Chứng cứ điện tử thực trạng và định hướng giải pháp công nghệ tại việt nam
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (5.92 MB, 106 trang )
ĐẠI HỌC QUỐC GIA TP. HỒ CHÍ MINH
TRƯỜNG ĐẠI HỌC BÁCH KHOA
---------------------------------------
LÊ NGUYỄN KHÁNH DUY
CHỨNG CỨ ĐIỆN TỬ
THỰC TRẠNG VÀ ĐỊNH HƯỚNG
GIẢI PHÁP CÔNG NGHỆ TẠI VIỆT NAM
Ngành:
Mã số:
KHOA HỌC MÁY TÍNH
60.48.01.01
LUẬN VĂN THẠC SĨ
TP.HỒ CHÍ MINH, tháng 7 năm 2018
CƠNG TRÌNH ĐƯỢC HỒN THÀNH TẠI
TRƯỜNG ĐẠI HỌC BÁCH KHOA –ĐHQG –HCM
Cán bộ hướng dẫn khoa học : TS. Phạm Quốc Cường
(Ghi rõ họ, tên, học hàm, học vị và chữ ký)
Cán bộ chấm nhận xét 1 : TS. Nguyễn Trần Hữu Nguyên
(Ghi rõ họ, tên, học hàm, học vị và chữ ký)
Cán bộ chấm nhận xét 2 : PGS. TS. Phan Công Vinh
(Ghi rõ họ, tên, học hàm, học vị và chữ ký)
Luận văn thạc sĩ được bảo vệ tại Trường Đại học Bách Khoa, ĐHQG Tp. HCM
ngày 18 tháng 07 năm 2018
Thành phần Hội đồng đánh giá luận văn thạc sĩ gồm:
(Ghi rõ họ, tên, học hàm, học vị của Hội đồng chấm bảo vệ luận văn thạc sĩ)
1. TS. Lê Thành Sách
2. TS. Lê Trọng Nhân
3. TS. Nguyễn Trần Hữu Nguyên
4. PGS. TS. Phan Công Vinh
5. TS. Lê Hồng Trang
Xác nhận của Chủ tịch Hội đồng đánh giá LV và Trưởng Khoa quản lý chuyên
ngành sau khi luận văn đã được sửa chữa (nếu có).
CHỦ TỊCH HỘI ĐỒNG
TRƯỞNG KHOA…………
ĐẠI HỌC QUỐC GIA TP.HCM
TRƯỜNG ĐẠI HỌC BÁCH KHOA
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
NHIỆM VỤ LUẬN VĂN THẠC SĨ
Họ tên học viên: LÊ NGUYỄN KHÁNH DUY ........................ MSHV: 7140226 ............
Ngày, tháng, năm sinh: 30/01/1989 ........................................... Nơi sinh: Tp.Hồ Chí Minh
Ngành: KHOA HỌC MÁY TÍNH ............................................ Mã số : 60.48.01.01 .......
I. TÊN ĐỀ TÀI:
Chứng cứ điện tử, thực trạng và định hướng giải pháp công nghệ tại Việt Nam ...............
.............................................................................................................................................
II. NHIỆM VỤ VÀ NỘI DUNG:
- Tìm hiểu tổng quan về chứng cứ điện tử.
- Tìm hiểu tình hình hiện tại về chứng cứ điện tử tại Việt Nam.
- Phân tích các cơng nghệ đang được sử dụng cho việc tìm kiếm và phân tích chứng cứ
điện tử.
- Đề xuất áp dụng các cơng nghệ và kỹ thuật phù hợp cho tình hình tại Việt Nam.
III. NGÀY GIAO NHIỆM VỤ : 10/07/2017 ...................................................................
IV. NGÀY HOÀN THÀNH NHIỆM VỤ: 18/07/2018....................................................
V. CÁN BỘ HƯỚNG DẪN: TS. Phạm Quốc Cường ......................................................
Tp. HCM, ngày . . . . tháng .. . . năm 20....
CÁN BỘ HƯỚNG DẪN
(Họ tên và chữ ký)
TRƯỞNG KHOA KH & KTMT
(Họ tên và chữ ký)
Lời cảm ơn
Đầu tiên em xin gửi lời cảm ơn chân thành nhất đến thầy TS. Phạm Quốc Cường.
Thầy dẫn dắt em từ những bước đi đầu tiên của đề tài, đưa ra những lời khuyên, đưa ra
những chỉ dẫn cho em trong suốt q trình nghiên cứu. Nếu khơng có sự hướng dẫn
của thầy, đề tài này sẽ khơng thể có kết quả như hơm nay.
Em xin dành những sự tri ân chân thành và to lớn đến toàn thể quý thầy cô của Khoa
Khoa học và Kỹ thuật Máy tính mà em đang theo học. Nhờ những sự tận tình giảng
dạy, truyền đạt kiến thức và kinh nghiệm quý báu qua từng bài giảng mà em có thêm
được sự vun đắp, vững chắc trong vốn hiểu biết của mình, để từ đó làm nền tảng cho
em hồn thành được đề tài ngày hôm nay.
Em cũng không quên bày tỏ lịng biết ơn đến gia đình, người thân của mình, những
người đã ln quan tâm, động viên và chăm sóc em qua từng ngày để em có được sức
khỏe, tinh thần và mơi trường phát triển, giúp em có được như ngày hôm nay. Cuối
cùng em xin cảm ơn những người bạn đã hỗ trợ, chia sẻ để em hoàn thành tốt được đề
tài này.
Với toàn bộ sự biết ơn sâu sắc đó, em xin gửi lời chúc đến mọi người đã giúp em làm
được những điều đến ngày hôm nay. Chúc cho mọi quý thầy cô, đặc biệt là những
người em đã nêu tên ở trên, của Khoa Khoa học và Kỹ thuật Máy tính ln có được
một sức khỏe dồi dào để luôn hạnh phúc trong cuộc sống và có khả năng để cống hiến
thêm cho khoa, cho trường và cho thế hệ đi sau.
Trân trọng.
Tp. Hồ Chí Minh, 18/07/2018.
Tóm tắt nội dung
Với sự phát triển vượt bật của ngành công nghệ thông tin kết hợp với sự phổ biến của
Internet trên toàn cầu đã đem lại nhiều lợi ích lớn cho xã hội. Tuy nhiên, song song với
đó, tỷ lệ tội phạm mà có mục tiêu hay cơng cụ là các hệ thống máy tính cũng đã gia
tăng.
Sự xuất hiện của một loại hình tội phạm mới đó đã cho chúng ta những thách thức mới
về các phương pháp để xác định, thu thập, kiểm tra, phân tích, phục hồi cũng như diễn
dãi các chứng cứ điện tử trong quá trình tố tụng.
Thu thập chứng cứ điện tử một chủ đề nghiên cứu còn khá mới mẻ và đang dần được
sử dụng trong các quy trình điều tra máy tính, kỹ thuật phân tích, cơng cụ và phần
mềm để giúp chúng ta phát hiện và thu thập bằng chứng kỹ thuật số phù hợp để trình
bày tại tịa án.
Những nghiên cứu về ngành khoa học điều tra số này bao gồm sự kết hợp giữa các
kiến thức về công nghệ thông tin, khoa học dữ liệu, kiến trúc mạng, khoa học pháp y
hiện tại cũng như các vấn đề thách thức quan trọng liên quan đến an ninh và mật mã
máy tính.
Trong nghiên cứu này, chúng ta tìm hiểu và thảo luận để giải quyết những vướng mắt
hiện tại và đưa ra các đề xuất về các công cụ, phần mềm và cơng nghệ mà chúng ta có
thể sử dụng để điều tra bằng chứng kỹ thuật số hiệu quả hơn ở Việt Nam.
Theo luật pháp Việt Nam, bằng chứng kỹ thuật số hiện nay có thể được sử dụng trong
q trình tố tụng. Do đó, nghiên cứu về máy tính và pháp y mạng là một chủ đề quan
trọng trong việc áp dụng kiến thức an ninh, máy tính và mạng để xây dựng một xã hội
tốt hơn.
Abstract
With the popularity of the Internet and related information technology all over the
world, there is an increase the number of criminals who use computing devices such as
a computer to commit their crimes that involve digital data.
These digital crimes imposed to us the new challenges on how to identify, prepare,
collect, examine, analyze and present corresponding offences. After a system has been
breached or an intrusion has been detected, there is a need for a digital investigation
process to follow.
Computer and network forensics are parts of digital forensics, an emerging research
topic that is utilized in computer investigation processes, analysis techniques, tools,
and software to help us detect and gather digital evidence suitable for presentation in
courts.
These new research directions combine the knowledge of information technology, data
science, network architecture, forensic science, and many significant challenging
problems related to computer security and cryptography. They are not easy and yet to
be solved.
In this paper, we present and discuss these issues along with our suggestions for tools,
software, and technologies that we can use for investigating digital evidence more
efficiently in Vietnam.
According to Vietnam laws, the digital evidence currently can be used in proceedings
process. We believe that computer and network forensics research is an essential topic
in applying security, computer, and network knowledge to build a better society.
Lời cam đoan
Học viên xin cam đoan rằng mọi thông tin và cơng việc được trình bày trong bài báo
cáo này ngoài việc tham khảo các nguồn tài liệu khác có ghi đầy đủ trong phần phụ lục
các tài liệu tham khảo, các nội dung cịn lại thì đều do chính học viên thực hiện. Nếu
có bất kì sai phạm hay gian lận nào, học viên xin chịu hoàn toàn trách nhiệm trước
Ban Chủ Nhiệm Khoa và Ban Giám Hiệu Nhà Trường.
Tp. Hồ Chí Minh, ngày 18 tháng 07 năm 2018
Học viên thực hiện đề tài
Lê Nguyễn Khánh Duy
Mục lục
Chương 1: Chứng cứ điện tử và thực trạng về chứng cứ điện tử ở Việt Nam ................................................1
1.1 Chứng cứ điện tử ...................................................................................................................................4
1.2 Các bước trong quá trình thu thập chứng cứ điện tử ...........................................................................7
1.3 Sự cần thiết của quy trình thu thập chứng cứ điện tử ..........................................................................9
1.4 Chứng cứ điện tử trong quá khứ, hiện tại và tương lai .........................................................................9
Chương 2: Điều tra máy tính (computer forensics) ...................................................................................... 12
2.1 Hoạt động cơ bản của máy tính .......................................................................................................... 12
2.2 Thu thập chứng cứ trên các thiết bị lưu trữ dài hạn .......................................................................... 16
2.2.1 Một số chuẩn giao tiếp thường gặp............................................................................................. 17
2.2.2 Cấu trúc ổ cứng HDD .................................................................................................................... 20
2.2.3 Cấu trúc ổ cứng SSD ..................................................................................................................... 28
2.2.4 Một số loại RAID thông dụng ....................................................................................................... 32
2.2.5 Cấu trúc lưu trữ hệ thống (filesystem) ........................................................................................ 39
2.2.6 Cấu trúc tập tin ............................................................................................................................ 40
2.2.7 Công cụ chống ghi ........................................................................................................................ 41
2.2.8 Công cụ phục hồi .......................................................................................................................... 46
2.2.9 Cơng cụ sao lưu ổ đĩa thành dạng hình ảnh ................................................................................ 61
2.3 Thu thập chứng cứ tr n bộ nhớ tạm thời RAM .................................................................................. 63
2.3.1 ag il và ib rnate .................................................................................................................. 64
2.3.2 Belkasoft RAM Capturer .............................................................................................................. 66
2.3.3 DumpIT ......................................................................................................................................... 66
2.3.4 AccessData FTK Imager ................................................................................................................ 67
2.3.5 DMA ............................................................................................................................................. 67
2.3.6 Volatility ....................................................................................................................................... 72
Chương 3: Điều tra mạng (network forensics) ............................................................................................. 76
3.1 Network TAPS ..................................................................................................................................... 76
3.2 Wireshark/TCPDump .......................................................................................................................... 77
3.3 Snort/Suricata hay các hệ thống an ninh mạng .................................................................................. 78
3.4 Logs ..................................................................................................................................................... 79
Chương 4: Quy trình tiếp cận thu thập chứng cứ điện tử ............................................................................ 82
4.1 Máy tính vật lý .................................................................................................................................... 82
4.1.1 Hệ thống máy tính đang vận hành bình thường.......................................................................... 82
4.1.2 Hệ thống máy tính đã bị tắt ......................................................................................................... 84
4.2 Hệ thống ảo hóa.................................................................................................................................. 86
4.3 Hệ thống mạng.................................................................................................................................... 88
4.4 Trích xuất dữ liệu ................................................................................................................................ 88
4.6 Thuyết minh dữ liệu ............................................................................................................................ 90
Chương 5: Kết luận ....................................................................................................................................... 91
Chương 6: Tài liệu tham khảo ....................................................................................................................... 92
Danh sách hình ảnh
Hình 1.1: Dạng tương tự (analog) [3] ....................................................................................5
Hình 1.2: Dạng kỹ thuật số (digital) [4] .................................................................................5
Hình 2.1: Các tiến trình đang chạy ......................................................................................13
Hình 2.2: Xem dữ liệu vùng nhớ .........................................................................................14
Hình 2.3: Danh sách các kết nối ..........................................................................................14
Hình 2.4: Các câu lệnh từng được thực thi ..........................................................................15
Hình 2.5: Danh sách khóa giải mã BitLocker ......................................................................15
Hình 2.6: Thiết bị lưu trữ NAS ............................................................................................16
Hình 2.7: Giao tiếp IDE .......................................................................................................17
Hình 2.8: Giao tiếp SATA ...................................................................................................18
Hình 2.9: Giao tiếp SCSI [5] ................................................................................................ 18
Hình 2.10: Giao tiếp M2 ......................................................................................................19
Hình 2.11: Giao tiếp NVMe (PCIe) .....................................................................................19
Hình 2.12: Giao tiếp SDIO ..................................................................................................19
Hình 2.13: HDD với 7 phiến đĩa xếp chồng nhau ...............................................................21
Hình 2.14: Mơ tơ phiến đĩa ..................................................................................................21
Hình 2.15: Bộ đầu đọc/ghi của 1 HDD sử dụng 5 phiến đĩa ...............................................22
Hình 2.16: Đầu đọc/ghi với bộ điều khiển cơ học ...............................................................22
Hình 2.17: Đầu đọc/ghi hoạt động với phiến đĩa .................................................................23
Hình 2.18: Mạch điều khiển .................................................................................................24
Hình 2.19: Hình ảnh bảng các module trong Service Area .................................................26
Hình 2.20: Minh họa Host Protected Area ...........................................................................27
Hình 2.21: Minh họa Device Configuration Overlay ..........................................................28
Hình 2.22: Hình ảnh bên trong 1 chủng loại SSD thơng dụng ............................................29
Hình 2.23: Thao tác ánh xạ địa chỉ của SSD .......................................................................31
Hình 2.24: Tính năng TRIM được kích hoạt .......................................................................31
Hình 2.25: Minh họa RAID .................................................................................................32
Hình 2.26: Minh họa RAID-0 ..............................................................................................33
Hình 2.27: Minh họa RAID-1 ..............................................................................................34
Hình 2.28: Minh họa RAID-10 và RAID-01 .......................................................................35
Hình 2.29: Minh họa RAID-5 ..............................................................................................36
Hình 2.30: Cách tính parity block của RAID-5 ...................................................................36
Hình 2.31: Minh họa RAID-6 ..............................................................................................37
Hình 2.32: Cách tính parity block của RAID-6 ...................................................................37
Hình 2.33: Minh họa cấu trúc tập tin BMP ..........................................................................40
Hình 2.34: Cấu trúc tập tin thực thi của Windows...............................................................41
Hình 2.35: Phần mềm SAFE Block .....................................................................................42
Hình 2.36: Tableau Forensic FireWire Bridge T9 ...............................................................43
Hình 2.37: Tableau Forensic SATA/IDE Bridge T35u .......................................................44
Hình 2.38: Tableau Forensic SAS Bridge T6u ....................................................................45
Hình 2.39: Tableau Forensic PCIe Bridge T7u ...................................................................45
Hình 2.40: Tableau Forensic USB 3.0 Bridge T8u ..............................................................46
Hình 2.41: Tableau Forensic Universal Bridge T356789iu .................................................46
Hình 2.42: PC-3000 Express ................................................................................................ 49
Hình 2.43: PC-3000 UDMA ................................................................................................ 49
Hình 2.44: PC-3000 SAS/SCSI ...........................................................................................50
Hình 2.45: PC-3000 Portable ...............................................................................................50
Hình 2.46: ộ cơng cụ hỗ trợ kết nối tới firmware của ổ đĩa ..............................................51
Hình 2.47: Khơi phục dữ liệu trên ổ đĩa HDD kết nối SATA .............................................51
Hình 2.48: Các phiên bản Data Extractor ............................................................................52
Hình 2.49: Phân tích cấu trúc phân v ng của ổ đĩa .............................................................53
Hình 2.50: Phân tích cấu trúc dữ liệu trên các phân v ng ...................................................53
Hình 2.51: Xem cấu trúc dữ liệu ..........................................................................................54
Hình 2.52: Khôi phục dữ liệu trên ổ đĩa bị hư hỏng ............................................................54
Hình 2.53: Tự động nhận dạng chủng loại và thứ tự RAID ................................................55
Hình 2.54: Tái hiện cấu trúc dữ liệu luận l trên RAID ......................................................55
Hình 2.55: T y chọn giải pháp truy vấn dữ liệu trên các ổ đĩa bị hư hỏng vật l ...............56
Hình 2.56: Xử l các lỗi trên v ng Service Area .................................................................56
Hình 2.57: Ổ đĩa bị khóa bởi mật kh u ................................................................................57
Hình 2.58: Mật kh u sau khi được PC-3000 giải mã ...........................................................57
Hình 2.59: Ổ đĩa trước khi mở HPA ....................................................................................58
Hình 2.60: Mở HPA .............................................................................................................58
Hình 2.61: Ổ đĩa sau khi đã mở HPA ..................................................................................59
Hình 2.62: Dữ liệu được n trong vùng HPA ......................................................................59
Hình 2.63: Kích hoạt SafeMode của SSD để vơ hiệu hóa TRIM 2.2.3 ............................60
Hình 2.64: Kích hoạt thành cơng chế độ SafeMode của SSD .............................................60
Hình 2.65: Sao lưu ảnh đĩa sử dụng dd của linux ................................................................ 61
Hình 2.66: Sao lưu ảnh đĩa với Partition Image...................................................................62
Hình 2.67: Tableau Forensic Duplicator (TD2u) .................................................................62
Hình 2.68: Tableau Forensic Imager (TD3).........................................................................63
Hình 2.69: Tableau Forensic Imager TX1 ...........................................................................63
Hình 2.70: Tính năng ngủ đơng trên Windows ....................................................................65
Hình 2.71: Phần mềm elkasoft RAM Capturer .................................................................66
Hình 2.72: Phần mềm DumpIT ............................................................................................67
Hình 2.73: Minh họa FTK Imager .......................................................................................67
Hình 2.74: Cơ chế DMA ......................................................................................................69
Hình 2.75: Đọc dữ liệu trên ổ đĩa với DMA ........................................................................69
Hình 2.76: Tương tác GPU và FPGA qua DMA .................................................................70
Hình 2.77: Minh họa PCILeech ...........................................................................................71
Hình 2.78: Cổng M2 hỗ trợ DMA .......................................................................................71
Hình 2.79: Cổng ThunderBolt hỗ trợ DMA ........................................................................72
Hình 2.80: Minh họa cơ bản Volatility ................................................................................73
Hình 2.81: Một số các câu lệnh thường dùng trong Volatility ............................................74
Hình 2.82: Một số các câu lệnh thường dùng trong Volatility ............................................75
Hình 3.1: Minh họa Network TAPS ....................................................................................77
Hình 3.2: Minh hoạ TCPDump ............................................................................................77
Hình 3.3: Minh họa Wireshark ............................................................................................78
Hình 3.4: Minh họa cảnh báo từ hệ thống an ninh mạng .....................................................79
Hình 3.5: Minh họa Logs của một dịch vụ Web ..................................................................80
Hình 3.6: Minh họa Logs dịch vụ DNS ...............................................................................80
Hình 4.1: Phần mềm trích xuất dữ liệu chuyên dụng Osforensics.......................................90
Danh sách bảng
Bảng 2.1: Các FileSystem thông dụng .................................................................................40
Chương 1: Chứng cứ điện tử và thực trạng về
chứng cứ điện tử ở Việt Nam
Chúng ta đang vận động trong kỷ nguyên số, thời đại mà mạng lưới Internet đã phát
triển hoàn thiện và vươn trải kết nối toàn cầu giúp cho việc giao tiếp giữa mọi người
trong xã hội trở nên đơn giản và nhanh chóng. Các ngành nghề dịch vụ trong xã hội
cũng đang dần áp dụng các giải pháp cơng nghệ vào quy trình giúp tăng năng suất
lao động cũng như giảm các chi phí vận hành trong hoạt động sản xuất.
Trong cuộc sống hàng ngày, chúng ta cũng có thể dễ dàng thấy được mức độ phổ
biến, quan trọng của mạng Internet và các hệ thống máy tính thơng qua các hoạt
động như tương tác với bạn bè, tổ chức các cuộc họp trực tuyến, hội nghị trực
tuyến, các giao dịch mua bán trực tuyến trên các trang thương mại điện tử, ký kết
hợp đồng điện tử, giao dịch với hệ thống ngân hàng điện tử...
Ngồi ra, chính phủ Việt Nam và các doanh nghiệp nhà nước cũng đang từng bước
chuyển mình, tự đổi mới trong cách quản l và tương tác với người dân như chúng
ta đã có thể tra cứu mã số thuế cá nhân trực tuyến, thanh tốn hóa đơn tiền điện tiền
nước trực tuyến.
Điển hình nhất là theo nghị quyết 112/NQ-CP được ban hành tại Hà Nội ngày 30
tháng 10 năm 2017 do Thủ Tướng Nguyễn Xuân Phúc đã k về việc đơn giản hóa
thủ tục hành chính, giấy tờ cơng dân liên quan đến quản l dân cư thuộc phạm vi
chức năng quản l nhà nước của Bộ Công An, theo đó đã cho phép và bổ sung cách
thức thực hiện nhiều loại thủ tục thông qua các hệ thống dịch vụ công trực tuyến.
Như vậy, trong tương lai, hầu hết các giao dịch công và dữ liệu của chúng ta cũng
sẽ được lưu hành và quản lý trực tuyến.
Ở trong ngành công nghiệp tri thức như hiện nay, tư liệu sản xuất chính là các phần
mềm, dữ liệu, tập tin, văn bản được sao lưu trên các hệ thống máy tính của nhà
nước, doanh nghiệp cũng như cá nhân. Nó chính là tài sản quan trọng của mỗi
1
doanh nghiệp, mỗi cá nhân. Các giao dịch trực tuyến cũng ngày càng mang nhiều
giá trị cao.
Tuy nhiên, trong thời gian gần đây, số lượng tội phạm công nghệ cao ngày càng gia
tăng cũng như diễn biến theo xu hướng ngày càng phức tạp. Theo ông Minh Tiến
[1], báo Công An Nhân Dân, viết ngày 29 tháng 12 năm 2016, “Có thể nói 2016 là
một năm mà lực lượng phịng chống tội phạm sử dụng công nghệ cao thực sự rất vất
vả để đấu tranh với tội phạm mạng. Hàng loạt thủ đoạn cũ mới đan xen như gọi điện
thoại giả danh, lừa đảo thông qua kết bạn qua mạng xã hội; "phishing" đánh cắp tài
khoản để chiếm đoạt tài sản… đã được phát hiện, làm rõ” và “Cơ quan Công an
đánh giá 2017 tiếp tục là một năm mà các cá nhân, tổ chức phải đối mặt với nhiều
nguy cơ, thách thức của các loại tội phạm công nghệ cao trên mạng Internet.”. Cũng
tại trang báo trên đã trích dẫn báo cáo của trung tâm Ứng cứu kh n cấp máy tính
Việt Nam VNCERT, theo đó, trong năm 2015 đã diễn ra 5898 sự cố lừa đảo, 8850
sự cố thay đổi giao diện, 16837 sự cố mã độc và ghi nhận được 1451997 lượt địa
chỉ IP cả nước bị nhiễm mã độc.
Tại Việt Nam, theo Khoản 1 điều 3 Nghị đinh số 25/2014/NĐ-CP của Chính phủ
ngày 07 tháng 4 năm 2014 đã quy định “Tội phạm có sử dụng công nghệ cao là
hành vi nguy hiểm cho xã hội được quy định trong Bộ luật Hình sự có sử dụng cơng
nghệ cao”. Nhìn một cách tổng thể, ta có thể thấy được tội phạm công nghệ cao
thường sử dụng cơng nghệ thơng tin, hệ thống máy tính và mạng máy tính để thực
hiện hành vi phạm tội của chúng. Về cơ bản, ta có thể phân chia loại tội phạm công
nghệ cao dựa theo cách thức và mục tiêu mà chúng thực hiện hành vi phạm tội.
Loại thứ nhất là nhóm các tội phạm thực hiện hành vi phạm tội với mục tiêu chính
là các hệ thống máy tính, mạng máy tính và các thiết bị liên quan thơng qua các
hình thức như phát tán mã độc nhằm mục tiêu đánh cắp hoặc phá hoại dữ liệu, tấn
công từ chối dịch vụ hoặc thay đổi giao diện trang web với mục tiêu triệt hạ danh
dự đối thủ...
2
Loại thứ hai là nhóm các tội phạm sử dụng hệ thống máy tính, mạng máy tính và
các thiết bị liên quan nhằm mục đích gia tăng mức độ hiệu quả của quá trình thực
hiện hành vi phạm tội như đe dọa quấy rối người dùng mạng. Lừa đảo nhằm chiếm
đoạt thông tin cá nhân, thông tin nhạy cảm thậm chí tài sản của nạn nhân. Phát tán
các thơng điệp, thông tin lừa đảo, sai sự thật gây hoang mang dư luận trong quần
chúng nhân dân sử dụng mạng. Thực thi các hình thức chiến tranh thơng tin mang
yếu tố và mục tiêu chính trị như xuyên tạc chống phá, nói xấu bơi nhọ hình ảnh cán
bộ, chính quyền và nhà nước Việt Nam.
Như vậy, theo cách phân loại trên, chúng ta hình thành nên hai loại tội phạm cơng
nghệ cao cơ bản đó là loại tội phạm có mục tiêu phạm tội hướng tới các hệ thống
máy tính, mạng máy tính và loại tội phạm sử dụng hệ thống máy tính, mạng máy
tính là cơng cụ để thực hiện hành vi phạm tội.
Do đây là loại tội phạm mới phát sinh trong kỷ nguyên số với nhiều đặc tính đặc thù
phi truyền thống với khả năng phạm tội rất rộng và có tính chất xun quốc gia, nên
cơng tác giải quyết các vụ án liên quan đến tội phạm có sử dụng cơng nghệ cao để
thực hiện hành vi phạm tội cũng như việc hợp tác với các cơ quan chức năng liên
quan thường gặp một số vấn đề khó khăn như [2]:
-
Các đối tượng sử dụng thơng tin giả để liên hệ với nhau cũng như trong quá
trình thực hiện hành vi phạm tội nên rất khó để xác định được nhân dạng
chính xác của đối tượng. Khi đã xác định được nhân dạng của đối tượng thì
việc chứng minh được đối tượng đã từng sử dụng thông tin giả này để thực
hiện hành vi phạm tội cũng sẽ gặp rất nhiều khó khăn.
-
Nhiều trường hợp đối tượng thông qua internet đã cấu kết với các đối tượng
khác sinh sống ở nước ngoài để thực hiện hành vi phạm tội của mình. Do
thơng qua internet nên hầu hết các chứng cứ đều là các dạng tập tin lưu trữ
trên máy tính và trên mạng nên khi bị phát hiện, đối tượng có thể dễ dàng
nhanh chóng sửa hoặc xóa để tuy hủy chứng cứ.
3
-
Rất nhiều trường hợp đối tượng đã thực hiện hành vi phạm tội thông qua các
máy chủ trung gian đặt tại nước ngồi hoặc có thể lợi dụng các hệ thống
phần mềm không được bảo mật tốt, lừa đảo đánh cắp mật kh u để tấn công
và sử dụng các hệ thống máy tính của cá nhân, tổ chức bình thường nào đó
như là một máy trung gian để thực hiện hành vi phạm tội của chúng. Do đó,
để xác định được chính xác đối tượng đã thực hiện hành vi phạm tội cũng
như chứng minh hành vi phạm tội đó trong tình huống này sẽ gặp rất nhiều
khó khăn.
-
Sau khi đã xác định được đối tượng thì quá trình điều tra cũng như thu thập
chứng cứ của vụ án như đã đề cập bên trên cũng sẽ gặp phải nhiều khó khăn
do hầu hết chứng cứ chỉ xác định được trên cơ sở lời khai của nạn nhân, đối
tượng và các thơng tin từ các hệ thống máy tính, mạng máy tính.
Thơng qua các vấn đề trên, ta có thể nhận thấy được tầm quan trọng của ngành khoa
học điều tra số, mà trong đó cơng tác thu thập chứng cứ điện tử là bước đầu tiên và
cực kỳ quan trọng trong cơng tác tố tụng hình sự cũng như dân sự sau này. Để có
thể thu thập được một cách đầy đủ nhất, chính xác nhất, khách quan nhất và bảo
quản hợp lý nhất thì chúng ta cần phải hiểu rõ các khái niệm, bản chất và tính chất
của chứng cứ điện tử là gì.
1.1 Chứng cứ điện tử
Bộ luật tố tụng hình sự năm 2015 [3] được Quốc hội nước Cộng hòa xã hội chủ
nghĩa Việt Nam khóa XIII, kỳ họp thứ 10 được thơng qua vào ngày 27 tháng 11
năm 2015, theo điều 87 “Nguồn chứng cứ” đã cơng nhận “Dữ liệu điện tử” là có giá
trị pháp lý như các nguồn chứng cứ và có thể được d ng để làm căn cứ trong quá
trình giải quyết vụ án. Bộ luật này cũng đã định nghĩa ở điều 99 “Dữ liệu điện tử”
về dữ liệu điện tử như sau:
-
“1. Dữ liệu điện tử là ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc
dạng tương tự được tạo ra, lưu trữ, truyền đi hoặc nhận được bởi phương tiện
điện tử.”
4
-
“2. Dữ liệu điện tử được thu thập từ phương tiện điện tử, mạng máy tính,
mạng viễn thơng, trên đường truyền và các nguồn điện tử khác.”
-
“3. Giá trị chứng cứ của dữ liệu điện tử được xác định căn cứ vào cách thức
khởi tạo, lưu trữ hoặc truyền gửi dữ liệu điện tử; cách thức bảo đảm và duy
trì tính tồn vẹn của dữ liệu điện tử; cách thức xác định người khởi tạo và các
yếu tố phù hợp khác.”
Chứng cứ điện tử mang tính chất trừu tượng cao, về khía cạnh vật lý, dữ liệu điện tử
chỉ là sự thể hiện trạng thái của các phần tử vật chất như là trạng thái dao động của
các loại sóng điện từ ở dạng tượng tự (analog, Hình 1.1) hay trạng thái tồn tại có (1)
hoặc khơng (0) trong dạng kỹ thuật số (digital, Hình 1.2) theo thời gian.
Hình 1.1: Dạng tương tự (analog) [4]
Hình 1.2: Dạng kỹ thuật số (digital) [5]
5
Cịn ở khía cạnh máy tính, dữ liệu điện tử sẽ được biểu diễn thành những dạng mà
con người có thể nhìn thấy được, nghe thấy được và tương tác được như các k
hiệu, chữ viết, chữ số, các tập tin hình ảnh, các tập tin âm thanh, các tập tin video...
Các dữ liệu điện tử này được tạo ra, truyền đi và lưu trữ bởi các phương tiện điện tử
dưới sự tương tác của con người. Trong quá trình sử dụng và tương tác với các
phương tiện điện tử nói chung và các hệ thống máy tính nói riêng, chắc chắn rằng
con người sẽ để lại những dấu vết dưới dạng dữ liệu điện tử trên các phương tiện đó
như lịch sử nhắn tin khi chúng ta thực hiện các hành vi gởi nhận tin nhắn, nhật ký
cuộc gọi khi chúng ta thực hiện hay nhận các cuộc gọi, lịch sử các trang web đã vào
khi ta lướt web, lịch sử đăng nhập cũng như lịch sử các hành vi được lưu lại trên
máy chủ của nhà cung cấp dịch vụ ) mà chúng ta thực hiện khi kiểm tra hay gởi thư
điện tử... và tất cả các dữ liệu điện tử đó đều rất có giá trị và có thể được dùng như
là một nguồn chứng cứ có giá trị pháp lý khi xảy ra vụ án.
Dữ liệu điện tử có thể được chia khái quát ra thành 2 dạng:
-
Dữ liệu điện tử do người sử dụng, vận hành hệ thống điện tử chủ đích tạo ra.
Ví dụ như các tập tin văn bản (word), các bảng tính (excel), các tập tin trình
diễn (powerpoint), các thư điện tử (email), các hình ảnh và video do con
người tự tạo ra thơng qua phần mềm máy tính hoặc thơng qua các thiết bị
điện tử khác như máy ảnh cá nhân hay điện thoại thơng minh... đều có giá trị
trong việc chứng minh nguồn gốc dữ liệu cũng như về người đã tạo ra các dữ
liệu đó.
-
Dữ liệu điện tử do các phương tiện điện tử tự động tạo ra dưới sự tương tác
điều khiển của con người như “Cookies”, “URL”, “History”, “Email Logs”,
“Event Logs”, “WebServer Logs”, “Firewall Logs”, “Proxy Logs”, các thông
tin về địa chỉ IP, cổng kết nối... Các dữ liệu này đều có giá trị trong việc
chứng minh sự tương tác của con người với các phương tiện điện tử, hệ
thống máy tính.
Từ các tính chất và đặc điểm đặc trưng như đã nêu ở trên của dữ liệu điện tử, ta
cũng có thể thấy được là dữ liệu điện tử có thể dễ dàng bị tác động do cố ý hoặc vô
ý như sửa chữa, thay đổi, phá hủy trong quá trình lưu trữ, sao chép cũng như truyền
6
tải, và không những thế, dữ liệu điện tử cũng có thể dễ dàng được được ngụy tạo ra.
Ngồi ra cịn có nhiều các tình huống khác như bị nhiễm mã độc máy tính, phần
cứng hư hỏng, lỗi phần mềm, phương pháp truy xuất, truyền tải lên mạng hay bị mã
hóa...
1.2 Các bước trong q trình thu thập chứng cứ điện tử
Xác định chứng cứ điện tử
Để phục vụ cho cơng tác phân loại dữ liệu điện tử nào có thể được sử dụng để
làm chứng cứ điện tử ở công đoạn tiếp theo, chúng ta cần nắm rõ được dữ liệu
điện tử có thể tồn tại ở những dạng nào, ở đâu, tính chất và phương pháp thu
thập như thế nào ở từng trường hợp cụ thể nhằm thu thập được một cách đầy đủ
nhất, hạn chế tối đa khả năng bỏ qua, thu thập sót hoặc sai dữ liệu điện tử. Việc
thu thập không đầy đủ hoặc thiết chính xác dữ liệu điện tử sẽ gây khó khăn nhất
định cho các cơng đoạn tiếp theo của q trình điều tra và phân tích sau này.
Thu thập chứng cứ điện tử
Sau khi đã biết được chứng cứ điện tử có thể nằm ở đâu, cơng việc tiếp theo là
thu thập chúng. Với sự đa dạng về chủng loại thiết bị cũng như cơ chế vận hành
đòi hỏi ta cần có nhiều giải pháp khác nhau trong q trình thu thập chứng cứ
điện tử. Cũng do tính chất của chứng cứ điện tử cần sự toàn vẹn của dữ liệu
được thu thập nên ta cần phải áp dụng các công nghệ phù hợp ứng với từng điều
kiện cụ thể nhằm đảm bảo dữ liệu được thu thập để sử dụng làm chứng cứ điện
tử là nguyên vẹn, khách quan và kiểm chứng được.
Phục hồi chứng cứ điện tử
Các đối tượng sử dụng công nghệ cao để thực hiện hành vi phạm tội đều có sự
am hiểu về cơng nghệ và ln ln ý thức được việc làm của mình là vi phạm
pháp luật nên chúng rất chú đến việc tiêu hủy các dữ liệu có thể được dùng
làm chứng cứ để chứng minh hành vi phạm tội của chúng.
Do đó, trong nhiều trường hợp, đối tượng đã kịp xóa bỏ hoặc phá hủy các dữ
liệu có thể được sử dụng để làm chứng cứ điện tử. Trong các tình huống như
thế này, ta cần có các giải pháp cơng nghệ để khôi phục lại các dữ liệu này phục
vụ cho bước khai thác chứng cứ điện tử ở các giai đoạn sau.
7
Ngoài các trường hợp phá hủy dữ liệu, với sự ra đời của rất nhiều các công cụ
d ng để mã hóa dữ liệu, với mục đích ban đầu là bảo vệ dữ liệu riêng tư của
người sử dụng, tuy nhiên, mặt trái của nó là gây khó khăn cho quá trình thu thập
chứng cứ một khi đối tượng từ chối hợp tác, một ví dụ điển hình như phần mềm
mã hóa dữ liệu được khá nhiều người sử dụng trên máy tính là VeraCrypt, PGP,
khơng những nó có khả năng mã hóa các tập tin được lưu trữ trong ổ đĩa ảo mà
nó tạo ra, nó cịn cho phép người dùng tạo một vùng dữ liệu n bên trong phân
v ng thông thường, phân vùng này không thể chứng minh là có tồn tại bằng các
kỹ thuật thơng thường khi mà ta khơng có mật kh u để giải mã nó. Đây là thách
thức cần phải nghiên cứu và tìm ra giải pháp song song với các kỹ thuật khôi
phục dữ liệu đã bị phá hủy.
Bảo quản chứng cứ điện tử
Việc sao lưu lại dữ liệu để bảo quản phải được tiến hành đúng quy trình khoa
học, phải sử dụng các thiết bị và phần mềm chuyên dụng đã được thế giới và
chính phủ Việt Nam cơng nhận để có thể kiểm chứng được tính chính xác,
khách quan, trung thực, bảo vệ được tính nguyên vẹn của dữ liệu điện tử đang
được lưu trữ bảo quản.
Khai thác chứng cứ điện tử
Đây là bước quan trọng trong cả quá trình. Sau khi đã có đầy đủ dữ liệu, ta sẽ
cần phải tìm kiếm và phân tích trên các dữ liệu đã tìm được để xác định được
đâu là dữ liệu có thể sử dụng để làm chứng cứ điện tử. Cụ thể, trong giai đoạn
này, ta có thể sẽ cần phải sử dụng đến các cơng cụ phân tích dữ liệu chuyên
dụng như các phần mềm phân tích cấu trúc tập tin, các phần mềm phân tích dữ
liệu trên dữ liệu bộ nhớ tạm thời RAM để trích xuất ra các thơng tin cụ thể
một cách trực quan hóa có thể sử dụng để làm chứng cứ điện tử tại tòa.
Thuyết minh chứng cứ điện tử
Tất cả mọi dữ liệu được sử dụng để làm chứng cứ điện tử đều sẽ phải được
chứng minh trước tòa án khi được yêu cầu. Cụ thể là ta sẽ cần phải chứng minh
được mọi quá trình tìm kiếm được chứng cứ, quá trình bảo quản, khơi phục
được dữ liệu là hồn tồn theo đúng quy trình khoa học và cần thiết thì ta sẽ có
thể lặp lại quy trình đó để đi đến kết quả như các chứng cứ hiện tại đang được
sử dụng tại tòa án.
8
1.3 Sự cần thiết của quy trình thu thập chứng cứ điện tử
Chứng cứ thu thập ở một vụ án có một
nghĩa rất lớn, là cơ sở mà các bên liên
quan căn cứ vào để có cơ sở xác đáng chứng minh bảo vệ quyền và lợi ích chính
đáng của mình trước pháp luật.
Thơng qua các tính chất của chứng cứ điện tử đã được nêu ở phần trên, để chứng cứ
điện tử được tịa án cơng nhận và có giá trị cao trong quá trình tố tụng vụ án thì ta
cần phải xây dựng một quy trình thu thập chứng cứ cụ thể để tuân theo, các công
nghệ, các thiết bị cũng như phần mềm chuyên dụng được phép sử dụng trong lúc
thu thập nhằm bảo toàn giá trị cao nhất của dữ liệu điện tử đã được thu thập để làm
chứng cứ điện tử.
Các bước cơ bản trong quy trình thu thập chứng cứ điện tử hiện nay bao gồm: thu
thập, bảo quản, phục hồi, phân tích và giám định. Trong đó, giai đoạn thu thập là
giai đoạn có thể nói là quan trọng nhất trong cả quá trình do nó cần phải đảm bảo
được các yếu tố:
-
-
Thứ nhất, không được phép làm thay đổi trạng thái và nội dung của thông tin
đang được lưu trữ trên các thiết bị điện tử.
Thứ hai, người tiếp cận với các thông tin gốc đang được lưu trữ trong các
thiết bị điện tử phải là những chuyên gia đã được đào tạo, có kinh nghiệm và
được nhà nước Việt Nam cơng nhận để thực hiện công tác thu thập, phục hồi
chứng cứ điện tử.
Thứ ba, các thiết bị, công cụ, phần mềm chuyên dụng được sử dụng trong
quá trình thu thập chứng cứ điện tử phải được kiểm định và được nhà nước
Việt Nam công nhận về khả năng bảo vệ tính ngun vẹn của dữ liệu được
thu thập, ngồi ra cũng phải được sử dụng đúng mục đích và theo đúng quy
trình của nhà sản xuất.
Quy trình thu thập chứng cứ điện tử phải đảm bảo được tính khác quan, tính tồn
vẹn và tính kiểm chứng được của chứng cứ đã được thu thập trước tòa án. Phải
chứng minh được q trình thực thi để tìm kiếm, thu thập, khơi phục dữ liệu và phải
có khả năng dựng lại các bước thực thi của quá trình từ lúc phát hiện chứng cứ đến
lúc ra được kết quả khi được tòa án yêu cầu.
1.4 Chứng cứ điện tử trong quá khứ, hiện tại và tương lai
9
Trong quá khứ, với bộ luật tố tụng hình sự năm 2003 quy định điều 64 [6] như sau:
-
Chứng cứ là những gì có thật, được thu thập theo trình tự, thủ tục do Bộ luật
này quy định mà Cơ quan điều tra, Viện kiểm sát và Toà án d ng làm căn cứ
để xác định có hay khơng có hành vi phạm tội, người thực hiện hành vi phạm
tội cũng như những tình tiết khác cần thiết cho việc giải quyết đúng đắn vụ
-
án.
Chứng cứ được xác định bằng:
o Vật chứng.
o Lời khai của người làm chứng, người bị hại, nguyên đơn dân sự, bị
đơn dân sự, người có quyền lợi, nghĩa vụ liên quan đến vụ án, người
bị bắt, người bị tạm giữ, bị can, bị cáo.
o Kết luận giám định.
o Biên bản về hoạt động điều tra, xét xử và các tài liệu, đồ vật khác.
Do đó, nếu căn cứ vào các điều luật trên, dữ liệu điện tử có tính trừu tượng hóa cao,
mang tính chất ảo nên khơng nhìn thấy được hình dạng hay tính chất thì cơng tác
xác định chứng cứ liên quan đến tội phạm máy tính gặp rất nhiều khó khăn. Khơng
những thế, dữ liệu điện tử cịn có đặc tính là có thể dễ dàng bị che dấu hay thực hiện
các thao tác tiêu hủy nhằm xóa dấu vết.
Vì vậy, nếu đơn thuần ta chỉ xem chứng cứ trong một vụ án chỉ có thể là những vật
có thể nhìn thấy được bằng mắt, nghe thấy được bằng tai hay cảm nhận được bằng
tay thì rất khó để có thể có được một vật chứng có tính thuyết phục trong lĩnh vực
tội phạm máy tính.
Trước tình hình diễn biến phức tạp và ngày một gia tăng của một loại hình tội phạm
mới này, vào kỳ họp thứ 10 diễn ra ngày 27 tháng 11 năm 2015, tại Hà Nội, Quốc
hội nước Cộng hịa xã hội chủ nghĩa Việt Nam khóa XIII đã thơng bộ luật tố tụng
hình sự mà trong đó, tại điều 87 khoản 1 điểm c, lần đầu tiên xem “dữ liệu điện tử”
là nguồn của chứng cứ [3].
Đây có thể được xem là một bước tiến cực kỳ quan trọng trong q trình hồn thiện
hóa các quy chế pháp lý, là bước đi đầu tiên tạo nền tảng vững chắc giúp sử dụng
dữ liệu điện tử như là một căn cứ quan trọng trong tố tụng hình sự. Điều này cũng
đã giúp xây dựng nên một cơ sở nền tảng vững chắc cho việc hình thành nên một
10
hành lang pháp lý sâu rộng trong lĩnh vực công nghệ thơng tin và các ứng dụng của
nó trong tương lai.
11
Chương 2: Điều tra máy tính (computer forensics)
Là một nhánh của ngành khoa học điều tra số liên quan đến việc phân tích các bằng
chứng pháp l được tìm thấy trong máy tính và các phương tiện lưu trữ kỹ thuật số.
Mục đích của điều tra máy tính là nhằm xác định, bảo quản, phục hồi, phân tích,
trình bày lại sự việc và ý kiến về các thông tin thu được từ thiết bị kỹ thuật số. Mặc
d thường được kết hợp với việc điều tra một loạt các tội phạm máy tính – lĩnh vực
hình sự, điều tra máy tính cũng được sử dụng trong tố dụng dân sự, hành chánh.
Bằng chứng thu được từ các cuộc điều tra máy tính thường phải tuân thủ theo
những nguyên tắc và thông lệ như những bằng chứng kỹ thuật số khác. Nó hiện đã
và đang được chấp thuận sử dụng rộng rãi trong các hệ thống tòa án ở Mỹ và Châu
Âu.
Phần này sẽ nêu ra nội dung cần điều tra, thu thập bao gồm những gì, cơng nghệ và
quy trình làm như thế nào cho việc điều tra, thu thập, giám định, phân tích và xử lý
chứng cứ điện tử trong phạm vi điều tra máy tính (computer forensics).
2.1 Hoạt động cơ bản của máy tính
Mỗi khi máy tính được bật lên, nó sẽ phải tiến hành khởi tạo tất cả các thành phần
cơ bản cần thiết để một máy tính hoạt động, tất cả các thiết bị ngoại vi đang được
gắn với bo mạch chủ và sau cùng nó sẽ tiến hành kích hoạt hệ điều hành từ ổ đĩa
khởi động. Có thể tóm lược lại q trình khởi động của một máy tính sẽ trải qua 3
bước cơ bản sau:
-
Kích hoạt bộ xử lý trung tâm (CPU).
-
Khởi tạo các thành phần cần thiết và các thiết bị ngoại vi đang được gắn vào
bo mạch chủ.
Nạp hệ điều hành từ ổ đĩa khởi động lên bộ nhớ tạm thời (RAM) và trao lại
quyền điều khiển cho hệ điều hành này.
-
Để duy trì sự hoạt động của một máy tính thì có 2 nguồn dữ liệu chính đó là nguồn
dữ liệu từ bộ nhớ tạm thời (RAM) và trên các thiết bị lưu trữ dài hạn của máy tính.
Như vậy ta cần phải thu thập đầy đủ dữ liệu từ hai nguồn này.
Nguồn dữ liệu từ bộ nhớ tạm thời (RAM):
12
