HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN PHỊNG CHỐNG VÀ ĐIỀU TRA TỘI PHẠM MÁY TÍNH Thu thập phân tích chứng từ mạng Giảng viên hướng dẫn: ThS Nguyễn Mạnh Thắng MỤC LỤC LỜI NÓI ĐẦU CHƯƠNG DỮ LIỆU ĐIỆN TỬ VÀ THU THẬP, PHÂN TÍCH CHỨNG CỨ TỪ MẠNG 1.1 Khái niệm liệu điện tử 1.2 Đặc điểm liệu điện tử 1.3 Chứng điện tử gì? 1.4 Về giá trị pháp lý liệu điện tử làm chứng 1.5 Các thuộc tính chứng điện tử 1.6 Nguyên tắc sử dụng chứng 1.7 Những quy định chứng chứng minh theo quy định BLTTHS năm 2015 CHƯƠNG PHÂN TÍCH GĨI TIN 2.1 11 13 Phân tích giao thức 14 2.1.1 Xác định giao thức 14 2.1.2 Giải mã nội dung giao thức 15 2.1.3 Trích xuất nội dung giao thức 15 2.2 Phân tích chi tiết nội dung gói tin 16 2.3 Đánh giá chương trình bắt gói tin 17 CHƯƠNG PHÂN TÍCH THỐNG KÊ LƯU LƯỢNG MẠNG 3.1 Lý thuyết lưu lượng mạng 18 19 3.1.1 Sơ lược lưu lượng mạng 19 3.1.2 Điều tra lưu lượng mạng 20 3.1.3 Lưu lượng pháp chứng 24 3.2 Kĩ thuật theo dõi phân tích lưu lượng mạng 25 3.2.1 Kĩ thuật thu thập điều tra 25 3.2.2 Kĩ thuật phân tích điều tra 25 3.2.3 Công cụ theo dõi, giám sát PRTG Network Monitor 26 LỜI NÓI ĐẦU Hiện Việt Nam xuất nhiều loại tội phạm mới, công hạ tầng thông tin quốc gia, sở liệu quan nhà nước, ngân hàng, doanh nghiệp, trộm cắp thơng tin bí mật quốc gia, phát tán thơng tin gây kích động, thù hằn nhằm phá tinh thần đoàn kết dân tộc, lừa đảo qua mạng, công từ chối dịch vụ Cuộc đấu tranh chống loại tội phạm lĩnh vực CNTT, viễn thông thường khó khăn, phức tạp đối tượng thường dùng công nghệ để công, gây án, xóa dấu vết Kẻ xấu thường sử dụng máy tính, điện thoại di động, thiết bị lưu trữ kỹ thuật mã hóa liệu để lưu trữ giấu liệu Khi bị nghi ngờ điều tra, theo dõi, chúng cảnh giác, xóa hết dấu vết, liệu có liên quan, chí format thiết bị lưu trữ liệu Mạng mơi trường thơng tin cung cấp, truyền đưa, thu thập, xử lý, lưu trữ trao đổi thơng qua mạng viễn thơng mạng máy tính Và mơi trường mà kẻ xấu lợi dụng để thực hành vi phạm tội người dùng tiếp cận gặp rủi ro, nguy an ninh Với mục đích tìm hiểu thơng tin mạng điều tra chứng cứ, nhóm chúng em chọn đề tài: “Thu thập phân tích chứng từ mạng” để hiểu rõ mạng cách điều tra công mạng Đề tài nhóm chúng em gồm chương sau: CHƯƠNG 1: TÌM HIỂU VỀ DỮ LIỆU ĐIỆN TỬ VÀ THU THẬP, PHÂN TÍCH CHỨNG CỨ TỪ MẠNG CHƯƠNG 2: PHÂN TÍCH GĨI TIN CHƯƠNG 3: PHÂN TÍCH THỐNG KÊ LƯU LƯỢNG MẠNG CHƯƠNG DỮ LIỆU ĐIỆN TỬ VÀ THU THẬP, PHÂN TÍCH CHỨNG CỨ TỪ MẠNG 1.1 Khái niệm liệu điện tử - Điều 4, Luật Giao dịch điện tử 2005 quy định “Dữ liệu điện tử” là: “thông tin dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm dạng tương tự” - Điểm c, Khoản 1, Điều 87, Bộ luật TTHS 2015 bổ sung “dữ liệu điện tử” vào hệ thống nguồn chứng Đây điểm vô quan trọng Luật Điều 99 Bộ luật quy định chi tiết liệu điện tử - Điều 99, Bộ luật Tố tụng hình 2015: ● Dữ liệu điện tử ký hiệu, chữ viết, chữ số, hình ảnh, âm dạng tương tự tạo ra, lưu trữ, truyền đi, nhận phương tiện điện tử ● Dữ liệu điện tử thu thập từ phương tiện điện tử, mạng máy tính, mạng viễn thơng, đường truyền nguồn điện tử khác ● Giá trị chứng liệu điện tử xác định vào cách thức khởi tạo, lưu trữ truyền gửi liệu điện tử; cách thức bảo đảm trì tính toàn vẹn liệu điện tử; cách thức xác định người khởi tạo yếu tố phù hợp khác Việc ghi nhận “dữ liệu điện tử” nguồn chứng pháp lý, đáp ứng yêu cầu đặt từ thực tiễn đấu tranh phòng chống Tội phạm sử dụng công nghệ cao Loại chứng ngày phổ biến, xuất hầu hết loại tội phạm, chí nhiều vụ án thủ liệu điện tử làm chứng Nếu loại chứng không bổ sung vào Bộ luật Tố tụng hình hành nhiều vụ án khơng thể điều tra, truy tố xét xử thành công Việc bổ sung “dữ liệu điện tử” nguồn chứng hoàn toàn phù hợp với luật pháp quốc tế luật pháp Việt Nam có khoa học, cơng nghệ Tuy nhiên điều địi hỏi quan tiến hành tố tụng Điều tra viên, Kiểm sát viên Thẩm phán phải nhận thức đầy đủ liệu chứng điện tử Đồng thời phải xây dựng quy trình thống thu giữ, bảo quản, phục hồi liệu điện tử chuyển hóa thành chứng chứng minh tội phạm 1.2 Đặc điểm liệu điện tử - Khai thác địa IP, e-mail logs, web server logs, cookies, URL, website, thông tin truy cập tài khoản máy tính tự động tạo ra, cách hữu hiệu để chứng minh nguồn gốc truy cập trái phép, địa công, hành vi công mạng, … - Hình thành tự động dạng tín hiệu số thời gian tồn có giới hạn, phụ thuộc vào thiết bị phần mềm lưu trữ (cần kịp thời phát hiện, thu giữ bảo quản) - Dễ bị tác động, bị xóa thay đổi trình lưu trữ, truyền tải, chép, … tác nhân virus, dung lượng nhớ, lệnh lưu trữ phần mềm, phương pháp truy cập, mở, mã hóa, truyền tải mạng, lưu, cố ý vơ ý sửa đổi, xóa … 1.3 Chứng điện tử gì? Trong tham luận trình bày Hội thảo “Phòng chống tội phạm truyền thống tội phạm phi truyền thống” Bộ Công an phối hợp với Học viện Cảnh sát nhân dân tổ chức vào tháng 04/2008; Tiến sĩ Trần Văn Hịa, Phó cục trưởng Cục Cảnh sát phịng chống Tội phạm cơng nghệ cao cho rằng: “Chứng điện tử chứng lưu giữ dạng tín hiệu điện tử máy tính thiết bị có nhớ kỹ thuật số có liên quan đến vụ án hình sự” Cịn Theo tổ chức Cảnh sát hình Quốc tế (Interpol), chứng điện tử thơng tin liệu có giá trị điều tra lưu trữ truyền máy tính, mạng máy tính thiết bị điện tử kỹ thuật số khác Việc xác lập, thu giữ phục hồi chứng điện tử cần phải tiến hành cách khẩn trương thận trọng, yêu cầu tỉ mỉ xác cao Đặc biệt mà chưa có quy định chứng điện tử Bộ luật Tố tụng hình sự; chưa có tổng kết khoa học chứng điện tử, phương pháp, nguyên tắc thu thập, chuyển hóa chứng minh vụ án Bộ luật Hình có quy định tội liên quan đến tội phạm sử dụng cơng nghệ cao lại chưa có hướng dẫn cụ thể đường lối xử lý tội phạm này, nhiều khái niệm đưa tương đối mơ hồ, định lượng không rõ ràng 1.4 Về giá trị pháp lý liệu điện tử làm chứng Dữ liệu điện tử phục hồi, phân tích, tìm liệu, kể bị xóa, bị ghi đè, ẩn, mã hóa làm cho đọc được, nhìn thấy được, ghi lại, sử dụng làm chứng Những liệu có giá trị chứng minh hành vi phạm tội, sử dụng công nghệ thủ tục pháp lý để sử dụng làm chứng Tuy nhiên, liệu điện tử có đặc điểm dễ bị xóa, bị sửa, bị thay đổi mở, kiểm tra, lưu thông khơng cách, bị nhiễm virus, mã hóa truyền qua mạng, nên Luật giao dịch điện tử có quy định điều kiện để thông điệp liệu có giá trị pháp lý Để liệu điện tử thu có giá trị chứng theo Bộ luật tố tụng hình sự, trình điều tra, thu liệu phải chứng minh yếu tố sau: - Các biện pháp điều tra, kể điều tra đặc biệt: thu giữ thiết bị điện tử lưu trữ liệu, chặn thu, chép, phục hồi, giải mã, phân tích, tìm kiếm khơng làm thay đổi liệu - Cơ quan giám định, chuyên gia chép, phục hồi, tìm kiếm chứng có đủ chứng giám định số, thực quy định pháp luật, bảo đảm quy trình giám định, bảo vệ tính tồn vẹn liệu, khơng làm thay đổi chứng - Sử dụng thiết bị, phần mềm pháp luật cơng nhận - Chứng minh tính khách quan, tính nguyên trạng tính kiểm chứng liệu làm chứng cứ: Tịa án u cầu quan giám định khác thực lại việc phục hồi, phân tích, tìm kiếm liệu điện tử từ vật chứng có chứng kiến Luật sư, Kiểm sát viên Thẩm phán, lặp lại trình phục hồi, tìm kiếm theo đường dẫn có kết tương tự 1.5 Các thuộc tính chứng điện tử - Điều 86, Bộ luật TTHS 2015 quy định: “Chứng có thật thu thập theo trình tự, thủ tục Bộ luật quy định, dùng làm để xác định có hay khơng hành vi phạm tội, người thực hành vi phạm tội tình tiết khác có ý nghĩa việc giải vụ án.” - Điều 99, Bộ luật TTHS 2015 quy định liệu điện tử: ✔ Dữ liệu điện tử ký hiệu, chữ viết, chữ số, hình ảnh, âm dạng tương tự tạo ra, lưu trữ, truyền nhận phương tiện điện tử ✔ Dữ liệu điện tử thu thập từ phương tiện điện tử, mạng máy tính, mạng viễn thơng, đường truyền nguồn điện tử khác ✔ Giá trị chứng liệu điện tử xác định vào cách thức khởi tạo, lưu trữ truyền gửi liệu điện tử; cách thức xác định người khởi tạo yếu tố phù hợp khác ✔ Như vậy, để “dữ liệu điện tử” trở thành chứng chứng minh thật vụ án TPSDCNC, địi hỏi liệu phải đảm bảo thuộc tính chứng pháp lý Gồm: → Tính khách quan- có thật, tồn khách quan → Tính liên quan- có mối quan hệ với vụ án → Tính hợp pháp- thu thập theo thủ tục, trình tự Bộ luật TTHS quy định Cụ thể: Tính khách quan: Chứng hình thành tồn cách khách quan khơng phụ thuộc vào ý chí chủ quan người Đương sự và các quan tiến hành tố tụng không được tạo chứng cứ, nếu vậy tính khách quan sẽ không cò; đó không thể coi là chứng cứ Con người phát hiện, thu thập và tìm chứng cứ, người nghiên cứu và đánh giá để sử dụng nó Tính liên quan: Theo từ điển Tiếng Việt, nhà xuất bản Giáo dục, 1998:” tính liên quan là sự liên hệ, dính dáng ở một hay một số tính chất” Tính liên quan tỏng vụ việc tố tụng dân sự được hiểu là : các tình tiết, sự kiện, có liên quan trực tiếp hoặc gián tiếp với vụ việc dân sự mà tòa án giải quyết Chứng thông tin làm sở cho việc khẳng định tồn không tồn kiện có ý nghĩa cho việc giải vụ việc dân Các kiện, tình tiết coi chứng chứa đựng nội dung gắn liền với việc giải vụ án Bộ luật Tố tụng dân sự có quy định cụ thể các loại nguồn của chứng cứ, nhiên Tòa án phải chọn lọc, đánh giá những gì có thật liên quan đến vụ việc mà Tính liên quan của chứng cứ có thể là trực tiếp hoặc gián tiếp Mối quan hệ trực tiếp là mối quan hệ dựa vào đó có thể xác định nagy các tình tiết, theo quy định của Bộ luật Tố tụng dân sự xem là tình tiết, sự kiện không cần phải chứng minh Mối liên hệ gián tiếp là mối quan hệ qua khâu trgn gian mới tìm được tình tiết, sự kiện Tuy nhiên, cho dù là mối quan hệ trực tiếp hay gián tiếp thì cũng là mối quan hệ nội tại, có mối quan hệ nhân quả Từ việc đánh giá rõ tình tiết liên quan, Tòa án có thể xác định đúng chứng cứ cần sử dụng để giải quyết đúng đắn sự việc dân sự mà không để xảy trường hợp thừa hay khơng đầy đủ chứng cứ Tính hợp pháp: Khơng phải thông tin thực tế liên quan đến tình tiết kiện vụ án làm cho Tòa án giải vụ án mà có thơng tin thực tế thu thập, kiểm tra đánh giá theo trình tự luật định Mặt khác, có thơng tin thực tế thu thập từ nguồn luật định coi chứng Trước hết, chứng cứ phải được pháp luật thừa nhận, các tình tiết, sự kiện chỉ được coi là chứng cứ mà pháp luật dân sự quy định nó là một những loại nguồn của chứng cứ Vật chứng là vật gốc có tính đặc định, liên quan đến vụ việc dân sự thì mới có giá trị pháp lý, nếu chép, tái hiện lại vật chứng thì không được coi là vật chứng Vì vậy tòa án không chỉ thu thập đúng trình tự mà còn phải bảo quản, giữ gìn, đánh giá một cách đầy đủ, toàn diện để đảm bảo tính đúng đắn hợp pháp của chứng cứ Tính hợp pháp của chứng cứ được xác định một cách cụ thể: phải là một các nguồn hợp pháp mà Bộ luật Tố tụng dân sự quy định; Phải là phương tiện chứng minh hợp pháp mà Bộ luật Tố tụng dân sự quy định; Phải được giao nộp một thời hạn hợp pháp; Phải được công bố công khai theo quy định của Bộ luật Tố tụng dân sự; Phải được thu thập cung cấp theo đúng pháp luật tố tụng Để “dữ liệu điện tử” đảm bảo thuộc tính này, có yêu cầu bắt buộc, gồm: - Một là, việc thu thập “dữ liệu điện tử” tuyệt đối không làm thay đổi thông tin lưu giữ máy tính thiết bị kỹ thuật số - Hai là, có chuyên gia IT (công nghệ) đào tạo phép tiếp cận với thông tin gốc lưu trữ máy tính, thiết bị kỹ thuật số, để thu thập phục hồi liệu - Ba là, việc chép, ghi lại liệu (copy) phải thực thiết bị chống ghi “read only” (chỉ đọc) để đảm bảo tính ngun trạng tồn vẹn “dữ liệu điện tử” lưu tang vật Đồng thời, phải sử dụng thiết bị phần mềm giới cơng nhận kiểm chứng - Bốn là, trước tòa án cần thiết, phải diễn giải thao tác để chứng minh q trình khơi phục liệu tìm thấy “chứng điện tử”, chứng minh liệu thu thập tồn khách quan đảm bảo nguyên trạng, không bị can thiệp thay đổi trình thu thập chứng 1.6 Nguyên tắc sử dụng chứng Để việc sử dụng chứng đạt mục đích, chủ thể tiến hành tố tụng cần phải quán triệt thực số vấn đề mang tính nguyên tắc sử dụng chứng cứ, là: Nguyên tắc khách quan, tồn diện đầy đủ tố tụng hình sự: Cơ quan tiến hành tố tụng, người tiến hành tố tụng sử dụng chứng với đầy đủ thuộc tính bắt buộc khách quan, liên quan hợp pháp Các tài liệu, chứng thu thập qua biện pháp điều tra, trinh sát, phải chuyển hóa thành chứng hợp pháp sử dụng Những tài liệu, chứng phải kiểm tra, xác minh đầy đủ, phải phù hợp với thực tế khách quan, đảm bảo tin cậy vững có đủ sử dụng Tuyệt đối không sử dụng chứng chưa qua nghiên cứu, kiểm tra, xác minh làm cứ, sở để đưa định pháp lý, sử dụng vào việc kiểm tra, đánh giá chứng khác Khi sử dụng chứng không định kiến, chủ quan, thiên lệch, coi trọng chứng mà bỏ qua chứng kia, coi trọng sử dụng chứng gốc, chứng trực tiếp mà bỏ qua, coi nhẹ chứng chép, chứng thuật lại, chứng gián tiếp, không sử dụng chứng buộc tội mà sử dụng chứng gỡ tội ngược lại Khi sử dụng chứng phải tuân theo quy định pháp luật: Pháp luật tố tụng hình quy định chứng cứ, quy định nguồn chứng Do vậy, sử dụng chứng phải chấp hành nghiêm chỉnh theo quy định pháp luật tố tụng Chẳng hạn, sử dụng lời khai bị can, bị cáo làm chứng phải thận trọng “ Lời nhận tội bị can, bị cáo coi chứng cứ, phù hợp với chứng khác vụ án Không dùng lời nhận tội bị can, bị cáo làm chứng để kết tội” (khoản Điều 98 BLTTHS năm 2015) Đối với bị can, bị cáo người 18 tuổi người có nhược điểm tâm thần thể chất trường hợp cần thiết khác, việc lấy lời khai, hỏi cung người phải có mặt đại diện gia đình, trừ trường hợp đại diện gia đình cố ý vắng mặt mà khơng có lý đáng Khi sử dụng lời khai người làm chứng cần lưu ý: “1 Người làm chứng trình bày mà họ biết nguồn tin tội phạm, vụ án, nhân thân người bị buộc tội, bị hại, quan hệ họ với người bị buộc tội, bị hại, người làm chứng khác trả lời câu hỏi đặt Không dùng làm chứng tình tiết người làm chứng trình bày họ khơng thể nói rõ biết tình tiết đó” (Điều 91 BLTTHS năm 2015) Sử dụng chứng phải đảm bảo tính kịp thời Sau phát hiện, thu thập chứng cứ, quan tiến hành tố tụng cần tiến hành nghiên cứu, kiểm tra, đánh giá để sử dụng nhằm đảm bảo tính nhanh chóng, kịp thời hoạt động tiếp theo, vừa đảm bảo thời gian quy định hoạt động điều tra, truy tố, xét xử, vừa đảm bảo yêu cầu công tác đấu tranh phịng, chống tội phạm, ngăn chặn tội phạm xảy ra, hạn chế thiệt hại cho xã hội, bắt giữ người phạm tội khơng để chúng có thời gian lẩn trốn, tiêu hủy tài sản, chứng tang vật, xóa hết dấu vết tiếp tục gây án Mặt khác, chứng sau kiểm tra đánh giá, xác định giá trị chứng minh chứng sử dụng với giá trị nó, việc sử dụng cần vào giới hạn, giá trị chứng minh chứng cứ, khơng phép phán đốn chủ quan, sử dụng gượng ép, khả chứng minh chứng Sử dụng giá trị chứng minh ... LIỆU ĐIỆN TỬ VÀ THU THẬP, PHÂN TÍCH CHỨNG CỨ TỪ MẠNG CHƯƠNG 2: PHÂN TÍCH GĨI TIN CHƯƠNG 3: PHÂN TÍCH THỐNG KÊ LƯU LƯỢNG MẠNG CHƯƠNG DỮ LIỆU ĐIỆN TỬ VÀ THU THẬP, PHÂN TÍCH CHỨNG CỨ TỪ MẠNG 1.1 Khái... ĐIỆN TỬ VÀ THU THẬP, PHÂN TÍCH CHỨNG CỨ TỪ MẠNG 1.1 Khái niệm liệu điện tử 1.2 Đặc điểm liệu điện tử 1.3 Chứng điện tử gì? 1.4 Về giá trị pháp lý liệu điện tử làm chứng 1.5 Các thu? ??c tính chứng. .. nghiệp Vì vậy, thu thập phân tích chứng từ mạng đề cập tới vấn đề phân tích, thống kê lưu lượng mạng để có giải pháp kịp thời 3.1 Lý thuyết lưu lượng mạng 3.1.1 Sơ lược lưu lượng mạng Đường truyền