Các giai đoạn thu thập chứng điện tử Đặng Ngọc Thư Trên giới tội phạm máy tính (hay gọi tội phạm mạng) n phát triển mạnh Ở Việt Nam, tội phạm mạng phát triển chưa nhiều, có nhiều dấu hiệu cho thấy tính chất nguy hiểm nó, ảnh hưởng lớn tới phát triển lĩnh vực công nghệ thông tin nói riêng đời sống kinh tế - xã hội nói chung Tội phạm mạng loại tội phạm gây án thông qua phương tiện điện tử Do đó, để truy tìm tội phạm mạng cần phải có chứng điện tử Theo điều 64 Bộ luật Tố tụng hình năm 2003 Quốc hội Việt Nam chứng có thật, thu thập theo trình tự, thủ tục dùng làm để xác định có hay hành vi phạm tội, tình tiết cần thiết cho việc giải đắn vụ án.Vậy việc thu thập chứng điện tử diễn để đảm bảo yêu cầu pháp lý? Bài viết xin giới thiệu giai đoạn trình thu thập, xử lý chứng điện tử, là: - Chuẩn bị liệu chứng cứ; - Xác định chứng cứ; - Phân tích chứng cứ; Trước thực ba giai đoạn trên, người điều tra cần thành lập bảng số liệu báo cáo mà nội dung tạo trước bổ sung thêm trình thu thập chứng Các bảng bao gồm: - Bảng 1: Bảng liệu dẫn tìm (Search Lead Table) chứa danh sách đối tượng cần thu thập môi trường mạng, môi trường đĩa cứng Ví dụ: + Xác định liệt kê tất mục E-mail bị xóa + Tìm kiếm file, tài liệu liên quan đến dấu hiệu khiêu dâm trẻ em + Cấu hình thu giữ sở liệu cho việc khám phá liệu + Khôi phục tất file bị xóa đường dẫn liên quan - Bảng 2: Bảng liệu cần chuẩn bị (Extracted Data Table) danh sách chứa mục chuẩn bị thu thập phép xác định liệu phù hợp với yêu cầu chứng Ví dụ: + Xử lý chụp ảnh ổ đĩa cứng để sử dụng xử lý nội dung + Lưu trữ file registry cài đặt trình xem xét registry phép kiểm tra chứng danh mục registry + Nắm bắt tập sở liệu để nạp vào máy chủ sẵn sàng cho khám phá liệu - Bảng 3: Bảng liệu thích đáng (Relevant Data Table) chứa danh sách liệu phù hợp với yêu cầu chứng Chẳng hạn, yêu cầu chứng tìm liên quan đến thẻ tín dụng số thẻ, ảnh thẻ, email trao đổi thẻ tín dụng, nhớ đệm web chứa đựng thông tin ngày tháng, thời gian cách thức tìm ra, sử dụng số thẻ thẻ tín dụng, liệu thích đáng cho chứng Ngoài khôi phục lại thông tin nạn nhân liệu thích đáng, đồng thời tạo điều kiện cho việc thông báo đến nạn nhân bị xâm hại - Bảng 4: Bảng nguồn liệu dẫn tìm (New Data Source Leads Table) danh sách liệu phải thu để chứng thực liệu chứng phạm tội xuất trình điều tra Ví dụ: + Địa Email: Jdoe@email.com + Lịch trình đăng nhập Server tài khoản Ftp + Thông tin thuê bao địa IP + Lịch trình giao dịch máy chủ - Bảng 5: Bảng danh sách kết phân tích (Analysic Results Table) danh sách liệu hữu ích cho việc trả lời câu hỏi ai, gì, nào, đâu việc thỏa mãn yêu cầu chứng Giai đoạn 1: Chuẩn bị liệu chứng (Preparation /Extraction) Bắt đầu Đợi đạo giải pháp từ cấp Có đủ thẩm quyền để tiến hành thu thập? Không Có Cài đặt phần cứng phần mềm thu thập; thiết lập cấu hình hệ thống cần Sao lại xác định toàn vệ liệu thu thập xác Thu thập liệu toàn vẹn? Đề xuất lại yêu cầu để xác định bước Quay lại nghiên cứu yêu cầu thu thập chứng Không đảm bảo toàn vẹn Đảm bảo toàn vẹn Tổ chức tinh lọc yêu cầu chứng công cụ phù hợp, trích liệu chứng Thêm liệu thu vào danh sách liệu chuẩn bị cho trình xác định chứng Đánh dấu liệu tìm kiếm thực thu thập Cần Có cần thu thập liệu khác? Chuyển sang giai đoạn xác định chứng Không Giai đoạn 2: Xác định chứng (Identification) Bắt đầu Có liệu để xác định? Có Dữ liệu liên quan đến yêu cầu chứng Thêm vào danh sách “dữ liệu thích đáng” Nếu mục tổng hợp thành “dữ liệu dẫn tìm”, thành lập thêm vào “danh sách liệu dẫn tìm” Nếu mục thông tin khám phá thành “nguồn liệu mới” thành lập thêm vào “danh sách nguồn liệu dẫn tìn mới” ến ầu chứng Thông tin vùng Dừng, báo cáo tới cấp có thẩm quyền đợi dẫn Thông tin không liên quan đ yêu c Loại liệu gì? Không Đánh dấu mục xử lý “Danh sách liệu chuẩn bị” Nếu có “Dữ liệu dẫn tìm” thành lập, bắt đầu giai đoạn Nếu có “Nguồn liệu dẫn tìm” thành lập, bắt đầu trình “Thu thập mô tả liệu chứng cứ” Xem xét ý gợi mở từ kết tìm kiếm ban đầu Nếu có liệu phân tích, bắt đầu trình phân tích Giai đoạn 3: Phân tích chứng (Analysis) Bắt đầu Có liệu cần phân tích? Ai, gì? - Người nào; việc tạo, soạn thảo, sửa đổi, gửi, nhận tài liệu dựa phần mềm lý tạo tài liệu? - Những liên quan đến mục liêu này? Ở đâu? - Dữ liệu tìm thấy đâu, từ đâu tới? - Nó có nơi khác liên quan đến việc không? Khi nào? - Nó tạo ra, truy cập, thay đổi, nhận, gửi, xem, xóa kích hoạt nào? - Nó có kiện liên quan đến không? - Phân tích thời gian: Hoạt động xảy hệ thống thời điểm đó? Nội dung Register bị thay đổi không? Đối tượng làm nào? - Nó bắt nguồn phương tiện truyền thông nào? - Nó tạo ra, truyền, thay đổi sử dụng nào? - Nó kiện liên quan nào? Những kiện giả tạo siêu liệu liên quan - Danh mục Registry - Nhật ký phần mềm hệ thống Các kết nối khác - Dựa kiện giả siêu liệu gợi ý liên kết đến mục hay kiện liên quan khác không? - Những tương quan chứng thực thông tin có liên quan đến mục này? - User sử dụng mục tin này? Nếu mục thông tin khám phá thành lập “Dữ liệu dần tìm” thêm vào “Danh sách liệu dẫn tìm” Nếu “dữ liệu dẫn tìm” thành lập, bắt đầu lại Giai đoạn I Nếu mục thông tin khám phá thành lập “Nguồn liệu dẫn tìm” thêm vào “Danh sách nguồn liệu dẫn tìm” Nếu “Nguồn liệu dẫn tìm mới” thành lập, bắt đầu “Thu thập mô tả liệu chứng cứ” Đánh dấu mục liệu liên quan xử lý “Danh sách liệu chuẩn bị” Báo cáo tài liệu chứng thu Xác định thông tin phù hợp với yêu cầu chứng Sử dụng dòng thời gian và/hoặc phương pháp khác để xác định thành lập tài liệu “Danh sách kết phân tích” Để đấu tranh phòng chống loại tội phạm mạng cần có giải pháp đồng từ hành lang pháp lý, chế hợp tác khả năng lực cán điều tra - Các văn pháp quy luật giao dịch điện tử, luật công nghệ thông tin cần phải quy định đầy đủ, chi tiết cụ thể cho hành vi phạm tội loại hình phạm tội mạng - Cần có chế hợp tác, cộng tác với nhà cung cấp dịch vụ lớn mạng như: Yahoo, Google, Youtube, Fpt, VDC,… - Lực lượng cảnh sát chống tội phạm mạng cần phải trang bị thiết bị điện tử tin học đại kể phần cứng phần mềm, cần đào tạo trình độ cao điện tử - tin học viễn thông Tài liệu tham khảo: 1/ Luật Công nghệ thông tin, Quốc hội khóa XI, kỳ họp thứ thông qua ngày 29/6/2006 2/ Luật Giao dịch điện tử, Quốc hội khóa XI, kỳ họp thứ thông qua ngày 29/11/2005 3/ Bộ luật tố tụng hình sự, Quốc hội khóa XI, kỳ họp thứ thông qua ngày 26/11/2003 4/ Website: http://www.cybercrime.gov 5/ Website http://www.itgatevn.com.vn 6/ Searching and Seizing Computers and Obtaining Electronic Evidence in Criminal Investigations Computer Crime and Intellectual Property Section Criminal Division United States Department of Justice , July 2002 ... liệu chứng Thêm liệu thu vào danh sách liệu chuẩn bị cho trình xác định chứng Đánh dấu liệu tìm kiếm thực thu thập Cần Có cần thu thập liệu khác? Chuyển sang giai đoạn xác định chứng Không Giai đoạn. .. liệu thu thập xác Thu thập liệu toàn vẹn? Đề xuất lại yêu cầu để xác định bước Quay lại nghiên cứu yêu cầu thu thập chứng Không đảm bảo toàn vẹn Đảm bảo toàn vẹn Tổ chức tinh lọc yêu cầu chứng. .. yêu cầu chứng Giai đoạn 1: Chuẩn bị liệu chứng (Preparation /Extraction) Bắt đầu Đợi đạo giải pháp từ cấp Có đủ thẩm quyền để tiến hành thu thập? Không Có Cài đặt phần cứng phần mềm thu thập; thiết