Theo điều 64 của Bộ luật Tố tụng hình sự năm 2003 của Quốc hội Việt Nam thì chứng cứ là những gì có thật, được thu thập theo trình tự, thủ tục dùng làm căn cứ để xác định có hay không có
Trang 1Các giai đoạn thu thập chứng cứ điện tử
Đặng Ngọc Thư
Trên thế giới tội phạm máy tính (hay còn gọi là tội phạm mạng) đang n càng phát triển mạnh Ở Việt Nam, tội phạm mạng phát triển chưa nhiều, nhưng cũng đã có nhiều dấu hiệu cho thấy tính chất nguy hiểm của nó, ảnh hưởng lớn tới sự phát triển của lĩnh vực công nghệ thông tin nói riêng và đời sống kinh tế - xã hội nói chung
Tội phạm mạng là loại tội phạm gây án thông qua phương tiện điện tử Do đó, để truy tìm tội phạm mạng cần phải có những chứng cứ điện tử Theo điều 64 của Bộ luật Tố tụng hình sự năm 2003 của Quốc hội Việt Nam thì chứng cứ là những gì có thật, được thu thập theo trình tự, thủ tục dùng làm căn cứ để xác định có hay không có hành vi phạm tội, những tình tiết cần thiết cho việc giải quyết đúng đắn vụ án.Vậy thì việc thu thập chứng cứ điện tử diễn ra như thế nào để đảm bảo yêu cầu pháp lý? Bài viết này xin giới thiệu 3 giai đoạn chính của quá trình thu thập, xử lý chứng cứ điện tử, đó là:
- Chuẩn bị dữ liệu chứng cứ;
- Xác định chứng cứ;
- Phân tích chứng cứ;
Trước khi thực hiện ba giai đoạn trên, người điều tra cần thành lập các bảng số liệu báo cáo mà nội dung của nó có thể được tạo trước hoặc bổ sung thêm trong quá trình thu thập chứng cứ Các bảng
đó bao gồm:
- Bảng 1: Bảng dữ liệu dẫn tìm (Search Lead Table) chứa danh sách các đối tượng cần thu thập
trong môi trường mạng, hoặc môi trường đĩa cứng Ví dụ:
+ Xác định và liệt kê tất cả các mục hoặc các E-mail đã bị xóa
+ Tìm kiếm các file, tài liệu liên quan đến dấu hiệu khiêu dâm trẻ em
+ Cấu hình và thu giữ cơ sở dữ liệu cho việc khám phá dữ liệu
+ Khôi phục tất cả các file đã bị xóa và đường dẫn liên quan
- Bảng 2: Bảng dữ liệu cần chuẩn bị (Extracted Data Table) là một danh sách chứa các mục đã
được chuẩn bị hoặc thu thập để cho phép xác định dữ liệu phù hợp với yêu cầu chứng cứ Ví dụ: + Xử lý chụp ảnh ổ đĩa cứng để có thể sử dụng trong xử lý nội dung
+ Lưu trữ các file registry và cài đặt trình xem xét registry để cho phép kiểm tra chứng cứ trong danh mục registry
+ Nắm bắt những tập cơ sở dữ liệu để nạp vào máy chủ sẵn sàng cho khám phá dữ liệu
- Bảng 3: Bảng dữ liệu thích đáng (Relevant Data Table) chứa danh sách dữ liệu phù hợp với
yêu cầu chứng cứ Chẳng hạn, nếu yêu cầu chứng cứ đang tìm liên quan đến thẻ tín dụng như số thẻ, ảnh thẻ, các email trao đổi về thẻ tín dụng, thì bộ nhớ đệm web sẽ chứa đựng các thông tin về ngày tháng, thời gian và cách thức tìm ra, sử dụng số thẻ thẻ tín dụng, đó là những dữ liệu thích đáng cho chứng cứ Ngoài ra khôi phục lại thông tin về nạn nhân cũng là dữ liệu thích đáng, đồng thời tạo điều kiện cho việc thông báo đến nạn nhân bị xâm hại
- Bảng 4: Bảng nguồn dữ liệu dẫn tìm mới (New Data Source Leads Table) là một danh sách dữ
liệu phải thu được để chứng thực dữ liệu chứng cứ phạm tội xuất hiện trong quá trình điều tra Ví dụ: + Địa chỉ Email:Jdoe@email.com
+ Lịch trình đăng nhập Server bằng tài khoản Ftp
+ Thông tin thuê bao đối với địa chỉ IP
+ Lịch trình giao dịch trên máy chủ
Trang 2- Bảng 5: Bảng danh sách kết quả phân tích (Analysic Results Table) là một danh sách dữ liệu
hữu ích cho việc trả lời các câu hỏi ai, cái gì, khi nào, ở đâu và như thế nào trong việc thỏa mãn yêu cầu chứng cứ
Giai đoạn 1: Chuẩn bị dữ liệu chứng cứ (Preparation /Extraction)
Bắt đầu
Cài đặt phần cứng và phần
mềm thu thập; thiết lập cấu
hình hệ thống nếu cần
Sao lại và xác định sự toàn vệ
dữ liệu thu thập chính xác
Tổ chức tinh lọc các yêu cầu chứng
cứ và các công cụ phù hợp, trích ra
được dữ liệu chứng cứ
Thêm dữ liệu thu được vào danh
sách các dữ liệu chuẩn bị cho quá
trình xác định chứng cứ
Chuyển sang giai đoạn xác định chứng cứ
Đề xuất lại yêu cầu để xác định bước tiếp theo
Đợi chỉ đạo giải pháp từ cấp trên
Quay lại nghiên cứu yêu cầu
về thu thập chứng cứ
Đánh dấu dữ liệu tìm kiếm đã thực
hiện thu thập
Không đảm bảo
sự toàn vẹn
Đảm bảo sự toàn vẹn
Cần nữa
Không
Không
Có
Có đủ thẩm quyền để
tiến hành thu thập?
Thu thập được dữ
liệu toàn vẹn?
Có cần thu thập các
dữ liệu khác?
Trang 3Giai đoạn 2: Xác định chứng cứ (Identification)
Có dữ liệu để xác định?
Loại dữ liệu đó
là gì?
Thêm vào danh sách “dữ liệu thích đáng”
Nếu mục này có thể tổng
hợp thành “dữ liệu dẫn tìm”, thành lập và thêm vào “danh sách dữ liệu dẫn tìm”
Nếu mục này hoặc thông tin khám phá thành
“nguồn dữ liệu mới” thì
thành lập và thêm vào
“danh sách nguồn dữ liệu dẫn tìn mới”
Đánh dấu mục đã xử lý
trong “Danh sách dữ liệu
chuẩn bị”
Nếu có “Dữ liệu dẫn tìm” mới đã được
thành lập, hãy bắt đầu giai đoạn 1
Nếu có “Nguồn dữ liệu dẫn tìm” mới đã
được thành lập, hãy bắt đầu quá trình
“Thu thập và mô tả
dữ liệu chứng cứ”
Nếu đã có dữ liệu phân tích, hãy bắt đầu quá trình phân tích
Thông tin
ngoài vùng
Dừng, báo
cáo tới cấp
có thẩm
quyền và đợi
Dữ liệu liên quan đến yêu cầu chứng chứ
Không
Có
Xem xét những ý gợi mở từ kết quả tìm kiếm ban đầu Bắt đầu
Trang 4Giai đoạn 3: Phân tích chứng cứ (Analysis)
Để đấu tranh phòng chống loại tội phạm mạng cần có những giải pháp đồng bộ hơn nữa từ hành lang pháp lý, cơ chế hợp tác và cho đến khả năng năng lực của cán bộ điều tra
Ai, cái gì?
- Người nào; việc tạo, soạn thảo, sửa đổi, gửi, nhận tài
liệu dựa trên phần mềm nào hoặc lý do tạo ra tài liệu?
- Những ai liên quan đến mục dữ liêu này?
Bắt đầu
Ở đâu?
- Dữ liệu được tìm thấy ở đâu, từ đâu tới?
- Nó có chỉ ra những nơi khác liên quan đến sự việc
này không?
Khi nào?
- Nó được tạo ra, truy cập, thay đổi, nhận, gửi, xem,
xóa và kích hoạt khi nào?
- Nó có chỉ ra các sự kiện liên quan đến khi nào
không?
- Phân tích thời gian: Hoạt động nào xảy ra hệ thống
trên cùng thời điểm đó? Nội dung Register đã bị thay
đổi không?
Đối tượng đã làm như thế nào?
- Nó bắt nguồn trên phương tiện truyền thông như thế
nào?
- Nó được tạo ra, truyền, thay đổi và sử dụng như thế
nào?
- Nó chỉ ra các sự kiện liên quan như thế nào?
Những sự kiện giả tạo và siêu dữ liệu liên quan
- Danh mục Registry.
- Nhật ký phần mềm và hệ thống
Các kết nối khác
- Dựa trên những sự kiện giả và siêu dữ liệu gợi ý liên
kết đến những mục hay sự kiện liên quan khác không?
- Những tương quan nào hoặc chứng thực thông tin
nào có liên quan đến mục này?
- User nào đã sử dụng mục tin này?
Xác định các thông tin phù hợp với yêu cầu chứng cứ
Sử dụng dòng thời gian và/hoặc các phương pháp khác để xác định và thành lập tài liệu “Danh sách kết
quả phân tích”
Nếu mục này hoặc thông tin khám phá có thể thành lập
“Dữ liệu dần tìm” thì thêm vào “Danh sách dữ liệu dẫn tìm”
Nếu mục này hoặc thông tin khám phá có thể thành lập
“Nguồn dữ liệu dẫn tìm” mới thì thêm vào
“Danh sách nguồn dữ liệu dẫn tìm”
Đánh dấu mục
dữ liệu liên quan đã xử lý trong “Danh sách dữ liệu chuẩn bị”
Báo cáo tài liệu chứng cứ thu được
Nếu “Nguồn
dữ liệu dẫn tìm mới” được thành lập, bắt đầu “Thu thập
và mô tả dữ liệu chứng cứ”
Nếu “dữ liệu dẫn tìm” mới được thành lập, bắt đầu lại Giai đoạn I
không
có
Có hoặc còn dữ liệu cần phân tích?
Trang 5- Các văn bản pháp quy như luật giao dịch điện tử, luật công nghệ thông tin cần phải quy định đầy đủ, chi tiết cụ thể cho từng hành vi phạm tội của loại hình phạm tội mạng
- Cần có những cơ chế hợp tác, cộng tác với những nhà cung cấp dịch vụ lớn trên mạng như: Yahoo, Google, Youtube, Fpt, VDC,…
Lực lượng cảnh sát chống tội phạm trên mạng cần phải được trang bị những thiết bị điện tử tin học hiện đại kể cả phần cứng và phần mềm, cần được đào tạo ở trình độ cao về điện tử tin học -viễn thông
Tài liệu tham khảo:
1/ Luật Công nghệ thông tin, được Quốc hội khóa XI, kỳ họp thứ 9 thông qua ngày 29/6/2006.
2/ Luật Giao dịch điện tử, được Quốc hội khóa XI, kỳ họp thứ 8 thông qua ngày 29/11/2005.
3/ Bộ luật tố tụng hình sự, được Quốc hội khóa XI, kỳ họp thứ 4 thông qua ngày 26/11/2003.
6/ Searching and Seizing Computers and Obtaining Electronic Evidence in Criminal Investigations Computer Crime and Intellectual Property Section Criminal Division United States Department of Justice , July 2002.