô tả chi tiết các thông tin về hệ thống như thời gian hệ
thống bị tấn công, đặc điểm phần cứng, hệ điều hành đang sử dụng, phần
mềm đang cài trên hệ thống, danh sách người dùng và nhiều thông tin
hữu ích khác liên quan tới hệ thống. Một phần của những dữ liệu này sẽ
được lấy ra khỏi hệ thống bằng việc sử dụng các phần mềm phục vụ cho
quá trình điều tra, vì việc điều tra không thể thực hiện ngay trên hệ thống
được xem là mục tiêu của tấn công được, bởi vì hệ thống có thể đã được
cài đặt các phần mềm độc hại…

- Acquisition: Đây là bước tạo ra một bản sao chính xác các sector hay còn gọi là
nhân bản điều tra các phương tiện truyền thông, xác định rõ các nguồn chứng cứ
sau đó thu thập và bảo vệ tính toàn vẹn của chứng cứ bằng việc sử dụng hàm
băm mật mã.

 Giai đoạn này rất quan trọng cho quá trình phân tích, điều tra một hệ
thống máy tính bị tấn công. Tất các những thông tin máy tính có sẵn phải
được đưa vào một môi trường điều tra an toàn để thực hiện công việc điều
tra, phân tích, đây là việc làm rất quan trọng bởi vì nó phải đảm bảo được
rằng những chứng cứ thu được ban đầu cần phải đảm bảo được tính toàn
vẹn.Tất cả các dữ liệu thu được từ hệ thống (bộ nhớ, tiến trình, kết nối
mạng, phân vùng đĩa…) phải được ghi lại và ký mã bởi các thuật toán
như MD5 hoặc SHA1 để đảm bảo tính toàn vẹn chứng cứ, trước khi bắt
đầu điều tra thì người thực hiện nhiệm vụ phân tích điều tra sẽ kiểm tra độ
tin cậy của chứng cứ dựa vào thông tin mà các chuỗi MD5 hay SHA1
cung cấp. Nhằm tránh việc gian lận và cài đặt, làm giả các chứng cứ 
đánh lạc hướng điều tra.
- Analysis: Đây là giai đoạn các chuyên gia sử dụng các phương pháp nghiệp vụ,
các kỹ thuật cũng như công cụ khác nhau để trích xuất, thu thập và phân tích
các bằng chứng thu được.

 Thiết lập mốc thời gian và phân tích:  Sau khi thu thập xong chứng cứ tất cả
các dữ liệu được cách ly trong một môi trường điều tra an toàn và nhiệm vụ
tiếp theo của quá trình thực hiện phân tích là thiết lập tập tin thời gian. Việc
thiết lập tập tin thời gian giúp người thực hiện công việc điều tra theo dõi lại
các hoạt động của hệ thống (hiển thị ra thời gian cuối cùng mà một tập tin
thực thi được chạy, các tập tin hoặc thư mục được tạo/xóa trong thời gian
qua và qua đó có thể giúp người điều tra hình dung, phỏng đoán được sự
hiện diện của các kịch bản hoạt động).
 Phân tích phương tiện truyền dữ liệu của hệ điêu hành:Từ các kết quả thu
được bởi việc phân tích thời gian, chúng ta tiến hành bắt đầu phân tích
phương tiện truyền thông để tìm kiếm các đầu mối phía sau một hệ thống bị
thỏa hiêp. Bộ công cụ có sẵn để phục vụ cho việc phân tích phụ thuộc vào
một số nhân  tố như:
 Nền tảng phần mềm được sử dụng trong máy tính phục vụ điều tra.
 Nền tảng phần mềm được sử dụng trong các hệ thống mục tiêu của việc phân
tích.
 Môi trường phân tích.

Trong giai đoạn này, việc phân tích để kiểm tra kỹ các lớp phương tiện
truyền thông (vật lý, dữ liệu, siêu dữ liệu, hệ thống tập tin và tên tập tin…)
để tìm kiếm bằng chứng về việc cài đặt các tập tin nghi ngờ, các thư mục
được thêm vào/gỡ bỏ.
  Tìm kiếm chuỗi:  Với những gì đã thu thập được, người phân tích có thể bắt
đầu tìm kiếm các chuỗi cụ thể chứa bên trong các tập tin để tìm kiếm những
thông tin hữu ích như địa chỉ IP, địa chỉ Email… để từ đó truy tìm dấu vết
tấn công.
 Khôi phục dữ liệu:  Sau khi thực hiện xong giai đoạn phân tích các phương
tiện truyền thông, chuyên viên điều tra hoàn toàn có thể tìm kiếm những dữ
liệu từ chứng cứ đã được ghi lại và trích xuất ra các dữ liệu chưa được phân
bổ trong ngăn xếp, sau đó phục hồi lại bất kỳ tập tin nào đã bị xóa. Tìm kiếm
không gian trống (trong môi trường windows) hoặc tìm trong không gian
chưa phân bố dữ liệu có thể khám phá ra nhiều tập tin phân mảnh, đó có thể
là đầu mối về các hành động xóa tập tin, thời gian được xóa… Việc nắm bắt
được thời gian tập tin bị xóa là một trong những thông tin quan trọng liên
quan đến các hoạt động tấn công đã xảy ra trên hệ thống (ví dụ xóa các bản
ghi liên quan đến quá trình thâm nhập hệ thống)

- Reporting: Sau khi thu thập được những chứng cứ có giá trị và có tính thuyết
phục thì tất cả phải được tài liệu hóa lại rõ ràng, chi tiết và báo cáo lại cho bộ
phận có trách nhiệm xử lý chứng cứ thu được, các chuyên gia phân tích phải
đưa ra các kỹ thuật điều tra, các công nghệ, phương thức được sử dụng, cũng
như các chứng cứ thu được, tất cả phải được giải thích rõ ràng trong báo cáo
quá trình điều tra.
 CHƯƠNG 2 :TỔNG QUAN VỀ CHỨNG CỨ ĐIỆN TỬ

2.1 Quan điểm về chứng cứ điện tử

2.1.1 Quan điểm trên thế giới

Tại Mỹ - nơi sớm có sự xuất hiện của loại tội phạm máy tính, cục điều tra
liên bang (FBI) đã công bố những khái niệm liên quan đến chứng cứ điện tử dựa
trên tài liệu của SWGDE/IOCE:

- Quy trình thu thập: Những thông tin hoặc thiết bị vật lý được lưu trữ cho mục
đích điều tra trở thành chứng cứ khi được tòa án công nhận. Quá trình thu thập
tuân thủ các điều luật về chứng cứ. Các đối tượng dữ liệu và thiết bị số chỉ trở
thành chứng cứ khi được thu thập bởi nhân viên thực thi pháp luật hoặc người
được chỉ định. Đối tượng dữ liệu: Là những đối tượng hoặc những thông tin có
giá trị chứng minh tội phạm liên quan đến thiết bị vật lý. Các đối tượng này có
thể tồn tại ở các định dạng khác nhau sao cho không làm thay đổi dữ liệu gốc.
- Chứng cứ điện tử: Là thông tin có giá trị chứng minh tội phạm được lưu trữ và
truyền tải dưới dạng dữ liệu số.
- Thiết bị số: Những thiết bị lưu trữ và truyền tải các đối tượng dữ liệu.
- Dữ liệu gốc: Những dữ liệu nằm trên thiêt bị số tại thời điểm thu thập.
- Nhân bản chứng cứ điện tử: Là sự nhân bản dữ liệu gốc một cách đúng đắn.
- Bản sao: Là sự nhân bản thông tin lưu trữ trên thiết bị gốc mà không phụ thuộc
vào thiết bị đó.

Tại Úc, Hiệp hội Digital Forensic cho rằng chứng cứ điện tử là thông tin có
giá trị điều tra liên quan đến các thiết bị số và các định dạng dữ liệu. Những
thông tin này được biểu diễn dưới dạng số, bao gồm: system logs, audit logs,
application logs, network logs, và các file hệ thống. Đồng thời các file do người
dùng tạo ra cũng có giá trị chứng minh hoạt động của tội phạm, siêu dữ liệu của
mỗi file này thể hiện rõ quá trình tạo, thay đổi nội dung file.

Tại Anh quốc, theo tổ chức ACPO (Association of Chief Police Officers)
cho rằng: chứng cứ điện tử có thể là các bản ảnh vật lý và logic của các thiết bị,
bản ảnh logic chứa một phần hoặc toàn bộ dữ liệu được chụp ngay khi tiếntrình
đang chạy. Điều tra viên phải dùng các công cụ chụp bản ảnh được pháp luật
công nhận. Trường hợp không phải là dữ liệu cục bộ mà là dữ liệu từ xa, điều
này cần thiết phải có người có thẩm quyền lấy dữ liệu đó về và trao cho tòa án
xác nhận, khi đó cơ quan điều tra mới được phép truy cập và điều tra về dữ liệu
đó. Mặt khác quy trình phát hiện, thu thập, điều tra, và bảo quản phải khách
quan, tuân thủ các đạo luật và được tòa án công nhận. Và khi một bên thứ ba lặp
lại đúng quy trình đó và thu được cùng kết quả. Để khách quan hơn, việc đánh
giá mức độ rủi ro dựa trên những yếu tố kỹ thuật và phi kỹ thuật là cần thiết.
Chẳng hạn những chứng cứ tiềm năng cái mà có thể được lưu trên những thiết
bị đặc biệt hoặc lịch sử tấn công trước đây của kẻ bị tình nghi.

2.1.2 Quan điểm của Việt Nam

Quá trình thực hiện các hành vi phạm tội của tội phạm công nghệ cao luôn
để lại các dấu vết điện tử. Đây là những dữ liệu tồn tại dưới dạng những tiến
hiệu kỹ thuật số. Nó được tạo ra một cách tự động, khách quan trong các bộ nhớ
của các thiết bị điện tử. Theo bộ luật Tố tụng hình sự năm 2015 có quy định:

Điều 99. Dữ liệu điện tử:

1. Dữ liệu điện tử là ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc
dạng tương tự được tạo ra, lưu trữ, truyền đi hoặc nhận được bởi phương tiện
điện tử.
 2. Dữ liệu điện tử được thu thập từ phương tiện điện tử, mạng máy tính,
mạng viễn thông, trên đường truyền và các nguồn điện tử khác.

3. Giá trị chứng cứ của dữ liệu điện tử được xác định căn cứ vào cách thức
khởi tạo, lưu trữ hoặc truyền gửi dữ liệu điện tử; cách thức bảo đảm và duy trì
tính toàn vẹn của dữ liệu điện tử; cách thức xác định người khởi tạo và các yếu
tố phù hợp khác. Trong văn bản quy định Luật giao dịch điện tử đã làm rõ một
số khái niệm có liên quan như: Dữ liệu: là thông tin dưới dạng ký hiệu, chữ viết,
chữ số, hình ảnh, âm thanh hoặc dạng tương tự.

Phương tiện điện tử: là phương tiện hoạt động dựa trên công nghệ điện,
điện tử, kỹ thuật số, từ tính, truyền dẫn không dây, quang học, điện từ.

Trao đổi dữ liệu điện tử (EDI - electronic data interchange): là sự chuyển

thông tin từ máy tính này sang máy tính khác bằng phương tiện điện tử theo một
tiêu chuẩn đã được thỏa thuận về cấu trúc thông tin.

Thông điệp dữ liệu: là thông tin được tạo ra, được gửi đi, được nhận và
được lưu trữ bằng phương tiện điện tử. Thông điệp dữ liệu có giá trị như văn
bản nếu thông tin chứa trong thông điệp đó có thể truy cập, sử dụng được để
tham chiếu khi cần thiết và nội dung của thông điệp dữ liệu được bảo đảm toàn
vẹn, không bị thay đổi. Giá trị chứng cứ của thông điệp dữ liệu được xác định,
căn cứ vào độ tin cậy của cách thức khởi tạo, lưu trữ và truyền gửi, cách thức
bảo đảm và duy trì tính toàn vẹn, cách thức xác định người khởi tạo và các yếu
tố phù hợp khác.

Như vậy, căn cứ theo các quy định của pháp luật tố tụng hình sự và luật
giao dịch điện tử thì dữ liệu điện tử có giá trị pháp lý như chứng từ, hồ sơ truyền
thống khi đáp ứng được những yêu cầu của pháp luật quy định. Qua đó có thể
nhận thấy rằng: Chứng cứ điện tử là những chứng cứ được lưu giữ dưới dạng tín
hiệu điện tử trong máy tính hoặc trong các thiết bị có bộ nhớ kỹ thuật số có liên
 quan đến vụ án hình sự. Những chứng cứ điện tử có thể thu thập được để chứng
minh hành vi phạm tội bao gồm:

- Những chứng cứ điện tử do máy tính tự động tạo ra như: “cookies”, “URL”, E-
mail logs, web server logs…

- Những thông tin điện tử do con người tạo ra được lưu giữ trong máy tính hoặc
các thiết bị điện tử khác, như các văn bản, bảng biểu, các hình ảnh, thông tin…
được lưu giữ dưới dạng tín hiệu điện tử. Để thu thập được những dấu vết điện tử
này, cần sử dụng kỹ thuật, công nghệ máy tính và phần mềm phù hợp để có thể
phục hồi lại những “dấu vết điện tử” đã bị xóa, bị ghi đè, những dữ liệu tồn tại
dưới dạng ẩn, đã mã hóa, những phần mềm, mã nguồn được cài đặt dưới dạng
ẩn, để làm cho có thể đọc được, ghi lại dưới hình thức có thể đọc được và có thể
sử dụng làm bằng chứng pháp lý trước tòa án.

2.2. Các loại bằng chứng điện tử :

Trước khi bắt đầu thu thập bằng chứng, điều quan trọng là phải biết các loại
danh mục bằng chứng khác nhau. Nếu không xem xét những điều này, sẽ dẫn
đến lãng phí thời gian và tiền bạc một cách vô ích.

Bằng chứng thực tế là bất kỳ bằng chứng nào tự nó nói lên mà không cần dựa
vào bất cứ điều gì khác.

Theo thuật ngữ điện tử, đây có thể là nhật ký được tạo ra bởi một chức năng
kiểm tra - với điều kiện là nhật ký đó có thể được chứng minh là không bị
nhiễm bẩn.

 Testimonial evidence :

Bằng chứng chứng thực là bất kỳ bằng chứng nào do nhân chứng cung cấp.
Loại bằng chứng này phụ thuộc vào độ tin cậy được nhận thức của nhân
chứng, nhưng miễn là nhân chứng có thể được coi là đáng tin cậy, bằng
 chứng chứng thực có thể có sức mạnh gần như bằng chứng thực. Các tài liệu
xử lý văn bản do một nhân chứng viết có thể được coi là lời chứng thực -
miễn là tác giả sẵn sàng tuyên bố rằng anh ta đã viết nó.

 Hearsay :

+ Bằng chứng do người không phải là người trực tiếp làm chứng đưa ra

+ Tài liệu xử lý văn bản được viết bởi ai đó mà không có kiến thức trực tiếp
về sự cố

Hearsay là bất kỳ bằng chứng nào được trình bày bởi một người không phải
là nhân chứng trực tiếp. Các tài liệu xử lý văn bản được viết bởi ai đó mà
không có kiến thức trực tiếp về sự cố là tin đồn. Hearsay thường không được
chấp nhận trước tòa và nên tránh.

2.3. Thu thập chứng cứ điện tử

Việc thu thập phương tiện điện tử, dữ liệu điện tử cần phải thực hiện chặt
chẽ và đúng quy định của pháp luật, tại Điều 107 Bộ luật TTHS quy định:

1. Phương tiện điện tử phải được thu giữ kịp thời, đầy đủ, mô tả đúng thực
trạng và niêm phong ngay sau khi thu giữ. Việc niêm phong, mở niêm phong
được tiến hành theo quy định của pháp luật. Trường hợp không thể thu giữ
phương tiện lưu trữ dữ liệu điện tử thì cơ quan có thẩm quyền tiến hành tố tụng
sao lưu dữ liệu điện tử đó vào phương tiện điện tử và bảo quản như đối với vật
chứng, đồng thời yêu cầu cơ quan, tổ chức, cá nhân liên quan lưu trữ, bảo toàn
nguyên vẹn dữ liệu điện tử mà cơ quan có thẩm quyền tiến hành tố tụng đã sao
lưu và cơ quan, tổ chức, cá nhân này phải chịu trách nhiệm trước pháp luật.
2. Khi thu thập, chặn thu, sao lưu dữ liệu điện tử từ phương tiện điện tử,
mạng máy tính, mạng viễn thông hoặc trên đường truyền, cơ quan có thẩm
quyền tiến hành tố tụng tiến hành phải lập biên bản và đưa vào hồ sơ vụ án.
 3. Khi nhận được quyết định trưng cầu giám định của cơ quan có thẩm
quyền tiến hành tố tụng thì cá nhân, tổ chức có trách nhiệm thực hiện phục hồi,
tìm kiếm, giám định dữ liệu điện tử.
4. Việc phục hồi, tìm kiếm, giám định dữ liệu điện tử chỉ được thực hiện
trên bản sao; kết quả phục hồi, tìm kiếm, giám định phải chuyển sang dạng có
thể đọc, nghe hoặc nhìn được.
5. Phương tiện điện tử, dữ liệu điện tử được bảo quản như vật chứng theo
quy định của Bộ luật này. Khi xuất trình chứng cứ là dữ liệu điện tử phải kèm
theo phương tiện lưu trữ dữ liệu hoặc bản sao dữ liệu điện tử.

Về quy định của pháp luật, theo quy định tại các Điều 86, Điều 87, Điều
88, Điều 107 và Điều 223 Bộ luật TTHS quy định về dữ liệu điện tử còn có sự
chưa đồng nhất, như tại khoản 1 Điều 107 như “ Phương tiện điện tử phải được
thu giữ kịp thời, đầy đủ, mô tả đúng thực trạng và niêm phong ngay sau khi thu
giữ. Việc niêm phong, mở niêm phong được tiến hành theo quy định của pháp
luật”.

Trường hợp không thể thu giữ phương tiện lưu trữ dữ liệu điện tử thì cơ
quan có thẩm quyền tiến hành tố tụng sao lưu dữ liệu điện tử đó vào phương
tiện điện tử và bảo quản như đối với vật chứng, đồng thời yêu cầu cơ quan, tổ
chức, cá nhân liên quan lưu trữ, bảo toàn nguyên vẹn dữ liệu điện tử mà cơ quan
có thẩm quyền tiến hành tố tụng đã sao lưu và cơ quan, tổ chức, cá nhân này
phải chịu trách nhiệm trước pháp luật thì có thể nhận thấy ở đây xem “thu thập
phương tiện điện tử” và “thu giữ phương tiện điện tử” là giống nhau, nhưng
thực tế là hoàn toàn khác nhau. Bởi vì, dữ liệu điện tử là một trong những nguồn
chứng cứ phải thu thập, còn phương tiện điện tử là nơi để chứa đựng “dữ liệu
điện tử”. Mặt khác, việc thu thập và bảo quản cũng sẽ liên quan đến nhiều yếu
tố như trách nhiệm của người thu thập, người bảo quản dữ liệu được chép, dữ
liệu gốc và liên quan đến việc thu thập dữ liệu điện tử mật. Vì vậy, cần phải có
văn bản hướng dẫn cụ thể những vấn đề này.
 Về năng lực của những người làm công tác kiểm tra, đánh giá chứng cứ
điện tử. Khi tiến hành giải quyết vụ án hình sự có liên quan đến dữ liệu điện tử
đòi hỏi những người tiến hành tố tụng phải có trình độ am hiểu nhất định về
công nghệ thông tin và dữ liệu điện tử, nhất là trong các vụ án đối tượng phủ
nhận hành vi phạm tội và sử dụng các thao tác trên máy tính, đường truyền thì
đòi hỏi phải có cách tiếp cận dữ liệu, thu giữ kịp thời, bảo vệ dữ liệu và giải mã
dữ liệu. Vì vậy, cần đòi hỏi phải có sự hổ trợ từ các cơ quan chuyên môn cao
hơn, nhưng việc này sẽ ảnh hưởng đến thời hạn theo quy định của tố tụng hình
sự. Cho nên, cần phải có quy chế giữa các cơ quan tiến hành tố tụng và cơ quan
chuyên môn để có sự phối hợp kịp thời, đúng quy định.

Việc thu thập phương tiện điện tử và dữ liệu điện tử phải đảm bảo yêu cầu:

- Tính hợp pháp: phải theo đúng quy định của pháp luật tố tụng hình sự về khám
xét, thu giữ, lập biên bản, chụp ảnh, vẽ sơ đồ, bảo quản vật chứng, lưu trữ dữ
liệu điện tử để bảo đảm giá trị pháp lý của dữ liệu điện tử cũng như các điều
kiện để dữ liệu điện tử có thể sử dụng làm chứng cứ.
- Tính xác thực: Đảm bảo trước, trong và sau khi thu giữ vật chứng lưu dữ liệu
điện tử và dữ liệu điện tử đã thu giữ và lưu vào phương tiện điện tử không thể bị
tác động bởi các yếu tố bên ngoài làm thay đổi dữ liệu. Có đủ căn cứ chứng
minh vật chứng và dữ liệu điện tử làm chứng cứ có thật, tồn tại khách quan,
không bị làm sai lệch, biến dạng. Như vậy, phải chứng minh dữ liệu lưu trong
tang vật, nguồn không bị thay đổi kể từ khi thu giữ hợp pháp và không thể can
thiệp làm thay đổi; chứng minh được nguyên lý, công nghệ hình thành dữ liệu
làm chứng cứ như IP, logfile truy cập, mã độc, email, chat, tin nhắn..., từ đó để
lại dấu vết điện tử, tồn tại khách quan.

Để dữ liệu điện tử có giá trị chứng cứ như “hồ sơ truyền thống”, hoạt động
của cơ quan tiến hành tố tụng như thu thập, bảo quản, phục hồi, giải mã, phân
tích, tìm kiếm, giám định dữ liệu điện tử phải được thực hiện đúng trình tự, thủ
tục tố tụng hình sự về khám xét, lập biên bản, niêm phong, thu giữ, bảo quản vật
chứng có lưu dữ liệu điện tử (ổ cứng máy tính, điện thoại thông minh, USB, thẻ
nhớ, đĩa quang, camera, máy ảnh, email...). Khi bàn giao tang vật cho chuyên
gia phục hồi dữ liệu để sao chép dữ liệu, phải làm thủ tục mở niêm phong và
niêm phong lại theo qui định của pháp luật. Việc sao chép dữ liệu phải đảm bảo
tính nguyên trạng và toàn vẹn của dữ liệu lưu trong tang vật và có sự làm chứng
của những người đã ký vào biên bản niêm phong. Việc phục hồi, giải mã, phân
tích, tìm kiếm dữ liệu chỉ thực hiện trên bản sao (dữ liệu trong tang vật không bị
tác động và được bảo quản toàn vẹn theo qui định của pháp luật). Đồng thời, dữ
liệu điện tử phải được chuyển sang dạng có thể đọc được, nhìn được, nghe được
(in ra giấy, ghi vào đĩa quang, USB, ổ cứng...), lập biên bản về nội dung dữ liệu
điện tử, kèm theo lời khai và xác nhận của người phạm tội, người làm chứng
theo đúng quy định của pháp luật.

2.4. Thu thập bằng chứng kỹ thuật số về cơ bản bao gồm một quy trình tuần tự 3
bước:

 Nắm bắt các phương tiện điện tử có sẵn.

 Thu nhận và tạo hình ảnh pháp y trên các phương tiện điện tử phục vụ
công tác khám nghiệm.

 Phân tích hình ảnh pháp y của phương tiện ban đầu. Điều này đảm bảo
rằng phương tiện gốc không bị sửa đổi trong quá trình phân tích và giúp bảo
toàn giá trị xác thực của bằng chứng.
2.5. Phương pháp thu thập

Có hai hình thức thu thập cơ bản: Freezing the scene và Honeypotting. Cả
hai không loại trừ lẫn nhau. Bạn có thể thu thập thông tin đóng băng sau hoặc
trong bất kỳ honeypotting nào.
Freezing the scene liên quan đến việc chụp ảnh hệ thống ở trạng thái bị
xâm phạm. Các cơ quan chức năng cần thiết phải được thông báo (cảnh sát và
đội phản ứng sự cố của bạn và đội pháp lý), nhưng bạn chưa nên đi ra ngoài và
nói với thế giới. Sau đó, bạn nên bắt đầu thu thập bất kỳ dữ liệu nào quan trọng
trên phương tiện không bay hơi có thể tháo rời ở định dạng tiêu chuẩn. Đảm bảo
rằng các chương trình và tiện ích được sử dụng để thu thập dữ liệu cũng được
thu thập trên cùng một phương tiện với dữ liệu. Tất cả dữ liệu được thu thập
phải được tạo bản thông báo mật mã và các bản thông báo đó phải được so sánh
với bản gốc để xác minh.
Honeypotting là quá trình tạo ra một hệ thống sao chép và dụ kẻ tấn công
vào đó để theo dõi thêm. Một phương pháp liên quan (sandboxing) liên quan
đến việc hạn chế những gì kẻ tấn công có thể làm trong khi vẫn ở trên hệ thống
bị xâm nhập, do đó, anh ta có thể bị theo dõi mà không bị thiệt hại (nhiều) hơn
nữa. Việc đặt thông tin sai lệch và phản ứng của kẻ tấn công với nó là một
phương pháp tốt để xác định động cơ của kẻ tấn công. Bạn phải đảm bảo rằng
mọi dữ liệu trên hệ thống liên quan đến hành động và phát hiện của kẻ tấn công
đều được xóa hoặc mã hóa; nếu không họ có thể che dấu vết của mình bằng
cách phá hủy nó. Honeypotting và sandboxing cực kỳ tiêu tốn tài nguyên, vì vậy
chúng có thể không khả thi để thực hiện. Ngoài ra còn có một số vấn đề pháp lý
phải đối mặt, quan trọng nhất là vướng mắc.
2.6. Các quy tắc thu thập bằng chứng điện tử

Có năm quy tắc thu thập bằng chứng điện tử. Những điều này liên quan
đến năm thuộc tính mà bằng chứng phải hữu ích.
1. Chấp nhận
2. Xác thực
3. Hoàn thành
4. Đáng tin cậy
5. Đáng tin

1. Chấp nhận
Chấp nhận là quy tắc cơ bản nhất. Bằng chứng phải có thể được sử dụng
tại tòa án hoặc cách khác. Không tuân thủ quy tắc này tương đương với việc
không thu thập bằng chứng ngay từ đầu, ngoại trừ chi phí sẽ cao hơn.
2. Xác thực
Nếu bạn không thể gắn bằng chứng xác thực vào sự việc, bạn không thể
sử dụng nó để chứng minh bất cứ điều gì.
Bạn phải có khả năng chứng minh rằng bằng chứng liên quan đến sự việc một
cách có liên quan.
3. Hoàn thành
Việc thu thập bằng chứng chỉ thể hiện một góc nhìn của vụ việc là chưa
đủ. Không chỉ thu thập bằng chứng có thể chứng minh hành động của kẻ tấn
công mà còn bằng chứng có thể chứng minh họ vô tội. Ví dụ: nếu bạn có thể
cho thấy kẻ tấn công đã đăng nhập vào thời điểm xảy ra sự cố, bạn cũng cần cho
biết ai khác đã đăng nhập và lý do bạn cho rằng họ không làm điều đó. Đây
được gọi là bằng chứng cắt nghĩa và là một phần quan trọng để chứng minh một
vụ án.
 4. Đáng tin cậy
Bằng chứng bạn thu thập phải đáng tin cậy. Các thủ tục thu thập và phân
tích bằng chứng của bạn không được gây nghi ngờ về tính xác thực và tính xác
thực của bằng chứng.
5 . Đáng tin
Bằng chứng bạn trình bày phải rõ ràng dễ hiểu và đáng tin cậy đối với bồi
thẩm đoàn. Không có lý do gì để trình bày kết xuất nhị phân của bộ nhớ quá
trình nếu ban giám khảo không biết tất cả ý nghĩa của nó. Tương tự, nếu bạn
trình bày chúng với một phiên bản được định dạng, con người có thể hiểu được,
bạn phải thể hiện mối quan hệ với bản nhị phân ban đầu, nếu không sẽ không có
cách nào để bồi thẩm đoàn biết liệu bạn có giả mạo hay không. Sử dụng năm
quy tắc trước, bạn có thể rút ra một số điều nên làm và không nên làm cơ bản:
 Giảm thiểu việc xử lý và làm hỏng dữ liệu gốc.
 Tài khoản cho bất kỳ thay đổi nào và giữ nhật ký chi tiết về các hành
động của bạn.
 Tuân thủ năm quy tắc về bằng chứng.
 Đừng vượt quá kiến thức của bạn.
 Tuân theo chính sách bảo mật địa phương của bạn.
 Chụp ảnh hệ thống càng chính xác càng tốt.
 Hãy chuẩn bị để làm chứng.
 Làm việc nhanh.
 Tiến hành từ bằng chứng dễ bay hơi đến dai dẳng.
 Đừng tắt máy trước khi thu thập bằng chứng.
 Không chạy bất kỳ chương trình nào trên hệ thống bị ảnh hưởng.
Giảm thiểu xử lý và làm hỏng dữ liệu gốc :

Khi bạn đã tạo bản sao chính của dữ liệu gốc, đừng chạm vào bản sao đó
hoặc bản gốc. Luôn xử lý các bản sao phụ. Bất kỳ thay đổi nào được thực hiện
đối với bản gốc sẽ ảnh hưởng đến kết quả của bất kỳ phân tích nào sau này được
thực hiện đối với các bản sao. Bạn nên đảm bảo rằng bạn không chạy bất kỳ
chương trình nào sửa đổi thời gian truy cập của tất cả các tệp (chẳng hạn như tar
và xcopy). Bạn cũng nên loại bỏ bất kỳ con đường bên ngoài nào để thay đổi và
nói chung, phân tích bằng chứng sau khi nó đã được thu thập.

Tài khoản cho bất kỳ thay đổi và giữ nhật ký chi tiết về hành động của bạn

Đôi khi sự thay đổi bằng chứng là không thể tránh khỏi. Trong những
trường hợp này, điều hoàn toàn cần thiết là bản chất, mức độ và lý do cho
những thay đổi phải được ghi lại. Bất kỳ thay đổi nào cũng phải được tính đến
— không chỉ thay đổi dữ liệu mà còn thay đổi vật lý của bản gốc (loại bỏ các
thành phần phần cứng).

Tuân thủ năm quy tắc bằng chứng :

Năm quy tắc ở đó là có lý do. Nếu bạn không theo dõi họ, có lẽ bạn đang
lãng phí thời gian của mình mộtkhoản tiền thứ hai. Tuân thủ các quy tắc này là
điều cần thiết để đảm bảo thu thập bằng chứng thành công.

Không vượt quá kiến thức của bạn :

Nếu bạn không hiểu mình đang làm gì, bạn không thể tính đến bất kỳ
thay đổi nào bạn thực hiện và bạn không thể mô tả chính xác những gì bạn đã
làm. Nếu bạn thấy mình "vượt quá chiều sâu của mình", hãy đi và tìm hiểu thêm
trước khi tiếp tục (nếu có thời gian) hoặc tìm một người biết lãnh thổ. Không
bao giờ lính trên bất kể. Anh sẽ làm hỏng vụ án của mình.
Tuân thủ Chính sách bảo mật cục bộ của bạn :

Nếu bạn không tuân thủ chính sách bảo mật của công ty, bạn có thể thấy
mình gặp một số khó khăn. Bạn không chỉ có thể gặp rắc rối (và có thể bị sa thải
nếu bạn đã làm điều gì đó thực sự trái với chính sách), nhưng bạn có thể không
thể sử dụng bằng chứng bạn đã thu thập được. Nếu nghi ngờ, hãy nói chuyện
với những người biết.

Chụp ảnh hệ thống chính xác nhất có thể :

Chụp ảnh chính xác hệ thống có liên quan đến việc giảm thiểu việc xử lý
hoặc làm hỏng dữ liệu gốc. Sự khác biệt giữa hệ thống ban đầu và bản sao chính
được tính là một thay đổi đối với dữ liệu. Bạn phải có khả năng tính đến sự khác
biệt.

Hãy chuẩn bị để làm chứng :

Nếu bạn không sẵn sàng làm chứng cho bằng chứng bạn đã thu thập
được, bạn cũng có thể dừng lại trước khi bạn bắt đầu. Không có người thu thập
bằng chứng ở đó để xác nhận các tài liệu được tạo ra trong quá trình thu thập
bằng chứng, bằng chứng trở thành tin đồn, điều này là không thể chấp nhận
được. Hãy nhớ rằng các bạn có thể cần phải làm chứng sau này. Sẽ không ai tin
bạn nếu họ không thể sao chép hành động của bạn và đạt được kết quả tương tự.
Điều này cũng có nghĩa là kế hoạch hành động của bạn không nên dựa trên bản
dùng thử và lỗi.

Làm việc nhanh chóng :

Bạn làm việc càng nhanh, dữ liệu càng ít có khả năng thay đổi. Bằng
chứng dễ bay hơi có thể biến mất hoàn toàn nếu bạn không thu thập nó đúng
lúc. Điều này không có nghĩa là bạnđang vội vàng. Bạn vẫn phải thu thập dữ
liệu chính xác. Nếu có nhiều hệ thống liên quan, hãy làm việc song song với
chúng (một nhóm các nhà điều tra sẽ hữu ích ở đây), nhưng mỗi hệ thống duy
nhất vẫn nên được làm việc một cách có phương pháp. Tự động hóa một số tác
vụ nhất định làm cho thu thập tiến hành nhanh hơn nữa.

Tiến hành từ bằng chứng dễ bay hơi đến dai dẳng :

Một số bằng chứng điện tử (được thảo luận sau) dễ bay hơi hơn những
bằng chứng khác. Bởi vì điều này, bạn nên luôn luôn cố gắng thu thập bằng
chứng dễ bay hơi nhất trước tiên.

Không tắt máy trước khi thu thập bằng chứng :

Bạn không bao giờ nên, không bao giờ tắt một hệ thống trướckhi bạn sử
dụng bằng chứng. Bạn không chỉ mất bất kỳ bằng chứng dễ bay hơi nào, mà cả
kẻ tấn công cũng có thể đã trojan (thông qua trojan horse) các tập lệnh khởi
động và tắt máy, các thiết bị cắm và chạy có thể thay đổi cấu hình hệ thống và
hệ thống tệp tạm thời có thể bị xóa sổ. Khởi động lại thậm chí còn tồi tệ hơn và
nên bị vô hiệu hóa bằng mọi giá. Theo quy định chung, cho đến khi đĩa bị xâm
phạm kết thúc và khôi phục, nó không bao giờ nên được sử dụng làm đĩa khởi
động.

Không chạy bất kỳ chương trình nào trên hệ thống bị ảnh hưởng :

Bởi vì kẻ tấn công có thể đã để lại các chương trình và thư viện trojan
trên hệ thống the, bạn có thể vô tình kích hoạt một cái gì đó có thể thay đổi hoặc
phá hủy bằng chứng bạn đang tìm kiếm. Bất kỳ chương trình nào bạn sử dụng
phải nằm trên phương tiện chỉ đọc (chẳng hạn như CD-ROM hoặc đĩa mềm
được bảo vệ chống ghi) và phải được liên kết tĩnh.