TỔNG QUAN VỀ KHOA HỌC ĐIỀU TRA SỐ
Khái niệm về khoa học điều tra số
1.1.1 Khái niệm Điều tra số (còn gọi là Khoa học điều tra số) là một nhánh của ngành Khoa học điều tra đề cập đến việc phục hồi và điều tra các tài liệu tìm thấy trong các thiết bị kỹ thuật số Thuật ngữ này trước tương đương với thuật ngữ điều tra máy tính, nhưng sau này thuật ngữ này được mở rộng để bao quát toàn thể việc điều tra các thiết bị có khả năng lưu trữ dữ liệu số Điều tra số có thể được hiểu là việc sử dụng các phương pháp, công cụ kỹ thuật khoa học đã được chứng minh để bảo quản, thu thập, xác nhận, chứng thực, phân tích, giải thích, lập báo cáo và trình bày lại những thông tin thực tế từ các nguồn kỹ thuật số với mục đích tạo điều kiện hoặc thúc đẩy việc tái hiện lại các sự kiện, nhằm tìm ra hành vi phạm tội hay hỗ trợ cho việc dự đoán các hoạt động trái phép gây gián đoạn quá trình làm việc của hệ thống Điều tra số thường hay liên quan đến tội phạm máy tính Cũng như điều tra hình sự, trước khi thực hiện điều tra số, cần có những cơ sở pháp lý để phân định rõ những quyền hạn, trách nhiệm của cơ quan điều tra
1.1.2 Ứng dụng của điều tra số
Mục đích chính của điều tra số là thu thập và phân tích chứng cứ thuyết phục để làm rõ một vấn đề cụ thể Điều tra số đóng vai trò quan trọng trong khoa học điều tra, giúp giải quyết các vấn đề phức tạp và nâng cao hiệu quả trong việc tìm kiếm sự thật.
Điều tra số có vai trò quan trọng trong việc xác định các sự kiện ảnh hưởng đến hệ thống, giúp phát hiện nguyên nhân của các vụ xâm nhập và hành vi vi phạm Qua đó, nó cung cấp cái nhìn sâu sắc về nguồn gốc của những vấn đề xảy ra trong hệ thống.
Điều tra số đóng vai trò quan trọng trong việc hỗ trợ cơ quan điều tra thu thập chứng cứ số thuyết phục khi tiếp nhận tố giác về tội phạm công nghệ cao, từ đó giúp áp dụng các chế tài xử phạt đối với những hành vi vi phạm pháp luật.
Hệ thống mạng máy tính không thể đảm bảo an toàn tuyệt đối trước các mối đe dọa và tấn công từ tội phạm mạng Do đó, việc xử lý sự cố, phục hồi chứng cứ và truy tìm dấu vết tội phạm là rất cần thiết và phải được thực hiện kịp thời.
2 cách chuyên nghiệp nhằm đem lại chứng cứ chính xác Một cuộc điều tra số được tiến hành nhằm:
1 Xác định nguyên nhân hệ thống công nghệ thông tin bị tấn công, từ đó đưa ra giải pháp khắc phục điểm yếu nhằm nâng cao hiện trạng an toàn của hệ thống
2 Xác định các hành vi tội phạm mạng máy tính đã, đang và sẽ làm đối với hệ thống mạng máy tính Trong thực tế, thiệt hại tiềm ẩn do những cuộc tấn công gây rò rỉ thông tin, hay làm mất tính sẵn sàng của hệ thống là việc hệ thống bị nắm quyền điều khiển, cài chương trình theo dõi, xóa bỏ thông tin, biến hệ thống mạng máy tính thành công cụ tấn công các hệ thống khác Việc tiến hành một cuộc điều tra số nhằm xác định chính xác những hoạt động mà tội phạm mạng đã tác động vào hệ thống và ngăn ngừa các rủi ro khác có thể xảy ra
3 Khôi phục thiệt hại mà cuộc tấn công vào hệ thống mạng máy tính gây ra: phục hồi dữ liệu, thông tin lưu trữ trên hệ thống đã bị phá hoại có chủ đích
Tiến hành điều tra tội phạm và thu thập chứng cứ số là cần thiết để phát hiện và ngăn chặn các tội phạm công nghệ cao, cũng như các hành vi gian lận, gián điệp và vi phạm pháp luật.
1.1.3 Các loại hình điều tra số
Điều tra số hiện nay có nhiều hình thức như điều tra Internet, điều tra điện tử, điều tra mạng và điều tra ứng dụng Tuy nhiên, có thể phân loại điều tra số thành ba loại chính: điều tra máy tính, điều tra mạng và điều tra thiết bị di động.
1.1.3.1 Điề u tra máy tính Điều tra máy tính là một nhánh của khoa học điều tra số liên quan đến việc phân tích các bằng chứng pháp lý được tìm thấy trong máy tính và các phương tiện lưu trữ kỹ thuật số Mục đích của điều tra máy tính là nhằm xác định, bảo quản, phục hồi, phân tích, trình bày lại sự việc và ý kiến về các thông tin từ thiết bị kỹ thuật số và tiến hành điều tra các thành phần như: Điều tra bộ nhớ (Memory forensics) là phương thức điều tra máy tính bằng việc ghi lại bộ nhớ (RAM) của hệ thống sau đó tiến hành phân tích làm rõ các hành vi đã xảy ra trên hệ thống Cụ thể hơn, đó là cố gắng sử dụng kiến trúc quản lý bộ nhớ trong máy tính để ánh xạ, trích xuất các tập tin đang thực thi và cư trú trong bộ nhớ Những tập tin thực thi có thể được sử dụng để chứng minh rằng hành vi của tội phạm đã xảy ra hoặc để theo dõi nó đã diễn ra như thế nào
Điều tra tập tin (File System Forensics) là quá trình phân tích các tập hệ thống trên các hệ điều hành như Windows và Linux, trong khi điều tra ứng dụng (Application Forensics) tập trung vào việc phân tích các tập tin nhật ký log từ các ứng dụng như Email, trình duyệt, Skype và Yahoo Qua đó, các bản ghi lưu trữ trên ứng dụng được trích xuất để phục vụ cho việc tìm kiếm chứng cứ trong các cuộc điều tra.
Điều tra mạng là một nhánh của khoa học điều tra số, tập trung vào việc giám sát và phân tích lưu lượng mạng máy tính để thu thập thông tin, chứng cứ pháp lý và phát hiện xâm nhập vào hệ thống Nó có thể được thực hiện độc lập hoặc kết hợp với điều tra máy tính, nhằm phát hiện mối liên kết giữa các thiết bị kỹ thuật số và tái tạo quy trình phạm tội Quá trình này bao gồm việc chặn bắt, ghi âm và phân tích các sự kiện mạng để xác định nguồn gốc của các cuộc tấn công hoặc sự cố Điều tra mạng đòi hỏi tính linh hoạt và chủ động, vì thông tin lưu lượng mạng thường dễ thay đổi và không được lưu lại.
1.1.3.3 Điề u tra thi ế t b ị di độ ng Điều tra thiết bị di động (Mobile device Forensics) là một nhánh của khoa học điều tra số liên quan đến việc thu hồi bằng chứng kỹ thuật số hoặc dữ liệu từ các thiết bị di động Thiết bị di động ở đây không chỉ đề cập đến điện thoại di động mà còn là bất kỳ thiết bị kỹ thuật số nào có bộ nhớ trong và khả năng giao tiếp, bao gồm các thiết bị điện thoại di động, PDA, GPS và máy tính bảng
Việc sử dụng điện thoại di động để thực hiện các hành vi phạm tội ngày càng gia tăng trong những năm gần đây Tuy nhiên, nghiên cứu về thiết bị di động trong lĩnh vực điều tra tội phạm vẫn còn mới mẻ, bắt đầu phát triển từ những năm 2000.
Đặc điểm của điều tra số
Theo bộ luật hình sự năm 1999 sửa đổi năm 2009, tội phạm máy tính được định nghĩa là hành vi vi phạm pháp luật hình sự do cá nhân có năng lực trách nhiệm hình sự thực hiện Hành vi này bao gồm việc sử dụng máy tính để thực hiện tội phạm, lưu trữ thông tin phạm tội, hoặc xâm phạm đến hoạt động bình thường và an toàn của máy tính cùng hệ thống mạng máy tính.
Các loại tội phạm máy tính gồm có:
Truy cập bất hợp pháp vào hệ thống máy tính và dữ liệu nhạy cảm
Phát tán tin rác, mã độc
Đánh cắp định danh là quá trình thu thập thông tin cá nhân nhằm giả danh người khác, thường để lấy thẻ tín dụng hoặc tạo ra khoản nợ cho nạn nhân mà họ không hay biết Ở Mỹ, hành vi này được định nghĩa là tội phạm trộm cắp và lừa đảo danh tính, bao gồm các hành vi gian lận và sử dụng trái phép dữ liệu cá nhân Có bốn phương thức chính để truy cập vào thông tin cá nhân của nạn nhân.
Tấn công hoặc sử dụng phần mềm gián điệp
Truy cập trái phép vào dữ liệu
Truy cập bất hợp pháp vào hệ thống máy tính và dữ liệu nhạy cảm
Truy cập trái phép vào hệ thống máy tính hoặc dữ liệu có thể nhằm mục đích khác ngoài tội phạm đánh cắp danh tính, như ăn cắp dữ liệu bí mật của công ty hoặc tài liệu tài chính nhạy cảm Những thông tin này có thể được sử dụng để thu hút khách hàng từ đối thủ, làm giảm giá cổ phiếu hoặc tống tiền Thủ phạm thường không được phép truy cập hoặc sử dụng dữ liệu nhưng vẫn cố tình làm vậy, và các phương pháp truy cập trái phép như hacking, phần mềm gián điệp hoặc thông qua nhân viên có quyền truy cập đều giống nhau Hành vi trộm cắp dữ liệu đang trở thành vấn đề nghiêm trọng, đặc biệt vì khó khăn trong việc ngăn chặn nhân viên hợp pháp tiếp cận dữ liệu nhạy cảm.
Tội phạm lừa đảo khá phổ biến Một trong số các hành vi lừa đảo trực tuyến trên Internet bao gồm:
Lừa đảo đầu tư là hình thức đầu tư và môi giới không hợp pháp, không chỉ đơn thuần là một trào lưu mà còn có thể liên quan đến các hoạt động phạm tội.
Lừa đảo giao dịch trực tuyến đang trở thành một vấn đề phổ biến trong bối cảnh đấu giá trực tuyến phát triển mạnh mẽ Người tiêu dùng hợp pháp thường gặp khó khăn trong việc xác định giá trị thực của sản phẩm và loại bỏ những mặt hàng không còn nhu cầu Tuy nhiên, bên cạnh những địa điểm kinh doanh uy tín, tội phạm cũng tìm cách lừa đảo để chiếm đoạt tài sản từ nạn nhân, chẳng hạn như không giao hàng, giao hàng không đúng chất lượng hoặc không đúng thời hạn, và không cung cấp thông tin đầy đủ về sản phẩm.
Lừa đảo nhận và chuyển tiền đang gia tăng trên Internet, với nhiều hình thức gian lận liên quan đến việc sử dụng lệnh chuyển tiền giả hoặc séc tiền thật Những hành vi này thường nhằm mục đích lừa đảo người dùng và gây thiệt hại tài chính nghiêm trọng.
Vi phạm bản quyền là hành vi chiếm đoạt tài sản trí tuệ mà không có sự đồng ý của tác giả, bao gồm phần mềm, bài hát và đoạn phim Những trường hợp này thường liên quan đến vấn đề dân sự, và việc kiện tụng nhằm ngăn chặn vi phạm cũng như bồi thường thiệt hại bằng tiền một cách đáng kể.
Phát tán tin rác, mã độc
Tội phạm phát tán tin rác và mã độc hại đang ngày càng trở nên phổ biến, với hành vi gửi tin nhắn và email quảng cáo một cách vô tội vạ gây phiền toái cho người nhận Những tin nhắn này không chỉ làm mất thời gian mà còn có thể dẫn dụ người nhẹ dạ cung cấp thông tin cá nhân như số thẻ tín dụng Theo thống kê của Kaspersky Lab vào tháng 6-2013, tỷ lệ thư rác chiếm tới 71,1% tổng lượng thư điện tử toàn cầu, trong đó hơn một nửa đến từ Trung Quốc (23,9%) và Mỹ (17,2%).
- hai quốc gia hàng đầu về phát tán thư rác Việt Nam xếp vị trí thứ sáu với tỉ lệ phần trăm thư rác chiếm khoảng 3,3%
Việc viết và phát tán mã độc đang trở thành một hình thức tấn công phổ biến trên mạng Các kẻ tấn công sử dụng chương trình mã độc để lây nhiễm vào hệ thống và phần mềm, nhằm mục đích phá hoại hoặc đánh cắp thông tin trái phép Thông thường, chúng gửi email chứa mã độc hoặc đính kèm trong phần mềm, và chỉ cần người dùng kích hoạt chương trình, mã độc sẽ tự động lây nhiễm vào hệ thống Điều này cho phép kẻ tấn công theo dõi hoạt động trên hệ thống bị lây nhiễm hoặc sử dụng nó để tấn công các mục tiêu khác.
1.2.2 Bằng chứng số Định nghĩa
Bằng chứng số, hay còn gọi là bằng chứng điện tử, được định nghĩa là mọi thông tin có giá trị pháp lý được lưu trữ và truyền dẫn dưới dạng số Định nghĩa này phản ánh quan điểm hiện tại về bằng chứng số, được thu thập từ thông tin và thiết bị vật lý trong quá trình điều tra.
Vai trò của bằng chứng số tạo ra mối liên kết giữa kẻ tấn công, nạn nhân và hiện trường vụ án
Theo định nghĩa của Locard, "bất cứ ai hoặc bất cứ thứ gì mang đến hiện trường vụ án đều để lại dấu vết khi rời đi." Điều này có nghĩa là trong quá trình điều tra, bất kỳ thông tin nào được lưu trữ trên máy tính của nạn nhân, như log files hay lịch sử trình duyệt, đều có thể trở thành bằng chứng quan trọng Những đặc điểm của bằng chứng số giúp các nhà điều tra theo dõi và phân tích thông tin để làm sáng tỏ vụ án.
Bằng chứng số phải có những đặc điểm sau thì mới được tòa án công nhận trong quá trình xử án
Được thừa nhận: bằng chứng phải liên quan đến một sự việc đang được chứng minh
Xác thực: bằng chứng phải có thật và liên quan đến sự việc được chứng minh
Đáng tin: Bằng chứng phải rõ ràng, dễ hiểu và đáng tin đối với thẩm phán
Tin tưởng: Thẩm phán phải tin tưởng vào tính xác thực của bằng chứng
Hoàn chỉnh: Bằng chứng phải chứng minh được hành động của kẻ tấn công có tội hoặc vô tội
Bằng chứng số rất dễ bị hư hại trong quá trình điều tra, chẳng hạn như khi máy tính bị tắt nguồn, dữ liệu tạm thời trong RAM sẽ bị mất Hơn nữa, nếu máy tính vẫn đang kết nối Internet, kẻ tấn công có thể xóa bằng chứng bằng cách xóa các tập tin logs trước khi nạn nhân kịp ngắt kết nối.
Ngoài việc xóa dấu vết bằng chứng, tội phạm máy tính còn sử dụng anti-forensics để làm cản trở, gây khó khăn cho việc điều tra
Ghi đè lên dữ liệu: phá hủy bất kỳ dữ liệu nghi ngờ nào bằng cách ghi đè nhiều lần với bit 0
Ẩn dữ liệu( stegano, mã hóa):
Obfuscation( xáo trộn) dữ liệu
Vấn đề pháp lý đóng vai trò quan trọng trong điều tra số, đặc biệt là các quy định liên quan đến việc chấp nhận bằng chứng số trong các vụ án Điều tra pháp y không chỉ tuân thủ luật pháp trong nước mà còn phải tuân theo các quy định của luật pháp quốc tế và các tiêu chuẩn kỹ thuật được áp dụng.
V ấn đề lu ật pháp quy định trong nướ c
Viện trưởng Viện kiểm sát nhân dân tối cao Nguyễn Hòa Bình nhấn mạnh sự cần thiết phải quy định về chứng cứ điện tử trong bối cảnh tội phạm công nghệ thông tin ngày càng gia tăng Các loại tội phạm trên mạng như trộm cắp, lừa đảo, khủng bố và giết người tương tự như tội phạm ngoài xã hội, do đó, Bộ luật tố tụng hình sự cần bổ sung quy định về nguồn dữ liệu chứng cứ điện tử, vốn là nguồn chứng cứ quan trọng và đặc thù Dữ liệu điện tử, bao gồm ký tự lưu giữ trong các thiết bị như máy tính, máy ảnh và mạng Internet, có thể tạo ra chữ viết, chữ số, hình ảnh và âm thanh phản ánh sự kiện phạm tội Tuy nhiên, dữ liệu này dễ bị tẩy xóa, sửa chữa hoặc hủy bỏ, vì vậy, cần quy định cụ thể về trình tự và thủ tục thu thập, phục hồi, phân tích dữ liệu điện tử, cũng như việc thu giữ phương tiện điện tử và chặn dữ liệu trên mạng.
Theo đại tá, tiến sĩ Trần Văn Hòa, phó cục trưởng Cục Cảnh sát phòng chống tội
Bộ Công an đã đề xuất rằng Bộ luật tố tụng hình sự (BLTTHS) cần công nhận dữ liệu điện tử, bao gồm ký hiệu, chữ viết, chữ số, hình ảnh và âm thanh dưới dạng số, là chứng cứ hợp pháp Để thu thập dữ liệu điện tử, cần sử dụng thiết bị và phần mềm chuyên dụng để phục hồi "dấu vết điện tử" đã bị xóa hoặc mã hóa, nhằm đảm bảo chúng có thể được sử dụng làm bằng chứng trước tòa Hiện tại, chưa có quy định rõ ràng về thủ tục tố tụng hình sự liên quan đến việc thu thập, bảo quản, phục hồi và giám định chứng cứ điện tử.
Quy định bằng chứng số tại Mỹ
Bằng chứng trình bày tại tòa án cần tuân thủ các quy tắc về bằng chứng, vì vậy điều quan trọng là điều tra viên phải nắm rõ các quy định liên quan trước khi tiến hành điều tra.
Quy định về bằng chứng giải thích là rất quan trọng trong quá trình xét xử, xác định thời điểm, cách thức và mục đích chứng minh trong một vụ án trước khi đưa ra xét xử Việc xét xử có thể do thẩm phán hoặc bồi thẩm đoàn thực hiện, tùy thuộc vào mục đích của phiên tòa và sự lựa chọn của các bên liên quan.
Theo luật về bằng chứng mỹ 2015 định nghĩa liên quan đến bằng chứng như sau
(a) Một “văn bản” và “bản ghi” bao gồm chữ cái, chữ, số hoặc tương đương được ghi lại bằng cách viết tay, đánh máy, in ấn…
(b) Một “bức ảnh” có nghĩa là một hình ảnh được chụp lại và được lưu trữ dưới mọi hình thức
(c) Bản gốc những đối tượng vật lý và những đối tượng dữ liệu được liên kết với nhau
Bản sao được hiểu là việc áp dụng các kỹ thuật để tái tạo chính xác tài liệu gốc Để chứng cứ số có thể được chấp nhận tại phiên tòa, cần phải có bản gốc, theo quy định tại Điều 1002 của luật liên bang về bằng chứng.
Một bản gốc văn bản, bản ghi hoặc bức ảnh được yêu cầu để chứng minh nội dung theo luật pháp quy định Điều 1003 Thừa nhận bản sao
Một bản sao được coi là bản gốc, trừ khi có những nghi vấn thực sự về tính xác thực của bản gốc hoặc khi có chứng cứ không phù hợp.
12 chứng minh thừa nhận bản sao Điều 1004 Thừa nhận các bằng chứng khác về nội dung
Bản gốc không được yêu cầu và bằng chứng khác về nội dung của văn bản, bản ghi hoặc bức ảnh được thừa nhận nếu:
(a) Bản gốc bị mất hoặc bị phá hủy Tất cả các bản gốc bị mất hoặc đã bị phá hủy bởi những kẻ có ý đồ xấu phá hoại
(b) Bản gốc không được thu thập theo quy trình tư pháp có sẵn
Bản gốc ban đầu thuộc về đối thủ, và khi bản gốc này nằm dưới sự kiểm soát của đối thủ nhằm chống lại người cung cấp, đối thủ sẽ đưa ra thông báo để biện hộ rằng bản gốc là một bằng chứng quan trọng tại phiên tòa hoặc phiên điều trần.
(d) Các văn bản, bản ghi hoặc bức ảnh không liên quan đến vấn đề kiểm soát
Yêu cầu để thừa nhận bằng chứng số
Trước khi được chấp nhận, bằng chứng cần phải được xác thực thông qua quy trình quy định, nhằm đảm bảo tính chính xác của nó Đặc biệt, bằng chứng số cần đáp ứng các yêu cầu của tòa án khi thu thập từ máy tính hoặc thiết bị khác, chứng minh rằng nó không bị thay đổi từ thời điểm thu thập Quá trình quản lý bằng chứng khẳng định rằng bằng chứng số được thu thập từ các công cụ chuyên dụng và được kiểm soát liên tục trong suốt quá trình điều tra.
S ử d ụ ng chu ỗ i qu ả n lý b ằ ng ch ứ ng
Việc sử dụng chuỗi quy trình quản lý bằng chứng (chain of custody) rất quan trọng trong điều tra, bao gồm thông tin về cách thu thập, vận chuyển, phân tích và bảo quản bằng chứng Mỗi giai đoạn của điều tra cần xác định rõ ràng vị trí, thời gian và phương pháp phát hiện, thu thập và xử lý bằng chứng, cũng như ai đã tiếp xúc với chúng Chuỗi Chain of Custody cần có tài liệu hướng dẫn và trả lời các câu hỏi cần thiết; nếu một câu hỏi chưa được giải đáp, chuỗi này sẽ bị gián đoạn Trong trường hợp này, nếu thiếu một mắt xích trong Chain of Custody khi trình bày bằng chứng tại tòa án, thì tòa sẽ không chấp nhận các bằng chứng liên quan.
13 và toàn bộ quá trình điều tra sẽ là vô ích
Chuỗi kiểm soát (Chain of Custody) được định nghĩa là "một bản đồ đường cho thấy bằng chứng được thu thập, phân tích và bảo quản để trình bày tại tòa án" (John Vacca) Đây là thuật ngữ chỉ sự kiểm toán và kiểm soát chính xác bằng chứng gốc có khả năng được sử dụng hợp pháp Việc biết vị trí hiện tại của bằng chứng là chưa đủ; cần có bản ghi chính xác để theo dõi sự chuyển động và người sở hữu bằng chứng trong suốt quá trình điều tra Điều tra viên phải trả lời tất cả các câu hỏi liên quan trong quá trình điều tra số để đảm bảo tính hợp lệ và đáng tin cậy của bằng chứng.
Bằng chứng số là gì?
Bằng chứng số được phát hiện, thu thập, xử lý và được kiểm tra ở đâu?
Ai đã tiếp xúc với bằng chứng số đó để xử lý và khám phá nó?
Lý do sử dụng bằng chứng số đó là gì?
Khi nào bằng chứng số được phát hiện, tru cập, kiểm tra và vận chuyển?
Làm thế nào bằng chứng số được sử dụng?
Duy trì Chain of Custody là yếu tố then chốt để bảo vệ dữ liệu và đảm bảo tính xác thực của bằng chứng Nhờ vào Chain of Custody, các điều tra viên có thể chứng minh rằng bằng chứng buộc tội không bị can thiệp hay phá hủy bởi bất kỳ tác động bên ngoài nào.
Hình 1.1Mẫu chuỗi quản lý bằng chứng
Trong quá trình thu thập chứng cứ, việc tạo bản sao cần tuân thủ các tiêu chuẩn nghiêm ngặt để đảm bảo chất lượng và độ tin cậy Sử dụng phần mềm chuyên dụng là cần thiết để hỗ trợ cho mục đích này Các bản sao phải có khả năng kiểm chứng nhằm ngăn chặn gian lận Mỗi chứng cứ cần được đánh dấu rõ ràng, bao gồm ngày, tháng, tên viết tắt của người thu thập và số hiệu tương ứng.
Mục đích của việc kiểm tra tính toàn vẹn là chứng minh rằng bằng chứng không bị thay đổi từ khi thu thập, hỗ trợ quá trình xác thực Tính toàn vẹn của bằng chứng số đảm bảo rằng thông tin được giữ nguyên từ thời điểm thu giữ đến khi tiết lộ Trong quá trình điều tra số, việc xác minh tính toàn vẹn thường liên quan đến việc so sánh giá trị hàm băm của bằng chứng tại các thời điểm khác nhau, như khi sao chép hoặc phân tích Nếu các giá trị này giống nhau, điều đó chứng minh rằng bằng chứng số đã duy trì tính toàn vẹn.
Một số thuật toán hàm băm như MD5 và SHA-1 thường được chính phủ Mỹ lựa chọn Các thuật toán này tạo ra một chuỗi số duy nhất cho mỗi đầu vào khác nhau, nhằm đảm bảo không có kết quả trùng lặp Điều này tương tự như dấu vân tay và DNA, nhấn mạnh tính độc nhất của dữ liệu đầu vào.
Hình 1.2 Kết quả chuỗi MD5
1.4.2 Quy định về bằng chứng gốc
Quy định về bằng chứng gốc nhằm ngăn chặn sự thay đổi của bằng chứng số, yêu cầu tòa án chỉ chấp nhận bằng chứng gốc của tài liệu, hình ảnh hoặc bản ghi trong phiên xét xử Bản sao chỉ được phép làm bằng chứng theo những điều kiện nhất định, theo quy định tại Điều 1004.
Bằng chứng gốc bị phá hủy do cháy/lũ
Bằng chứng gốc bị phá hủy trong quá trình hoạt động kinh doanh
Bằng chứng gốc thuộc sở hữu của bên thứ 3 ( đây là những người vượt quá thẩm quyền giấy triệu tập của tòa án.[7]
Xác nhận tính hợp lệ của công cụ điều tra số
Các công cụ và kỹ thuật trong điều tra số phải đáp ứng tiêu chuẩn cơ bản để đảm bảo giá trị pháp lý của bằng chứng trong tố tụng Tại Mỹ, yêu cầu chấp nhận bằng chứng khoa học và ý kiến chuyên gia được quy định theo tiền lệ của Tòa án Tối cao trong vụ Daubert vs Merrell Dow Pharmaceuticals, Inc (1993) Tòa án khẳng định rằng bằng chứng và ý kiến từ các hoạt động khoa học cần phải được chứng minh để các công cụ điều tra được chấp nhận tại tòa án Do đó, trong điều tra số, các công cụ và kỹ thuật thu thập, phân tích bằng chứng số phải được xác nhận và chứng minh theo tiêu chuẩn khoa học.
Kiểm tra và xác nhận tính hợp lệ của phần mềm điều tra máy tính là bước quan trọng sau khi chọn công cụ điều tra Để đảm bảo rằng các bằng chứng phục hồi và phân tích có thể được thừa nhận tại tòa, cần thực hiện quy trình kiểm tra và xác nhận phần mềm sử dụng.
Viện tiêu chuẩn quốc gia NIST đã phát hành tài liệu cung cấp công cụ và quy trình kiểm tra, xác nhận phần mềm và phần cứng trong điều tra máy tính, nhằm đảm bảo rằng phần mềm có thể được chấp nhận làm bằng chứng trong các vụ án tại tòa án NIST đã tài trợ cho dự án CFTT (Computer Forensics Tool Testing) để quản lý nghiên cứu về các công cụ điều tra máy tính Tài liệu “General Test Methodology for Computer Forensic Tools” (1.9-2001) được NIST phát triển nhằm thiết lập tiêu chuẩn thử nghiệm cho các công cụ điều tra, nhấn mạnh sự thiếu hụt hướng dẫn thực hành và tầm quan trọng của việc đáp ứng yêu cầu pháp lý Các tiêu chuẩn này được xây dựng dựa trên phương pháp nghiệm ISO 17025, yêu cầu các phòng thí nghiệm kiểm tra phải tuân thủ các tiêu chuẩn chất lượng cao.
Các công cụ điều tra máy tính có thể được phân loại theo chức năng, trong đó một nhóm quan trọng là các phần mềm được thiết kế để lấy và theo dõi email Những ứng dụng này giúp người dùng giám sát và quản lý thông tin từ email một cách hiệu quả, góp phần nâng cao khả năng bảo mật và điều tra trong môi trường số.
Phân loại yêu cầu điều tra máy tính
Xác định vụ án để điều tra
Thiết lập 1 phương pháp thử nghiệm
Báo cáo kết quả kiểm tra: mô tả các kết quả kiểm nghiệm trong một báo cáo
Để đảm bảo chất lượng và độ tin cậy của các cuộc thí nghiệm, các tổ chức cần tuân thủ tiêu chuẩn ISO 17025, yêu cầu báo cáo phải chính xác, rõ ràng, không mơ hồ và khách quan Bên cạnh đó, tiêu chuẩn ISO 5725 cũng đóng vai trò quan trọng trong việc bảo đảm độ chính xác cho tất cả các cuộc thí nghiệm.
QUY TRÌNH ĐIỀU TRA SỐ
Quy trình chung điều tra số
Hình 2.1 dưới đây thể hiện quy trình điều tra số tổng thể gồm các bước như sau:
Bảo vệ và giám định hiện trường
Lập tài liệu hiện trường
Hình 2.1 Quy trình điều tra số
Mục tiêu của việc chuẩn bị điều tra số là xây dựng một kế hoạch hành động hiệu quả, yêu cầu có đội ngũ điều tra viên và trang thiết bị đầy đủ Khi có lệnh thu giữ, điều tra viên cần lập kế hoạch ứng phó với các tình huống phát sinh Việc chuẩn bị thiết bị chuyên dụng cho quá trình thu thập, đóng gói và lưu trữ thiết bị số là rất quan trọng để bảo vệ chứng cứ khỏi sự thay đổi, hư hỏng hoặc phá hủy Đồng thời, cần tránh sử dụng các công cụ hoặc vật liệu có khả năng gây tĩnh điện hoặc từ trường, vì chúng có thể làm hư hại hoặc tiêu hủy chứng cứ số.
Để thu thập chứng cứ hiệu quả, cần chuẩn bị đầy đủ các công cụ như máy ảnh, hộp các tông, sổ ghi chép, găng tay, túi bằng chứng giấy, miếng dán, túi chống tĩnh điện, con dấu và các công cụ không có tính từ tính.
Hình ảnh là kết quả của quá trình nhân bản pháp y và yêu cầu việc sử dụng các thiết bị lưu trữ an toàn Ba loại thiết bị lưu trữ phổ biến hiện nay bao gồm ổ đĩa cứng, đĩa quang (CD, DVD) và USB flash Những thiết bị này được các nhà điều tra sử dụng để lưu trữ hình ảnh nhân bản phục vụ cho việc điều tra và phân tích sau này Quan trọng nhất, điều tra viên cần đảm bảo rằng thiết bị lưu trữ được sử dụng hoàn toàn "sạch", không chứa bất kỳ dữ liệu nào có thể vô tình trở thành bằng chứng trong quá trình điều tra.
Thiết bị lưu trữ này có thể làm sạch theo 2 tiêu chuẩn:
Tiêu chuẩn DoD 5220.22-M tiêu chuẩn của Bộ Quốc phòng Hoa Kỳ
Tiêu chuẩn NSA tiêu chuẩn của Cơ quan An ninh Quốc gia Hoa Kỳ
Chu ẩ n b ị thi ế t b ị ch ống ghi ngượ c :
Trong quá trình điều tra, việc bảo vệ chứng cứ số khỏi bị ghi đè hoặc thay đổi là rất quan trọng Dữ liệu trên hệ thống máy tính được ghi và đọc thông qua lệnh của máy tính, kết nối với thiết bị lưu trữ Do đó, chiến lược hiệu quả để ngăn chặn việc ghi đè là sử dụng một bộ lọc giữa máy tính và thiết bị lưu trữ Bộ lọc này sẽ chặn tất cả các lệnh có khả năng gây ra thay đổi dữ liệu gốc, chỉ cho phép các lệnh vào thiết bị mà không làm thay đổi nội dung của nó.
Thiết bị chống ghi hoạt động như một cầu nối giữa máy tính chủ và thiết bị lưu trữ, có thể được triển khai dưới dạng phần cứng hoặc phần mềm Hai loại kỹ thuật bảo vệ ghi chính được phát triển bao gồm phần cứng chống ghi và phần mềm chống ghi.
Phần cứng chống ghi là thiết bị vật lý hoặc cơ học được thiết kế để theo dõi các lệnh cho phép và ngăn chặn dữ liệu từ bên ngoài ghi vào bằng chứng.
Phần mềm chống ghi: được thực hiện thông qua ngắt và lệnh IRP
Hình 2.2 Thiết bị chống ghi
Các thiết bị chống ghi phần cứng và phần mềm được liệt kê trong phụ lục 1
2.1.2 Bảo vệ và giám định hiện trường Điều đầu tiên của đội điều tra nên đảm bảo sự an toàn của tất cả mọi người tại hiện trường vụ án Tất cả các hành động và hoạt động thực hiện tại hiện trường phải phù hợp với luật pháp Thực hiện theo chính sách của luật pháp về việc bảo vệ hiện trường
Để đảm bảo quy trình điều tra hiệu quả, cần thực hiện một danh sách kiểm tra bao gồm việc xác nhận kiểu sự cố, đảm bảo an toàn tại hiện trường, và cô lập những người không liên quan Điều tra viên phải xác định vị trí nạn nhân, thu thập dữ liệu liên quan đến kẻ phạm tội, và yêu cầu hỗ trợ nếu cần thiết Thiết lập vành đai an ninh là cần thiết để bảo vệ bằng chứng khỏi mất mát và bảo vệ dữ liệu dễ bị biến động Ngoài ra, điều tra viên cũng nên chuẩn bị lệnh thu giữ, cho phép đội phản ứng đầu tiên thực hiện tìm kiếm và thu thập chứng cứ số theo quy định.
Lệnh thu giữ bằng chứng số về cơ bản tập trung vào những điều sau:
Lệnh thu giữ thiết bị lưu trữ số cho phép đội phản ứng đầu tiên tiến hành tìm kiếm và thu giữ các thành phần máy tính của nạn nhân, bao gồm phần cứng, phần mềm, thiết bị lưu trữ và tài liệu liên quan.
Lệnh thu giữ đảm bảo đội phản ứng đầu tiên có được thông tin trong máy tính nạn máy tính nạn nhân
Kế hoạch chuẩn bị tìm kiếm và thu giữ chứa các thông tin chi tiết sau:
Mô tả sự cố, quản lý sự cố đang chạy, tên của sự cố, vị trí sự cố, thẩm
Trong bài viết này, chúng tôi sẽ đề cập đến 26 quyền áp dụng và các luật pháp liên quan đến vị trí của thiết bị thu giữ Điều này bao gồm kiến trúc và kích thước của thiết bị, cũng như vị trí cụ thể của các máy tính, có thể là tập trung tại một vị trí hoặc trải đều khắp phòng Ngoài ra, chúng tôi cũng sẽ xem xét những người liên quan đến sự cố này.
Chi tiết những gì cần thu giữ( vị trí, ID, mô hình ): kiểu thiết bị và số lượng phải thu giữ
Sẽ thu giữ máy tính đang chạy hay khi đã tắt thế nào
Bằng chứng có thể kết nối với mạng, xác định kiểu mạng và vị trí lưu trữ của bằng chứng trong mạng là rất quan trọng Ngoài ra, việc xác định nơi lưu trữ hệ thống backup cũng đóng vai trò quan trọng Nếu hệ thống server đang chạy bị tắt, điều này có thể ảnh hưởng nghiêm trọng đến hoạt động kinh doanh của doanh nghiệp.
Trong quá trình điều tra, việc tìm kiếm ban đầu tại hiện trường là rất quan trọng Đầu tiên, cần cô lập hệ thống máy tính và các thiết bị có khả năng chứa bằng chứng Tiếp theo, thu thập các tệp log vì chúng cung cấp thông tin về các thiết bị được sử dụng Đồng thời, ghi chú lại các điểm quan trọng khi phác thảo hiện trường và chụp ảnh chi tiết tất cả bằng chứng máy tính An toàn là yếu tố hàng đầu trong mọi giai đoạn điều tra; do đó, tất cả điều tra viên phải đeo găng tay cao su để bảo vệ bản thân và giữ nguyên dấu vân tay trên bằng chứng, nhằm đảm bảo tính toàn vẹn của quá trình điều tra.
Tiến hành chất vấn sơ bộ tại hiện trường để xác định và ghi lại danh sách tất cả những người có mặt cùng với thời gian có mặt của họ Theo luật pháp liên bang, đội phản ứng đầu tiên cần thu thập càng nhiều thông tin cá nhân càng tốt.
Người sở hữu thiết bị số được tìm thấy tại hiện trường
Tên người dùng và tên nhà cung cấp dịch vụ internet
Mật khẩu yêu cầu để truy cập vào hệ thống, phần mềm
Mục đích khi sử dụng hệ thống
Thông tin tài khoản webmail hoặc trang mạng xã hội
Tài liệu giải thích phần cứng, phần mềm được cài đặt trên hệ thống 2.1.3 Lập tài liệu hiện trường
Lập tài liệu hiện trường là một bước quan trọng nhằm bảo đảm không thay đổi vị trí trong hiện trường Việc ghi lại chính xác vị trí và trạng thái tại hiện trường giúp duy trì tính toàn vẹn của thông tin và hỗ trợ trong quá trình điều tra sau này.
Trong hệ thống máy tính, thiết bị lưu trữ và mạng không dây, việc ghi lại tài liệu ban đầu tại hiện trường là rất quan trọng Tất cả các hoạt động cần được chụp lại, cùng với việc ghi chú những nội dung hiển thị trên màn hình máy tính để đảm bảo thông tin được lưu trữ đầy đủ và chính xác.
Quy trình điều tra số trên thiết bị Android
Quy trình điều tra số trên thiết bị điện thoại di động được tham khảo từ tổ chức SANS, tuy nhiên chỉ áp dụng cho điện thoại di động nói chung và chưa cung cấp chi tiết về cách xử lý chứng cứ cũng như bảo vệ chứng cứ Học viên đã bổ sung thêm các bước cụ thể trong phần xử lý chứng cứ để hoàn thiện quy trình này.
Hình 2.10 –Lược đồ quy trình điều tra số
2.2.1 Tiếp nhận cuộc điều tra Đây là bước đầu tiên trong quy trình điều tra, các điều tra viên tiếp nhận vụ án và các thủ tục liên quan, đồng thời tiếp nhận các yêu cầu phục vụ cho quá trình điều tra Giai đoạn tiếp nhận bằng chứng đòi hỏi các điều tra viên phải thu thập đầy đủ các giấy tờ để đưa vào tài liệu vụ án, bao gồm: thông tin sở hữu, các loại thiết bị di động đã tham gia và đưa ra các thông tin chung về các loại dữ liệu hoặc các thông tin yêu cầu được tìm kiếm
Một yếu tố quan trọng trong giai đoạn này là phát triển các mục tiêu cụ thể cho từng giai đoạn điều tra Điều này không chỉ giúp các điều tra viên ghi lại mục tiêu của họ, mà còn hỗ trợ trong việc phân loại điều tra và bắt đầu lập tài liệu quy trình.
43 trình điều tra đối với mỗi thiết bị di động được điều tra Thông tin này để điều tra viên phân loại điện thoại
2.2.2 Nhận dạng thiết bị Đối với điều tra viên cần phải xác định các vấn đề sau:
Xác định thẩm quyền, tính pháp lý của cuộc điều tra
Mục tiêu cuộc điều tra
Lưu trữ dữ liệu bên ngoài và bộ nhớ di động
Các nguồn bằng chứng tiềm năng khác
2.2.2.1 Th ẩ m quy ề n và tính pháp lý c ủ a cu ộc điề u tra
Một cuộc điều tra hợp pháp yêu cầu đầy đủ giấy tờ, chứng từ và văn bản quy phạm pháp luật cần thiết Các điều tra viên phải xác định rõ phạm vi và tính chất của cuộc điều tra theo các quy định pháp luật để hỗ trợ việc tìm kiếm bằng chứng và các đầu mối quan trọng liên quan đến vụ án.
Việc tìm kiếm bằng chứng trong các vụ án điều tra có thể diễn ra thuận lợi nếu được sự đồng ý của bên yêu cầu và tuân thủ pháp luật, cho phép kiểm tra tin nhắn cá nhân, lịch sử cuộc gọi và các tập tin đa phương tiện mà không bị giới hạn Tuy nhiên, trong các vụ án xâm phạm đời tư, các điều tra viên cần phải cẩn trọng và xem xét kỹ lưỡng các quy định pháp luật để xác định rõ những dữ liệu nào được phép thu thập, nhằm tránh vi phạm quyền riêng tư cá nhân.
2.2.2.2 M ụ c tiêu cu ộc điề u tra
Quy trình điều tra điện thoại di động thường được áp dụng một cách chung, tuy nhiên, mục tiêu điều tra có thể khác nhau tùy thuộc vào từng thiết bị Không phải tất cả các phòng thí nghiệm pháp y đều có khả năng xử lý mọi loại dữ liệu trên điện thoại Do đó, việc xác định mức độ của cuộc điều tra là rất quan trọng, nhằm đảm bảo rằng nó phù hợp với loại điện thoại di động đang được điều tra Hai vấn đề chính cần được xem xét trong bước này bao gồm khả năng xử lý dữ liệu và tính hợp lệ của quy trình điều tra.
Người chịu trách nhiệm cho quá trình tài liệu hóa dữ liệu
Làm thế nào để việc điều tra phải có độ sâu
Trong một số trường hợp, việc lập tài liệu về bằng chứng trên điện thoại di động có thể thực hiện bằng tay hoặc thông qua hình ảnh Dữ liệu chứa trên thiết bị này có thể được yêu cầu điều tra nhằm khai thác thông tin hữu ích phục vụ cho việc làm sáng tỏ vụ án Mục tiêu chính của việc thu thập dữ liệu từ điện thoại di động là để hỗ trợ quá trình điều tra.
Bộ nhớ ngoài – thẻ nhớ SD
Các tập tin cơ sở dữ liệu SQLite
Lịch sử trình duyệt web
Các bản ghi ứng dụng mạng xã hội Facebook, Twitter, Zalo
Dữ liệu email cài đặt trên máy
Dữ liệu lưu trữ trên máy
Trong một số trường hợp, các điều tra viên gặp phải hạn chế về quyền hạn và tính pháp lý trong quá trình điều tra, dẫn đến việc họ chỉ có thể thu thập một phần dữ liệu cần thiết.
Mục tiêu của cuộc điều tra bao gồm việc khôi phục dữ liệu bị xóa từ bộ nhớ điện thoại, điều này chỉ khả thi nếu có công cụ trích xuất dữ liệu ở cấp độ vật lý.
2.2.2.3 Nh ậ n d ạ ng thi ế t b ị Đây là một phần trong việc điều tra bất kì chiếc điện thoại di động, các thông tin nhận dạng cho điện thoại cần phải được ghi chép đầy đủ Điều này cho phép các điều tra viên không chỉ xác định một chiếc điện thoại cụ thể tại một thời điểm mà còn làm tài liệu để tra cứu cho các vụ án về sau Thông tin nhận dạng bao gồm: nhà sản xuất, model, số điện thoại Với mỗi máy di động, đều có số nhận dạng thiết bị di động trên toàn thế giới IMEI (International Mobile Equipment Identity) Số IMEI là chuỗi số duy nhất được gán cho duy nhất một máy Trên tất cả điện thoại di động ta có thể kiểm tra số IMEI bằng cách bấm *#06# hoặc được in trên tem máy phía dưới Pin IMEI là một dãy số bao gồm 15 số nó chứa thông tin xuất xứ, Model và số serial của máy Model và xuất xứ bao gồm 8 số trong phần đầu được hiểu là TAC (Type Allocation Code: Mã Model và xuất xứ) Các phần còn lại của số IMEI được định nghĩa bởi nhà sản xuất và cuối cùng là số
Luhn Check Digit Ví dụ từ năm 2004 đến nay, số IMEI có định dạng sau: AABBBBBB-CCCCCC-D trong đó:
- AA là số Reporting Body Identifier, dùng để nhận dạng tổ chức nào đã cung cấp số IMEI cho nhà sản xuất thiết bị di động
- BBBBBB: Dùng để nhận dạng loại điện thoại (model)
- CCCCCC: Là số serial của từng máy do nhà sản xuất quy định
Số D là chữ số kiểm tra cuối cùng được tạo ra theo quy tắc Luhn Check Digit, hoặc có thể là số 0 Để phân tích số IMEI và lấy thông tin thiết bị từ số IMEI đó, bạn có thể truy cập trang web https://imeidata.net/ để thực hiện tra cứu.
Tùy theo công nghệ điện thoại di động, thông tin xác định bổ sung cần được ghi nhận (nếu có) như sau: Điện thoại di động CDMA
Số Serial Điện Tử (ESN) là một mã số 32 bit duy nhất cho mỗi điện thoại di động, nằm dưới pin của thiết bị ESN có thể được trình bày dưới dạng thập phân (11 chữ số) hoặc thập lục phân (8 chữ số) Cần lưu ý rằng dạng hex của ESN không phải là một phép chuyển đổi trực tiếp từ giá trị thập phân Để chuyển đổi giữa các định dạng, người dùng có thể sử dụng bộ chuyển đổi ESN tại http://www.elfqrin.com/esndhconv.html.
Mobile Equipment ID (MEID) cũng được tìm thấy dưới nắp pin, là một số
MEID được sử dụng thay thế cho ESN do kích thước của ESN chỉ là 32 bit, trong khi MEID có kích thước lớn hơn và được biểu diễn dưới dạng hex Cấu trúc của MEID bao gồm mã vùng ở byte đầu tiên, tiếp theo là mã nhà sản xuất trong 3 byte, và 3 byte còn lại là chuỗi số do nhà sản xuất quy định Điện thoại CDMA thường không sử dụng thẻ SIM, nhưng một số phiên bản điện thoại lai công nghệ kép hỗ trợ cả CDMA và GSM, cho phép sử dụng trên cả hai mạng này.
Trong các điện thoại công nghệ kép, có một khe cắm thẻ SIM và thông tin nhận dạng dưới pin bao gồm nhiều số IMEI cùng với các số ESN/MEID Đối với điện thoại CDMA, có hai số nhận dạng quan trọng là Mobile Identification Number (MIN) và Mobile Directory Number (MDN) MIN là một số điện thoại duy nhất gồm 24 bit (10 số) và khi thực hiện cuộc gọi, điện thoại sẽ gửi ESN và MIN đến trạm thu phát tín hiệu MDN là số điện thoại toàn cầu duy nhất của thiết bị.
46 Điện thoại di động GSM:
The International Mobile Equipment Identifier (IMEI) is a unique 15-digit number used to identify GSM mobile phones on telecommunications networks This number is typically located beneath the battery of the mobile device, with the first 8 digits representing the Type Allocation Code (TAC), the next 6 digits indicating the Device Serial Number (DSN), and the final digit serving as a check number, which is usually set to 0.
Quy trình thu thập bằng chứng
Điều tra số trên thiết bị di động sử dụng hệ điều hành Android đòi hỏi sự linh hoạt và chủ động do tính biến động của dữ liệu Hệ điều hành này chứa nhiều lỗ hổng có thể bị khai thác từ xa qua mạng truyền thông, với khả năng kết nối qua Bluetooth, hồng ngoại và WiFi Việc thu thập chứng cứ trở nên phức tạp, yêu cầu không làm ảnh hưởng đến dữ liệu gốc và đảm bảo tính bí mật cho thông tin quan trọng Đặc biệt, tính toàn vẹn của các bằng chứng thu thập được phải được bảo đảm trong suốt quá trình điều tra Để thu thập tối đa thông tin từ điện thoại Android, các điều tra viên cần chuẩn bị cho nhiều tình huống và kịch bản khác nhau.
Hình 2.11 – Quy trình thu thập bằng chứng
2.3.1 Thủ tục ban đầu để bảo vệ dữ liệu trên thiết bị
Hình 2.12 – Thủ tục ban đầu bảo vệ dữ liệu trên thiết bị
Các bước đầu tiên trong quy trình thu thập và bảo vệ dữ liệu trên thiết bị được minh họa trong Hình 2.12 Các điều tra viên cần thực hiện các thủ tục bảo vệ dữ liệu một cách cẩn thận, bao gồm việc kiểm tra xem thiết bị, chẳng hạn như điện thoại, có được bật hay không, nhằm đảm bảo quy trình xử lý dữ liệu diễn ra đúng cách.
Khi thu thập điện thoại tắt hoặc không thể bật lên, điều đầu tiên các điều tra viên cần làm là đánh giá khả năng khôi phục dữ liệu từ các thành phần của thiết bị, đặc biệt là thẻ nhớ ngoài Nếu dữ liệu trên thẻ nhớ có thể khôi phục, tiến hành lắp thẻ vào đầu đọc, tạo bản sao lưu và trích xuất dữ liệu để bảo vệ cho quá trình phân tích Trong trường hợp không có thẻ nhớ hoặc thẻ nhớ bị hỏng, các điều tra viên cần xác định nguyên nhân khiến điện thoại tắt để khôi phục thiết bị về trạng thái hoạt động bình thường, từ đó thu thập dữ liệu trên bộ nhớ trong Một số nguyên nhân có thể khiến điện thoại tắt bao gồm
Khi điện thoại hết pin, bạn có thể khôi phục hoạt động bình thường cho thiết bị bằng cách tìm kiếm loại sạc phù hợp với đời máy và tiến hành nạp điện.
Khi điện thoại bị ngâm trong nước, việc đầu tiên là loại bỏ PIN khỏi thiết bị Dữ liệu bộ nhớ trên điện thoại có thể vẫn còn nguyên vẹn, cho phép khả năng khôi phục thông tin Do đó, cần áp dụng các biện pháp để phục hồi dữ liệu và khôi phục chức năng của điện thoại.
Điện thoại bị phá hủy bằng cách đốt cháy hoặc đập nát là hành động nhằm tiêu hủy bằng chứng có trên thiết bị Trong trường hợp này, bộ nhớ của điện thoại có thể bị hủy hoại hoàn toàn, dẫn đến việc không còn khả năng thu thập chứng cứ từ thiết bị.
Trong tình huống này, nếu có thể khôi phục điện thoại trở lại hoạt động bình thường, ta áp dụng quy trình thu thập bằng chứng tại mục 2.3.2
2.3.2 Thu thập dữ liệu trên thiết bị bật, không có mã bảo vệ
Trong trường hợp điều tra, việc tiếp cận và thu thập dữ liệu sẽ dễ dàng hơn nếu tài khoản root trên thiết bị được kích hoạt Trước tiên, cần duy trì trạng thái điện thoại để bảo vệ các tiến trình trên RAM, sau đó tạo bản sao dữ liệu trên thẻ nhớ Cuối cùng, áp dụng các kỹ thuật bảo vệ bằng chứng để giữ nguyên bản gốc và thực hiện trích xuất dữ liệu từ bản sao thẻ nhớ.
Trước tiên, khi thiết bị thu thập ở trạng thái bật, chúng ta cần kiểm tra dữ liệu trên thẻ nhớ Nếu dữ liệu chưa được trích xuất, tiến hành trích xuất dữ liệu từ thẻ nhớ Ngược lại, nếu dữ liệu đã được trích xuất, thực hiện kiểm tra quyền hạn của người dùng trên thiết bị.
Sau khi kiểm tra dữ liệu trên bộ nhớ ngoài, cần kết nối thiết bị với máy tính qua ADB để tạo bản sao các phân vùng dữ liệu quan trọng Việc này giúp quá trình kiểm tra và phân tích dữ liệu trở nên thuận tiện hơn Khi đã có bản sao các phân vùng hệ thống và người dùng, điều tra viên cần chú ý đến các tiến trình đang chạy trên thiết bị và đánh giá khả năng thu thập bằng chứng từ các tiến trình này.
Hình 2.13– Các bước thu thập trên thiết bị không có mã bảo vệ
Khi điều tra viên có tài khoản người dùng root trên thiết bị, việc thu thập bằng chứng trở nên đơn giản và dễ dàng Ngược lại, nếu điện thoại chưa được root, điều này đồng nghĩa với việc không có quyền truy cập cao nhất, và câu hỏi đặt ra là làm thế nào để truy cập vào phân vùng hệ thống nhằm thu thập dữ liệu đầy đủ Trong tình huống này, có hai phương pháp để giải quyết vấn đề.
Việc sử dụng các phương pháp kỹ thuật và công cụ để nâng cấp tài khoản người dùng bình thường lên tài khoản cao nhất tiềm ẩn rủi ro mất dữ liệu và bằng chứng trong quá trình nâng cấp Do đó, trong việc thu thập bằng chứng, không nên áp dụng các giải pháp này để tránh mất mát thông tin quan trọng trên thiết bị.
Để thu thập toàn bộ dữ liệu trên thiết bị mà không gây hư hỏng hay mất mát, chúng ta áp dụng kỹ thuật thu thập dữ liệu bằng phương pháp vật lý.
Thiết bị UFED TOUCH ULTIMATE của Cellebrite là một công cụ hỗ trợ tư pháp hiệu quả trong việc thu thập bằng chứng từ thiết bị di động Nó có khả năng trích xuất dữ liệu như danh bạ, video, tin nhắn, lịch sử cuộc gọi và thông tin sản phẩm Ngoài ra, thiết bị này còn có khả năng khai thác, giải mã, phân tích và tạo báo cáo dữ liệu thông qua các phương thức vật lý, logic và hệ thống tập tin, cũng như vượt qua mã bảo vệ để khôi phục các tập tin đã bị xóa.
Hình 2.14 – Thiết bị UFED TOUCH ULTIMATE
2.3.3 Thu thập trên thiết bị bật, có mã bảo vệ
Hình 2.15 – Thu thập dữ liệu trên thiết bị có mã bảo vệ
Trong trường hợp thiết bị di động bị khóa bằng mật khẩu hoặc khóa mô hình, điều tra viên có ba phương pháp tiếp cận Đầu tiên, họ cần xem xét khả năng vượt qua mã bảo vệ bằng cách tìm kiếm mật khẩu lưu trữ tại hiện trường hoặc hỏi chủ nhân thiết bị Nếu nghi phạm bị bắt giữ và thiết bị của họ có mã bảo vệ, điều tra viên có thể hỏi nghi phạm để có quyền truy cập hợp lý Nếu nghi phạm không thành thật hoặc không xác định được chủ sở hữu, các điều tra viên cần kiểm tra khả năng truy cập qua ADB Nếu kết nối qua ADB thành công và có quyền người dùng cao nhất, việc vượt mã bảo vệ sẽ dễ dàng hơn Ngược lại, nếu không thể kết nối qua ADB hoặc không có quyền cao nhất, công cụ UFED sẽ được sử dụng để vượt qua mã bảo vệ và thu thập bằng chứng.
Việc xử lý không đúng cách một thiết bị di động tại hiện trường có thể dẫn đến mất mát dữ liệu quan trọng Các biện pháp điều tra truyền thống thường cần thiết để xác định mối liên hệ giữa bằng chứng và chủ sở hữu hoặc người sử dụng Chẳng hạn, khi phát hiện bằng chứng là một chiếc điện thoại hoặc máy tính cá nhân, cần áp dụng phương pháp kiểm tra DNA hoặc dấu vân tay để xác định chủ sở hữu Do đó, nếu bằng chứng không được thu thập và xử lý đúng cách ngay từ đầu, nó có thể trở nên hư hỏng và không còn giá trị trong vụ án Ngoài điện thoại, còn nhiều nguồn bằng chứng khác có thể hỗ trợ quá trình điều tra, bao gồm ổ sạc, dây cáp, thiết bị ngoại vi và thẻ nhớ.
