Sự tiến bộ của khoa học kỹ thuật đã mang lại cho chúng ta nhiều phát minh rất hữu ích, nó giúp chúng ta rất nhiều trong cuộc sống hàng ngày. Điện thoại di động là một trong những phát minh như vậy. Với sự phát triển không ngừng của công nghệ, điện thoại di động đang phát triển và biến đổi từng ngày, hội tụ mọi công nghệ viễn thông, điện toán, âm thanh, hình ảnh...và trở thành phương tiện giao tiếp, làm việc chủ yếu của con người. Ngày nay, điện thoại di động không chỉ dùng để nghe, gọi và nhắn tin mà còn hỗ trợ nhiều dịch vụ tiện ích khác. Với một chiếc điện thoại di động thông minh (smartphone) trong tay chúng ta có thể: xem phim, nghe nhạc, chơi game, sử dụng các ứng dụng văn phòng, dùng file word, excel, .pdf, lướt web, gửi và nhận Email,… Cùng với sự gia tăng của những chiếc điện thoại thông minh đa chức năng thì số vụ án liên quan đến điện thoại di động cũng tăng lên, và hình thực vi phạm ngày càng đa dạng, tinh vi và có tổ chức. Trong nhiều vụ án, điện thoại di động được sử dụng như những công cụ phạm tội. Các đối tượng có thể sử dụng điện thoại để lưu thông tin cá nhân, trao đổi thư, chat, truy cập vào các mạng xã hội, các trang web cá cược bóng đá, chơi lô đề trực tuyến,… Ở nước ta trong một số vụ án gần đây qua việc thu thập, khai thác các thông tin từ thiết bị di động của đối tượng, trinh sát đã tìm, xác định được đối tượng, thu thập được nhiều thông tin để đấu tranh. Qua việc khai thác thông tin từ những thiết bị di động ta có thể tìm ra được nhiều chứng cứ quan trọng mà phương pháp điều tra truyền thống không thể có được. Với phương pháp truyền thống để có thể thu được thông tin chứng cứ bằng việc duyệt nội dung chứa trong thiết bị thông qua giao diện của người sử dụng, nhưng đây được xem là cách không chắc chắn và được sử dụng như giải pháp cuối cùng. Thay vào đó, việc sử dụng các công cụ phần mềm giám định theo đúng qui trình là cách khai thác dữ liệu thích hợp, tránh việc để mất, thay đổi thông tin trên thiết bị gốc, và những thông tin khai thác sẽ phục vụ cho công tác phòng, chống tội phạm công nghệ cao.
Trang 11
BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
BÁO CÁO THU THẬP VÀ PHÂN TÍCH THÔNG TIN AN NINH MẠNG
Đề tài: TÌM HIỂU KỸ THUẬT THU THẬP VÀ PHỤC HỒI
CHỨNG CỨ ĐIỆN TỬ TỪ THIẾT BỊ DI ĐỘNG
Chuyên ngành: An toàn thông tin
Sinh viên thực hiện:
Phạm Ngọc Vân Nguyễn Thế Tú Bạch Trọng Đức Trần Việt Anh Trần Đức Trung Kiên
Trang 22
MỤC LỤC
MỤC LỤC 2
BẢNG CÁC TỪ VIẾT TẮT, KÝ HIỆU 4
THÔNG TIN HÌNH VẼ VÀ BẢNG 5
MỞ ĐẦU 6
CHƯƠNG I TỔNG QUAN VỀ CHỨNG CỨ ĐIỆN TỬ, THU THẬP VÀ PHỤC HỒI CHỨNG CỨ ĐIỆN TỬ TỪ THIẾT BỊ DI ĐỘNG 8
1.1 Sự ra đời 8
1.1.1 Đôi nét về lịch sử ra đời 8
1.1 Hình thành các hành lang pháp lý 10
1.2 Phân tích khái niệm “Chứng cứ điện tử” 11
1.2.1 Quan điểm của các quốc gia trên thế giới 11
1.2.2 Quan điểm của Việt Nam 12
1.3 Sự cần thiết phải quy định về chứng cứ điện tử 14
1.5 Kết chương 17
CHƯƠNG II CÁC PHƯƠNG PHÁP KỸ THUẬT, QUY TRÌNH THU THẬP VÀ PHỤC HỒI CHỨNG CỨ ĐIỆN TỬ TỪ THIẾT BỊ DI ĐỘNG 18
2.1 Các thông tin lưu trữ trên điện thoại di động 18
2.1.1 Thông tin lưu trữ trên SIM: 18
2.1.2 Thông tin lưu trữ trên bộ nhớ trong 19
2.1.3 Các thông tin lưu trữ trên thẻ nhớ ngoài 19
2.2 Tổng quan về kỹ thuật khai thác dữ liệu trên điện thoại di động 20
2.3 Kỹ thuật khai thác dữ liệu trên bộ nhớ trong 20
2.3.1 Kỹ thuật khai thác dữ liệu qua giao diện sử dụng 20
2.3.2 Kỹ thuật khai thác vật lý 21
2.3.3 Kỹ thuật khai thác logic 22
2.4 Kỹ thuật khai thác dữ liệu trên SIM 23
2.4.1 Kết nối SIM với máy tính thông qua đầu đọc SIM 23
2.5 Khai thác dữ liệu trên thẻ nhớ 24
2.6 Một số phần mềm khai thác dữ liệu điện thoại di động phổ biến 25
2.7 Xây dựng quy trình thu thập và phục hồi chứng cứ điện tử từ thiết bị di động 26 2.7.1 Thu giữ và bảo quản thiết bị 26
Trang 33
2.7.2 Thu thập dữ liệu trên điện thoại 26
2.7.3 Kiểm tra và phân tích dữ liệu 30
2.7.4 Báo cáo 31
2.8 Kết chương 31
KẾT LUẬN 32
TÀI LIỆU THAM KHẢO 33
Trang 44
BẢNG CÁC TỪ VIẾT TẮT, KÝ HIỆU
Từ viết tắt Đầy đủ Tiếng Việt
Units
APDU là đơn vị kết nối giữa đầu đọc thẻ SIM và SIM
Giao thức kết nối
Equipment Identity
Mã số nhận dạng thiết bị di động quốc tế
Communications
Hệ thống thông tin di động toàn cầu
Các tiêu chuẩn JTAG xác định một giao diện và các lệnh có thể được sử dụng
để kiểm thử và gỡ rối của các thành phần phần cứng trong các thiết bị điện tử
Number
Số điện thoại di động quốc
tế
Thẻ nhớ thông minh sử dụng trên điện thoại di động
on Computer Evidence
Nhóm làm việc khoa học
về bằng chứng số
Tổ chức quốc tế về bằng chứng số
Trang 55
THÔNG TIN HÌNH VẼ VÀ BẢNG
Hình 2.1: Tổng quát quy trình khai thác dữ liệu trên thiết bị điện thoại di động 26 Hình 2.2: Quy trình thu thập dữ liệu trên thiết bị điện thoại di động 28 Hình 2.3: Quy trình khai thác dữ liệu trên SIM 30
Bảng 2.2: Một số phần mềm khai thác dữ liệu trên điện thoại di động 25
Trang 6Với sự phát triển không ngừng của công nghệ, điện thoại di động đang phát triển và biến đổi từng ngày, hội tụ mọi công nghệ viễn thông, điện toán, âm thanh, hình ảnh và trở thành phương tiện giao tiếp, làm việc chủ yếu của con người
Ngày nay, điện thoại di động không chỉ dùng để nghe, gọi và nhắn tin mà còn hỗ trợ nhiều dịch vụ tiện ích khác Với một chiếc điện thoại di động thông minh (smartphone) trong tay chúng ta có thể: xem phim, nghe nhạc, chơi game, sử dụng các ứng dụng văn phòng, dùng file word, excel, pdf, lướt web, gửi và nhận Email,… Cùng với sự gia tăng của những chiếc điện thoại thông minh đa chức năng thì số vụ án liên quan đến điện thoại
di động cũng tăng lên, và hình thực vi phạm ngày càng đa dạng, tinh vi và có tổ chức Trong nhiều vụ án, điện thoại di động được sử dụng như những công cụ phạm tội Các đối tượng
có thể sử dụng điện thoại để lưu thông tin cá nhân, trao đổi thư, chat, truy cập vào các mạng
xã hội, các trang web cá cược bóng đá, chơi lô đề trực tuyến,…
Ở nước ta trong một số vụ án gần đây qua việc thu thập, khai thác các thông tin từ thiết bị di động của đối tượng, trinh sát đã tìm, xác định được đối tượng, thu thập được nhiều thông tin để đấu tranh Qua việc khai thác thông tin từ những thiết bị di động ta có thể tìm ra được nhiều chứng cứ quan trọng mà phương pháp điều tra truyền thống không thể có được Với phương pháp truyền thống để có thể thu được thông tin chứng cứ bằng việc duyệt nội dung chứa trong thiết bị thông qua giao diện của người sử dụng, nhưng đây được xem là cách không chắc chắn và được sử dụng như giải pháp cuối cùng Thay vào đó, việc sử dụng các công cụ phần mềm giám định theo đúng qui trình là cách khai thác dữ liệu thích hợp, tránh việc để mất, thay đổi thông tin trên thiết bị gốc, và những thông tin khai thác sẽ phục vụ cho công tác phòng, chống tội phạm công nghệ cao
Nội dung của đề tài
- Tìm hiểu tổng quan về chứng cứ điện tử, thu thập và phục hồi chứng cứ điện tử từ thiết bị di động
- Quy trình, công cụ thu thập và phục hồi chứng cứ điện tử từ thiết bị di động
- Thực hiện tình huống minh hoạ
Trang 77
Cấu trúc bài báo cáo
- Chương 1: Tổng quan về chứng cứ điện tử, thu thập và phục hồi chứng cứ điện tử
từ thiết bị di động
- Chương 2: Các phương pháp kỹ thuật, quy trình thu thập và phục hồi chứng cứ điện
tử từ thiết bị di động
- Chương 3: Tổng kết
Trang 88
CHƯƠNG I TỔNG QUAN VỀ CHỨNG CỨ ĐIỆN TỬ, THU THẬP VÀ
PHỤC HỒI CHỨNG CỨ ĐIỆN TỬ TỪ THIẾT BỊ DI ĐỘNG
Trong bối cảnh kinh tế, xã hội liên tục vận động và phát triển, luôn tồn tại song hành các mặt hoạt động khác nhau của con người Bên cạnh các hoạt động xây dựng và sản xuất thì luôn hiện hữu các hành vi trái với lợi chung của cộng đồng, xã hội Những hành vi này được coi là hoạt động trái pháp luật Chúng làm phương hại, tác động xấu đến một đối tượng, một cá nhân cụ thể, và thậm chí cả một cơ quan, tổ chức, hoặc lớn hơn nữa là ảnh hưởng đến sự ổn đinh, phát triển bình thường của cả nhân loại
Bởi theo quy luật phát triển của tự nhiên, có đấu tranh mâu thuẫn mới càng phát triển hơn nữa Thì trong xã hội có giai cấp, tồn tại cuộc đấu tranh giữa những người thực thi pháp luật và những kẻ làm trái pháp luật Bên cạnh các loại hình tội phạm ngày càng gia tăng, đồng thời thủ đoạn của chúng cũng tinh vi xảo quyệt hơn Bước vào thế kỷ XXI, với sự bùng nổ và phát triển mạnh mẽ của công nghệ thông tin Việc áp dụng chúng vào hầu hết các lĩnh vực của đời sống là một điều trở nên tất yếu Bên cạnh những lợi ích mà nó mang lại thì nó lại trở thành đối tượng bị lợi dụng làm công cụ đắc lực cho bọn tội phạm Việc xuất hiện tội phạm trong lĩnh vực công nghệ thông tin đã làm đau đầu các nhà thực thi pháp luật Việc có một công cụ, chế tài xử phạt hợp lý trở nên nan giải
Đặc biệt hơn, việc phát hiện, đấu tranh, truy tố loại tội phạm này lại càng khó Bản thân quá trình tìm kiếm, phát hiện, thu thập chứng cứ tỏ ra hết sức mơ hồ Vì thế, các nhà làm luật đã tìm cách quy định một loại chứng cứ để có thể buộc tội các đối tượng này Và
nó được gọi là "Chứng cứ điện tử"
Tấn công vật lý
Thuở sơ khai của loại tội phạm máy tính, đối tượng thường thực hiện các hành vi tấn công vật lý tới hệ thống máy tính hoặc đường truyền viễn thông Vào mùa xuân năm
Trang 99
1969, một nhóm sinh viên ở Canada đã tấn công cảnh sát, phá cánh cửa nhà Hiệu bộ, rồi gây ra đám cháy làm phá hủy hệ thống máy tính, trung tâm cơ sở dữ liệu Làm thiệt hại 2
tỉ dollar, 97 người đã bị bắt giữ Bước sang thế kỷ XX, vẫn tồn tại những kẻ thích phá hoại
cơ sở hạ tầng, phá hoại trung tâm dữ liệu bằng tay Rõ ràng, để đánh sập một mạng máy tính, không gì nhanh hơn là phá hoại vật lý
Mạo danh
Năm 1970, một tên tội phạm tuổi teen khét tiếng tên là Jerry Neal Scheilder Mục tiêu của anh ta là công ty thiết bị viễn thông PT&T ở Los Angeles Qua nhiều năm kiên trì lục lọi thùng rác để thu thập các bản in tài liệu của công ty, đồng thời tham gia các chuyến tham quan nhà kho, nhà máy sản xuất, anh ta đã có đủ kiên thức và nắm rõ quy trình hoạt động của công ty này Mạo danh công ty này, anh ta chiếm đoạt được hàng triệu đô từ tiền nhập thiết bị Cuối cũng bị bắt do sự tố cáo của chính nhân viên của y Và sau khi mãn hạn
tù, anh ta đã thành lập công ty về an ninh máy tính Ăn cắp thẻ tín dụng Thẻ tín dụng ra đời vào những năm 1920 Sau đó, nó trở nên phổ biến tại các nước phương Tây vì tính tiện dụng của nó Vì thế mà xuất hiện các vụ phạm tội liên quan đến thẻ tín dụng Vào cuối thế
kỷ XX, tình trạng trở nên trầm trọng Theo một báo cáo của FBI: "Xét trên phạm vi toàn cầu, số tiền trong các thẻ VISA, Master-Card của các ngân hàng bị đánh cắp lên tới 110 triệu năm 1980 và lên đến 1.65 tỉ đô năm 1995."
Phone phreak
Thời kỳ đầu, việc giả số điện thoại gọi đến được thực hiện bởi những tổ chức có khả năng truy cập các đường dây PRI (Primary Rate Interface) đắt tiền mà các công ty điện thoại cung cấp Công nghệ này được dùng chủ yếu để hiển thị số điện thoại chính của một doanh nghiệp trên mọi cuộc gọi đi Từ đầu những năm 2000, những “phone phreak” hay gọi tắt là phreak (chuyên gia tấn công các hệ thống điện thoại) bắt đầu sử dụng công nghệ Orange boxing để giả số điện thoại Thực chất của cách làm này là dùng một thiết bị (thường
là một phần mềm trên máy tính) để gửi một chuỗi các tín hiệu đa tần (tone) trong những giây đầu tiên của cuộc gọi, giả làm tín hiệu báo số gọi đến của điện thoại
Tống tiền
Hacker tìm cách lấy trộm dữ liệu quan trọng của một cá nhân, tổ chức và sau đó yêu cầu đòi tiền chuộc Vào những năm 1990, khoảng 300,000 bản ghi về thông tin thẻ tín dụng được lưu trên website CD Universe đã bị "Maxus" – một thanh niên 19 tuổi người Nga đánh cắp Sau nó anh này có gửi đi một thông điệp rằng: "Đưa cho tôi 100.000 đô, tôi sẽ vá
Trang 10Mỹ vào năm 1986 Australia đã sửa đổi bổ sung vào năm 1989, và sau đó là Anh năm 1990 Với bộ luật tố tụng hình sự hiện hành (năm 2003) có quy định Điều 64
Chứng cứ:
1 Chứng cứ là những gì có thật, được thu thập theo trình tự, thủ tục do Bộ luật này quy định mà Cơ quan điều tra, Viện kiểm sát và Toà án dùng làm căn cứ để xác định có hay không có hành vi phạm tội, người thực hiện hành vi phạm tội cũng như những tình tiết khác cần thiết cho việc giải quyết đúng đắn vụ án
2 Chứng cứ được xác định bằng:
a) Vật chứng;
b) Lời khai của người làm chứng, người bị hại, nguyên đơn dân sự, bị đơn dân
sự, người có quyền lợi, nghĩa vụ liên quan đến vụ án, người bị bắt, người bị tạm giữ, bị can, bị cáo;
c) Kết luận giám định;
d) Biên bản về hoạt động điều tra, xét xử và các tài liệu, đồ vật khác
Căn cứ vào Điều luật trên thì rất khó xác định chứng cứ liên quan đến tội phạm máy tính Bởi những gì được coi là vật chứng thì nó tồn tại ở dạng dữ liệu số mang tính chất "ảo" không rõ hình dạng, tính chất Mặt khác kẻ phạm tội có thể dễ dàng che dấu hành vi, và thực hiện các thao tác xóa dấu vết rất dễ dàng Vì vậy nếu chỉ đơn thuần coi vật chứng là những thứ có thể nhìn thấy bằng mắt, cảm nhận bằng tay thì rất khó có thể có một vật chứng
có tính thuyết phục trong lĩnh vực tội phạm máy tính Xuất phát từ yêu cầu bức thiết này, trong bộ luật tố tụng hình sự năm 2015 ban hành ngày 27 tháng 11 năm 2015 có quy định
Trang 1111
một chi tiết rất quan trọng Lần đầu tiên, khái niệm "dữ liệu điện tử" được xem là nguồn của chứng cứ (Điều 87 khoản 1 điểm c) Có thể nói đây là bước tiến quan trọng trong quá trình hoàn thiện quy chế pháp lý, một bước đi tạo nền tảng vững chắc cho quy trình ban hành một quy phạm pháp luật mang tính thực tiễn cao Nó trở thành một căn cứ pháp lý quan trong, có tầm ảnh hưởng lớn lao đối với công tác đấu tranh, phòng chống loại tội phạm
sử dụng công nghệ cao Mặt khác đây cũng là cơ sở chắc chắn cho việc xây dựng các điều luật, hình thành một hành lang pháp lý sâu rộng trong lĩnh vực công nghệ thông tin và các ứng dụng của nó Vậy thì khái niệm "dữ liệu điện tử" hay "chứng cứ điện cứ" được hiểu như thế nào? Những khái niệm nào khác có liên quan, có tác dụng làm rõ nội hàm về chứng
cứ điện tử?
1.2 Phân tích khái niệm “Chứng cứ điện tử”
Song hành với việc ban hành các quy phạm pháp luật thì việc ban hành các văn bản hướng dẫn thi hành là rất quan trọng Việc phân tích chỉ rõ khái niệm, những đặc điểm cụ thể về "Chứng cứ điện tử" sẽ làm sáng tỏ bản chất của nó Điều này sẽ tác động tích cực đến quá trình phát hiện, và thu thập chứng cứ của cơ quan điều tra
1.2.1 Quan điểm của các quốc gia trên thế giới
Tại Mỹ - nơi sớm có sự xuất hiện của loại tội phạm máy tính, cục điều tra liên bang (FBI) đã công bố những khái niệm liên quan đến chứng cứ điện tử dựa trên tài liệu của SWGDE/IOCE:
Quy trình thu thập: Những thông tin hoặc thiết bị vật lý được lưu trữ cho mục đích
điều tra trở thành chứng cứ khi được tòa án công nhận Quá trình thu thập tuân thủ các điều luật về chứng cứ Các đối tượng dữ liệu và thiết bị số chỉ trở thành chứng cứ khi được thu thập bởi nhân viên thực thi pháp luật hoặc người được chỉ định
Đối tượng dữ liệu: Là những đối tượng hoặc những thông tin có giá trị chứng minh
tội phạm liên quan đến thiết bị vật lý Các đối tượng này có thể tồn tại ở các định dạng khác nhau sao cho không làm thay đổi dữ liệu gốc
Chứng cứ điện tử (Electronic Evidence): Là thông tin có giá trị chứng minh tội
phạm được lưu trữ và truyền tải dưới dạng dữ liệu số
Thiết bị số: Những thiết bị lưu trữ và truyền tải các đối tượng dữ liệu
Dữ liệu gốc: Những dữ liệu nằm trên thiêt bị số tại thời điểm thu thập
Nhân bản chứng cứ điện tử: Là sự nhân bản dữ liệu gốc một cách đúng đắn
Trang 12và các file hệ thống Đồng thời các file do người dùng tạo ra cũng có giá trị chứng minh hoạt động của tội phạm, siêu dữ liệu của mỗi file này thể hiện rõ quá trình tạo, thay đổi nội dung file
Tại Anh quốc, theo tổ chức ACPO (Association of Chief Police Officers) cho rằng: chứng cứ điện tử có thể là các bản ảnh vật lý và logic của các thiết bị, bản ảnh logic chứa một phần hoặc toàn bộ dữ liệu được chụp ngay khi tiến trình đang chạy Điều tra viên phải dùng các công cụ chụp bản ảnh được pháp luật công nhận Trường hợp không phải là dữ liệu cục bộ mà là dữ liệu từ xa, điều này cần thiết phải có người có thẩm quyền lấy dữ liệu
đó về và trao cho tòa án xác nhận, khi đó cơ quan điều tra mới được phép truy cập và điều tra về dữ liệu đó Mặt khác quy trình phát hiện, thu thập, điều tra, và bảo quản phải khách quan, tuân thủ các đạo luật và được tòa án công nhận Và khi một bên thứ ba lặp lại đúng quy trình đó và thu được cùng kết quả Để khách quan hơn, việc đánh giá mức độ rủi ro dựa trên những yếu tố kỹ thuật và phi kỹ thuật là cần thiết Chẳng hạn những chứng cứ tiềm năng cái mà có thể được lưu trên những thiết bị đặc biệt hoặc lịch sử tấn công trước đây của kẻ bị tình nghi
1.2.2 Quan điểm của Việt Nam
Quá trình thực hiện các hành vi phạm tội của tội phạm công nghệ cao luôn để lại các dấu vết điện tử Đây là những dữ liệu tồn tại dưới dạng những tiến hiệu kỹ thuật số Nó được tạo ra một cách tự động, khách quan trong các bộ nhớ của các thiết bị điện tử Theo
bộ luật Tố tụng hình sự năm 2015 có quy định:
Điều 99 Dữ liệu điện tử:
1 Dữ liệu điện tử là ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương
tự được tạo ra, lưu trữ, truyền đi hoặc nhận được bởi phương tiện điện tử
2 Dữ liệu điện tử được thu thập từ phương tiện điện tử, mạng máy tính, mạng viễn thông, trên đường truyền và các nguồn điện tử khác
3 Giá trị chứng cứ của dữ liệu điện tử được xác định căn cứ vào cách thức khởi tạo, lưu trữ hoặc truyền gửi dữ liệu điện tử; cách thức bảo đảm và duy trì tính toàn vẹn của dữ
Trang 13Trao đổi dữ liệu điện tử (EDI - electronic data interchange): là sự chuyển thông tin
từ máy tính này sang máy tính khác bằng phương tiện điện tử theo một tiêu chuẩn đã được thỏa thuận về cấu trúc thông tin
Thông điệp dữ liệu: là thông tin được tạo ra, được gửi đi, được nhận và được lưu trữ bằng phương tiện điện tử Thông điệp dữ liệu có giá trị như văn bản nếu thông tin chứa trong thông điệp đó có thể truy cập, sử dụng được để tham chiếu khi cần thiết và nội dung của thông điệp dữ liệu được bảo đảm toàn vẹn, không bị thay đổi Giá trị chứng cứ của thông điệp dữ liệu được xác định, căn cứ vào độ tin cậy của cách thức khởi tạo, lưu trữ và truyền gửi, cách thức bảo đảm và duy trì tính toàn vẹn, cách thức xác định người khởi tạo
và các yếu tố phù hợp khác
Như vậy, căn cứ theo các quy định của pháp luật tố tụng hình sự và luật giao dịch điện tử thì dữ liệu điện tử có giá trị pháp lý như chứng từ, hồ sơ truyền thống khi đáp ứng được những yêu cầu của pháp luật quy định
Qua đó có thể nhận thấy rằng: Chứng cứ điện tử là những chứng cứ được lưu giữ dưới dạng tín hiệu điện tử trong máy tính hoặc trong các thiết bị có bộ nhớ kỹ thuật số có liên quan đến vụ án hình sự Những chứng cứ điện tử có thể thu thập được để chứng minh hành vi phạm tội bao gồm:
- Những chứng cứ điện tử do máy tính tự động tạo ra như: “cookies”, “URL”, mail logs, web server logs…
E Những thông tin điện tử do con người tạo ra được lưu giữ trong máy tính hoặc các thiết bị điện tử khác, như các văn bản, bảng biểu, các hình ảnh, thông tin… được lưu giữ dưới dạng tín hiệu điện tử Để thu thập được những dấu vết điện tử này, cần sử dụng kỹ thuật, công nghệ máy tính và phần mềm phù hợp để có thể phục hồi lại những “dấu vết điện tử” đã bị xóa, bị ghi đè, những dữ liệu tồn tại dưới dạng ẩn, đã mã hóa, những phần mềm,
mã nguồn được cài đặt dưới dạng ẩn, để làm cho có thể đọc được, ghi lại dưới hình thức có thể đọc được và có thể sử dụng làm bằng chứng pháp lý trước tòa án
Trang 1414
1.3 Sự cần thiết phải quy định về chứng cứ điện tử
Trong thời đại công nghệ thông tin và truyền thông phát triển như hiện nay, không một cá nhân, tổ chức, doanh nghiệp nào có thể tách rời được máy tính và mạng máy tính Chính vì vậy, hoạt động phạm tội của các đối tượng sử dụng công nghệ cao ngày càng phổ biến, thủ đoạn phạm tội của chúng ngày càng tinh vi Do đó, việc công nhận chứng cứ từ
dữ liệu điện tử là một bước tiến trong tố tụng hình sự ở nước ta bởi các bước điều tra để chứng minh quá trình phạm tội ngày càng phụ thuộc lớn vào chứng cứ điện tử Trên lĩnh vực an ninh quốc gia, các thế lực thù địch đã không ngừng tập trung lợi dụng công nghệ thông tin, mạng viễn thông để xuyên tạc, vu khống chống phá Nhà nước Trên lĩnh vực trật
tự, an toàn xã hội, tình hình an ninh mạng Việt Nam diễn biến phức tạp, nhiều vụ tấn công, phá hoại, lây nhiễm virus, phầm mềm gián điệp, mã tin học độc hại nhằm vào hệ thống mạng của cơ quan nhà nước và tư nhân với mức độ, tính chất ngày càng nghiêm trọng; tình hình lừa đảo trong lĩnh vực thương mại điện tử và thanh toán điện tử gia tăng, làm rối loạn hoạt động của hệ thống thông tin điện tử Trong hầu hết các vụ tấn này, thủ phạm chỉ để lại rất ít dấu vết và dấu vết này ở dạng dữ liệu điện tử như: logfile, IP, mã độc, domain điều khiển, thời gian, không gian mạng, header và nội dung email, nickname và nội dung chat, công cụ tấn công, thông tin trao đổi của tội phạm…
Thời gian qua, những dữ liệu điện tử được thu thập được qua các vụ tấn công của tội phạm sử dụng công nghệ thông tin, mạng viễn thông như đã nêu thường được sử dụng
có hiệu quả trong công tác trinh sát, điều tra, truy tố và xét xử tội phạm dưới nhiều hình thức khác nhau, được chuyển hóa làm chứng cứ có giá trị chứng minh về tội phạm Loại nguồn chứng cứ này gián tiếp phục vụ chứng minh tội phạm có hiệu quả, thậm chí trong nhiều vụ án chỉ thu được thông tin trong dữ liệu điện tử làm chứng cứ và trong nhiều trường hợp, loại nguồn chứng cứ này có ý nghĩa quyết định đến thành công của hoạt động tố tụng hình sự Tuy nhiên, Bộ luật Tố tụng hình sự năm 2003 chưa công nhận dữ liệu điện tử là một nguồn chứng cứ, vì vậy cũng chưa có quy định cụ thể về mặt tố tụng hình sự liên quan đến loại nguồn chứng cứ này
1.4 Tổng quan về việc thu thập và phục hồi chứng cứ điện tử từ thiết bị di động
Nhằm che giấu hành vi phạm pháp, khi bị phát hiện hoặc ngay sau sử dụng để thực hiện hành vi, đối tượng hủy hoại hoặc làm hỏng thiết bị điện tử di động, gây khó khăn cho công tác thu thập chứng cứ của cảnh sát Đối phó với việc này, cảnh sát một số nước đã phát triển những công cụ để có thể khôi phục chứng cứ điện tử từ thiết bị đã bị hư hỏng nặng
Trang 1515
Thiết bị điện tử di động thông thường lưu trữ nhiều loại dữ liệu như thông tin liên lạc, ảnh, lịch, ghi chú, tin nhắn… và điện thoại thông minh đang ngày càng thịnh hành hiện nay còn lưu trữ được thư điện tử, video, thông tin vị trí, truy cập Internet…
Việc sử dụng thiết bị nhỏ gọn, di động có khả năng lưu trữ dung lượng lớn dữ liệu, truyền tải dễ dàng qua Internet thông qua sóng 3G, 4G… khiến người dùng có thêm nhiều tiện ích nhưng cũng là phương tiện để tội phạm lợi dụng hoạt động phạm tội xuyên quốc gia, mang tính toàn cầu
Tội phạm lợi dụng thiết bị này để thực hiện nhiều tội phạm nghiêm trọng như khủng
bố, buôn bán người, buôn bán vũ khí, giết người, tham nhũng hoặc hoạt động gián điệp, do thám… Tất cả đang đặt ra nhiều yêu cầu mới đối với kỹ thuật hình sự hiện nay
Chứng cứ được khôi phục từ thiết bị điện tử di động có thể đến từ nhiều nguồn như
ổ cứng, thẻ SIM, thẻ nhớ ngoài… Kỹ thuật hình sự về thiết bị điện tử di động truyền thống liên quan đến việc khôi phục dữ liệu tin nhắn, lịch sử cuộc gọi, danh sách liên lạc, thông tin mã IMEI Tuy nhiên, kỹ thuật hình sự hiện đại yêu cầu cao hơn về việc truy nguyên dữ liệu từ lịch sử truy cập Internet, cài đặt mạng không dây, thông tin định vị trí, thư điện tử, thông tin truy cập mạng xã hội…
Với các phương tiện và phương pháp hiện nay, các kỹ thuật viên hình sự có khả năng xác định được chính xác thời gian ghi hình của bức ảnh hoặc video, thậm chí khôi phục được tấm ảnh gốc ngay cả khi tấm ảnh kỹ thuật số đã bị chỉnh sửa làm biến dạng một số đặc điểm
Luật pháp một số nước bắt buộc người dùng nếu muốn sử dụng thiết bị điện tử di động phải chấp nhận một số quy định về an ninh trật tự và phục vụ phòng, chống tội phạm Liên minh châu Âu yêu cầu tất cả các nước thành viên phải duy trì hệ thống cơ sở dữ liệu thông tin liên lạc phục vụ điều tra hình sự, trong đó bao gồm tất cả dữ liệu về cuộc gọi đi
và đến Vị trí của thiết bị điện tử di động cũng phải được xác định và dữ liệu này được lưu giữ
Tại Mỹ, tùy theo từng bang mà pháp luật bang đó yêu cầu lưu giữ thông tin tin nhắn
từ 1 - 2 tuần, lịch sử cuộc gọi từ vài tuần đến vài tháng nhưng tất cả các bang đều quy định khi cơ quan thực thi pháp luật có văn bản yêu cầu các nhà cung cấp dịch vụ mạng cấp dữ liệu mà nhà cung cấp nào cố tình không cung cấp sẽ bị phạt rất nặng, thậm chí rút ngay giấy phép hoạt động
Trang 1616
Để phòng chống tội phạm tài chính, một số nước yêu cầu tất cả các phần mềm được cấp phép sử dụng trong lĩnh vực tài chính kế toán phải có chế độ cấm xóa sau khi dữ liệu
đã được nhập hoàn chỉnh và toàn bộ thông tin đó phải được lưu trữ vĩnh viễn để khi cần và
có yêu cầu chính thức của tòa án hoặc các cơ quan tiến hành tố tụng, thông tin đó có thể được trích xuất phục vụ điều tra hoặc được sử dụng làm chứng cứ buộc tội tại tòa án
Ngoài việc sử dụng thiết bị khôi phục dữ liệu điện tử đã bị xóa, ghi chèn, ghi đè hoặc chỉnh sửa… cảnh sát một số nước đã phát triển được những thiết bị và phần mềm để có thể định vị, thu thập dữ liệu từ xa, chống phá sóng, lọc nhiễu, lọc thông tin liên lạc, khôi phục
dữ liệu từ phần cứng và phần mềm Kỹ thuật hình sự hiện đại sử dụng tiện ích một số phần mềm như AccessData, Sleuthkit, EnCase… để trích xuất được dữ liệu từ bộ nhớ hình ảnh của thiết bị điện tử di động như thông tin về thời gian, địa điểm, đối tượng được ghi hình…
Có loại thiết bị được cảnh sát sử dụng để tìm kiếm, lọc soát trên Internet để xác định được dữ liệu nào đã được gửi đi qua Internet từ thiết bị di động đang kiểm tra Để tránh dữ liệu điện tử bị xóa hay tẩu tán, cảnh sát một số nước đã sử dụng phần mềm khống chế để cho phép người dùng có thể tiếp tục sử dụng thiết bị di động làm việc hoặc sinh hoạt nhưng không thể xóa hoặc tẩu tán dữ liệu đang có trên thiết bị
Để tránh trường hợp một số người dùng thiết bị điện tử bị người khác mượn hoặc sử dụng trộm thiết bị hoạt động phạm pháp, kỹ thuật hình sự hiện đại ở một số nước đã có khả năng cung cấp phần mềm xác định "chính chủ"
Có nghĩa là, khi phần mềm này được cài đặt vào thiết bị điện tử với sự xác nhận bằng giọng nói hoặc vân tay của chủ nhân thiết bị thì khi cảnh sát cần xác minh sự thật, phần mềm này có thể cung cấp sự xác thực về việc có đúng là người đó đã sử dụng thiết bị vào thời điểm, địa điểm đó để thiết lập dữ liệu hoặc gửi, nhận, truy cập thông tin đáng ngờ
đó không
Nhằm che giấu hành vi phạm pháp, khi bị phát hiện hoặc ngay sau sử dụng để thực hiện hành vi, đối tượng hủy hoại hoặc làm hỏng thiết bị điện tử di động, gây khó khăn cho công tác thu thập chứng cứ của cảnh sát Đối phó với việc này, cảnh sát một số nước đã phát triển những công cụ rất lợi hại để có thể khôi phục chứng cứ điện tử từ thiết bị đã bị
hư hỏng nặng