PHÁP CHỨNG KỸ THUẬT SỐ

Bài 3: Quy trình điều tra pháp chứng kỹ

thuật số

Giảng viên: TS. Đàm Quang Hồng Hải

Quy trình điều tra pháp chứng kỹ thuật số là gì
• Quy trình điều tra pháp chứng kỹ thuật số là một quá trình:
• Bảo tồn, xác nhận, xác định, phân tích, giải thích, viết tài liệu và
trình bày của các bằng chứng kỹ thuật số có nguồn gốc từ các dữ
liệu điện tử cho các mục đích xây dựng lại các sự kiện để tìm ra tội
phạm
• Giúp đỡ để pháp chứng viên dự đoán các hành động trái phép của
tội phạm.
• Quy trình điều tra pháp chứng kỹ thuật số bao gồm các thủ tục
và kỹ thuật được sử dụng sẽ được cho phép đưa kết quả ra trước
tòa án.
• Ví dụ, một cuộc điều tra pháp chứng kỹ thuật số có thể được bắt
đầu để trả lời một câu hỏi về việc có hay không quá trình điều tra
các hình ảnh kỹ thuật số thu được trên một máy tính.
Quy trình điều tra pháp chứng kỹ thuật số
• Với Pháp chứng viên, một cuộc điều tra pháp chứng
kỹ thuật số thường bao gồm 4 giai đoạn:
• Tập hợp chứng cứ điều tra (Evidence),
• Xem xét dữ liệu hay còn gọi là xem xét chứng cứ số
(Acquisition),
• Phân tích chứng cứ (Analysis)
• Lập báo cáo (Reporting)
Tập hợp chứng cứ chuẩn bị điều tra
• Thực hiện việc mô tả lại thông tin chứng cứ thu
thập, những gì đã xảy ra, các dấu hiệu, để xác định
phạm vi điều tra, mục đích cũng như các tài nguyên
cần thiết sẽ sử dụng trong suốt quá trình điều tra.
Biểu mẫu thu giữ các tang vật máy tính
Hồ sơ thu giữ các tang vật máy tính
Hồ sơ liên quan đến các thiết bị ngoại vi
Thông tin bằng chứng máy tính
Bằng chứng số về CMOS
Biểu mẫu bằng chứng trong đĩa cứng
Hồ sơ bằng chứng trong đĩa cứng
Bằng chứng về nội dung trong đĩa cứng
Tiếp nhận dữ liệu điện tử
• Tạo ra các bản sao chính xác các sector hay còn gọi
là nhân bản điều tra các phương tiện truyền thông,
• Xác định rõ các nguồn dữ liệu điện tử sau đó thu
thập và bảo vệ tính toàn vẹn của chứng cứ bằng việc
sử dụng hàm băm mật mã.
Ví dụ quy trình tiếp nhận chứng cứ số
Phân tích các dữ liệu điện tử
• Các chuyên gia sử dụng các phương pháp nghiệp vụ,
các kỹ thuật cũng như công cụ khác nhau để trích
xuất, thu thập và phân tích tìm các bằng chứng số.
Các câu hỏi khi phân tích dữ liệu điện tử
Các kiến thức mà người Pháp chứng viên phải biết
• Người Pháp chứng viên cần phải hiểu rõ các tài liệu
nghề nghiệp Pháp chứng kỹ thuật số, các tài liệu
hướng dẫn từ các cơ quan quản lý, các quy định của
pháp luật trước khi phân tích các dữ liệu điện tử.
• Người Pháp chứng viên cần phải hiểu rõ các quy
định về tội phạm máy tính để có thể đề cập chính
xác về hành vi của nghi phạm.
• Người Pháp chứng viên cần phải có các kiến thức về
các quy định nghề nghiệp chuyên môn cần thiết.
Tài liệu nghề nghiệp Pháp chứng kỹ thuật số
Bộ tư pháp Hoa Kỳ (DOJ ) ban hành tài liệu nghề nghiệp
dành cho nghề Pháp chứng kỹ thuật số: "Searching and
Seizing Computers and Obtaining Electronic Evidence in
Criminal Investigations”. Nội dung bao gồm
• Tìm kiếm bằng chứng máy tính khi không có lệnh của
tòa.
• Tìm kiếm bằng chứng máy tính khi có lệnh của tòa.
• Đạo luật lưu trữ truyền thông
• Giám sát điện tử trong truyền thông mạng
• Các vấn đề bằng chứng số
Tài liệu nghề nghiệp Pháp chứng kỹ thuật số
Tài liệu nghề nghiệp
dành cho nghề Pháp
chứng kỹ thuật số của
Bộ Tư pháp Hoa kỳ
Tài liệu hướng dẫn từ các cơ quan quản lý
Tài liệu hướng dẫn của
Bộ Tư pháp Hoa kỳ
cho các cơ quan thực
thi pháp luật về điều
tra các Bằng chứng số
Quy định với tội pham máy tính
• Hoa Kỳ là một nước đã có ban hành một số luật liên
quan đến an toàn thông tin
• Bộ Tư Pháp Hoa Kỳ (DOJ ) chia tội phạm máy tính
thành các loại riêng biệt, chủ yếu như sau:
• Tấn công trực tiếp vào một mạng máy tính hoặc thiết
bị di động : hacking, virus, các phần mềm độc hại …
• Giả mạo danh tính, hoạt động gián điệp đánh cấp
thông tin, dữ liệu công ty, chính phủ …
• Xâm nhập bất hợp pháp vào lưu trữ hoặc thông tin
liên lạc qua đường truyền điện tử.
Lập báo cáo pháp chứng kỹ thuật số
• Sau khi thu thập được những chứng cứ có giá trị và
có tính thuyết phục thì tất cả phải được tài liệu hóa
lại rõ ràng, chi tiết và viết báo cáo lại cho bộ phận
có trách nhiệm xử lý chứng cứ thu được.
• Công việc viết báo cáo bao gồm thu thập dữliệu,
phân tích và đưa ra những suy luận logic, thông
thường đây là bước cơ bản cho việc các cấp công
quyền đưa ra quyết định và hành động.
Thế nào là một bản báo cáo điều tra
• Bản báo cáo là một văn bản trình bày những dữ kiện
và phân tích để chuyển tải thông tin dưới dạng kiến
thức.
• Các kỹ năng viết báo cáo cần phải được trau dồi
bằng cách học cách viết báo cáo, đặc biệt là các báo
cáo chuyên nghiệp như báo cáo Pháp chứng kỹ thuật
số.
• Hiện nay đã có những công cụ giúp cho Pháp chứng
viên tổng hợp thông tin và giúp viết các báo cáo
pháp chứng kỹ thuật số.
Ví dụ một báo cáo điều tra trên một laptop
Quá trình chuẩn bị viết báo cáo
• Pháp chứng viên cần biết cách viết báo cáo pháp
chứng kỹ thuật như thế nào cho hiệu quả hoặc sử
dụng các công cụ làm báo cáo pháp chứng kỹ thuật
để có một bản báo cáo trình bày hoặc "bán“ sản
phẩm của mình một các tốt nhất.
• Khi viết một báo cáo pháp chứng kỹ thuật số, người
Pháp chứng viên cần suy nghĩ kỹ về nội dung báo
cáo, phương pháp và đối tượng sẽ đọc báo cáo của
mình.
Mục đích của bản báo cáo pháp chứng số
• Người Pháp chứng viên cần phải hãy tự hỏi mình ra
lý do để mình viết báo báo và mục đích viết bản báo
cáo là gì, đối tượng nhận báo cáo là ai, báo cáo liên
quan đến một vụ án (case) nào.
• Khi mục đích của bản báo cáo đã rõ ràng, người
Pháp chứng viên có thể xác định được mục tiêu để
viết báo cáo.
• Mục tiêu cần được nêu rõ trong bản báo cáo và mục
tiêu xác định chính xác về những gì mà Pháp chứng
viên cần phải đạt được trong báo cáo.
Xác định phạm vi của báo cáo
• Phạm vi của báo cáo cần phải xác định căn cứ vào
đối tượng sử dụng báo cáo như cấp trên, tòa án …
• Cung cấp dữ liệu(các sự kiện), không phân tích hay bình
luận.
• Cung cấp thông tin (dữ liệu và phân tích) liên quan đến
vụ án cần giải quyết.
• Đề xuất quyết định dựa trên các bằng chứng số hay kiến
thức tổng hợp.
• Trình bày cách thức khởi xướng triển khai hành động liên
quan và đề xuất người thực hiện.
Cấu trúc bản báo cáo pháp chứng số
• Báo cáo pháp chứng số phải có các mức độ chi tiết lựa
chọn đa dạng và nên tách riêng các phần trình bầy bằng
chứng số, phân tích và các kết luận và kiến nghị.
• Các bằng chứng số có thể trình bầy như các bản phụ lục
kèm theo bản báo cáo. Trong các phụ lục, thông tin có
mức độ chi tiết cao nhất và hữu ích đối với người có
nhu cầu tham khảo hoặc các chuyên gia.
• Các kết luận và kiến nghị của Pháp chứng viên cơ bản
thường dựa trên những nhận định mang tính chủ quan,
tuy nhiên khi đọc các phần trình bầy bằng chứng số và
phân tích thì người đọc có thể tự hình thành ý
kiến riêng của mình
Ví dụ báo cáo điều tra chuyên sâu
Ví dụ báo cáo điều tra chuyên sâu (tiếp)
Ví dụ báo cáo điều tra chuyên sâu (tiếp)
Trình bầy các bằng chứng số trong báo cáo
• Cần có sự thống nhất trong các bằng chứng số. Các
bằng chứng số và sự kiện đưa ra phải xác thực và
được kiểm tra cẩn thận.
• Nếu có điều gì không chắc chắn về bằng chứng số
mà người Pháp chứng viên không thể xác minh thì
cần nêu rõ trong bản báo cáo.
• Bản báo cáo của người Pháp chứng viên sử dụng các
bằng chứng số sai sẽ không có giá trị, người Pháp
chứng viên sẽ phải chịu trách nhiệm về pháp lý đối
với những thông tin sai lạc.
Phần mềm Forensic Toolkit
• Forensic Toolkit® (FTK®) là một phần mềm pháp chứng
được phát triển bởi AccessData và được chấp nhận rộng rãi
trên thế giới là một công cụ chuẩn cho pháp chứng số
• Đặc trưng của phần mềm là có thể trình bầy các thông tin
dưới dạng đồ họa và cho khả năng phân tích dữ liệu nhanh
• Có khả năng phá mã đa dạng và nhanh chóng
• Các khả năng phân tích mã độc cao
Bắt đầu một case trong Forensic Toolkit

• Vào thông tin case chọn New Case, điều này cho phép Pháp
chứng viên có thể lưu trữ nhiều case khác nhau
Lựa chọn các tham số khi điều tra

• Pháp chứng viên có thể lựa chọn các tham số của case và
case tự động sinh ra dữ liệu phù hợp khi thực hiện điều tra,
điều này rất cần thiết khi làm các báo cáo điều tra hay trình
bầy case trước tòa án
Nhập các bằng chứng số

• Pháp chứng viên lựa chọn nhập các bằng chứng số mà mình
thu thập như ảnh các ổ đĩa (file ISO), USB … . Forensic
Toolkit sẽ thực hiện điều tra trên các bằng chứng cung cấp
Xem lại thông tin và tiến hành xử lý

• Pháp chứng viên xem lại thông tin của case trước khi bắt
đầu cho máy tính xử lý các bằng chứng.
Tạo ra Bookmark và lựa chọn tools

• Pháp chứng viên có thể tạo ra Bookmark tương ứng với các
File và và lựa chọn tools để xử lý.
Lựa chọn thông tin sau xử lý

• Pháp chứng viên chọn các file mà mình muốn copy và xuất
ra thư mục hoặc file, điều này cần thiết khi phát hiện ra các
file nhậy cảm.
Lựa chọn thông tin cần tìm kiếm

• Pháp chứng viên có thể chọn những thông tin cần tìm
kiếm trong các file bằng chứng để tìm ra nhửng dữ liệu
nhậy cảm
Tạo báo cáo về case trong Forensic Toolkit

• Pháp chứng viên nhập những thông tin về case và các yêu
cầu in thông tin trong báo cáo cho phù hợp với yêu cầu
của mình.
Tạo các section trong báo cáo và các file bổ
sung
Tổng quát một báo cáo trên máy về File
Phân tích thông tin trong báo cáo
• Trong báo cáo, người Pháp chứng viên cần phải phân
tích trình bày những thông tin liên quan đến vấn đề
trong báo cáo.
• Phân tích thông tin phản ánh mục đích rộng của bản báo
cáo, đặt ra vấn đề cần được giải quyết và nêu rõ những
đóng góp của báo cáo vào việc giải quyết những vấn đề
đó.
• Ở một số điểm khi phân tích, Pháp chứng viên có thể
cần đến các thông tin bằng chứng đểcủng cố lập luận
của mình và cần trình bầy các thông tin bằng chứng này
trong báo cáo hoặc trong các phụ lục. .
Ví dụ phần phân tích trong báo cáo
Kết luận và kiến nghị trong báo cáo
• Sau khi phân tích trình bày những thông tin liên
quan đến vấn đề. Pháp chứng viên cần có các đánh
giá và đưa ra kiến nghị (nếu cần thiết) về các quyết
định và hành động tiếp theo.
• Pháp chứng viên có thể đưa ra các đánh giá các giải
pháp có thể và đưa ra lựa chọn các giải pháp tối ưu.
• Các kết luận và kiến nghị có thể thường dựa trên
những nhận định có tính chủquan của Pháp chứng
viên.
Ví dụ phần kết luận báo cáo
Hết bài 3