Điều tra chứng cứ số an toàn thông tin

Và hầu hếtcông việc điều tra được một lực lượng đông đảo các chuyên gia tìm kiếm bằng chứng công nghệ cao tiến hành dựa trên kỹ thuật Computer Forensic & Investigation hay Nghiệp Vụ Điều

CHFI - Computer Hacking Forensic Investigator

( ĐIỀU TRA CHỨNG CỨ SỐ )

MỤC LỤC

CHFI – CHƯƠNG 1 NGHIỆP VỤ ĐIỀU TRA MÁY TÍNH VÀ TRUY TÌM CHỨNG CỨ SỐ 3

CHFI Chương 2 TỔNG QUAN VỀ ĐIỀU TRA MÁY TÍNH P.1 18

CHFI Chương 2 TỔNG QUAN VỀ ĐIỀU TRA MÁY TÍNH P.2 30

CHFI Chương 3 Điện thoại di động và Điều Tra Chứng Cứ Trên Thiết Bị Di Động 41

CHFI Chương 4 THU THẬP DỮ LIỆU P.1 48

CHFI Chương 5 Xử Lý Vụ Án P.1 64

CHFI Chương 5 Xử Lý Vụ Án P.2 74

CHFI Chương 5 Xử Lý Vụ Án P.3 85

CHFI Chương 6 LÀM VIỆC VỚI HỆ ĐIỀU HÀNH WINDOWS VÀ MS-DOS P.1 91

CHFI Chương 7 Các Công Cụ Điều Tra Máy Tính Hiện Nay P.1 111

CHFI Chương 8 Hệ Thống Tập Tin Và Quá Trình Khởi Động Của Macintosh Và Linux P.1132 CHFI Chương 8 Hệ Thống Tập Tin Và Quá Trình Khởi Động Của Macintosh Và Linux P2144 CHFI Chương 9 PHÂN TÍCH VÀ XÁC THỰC CHỨNG CỨ SỐ P.1 162

CHFI Chương 9 PHÂN TÍCH VÀ XÁC THỰC CHỨNG CỨ SỐ P2 169

CHFI Chương 9 PHÂN TÍCH VÀ XÁC THỰC CHỨNG CỨ SỐ P3 178

CHFI Chương 9 PHÂN TÍCH VÀ XÁC THỰC CHỨNG CỨ SỐ P4 184

CHFI Chương 9 PHÂN TÍCH VÀ XÁC THỰC CHỨNG CỨ SỐ P5 190

Chương 10 PHỤC HỒI TẬP TIN ĐỒ HỌA P.1 202

CHFI Chương 10 PHỤC HỒI TẬP TIN ĐỒ HỌA P.2 206

Chương 10 PHỤC HỒI TẬP TIN ĐỒ HỌA P.3 210

Chương 10 PHỤC HỒI TẬP TIN ĐỒ HỌA P.4 219

Chương 10 PHỤC HỒI TẬP TIN ĐỒ HỌA P.5 225

2

CHFI – CHƯƠNG 1 NGHIỆP VỤ ĐIỀU TRA MÁY TÍNH VÀ

TRUY TÌM CHỨNG CỨ SỐ

Thời gian gần đây, tìm kiếm bằng chứng số và điều tra tội phạm công nghệ caongày càng nhận được nhiều sự quan tâm, chú ý của đông đảo người dùng Một

ví dụ điển hình đó là khi tập đoàn năng lượng Enron sập đổ vào tháng 12 năm

2001 khiến cho hàng trăm nhân viên bị mất việc trong khi một số quan chứcdường như hưởng lợi từ việc phá sản của công ty này Quốc hội Mỹ đã quyếtđịnh điều tra khi có nhiều tin đồn về sự làm ăn gian lận của Enron Và hầu hếtcông việc điều tra được một lực lượng đông đảo các chuyên gia tìm kiếm bằng

chứng công nghệ cao tiến hành dựa trên kỹ thuật Computer Forensic &

Investigation hay Nghiệp Vụ Điều Tra Máy Tính Và Truy Tìm Chứng Cứ Số, tập

trung vào các tập tin và dữ liệu máy tính của hàng trăm nhân viên của Enron đểtìm kiếm bằng chứng phạm tội

Chương này sẽ giới thiệu với các bạn về lĩnh vực tìm kiếm bằng chứng số vàđiều tra tội phạm công nghệ cao cùng với một số vấn đề liên quan

Thế Nào Là Computer Forensic ?

Computer Forensic là quá trình thu thập và phân tích thông tin trên các máy tínhđược sử dụng như là chứng cứ phục vụ cho việc điều tra tội phạm hay dùngtrong các công tác quản trị hệ thống thông tin Từ trước năm 1970 các điều luậtliên quan đến tội phạm công nghệ được quản lý bởi tổ chức liên bang FRE(Federal Rules of Evidence); sau đó vào khoảng năm 1970 đến 1985 mỗi bang

có những điều luật riêng của mình trong state rule of evidence cho nên các vấn

đề luật định đối với những chứng cứ số tùy thuộc vào quy định của mỗi bang.Đến năm 1984, sự bùng nổ của công nghệ thông tin làm gia tăng số lượng tộiphạm công nghệ cao cùng với mức thiệt hại của chúng, nên một tổ chức chuyêntrách cho việc điều tra và thu thập chứng cứ số được thành lập gọi là FBIComputer Analysis and Response Team hay còn gọi là CART, chúng ta có thểthấy trang chủ của FBI CART như Hình 1.1 Sau đó, vào cuối những năm 1990CART phối hợp với Department of Defense Computer Forensics Laboratory(DCFL) để tiến hành nghiên cứu và đào tạo với phần lớn những chương trìnhgiảng dạy được thực hiện bởi DCFL

Hình 1.1 – Trang chủ FBI CART với tùy chọn ngôn ngữ là tiếng Việt

Dữ liệu lưu trữ trên máy tính được bảo vệ bởi một số điều luật khác nhau tùy thuộc vào trạng thái của chúng Nhiều điều luật của các tiểu bang và liên bangđược phát triển và phân loại riêng cho các chứng cứ số Ví dụ trong bốn điềuluật bổ sung quan trọng đối với U.S Constitution là Fourth Amendment quy địnhmọi người có quyền bảo vệ bản thân, nơi cư ngụ và tài sản khỏi sự tìm kiếm vàchiếm đoạt trái phép Các thay đổi và phát triển của luật học đã xác định không

có sự khác biệt giữa việc tìm kiếm các chứng cứ số so với việc tìm kiếm những

chứng cứ phạm tội thông thường theo lệnh khám xét (search warrant) của tòa

án, đó là cảnh sát có quyền thâm nhập vào tài sản riêng tư để tìm kiếm chứng cứphạm tội, bao gồm cả tài sản thông tin Vì vậy trong quá trình chuẩn bị cho việcđiều tra chứng cứ phạm tội các điều tra viên có thể tạm giữ các máy tính khảnghi và những thành phần liên quan nhằm phục vụ cho quá trình điều tra đượctốt hơn

Điều Tra Máy Tính Và Những Nguyên Tắt Liên Quan

Theo một công ty hoạt động chuyên biệt trong lĩnh vực truy tìm bằng chứngphạm tội công nghệ cao là DIBS USA, Inc (www.dibsusa.com) thì computer

forensic có nghĩa là khoa học về nghiên cứu và phân tích dữ liệu từ các thiết bị lưu trữ trên máy tính được sử dụng như là chứng cứ trước tòa Như vậy chúng

ta có thể xem computer forensic như là quá trình điều tra pháp lý trên máy tínhhay gọi tắt là điều tra máy tính Chúng ta có thể thấy một định nghĩa tương tựtrên trang web của FBI (www.fbi.gov) Nói một cách tổng quát thì quá trình điều

4

tra máy tính bao gồm việc thu thập dữ liệu máy tính và lưu giữ chúng một cách

an toàn, tiến hành phân tích các dữ liệu khả nghi nhằm xác định các thông tingốc và nội dung của chúng, sau đó trình bày các thông tin này trước tòa và ápdụng các điều luật đối với những hành vi liên quan

Như vậy, dữ liệu được truy tìm trong tiến trình điều tra máy tính có thể được lấy

từ máy tính hay các thiết bị lưu trữ, các thông tin này có thể sẳn có trên đĩa cứnghay phải phục hồi bằng những công cụ chuyên dụng do bị xóa, trong nhiều tìnhhuống các điều tra viên cần phải tiến hành giải mã để xem được nội dung của dữliệu Ngược lại với computer forensic là network forensic hay điều tra pháp lýtrên hệ thống mạng, là tiến trình truy tìm chứng cứ phạm tội trên mạng để điềutra các kẻ tấn công hay xâm nhập hệ thống trái phép

Các điều tra viên trên hệ thống mạng thường sử dụng tập tin nhật kí để xác địnhngày, giờ kẻ xâm nhập trái phép hay thời gian mà cuộc tấn công hay hành vi pháhoại diễn ra, tìm kiếm địa điểm của kẻ tấn công (hacker / attacker) thông quadãy địa chỉ IP của máy tính được dùng để phát động tấn công hay xâm nhập.Trong chương 11 chúng ta sẽ thảo luận chi tiết về những phương pháp điều tra

hệ thống mạng thường được điều tra viên sử dụng

Ngoài ra, điều tra máy tính cũng khác với phục hồi dữ liệu, một tiến trình phụchồi dữ liệu bị xóa do thao tác nhầm lẫn hay do các sự cố thiên nhiên, môi trườnggây ra Trong quá trình phục hồi dự liệu chúng ta biết rõ thông tin cần phục hồi,trong khi đó điều tra máy tính cũng bao gồm công đoạn phục hồi dữ liệu do bịche dấu hay xóa bỏ nhưng với mục tiêu nhằm bảo đảm tính hợp lệ của dữ liệu và

có thể sử dụng làm bằng chứng trước tòa Để phục hồi các thông tin bị xóa cóthể đơn giãn như lấy từ thùng rác khi dữ liệu bị xóa tạm, hay phải dùng đến cáccông cụ chuyên dụng để lấy dữ liệu chưa bị xóa hoàn toàn mà chỉ bị đánh dấu để

có thể ghi đè bởi các thông tin mới Tuy nhiên, trong những trường hợp thiết bịlưu trữ bị hư hại hay bị phá hủy nặng thì việc phục hồi sẽ tốn kém hơn nhiềuthông qua các phòng thí nghiệm hay những công cụ đặc biệt có chi phí từ 3000USD đến 20.000 USD

Cũng như các công ty hoạt động trong lĩnh vực phục hồi dữ liệu (data recovery), những doanh nghiệp chuyên phục hồi thảm họa (disaster recovery) sử dụng các

kỹ thuật điều tra máy tính để cứu dữ liệu bị hư hỏng do các sự cố thiên tai haymôi trường như bị hư hỏng đĩa cứng do biến đổi điện áp đột ngột, hoặc bị hỏahoạn hay tấn công khủng bố như sự cố ngày 11.9

Các điều tra viên thường hoạt động theo một nhóm gồm các chuyên gia có kiếnthức trong lĩnh vực an ninh mạng và máy tính nhằm bảo vệ chứng cứ an toàn Các nhóm này sẽ tiến hành công việc tùy theo chức năng và trình độ chuyênmôn bao gồm 3 công việc chính được mô tả như là tam giác điều tra như hình 1-2 nhằm đảm bảo an toàn thông tin, đó là các hoạt động :

- Đánh giá các điểm nhạy cảm và quản lý rũi ro.

- Dò tìm xâm phạm hệ thống mạng máy tính trái phép và phản ứng lại các

sự cố khẩn cấp

- Quá trình điều tra máy tính

Hình 1-2 : Ba yếu tố căn bản trong quá trình điều tra

Với mỗi cạnh tam giác được minh họa trong hình 1-2 sẽ được thực hiện bởi cácthành viên nhằm đem đến kết quả cao nhất trong công tác truy tìm chứng cứ vàđiều tra tội phạm công nghệ

Nhóm thực hiện việc đánh giá các điểm yếu bảo mật và quản trị rũi ro (tươngứng với cạnh Vulnerability trong hình 1-2) sẽ tiến hành kiểm tra tính toàn vẹncủa hệ thống máy tính và mạng bao gồm các thiết bị vật lý hay hệ điều hành, xácđịnh các lỗ hổng bảo mật của hệ điều hành và ứng dụng như việc thiếu cài đặtcác bạn vá lỗi hay bản cập nhật hệ thống Nhóm này cũng tiến hành các công táctấn công thử nghiệm để ước lượng những rũi ro và tác hại do các điểm yếu này

gây ra, quá trình này còn được gọi là penetration test hay pentest, một trong

những công đoạn quan trọng của công việc kiểm định an toàn thông tin

Các chuyên gia đánh giá điểm yếu và ước lượng những rũi ro cũng cần có kỹ

năng của nhóm instruction response, đây là các thành viên chịu trách nhiệm dò

tìm xâm nhập trái phép thông qua các thiết bị phần cứng hay phần mềm như ứngdụng cảnh báo xâm phạm Snort, và đưa ra các hành động phản ứng thích hợpkhi có sự cố theo quy trình hợp lý nhằm hạn chế tối đa những thiệt hại

Cuối cùng, nhóm điều tra máy tính (investigation) sẽ phân tích các đánh giá đểđưa ra một bản tổng kết gồm những lỗ hổng bảo mật, các mối đe dọa tiềm tàng

và thiệt hại mà tội phạm công nghệ có thể gây ra Đối với mỗi đe dọa cần có một giải pháp thích hợp để khắc phục sự cố hay dò tìm những kẻ tấn công.

Lịch Sử Của Điều Tra Máy Tính

6

Ngày nay, máy tính và công nghệ thông tin góp đóng vai trò quan trọng trongbất kì hoạt động kinh tế và xã hội góp phần tạo nên một thế giới phẳng mà trong

đó khoảng cách địa lý không còn là một trở ngại Nhưng hơn 30 năm trước ít aihình dung được tác động của máy tính vào đời sống thực bởi vì máy tính ngày

đó hầu hết là các thiết bị có kích thước to lớn chỉ được dùng cho các doanhnghiệp hoạt động tronh lĩnh vực ngân hàng, hay phục vụ cho mục đích quân sự

… Tội phạm máy tính do đó cũng ít cho nên các điều luật áp dụng cho lĩnh vựcnày hầu như là không có hoặc nếu có thì cũng chỉ mang tính chất thử nghiệm.Các luật sư ngày đó chỉ được tham dự các khóa đào tạo những điều luật về phụchồi dữ liệu số là Federal Law Enforcement Training Center (FLETC)

Đến thập niên 1980 thì các máy chủ to lớn thường được gọi là mainframe dầnđược thay thế bởi máy tính cá nhân PC với những hệ điều hành dễ sử dụng, cóchi phí rẽ hơn Đi đầu trong cuộc cách mạng máy tính này là tập đoàn Apple với

hệ thống máy tính cá nhân Apple 2E được giới thiệu vào năm 1983 và sau đó làMacintosh vào năm 1984 Hệ điều hành trên các máy tính thời đó còn khá đơngiãn như MS-DOS với giao diện dòng lệnh khá đơn điệu, và những công cụdành cho vấn đề truy tìm bằng chứng hay phục hồi dữ liệu đương nhiên cũng ít

và chủ yếu được sử dụng bởi chính phủ như ứng dụng Royal Canadian MountedPolice (RCMP) và U.S Internal Revenue Service (IRS), phần lớn các công cụnày được viết bằng C hay hợp ngữ nên khả năng phổ biến trong môi trườngcông cộng rất thấp

Mãi đến giữa thập niên 1980 một ứng dụng trong lĩnh vực điều tra máy tính mớixuất hiện trên thị trường đó là Xtree Gold có khả năng nhận dạng và phục hồicác tập tin bị thất lạc hay bị xóa Tiếp theo đó là Norton DiskEdit cũng đượctrình làng và trở thành một ứng dụng yêu thích trong vấn đề phục hồi dữ liệu.Bạn có thể sử dụng chương trình này trên hầu hết các hệ thống máy tính cá nhân

và thời đó như những máy tính tương thích với nền tảng IBM gồm ổ cứng dunglượng 10 MB kèm theo hai ổ đĩa mềm như Hình 1-3

Hình 1-3 : Máy tính 8088

Đến năm 1987 hãng Apple cho ra đời dòng máy Macintosh có ổ đĩa mở rộngEasyDrive dung lượng 60 MB là MAC SE như Hình 1-4 và được xem là mộtbước tiến quan trọng của công nghệ máy tính.

Hình 1-4 Một máy Mac SE với ở đĩa mềm và ở mở rộng EasyDrive

Đến những năm đầu thập niên 1990 các công cụ chuyên dụng cho tiến trình điềutra máy tính đã ra đời như IACIS (International Association of ComputerInvestigative Specialists) được xem như là một ứng dụng tiêu biểu cho côngviệc điều tra và truy tìm chứng cứ số, bên cạnh đó IRS cũng tạo ra các quy địnhcho lệnh khám xét dành cho truy tìm tội phạm công nghệ Tuy nhiên vẫn chưa

có ứng dụng thương mại nào có giao diện đồ họa thân thiện và dễ sử dụng (GUI)cho đến khi ASR Data tạo ra phần mềm Expert Witness dành cho Macintosh rađời Phần mềm này có khả năng phục hồi tập tin bị xóa và phân mãnh rất mạnh

mẽ Một trong những đối tác của ARS Data sau này đã phát triển ứng dụngEnCase và được xem như là công cụ phổ biến nhất trong vấn đề điều tra máytính

Và càng ngày thì công nghệ thông tin càng có những bước tiến vượt bậc, đặcbiệt là trong lĩnh vực lưu trữ khiến cho việc phát triển những ứng dụng điều tramáy tính được quan tâm nhiều hơn Tiếp theo là các chương trình như ILookdùng để phân tích và đọc các tập tin đặc biệt, hay AccessData Forensic Toolkit(FTK) trở thành ứng dụng thương mại thông dụng nhất cho các tác vụ phục hồi

dữ liệu bị mất và truy tìm chứng cứ được sử dụng bởi các điều tra viên Tronggiáo trình này chúng ta sẽ đề cập đến một số công cụ phổ biên và mang lại hiệuquả ở các chương sau, các bạn có thể tham khảo thêm về chúng tại

www.ctin.org(Computer Technology Investigators Network) hay

www.usdoj.gov (U.S Depart-ment of Justice)

Hiểu Về Án Lệ

Sự phát triển nhanh chóng của công nghệ máy tính và các thiết bị số khiến chocác luật định dành cho tội phạm trong lĩnh vực này không thể theo kịp Chính vì

8

vậy trong những tình huống điều tra tội phạm gặp phải các trở ngại do thiết sótđiều luật liên quan thì phương phá xử lý case law sẽ được áp dụng Với case lawtòa án có thể sử dụng án lệ để xử lý những vấn đề liên quan đã tường được giảiquyết trong quá khứ cho dù hiện tại chưa có luật dành cho những tội phạm này.

Ví dụ khi tìm kiếm các thông tin trên máy tính của nghi phạm các điều tra viên

có thể thấy các ảnh khiêu dâm trẻ em, và thay vì phải cho lệnh khám xét mới thì

họ vẫn có thể giữ nguyên tiến trình tìm kiếm để tiết kiệm thời gian, còn nhữngchứng cứ liên quan đến những hình ảnh này sẽ được dành riêng ra Để thực hiệntheo case law hay xử lý theo án lệ thì điều tra viên cần nắm vững các luật đượcứng dụng trong quá khứ để tránh những sai lầm khi thực hiện

Chuẩn Bị Nguồn Lực Cho Điều Tra Máy Tính

Để quá trình điều tra thành công các điều tra viên cần được trang bị đầy đủ kiếnthức về hệ điều hành máy tính kể cả những hệ thống cũ như Windows XP hayDOS vì có nhiều thao tác hay máy tính vẫn dùng những hệ thống này Bên cạnh

đó một điều tra viên về tội phạm công nghệ cần phải nắm vững về các dòng máyMAC hay hệ điều hành Linux, Windows Server 2008 cùng các dịch vụ lưu trữkèm theo Tuy nhiên, việc am hiểu tất cả những hệ thống là một điều không thểcho nên cần có sự chia sẽ kỹ năng giữa các thành viên trong nhóm, và các điềutra viên cần trau dồi những kiến thức về hệ thống thông qua việc học hỏi và traođổi trên các diễn đàn công nghệ, đăng kí nhận bản tin để cập nhật các ứng dụngmới Thường xuyên tham gia các chương trình đào tạo nâng cao kiến thức về antoàn thông tin và cả những kiến thức của một hacker

Chuẩn Bị Cho Quá Trình Điều Tra Máy Tính

Điều tra máy tính và truy tìm chứng cứ số thường được chia làm hai loại là điềutra trong môi trường công cộng và điều tra trong môi trường riêng tư hay trong

tổ chức, doanh nghiệp như Hình 1-5 Quá trình điều tra công cộng bao gồm cáccông tác điều tra tội phạm và khởi tố của các cơ quan chính phủ từ cấp địaphương đến trung ương, công việc này cần phải thực hiện theo đúng quy trình

và tuân thủ theo đúng pháp luật của mỗi vùng miền nhằm không mắc những sai

phạm trong tiến trình điều tra ví dụ như tuân theo Article 8 trong Charter of

Right của Canada, hay Criminal Procedures Act của Cộng Hòa Namibia, theocác quy định của U.S Fourth Amendment trong các vấn đề truy tìm và tịch thubằng chứng như Hình 1-6

Hình 1-5 Điều tra công cộng và điều tra riêng tư

Luật pháp quy định về điều tra và bắt giữ bảo vệ quyền lợi cho mọi người kể cảnhững nghi phạm do đó trong vai trò một điều tra viên máy tính chúng ta cầnphải tuân thủ theo đúng luật định Ví dụ Department of Justice (DOJ) cập nhậtcác thông tin liên quan đến vấn đề tìm kiếm bằng chúng và bắt giữ trong điều tramáy tính tại địa chỉ www.usdoj.gov/criminal/cybercrime

Hình 1-6 : Fourth Amendment

Ngược lại với điều tra trong môi trường công cộng, đối với các vấn đề nội bộcủa công ty hay tổ chức khi áp dụng các quy tắt điều tra thì cá nhân các điều traviên không cần phải tuân thủ theo những quy định của luật pháp như FourthAmendment mà phụ thuộc vào chính sách nội bộ của tổ chức đó Điều tra trongmôi trường riêng tư chủ yếu được áp dụng các điều luật dân sự nhưng cũng cóthể phát triển thành các tội danh mang tính chất hình sự, khi đó sẽ áp dụng cácđiều luật hình sự trong quá trình điều tra và khởi tố

Hiểu Về Vấn Đề Thực Thi Pháp Luật Của Cơ Quan Điều Tra

Như đã nêu, trong quá trình tiến hành điều tra tội phạm máy tính trong môitrường công cộng các điều tra viên cần tuân thủ theo đúng trình tự của pháp luậtquy định Do mỗi vùng miền và quốc gia có những sự khác biệt về luật pháp nên

10

chúng ta cần nhận thức rõ những thay đổi này để khi tiến hành công việc khôngmắc phải sai sót Sau đây là một số câu hỏi mà điều tra viên cần nêu lên khi điềutra tội phạm máy tính đó là : Những công cụ nào được sử dụng trong quá trìnhphạm tội ? Đây là sự vi phạm nhẹ hay nặng ? Có phải là một vụ trộm, cướp hayphá hoại ?

Máy tính và mạng là hai công cụ chính mà các tội phạm sử dụng để tiến hànhđánh cắp thông tin hay phá hoại dữ liệu, nhưng việc điều tra một nghi phạm ăntrộm thông tin bằng cách truy cập máy tính trái phép và máy tính này là tài sản

ăn cắp từ một vụ trộm xe sẽ cần những điều luật bổ sung mà khi điều tra các bạncũng cần lưu ý Ngoài ra, các thông tin lưu trữ trên máy tính bị điều tra như hìnhảnh, văn hóa phẩm đồi trụy hay các chương trình độc hại có thể sử dụng cho cáccuộc tấn công cũng là những chứng cứ quan trọng mà các điều tra viên cần chú

ý cẩn thận và tiến hành thu giữ theo đúng pháp luật để phục vụ cho quá trìnhtruy tìm chứng cứ số và điều tra tội phạm

Quy Trình Thực Hiện Hợp Lệ

Quá trình điều tra theo luật hình sự thông thường tuân theo ba bước như Hình

1-7 là Complaint => Investigation => Prosecution bao gồm tiếp nhận đơn kiện

sau đó tiến hành điều tra nếu thấy có đầy đủ các yếu tố phạm tội sẽ quyết địnhtruy tố và nhận các hình phạt thích đáng theo quyết định của tòa án

Hình 1-7 : Quy trình khởi tố một vụ án

Thông thường, quá trình điều tra có thể được tiến hành khi một bị hại haynguyên đơn trình báo sự việc với cơ quan công an về vụ việc và bộ phận tiếpnhận sẽ ghi lại các báo cáo này Công an hay cảnh sát sẽ tiến hành xử lý báo cáo

để quyết định xem có thể tiến hành điều tra hay không hay chỉ đơn giãn là đưavào hồ sơ lưu trữ Do không phải cảnh sát viên nào cũng có kiến thức đủ đểnhận thức và xử lý các vấn đề vi phạm liên quan đến công nghệ thông tin chonên tổ chức phi lợi nhuận CTIN (Computer Technology Investigators Network )

có đưa ra các chương trình huấn luyện theo ba cấp độ khác nhau tùy thuộc vàonhững công đoạn trong quá trình thực thi pháp luật là :

- Level 1 : Thu thập và tịch thu các chứng cứ số, thường được thực hiệnbởi công an hay cảnh sát

- Level 2 : Quản lý quá trình điều tra công nghệ cao ví dụ như các điều traviên sẽ được hướng dẫn về những câu hỏi nên đặt ra, trang bị kiến thức về máy

tính hay những gì không thể thu thập thông qua chứng cứ số Các thám tửthường là người xử lý công đoạn này.

- Level 3 : Huấn luyện các kỹ năng chuyên sâu về phục hồi chứng cứ số vàthường được thực hiện bở các chuyên gia về lĩnh vực phục hồi dữ liệu, điều tramáy tính hay chuyên viên điều tra tội phạm mạng Các chuyên gia đảm tráchcông việc này cần được đánh giá năng lực dựa trên trình độ và kỹ năng của họ.Như vậy, nếu bạn là một thành viên tham gia quá trình điều tra thì bạn cần trang

bị những kiến thức tương ứng với từng cấp độ công việc được giao Sau khi thuthập đầy đủ chứng cứ để cấu thành bản án thì việc tiếp theo là truy tố và côngviệc của điều tra viên đến đây là kết thúc, tòa án sẽ đảm trách phần còn lại củaquy trình

Theo bộ luật hình sự nếu như có đủ chứng cứ và cần lệnh khám xét thì ta cầncung cấp một bản tuyên thệ trước tòa gọi là affidavit, bản tuyên bố này nhằmbảo đảm tính chân thực của sự việc cũng như trách nhiện của người khởi kiệnhay yêu cầu khám xét Hình 1-8 minh họa một bản tuyên thệ affidavit

: Một bản affidavit

Sau khi thẩm phán phê duyệt và kí vào lệnh khám xét thì điều tra viên có thểtiến hành công việc thu thập chứng cứ theo quy định cho phép Sau khi thu thậpchứng cứ điều tra viên tiến hành xử lý và phân tích để xem có đủ yếu tố khép tộihay không, nếu có thì can phạm sẽ bị truy tố trước tòa và chịu sự xét xử theoquy định của pháp luật

Điều Tra Trong Khu Vực Doanh Nghiệp

Khác với việc điều tra trong môi trường công cộng, các tiến trình điều tra ở môitrường riêng tư chỉ diễn ra trong một tổ chức hay doanh nghiệp khi có một sựtranh chấp hay kiện tụng giữa các nhân viên trong tổ chức Do đặc trưng củadoanh nghiệp là kiếm lợi nhuận nên đa số rất e ngại đụng đến các vấn đề pháp lý

vì sợ tốn kém và ảnh hưởng đến công việc Vì vậy khi tiến hành điều tra trong

12

môi trường riêng tư chúng ta cần phải bảo đảm tính liên tục của công việc nhằmhạn chế tối đa sự gián đoạn trong việc kinh doanh của họ.

Các tôi phạm máy tính trong môi trường doanh nghiệp thường là những kẻ quấyrối bằng thư điện tử, giả mạo dữ liệu, phân biệt đối xử , có hành vi phá hoại haytham ổ, biển thủ công quỹ và đặc biệt là những tình huống đánh cắp công nghệ

để bán cho các công ty đối thủ Việc lợi dụng tín nhiệm để chiếm đoạt tài sản,rút tiền thường xảy ra trong các doanh nghiệp nhỏ và có cơ chế kiểm soát khôngchặt chẽ, thường liên quan đến yếu tố con người nhiều hơn so với việc đánh cắp

dữ liệu, bí mật công nghệ thì các tội phạm hay hacker hay sử dụng các thiết bịlưu trữ di động như USB hay các đường truyền internet để di chuyển dữ liệu tráiphép Do đó, để hạn chế các thiệt hại doanh nghiệp hay tổ chức cần có chínhsách người dùng thích hợp và áp đặt chúng cho toàn bộ người dùng dưới sựkiểm tra, giám sát chặt chẽ

Xây Dựng Chính Sách Trong Doanh Nghiệp

Như đã trình bày, việc xây dựng một chính sách người dùng hiệu quả trong tổchức hay doanh nghiệp sẽ giảm thiểu tối đa các thiệt hại do hacker hay tội phạmcông nghệ gây ra Có nhiều loại chính sách khác nhau trong qua trình quản lý hệthống thông tin như chính sách người sử dụng, chính sách về tuyển dụng nhân

sự hoặc các tiêu chuẩn về an toàn thông tin như ISO 27001 …Tuy nhiên, cácchính sách này cần phải được áp dụng và kiểm soát chặt chẽ mới đạt được hiểuquả Các đối tượng áp dụng chính sách gồm hai loại là những người trong nội bộdoanh nghiệp như các nhân viên làm việc toàn thời gian và những người bênngoài doanh nghiệp như khách ghé thăm, khách hàng hay cả những nhân việclàm việc thời vụ, bán thời gian

Việc áp đặt những chính sách này cũng cần tuân thủ theo các quy định pháp luật

sở tại và bảo đảm tính công bằng trong quá trình thực thi còn được gọi bằngthuật ngữ due process để không gây tác dụng ngược khi vi phạm các quyềnriêng tư của người dùng Có khá nhiều tình huống doanh nghiệp bị chính nhânviên của mình khởi kiện vi phạm quyền riêng tư khi sử dụng các chương trìnhgiám sát tin nhắn, email của người sử dụng

Sử Dụng Các Thông Điệp Cảnh Báo

Một trong những phương pháp rất hiệu quả có thể giảm thiểu sự vi phạm củangười dùng là thiết lập các thông điệp cảnh báo hay còn gọi là Warning Banner.Với các cảnh báo này người dùng hay kẻ truy cập trái phép sẽ nhận thức đượcnhững hành động mình đang thực hiện, những hành động nào được phép vànhững gì không được phép mà chúng ta thường thấy trong thực tế như biển hiệu

“Không phận sự, miễn vào” hay “Khu vực nội bộ” như trong hình 1-9 là mộtwarning banner điển hình

Hình 1-9 : Ví dụ về warning banner

Các thông điệp cảnh báo nên được chia làm hai loại áp dụng cho những thànhviên bên trong nội bộ và những thành viên bên ngoài, ví dụ các thông báo sauđây có thể áp dụng cho các nhân viên của công ty :

- Hệ thống máy tính và mạng này không được phép truy cập

- Các máy tính và tài nguyên này chỉ dùng cho công việc

- Khu vực này có sự giám sát thường xuyên

- Việc truy cập và sử dụng tài nguyên trái phép có thể chịu trách nhiệmtrước pháp luật

Các quản trị mạng hay điều tra viên có thể tham khảo những ví dụ mẫu tại trangweb www.usdoj.gov/criminial/cybercrime/s&smanual2002.htmvề warningbanner

Xác Định Authorized Requester

Thông qua các warning banner tổ chức có thể đưa ra các quy định về quyền hạncủa người dùng đối với máy tính và thông tin do mình quản lý, ngoài ra cácwarning banner còn dùng để quy định những quyền hạn của điều tra viên trongquá trình xử lý công việc nhằm tránh sự xung đột với quyền lời của người dùnghay bị cản trở trong quá trình thực thì vì những lý do khác nhau Việc quy địnhnhững gì mà một người được phép thực hiện sẽ tạo ra một định mức về quyềnhạn và cho phép họ tiến hành công tác điều tra, những người này được xem như

là authorized requester, có nhiều thành viên hay nhóm cần xác định quyền hạnnày như :

- Nhóm kiểm định nội bộ

- Nhóm điều tra an ninh nội bộ

- Các nhân viên điều tra đã được cấp phép

Tiến Hành Điều Tra An Ninh

Việc tiến hành điều tra tội phạm công nghệ thông tin trong môi trường côngcộng không có nhiều khác biệt với việc điều tra trong môi trường riêng tư Khi

14

cuộc điều tra mang tính chất công cộng các điều tra viên sẽ tìm các chứng cứnhằm hỗ trợ cho quá trình điều tra tội phạm, còn trong môi trường riêng tư của

tổ chức hay doanh nghiệp thì công việc của các điều tra viên là tìm kiếm nhữngthông tin cần thiết nhằm xác định các tình huống vi phạm chính sách sử dụng,đánh cắp thông hay tài sản công nghệ của tổ chức Có bả tình huống thường xảy

ra trong môi trường tổ chức là :

- Lạm dụng hay sử dụng sai mục đích các tài sản máy tính

- Sử dụng email cho các mục đích không hợp lệ

- Sử dụng internet không thích hợp với chính sách đề ra

Trong ba tình huống trên thì phần lớn các cuộc điều tra máy tính để tìm kiếmcác bằng chứng cho thấy việc sử dụng sai hay lạm dụng các tài sản máy tính củadoanh nghiệp như đánh cắp dữ liệu, công nghệ mới hay thông tin bí mật về sảnphẩm, khách hàng

Phân Biệt Tài Sản Cá Nhân Và Tài Sản Doanh Nghiệp

Các chính sách nội bộ đều có phân biệt rõ ràng tài sản cá nhân và tài sản doanhnghiệp, nhưng điều này không phải lúc nào cũng dễ dàng nếu như đó là các tàisản như thiết bị cầm tay như PDA, điện thoại thông minh, máy tính xách tay Ví

dụ như một nhân viên có mua một thiết PDA và cắm vào máy tính trên công tysau đó đồng bộ một số dữ liệu từ Microsoft Outlook sang thiết bị này như vậycâu hỏi đặt ra là thông tin được sao chép qua PDA thuộc về công ty hay của cánhân trên

Để có thể phân định rõ ràng vấn đề trên thì doanh nghiệp cần đưa ra một chínhsách người dùng hợp lý nhằm tránh các xung đột về lợi ích cá nhân, cũng nhưngăn ngừa sự mất mát thông tin Dựa trên những quy định này doanh nghiệp cóthể xác định được các tài sản như trên sẽ thuộc quyền của cá nhân hay tổ chức,giúp cho quá trình điều tra diễn ra thuận lợi hơn

Duy Trì Professional Conduct

Một professional conduct như quá trình điều tra tội phạm máy tính và phân tíchchứng cứ số rất quan trọng bởi vì nó xác định trách nhiệm của điều tra viên.Trong chương 15 và 16 chúng ta sẽ thảo luận chi tiết về vấn đề này bao gồm cácquy tắt hợp lệ, tiêu chuẩn đạo đức hay các chuẩn mực trong ứng xử Trong vaitrò chuyên gia ta cần phải tuân thủ triệt để các quy tắt nhằm bảo đảm tính hợp lệcủa quá trình điều tra Vì vậy, các điều tra viên cần phải duy trì professionalconduct nhằm bảo đảm tính riêng tư và giữ vững mục tiêu trong suốt tiến trìnhđiều tra Các kết quả điều tra cần phải bảo đảm tính riêng tư và toàn vẹn đểkhông bị lợi dụng gây ảnh hưởng xấu đến công ty, tổ chức hay bị thay đổi kếtquả làm sai lệch mục tiêu của quá trình tìm kiếm

Tổng Kết

Computer Forensic là quá trình truy tìm chứng cứ và điều tra tội phạm máy tính.Bao gồm các kỹ thuật điều tra thông thường kết hợp với khoa học máy tínhnhằm phục hồi dữ liệu, truy tìm chứng cứ số Về mục tiêu thì Computer forensickhác với network forensic hay các công việc phục hồi dữ liệu, khắc phục thảmhọa thông thường Tuy nhiên, các điều tra viên có thể ứng dụng những kỹ thuậtcủa các lĩnh vực trên trong công việc của mình

Các điều luật liên quan đến chứng cố số được ban hành lần đầu tiên vào năm1970

Để thành công trong công việc điều tra chứng cứ số thì các điều tra viên cầnnắm vững nhiều nền tảng công nghệ, hệ điều hành khác nhau Điều này đòi hỏi

có sự trau dồi kiến thức và học tập, chia sẽ kinh nghiệm trên các diễn đàn haynhóm tin

Việc điều tra trong môi trường công cộng và điều tra trong môi trường riêng tư

có nhiều khác biệt Do đó điều tra viên cần phân biệt rõ và tuân thủ đúng cácquy tắt điều tra để tránh sự xung đột, và hạn chế những khiếu nại do vi phạmnguyên tắt và quyền lợi của người dùng

Warning banner là một trong những phương pháp hiệu quả nhằm hạn chế thiệthại do tội phạm máy tính gây ra Ngoài ra, warning banner còn được dùng đểxác định quyền hạn của các điều tra viên

Trong quá trình điều tra nội bộ, doanh nghiệp hay tổ chức cần xác định rõ quyềnhạn của điều tra viên thông qua các biên bản authorized requester

Quá trình điều tra máy tính cần phải duy trì professional conduct để bảo đảmtrách nhiệm của điều tra viên

16

CHFI Chương 2 TỔNG QUAN VỀ ĐIỀU TRA MÁY TÍNH P.1

Trong chương này chúng ta sẽ thảo luận về các bước chuẩn bị và triển khai mộtquá trình điều tra máy tính nhằm tìm kiếm các chứng cứ số, bên cạnh nhữngthách thức mà một điều tra viên có thể gặp trong tiến trình điều tra thì các bạncũng tìm hiểu một công cụ chuyên dùng cho việc truy tìm chứng cứ rất mạnh làProDiscover Basic, có giao diện đồ họa thân thiện với người dùng

Đối với người sử dụng thông thường thì đa số những thao tác hay khắc phục sự

cố được triển khai trên những ứng dụng có giao diện dễ sử dụng, nhưng trongvai trò một điều tra viên máy tính thì có nhiều tình huống các bạn phải sử dụngcác chương trình dạng dòng lệnh, do đó việc nắm vững những công cụ truy tìmchứng cứ trên nền DOS là yêu cần cần thiết Bên cạnh đó thì việc lư trữ hay dichuyển chứng cứ từ máy tính này sang máy tính khác đòi hỏi các điều tra viênphải có kiến thức về những cung cụ sao chép ảnh đĩa từ cơ bản đến chuyên dụng

để có thể sao lưu hình ảnh hệ thống hay đĩa cứng lên các ổ USB hay các ổ cứngdung lượng lớn

Chuẩn Bị Cho Một Quá Trình Điều Tra Máy Tính

Nhiêm vụ của một chuyên gia computer forensic là truy tìm các chứng cứ sốtrên những máy tính khả nghi để tập hợp đầy đủ các thông tin và đưa ra bản ántrước tòa Các chứng cứ được tìm thấy trên một máy tính sẽ được tập trung trênmột máy tính khác, vì vậy ngoài việc sao chép các chứng cứ số một cách chínhxác thì điều tra viên cần tiến hành công việc theo các mô hình hợp lý để tạo ramột chuỗi chứng cứ khoa học, hợp lệ gọi là chain of custody

Trong phần này chúng ta sẽ tham khảo hai tình huống mẫu dành cho việc điềutra tội phạm trong môi trường công cộng và điều tra trong nội bi65 các công ty,

tổ chức Mỗi mô hình sẽ trình bày các bước cần thực hiện của quá trình truy tìmchứng cứ và điều tra tội phạm như tập trung thông tin, chứng cứ, chuẩn bị bảncáo trạng và lưu trữ chứng cứ

Tổng Quan Về Chứng Cứ Tội Phạm Trên Máy Tính

Các nhân viên thi hành luật pháp sẽ tìm kiếm bất kì thông tin nào lưu trữ trênmáy tính và những thiết bị liên quan để xác định các chứng cứ số Các thiết bị cóthể dùng để lưu trữ thông tin như đĩa CD, DVD hay các ổ cứng di động và thiết

bị lưu trữ USB, thiết bị cầm tay PDA hay điện thoại thông minh như hình 2-1 lànhững thành phần cần được quan tâm Các thiết bị này sẽ được “bagged andtagged” nghĩa là được dán nhãn và cất vào các hộp lưu trữ để phục vụ cho quátrình điều tra

Hình 2-1 : Một quang cảnh điều tra chứng cứ trên máy tính

Ngoài việc đánh dấu các thiết bị và cả những tập tin khả nghi trên máy tính vàthiết bị lưu trữ theo các biểu mẫu thì người phụ trách tiến trình điều tra cần tuântheo các hướng dẫn để ra nhằm bảo đảm ít sai sót nhất Và quá trình thực hiệncông việc cũng cần thực hiện một cách tế nhị nhất là khi thực hiện điều tra nội

bộ để tránh gây ra những bức xúc đối với bộ phận người dùng Các bạn có thểtải một số biểu mẫu về quy cách thực hiện do U.S Department of Justice (DOJ)soạn thảo tại www.usdoj.gov/criminal/cybercrime/s&smanual2002.htm Trongtrường hợp liên kết này vô hiệu do website thay đổi các bạn có thể tìm kiếm tạitrang chủ của DOJ

Một trong những khuyến nghị cho quá trình thực hiện như trước khi tắt máy thìđiều tra viên cần phải chụp lại hình ảnh màn hình máy tính, thậm chí cả nhữngthông tin được lưu trữ trong RAM cũng cần được quan tâm Những thao tác này

sẽ được thảo luận trong Chương 11 Hoặc các tập tin chứa thông tin nhạy cảm

có khả năng bị nghi phạm xóa hay che dấu Do đó điều tra viên nên sử dụngnhững chương trình chuyên tìm kiếm tập tin ẩn hay phục hồi tập tin bị xóa với

18

ProDiscover Ngoài ra, các máy tính đa số được bảo vệ bằng mật khẩu, haynhững tập tin sẽ bị mã hóa để che dấu thông tin Vì vậy các bạn cần nắm vữngnhững công cụ bẻ khóa hay giải mã để sử dụng trong những tình huống cầnthiết.

Một trong vấn đề vi phạm chính sách doanh nghiệp như nhân viên của một công

ty phần mềm đã gởi các bí mật về công nghệ hay thông tin về sản phẩm mới chocác đối thủ, gây ảnh hưởng nghiệm trọng đến kế hoạch triển khai và làm sụtgiảm lợi nhuận Khi phát hiện vấn đề này thông thường máy tính của nhân viêntrên sẽ bị “đóng băng” để các điều tra viên tiến hành khảo sát toàn bộ dữ liệu lưutrên đĩa cứng nhằm ra các bằng chứng xác đáng cho thấy sự vi phạm của nhânviên trên Để thực hiện điều này ta cần thực hiện một cách hệ thống

sự cố hay các vấn đề xâm phạm trái phép, vi phạm quy tắt

Xác định hướng tiếp cận sơ bộ cho tiến trình điều tra – Phác thảo các bước cầntiến hành, ví dụ nghi ngờ một nhân viên nào đó ta có thể yêu cầu truy cập hệthống của đối tượng, xác định xem có cần thiết tịch thu máy tính của nghi phạmtrong giờ làm việc hay chờ hết giờ hành chính

Tạo một bản liệt kê các chi tiết – Dựa trên phác thảo ban đầu về các bước cầnthực hiện ta sẽ lọc ra những chi tiết chính và ước lượng thời gian cần thực hiệncủa các bước này Điều này sẽ giúp các bạn kiểm soát được công việc điều tracùng tiến độ thực hiện của nó

Xác định các tài nguyên mà bạn cần – Dựa trên hệ điều hành của các máy tínhđang sử dụng, hãy liệt kê những ứng dụng cần thiết phục vụ cho quá trình điềutra

Thu thập chứng cứ và sao chép sang các ổ đĩa lưu trữ khác

Xác định các nguy cơ – Đánh giá các rũi ro mà ta có thể gặp trong quá trình thựchiện như các dữ liệu có thể bị xóa hay mã hóa để che dấu vết.

Hạn chế rũi ro – Để hạn chế các rũi ro như mất mát thông tin, dữ liệu chúng ta

có thể sao chép chúng thành nhiều bản và lưu trữ an toàn

Kiểm tra lại các bước cần thực hiện

Phân tích và phục hồi các chứng cứ số

Tạo các bản báo cáo – Viết báo cáo chi tiết về các thông tin, chứng cứ mà cácbạn tìm thấy

Tự đánh giá công việc đã thực hiện – Sau khi hoàn tất chúng ta nên tự đánh giá

và kiểm điểm để nhìn nhận những sai sót hay các khiếm khuyết cần khắc phụcnhằm rút kinh nghiệm cho những lần sau

Toàn bộ quá trình có nhiều bước với thời gian thực hiện khác nhau, do đó cácđiều tra viên cần có cơ chế kiểm soát tiến độ công việc nhằm bảo đảm mọi việcđang đi đúng hướng và thời gian đề ra Bên cạnh đó là những sự cố không mongđợi có thể diễn ra vào bất kì lúc nào, do đó chúng ta nên ước lượng những mối

đe dọa đối với quá trình điều tra để có những kế hoạch phòng bị thích hợp, nhằmbảo đảm tính liên tục của công việc

Truy Cập Vào Bản Án

Truy cập vào bản án là quá trình thực hiện công việc dựa trên những yêu cần vàđặc điểm chính của vấn đế Để xác định các yêu cầu của bản án chúng ta cầnphải lập bản phác thảo chúng một cách hệ thống dựa trên tình trạng tự nhiên củachúng cùng với các kiểu chứng cứ và vị trí của chứng cứ Ví dụ trong trườnghợp điều vi phạm chính sách doanh nghiệp, bạn đã phỏng vấn các nhân viên vàbiết được rằng Steve Billing ở phòng tin học có những chứng cứ cho thấy George Montgomery đã tiến hành những giao dịch cá nhân trên máy tính củamình Vì vậy ta sẽ tập trung vào nghi phạm thay vì chú ý đến các nhân viênkhác, sau đây là một số đặc điểm mà ta có thể tập trung khi tiến hành điều tra :Tình huống – Tự đặt mình vào vị trí của một nhân viên vi phạm chính sách đểxem xét các vấn đề

Tình trạng của bản án – Các công việc kinh doanh bên ngoài doanh nghiệp haynhững giao dịch cá nhân trên máy tính của nhân viên

Các đặc điểm chính – Ví dụ, dựa trên báo cáo của nhân viên ta biết được rằnganh ta tiến hành đăng kí một domain name và xây dựng một trang web tại nhàcung cấp hosting tại địa phương, điều này khiến cho công việc của cơ quan bịchậm trễ do anh ta dành qua nhiều thời gian cho trang web của mình Và nếuđúng như vậy thì nhân viên trên đã vi phạm chính sách của công ty đã đề ra là

20

không được sử dụng những tài nguyên chung như máy tính, giờ hành chính đểphục vụ những mục tiêu cá nhân.

Các loại chứng cứ – Như các ổ lưu trữ USB

Hệ điều hành – Như Windows XP hay Windows 7

Định dạng tập tin – Ví dụ Fat 32 hay NTFS

Vị trí chứng cứ – Tìm thấy trên ổ USB của máy tính nhân viên

Hoạch Định Cho Quá Trình Điều Tra

Sau khi xác định các yêu cầu cần thiết của bản án điều tra viên cần hoạch địnhcác bước thực hiện cho quá trình điều tra của mình Việc hoạch định luôn cầnthiết cho bất cứ công việc nào, đặc biệt là trong quá trình truy tìm chứng cứ số vì

nó sẽ giúp cho việc điều tra đi đúng hướng và đạt được hiệu quả trong côngviệc Như trong trường hợp điều tra domain name và website ở trên thì điều traviên có thể tiến hành theo những bước sau, những thao tác này sẽ được trình bàychi tiết trong các phần tiếp theo

Tịch thu các ổ đĩa USB thông qua quản lý của George (nghi phạm)

Tổng hợp các chứng cứ để trình bày trước tòa

Chuyển các chứng cứ này qua các máy tính sử dụng để điều tra

Lưu trữ chứng cứ an toàn

Chuẩn bị nơi làm việc

Lấy các chứng cứ từ vị trí lưu trữ

Tạo một bản sao chép (như lưu một bản sao trên USB, DVD …)

Cất các chứng cứ gốc vào lại nơi lưu trữ an toàn

Xử lý công việc và tiến hành điều tra với những công cụ chuyên dùng

Trên đây là một số bước của quá trình xử lý những chứng cứ thu thập được, tùyvào vị trí làm việc của các điều tra viên là tại văn phòng hay trong doanh nghiệpcần điều tra mà các bạn có những sự chuẩn bị khác nhau để có được điều kiệntốt nhất Các chứng cứ cần được mô tả theo một biểu mẫu thích hợp để có thểphục vụ cho quá trình xử lý của tòa hay trong các buổi họp kiểm điểm củadoanh nghiệp Các điều tra viên có thể tạo ra các single-evidence form (với cácchứng cứ được mô tả trên các trang riêng) hay multi-evidence form như hình 2-2tùy thuộc vào yêu cầu của công việc

Hình 2-2 : Biểu mẫu multi-evidence khi điều tra trong doanh nghiệp

Một chứng cứ được ghi chép lại bao gồm những thông tin sau :

Số hiệu của quá trình điều tra – Số thứ tự do tổ chứ đặt khi phát động cuộc điềutra

nghiệp đặt khi phát động cuộc điều tra và truy tìm chứng cứ

Tên của tổ chức cần điều tra

Tên của điều tra viên

Mô tả tình huống – Mô tả vắn tắt về tình huống, sự việc Ví dụ công việc cầnlàm là “Tìm kiếm bằng chứng vi phạm nội quy doanh nghiệp” hay “Phục hồi dữliệu sau thảm họa”

Vị trí mà chứng cứ được thu thập – Vị trính chính xác mà chứng cứ được tìmthấy, nếu sử dụng biểu mẫu multi-evidence nên tạo một form mới cho mỗi vị trí

Mô tả chứng cứ – Ví dụ ‘đĩa cứng, dung lượng 200 GB” hay “một ổ USB dunglượng 1 GB”, trên multi-evidence cần mô tả riêng cho từng chứng cứ thu thậpđược

Tên nhà sản xuất, số hiệu của thiết bị – Ví dụ Maxtor, là tên nhà sản xuất của đĩacứng thu được và số serial của ổ đĩa

Tên của người thu thập được chứng cứ – Là người đã tìm được các chứng cứcũng như sẽ chịu trách nhiệm vận chuyển, lưu trữ chứng cứ thích hợp

Ngày và thời gian chứng cứ được thu thập

Chứng cứ cần được lưu giữ vào nơi an toàn – Xác định vị trí hay thiết bị để cấtgiữ chứng cứ một cách an toàn

22

Liệt kê số hiệu của chứng cứ, tên điều tra viên và thời gian thực hiện.

Trang – hồ sơ dùng để lưu trữ tất cả chứng cứ với những vị trí khác nhau cầnđược đánh số trang cẩn thận

Hình 2-3 là một ví dụ về biểu mẫu single-evidence lưu trữ mỗi chứng cứ trênmỗi trang, điều này giúp cho việc theo dõi dễ dàng hơn và có nhiều không gian

để ghi chép, mô tả

Bảo Vệ Chứng Cứ An Toàn

Việc bảo vệ chứng cứ là một công tác rất quan trọng vì chúng sẽ dùng là bằngchứng để truy tố trước toàn hay là cơ sở cho các quyết định kỹ luật, kiểm điểm.Tùy thuộc vào kích thước của chứng cứ số mà chúng ta cần có những thiết bịsao lưu thích hợp Việc nhân bản, mã hóa và cất giữ vào các vị trí an toàn, đềphòng những rũi ro do thiên tai hay môi trường cũng cần được tính đến

Thủ Tục Điều Tra Công Nghệ Cao Trong Môi Trường Tổ Chức

Là một điều tra viên chúng ta cần xây dựng các thủ tục chính cần tiến hànhtrong quá trình điều tra công nghệ cao diễn ra chính xác Bên cạnh đó là nhữngthao tác ngoại lệ nhăm bảo đảm những chứng cứ được thu giữ hợp lệ Phần tiếptheo của chương này chúng ta sẽ thảo luận về các thủ tục mẫu mà các điều traviên máy tính thường sử dụng khi tiến hành điều tra công nghệ cao

điều tra để kỹ luật nhân viên hay kết thúc hợp đồng lao động trước thời hạn.Công việc này cũng cần có sự thảo luận với bộ phận quản lý nhân sự để xác địnhbiện pháp đúng đăng nhất theo chính sách nội bộ đã đề ra.

Điều Tra Về Vấn Đề Lạm Dụng Internet

Các thủ tục thuộc chủ đề này áp dụng cho một hệ thống mạng nội bộ của doanhnghiệp chứ không phải dành cho các công ty kinh doanh dịch vụ internet (ISP)

Để tiến hành điều tra sự lạm dụng internet các bạn cần những thông tin sau :Tập tin nhật kí của máy chủ proxy hay gateway khi truy cập internet

Địa chỉ IP của máy tính khả nghi được cung cấp bởi người quản trị hệ thốngmạng trong doanh nghiệp

Ổ đĩa trên máy tính của nghi phạm

Các công cụ chuyên dùng cho việc điều tra máy tính mà bạn nắm vững nhưProDiscover, Forensic Toolkit, Encase, X-Ways Forensic …

Và các bước cần tiền hành cho quá trình điều tra sự lạm dụng internet :

Sử dụng các công cụ forensic theo những thủ tục trong tài liệu này để kiểm tracác ổ đĩa chứa dữ liệu

Sử dụng công cụ như DataLifter hay Forensic Toolkit để thu thập các thông tin

mà nghi phạm tìm kiếm, những trang web đã truy cập

Liên hệ với quản trị hệ thống mạng để yêu cầu cung cấp tập tin nhật kí của máychủ firewall (hệ thống tường lữa kiểm soát sự truy cập vào và ra trên hệ thốngmạng nôi bộ như ISA Server Firewall 2006, Checkpoint Firewall), các tập tinnhật kí còn gọi là tập tin log sẽ cho biết thời gian và địa chỉ nguồn, đích của cácmáy tính đã truy cập internet

So sánh các dữ liệu phục hồi hay tìm thấy trên máy tính với thông tin từ tập tinlog để bảo đảm sự trùng khớp

Nếu có sự trung khớp trong quá trình so sánh ở bước 4 thì ta vẫn tiếp tục phântích các dữ liệu trên máy tính như các tập tin tải về hay trang Web đã truy cập đểlàm những chứng cứ viện dẫn sau này Nếu không có sự trùng khớp của quátrình kiểm tra thì báo cáo không đủ căn cứ để ghép tội

Trước khi tiến hành điều tra vấn đề lạm dụng internet điều tra viên cần tìm hiểunhững vấn đề luật pháp của địa phương, nhằm bảo đảm không có sự xung độthay vi phạm quyền riêng tư khi truy cập vào các tập tin nhật kí hay dữ liệu riêng

tư của người dùng Có những tình huống lạm dụng internet nhưng người sửdụng dùng máy tính xách tay (laptop) thì điều tra viên cần có sự tham khảo

24

chính sách sử dụng tài sản máy tính trong doanh nghiệp để có hướng xử lý thíchhợp.

Điều Tra Lạm Dụng E-Mail

E-mail hay thư điện tử là công cụ thường được các nhân viên lạm dụng để gởithư rác, thư quấy rối đồng nghiệp hay các thư nặc danh gây mất đoàn kết nội bộ,trao đổi thông tin gấy ảnh hưởng đến quyền lợi chính đáng của doanh nghiệp

Do đó việc sử dụng email trong doanh nghiệp cần có sự kiểm soát thông quachính sách người dùng thích hợp hay nội quy của công ty Sau đây là nhữngthông tin cần thiết cho việc tiến hành điều tra vi lạm dụng email :

Tạo một bản sao chép các thư điện tử với sự hỗ trợ của người quản trị hệ thốngmạng, bao gồm nội dung thông điệp và thông tin như email header

Nếu có thể hãy thu thập tập tin nhật kí của máy chủ email

Trong trường hợp doanh nghiệp có hệ thống xử lý email trung tâm như emailproxy, hãy truy cập vào máy chủ này với sự hỗ trợ kỹ thuật của các nhân viên hệthống

Thu thập và phục hồi email trên máy tính người dùng qua các tập tin lưu trữ củacông cụ POP3 / SMTP Client như Thuderbird, Outlook,

Cần trang bị đầy đủ những công cụ chuyên dùng như Forensic Tool hayProDiscover

Tiếp theo, các bạn nên tiến hành công việc theo các bước sau :

Sử dụng những công cụ forensic và theo các bước hướng dẫn trong tài liệu đểkhảo sát các tập tin dữ liệu email nằm trên máy tính

Đối với dữ liệu email trên máy chủ hãy liên hệ với quản trị của máy chủ email

để thu thập các thông tin thư điện tử hay dữ liệu email của đối tường khả nghi.Nếu trường hợp điều tra lạm dụng email sử dụng các hộp mail miễn phí nhưYahoo, Hotmail, Gmail hãy sử dụng tính năng tìm kiếm từ khóa của công cụForensic Toolkit để thu thập những dữ liệu liên quan đến hộp thư này

Xem xét thông tin header của các thông điệp thư điện tử để xác định các địa chỉ

IP của máy chủ email và các nội dung kèm theo

Attorney-Client Privilege

Điều tra viên cần phải cộng tác với luật sư trong quá trình điều tra để chia sẽ cácthông tin, chứng cứ số cần thiết Và những thông tin này cần được bảo đảm tính

bí mật theo các quy tắt gọi là Attorney-Client Priviledge (ACP) nhằm ngăn ngừa

sự mất mát chứng cứ hay lọt vào tay kẽ xấu Tuy nhiên, các luật sư (attorney)không phải là những chuyên gia máy tính vì vậy các bạn cần có những quy định

và hướng dẫn sử dụng dành cho họ để đảm sự an toàn tuyệt đối Sau đây là một

số bước căn bản nhằm thiết lập một ACP bảo đảm tính riêng tư cho chứng cứ :Trước khi bắt đầu công việc, hãy yêu cầu luật sư xác nhận với điều tra viên bằngmột bản ghi nhớ với các thông tin về quyền hạn sử dụng, trao đổi thông tin mộtcách an toàn

Liệt kê những điểm quan trọng của tiến trình điều tra

Sau khi nhận được bản ghi nhớ hãy xem xét và kiểm tra cẩn thận nhằm tránh saisót

Đối với các ở cứng chứa dữ liệu hãy tạo hai ảnh đĩa với các công cụ nhân bản vàtạo ảnh đĩa khác nhau như ProDiscover và SafeBack

Nếu có thể hãy tạo gái trị băm cho tất cả tập tin (hash value, tạo bởi các thuậttoán băm như MD5, SHA) và so sánh với các tập tin trên ổ đĩa gốc để có thểnhận biết khi có sự thay đổi tính toàn vẹn của tập tin

Hãy tiến hành xem xét toàn bộ ổ đĩa bao gồm những phân vùng đã cấp phát haychưa cấp phát một cách hệ thống

Tiến hành tìm kiếm theo những từ khóa liên quan đến tình huống trên toàn ổ đĩa,

để xác định thêm những thông tin giá trị đối với việc điều tra

Nếu máy tính bị điều tra dùng hệ điều hành Windows hãy sử dụng nhữngchương trình như AccessData Registry Viewer để phân tích và xem xét dữ liệuRegistry (sẽ mô tả trong Chương 6)

Với các tập tin nhị phân như bản thiết kế CAD hãy xác định chương trình thựchiện, có thể in các tập tin này để xem xét kỹ hơn

Đối với phân vùng chưa cấp phát hãy xóa hay thay thế các tập tin không thể inđược bằng các chương trình như X-Ways Forensics Specialist Gather Text

Lưu trữ các dữ liệu được phục hồi trên những folder riêng rẽ

Ngoài ra, một số quy tắt cần tuân thủ khi trao đổi với luật sư như :

Hạn chế trao đổi bằng văn bản với luật sư, nên sử dụng điện thoại khi cần hỏihay cung cấp thông tin

Bất kì thông tin nào gởi cho luật sự cần đặt một thông điệp cảnh báo như

“Privileged Legal Communication —Confidential Work Product, ” với nhữngquy tắt được thiết lập trước

Hỗ trợ luật sư và trợ lý của họ trong quá trình phân tích dữ liệu

26

Nếu có những vấn đề khó hiểu hay chưa rõ ràng trong bản ghi nhớ hãy liên hệvới luật sư để giải quyết Trong quá trình trao đổi bằng email nên sử dụng cáckênh an toàn hay ứng dụng thuật toán mã hóa PGP.

Điều Tra Các Khe Hỡ Truyền Thông

Việc kiểm soát các thông tin nhạy cảm trong môi trường doanh nghiệp là rấtkhó, bởi vì các nhân viên có thể gởi những thông tin bí mật hay mang tính chấtriêng tư cho đối thủ, phóng viên và công bố rộng rãi trên mạng internet gây ảnhhưởng lớn đến uy tín của doanh nghiệp Do đó, điều tra thông tin bị rò rĩ do đâu

là công việc thường gặp trong thực tế Sau đây là một số vấn đề cần quan tâmkhi điều tra các khe hỡ truyền thông trong môi trường doanh nghiệp :

Khảo sát thư điện tử, bao gồm địa chỉ email công ty trên máy chủ và các hộp thư

cá nhân như Hotmail, Yahoo, Gmail trên các máy tính của người dùng trongdoanh nghiệp

Tìm kiếm các thông tin của doanh nghiệp có khả năng bị công bố trên các diễnđàn công cộng hay những trang web trên internet

Kiểm tra các tập tin nhật kí trên máy chủ proxy hay firewall

Thẩm tra những máy tính khả nghi với những công cụ forensic chuyên dụng đểtìm kiếm các dữ liệu liên quan

Với những điểm đáng lưu ý trên, các bạn cần tuân theo những bước sau trongquá trình điều tra :

Phỏng vấn các quản lý bộ phận để liệt kê danh sách nhân viên có liên quan trựctiếp đến những thông tin nhạy cảm

Xác định các thông tin bị công bố

Xem lại danh sách các cuộc gọi của nhân viên trong công ty nhằm xem xét cácmối liên lạc bất thường

Nhận định các yếu tố chính có mối liên quan đến khe hở truyền thông

Tìm kiếm trên máy chủ email và proxy

Tìm kiếm chứng cứ số và mối quan tâm của người dùng trên các đĩa cứng lấy từmáy tính của những nhân viên có khả năng gây rò rĩ thông tin

Phân tích các liên lạc thư tín từ dữ liệu trên những đĩa cứng đã tịch thu cho quátrình điều tra

Mở rộng tìm kiếm trên các ổ đĩa khả nghia để tìm thêm các mối quan tâm kháccủa người dùng

Cô lập và xem lại định kì các kết quả để tìm xem có thêm những thông tin liên

hệ nào mới phát hiện hay không

Báo cáo kiết quả tìm kiếm cho người quản lý và thảo luận về những vấn đề cầnquan tâm trong quá trình điều tra

28

CHFI Chương 2 TỔNG QUAN VỀ ĐIỀU TRA MÁY TÍNH P.2

Điều Tra Tình Báo Công Nghiệp

Việc điều tra các hoạt động tình báo công nghiệp là công việc khá khó khăn vàtốn nhiều thời gian hơn cả Không như các vấn đề vi phạm khác được trình bàytrong chương này, những hoạt động tìm kiếm tình báo công nghiệp được xemnhư là điều tra tội phạm hình sự Sau đây là một số thành viên trong nhóm điềutra mà các bạn cần sắp đặt trước khi tiến hành công việc :

Trong quá trình điều tra tình báo công nghiệp thì những điều tra viên máy tính lànhững người chịu trách nhiệm trong việc tìm kiếm chứng cứ được lưu trên hệthống đĩa cứng

Các chuyên gia công nghệ có kiến thức chuyên môn cao về những dữ liệu bịxâm phạm

Những chuyên gia mạng có khả năng phân tích tập tin nhật kí của hệ thống giámsát truyền thông

Chuyên gia đánh giá các mối đe dọa (thường là những luật sư), nhưng người cókiến thức về luật pháp

Ngoài ra, các bạn cần quan tâm thêm về những yếu tố :

Xác định đây có phải là một vụ gián điệp công nghiệp hay không, cũng như xemxét những khía cạnh pháp lý liên quan

Hỏi ý kiến luật sư cộng tác và các cấp quản lý để có thể tiến hành cuộc điều tramột cách thận trọng, bí mật

Xác định các thông tin có khả năng bị đánh cắp.

Liệt kê những tài nguyên cần điều tra

Xác định mục tiêu và phạm vi của cuộc điều tra, trao đổi với luật sư và cấp trên

để đưa ra phương án làm việc của bạn

Tiến hành điều tra ngay sau khi nhận được sự phê duyệt từ cấp trên, định kì báocáo kết quả

Tiếp theo là một số công việc mà các điều tra viên cần hoạch định trước khi điềutra :

Khảo sát email của các nhân viên khả nghi, cả hộp thư cá nhân và hộp thư doanhnghiệp

Tìm kiếm trên internet các bài viết hay thông tin bị xâm phạm

Tiến hành giám sát vật lý các nhân viên và khách với hệ thống camera an ninh.Nếu có thể hãy xem xét tất cả các tập tin nhật kí của camera giám sát hay nhữngghi chép của bảo vệ cơ quan

Nếu nghi ngờ một thành viên nào đó, hãy tiến hành theo dõi các hoạt động củaanh ta / hay cô ta

Theo dõi và nhận xét các thói quen khả nghi

Thu thập các cuộc gọi điện thoại vào và ra cơ quan hay tổ chức

Một khi đã chuẩn bị đầy đủ những yếu tố cần thiết, các điều tra viên có thể tiềnhanh công việc thoe các bước sau :

1 Tập trung tất cả thành viên trong nhóm điều tra và trình bày kế hoạch thựchiện cũng như các vấn đề cần quan tâm

Tập trung những tài nguyên cần thiết phục vụ cho công tác điều tra

Khởi động điều tra bằng việc đặc các hệ thống giám sát như camera hay hệthống giám sát mạng tại các điểm nhạy cảm

Bí mật thu thập thêm các chứng cứ như ổ đĩa máy tính, tạo các bản sao của ảnhđĩa để tiến hành khảo sát

Thu thập các tập tin nhật kí của mạng máy tính, máy chủ email

Thường xuyên báo cáo với cấp trên và luật sư cộng tác về những thông tin đượctìm thấy và tình trạng của công tác điều tra

Cùng các luật sư cộng sự và cấp trên xem xét lại phạm vi điều tra để quyết định

có cần mở rộng nhằm tìm kiếm thêm các tài nguyên và chứng cứ hay không

30

Kỹ Năng Phỏng Vấn Và Thẩm Vấn Trong Điều Tra Công Nghệ Cao

Để trở thành một điều tra viên có kỹ năng phỏng vấn và thẩm vấn tốt đòi hỏinhiều năm kinh nghiệm.Tthông thường các chuyên gia công nghệ sẽ tiến hànhthu thập chứng cứ cho công tác điều tra Một số tập đoàn hay công ty có quy môlớn sẽ có những nhân viên chuyên trách về nhiệm vụ điều tra các vấn đề an ninh

có kinh nghiệm và có kỹ năng thẩm vấn, vì vậy các điều tra viên có thể yêu cầu

sự trợ giúp từ những nhân viên này khi tiến hành công việc của mình

Cũng lưu ý việc phòng vấn và thẩm vấn hoàn toàn khác nhau, các điều tar viên

có thể hỏi hay phỏng vấn nhiều người để xác định đối tượng tình nghi, còn quátrình thẩm vấn dành cho những đối tượng tình nghi hay nghi phạm Khi thựchiện nhưng công việc này có thể bạn sẽ bị đối tượng đặt các câu hỏi ngược lại,

do đó cần chuẩn bị sẳn những câu trả lời thích hợp cho tình huống này :

Bạn có biết rõ vấn đề đang thảo luận trong quá trình phỏng vấn hay thẩm vấn ?

Có cần tìm hiểu về những công nghệ liên quan đến việc điều tra ?

Có những câu hỏi mở rộng hay không ?

Những câu hỏi nào mà bạn dự định đặt ra cho đối tượng ?

Phần lớn các lỗi trong những cuộc phỏng vấn hay thẩm vấn là do điều tra viênkhông chuẩn bị đầy đủ cho công việc và thiếu các câu hỏi để có thể đào sâu hơnnhững thông tin cần biết Tránh đi lệch mục tiêu cũng như cần giữ sự thân thiện

để đối tượng cảm thấy tin tưởng khi khai báo hay trả lời các câu hỏi

Các yếu tố tạo nên sự thành công của một buổi phỏng vấn hay thẩm vấn gồm :

- Hãy kiên nhẫn trong công việc

- Hãy lập lại và nhấn mạnh những câu hỏi để tìm kiếm thông tin đối vớicác nhân chứng miễn cưỡng hay các đối tượng khả nghi

- Hãy ghi nhớ thật kỹ

Máy Trạm Và Phần Mềm Phục Hồi Dữ Liệu

Bây giờ các bạn đã nắm những tình huống thông dụng của công tác điều tracũng như các biểu mẫu để lưu giữ chứng cứ Trong Chương 3 chúng ta sẽ tìmhiểu cách xây dựng một hệ thống lab để truy tìm chứng cứ trên máy tính, nơi màcác bạn sẽ tiến hành công việc điều tar của mình với những công cụ chuyêndụng đã được cài đặt cùng với các thiết bị lưu trữ, cất giữ an toàn

Lưu ý sự khác biệt giữa phục hồi dữ liệu (data recovery) và truy tìm chứng cứ số

để điều tra tội phạm (computer forensic) Vì mục tiêu của việc phục hồi dữ liệu

là lấy lại những thông tin quan trọng cho người dùng do bị xóa nhầm, bị hưhỏng phần cứng hay do virus Và ta không cần phải tạo các bản sao lưu ảnh đĩa

và cất giữ chúng vào những nơi lưu trữ an toàn như computer forensic Có thểnói phục hồi dữ liệu chỉ là một công đoạn của quá trình computer forensic.

Trong quá trình truy tìm chứng cứ số để điều tra tội phạm có thể điều tra viênphải làm việc với nhiều hệ điều hành khác nhau, tùy thuộc vào nhu cầu của cuộcđiều tra mà các bạn phải thiết lập các hệ thống chạy trên những nền tảng củaMicrosoft như :

• Windows Vista hay Windows 7

Khi khởi động hệ thống Windows sẽ có một số tiến trình làm thay đổi tính toànvẹn của tập tin như việc ghi dữ liệu vào Recycle Bin, điều này có khả năng làmthay đổi chứng cứ Vì vậy trong chương 6 chúng ta sẽ thảo luận về các dịch vụchạy trong quá trình khởi động của các hệ điều hành Windows, cũng như cácthiết bị lưu trữ ngăn ngừa việc ghi đè với tính năng write-blocker sẽ được trìnhbày trong chương 4 như Technology Pathways NoWrite FPU; DigitalIntelligence Ultra-Kit, UltraBlock, FireFly, FireChief 800, và USB WriteBlocker; WiebeTECH Forensic DriveDock; Guidance Software FastBloc2;Paralan SCSI Write Blockers; và Intelligent Computer Solutions (www.ics-iq.com) Image LinkMaSSter Forensics Hard Case …

Ngoài ra, một số công cụ forensic mạnh mẽ khác chạy trên hệ điều hành Linuxhoặc những ứng dụng trên nền DOS cũng rất hữu ích trong nhiều trường hợp

Do đó các điều tra viên nên trang bị cho mình những kiến thức đầy đủ về các hệđiều hành khác nhau để có thể tận dụng tối đa sức mạnh của các công cụforensic, vì một ứng dụng riêng kẽ không thể nào cung cấp cho chúng ta kết quảđầy đủ nhất

Thiết Lập Hệ Thống Máy Trạm Cho Quá Trình Computer Forensic

Với đầy đủ thiết bị phần cứng và phần mềm, việc thiết lập một trạm làm việccho quá trình computer forensic khá đơn giãn, những yêu cầu cần thiêt baogồm :

• Một hệ thống máy trạm chạy hệ điều hành Windows XP hay Windows 7, cũng

có thể chạy trên máy ảo khi công nghệ ảo hóa ngày càng phát triển

• Thiết bị chống ghi đè write-blocker

32

• Các công cụ thu thập thông tin cho quá trình computer forensic.

• Các công cụ phân tích dữ liệu cho quá trình computer forensics analysis

• Đĩa cứng dùng để sao chép dữ liệu từ các ổ đĩa ngih vấn

• Hệ thống kết nối các thiết bị qua cổng PATA hay SATA

Ngoài ra, nên có thêm :

• Card mạng (NIC)

• Bộ mở rộng cổng USB

• SCSI card

• Công cụ Disk editor

• Công cụ hiệu chỉnh văn bản, chương trình xem ảnh …

Trong Chương 3 ta sẽ tiến hành thiết lập một hệ thống máy trạm dùng cho việctruy tìm chứng cứ số và điều tra tội phạm công nghệ

Tiến Hành Điều Tra

Bây giờ các bạn hãy quay trở lại với tình huống vi phạm chính sách doanhnghiệp của nhân viên George Montgomery khi đã đăng kí Domain Name và xâydựng trang web với mục tiêu kinh doanh cá nhân trên tài sản của tổ chức đãtrình bày trong phần trước Chúng ta đã lên kế hoạch cho quá trình điều tra, thiếtlập máy trạm làm việc và cài đặt các chương trình cần thiết để khảo sát chứng

cứ Các phần mềm có thể sử dụng như ProDiscover, EnCase, FTK, hay X-WaysForensics; bộ công cụ văn phòng thì dùng OpenOffice hay Microsoft Office tùyvào kinh phí và kỹ năng của điều tra viên; và phần mềm xem hình ảnh hãy dùngIrfanView Trước tiên, các bạn hãy copy tất cả các chứng cứ về ổ đĩa lưu trữ củamình bằng nhiều phương pháp khác nhau Hãy tận dụng khả năng phục hồi, tìmkiếm thông tin và sao chép bằng những ứng dụng mạnh mẽ nhất, không nên sửdụng chỉ một chương trình vì không có ứng dụng nào có thể mang lại hiệu quảtối đa cho dù chương trình đó được quảng cáo là tốt nhất Để thu thập các tàinguyên theo kế hoạch đã lập, các bạn cần chuẩn bị những thành phần sau :

Ổ đĩa lưu trữ gốc

Biểu mẫu ghi chứng cứ

Các hộp lưu trữ các ổ đĩa hay thiết bị nghi vấn

Công cụ sao chép hình ảnh theo cơ chế bit-stream như trong phần thực hành củatài liệu này là ProDiscovery

Máy trạm tiến hành công việc

Các thiết bị lưu trữ chứng cứ với khả năng chống ghi…

Thu Thập Chứng Cứ

Tiếp theo, chúng ta sẽ tiến hành thu thập chứng cứ cho tình huống “DomainName” , nên cẩn thận chuẩn bị các hộp lưu trữ hay túi đựng chứng cứ an toàn,

có khả năng chống ẩm hay các tác hại tỉnh điện có khả năng gây hư hỏng chứng

cứ số Để lấy được thiết bị lưu trữ của nhân viên George Montgomery từ phòng

IT hãy tiến hành theo các bước sau :

Gặp trưỡng bộ phận tin học (thường là IT Manager) và đề nghị lấy các thiết bịlưu trữ của nhân viên bị tình nghi

Sau đó hãy điền các thông tin của buổi trao đổi vào một biểu mẫu và yêu cầu kíxác nhận của cả hai bên

Cất các thiết bị này vào túi đựng chứng cứ và đem về nơi làm việc để tiến hànhkhảo sát

Chuyển các chứng cứ vào các hộp lưu trữ an toàn như các thiết bị có chức năngchống ghi đè dữ liệu

Hoàn tất biểu mẫu chứng cứ và ngăn ngừa bất kì sự thay đổi trái phép nào

Bảo vệ chứng cứ bằng cách khóa các hộp lưu trữ

Thế Nào Là Bit-Stream Copy

Thông thường, khi các bạo copy hay sao chép dữ liệu thì chương trình chỉ chépnhững tập tin mà chúng ta chọn, còn các tập tin đã bị xóa, hay được che dấu thìphương pháp copy thông thường không có tác dụng Trong trường hợp sao chépchứng cứ từ đĩa gốc ta không thể bỏ sót bất kì thông tin nào cho dù nó đã bị xóa

đi, vì vậy phải sử dụng phương pháp sao chép đặc biệt gọi là bit-stream copy, sẽsao chép chính xác theo dạng bit-by-bit hay còn gọi là sector copy cho dù cácthông tin ẩn hay bị xóa của thư mục cũng được sao chép Và khi chúng ta ápdụng phương pháp này cho toàn bộ dữ liệu trên đĩa cứng sẽ tạo ra các ảnh đĩahay bit-stream image mà một số nơi còn gọi là forensic image như Hình 2-4 Cókhá nhiều công cụ sao lưu ảnh đĩa với giao diện thân thiện như Norton Ghost,Acronis True Image và trong chương 4 chúng ta sẽ thảo luận về một trong sốnhững công cụ trên

Thu Hình Ảnh Của Ổ Lưu Trữ Chứng Cứ

Sau khi tịch thu các ổ đĩa lưu trữ chứng cứ các bạn cần sao chép chúng sangmột thiết bị lưu trữ khác để tiến hành phân tích Quy tắc đầu tiên là chúng takhông trực tiếp làm việc trên chứng cứ gốc mà chỉ làm trên những bản sao chépthông qua phương pháp bit-stream copy

34

Sử Dụng ProDiscover Basic Để Tạo Ảnh Đĩa Cho Thiết Bị Lưu Trữ USB

ProDiscover Basic của Technology Pathways là một công cụ phân tích chứng cứmạnh mẽ.Bạn có thể sử dụng nó để phân tích dữ liệu từ hệ thống tập tin khácnhau, chẳng hạn như Microsoft FAT và NTFS, Linux Ext2, Ext3, và các hệthống tập tin khác của UNIX, hay các hệ thống sử dụng hệ điều hành Windows

Trên ổ USB bật khóa chống ghi nhằm bảo vệ sự ghi đè lên dữ liệu gốc và gắnchúng vào máy tính làm việc

Để khởi độngProDiscover Basic, hãy click Start, chọn All Programs, và trỏ đếnProDiscover, sau đó nhấn chuột vào ProDiscover Basic Nếu hộp thoại Launch

mở ra (xem Hình 2-5), hãy nhấn Cancel

Hình 2-5 : Giao diện của ProDiscover

Trên cữa sổ chính hãy chọn Action , Capture Image từ thanh Menu

Trong hộp thoại Capture như hình ảnh được hiển thị trong Hình 2-6, hãy nhấpvào mũi tên để hiển thị danh sách Source Drive và chọn ổ đĩa USB

Hình 2-6 : Hộp thoại Capture Image

Nhấp vào nút >> bên cạnh hộp văn bản Destination Khi hộp thoại Save Asmở

ra, di chuyển đến thư mục công việc của bạn (WorkChap02Chapter) và nhập têncủa hình ảnh sẽ tạo cho đĩa USB ví dụ InChp-prac và nhấn Save để lưu lại.Tiếp theo, trong hộp thoại CaptureImage, gõ têncủa bạn trong ô TechnicianName và InChp-prac-02trongô Image Number như Hình 2-7 Nhấp vào OK

Hình 2-7 : Hộp thoại Capture Image sau khi đã nhập đầy đủ thông tin

36

Như vậy chúng ta đã hoàn tất bước đâu tiên của quá trình tạo hình ảnh cho ổ lưutrữ chứng cứ gốc Tiếp theo các bạn sẽ được hướng dẫn cách phân tích dữ liệu.Phần Tích Chứng Cứ Số

Khi bạn phân tích bằng chứng kỹ thuật số, công việc của bạn là để phục hồi dữliệu.Nếu người dùng đã xóa hoặc ghi đè các tập tin trên đĩa, thì trên đĩavẫncònchứa tập tin đã xóa và những phân mảnh của tập tin gốc Vì khi mộ tập tin bịxóa đi chúng chỉ được đánh dấu là đã xóa để không gian lưu trữ này có thể chứanhững dữ liệu khác, đây là các dữ liệu ghi đề lên tập tin cũ, vì vậy chúng vẫn cóthể được phục hồi bằng những công cụ Forensic như ProDiscovery nếu chưa bịghi đè hoàn toàn

Đầu tiên hãy tải các ảnh đĩathu được vào ProDiscover Basic theo các bước sau:

1 Khởi động ProDiscover Basic, như bạn đã làm trong phần trước

2 Để tạo ra một tình huốngmới, hãy nhấp vào File và chọnNew Project từtrìnhđơn

3 Trong hộp thoại New Project, gõ InChp02trong ô Project Number vàgõ tương

tự trong ô Project File Name (xemHình 2-8), sau đónhấn OK

4 Trong màn hình hiển thịcủa cửa sổ chính (xem hình 2-9), bấm vào để mở rộngmục Add, và sau đó nhấp vào file hình ảnh

Hình 2-8 : Hộp thoại New Project

Hình 2-9 : Giao diện tree-view của ProDiscover

5.Trong hộp thoại Open, chuyển đến thư mục chứa các hình ảnh, nhấp vào tậptin

InChp02.eve , và nhấn Open Tiếp theo nhấn Yes trong ô Auto Image Checksum.Bước tiếp theo là hiển thị các nội dung của các dữ liệu thu được Hãy thực hiệntheo các bước sau đây:

1 Trong khung tree-view, bấm vào nút mở rộng ContentView, nếu cần thiết Sau đó chọn Images và nhấp vào đường dẫn tên tậptin C: Work InChp02.eve (thay thế đường dẫn bằng thư mục của bạn ví dụ

“Work”, C:WorkChap02Chapter), và sau đó bấm vào để mở rộng đường dẫn

2 Tiếp theo, nhấp vào All Files tại đường dẫn tên tập tin hình ảnh Khi hộpthoại CAUTION mở ra, nhấn Yes Tập tin InChp02.eve sau đó sẽđược nạp trong cửa sổ chính, như trong Hình 2-10

38

CHFI Chương 3 Điện thoại di động và Điều Tra Chứng Cứ Trên

Thiết Bị Di Động.

Như đã đề cập, bộ nhớ lưu trữ có thể là trên điện thoại hoặc trên thẻ SIM ThẻSim có hệ thống tập tin là một cấu trúc phân cấp như hình 13-1 Cấu trúc tập tinnày bắt đầu với thư mục gốc (MF) Các cấp độ tiếp theo bao gồm các tập tin thưmục (DF) và dưới chúng là các tập tin chứa dữ liệu sơ cấp(EF) Trong hình 13-1,các EF dưới DF GSM và DF DCS1800 chứa dữ liệu mạng trên các dải tần sốkhác nhau còn EF dưới DF Telecom chứa dữ liệu liên quan đến dịch vụ

Hình 13-1 : cấu trúc tập tin của thẻ SIM

Bạn có thể lấy một số bit dữ liệu từ thẻ SIM Các thông tin có thể lấy được gồm có:

• Dịch vụ liên quan đến dữ liệu, chẳng hạn như nhận dạng của thẻ SIM và thuê bao

• Dữ liệu cuộc gọi như số cuộc gọi

• Thông tin tin nhắn

• Thông tin vị trí

Nếu thiết bị hay điện thoại bị mất nguồn bạn cần có mã PIN hoặc mã truy cập đểxem các tập tin trên thẻ SIM Thông thường, người sử dụng giữ số PIN ban đầukhi nhận thẻ SIM do đó khi thu thập chứng cứ tại hiện trường, hãy tìm kiếmhướng dẫn sử dụng người dùng và tài liệu khác có thể giúp bạn truy cập vào thẻSIM Với hầu hết các thẻ SIM, bạn có ba lần đăng nhập vào trước khi điện thoại

bị khóa, sau đó phải nhờ nhà cung cấp dịch vụ hoặc chờ đợi một thời gian nhấtđịnh trước khi thử lại giống như khi chúng ta nhập sai mật khẩu trên máy tính và

bị tạm khóa trong một thồi gian vậy Các mã số thông dụng để thử truy cập là là1-1-1-1 hoặc 1-2-3-4

Forensics Thiết bị di động

Điều tra pháp lý cho điện thoại và thiết bị di động là một khoa học mới với tháchthức lớn nhất dành cho các nhà điều tra là đối phó với sự thay đổi liên tục củađiện thoại di động Những kỹ năng mà bạn có được trên mô hình điện thoại hiệntại có thể trở nên vô dụng khi các nhà sản xuất ra các dòng sản phẩm mới mẽ.Trong phần này sẽ cung cấp cho các bạn một cái nhìn tổng quan về thủ tục làmviệc với các phần mềm pháp lý điện thoại di động Trong quá trình thu thậpbằng chứng có hai hành động chính mà chúng ta thực hiện : một là đọc dữ liệu

từ thẻ SIM và hai là đồng bộ hóa dữ liệu từ thiết bị với máy tính.Bước đầu tiên là xác định các thiết bị di động thông qua các nguồn tham khảotrực tuyếnnhư www.cellphoneshop.com,www.phonescoop.com,và

www.mobileforensicscentral.com

Đầu tiên, bạn nên cài đặt đầy đủ phần mềm pháp lý dành cho điện thoại di độngtrên máy trạm điều tra của mình nếu có thể Bởi vì không phải tất cả các cơ sởđược trang bị các phần mềm cần thiết do chí phí cao hoặc chức năng của chúngkhá hạn chế trong khi sự thay đổi lại diễn ra liên tục, điều này làm cho việctrang bị đầy đủ các công cụ tương đối khó khăn, nhưng nếu như nhu cầu côngviệc đòi hỏi thì các phòng thí nghiệm cũng nên đầu tư kinh phí cho những ứngdụng điều tra thích hợp với khả năng và tính chất công việc.Bước tiếp theo là sạc nguồn cho điện thoại và thiết bị di động với các bộ nguồntương thích Để có thể đáp ứng cho nhiều loại thiết bị khác nhau chúng ta cần dự

40